Informacin de contacto
Sede de la empresa:
Gua del administrador
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Contenido
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
19
20
20
20
21
21
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 22
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . . . . . .
Definicin de la configuracin de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de mdulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . .
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de ID de contenido (content-id) . . . . . . . . . . . . . . .
Configuracin de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tiempos de espera de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes de descifrado: Comprobacin de revocacin de certificado . . . . . . .
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy.
23
24
24
38
42
45
46
50
52
53
54
55
57
58
Captulo 4
Configuracin de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
131
132
132
141
148
149
150
151
151
152
155
157
157
161
163
165
166
166
167
168
171
176
182
191
195
196
197
199
201
202
202
204
205
206
Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de definicin de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas . . . . . . . . . . . .
Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en NAT y poltica de seguridad. .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de poltica NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211
212
214
215
217
218
219
219
221
221
222
223
225
227
227
228
228
229
233
234
234
235
237
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino/aplicacin/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de application override . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Protocolo/Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Accin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opcin/Proteccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pgina de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
238
239
239
240
241
241
242
243
243
244
245
245
246
246
247
247
248
248
248
249
249
250
251
252
252
253
254
255
255
256
256
259
263
269
274
276
278
279
280
282
284
288
291
291
292
293
294
295
296
297
298
298
Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . .
341
Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
357
Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
365
Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . .
399
Captulo 11
Gestin centralizada del dispositivo mediante Panorama . . . . . . . . . . .
409
Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo aadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . .
411
414
414
415
418
421
Apndice A
Pginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
453
Apndice B
Categoras, subcategoras, tecnologas y caractersticas de
la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
461
Apndice C
Compatibilidad con los estndares federales de procesamiento de
la informacin/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
465
Apndice D
Licencias de cdigo abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
467
Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
468
469
470
475
482
482
486
487
488
Apndice E
Acceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . .
489
490
490
490
490
490
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
493
10
Captulo 1
Introduccin
Esta seccin proporciona una descripcin general del cortafuegos:
Caractersticas y ventajas
Interfaces de gestin
Introduccin 11
Caractersticas y ventajas
Caractersticas y ventajas
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:
Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL).
12 Introduccin
Interfaces de gestin
Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva
o una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos
pueden gestionarse de manera centralizada mediante el sistema de gestin centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.
Interfaces de gestin
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles para obtener una lista de los exploradores compatibles.
Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye
funciones de gestin adicionales. Consulte Gestin centralizada del dispositivo
mediante Panorama para obtener informacin sobre Panorama.
Protocolo de gestin de red simple (SNMP): Los productos de Palo Alto Networks
son compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a travs de SNMP y
compatibilidad con TRAPS. Consulte Configuracin de destinos de traps SNMP.
Introduccin 13
Interfaces de gestin
14 Introduccin
Captulo 2
Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar el cortafuegos:
2.
3.
2.
3.
Primeros pasos 15
4.
Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin.
El sistema presenta una advertencia para cambiar la contrasea predeterminada.
Haga clic en ACEPTAR para continuar.
5.
6.
7.
8.
9.
10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios.
La configuracin predeterminada de fbrica del cortafuegos o despus de realizar
un restablecimiento de fbrica es un cable virtual (Virtual Wire) entre los puertos
Ethernet 1 y 2 con una poltica predeterminada para denegar todo el trfico
entrante y seguir todo el trfico saliente.
16 Primeros pasos
Para mostrar los elementos del men para una categora de funciones general, haga clic
en la pestaa, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.
Para mostrar los elementos del men secundario, haga clic en el icono
a la izquierda
de un elemento. Para ocultar elementos del men secundario, haga clic en el icono
la izquierda del elemento.
En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.
Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.
Primeros pasos 17
Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.
Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.
18 Primeros pasos
En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.
Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.
Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de
dilogo compilar.
Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuracin de objetos compartidos en la operacin de
compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.
Primeros pasos 19
Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Para obtener ms informacin acerca de la compilacin de cambios, consulte
Definicin de la configuracin de operaciones.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Dispositivo > Auditora de configuraciones realiza la misma funcin,
consulte Comparacin de archivos de configuracin.
Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratn o
hace clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.
20 Primeros pasos
Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios
de configuracin o compilacin de informacin por otro administrador hasta que se elimine
el bloqueo. Se permiten los siguientes tipos de bloqueo:
Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.
Primeros pasos 21
Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:
Internet Explorer 7+
Firefox 3.6+
Safari 5+
Chrome 11+
Asistencia tcnica
Para obtener asistencia tcnica, informacin sobre los programas de asistencia tcnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.
22 Primeros pasos
Captulo 3
Gestin de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuracin de
sistema bsica y tareas de mantenimiento en el cortafuegos:
Instalacin de software
Uso de certificados
Habilitacin de HA en el cortafuegos
Gestin de dispositivos 23
SNMP
24 Gestin de dispositivos
Descripcin
Configuracin general
Nombre de host
Dominio
Zona horaria
Configuracin regional
Fecha y hora
Ubicacin geogrfica
Adquirir bloqueo
de compilacin
automticamente
Comprobacin del
vencimiento del
certificado
Capacidad de cortafuegos
virtuales
Configuracin de autenticacin
Perfil de autenticacin
Gestin de dispositivos 25
Descripcin
Tiempo de espera de
inactividad
N. de intentos fallidos
Tiempo de bloqueo
Tiempo de espera de
recepcin para conexin
a Panorama
Tiempo de espera de
envo para conexin a
Panorama
Reintentar recuento de
envos SSL a Panorama
26 Gestin de dispositivos
Descripcin
Deshabilitar/Habilitar
objetos y poltica de
Panorama
Deshabilitar/habilitar
plantilla de dispositivo
y red
Gestin de dispositivos 27
Descripcin
Reintentar recuento de
envo SSL a dispositivo
28 Gestin de dispositivos
Descripcin
Puerta de enlace
predeterminada
Direccin IPv6/longitud
de prefijo
Velocidad
MTU
Servicios
Gestin de dispositivos 29
Descripcin
Direcciones IP permitidas
Direccin IP (IPv4)
Puerta de enlace
predeterminada
Direccin IPv6/longitud
de prefijo
Velocidad
MTU
Servicios
Direcciones IP permitidas
30 Gestin de dispositivos
Descripcin
Direccin IP (IPv4)
Puerta de enlace
predeterminada
Direccin IPv6/longitud
de prefijo
Velocidad
MTU
Servicios
Direcciones IP permitidas
Gestin de dispositivos 31
Descripcin
32 Gestin de dispositivos
Descripcin
Pestaa secundaria
Almacenamiento de log
Gestin de dispositivos 33
Descripcin
Pestaa secundaria
Exportacin e informes
de log
34 Gestin de dispositivos
Descripcin
Detener trfico cuando LogDb est lleno: Seleccione la casilla de
verificacin si desea que se detenga el trfico a travs del cortafuegos
cuando la base de datos de logs est llena (desactivada de manera
predeterminada).
Habilitar log con carga alta: Seleccione esta casilla de verificacin si
desea que se genere una entrada de log del sistema cuando la carga de
procesamiento del paquete del cortafuegos est al 100% de la utilizacin
de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la
CPU no tiene suficientes ciclos para procesar todos los paquetes. El log
del sistema le avisa sobre este problema (se genera una entrada de log
cada minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opcin est deshabilitada.
(Solo en Panorama)
Gestin de dispositivos 35
Descripcin
Informes predefinidos: Hay informes predefinidos para aplicacin,
trfico, amenazas y filtrado de URL disponibles en el cortafuegos y en
Panorama. De forma predeterminada, estos informes predefinidos estn
habilitados.
Debido a que los cortafuegos consumen recursos de memoria para
generar resultados cada hora (y enviarlos a Panorama cuando se agrega
y se compila para visualizacin), puede deshabilitar los informes que no
sean relevantes, reduciendo as el uso de memoria; para deshabilitar un
informe, quite la marca de la casilla de verificacin de los mismos.
Utilice las opciones Seleccionar todo o Anular seleccin para habilitar o
deshabilitar completamente la generacin de los informes predefinidos.
Nota: Antes deshabilitar un informe, asegrese de que no se incluye en ningn
informe de grupos o informe PDF. Si un informe predefinido forma parte de un
conjunto de de informes y se deshabilita, el conjunto de informes al completo
dejar de contener datos.
Letras en mayscula
mnimas
Letras en minscula
mnimas
Letras numricas
mnimas
Caracteres especiales
mnimos
Bloquear caracteres
repetidos
36 Gestin de dispositivos
Descripcin
Bloquear inclusin de
nombre de usuario
(incluida su inversin)
La nueva contrasea
difiere por caracteres
Es necesario cambiar la
contrasea al iniciar
sesin por primera vez.
Evitar lmite de
reutilizacin de
contrasea
Bloquear perodo de
cambio de contrasea
(das)
Perodo de advertencia de
vencimiento (das)
Inicio de sesin de
administrador caducado
permitido (recuento)
Permita que el administrador inicie sesin el nmero de veces especificado despus de que la cuenta haya vencido. Por ejemplo, si el valor
se ha establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3
veces ms antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).
Perodo de gracia
posterior al vencimiento
(das)
Permita que el administrador inicie sesin el nmero de das especificado despus de que la cuenta haya vencido (rango: 0-30 das).
Gestin de dispositivos 37
Descripcin
Gestin de configuracin
Validar configuracin
candidata
Volver a la ltima
configuracin guardada
Volver a la configuracin
en ejecucin
Guardar instantnea
de configuracin con
nombre
Guardar configuracin
candidata
Cargar instantnea de
configuracin con
nombre
Cargar versin de
configuracin
Exportar instantnea
de configuracin con
nombre
38 Gestin de dispositivos
Descripcin
Exportar versin de
configuracin
Exportar estado de
dispositivo
Importar instantnea
de configuracin con
nombre
Importar estado de
dispositivo
Operaciones de dispositivo
Reiniciar
Gestin de dispositivos 39
Descripcin
Apagar
Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opcin no est disponible en el modelo
PA-200 y Panorama.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.
40 Gestin de dispositivos
Descripcin
Varios
Logotipos
personalizados
Gestin de dispositivos 41
Descripcin
Configuracin del
servicio de estadsticas
Descripcin
Proveedor configurado
Alta disponibilidad
Nombre de grupo de
alta disponibilidad.
Direccin de origen de
cortafuegos
Direccin del puerto utilizado para el servicio HSM. De forma predeterminada, se trata de la direccin del puerto de gestin. Sin embargo, se
puede especificar como un puerto diferente a travs de la opcin Configuracin de ruta de servicios en Dispositivo > Configuracin > Servicios.
Clave maestra
asegurada por HSM
42 Gestin de dispositivos
Descripcin
Estado
Descripcin
Especifica una de las siguientes opciones:
Ninguno: No se ha configurado ningn HSM para el cortafuegos. No se
necesita otra configuracin.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.
Nombre de mdulo
Direccin de servidor
Especifique una direccin de IPv4 para cualquier mdulo HSM que est
configurando.
Alta disponibilidad
Solo Luna SA de
Safenet
Reintento de
recuperacin
automtica
Solo Luna SA de
Safenet
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de
Safenet
Direccin de sistema
de archivos remoto
Gestin de dispositivos 43
Descripcin
Nombre de servidor
Contrasea de
administrador
Descripcin
Nmero de serie
Particin
Estado de mdulo
Descripcin
Nombre
Direccin IP
Estado de mdulo
44 Gestin de dispositivos
SNMP
Dispositivo > Configuracin > Operaciones
SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la
supervisin de los dispositivos de su red. Utilice esta pgina para configurar el cortafuegos
de forma que utilice la versin de SNMP (SNMPv2c y SNMPv3) admitida por su estacin de
gestin de red.
Para configurar el perfil del servidor que habilita el cortafuegos para comunicarse con los
destinos de trap SNMP de su red, consulte Configuracin de destinos de traps SNMP.
El mdulo de bases de informacin de gestin SNMP define todos los traps SNMP generados
por el sistema. El trap SNMP identifica un evento con un ID de objeto nico (OID) y los
campos individuales se definen como una lista de enlaces de variables (varbind).
Haga clic en Configuracin de SNMP en la pgina Configuracin y especifique los siguientes
ajustes para permitir las solicitudes GET SNMP desde su estacin de gestin de red:
Descripcin
Ubicacin fsica
Contacto
Utilizar definiciones
de traps especficas
Seleccione la casilla de verificacin para utilizar un OID exclusivo para cada trap
SNMP basndose en el tipo de evento (est seleccionado el valor predeterminado).
Gestin de dispositivos 45
Descripcin
Versin
Utilice la seccin Caractersticas de servicios para seleccionar o personalizar una configuracin de ruta de servicios. Especifique el modo en que el cortafuegos se comunicar
con otros servidores/dispositivos para la comunicacin de servicios, como DNS, correo
electrnico, actualizaciones de Palo Alto y NTP. Haga clic en Configuracin de ruta de
servicios en los ajustes de Caractersticas de servicios para seleccionar una de las opciones
descritas en Tabla 10.
46 Gestin de dispositivos
Descripcin
Servicios
DNS
Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos
de direccin FQDN, logs y la gestin de dispositivos. Las opciones incluyen
las siguientes:
Servidores DNS principal y secundario para la resolucin de nombres
de dominio
Proxy de DNS configurado en el cortafuegos
Servidor DNS
principal
Servidor de DNS
secundario
Actualizar servidor
Verificar identidad
del servidor de
actualizacin
Puerto
Usuario
Contrasea/
Confirmar
contrasea
Gestin de dispositivos 47
Descripcin
NTP
Direccin de
servidor NTP
Tipo de
autenticacin
Descripcin
48 Gestin de dispositivos
Descripcin
Personalizar
Seleccione esta opcin para configurar un control detallado de la comunicacin del servicio utilizando una interfaz de origen y direccin IP especficas.
Por ejemplo, puede configurar una IP/interfaz de origen especfica para toda
la comunicacin por correo electrnico entre el cortafuegos y un servidor
de correo electrnico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.
IPv4/IPv6: En las pestaas IPv4 o IPv6, seleccione en la lista desplegable
de servicios disponibles la interfaz de origen y la direccin de origen.
La direccin de origen muestra la direccin IPv4 o IPv6 asignada a la
interfaz seleccionada; la direccin IP seleccionada ser el origen del trfico
de servicios. No tiene que definir la direccin de destino, ya que el destino
se configura al configurar el servicio en cuestin. Por ejemplo, cuando
defina sus servidores DNS en la pestaa Dispositivo > Configuracin >
Servicios, dicha accin establecer el destino de las consultas de DNS.
Destino: Puede definir la interfaz y la direccin de origen que utilizar el
servicio que desea enviar, pero que no aparece en la columna Servicio,
Los servicios no enumerados incluyen elementos como Kerberos, LDAP y
comunicaciones de recopilador de logs de Panorama. No necesita introducir
la subred de la direccin de destino.
En entornos multiempresa, se exigirn rutas de servicios basadas en IP de
destino, mientras que los servicios comunes requerirn una direccin de
origen diferente. Por ejemplo, si dos empresas necesitan utilizar RADIUS.
Es importante que las rutas y polticas se establezcan correctamente para la
interfaz que se utilizar para enviar el servicio. Por ejemplo, si desea enviar
solicitudes de autenticacin de Kerberos en una interfaz que no sea el
puerto de gestin (MGT), deber configurar IP Destino y Direccin de
origen en la seccin de la derecha de la ventana Configuracin de ruta de
servicios, ya que Kerberos no se enumera en la columna Servicio predeterminada. Por ejemplo, puede tener la direccin IP de origen 192.168.2.1 en
Ethernet1/3 y, a continuacin, el destino 10.0.0.240 para un servidor
Kerberos. Deber aadir Ethernet1/3 a un enrutador virtual existente con
una ruta predeterminada. Asimismo, puede crear un nuevo enrutador
virtual desde Red > Enrutadores virtuales y aadir las rutas estticas que
sea necesario. Esto garantizar que todo el trfico de la interfaz se enviar
a travs del enrutador virtual para llegar a sus correspondientes destinos.
En este caso, la direccin de destino es 10.0.0.240 y la interfaz Ethernet1/3
tiene la IP de origen 192.168.2.1/24.
El resultado de la CLI para IP Destino y Direccin de origen tendra el
siguiente aspecto:
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Con esta configuracin, todo el trfico de la interfaz Ethernet1/3 utilizar
la ruta predeterminada definida en el enrutador virtual y se enviar a
10.0.0.240.
Gestin de dispositivos 49
Descripcin
Filtrado de URL
Tiempo de espera de
cach de URL dinmica
Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinmica para determinar la cantidad de
tiempo que una entrada permanece en la cach despus de ser devuelta
por el servicio de filtrado de URL. Esta opcin nicamente es aplicable
al filtrado de URL que utilice la base de datos de BrightCloud. Si desea
ms informacin sobre el filtrado de URL, consulte Perfiles de filtrado
de URL.
Tiempo de espera de
cach de URL dinmica
Tiempo de espera
de cancelacin de
administrador de URL
Tiempo de espera de
bloqueo de administrador de URL
x-forwarded-for
Quitar x-forwarded-for
Permitir reenvo de
contenido descifrado
50 Gestin de dispositivos
Descripcin
Gestionar proteccin
de datos
Pginas contenedoras
Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain
y text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida, se
utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de contenido
asociados a un sistema virtual, se utilizar la lista predeterminada de
tipos de contenido.
Configuracin de ID de contenidos
Longitud de captura de
paquetes extendida
Gestin de dispositivos 51
Descripcin
Configuracin general
Servidor de WildFire
Tamao de archivo
mximo (MB)
52 Gestin de dispositivos
Descripcin
Informar de archivos
benignos
Configuracin de sesin
Gestin de dispositivos 53
Configuracin de sesin
Tabla 13. Configuracin de sesin
Campo
Descripcin
Reanalizar sesiones
establecidas
Tamao de depsito de
testigo de ICMPv6
Tasa de paquetes de
error de ICMPv6
Habilitar cortafuegos
IPv6
Trama gigante
MTU global
Tamao mnimo de
MTU para NAT64
en IPv6
54 Gestin de dispositivos
Descripcin
Vencimiento acelerado
Gestin de dispositivos 55
Utilice las opciones de esta seccin para configurar los ajustes de los tiempos de espera
globales: especficamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de
sesiones.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la
deteccin de errores.
Descripcin
Valor predeterminado
Descartar tiempo de
espera
Descartar valor
predeterminado
Descartar TCP
Descartar UDP
ICMP
Tiempo mximo que una sesin ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.
Analizar
TCP
Tiempo mximo que una sesin TCP permanece abierta sin una respuesta
despus de que una sesin TCP active el estado Establecido (despus de
que se complete el protocolo o la transmisin de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999
segundos.
Protocolo de enlace
TCP
Inicializacin de TCP
TCP semicerrado
56 Gestin de dispositivos
Descripcin
UDP
Tiempo mximo que una sesin UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.
Portal cautivo
Descripcin
Habilitar: CRL
Tiempo de espera de
recepcin: CRL
Habilitar: OCSP
Tiempo de espera de
recepcin: OCSP
Gestin de dispositivos 57
Descripcin
Bloquear sesin al
agotar el tiempo
de espera de
comprobacin de
estado de certificado
58 Gestin de dispositivos
Tabla 16. Caractersticas de sesin: Reenviar los ajustes de certificados del servidor proxy
Campo
Descripcin
Gestin de dispositivos 59
Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.
60 Gestin de dispositivos
b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PANDB for URL Filtering), tendr que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuacin, hacer clic en Activar.
Tambin puede ejecutar el comando de CLI "request url-filtering download
paloaltonetworks region <region name>".
Si vence la suscripcin de prevencin de amenazas en el cortafuegos, ocurrir lo siguiente:
Una entrada de log aparecer en el log del sistema indicando que se ha cancelado la
suscripcin.
Todas las funciones de prevencin de amenazas continuarn funcionado con las firmas
que se instalaron en el momento en que caduc la licencia.
Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
vlida. De igual forma, la capacidad de restablecimiento a una versin anterior de las
firmas no es compatible si la licencia ha caducado.
Gestin de dispositivos 61
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecucin. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
62 Gestin de dispositivos
Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos.
UUID
Arquitectura
Nombre
ID de imagen
ID de instancia
Estado de instancia
Anotacin
Tipo de instancia
Versin
Nombre de clave
ID de subred
ID de VPC
Aadir: para aadir un nuevo origen para la supervisin de VM, haga clic en Aadir y, a
continuacin, complete los detalles basados en el origen que se est supervisando:
Gestin de dispositivos 63
Descripcin
Nombre
Tipo
Descripcin
Puerto
Habilitado
Conectado
Desconectado
IP Origen
Nombre de usuario
Contrasea
Intervalo de
actualizacin
64 Gestin de dispositivos
Descripcin
Nombre
Tipo
Descripcin
Habilitado
Conectado
Desconectado
ID de clave de acceso
Intervalo de actualizacin
Tiempo de espera
ID de VPC
Introduzca el ID del AWS-VPC para supervisar, por ejemplo, vpc1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas en
este VPC.
Si su cuenta se configura para usar un VPC predeterminado, el ID del
VPC predeterminado aparecer en los atributos de cuenta de AWS.
Gestin de dispositivos 65
Instalacin de software
Dispositivo > Software
Utilice esta pgina para instalar una versin del software: vea las versiones disponibles,
seleccione la versin que desea descargar e instalar (se necesita una licencia de asistencia
tcnica), acceda y lea las notas de la versin concreta y actualice o desactualice la versin.
Siga estas recomendaciones antes de actualizar o desactualizar la versin de software:
Lea las notas de la versin para ver una descripcin de los cambios de una versin y la
ruta de migracin para instalar el software.
Realice una copia de seguridad de su configuracin actual, ya que una versin con
caractersticas puede migrar determinadas configuraciones para admitir nuevas
caractersticas. (Haga clic en la pestaa Dispositivo > Configuracin > Operaciones y
seleccione Exportar instantnea de configuracin con nombre, seleccione runningconfig.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su ordenador.)
Cuando realice una desactualizacin, se recomienda que lo haga a una configuracin que
coincida con la versin del software.
Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.1. o
5.0 a 6.0), puede que se migre la configuracin para admitir nuevas caractersticas. Si est
habilitada la sincronizacin de sesiones, las sesiones no se sincronizarn si un dispositivo
del clster tiene una versin con caractersticas de PAN-OS diferente.
Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.
Descripcin
Versin
Tamao
Fecha de versin
Descargado
Instalado actualmente
66 Gestin de dispositivos
Descripcin
Accin
Notas de versin
Gestin de dispositivos 67
Puede ver las actualizaciones ms recientes, leer las notas de versin de cada actualizacin y,
a continuacin, seleccionar la actualizacin que desee descargar e instalar. Tambin puede
revertir a una versin de una actualizacin instalada anteriormente.
Si est administrando sus cortafuegos con Panorama y desea programar actualizaciones dinmicas para
uno o varios cortafuegos, consulte Programacin de actualizaciones dinmicas.
68 Gestin de dispositivos
Descripcin
Versin
ltima comprobacin
Programacin
Tipo
Tamao
Fecha de versin
Descargado
Instalado actualmente
Accin
Gestin de dispositivos 69
Descripcin
Notas de versin
Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado
de cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta
de administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:
Para obtener instrucciones sobre cmo configurar cuentas, consulte Creacin de cuentas
administrativas.
Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect.
70 Gestin de dispositivos
Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores.
Gestin de dispositivos 71
Para aadir una funcin de administrador, haga clic en Aadir y especifique la siguiente
informacin.
Descripcin
Nombre
Descripcin
Funcin
API XML
Lnea de comandos
72 Gestin de dispositivos
Para crear un perfil de contrasea, haga clic en Aadir y especifique la siguiente informacin.
Descripcin
Nombre
Perodo necesario
para el cambio de
contrasea (das)
Perodo de
advertencia de
vencimiento (das)
Recuento de inicio
de sesin de
administrador
posterior al
vencimiento
Perodo de gracia
posterior al
vencimiento (das)
Para aplicar un perfil de contrasea a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuacin,
seleccione el perfil en la lista desplegable Perfil de la contrasea.
Gestin de dispositivos 73
Restricciones
Conjunto de caracteres de
contrasea
Cuentas de administrador
locales
Los siguientes son los caracteres permitidos para los nombres de usuario locales:
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Nota: Los nombres de inicio de sesin no pueden empezar por guin (-).
74 Gestin de dispositivos
Tabla 24.
Campo
Descripcin
Nombre
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Nueva contrasea
Confirmar nueva contrasea
Gestin de dispositivos 75
Tabla 24.
Campo
Descripcin
Funcin
Sistema virtual
(Solo para una funcin de
administrador de sistema
virtual del cortafuegos)
Perfil de la contrasea
Haga clic en Aadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.
76 Gestin de dispositivos
Tabla 25.
Campo
Descripcin
Nombre
Sistemas virtuales
Gestin de dispositivos 77
Descripcin
Nombre
Compartido
Tiempo de bloqueo
Intentos fallidos
Lista de permitidas
Autenticacin
78 Gestin de dispositivos
Descripcin
Perfil de servidor
Atributo de inicio
de sesin
Aviso de caducidad
de contrasea
Gestin de dispositivos 79
Descripcin
Nombre de usuario
local
Ubicacin
Modo
Habilitar
Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo
y seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una
poltica desde Polticas > Portal cautivo. Consulte Configuracin del cortafuegos para la
identificacin de usuarios para obtener ms informacin.
80 Gestin de dispositivos
Descripcin
Nombre de grupo de
usuarios local
Ubicacin
Haga clic en Aadir para seleccionar a los usuarios que desee aadir
al grupo.
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Dominio
Tiempo de espera
Reintentos
Obtener grupo de
usuarios
Gestin de dispositivos 81
Descripcin
Servidores
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Servidores
Dominio
Tipo
Base
Enlazar DN
Enlazar contrasea/
Confirmar contrasea
de enlace
SSL
82 Gestin de dispositivos
Descripcin
Lmite de tiempo
Enlazar lmite de
tiempo
Intervalo de reintento
dominio\nombre de usuario
nombreusuario@territorio
nombre de usuario
Gestin de dispositivos 83
Descripcin
Nombre
Ubicacin
nicamente uso de
administrador
Dominio
Especifique la parte del nombre de host del nombre de inicio de sesin del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario usuario@ejemplo.local tiene el
territorio ejemplo.local.
Dominio
Servidores
84 Gestin de dispositivos
Descripcin
Nombre de perfil
Compartido
Tiempo de bloqueo
Intentos fallidos
Lista de perfiles
Descripcin
Nombre
Descripcin
Habilitado
Tipo de log
Hora de inicio
de exportacin
programada (a diario)
Gestin de dispositivos 85
Descripcin
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Contrasea
Descripcin
Panorama
Trap SNMP
86 Gestin de dispositivos
Correo electrnico
Para configurar los destinos de los logs del sistema, consulte Definicin de la
configuracin del log Sistema
Para configurar los destinos de los logs de las coincidencias HIP, consulte Definicin de
la configuracin de log Coincidencias HIP
Para configurar los destinos de los logs de trfico, consulte Reenvo de logs
Descripcin
Panorama
Traps SNMP
Para generar traps SNMP para entradas del log Configuracin, seleccione
el nombre del trap. Para especificar los nuevos destinos de traps SNMP,
consulte Configuracin de destinos de traps SNMP.
Correo electrnico
Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione un perfil de correo electrnico en el men
desplegable. Para crear un nuevo perfil de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.
Syslog
Gestin de dispositivos 87
Descripcin
Panorama
Traps SNMP
Correo electrnico
Syslog
Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP.
Configuracin de servidores Syslog.
Configuracin de ajustes de notificaciones por correo electrnico.
88 Gestin de dispositivos
Descripcin
Panorama
Traps SNMP
Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos
destinos de traps SNMP, consulte Configuracin de destinos de traps
SNMP.
Correo electrnico
Syslog
Descripcin
Habilitar alarmas
Habilitar notificaciones
de alarmas por CLI
Habilitar notificaciones
de alarma web
Habilitar alarmas
audibles
Umbral de fallo de
cifrado/descifrado
Gestin de dispositivos 89
Descripcin
Umbral de alarma de
base de datos de log
(% lleno)
Lmites de poltica de
seguridad
Lmites de grupos de
polticas de seguridad
Auditora selectiva
90 Gestin de dispositivos
Descripcin
Nombre
Compartido
Versin
Gestin de dispositivos 91
Descripcin
Configuracin de V2c
Configuracin de V3
No elimine un destino que se utilice en algn ajuste del log Sistema o algn perfil
de logs.
92 Gestin de dispositivos
MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:
PAN-PRODUCT-MIB
PAN-COMMON-MIB
PAN-TRAPS-MIB
PAN-LC-MIB
Descripcin
Nombre
Compartido
Pestaa Servidores
Nombre
Servidor
Transporte
Gestin de dispositivos 93
Descripcin
Puerto
Formato
Instalaciones
Escape
No puede eliminar un servidor que se utilice en algn ajuste del log Sistema o
Configuracin o algn perfil de logs.
94 Gestin de dispositivos
Significado
marcas de accin
administrador
cliente
cmd
Host
ruta
hora de recepcin
resultado
nmero secuencial
serie
subtipo
hora de generacin
tipo
vsys
Gestin de dispositivos 95
Significado
marcas de accin
id de evento
fmt
mdulo
nmero de gravedad
objeto
opaco
hora de recepcin
nmero secuencial
serie
gravedad
subtipo
hora de generacin
tipo
vsys
96 Gestin de dispositivos
Significado
Accin
marcas de accin
aplicacin
categora
tipo de contenido
direccin
puerto de destino
destino
ubicacin de destino
usuario de destino
marcas
De
entrante si
conjunto de logs
varios
nat de destino
nat de origen
Gestin de dispositivos 97
Significado
nmero de gravedad
saliente si
protocolo
hora de recepcin
recuento de repeticiones
regla
nmero secuencial
serie
id de sesin
gravedad
puerto de origen
origen
ubicacin de origen
usuario de origen
subtipo
Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundacin, Datos y
WildFire.
id de amenaza
hora de generacin
hora de recepcin
Para
tipo
vsys
wildfire
98 Gestin de dispositivos
Significado
Accin
marcas de accin
aplicacin
bytes
bytes recibidos
bytes enviados
categora
puerto de destino
destino
ubicacin de destino
usuario de destino
transcurrido
marcas
De
entrante si
conjunto de logs
nat de destino
nat de origen
saliente si
paquetes
paquetes recibidos
Gestin de dispositivos 99
Significado
paquetes enviados
protocolo
hora de recepcin
recuento de repeticiones
regla
nmero secuencial
serie
Significado
session_end_reason
id de sesin
puerto de origen
origen
ubicacin de origen
usuario de origen
inicio
subtipo
Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.
Significado
hora de generacin
hora de recepcin
Para
tipo
vsys
Significado
marcas de accin
nombre de mquina
nombre de coincidencia
tipo de coincidencia
hora de recepcin
recuento de repeticiones
nmero secuencial
serie
origen
usuario de origen
subtipo
hora de generacin
tipo
vsys
Descripcin
Nombre
Compartido
Pestaa Servidores
Servidor
Mostrar nombre
De
Para
Destinatario adicional
Puerta de enlace
Escape
No puede eliminar un ajuste de correo electrnico que se utilice en algn ajuste del
log Sistema o Configuracin o algn perfil de logs.
Descripcin
Nombre
Tasa de actualizacin de
plantilla
Exportar tipos de
campos especficos de
PAN-OS
Servidores
Nombre
Servidor
Puerto
Uso de certificados
Dispositivo > Gestin de certificados > Certificados
Certificados utilizados para cifrar datos y garantizar la comunicacin en una red.
Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.
Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.
Descripcin
Nombre comn
Ubicacin
Firmado por
Autoridad del
certificado
OCSP responder
Nmero de bits
Resumen
Descripcin
Vencimiento (das)
Descripcin
Eliminar
Revocar
Renovar
Importar
Generar
Consulte generar.
Exportar
Descripcin
Importar clave de HA
Exportar clave de HA
Descripcin
Habilitar
Deshabilitar
Exportar
Haga clic en la casilla de verificacin junto a la CA y, a continuacin, haga clic en Exportar para exportar el certificado de CA.
Puede realizar esta accin para importar el certificado a otro
sistema o si desea verlo fuera de lnea.
Descripcin
Nombre
Ubicacin
Certificados de CA
Utilizar CRL
Utilizar OCSP
Tiempo de espera de
recepcin de CRL
Descripcin
Tiempo de espera de
recepcin de OCSP
Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera
Descripcin
Nombre
Ubicacin
Nombre de host
Descripcin
Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del dispositivo.
Descripcin
Duracin
Tiempo para el
recordatorio
Almacenado en HSM
Criterios comunes
Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuracin activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre s en la configuracin.
En un par de HA, ambos cortafuegos deben tener el mismo modelo, deben ejecutar la
misma versin de PAN-OS y deben tener el mismo conjunto de licencias.
Para cada seccin de la pgina Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la informacin correspondiente descrita en la tabla siguiente.
Descripcin
Pestaa General
Configuracin
Descripcin
Configuracin de
eleccin
Descripcin
N. mximo de flaps: Se cuenta un flap cuando
el cortafuegos deja el estado activo antes de que
transcurran 15 minutos desde la ltima vez que dej
el estado activo. Puede especificar el nmero mximo
de flaps permitidos antes de que se determine
suspender el cortafuegos y que el cortafuegos pasivo
tome el control (rango: 0-16; valor predeterminado:
3). El valor 0 significa que no hay mximo (se necesita
un nmero infinito de flaps antes de que el
cortafuegos pasivo tome el control).
Tiempo de espera para ser preferente: Introduzca el
tiempo que un dispositivo secundario pasivo o activo
esperar antes de tomar el control como dispositivo
activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
Tiempo de espera ascendente tras fallo de
supervisor (ms): Especifique el intervalo durante
el cual el cortafuegos permanecer activo tras un
fallo de supervisor de ruta o supervisor de enlace.
Se recomienda este ajuste para evitar una
conmutacin por error de HA debido a los flaps
ocasionales de los dispositivos vecinos (rango:
0-60.000 ms; valor predeterminado: 0 ms).
Tiempo de espera ascendente principal adicional
(min.): Este intervalo de tiempo se aplica al
mismo evento que Supervisar fallo de tiempo
de espera ascendente (rango: 0-60.000 ms; valor
predeterminado: 500 ms). El intervalo de tiempo
adicional nicamente se aplica al dispositivo activo
en el modo activo/pasivo y al dispositivo principal
activo en el modo activo/activo. Se recomienda este
temporizador para evitar una conmutacin por error
cuando ambos dispositivos experimentan el mismo
fallo de supervisor de enlace/ruta simultneamente.
Descripcin
Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)
Descripcin
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de
peer debido a un fallo del enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico de
los puertos de HA1.
Enlace de datos
(HA2)
Descripcin
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.
Descripcin
Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.
Utilice la supervisin de rutas para configuraciones de Virtual Wire, capa 2
o capa 3 cuando se necesite la supervisin de otros dispositivos de red en
caso de conmutacin por error y la supervisin de enlaces no sea suficiente
por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos
al responder.
Grupo de rutas
Descripcin
Supervisin de
enlaces
Especifique lo siguiente:
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.
Grupos de enlaces
Supervisar fallo de
tiempo de espera
descendente
Descripcin
Interfaz de HA3
Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione Dispositivo >
Configuracin < Sesin y la opcin Habilitar trama gigante en la
seccin Configuracin de sesin.
Sincronizacin de VR
Sincronizacin
de QoS
Tiempo de espera de
tentativa (seg.)
Configuracin de
sesin
Descripcin
Direccin virtual
Comandos de operacin
Suspender
dispositivo local
Cambia a Make local
device functional
La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.
Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del par se
sincronicen.
Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.
En una configuracin activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutacin por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisin hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisin en el dispositivo vecino, este ver el puerto como flap debido a su desactivacin
y posterior activacin. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de 1
gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisin, por lo que el dispositivo
vecino no detecta ningn flap.
HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.
Las funciones de red que incluyen rutas dinmicas y estticas pertenecen a todo el cortafuegos
(y a todos los sistemas virtuales en l); las funciones de nivel de red y de dispositivo no las
controlan los sistemas virtuales. Para cada sistema virtual puede especificar un conjunto
de interfaces de cortafuegos fsicas y lgicas (incluidas VLAN y Virtual Wire) y zonas de
seguridad. Si necesita segmentacin de rutas para cada sistema virtual, debe crear/asignar
enrutadores virtuales adicionales y asignar interfaces, VLAN, Virtual Wire, segn corresponda. De forma predeterminada, todas las interfaces, zonas y polticas pertenecen al sistema
virtual predeterminado (vsys1).
Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas virtuales. Los cortafuegos
de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia
adecuada. Los cortafuegos PA-500 y PA-200 no admiten sistemas virtuales.
Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente:
Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.
Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.
Antes de definir los sistemas virtuales, debe habilitar la funcin para admitir varios sistemas
virtuales en el cortafuegos.
Para habilitar la funcin de varios sistemas virtuales, en la pgina Dispositivo > Configuracin > Gestin, haga clic en el enlace Editar de la seccin Configuracin general y seleccione la casilla de verificacin Capacidad de cortafuegos virtuales. Esto aadir el enlace
Sistemas virtuales al men lateral.
Ahora podr abrir la pestaa Sistemas virtuales, hacer clic en Aadir y especificar la
informacin siguiente.
Descripcin
ID
Nombre
Pestaa General
Pestaa Recurso
Descripcin
ID
Nombre
Proxy DNS
Interfaces
Descripcin
Ayuda de portal de
GlobalProtect Pgina
Pgina de bienvenida de
GlobalProtect
Pgina de notificacin de
errores de certificado SSL
Pgina de exclusin de
descifrado de SSL
Descripcin
Pgina de continuacin y
cancelacin de filtrado
de URL
Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.
Pgina de bloqueo de
aplicacin de bsqueda
segura de filtro de URL
Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del
tipo de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar.
Explore para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se
ha realizado con xito. Para que la importacin tenga xito, el archivo debe estar en
formato HTML.
Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.
Asistencia tcnica: Utilice esta seccin para ver la informacin de contacto de la asistencia
tcnica de Palo Alto Networks, el estado de la asistencia tcnica del dispositivo o activar
su contrato usando un cdigo de autorizacin.
Captulo 4
Configuracin de red
Compatibilidad de VLAN
Proxy DNS
Descripcin
Interfaces
Descripcin
Tags permitidos
Cortafuegos de
multicast
Descripcin
Nombre de interfaz
Tipo de interfaz
Capa 2
Capa 3
Puntear
Virtual Wire
Tarjeta de log (solo cortafuegos PA-7050)
Reflejo de descifrado (solo cortafuegos de las series PA-7050, PA-5000
y PA-3000)
Agregar Ethernet
Comentarios
Para configurar otras las pestaas de configuracin para una interfaz Ethernet, consulte lo
siguiente:
Descripcin
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Para permitir el intercambio entre las interfaces de la capa 2 o permitir
el enrutamiento a travs de una interfaz de VLAN, debe configurar un
objeto VLAN.
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Configuracin (necesaria)
Avanzado (necesaria)
IPv4 (optativa)
IPv6 (optativa)
Descripcin
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Otra informacin
Descripcin
Entradas ARP/Interfaz
Entradas de ND
Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
PPPoE: el cortafuegos utilizar la interfaz para el protocolo punto a
punto sobre Ethernet (PPPoE).
Cliente DHCP: permite a la interfaz actual como cliente del protocolo
de configuracin de host dinmico (DHCP) y recibir una direccin IP
dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente PPPoE o DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.
Esttico
IP (tabla de direccin)
Descripcin
PPPoE
General (pestaa
secundaria)
Avanzada (pestaa
secundaria)
Cliente DHCP
Habilitar
Descripcin
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Mtrica de ruta
predeterminada
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Descripcin
Habilitar IPv6 en la
interfaz
ID de interfaz
Descripcin
Direccin
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la interfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual
o superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Intentos DAD
Tiempo alcanzable
Intervalo NS (intervalo
de solicitacin de
vecinos)
Descripcin
Mn. de intervalo
(segundos)
Mx. de intervalo
(segundos)
Lmite de salto
MTU de enlace
Tiempo de retransmisin
(ms)
Duracin de enrutador
(segundos)
Descripcin
Preferencia de enrutador
Configuracin
gestionada
Otras configuraciones
Comprobacin de
coherencia
Descripcin
Nombre de interfaz
Etiqueta
Comentarios
Para configurar otras pestaas para una interfaz Ethernet, consulte lo siguiente:
Para configurar una subinterfaz Ethernet de capa 2, establezca los ajustes de la Ethernet bsica
(consulte Configuracin de una subinterfaz Ethernet) y la siguiente informacin adicional.
Descripcin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona Ninguno,
se elimina la asignacin actual de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a
travs de una interfaz de VLAN, debe configurar un objeto VLAN.
Zona de seguridad
Sistema virtual
Configuracin (necesaria)
Avanzado (necesaria)
IPv4 (optativa)
IPv6 (optativa)
Descripcin
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Entradas de ARP
Entradas de ND
Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
Cliente DHCP: permite a la subinterfaz actual como cliente del protocolo de configuracin de host dinmico (DHCP) y recibir una direccin
IP dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.
Esttico
IP (tabla de direccin)
Cliente DHCP
Habilitar
Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor
Mtrica de ruta
predeterminada
Mostrar informacin de
tiempo de ejecucin de
cliente DHCP
Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).
Descripcin
Habilitar IPv6 en la
interfaz
ID de interfaz
Descripcin
Direccin
Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la subinterfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la subinterfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual o
superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.
Intentos DAD
Tiempo alcanzable
Intervalo NS (intervalo
de solicitacin de
vecinos)
Descripcin
Mn. de intervalo
(segundos)
Mx. de intervalo
(segundos)
Lmite de salto
MTU de enlace
Tiempo de retransmisin
(ms)
Duracin de enrutador
(segundos)
Descripcin
Preferencia de enrutador
Configuracin
gestionada
Otras configuraciones
Comprobacin de
coherencia
Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.
2.
Descripcin
Pestaa Configuracin
Virtual Wire
Sistema virtual
Zona de seguridad
Descripcin
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
Nombre de interfaz
Etiqueta
Comentarios
Descripcin
Clasificador IP
Haga clic en Aadir para aadir una direccin IP, subred, intervalo IP o
cualquier combinacin de clasificadores IP. Esto permitir clasificar el
trfico entrante en el cortafuegos mediante este puerto fsico en esta
subinterfaz en funcin de su direccin IP de origen. El trfico de ruta de
retorno entrante en cortafuegos por el otro extremo del cable virtual
asociado se comparar con su direccin de destino.
En una subinterfaz de cable virtual (Virtual Wire), la clasificacin IP solo
se puede utilizar en combinacin con una clasificacin basada en VLAN.
Asignar interfaz a
Zona de seguridad
Sistema virtual
Virtual Wire
Descripcin
Pestaa Configuracin
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
IPv6
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
Velocidad de enlace
Dplex de enlace
Estado de enlace
Los grupos de agregacin admiten HA, cable virtual, interfaces de capa 2 o capa 3.
En un grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto
durante la operacin de compilacin.
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Configurar
Asignar interfaz a
Sistema virtual
Descripcin
LACP
Esta seccin solo se aplica a las interfaces HA (solo HA3), de capa 2 y capa 3.
Habilitar LACP
Modo
Velocidad de
transmisin
Conmutacin rpida
Puertos mx.
Descripcin
Direccin MAC
Descripcin
Tipo de interfaz
Agregar grupo
Comentarios
Pestaa Avanzada
Nota: Si activa el LACP para el grupo de agregacin, se recomienda establecer la misma velocidad de enlace y
valores duplicados para cada interfaz del grupo. Para los valores que no coinciden, la operacin de compilacin
muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad ms alta y dplex completo.
Velocidad de enlace
Dplex de enlace
Estado de enlace
Prioridad de puerto
LACP
Descripcin
Nombre de interfaz
Tipo de interfaz
Comentarios
Pestaa Avanzada
Velocidad de enlace
Dplex de enlace
Estado de enlace
Descripcin
Nombre de interfaz
Comentarios
Pestaa Configuracin
VLAN
Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Otra informacin
Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuracin est destinada a aquellas situaciones en las
que un tnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parmetro permite
ajustarlo.
Entradas ARP/Interfaz
Entradas de ND
Descripcin
Pestaa IPv4
Esttico
Cliente DHCP
Entradas de ARP
Descripcin
Pestaa IPv6
Habilitar IPv6 en la
interfaz
ID de interfaz
Descripcin
Direccin
Resolucin de direccin
(Duplicar deteccin de
direccin)
Habilitar anuncio de
enrutador
Descripcin
Habilitar anuncio
de enrutador
(Continuacin)
Descripcin
Nombre de interfaz
Comentarios
Pestaa Configuracin
Enrutador virtual
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Otra informacin
Descripcin
Direccin IP
Descripcin
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Descripcin
Nombre de interfaz
Comentarios
Pestaa Configuracin
Enrutador virtual
Descripcin
Sistema virtual
Zona de seguridad
Pestaa Avanzada
Otra informacin
Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
El cortafuegos considera de forma automtica la sobrecarga del tnel al ejecutar
la fragmentacin de IP y tambin ajusta el tamao mximo del segmento (MSS)
segn sea necesario.
Descripcin
Direccin IP
Descripcin
Habilitar IPv6 en la
interfaz
ID de interfaz
Direccin
Descripcin
Nombre
Interfaces
Distancias
administrativas
Descripcin
Nombre
IP Destino
Interfaz
Descripcin
Especifique los siguientes ajustes de salto:
Ninguno: Seleccione esta opcin si no existe el siguiente salto en la ruta.
Direccin IP: Especifique la direccin IP del siguiente enrutador de salto.
Descartar: Seleccione esta opcin si desea descartare l trfico que se
dirige a este destino.
Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opcin permite configurar rutas internamente
entre enrutadores virtuales en un nico cortafuegos.
Distancia administrativa
Mtrica
No instalar
Descripcin
Nombre
Prioridad
Redistribuir
Descripcin
Interfaz
IP Destino
Siguiente salto
rea
Etiqueta
Comunidad extendida
Descripcin
Habilitar
Tabla 90.
Campo
Descripcin
Interfaces
Interfaz
Habilitar
Anunciar
Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.
Mtrica
Perfil de autenticacin
Seleccione el perfil.
Modo
Descripcin
Temporizadores
Segundos del intervalo
(seg)
Intervalo de
actualizaciones
Intervalos de
vencimiento
Intervalo de eliminacin
Descripcin
Perfiles de autenticacin
Nombre de perfil
Tipo de contrasea
Descripcin
Reglas de exportacin
Reglas de exportacin
(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y
la accin, en funcin del comportamiento de red deseado. Consulte
Configuracin de la pestaa Perfiles de redistribucin.
Descripcin
Habilitar
ID del enrutador
Descripcin
reas
ID de rea
Descripcin
Seleccione una de las siguientes opciones.
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que
no sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen
si desea aceptar este tipo de LSA. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del rea de cdigo auxiliar, junto con el valor
mtrico asociado (1-255). Tambin puede seleccionar el tipo de ruta que
se utilizar para anunciar el LSA predefinido. Haga clic en Aadir en la
seccin Intervalos externos e introduzca los intervalos si desea activar o
suprimir rutas externas de anuncios que se obtienen mediante NSSA a
otras reas.
Intervalo
Descripcin
Interfaz
Descripcin
Interfaz (Continuacin)
Enlace virtual
Descripcin
Perfiles de autenticacin
Nombre de perfil
Descripcin
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.
Descripcin
Reglas de exportacin
Permitir redistribucin
de ruta predeterminada
Nombre
Nueva etiqueta
Mtrica
Descripcin
Avanzado
Compatibilidad RFC
1583
Descripcin
Temporizadores
Reinicio correcto
Descripcin
Habilitar
ID del enrutador
Descripcin
Autenticacin
Tipo
Intervalo
Haga clic en Aadir para que la subred aada direcciones IPv6 de destino
LSA en el rea. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.
Descripcin
Interfaz
Descripcin
Interfaz (Continuacin)
Enlaces virtuales
Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del rea troncal. Los ajustes se deben definir para enrutadores de
borde de rea y se deben definir en el rea troncal (0.0.0.0). Haga clic en
Aadir e introduzca la siguiente informacin en enlace virtual que se
incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Descripcin
Perfiles de autenticacin
Nombre de perfil
SPI
Protocolo
Algoritmo criptogrfico
Clave/Confirmar clave
Cifrado
Clave/Confirmar clave
Descripcin
Reglas de exportacin
Permitir redistribucin
de ruta predeterminada
Nombre
Nueva etiqueta
Mtrica
Descripcin
Avanzado
Deshabilitar enrutamiento de trnsito para
el clculo de SPF
Temporizadores
Descripcin
Reinicio correcto
Descripcin
Habilitar
ID del enrutador
Nmero AS
Pestaa Grupo del peer: Consulte Configuracin de la pestaa Grupo del peer.
Descripcin
Pestaa General
Rechazar ruta por
defecto
Instalar ruta
Agregar MED
Preferencia local
predeterminada
Formato AS
Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).
Perfiles de autenticacin
Descripcin
Pestaa Avanzada
Reinicio correcto
ID de clster reflector
AS de miembro de
confederacin
Perfiles de amortiguacin
Descripcin
Habilitar
Agregar ruta AS
confederada
Restablecimiento parcial
con informacin
almacenada
Tipo
Descripcin
Peer
Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin
IP local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin: Especifique un intervalo despus del cual las rutas de un peer se supriman
segn el parmetro de tiempo de espera (intervalo 0-1200 segundos;
opcin predeterminada: 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predeterminada:
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexin del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
Tiempo de espera de inactividad: Especifique el tiempo de espera
en estado de inactividad antes de volver a intentar la conexin
con el peer (intervalo 1-3600 segundos; opcin predeterminada:
15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Conexiones entrantes/Conexiones salientes: Especifique los nmeros
de puertos entrantes y salientes y seleccione la casilla de verificacin
Permitir para permitir el trfico desde o hacia estos puertos.
Descripcin
Descripcin
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente
si la accin es Permitir.
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
nicamente si la accin es Permitir.
Amortiguacin: Especifique un parmetro de amortiguacin, nicamente
si la accin es Permitir.Haga clic en el icono
para eliminar un grupo.
Haga clic en Duplicar para aadir un nuevo grupo con los mismos ajustes
que el grupo seleccionado. Se aade un sufijo al nombre del nuevo grupo
para distinguirlo del original.
Descripcin
Pestaa Anuncio
condicional
Poltica
Habilitar
Utilizado por
Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.
Descripcin
Pestaa secundaria
Filtros no existentes
Pestaa secundaria
Anunciar filtros
Descripcin
Pestaa Agregado
Nombre
Suprimir filtros
Defina los atributos que harn que las rutas coincidentes se supriman.
Anunciar filtros
Defina los atributos para los filtros anunciados que asegurarn que
cualquier enrutador que coincida con el filtro definido se publicar en
los peers.
Agregar atributos
de ruta
Defina los atributos que se utilizarn para hacer coincidir las rutas que
se agregarn.
Descripcin
Permitir redistribucin
de ruta predeterminada
Reglas de redistr.
Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla
se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
Haga clic en el icono
Descripcin
Habilitar
Descripcin
Punto de encuentro
remoto
Descripcin
Descripcin
Interfaz
Permisos de grupos
IGMP
Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando
se comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes
del grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.
Descripcin
Configuracin PIM
Descripcin
Descripcin
Descripcin
Nombre
Ubicacin
Tipo
Perfiles de proteccin
de zonas
Descripcin
Ajuste de log
Habilitar identificacin
de usuarios
ACL de identificacin
de usuarios
Lista de permitidos
ACL de identificacin
de usuarios
Lista de excluidos
Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN.
Descripcin
Nombre
Interfaz de VLAN
Interfaces
Configuracin de MAC
esttica
Descripcin
Seleccione la interfaz del cortafuegos para que acte como servidor DHCP.
Modo
Hacer ping a la IP al
asignar IP nuevas
Concesin
Origen de herencia
Puerta de enlace
Subred de Ippool
DNS principal
DNS secundario
WINS principal
WINS secundario
Descripcin
NIS principal
NIS secundario
NTP principal
NTP secundario
Servidor POP3
Servidor SMTP
Sufijo DNS
Grupos de IP
Direccin reservada
IPv4
IPv6
Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de
los resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.
Descripcin
Nombre
Habilitar
Origen de herencia
Principal
Secundario
Comprobar origen
de herencia
Interfaz
Descripcin
Entradas estticas
Avanzado
Descripcin
Avanzado
(Continuacin)
Descripcin
Nombre
Ping
Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Pginas de respuesta
Servicio de ID de
usuario
Direcciones IP
permitidas
Tabla 122.
Configuracin de supervisin
Campo
Descripcin
Nombre
Accin
Intervalo
Umbral
Para configurar un perfil Proteccin de zona, haga clic en Aadir y especifique los siguientes
ajustes:
Descripcin
Nombre
Descripcin
Cuando se define un perfil Proteccin de zona, debe configurar los ajustes en la pestaa
General y en cualquiera de las siguientes pestaas, segn sea necesario segn su topologa
de red:
Descripcin
Alerta (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Descripcin
Alerta (paquetes/seg.)
Mximo (paquetes/seg.)
Activar (paquetes/seg.)
Mximo (paquetes/seg.)
Descripcin
Umbral (eventos)
Accin
Descripcin
Direccin compatible
de IPv4
Direccin de origen de
multicast
Direccin de fuente de
difusin por proximidad
Descripcin
Trfico fragmentado
Segmento TCP
superpuesto no
coincidente
Este ajuste har que el cortafuegos informe sobre una falta de coincidencia
de superposicin y coloque el paquete cuando los datos de segmento no
coincidan en estas situaciones:
El segmento est dentro de otro segmento.
El segmento est superpuesto a parte de otro segmento.
El segmento cubre otro segmento.
Este mecanismo de proteccin utiliza nmeros de secuencia para
determinar el lugar donde residen los paquetes dentro del flujo de
datos TCP.
Eliminar marca de
tiempo de TCP
Descripcin
Ruta asimtrica
Descartar opciones IP
Enrutamiento de fuente
estricto
Enrutamiento de origen
no estricto
Marca de tiempo
Ruta de log
Seguridad
ID de secuencia
Desconocido
Forma incorrecta
Descripcin
Fragmento de ICMP
Paquete de ICMP de
gran tamao (>1024)
Suprimir fragmento de
ICMP necesario
Descripcin
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad
Tiempo superado de
ICMPv6: requiere
coincidencia explcita
de regla de seguridad
Problema de parmetro
de ICMPv6: requiere
coincidencia explcita
de regla de seguridad
Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad
Descripcin
Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explcita
Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad
Tiempo superado de
ICMPv6: requiere
coincidencia explcita
de regla de seguridad
Problema de parmetro
de ICMPv6: requiere
coincidencia explcita
de regla de seguridad
Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad
Captulo 5
Tipos de polticas
Perfiles de seguridad
Tipos de polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:
Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en
la aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Definicin de polticas de seguridad.
Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Definicin de
polticas DoS.
Las polticas compartidas introducidas en Panorama se muestran en color verde
en las pginas de la interfaz web del cortafuegos y no se pueden editar a nivel de
dispositivo.
Las reglas predeterminadas que indican al cortafuegos cmo gestionar el trfico que no
coincida con ninguna otra regla en la base de reglas se muestran en la parte inferior de la
base de reglas de seguridad. Estas reglas se predefinen en el cortafuegos para permitir
todo el trfico de intrazona y denegar todo el trfico de interzona. Como son parte de
la configuracin predefinida, debe cancelarlas con el fin de editar la configuracin de
polticas seleccionada. Si usa Panorama, tambin puede cancelar las reglas predeterminadas y, a continuacin, enviarlas a los cortafuegos de un grupo de dispositivos o
contexto compartido. Tambin puede revertir las reglas predeterminadas, lo que
restaura la configuracin predefinida o la configuracin enviada a Panorama.
Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.
Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea nico.
El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.
Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.
Regla en uso
Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.
En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.
Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros
Resultados de filtros
2.
Haga clic en el men desplegable situado encima de la tabla Usuario de origen para
seleccionar el tipo de usuario:
Cualquiera: Incluye todo el trfico independientemente de los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesin en su sistema. Cuando se configura la
opcin Anterior al inicio de sesin en el portal de clientes de GlobalProtect, cualquier
usuario que no est registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas polticas para
usuarios anteriores al inicio de sesin y, aunque el usuario no haya iniciado sesin
directamente, sus equipos estarn autenticados en el dominio como si hubieran
iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP
con datos de usuario asignados. Esta opcin es equivalente al grupo usuarios del
dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP
que no estn asignadas a un usuario. Por ejemplo, podra usar desconocido para
acceso de invitados a alguna parte porque tendrn una IP en su red, pero no se
autenticarn en el dominio y no tendrn ninguna IP en la informacin de asignacin
de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede
que quiera aadir a un usuario, una lista de individuos, algunos grupos o aadir
usuarios manualmente.
3.
4.
5.
Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.
Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se
evalan en primer lugar. Puede utilizar las reglas previas para aplicar la poltica de uso
aceptable para una organizacin; por ejemplo, para bloquear el acceso a categoras de
URL especficas o permitir el trfico DNS a todos los usuarios.
Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan
despus de las reglas previas y de las reglas definidas localmente en el dispositivo. Las
reglas posteriores suelen incluir reglas para impedir el acceso al trfico basado en App-ID,
ID de usuario o servicio.
Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los
dispositivos gestionados. En cada base de reglas, la jerarqua de las mismas se marca
visualmente para cada grupo de dispositivos (y dispositivo gestionado), lo que permite
revisarlas entre un gran nmero de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente,
elimine o deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un
fondo de puntos amarillos. Cada dispositivo mantiene una marca para las reglas que tienen
una coincidencia. Panorama supervisa cada dispositivo, obtiene y agrega la lista de reglas sin
coincidencia. Dado que la marca se restablece cuando se produce un restablecimiento del
plano de datos al reiniciar, la prctica recomendada es supervisar esta lista peridicamente
para determinar si la regla ha tenido una coincidencia desde la ltima comprobacin antes de
eliminarla o deshabilitarla.
Para crear polticas, consulte la seccin relevante de cada base de reglas.
Polticas de descifrado
Pestaa General
Pestaa Origen
Pestaa Usuario
Pestaa Destino
Pestaa Aplicacin
Pestaa Acciones
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
seguridad. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.
Descripcin
Nombre
Tipo de regla
Descripcin
Etiqueta
Descripcin
Otros ajustes
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica.
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Direccin de origen
Pestaa Usuario
Utilice la pestaa Usuario para hacer que la poltica realice las acciones definidas basndose en un
usuario individual o un grupo de usuarios. Si est usando GlobalProtect con Perfil de informacin del
host (HIP) habilitado, tambin puede basar la poltica en informacin recopilada por GlobalProtect.
Por ejemplo, el nivel de acceso del usuario puede estar determinado por un perfil de informacin del
host (HIP) que informe al cortafuegos acerca de la configuracin local del usuario. La informacin
HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en
ejecucin en el host, los valores de registro y muchas ms comprobaciones si el host tiene instalado
software antivirus.
Descripcin
Usuario de origen
Perfiles HIP
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Nota: En las reglas de intrazona, no puede definir una zona de destino
porque estos tipos de reglas solo pueden hacer coincidir trfico con un
origen y un destino dentro de la misma zona. Para especificar las zonas
que coincidan con una regla de intrazona, solo necesita establecer la zona
de origen.
Direccin de destino
Pestaa Aplicacin
Use la pestaa Aplicacin para que la accin de la poltica se produzca basndose en una
aplicacin o grupo de aplicaciones. Un administrador tambin puede usar una firma de
identificacin de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de
propiedad reservada o para detectar atributos especficos de una aplicacin existente.
Las aplicaciones personalizadas se definen en Objetos > Aplicaciones.
Descripcin
Aplicacin
Descripcin
Servicio
Categora de URL
Pestaa Acciones
Use la pestaa Acciones para determinar la accin que se llevar a cabo con el trfico que
coincida con los atributos de poltica definidos.
Descripcin
Configuracin de accin
Ajuste de perfil
Descripcin
Ajuste de log
Otros ajustes
Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad
se basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:
IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT que
las admitidas por el nmero de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050,
PA-5060 y PA-7050 cuando las direcciones IP de destino son exclusivas.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a las
direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
El puerto de
destino es el
mismo
El puerto
de destino
puede
cambiar
Tipo de
asignacin
IP dinmica/
puerto
No
No
Muchas a 1
MaN
No
MaN
Hasta 32.000
direcciones
consecutivas
No
1a1
Ilimitado
IP dinmica
IP esttica
MaN
MIP
Opcional
1 a muchas
PAT VIP
Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.
NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6
e IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4
acceder a servidores IPv6. Existen tres mecanismos principales de transicin definidos por
IETF: pila doble, tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere
comunicacin, debe utilizar la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga
de una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin
NAT.
Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4
pueda asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una direccin IPv4 a una
direccin IPv6.
Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.
Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada
En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que
sigue al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin
IPv6 de destino en la regla se utilizara para extraer la direccin IPv4. La traduccin de origen
necesita tener un puerto e IP dinmicas para implementar Stateful NAT64. La direccin
IPv4 definida como origen se configura de la misma forma que una traduccin de destino
NAT44. El campo de traduccin de destino no est definido. Sin embargo, debe realizarse
una traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete.
Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en
cuenta que en un prefijo /96, est en los ltimos 4 octetos, pero la ubicacin de la direccin
IPv4 sera diferente si el prefijo no es /96.
Servidor DNS64
Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable
No fiable
Internet IPv4
Host IPv6
Tabla 138.
IP de origen
IP de destino
Traduccin de origen
Traduccin de destino
Cualquier
direccin
IPv6
IP dinmica y modo de
puerto (usar direcciones
IPv4)
Ninguno
(Extrada de las direcciones
IPv6 de destino)
Servidor IPv6
Servidor DNS
Cortafuegos
Puerta de enlace NAT64
Internet IPv4
Red IPv6
No fiable
Fiable
Host IPv4
IP de destino
Traduccin de origen
Traduccin de destino
Cualquier
direccin IPv4
Direccin IPv4
Modo de IP esttica
El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems
de /128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que
el trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.
IP de
origen
Cualquier
direccin
IPv6
IP de destino
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.
Modo de IP
dinmica y
puerto.
Modo de IP
esttica.
Internet IPv4
a una red
IPv6
Cualquier
direccin
IPv4
Direccin IPv4
simple
Internet IPv6
a una red
IPv4
Cualquier
direccin
IPv6
Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.
Red IPv4
a Internet
IPv6
No admitida actualmente
Traduccin
de origen
Traduccin de destino
Ninguno
(extrada de direcciones
IPv6 de destino)
Usar direccin
IPv4 pblica
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguno
(extrada de direcciones
IPv6 de destino)
Escenario
Red IPv4 a
red IPv6
Red IPv6 a
red IPv4
IP de destino
Traduccin
de origen
Cualquier
direccin
IPv4
Direccin IPv4
simple
Modo de IP
esttica.
Cualquier
direccin
IPv6
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.
Traduccin de destino
Direccin IPv6 simple
Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada
Ninguno
(extrada de direcciones
IPv6 de destino)
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignacin
No
No
Muchas a 1
MaN
S
No
MaN
El puerto de
destino es el
mismo
El puerto
de destino puede
cambiar
Tipo de
asignacin
IP esttica
No
1a1
Ilimitado
MaN
MIP
Opcional
1 a muchas
PAT VIP
Pestaa General
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica NAT.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Descripcin
Nombre
Descripcin
Etiqueta
Tipo de NAT
Descripcin
Zona de origen
Zona de destino
Interfaz de destino
Descripcin
Servicio
Direccin de origen
Direccin de destino
Descripcin
Traduccin de direccin
de origen
Introduzca una direccin o un intervalo de direcciones IP (direccin1direccin2) a la que se traduce la direccin de origen, y seleccione
un grupo de direcciones dinmicas o estticas. El tamao del
intervalo de direcciones est limitado por el tipo del grupo de
direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un
hash de la direccin de IP de origen. Para una direccin de IP de
origen, el cortafuegos utilizar la misma direccin de origen
traducida para todas las sesiones. IP dinmica y NAT de puerto
origen admite aproximadamente 64.000 sesiones simultneas en
cada direccin IP en el grupo NAT. En algunas plataformas, se
permite un exceso de suscripciones, lo que permite a una nica IP
albergar ms de 64.000 sesiones simultneas.
IP dinmica/NAT de puerto de Palo Alto Networks admite
ms sesiones NAT que las admitidas por el nmero de direcciones
y puertos IP disponibles. El cortafuegos puede utilizar direcciones
IP y combinaciones de puertos hasta dos veces (de forma simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro
veces en PA-4020 y PA-5020, y ocho veces en dispositivos
PA-4050, PA-4060, PA-5050 y PA-5060 cuando las direcciones
IP de destino son exclusivas.
IP dinmica: Se utiliza la siguiente direccin disponible en el
intervalo especificado, pero el nmero de puerto no se cambia.
Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de
direcciones IP dinmicas puede contener varias subredes, por lo
que podr traducir sus direcciones de red internas a dos o ms
subredes pblicas diferentes.
Avanzado (traduccin de IP dinmica de reserva):
Utilice esta opcin para crear un grupo de reserva que
ejecutar la traduccin de IP y puerto, y que se utilizar si el
grupo primario agota sus direcciones. Puede definir las direcciones del grupo utilizando la opcin Direccin traducida o
Direccin de interfaz, para interfaces que reciben una direccin
IP dinmica. Si crea un grupo de reserva, asegrese de que las
direcciones no se solapan con las direcciones del grupo primario.
IP esttica: Se utiliza la misma direccin y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traduccin es 10.0.0.1-10.0.0.10, la
direccin 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
direccin es casi ilimitado.
Ninguna: La traduccin no se ejecuta.
Traduccin de direccin
de destino
Pestaa General
Pestaa Origen
Pestaa Destino/aplicacin/servicio
Pestaa Reenvo
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica PBF.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para especificar
la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar o
filtrar polticas. Es til cuando ha definido muchas polticas y desea revisar las que
estn etiquetadas con una palabra clave especfica. Por ejemplo, tal vez quiera
etiquetar determinadas polticas de seguridad con Entrante en DMZ, polticas de
descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos especfico para polticas asociadas con esa ubicacin.
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de reenvo.
Campo
Descripcin
Zona de origen
Direccin de origen
Usuario de origen
Pestaa Destino/aplicacin/servicio
Use la pestaa Destino/aplicacin/servicio para definir la configuracin de destino que se
aplicar al trfico que coincida con la regla de reenvo.
Campo
Descripcin
Direccin de destino
Aplicacin
Pestaa Reenvo
Use la pestaa Reenvo para definir la accin y la informacin de red que se aplicar al trfico
que coincida con la poltica de reenvo. El trfico se puede reenviar a una direccin IP de
siguiente salto, un sistema virtual o bien se puede interrumpir el trfico.
Campo
Descripcin
Direccin de destino
Aplicacin
Accin
Campo
Descripcin
Programacin
Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones.
Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y
seguridad granular. Las polticas de descifrado se pueden aplicar a una capa de sockets
seguros (SSL) y a trfico Secure Shell (SSH). El descifrado SSH se puede utilizar para descifrar
el trfico SSH entrante y saliente para asegurar que los protocolos no se estn utilizando para
tneles de aplicaciones y contenido no permitido.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no.
El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL y Bloqueo de archivos al trfico SSL descifrado antes
de volverse a cifrar a medida que el trfico sale del dispositivo. Puede aplicar perfiles de
descifrado a sus polticas con objeto de bloquear y controlar diferentes aspectos del trfico.
Para obtener ms informacin, consulte Perfiles de descifrado. Con el descifrado activado,
la seguridad de punto a punto entre clientes y servidores se mantiene, y el cortafuegos acta
como un agente externo de confianza durante la conexin. Ningn tipo de trfico descifrado
sale del dispositivo.
Las polticas de descifrado pueden ser tan generales o especficas como sea necesario.
Las reglas de las polticas se comparan con el trfico en secuencias, por lo que las reglas
ms especficas deben preceder a las reglas ms generales. Para mover una regla a la parte
superior de las polticas y que tenga preferencia, seleccinela y haga clic en Mover hacia
arriba. Una poltica que excluya el trfico del descifrado (con la accin No hay ningn
descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificacin de confianza del cortafuegos. Para configurar este
certificado, cree uno en la pgina Dispositivo > Gestin de certificados > Certificados y, a
continuacin, haga clic en el nombre del certificado y active la casilla Reenviar certificado
fiable. Consulte Gestin de certificados de dispositivos.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para evitarlo,
PAN-OS no descifrar el trfico SSL de estas aplicaciones y los ajustes de reglas de
cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el artculo de ayuda ubicado en
https://live.paloaltonetworks.com/docs/DOC-1423.
Pestaa General
Pestaa Origen
Pestaa Destino
URL/servicio
Pestaa Opciones
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
descifrado. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de descifrado.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Campo
Descripcin
Direccin de origen
Usuario de origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Campo
Descripcin
Direccin de destino
URL/servicio
Use la pestaa Categora de URL para aplicar la poltica de descifrado a cualquier categora
de URL, o bien especifique una lista de categoras de URL a las que se aplicar la poltica.
Campo
Descripcin
Pestaa Categora
de URL
Pestaa Opciones
Use la pestaa Opciones para determinar si el trfico coincidente debera descifrarse o no.
Si se ha definido Descifrar, especifique el tipo de descifrado. Tambin puede aadir funciones
de descifrado adicionales configurando o seleccionando un perfil de descifrado.
Campo
Descripcin
Accin
Tipo
Perfil de descifrado
2.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Protocolo/Aplicacin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
application override. Tambin puede configurar una pestaa para que le permita ordenar o
filtrar polticas cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de application override.
Campo
Descripcin
Zona de origen
Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de origen
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Campo
Descripcin
Zona de destino
Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Direccin de destino
Pestaa Protocolo/Aplicacin
Use la pestaa Protocolo/Aplicacin para definir el protocolo (TCP o UDP), puerto y
aplicacin que definen con mayor exactitud los atributos de la aplicacin para que coincida
con la poltica.
Campo
Descripcin
Protocolo
Puerto
Aplicacin
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Accin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de portal
cautivo. Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas
cuando estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de portal cautivo.
Campo
IP Origen
Descripcin
Especifique la siguiente informacin:
Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Campo
IP Destino
Descripcin
Especifique la siguiente informacin:
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para
especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica del portal cautivo desde las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.
Campo
Descripcin
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Los servicios seleccionados se
permiten o deniegan nicamente segn los puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios.
Campo
Categora de URL
Descripcin
Seleccione las categoras URL de la regla de portal cautivo.
Seleccione Cualquiera para aplicar las acciones especificadas en la
pestaa Servicio/Accin con independencia de la categora de URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas para obtener ms informacin sobre cmo definir
categoras personalizadas.
Pestaa Accin
Use la pestaa Acciones para determinar si el usuario ver un formato web, un cuadro de
dilogo de reto de explorador o si no se producir ningn desafo de portal cautivo.
Campo
Descripcin
Configuracin de accin
Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica DoS.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.
Campo
Descripcin
Nombre
Descripcin
Etiqueta
Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica DoS.
Campo
IP Origen
Descripcin
Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la poltica
DoS desde las direcciones de origen especficas. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas. Haga clic en Aadir para especificar varias direcciones.
Especifique el parmetro Usuario de origen que se aplicar a la
poltica DoS para el trfico procedente de los usuarios especficos.
Los siguientes tipos de usuarios de origen son compatibles:
Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.
Campo
IP Destino
Descripcin
Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica DoS para el trfico a las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
varias direcciones.
Pestaa Opcin/Proteccin
Use la pestaa Opcin/Proteccin para configurar opciones adicionales de la poltica DoS,
como el tipo de servicio (http o https) o la accin que se realizar y decidir si se activar un
reenvo de log para el trfico coincidente. Tambin puede definir una programacin que
determine cundo estar activa la poltica y seleccionar un perfil DoS agregado o clasificado
que defina ms atributos para la proteccin DoS.
Campo
Descripcin
Servicio
Accin
Programacin
Reenvo de logs
Agregado
Perfiles de seguridad
Campo
Descripcin
Clasificado
Perfiles de seguridad
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de antispyware y vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir excepciones de
amenazas directamente desde la lista Supervisar > Logs > Amenazas. Las excepciones de
amenazas se suelen configurar cuando se producen falsos positivos. En este caso, puede
definir una excepcin para una amenaza hasta que Palo Alto Networks emita una nueva
firma para el falso positivo que se ha producido.
Los siguientes tipos de perfil estn disponibles:
Perfiles de antispyware para bloquear intentos de acceso a la red protegida por parte de
spyware. Consulte Perfiles de antispyware.
Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL.
Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos.
Adems de los perfiles individuales, puede crear grupos en Objetos > Grupos de perfiles de
seguridad para combinar los perfiles que se apliquen con frecuencia conjuntamente.
No puede eliminar un perfil que se utiliza en una poltica de seguridad. Antes debe
quitar el perfil de la poltica de seguridad y luego eliminarlo.
Perfiles de seguridad
Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Las siguientes acciones estn disponibles cuando se definen objetos de spyware y vulnerabilidades personalizados:
Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.
Colocar paquetes: Evita que todos los paquetes salgan del cortafuegos.
Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la pgina Perfiles de antivirus puede configurar opciones para que el cortafuegos busque
virus mediante anlisis del trfico definido. Defina en qu aplicaciones se buscarn virus
mediante inspecciones y la accin que se llevar a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados, genera alertas de
Simple Mail Transport Protocol (SMTP), Internet Message Access Protocol (IMAP), y Post
Office Protocol Version 3 (POP3), y toma las medidas predeterminadas para el resto de las
aplicaciones (alerta o denegacin), dependiendo del tipo de virus detectado. El perfil se
adjuntar despus a una poltica de seguridad para determinar la inspeccin del trfico que
atraviese zonas especficas.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el
trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de
zonas no fiables, como Internet, as como el trfico enviado a destinos altamente sensibles,
como granjas de servidores.
Consulte Perfiles de seguridad para ver una lista completa de los tipos de perfiles de
seguridad y las acciones que se aplicarn al trfico coincidente.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:
Pestaa Antivirus
Pestaa Excepciones
Perfiles de seguridad
Campo
Descripcin
Nombre
Descripcin
Pestaa Antivirus
Use la pestaa Antivirus para definir el tipo de trfico que se inspeccionar, como ftp y http, y
especifique a continuacin la accin aplicable. Puede definir diferentes acciones para firmas
de antivirus estndar (columna Accin) y firmas generadas por el sistema WildFire (Accin de
WildFire). Algunos entornos pueden requerir pruebas de estabilidad ms largas para firmas
de antivirus, por lo que esta opcin permite definir distintas acciones para los dos tipos de
firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo, las firmas de antivirus
estndar pasan pruebas de estabilidad ms largas (24 horas) en comparacin con las firmas
de WildFire, que se pueden generar y emitir en 15 minutos o menos tras la deteccin de la
amenaza. Por ello, tal vez prefiera elegir la accin de alerta en las firmas de WildFire en lugar
del bloqueo.
Use la tabla Excepcin de aplicaciones para definir las aplicaciones que no sern inspeccionadas. Por ejemplo, puede que quiera permitir http pero no inspeccionar el trfico de una
aplicacin especfica que funcione a travs de http.
Campo
Descripcin
Captura de paquetes
Descodificadores y
Acciones
Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire.
Excepciones de
aplicacin y acciones
Perfiles de seguridad
Pestaa Excepciones
Use la pestaa Excepciones para definir la lista de amenazas que ignorar el perfil de
antivirus.
Campo
Descripcin
ID de amenaza
Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern
en el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin.
Las siguientes tablas describen la configuracin de perfil de antispyware:
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Descripcin
Compartido
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Gravedad
Accin
Captura de paquetes
Pestaa Excepciones
Excepciones
Perfiles de seguridad
Descripcin
Captura de paquetes
1.
2.
3.
4.
5.
Perfiles de seguridad
Descripcin
Habilitar supervisin
de DNS pasivo
Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de vulnerabilidades para el trfico entre zonas de seguridad fiables y para maximizar la proteccin del
trfico recibido de zonas no fiables, como Internet; y el trfico enviado a destinos altamente
sensibles, como granjas de servidores. Para aplicar los perfiles de proteccin de vulnerabilidades a las polticas de seguridad, consulte Definicin de polticas de seguridad.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas
que se deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta. La pestaa Excepcin admite funciones de filtrado.
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Pestaa Reglas
Nombre de regla
Nombre de amenaza
Accin
Host
Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).
Captura de paquetes
Categora
Perfiles de seguridad
Descripcin
Lista CVE
ID de proveedor
Gravedad
Perfiles de seguridad
Descripcin
Pestaa Excepciones
Amenazas
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Categoras
(configurable solo
para BrightCloud)
Accin tras el
vencimiento de
la licencia
Perfiles de seguridad
Descripcin
Lista de bloqueadas
Perfiles de seguridad
Descripcin
Lista de permitidas
Perfiles de seguridad
Descripcin
Categora/Accin
Comprobar categora
de URL
Haga clic para acceder al sitio web donde podr introducir una URL o
direccin IP para ver informacin de categorizacin.
Filtrado de URL
dinmica
Valor predeterminado:
Deshabilitado
(configurable solo para
BrightCloud)
Valor predeterminado:
Habilitado
Perfiles de seguridad
Descripcin
Habilitar forzaje de
bsquedas seguras
Valor predeterminado:
Deshabilitado
Al habilitarla, esta opcin evitar que los usuarios que realicen bsquedas
en Internet usando uno de los tres principales proveedores de bsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
bsqueda, a menos que tengan definida la opcin de bsqueda segura
estricta en sus exploradores para estos motores de bsqueda. Si un
usuario realiza una bsqueda usando uno de estos motores y su explorador o motor de bsqueda no tiene configurada la opcin bsqueda
segura en la opcin estricta, los resultados de bsqueda sern bloqueados
(dependiendo de la accin definida en el perfil) y se pedir al usuario que
defina la opcin estricta en la configuracin de bsqueda segura.
Perfiles de seguridad
Descripcin
Logging de la cabecera
HTTP
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Perfiles de seguridad
Descripcin
Compartido
Reglas
Perfiles de seguridad
Descripcin
apk
avi
avi-divx
avi-xvid
bat
bmp-upload
cab
cdr
class
cmd
dll
doc
docx
dpx
dsn
dwf
dwg
edif
email-link
encrypted-doc
encrypted-docx
encrypted-office2007
encrypted-pdf
encrypted-ppt
encrypted-pptx
encrypted-rar
Perfiles de seguridad
Descripcin
encrypted-xls
encrypted-xlsx
encrypted-zip
exe
flash
flv
gds
gif-upload
gzip
hta
iso
iwork-keynote
iwork-numbers
iwork-pages
jar
Archivo Java
jpeg-upload
lnk
lzh
mdb
mdi
mkv
mov
mp3
mp4
mpeg
msi
msoffice
Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenve archivos de MS Office, se
recomienda que seleccione el grupo msoffice para asegurarse de que se
identificarn todos los tipos de archivos de MS Office admitidos en lugar
de seleccionar individualmente cada tipo de archivo.
ocx
PE
Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)
Perfiles de seguridad
Descripcin
pgp
pif
pl
png-upload
ppt
pptx
psd
rar
reg
rm
rtf
sh
stp
tar
tdb
tif
torrent
Archivo de BitTorrent
wmf
wmv
wri
wsf
xls
xlsx
zcompressed
Cdigo postal
Archivo Winzip/pkzip
Perfiles de seguridad
Descripcin
Nombre
Descripcin
Compartido
Captura de datos
Perfiles de seguridad
Descripcin
Patrn de datos
Aplicaciones
Tipos de archivos
Direccin
Umbral de alerta
Umbral de bloqueo
Perfiles de seguridad
Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Los perfiles de proteccin DoS estn diseados para una seleccin muy precisa y los perfiles
de proteccin de zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios
de coincidencia para detectar un ataque de DoS. Estos perfiles se adjuntan a polticas de
proteccin de DoS para permitirle controlar el trfico entre interfaces, zonas, direcciones y
pases segn sesiones agregadas o direcciones IP nicas de origen o o destino. Para aplicar
perfiles DoS a polticas DoS, consulte Definicin de polticas DoS.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:
Perfiles de seguridad
Descripcin
Nombre
Compartido
Descripcin
Tipo
Pestaa secundaria
Inundacin de UDP
Pestaa secundaria
Inundacin de ICMP
Otras pestaas
secundarias
Descripcin
Mx. de lmites
simultneos
Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios.
Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas.
Descripcin
Nombre
Compartido
Descripcin
Tipo
Descripcin
Tipo (continuacin)
FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin.
Por tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobacin cada 30 minutos; todos los cambios en la direccin IP de
las entradas se recogen en el ciclo de actualizacin.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener informacin acerca del proxy
DNS, consulte Proxy DNS.
Etiquetas
Descripcin
Nombre
Compartido
Descripcin
Tipo
Etiquetas
Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras
regiones. La regin est disponible como una opcin si especifica el origen y el destino de las
polticas de seguridad, polticas de descifrado y polticas DoS. Puede elegir entre una lista
estndar de pases o usar los ajustes de regin que se describen en esta regin, para definir las
regiones personalizadas que se incluirn como opciones para reglas de poltica de seguridad.
Descripcin
Nombre
Ubicacin geogrfica
Para especificar la latitud y la longitud, seleccione la casilla de verificacin y los valores (formato xxx.xxxxxx). Esta informacin se utiliza
en los mapas de trfico y amenazas de Appscope. Consulte Uso de
Appscope .
Direcciones
Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en
Networking y la lista solo mostrar las aplicaciones de red.
Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de aplicar una categora,
subcategora y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa
se restringe automticamente a las tecnologas que cumplen los requisitos de la categora
y subcategoras seleccionadas, aunque no se haya aplicado explcitamente un filtro de
tecnologa.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.
Para ver detalles adicionales sobre la aplicacin o personalizar el riesgo y los valores de
tiempo de espera, como se describe en la siguiente tabla, haga clic en el nombre de la
aplicacin. Un lpiz amarillo sobre el icono que aparece a la izquierda del nombre de
la aplicacin significa que la aplicacin se ha personalizado. Observe que los ajustes
disponibles varan de una aplicacin a otra.
descripcin
Nombre
Nombre de la aplicacin.
Descripcin
Informacin adicional
Puertos estndar
Depende de aplicaciones
Evasiva
Tiene vulnerabilidades
conocidas
Ampliamente utilizado
Categora
Categora de aplicacin.
Subcategora
Subcategora de aplicacin.
Tecnologa
Tecnologa de la aplicacin.
Riesgo asignado de la aplicacin.
Riesgo
descripcin
Tiempo de espera para finalizar un flujo de aplicacin UDP
(1-604800 segundos).
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo mximo que una sesin permanece en la tabla de la sesin
entre la recepcin del primer FIN y la recepcin del segundo FIN o
RST. Cuando el temporizador caduca, la sesin se cierra.
Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir una nueva aplicacin a la evaluacin del
cortafuegos cuando aplique polticas.
Descripcin
Pestaa Configuracin
Nombre
Compartido
Descripcin
Categora
Subcategora
Tecnologa
Aplicacin primaria
Riesgo
Caractersticas
Pestaa Avanzada
Descripcin
Puerto
Protocolo IP
Tipo de ICMP
Tipo de ICMP6
Ninguno
Tiempo de espera
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin (intervalo 0-604800 segundos). Un valor de cero
indica que se utilizar el tiempo de espera predeterminado de la
aplicacin. Este valor se utiliza para protocolos diferentes de TCP y UDP
en todos los casos y para tiempos de espera TCP y UDP cuando no se
especifican los tiempos de espera TCP y UDP.
Tiempo de espera de
TCP
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin TCP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.
Tiempo de espera de
UDP
Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin UDP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.
TCP semicerrado
Descripcin
Analizando
Pestaa Firma
Firmas
Descripcin
Nombre
Aplicaciones
Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.
Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.
Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno
o ms servicios para limitar el nmero de puertos que las aplicaciones pueden utilizar.
El servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones
de servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creacin de polticas de seguridad (consulte Grupos de
servicios).
Descripcin
Nombre
Descripcin
Compartido
Protocolo
Puerto de destino
Puerto de origen
Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios.
La siguiente tabla describe la configuracin del grupo de servicios:
Descripcin
Nombre
Servicio
Descripcin
Nombre
Compartido
Color
Comentarios
Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:
El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes,
pero no menos.
Descripcin
Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.
[]
{}
Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).
&
& es un carcter especial, por lo que para buscar & en una cadena debe utilizar
&.
.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
No busca confidencial (todas en minscula)
.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no est preparado an
para ser emitido.
.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad
Descripcin
Nombre
Descripcin
Compartido
Sitios
En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.
Descripcin
Nombre
Descripcin
IP Origen
Repetir
Descripcin
Nombre
Descripcin
Compartido
Peso
Patrones personalizados
Tambin puede incluir un atributo temporal cuando defina firmas personalizadas especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque.
Las acciones solo se activan una vez alcanzado el umbral.
Utilice la pgina Firmas personalizadas para definir firmas de perfiles de vulnerabilidades.
Descripcin
Pestaa Configuracin
ID de amenaza
Nombre
Compartido
Comentarios
Gravedad
Accin predeterminada
Direccin
Sistema afectado
CVE
Proveedor
Bugtraq
Referencia
Descripcin
Pestaa Firmas
Firma estndar
Firma de combinacin
Descripcin
Nombre
Compartido
Perfiles
Seleccione un perfil de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluir en este
grupo. Los perfiles de filtrado de datos tambin se pueden especificar en
grupos de perfiles de seguridad. Consulte Perfiles de filtrado de datos.
Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si
las entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o
se envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico.
De forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Definicin de polticas de seguridad.
En un cortafuegos PA-7050, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenve los siguientes tipos de logs:
Syslog, correo electrnico y SNMP. Esto tambin se aplica al reenvo a WildFire.
Una vez configurado el puerto, se usar este puerto automticamente para el
reenvo de logs y de WildFire y no har falta ninguna configuracin especial para
ello. Solo tiene que configurar el puerto de datos en uno de los NPC PA-7050
como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede
establecer contacto con sus servidores de logs. Para reenvo de WildFire, la red
necesitar comunicarse con la nube WildFire o dispositivo WildFire.
Si desea ms informacin sobre cmo configurar esta interfaz, consulte
Configuracin de una interfaz de tarjeta de log .
La siguiente tabla describe la configuracin de reenvo de logs:
Tabla 168.
Campo
Descripcin
Nombre
Compartido
Configuracin de trfico
Panorama
Tabla 168.
Campo
Descripcin
Traps SNMP
Correo electrnico
Syslog
Traps SNMP
Correo electrnico
Syslog
Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms informacin, consulte Gestin de entidades de certificacin de confianza predeterminadas.
La siguiente tabla describe la configuracin de perfil de descifrado:
Descripcin
Bloquear sesiones
con certificados
caducados
Descripcin
Bloquear sesiones
con emisores no
fiables
Restringir
extensiones de
certificado
Comprobaciones
de modo no
admitidas
Bloquear sesiones
con versin no
compatible
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Bloquear sesiones
con autenticacin
de cliente
Comprobaciones
de error
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Bloquear sesiones
si HSM no est
disponible
Bloquear sesiones
con versiones no
compatibles
Bloquear sesiones
con conjuntos de
cifras no
compatibles
Comprobaciones
de error
Descripcin
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Bloquear sesiones
si HSM no est
disponible
Pestaa SSH
Comprobaciones
de modo no
admitidas
Bloquear sesiones
con versiones no
compatibles
Bloquear sesiones
con algoritmos no
compatibles
Comprobaciones
de error
Bloquear sesiones
con errores SSH
Bloquear sesiones
si no hay recursos
disponibles
Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.
Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas
y horas. Para limitar una poltica de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las polticas correctas. Para cada programacin puede especificar una
fecha y un intervalo horario fijo, o bien una programacin diaria o semanal recurrente.
Para aplicar las programaciones a las polticas de seguridad, consulte Definicin de polticas
de seguridad.
Cuando se activa una poltica de seguridad en una programacin definida, solo se
vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.
Descripcin
Nombre
Compartido
Periodicidad
Diario
Semanal
Sin repeticin
Captulo 6
Informes y logs
Esta seccin describe cmo visualizar los informes y logs proporcionados con el cortafuegos:
Uso de Appscope
Visualizacin de logs
Visualizacin de informes
Descripcin
Aplicaciones principales
Aplicaciones principales
de alto riesgo
Informacin general
Estado de la interfaz
Registros de amenazas
Logs de configuracin
Registros de filtrado
de URL
Descripcin
Administradores
registrados
Alta disponibilidad
Bloqueos
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Coincidencias HIP
En la pestaa ACC, cambie uno o varios de los ajustes siguientes en la parte superior de
la pgina:
e. (Solo para Panorama) Seleccione el Origen de datos que se usa para generar la
visualizacin grfica de las tendencias de trfico.
Haga clic en el icono
El Origen de datos predeterminado para instalaciones nuevas es Panorama; Panorama usa los
logs enviados por los dispositivos gestionados. Para recuperar y visualizar una vista agregada
de los datos desde los dispositivos gestionados tendr que cambiar el origen de Panorama a
Datos de dispositivo remoto.
En una actualizacin, el origen de datos predeterminado es Datos de dispositivo remoto.
2.
Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces
de logs en la esquina inferior derecha de la pgina, como se muestra a continuacin.
El contexto de los logs coincide con la informacin que aparece en la pgina.
3.
Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro
.
4.
Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.
5.
Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.
Descripcin
Aplicacin
Filtrado de URL
Prevencin de amenazas
Filtrado de datos
Tipos de contenido/archivo
Tipos
Nombres de archivos
Coincidencias HIP
Objetos HIP
Perfiles HIP
6.
Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.
Uso de Appscope
Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad grfica en los siguientes aspectos de la red:
Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red
Amenazas de red
Con los informes de Appscope, puede ver rpidamente si se produce algn comportamiento
inusual o inesperado y que la deteccin de cualquier comportamiento problemtico sea ms
sencilla; cada informe proporciona una ventana dinmica y personalizable por el usuario en
la red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar.
En Panorama puede seleccionar tambin el origen de datos de la informacin que se muestra.
El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de
datos local de Panorama que almacena los logs enviados por los dispositivos remotos, en una
actualizacin el origen de datos predeterminado son los datos de dispositivo remoto. Para
recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos
gestionados tendr que cambiar el origen de Panorama a Datos de dispositivo remoto.
Al pasar el ratn por encima y hacer clic en las lneas o barras de los grficos, se pasa al
ACC y se proporciona informacin detallada sobre la aplicacin especfica, la categora de
la aplicacin, el usuario o el origen.
Descripcin
Resumen
Informe de resumen
Supervisor de cambios
Supervisor de amenazas
Mapa de amenazas
Supervisor de red
Mapa de trfico
Uso de Appscope
Informe de resumen
El informe Resumen (Ilustracin 9) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios
y orgenes.
Para exportar los grficos en el informe de resumen como un PDF, haga clic en
Cada grfico se guarda como una pgina en el PDF creado.
Uso de Appscope
Uso de Appscope
descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.
Uso de Appscope
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Exporta el grfico como imagen .png o PDF.
Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.
Uso de Appscope
Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Muestra las amenazas entrantes.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones.
Uso de Appscope
Descripcin
Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.
Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.
Uso de Appscope
Visualizacin de logs
Descripcin
Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.
Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.
Visualizacin de logs
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y Perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos
de administracin basado en funcin. Cuando muestra logs, solo se incluye la
informacin de cuyo permiso dispone. Para obtener informacin acerca de los
permisos de administrador, consulte Definicin de funciones de administrador.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.
Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y
la bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).
Visualizacin de logs
Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha
definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en la
lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.
Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar filtro.
Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.
Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando
la misma opcin. Haga clic en ACEPTAR.
Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a
CSV
. De manera predeterminada, la exportacin de la lista de logs al formato CSV
genera un informe CSV con hasta 2.000 lneas de logs. Para cambiar el lmite de lnea
de los informes CSV generados, utilice el campo Mx. de filas en exportacin CSV
(seleccione Dispositivo > Configuracin > Gestin > Configuracin de log e informes >
Exportacin e informes de logs o consulte Definicin de la configuracin de gestin).
Visualizacin de logs
de una entrada.
Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.
Visualizacin de logs
Descripcin
Trfico
Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicacin, el nombre de la regla de seguridad aplicada
al flujo, la accin de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el nmero de bytes y la razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.
Amenaza
Filtrado de URL
Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web.
Puede activar la creacin de logs de las opciones de encabezados HTTP para la
URL. Consulte Perfiles de filtrado de URL para obtener ms informacin sobre
cmo definir perfiles de filtrado de URL.
Envos a WildFire
Descripcin
Filtrado de datos
Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos para obtener ms informacin sobre cmo definir
perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contrasea y haga clic
en ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas
para obtener instrucciones acerca de cmo cambiar o eliminar la contrasea de
proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Este log tambin muestra informacin de perfiles de bloqueo de archivos.
Por ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que
estaban bloqueados. Si reenva archivos a WildFire, podr ver los resultados de
dicha accin. En este caso, si reenva archivos PE a WildFire, por ejemplo, el log
mostrar que el archivo fue reenviado y tambin el estado para saber si se carg
correctamente en WildFire.
Configuracin
Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.
Sistema
Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.
Coincidencias
HIP
Alarmas
El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Definicin de la configuracin del log Alarma.
Despus de establecer una correlacin e identificacin de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infeccin del botnet (1 indica la
probabilidad de infeccin ms baja y 5 la probabilidad ms alta). Como los mecanismos de
deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas
con una lista de hosts ordenada basndose en un nivel de confianza.
Descripcin
Trfico HTTP
Aplicaciones
desconocidas
IRC
Descripcin
Perodo de ejecucin
del informe
# Filas
Programado
Generador de consultas
Negar
Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.
Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.
Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo
de informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.
Descripcin
Nombre
Tipo
Perodo de tiempo
Incluir navegacin
detallada
Tabla 183.
Campo
Descripcin
Nombre
Pgina de ttulo
Ttulo
Descripcin
Nombre
Grupo de informes
Periodicidad
Perfil de correo
electrnico
Cancelar correos
electrnicos del
destinatario
Visualizacin de informes
Supervisar > Informes
El cortafuegos proporciona varios informes 50 principal de las estadsticas de trfico del da
anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de
informe en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar
a CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar el archivo.
Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Base de datos
Perodo de tiempo
Ordenar por
Programado
Columnas
Descripcin
Para crear una consulta de informe, especifique lo siguiente y haga clic
en Aadir. Repita las veces que sean necesarias para crear la consulta
completa.
Generador de consultas
Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuracin.
Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la
lista de archivos de captura en el lado derecho de la pgina.
Descripcin
Configurar filtrado
Gestionar filtros
Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo
filtro y especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP,
incluir todo el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6
en el filtro.
Filtrado
Anterior a la
coincidencia
Descripcin
Configuracin de captura
Captura de paquetes
Fase de captura de
paquetes
Archivos capturados
Archivos capturados
Configuracin
Borrar toda la
configuracin
Captulo 7
Descripcin
Descripcin
Pestaa secundaria
Supervisin de servidor
Pestaa Prueba
de cliente
Descripcin
Pestaa secundaria
Cach
Pestaa secundaria
NTLM
Pestaa secundaria
Redistribucin
Descripcin
Pestaa secundaria
Filtrados de Syslog
Identificador Regex: Con este tipo de anlisis puede especificar expresiones regulares para describir patrones de bsqueda e identificar y
extraer informacin de asignacin de usuario de los mensajes de Syslog.
Si selecciona esta opcin, debe especificar el regex que se debe utilizar
para hacer coincidir los eventos de autenticacin del mensaje de Syslog
y los campos de direccin IP y usuario en los mensajes de coincidencia.
Regex de eventos: Utilice este campo para especificar el regex e identificar los eventos de autenticacin correctos dentro de los mensajes de
Syslog. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog
de ejemplo anterior, el siguiente regex indica que el cortafuegos debe
coincidir con la primera {1} instancia de la cadena authentication
success. La barra invertida antes del espacio es un carcter regex de
"escape" estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}"
Descripcin
Regex de nombre de usuario: Introduzca el regex para identificar el
principio del nombre de usuario en los mensajes de autenticaciones
realizadas con xito. Por ejemplo, el regex User:([a-zA-Z0-9\\\._]+)
coincidira con la cadena User:johndoe_4 en el mensaje de ejemplo y
se extraera acme\johndoe1 como ID de usuario (User-ID). Utilice
este campo para especificar el regex e identificar el campo del nombre
de usuario en los mensajes de autenticaciones realizadas con xito.
Regex de direccin: Utilice este campo para especificar el campo de
direccin IP en los mensajes de autenticaciones realizadas con xito.
Por ejemplo, la siguiente expresin regular Source:([0-9]{1,3}\.
[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) coincidira con la cadena
Source:192.168.0.212 en el mensaje de ejemplo y se extraera y
aadira 192.168.0.212 como la direccin IP en la asignacin de
direccin IP a nombre de usuario de identificacin de usuario
(User-ID) que se crea.
Identificador de campo: Con este tipo de anlisis se especifica una
cadena para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin de usuario
en los Syslogs de la siguiente forma:
Cadena de eventos: Especifique la cadena que debe identificar el tipo
de log de evento desde el que extraer la informacin de asignacin de
usuario. Por ejemplo, usando el formato de syslog de ejemplo que
aparece anteriormente, debe introducir la cadena authentication
success para la coincidencia en los eventos de autenticacin
correctos del log.
Prefijo de nombre de usuario: Introduzca la cadena de coincidencia
para identificar el principio del campo del nombre de usuario en el
mensaje de Syslog de autenticacin. Por ejemplo, usando el formato
de Syslog del ejemplo anterior, debe introducir la cadena User: para
identificar el principio del nombre de usuario.
Delimitador de nombre de usuario: Introduzca el delimitador
utilizado para marcar el final del campo de nombre de usuario en
un mensaje de log de autenticacin. Por ejemplo, en el formato del
mensaje de log de ejemplo, al nombre de usuario le sigue un espacio,
por lo que debe introducir \s para indicar que el campo de nombre
de usuario est delimitado por un espacio.
Prefijo de direccin: Especifique una cadena para que coincida
Especifique la cadena que debe extraerse de la direccin IP del
mensaje de log. Por ejemplo, usando el formato de Syslog de ejemplo
que aparece anteriormente, debe introducir la cadena Source: para
identificar el campo de log del que extraer la direccin.
Delimitador de direccin: Introduzca la cadena coincidente utilizada
para marcar el final del campo de direccin IP en el mensaje de
autenticacin realizada con xito. Por ejemplo, en el formato del
mensaje de log de ejemplo, a la direccin le sigue un salto de lnea,
por lo que debe introducir \n para indicar que el campo de direccin
est delimitado por una nueva lnea.
Descripcin
Supervisin de
servidor
Descripcin
Filtro: Seleccione el filtro de Syslog que se debe usar para extraer
nombres de usuario y direcciones IP a partir de los mensajes de
Syslog recibidos desde este servidor.
Nombre de dominio predeterminado: (optativo) Especifique un
nombre de dominio que preceda al nombre de usuario si no hay
ningn nombre de dominio presente en la entrada de log.
Para terminar de aadir el servidor, haga clic en ACEPTAR. El cortafuegos tratar de conectar al servidor. Cuando se conecte correctamente,
el estado aparecer como Conectado. Si el cortafuegos no puede conectarse, el estado mostrar un error, como conexin rehusada o la conexin
ha agotado el tiempo de espera.
Incluir/excluir redes
Utilice esta seccin de la pestaa para definir subredes especficas que
deban incluirse o excluirse de la asignacin direccin de IP a nombre de
usuario. Por ejemplo, si excluye 10.1.1.0/24, el identificador de usuario
(User-ID) no intentar encontrar nombres de usuarios para direcciones IP
en el intervalo excluido. Esto, a su vez incluir o excluir intervalos para
asignaciones enviadas a otros cortafuegos de PAN-OS.
Cuando defina un intervalo de red de inclusin o exclusin, se realizar
una exclusin total implcita. Por ejemplo, si incluye 10.1.1.0/24, se
excluir el resto de redes. Si excluye 10.1.1.0/24, se excluirn todas las
redes, por lo que, cuando utilice la exclusin, tambin deber contar con
una red de inclusin. De lo contrario, todas las redes se excluyen de la
asignacin de usuario.
Para aadir una red incluida/excluida, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Nombre: Introduzca un nombre para identificar el perfil que incluir o
excluir una red para fines de descubrimiento de identificacin de
usuario (User-ID).
Habilitada: Seleccione esta opcin para habilitar el perfil incluir/excluir.
Descubrimiento: Seleccione la opcin para incluir o excluirel intervalo
de red definido.
Direccin de red: Introduzca el intervalo de red que le gustara incluir o
excluir del descubrimiento de asignacin de direccin IP a usuario.
Por ejemplo, 10.1.1.0/24.
Secuencia de red de inclusin exclusin personalizada: Le permite
especificar una orden en la que el cortafuegos debe evaluar qu redes
deben incluirse o excluirse de la asignacin de usuario. Si no especifica
una secuencia personalizada, el cortafuegos evaluar la lista en el orden
en el que se hayan aadido las entradas.
Descripcin
Nombre
Host
Puerto
Descripcin
Utilizar para
autenticacin NTLM
Habilitado
Descripcin
Nombre
Introduzca un nombre para identificar el agente TS (de hasta 31 caracteres). El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Host
Puerto
Descripcin
Direcciones IP
alternativas
Habilitado
Descripcin
Perfil de servidor
Intervalo de
actualizacin
Descripcin
Objetos de grupo
Objetos de usuario
Dominios de correo
Habilitado
Tabla 191.
y,
Campo
Descripcin
Habilitado
Temporizador de
inactividad (minutos)
Caducidad (min)
Duracin mxima del TTL, mxima cantidad de tiempo que una sesin
del portal cautivo puede permanecer asignada. Una vez transcurrido el
tiempo de vencimiento, la asignacin se eliminar y los usuario tendrn
que volver a autenticarse incluso aunque la sesin siga activa. Este
temporizador se utiliza para garantizar las asignaciones obsoletas y el
valor establecido aqu anula el tiempo de espera de inactividad. Por lo
tanto, se recomienda que establezca el vencimiento en un valor superior
al del temporizador de inactividad (intervalo 1 - 1440 minutos; valor
predeterminado: 60 minutos).
Redirigir host
Certificado de servidor
Tabla 191.
Campo
Descripcin
Perfil de autenticacin
Modo
Tabla 191.
Campo
Descripcin
Autenticacin del
certificado
Autenticacin de NTLM
Captulo 8
Descripcin
Nombre
Interfaz
Direccin IP local
Tipo de peer
Anterior a la clave
compartida
Confirmar clave
precompartida
Descripcin
Identificacin local
Modo de intercambio
Perfil criptogrfico
de IKE
Descripcin
Habilitar NAT
Transversal
Deteccin de fallo
del peer
Descripcin
Nombre
Interfaz de tnel
Tipo
Seleccione si se utilizar una clave de seguridad generada automticamente o introducida manualmente. Se recomienda seleccionar Clave
automtica.
Clave automtica
Descripcin
Si selecciona Clave manual, especifique lo siguiente:
SPI local: Especifique el ndice de parmetros de seguridad (SPI) local
para los paquetes transversales desde el cortafuegos local hasta el peer.
SPI es un ndice hexadecimal que se aade al encabezado para ayudar a
los tneles de IPSec a diferenciar entre flujos de trfico de IPSec.
Interfaz: Seleccione la interfaz que es el extremo del tnel.
Direccin local: Seleccione la direccin IP de la interfaz local que es el
extremo del tnel.
SPI remoto: Especifique el ndice de parmetros de seguridad (SPI)
remoto para los paquetes transversales desde el cortafuegos remoto
hasta el peer.
Protocolo: Seleccione el protocolo para el trfico a travs del tnel (ESP
o AH).
Autenticacin: Seleccione el tipo de autenticacin para el acceso al tnel
(SHA1, SHA256, SHA384, SHA512, MD5 o Ninguna).
Clave/Confirmar clave: Introduzca y confirme una clave de autenticacin.
Cifrado: Seleccione una opcin de cifrado para el trfico de tnel (3des,
aes128, aes192, aes256, aes128ccm16 o Null [sin cifrado]).
Clave/Confirmar clave: Introduzca y confirme una clave de cifrado.
Satlite de GlobalProtect
Campo
Descripcin
Identificador proxy
Local
Protocolo
Estado del tnel (primera columna de estado): El color verde indica un tnel de SA de
IPSec. El color rojo indica que las SA de IPSec no estn disponibles o han vencido.
Estado de la puerta de enlace de IKE: El color verde indica unas SA de fase 1 de IKE
vlidas. El color rojo indica que la SA de IKE de fase 1 no est disponibles o ha vencido.
Estado de la interfaz de tnel: El color verde indica que la interfaz de tnel est activada
(porque el supervisor de tnel est deshabilitado o porque el estado del supervisor de
tnel es ACTIVADO). El color rojo indica que la interfaz de tnel est desactivada porque
el supervisor de tnel est habilitado y el estado es DESACTIVADO.
Descripcin
Grupo DH
Autenticacin
Cifrado
Duracin
Descripcin
Nombre
Protocolo de IPSec
Grupo DH
Duracin
Duracin
Captulo 9
Configuracin de GlobalProtect
Configuracin del portal de GlobalProtect
Red > GlobalProtect > Portales
Utilice esta pgina para configurar y gestionar la configuracin de un portal de GlobalProtect.
El portal proporciona las funciones de gestin para la infraestructura de GlobalProtect.
Todos los sistemas clientes que participan en la red de GlobalProtect recibe informacin de
configuracin desde el portal, incluida informacin sobre las puertas de enlace disponibles,
as como certificados cliente que pueden ser necesarios para conectarse a las puertas de enlace.
Adems, el portal controla el comportamiento y la distribucin del software del agente de
GlobalProtect para los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin
GlobalProtect se distribuye a travs de la Apple App Store para los dispositivos iOS o
mediante Google Play para dispositivos Android.)
Para aadir una configuracin de portal, haga clic en Aadir para abrir el cuadro de dilogo
Portal de GlobalProtect. Para obtener informacin detallada sobre los campos de todas las
pestaas del cuadro de dilogo, consulte las siguientes secciones:
Para obtener instrucciones detalladas sobre cmo configurar el portal, consulte la seccin para
configurar un portal de GlobalProtect en la gua del administrador de GlobalProtect.
Descripcin
Nombre
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Certificado de servidor
Autenticacin
Perfil de autenticacin
Mensaje de
autenticacin
Certificado de cliente
Descripcin
Apariencia
Deshabilitar pgina de
inicio de sesin
Pgina de inicio de
sesin personalizada
Pgina de ayuda
personalizada
Pestaa General
Pestaa Agente
Descripcin
Pestaa General
Nombre
Intervalo de
actualizacin de
configuracin (horas)
Modificador de
autenticacin
Descripcin
Mtodo de conexin
Certificado de cliente
Gestor de seguridad
mvil
Puerto de inscripcin
Descripcin
Deteccin de host
interno
Puertas de enlace
internas
Descripcin
Puertas de enlace
externas
Pestaa Agente
Cdigo de acceso/
Confirmar cdigo
de acceso
Descripcin
Mx. nmero de
cancelaciones del
agente por el usuario
Tiempo de espera a la
cancelacin del agente
por el usuario
Actualizacin de agente
Pgina de bienvenida
VPN externo
Haga clic en Aadir para aadir una lista de clientes VPN de acceso
remoto que podran estar presentes en los extremos. Si est configurado,
GlobalProtect ignorar esos clientes VPN, as como su configuracin de
ruta, para asegurarse de que ni les afecta ni entra en conflicto con ellos.
Descripcin
Mostrar icono
GlobalProtect
Permitir al usuario
cambiar la direccin
del portal
Pestaa Recopilacin
de datos
Mx. de tiempo de
espera
Excluir categoras
Descripcin
Comprobaciones
personalizadas
Descripcin
Pestaa secundaria
General
Pestaa secundaria
Dispositivos
Tabla 200. Ajustes de configuracin del satlite del portal de GlobalProtect (Continuacin)
Campo
Descripcin
Pestaa secundaria
Inscripcin del usuario/
Grupo de usuario
Pestaa secundaria
Puertas de enlace
Tabla 200. Ajustes de configuracin del satlite del portal de GlobalProtect (Continuacin)
Campo
Descripcin
CA raz de confianza
Perodo de renovacin
del certificado (das)
OCSP responder
Pestaa General
Para obtener instrucciones detalladas sobre cmo configurar una puerta de enlace, consulte la
seccin para configurar una puerta de enlace de GlobalProtect en la gua del administrador de
GlobalProtect.
Pestaa General
Utilice la pestaa General para definir la interfaz de la puerta de enlace a la que se conectarn
los agentes/aplicaciones y especificar cmo autenticar la puerta de enlace a los clientes finales.
Descripcin
Nombre
Ubicacin
Configuracin de red
Interfaz
Direccin IP
Certificado de servidor
Autenticacin
Perfil de autenticacin
Mensaje de
autenticacin
Descripcin
Pestaa secundaria
Ajustes de tnel
Utilice esta pestaa secundaria para configurar los parmetros del tnel y
permitir su utilizacin.
Los parmetros del tnel son necesarios si configura una puerta de enlace
externa. Las puertas de enlace internas se configuran de forma optativa.
Modo de tnel
Descripcin
Configuracin de tiempo
de espera
Pestaa secundaria
Configuracin de red
Origen de herencia
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del agente de GlobalProtect. Con esta configuracin, se heredan
todas las configuraciones de red del cliente, como servidores DNS y
servidores WINS, de la configuracin de la interfaz seleccionada en el
Origen de herencia.
Comprobar estado de
origen de herencia
DNS principal
DNS secundario
WINS principal
WINS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el cliente puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos
con comas.
Seleccione esta casilla de verificacin para heredar los sufijos de DNS del
origen de herencia.
Grupo de IP
Descripcin
Acceder a ruta
Pestaa secundaria
Notificacin HIP
Notificacin HIP
Descripcin
Supervisin de tnel
Perfiles criptogrficos
Seleccione un origen para propagar un servidor DNS y otras configuraciones desde el cliente DHCP o cliente PPPoE seleccionados en la configuracin del satlite de GlobalProtect. Con esta configuracin, se heredan
todas las configuraciones de red, como servidores DNS, de la configuracin de la interfaz seleccionada en el Origen de herencia.
DNS principal
DNS secundario
Sufijo DNS
Haga clic en Aadir para introducir un sufijo que el satlite puede utilizar
de forma local cuando se introduce un nombre de host sin restricciones
que no puede resolver. Puede introducir varios sufijos separndolos
con comas.
Descripcin
Grupo de IP
Acceder a ruta
Pestaa secundaria
Filtro de ruta
Descripcin
Nombre
Introduzca un nombre para gestor de seguridad mvil (hasta 31 caracteres). El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
Ubicacin
Configuracin de conexin
Servidor
Puerto de conexin
Certificado de cliente
CA raz de confianza
Pestaa General
Pestaa Cortafuegos
Pestaa Antivirus
Pestaa Antispyware
Para obtener informacin ms detallada sobre cmo crear polticas de seguridad aumentadas
HIP, consulte la seccin sobre cmo configurar la aplicacin de polticas basadas en HIP en la
gua del administrador de GlobalProtect.
Pestaa General
Utilice la pestaa General para especificar un nombre para el nuevo objeto HIP y configurar
el objeto para que coincida con la informacin de host general, como el dominio, el sistema
operativo o el tipo de conectividad de red que tiene.
Descripcin
Nombre
Compartido
Descripcin
Informacin de host
Dominio
SO
Versiones de cliente
Para buscar la coincidencia con un nmero de versin concreto, seleccione un operador en el men desplegable y, a continuacin, introduzca
la cadena que debe coincidir (o no coincidir) en el cuadro de texto.
Nombre de host
Red
Descripcin
Dispositivo mvil
Pestaa secundaria
Dispositivo
Tabla 206. Configuracin del dispositivo mvil del objeto HIP (Continuacin)
Campo
Descripcin
Pestaa secundaria
Configuracin
Pestaa secundaria
Aplicaciones
Descripcin
Administracin de
parches
Pestaa secundaria
Criterios
Pestaa secundaria
Proveedor
Pestaa Cortafuegos
Utilice la pestaa Cortafuegos para habilitar la coincidencia HIP basada en el estado del
software del cortafuegos de los clientes de GlobalProtect.
Descripcin
Cortafuegos
Seleccione la casilla de verificacin Cortafuegos para habilitar la coincidencia en el estado del software del cortafuegos del host.
Est habilitado: Busca coincidencias si el software del cortafuegos est
habilitado en el host. Si la casilla de verificacin Est instalado no est
marcada, este campo se establece automticamente como ninguno y no
se puede editar.
Est instalado: Busca coincidencias si el software del cortafuegos est
instalado en el host.
Proveedor y Producto: Defina proveedores o productos concretos del
software del cortafuegos que se deben buscar en el host para determinar
una coincidencia. Haga clic en Aadir y, a continuacin, seleccione un
proveedor de la lista desplegable. Tambin tiene la posibilidad de hacer
clic en Aadir para seleccionar un producto especfico. Haga clic en
ACEPTAR para guardar la configuracin.
Excluir proveedor: Seleccione la casilla de verificacin para hacer
coincidir hosts que no tengan software de un determinado proveedor.
Pestaa Antivirus
Utilice la pestaa Antivirus para habilitar la coincidencia HIP basada en la cobertura del
antivirus en los clientes de GlobalProtect.
Descripcin
Antivirus
Pestaa Antispyware
Utilice la pestaa Antispyware para habilitar la coincidencia HIP basada en la cobertura del
antispyware en los clientes de GlobalProtect.
Descripcin
Antispyware
Tabla 211. Configuracin de la copia de seguridad del disco del objeto HIP
Campo
Descripcin
Copia de seguridad
de disco
Tabla 212. Configuracin del cifrado del disco del objeto HIP
Campo
Descripcin
Cifrado de disco
Criterios
Proveedor
Descripcin
Prevencin de prdida
de datos
Descripcin
Comprobaciones
personalizadas
Lista de procesos
Descripcin
Clave de registro
Plist
Descripcin
Nombre
Descripcin
Descripcin
Compartido
Coincidencia
En la siguiente tabla se proporciona ayuda para utilizar esta pantalla. Para obtener ms
informacin sobre cmo implementar el software del agente, consulte la gua del administrador
de GlobalProtect.
Descripcin
Versin
Tamao
Fecha de versin
Descargado
Activado actualmente
Accin
Indica la accin actual que puede realizar para el paquete de software del
agente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y descargar las nuevas versiones de
software del agente en su ordenador local. A continuacin, haga clic
en el botn Cargar en la pantalla Cliente de GlobalProtect para cargar
manualmente el software del agente en el cortafuegos.
Activar: Se ha descargado la versin de software del agente correspondiente, pero los agentes no la pueden descargar todava. Haga clic en el
enlace para activar el software y habilitar la actualizacin del agente.
Para activar una actualizacin de software que haya cargado manualmente en el cortafuegos mediante el botn Cargar, debe hacer clic en el
botn Activar desde archivo y seleccionar la versin que desea activar
en el men desplegable (puede que necesite actualizar la pantalla para
que aparezca como Activado actualmente).
Reactivar: Se ha activado el software de agente correspondiente y est
listo para que lo descarguen los clientes. Como solo puede estar activa
una versin del software del agente de GlobalProtect en el cortafuegos,
si los usuarios finales necesitan acceder a una versin distinta a la
actual, tendr que activar la otra versin para que se convierta en la
versin activada actualmente.
Notas de versin
Seleccione Inicio > Todos los programas > Palo Alto Networks > GlobalProtect >
GlobalProtect.
La interfaz de cliente se abre para mostrar la pestaa Configuracin.
2.
3.
4.
Pestaa Detalles: Muestra informacin acerca de la conexin actual, incluyendo direcciones IP y protocolo y presenta estadsticas de paquete y bytes acerca de la conexin
de red.
Pestaa Estado de host: Muestra la informacin almacenada en el HIP. Haga clic en una
categora en el lado izquierdo de la ventana para mostrar la informacin configurada para
esa categora en el lado derecho de la ventana.
Captulo 10
Descripcin
Interfaz fsica
Nombre de interfaz
Mximo de salida
(Mbps)
Perfil predeterminado:
Trfico en claro
Interfaz de tnel
Descripcin
Trfico en claro y
de tnel
Salida garantizada
(Mbps)
Mximo de salida
(Mbps)
Aadir
Haga clic en Aadir en la pestaa Trfico en claro para definir granularidad adicional para el tratamiento del trfico en claro. Haga clic en las
entradas individuales para configurar los siguientes ajustes:
Nombre: Introduzca un nombre para identificar estos ajustes.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la subred y la
interfaz especificadas. Para obtener instrucciones sobre cmo definir
perfiles de QoS, consulte Definicin de perfiles de QoS .
Interfaz de origen: Seleccione la interfaz del cortafuegos.
Subred de origen: Seleccione una subred para restringir los ajustes al
trfico procedente de ese origen o mantenga el valor predeterminado
cualquiera para aplicar los ajustes a cualquier trfico de la interfaz
especificada.
Haga clic en Aadir en la pestaa Trfico de tnel para cancelar la
asignacin de perfil predeterminada para tneles especficos y
configurar los siguientes ajustes:
Interfaz de tnel: Seleccione la interfaz de tnel en el cortafuegos.
Perfil de QoS: Seleccione el perfil de QoS para aplicar a la interfaz
de tnel especificadas.
Por ejemplo, asuma una configuracin con dos sitios, uno de los cuales
cuenta con una conexin de 45 Mbps y el otro con una conexin T1 con el
cortafuegos. Puede aplicar una configuracin de QoS restrictiva al sitio T1
por lo que la conexin no se sobrecarga a la vez que se proporciona una
configuracin ms flexible para el sitio con la conexin de 45 Mbps.
Para eliminar una entrada de trfico en claro o de tnel, seleccione la
casilla de verificacin de la entrada y haga clic en Eliminar.
Si se dejan en blanco las secciones de trfico en claro o de tnel, los
valores especificados en la seccin Perfil predeterminado de la pestaa
Interfaz fsica.
Descripcin
Nombre de perfil
Mximo de salida
Salida garantizada
Descripcin
Clases
Haga clic en Aadir para especificar cmo se tratarn las clases de QoS
individuales. Puede seleccionar una o ms clases para configurar:
Clase: Si no configura una clase, puede incluirla en una poltica de QoS.
En este caso, el trfico est sujeto a los lmites generales de QoS. El trfico
que no coincide con una poltica de QoS se asignar a clase 4.
Prioridad: Haga clic y seleccione una prioridad para asignarla a una
clase:
tiempo real
alta
media
baja
Mximo de salida: Haga clic e introduzca el lmite de ancho de banda
(Mbps) para esta clase.
El valor Mximo de salida para una clase de QoS debe ser menor o
igual que el valor Mximo de salida definido para el perfil de QoS.
Nota: Aunque no es un valor obligatorio, se recomienda definir siempre el
valor Mximo de salida para un perfil de QoS.
Salida garantizada: Haga clic e introduzca el ancho de banda garantizado (Mbps) para esta clase.
Cuando se producen conflictos, se descarta el trfico con la menor
prioridad asignada. La prioridad en tiempo real utiliza su propia cola
separada.
Pestaa General
Pestaa Origen
Pestaa Destino
Pestaa Aplicacin
Use la pgina de polticas de QoS para realizar varias acciones, por ejemplo:
Para ver nicamente las reglas para un sistema virtual especfico, seleccione el sistema de
la lista desplegable Sistema virtual y haga clic en Ir.
Para ver nicamente las reglas para zonas especficas, seleccione una zona de las listas
desplegables Zona de origen y/o Zona de destino y haga clic en Filtrar por zona.
Las polticas compartidas introducidas desde Panorama aparecen en verde y no se
pueden modificar a nivel del dispositivo.
Para aadir una nueva regla de QoS, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina y configure la regla. Se aadir
una nueva regla a la parte inferior de la lista.
Seleccione Duplicar regla o seleccione una regla haciendo clic en el espacio en blanco
de la misma, y seleccione Duplicar en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color amarillo). La regla copiada se inserta debajo de la regla
seleccionada.
Descripcin
Pestaa General
Nombre
Descripcin
Etiqueta
Pestaa Origen
Zona de origen
Direccin de origen
Usuario de origen
Negar
Descripcin
Pestaa Destino
Zona de destino
Direccin de destino
Negar
Pestaa Aplicacin
Aplicacin
Descripcin
Pestaa
Pestaa Categora de URL
Servicio
Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas se
permiten o deniegan nicamente segn sus puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios .
Categora de URL
Programacin
El panel izquierdo muestra la tabla de rbol de QoS y el panel derecho muestra datos en las
siguientes pestaas:
Ancho de banda de QoS: Muestra los grficos de ancho de banda en tiempo real para el
nodo y las clases seleccionados. La informacin se actualiza cada dos segundos.
NOTA: Las limitaciones de salida (egress) garantizada y mximo de salida de QoS
configuradas para las clases QoS pueden mostrarse con un valor ligeramente distinto en
la pantalla estadsticas de QoS. Este es el comportamiento esperado y se debe a que el
motor de hardware resume los lmites de ancho de banda y recuentos. Esto no supone
problema alguno para el funcionamiento, puesto que los grficos de uso de ancho de
banda muestran los valores y cantidades en tiempo real.
Explorador de sesin: Enumera las sesiones activas del nodo y/o clase seleccionados.
Vista de aplicacin: Enumera todas las aplicaciones activas para el nodo y/o clase de QoS
seleccionados.
Captulo 11
Pestaa Panorama
Logs e informes
Pestaa Panorama
Panorama
La pestaa Panorama es similar a la pestaa Dispositivos del cortafuegos, salvo que los
ajustes se aplican al servidor Panorama, no a los cortafuegos gestionados. La tabla siguiente
describe las pginas de esta pestaa. Para acceder a una pgina, haga clic en el enlace del
nombre de la pgina en el men lateral.
Descripcin
Configuracin
Plantillas
Permite crear plantillas que pueden usarse para gestionar las opciones de
configuracin en funcin de las pestaas Dispositivo y Red. Las plantillas le
permiten reducir la carga de trabajo administrativo que supone implementar
varios cortafuegos con una configuracin similar. Consulte Plantillas.
Auditora de
configuraciones
Dispositivos
gestionados
Grupos de
dispositivos
Descripcin
Recopiladores
gestionados
Grupos de
recopiladores
Funciones de
administrador
Perfiles de la
contrasea
Administradores
Permite definir las cuentas de los usuarios que necesitan acceder a Panorama.
Consulte Creacin de cuentas administrativas.
Nota: Si hay alguna cuenta de usuario bloqueada aparecer un icono de candado en
la columna derecha de la pgina Administradores. El administrador puede hacer clic
en el icono para desbloquear la cuenta.
Alta disponibilidad
Descripcin
Gestin de
certificados
Configuracin
de log
Perfiles de servidor
Perfil de
autenticacin
Secuencia de
autenticacin
Dominio de acceso
Exportacin de
configuracin
programada
Software
Actualizaciones
dinmicas
Asistencia tcnica
Descripcin
Implementacin de
dispositivo
Clave maestra y
diagnstico
Tabla 221.
Campo
Descripcin
Interno
NFS V3
Descripcin
Configuracin
Habilitar HA
Direccin IP de HA
del peer
Habilitar cifrado
Tiempo de espera
para supervisin
(ms)
Descripcin
Configuracin de eleccin
Prioridad
(Solo necesario en
Panorama virtual)
Preferente
Tiempo de espera
para ser preferente
(min.)
Tiempo de espera de
promocin (ms)
Intervalo de saludo
(ms)
Intervalo de
heartbeat (ms)
Tiempo de espera
ascendente tras fallo
de supervisor (ms)
Tiempo de espera
ascendente principal
adicional (ms)
Descripcin
Supervisin de rutas
Habilitado
Condicin de fallo
Grupos de rutas
Cmo aadir dispositivos: Para aadir un cortafuegos, haga clic en Aadir e introduzca
el nmero de serie de uno o varios cortafuegos. Introduzca solo una entrada por fila.
Instalacin: Para realizar una actualizacin de software o contenido, haga clic en Instalar
y cumplimente la siguiente informacin: .
Descripcin
Tipo
Archivo
Utilice los filtros para seleccionar los cortafuegos en los que desea
instalar la imagen.
Cargar nicamente en el
dispositivo (no instalar)
Esta opcin tambin es independiente de cada seccin, por lo que si la activa o la desactiva en
un rea, no la activar/desactivar en todas las reas. La opcin HA del peer de grupo est
presente en las siguientes reas de Panorama:
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Eliminar: Seleccione la casilla de verificacin de uno o varios cortafuegos y haga clic en
Eliminar para quitar el cortafuegos de la lista de cortafuegos gestionados por Panorama.
Etiqueta: Seleccione la casilla de verificacin de uno o varios cortafuegos y haga clic en
Etiqueta para aadir etiquetas. Introduzca una cadena de texto de hasta 31 caracteres.
No utilice espacios en blanco.
Las etiquetas le facilitan buscar un cortafuegos en una lista de gran tamao; le ayudan a filtrar
dinmicamente y ajustar la lista de cortafuegos que se muestra. Por ejemplo, si aade una
etiqueta denominada sucursal, podr filtrar todos los cortafuegos de sucursal de su red.
La pgina Dispositivos gestionados muestra todos los cortafuegos gestionados con la
informacin en la tabla siguiente.
Descripcin
Sistema virtual
Etiquetas
Nmero de serie
Direccin IP
Plantilla
Estado
Copias de seguridad
Descripcin
Nombre de grupo de
dispositivos
Descripcin
Descripcin
Dispositivos
Dispositivo principal
Para crear un objeto compartido, en la pestaa Objetos, haga clic en Aadir y seleccione
la casilla de verificacin Compartido cuando defina el objeto.
Nota: Si tiene objetos con el mismo nombre y uno de ellos es compartido y el otro es especfico de un grupo de
dispositivos, el objeto especfico del grupo de dispositivos se utilizar para ese grupo de dispositivos.
Descripcin
Nombre
Descripcin
Permiso
Descripcin
Seleccione el tipo de acceso de XML API
Informe: Accede a los informes del cortafuegos.
Log: Accede a los logs del cortafuegos.
Configuracin: Concede permisos para recuperar o modificar la
configuracin del cortafuegos.
Solicitudes de operacin: Concede permisos para ejecutar comando
de operacin.
Compilar: Concede permisos para compilar la configuracin.
Agente de ID de usuarios: Accede al identificador del usuario
(User-ID) del agente.
Exportar: Concede permisos para exportar archivos del cortafuegos,
incluyendo la configuracin, pginas de bloque o respuesta, certificados, claves, etc.
Importar: Concede permisos para importar archivos al cortafuegos,
incluyendo software, contenido, licencia, configuracin, certificados,
pginas de bloque, logs personalizados, etc.
Lnea de comandos
Autenticacin con clave pblica (SSH): El administrador genera un par de claves pblica
y privada en la mquina que requiere acceso a Panorama y, a continuacin, carga la clave
pblica en Panorama para permitir un acceso seguro sin exigir que el administrador
introduzca un nombre de usuario y una contrasea.
Descripcin
Nombre
Perfil de autenticacin
Utilizar nicamente el
certificado de autenticacin de
cliente (web)
Contrasea/Confirmar
contrasea
Descripcin
Funcin
Perfil de la contrasea
Tabla 228.
Campo
Descripcin
Nombre
Grupos de dispositivos
Contexto de dispositivo
Plantillas
Plantillas
Plantillas
Panorama > Plantillas
Esta opcin le permite implementar una configuracin de base comn en varios cortafuegos
que requieren configuraciones similares. Las plantillas pueden usarse para gestionar las
opciones de configuracin en funcin de las pestaas Dispositivo y Red. Si gestiona configuraciones de cortafuegos con Panorama, puede utilizar una combinacin de ajustes de configuracin de Grupo de dispositivos (para gestionar polticas y objetos compartidos) y Plantillas
(para aplicar ajustes de dispositivo y red), aunque estas funciones se gestionan de forma
independiente debido a las diferencias de los elementos que se pueden configurar.
Para configurar las plantillas de Panorama, haga clic en Aadir para crear una plantilla y,
a continuacin, adale los cortafuegos. Despus de crear la primera plantilla, aparecer
el men desplegable Plantilla en las pestaas Dispositivo y Red. Seleccione la plantilla
deseada en el men Plantilla y configure los ajustes del dispositivo y la red para la plantilla
seleccionada.
Descripcin
Nombre
Descripcin
Sistemas virtuales
Note: Cuando
use una plantilla
para crear sistemas
virtuales en un
cortafuegos, los
ajustes se aplicarn
al VSYS existente
con el mismo
nombre (si lo hay)
o se crear un
nuevo VSYS con el
nombre que defina.
Plantillas
Descripcin
Modo de operacin
Dispositivos
HA del peer
de grupo
Dispositivos gestionados
Plantillas
Grupos de dispositivos
Pestaa Polticas (pestaa Destino para todos los tipos de polticas)
Cuadro de dilogo Compilar
Plantillas
El icono verde indica que se ha aplicado una plantilla y que no hay cancelaciones. El icono
verde y naranja indica que se ha aplicado una plantilla y que se han cancelado algunos
ajustes.
Plantillas
Eliminacin de plantillas
Para eliminar una plantilla, seleccinela y haga clic en Eliminar.
La eliminacin de una plantilla o cortafuegos de una plantilla no eliminar los valores que
se han aplicado al cortafuegos gestionado. Cuando elimina un cortafuegos de una plantilla,
dejan de aplicarse actualizaciones al cortafuegos gestionado.
Para deshabilitar una plantilla en un cortafuegos local: En el cortafuegos gestionado,
desplcese hasta la pestaa Dispositivo > Configuracin > Gestin , edite la pgina
Ajustes de Panorama y haga clic en el botn Deshabilitar plantilla de dispositivo y red.
Logs e informes
Panorama realiza dos funciones: configuracin (de cortafuegos y del propio Panorama) y
recopilacin de logs.
Para facilitar la adaptacin a implementaciones de mayores dimensiones, puede utilizar el
dispositivo M-100 para separar las funciones de gestin y recopilacin de logs de Panorama.
El dispositivo M-100 proporciona una completa solucin de recopilacin de logs para los
cortafuegos de Palo Alto Networks. Esto ayuda a reducir el proceso de recopilacin de logs
con trfico intenso de su servidor de gestin de Panorama y, una vez implementado, podr
configurar cada cortafuegos para enviar logs a un M-100 configurado como recopilador de
logs. Si desea ms informacin sobre la implementacin de una arquitectura de recopilacin
de logs distribuida y la configuracin y gestin de recopiladores de logs mediante el servidor
Panorama, consulte la gua del administrador de Panorama.
Los logs e informes de Panorama (ACC, Appscope, Informes en PDF y Visor de logs)
proporcionan informacin sobre la actividad del usuario en la red gestionada. Para ver una
actividad de usuario/red en Panorama no tendr que configurar el reenvo explcito de logs.
El reenvo de logs es necesario para el almacenamiento de logs a largo plazo y para generar
informes de los logs guardados localmente en Panorama. Si el reenvo de logs est habilitado,
los logs se almacenan en el bfer del cortafuegos de forma predeterminada y se envan a
Panorama con un intervalo predefinido.
La pestaa ACC de Panorama muestra de forma predeterminada informacin almacenada
de forma local en Panorama. Sin embargo, puede cambiar el origen de datos de modo que
Panorama acceda a la informacin desde los cortafuegos conectados; todas las tablas enviarn
informacin dinmicamente y mostrarn una vista agregada del trfico de la red.
Puede generar y programar informes personalizados en Panorama. En el caso de los informes
personalizados y predefinidos programados, se aaden estadsticas de informes cada 15
minutos, que se envan a Panorama cada hora.
Plantillas
Descripcin
Pestaa General
N serie recopiladores
IP del servidor 2 de
Panorama
Dominio
Zona horaria
Latitud
Longitud
Pestaa Autenticacin
Usuarios
Plantillas
Descripcin
Modo
Intentos fallidos
Pestaa Gestin
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. De forma
predeterminada, el dispositivo M-100 utiliza el puerto de gestin (MGT) para configuracin,
recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo, si configura Eth1 o
Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador, se recomienda definir
una subred distinta para la interfaz MGT que sea ms privada que las subredes Eth1 o Eth2. Defina la
subred del campo Mscara de red (para IPv4) o Direccin IPv6 (defina un prefijo).
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara
de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo M-100 a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos que
compile una configuracin completa.
Velocidad y dplex
Direccin IP
Si la red utiliza IPv4, asigne una direccin IPv4 (de forma predeterminada, 192.168.1.1) al puerto de gestin del recopilador de logs.
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
Plantillas
Descripcin
MTU
Servicios de interfaz de
gestin
Direcciones IP permitidas
Pestaa Eth1
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth1 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth1).
Nota: No puede compilar la configuracin de Eth1 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth1. Para indicar
la mscara de red, introduzca una longitud de prefijo para IPv6
(por ejemplo 2001:400:f00::1/64).
MTU
Ping
Direcciones IP permitidas
Pestaa Eth2
Esta pestaa solo se aplica al dispositivo M-100, no al dispositivo virtual Panorama. Esta pestaa
solo est disponible si ha configurado Eth2 en los ajustes de gestin de Panorama (Panorama >
Configuracin > Gestin, Ajustes de la interfaz Eth2).
Nota: No puede compilar la configuracin de Eth2 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth2
Plantillas
Descripcin
Velocidad y dplex
Direccin IP
Mscara de red
Puerta de enlace
predeterminada
Direccin IPv6
Si la red utiliza IPv6, asigne una direccin IPv6 a Eth2. Para indicar
la mscara de red, introduzca una longitud de prefijo para IPv6
(por ejemplo 2001:400:f00::1/64).
MTU
Ping
Direcciones IP permitidas
Pestaa Discos
Haga clic en Aadir para definir el par de discos de RAID 1 que utilizar el recopilador para
almacenar los logs. Posteriormente puede aadir los pares de discos adicionales que necesite para
ampliar la capacidad de almacenamiento.
Por defecto, M-100 est equipado con el primer par de RAID 1 activado e instalado en las bahas A1/
A2. Para aumentar la capacidad de almacenamiento, puede aadir hasta tres pares de RAID 1 ms en
las bahas B1/B2, C1/C2 y D1/D2. En el software, el par RAID 1 de las bahas A1/A2 se denomina
Par de discos <A|B|C|D>.
Despus de aadir recopiladores de logs, puede hacer clic en el enlace Estadsticas para que se
abra la ventana Estadsticas del recopilador en cada recopilador, que muestra la informacin
del disco, cifras de rendimiento de la CPU y velocidad media de logs (logs/segundo). Para
entender mejor el intervalo de logs que est revisando, tambin puede ver informacin en el
log ms antiguo que ha recibido el recopilador.
Plantillas
Descripcin
Archivo
Dispositivos vlidos
Cargar nicamente en el
dispositivo (no instalar)
Reiniciar dispositivo
tras instalar
Descripcin
Pestaa General
Nombre
Plantillas
Descripcin
Almacenamiento de log
Mn. de perodo de
retencin (das)
Plantillas
Descripcin
Pestaa Supervisin
SNMP
La opcin SNMP le permite recopilar informacin sobre los recopiladores de logs, incluida: estado de conexin, estadsticas sobre unidades
de disco, versin de software, valores medios de CPU, media logs/
segundo y duracin de almacenamiento por tipo de base de datos
(p. ej. minutos, horas, das y semanas). La informacin de SNMP se
basa en grupo por recopilador.
Especifique los ajustes SNMP:
Ubicacin: Especifique la ubicacin del dispositivo recopilador
de logs.
Contacto: Especifique un contacto de correo electrnico para este
recopilador.
Acceder a ajuste: Especifique la versin de SNMP que se utilizar
para comunicarse con el servidor de gestin de Panorama (V2c o V3).
Si selecciona V3, debe especificar los siguientes ajustes:
Vistas: Haga clic en Aadir y configure los siguientes ajustes:
Haga clic en Aadir y, en la lista desplegable, seleccione el recopilador de logs que formar parte de este grupo. La lista desplegable
mostrar todos los recopiladores disponibles en la pgina Panorama >
Recopiladores gestionados.
Plantillas
Descripcin
Dispositivos
En todos los cortafuegos que envan logs a este grupo de recopiladores, seleccione los logs y eventos que desea agregar segn
gravedad y envelos a los traps SNMP configurados, servidores
correo electrnico y Syslog.
Si no ha configurado an los perfiles de usuario para los destinos,
consulte Panorama > Perfiles de servidor > Trap SNMP, Panorama >
Perfiles de servidor > Correo electrnico y Panorama > Perfiles de
servidor > Syslog
Plantillas
Descripcin
Implementacin de
dispositivo > Software
Implementacin de
dispositivo > Cliente
VPN SSL
Muestra las versiones del software del cliente VPN SSL disponibles para
la instalacin de los cortafuegos gestionados.
Implementacin de
dispositivo > Cliente
de GlobalProtect
Implementacin
de dispositivo >
Actualizaciones
dinmicas
Implementacin de
dispositivo > Licencias
Realice cualquiera de las siguientes funciones en las pestaas Software, SSL VPN,
GlobalProtect o Actualizaciones dinmicas.
Haga clic en Comprobar ahora para ver la informacin ms reciente sobre las versiones
de Palo Alto Networks.
Haga clic en Notas de versin para ver una descripcin de los cambios en la versin.
Haga clic en Descargar para instalar una nueva versin desde el sitio web de descarga.
Cuando la descarga haya finalizado, se mostrar una marca de verificacin en la columna
Descargado. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Plantillas
Haga clic en Cargar para instalar o activar una versin que ha almacenado anteriormente
en su equipo. Explore y seleccione el paquete de software y haga clic en Instalar desde
archivo. Elija el archivo que acaba de seleccionar en la lista desplegable y haga clic en
ACEPTAR para instalar la imagen.
Tabla 234.
Campo
Descripcin
Nombre
Deshabilitado
Tipo
Accin
Periodicidad
Fecha y hora
Dispositivos vlidos
Plantillas
Tabla 235.
Campo
Descripcin
Nombre
Descripcin
Habilitar
Tipo de log
Protocolo
Nombre de host
Puerto
Ruta
Nombre de usuario
Plantillas
Tabla 235.
Campo
Descripcin
Contrasea
Confirmar contrasea
Conexin de servidor SCP
de prueba
a. Haga clic en Descargar junto a la versin que se instalar. Cuando la descarga haya
finalizado, se mostrar una marca de verificacin en la columna Descargado.
b. Para instalar una versin descargada, haga clic en Instalar junto a la versin.
Cuando se haya completado la instalacin, su sesin se cerrar mientras se reinicia el
sistema Panorama.
2.
junto a la versin.
Plantillas
Plantillas
Tabla 236.
Configuracin de log
Campo
Descripcin
Sistema
En el dispositivo virtual de
Panorama, utilizar para
reenviar logs del sistema
agregados desde cortafuegos
gestionados y recopiladores
gestionados, as como logs de
Panorama locales.
En el dispositivo M-100 en
modo Panorama, utilice los
logs de la instancia local de
Panorama y los logs de los
recopiladores gestionados
para realizar reenvos.
Para reenviar logs del sistema
desde los cortafuegos gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Configurar
En el dispositivo virtual de
Panorama, utilizar para
reenviar logs de configuracin
agregados desde cortafuegos
gestionados y recopiladores
gestionados, as como logs de
Panorama locales.
En el dispositivo M-100 en
modo Panorama, utilice los
logs de la instancia local de
Panorama y los logs de los
recopiladores gestionados
para realizar reenvos.
Para reenviar logs de
configuracin desde los
cortafuegos gestionados,
utilice la pestaa secundaria
Reenvo de logs de
dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Plantillas
Tabla 236.
Campo
Descripcin
Coincidencias HIP
En el dispositivo M-100 en
modo Panorama, para
reenviar logs de coincidencias
HIP desde los cortafuegos
gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Trfico
(Solo en el dispositivo virtual
Panorama.)
En el dispositivo M-100
en modo Panorama, para
reenviar logs de coincidencias
HIP desde los cortafuegos
gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Plantillas
Tabla 236.
Campo
Descripcin
Amenaza
En el dispositivo M-100 en
modo Panorama, para
reenviar logs de coincidencias
HIP desde los cortafuegos
gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Descripcin de gravedad
Crtico: Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de software ampliamente implementado,
que comprometen profundamente los servidores y dejan el cdigo
de explotacin al alcance de los atacantes. El atacante no suele
necesitar ningn tipo de credenciales de autenticacin o conocimientos acerca de las vctimas y el objetivo no necesita ser
manipulado para que realice ninguna funcin especial.
Alto: Amenazas que tienen la habilidad de convertirse en crticas
pero que tienen factores atenuantes; por ejemplo, pueden ser
difciles de explotar, no conceder privilegios elevados o no tener
un gran grupo de vctimas.
Medio: Amenazas menores en las que se minimiza el impacto,
como ataques DoS que no comprometen al objetivo o explotaciones
que requieren que el atacante est en la misma LAN que la vctima,
afectan solo a configuraciones no estndar o aplicaciones oscuras
u ofrecen acceso muy limitado. Adems, las entradas de log de
WildFire con un veredicto de malware se registran como amenazas
de nivel medio.
Bajo: Amenazas con nivel de advertencia que tienen muy poco
impacto en la infraestructura de la organizacin. Suelen requerir
acceso local o fsico al sistema y con frecuencia suelen ocasionar
problemas en la privacidad de las vctimas, problemas de DoS y
fugas de informacin. Las coincidencias de perfiles de filtrado de
datos se registran como bajas.
Informativo: Eventos sospechosos que no suponen una amenaza
inmediata, pero que se registran para indicar que podra haber
problemas ms serios. Algunos ejemplos de logs informativos:
Entradas de logs de filtrado de URL, entradas de logs de WildFire
con un veredicto benigno o logs de filtrado de datos.
WildFire
(Solo en el dispositivo virtual
Panorama.)
En el dispositivo M-100
en modo Panorama, para
reenviar logs de coincidencias
HIP desde los cortafuegos
gestionados, utilice la pestaa
secundaria Reenvo de logs
de dispositivo en la pestaa
Panorama > Grupos de
recopiladores.
Plantillas
Tabla 237.
Campo
Descripcin
Nombre de administrador
de servicios
Descripcin
Inicio de sesin de
administrador NSX
Contrasea de administrador
NSX
Confirmar contrasea de
administrador NSX
URL de OVF de serie VM
Cdigo de autorizacin
Plantilla
(optativo) Seleccione la plantilla a la que se asignarn estos cortafuegos de la serie VM. Las plantillas se utilizan para configurar los
ajustes que necesitan los cortafuegos gestionados para funcionar
en la red; le permiten definir una configuracin de base comn
utilizando las pestaas Red yDispositivo de Panorama.
Plantillas
Tabla 237.
Campo
Descripcin
Grupo de dispositivos
Notificar grupos de
dispositivos
Estado
ltima actualizacin
dinmica
Muestra la fecha y la hora en las que Panorama recuper la informacin de grupo de direccin dinmica del administrador NSX.
Plantillas
En Panorama, solo puede ver las direcciones IP que estn registradas dinmicamente desde el
administrador NSX. Panorama no muestra las direcciones IP dinmicas registradas directamente
en los cortafuegos. Si est usando la funcin de monitorizacin de mquinas virtuales o usando la
API XML para registrar las direcciones IP dinmicamente en los cortafuegos, debe registrarse en cada
cortafuegos para ver la lista completa de direcciones dinmicas que se envan desde Panorama y que se
registran localmente en el cortafuegos.
Apndice A
PGINAS PERSONALIZADAS
Las pginas de respuesta personalizadas le permiten avisar a los usuarios finales acerca de
incumplimientos de polticas o condiciones de acceso especiales. Cada pgina puede incluir
referencias al la direccin IP del usuario, la URL a la que se intenta acceder y la categora de
URL. Estos parmetros se pueden utilizar tambin en enlaces con sistemas de solucin de
etiquetado.
Para abrir las ltimas pginas de respuesta/bloqueo, vaya a Dispositivo > Pginas de
respuesta, haga clic en una pgina de respuesta, Predefinidos y seleccione Exportar.
As se guardar un archivo de texto de la pgina predeterminada. Si importa una pgina
de respuesta/bloqueo personalizada, esa pgina pasar a ser la pgina predeterminada.
Este apndice proporciona el cdigo HTML para las siguientes pginas de respuesta
personalizadas predeterminadas:
453
454
455
{color:black
font-weight:bold;}
p.SubHeading1, li.SubHeading1, div.SubHeading1
{margin-top:12.0pt;
margin-right:0in;
margin-bottom:3.0pt;
margin-left:0in;
page-break-after:avoid;
font-size:12.0pt;
font-family:"Times New Roman";
font-weight:bold;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
{page:Section1;}
-->
</style>
</head>
<body lang=EN-US>
<div class=Section1>
<p class=MsoNormal>Esto es una prueba.</p>
</div>
</body>
</html>
456
font-weight: bold;
color: black; /*#FFFFFF; */
}
.msg {
background-color: #ffff99;
border-width: 2px;
border-color: #ff0000;
border-style: solid;
padding-left: 20px;
padding-right: 20px;
max-height: 150px;
height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /*
establece altura mxima para IE */
overflow: auto;
}
.alert {font-weight: bold;color: red;}
</style>
</HEAD>
<BODY bgcolor="#F2F6FA">
<table style="background-color: white; width:100%; height:45px; borderbottom: 2px solid #888888;">
<tr style="background-image:url(/images/logo_pan_158.gif);
background-repeat: no-repeat">
<td align="left"> </td>
</tr>
</table>
<div align="center">
<h1>Palo Alto Networks - Portal de VPN SSL</h1>
</div>
<div id="formdiv">
<pan_form/>
</div>
</BODY>
</HTML>
457
458
<div id="content">
<h1>Pgina web bloqueada</h1>
<p>Se ha bloqueado el acceso a la pgina web que est intentando visitar de
acuerdo con las polticas de la empresa. Pngase en contacto con su
administrador del sistema si cree que existe un error.</p>
<p><b>Usuario:</b> <user/> </p>
<p><b>URL:</b> <url/> </p>
<p><b>Categora:</b> <category/> </p>
</div>
</body>
</html>
459
460
Apndice B
CATEGORAS, SUBCATEGORAS, TECNOLOGAS
Y CARACTERSTICAS DE LA APLICACIN
El apndice enumera categoras relacionadas con la aplicacin definidas por Palo Alto
Networks:
Tecnologas de la aplicacin
Caractersticas de la aplicacin
sistema empresarial
servicio de autenticacin
base de datos
erp-crm
empresa general
gestin
programas de oficina
actualizacin de software
copia de seguridad de almacenamiento
colaboracin
correo electrnico
mensajera instantnea
conferencia por internet
empresas sociales
461
utilidad de internet
redes sociales
vdeo voip
web-posting
internet general
uso compartido de archivos
utilidad de internet
Medios
transmisin de audio
juegos
fotos y vdeos
redes
tnel cifrado
infraestructura
protocolo IP
Proxy
acceso remoto
Enrutamiento
462
desconocido
Tecnologas de la aplicacin
Tecnologas de la aplicacin
Se admiten las siguientes tecnologas de la aplicacin.
descripcin
basado en explorador
servidor cliente
protocolo de red
punto a punto
Caractersticas de la aplicacin
Se admiten las siguientes caractersticas de la aplicacin.
descripcin
Evasiva
Archivos de transaccin
Vulnerabilidades
Ampliamente utilizado
463
Caractersticas de la aplicacin
464
Apndice C
COMPATIBILIDAD CON LOS ESTNDARES
FEDERALES DE PROCESAMIENTO DE LA
INFORMACIN/CRITERIOS COMUNES
Puede configurar el cortafuegos para que admita el nivel de garanta de evaluacin de criterios
comunes 4+ (CCEAL4+) y los estndares federales de procesamiento de la informacin 140-2
(FIPS 140-2), ambos certificados de seguridad que garantizan un conjunto estndar de garantas
y funciones de seguridad. Estos certificados suelen solicitarlos las agencias civiles del
gobierno de EE. UU. y contratistas gubernamentales.
Para obtener ms detalles sobre estas certificaciones, consulte los siguientes documentos:
FIPShttp://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/
140sp1877.pdf
CCEAL4+http://www.niap-ccevs.org/st/vid10392/
c. Pulse cualquier tecla del teclado cuando se le solicite detener el reinicio automtico y,
a continuacin, seleccione PANOS (maint) como la particin de reinicio.
Para obtener informacin ms detallada acerca del modo de mantenimiento, consulte
la Gua de referencia de la interfaz de lnea de comandos de PAN-OS.
2.
3.
465
4.
466
Para iniciar sesin en el cortafuegos, el explorador debe ser compatible con TLS 1.0.
Todas las contraseas del cortafuegos debe contener al menos seis caracteres.
Apndice D
LICENCIAS DE CDIGO ABIERTO
El software incluido en este producto contiene software con derechos de autor cuya licencia se
ofrece de acuerdo con la Licencia pblica general (GPL). Una copia de dicha licencia se incluye
en este documento. Podemos enviarle el cdigo fuente correspondiente completo por un
perodo de tres aos tras nuestro ltimo envo de este producto enviando un giro postal o
cheque de 5 $ a:
Gua del administrador
Open Source Request
4401 Great America Parkway
Santa Clara, Ca. 95054
Puede que algunos componentes de este producto estn cubiertos por una o ms de las
licencias de cdigo abierto enumeradas en este apndice:
Licencia artstica
BSD
MIT/X11
OpenSSH
PSF
PHP
Zlib
467
Licencia artstica
Licencia artstica
Este documento es una versin libre de Artistic License, distribuido como parte del kit
Perl v4.0 de Larry Wall, que est disponible desde la mayora de los principales sitios web
de archivos.
El objetivo de este documento es indicar las condiciones segn las cuales estos Paquetes
(consulte la definicin a continuacin), es decir, Crack, el descifrador de contraseas de
Unix, y CrackLib, la biblioteca de comprobacin de contraseas de Unix, cuyos derechos
de autor pertenecen a Alec David Edward Muffett, podrn copiarse, de manera que el
Propietario de los derechos de autor mantenga cierto control artstico sobre el desarrollo
de los Paquetes, al tiempo que se conceda a los usuarios del Paquete el derecho a utilizar y
distribuir el Paquete del modo que sea habitual, as como el derecho a realizar modificaciones
razonables.
Definiciones:
Un Paquete hace referencia al conjunto de los archivos distribuidos por el Propietario de los
derechos de autor y los elementos derivados de dicho conjunto de archivos creados mediante
una modificacin del texto o los segmentos de los mismos.
Una Versin estndar hace referencia a un Paquete si no se ha modificado o si se ha
modificado de acuerdo con los deseos del Propietario de los derechos de autor.
El Propietario de los derechos de autor es aquel que se indique en los derechos de autor
del Paquete.
Usted es un usuario que est considerando la idea de copiar o distribuir este Paquete.
Una Tasa de copia razonable es lo que pueda justificar basndose en los costes de los
soportes, los gastos de duplicacin, el tiempo empleado por las personas implicadas, etc.
(No ser necesario que lo justifique al Propietario de los derechos de autor, nicamente a
la comunidad informtica en general en calidad de mercado que deber afrontar la tasa.)
Disponible de manera gratuita significa que no se carga ninguna tasa por el artculo en
s mismo, aunque puede que existan tasas relacionadas con la manipulacin del artculo.
Tambin significa que los destinatarios del artculo podrn redistribuirlo de acuerdo con las
mismas condiciones en las que lo recibieron.
1. Podr realizar y entregar copias literales del formato de cdigo fuente de la Versin estndar
de este Paquete sin restricciones, siempre que duplique todos los avisos de derechos de autor
originales, as como los descargos de responsabilidad asociados.
2. Podr aplicar soluciones de problemas, soluciones de portabilidad y otras modificaciones
derivadas del Dominio pblico o del Propietario de los derechos de autor. Un Paquete
modificado de ese modo se seguir considerando la Versin estndar.
3. Podr modificar su copia de este Paquete de cualquier otro modo, siempre que incluya
un aviso destacado en cada archivo modificado indicando cmo, cundo y POR QU ha
modificado ese archivo y siempre que realice como mnimo UNA de las acciones siguientes:
a) Coloque sus modificaciones en el Dominio pblico o haga que estn Disponibles de manera
gratuita de cualquier otro modo, como por ejemplo, publicando dichas modificaciones en
Usenet o un medio equivalente, o colocando las modificaciones en un sitio web de archivos
principal, como uunet.uu.net, o permitiendo que el Propietario de los derechos de autor
incluya sus modificaciones en la Versin estndar del Paquete.
b) Utilice el Paquete modificado nicamente dentro de su corporacin u organizacin.
c) Cambie el nombre de los archivos ejecutables no estndar, de manera que los nombres no
entren en conflicto con los archivos ejecutables estndar, que tambin deben proporcionarse.
Asimismo, proporcione documentacin independiente para cada archivo ejecutable no
estndar que indique claramente en qu se diferencia de la Versin estndar.
468
BSD
BSD
Los siguientes propietarios de los derechos de autor proporcionan software de acuerdo con la
licencia BSD:
Julian Steward
Nick Mathewson
Niels Provos
Dug Song
Todd C. Miller
University of Cambridge
469
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de
autor anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre de los autores no podr utilizarse para aprobar o promocionar productos
derivados de este software sin un previo consentimiento por escrito especfico.
ESTE SOFTWARE SE PROPORCIONA TAL CUAL SIN GARANTAS EXPLCITAS
O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS IMPLCITAS DE
COMERCIABILIDAD Y ADECUACIN A UN FIN ESPECFICO.
470
Por ltimo, todo programa libre est amenazado constantemente por las patentes de software.
Deseamos evitar el peligro de que los redistribuidores de un programa libre obtengan de
manera individual licencias de patente, apropindose de este modo del programa. Para
evitarlo, hemos dejado claro que cualquier patente deber otorgarse para el uso libre de
todo el mundo; de lo contrario, dicha licencia no podr realizarse.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Esta Licencia se aplica a cualquier programa o cualquier obra que contenga un aviso
introducido por el propietario de los derechos de autor que indique que podr distribuirse
de acuerdo con las condiciones de esta Licencia pblica general. El Programa, que aparece a
continuacin, hace referencia a cualquier programa u obra. Una obra basada en el Programa
hace referencia al Programa o a cualquier obra derivada bajo la ley de derechos de autor: es
decir, cualquier obra que contenga el Programa o parte de l, ya sea literal o con modificaciones o traducida a otro idioma. (En lo sucesivo, la traduccin se incluye sin limitaciones
en el trmino modificacin.) En este documento, al hablar de usted, se estar haciendo
referencia a cada titular de la Licencia.
Cualquier actividad que no sea la copia, distribucin y modificacin no est cubierta por
esta Licencia, quedando as fuera de su mbito. La accin de ejecutar el Programa no est
restringida y los resultados del Programa nicamente estn cubiertos si su contenido
constituye una obra basada en el Programa (independientemente de si se ha creado
ejecutando el Programa). Su veracidad depender de lo que haga el Programa.
1. Podr copiar y distribuir copias literales del cdigo fuente del Programa cuando lo reciba,
a travs de cualquier medio, siempre que: publique de manera destacada y adecuada en cada
copia un aviso de derechos de autor y un descargo de responsabilidad de garanta adecuados;
mantenga intactos todos los avisos que hagan referencia a esta Licencia y a la ausencia de
cualquier tipo de garanta; y proporcione a todos los destinatarios del Programa una copia
de esta Licencia junto con el Programa.
Podr cobrar una tasa por la accin fsica de transferencia de una copia y podr, si lo desea,
ofrecer proteccin de garanta a cambio de una tasa.
2. Podr modificar sus copias del Programa o cualquier parte del mismo, creando de este
modo una obra basada en el Programa, y copiar y distribuir dichas modificaciones u obra de
acuerdo con las condiciones de la Seccin 1 anterior, siempre que tambin cumpla todas las
condiciones siguientes:
a) Deber encargarse de que los archivos modificados incluyan avisos destacados que
indiquen que ha modificado los archivos y la fecha de las modificaciones.
b) Deber encargarse de que para cualquier obra que distribuya o publique que, en su
totalidad o en parte, contenga o se haya derivado del Programa o cualquier parte del mismo
se ofrezca una licencia completa sin cargos para terceros de acuerdo con las condiciones de
esta Licencia.
c) Si el programa modificado lee comandos de manera interactiva al ejecutarse de manera
normal, deber encargarse de que, cuando empiece a ejecutarse para dicho uso interactivo del
modo habitual, imprima o muestre un anuncio que incluya un aviso de derechos de autor
adecuado y un aviso de que no existe ninguna garanta (o, de lo contrario, que indique que
proporciona una garanta) y de que los usuarios podrn redistribuir el programa de acuerdo
con estas condiciones, indicando al usuario cmo ver una copia de esta Licencia. (Excepcin:
si el propio Programa es interactivo pero por lo general no imprime dicho anuncio, su obra
basada en el Programa no deber imprimir un anuncio.)
Estos requisitos son aplicables a la obra modificada en su totalidad. Si hay secciones
identificables de dicha obra que no se derivan del Programa y que pueden considerarse de
manera razonable como obras independientes por s mismas, esta Licencia y sus condiciones
471
472
473
10. Si desea incorporar partes del Programa en otros programas libres cuyas condiciones
de distribucin sean diferentes, pngase en contacto con el autor para solicitarle permiso.
En el caso de software cuyos derechos de autor sean de Free Software Foundation, pngase
en contacto con Free Software Foundation; a veces hacemos excepciones en estos casos.
Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los elementos
derivados de nuestro software libre y promover el uso compartido y la reutilizacin del
software en general.
AUSENCIA DE GARANTA
11. DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON LA
CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA SER
DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
12. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR
O CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA
DEL MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA
CON USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O
LA IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DEL PROGRAMA DE FUNCIONAR CON
OTROS PROGRAMAS), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U OTRA
PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
474
475
Por ltimo, las patentes de software suponen una amenaza constante a la existencia de
cualquier programa libre. Queremos asegurarnos de que una empresa no pueda restringir de
manera eficaz a los usuarios de un programa libre obteniendo una licencia restrictiva de un
titular de patente. Por lo tanto, insistimos que cualquier licencia de patente obtenida para una
versin de la biblioteca debe permitir la libertad de uso total especificada en esta Licencia.
La mayora del software de GNU, incluidas algunas bibliotecas, est cubierta por la Licencia
pblica general de GNU comn. Esta licencia, la Licencia pblica general reducida de GNU,
se aplica a determinadas bibliotecas designadas y es bastante diferente de la Licencia pblica
general comn. Utilizamos esta licencia para determinadas bibliotecas con el fin de permitir la
vinculacin de dichas bibliotecas a programas que no sean libres.
Cuando un programa est vinculado a una biblioteca, ya sea estadsticamente o mediante una
biblioteca compartida, la combinacin de ambos es en trminos legales una obra combinada,
es decir, una obra derivada de la biblioteca original. Por lo tanto, la Licencia pblica general
comn permite dicha vinculacin nicamente si la totalidad de la combinacin se ajusta a
sus criterios de libertad de uso. La Licencia pblica general reducida permite criterios ms
relajados para la vinculacin de otro cdigo a la biblioteca.
Esta Licencia se denomina Licencia pblica general reducida porque reduce la proteccin
de la libertad del usuario en comparacin con la Licencia pblica general comn. Tambin
reduce la ventaja de otros desarrolladores de software libre sobre programas que no sean
libres de la competencia. Estas desventajas son el motivo por el que utilizamos la Licencia
pblica general comn para muchas bibliotecas. Sin embargo, la Licencia pblica general
reducida ofrece ventajas en determinadas circunstancias especiales.
Por ejemplo, en ocasiones poco frecuentes, puede que exista la necesidad especial de fomentar
el uso ms extendido posible de una determinada biblioteca, de modo que se convierta en un
estndar de facto. Para lograrlo, se debe permitir que los programas que no sean libres utilicen
la biblioteca. Un caso ms frecuente es que una biblioteca libre haga el mismo trabajo que
bibliotecas que no sean libres ampliamente utilizadas. En este caso, al limitar la biblioteca libre
nicamente a software libre las ventajas son mnimas, de modo que utilizamos la Licencia
pblica general reducida.
En otros casos, el permiso para utilizar una biblioteca especfica en programas que no sean
libres permite que un mayor nmero de personas utilice un gran cuerpo de software libre.
Por ejemplo, el permiso para utilizar la biblioteca GNU C en programas que no sean libres
permite que muchas ms personas utilicen todo el sistema operativo GNU, as como su
variante, el sistema operativo GNU/Linux.
Aunque la Licencia pblica general reducida reduce la proteccin de la libertad de los
usuarios, garantiza que el usuario de un programa vinculado a la biblioteca tenga la libertad
y los medios para ejecutar ese programa utilizando una versin modificada de la biblioteca.
A continuacin se indican las condiciones precisas para la copia, distribucin y modificacin.
Preste especial atencin a la diferencia entre una obra basada en la biblioteca y una obra
que utiliza la biblioteca. La primera incluye cdigo derivado de la biblioteca, mientras que la
segunda debe combinarse con la biblioteca para funcionar.
CONDICIONES PARA LA COPIA, DISTRIBUCIN Y MODIFICACIN
0. Este Contrato de licencia se aplica a cualquier biblioteca de software u otro programa
que incluya un aviso introducido por el propietario de los derechos de autor u otra parte
autorizada que indique que puede distribuirse de acuerdo con las condiciones de esta Licencia
pblica general reducida (tambin denominada esta Licencia). En este documento, al hablar
de usted, se estar haciendo referencia a cada titular de la Licencia.
Una biblioteca significa un conjunto de funciones y/o datos de software preparados de
modo que se puedan vincular de manera conveniente a programas (que utilizan algunos de
esos datos y funciones) para generar archivos ejecutables.
476
477
las condiciones de esta Licencia, cuyos permisos para otros titulares de la Licencia abarcan
la totalidad de la obra, incluyendo todas y cada una de las partes independientemente de
su autor.
Por lo tanto, la intencin de esta seccin no es exigir derechos o impugnar sus derechos
sobre obras escritas en su totalidad por usted; la intencin es ejercer el derecho a controlar
la distribucin de obras basadas en la Biblioteca que se hayan derivado de la misma o que
sean colectivas.
Adems, la mera adicin de otra obra no basada en la Biblioteca junto con la Biblioteca (o una
obra basada en la Biblioteca) a un volumen de un medio de almacenamiento o distribucin no
har que la otra obra se incluya en el mbito de esta Licencia.
3. Puede decidir aplicar las condiciones de la Licencia pblica general de GNU comn en
lugar de las de esta Licencia a una copia especfica de la Biblioteca. Para ello, deber modificar
todos los avisos que hacen referencia a esta Licencia para que hagan referencia a la Licencia
pblica general de GNU comn, versin 2, en lugar de a esta Licencia. (Si existe una versin
ms reciente que la versin 2 de la Licencia pblica general de GNU comn, podr especificar
esa versin si lo desea.) No realice ninguna otra modificacin en estos avisos.
Una vez realizada esta modificacin en una copia especfica, ser irreversible para dicha
copia, de modo que la Licencia pblica general de GNU comn se aplicar a todas las copias
posteriores y las obras derivadas de dicha copia.
Esta opcin resulta de utilidad cuando desea copiar parte del cdigo de la Biblioteca en un
programa que no es una biblioteca.
4. Podr copiar y distribuir la Biblioteca (o una parte o una obra derivada de la misma, de
acuerdo con la Seccin 2) en formato de cdigo objeto o formato ejecutable de acuerdo con
las condiciones de las Secciones 1 y 2 anteriores, siempre que le adjunte el cdigo fuente
legible por mquina correspondiente completo, que deber distribuirse de acuerdo con las
condiciones de las Secciones 1 y 2 anteriores en un medio utilizado habitualmente para el
intercambio de software.
Si la distribucin de cdigo objeto se realiza permitiendo el acceso para su copia desde una
ubicacin designada, la oferta de un acceso equivalente para copiar el cdigo fuente desde la
misma ubicacin satisfar el requisito de distribucin del cdigo fuente, aunque no se obligue
a los terceros a copiar el cdigo fuente junto con el cdigo objeto.
5. Un programa que no contenga obras derivadas de ninguna parte de la Biblioteca pero que
est diseado para funcionar con la Biblioteca tras su compilacin o vinculacin a la misma se
denomina una obra que utiliza la Biblioteca. Dicha obra, por s sola, no es una obra derivada
de la Biblioteca y, por lo tanto, queda fuera del mbito de esta Licencia.
Sin embargo, la vinculacin de una obra que utiliza la Biblioteca a la Biblioteca crea un
archivo ejecutable que es una obra derivada de la Biblioteca (porque contiene partes de la
Biblioteca), en lugar de una obra que utiliza la Biblioteca. Por lo tanto, el archivo ejecutable
est cubierto por esta Licencia. La Seccin 6 indica las condiciones para la distribucin de
dichos archivos ejecutables.
Cuando una obra que utiliza la Biblioteca utiliza material de un archivo de encabezado
que forma parte de la Biblioteca, el cdigo objeto de la obra puede ser una obra derivada de
la Biblioteca aunque el cdigo fuente no lo sea. Su veracidad es especialmente significativa si
la obra puede vincularse sin la Biblioteca o si la obra es en s misma una biblioteca. El umbral
de veracidad no est definido de manera precisa segn la ley.
Si un archivo objeto de este tipo utiliza nicamente parmetros numricos, diseos de
estructuras de datos y descriptores de acceso y macros pequeas y funciones en lnea
pequeas (de diez lneas o menos de longitud), el uso del archivo objeto no estar restringido,
independientemente de si es legalmente una obra derivada. (Los archivos ejecutables que
incluyan este cdigo objeto y partes de la Biblioteca seguirn rigindose por la Seccin 6.)
478
479
7. Puede introducir instalaciones de biblioteca que sean una obra basada en la Biblioteca unas
junto a otras en una nica biblioteca junto con otras instalaciones de biblioteca no cubiertas
por esta Licencia y distribuir dicha biblioteca combinada, siempre que se permita de cualquier
otro modo la distribucin separada de la obra basada en la Biblioteca y las otras instalaciones
de biblioteca y siempre que realice las dos acciones siguientes:
* a) Deber adjuntar a la biblioteca combinada una copia de la misma obra basada en la
Biblioteca, sin combinarla con ninguna de las otras instalaciones de biblioteca. Esto deber
distribuirse de acuerdo con las condiciones de las Secciones anteriores.
* b) Deber incluir un aviso destacado en la biblioteca combinada que indique que parte de
la misma es una obra basada en la Biblioteca y que explique dnde encontrar el formato sin
combinar adjunto de la misma obra.
8. No podr copiar, modificar, sublicenciar, vincular ni distribuir la Biblioteca de manera
distinta a la indicada de manera explcita en esta Licencia. Cualquier intento de copiar,
modificar, sublicenciar, vincular o distribuir la Biblioteca de otro modo ser nulo y cancelar
automticamente sus derechos de acuerdo con esta Licencia. Sin embargo, las licencias de
las partes a las que haya proporcionado copias o derechos de acuerdo con esta Licencia no
vencern, siempre que dichas partes cumplan todas las condiciones indicadas.
9. No tiene la obligacin de aceptar esta Licencia, ya que no la ha firmado. Sin embargo,
ningn otro elemento le concede permiso para modificar o distribuir la Biblioteca o sus obras
derivadas. Dichas acciones estn prohibidas por ley si no acepta esta Licencia. Por lo tanto,
al modificar o distribuir la Biblioteca (o cualquier obra basada en la Biblioteca), indica su
aceptacin de esta Licencia para realizar dicha accin, as como todas sus condiciones para
copiar, distribuir o modificar la Biblioteca o las obras basadas en la Biblioteca.
10. Cada vez que redistribuya la Biblioteca (o cualquier obra basada en la Biblioteca), el
destinatario recibir automticamente una licencia del licenciador original para copiar,
distribuir, vincular o modificar la Biblioteca de acuerdo con estas condiciones. No podr
imponer ms restricciones en el ejercicio por parte de los destinatarios de los derechos
concedidos en la presente. No es responsable de garantizar el cumplimiento de esta Licencia
por parte de terceros.
11. Si, como consecuencia de una sentencia judicial o una alegacin de incumplimiento de
patente o por cualquier otro motivo (no limitado a problemas con patentes), se le imponen
condiciones (mediante una sentencia judicial, un acuerdo o de otro modo) que contradigan
las condiciones de esta Licencia, no se le eximir de las condiciones de esta Licencia. Si no
puede distribuir la Biblioteca de manera que satisfaga simultneamente sus obligaciones de
acuerdo con esta Licencia y cualquier otra obligacin pertinente, como consecuencia no podr
distribuir la Biblioteca de ningn modo. Por ejemplo, si una licencia de patente no permite la
redistribucin sin pago de derechos de autor de la Biblioteca por todos aquellos que reciban
copias directa o indirectamente a travs de usted, la nica forma en la que podr satisfacer
tanto esta condicin como esta Licencia sera renunciar por completo a la distribucin de
la Biblioteca.
Si cualquier parte de esta seccin se considera no vlida o no aplicable en circunstancias
especficas, deber aplicarse el sentido general de la seccin. En cualquier otra circunstancia,
deber aplicarse la seccin en su totalidad.
El objetivo de esta seccin no es inducirle a infringir patentes u otras exigencias de derechos
de propiedad o impugnar la validez de dichas exigencias; el nico objetivo de esta seccin
es proteger la integridad del sistema de distribucin de software libre, que se implementa
mediante prcticas de licencia pblica. Muchas personas han realizado contribuciones
generosas a la amplia variedad de software distribuido mediante dicho sistema confiando
en la aplicacin sistemtica de dicho sistema; depende del autor/donante decidir si est
dispuesto a distribuir software mediante cualquier otro sistema y un titular de la Licencia
no puede imponer su criterio.
480
El objetivo de esta seccin es dejar absolutamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
12. Si la distribucin y/o el uso de la Biblioteca est restringido en determinados pases
debido a patentes o interfaces con derechos de autor, el propietario de los derechos de
autor original que proporcione la Biblioteca de acuerdo con esta Licencia podr aadir una
limitacin de distribucin geogrfica explcita que excluya dichos pases, de modo que la
distribucin est permitida nicamente en o entre pases que no estn excluidos por este
motivo. En este caso, esta Licencia incorpora la limitacin como si estuviera escrita en el
cuerpo de esta Licencia.
13. Free Software Foundation podr publicar versiones revisadas y/o nuevas de la Licencia
pblica general reducida cuando resulte oportuno. Dichas versiones nuevas sern equivalentes en esencia a la versin actual, pero podrn diferir en detalles para responder a nuevos
problemas o preocupaciones.
Se proporcionar un nmero de versin distintivo a cada versin. Si la Biblioteca especifica
un nmero de versin de esta Licencia que se aplique a la misma y a cualquier versin
posterior, tendr la posibilidad de seguir las condiciones de esa versin o de cualquier
versin posterior publicada por Free Software Foundation. Si la Biblioteca no especifica un
nmero de versin para esta Licencia, podr elegir cualquiera de las versiones publicadas
por Free Software Foundation.
14. Si desea incorporar partes de la Biblioteca en otros programas libres cuyas condiciones
de distribucin sean incompatibles con estas, pngase en contacto con el autor para solicitarle
permiso. En el caso de software cuyos derechos de autor sean de Free Software Foundation,
pngase en contacto con Free Software Foundation; a veces hacemos excepciones en estos
casos. Nuestra decisin depender de dos objetivos: conservar el estado libre de todos los
elementos derivados de nuestro software libre y promover el uso compartido y la reutilizacin del software en general.
AUSENCIA DE GARANTA
15. DADO QUE LA LICENCIA DE LA BIBLIOTECA SE PROPORCIONA DE MANERA
GRATUITA, LA BIBLIOTECA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN LA BIBLIOTECA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON
LA CALIDAD Y EL RENDIMIENTO DE LA BIBLIOTECA. SI LA BIBLIOTECA RESULTARA
SER DEFECTUOSA, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN NECESARIAS.
16. EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR
O CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA LA BIBLIOTECA
DEL MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA
CON USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O
LA IMPOSIBILIDAD DE UTILIZAR LA BIBLIOTECA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
POR USTED O TERCEROS O LA INCAPACIDAD DE LA BIBLIOTECA DE FUNCIONAR
CON OTRO SOFTWARE), AUNQUE SE HAYA AVISADO A DICHO PROPIETARIO U
OTRA PARTE DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
481
MIT/X11
MIT/X11
Copyright (C) 2001-2002 Daniel Veillard. Todos los derechos reservados.
Copyright (C) 2001-2002 Thomas Broyer, Charlie Bozeman y Daniel Veillard. Todos los
derechos reservados.
Copyright (C) 1998 Bjorn Reese y Daniel Stenberg.
Copyright (C) 2000 Gary Pennington y Daniel Veillard.
Copyright (C) 2001 Bjorn Reese <breese@users.sourceforge.net>
Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu>
Copyright (c) 2007 Tim Lauridsen <tla@rasmil.dk>
Por la presente se concede permiso, de manera gratuita, a cualquier persona que obtenga
una copia de este software y los archivos de documentacin asociados (el Software) para
comercializar el Software sin restricciones, lo cual incluye, entre otros, el derecho a utilizar,
copiar, modificar, combinar, publicar, distribuir, sublicenciar y/o vender copias del Software,
as como para permitir a las personas a las que se proporcione el Software que realicen dichas
acciones, siempre que se cumplan las siguientes condiciones:
El aviso de derechos de autor anterior y este aviso de permiso debern incluirse en todas las
copias o partes considerables del Software.
EL SOFTWARE SE PROPORCIONA TAL CUAL, SIN GARANTAS DE NINGN TIPO,
YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN LAS GARANTAS
DE COMERCIABILIDAD, ADECUACIN A UN FIN ESPECFICO Y CUMPLIMIENTO.
LOS AUTORES O LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR NO SERN
RESPONSABLES EN NINGN CASO DE NINGUNA RECLAMACIN, DAOS Y PERJUICIOS O CUALQUIER OTRA OBLIGACIN, YA SEA EN UNA ACCIN CONTRACTUAL,
DE INCUMPLIMIENTO CONTRACTUAL O DE OTRO TIPO, DERIVADOS O RELACIONADOS CON EL SOFTWARE O EL USO U OTRAS ACCIONES REALIZADAS CON EL
SOFTWARE.
OpenSSH
Este archivo forma parte del software OpenSSH.
Las licencias que se aplican a los componentes de este software son las siguientes. En primer
lugar, haremos un resumen e indicaremos todos los componentes que se incluyen en una
licencia BSD o una licencia que sea ms libre que esta.
OpenSSH no contiene cdigo GPL.
1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlandia
Todos los derechos reservados.
En lo que a m respecta, el cdigo que he escrito para este software puede utilizarse libremente
con cualquier fin. Cualquier versin derivada de este software debe marcarse claramente
como tal. Si la obra derivada es incompatible con la descripcin del protocolo en el archivo
RFC, deber tener un nombre que no sea ssh o Secure Shell.
[Tatu contina]
482
OpenSSH
Sin embargo, con ello no doy a entender que se otorgarn licencias a patentes o derechos de
autor que sean propiedad de terceros. Asimismo, el software incluye partes que no estn bajo
mi control directo. Por lo que yo s, todo el cdigo fuente incluido se utiliza de acuerdo con
los contratos de licencia relevantes y puede utilizarse libremente con cualquier fin (siendo la
licencia de GNU la ms restrictiva); consulte a continuacin para obtener informacin detallada.
[Sin embargo, ninguna de esas condiciones es relevante en este momento. Todos estos
componentes de software con licencia restringida de los que habla se han eliminado de
OpenSSH:
-RSA ya no se incluye y se encuentra en la biblioteca OpenSSL.
-IDEA ya no se incluye y su uso se ha descartado.
-DES ahora es externo y se encuentra en la biblioteca OpenSSL.
-GMP ya no se utiliza y, en su lugar, solicitamos cdigo BN de OpenSSL.
-Zlib ahora es externo y se encuentra en una biblioteca.
-La secuencia de comandos make-ssh-known-hosts ya no se incluye.
-TSS se ha eliminado.
-MD5 ahora es externo y se encuentra en la biblioteca OpenSSL.
-La compatibilidad con RC4 se ha sustituido por la compatibilidad con ARC4 de OpenSSL.
-Blowfish ahora es externo y se encuentra en la biblioteca OpenSSL.
[La licencia contina]
Tenga en cuenta que toda la informacin y los algoritmos criptogrficos utilizados en este
software estn disponibles de manera pblica en Internet y en cualquier librera principal,
librera cientfica y oficina de patentes de todo el mundo. Podr encontrar ms informacin
en http://www.cs.hut.fi/english.html (en ingls).
El estado legal de este programa es una combinacin de todos estos permisos y restricciones.
Utilcelo nicamente bajo su propia responsabilidad. Usted ser el responsable de cualquier
consecuencia legal; no afirmo de ningn modo que la posesin o el uso de este elemento sea
legal o no en su pas y no asumo ningn tipo de responsabilidad en su nombre.
AUSENCIA DE GARANTA
DADO QUE LA LICENCIA DEL PROGRAMA SE PROPORCIONA DE MANERA
GRATUITA, EL PROGRAMA NO CUENTA CON NINGUNA GARANTA, DENTRO DE
LOS LMITES PERMITIDOS POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO, LOS PROPIETARIOS DE LOS DERECHOS DE AUTOR Y/
U OTRAS PARTES PROPORCIONAN EL PROGRAMA TAL CUAL SIN GARANTAS DE
NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS, ENTRE LAS QUE SE INCLUYEN
LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A UN FIN
ESPECFICO. USTED DEBER CORRER CON TODO EL RIESGO RELACIONADO CON
LA CALIDAD Y EL RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA RESULTARA
SER DEFECTUOSO, USTED DEBER ASUMIR EL COSTE DE TODAS LAS TAREAS DE
MANTENIMIENTO, REPARACIN O CORRECCIN
NECESARIAS.
EN NINGN CASO, A MENOS QUE LO EXIJA LA LEY APLICABLE O SE HAYA
ACORDADO POR ESCRITO, NINGN PROPIETARIO DE LOS DERECHOS DE AUTOR O
CUALQUIER OTRA PARTE QUE MODIFIQUE Y/O REDISTRIBUYA EL PROGRAMA
DEL MODO PERMITIDO INDICADO ANTERIORMENTE SER RESPONSABLE PARA
CON USTED POR DAOS Y PERJUICIOS, INCLUIDOS LOS DAOS Y PERJUICIOS
GENERALES, ESPECIALES, IMPREVISTOS O RESULTANTES DERIVADOS DEL USO O
LA IMPOSIBILIDAD DE UTILIZAR EL PROGRAMA (ENTRE LOS QUE SE INCLUYEN LA
PRDIDA DE DATOS, LA IMPRECISIN DE LOS DATOS, PRDIDAS EXPERIMENTADAS
483
OpenSSH
484
OpenSSH
485
PSF
PSF
1. Este CONTRATO DE LICENCIA se suscribe entre Python Software Foundation (PSF) y
el individuo o la organizacin (Titular de la licencia) que acceda y utilice de cualquier otro
modo el software Python 2.3 en formato de cdigo fuente o binario y su documentacin
asociada.
2. De acuerdo con las condiciones de este Contrato de licencia, PSF concede por la presente
al Titular de la licencia una licencia mundial, sin pago de derechos de autor y no exclusiva
para reproducir, analizar, comprobar, ejecutar y/o mostrar pblicamente, preparar obras
derivadas, distribuir y utilizar de cualquier otro modo Python 2.3 en solitario o en cualquier
versin derivada, siempre que se mantengan el Contrato de licencia de PSF y el aviso de
derechos de autor de PSF (Copyright (c) 2001, 2002, 2003 Python Software Foundation.
Todos los derechos reservados.) en Python 2.3 en solitario o en cualquier versin derivada
preparada por el Titular de la licencia.
3. En el caso de que el Titular de la licencia prepare una obra derivada basada o que incorpore
Python 2.3 o cualquier parte del mismo y desee que la obra derivada est disponible para
otros como se indica en la presente, el Titular de la licencia acepta por la presente incluir en
dicha obra un breve resumen de los cambios realizados en Python 2.3.
4. PSF pone Python 2.3 a disposicin del Titular de la licencia TAL CUAL. PSF NO OFRECE
GARANTAS DE NINGN TIPO, YA SEAN EXPLCITAS O IMPLCITAS. COMO EJEMPLO
Y SIN QUE SEA UNA LIMITACIN, PSF NO OFRECE Y RENUNCIA A CUALQUIER
GARANTA DE COMERCIABILIDAD O ADECUACIN A UN FIN ESPECFICO O QUE
AFIRME QUE EL USO DE PYTHON 2.3 NO INFRINGIR DERECHOS DE TERCEROS.
5. PSF NO SER RESPONSABLE PARA CON EL TITULAR DE LA LICENCIA O
CUALQUIER OTRO USUARIO DE PYTHON 2.3 POR DAOS Y PERJUICIOS IMPREVISTOS, ESPECIALES O RESULTANTES O POR PRDIDAS COMO RESULTADO DE
MODIFICAR, DISTRIBUIR O UTILIZAR DE OTRO MODO PYTHON 2.3 O CUALQUIER
OBRA DERIVADA DEL MISMO, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD
DE LOS MISMOS.
6. Este Contrato de licencia se resolver automticamente si se produce un incumplimiento
grave de sus condiciones.
7. Ningn elemento de este Contrato de licencia se considerar que crea ningn tipo de
relacin de agencia, asociacin o empresa conjunta entre PSF y el Titular de la licencia.
Este Contrato de licencia no concede permiso para utilizar marcas comerciales de PSF o
su nombre comercial con el significado de marca comercial para aprobar o promocionar
productos o servicios del Titular de la licencia o de terceros.
8. Al copiar, instalar o utilizar de otro modo Python 2.3, el Titular de la licencia acepta estar
vinculado a las condiciones de este Contrato de licencia.
486
PHP
PHP
Licencia PHP, versin 3.01.
Copyright (c) 1999 - 2009 The PHP Group. Todos los derechos reservados.
La redistribucin y el uso en formato de cdigo fuente y binario, con o sin modificaciones,
estn permitidos siempre que se cumplan las siguientes condiciones:
1. Las redistribuciones del cdigo fuente deben mantener el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad.
2. Las redistribuciones en formato binario deben reproducir el aviso de derechos de autor
anterior, esta lista de condiciones y el siguiente descargo de responsabilidad en la
documentacin y/u otros materiales proporcionados con la distribucin.
3. El nombre PHP no podr utilizarse para aprobar o promocionar productos derivados
de este software sin un previo consentimiento por escrito. Para obtener un consentimiento
por escrito, pngase en contacto con group@php.net.
4. Los productos derivados de este software no podrn denominarse PHP ni podrn incluir
PHP en su nombre sin un previo consentimiento por escrito de group@php.net. Podr
indicar que su software funciona junto con PHP denominndolo X para PHP, en lugar de
denominarlo X de PHP o X_php.
5. The PHP Group podr publicar versiones revisadas y/o nuevas de la licencia cuando
resulte oportuno. Se proporcionar un nmero de versin distintivo a cada versin. Una vez
que se haya publicado el cdigo cubierto de acuerdo con una versin especfica de la licencia,
podr seguir utilizndolo de acuerdo con las condiciones de esa versin. Tambin puede
decidir utilizar dicho cdigo cubierto de acuerdo con las condiciones de cualquier versin
posterior de la licencia publicada por The PHP Group. nicamente The PHP Group tiene
derecho a modificar las condiciones aplicables al cdigo cubierto creado de acuerdo con
esta licencia.
6. Las redistribuciones de cualquier tipo debern mantener la siguiente declaracin: "Este
producto incluye software PHP, disponible de manera gratuita en <http://www.php.net/
software/>".
EL EQUIPO DE DESARROLLO DE PHP PROPORCIONA ESTE SOFTWARE TAL CUAL Y
RENUNCIA A CUALQUIER GARANTA EXPLCITA O IMPLCITA, ENTRE LAS QUE SE
INCLUYEN LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD Y ADECUACIN A
UN FIN ESPECFICO. EL EQUIPO DE DESARROLLO DE PHP NO SER RESPONSABLE
EN NINGN CASO DE LOS DAOS Y PERJUICIOS DIRECTOS, INDIRECTOS, IMPREVISTOS, ESPECIALES, EJEMPLARES O RESULTANTES (ENTRE LOS QUE SE INCLUYEN
EL SUMINISTRO DE BIENES O SERVICIOS SUSTITUTIVOS; LA PRDIDA DE USO,
DATOS O BENEFICIOS; O LA INTERRUPCIN DE LA ACTIVIDAD COMERCIAL), SEA
CUAL SEA SU CAUSA Y SEGN CUALQUIER TEORA DE RESPONSABILIDAD, YA SEA
POR CONTRATO, RESPONSABILIDAD ESTRICTA O INCUMPLIMIENTO CONTRACTUAL
(INCLUIDA LA NEGLIGENCIA U OTRAS ACCIONES), DERIVADOS DE CUALQUIER
MODO DEL USO DE ESTE SOFTWARE, AUNQUE SE LE HAYA AVISADO DE LA POSIBILIDAD DE DICHOS DAOS Y PERJUICIOS.
Este software se compone de contribuciones voluntarias realizadas por numerosos individuos
en nombre de The PHP Group.
Puede ponerse en contacto con The PHP Group enviando un correo electrnico a
group@php.net.
Para obtener ms informacin sobre The PHP Group y el proyecto PHP, consulte
<http://www.php.net>.
PHP incluye el motor Zend, disponible de manera gratuita en <http://www.zend.com>.
487
Zlib
Zlib
Copyright (C) 1995-2005 Jean-Loup Gailly y Mark Adler.
Este software se proporciona tal cual, sin ninguna garanta explcita o implcita. Los autores
no sern responsables en ningn caso de los daos y perjuicios derivados del uso de este
software.
Se concede permiso a cualquier persona para utilizar este software con cualquier fin, incluidas
aplicaciones comerciales, y para modificarlo y redistribuirlo libremente, respetando las
siguientes restricciones:
1. El origen de este software no debe falsearse; usted no puede afirmar que cre el software
original. Si utiliza este software en un producto, puede incluir un reconocimiento en la
documentacin del producto, pero no es necesario.
2. Las versiones cuyo cdigo fuente est modificado deben indicarse claramente como tales y
no deben presentarse falsamente como si fueran el software original.
3. Este aviso no puede eliminarse ni modificarse en ninguna distribucin de cdigo fuente.
Jean-Loup Gailly jloup@gzip.org
Mark Adler madler@alumni.caltech.edu
488
Apndice E
ACCESO DE LOS CORTAFUEGOS A RECURSOS
WEB EXTERNOS
Palo Alto Networks mantiene una infraestructura de Content Delivery Network (CDN, Red
de entrega de contenidos) para entregar actualizaciones de contenidos a los dispositivos de
Palo Alto Networks. Estos dispositivos acceden a los recursos de Internet en la CDN para
realizar varias funciones de ID de aplicaciones y de ID de contenidos. Las siguientes secciones
indican a qu recursos web accede el cortafuegos segn la funcin o la aplicacin para la que
se necesitan:
WildFire
489
updates.paloaltonetworks.com:443
updates.paloaltonetworks.com:443
downloads.paloaltonetworks.com:443
Como prctica recomendada, establezca la configuracin del servidor de actualizaciones para que acceda
a updates.paloaltonetworks.com. De esta forma, el dispositivo de Palo Alto Networks podr recibir
actualizaciones de contenidos desde el servidor que est ms cerca en la infraestructura de CDN.
Si se necesita un servidor esttico, establezca el servidor de actualizaciones para que acceda al
nombre de nombre de host staticupdates.paloaltonetworks.com o a la direccin IP 199.167.52.15.
*urlcloud.paloaltonetworks.com
database.brightcloud.com:443/80
service.brightcloud.com:80
WildFire
El cortafuegos accede a los siguientes recursos web cuando se realizan actualizaciones
de WildFire:
beta.wildfire.paloaltonetworks.com:443/80
beta-s1.wildfire.paloaltonetworks.com:443/80
Solo es posible acceder a los sitios Beta por un cortafuegos que est ejecutando una versin Beta.
490
WildFire
mail.wildfire.paloaltonetworks.com:25
wildfire.paloaltonetworks.com:443/80
wildfire.paloaltonetworks.com:443
ca-s1.wildfire.paloaltonetworks.com:443
va-s1.wildfire.paloaltonetworks.com:443
eu-s1.wildfire.paloaltonetworks.com:443
sg-s1.wildfire.paloaltonetworks.com:443
jp-s1.wildfire.paloaltonetworks.com:443
ca-s2.wildfire.paloaltonetworks.com:443
va-s2.wildfire.paloaltonetworks.com:443
eu-s2.wildfire.paloaltonetworks.com:443
sg-s2.wildfire.paloaltonetworks.com:443
jp-s2.wildfire.paloaltonetworks.com:443
portal3.wildfire.paloaltonetworks.com:443/80
ca-s3.wildfire.paloaltonetworks.com:443
va-s3.wildfire.paloaltonetworks.com:443
eu-s3.wildfire.paloaltonetworks.com:443
sg-s3.wildfire.paloaltonetworks.com:443
jp-s3.wildfire.paloaltonetworks.com:443
wildfire.paloaltonetworks.jp:443/80
wf1.wildfire.paloaltonetowrks.jp:443
wf2.wildfire.paloaltonetworks.jp:443
portal.wildfire.paloaltonetworks.jp:443/80
wf3.wildfire.paloaltonetworks.jp:443
wf4.wildfire.paloaltonetworks.jp:443
491
WildFire
492
ndice
A
actualizacin
definiciones de aplicaciones y amenazas 68
programaciones 443
software Panorama 445
software PAN-OS 66, 77, 428
actualizaciones dinmicas
acerca de 68
programacin 443
administrador
bloqueo de pgina 76, 412, 427
cuentas, acerca de 70
funciones, acerca de 70
funciones, definicin 71
opciones de autenticacin 70
perfiles, acerca de 70
agente
configuracin de GlobalProtect 398
identificacin de usuario (User-ID) 348
uso de GlobalProtect 398
Agente de ID de usuario (User-ID)
configuracin de cortafuegos 341
Agente de identificacin de usuarios (User-ID)
configuracin de portal cautivo 353
alarmas
configuracin de log 89
icono de alarma 89
no reconocidas 89
reconocidas 89
umbrales 204
visualizacin 89
visualizacin del icono 89
almacenamiento de candidata 38, 46
alta disponibilidad
acerca de 114
activa/activa 114
activa/pasiva 114
configuracin 114
configuracin en Panorama 415
Panorama 415
reglas de funcionamiento y conmutacin por
error 114
alta disponibilidad activa/activa 114
alta disponibilidad activa/pasiva 114
493 ndice
B
base de conocimientos 130
base de datos de usuario, VPN SSL 80
BGP
enrutadores virtuales 171, 174, 175, 176, 180,
181
bloqueo de archivo
configuracin 269
definicin de perfiles 269
bloqueo de archivos
perfiles, definicin 302
bloqueo de cuenta de usuario 76, 427
bloqueo en la pgina del administrador 76, 412,
427
bloqueo, perfiles de archivo 269
botnets
acerca de 329
informes 329
Bsquedas seguras 267
C
cable virtual (virtual wire)
definicin 131
campos obligatorios 20
Captura de paquetes 328
captura de paquetes
acceso 328
captura de archivos 338
configuracin de ajustes de captura 338
configuracin de perfiles 255, 262
realizacin de capturas 338
caractersticas y ventajas 12
centro de comando de aplicacin (ACC), uso 311
certificados
exportacin 108
importar 108
cifrado de claves privadas y contraseas 112
clave maestra y pgina de diagnstico 112
clave privada, cifrado 112
clientes
descarga y activacin de GlobalProtect 396
infectados de botnet 329
clientes infectados de botnet 329
comodn
categoras URL personalizadas 296
patrones para listas de permitidas y
bloqueadas 264
comparacin de configuraciones 59
compilacin
cambios 19
opciones 19
Panorama 428
configuracin activa, actualizacin 38, 46
configuracin candidata
acerca de 38, 46
almacenamiento y restablecimiento 38, 46
configuracin de dplex 134, 149, 150, 151, 152,
157
494 ndice
Configuracin de ID de contenidos 50
configuracin de notificacin de correo electrnico
definicin 103, 104
en perfiles de logs 304
Configuracin de red 24, 59
configuracin del sistema 128
configuraciones, auditora 59
conmutacin por error 202
contrasea
cifrado 112
complejidad de contrasea mnima 36
nueva 16
perfiles 72
proteccin de datos 51
copia de seguridad de las configuraciones del
cortafuegos 421
correo electrnico
programacin de entrega de informes 335
cortafuegos
Agente de ID de usuario (User-ID) 341
caractersticas y ventajas 12
introduccin 11
latitud y longitud 25
navegacin en la interfaz de usuario 20
uso de la interfaz web 17
cuentas
perfiles de autenticacin 77
requisitos de nombre de usuario y
contrasea 74
D
definicin de las plantillas de configuracin 445
denegacin de servicio (Dos), perfiles 249
Descarte aleatorio temprano 204
descodificadores y acciones 255
destinos de logs
correo electrnico 103, 104
syslog 93
traps SNMP 91
destinos de traps SNMP
definicin 91
en perfiles de logs 304
DHCP
configuracin 197, 399
opciones de cortafuegos 197
retransmisin 197
servidores 197
direcciones
definicin de grupos 280
definicin de grupos de direcciones 280
direcciones IPv6 279
dispositivo principal 422
dispositivos
cmo aadir 418, 419
principal 422
DNS
servidores 197
dominios de acceso
cortafuegos 71, 77
Panorama 428
DoS
perfiles 249
perfiles de proteccin 249
duplicar deteccin de direccin (DAD) 139, 146,
160
E
edicin de ajustes en una pgina 19
Ejemplos de poltica
NAT 228
enlaces de pgina de log 313
enrutadores virtuales
configuracin 166, 191
siguiente salto 167
entradas ARP
en interfaces de capa 3 principales 143
en interfaces VLAN 136
entradas de ARP
en subinterfaces de capa 3 159
estado de enlace
configuracin 134, 149, 150, 151, 152, 157
visualizacin 310
estado de los enlaces en el pasivo 121
etiquetas
en cables virtuales (Virtual Wire) 132
en subinterfaces de capa 2 149
excepciones de aplicacin 255
Explorador de sesin 329
exploradores compatibles 21
exploradores, compatibles 21
exportaciones
certificados 105
lote de configuracin 444
programacin de logs 85
exportaciones de logs 85
exportaciones de lote de configuracin 444
expresiones regulares, patrones de datos 295
F
filtrado de datos
coincidencias HIP en pgina de ACC 314
configuracin de patrn 275
configuracin de perfil 274, 277
definicin de perfiles 274
lista 314
logs de visualizacin 329
pgina de ACC 314
patrones de datos 298
perfiles 274
perfiles y patrones 275
filtrado de URL
bsquedas seguras 267
categorizacin dinmica 266
configuracin de cancelacin 51
configuracin de perfil 263
definicin de perfiles 263
lista 314
log de visualizacin 328
pgina de respuesta de continuacin y
cancelacin 128
pginas de ACC 314
pginas de respuesta 129
filtros
aplicacin 284, 291
subcategora 284
FIPS 465
firmas
personalizadas 299
spyware 299
vulnerabilidad 299
firmas personalizadas
acerca de 299
spyware 299
vulnerabilidad 299
Flujo de red
acerca de 104
configuracin 104
funciones
acerca de 70
administrador que define 71
G
gestin de configuracin 38, 46
gestin de configuraciones 38, 46
GlobalProtect
configuracin de agentes 398
configuracin de puertas de enlace 376
descarga y activacin de clientes 396
pgina de respuesta 128
uso del agente 398
grupo Diffie-Hellman (DH) 363
grupos
definicin de servicios 293
dispositivo 421
grupos de direcciones, definicin 280
grupos de dispositivos
cmo aadir 421
grupos de enlaces, HA 121
grupos de perfil de seguridad, definicin 302
grupos de perfiles, definicin 302
grupos de rutas, HA 418
grupos de servicios
definicin 293, 294
grupos de servicios, definicin 293
H
hora
configuracin 24, 59
zona 25
I
identificacin del peer 358
identificacin local 358
ndice 495
IKE
configuracin de perfiles criptogrficos 363
definicin de perfiles criptogrficos 363
modo de intercambio 358
proteccin ante fallo del peer 359
implementacin, visualizacin de la
informacin 442
informacin confidencial, proteccin 51
informacin de asistencia tcnica 130
informacin de asistencia tcnica,
visualizacin 130
informes
50 principales 336
actividad del usuario 334, 441
creacin de grupos personalizados 335
personalizados 337
programacin de entrega de correo
electrnico 335
resumen en PDF 332
visualizacin 336
informes de Appscope
informe de resumen 317
informe del mapa de amenazas 321, 324
visualizacin 316
informes de de Appscope
informe del supervisor de cambios 318
informe del supervisor de red 322
informes de grupos personalizados 335
informes de resumen en PDF
creacin 333, 335
diseo 333
visualizacin 332, 333
Informes personalizados 337
informes y logs
identificacin de aplicaciones
desconocidas 338
uso del centro de comando de aplicacin 311
uso del panel 310
visualizacin de informes 336, 337
visualizacin de informes de Appscope 316
visualizacin de resmenes en PDF 332
interfaces
visualizacin de estado 310
interfaces de loopback
definicin 161
interfaces de loopback sin numerar 161
interfaces de tnel 360
interfaces L3
puertas de enlace compartidas 127
interfaz de gestin
CLI 13
configuracin 24, 59
opciones 13
Panorama 13
web 13
interfaz web
campos obligatorios 20
compilacin de cambios 19
exploradores compatibles 21
496 ndice
navegacin 20
uso 17
uso de tablas 20
intervalo de saludo, HA 417
Inundacin de ICMP 204
Inundacin de UDP 205
Inundacin SYN 204
inundaciones, configuracin de proteccin de
zonas 203, 204, 205, 206, 208, 209, 401
IPSec
configuracin de perfiles criptogrficos 364
configuracin de tneles 359
definicin de perfiles criptogrficos 364
IPv6 201
K
Kerberos
configuracin de ajustes de servidor 83
funciones de administrador 70
L
latitud y longitud 25
LDAP
autenticacin 70
configuracin de ajustes de servidor 82
licencias
cdigo abierto 467
instalacin 60
licencias de cdigo abierto 467
lista de amenazas 314
lista de aplicaciones 314
lista de bloqueadas
patrones de comodines 264
perfil de filtrado de URL 264
lista de permitidas
patrones de comodines 264
perfil de filtrado de URL 265
Listas de bloque dinmico 297
log amenaza 304
log de amenazas
definicin de logs remotos 302
visualizacin 328
log de configuracin
definicin de logs remotos 86, 89, 91
visualizacin 329
log de sistema
visualizacin 329
log de trfico 303
definicin de logs remotos 302
visualizacin 328
logs 328
ajustes de configuracin 87
alarmas 89
almacenamiento en un servidor FTP 85
borrado 91
coincidencias HIP 329
configuracin de coincidencias HIP 88
definicin de logs remotos
M
MD5 175
MIB 45, 93
modificacin de ajustes en una pgina 19
Modo de intercambio 358
monitor de tnel
perfiles 202
multicast de origen especfico (SSM) 195
N
NAT
definicin de polticas 233
NAT64 228
polticas 225
navegacin 20
navegacin de la interfaz de usuario 20
NFS 414
almacenamiento de logs externo 414
alta disponibilidad de Panorama 417
particiones de almacenamiento 414
no fragmentar (DF) 208
nombre de dominio 25
nombre de host, definicin 24, 59
NSSA (not so stub area) 172, 177
NT LAN Manager (NTLM) 249
O
objetos
descripcin general 278
obtencin de ayuda 18
opciones de descarte, perfiles DOS 206
P
pgina de bloqueo de archivo 455
pginas de bloque HTML 453
pginas de respuesta
antivirus 128, 454
Ayuda de portal de GlobalProtect 128
bloque de aplicacin 128, 455
bloqueo de aplicacin 128, 455
continuacin y cancelacin de filtrado de
URL 128, 129
definicin 128
exclusin de descifrado de SSL 128
Inicio de sesin de portal de GlobalProtect 128
notificacin de certificado SSL revocado 458
opcin continua de bloqueo de archivo 128
interfaces L3 127
puertas de enlace de IKE
configuracin 358
definicin 357
puertos HA1 y HA2 114
punto de encuentro 192
Q
QoS
clases 402, 403
configuracin 219, 224
configuracin de prioridad 402
configuracin de salida (egress) 402
Marca de 219, 224
perfiles 401
polticas 403
trfico de tnel 400
trfico en claro 400
R
RADIUS
autenticacin 70
definicin de la configuracin de servidor 81
perfiles de autenticacin 78
reconocimiento de alarmas 89
reenvo basado en polticas (PBF)
acerca de 237
definicin 237
perfiles de supervisin 202
reenvo de logs
configuracin de perfil 303
definicin de perfiles 303
regiones
acerca de 282
polticas 282
reglas
aplicacin de poltica de excepcin 302
poltica de seguridad 217
reinicio del dispositivo 24, 40, 59
reloj, ajuste 24, 59
requisitos de nombre de usuario y contrasea 74
resolucin de nombre de host 326
restablecimiento de candidata 38, 46
S
secuencias de autenticacin
acerca de 84
configuracin 84
seguridad
acciones de perfiles de 253
acerca de perfiles de 253
acerca de polticas de 217
definicin de grupos de perfiles 253, 302
grupos de perfiles 302
servicio BrightCloud 266
servicios, definicin 292
servidor FTP, almacenamiento de logs en 85
servidores
definicin de Kerberos 83
definicin de LDAP 82
definicin de RADIUS 81
definicin de syslog 93
servidores NIS 198
servidores NTP 198
servidores syslog
campos de syslog personalizados 95
definicin 93
en perfiles de logs 304
Servidores WINS 197
siguiente salto 167
sistemas virtuales
acerca de 125
definicin 124, 125, 127
definicin de varios 125
habilitacin 25
habilitacin de varios 25
polticas 125
varios 125
zonas de seguridad 125
SNMP
cadena de comunidad 46
configuracin de MIB 45
MIB 93
software
actualizacin 66, 77, 428, 445
actualizacin de Panorama 445
versin 310
software PAN-OS
actualizacin 66, 77, 428
versin 310
solicitud de asistencia tcnica 130
SPT (Shortest Path Tree) 194
SSL
definicin de polticas de descifrado 240
polticas de descifrado 302
referencias de notas tcnicas 240
subcategora
aplicacin 288
filtrado 284
supervisor de tnel
conmutacin por error 202
esperar recuperacin 202
configuracin 359
divisin para VPN SSL 380
tneles VPN
configuracin 359
U
umbrales de respuesta 204, 205
umbrales, alarma 204
utilizacin de CPU 311
utilizacin de la memoria 311
utilizacin del disco 311
V
varios sistemas virtuales 25, 125
velocidad de enlace y dplex 134, 149, 150, 151,
152, 157
velocidad, enlace 134, 149, 150, 151, 152, 157
versin, software 310
visualizacin
explorador de sesin 329
informacin de sesin 329
logs 325
VPN
SSL, acerca de 399
VPN SSL
acerca de 399
base de datos de usuarios local 80
pgina de confort 128
perfiles de autenticacin 77
tneles divididos 380
Z
zonas
en polticas NAT 234
perfiles de proteccin 61, 202, 401
zonas de seguridad
definicin 195
en polticas NAT 234
T
tablas, uso en la interfaz web 20
tiempo de espera 417
Tiempo de espera de URL dinmica 50
tiempo de espera pasivo, HA 417
Tipos de
NAT 226, 232
trfico de tnel y QoS 400
trfico en claro y QoS 400
transferencia de estado representacional (REST) 13
Transport Layer Security (TLS) 82
tneles
ndice 499