pan os webinterfaceref 61 spanish

8/20/2019 PAN OS WebInterfaceRef 61 Spanish

1/498

Palo Alto Networks®

Guía de referencia de interfaz webVersión 6.1


2/498

2

Información de contacto

Sede de la empresa:

Guía del administrador

4401 Great America Parkway

Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía

Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos dela interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en elcortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consultehttps://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistenciatécnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software enhttps://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: [email protected].

Palo Alto Networks, Inc.

www.paloaltonetworks.com

© 2014 Palo Alto Networks. Todos los derechos reservados.

Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.

Fecha de revisión: noviembre 14, 2014

https://support.paloaltonetworks.com/https://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://www.paloaltonetworks.com/documentationhttps://live.paloaltonetworks.com/https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/https://live.paloaltonetworks.com/https://www.paloaltonetworks.com/documentationhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://support.paloaltonetworks.com/


3/498

Palo Alto Networks • 3

noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Capítulo 1Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Interfaces de gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Capítulo 2Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Preparación del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Configuración del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Navegación a páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Uso de tablas en páginas de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 22

Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Capítulo 3Gestión de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . 24Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 42

SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Definición de la configuración de ID de contenido (content-id) . . . . . . . . . . . . . . . 50Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Tiempos de espera de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . 57Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy. 58

Contenido


4/498

4 • Palo Alto Networks

Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 68Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . .71

Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Requisitos de nombre de usuario y contraseña. . . . . . . . . . . . . . . . . . . . . . . . 74

Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 77Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 80Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . 81Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Configuración de ajustes de Kerberos (autenticación nativa de Active Directory) . . 83Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 84Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Definición de la configuración del log Configuración . . . . . . . . . . . . . . . . . . . . . . 87Definición de la configuración del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Definición de la configuración de log Coincidencias HIP . . . . . . . . . . . . . . . . . . . 88Definición de la configuración del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Descripción de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 95Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . 103Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Gestión de certificados de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Gestión de entidades de certificación de confianza predeterminadas . . . . 109Creación un perfil de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 112Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 127Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 128Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 130

Capítulo 4Configuración de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Definición de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . 132

Configuración de una interfaz Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Configuración de una subinterfaz Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . 141Configuración de interfaces de cable virtual (Virtual Wire) . . . . . . . . . . . . 148Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . 149Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . 151


5/498


Configuración de una interfaz de reflejo de descifrado. . . . . . . . . . . . . . . 151Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . 152Configuración de una interfaz Ethernet de agregación. . . . . . . . . . . . . . . . 155Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Configuración de una interfaz de loopback . . . . . . . . . . . . . . . . . . . . . . . . 161

Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . .163

Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . . 166Configuración de la pestaña Perfiles de redistribución. . . . . . . . . . . . . . . . 167Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Configuración de la pestaña Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Servidor y retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199Definición de perfiles de gestión de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . . 204Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . . 205Configuración de la protección de ataque basada en paquetes . . . . . . . . 206

Capítulo 5Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Directrices de definición de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Especificación de usuarios y aplicaciones para las políticas . . . . . . . . . . . . 214Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Pestaña Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Pestaña Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Pestaña Categoría de URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Pestaña Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Determinación de configuración de zona en NAT y política de seguridad. . 227

Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Ejemplos de política NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . . 233Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237


6/498


Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241

Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Definición de políticas de application override . . . . . . . . . . . . . . . . . . . . . . . . . 244Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

Página de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Pestaña Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Definición de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Trabajo con etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . . 298

Definición de patrones de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298


7/498


Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

Capítulo 6Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310Centro de comando de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318Informe del supervisor de amenazas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 329

Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Configuración del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Gestión de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 332Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 334Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335Programación de informes para entrega de correos electrónicos . . . . . . . 335Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Capítulo 7Configuración del cortafuegos para la identificación de usuarios . . . . 341

Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . . 341Pestaña Asignación de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Pestaña Asignación de grupos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Pestaña Configuración de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Capítulo 8Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Pestaña General de puerta de enlace de IKE. . . . . . . . . . . . . . . . . . . . . . . . 358Pestaña Opciones de fase 1 avanzadas de puertas de enlace de IKE . . . . 358

Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360Pestaña Identificador proxy de Túnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . 362Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . 362


8/498


Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Capítulo 9Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . 376Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376Pestaña Configuración clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

Configuración del acceso de la puerta de enlace a un gestor deseguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385Pestaña Dispositivo móvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Pestaña Administración de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Pestaña Cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390Pestaña Antispyware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Pestaña Copia de seguridad de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392Pestaña Cifrado de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393Pestaña Prevención de pérdida de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . 394Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 394

Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . . 396Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

Capítulo 10Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . . 399

Configuración de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399

Definición de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Definición de políticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403Visualización de estadísticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Capítulo 11Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . . 409

Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 414Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415Cómo añadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . . 421


9/498


Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422Aplicación de políticas a un dispositivo específico de un grupo

de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 424Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . . 425

Especificación de dominios de acceso de Panorama para administradores . . . .428

Compilación de los cambios en Panorama. . . . . . . . . . . . . . . . . . . . . . . . . 428Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430

Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432Eliminación de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

Cómo añadir un recopilador de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433Instalación de una actualización de software en un recopilador . . . . . . . . . 438

Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . 438Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 441Visualización de la información de implementación del cortafuegos . . . . . . . . . 442Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Programación de exportaciones de configuración . . . . . . . . . . . . . . . . . . . . . . . 444Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445Habilitación del reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446Registro del cortafuegos de la serie VM como servicio en el administrador NSX . 450

Actualización de información del administrador de servicios VMware. . . . . 452

Apéndice APáginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Página de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454Página de bloqueo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455Página de bloqueo de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455

Página de exclusión de descifrado de SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Página de confort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Página de inicio de sesión de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456Página de notificación de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 458Página de bloqueo de coincidencia de categoría y filtro de URL . . . . . . . . . . . 458Página de continuación y cancelación de filtrado de URL . . . . . . . . . . . . . . . . . . 459Página de bloqueo de aplicación de búsqueda segura de filtro de URL . . . . . . 460

Apéndice BCategorías, subcategorías, tecnologías y características dela aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

Categorías y subcategorías de aplicación. . . . . . . . . . . . . . . . . . . . . . . . . 461Tecnologías de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Características de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463


10/498


Apéndice CCompatibilidad con los estándares federales de procesamiento dela información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Apéndice DLicencias de código abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467

Licencia artística . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469Licencia pública general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470Licencia pública general reducida de GNU. . . . . . . . . . . . . . . . . . . . . . . . 475MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486

PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488

Apéndice EAcceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . . 489

Base de datos de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Base de datos de amenazas/antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Base de datos de filtrado de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . . 490Base de datos de filtrado de URL de Brightcloud . . . . . . . . . . . . . . . . . . . 490WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493


11/498

Palo Alto Networks Introducción • 11

Capítulo 1

Introducción

Esta sección proporciona una descripción general del cortafuegos:

• “Descripción general del cortafuegos”

• “Características y ventajas”• “Interfaces de gestión”

Descripción general del cortafuegos

El cortafuegos de Palo Alto Networks le permite especificar políticas de seguridad basadasen la identificación precisa de cada una de las aplicaciones que quieran acceder a su red.A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones porsu protocolo y número de puerto, este cortafuegos utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y

puertos idénticos, así como para identificar aplicaciones potencialmente malintencionadasque no utilicen puertos estándar.

Por ejemplo, puede definir políticas de seguridad para aplicaciones específicas, en lugar de basarse en una única política para todas las conexiones al puerto 80. Puede especificar unapolítica de seguridad para cada aplicación identificada con el fin de bloquear o permitir eltráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cadapolítica de seguridad puede especificar perfiles de seguridad como protección frente a virus,spyware y otras amenazas.


12/498

Características y ventajas

12 • Introducción Palo Alto Networks

Características y ventajas

El cortafuegos ofrece un control detallado del tráfico que tiene permiso para acceder a su red.Las principales características y ventajas incluyen las siguientes:

• Cumplimiento de políticas basadas en aplicaciones: El control de acceso según

aplicaciones es mucho más eficaz cuando la identificación de las aplicaciones no se basaúnicamente en el protocolo y el número de puerto. Se pueden bloquear las aplicacionesde alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos.El tráfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse einspeccionarse.

• Identificación de usuarios (ID de usuarios): La identificación de usuarios (User-ID)permite que los administradores configuren y apliquen políticas de cortafuegos basadasen usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o además deestas. El cortafuegos puede comunicarse con numerosos servidores de directorio, comoMicrosoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayoría de los otrosservidores de directorio basados en LDAP para la información de usuarios y gruposproporcionada al cortafuegos. A continuación, esta información puede utilizarse para

ofrecer un inestimable método con el que permitir una habilitación de aplicaciones seguraque puede definirse por usuario o grupo. Por ejemplo, el administrador podría permitirque una organización utilizara una aplicación basada en Internet y que ninguna otraorganización de la empresa pudiera utilizarla. También puede configurar un controldetallado de determinados componentes de una aplicación basándose en usuarios ygrupos. Consulte “Configuración del cortafuegos para la identificación de usuarios”.

• Prevención de amenazas: Los servicios de prevención de amenazas que protegen la redfrente a virus, gusanos, spyware y otro tráfico malintencionado pueden variar según laaplicación y el origen del tráfico (consulte “Perfiles de seguridad”).

• Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitiosweb inadecuados (consulte “Perfiles de filtrado de URL”).

• Visibilidad del tráfico: Los extensos informes, registros y mecanismos de notificaciónofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridaden la red. El centro de comando de aplicación (ACC) de la interfaz web identifica lasaplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes ylogs”).

• Versatilidad de red y velocidad: El cortafuegos puede añadirse o sustituir a sucortafuegos existente, y puede instalarse de manera transparente en cualquier red oconfigurarse para permitir un entorno conmutado o enrutado. Las velocidades de variosgigabits y la arquitectura de un único paso ofrecen todos los servicios sin apenas afectar ala latencia de red.

• GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores portátiles,que se utilizan a nivel de campo permitiendo iniciar sesión de manera fácil y seguradesde cualquier parte del mundo.

• Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece unatolerancia a fallos automática en el caso de cualquier interrupción en el hardware o elsoftware (consulte “Habilitación de HA en el cortafuegos”).


13/498

Palo Alto Networks Introducción • 13

Interfaces de gestión

• Elaboración de análisis e informes sobre software malintencionado: WildFireproporciona análisis e informes detallados sobre el software malintencionado quepasa por el cortafuegos.

• Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situadapara su uso en un entorno de centro de datos virtual y adaptada especialmente paraimplementaciones en nubes privadas y públicas. Se instala en cualquier dispositivox86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardwarede Palo Alto Networks.

• Gestión y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitivao una interfaz de línea de comandos (CLI). Del mismo modo, todos los dispositivospueden gestionarse de manera centralizada mediante el sistema de gestión centralizadode Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de losdispositivos.


El cortafuegos admite las siguientes interfaces de gestión. Consulte “Exploradorescompatibles” para obtener una lista de los exploradores compatibles.

• Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPSdesde un explorador web.

• CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet,Secure Shell (SSH) o el puerto de la consola (consulte la Guía de referencia de la interfaz delínea de comandos de PAN-OS).

• Panorama: Es un producto de Palo Alto Networks que permite una gestión, unaelaboración de informes y un registro basados en Internet para varios cortafuegos.La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye

funciones de gestión adicionales. Consulte “Gestión centralizada del dispositivomediante Panorama” para obtener información sobre Panorama.

• Protocolo de gestión de red simple (SNMP): Los productos de Palo Alto Networksson compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a través de SNMP ycompatibilidad con TRAPS. Consulte “Configuración de destinos de traps SNMP”.

• Syslog: Permite la generación de mensajes para uno o más servidores Syslog remotos(consulte “Configuración de servidores Syslog”).

• API XML: Proporciona una interfaz basada en la transferencia de estado representacional(REST) para acceder a la configuración de dispositivos, el estado de funcionamiento,informes y capturas de paquetes desde el cortafuegos. Hay disponible un exploradorde API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host

o la dirección IP del cortafuegos. Este enlace proporciona ayuda sobre los parámetrosnecesarios para cada tipo de llamada de la API. Hay disponible una guía de uso de la APIXML en la comunidad en línea del centro de desarrollo en http://live.paloaltonetworks.com.

http://live.paloaltonetworks.com/http://live.paloaltonetworks.com/


14/498


14 • Introducción Palo Alto Networks


15/498

Palo Alto Networks Primeros pasos • 15

Capítulo 2

Primeros pasos

Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos:

• “Preparación del cortafuegos”

• “Configuración del cortafuegos”• “Uso de la interfaz web del cortafuegos”

• “Obtención de ayuda para la configuración del cortafuegos”

Preparación del cortafuegos

Realice las siguientes tareas para preparar el cortafuegos para la configuración:

1. Monte el cortafuegos en un rack y enciéndalo como se indica en la Guía de referenciade hardware.

2. Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las últimasactualizaciones de software y de identificación de aplicaciones (App-ID) así como activarlas suscripciones y asistencia con los códigos de autorización enviados a su cuenta decorreo electrónico.

3. Obtenga una dirección IP de su administrador de redes para configurar el puerto degestión en el cortafuegos.

Configuración del cortafuegos

Para llevar a cabo la configuración inicial del cortafuegos:1. Conecte su equipo al puerto de gestión (MGT) en el cortafuegos utilizando un cable

Ethernet RJ-45.

2. Encienda su equipo. Asigne una dirección IP estática a su equipo en la red 192.168.1.0(por ejemplo, 192.168.1.5) con una máscara de red de 255.255.255.0.

3. Inicie un explorador web compatible e introduzca https://192.168.1.1.

El explorador abre la página de inicio de sesión de Palo Alto Networks automáticamente.

https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/


16/498

Configuración del cortafuegos

16 • Primeros pasos Palo Alto Networks

4. Introduzca admin en los campos Nombre y Contraseña y haga clic en Inicio de sesión.El sistema presenta una advertencia para cambiar la contraseña predeterminada.Haga clic en ACEPTAR para continuar.

5. En la pestaña Dispositivo, seleccione Configuración y configure lo siguiente (paraobtener instrucciones generales acerca de los ajustes de configuración en la interfaz web,consulte “Uso de la interfaz web del cortafuegos”):

– En la pestaña Administración en Configuración de interfaz de gestión, introduzca ladirección IP, la máscara de red y la puerta de enlace predeterminada del cortafuegos.

– En la pestaña Servicios, introduzca la dirección IP del servidor DNS (Domain NameSystem). Introduzca la dirección IP o el nombre de dominio o de host del servidor deprotocolo de tiempo de red (NTP) y seleccione su zona horaria.

– Haga clic en Asistencia en el menú lateral.Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic enRegistrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos,ha recibido un nombre de usuario y contraseña.)Haga clic en el enlace Activar soporte mediante código de autorización e introduzcalos códigos de autorización recibidos para cualquier función adicional. Utilice unespacio para separar varios códigos de autorización.

6. Haga clic en Administradores bajo la pestaña Dispositivos.

7. Haga clic en admin.

8. En los campos Nueva contraseña y Confirmar nueva contraseña, introduzca y confirmeuna contraseña que distingue entre mayúsculas y minúsculas (hasta 15 caracteres).

9. Haga clic en ACEPTAR para enviar la nueva contraseña.

10. Compile la configuración para activar estos ajustes. Una vez compile los cambios, elcortafuegos será alcanzable a través de la dirección IP asignada en Paso 5. Para obtenerinformación acerca de la compilación de cambios, consulte “Compilación de cambios”.

La configuración predeterminada de fábrica del cortafuegos o después de realizarun restablecimiento de fábrica es un cable virtual (Virtual Wire) entre los puertosEthernet 1 y 2 con una política predeterminada para denegar todo el tráficoentrante y seguir todo el tráfico saliente.


17/498


Uso de la interfaz web del cortafuegos


Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos.

• Para mostrar los elementos del menú para una categoría de funciones general, haga clicen la pestaña, como Objetos o Dispositivo, junto a la parte superior de la ventana del

explorador.

• Haga clic en un elemento en el menú lateral para mostrar un panel.

• Para mostrar los elementos del menú secundario, haga clic en el icono a la izquierdade un elemento. Para ocultar elementos del menú secundario, haga clic en el icono ala izquierda del elemento.

• En la mayoría de las páginas de configuración, puede hacer clic en Añadir para crear unnuevo elemento.

• Para eliminar uno o más elementos, seleccione sus casillas de verificación y haga clic enEliminar. En la mayoría de los casos, el sistema Ie solicita confirmar haciendo clic enACEPTAR o cancelar la eliminación haciendo clic en Cancelar.

• En algunas páginas de configuración, puede seleccionar la casilla de verificación deun elemento y hacer clic en Duplicar para crear un nuevo elemento con la mismainformación que el elemento seleccionado.


18/498



• Para modificar un elemento, haga clic en su enlace subrayado.

• Para visualizar información de ayuda en una página, haga clic en el icono Ayuda en elárea superior derecha de la página.

• Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferiorderecha de la página. La ventana Gestor de tareas se abre para mostrar la lista de tareas, junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la listadesplegable Mostrar para filtrar la lista de tareas.

•Si no se define una preferencia de idioma, el idioma de la interfaz web estará controladopor el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo queutiliza para gestionar el cortafuegos tiene como idioma establecido el español, cuandoinicia sesión en el cortafuegos, la interfaz web estará en español.

Para especificar un idioma que se utilizará siempre para una cuenta dada en lugar delidioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de lapágina y se abrirá la ventana Preferencia de idioma. Haga clic en la lista desplegablepara seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios.


19/498



• En páginas donde aparecen informaciones que puede modificar (por ejemplo, la páginaConfiguración en la pestaña Dispositivos), haga clic en el icono en la esquina superiorderecha de una sección para editar los ajustes.

• Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar paraalmacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuraciónactual de “candidato”.

Compilación de cambiosHaga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro dediálogo compilar.

Las siguientes opciones están disponibles en el cuadro de diálogo compilar. Haga clic enel enlace Avanzado, si es necesario, para mostrar las opciones:

– Incluir configuración de dispositivo y red: Incluir los cambios de configuración dedispositivo y red en la operación de compilación.

– Incluir configuración de objeto compartido: (solo cortafuegos de sistemas virtuales)Incluir los cambios de configuración de objetos compartidos en la operación decompilación.

– Incluir políticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambiosde configuración de objetos y políticas en la operación de compilación.


20/498



– Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegirSeleccionar uno o más sistemas virtuales.

Para obtener más información acerca de la compilación de cambios, consulte“Definición de la configuración de operaciones”.

– Vista previa de cambios: Haga clic en este botón para devolver una ventana con dos

paneles que muestra los cambios propuestos en la configuración del candidato encomparación con la configuración actualmente en ejecución. Puede seleccionar elnúmero de líneas de contexto para mostrar o mostrar todas las líneas. Los cambiosestán indicados con colores dependiendo de los elementos que se han agregado,modificado o eliminado.La función Dispositivo > Auditoría de configuraciones realiza la misma función,consulte “Comparación de archivos de configuración”.

Navegación a páginas de configuraciónCada sección de configuración en la guía muestra la ruta del menú a la página de

configuración. Por ejemplo, para llegar a la página Protección de vulnerabilidades,seleccione la pestaña Objetos y luego seleccione Protección de vulnerabilidades enPerfiles de seguridad del menú lateral. Eso está indicado en esta guía con la siguiente ruta:

Objetos > Perfiles de seguridad > Protección de vulnerabilidades

Uso de tablas en páginas de configuraciónLas tablas en las páginas de configuración incluyen opciones para escoger columnas y orden.Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevopara cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccionecasillas de verificación para elegir qué columnas mostrar.

Campos obligatoriosLos campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratón ohace clic en el área de entrada del campo, aparece un mensaje indicando que el campo esobligatorio.


21/498



Bloqueo de transaccionesLa interfaz web proporciona asistencia para varios administradores permitiendo a unadministrador bloquear un conjunto actual de transacciones y de ese modo evitar cambiosde configuración o compilación de información por otro administrador hasta que se elimineel bloqueo. Se permiten los siguientes tipos de bloqueo:

• Bloqueo de configuración: Bloquea la realización de cambios en la configuración porotros administradores. Se puede establecer este tipo de bloqueo de forma general o paraun sistema virtual. Solo puede eliminarse por el administrador que lo configuró o por unsuperusuario del sistema.

• Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros

administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evitaenfrentamientos que se pueden producir cuando dos administradores están realizandocambios a la vez y el primer administrador finaliza y compila cambios antes de quefinalice el segundo administrador. El bloqueo se libera cuando se compilan los cambiosactuales por el administrador que aplicó el bloqueo o de forma manual.

Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transaccionesactuales que están bloqueadas junto con una marca de tiempo para cada una.

Para bloquear una transacción, haga clic en el icono desbloqueado en la barra superiorpara abrir el cuadro de diálogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el ámbitodel bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionalescomo sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de diálogo Bloqueo.

La transacción está bloqueada y el icono en la barra superior cambia por un icono bloqueadoque muestra el número de elementos bloqueados en las paréntesis.

Para desbloquear una transacción, haga clic en el icono bloqueado en la barra superiorpara abrir la ventana Bloqueos. Haga clic en el icono del bloqueo que desea eliminar yhaga clic en Sí para confirmar. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo.

Puede organizar la adquisición de un bloqueo de compilación de forma automáticaseleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo. Consulte

“Configuración del sistema, configuración y gestión de licencias”.


22/498

Obtención de ayuda para la configuración del cortafuegos


Exploradores compatiblesLos siguientes exploradores web son compatibles para acceder a la interfaz web delcortafuegos:

• Internet Explorer 7+

• Firefox 3.6+• Safari 5+

• Chrome 11+

Obtención de ayuda para la configuración delcortafuegos

Utilice la información que aparece en esta sección para obtener ayuda acerca del usodel cortafuegos.

Cómo obtener más informaciónPara obtener más información acerca del cortafuegos, consulte:

• Información general: Visite http://www.paloaltonetworks.com .

• Documentación: Para obtener información sobre funciones adicionales einstrucciones sobre cómo configurar las funciones en el cortafuegos, consultehttps://www.paloaltonetworks.com/documentation.

• Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz

web para acceder al sistema de ayuda en línea.• Base de conocimientos: Para acceder a la base de conocimientos, área de

colaboración para la interacción cliente/socio, foros foros de debate y vídeos,vaya a https://live.paloaltonetworks.com.

Asistencia técnicaPara obtener asistencia técnica, información sobre los programas de asistencia técnica ogestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.

http://www.paloaltonetworks.com/https://www.paloaltonetworks.com/documentationhttps://live.paloaltonetworks.com/https://support.paloaltonetworks.com/https://support.paloaltonetworks.com/https://live.paloaltonetworks.com/https://www.paloaltonetworks.com/documentationhttps://www.paloaltonetworks.com/documentationhttp://www.paloaltonetworks.com/


23/498

Palo Alto Networks Gestión de dispositivos • 23

Capítulo 3

Gestión de dispositivos

Utilice las siguientes secciones para obtener referencia de campo sobre la configuración desistema básica y tareas de mantenimiento en el cortafuegos:

• “Configuración del sistema, configuración y gestión de licencias”

• “Definición de orígenes de información de VM”

• “Instalación de software”

• “Actualización de definiciones de aplicaciones y amenazas”

• “Funciones, perfiles y cuentas de administrador”

• “Configuración de perfiles de autenticación”

• “Configuración de una secuencia de autenticación”

• “Creación un perfil de certificados”

• “Programación de exportaciones de logs”

• “Definición de destinos de logs”

• “Definición de la configuración del log Alarma”

• “Configuración de ajustes de flujo de red”

• “Uso de certificados”

• “Cifrado de claves privadas y contraseñas del cortafuegos”

• “Habilitación de HA en el cortafuegos”

• “Definición de sistemas virtuales”• “Definición de páginas de respuesta personalizadas”

• “Visualización de información de asistencia técnica”


24/498

24 • Gestión de dispositivos Palo Alto Networks

Configuración del sistema, configuración y gestión de licenciasEn las siguientes secciones se describe cómo definir la configuración de red para el acceso degestión (el cual define las rutas de servicio y los servicios), y cómo gestionar las opciones deconfiguración (como los tiempos de espera de sesión globales, identificación de contenido,análisis e informes de software malintencionado de WildFire):

• “Definición de la configuración de gestión”• “Definición de la configuración de operaciones”

• “Definición de módulos de seguridad de hardware”

• “SNMP”

• “Definición de la configuración de servicios”

• “Definición de la configuración de ID de contenido (content-id)”

• “Configuración de ajustes de WildFire”

• “Definición de la configuración de sesión”• “Comparación de archivos de configuración”

• “Instalación de una licencia”

Definición de la configuración de gestión Dispositivo > Configuración > Gestión

Panorama > Configuración > Gestión

En un cortafuegos, utilice la pestaña Dispositivo > Configuración > Gestión para configurar

la configuración de gestión.En Panorama, utilice la pestaña Dispositivo > Configuración > Gestión para configurar loscortafuegos usando plantillas de Panorama. Utilice la pestaña Panorama > Configuración >Gestión para configurar los ajustes de Panorama.

Para la gestión de cortafuegos, de forma optativa también puede utilizar ladirección IP de una interfaz de loopback para el puerto de gestión(consulte “Configuración de una interfaz de loopback”).


25/498


Tabla 1. Configuración de gestión

Elemento Descripción

Configuración general

Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). El nombrehace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Utilice únicamente letras, números, espacios, guiones y guiones bajos.

Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos(de hasta 31 caracteres).

Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de iniciode sesión del cortafuegos. El texto se muestra debajo de los camposNombre y Contraseña.

Zona horaria Seleccione la zona horaria del cortafuegos.

Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable.Consulte “Gestión de informes de resumen en PDF”.

Aunque haya establecido una preferencia de idioma específica para

la interfaz web, los informes en PDF seguirán utilizando el idiomaespecificado en este ajuste de configuración regional. Consulte laspreferencias de idioma en “Uso de la interfaz web del cortafuegos”.

Fecha y hora Para establecer la fecha y la hora del cortafuegos, haga clic en Establecerfecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o hagaclic en el icono de calendario para seleccionar un mes y un día.Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).También puede definir un servidor NTP desde Dispositivo >Configuración > Servicios.

Número de serie (solomáquinas virtuales)

Introduzca el número de serie del cortafuegos/Panorama. Busque elnúmero de serie en el correo electrónico de ejecución de pedido que se leha enviado.

Ubicación geográfica Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0)del cortafuegos.

Adquirir bloqueode compilaciónautomáticamente

Aplique automáticamente un bloqueo de compilación cuando cambiela configuración candidata. Para obtener más información, consulte“Bloqueo de transacciones”.

Comprobación delvencimiento delcertificado

Indique al cortafuegos que deberá crear mensajes de advertencia cuandose acerque la fecha de vencimiento de los certificados integrados.

Capacidad de cortafuegosvirtuales

Activa el uso de varios sistemas virtuales (si el modelo de cortafuegosadmite esa función). Para obtener más información, consulte “Definiciónde sistemas virtuales”.

Configuración de autenticación

Perfil de autenticación Seleccione el perfil de autenticación que debe utilizar el administradorpara acceder al cortafuegos. Para obtener instrucciones sobre cómoconfigurar perfiles de autenticación, consulte “Configuración de perfilesde autenticación”.

Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administradorpara acceder al cortafuegos. Para obtener instrucciones sobre cómoconfigurar perfiles de autenticación, consulte “Creación un perfil decertificados”.


26/498


Tiempo de espera deinactividad

Introduzca el intervalo de tiempo de espera en minutos (0-1440). Si elvalor es 0, la sesión de gestión, web o de CLI no presenta ningún tiempode espera.

N.º de intentos fallidosIntroduzca el número de intentos de inicio de sesión fallidos (0-10,predeterminado 0) que PAN-OS permite para la interfaz web y la CLIantes de bloquear la cuenta. Un valor de 0 significa que el número deintentos es ilimitado.

Tiempo de bloqueoIntroduzca el número de minutos (0-60) que PAN-OS bloquea a unusuario si se alcanza el límite de N.º de intentos fallidos. El valorpredeterminado de 0 significa que el número de intentos es ilimitado.

Ajustes de Panorama: Dispositivo > Configuración > GestiónSi usa Panorama para gestionar el cortafuegos, configure los siguientes ajustes en el cortafuegos o enuna plantilla de Panorama. Estos ajustes establecen una conexión entre el cortafuegos y Panorama ydeterminan los tiempos de espera de la conexión. Si edita la configuración en un cortafuegos (no enuna plantilla en Panorama), también puede activar o desactivar la propagación de políticas, objetos,grupos de dispositivos e información de plantilla desde Panorama al cortafuegos.

Nota: También debe configurar los tiempos de espera y los ajustes de uso compartido del objeto en Panorama:consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”.

Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. Si Panorama tieneuna configuración de alta disponibilidad (HA), introduzca la direcciónIP del servidor secundario de Panorama en el segundo campoServidores de Panorama.

Tiempo de espera derecepción para conexióna Panorama

Introduzca el tiempo de espera para recibir mensajes de TCP dePanorama (1-240 segundos; valor predeterminado: 240).

Tiempo de espera deenvío para conexión aPanorama

Introduzca el tiempo de espera para enviar mensajes de TCP aPanorama (1-240 segundos; valor predeterminado: 240).

Reintentar recuento deenvíos SSL a Panorama

Introduzca el número de reintentos para enviar mensajes de capa desockets seguros (SSL) a Panorama (1-64; valor predeterminado: 25).

Tabla 1. Configuración de gestión (Continuación)



27/498


Deshabilitar/Habilitarobjetos y política dePanorama

Este botón aparece cuando edita los Ajustes de Panorama enun cortafuegos (no en una plantilla en Panorama). De formapredeterminada, Panorama propaga las políticas y objetos que sedefinen para un grupo de dispositivos a los cortafuegos asignados aese grupo. Si hace clic en Desactivar política y objetos de Panorama,se desactiva esa propagación. De forma predeterminada, esta operacióntambién elimina estas políticas y objetos del cortafuegos.

Para conservar una copia local de las políticas y objetos del grupo dedispositivos del cortafuegos antes de desactivar la propagación, en elcuadro de diálogo que abre el botón, seleccione la casilla de verificaciónImportar política y objetos de Panorama antes de desactivar. En esemomento, cuando hace clic en Aceptar, PAN-OS copia las políticas yobjetos en la configuración candidata actual. Después de realizaruna compilación, las políticas y objetos pasan a formar parte de laconfiguración del cortafuegos: Panorama deja de gestionarlos.

En condiciones normales de funcionamiento, desactivar la gestión dePanorama es innecesario y podría complicar el mantenimiento y la

configuración del cortafuegos. Esta opción suele aplicarse a situacionesen las que el cortafuegos necesita reglas y valores de objeto distintos alos definidos en el grupo de dispositivos. Un ejemplo de situación escuando saca un cortafuegos de la producción y lo introduce en unentorno de laboratorio para realizar pruebas.

Para invertir la política de cortafuegos y la gestión de objetos enPanorama, haga clic en Habilitar objetos y política de Panorama.

Deshabilitar/habilitarplantilla de dispositivoy red

Este botón aparece cuando edita los Ajustes de Panorama en uncortafuegos (no en una plantilla en Panorama). De forma predeterminada,Panorama propaga las configuraciones de dispositivo y red definidaspara una plantilla a los cortafuegos asignados a esa plantilla. Si haceclic en Deshabilitar plantilla de dispositivo y red, desactivará lapropagación. De forma predeterminada, esta operación también elimina

la información de plantilla del cortafuegos.Para conservar una copia local de la información de plantilla delcortafuegos antes de desactivar la propagación, en el cuadro de diálogoque se abre al hacer clic en el botón, seleccione la casilla de verificaciónImportar plantillas de dispositivos y red antes de deshabilitarlas.En ese momento, cuando hace clic en Aceptar, PAN-OS copia lainformación definida en la plantilla en la configuración candidataactualgdel cortafuegos. Después de realizar una compilación, lainformación de la plantilla pasa a formar parte de la configuracióndel cortafuegos: Panorama deja de gestionar esa información.

En condiciones normales de funcionamiento, desactivar la gestión dePanorama es innecesario y podría complicar el mantenimiento y laconfiguración del cortafuegos. Esta opción suele aplicarse a situaciones

en las que el cortafuegos necesita reglas y valores de objeto distintos alos definidos en el grupo de dispositivos. Un ejemplo de situación escuando saca un cortafuegos de la producción y lo introduce en unentorno de laboratorio para realizar pruebas.

Para que el cortafuegos deje de aceptar plantillas, haga clic en Habilitarplantilla de dispositivo y red.




28/498


Ajustes de Panorama: Panorama > Configuración > GestiónSi usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estosajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones entre

Panorama y los cortafuegos gestionados, así como los parámetros de uso compartido de los objetos. Nota: También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla enPanorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”.

Tiempo de espera derecepción para conexióna dispositivo

Introduzca el tiempo de espera para recibir mensajes de TCP de todoslos cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).

Enviar tiempo de esperade conexión a dispositivo

Introduzca el tiempo de espera para enviar mensajes de TCP a todos loscortafuegos gestionados (1-240 segundos; valor predeterminado: 240).

Reintentar recuento deenvío SSL a dispositivo

Introduzca el número de reintentos para enviar mensajes de capa desockets seguros (SSL) a los cortafuegos gestionados (1-64; valorpredeterminado: 25).

Compartir dirección sin

utilizar y objetos deservicio con dispositivos

Seleccione esta casilla de verificación para compartir todos los objetos

compartidos de Panorama y los objetos específicos de grupos dedispositivos con cortafuegos gestionados. Este ajuste está deshabilitadode manera predeterminada.

Si desactiva la casilla de verificación, PAN-OS busca en las políticas dePanorama referencias a direcciones, grupos de direcciones, servicios yobjetos de grupo de servicio y no comparte ningún objeto sin referencia.Esta opción reduce el recuento total de objetos asegurándose de quePAN-OS solo envía los objetos necesarios a cortafuegos gestionados.

Los objetos compartidostienen prioridad

Seleccione la casilla de verificación para especificar que los objetoscompartidos preceden a los objetos de grupos de dispositivos. En estecaso, los objetos de grupos de dispositivos no pueden cancelar losobjetos correspondientes con el mismo nombre de una ubicacióncompartida; PAN-OS descarta cualquier objeto de un grupo de

dispositivos con el mismo nombre que un objeto compartido.De forma predeterminada, se desactiva este ajuste del sistema:los grupos de dispositivos cancelan los objetos correspondientesque tengan el mismo nombre.




29/498


Configuración de interfaz de gestiónEsta interfaz se aplica al cortafuegos, dispositivo M-100 de Panorama o dispositivo virtual dePanorama.

De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión (MGT) paraconfiguración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador,se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredesEth1 o Eth2. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud deprefijo (para IPv6). El dispositivo virtual de Panorama no admite interfaces separadas.

Nota: Para completar la configuración de la interfaz de gestión, debe especificar la dirección IP, la máscara dered (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila unaconfiguración parcial (por ejemplo, podría omitir la puerta de enlace predeterminada), solo puede acceder aldispositivo a través del puerto de la consola para futuros cambios de configuración. Recomendamos que compileuna configuración completa.

Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto de gestión.De forma alternativa, puede asignar la dirección IP de una interfaz de

loopback para la gestión de dispositivos.De manera predeterminada, esta es la dirección de origen para elreenvío de logs.

Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto de gestión, introduzca unamáscara de red (por ejemplo, 255.255.255.0).

Puerta de enlacepredeterminada

Si ha asignado una dirección IPv4 al puerto de gestión, asigne unadirección IPv4 al enrutador predeterminado (debe estar en la mismasubred que el puerto de gestión).

Dirección IPv6/longitudde prefijo

Si la red utiliza IPv6, asigne una dirección IPv6 al puerto de gestión.Para indicar la máscara de red, introduzca una longitud de prefijo paraIPv6 (por ejemplo 2001:400:f00::1/64).

Puerta de enlace IPv6predeterminada

Si ha asignado una dirección IPv6 al puerto de gestión, asigne unadirección IPv6 al enrutador predeterminado (debe estar en la mismasubred que el puerto de gestión).

Velocidad Configure una tasa de datos y una opción de dúplex para la interfazde gestión. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps condúplex completo o medio. Utilice el ajuste de negociación automáticapredeterminado para que el dispositivo (Panorama o el cortafuegos)determine la velocidad de interfaz.

Este ajuste debe coincidir con la configuración de los puertos del equipode red vecino.

MTU Introduzca la unidad máxima de transmisión (MTU) en bytes paralos paquetes enviados en esta interfaz (intervalo 576-1500, opciónpredeterminada 1500).

Servicios Seleccione los servicios que quiere que se habiliten en la dirección deinterfaz de gestión especificada: HTTP, OCSP de HTTP, HTTPS, Telnet,SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL deescucha de Syslog de ID de usuario, UDP de escucha de Syslog de IDde usuario.




30/498


Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestiónde cortafuegos. Cuando utilice esta opción para el dispositivo M-100 dePanorama, agregue la dirección IP de cada cortafuegos gestionado o,de lo contrario, el cortafuegos no podrá conectar ni reenviar logs aPanorama, ni recibir actualizaciones de configuración.

Ajustes de la interfaz Eth1Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panoramani el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión paraconfiguración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,si habilita Eth1, puede configurarlo para la recopilación de logs o comunicación de grupos derecopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).

Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP, la máscara de red(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.

Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1.

Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth1.

Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto, introduzca una máscarade red (por ejemplo, 255.255.255.0).


Si ha asignado una dirección IPv4 al puerto, asigne una dirección IPv4al enrutador predeterminado (debe estar en la misma subred que elpuerto Eth1).


Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth1.Para indicar la máscara de red, introduzca una longitud de prefijopara IPv6 (por ejemplo 2001:400:f00::1/64).



Velocidad Configure una tasa de datos y una opción de dúplex para la interfazEth1. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplexcompleto o medio. Utilice el ajuste de negociación automáticapredeterminado para que Panorama determine la velocidad de interfaz.

Este ajuste debe coincidir con la configuración de los puertos del equipode red vecino.


Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1.

Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestiónde Eth1.

Ajustes de la interfaz Eth2Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panoramani el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestión paraconfiguración, recopilación de logs y comunicación de grupos de recopiladores. Sin embargo,si habilita Eth2, puede configurarlo para la recopilación de logs o comunicación de grupos derecopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).

Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP, la máscara de red(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.

Eth2 Seleccione esta casilla de verificación para activar la interfaz Eth2.




31/498


Dirección IP (IPv4) Si la red utiliza IPv4, asigne una dirección IPv4 al puerto Eth2.

Máscara de red (IPv4) Si ha asignado una dirección IPv4 al puerto, introduzca una máscara dered (por ejemplo, 255.255.255.0).




Si la red utiliza IPv6, asigne una dirección IPv6 al puerto Eth2.Para indicar la máscara de red, introduzca una longitud de prefijopara IPv6 (por ejemplo 2001:400:f00::1/64).


Si ha especificado una dirección IPv6 al puerto, asigne una direcciónIPv6 al enrutador predeterminado (debe estar en la misma subred queel puerto Eth2).

Velocidad Configure una tasa de datos y una opción de dúplex para la interfazEth2. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dúplexcompleto o medio. Utilice el ajuste de negociación automática predeter-minado para que Panorama determine la velocidad de interfaz.Este ajuste debe coincidir con la configuración de los puertos del equipode red vecino.


Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2.

Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestiónde Eth2.




32/498


Configuración de log e informesUtilice esta sección de la interfaz para modificar para modificar las siguientes opciones:

• Cuotas de almacenamiento de logs para el cortafuegos (Dispositivo > Configuración > Gestión).

• Cuotas de almacenamiento de logs para una máquina virtual de Panorama VM o en un dispositivoM-100 en modo Panorama (Panorama > Configuración > Gestión).

Nota: Para configurar las cuotas para cada tipo de log en un dispositivo M-100 en modo de recopilador de logs,seleccione Panorama > Grupos de recopiladores > General y seleccione el enlace Almacenamiento de log .Consulte “Instalación de una actualización de software en un recopilador”.

• Atributos para calcular y exportar informes de actividad de usuarios.

• Informes predefinidos creados en el cortafuegos/Panorama.




33/498


Pestaña secundariaAlmacenamiento de log

(El cortafuegos PA-7050

tiene Almacenamientode tarjeta de log yAlmacenamiento detarjeta de gestión)

Especifique el porcentaje de espacio asignado a cada tipo de log en eldisco duro.

Al cambiar un valor de porcentaje, la asignación de disco asociada

cambia automáticamente. Si el total de todos los valores supera el 100%,aparecerá un mensaje en la página de color rojo y un mensaje de errorcuando intente guardar la configuración. Si esto sucede, reajuste losporcentajes de modo que el total quede por debajo del límite del 100%.

Haga clic en ACEPTAR para guardar la configuración y en Restablecervalores predeterminados para restablecer todos los ajustes predetermi-nados.

El cortafuegos PA-7050 almacena los logs en la tarjeta de procesamientode logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y deesta forma divide las cuotas de registro en estas dos áreas. La pestañaAlmacenamiento de log tiene la configuración de la cuota para el tráficodel tipo de datos en la LPC (por ejemplo, logs de tráfico y amenazas).El almacenamiento de la tarjeta de gestión tiene configuración de cuotapara el tráfico de tipo de gestión almacenado en la SMC (por ejemplo, loslogs de configuración, los logs del sistema y logs de alarmas).

Nota: Cuando un log alcanza el tamaño máximo, el cortafuegos empieza asustituir las entradas del log más antiguas por las nuevas. Si reduce el tamañode un log, el cortafuegos elimina los logs más antiguos cuando compila loscambios.




34/498


Pestaña secundariaExportación e informesde log

Número de versiones para auditoría de configuraciones: Introduzca elnúmero de versiones de configuración que se deben guardar antes dedescartar las más antiguas (valor predeterminado: 100). Puede utilizarestas versiones guardadas para auditar y comparar cambios en laconfiguración.Máx. de

pan os webinterfaceref 61 spanish

Documents