Pan Os 80 Admin Guide Es Es PDF

Guía del Administrador de PAN-OS 8.
0
8.0
paloaltonetworks.com/documentation
Contact Information
Corporate Headquarters:
Palo Alto Networks
3000 Tannery Way
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-support
About the Documentation

• For the most recent version of this guide or for access to related documentation, visit the Technical
Documentation portal www.paloaltonetworks.com/documentation.
• To search for a specific topic, go to our search page www.paloaltonetworks.com/documentation/
document-search.html.
• Have feedback or questions for us? Leave a comment on any page in the portal, or write to us at
[email protected].
Copyright
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2017-2017 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo
Alto Networks. A list of our trademarks can be found at www.paloaltonetworks.com/company/
trademarks.html. All other marks mentioned herein may be trademarks of their respective companies.
Last Revised
December 19, 2017
2 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 |

Table of Contents
Primeros pasos.................................................................................................. 17
Integración del firewall en la red de gestión......................................................................................19
Determinación de la estrategia de gestión............................................................................ 19
Realización de la configuración inicial.....................................................................................19
Establecimiento de acceso a la red para servicios externos.............................................. 23
Registro del cortafuegos......................................................................................................................... 27
Activación de la licencia y suscripciones............................................................................................ 28
Instalación de las actualizaciones de contenido y software de Panorama.................................. 30
Segmentar su red con interfaces y zonas...........................................................................................34
Segmentación de la red para una superficie de ataque reducida..................................... 34
Configuración de interfaces y zonas....................................................................................... 34
Configuración de una política de seguridad básica.......................................................................... 38
Evaluación del tráfico de red................................................................................................................. 42
Habilitación del reenvío básico de WildFire...................................................................................... 44
Control del acceso a contenido web................................................................................................... 46
Habilitación de la inteligencia contra amenazas AutoFocus.......................................................... 49
Prácticas recomendadas para completar la implementación del cortafuegos............................ 51
Administración del cortafuegos.....................................................................53

Interfaces de gestión................................................................................................................................55
Uso de la interfaz web............................................................................................................................ 56
Inicio de la interfaz web............................................................................................................. 56
Configuración de banners, mensaje del día y logotipos......................................................57
Uso de los indicadores de actividad de inicio de sesión de administrador para detectar
el uso indebido de la cuenta..................................................................................................... 59
Gestión y supervisión de tareas administrativas.................................................................. 60
Confirmación, validación y previsualización de los cambios de configuración del
cortafuegos.................................................................................................................................... 61
Uso de Global Find para buscar el cortafuegos o servidor de gestión de
Panorama........................................................................................................................................ 63
Gestión de bloqueos para restringir cambios de configuración........................................ 65
Gestión de las copias de seguridad de la configuración..................................................................67
Guardado y exportación de configuraciones de cortafuegos............................................67
Reversión de los cambios de configuración del cortafuegos.............................................69
Gestión de los administradores de cortafuegos................................................................................71
Tipos de funciones administrativas..........................................................................................71
Configuración de un perfil de función de administrador....................................................72
Autenticación administrativa..................................................................................................... 72
Configurar cuentas y autenticación administrativa..............................................................74
Referencia: acceso de administrador a la interfaz web................................................................... 79
Privilegios de acceso a la interfaz web...................................................................................79
Privilegios de Acceso a la interfaz web de Panorama...................................................... 143
Referencia: Uso de número de puerto..............................................................................................148
Puertos usados para funciones de gestión..........................................................................148
Puertos usados para HA.......................................................................................................... 149
Puertos usados para Panorama..............................................................................................150
Puertos usados para GlobalProtect.......................................................................................151
Puertos usados para User-ID..................................................................................................151
Restablecimiento del cortafuegos a los ajustes predeterminados de fábrica...........................154
TABLE OF CONTENTS iii

Arranque del cortafuegos.....................................................................................................................155
Soporte de la unidad Flash USB............................................................................................ 155
Archivos init-cfg.txt de muestra.............................................................................................155
Preparación de una unidad Fash USB para el arranque de un cortafuegos................. 157
Arranque de un cortafuegos usando una unidad Flash USB...........................................160
Autenticación...................................................................................................161
Tipos de autenticación.......................................................................................................................... 163
Servicios de autenticación externos......................................................................................163
Autenticación multifactor........................................................................................................ 163
SAML.............................................................................................................................................164
Kerberos....................................................................................................................................... 167
TACACS+..................................................................................................................................... 167
RADIUS.........................................................................................................................................168
LDAP:............................................................................................................................................ 170
Autenticación local.................................................................................................................... 170
Planificación de su implementación de autenticación...................................................................171
Configuración de la autenticación multifactor................................................................................ 173
Configuración de la autenticación SAML......................................................................................... 177
Configuración de un inicio de sesión único de Kerberos............................................................. 181
Configuración de la autenticación del servidor Kerberos.............................................................182
Configuración de la autenticación TACACS+.................................................................................. 183
Configuración de la autenticación RADIUS..................................................................................... 185
Configuración de la autenticación LDAP..........................................................................................188
Tiempos de espera de conexión de los servidores de autenticación......................................... 189
Directrices de configuración de tiempo de espera de autenticación............................ 189
Modificación del tiempo de espera de servidor web de PAN-OS..................................190
Modificación del tiempo de espera de sesión del portal cautivo................................... 190
Configuración de la autenticación de la base de datos local....................................................... 192
Configuración de una secuencia y perfil de autenticación...........................................................194
Comprobación de la conectividad del servidor de autenticación............................................... 197
Política de autenticación.......................................................................................................................199
Marcas de tiempo de la autenticación................................................................................. 199
Configuración de la información de autenticación............................................................ 200
Solución de problemas de autenticación..........................................................................................205
Gestión de certificados................................................................................. 207

Claves y certificados.............................................................................................................................. 209
Revocación de certificados.................................................................................................................. 212
Lista de revocación de certificados (CRL)............................................................................212
Protocolo de estado de certificado en línea (OCSP)......................................................... 213
Implementación de certificados.......................................................................................................... 214
Configuración de la verificación del estado de revocación de certificados.............................. 215
Configuración de un OCSP responder................................................................................. 215
Configuración de la verificación del estado de revocación de los certificados........... 216
Configuración de la verificación del estado de revocación de certificados utilizados
para el descifrado SSL/TLS..................................................................................................... 216
Configuración de la clave maestra..................................................................................................... 218
Obtención de certificados.................................................................................................................... 219
Creación de un certificado de CA raíz autofirmado.......................................................... 219
Generar un certificado..............................................................................................................220
Importación de un certificado y una clave privada........................................................... 221
Obtención de un certificado desde una CA externa.........................................................222
iv TABLE OF CONTENTS
Exportación de un certificado y una clave privada........................................................................ 224
Configuración de un perfil de certificado.........................................................................................225
Configuración de un perfil de servicio SSL/TLS............................................................................. 227
Sustitución del certificado para el tráfico de gestión entrante................................................... 229
Configuración del tamaño de clave para los certificados de servidor proxy SSL de
reenvío.......................................................................................................................................................230
Revocación y renovación de certificados......................................................................................... 231
Revocación de un certificado................................................................................................. 231
Renovación de un certificado................................................................................................. 231
Claves seguras con un módulo de seguridad de hardware.......................................................... 232
Configuración de la conectividad con un HSM..................................................................232
Cifrado de una clave maestra utilizando un HSM............................................................. 237
Almacenamiento de claves privadas en un HSM...............................................................238
Gestión de la implementación del HSM...............................................................................239
Alta disponibilidad.......................................................................................... 241

Descripción general de la alta disponibilidad.................................................................................. 243
Conceptos de HA................................................................................................................................... 244
Modos de HA............................................................................................................................. 244
Enlaces de HA y enlaces de backup..................................................................................... 245
Prioridad y preferencia de dispositivos................................................................................ 248
Conmutación por error.............................................................................................................248
Negociación previa de LACP y LLDP para HA activa/pasiva..........................................249
Dirección IP flotante y dirección MAC virtual....................................................................250
Distribución de carga de ARP.................................................................................................251
Redundancia basada en la ruta.............................................................................................. 252
Temporizadores de HA.............................................................................................................253
Propietario de sesión................................................................................................................ 255
Configuración de sesión...........................................................................................................256
NAT en modo HA activa/activa.............................................................................................258
ECMP en modo HA activa/activa..........................................................................................259
Configuración de la HA activo/pasivo.............................................................................................. 260
Requisitos para la HA activa/pasiva......................................................................................260
Directrices de configuración para la HA activo/pasivo.................................................... 260
Configuración de la HA activa/pasiva.................................................................................. 263
Definición de las condiciones de conmutación por error de HA....................................268
Verificación de conmutación por error................................................................................ 269
Configuración de HA activa/activa.................................................................................................... 270
Requisitos previos para la HA activa/activa........................................................................270
Configuración de la HA activa/activa................................................................................... 271
Determinación del caso de uso activo/activo.................................................................... 276
Estados del cortafuegos HA................................................................................................................ 292
Referencia: Sincronización HA............................................................................................................ 294
¿Qué ajustes no se sincronizan en HA Activo/pasivo?.................................................... 294
¿Qué ajustes no se sincronizan en HA Activo/activo?..................................................... 296
Sincronización de información de tiempos de ejecución del sistema............................300
Supervisión....................................................................................................... 305
Uso del panel...........................................................................................................................................307
Uso del centro de comando de aplicación.......................................................................................309
ACC: presentación general...................................................................................................... 309
Pestañas de ACC....................................................................................................................... 311
Widgets de ACC........................................................................................................................ 312
TABLE OF CONTENTS v
Descripciones de widget..........................................................................................................314
Filtros de ACC............................................................................................................................ 318
Interacción con el ACC............................................................................................................ 320
Caso de uso: ACC: Ruta de descubrimiento de información...........................................323
Uso de los informes de App Scope................................................................................................... 330
Informe de resumen..................................................................................................................330
Informe del supervisor de cambios....................................................................................... 331
Informe del supervisor de amenazas.................................................................................... 332
Informe del mapa de amenazas............................................................................................. 333
Informe del supervisor de red................................................................................................ 334
Informe del mapa de amenazas............................................................................................. 335
Use el motor de correlación automatizada...................................................................................... 336
Conceptos del motor de correlación automatizada...........................................................336
Visualización de los objetos de correlación.........................................................................337
Interpretación de eventos correlacionados......................................................................... 338
Uso del widget de los hosts en riesgo en el ACC..............................................................340
Realización de capturas de paquetes................................................................................................ 341
Tipos de captura de paquetes................................................................................................ 341
Deshabilitación de descarga de hardware........................................................................... 342
Captura de paquetes personalizada...................................................................................... 342
Captura de paquetes de amenazas....................................................................................... 346
Tome una captura de paquetes de aplicaciones................................................................ 347
Captura de paquetes en la interfaz de gestión.................................................................. 350
Supervisión de aplicaciones y amenazas.......................................................................................... 352
Visualización y gestión de logs........................................................................................................... 353
Tipos de logs y niveles de gravedad..................................................................................... 353
Visualización de logs................................................................................................................. 358
Filtrar logs.................................................................................................................................... 359
Exportación de logs...................................................................................................................360
Configuración de cuotas de almacenamiento y periodos de vencimiento de logs..... 361
Programación de exportaciones de logs a un servidor SCP o FTP................................ 361
Supervisión de la lista de bloqueo..................................................................................................... 363
Visualización y gestión de informes...................................................................................................364
Tipos de informes...................................................................................................................... 364
Visualización de informes........................................................................................................ 365
Configuración del período de vencimiento y de ejecución para los informes............. 365
Deshabilitación de informes predefinidos........................................................................... 366
Informes personalizados...........................................................................................................366
Generación de informes personalizados.............................................................................. 368
Generación de informes de Botnet.......................................................................................371
Generación de informes de uso de la aplicación SaaS......................................................373
Gestión de informes de resumen en PDF........................................................................... 375
Generación de informes de actividad del usuario/grupo................................................. 377
Gestión de grupos de informes..............................................................................................378
Programación de informes para entrega de correos electrónicos..................................379
Uso de servicios externos para la monitorización..........................................................................381
Configuración de reenvío de logs...................................................................................................... 382
Configuración de alertas de correo electrónico..............................................................................385
Uso de syslog para la monitorización................................................................................................387
Configuración de la monitorización de syslog.................................................................... 387
Descripciones de los campos de syslog............................................................................... 389
Monitorización de SNMP y capturas.................................................................................................419
Compatibilidad de SNMP.........................................................................................................419
Active el gestor SNMP para explorar MIB y objetos........................................................ 420
vi TABLE OF CONTENTS
Habilitación de servicios SNMP para elementos de red asegurados por el
cortafuegos.................................................................................................................................. 423
Monitorización de estadísticas mediante SNMP................................................................424
Reenvío de capturas a un administrador SNMP................................................................ 425
MIB admitidas............................................................................................................................. 427
Reenvío de logs a un destino de HTTP............................................................................................ 435
Monitorización de NetFlow................................................................................................................. 439
Configuración de exportaciones de NetFlow..................................................................... 439
Plantillas de NetFlow................................................................................................................ 440
Identificadores de interfaz de cortafuegos en los gestores SNMP y recopiladores de
NetFlow.....................................................................................................................................................446
User-ID..............................................................................................................449
Descripción general de User-ID..........................................................................................................451
Conceptos de User-ID...........................................................................................................................453
Asignación de grupos................................................................................................................453
Asignación de usuario...............................................................................................................453
Habilitación de User-ID........................................................................................................................ 457
Asignación de usuarios a grupos........................................................................................................ 460
Asignación de direcciones IP a usuarios...........................................................................................463
Creación de una cuenta de servicio exclusiva para el agente de User-ID.................... 463
Configuración de la asignación de usuarios mediante el agente de User-ID de
Windows...................................................................................................................................... 466
Configuración de la asignación de usuarios mediante el agente de User-ID integrado
en PAN-OS.................................................................................................................................. 473
Configuración de User-ID para supervisar los remitentes de Syslog para la asignación
de usuarios...................................................................................................................................476
Asignación de direcciones IP a nombres de usuario mediante un portal cautivo....... 485
Configuración de la asignación de usuarios para usuarios del servidor de
terminal.........................................................................................................................................491
Envío de asignaciones de usuarios a User-ID mediante la API XML............................. 499
Habilitación de política basada en usuarios y grupos....................................................................500
Habilitación de política para usuarios con múltiples cuentas...................................................... 501
Verificación de la configuración de User-ID....................................................................................503
Implementación de User-ID en una red a gran escala.................................................................. 505
Implementación de User-ID para numerosas fuentes de información de
asignación.....................................................................................................................................505
Redistribución de las asignaciones de usuario y autenticación de las marcas de
tiempo........................................................................................................................................... 509
Prevención de amenazas.............................................................................. 515

Configuración de antivirus, antispyware y protección frente a vulnerabilidades....................517
Creación de excepciones de amenazas.............................................................................................520
Configuración de filtrado de datos.................................................................................................... 522
Configuración de bloqueo de archivos............................................................................................. 525
Prevención de ataques de fuerza bruta............................................................................................528
Personalización de la acción y las condiciones de activación para una firma de fuerza
bruta........................................................................................................................................................... 529
Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7.................532
Habilitación de las firmas de evasión................................................................................................ 537
Prevención de phishing de credenciales...........................................................................................538
Métodos para comprobar los envíos de credenciales corporativas...............................538
TABLE OF CONTENTS vii

Configuración de la detección de credenciales con el agente de ID de usuario basado
en Windows................................................................................................................................ 540
Configuración de la prevención de suplantación de identidad de credenciales.......... 542
Uso compartido de inteligencia de amenazas con Palo Alto Networks.................................... 546
¿Qué datos de telemetría recopila el cortafuegos?........................................................... 546
Monitorización de DNS pasivo...............................................................................................548
Habilitación de la telemetría................................................................................................... 548
Uso de consultas de DNS para identificar hosts infectados en la red....................................... 551
Sinkholing de DNS.....................................................................................................................551
Configuración del sinkholing de DNS para una lista de dominios personalizados...... 552
Configuración de la dirección IP del sinkhole en un servidor local de la red............... 554
Identificación de hosts infectados......................................................................................... 557
Supervisión de direcciones IP bloqueadas....................................................................................... 560
Obtenga más información y evalúe las amenazas..........................................................................563
Evaluación de los artefactos del cortafuegos con AutoFocus........................................ 563
Más información sobre las firmas de amenazas.................................................................567
Supervisión de actividad y creación de informes personalizados en función de las
categorías de amenazas........................................................................................................... 570
Infraestructura de red de entrega de contenido para actualizaciones dinámicas....................572
Recursos de prevención de amenazas.............................................................................................. 573
App-ID............................................................................................................... 575
Descripción general de App-ID...........................................................................................................577
Gestión de aplicaciones personalizadas o desconocidas.............................................................. 578
Gestión de nuevos App-ID introducidos en versiones de contenido........................................ 579
Revisión de nuevos App-ID.....................................................................................................579
Revisión de los nuevos App-ID desde la última versión de contenido......................... 579
Revisión del impacto de un App-ID nuevo sobre las reglas de políticas
existentes..................................................................................................................................... 581
Deshabilitación o habilitación de App-ID............................................................................ 582
Preparación de actualizaciones de política para App-ID pendientes.............................583
Uso de objetos de aplicación en la política..................................................................................... 585
Creación de un grupo de aplicaciones..................................................................................585
Creación de un filtro de aplicaciones................................................................................... 586
Creación de una aplicación personalizada........................................................................... 586
Aplicaciones con compatibilidad implícita........................................................................................ 591
Gateways de nivel de aplicación........................................................................................................ 595
Deshabilitación de la gateway de nivel de aplicación (ALG) SIP.................................................597
Descifrado........................................................................................................ 599
Descripción general del descifrado.................................................................................................... 601
Conceptos de descifrado...................................................................................................................... 602
Políticas de claves y certificados para el descifrado......................................................... 602
Proxy SSL de reenvío................................................................................................................603
Inspección de SSL entrante.....................................................................................................604
Proxy Ssh..................................................................................................................................... 605
Reflejo de descifrado................................................................................................................ 606
Descifrado SSL para certificados de criptografía de curva elíptica (ECC).....................606
Compatibilidad del secreto perfecto y permanente (PFS) para el descifrado SSL...... 607
Definición del tráfico para descifrar.................................................................................................. 608
Creación de un perfil de descifrado......................................................................................608
Creación de una regla de política de descifrado................................................................ 609
Configuración del proxy SSL de reenvío.......................................................................................... 612
viii TABLE OF CONTENTS

Configuración de la inspección de entrada SSL..............................................................................616
Configuración del Proxy SSH.............................................................................................................. 618
Exclusiones de descifrado.................................................................................................................... 619
Exclusiones predefinidas de descifrado de Palo Alto Networks.................................... 619
Exclusión de un servidor del descifrado.............................................................................. 620
Creación de una exclusión al descifrado basada en la política....................................... 620
Permisos para que los usuarios excluyan el descifrado SSL........................................................ 622
Configuración del reflejo del puerto de descifrado....................................................................... 624
Deshabilitación temporal del descifrado SSL.................................................................................. 626
Filtrado de URL...............................................................................................627
Descripción general del filtrado de URL...........................................................................................629
Proveedores de filtrado de URL............................................................................................ 629
Interacción entre App-ID y categorías de URL.................................................................. 629
Nube privada de PAN-DB....................................................................................................... 630
Conceptos del filtrado de URL............................................................................................................633
Categorías de URL.....................................................................................................................633
Perfil de filtrado de URL.......................................................................................................... 634
Acciones del perfil de filtrado de URL................................................................................. 635
Listas de bloqueadas y permitidas.........................................................................................637
Lista dinámica externa para URL........................................................................................... 638
Páginas contenedoras............................................................................................................... 638
Creación de logs del encabezado HTTP.............................................................................. 638
Páginas de respuesta de filtrado de URL.............................................................................639
Categoría de URL como criterio de coincidencia de política...........................................642
Categorización de PAN-DB..................................................................................................................644
Activación de un proveedor de filtrado de URL.............................................................................647
Habilitación de PAN-DB URL Filtering.................................................................................647
Habilitación del filtrado de URL de BrightCloud................................................................648
Determinación de los requisitos de la política de filtrado de URL............................................. 651
Configuración de filtrado de URL.......................................................................................................653
Uso de una lista dinámica externa en un perfil de filtro de URL................................................ 656
Personalización de las páginas de respuesta de filtrado de URL................................................ 658
Habilitación del acceso a determinados sitios mediante contraseña......................................... 660
Aplicación de búsquedas seguras.......................................................................................................663
Configuración de búsqueda segura para proveedores de búsqueda.............................663
Bloqueo de los resultados de búsqueda cuando la búsqueda segura estricta no está
habilitada...................................................................................................................................... 665
Habilitación transparente de la búsqueda segura para los usuarios.............................. 667
Supervisión de la actividad web......................................................................................................... 672
Supervisión de la actividad web de los usuarios de red...................................................672
Visualización del informe de actividad del usuario............................................................675
Configuración de informes de filtrado de URL personalizados.......................................676
Configuración de la nube privada de PAN-DB............................................................................... 679
Configuración de la nube privada de PAN-DB...................................................................679
Configuración los cortafuegos para acceder a la nube privada de PAN-DB................682
Casos de uso de filtrado de URL........................................................................................................684
Caso de uso: control de acceso web.................................................................................... 684
Caso de uso: Uso de categorías de URL en la comparación de políticas...................... 687
Solución de problemas del filtrado de URL..................................................................................... 690
Problemas en la activación de PAN-DB...............................................................................690
Problemas de conectividad con la nube de PAN-DB........................................................691
URL clasificadas como no resueltas...................................................................................... 692
Categorización incorrecta........................................................................................................ 692
TABLE OF CONTENTS ix
Base de datos de URL vencida...............................................................................................694
Calidad de servicio......................................................................................... 695

Descripción general del QoS............................................................................................................... 697
Conceptos de QoS................................................................................................................................. 699
QoS para aplicaciones y usuarios.......................................................................................... 699
Política de QoS...........................................................................................................................699
Perfil de QoS...............................................................................................................................699
Clases de QoS.............................................................................................................................700
Establecimiento de colas de prioridad de QoS...................................................................700
Gestión del ancho de banda de QoS.................................................................................... 701
Interfaz de salida de QoS........................................................................................................ 701
QoS para texto no cifrado y tráfico de túnel......................................................................702
Configuración de QoS........................................................................................................................... 703
Configuración de QoS para un sistema virtual............................................................................... 708
Aplicación forzada de QoS basada en la clasificación DSCP....................................................... 713
Casos de uso de QoS............................................................................................................................ 716
Caso de uso: QoS para un único usuario.............................................................................716
Caso de uso: QoS para aplicaciones de voz y vídeo......................................................... 718
VPN.................................................................................................................... 723
Implementaciones de VPN...................................................................................................................725
Descripción general de VPN de sitio a sitio.................................................................................... 726
Conceptos de VPN de sitio a sitio..................................................................................................... 727
Puerta de enlace de IKE.......................................................................................................... 727
Interfaz de túnel.........................................................................................................................727
Monitorización de túnel........................................................................................................... 728
Intercambio de claves por red (IKE) para VPN...................................................................728
IKEv2............................................................................................................................................. 731
Configuración de VPN de sitio a sitio...............................................................................................734
Configuración de una puerta de enlace IKE........................................................................734
Definición de perfiles criptográficos..................................................................................... 740
Configuración de un túnel IPSec........................................................................................... 742
Configuración de la supervisión de túnel............................................................................ 745
Habilitación/deshabilitación, actualización o reinicio de un gateway IKE o túnel
IPSec..............................................................................................................................................746
Prueba de conectividad VPN..................................................................................................747
Interpretación de mensajes de error de VPN..................................................................... 748
Configuraciones rápidas de VPN de sitio a sitio.............................................................................750
VPN de sitio a sitio con rutas estáticas............................................................................... 750
VPN de sitio a sitio con OSPF............................................................................................... 753
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico.................................757
VPN a gran escala (LSVPN)......................................................................... 763

Descripción general de LSVPN........................................................................................................... 765
Creación de interfaces y zonas para la LSVPN............................................................................... 766
Habilitación de SSL entre componentes de LSVPN de GlobalProtect.......................................768
Acerca de la implementación de certificados..................................................................... 768
Implementación de certificados de servidor en los componentes de LSVPN de
GlobalProtect.............................................................................................................................. 768
Implementación de certificados cliente en los satélites de GlobalProtect usando
SCEP.............................................................................................................................................. 771
x TABLE OF CONTENTS
Configuración del portal para autenticar satélites......................................................................... 774
Configuración de puertas de enlace de GlobalProtect para LSVPN.......................................... 776
Configuración del portal de GlobalProtect para LSVPN............................................................... 780
Tareas previas del portal de GlobalProtect para LSVPN..................................................780
Configuración del portal...........................................................................................................780
Definición de las configuraciones de satélites....................................................................781
Preparación del satélite para unirse a la LSVPN............................................................................ 785
Verificación de la configuración de LSVPN..................................................................................... 788
Configuraciones rápidas de LSVPN................................................................................................... 789
Configuración básica de LSVPN con rutas estáticas.........................................................789
Configuración avanzada de LSVPN con enrutamiento dinámico................................... 791
Configuración avanzada de LSVPN con iBGP.................................................................... 793
Networking.......................................................................................................799
Configuración de interfaces.................................................................................................................801
Interfaces de modo tap............................................................................................................ 801
interfaces de cables virtuales..................................................................................................801
Interfaces de capa 2..................................................................................................................809
Interfaces de capa 3..................................................................................................................812
Configuración de los grupos de interfaces de agregación............................................... 822
Uso de los perfiles de gestión de interfaz para restringir el acceso.............................. 824
Enrutadores virtuales.............................................................................................................................826
Rutas de servicio.....................................................................................................................................828
Rutas estáticas.........................................................................................................................................830
Descripción general de la ruta estática................................................................................ 830
Eliminación de ruta estática basada en el control de ruta............................................... 830
Configuración de una ruta estática....................................................................................... 833
Configuración del control de ruta para una ruta estática................................................ 834
RIP.............................................................................................................................................................. 837
OSPF.......................................................................................................................................................... 839
Conceptos de OSPF.................................................................................................................. 839
Configuración de OSPF............................................................................................................841
Configuración de OSPFv3....................................................................................................... 843
Configuración del reinicio correcto de OSPF..................................................................... 846
Confirmación del funcionamiento de OSPF........................................................................847
BGP............................................................................................................................................................ 849
Descripción general del BGP.................................................................................................. 849
MP-BGP........................................................................................................................................849
Configuración de BGP.............................................................................................................. 851
Configuración de un peer BGP con MP-BGP para unidifusión IPv4 o IPv6................ 856
Configuración de un peer de BGP con MP-BGP para rutas de multidifusión IPv4.... 858
Redistribución de ruta........................................................................................................................... 860
DHCP......................................................................................................................................................... 863
Descripción general de DHCP................................................................................................863
Cortafuegos como servidor y cliente DHCP.......................................................................864
Mensajes DHCP......................................................................................................................... 864
Direccionamiento DHCP..........................................................................................................865
Opciones de DHCP................................................................................................................... 867
Configure una interfaz como servidor DHCP.....................................................................869
Configure una interfaz como cliente DHCP........................................................................872
Configuración de la interfaz de gestión como cliente DHCP..........................................873
Configure una interfaz como agente de relé DHCP......................................................... 875
Supervisión y resolución de problemas de DHCP............................................................. 876
DNS............................................................................................................................................................ 878
TABLE OF CONTENTS xi
Descripción general del DNS..................................................................................................878
Objeto proxy DNS.....................................................................................................................879
Perfil de servidor DNS............................................................................................................. 880
Implementaciones de DNS multiusuario..............................................................................880
Configuración de un objeto proxy DNS...............................................................................881
Configuración de un perfil de servidor DNS.......................................................................883
Caso de uso 1: El cortafuegos requiere resolución DNS con fines de gestión............ 884
Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la resolución DNS
para políticas de seguridad, informes y servicios dentro de su sistema virtual........... 885
Caso de uso 3: El cortafuegos hace de proxy DNS entre cliente y servidor................887
Regla de proxy DNS y coincidencia FQDN.........................................................................888
NAT............................................................................................................................................................ 893
Reglas de políticas NAT........................................................................................................... 893
NAT de origen y destino......................................................................................................... 895
Capacidades de regla NAT...................................................................................................... 897
Sobresuscripción de NAT de IP dinámica y puerto...........................................................898
Estadísticas de memoria NAT de plano de datos.............................................................. 899
Configuración de NAT..............................................................................................................900
Ejemplos de configuración de NAT.......................................................................................906
NPTv6........................................................................................................................................................ 913
Descripción general de NPTv6...............................................................................................913
Funcionamiento de NPTv6......................................................................................................914
Proxy NDP...................................................................................................................................916
Ejemplo de NPTv6 y Proxy NDP...........................................................................................917
Creación de una política NPTv6............................................................................................ 918
NAT64....................................................................................................................................................... 921
NAT64 Overview....................................................................................................................... 921
Dirección IPv6 integrada en la dirección IPv4....................................................................922
Servidor DNS64......................................................................................................................... 922
Detección de MTU de ruta..................................................................................................... 922
Comunicación de Pv6 iniciada................................................................................................923
Configuración de NAT64 para la comunicación iniciada por IPv6.................................924
Configuración de NAT64 para la comunicación de IPv4 iniciada...................................927
Configuración de NAT64 para la comunicación iniciada por IPv4 con traducción de
puerto............................................................................................................................................929
ECMP......................................................................................................................................................... 932
Algoritmos de equilibrio de carga de ECMP....................................................................... 932
Compatibilidad con modelo de ECMP, interfaz y enrutamiento de IP..........................933
Configuración de ECMP en un enrutador virtual.............................................................. 934
Habilitación de ECMP para varios sistemas BGP autónomos.........................................936
Verificación de ECMP...............................................................................................................936
LLDP...........................................................................................................................................................938
Descripción general de LLDP................................................................................................. 938
TLV compatibles con LLDP..................................................................................................... 939
Mensajes de Syslog LLDP y capturas de SNMP................................................................ 940
Configuración de LLDP............................................................................................................ 941
Visualización de estados y configuración de LLDP........................................................... 942
Borrado de estadísticas de LLDP...........................................................................................943
BFD............................................................................................................................................................ 944
Descripción general de BFD................................................................................................... 944
Configuración de BFD.............................................................................................................. 946
Referencia: Detalles de BFD...................................................................................................951
Configuración de sesión y tiempos de espera de sesión.............................................................. 956
Sesiones de capa de transporte............................................................................................. 956
TCP................................................................................................................................................ 956
xii TABLE OF CONTENTS

UDP............................................................................................................................................... 961
ICMP..............................................................................................................................................961
Control de tipos y códigos específicos de ICMP o ICMPv6............................................963
Configuración de los tiempos de espera de sesión........................................................... 964
Definición de la configuración de sesión............................................................................. 965
Política de distribución de sesiones...................................................................................... 968
Prohibición del establecimiento de sesión de protocolo de enlace dividido de
TCP................................................................................................................................................ 972
Inspección del contenido del túnel.................................................................................................... 974
Descripción general de la inspección del contenido del túnel........................................ 974
Configuración de la inspección del contenido del túnel...................................................977
Visualización de actividad de túneles inspeccionados...................................................... 982
Visualización de información del túnel en logs.................................................................. 983
Creación de un informe personalizado basado en el tráfico de túnel etiquetado.......984
Política............................................................................................................... 985
Tipos de políticas....................................................................................................................................987
Política de seguridad..............................................................................................................................988
Componentes de una regla de política de seguridad........................................................ 988
Acciones de la política de seguridad.....................................................................................991
Creación de una regla de política de seguridad................................................................. 992
Objetos de políticas............................................................................................................................... 995
Perfiles de seguridad............................................................................................................................. 997
Creación de un grupo de perfiles de seguridad...............................................................1003
Configuración o cancelación de un grupo de perfiles de seguridad
predeterminado........................................................................................................................1004
Práctica recomendada de política de seguridad de puerta de enlace de Internet................ 1006
¿Cuál es la práctica recomendada de política de seguridad de puerta de enlace de
Internet?.....................................................................................................................................1006
¿Por qué necesito una práctica recomendada de política de seguridad de puerta de
enlace de Internet?................................................................................................................. 1008
¿Cómo implemento la práctica recomendada de política de seguridad de puerta de
enlace de Internet?................................................................................................................. 1009
Identificación de aplicaciones de la lista de permitidos................................................. 1010
Creación de grupos de usuario para el acceso a las aplicaciones de la lista de
permitidos..................................................................................................................................1013
Descifrado del tráfico para la visibilidad total y la inspección de amenazas..............1014
Creación de perfiles de seguridad de práctica recomendada....................................... 1015
Definición de la política de seguridad de puerta de enlace de Internet inicial.......... 1020
Supervisión y ajuste preciso de la base de reglas de la política................................... 1031
Eliminación de las reglas temporales..................................................................................1032
Mantenimiento de la base de reglas...................................................................................1033
Enumeración de reglas dentro de una base de reglas................................................................ 1034
Duplicación o traslado de una regla de políticas u objeto a un sistema virtual diferente....1036
Uso de etiquetas para agrupar objetos y distinguirlos visualmente........................................ 1038
Creación y aplicación de etiquetas..................................................................................... 1038
Modificación de etiquetas.....................................................................................................1039
Uso del explorador de etiquetas......................................................................................... 1039
Uso de una lista dinámica externa en políticas............................................................................ 1044
Lista dinámica externa............................................................................................................1044
Directrices de formato para listas dinámicas externas...................................................1045
Fuentes de direcciones IP malintencionadas de Palo Alto Networks......................... 1046
Configuración del cortafuegos para acceder a una lista dinámica externa................ 1047
Recuperación de una lista dinámica externa del servidor web.....................................1049
TABLE OF CONTENTS xiii

Visualización de entradas de lista dinámica externa.......................................................1049
Exclusión de entradas de una lista dinámica externa..................................................... 1050
Aplicación de la política en una lista dinámica externa..................................................1051
Búsqueda de listas dinámicas externas con autenticación fallida................................1052
Deshabilitación de autenticación para una lista dinámica externa.............................. 1053
Registro de direcciones IP y etiquetas dinámicamente.............................................................. 1055
Supervisión de cambios en el entorno virtual...............................................................................1056
Habilitación de supervisión de VM para el registro de cambios en la red virtual..... 1056
Atributos supervisados en los entornos AWS y VMware............................................. 1058
Uso de grupos de direcciones dinámicas en políticas.................................................... 1059
Comandos de la CLI para etiquetas y direcciones IP.................................................................. 1063
Identificación de usuarios conectados a través de un servidor proxy.....................................1066
Uso de los valores XFF para usuarios de orígenes de logging y políticas...................1066
Adición de valores XFF a logs de filtrado de URL...........................................................1067
Reenvío basado en políticas.............................................................................................................. 1069
PBF.............................................................................................................................................. 1069
Creación de una regla de reenvío basada en políticas................................................... 1071
Caso de uso: PBF para acceso saliente con ISP duales..................................................1072
Virtual Systems.............................................................................................1079
Descripción general de los sistemas virtuales...............................................................................1081
Componentes y segmentación de los sistemas virtuales...............................................1081
Ventajas de los sistemas virtuales.......................................................................................1082
Casos de uso de sistemas virtuales.................................................................................... 1082
Compatibilidad con plataformas y licencias de sistemas virtuales...............................1082
Funciones de administrador para sistemas virtuales...................................................... 1083
Objetos compartidos para sistemas virtuales...................................................................1083
Comunicación entre sistemas virtuales.......................................................................................... 1084
Tráfico entre VSYS que debe abandonar el cortafuegos...............................................1084
Tráfico entre VSYS que permanece en el cortafuegos.................................................. 1084
La comunicación entre VSYS usa dos sesiones............................................................... 1086
Puerta de enlace compartida............................................................................................................ 1088
Zonas externas y puerta de enlace compartida...............................................................1088
Consideraciones de red para una puerta de enlace compartida.................................. 1089
Configuración de sistemas virtuales................................................................................................1090
Configuración de la comunicación entre sistemas virtuales dentro del cortafuegos........... 1093
Configuración de un gateway compartido.....................................................................................1094
Personalización de rutas de servicio para un sistema virtual.................................................... 1095
Personalización de rutas de servicio a servicios para un sistema virtual....................1095
Configure un cortafuegos PA-7000 Series para logging por sistema virtual.............1096
Configuración de acceso administrativo por sistema virtual o cortafuegos.............. 1098
Funcionalidad de sistema virtual con otras funciones................................................................ 1100
Protección de zona y protección contra DoS....................................... 1101

Segmentación de la red con zonas.................................................................................................. 1103
¿Cómo las zonas protegen la red?...................................................................................................1104
Defensa de zona...................................................................................................................................1105
Herramientas de defensa de zona...................................................................................... 1105
¿Cómo funcionan las herramientas de defensa de zona?..............................................1106
Perfiles de protección de zonas.......................................................................................... 1107
Protección de búfer de paquetes........................................................................................1110
Perfiles de protección y reglas de la política del DoS.................................................... 1110
Configuración de la protección de la zona para aumentar la seguridad de la red.................1113
xiv TABLE OF CONTENTS

Configuración de la protección de reconocimiento........................................................ 1113
Configuración de la protección de ataques basada en paquetes.................................1114
Configuración de la protección de protocolos................................................................. 1114
Configuración de la protección de búfer de paquetes................................................... 1119
Protección DoS contra inundaciones de nuevas sesiones......................................................... 1120
Ataque DoS multisesión........................................................................................................ 1120
Ataque DoS de una sesión................................................................................................... 1123
Configuración de protección DoS contra inundaciones de nuevas sesiones............ 1123
Finalización de un ataque DoS de una sesión..................................................................1126
Identificación de sesiones que utilizan un porcentaje excesivo del búfer de
paquete...................................................................................................................................... 1127
Eliminación de una sesión sin confirmación..................................................................... 1129
Certificaciones.............................................................................................. 1131
Habilitación de FIPS y compatibilidad con criterios comunes...................................................1133
Acceda a la Maintenance Recovery Tool (Herramienta de recuperación de
mantenimiento, MRT)............................................................................................................. 1133
Cambio del modo operativo a modo FIPS-CC................................................................. 1135
Funciones de seguridad de FIPS-CC............................................................................................... 1136
TABLE OF CONTENTS xv
xvi TABLE OF CONTENTS
Primeros pasos
Los siguientes temas proporcionan pasos detallados para ayudarle a implementar un nuevo
cortafuegos de nueva generación de Palo Alto Networks. Proporcionan detalles para integrar
un nuevo cortafuegos en su red, registrarlo, activar licencias y suscripciones, y configurar
políticas de seguridad básicas y funciones de prevención de amenazas.
Después de realizar los pasos de configuración básicos necesarios para integrar el cortafuegos
en su red, puede utilizar el resto de los temas de esta guía como ayuda para implementar las
funciones integrales de la plataforma de seguridad empresarial según fuera necesario para
cubrir sus necesidades de seguridad de red.
> Integración del firewall en la red de gestión

> Registro del firewall
> Activación de la licencia y suscripciones
> Instalación de las actualizaciones de contenido y software de Panorama
> Segmentar su red con interfaces y zonas
> Configuración de una política de seguridad básica
> Evaluación del tráfico de red
> Habilitación del reenvío básico de WildFire
> Control del acceso a contenido web
> Habilitación de la inteligencia contra amenazas AutoFocus
> Prácticas recomendadas para completar la implementación del cortafuegos
17
18 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos
© 2017 Palo Alto Networks, Inc.
Integración del firewall en la red de gestión
Todos los cortafuegos de Palo Alto Networks incluyen un puerto de gestión fuera de banda (MGT) que
puede usar para llevar a cabo las funciones de administración del cortafuegos. Al usar el puerto MGT, está
separando las funciones de gestión del cortafuegos de las funciones de procesamiento de datos, de modo
que protege el acceso al cortafuegos y mejora el rendimiento. Al usar la interfaz web, debe realizar todas
las tareas de configuración inicial desde el puerto MGT, incluso aunque pretenda usar un puerto dentro de
banda para gestionar su cortafuegos más adelante.
Algunas tareas de gestión, como la recuperación de licencias y la actualización de amenazas y firmas de
aplicaciones en el cortafuegos requieren acceso a Internet. Si no desea habilitar el acceso externo a su
puerto MGT, deberá establecer un puerto de datos en banda para permitir el acceso a los servicios externos
requeridos (usando rutas de servicio) o planificar la carga manual de actualizaciones de forma periódica.
Los siguientes temas describen cómo realizar los pasos de la configuración inicial necesarios para integrar un
nuevo cortafuegos en la red de gestión e implementarlo con una configuración de seguridad básica.
• Determinación de la estrategia de gestión
• Realización de la configuración inicial
• Establecimiento de acceso a la red para servicios externos
Los siguientes temas describen cómo integrar un único cortafuegos de nueva generación de
Palo Alto Networks en su red. Sin embargo, para obtener redundancia, debería implementar
dos cortafuegos en una configuración de alta disponibilidad.
Determinación de la estrategia de gestión

El cortafuegos Palo Alto Networks se puede configurar y administrar localmente o de forma central usando
Panorama, el sistema de administración de seguridad centralizado de Palo Alto Networks. Si tiene seis o más
firewalls implementados en su red, use Panorama para obtener estas ventajas:
• Reducir la complejidad y la carga administrativa en la gestión de configuración, políticas, software y
actualizaciones de contenido dinámico. Usando las plantillas y grupos de dispositivos de Panorama
puede gestionar eficazmente la configuración específica de los cortafuegos de manera local en un
cortafuegos y aplicar políticas compartidas en todos los cortafuegos o grupos de cortafuegos.
• Agregar datos de todos los firewalls gestionados y conseguir visibilidad en todo el tráfico de su red. El
Centro de control de aplicaciones (ACC) de Panorama ofrece un panel de pantalla única para la gestión
unificada de informes de todos los cortafuegos, lo que le permite realizar análisis, investigaciones e
informes de forma central sobre el tráfico de red, los incidentes de seguridad y las modificaciones
administrativas.
Los procedimientos siguientes describen cómo gestionar el cortafuegos usando la interfaz web local. Si
desea utilizar Panorama para la gestión centralizada, proceda primero con la Realización de la configuración
inicial y compruebe que el cortafuegos puede establecer una conexión con Panorama. A partir de aquí,
puede usar Panorama para configurar su cortafuegos de forma centralizada.
Realización de la configuración inicial

De forma predeterminada, la dirección IP del firewall es 192.168.1.1 y el nombre de usuario/contraseña
es admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas
de configuración del firewall. Debe realizar estas tareas de configuración inicial desde la interfaz MGT,
incluso aunque no pretenda usar esta interfaz para la gestión de su cortafuegos, o usar una conexión en
serie directa al puerto de la consola del cortafuegos.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos 19

STEP 1 | Obtenga la información necesaria de su administrador de red.
• Dirección IP para el puerto MGT
• Máscara de red
• Gateway predeterminada
• Dirección de servidor DNS
STEP 2 | Conecte su ordenador al firewall.

Puede conectarse al firewall de uno de estos modos:
• Conecte un cable serie desde su ordenador al puerto de la consola y conecte con el firewall usando
el software de emulación de terminal (9600-8-N-1). Espere unos minutos hasta que se complete
la secuencia de arranque; cuando el cortafuegos esté listo, el mensaje cambiará al nombre del
cortafuegos, por ejemplo PA-500 login.
• Conecte un cable Ethernet RJ-45 a su ordenador y al puerto MGT del cortafuegos. Use un navegador
para ir a https://192.168.1.1.
Es posible que deba cambiar la dirección IP de su ordenador por una dirección de la red
192.168.1.0/24, como 192.168.1.2, para acceder a esta URL.
STEP 3 | Cuando se le indique, inicie sesión en el firewall.

Debe iniciar sesión usando el nombre de usuario y contraseña predeterminados (admin/admin). El
firewall comenzará a inicializarse.
STEP 4 | Configure la interfaz MGT.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Interfaces y edite la interfaz Management
(Gestión).
2. Configure los ajustes de dirección para la interfaz MGT usando uno de los siguientes métodos:
• Para configurar los ajustes de la dirección IP para la interfaz MGT, configure el IP Type (Tipo de IP)
en Static (Estática) e introduzca la IP Address (Dirección IP), Netmask (Máscara de red) y Default
Gateway (Puerta de enlace por defecto).
• Para configurar de forma dinámica los ajustes de la dirección de interfaz MGT, configure el IP
Type (Tipo de IP) en DHCP Client (Cliente DHCP). Para usar este método, debe configurar la
interfaz de gestión como un cliente DHCP.
Para evitar el acceso no autorizado a la interfaz de gestión, se recomienda que

seleccione Add (Añadir) para añadir las direcciones IP permitidas en Permitted IP
Addresses (Direcciones IP permitidas) desde las que un administrador puede acceder
a la interfaz MGT.
3. Fije la Speed (Velocidad) en auto-negotiate (negociación automática).
4. Seleccione los servicios de gestión que permitirá en la interfaz.
Asegúrese de que ni Telnet ni HTTP estén seleccionados, ya que estos servicios

usan texto sin formato y no son tan seguros como otros servicios, y podrían
comprometer las credenciales de administrador.
5. Haga clic en OK (Aceptar).
STEP 5 | Configure los ajustes de DNS, servidor de actualización y servidor proxy.
Debe configurar manualmente al menos un servidor DNS en el firewall o no podrá

resolver los nombres de host; no usará configuraciones del servidor DNS de otra fuente,
como un ISP.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios).
• En plataformas de múltiples sistemas virtuales, seleccione Global y edite la sección Services.
• En plataformas de un único sistema virtual, edite la sección Servicios.
2. En la pestaña Services (Servicios), para DNS haga clic en una de las siguientes opciones:
• Servers (Servidores): ingrese la dirección del Primary DNS Server (Servidor DNS principal) y la del
Secondary DNS Server (Servidor DNS secundario).
• DNS Proxy Object (Objeto proxy DNS): en el menú desplegable, seleccione el DNS Proxy que
desea usar para configurar servicios DNS globales, o haga clic en DNS Proxy para configurar un
nuevo objeto proxy DNS.
STEP 6 | Configure los ajustes de fecha y hora (NTP).

• En plataformas de múltiples sistemas virtuales, seleccione Global y edite la sección Services.
• En plataformas de un único sistema virtual, edite la sección Servicios.
2. En la pestaña NTP, para usar el clúster virtual de los servidores de tiempo en Internet, introduzca
el nombre de host pool.ntp.org como el Primary NTP Server o introduzca la dirección IP de su
servidor NTP principal.
3. (Opcional) Introduzca una dirección Secondary NTP Server.
4. (Opcional) Para autenticar actualizaciones de tiempo de los servidores NTP, en Authentication Type
(Tipo de autenticación), seleccione uno de los siguientes en cada servidor:
• None (Ninguna): (opción por defecto) deshabilita la autenticación NTP.
• Symmetric Key (Clave simétrica): el cortafuegos usa intercambio de clave simétrica (secretos
compartidos) para autenticar las actualizaciones de tiempo.
• Key ID (ID de clave): introduzca el ID de clave (1--65534).
• Algorithm (Algoritmo): seleccione el algoritmo que se debe utilizar en la autenticación del NTP
(MD5 o SHA1).
• Autokey (Clave automática): el cortafuegos usa la clave automática (criptografía de clave pública)
para autenticar las actualizaciones de tiempo.
STEP 7 | (Opcional) Configure los ajustes generales del cortafuegos según fuera necesario.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique la
configuración general.
2. Introduzca un Hostname (Nombre de host) para el cortafuegos y el nombre de Domain (Dominio) de
su red. El nombre de dominio tan solo es una etiqueta, no se usará para unirse al dominio.
3. Introduzca el texto del Login Banner que informa a los usuarios que están intentando iniciar sesión de
que deben tener autorización para acceder a las funciones de gestión del cortafuegos.
Se recomienda no utilizar mensaje de bienvenida. Además, debe pedir a su

departamento de asuntos legales que revise el mensaje del banner para garantizar
que advierta adecuadamente que se prohíbe el acceso no autorizado.
4. Introduzca la Latitude (Latitud) y Longitude (Longitud) para permitir la colocación precisa del
cortafuegos en el mapamundi.
STEP 8 | Establezca una contraseña segura para la cuenta de administrador.

Asegúrese de usar los ajustes de complejidad de contraseña para garantizar una
contraseña estricta.
1. Seleccione Device (Dispositivo) > Administrators (Administradores).

2. Seleccione la función admin.
3. Introduzca la contraseña predeterminada actual y la nueva contraseña.
4. Haga clic en OK (Aceptar) para guardar la configuración.
STEP 9 | Compile los cambios.
Al guardar los cambios de configuración, perderá la conectividad con la interfaz web, ya

que la dirección IP habrá cambiado.
Haga clic en Commit (Confirmar) en la parte superior derecha de la interfaz web. El cortafuegos puede
tardar hasta 90 segundos en guardar sus cambios.
STEP 10 | Conecte el firewall a su red.

1. Desconecte el firewall de su ordenador.
2. Conecte el puerto de gestión a un puerto de conmutador en su red de gestión usando un cable
Ethernet RJ-45. Asegúrese de que el puerto de conmutación que conecta al firewall mediante un
cable está configurado para negociación automática.
STEP 11 | Abra una sesión de gestión SSH en el firewall.

Mediante un software de emulación de terminal, como PuTTY, inicie una sesión SSH en el cortafuegos
usando la nueva dirección IP que le ha asignado.
STEP 12 | Verifique el acceso a la red para los servicios externos requeridos para la gestión del
cortafuegos, como el servidor de actualizaciones de Palo Alto Networks.
Puede hacerlo de uno de estos modos:
• Si no desea permitir que una red externa acceda a la interfaz MGT, tendrá que configurar un puerto
de datos para recuperar las actualizaciones de servicio requeridas. Proceda con la Configuración de
acceso a la red para servicios externos.
• Si planea permitir el acceso de la red externa a la interfaz MGT, compruebe que haya conectividad y
proceda a registrar el cortafuegos y activar las licencias y suscripciones.
1. Compruebe la utilidad del ping para verificar la conectividad de red al servidor de actualizaciones
de Palo Alto Networks como se muestra en el siguiente ejemplo. Verifique que la resolución DNS
se produzca y la respuesta incluya la dirección IP del servidor de actualización; el servidor de
actualización no responde a una solicitud de ping.
admin@PA-200 > ping host updates.paloaltonetworks.com

PING updates.paloaltonetworks.com (10.101.16.13) 56(84) bytes de datos.
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
Cuando haya comprobado la resolución DNS, pulse Ctrl+C para detener la solicitud
de ping.
2. Use el siguiente comando de la CLI para recuperar información sobre el derecho a la asistencia
técnica para el cortafuegos desde el servidor de actualizaciones de Palo Alto Networks:

request support check
Si tiene conectividad, el servidor de actualizaciones responde con el estado de asistencia para el

cortafuegos. Debido a que su cortafuegos no está registrado, el servidor de actualizaciones devuelve
el siguiente mensaje:
Comuníquese con nosotros

https://www.paloaltonetworks.com/company/contact-us.html
Página de inicio del servicio de asistencia
https://www.paloaltonetworks.com/support/tabs/overview.html
Dispositivo no encontrado en el servidor de actualizaciones
Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el cortafuegos usa la interfaz de gestión para acceder a servicios remotos,
como servidores DNS, actualizaciones de contenido y recuperación de licencias. Si no desea habilitar el
acceso de red externa a su red de gestión, debe configurar un puerto de datos en banda para brindar acceso
a los servicios externos necesarios y configurar rutas de servicio para indicar al cortafuegos qué puerto debe
usar para acceder a los servicios externos.
Para esta tarea debe estar familiarizado con zonas, políticas e interfaces de cortafuegos.
Para obtener más información sobre estos temas, consulte Configuración de interfaces y
zonas y Configuración de una política de seguridad básica.
STEP 1 | Decida el puerto que desea usar para acceder a servicios externos y conéctelo al puerto del
conmutador o al puerto del enrutador.
La interfaz que use deberá tener una dirección IP estática.
STEP 2 | Inicie sesión en la interfaz web.

Si usa una conexión segura (https) desde su navegador web, inicie sesión usando la nueva dirección IP y
contraseña que asignó durante la configuración inicial (https://<dirección IP>). Verá una advertencia de
certificación; es normal. Vaya a la página web.
STEP 3 | (Opcional) El cortafuegos viene preconfigurado con una interfaz de Virtual Wire
predeterminada entre los puertos Ethernet 1/1 y Ethernet 1/2 (y sus correspondientes
zonas y políticas de seguridad predeterminadas). Si no pretende usar esta configuración de
Virtual Wire, debe eliminar manualmente la configuración para evitar que interfiera con otras
configuraciones de interfaz que defina.
Debe eliminar la configuración en el siguiente orden:
1. Para eliminar la política de seguridad predeterminada, seleccione Policies (Políticas) > Security
(Seguridad), seleccione la regla y haga clic en Delete (Eliminar).
2. Para eliminar el cable virtual predeterminado, seleccione Network (Red) > Virtual Wires (Cables
virtuales), seleccione el cable virtual y haga clic en Delete (Eliminar).
3. Para eliminar las zonas fiables y no fiables predeterminadas, seleccione Network (Red) > Zones
(Zonas), seleccione cada zona y haga clic en Delete (Eliminar).
4. Para eliminar las configuraciones de interfaz, seleccione Network (Red) > Interfaces y, a continuación,
seleccione cada interfaz (ethernet1/1 y ethernet1/2), y haga clic en Delete (Eliminar).
5. Seleccione Commit (Confirmar) para confirmar los cambios.

STEP 4 | Configure la interfaz que planea utilizar para el acceso externo a los servicios de gestión.
1. Seleccione Network (Red) > Interfaces y seleccione la interfaz que corresponde al puerto en el que
conectó el cable en el paso 1.
2. Seleccione Interface Type (Tipo de interfaz). Aunque su decisión aquí depende de la topología de su
red, este ejemplo muestra los pasos para Layer3.
3. En la pestaña Config, amplíe el menú desplegable Security Zone (Zona de seguridad) y seleccione
New Zone (Nueva zona).
4. En el cuadro de diálogo Zone (Zona), defina un nombre en Name para una nueva zona, por ejemplo
Gestión y, a continuación, haga clic en OK (Aceptar).
5. Seleccione la pestaña IPv4, seleccione el botón de opción Static (Estático), haga clic en Add (Añadir)
en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24. Debe usar una dirección IP estática en esta interfaz.
6. Seleccione Advanced (Avanzado) > Other Info (Otra información), amplíe el menú desplegable
Management Profile (Perfil de gestión) y seleccione New Management Profile (Nuevo perfil de
gestión).
7. Introduzca un Name (Nombre) para el perfil, como permitir_ping, y seleccione a continuación
los servicios que desea permitir en la interfaz. Para permitir el acceso a los servicios externos,
probablemente solo tenga que habilitar Ping y después hacer clic en OK (Aceptar).
Estos servicios ofrecen acceso de gestión al cortafuegos, así que seleccione solo
los servicios que correspondan a actividades de gestión que desee permitir en
esta interfaz. Por ejemplo, si planea utilizar la interfaz MGT para las tareas de
configuración del cortafuegos a través de la interfaz web o CLI, no debería habilitar
HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no autorizado a través
de esta interfaz (y si no ha permitido estos servicios, debería limitar el acceso a un
conjunto específico de Permitted IP Addresses [Direcciones IP permitidas]). Para
obtener detalles, consulte Uso de los perfiles de gestión de interfaz para restringir el
acceso.
8. Para guardar la configuración de la interfaz, haga clic en OK (Aceptar).
STEP 5 | Configure las Service Routes (Rutas de servicio).

Por defecto, el cortafuegos utiliza la interfaz MGT para acceder a los servicios externos que necesita.
Para cambiar la interfaz que usa el cortafuegos para enviar solicitudes a servicios externos, debe editar
las rutas de servicio.
Este ejemplo muestra cómo configurar rutas de servicio globales. Para obtener
información sobre la configuración de acceso de red a servicios externos basada en
sistemas virtuales en vez de global, consulte Personalización de las rutas de servicio en
servicios para sistemas virtuales.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Global y haga clic en
Service Route Configuration (Configuración de ruta de servicio).
Para activar sus licencias y obtener el contenido y las actualizaciones de software

más recientes, debe cambiar la ruta de servicios de DNS, Palo Alto Networks
Services (Servicios de Palo Alto Networks), URL Updates (Actualizaciones de URL) y
AutoFocus.
2. Haga clic en el botón de opción Customize (Personalizar) y seleccione una de las siguientes opciones:

• En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic en el enlace del servicio para el que
quiera modificar la Source Interface (Interfaz de origen) y seleccione la interfaz que acaba de
configurar.
Si se configura más de una dirección IP para la interfaz seleccionada, el menú desplegable Source
Address (Dirección de origen) le permite seleccionar una dirección IP.
• Para crear una ruta de servicio para un destino personalizado, seleccione Destination (Destino) y
haga clic en Add (Añadir). Introduzca un nombre de Destination (Destino) y seleccione una Source
Interface (Interfaz de origen). Si se configura más de una dirección IP para la interfaz seleccionada,
el menú desplegable Source Address (Dirección de origen) le permite seleccionar una dirección IP.
4. Repita los pasos del b al c indicados anteriormente para cada ruta de servicio que desee modificar.
5. Haga clic en Commit (Confirmar) para compilar los cambios.
STEP 6 | Configure una interfaz externa y una zona asociada y, a continuación, cree una regla de política
de seguridad para permitir que el cortafuegos envíe solicitudes de servicio desde la zona
interna hacia la externa.
1. Seleccione Network (Red) > Interfaces y, a continuación, seleccione su interfaz de orientación
externa. Seleccione Layer3 en Interface Type (Tipo de interfaz), luego seleccione Add (Añadir) para
añadir la dirección IP (en la pestaña IPv4 o IPv6) y cree la Security Zone (Zona de seguridad) asociada
(en la pestaña Config), tal como Internet. Esta interfaz debe tener una dirección IP estática; no es
necesario que configure servicios de gestión en esta interfaz.
2. Para configurar una regla de seguridad que permita el tráfico desde su red interna hasta el servidor de
actualización de Palo Alto Networks, seleccione Policies (Políticas) > Security (Seguridad) y haga clic
en Add (Añadir).
Se recomienda que al crear reglas de política de seguridad use reglas basadas

en aplicaciones en lugar de reglas basadas en políticas para garantizar que esté
identificando de manera precisa la aplicación subyacente, independientemente del
puerto, del protocolo, de las tácticas de evasión o del cifrado en uso. Siempre deje la
opción Service (Servicio) configurada en application-default (aplicación-predeterminado).
En este caso, cree una regla de política de seguridad que permita el acceso al servidor
de actualización (y a otros servicios de Palo Alto Networks).
STEP 7 | Cree una regla de política NAT.

1. Si usa una dirección IP privada en la interfaz de orientación interna, deberá crear una regla NAT
de origen para traducir la dirección a una dirección enrutable públicamente. Seleccione Policies
(Políticas) > NAT y, a continuación, haga clic en Add (Añadir). Como mínimo deberá definir un
nombre para la regla (pestaña General), especificar una zona de origen y destino, Management
(Gestión) a Internet en este caso (pestaña Original Packet [Paquete original]), y definir la
configuración de traducción de dirección de origen (pestaña Translated Packet [Paquete traducido])
y luego hacer clic en OK (Aceptar).

STEP 8 | Compruebe que tiene conectividad desde el puerto de datos a los servicios externos, incluida el
gateway predeterminada y el servidor de actualización de Palo Alto Networks.
Después de verificar que logró la conectividad de red necesaria, proceda con el Registro del cortafuegos
y la Activación de licencias y suscripciones.
1. Compruebe la utilidad del ping para verificar la conectividad de red al servidor de actualizaciones
de Palo Alto Networks como se muestra en el siguiente ejemplo. Verifique que la resolución DNS
se produzca y la respuesta incluya la dirección IP del servidor de actualización; el servidor de
actualización no responde a una solicitud de ping.
admin@PA-200 > ping host updates.paloaltonetworks.com

PING updates.paloaltonetworks.com (10.101.16.13) 56(84) bytes de datos.
Cuando haya comprobado la resolución DNS, pulse Ctrl+C para detener la solicitud
de ping.
2. Use el siguiente comando de la CLI para recuperar información sobre el derecho a la asistencia
técnica para el cortafuegos desde el servidor de actualizaciones de Palo Alto Networks:
request support check
Si tiene conectividad, el servidor de actualizaciones responde con el estado de asistencia para el

cortafuegos. Debido a que su cortafuegos no está registrado, el servidor de actualizaciones devuelve
el siguiente mensaje:
Comuníquese con nosotros

https://www.paloaltonetworks.com/company/contact-us.html
Página de inicio del servicio de asistencia
https://www.paloaltonetworks.com/support/tabs/overview.html
Dispositivo no encontrado en el servidor de actualizaciones

Registro del cortafuegos
Para poder activar el soporte y otras licencias y suscripciones, primero debe registrar el cortafuegos.
Si está registrando un cortafuegos serie VM, consulte la Guía de implementación de la serie

VM.
STEP 1 | Inicie sesión en la interfaz web.

Si usa una conexión segura (https) desde su navegador web, inicie sesión usando la nueva dirección IP y
contraseña que asignó durante la configuración inicial (https://<dirección IP>).
STEP 2 | Busque el número de serie y cópielo en el portapapeles.

En el Dashboard (Panel), busque su Serial Number (Número de serie) en la sección Información general
de la pantalla.
STEP 3 | Vaya al portal del servicio de atención al cliente de Palo Alto Networks e inicie sesión.
En una ventana o pestaña nueva del navegador, vaya a https://www.paloaltonetworks.com/support/
tabs/overview.html.
STEP 4 | Registre el cortafuegos.
Debe tener una cuenta de asistencia técnica para registrar un cortafuegos. Si aún no
tiene una cuenta de asistencia técnica, haga clic en el enlace Register (Registro) en la
página de inicio de sesión de asistencia técnica y siga las instrucciones para configurar
su cuenta y registrar el cortafuegos.
Si ya dispone de una cuenta de asistencia técnica, inicie sesión y registre el cortafuegos basado en
hardware de la siguiente manera:
1. Seleccione Assets (Activos) > Devices (Dispositivos).
2. Haga clic en Register New Device (Registrar nuevo dispositivo).
3. Seleccione Register device using Serial Number or Authorization Code (Registrar dispositivo usando
el número de serie o el código de autorización) y haga clic en Submit (Enviar).
4. Introduzca el Serial Number (Número de serie) del cortafuegos (puede copiarlo y pegarlo desde el
panel del cortafuegos).
5. (Opcional) Introduzca el Device Name (Nombre del dispositivo) y elDevice Tag (Etiqueta de
dispositivo).
6. Proporcione información sobre dónde planea implementar el cortafuegos, esto incluye la City
(Ciudad), el Postal Code (Código postal) y el Country (País).
7. Lea el acuerdo de licencia de usuario final (end-user license agreement, EULA) y luego haga clic en
Agree and Submit (Aceptar y enviar).

Activación de la licencia y suscripciones
Antes de que pueda empezar a usar su firewall para proteger el tráfico de su red, deberá activar las licencias
de cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
• Prevención de amenazas: proporciona protección antivirus, antispyware y contra vulnerabilidades.
• Reflejo de descifrado: esta función proporciona la capacidad de crear una copia del tráfico descifrado
desde un cortafuegos y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir
capturas de paquetes sin formato (como NetWitness o Solera) para su archivado y análisis.
• Filtro de URL: ofrece la capacidad de crear una política de seguridad que admite o bloquea el acceso a
la Web en función de categorías de URL dinámicas. Debe adquirir e instalar una suscripción para una de
las bases de datos de filtrado URL compatibles: PAN-DB o BrightCloud. Con PAN-DB, puede configurar
el acceso a la nube pública de PAN-DB o a la nube privada de PAN-DB. Para obtener más información
sobre el filtro de URL, consulte Control del acceso al contenido web.
• Sistemas virtuales: esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los cortafuegos serie PA-2000 y serie PA-3000. Además, debe adquirir una licencia de sistemas
virtuales si desea utilizar un número de sistemas virtuales superior al ofrecido de manera predeterminada
por los cortafuegos serie PA-4000, serie PA-5000 y serie PA-7000 (el número básico varía según la
plataforma). Los cortafuegos serie PA-500, serie PA-200 y serie VM no son compatibles con sistemas
virtuales.
• WildFire: Aunque la licencia de prevención de amenazas incluye asistencia básica con WildFire, el
servicio de suscripción a WildFire ofrece servicios mejorados para organizaciones que requieren
cobertura inmediata de las amenazas, actualizaciones frecuentes de firmas de WildFire, reenvío de tipos
de archivos avanzados (APK, PDF, Microsoft Office y Java Applet), además de la capacidad para cargar
archivos usando la API WildFire. También se requiere una suscripción a WildFire si sus cortafuegos van a
reenviar archivos a un dispositivo WF-500 en las instalaciones.
• GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar portales y gateways de GlobalProtect (sin comprobaciones de
HIP) sin licencia. Si desea usar características de GlobalProtect avanzadas (comprobaciones HIP y
actualizaciones de contenido relacionadas, la aplicación móvil de GlobalProtect, conexiones IPv6 o VPN
sin cliente de GlobalProtect), necesitará una licencia (suscripción) GlobalProtect para cada puerta de
enlace.
• AutoFocus: proporciona un análisis gráfico de los logs de tráfico del cortafuegos e identifica posibles
riesgos para su red usando inteligencia contra amenazas del portal AutoFocus. Con una licencia activa,
también puede abrir una búsqueda en AutoFocus en función de los logs registrados en el cortafuegos.
STEP 1 | Encuentre los códigos de activación de las licencias que ha adquirido.

Al comprar las suscripciones debió recibir un mensaje de correo electrónico del servicio de atención
al cliente de Palo Alto Networks con los códigos de activación asociados a cada suscripción. Si no
encuentra este mensaje de correo electrónico, póngase en contacto con el Servicio de atención al cliente
para obtener sus códigos de activación antes de continuar.
STEP 2 | Active su licencia de asistencia técnica.

No podrá actualizar su software PAN-OS si no tiene una licencia de asistencia técnica válida.
1. Inicie sesión en la interfaz web y luego seleccione Device (Dispositivo) > Support (Asistencia técnica).
2. Haga clic en Activate support using authorization code (Activar soporte usando código de
autorización).
3. Introduzca el Authorization Code (Código de autorización) y, a continuación, haga clic en OK
(Aceptar).

STEP 3 | Active todas las licencias que ha adquirido.
Seleccione Device (Dispositivo) > Licenses (Licencias) y luego active sus licencias y suscripciones de
alguna de las siguientes maneras:
• Recuperar de claves de licencia del servidor de licencias: use esta opción si ha activado su licencia en
el portal del Servicio de atención al cliente.
• Activate feature using authorization code (Activar la función usando un código de autorización): use
esta opción para habilitar las suscripciones adquiridas con un código de autorización para licencias
que no han sido previamente activadas en el portal de asistencia técnica. Cuando se le indique,
introduzca el Authorization Code (Código de autorización) y haga clic en OK (Aceptar).
• Manually upload license key (Cargar manualmente la clave de licencia): use esta opción si su
cortafuegos no tiene conectividad con el portal de asistencia técnica de Palo Alto Networks. En este
caso, debe descargar una clave de licencia del sitio de asistencia técnica a través de un ordenador
conectado a Internet y después cargarlo en el cortafuegos.
STEP 4 | Compruebe que la licencia se ha activado correctamente.

En la página Device (Dispositivo) > Licenses (Licencias) compruebe que la licencia se haya activado
correctamente. Por ejemplo, tras activar la licencia de WildFire, debería ver que la licencia es válida:
STEP 5 | (Solo suscripciones a WildFire) Realice una confirmación para completar la activación de la
suscripción a WildFire.
Tras activar una suscripción a WildFire, se necesita una confirmación para que el cortafuegos empiece a
reenviar tipos de archivos avanzados. Debe elegir una de las siguientes opciones:
• Compile cualquier cambio pendiente.
• Compruebe si las Reglas de perfil de análisis de WildFire incluyen los tipos de archivo avanzados que
son compatibles ahora con la suscripción a WildFire. Si no es necesario ningún cambio en las reglas,
modifique mínimamente una descripción de reglas y realice la compilación.

Instalación de las actualizaciones de contenido
y software de Panorama
Para garantizar una protección constante contra las amenazas más recientes (incluidas aquellas que aún no
se han descubierto), debe asegurarse de mantener actualizados sus cortafuegos con las actualizaciones y el
contenido más reciente de Palo Alto Networks.
Están disponibles las siguientes actualizaciones de contenido, dependiendo de las suscripciones que posea:
• Antivirus: incluye firmas antivirus nuevas y actualizadas, incluyendo firmas WildFire y firmas de
comando y control generadas automáticamente (C2). Las firmas WildFire detectan el malware visto por
primera vez por cortafuegos de todo el mundo. Las firmas C2 generadas automáticamente detectan
ciertos patrones en el tráfico C2 (en lugar de que el servidor C2 envíe comandos malintencionados a un
sistema comprometido); estas firmas permiten al cortafuegos detectar la actividad de C2 incluso cuando
el host C2 es desconocido o cambia rápidamente. Debe contar con una suscripción a prevención de
amenazas para obtener estas actualizaciones. Se publican nuevas firmas de antivirus todos los días.
• Applications (Aplicaciones): incluye firmas de aplicaciones nuevas y actualizadas. Esta actualización no
requiere suscripciones adicionales, pero sí un contrato de asistencia/mantenimiento en vigor. Todas las
semanas se publican nuevas actualizaciones de aplicaciones. Para garantizar que las actualizaciones de
aplicaciones no afecten su política existente, revise el impacto en la política de las nuevas actualizaciones
de aplicación (consulte Gestión de nuevos App-ID introducidos en versiones de contenido) y asegúrese
de seguir las Prácticas recomendadas para las actualizaciones de aplicaciones y contenido de prevención
de amenazas
• Applications and Threats (Aplicaciones y amenazas): incluye firmas nuevas y actualizadas de aplicación y
prevención de amenazas, incluidas aquellas que detectan spyware y vulnerabilidades. Esta actualización
está disponible si cuenta con una suscripción de prevención de amenazas (y la obtiene en lugar de la
actualización de aplicaciones). Las nuevas actualizaciones de aplicaciones y prevención de amenazas se
publican semanalmente y el cortafuegos puede recuperar las actualizaciones más recientes dentro de
los 30 minutos a partir de su disponibilidad. Para garantizar que las actualizaciones de aplicaciones no
afecten su política existente, revise el impacto en la política de las nuevas actualizaciones de aplicación
(consulte Gestión de nuevos App-ID introducidos en versiones de contenido) y asegúrese de seguir las
Prácticas recomendadas para las actualizaciones de aplicaciones y contenido de prevención de amenazas
• GlobalProtect Data File (Archivo de datos de GlobalProtect): contiene la información específica del
proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados
por los agentes de GlobalProtect. Debe tener una licencia (suscripción) de GlobalProtect y crear una
programación de actualizaciones para recibir estas actualizaciones.
• GlobalProtect Clientless VPN (VPN sin cliente de GlobalProtect): contiene firmas de aplicaciones
nuevas y actualizadas para permitir el acceso de VPN sin cliente a aplicaciones web comunes desde el
portal GlobalProtect. Debe tener una licencia (suscripción) de GlobalProtect y crear una programación de
actualizaciones para recibir estas actualizaciones y habilitar la VPN sin cliente.
• BrightCloud URL Filtering (Filtrado de URL de BrightCloud): ofrece actualizaciones únicamente para la
base de datos de filtrado de URL de BrightCloud. Debe contar con una suscripción a BrightCloud para
obtener estas actualizaciones. Todos los días se publican nuevas actualizaciones de la base de datos de
URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones programadas no son necesarias
ya que los cortafuegos permanecen sincronizados con los servidores de forma automática.
• WildFire: esta actualización, disponible con una suscripción de WildFire, proporciona firmas de software
malintencionado y antivirus prácticamente en tiempo real como resultado del análisis realizado por
el servicio de la nube de WildFire. Como práctica recomendada, programe el cortafuegos para que

recupere actualizaciones de WildFire cada minuto (esto permite que el cortafuegos obtenga las firmas
más recientes dentro de un minuto desde su disponibilidad). Si tiene una suscripción de prevención
de amenazas y no una suscripción de WildFire, debe esperar de 24 a 48 horas para que las firmas de
WildFire se apliquen en la actualización del antivirus.
• WF-Private: proporciona firmas de malware generadas por un dispositivo WildFire en las instalaciones.
Siga los pasos para instalar las actualizaciones de contenido y software.
STEP 1 | Asegúrese de que el cortafuegos tenga acceso al servidor de actualización.

1. Por defecto, el cortafuegos accede a Update Server (Actualizar servidor) en
updates.paloaltonetworks.com para que el cortafuegos reciba actualizaciones de contenido
del servidor más cercano en la infraestructura CDN. Si el cortafuegos ha restringido el acceso
a Internet, establezca la dirección del servidor de actualizaciones para usar el nombre de host
staticupdates.paloaltonetworks.com o la dirección IP 199.167.52.15 en lugar de
seleccionar de forma dinámica un servidor de la infraestructura CDN.
2. (Opcional) Haga clic en Verify Update Server Identity (Verificar identidad del servidor de
actualización) para obtener un nivel adicional de validación para habilitar el cortafuegos y comprobar
que el certificado SSL del servidor esté firmado por una autoridad fiable. Esta opción está habilitada
de manera predeterminada.
3. (Opcional) Si el cortafuegos necesita utilizar un servidor proxy para acceder a los servicios de
actualización de Palo Alto Networks, en la ventana Proxy Server (Servidor proxy), introduzca:
• Server (Servidor): dirección IP o nombre de host del servidor proxy.
• Port (Puerto): puerto para el servidor proxy. Intervalo: 1-65535.
• User (Ususario): nombre de usuario para acceder al servidor.
• Password (Contraseña): contraseña para que el usuario acceda al servidor proxy. Vuelva a
introducir la contraseña en Confirm Password (Confirmar contraseña).
STEP 2 | Compruebe las actualizaciones de contenido más recientes.

Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y haga clic en Check
Now (Comprobar ahora) (ubicado en la esquina inferior izquierda de la ventana) para comprobar
las últimas actualizaciones. El enlace de la columna Action (Acción) indica si una actualización está
disponible:
• Download (Descargar): indica que hay disponible un nuevo archivo de actualización. Haga clic en el
enlace para iniciar la descarga directamente en el firewall. Tras descargarlo correctamente, el enlace
en la columna Action (Acción) cambia de Download (Descargar) a Install (Instalar).
No puede descargar la actualización de antivirus hasta que haya instalado la

actualización de aplicaciones y amenazas.
• Upgrade (Actualizar): indica que hay una nueva versión de la base de datos de BrightCloud
disponible. Haga clic en el enlace para iniciar la descarga e instalación de la base de datos. La
actualización de la base de datos se inicia en segundo plano; al completarse aparece una marca de
verificación en la columna Currently Installed (Instalado actualmente).
Si usa PAN-DB como base de datos de filtrado de URL, no verá ningún enlace de
actualización porque la base de datos de PAN-DB del cortafuegos se sincroniza
automáticamente con la nube de PAN-DB.

Para comprobar el estado de una acción, haga clic en Tasks (Tareas) (en la esquina
inferior derecha de la ventana).
• Revert (Revertir): indica que hay disponible una versión previa la versión de software o contenido.
Puede decidir revertir a la versión instalada anteriormente.
STEP 3 | Instale las actualizaciones de contenido.
La instalación puede tardar hasta 20 minutos en un cortafuegos PA-200, PA-500 o

PA-2000, y hasta dos minutos en los cortafuegos de las series PA-5000, PA-7000 o VM.
Haga clic en el enlace Install (Instalar) de la columna Action (Acción). Cuando se complete la instalación,
aparecerá una marca de verificación en la columna Currently Installed (Instalado actualmente).
STEP 4 | Programe cada actualización de contenido.

Repita este paso en cada actualización que desee programar.
Escalone las programaciones de actualizaciones, dado que el firewall no puede

descargar más de una actualización a la vez. Si ha programado la descarga de varias
actualizaciones al mismo tiempo, solo la primera se realizará correctamente.
1. Establezca la programación de cada tipo de actualización haciendo clic en el enlace None (Ninguna).
2. Especifique la frecuencia de las actualizaciones seleccionando un valor en el menú desplegable

Recurrence (Periodicidad). Los valores disponibles varían por tipo de contenido (las actualizaciones
de WildFire están disponibles Every Minute [Cada minuto],Every 15 Minutes [Cada 15 minutos],
Every 30 minutes [Cada 30 minutos] o Every Hour [Cada hora], mientras que las actualizaciones
de aplicaciones y amenazas pueden programarse Weekly [Semanalmente], Daily [Diariamente],
Hourly [Por hora] o Every 30 Minutes [Cada 30 minutos], y las actualizaciones de antivirus pueden
programarse Hourly [Cada hora], Daily [Diariamente] o Weekly [Semanalmente]).
Ya que las firmas de WildFire nuevas están a disposición cada cinco minutos,
configure el cortafuegos para recuperarlas actualizaciones de WildFire Every Minute
(Cada minuto) y obtener las firmas más recientes en un minuto.
3. Especifique Time (Hora) (o los minutos que pasan de una hora en el caso de WildFire) y, si está
disponible en función de la Recurrence (Periodicidad) seleccionada, el Day (Día) de la semana para
realizar la actualización.
4. Especifique si desea que el sistema use la opción Download Only (Únicamente descargar) o, como
opción recomendada, Download And Install (Descargar e instalar) la actualización.
5. Introduzca cuánto tiempo una publicación debe esperar antes de realizar una actualización de
contenido en el campo Threshold (Hours) (Umbral [horas]). En raras ocasiones puede haber errores
en las actualizaciones de contenido. Por este motivo, tal vez desee retrasar la instalación de nuevas
actualizaciones hasta que lleven varias horas publicadas.

Si tiene aplicaciones de misión crítica que deben estar 100 % disponibles, configure
el umbral para las actualizaciones de aplicaciones o actualizaciones y prevención de
amenazas en un mínimo de 24 horas o más, y siga las Prácticas recomendadas para
las actualizaciones de aplicaciones y contenido de prevención de amenazas.
6. Haga clic en OK (Aceptar) para guardar estos ajustes de programación.

7. Haga clic en Commit (Confirmar) para guardar estos ajustes en la configuración actual.
STEP 5 | Actualización de PAN-OS.
Siempre actualice el contenido antes de actualizar PAN-OS. Cada versión de PAN-OS

tiene una versión de publicación de contenido compatible mínima.
1. Revise las notas de versión.

2. Actualice el software de PAN-OS.

Segmentar su red con interfaces y zonas
El tráfico debe pasar por el firewall para que este pueda gestionarlo y controlarlo. Físicamente, el tráfico
entra y sale del cortafuegos a través de las interfaces. El cortafuegos determina el modo en que se actúa en
un paquete dependiendo de si el paquete coincide con una regla de política de seguridad. En el nivel más
básico, cada regla de política de seguridad debe identificar de dónde viene el tráfico y a dónde va. En un
cortafuegos de nueva generación Palo Alto Networks, las reglas de política de seguridad se aplican entre
zonas. Una zona es un grupo de interfaces (físicas o virtuales) que representa un segmento de su red que
está conectado con, y controlado por, el cortafuegos. Debido a que el tráfico solo puede fluir entre zonas
si existe una regla de política de seguridad que lo permita, esta es su primera línea de defensa. Mientras
más pormenorizadas sean las zonas que cree, mayor control tendrá sobre el acceso a aplicaciones y datos
delicados, y mayor protección tendrá contra el malware que se mueve de manera lateral por la red. Por
ejemplo, podría segmentar el acceso a los servidores de base de datos que almacenan los datos de sus
clientes en una zona denominada Datos de clientes. Luego puede definir políticas de seguridad que solo
permitan a ciertos usuarios o grupos de usuarios acceder a la zona de Datos de clientes, con lo cual evita el
acceso no autorizado interno o externo a los datos almacenados en ese segmento.
• Segmentación de la red para una superficie de ataque reducida on page 34
• Configuración de interfaces y zonas on page 34
Segmentación de la red para una superficie de ataque reducida

El siguiente diagrama muestra un ejemplo básico de la Segmentación de la red con zonas. Mientras más
pormenorizadas sean las zonas (y las correspondientes reglas de política de seguridad que permiten el
tráfico entre las zonas), más reducida será la superficie de ataque de la red. Esto se debe a que el tráfico
puede fluir libremente dentro de una zona (tráfico intrazona), pero el tráfico no puede fluir entre zonas
(tráfico interzona) hasta que usted defina una regla de política de seguridad que lo permita. Además, una
interfaz no puede procesar el tráfico hasta que lo haya asignado a una zona. Por lo tanto, al segmentar su
red en zonas pormenorizadas, tiene mayor control sobre el acceso a aplicaciones o datos delicados, y puede
prevenir que el tráfico malintencionado establezca un canal de comunicación dentro de su red, con lo cual
reduce la probabilidad de un ataque consumado en la red.
Configuración de interfaces y zonas

Una vez que identifique cómo desea segmentar la red y las zonas que deberá crear para lograr la
segmentación (además de las interfaces para asignar a cada zona), puede comenzar por configurar las

interfaces y zonas en el cortafuegos. Configure interfaces en el cortafuegos para admitir la topología de
cada parte de la red con la que está conectándose. El siguiente flujo de trabajo muestra cómo configurar las
interfaces de capa 3 y cómo asignarlas a zonas. Para obtener detalles sobre la integración del cortafuegos
usando un tipo diferente de implementaciones de interfaz (por ejemplo, como interfaces de cable virtual o
como interfaces de capa 2), consulte Redes.
El cortafuegos viene preconfigurado con una interfaz de Virtual Wire predeterminada

entre los puertos Ethernet 1/1 y Ethernet 1/2 (y una política de seguridad y un enrutador
virtual predeterminados correspondientes). Si no tiene previsto usar el cable virtual
predeterminado, debe eliminar manualmente la configuración y confirmar el cambio antes
de continuar para evitar que interfiera con otras configuraciones que defina. Para obtener
instrucciones sobre cómo eliminar el cable virtual predeterminado y sus zonas y política de
seguridad asociadas, consulte el Paso 3 en Configuración de acceso para servicios externos.
STEP 1 | Configure una ruta predeterminada hacia su enrutador de Internet.

1. Seleccione Network (Red) > Virtual Router (Enrutador virtual) y luego seleccione el enlace default
(predeterminado) para que se abra el cuadro de diálogo Virtual Router (Enrutador virtual).
2. Seleccione la pestaña Static Routes (Rutas estáticas) y haga clic en Add (Añadir). Introduzca un Name
(Nombre) para la ruta e introduzca la ruta en el campo Destination (Destino) (por ejemplo, 0.0.0.0/0).
3. Seleccione el botón de opción IP Address (Dirección IP) en el campo Next Hop (Siguiente salto) y, a
continuación, introduzca la dirección IP y la máscara de red para su puerta de enlace de Internet (por
ejemplo, 203.0.113.1).
4. Haga clic en OK (Aceptar) dos veces para guardar la configuración de enrutador virtual.
STEP 2 | Configure la interfaz externa (la interfaz que se conecta a Internet).

1. Seleccione Network (Red) > Interfaces y luego seleccione la interfaz que desea configurar. En este
ejemplo, estamos configurando Ethernet1/16 como la interfaz externa.
2. Seleccione Interface Type (Tipo de interfaz). Aunque su decisión aquí depende de la topología de su
red, este ejemplo muestra los pasos para Layer3.
3. En la pestaña Config (Configuración), seleccione New Zone (Nueva zona) en el menú desplegable
Security Zone (Zona de seguridad). En el cuadro de diálogo Zone, defina un Name (Nombre) para la
nueva zona, por ejemplo, Internet, y a continuación haga clic en OK (Aceptar).
4. En el menú desplegable Virtual Router (Enrutador virtual), seleccione default (predeterminado).
5. Para asignar una dirección IP a la interfaz, seleccione la pestaña IPv4, haga clic en Add (Añadir) en
la sección IP e introduzca la dirección IP y la máscara de red para asignar a la interfaz; por ejemplo,
203.0.113.23/24.
6. Para que pueda hacer ping en la interfaz, seleccione Advanced (Avanzado) > Other Info (Otra
información), expanda la lista desplegable Management Profile (Perfil de gestión) y seleccione
New Management Profile (Nuevo perfil de gestión). Introduzca un Name (Nombre) para el perfil,
seleccione Ping y, a continuación, haga clic en OK (Aceptar).
STEP 3 | Configure la interfaz que se conecta a su red interna.
En este ejemplo, la interfaz se conecta a un segmento de red que utiliza direcciones

IP privadas. Dado que las direcciones IP privadas no se pueden enrutar externamente,
deberá configurar NAT.
1. Seleccione Network (Red) > Interfaces y seleccione la interfaz que desea configurar. En este ejemplo,
estamos configurando Ethernet1/15 como la interfaz interna a la que se conectan nuestros usuarios.
2. Seleccione Layer3 en Interface Type (Tipo de interfaz).

3. En la pestaña Config (Configurar), amplíe el menú desplegable Security Zone (Zona de seguridad) y
seleccione New Zone (Nueva zona). En el cuadro de diálogo Zone, defina un Name (Nombre) para la
nueva zona; por ejemplo, Usuarios, y a continuación haga clic en OK (Aceptar).
4. Seleccione el mismo enrutador virtual que utilizó anteriormente; en este ejemplo, el predeterminado.
192.168.1.4/24.
6. Para poder hacer ping a la interfaz, seleccione el perfil de gestión que acaba de crear.
STEP 4 | Configure la interfaz que se conecta a sus aplicaciones del centro de datos.
Si bien este ejemplo de configuración de política de seguridad básica ilustra el uso de

una sola zona para todas sus aplicaciones de centro de datos, se recomienda que defina
zonas más pormenorizadas para evitar el acceso no autorizado a aplicaciones o datos
delicados y para eliminar la posibilidad de que el malware se mueva de forma lateral
dentro de su centro de datos.
1. Seleccione la interfaz que desee configurar.

2. Seleccione Layer3 en el menú desplegable Interface Type (Tipo de interfaz). En este ejemplo,
estamos configurando Ethernet1/1 como la interfaz que le proporciona acceso a sus aplicaciones del
centro de datos.
3. En la pestaña Config (Configurar), amplíe el menú desplegable Security Zone (Zona de seguridad)
y seleccione New Zone (Nueva zona). En el cuadro de diálogo Zone, defina un Name (Nombre)
para la nueva zona; por ejemplo Aplicaciones del centro de datos y, a continuación, haga clic en OK
(Aceptar).
4. Seleccione el mismo enrutador virtual que utilizó anteriormente; en este ejemplo, el predeterminado.
10.1.1.1/24.
6. Para poder hacer ping a la interfaz, seleccione el perfil de gestión que acaba de crear.
STEP 5 | (Opcional) Cree etiquetas para cada zona.

Las etiquetas le permitirán explorar visualmente las reglas de política.
1. Seleccione Objects (Objetos) > Tags (Etiquetas) y Add (Añadir).
2. Seleccione un nombre para la zona en Name (Nombre).
3. Seleccione un Color para la etiqueta y haga clic en OK (Aceptar).
STEP 6 | Guarde la configuración de la interfaz.

Haga clic en Commit (Confirmar).
STEP 7 | Conecte los cables del cortafuegos.

Conecte cables directos desde las interfaces que ha configurado al conmutador o enrutador de cada
segmento de red.

STEP 8 | Verifique que las interfaces estén activas.
Seleccione Dashboard (Panel) y verifique que las interfaces que configuró aparezcan en verde en el
widget de las interfaces.

Configuración de una política de seguridad
básica
Ahora que ha definido algunas zonas y las ha adjuntado a interfaces, está listo para comenzar a crear su
política de seguridad. El cortafuegos no permitirá el flujo de tráfico desde una zona a otra, a menos que
exista una regla de política de seguridad que lo permita. Cuando un paquete ingresa en la interfaz de un
cortafuegos, el cortafuegos compara los atributos del paquete con las reglas de políticas de seguridad para
determinar si una sesión se bloqueará o se permitirá basándose en atributos tales como la zona de seguridad
de origen y destino, la dirección IP de origen y destino, la aplicación, el usuario y el servicio. El cortafuegos
evalúa el tráfico entrante en función de la base de regla de política de seguridad de izquierda a derecha
y de arriba abajo, y luego toma la medida que se especifica en la primera regla de seguridad coincidente
(por ejemplo, si se debe permitir, denegar o colocar el paquete). Esto significa que usted debe ordenar las
reglas de su base de regla de política de seguridad de manera que las reglas más específicas estén en la
parte superior de la base de reglas y las reglas más generales estén en la parte inferior para garantizar que el
cortafuegos aplique la política como se prevé.
A pesar de que una regla de política de seguridad permite un paquete, esto no significa que el tráfico está
libre de amenazas. Para permitir que el cortafuegos explore el tráfico que permite según una regla de
política de seguridad, también debe adjuntar perfiles de seguridad (incluido el filtrado de URL, antivirus,
antispyware, bloqueo de archivos y análisis de WildFire) a cada regla (tenga en cuenta que los perfiles
que puede usar dependen de las suscipciones que haya comprado). Al crear su política de seguridad
básica, utilice los perfiles de seguridad predefinidos para garantizar que el tráfico que permite en la red sea
analizado en busca de amenazas. Puede personalizar estos perfiles más tarde según fuera necesario para su
entorno.
Use el siguiente flujo de trabajo para configurar una política de seguridad muy básica que permita el
acceso a la infraestructura de red, a las aplicaciones del centro de datos y a Internet. Esto le permitirá
poner en funcionamiento el cortafuegos a fin de que pueda verificar si ha configurado correctamente el
cortafuegos. Esta política no es lo suficientemente integral para proteger su red. Después de verificar que
haya configurado correctamente el cortafuegos y lo haya integrado en su red, continúe con la práctica
recomendada de política de seguridad de puerta de enlace de Internet que habilitará el acceso a la
aplicación de manera segura y a la vez protegerá su red contra ataques.
STEP 1 | (Opcional) Elimine la regla de política de seguridad por defecto.

De manera predeterminada, el cortafuegos incluye una regla de seguridad denominada regla1 que
permite todo el tráfico desde la zona Fiable a la zona No fiable. Puede eliminar la regla o modificarla para
reflejar su convención de denominación de zonas.
STEP 2 | Permita el acceso a sus recursos de infraestructura de red.

1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir).
2. Use un Name (Nombre) descriptivo para la regla en la pestaña General.
3. En la pestaña Source (Origen), establezca la Source Zone (Zona de origen) en Users (Usuarios).
4. En la pestaña Destination (Destino), establezca Destination Zone (Zona de destino) como IT
Infrastructure (Infraestructura de TI).
Se recomienda que considere usar objetos de dirección en el campo Destination

Address (Dirección de destino) para habilitar el acceso únicamente a servidores o
grupos de servidores específicos, particularmente para servicios tales como DNS
y SMTP que habitualmente sufren vulnerabilidades de seguridad. Al restringir a

los usuarios a direcciones de servidor de destino específicas, puede prevenir la
exfiltración de datos y que los comandos y el tráfico de control establezcan una
comunicación a través de técnicas tales como la tunelización de DNS.
5. En la pestaña Applications (Aplicaciones), seleccione Add (Añadir) para añadir las aplicaciones que
corresponden a los servicios de red que desea habilitar de manera segura. Por ejemplo, seleccione
dns, ntp, ocsp, ping, smtp.
6. En la pestaña Service/URL Category (Categoría de servicio/URL), mantenga Service (Servicio)
establecido como application-default (aplicación-predeterminado).
7. En la pestaña Actions (Acciones), establezca Action Setting (Configuración de acción) como Allow
(Permitir).
8. Configure Profile Type (Tipo de perfil) en Profiles (Perfiles) y seleccione los siguientes perfiles de
seguridad para adjuntarlos a la regla de política:
• Para Antivirus, seleccione default (predeterminado).
• Para Vulnerability Protection (Protección de vulnerabilidades), seleccione strict (estricta).
• Para Anti-Spyware, seleccione strict (estricto).
• Para URL Filtering (Filtrado de URL), seleccione default (predeterminado).
• Para File Blocking (Bloqueo de archivos), seleccione basic file blocking (bloqueo de archivos
básico).
• Para WildFire Analysis (Análisis de WildFire), seleccione default (predeterminado).
9. Verifique que Log at Session End (Log al finalizar sesión) esté habilitado. Únicamente se registrará el
tráfico que coincida con una regla de política de seguridad.
10.Haga clic en OK (Aceptar).
STEP 3 | Habilite el acceso a las aplicaciones generales de Internet.
Esta es una regla temporal que le permite recopilar información sobre el tráfico de su
red. Una vez que obtiene más información sobre las aplicaciones a las que los usuarios
necesitan acceder, puede tomar decisiones informadas sobre qué aplicaciones permitir y
crear reglas basadas en aplicaciones más pormenorizadas para cada grupo de usuario.
4. En la pestaña Destination (Destino), establezca la Destination Zone (Zona de destino) como Internet.
5. En la pestaña Applications (Aplicaciones), seleccione Add (Añadir) para añadir un filtro de aplicación
al seleccionar Application Filter (Filtro de aplicación) e introduzca un nombre. Para habilitar de
manera segura el acceso a aplicaciones legítimas basadas en la web, configure la categoría en el filtro
de aplicación como general-internet y luego haga clic en OK (Aceptar). Para habilitar el acceso a sitios
cifrados, seleccione Add (Añadir) para añadir la aplicación ssl.
(Permitir).

• Para File Blocking (Bloqueo de archivos), seleccione strict file blocking (bloqueo de archivos
stricto).
tráfico que coincida con una regla de seguridad.
STEP 4 | Habilite el acceso a las aplicaciones del centro de datos.

4. En la pestaña Destination (Destino), defina la Destination Zone (Zona de destino) como Data Center
Applications (Aplicaciones de centros de datos).
5. En la pestaña Applications (Aplicaciones), seleccione Add (Añadir) para añadir las aplicaciones que
corresponden a los servicios de red que desea habilitar de manera segura. Por ejemplo, seleccione
activesync, imap, kerberos, ldap, ms-exchange y ms-lync.
(Permitir).
• Para File Blocking (Bloqueo de archivos), seleccione basic file blocking (bloqueo de archivos
básico).
tráfico que coincida con una regla de seguridad.
STEP 5 | Guarde las reglas de política en la configuración que se esté ejecutando en el cortafuegos.

STEP 6 | Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus
reglas de política de seguridad se están evaluando y determine qué regla de política de
seguridad se aplica a un flujo de tráfico.
Para verificar la regla de políticas que coincide con un flujo, utilice el siguiente comando de la CLI:
test security-policy-match source <IP_address> destination <IP_address>

destination port <port_number> application <application_name> protocol
<protocol_number>
El resultado muestra la regla que coincide mejor con la dirección IP de origen y destino especificada en el
comando de la CLI.
Por ejemplo, para verificar la regla de política que se aplicará a un cliente en la zona de usuario con la
dirección IP 10.35.14.150 cuando envía una consulta DNS al servidor DNS en el centro de datos:
test security-policy-match source 10.35.14.150 destination 10.43.2.2

application dns protocol 53
"Network Infrastructure" {
from Users;
source any;
source-region none;
to Data_Center;
destination any;
destination-region none;
user any;
category any;
application/service dns/any/any/any;
action allow;
icmp-unreachable: no
terminal yes;
}

Evaluación del tráfico de red
Ahora que tiene una política de seguridad básica, podrá revisar las estadísticas y los datos en el Centro
de control de aplicaciones (Application Command Center, ACC), además de los logs de tráfico y logs de
amenazas para observar tendencias en su red. Use esta información para identificar dónde necesita para
crear reglas de política de seguridad más detalladas.
• Utilice el centro de control de aplicaciones y Utilice el motor de correlación automatizada.

En el ACC, revise las aplicaciones más utilizadas y las aplicaciones de alto riesgo en su red. El ACC
resume gráficamente la información de logs para resaltar las aplicaciones que cruzan la red, quién las
está utilizando (con el ID de usuario habilitado) y el posible impacto en la seguridad del contenido para
ayudarle a identificar qué sucede en la red en tiempo real. A continuación, podrá utilizar esta información
para crear reglas de políticas de seguridad adecuadas que bloqueen las aplicaciones no deseadas y que
permitan y habiliten aplicaciones de manera segura.
El widget Hosts en riesgo en ACC > Threat Activity (Actividad de amenazas) muestra los hosts
potencialmente en riesgo en su red y los logs, y asocia pruebas que corroboran los eventos.
• Determine qué actualizaciones/modificaciones son necesarias para sus reglas de políticas de

seguridad de red e implemente los cambios.
Por ejemplo:
• Evalúe si desea permitir contenido web según la programación, los usuarios o los grupos.
• Permita o controle determinadas aplicaciones o funciones dentro de una aplicación.
• Descifre e inspeccione contenido.
• Permita con exploración en busca de amenazas y explotaciones.
Para obtener información sobre cómo refinar sus políticas de seguridad y adjuntar perfiles de seguridad
personalizados, consulte cómo Crear una regla de política de seguridad y Perfiles de seguridad.
• Visualización de logs.
De manera específica, visualice los logs de tráfico y amenaza (Monitor [Supervisar] > Logs).
Los logs de tráfico dependen del modo en que sus políticas de seguridad están definidas
y configuradas para registrar el tráfico. Sin embargo, el widget Application Usage en
ACC registra aplicaciones y estadísticas independientemente de la configuración de
las políticas; muestra todo el tráfico que se permite en su red, por lo que incluye el
tráfico interzona, que permite la política y el tráfico de la misma zona que se permite
implícitamente.
• Configuración de cuotas de almacenamiento y periodos de vencimiento de logs.

Revise el resumen de inteligencia de AutoFocus para los artefactos de sus logs. Un artefacto es un
elemento, propiedad, actividad o comportamiento asociado con eventos de logs en el cortafuegos.
El resumen de inteligencia revela la cantidad de sesiones y muestras en las que WildFire detectó el
artefacto. Use la información de veredicto de WildFire (benigna, grayware, malware) y las etiquetas
coincidentes de AutoFocus para buscar posibles riesgos en la red.
Las etiquetas de AutoFocus creadas por Unit 42, el equipo de inteligencia de amenazas
de Palo Alto Networks, llaman la atención sobre campañas y amenazas avanzadas y
específicas de su red.

A partir del resumen de inteligencia de AutoFocus, usted puede iniciar una búsqueda de AutoFocus para
detectar artefactos y evaluar su expansión en el contexto global, industrial y de red.
• Supervisión de la actividad web de los usuarios de red.

Revise los logs de filtrado de URL para examinar alertas, URL y categorías denegadas. Los logs de URL
se generan cuando un tráfico coincide con una regla de seguridad que tenga un perfil de filtrado de URL
adjunto con una acción de alertar, continuar, sobrescribir o bloquear.

Habilitación del reenvío básico de WildFire
WildFire es un entorno virtual basado en la nube que analiza y ejecuta muestras desconocidas (archivos
y enlaces de correo electrónico), y determina si las muestras son malintencionadas, phishing, grayware
o benignas. Con WildFire habilitado, un cortafuegos de Palo Alto Networks puede reenviar muestras
desconocidas a WildFire para su análisis. Para el malware recientemente detectado, WildFire genera una
firma para detectar el malware y la distribuye en solo minutos a todos los cortafuegos con licencias WildFire
activas. Esto habilita a los cortafuegos de nueva generación de Palo Alto en todo el mundo a detectar y
prevenir el malware detectado por un único cortafuegos. Cuando usted habilita el reenvío de WildFire, el
cortafuegos también reenvía archivos que fueron bloqueados por firmas de antivirus, además de muestras
desconocidas. Las firmas de malware a menudo coinciden con múltiples variantes de la misma familia de
malware y, como tales, bloquean nuevas variantes de malware que el cortafuegos nunca había visto antes.
El equipo de investigación de amenazas de Palo Alto Networks utiliza la inteligencia contra amenazas
recopilada de las variantes de malware para bloquear direcciones IP, dominios y URL malintencionadas.
El servicio básico de WildFire se incluye como parte del cortafuegos de nueva generación de Palo Alto
Networks y no requiere una suscripción a WildFire. Con el servicio básico de WildFire, usted puede habilitar
el cortafuegos para reenviar archivos portables ejecutables (portable executable, PE). Además, si no tiene
una suscripción a WildFire, pero sí tiene una suscripción de prevención de amenazas, puede recibir firmas
para el malware que WildFire identifica cada 24 o 48 horas (como parte de las actualizaciones del antivirus).
Más allá del servicio básico de WildFire, se necesita una suscripción a WildFire para que el cortafuegos
realice lo siguiente:
• Obtenga las firmas más recientes de WildFire cada cinco minutos.
• Reenvíe tipos de archivos avanzados y enlaces de correo electrónico para su análisis.
• Uso de la API de WildFire.
• Utilice un dispositivo WildFire para alojar una nube privada de WildFire o una nube híbrida de WildFire.
Si tiene una suscripción a WildFire, siga adelante y comience a usar WildFire para aprovechar al máximo su
suscripción. De lo contrario, realice los siguientes pasos para habilitar el reenvío básico de WildFire:
STEP 1 | Confirme que su cortafuegos está registrado y que tiene una cuenta válida de asistencia
técnica, así como las suscripciones que usted requiera.
1. Vaya al portal de asistencia técnica (Customer Support Portal, CSP) de Palo Alto Networks, inicie
sesión y seleccione My Devices (Mis dispositivos).
2. Verifique que el firewall se incluye en la lista. Si no aparece, consulte Registro del cortafuegos.
3. (Opcional) Si tiene una suscripción de prevención de amenazas, asegúrese de activar las licencias y
suscripciones.
STEP 2 | Configure los ajustes de reenvío de WildFire.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > WildFire y modifique la configuración
general.
2. Configure el campo WildFire Public Cloud (Nube pública de WildFire) para que reenvíe los archivos a
la nube pública de WildFire en: wildfire.paloaltonetworks.com.
También puede reenviar archivos a una nube regional o una nube privada según su
ubicación y sus requisitos organizativos.
3. Revise los File Size Limits (Límites de tamaño de archivo) para los PE que el cortafuegos reenvía
para el análisis de WildFire. Configure el Size Limit (Límite de tamaño) para los PE que el cortafuegos
puede reenviar en el límite máximo disponible de 10 MB.

Como práctica recomendada de WildFire, configure el Size Limit (Límite de tamaño)
para los PE en el límite máximo disponible de 10 MB.
4. Haga clic en OK (Aceptar) para guardar los cambios.
STEP 3 | Habilite el cortafuegos para que reenvíe PE para su análisis.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > WildFire Analysis (Análisis
de WildFire) y luego Add (Añadir) para añadir una nueva regla de perfil.
2. Indique un nombre para la nueva regla de perfil en Name (Nombre).
3. Seleccione Add (Añadir) para añadir una regla de reenvío e introduzca un nombre en Name para
dicha regla.
4. En la columna File Types (Tipos de archivo), añada archivos pe a la regla de reenvío.
5. En la columna Analysis, seleccione public-cloud para reenviar PE a la nube pública de WildFire.
STEP 4 | Aplique el nuevo perfil de análisis de WildFire al tráfico que permite el cortafuegos.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una política existente o cree una
nueva política según se describe en Configuración de una política de seguridad básica.
2. Seleccione Actions (Acciones) y en la sección Profile Settings, configure el Profile Type (Tipo de
perfil) en Profiles (Perfiles).
3. Seleccione el perfil WildFire Analysis (Análisis de WildFire) que acaba de crear para aplicar esa regla
de perfil a todo el tráfico que la política permite.
STEP 5 | Habilite el cortafuegos para que envíe tráfico descifrado SSL para el análisis de WildFire.
STEP 6 | Revise e implemente las prácticas recomendadas de WildFire para asegurarse de aprovechar al
máximo las prestaciones de detección y prevención de WildFire.
STEP 7 | Seleccione Commit (Confirmar) para confirmar sus cambios de configuración.
STEP 8 | Verifique que el cortafuegos esté reenviando archivos PE a la nube pública de WildFire.
Seleccione Monitor (Supervisar) > Logs > WildFire Submissions (Envíos de WildFire) para visualizar
las entradas del log para los PE que el cortafuegos envió correctamente para el análisis de WildFire.
La columna Verdict (Veredicto) muestra si WildFire detectó que el PE es malintencionado, grayware o
benigno. (WildFire solo asigna el veredicto de phishing a enlaces de correo electrónico).
STEP 9 | (Suscripción de prevención de amenazas únicamente) Si tiene una suscripción de prevención de

amenazas, pero no tiene una suscripción a WildFire, puede recibir actualizaciones de firmas de
WildFire cada 24 o 48 horas.
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas).
2. Compruebe que el cortafuegos esté configurado para descargar e instalar actualizaciones de antivirus.

Control del acceso a contenido web
El filtrado de URL proporciona visibilidad y control sobre el tráfico web de su red. Con el filtrado de URL
habilitado, el cortafuegos puede clasificar el tráfico web en una o más categorías URL. A continuación,
puede crear políticas que especifiquen si se permite, bloquea o crea un log (alerta) para el tráfico basándose
en la categoría a la que pertenece. Junto con User-ID, también puede usar el filtrado URL para prevenir el
phishing de credenciales en función de la categoría de URL.
El siguiente flujo de trabajo muestra cómo habilitar PAN-DB para el filtrado de URL, crear perfiles de
seguridad y adjuntarlos a reglas de políticas de seguridad para aplicar una política de filtrado de URL básica.
STEP 1 | Confirme que posee una licencia de filtrado de URL.

1. Obtenga e instale una licencia de filtrado de URL. Consulte Activación de la licencias y suscripciones
para obtener detalles.
2. Seleccione Device (Dispositivo) > Licenses (Licencias) y verifique que la licencia de filtrado de URL
sea válida.
STEP 2 | Descargue la base de datos de envíos y active la licencia.

1. Para descargar la base de datos de envíos, haga clic en Download (Descargar) junto a Descargar
estado (Download Status) en la sección Filtrado de URL de PAN-DB de la página Licencias.
2. Elija una región (APAC, Europa, Japón, Latinoamérica, Norteamérica o Rusia) y luego haga clic en OK
(Aceptar) para iniciar la descarga.
3. Cuando finalice la descarga, haga clic en Activate (Activar). El campo Active (Activo) ahora muestra
que PAN-DB está activo.
STEP 3 | Configuración de filtrado de URL.
Configure un perfil de filtrado de URL recomendado para garantizar protección contra las
URL que se observó que alojan malware o contenido de exploits.
Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de URL)
y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
• Seleccione Categories (Categorías) para permitir, alertar, continuar o bloquear su acceso. Si no está
seguro de los sitios o categorías que desea controlar, considere configurar las categorías (excepto
las bloqueadas de manera predeterminada) en modo de alerta. A continuación, puede utilizar las
herramientas de visibilidad en el cortafuegos, como el Centro de control de aplicaciones (ACC)
y Appscope, para determinar qué categorías web restringir a grupos específicos o bloquear por
completo. Consulte Acciones del perfil de filtrado de URL para obtener detalles sobre los ajustes de
acceso al sitio que puede aplicar para cada categoría de URL.

• Seleccione Categories (Categorías) para prevenir el phishing de identidades en función de la categoría
de URL.
• Seleccione Overrides (Cancelaciones) para habilitar el acceso a determinados sitios mediante
contraseña.
• Habilite Safe Search Enforcement (Aplicación forzada de búsquedas seguras) para garantizar que
los resultados de búsqueda de usuario se basen en los ajustes de búsqueda segura del motor de
búsqueda.
STEP 4 | Adjunte el perfil de filtrado de URL a una regla de política de seguridad.

1. Seleccione Policies (Políticas) > Security (Seguridad).
2. Seleccione una regla de política de seguridad que permita el acceso web para modificarlo y seleccione
la pestaña Actions (Acciones).
3. En el campo Profile Settings (Ajustes del perfil), seleccione el perfil de URL Filtering (Filtrado URL)
que acaba de crear. (Si no ve menús desplegables para la selección de perfiles, configure el Profile
Type [Tipo de perfil) en Profiles [Perfiles]).
4. Haga clic en OK (Aceptar) para guardar el perfil.
STEP 5 | Habilite páginas de respuesta en el perfil de gestión para cada interfaz en la que esté filtrando
tráfico web.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Interface Mgmt (Gestión de
interfaz) y luego seleccione un perfil de interfaz para editar o haga clic en Add (Añadir) para crear un
nuevo perfil.
2. Seleccione Response Pages (Páginas de respuesta), así como cualquier otro servicio de gestión
necesario en la interfaz.
3. Haga clic en OK (Aceptar) para guardar el perfil de gestión de interfaz.
4. Seleccione Network (Red) > Interfaces y seleccione la interfaz a la cual adjuntar el perfil.
5. En la pestaña Advanced (Avanzado) > Other Info (Otra información), seleccione el perfil de gestión
de interfaz que acaba de crear.
6. Haga clic en OK (Aceptar) para guardar la configuración de la interfaz.

Seleccione Commit (Confirmar) para confirmar la configuración.
STEP 7 | Pruebe la configuración de filtrado de URL.

Desde un endpoint en una zona fiable, intente acceder a sitios en diferentes categorías y asegúrese de
ver el resultado esperado en función del ajuste de acceso al sitio correspondiente que usted seleccionó:
• Si ha configurado el acceso al sitio como alert (alerta) para la categoría, compruebe el log de filtrado
URL para asegurarse de ver una entrada de log para la solicitud.
• Si ha configurado el acceso al sitio como continue (continuar) para la categoría, verifique que
aparezca la página de respuesta de continuación y cancelación de filtrado de URL (URL Filtering
Continue and Override Page). Seleccione Continue (Continuar) para continuar al sitio.
• Si ha configurado el acceso al sitio como block (bloquear) para la categoría, verifique que aparezca
la página de respuesta de bloqueo de coincidencia de categoría y filtro de URL (URL Filtering and
Category Match Block Page).

Habilitación de la inteligencia contra amenazas
AutoFocus
Con una suscripción de AutoFocus válida, puede comparar la actividad de su red con los datos de amenazas
más recientes disponibles en el portal de AutoFocus. Al conectar su cortafuegos, AutoFocus desbloqueará
las siguientes funciones:
• Capacidad de visualizar un resumen de inteligencia de AutoFocus para los artefactos de sesión
registrados en los logs del cortafuegos.
• Capacidad de abrir una búsqueda de AutoFocus para los artefactos de log del cortafuegos.
El resumen de inteligencia de AutFocus revela la prevalencia de un artefacto en su red y a escala global.
Los veredictos de WildFire y las etiquetas de AutoFocus que se enumeran para el artefacto indican si el
artefacto supone un riesgo para la seguridad.
STEP 1 | Verifique que la licencia de AutoFocus esté activada en el cortafuegos.

1. Seleccione Device (Dispositivo) > Licenses (Licencias) para comprobar que la licencia del dispositivo
de AutoFocus esté instalada y sea válida (compruebe la fecha de vencimiento).
2. Si el cortafuegos no detecta la licencia, consulte Activación de la licencias y suscripciones.
STEP 2 | Conecte el cortafuegos a AutoFocus.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de AutoFocus.
2. Ingrese la AutoFocus URL (URL de AutoFocus):
https://autofocus.paloaltonetworks.com:10443
3. Utilice el campo Query Timeout (Tiempo de espera de consulta) para configurar el plazo para que
el cortafuegos intente consultar a AutoFocus los datos de inteligencia de amenazas. Si el portal de
AutoFocus no responde antes del final del período especificado, el cortafuegos cerrará la conexión.
Se recomienda configurar el tiempo de espera de consulta en el valor predeterminado

de 15 segundos. Las consultas de AutoFocus se optimizan para completarse dentro
de este período.
4. Seleccione Enabled (Habilitado) para permitir que el cortafuegos se conecte a AutoFocus.
6. Seleccione Commit (Confirmar) para confirmar los cambios y conservar los ajustes de AutoFocus tras
el reinicio.
STEP 3 | Conecte AutoFocus al cortafuegos.

1. Inicie sesión en el portal de AutoFocus. https://autofocus.paloaltonetworks.com
2. Seleccione Settings (Configuración).
3. Seleccione Add new (Añadir nuevo) para añadir sistemas remotos.
4. Escriba un nombre descriptivo en Name (Nombre) para identificar el cortafuegos.
5. Seleccione PanOS como el System Type (Tipo de sistema).
6. Introduzca la IP Address (Dirección IP) del cortafuegos.
7. Haga clic en Save changes (Guardar cambios) para añadir el sistema remoto.
8. Haga clic en Save changes (Guardar cambios) nuevamente en la página Settings (Configuración) para
asegurarse de que el cortafuegos se haya añadido correctamente.
STEP 4 | Compruebe la conexión entre el cortafuegos y AutoFocus.

1. En el cortafuegos, seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico).
2. Compruebe que puede realizar la Configuración de cuotas de almacenamiento y periodos de
vencimiento de logs.

Prácticas recomendadas para completar la
implementación del cortafuegos
Ahora que ha integrado el cortafuegos en su red y ha habilitado las funciones de seguridad básicas, puede
empezar a configurar funciones más avanzadas. Estos son algunos aspectos que debería considerar a
continuación:
Obtenga información sobre las diferentes interfaces de gestión que están a su disposición, y cómo
acceder a ellas y utilizarlas.
Sustitución del certificado para el tráfico de gestión entrante. Por defecto, el cortafuegos se envía
con un certificado por defecto que habilita el acceso HTTPS a la interfaz web en la interfaz de gestión
(MGT) o en cualquier otra interfaz que admita el tráfico de gestión HTTPS. Para mejorar la seguridad
del tráfico de gestión entrante, reemplace el certificado por defecto por un nuevo certificado emitido
específicamente para su organización.
Configure una base de regla de política de seguridad recomendada para habilitar de manera segura las
aplicaciones y proteger su red contra ataques. Consulte la Práctica recomendada de política de seguridad
de puerta de enlace de internet para obtener información detallada.
Configuración de la alta disponibilidad: la alta disponibilidad (high availability, HA) es una configuración
en la que dos cortafuegos se colocan en un grupo y su configuración y tablas de sesión se sincronizan
para prevenir el fallo de un único punto en su red. La conexión de heartbeat entre los peers del
cortafuegos garantiza una conmutación por error sin problemas en el caso de que falle un peer. La
configuración en un clúster de dos cortafuegos proporciona redundancia y le permite garantizar la
continuidad de la actividad comercial.
Configuración de la clave maestra: cada cortafuegos de Palo Alto Networks posee una clave maestra
predeterminada que cifra todas las claves privadas en el cortafuegos utilizado para los protocolos
criptográficos. La práctica recomendada para proteger las claves es configurar la clave maestra en
cada cortafuegos para que sea exclusiva. Sin embargo, si utiliza Panorama, debe utilizar la misma clave
maestra en Panorama y en todos los cortafuegos gestionados. De lo contrario, Panorama no puede
enviar configuraciones a los cortafuegos.
Gestión de los administradores de cortafuegos: cada cortafuegos y dispositivo de Palo Alto Networks
viene preconfigurado con una cuenta administrativa predeterminada (admin), que proporciona un acceso
completo de lectura-escritura (también conocido como acceso de superusuario) al cortafuegos. Es
recomendable que cree una cuenta administrativa diferente para cada persona que necesite acceder a
las funciones de administración o informes del firewall. Esto le permite proteger mejor el cortafuegos
contra la configuración (o modificación) no autorizadas y habilitar la creación de logs de las acciones de
cada uno de los administradores.
Habilitación de la identificación de usuarios (User-ID): User-ID es una función de los cortafuegos de
nueva generación de Palo Alto Networks que le permite crear políticas y realizar informes basándose en
usuarios y grupos en lugar de direcciones IP individuales.
Habilitación del descifrado: los cortafuegos de Palo Alto Networks ofrecen la capacidad de descifrar
e inspeccionar el tráfico para lograr visibilidad, control y seguridad detallada. Utilice el descifrado
en un cortafuegos para evitar que entre en su red contenido malicioso o que salga de ella contenido
confidencial, escondido como tráfico cifrado o de túnel.
Realice las Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7.
Uso compartido de la inteligencia de amenazas con Palo Alto Networks: permita que el cortafuegos
recoja y envíe periódicamente información sobre las aplicaciones, las amenazas y la condición del
dispositivo a Palo Alto Networks. La telemetría incluye opciones que permiten la supervisión de DNS
pasivo y permiten que se ejecuten firmas de prueba experimentales en segundo plano, que no afectan
sus reglas de políticas de seguridad, logs del cortafuegos o rendimiento del cortafuegos. Todos los
clientes de Palo Alto Networks se benefician de la inteligencia que se recoge con la telemetría, que Palo
Alto Networks utiliza para mejorar las capacidades de prevención de amenazas del cortafuegos.

Administración del cortafuegos
Los administradores pueden configurar, gestionar y supervisar los cortafuegos de Palo Alto
Networks a través de la interfaz web, el CLI y la interfaz de gestión de la API. Usted puede
personalizar el acceso administrativo a las interfaces de gestión basado en las funciones para
delegar tareas o permisos específicos a ciertos administradores.
> Interfaces de gestión

> Uso de la interfaz web
> Gestión de las copias de seguridad de la configuración
> Gestión de los administradores de cortafuegos
> Referencia: acceso de administrador a la interfaz web
> Referencia: Uso de número de puerto
> Restablecimiento del cortafuegos a los ajustes predeterminados de fábrica
> Arranque del cortafuegos
53
54 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Administración del cortafuegos
Interfaces de gestión
Puede utilizar las siguientes interfaces de usuario para gestionar el cortafuegos de Palo Alto Networks:
• Garantice el Uso de la interfaz web para realizar la configuración y supervisar tareas con relativa
facilidad. Esta interfaz gráfica le permite acceder al cortafuegos con HTTPS (recomendado) o HTTP, y es
la mejor forma de realizar tareas administrativas.
• Garantice el Uso de la interfaz de línea de comandos (CLI) para realizar una serie de tareas introduciendo
rápidamente comandos en secuencia en SSH (recomendado), Telnet o el puerto de la consola. El CLI es
una interfaz sencilla que admite dos modos de comandos, operativo y de configuración, cada uno con su
propia jerarquía de comandos e instrucciones. Cuando conoce la estructura de anidamiento y la sintaxis
de los comandos, el CLI permite tiempos de respuesta rápidos y ofrece eficacia administrativa.
• Use la API XML para dinamizar las operaciones e integrarse con las aplicaciones y repositorios existentes
desarrollados internamente. La API XML es un servicio web implementado usando solicitudes y
respuestas de HTTP/HTTPS.
• Garantice el Uso de Panorama para llevar a cabo una gestión basada en la web, la creación de informes y
la recopilación de logs para varios cortafuegos. La interfaz web de Panorama se parece a la interfaz web
del cortafuegos, pero contiene funciones adicionales para la gestión centralizada.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Administración del cortafuegos 55

Uso de la interfaz web
Los siguientes temas describen cómo usar la interfaz web del cortafuegos. Si desea información detallada
sobre las pestañas y los campos específicos de la interfaz web, consulte la Guía de referencia de la interfaz
web.
• Inicio de la interfaz web
• Configuración de banners, mensaje del día y logotipos
• Uso de los indicadores de actividad de inicio de sesión de administrador para detectar el uso indebido de
la cuenta
• Gestión y supervisión de tareas administrativas
• Confirmación, validación y previsualización de los cambios de configuración del cortafuegos
• Uso de Global Find para buscar el cortafuegos o servidor de gestión de Panorama
• Gestión de bloqueos para restringir cambios de configuración
Inicio de la interfaz web

Los siguientes exploradores web son compatibles para acceder a la interfaz web:
• Internet Explorer 7 y posteriores
• Firefox 3.6 y posteriores
• Safari 5 y posteriores
• Chrome 11 y posteriores
Realice las siguientes tareas para ejecutar la interfaz web.
STEP 1 | Abra una ventana del explorador e introduzca la dirección IP del cortafuegos en el campo de la
URL (https://<dirección IP>).
Por defecto, la interfaz de gestión (MGT) permite solo el acceso de HTTPS a la

interfaz web. Para habilitar otros protocolos, seleccione Device (Dispositivo) > Setup
(Configuración) > Interfaces y edite la interfaz Management (Gestión).
STEP 2 | Inicie sesión en el cortafuegos según el tipo de autenticación que utilice su cuenta. Si inicia
sesión en el cortafuegos por primera vez, utilice el valor predeterminado admin (administrador)
para su nombre de usuario y contraseña.
• SAML: haga clic en Use Single Sign-On (SSO) (Utilizar el inicio de sesión único). Si el cortafuegos
realiza la autenticación (asignación de funciones) para los administradores, introduzca un nombre
de usuario en Username (Nombre de usuario) y haga clic en Continue (Continuar). Si el proveedor
de identidad (IdP) SAML realiza la autorización, haga clic en Continue (Continuar) sin introducir un
nombre de usuario en Username (Nombre de usuario). En ambos casos, el cortafuegos lo redirige al
IdP, que le pide que introduzca un nombre de usuario y una contraseña. Luego de la autenticación en
el IdP, se muestra la interfaz web del cortafuegos.
• Cualquier otro tipo de autenticación: introduzca el nombre de su usuario en Name (Nombre) y la
contraseña en Password (Contraseña). Lea el banner de inicio de sesión y seleccione I Accept and
Acknowledge the Statement Below (Acepto el siguiente enunciado) si la página de inicio de sesión
tiene el banner y la casilla de verificación. Luego, haga clic en Login (Iniciar sesión).
STEP 3 | Lea y luego haga clic en Close (Cerrar) para cerrar los mensajes del día.

Configuración de banners, mensaje del día y logotipos
Un banner de inicio de sesión es texto opcional que puede añadir a la página de inicio de sesión para que
los administradores vean información que deben conocer antes de iniciar sesión. Por ejemplo, puede añadir
un mensaje para notificar a los usuarios sobe restricciones para el uso no autorizado del cortafuegos.
Puede añadir bandas de color que resalten el texto superpuesto en la parte superior (banner de
encabezado) y en la parte inferior (banner al pie) de la interfaz web para garantizar que los administradores
vean información crítica, tal como el nivel de clasificación para la administración del cortafuegos.
Un cuadro de diálogo de mensaje del día, message of the day (mensaje del día), aparece automáticamente
después de iniciar sesión. El cuadro de diálogo muestra mensajes que Palo Alto Networks inserta en
información importante destacada que está asociada a una versión de contenido o software. También puede
añadir mensajes personalizados para garantizar que los administradores vean información, tal como un
reinicio de sistema inminente, que podría afectar sus tareas.
Puede reemplazar los logotipos por defecto que aparecen en la página de inicio de sesión y en el
encabezado de la interfaz web por los logotipos de su organización.
STEP 1 | Configure el banner de inicio de sesión.

2. Introduzca el banner de inicio de sesión (hasta 3200 caracteres).
3. (Opcional) Seleccione Force Admins to Acknowledge Login Banner (Forzar a los administradores
a reconocer el banner de inicio de sesión) para obligar a los administradores a seleccionar la casilla
de verificación I Accept and Acknowledge the Statement Below (Acepto y reconozco la siguiente
declaración) arriba del texto del banner para activar el botón Login (Iniciar sesión).
STEP 2 | Seleccione el mensaje del día.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y modifique los
ajustes de banners y mensajes.
2. Habilite la opción Message of the Day (Mensaje del día).
3. Introduzca el mensaje del día (hasta 3200 caracteres).
Después de introducir el mensaje y hacer clic en OK (Aceptar), los administradores

que posteriormente inician sesión y los administradores activos que actualizan sus
navegadores verán el mensaje nuevo o actualizado de inmediato sin necesidad de
confirmación. Esto le permite advertir a otros administradores sobre una confirmación
inminente que podría afectar sus cambios de configuración. Según el tiempo de
confirmación que su mensaje especifique, los administradores pueden decidir
completar, guardar o deshacer los cambios.
4. (Opcional) Seleccione Allow Do Not Display Again (Permitir la opción de no volver a mostrar) (por
defecto está deshabilitada) para brindar a los administradores la opción de suprimir un mensaje del
día después de la primera sesión iniciada. Cada administrador puede suprimir mensajes solo para sus
propias sesiones iniciadas. En el cuadro de diálogo de mensaje del día, cada mensaje tendrá su propia
opción de supresión.
5. (Opcional) Introduzca un título de encabezado para el cuadro de diálogo de mensaje del día (por
defecto es Message of the Day).
STEP 3 | Configure los banners de encabezado y al pie.

Un fondo de color brillante y el texto en color contrastante pueden aumentar las
probabilidades de que los administradores adviertan y lean el banner. También puede
usar colores que correspondan a los niveles de clasificación de su organización.
1. Introduzca el banner de encabezado (hasta 3200 caracteres).

2. (Opcional) Desmarque Same Banner Header and Footer (Mismo encabezado de banner y al pie)
(habilitado por defecto) para usar banners de encabezado y al pie diferentes.
3. Introduzca el banner al pie (hasta 3200 caracteres) si los banners de encabezado y al pie son
diferentes.
STEP 4 | Reemplace los logotipos de la página de inicio de sesión y en el encabezado.

El tamaño máximo para cualquier imagen de logotipo es de 128 KB. Los tipos de archivos
admitidos son png, gif y jpg. El cortafuegos no admite archivos de imágenes que estén
entrelazados o que contengan canales alfa.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) y haga clic en
Custom Logos (Personalizar logotipos) en la sección Miscellaneous (Varios).
2. Siga los pasos a continuación para el logotipo de Login Screen (Pantalla de inicio de sesión) y el
logotipo de Main UI (Interfaz de usuario principal) (encabezado).
1. Haga clic en cargar .
2. Seleccione la imagen del logotipo y haga clic en Open (Abrir).
Puede obtener la vista previa de la imagen para ver de qué manera PAN-OS la
recortará para ajustarla, a través del icono de la lupa.
3. Haga clic en Close (Cerrar).

STEP 5 | Verifique que los banners, el mensaje del día y los logotipos se muestren según lo previsto.
1. Cierre sesión para regresar a la página de inicio de sesión, que muestra los nuevos logotipos que
seleccionó.
2. Introduzca sus credenciales de inicio de sesión, revise el banner, seleccione I Accept and
Acknowledge the Statement Below (Acepto y confirmo la declaración a continuación) para habilitar
el botón Login (Iniciar sesión) y luego inicie sesión.
Un cuadro de diálogo muestra el mensaje del día. Los mensajes incorporados por Palo Alto Networks
se muestran en páginas separadas en el mismo cuadro de diálogo. Para navegar por las páginas, haga
clic en las flechas derecha o izquierda junto a los laterales del cuadro de diálogo, o haga clic en un
selector de página al final del cuadro de diálogo.
3. (Opcional) Puede seleccionar Do not show again (No volver a mostrar) para los mensajes que
configuró y para cualquier mensaje que Palo Alto Network haya integrado.
4. Seleccione Close (Cerrar) para cerrar el cuadro de diálogo de mensaje del día para acceder a la
interfaz web.
Los banners de encabezado y al pie aparecen en cada página de interfaz web con el texto y los
colores que usted configuró. El nuevo logotipo que usted seleccionó para la interfaz web aparece
debajo del banner del encabezado.

Uso de los indicadores de actividad de inicio de sesión de
administrador para detectar el uso indebido de la cuenta
Los indicadores de hora del último inicio de sesión e intentos de inicio de sesión erróneos brindan una
manera visual de detectar el uso indebido de su cuenta de administrador en un cortafuegos o servidor de
gestión de Panorama de Palo Alto Network. Use la información del último inicio de sesión para determinar si
alguien más inició sesión usando sus credenciales y use el indicador de intentos de inicio de sesión erróneos
para determinar si su cuenta es blanco de un ataque de fuerza bruta.
STEP 1 | Visualice los indicadores de actividad de inicio de sesión para controlar la actividad reciente de
su cuenta.
1. Inicie sesión en la interfaz web de su cortafuegos o servidor de gestión de Panorama.
2. Visualice los detalles del último inicio de sesión ubicados en el extremo inferior izquierdo de la
ventana y verifique que la marca de tiempo corresponda a su último inicio de sesión.
3. Busca un símbolo de precaución a la derecha de la información de hora del último inicio de sesión
para conocer los intentos erróneos de inicio de sesión.
El indicador de inicio de sesión erróneo aparece si se produjeron uno o más intentos erróneos de
inicio de sesión usando su cuenta desde el último inicio de sesión correcto.
1. Si ve el símbolo de precaución, mueva el puntero sobre él para que aparezca la cantidad de
intentos de inicio de sesión erróneos.
2. Haga clic en el símbolo de precaución para ver el resumen de intentos de inicio de sesión
erróneos. Los detalles incluyen el nombre de la cuenta admin, el motivo del error al iniciar sesión,
la dirección IP de origen y la fecha y hora.
Después de iniciar sesión correctamente y luego cerrar sesión, el contador de

inicio de sesión erróneo vuelve a cero por lo que verá los nuevos datos de inicio de
sesión erróneo, si hubiera, la próxima vez que inicie sesión.
STEP 2 | Encuentre los hosts que intentan constantemente iniciar sesión en su cortafuegos o servidor de
gestión de Panorama.
1. Haga clic en el símbolo de precaución por inicio de sesión erróneo para ver el resumen de intentos de
inicio de sesión erróneos.
2. Encuentre y registre la dirección IP de origen del host que intentó iniciar sesión. Por ejemplo, la
siguiente figura muestra los intentos de inicio de sesión erróneos de la dirección IP 192.168.2.10.

3. Trabaje con su administrador de red para encontrar el usuario y host que están usando la dirección IP
que identificó.
Si no puede encontrar el sistema que está perpetrando el ataque de fuerza bruta, considere cambiar
el nombre de la cuenta para evitar futuros ataques.
STEP 3 | Tome las siguientes medidas si detecta un peligro para la cuenta.

1. Seleccione Monitor (Supervisar) > Logs > Configuration (Configuración) y vea el historial de cambios
y confirmaciones de la configuración para determinar si su cuenta se utilizó para realizar cambios sin
su conocimiento.
2. Seleccione Device (Dispositivo) > Config Audit (Auditoría de configuraciones) para comparar la
configuración actual y la configuración que se ejecutaba antes de la configuración que sospecha que
se modificó utilizando sus credenciales. También puede hacer esto usando Panorama.
Si su cuenta de administrador se usó para crear una nueva cuenta, la realización

de una auditoría de configuración lo ayudará también a detectar cambios que estén
asociados con una cuenta no autorizada.
3. Revierta la configuración a una configuración conocida fiable si observa que los logs se borraron o si
tiene dificultades para determinar si se realizaron cambios inadecuados con su cuenta.
Antes de confirmar el restablecimiento de una configuración anterior, revísela para

asegurarse de que contenga los ajustes correctos. Por ejemplo, es posible que la
configuración a la que regrese no contenga cambios recientes, por lo que debe aplicar
esos cambios después de confirmar la configuración de respaldo.
Aplique las siguientes prácticas recomendadas para prevenir ataques de fuerza bruta
en cuentas con privilegios.
• Limite la cantidad de intentos erróneos permitidos antes de que el cortafuegos
bloquee una cuenta con privilegios configurando la cantidad de intentos fallidos
y el tiempo de bloqueo (min) en el perfil de autenticación o en la configuración
de autenticación para la interfaz de gestión (Device [Dispositivo] > Setup
[Configuración] > Management [Gestión] > Authentication Settings [Configuración
de autenticación]).
• Uso de los perfiles de gestión de interfaz para restringir el acceso.
• Aplique contraseñas complejas para las cuentas con privilegios.
Gestión y supervisión de tareas administrativas

El gestor de tareas muestra detalles sobre todas las operaciones que usted y otros administradores iniciaron
(tal como confirmaciones manuales) o que el cortafuegos inició (tal como la generación de informes
programados) desde el último inicio del cortafuegos. Puede usar el gestor de tareas para solucionar

problemas de operaciones erróneas, investigar advertencias asociadas a confirmaciones realizadas, visualizar
detalles sobre confirmaciones en cola o cancelar confirmaciones pendientes.
También puede visualizar los logs del sistema para controlar los eventos del sistema
en el cortafuegos o visualizar los logs de configuración para controlar los cambios de
configuración del cortafuegos.
STEP 1 | Haga clic en Tasks (Tareas) en la parte inferior de la interfaz web.
STEP 2 | Seleccione Show (Mostrar) para mostrar solo tareas Running (En curso) o seleccione All (Todas)
para mostrar todas las tareas (opción por defecto). O bien, filtre las tareas según el tipo:
• Jobs (Trabajos): confirmaciones iniciadas por el administrador, confirmaciones iniciadas por el
cortafuegos y descargas e instalaciones de software o contenido.
• Reports (Informes): informes programados.
• Log Requests (Solicitudes de log): las consultas de logs que activa al acceder a Dashboard (Panel) o a
una página de Monitor (Supervisor).
STEP 3 | Lleve a cabo una de las siguientes acciones:

• Mostrar u ocultar detalles de tareas: de manera predeterminada, el gestor de tareas muestra el tipo,
estado, hora de inicio y mensajes de cada tarea. Para ver la hora de finalización y la ID de trabajo para
una tarea, debe configurar manualmente la visualización para exponer esas columnas. Para mostrar
u ocultar una columna, abra el menú desplegable en cualquier encabezado de columna, seleccione
Columns (Columnas) y seleccione o elimine la selección de los nombres de columna según fuera
necesario.
• Investigar advertencias o fallas: lea las entradas en la columna Mensajes para obtener detalles de la
tarea. Si la columna dice Too many messages (Demasiados mensajes), haga clic en la entrada
correspondiente del tipo de columna para ver más información.
• Mostrar una descripción de confirmación: si un administrador introdujo una descripción al configurar
una confirmación, puede hacer clic en Commit Description (Descripción de confirmación) en la
columna de mensajes para mostrar la descripción.
• Verificar la posición de una compilación de la cola: la columna Mensajes indica la posición en la cola
de las compilaciones que están en progreso.
• Cancelar confirmaciones pendientes: haga clic en Clear Commit Queue (Borrar cola de confirmación)
para cancelar todas las confirmaciones pendientes (disponible únicamente para las funciones
administrativas predefinidas). Para cancelar una confirmación individual, haga clic en la x de la
columna Action (Acción) para esa confirmación (la confirmación permanece en la cola hasta que el
cortafuegos la quita de la cola). No puede cancelar confirmaciones que están en progreso.
Confirmación, validación y previsualización de los cambios de

configuración del cortafuegos
La confirmación es el proceso de activar los cambios pendientes en la configuración del cortafuegos. Puede
filtrar los cambios pendientes mediante el administrador o la ubicación y luego previsualizar, validar o
confirmar solo esos cambios. Las ubicaciones pueden ser sistemas virtuales específicos, políticas y objetos
compartidos, o configuraciones de red y dispositivo compartidas.
El cortafuegos pone en cola las solicitudes de confirmación de modo que pueda iniciar una nueva
confirmación mientras una confirmación previa está en progreso. El cortafuegos lleva a cabo la confirmación
en el orden en que se iniciaron, pero prioriza las confirmaciones que el cortafuegos inicia automáticamente
(como las actualizaciones de FQDN). No obstante, si la cola ya tiene el número máximo de confirmaciones
iniciadas por el administrador, debe esperar que el cortafuegos finalice de procesar una confirmación

pendiente antes de iniciar una nueva confirmación. Para cancelar las confirmaciones pendientes o visualizar
los detalles sobre confirmaciones de estado, consulte Gestionar y supervisar tareas administrativas.
Cuando inicia una confirmación, el cortafuegos comprueba la validez de los cambios antes de activarlos. El
resultado de la validación exhibe condiciones que bloquean la confirmación (errores) o que son importantes
de conocer (advertencias). Por ejemplo, la validación podría indicar un destino de ruta no válido que debe
solucionar para que se produzca la compilación. La validación le permite encontrar y corregir errores antes
de compilar (no realiza cambios en la configuración en ejecución). Esto es útil si tiene una fecha límite de
compilación y quiere asegurarse de que la compilación funcionará sin errores.
Las operaciones de confirmar, validar, previsualizar, guardar y revertir se aplican solo a los
cambios realizados después de la última confirmación. Para restaurar las configuraciones al
estado en que estaban antes de la última confirmación, debe cargar una configuración con
copia de respaldo previa.
Para evitar que varios administradores realicen cambios de configuración durante sesiones
concurrentes, consulte Gestión de bloqueos para restringir cambios de configuración.
STEP 1 | Configure el alcance de los cambios de configuración que confirmará, validará o previsualizará.
1. Haga clic en Commit (Confirmar) en la parte superior de la interfaz web.
2. Seleccione una de las siguientes opciones:
• Commit All Changes (Confirmar todos los cambios) (predeterminada): se aplica a todos
los cambios para los cuales usted posee privilegios administrativos. Usted no puede filtrar
manualmente el alcance de la confirmación cuando selecciona esta opción. En lugar de eso, la
función de administrador asignada a la cuenta que utilizó para iniciar sesión determina el alcance
de la confirmación.
• Commit Changes Made By (Confirmar los cambios realizados por): le permite filtrar el alcance de
la confirmación según el administrador o ubicación. La función administrativa asignada a la cuenta
que usted utilizó para iniciar sesión determina qué cambios puede filtrar.
Para confirmar los cambios de otros administradores, la cuenta que utilizó para
iniciar sesión debe estar asignada a la función de superusuario o un perfil de rol
de administrador con el privilegio Commit For Other Admins (Confirmar para otros
administradores) habilitado.
3. (Opcional) Para filtrar el alcance de la confirmación mediante el administrador, seleccione Commit
Changes Made By (Confirmar cambios realizados por), haga clic en el enlace adyacente, seleccione
los administradores y haga clic en OK (Aceptar).
4. (Opcional) Para filtrar por ubicación, seleccione Commit Changes Made By (Confirmar cambios
realizados por) y borre los cambios que desee excluir del alcance de la confirmación.
Si las dependencias entre los cambios de configuración que incluyó y excluyó

producen un error de validación, realice la confirmación con todos los cambios
incluidos. Por ejemplo, cuando confirma cambios en un sistema virtual, debe incluir
los cambios de todos los administradores que añadieron, eliminaron o reposicionaron
reglas para la misma base de reglas en ese sistema virtual.
STEP 2 | Previsualice los cambios que la confirmación activará.

Esto puede ser útil si, por ejemplo, usted no recuerda todos los cambios y no está seguro de que desee
activar todos.
Permite comparar las configuraciones seleccionadas en Commit Scope (Ámbito de compilación) con la
configuración en ejecución. La ventana de previsualización muestra las configuraciones en paralelo y

utiliza codificación por color para indicar qué cambios son adiciones (verde), modificaciones (amarillo) o
eliminaciones (rojo).
Seleccione Preview Changes (Previsualizar los cambios) y seleccione las Lines of Context (Líneas de
contexto), que es la cantidad de líneas de los archivos de configuración comparados que se mostrarán
antes y después de cada diferencia resaltada. Estas líneas adicionales pueden ayudarlo a correlacionar
los resultados de previsualización con las configuraciones de la interfaz web. Cierre la ventana de
previsualización cuando termine de revisar los cambios.
Debido a que la vista previa se muestra en una nueva ventana del navegador, este
debe permitir ventanas emergentes. Si la ventana de vista previa no se abre, consulte la
documentación de su navegador para ver los pasos para permitir ventanas emergentes.
STEP 3 | Previsualice los ajustes individuales en los que está confirmando cambios.
Esto puede ser útil si desea conocer detalles sobre los cambios, tales como los tipos de configuraciones y
quiénes las cambiaron.
1. Haga clic en Change Summary (Cambiar el resumen).
2. (Opcional) Group By (Agrupar por) un nombre de columna (tal como el Type [Tipo] de configuración).
3. Seleccione Close (Cerrar) el cuadro de diálogo Change Summary (Cambiar resumen) para terminar de
revisar los cambios.
STEP 4 | Valide los cambios antes de confirmarlos para asegurarse de que la confirmación se realizará
correctamente.
1. Seleccione Validate Changes (Validar los cambios).
Los resultados mostrarán todos los errores y advertencias que mostraría una confirmación real.
2. Resuelva los errores que los resultados de la validación identifican.
STEP 5 | Compile los cambios de configuración.

Seleccione Commit (Confirmar) para confirmar los cambios a fin de validarlos y activarlos.
Para ver los detalles sobre las confirmaciones pendientes (que aún puede cancelar), en
curso, completadas o fallidas, consulte Gestionar y supervisar las tareas administrativas.
Uso de Global Find para buscar el cortafuegos o servidor de

gestión de Panorama
La búsqueda global le permite buscar en la configuración candidata de un cortafuegos o Panorama una
cadena específica, como una dirección IP, un nombre de objeto, un nombre de regla de la política, un ID
de amenaza o un nombre de aplicación. Además de buscar objetos de configuración y configuraciones,
puede buscar por ID de trabajo o tipo de trabajo en el caso de las confirmaciones manuales que realizan los
administradores o las confirmaciones automáticas que realiza el cortafuegos o Panorama. Los resultados de
búsqueda se agrupan por categoría y proporcionan enlaces a la ubicación de la configuración en la interfaz
web, de modo que pueda encontrar fácilmente todos los lugares donde se hace referencia a la cadena.
Los resultados de la búsqueda también le ayudan a identificar otros objetos que dependen de o hacen
referencia al término o la cadena de búsqueda. Por ejemplo, cuando deje de usar un perfil de seguridad,
escriba el nombre del perfil en la búsqueda global para encontrar todas las instancias del perfil y haga clic
en cada instancia para navegar hacia la página de configuración y realizar el cambio necesario. Cuando
haya eliminado todas las referencias, podrá eliminar el perfil. Puede hacer esto con cualquier elemento de
configuración que tenga dependencias.

Ver el vídeo.
La búsqueda global no buscará contenido dinámico (como logs, intervalos de direcciones o

direcciones DHPC asignadas). En el caso de DHCP, puede buscar un atributo de servidor
DHCP, como la entrada DNS, pero no puede buscar direcciones individuales asignadas a
usuarios. La búsqueda global tampoco busca nombre de usuarios individuales o grupos
identificados por User-ID a menos que el usuario/grupo se defina en una política. Por lo
general, solamente puede buscar contenido que el cortafuegos escriba en la configuración.
• Inicie la búsqueda global haciendo clic en el icono Search (Buscar) que se encuentra en la
esquina superior derecha de la interfaz web.
• Para acceder a la función de búsqueda global desde el interior de un área de configuración,

haga clic en la lista desplegable situada junto a un elemento y seleccione Global Find
(Búsqueda global):
Por ejemplo, haga clic en Global Find (Búsqueda global) en una zona denominada l3-vlan-trust para
buscar la configuración candidata para cada ubicación donde se haga referencia a la zona. La captura de
pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust:
Sugerencias de búsqueda:
• Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si los Tipos de
funciones administrativas personalizados están definidos, la búsqueda global solamente devolverá
resultados de las áreas del cortafuegos para las que el administrador tenga permisos. Lo mismo ocurre
con los grupos de dispositivos de Panorama.
• Los espacios de los términos de búsqueda se tratan como operaciones AND. Por ejemplo, si busca
política corporativa, los resultados de la búsqueda incluirán casos en los que tanto la palabra
política como la palabra corporativa existen en la configuración.
• Para encontrar una frase exacta, indíquela entre comillas.

• Para volver a ejecutar una búsqueda anterior, haga clic en el icono de búsqueda (situado en la parte
superior derecha de la interfaz web) y aparecerá una lista con las últimas 20 búsquedas. Haga clic en
un elemento de la lista para volver a ejecutar dicha búsqueda. El historial de búsqueda es exclusivo de
cada cuenta de administrador.
Gestión de bloqueos para restringir cambios de configuración

Puede utilizar bloqueos de configuración para evitar que otros administradores cambien la configuración
del candidato o confirmen cambios en la configuración hasta que elimine manualmente el bloqueo o
el cortafuegos lo elimine automáticamente (tras una confirmación). Los bloqueos garantizan que los
administradores no realicen cambios que generen conflictos en algunos ajustes o ajustes interdependientes
durante las sesiones de inicio de sesión recurrentes.
El cortafuegos coloca en cola las solicitudes de confirmación y las lleva a cabo en el orden
en que los administradores las hayan iniciado. Para obtener información detallada, consulte
Confirmación, validación y previsualización de los cambios de configuración del cortafuegos.
Para ver el estado de las confirmaciones en cola, consulte Gestión y supervisión de tareas
administrativas.
• Consulte los detalles sobre los bloqueos actuales.

Por ejemplo, puede comprobar si otros administradores establecieron bloqueos y leer los comentarios
que ingresaron para explicar dichos bloqueos.
Haga clic en el icono de bloqueo en la parte superior de la interfaz web. Un número adyacente indica la
cantidad de bloqueos actuales.
• Bloquee una configuración.

1. Haga clic en el icono de bloqueo en la parte superior de la interfaz web.
La imagen del bloqueo varía en función de si existen bloqueos existentes

configurados o no configurados .
2. Haga clic en Take a Lock (Aplicar bloqueo) y seleccione el tipo de bloqueo en Type (Tipo):
• Config (Configuración): bloquea la realización de cambios en la configuración candidata por parte
de otros administradores.
• Commit (Confirmación): impide que otros administradores confirmen cambios en la configuración
candidata.
3. (Cortafuegos con varios sistemas virtuales únicamente) Seleccione una ubicación en Location
(Ubicación) para bloquear la configuración para un sistema virtual específico o Shared (Compartida)
para seleccionar la ubicación compartida.
4. (Opcional) Como práctica recomendada, introduzca un comentario en Comment (Comentario) para
que otros administradores comprendan el motivo del bloqueo.
5. Haga clic en OK (Aceptar) y Close (Cerrar).
• Desbloquee una configuración.

Solo un superusuario o el administrador que bloqueó la configuración pueden quitar el bloqueo
manualmente. Sin embargo, el cortafuegos elimina automáticamente un bloqueo después de completar
la operación de confirmación.
1. Haga clic en el icono de bloqueo en la parte superior de la interfaz web.
2. Seleccione la entrada de bloqueo de la lista.

3. Haga clic en Remove Lock (Eliminar bloqueo), OK (Aceptar) y Close (Cerrar).
• Configure el cortafuegos para aplicar automáticamente un bloqueo de confirmación cuando

cambie la configuración candidata. Este ajuste se aplica a todos los administradores.
Configuración general.
2. Seleccione Automatically Acquire Commit Lock (Obtener bloqueo de compilación automáticamente)
y luego haga clic en OK (Aceptar) y Commit (Confirmar).

Gestión de las copias de seguridad de la
configuración
La configuración en ejecución en el cortafuegos abarca todos los ajustes que ha confirmado y que,
por lo tanto, están activos, tales como las reglas de la política que actualmente bloquean o permiten
diferentes tipos de tráfico en la red. La configuración candidata es una copia de la configuración que se
está ejecutando más las modificaciones inactivas que ha realizado después de la última confirmación. Si
realiza una copia de seguridad de las versiones de la configuración candidata o en ejecución, permite que
luego se puedan restaurar esas versiones. Por ejemplo, si una validación de confirmación muestra que
la configuración candidata actual tiene más errores que los que desea reparar, puede restaurarla a una
configuración candidata anterior. También puede volver a la configuración en ejecución actual sin guardar
una copia de seguridad antes.
Consulte Confirmación, validación y previsualización de los cambios de configuración del

cortafuegos para obtener información detallada sobre las operaciones de confirmación.
• Guardado y exportación de configuraciones del cortafuegos

• Restauración de los cambios en la configuración del cortafuegos.
Guardado y exportación de configuraciones de cortafuegos

El guardar una copia de seguridad de la configuración candidata en almacenamiento permanente en el
cortafuegos le permite revertir los ajustes más tarde a esa copia de seguridad (consulte Reversión de los
cambios de configuración del cortafuegos). Esto resulta útil para preservar los cambios que, de lo contrario,
se perderían si un evento del sistema o una acción del administrador hacen que el cortafuegos se reinicie.
Después del reinicio, PAN-OS automáticamente regresa a la versión actual de la configuración en ejecución,
que el cortafuegos almacena en un archivo denominado running-config.xml. El guardar copias de seguridad
también resulta útil si desea revertir los ajustes a una configuración del cortafuegos que es anterior a la
configuración actual en ejecución. El cortafuegos no guarda automáticamente la configuración candidata
en el almacenamiento permanente. Debe guardar la configuración candidata manualmente como un
archivo de instantánea predeterminado (.snapshot.xml) o como un archivo de instantánea con un nombre
personalizado. El cortafuegos almacena el archivo de instantánea a nivel local, pero usted puede exportarlo
a un host externo.
No es necesario que guarde una copia de seguridad de la configuración para revertir los
cambios realizados desde la última confirmación o reinicio; simplemente seleccione Config >
Revert Changes (Revertir cambios) (consulte Reversión de los cambios de configuración del
cortafuegos).
Cuando edita un ajuste y hace clic en OK (Aceptar), el cortafuegos actualiza la configuración
candidata, pero no guarda la instantánea de la copia de seguridad.
Además, el guardar los cambios no los activa. Para activar los cambios, realice una
confirmación (consulte Confirmación, validación y previsualización de los cambios de
configuración del cortafuegos).
Palo Alto Networks le recomienda crear la copia de seguridad de cualquier configuración
importante en un host externo al cortafuegos.

STEP 1 | Guarde la instantánea de la copia de seguridad de la configuración candidata si contiene
cambios que desea preservar en caso de que el cortafuegos se reinicie.
Estos son cambios que no está listo para confirmar; por ejemplo, cambios que no puede finalizar en la
sesión iniciada actual.
Para sobrescribir el archivo de instantánea predeterminado (.snapshot.xml), realice alguno de los
siguientes pasos:
• Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) y haga clic en
Save candidate configuration (Guardar configuración candidata).
• Inicie sesión en el cortafuegos con una cuenta administrativa asignada a la función de superusuario
o un perfil de rol de administrador con el privilegio Save For Other Admins (Guardar para otros
administradores) habilitado. Luego seleccione Config > Save Changes (Guardar cambios) en la
parte superior de la interfaz web, seleccione Save All Changes (Guardar todos los cambios) y Save
(Guardar).
Para crear una instantánea que incluya todos los cambios que los administradores realizaron, pero sin
sobrescribir el archivo de instantánea predeterminado:
Save named configuration snapshot (Guardar instantánea de configuración con nombre).
2. En Name (Nombre), especifique el nombre de un archivo de configuración nuevo o existente.
3. Haga clic en OK (Aceptar) y Close (Cerrar).
Para guardar solo los cambios específicos de la configuración candidata sin sobrescribir ninguna parte del
archivo de instantánea predeterminado:
1. Inicie sesión en el cortafuegos con una cuenta administrativa que tenga los privilegios de rol
necesarios para guardar los cambios deseados.
2. Seleccione Config > Save Changes (Guardar cambios) en la parte superior de la interfaz web.
3. Seleccione Save Changes Made By (Guardar cambios realizados por).
4. Para filtrar el alcance del guardado por administrador, haga clic en <administrator-name>, seleccione
los administradores y haga clic en OK (Aceptar).
5. Para filtrar el alcance del guardado por ubicación, borre las ubicaciones que desee excluir.
Las ubicaciones pueden ser sistemas virtuales específicos, políticas y objetos compartidos, o
configuraciones de red y dispositivo compartidas.
6. Haga clic en Save (Guardar), especifique el Name (Nombre) de un archivo de configuración nuevo o
existente, y haga clic en OK (Aceptar).
STEP 2 | Exporte una configuración candidata, una configuración en ejecución o la información de

estado del cortafuegos a un host externo al él.
Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) y haga clic en la
opción de exportación:
• Export named configuration snapshot (Exportar instantánea de configuración con nombre): exporte
la configuración en ejecución actual, una instantánea de la configuración candidata con nombre o
una configuración importada anteriormente (candidata o en ejecución). El cortafuegos exporta la
configuración como un archivo XML con el nombre especificado.
• Export configuration version (Exportar versión de configuración): seleccione una Version (Versión)
de la configuración en ejecución para exportar como archivo XML. El cortafuegos crea una versión
siempre que confirme los cambios de configuración.
• Export device state (Exportar estado de dispositivo): exporta la información de estado del
cortafuegos como un lote. Además de la configuración en ejecución, la información de estado incluye
la configuración de plantillas y grupos de dispositivos enviados desde Panorama. Si el cortafuegos es
un portal de GlobalProtect, la información también incluye información del certificado, una lista de

satélites y la información de autenticación del satélite. Si reemplaza un cortafuegos o portal, puede
restaurar la información exportada en el reemplazo importante el lote de estado.
Reversión de los cambios de configuración del cortafuegos

Las operaciones de reversión reemplazan los ajustes de la configuración candidata actual por los ajustes
de otra configuración. La reversión de cambios es útil cuando desea deshacer los cambios de varios ajustes
como una misma operación, en lugar de reconfigurar manualmente cada ajuste.
Puede revertir los cambios pendientes que se realizaron a la configuración del cortafuegos desde la última
vez que se guardaron los cambios. El cortafuegos ofrece la opción de filtrar los cambios pendientes por
administrador o por ubicación. Las ubicaciones pueden ser sistemas virtuales específicos, políticas y objetos
compartidos, o configuraciones de red y dispositivo compartidas. Si usted guardó un archivo de instantánea
para una configuración candidata que sea anterior a la configuración actual en ejecución (consulte Guardado
y exportación de configuraciones de cortafuegos), también puede revertir los ajustes a esa instantánea.
Al revertir a una instantánea usted puede restaurar una configuración candidata que existía antes de la
última vez que se guardaron los cambios. El cortafuegos automáticamente guarda una nueva versión de la
configuración en ejecución siempre que usted confirma los cambios y puede restaurar cualquiera de estas
versiones.
• Revierta a la configuración actual en ejecución (archivo de nombre running-config.xml).

Esta operación deshace todos los cambios que realizó a la configuración desde la última confirmación.
Para revertir todos los cambios que realizaron los administradores, realice alguno de los siguientes pasos:
• Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones), Revert to
running configuration (Revertir a la configuración en ejecución) y haga clic en Yes (Sí) para confirmar
la operación.
• Inicie sesión en el cortafuegos con una cuenta administrativa asignada a la función de superusuario
o un perfil de rol de administrador con el privilegio Commit For Other Admins (Confirmar para otros
administradores) habilitado. Luego seleccione Config > Revert Changes (Revertir cambios) en la parte
superior de la interfaz web, seleccione Revert All Changes (Revertir todos los cambios) y Revert
(Revertir).
Para revertir solo cambios específicos a la configuración candidata:
1. Inicie sesión en el cortafuegos con una cuenta administrativa que tenga los privilegios de rol
necesarios para revertir los cambios deseados.
Los privilegios que controlan las operaciones de confirmación también controlan las
operaciones de reversión.
2. Seleccione Config > Revert Changes (Revertir cambios) en la parte superior de la interfaz web.
3. Seleccione Revert Changes Made By (Revertir cambios realizados por).
4. Para filtrar el alcance de la reversión por administrador, haga clic en <administrator-name>,
seleccione los administradores y haga clic en OK (Aceptar).
5. Para filtrar el alcance de la reversión por ubicación, borre las ubicaciones que desee excluir.
6. Seleccione Revert (Revertir) para revertir los cambios.
• Revierta los ajustes a la instantánea predeterminada de la configuración candidata.

Esta es la instantánea que crea o sobrescribe cuando hace clic en Config > Save Changes (Guardar
cambios) en la parte superior de la interfaz web.
Revert to last saved configuration (Revertir a la última configuración guardada).

2. Haga clic en Yes (Sí) para confirmar la operación.
3. (Opcional) Haga clic en Commit (Confirmar) para sobrescribir la configuración en ejecución con la
instantánea.
• Restaure una versión previa de la configuración en ejecución que se almacena en el

cortafuegos.
El cortafuegos crea una versión siempre que confirme los cambios de configuración.
Load configuration version (Cargar versión de la configuración).
2. Seleccione una versión de configuración en Version (Versión) y haga clic en OK (Aceptar).
3. (Opcional) Haga clic en Commit (Configurar) para sobrescribir la configuración en ejecución con la
versión que acaba de restaurar.
• Puede revertir a una de las siguientes opciones:

• La versión con nombre personalizado de la configuración en ejecución que importó previamente.
• Instantánea de la configuración candidata con nombre personalizado (en lugar de la instantánea por
defecto).
Load named configuration snapshot (Cargar instantánea de configuración con nombre).
2. Seleccione el nombre de la instantánea en Name (Nombre) y haga clic en OK (Aceptar).
instantánea.
• Puede revertir los ajustes a una configuración en ejecución o candidata que haya exportado
previamente a un host externo.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones), haga clic
en Import named configuration snapshot (Importar instantánea de configuración con nombre),
seleccione Browse para buscar el archivo de configuración en el host externo y haga clic en OK
(Aceptar).
2. Haga clic en Load named configuration snapshot (Cargar instantánea de configuración con nombre),
seleccione el Name (Nombre) del archivo de configuración que acaba de importar, y haga clic en OK
(Aceptar).
instantánea que acaba de importar.
• Restaure la información de estado que exportó de un cortafuegos.

Además de la configuración en ejecución, la información de estado incluye la configuración de plantillas
y grupos de dispositivos enviados desde Panorama. Si el cortafuegos es un portal de GlobalProtect,
la información también incluye información del certificado, una lista de satélites y la información de
autenticación del satélite. Si reemplaza un cortafuegos o portal, puede restaurar la información en el
reemplazo importante el lote de estado.
Importe la información de estado:
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones), haga clic en
Import device state (Importar estado de dispositivo), seleccione Browse (Examinar) para buscar el
lote de estado y haga clic en OK (Aceptar).
2. (Opcional) Haga clic en Commit (Confirmar) para aplicar la información de estado importada a la
configuración en ejecución.

Gestión de los administradores de cortafuegos
Las cuentas administrativas especifican funciones y métodos de autenticación para los administradores de
cortafuegos de Palo Alto Networks. Todos los cortafuegos de Palo Alto Networks vienen preconfigurados
con una cuenta administrativa predeterminada (admin) que proporciona acceso completo de lectura-
escritura (también conocido como acceso de superusuario) al cortafuegos.
Es recomendable que cree una cuenta administrativa diferente para cada persona que
necesite acceder a las funciones de administración o informes del cortafuegos. Esto le
permite proteger mejor el cortafuegos de una configuración no autorizada y realizar el
logging de las acciones de cada uno de los administradores individuales.
• Tipos de funciones administrativas

• Configuración de un perfil de función de administrador
• Autenticación administrativa
• Configurar cuentas y autenticación administrativa
Tipos de funciones administrativas

Una función define el tipo de acceso al sistema que tiene el administrador asociado. Los tipos de funciones
son:
• Perfiles de función de administrador: Funciones personalizadas que puede configurar para ofrecer
un control de acceso más granular sobre las áreas funcionales de la interfaz web, CLI y API XML.
Por ejemplo, puede crear un perfil de función de administrador para su personal de operaciones que
proporcione acceso a las áreas de configuración de red y dispositivo de la interfaz web y un perfil
separado para los administradores de seguridad que proporcione acceso a la definición de política de
seguridad, logs e informes. En un cortafuegos con múltiples sistemas virtuales, puede seleccionar si la
función define el acceso a todos los sistemas virtuales o a sistemas virtuales específicos. Cuando se
añaden nuevas funciones al producto, usted debe actualizar las funciones con los correspondientes
privilegios de acceso: el cortafuegos no añade automáticamente nuevas funciones a las definiciones
de función personalizadas. Para obtener informReferencia: acceso de administrador a la interfaz web
on page 79ación sobre los privilegios que puede configurar para las funciones de administrador
personalizado, consulte Referencia: acceso de administrador a la interfaz web.
• Funciones dinámicas: se trata de funciones integradas que proporcionan acceso al cortafuegos. Al añadir
nuevas funciones, el cortafuegos actualiza automáticamente las definiciones de funciones dinámicas;
usted no necesitará actualizarlas manualmente en ningún momento. En la siguiente tabla se enumeran
los privilegios de acceso asociados con las funciones dinámicas.
Función dinámica Privilegios
Superusuario Tiene acceso completo al cortafuegos y puede definir nuevas

cuentas de administrador y sistemas virtuales. Debe tener los
privilegios de superusuario para crear un usuario de administrador
con los privilegios de superusuario.
Superusuario (solo lectura) Acceso de solo lectura al cortafuegos.
Administrador del sistema virtual Acceso completo a un sistema virtual (virtual system, vsys)
especifico en el cortafuegos.

Función dinámica Privilegios
Administrador del sistema virtual Acceso de solo lectura a un sistema virtual (virtual system, vsys)
(solo lectura) especifico en el cortafuegos.
Administrador de dispositivo Acceso completo a todas las configuraciones del cortafuegos,

excepto para definir nuevas cuentas o sistemas virtuales.
Administrador de dispositivo (solo Acceso de solo lectura a todos los ajustes del cortafuegos,
lectura) excepto a los perfiles de contraseña (sin acceso) y a las cuentas del
administrador (solo está visible la cuenta con sesión iniciada).
Configuración de un perfil de función de administrador

Los perfiles de función de administrador le permiten definir privilegios de acceso administrativo granulares
que garantizan la protección de información confidencial de su compañía y la privacidad de los usuarios
finales.
Se recomienda crear perfiles de función de administrador que permitan a los

administradores acceder únicamente a las áreas de las interfaces de gestión que necesitan
para realizar su trabajo.
STEP 1 | Seleccione Device (Dispositivo) > Admin Roles (Funciones de administración) y haga clic en
Add (Añadir).
STEP 2 | Introduzca en Name un nombre para identificar la función.
STEP 3 | Para el entorno de la función en Role (Función), seleccione Device (Dispositivo) o Virtual
System (Sistema virtual).
STEP 4 | En las pestañas Web UI (Interfaz web) y XML API (API de XML), haga clic en el icono de cada
área funcional para alternar al ajuste deseado: Enable (Habilitar), Read Only (Solo lectura) o
Disable (Deshabilitar). Si desea información detallada de las opciones de Web UI (Interfaz web),
consulte los Privilegios de acceso a la interfaz web.
STEP 5 | Seleccione la pestaña Command Line (Línea de comando) y seleccione una opción de acceso al
CLI. El ámbito de Role (Función) controla las opciones disponibles:
• Función Device (Dispositivo): superuser, superreader, deviceadmin, devicereader o None.
• Función Virtual System (Sistema virtual): vsysadmin, vsysreader o None.
STEP 6 | Haga clic en OK (Aceptar) para guardar el perfil.
STEP 7 | Asigne la función a un administrador. Consulte la Configuración de una cuenta administrativa

de cortafuegos.
Autenticación administrativa
Puede configurar los siguientes tipos de autenticación y autorización (asignación de dominio de función y
acceso) para los administradores del cortafuegos:

Authentication Método de DESCRIPTION
Method autorización
Local Local Las credenciales de la cuenta de administrador y los mecanismos de

autenticación se encuentran en el cortafuegos. Puede definir las cuentas
con o sin un base de datos de usuarios en el cortafuegos. Consulte
Autenticación local para obtener información sobre las ventajas y
las desventadas de utilizar una base de datos local. Puede utilizar el
cortafuegos para gestionar las asignaciones de las funciones, pero los
dominios de acceso no son compatibles. Para obtener los detalles,
consulte Configuración de la autenticación local o externa para los
administradores del cortafuegos.
Claves SSH Local Las cuentas administrativas se encuentran en el cortafuegos, pero la

autenticación de la CLI se realiza en función de las claves SSH. Puede
utilizar el cortafuegos para gestionar las asignaciones de las funciones,
pero los dominios de acceso no son compatibles. Para obtener los
detalles, consulte Configuración de la autenticación de administrador
basada en claves de SSH para el CLI.
Certificados Local Las cuentas administrativas se encuentran en el cortafuegos, pero la

autenticación de la interfaz web se realiza en función de los certificados
de los clientes. Puede utilizar el cortafuegos para gestionar las
asignaciones de las funciones, pero los dominios de acceso no son
compatibles. Para obtener los detalles, consulte Configuración de la
autenticación de administrador basada en certificados para la interfaz
web.
Servicio Local Las cuentas administrativas que define localmente en el cortafuegos

externo funcionan como referencias de las cuentas definidas en un servidor
de autenticación multifactor, SAML, Kerberos, TACACS+, RADIUS o
LDAP externo. El servidor externo realiza la autenticación. Puede utilizar
el cortafuegos para gestionar las asignaciones de las funciones, pero
los dominios de acceso no son compatibles. Para obtener los detalles,
consulte Configuración de la autenticación local o externa para los
administradores del cortafuegos.
Servicio Servicio Las cuentas administrativas se definen únicamente en un servidor SAML,

externo externo TACACS+ o RADIUS externo. El servidor realiza la autenticación y la
autorización. En el caso de la autorización, puede definir los Vendor-
Specific Attributes (Atributos específicos del proveedor, VSA) en el
servidor TACACS+ o RADIUS, o los atributos SAML en el servidor
SAML. PAN-OS asigna los atributos a las funciones del administrador,
los dominios de acceso, los grupos de usuario y los sistemas virtuales
que define en el cortafuegos. Para obtener los detalles, consulte:
• Configuración de la autenticación SAML
• Configuración de la autenticación TACACS+
• Configuración de la autenticación RADIUS

Configurar cuentas y autenticación administrativa
Si ya configuró un perfil de autenticación (consulte la Configuración de una secuencia y perfil de
autenticación) o si no necesita uno para autenticar a los administradores, se encuentra listo para realizar la
Configuración de una cuenta administrativa del cortafuegos. De lo contrario, realice uno de los siguientes
procedimientos detallados a continuación para configurar las cuentas administrativas para los tipos
específicos de autenticación.
• Configuración de una cuenta administrativa del cortafuegos.
• Configuración de la autenticación local o externa para los administradores del cortafuegos.
• Configuración de una autenticación de administrador basada en certificados en la interfaz web
• Configuración de la autenticación de administrador basada en claves de SSH para el CLI
Configuración de una cuenta administrativa del cortafuegos.

Las cuentas administrativas especifican funciones y métodos de autenticación para los administradores
de cortafuegos. El servicio que utiliza para asignar funciones y realizar la autenticación determina si añade
las cuentas al cortafuegos, a un servidor externo o a ambos (consulte Autenticación administrativa). Si el
método de autenticación depende de una base de datos de cortafuegos local o de un servicio externo, debe
configurar un perfil de autenticación antes de añadir una cuenta administrativa (consulte la Configuración
de cuentas administrativas y autenticación). Si ya configuró el perfil de autenticación o si va a utilizar la
autenticación local sin una base de datos de cortafuegos, realice los siguientes pasos para añadir una cuenta
administrativa al cortafuegos.
STEP 1 | Seleccione Device (Dispositivo) > Administrators (Administradores) y Add (Añadir) para añadir
una cuenta.
STEP 2 | Introduzca un nombre de usuario en Name (Nombre).

Si el cortafuegos utiliza una base de datos de usuario local para autenticar la cuenta, introduzca el
nombre que especificó para la cuenta en la base de datos (consulte la Adición de un grupo de usuarios a
la base de datos local.)
STEP 3 | Seleccione un Authentication Profile (Perfil de autenticación) o una secuencia si ha

configurado alguno de ellos para el administrador.
Si el cortafuegos utiliza la autenticación local sin una base de datos de usuario local para la cuenta,
seleccione None (Ninguno) (predeterminado) e introduzca una Password (Contraseña).
STEP 4 | Seleccione el Administrator Type (Tipo de administrador).

Si ha configurado una función personalizada para el usuario, seleccione Role Based (Basado en la
función) y seleccione el perfil de la función de administrador en Profile (Perfil). De lo contrario,
seleccione Dynamic (Dinámico) (el valor por defecto) y seleccione una función dinámica. Si la función
dinámica es virtual system administrator (administrador del sistema virtual), añada uno o más sistemas
virtuales que el administrador del sistema virtual puede gestionar.
STEP 5 | (Opcional) Seleccione un Password Profile (Perfil de contraseña) para administradores que el
cortafuegos autentica localmente sin una base de datos de usuario local. Si desea información
detallada, consulte Definición de perfiles de contraseña.
STEP 6 | Haga clic en OK (Aceptar) y Commit (Confirmar).

Configuración de la autenticación local o externa para los administradores
del cortafuegos.
Puede utilizar los servicios de autenticación local o autenticación externa para autenticar a los
administradores que acceden al cortafuegos. Estos métodos de autenticación les piden a los
administradores que respondan a uno o más desafíos de autenticación, como una página de inicio de sesión
en la que introduce un nombre de usuario y una contraseña.
Si utiliza un servicio externo para gestionar la autenticación y la autorización (asignaciones

de funciones y dominios de acceso), consulte las siguientes secciones:
• Configuración de la autenticación SAML
• Configuración de la autenticación TACACS+
• Configuración de la autenticación RADIUS
Para autenticar a los administradores sin un mecanismo de respuesta a desafíos, puede
realizar la Configuración de una autenticación de administrador basada en certificados en la
interfaz web y la Configuración de la autenticación de administrador basada en claves de SSH
para el CLI.
STEP 1 | (Solo autenticación externa) Permita que el cortafuegos se conecte a un servidor externo
para autenticar a los administradores.
Configure un perfil de servidor:
• Añada un perfil de servidor RADIUS.
• Si el cortafuegos se integra con un servicio de autenticación multifactor (MFA) mediante RADIUS,
debe añadir un perfil de servidor de RADIUS. En este caso, el servicio de MFA proporciona todos los
factores de autenticación (desafíos). Si el cortafuegos se integra con un servicio de MFA mediante
una API de proveedor, puede utilizar un perfil de servidor de RADIUS para el primer factor, pero se
requieren perfiles de servidor de MFA para los factores adicionales.
• Añada un perfil de servidor de MFA.
• Añada un perfil de servidor TACACS+.
• Añadir un perfil de servidor SAML IdP. No puede combinar el inicio de sesión único (SSO) de
Kerberos con SSO SAML; puede utilizar solo un tipo de servicio de SSO.
• Añada un perfil de servidor Kerberos.
• Añada un perfil de servidor LDAP
STEP 2 | (Solo autenticación de base de datos local) Configure una base de datos de usuarios local
en el cortafuegos.
1. Añada la cuenta de usuario a la base de datos local.
2. (Opcional) Añada el grupo de usuarios a la base de datos local.
STEP 3 | (Solo autenticación local) Defina la complejidad de la contraseña y la configuración del

vencimiento.
Esta configuración puede ayudar a proteger el cortafuegos contra el acceso no autorizado al hacer más
difícil que los atacantes adivinen las contraseñas.
1. Define la complejidad de la contraseña global y los ajustes de vencimiento para todos los
administradores locales. La configuración no se aplica a las cuentas de base de datos locales para las
que especificó un hash de contraseña en lugar de una contraseña (consulte Autenticación local).
configuración de complejidad de contraseña mínima.

2. Seleccione Enabled (Habilitado).
3. Defina los ajustes de la contraseña y haga clic en OK (Aceptar).
2. Defina un perfil de contraseña.
Asigna el perfil a las cuentas administrativas en las que desea anular la configuración de vencimiento
de contraseña global. Los perfiles están disponibles solo en las cuentas que no están asociadas a una
base de datos local (consulte Autenticación local).
1. Seleccione Device (Dispositivo) > Password Profiles (Perfiles de contraseña) y luego Add (Añadir)
para añadir un perfil.
2. Introduzca un Name (Nombre) para identificar el perfil.
3. Defina los ajustes de vencimiento de la contraseña y haga clic en OK (Aceptar).
STEP 4 | (Solo SSO de Kerberos) Cree una keytab de Kerberos.

Un keytab es un archivo que contiene información de cuenta de Kerberos para el cortafuegos. Para
admitir el SSO de Kerberos, su red debe tener una infraestructura de Kerberos.
STEP 5 | Configure un perfil de autenticación.
Si sus cuentas administrativas están en múltiples tipos de servidores, puede crear un

perfil de autenticación para cada tipo y añadir todos los perfiles a una secuencia de
autenticación.
Realice la Configuración de una secuencia y perfil de autenticación. En el perfil de autenticación,

especifique el Type (Tipo) de servicio de autenticación y la configuración relacionada:
• Servicio externo: seleccione el Type (Tipo) de servicio externo y seleccione el Server Profile (Perfil de
servidor) que creó para él.
• Autenticación de base de datos local: configure el Type (Tipo) como Local Database (Base de datos
local).
• Autenticación local sin una base de datos: configure el Type (Tipo) como None (Ninguno).
• SSO de Kerberos: especifique el Kerberos Realm (Dominio de Kerberos) e Import (Importe) el
Kerberos Keytab (Keytab de Kerberos).
STEP 6 | Asigne el perfil o secuencia de autenticación a una cuenta administrativa.

1. Configuración de una cuenta administrativa del cortafuegos.
• Asigne el Authentication Profile (Perfil de autenticación) o la secuencia que configuró.
• (Solo autenticación de base de datos local) Especifique el Name (Nombre) de la cuenta de usuario
que añadió a la base de datos local.
3. (Opcional) Realice la Comprobación de la conectividad del servidor de autenticación para comprobar
que el cortafuegos puede utilizar el perfil de autenticación para autenticar a los administradores.
Configuración de una autenticación de administrador basada en

certificados en la interfaz web
Como una alternativa más segura a la autenticación basada en contraseña para la interfaz web del
cortafuegos, puede configurar una autenticación basada en certificado para las cuentas administrativas que
sean locales en el cortafuegos. La autenticación basada en certificados implica el intercambio y verificación
de una firma digital en lugar de una contraseña.
La configuración de una autenticación basada en certificados para cualquier administrador

deshabilita los inicios de sesión de nombre de usuario/contraseña para todos los

administradores del cortafuegos; por ello, los administradores necesitarán el certificado para
iniciar sesión.
STEP 1 | Genere un certificado de autoridad de certificado (CA) en el cortafuegos.

Puede usar este certificado de CA para firmar el certificado de cliente de cada administrador.
Cree un certificado de CA raíz autofirmado.
De manera alternativa, realice la Importación de un certificado y una clave privada para

su CA empresarial o CA externo.
STEP 2 | Configure un perfil de certificado para proteger el acceso a la interfaz web.

Configure un perfil de certificado.
• Defina el Username Field (Campo de nombre de usuario) en Subject (Asunto).
• En la sección de certificados de CA, seleccione Add (Añadir) para añadir el certificado de CA que
acaba de crear o importar.
STEP 3 | Configure el cortafuegos para usar el perfil de certificados para autenticar a los
administradores.
configuración de autenticación.
2. Seleccione el Certificate Profile (Perfil de certificado) que creó para autenticar a los administradores
y haga clic en OK (Aceptar).
STEP 4 | Configure las cuentas de administrador para usar la autenticación de certificado cliente.
Para cada administrador que accederá a la interfaz web del cortafuegos, realice la Configuración de una
cuenta administrativa de cortafuegos y seleccione Use only client certificate authentication (Utilizar
solo autenticación con certificado de cliente).
Si ya ha implementado certificados de cliente que ha generado su CA empresarial, continúe con el paso
8. De lo contrario, diríjase al paso 5.
STEP 5 | Genere un certificado de cliente para cada administrador.

Genere un certificado. En la lista desplegable Signed By (Firmado por), seleccione un certificado de CA
raíz autofirmado.
STEP 6 | Exporte el certificado de cliente.

1. Exporte un certificado y una clave privada.
2. Haga clic en Commit (Confirmar) para compilar los cambios. El cortafuegos reinicia y termina su
sesión de inicio de sesión. Así, los administradores pueden acceder a la interfaz web únicamente
desde sistemas cliente que tengan el certificado de cliente que ha generado.
STEP 7 | Importe el certificado de cliente en el sistema cliente de cada administrador que vaya a acceder
a la interfaz web.
Consulte la documentación de su navegador web.
STEP 8 | Verifique que los administradores pueden acceder a la interfaz web.

1. Abra la dirección IP del cortafuegos en un navegador en el ordenador que tenga el certificado de
cliente.

2. Cuando se le pida, seleccione el certificado que ha importado y haga clic en OK (Aceptar). El
explorador muestra una advertencia de certificado.
3. Añada el certificado a la lista de excepciones del explorador.
4. Haga clic en Login (Inicio de sesión). La interfaz web debería aparecer sin pedirle un nombre de
usuario o contraseña.
Configuración de la autenticación de administrador basada en claves de

SSH para el CLI
Para los administradores que usan el shell seguro (SSH) para acceder al CLI de un cortafuegos de Palo
Alto Networks, las claves SSH ofrecen un método de autenticación más seguro que las contraseñas. Las
claves SSH prácticamente eliminan el riesgo de ataques de fuerza bruta, ofrecen la posibilidad de una
autenticación de dos factores (clave y frase de contraseña) y no envían contraseñas por la red. Las claves
SSH también permiten que las secuencias de comandos automatizadas accedan al CLI.
STEP 1 | Use una herramienta de generación de claves SSH para crear un par de claves asimétrico en el
sistema cliente del administrador.
Los formatos de clave admitidos son IETF SECSH y Open SSH. Los algoritmos admitidos son DSA (1024
bits) y RSA (768-4096 bits).
Para que los comandos generen un par de claves, consulte la documentación de cliente SSH.
La clave pública y la privada son archivos distintos. Guarde ambos en una ubicación a la que pueda
acceder el cortafuegos. Para una mayor seguridad, introduzca una frase de contraseña para cifrar la clave
privada. El cortafuegos solicita al administrador la frase de contraseña durante el inicio de sesión.
STEP 2 | Configure la cuenta del administrador para usar la autenticación de clave pública.
1. Configuración de una cuenta administrativa del cortafuegos.
• Configure el método de autenticación que deberá utilizarse si falla la autenticación de clave
SSH. Si ha configurado un Authentication Profile (Perfil de autenticación) para el administrador,
selecciónelo en la lista desplegable. Si selecciona None (Ninguno), deberá introducir una
contraseña en Password (Contraseña) y después repetirla en Confirm Password (Confirmar
contraseña).
• Seleccione Use Public Key Authentication (Utilizar autenticación de clave pública) (SSH), luego,
Import Key (Importar clave), Browse (Explorar) para buscar la clave pública que acaba de generar,
y haga clic en OK (Aceptar).
STEP 3 | Configure el cliente SSH para usar la clave privada para autenticarse en el cortafuegos.
Realice esta tarea en el sistema cliente del administrador. Para conocer los pasos, consulte la
documentación de su cliente SSH.
STEP 4 | Compruebe que el administrador puede acceder al CLI del cortafuegos usando la autenticación
de clave SSH.
1. Use un navegador en el sistema cliente del administrador para ir a la dirección IP del cortafuegos.
2. Inicie sesión en el CLI del cortafuegos como administrador. Después de escribir un nombre de
usuario, verá la siguiente salida (el valor de clave es un ejemplo):
Authenticating with public key “dsa-key-20130415”

3. Si se le solicita, introduzca la frase de contraseña definida al crear las claves.

Referencia: acceso de administrador a la
interfaz web
Puede configurar privilegios para un cortafuegos completo o para uno o más sistemas virtuales (en
plataformas que admitan varios sistemas virtuales). En esa designación de Device (Dispositivo) o Virtual
System (Sistema virtual), puede configurar privilegios para funciones de administrador personalizadas, que
son más pormenorizadas que los privilegios fijos asociados con una función de administrador dinámica.
La configuración de privilegios a nivel granular garantiza que los administradores de nivel inferior no puedan
a acceder a cierta información. Puede crear funciones personalizadas para administradores de cortafuegos
(consulte Configuración de una cuenta administrativa de cortafuegos), administradores de Panorama o
administradores de grupo de dispositivos y plantilla (consulte la Guía del administrador de Panorama). Usted
aplica la función de administrador a una cuenta de administrador basada en la función en la que puede
asignar uno o más sistemas virtuales. Los siguientes temas describen los privilegios que puede configurar
para las funciones de administrador personalizadas.
• Privilegios de acceso a la interfaz web
• Privilegios de acceso a la interfaz web de Panorama
Privilegios de acceso a la interfaz web

Si desea impedir que un administrador basado en roles acceda a pestañas específicas de la interfaz web,
puede deshabilitar la pestaña y el administrador ni siquiera la verá cuando inicie sesión con la cuenta
administrativa basada en funciones asociada. Por ejemplo, podría crear un perfil de función de administrador
para su personal de operaciones que únicamente proporcione acceso a las pestañas Device (Dispositivo)
y Network (Red) y un perfil separado para los administradores de seguridad que proporcione acceso a las
pestañas Object (Objetos), Policy (Política) y Monitor (Supervisar).
Una función de administrador puede aplicarse en el nivel del dispositivo o el sistema virtual como lo
define el botón de opción Device (Dispositivo) o Virtual System (Sistema virtual). Si selecciona Virtual
System (Sistema virtual), el administrador asignado por este perfil se restringe al sistema virtual al que está
asignado. Además, solo la pestaña Device (Dispositivo) > Setup (Configuración) > Services (Servicios) >
Virtual Systems (Sistemas virtuales) está disponible para ese administrador, no la pestaña Global.
Los siguientes temas describen cómo establecer los privilegios de la función de administrador en las
diferentes partes de la interfaz web:
• Definición del acceso a las pestañas de la interfaz web
• Acceso detallado a la pestaña Supervisar
• Acceso detallado a la pestaña Política
• Acceso detallado a la pestaña Objetos
• Acceso detallado a la pestaña Red
• Acceso detallado a la pestaña Dispositivo
• Definición de ajustes de privacidad de usuario en el perfil de función de administrador
• Restricción del acceso de administrador a funciones de confirmación y validación
• Acceso detallado a ajustes globales
• Concesión de acceso granular a la pestaña Panorama
Definición del acceso a las pestañas de la interfaz web

La siguiente tabla describe los privilegios de acceso a nivel superior que puede asignar a un perfil de función
de administrador (Device [Dispositivo] > Admin Roles [Funciones de administrador]). Puede habilitar,

deshabilitar o definir privilegios de acceso de solo lectura en las pestañas de nivel superior en la interfaz
web.
Nivel de acceso Descripción Habilitar Solo Deshabilitar

lectura
Panel Controla el acceso a la pestaña Dashboard Yes (sí) No Yes (sí)

(Panel). Si deshabilita este privilegio, el
administrador no verá la pestaña ni tendrá
acceso a ninguno de los widgets del panel.
ACC Controla el acceso al Centro de comando Yes (sí) No Yes (sí)

de aplicación (ACC). Si deshabilita este
privilegio, la pestaña ACC no aparecerá en la
interfaz web. Recuerde que si desea proteger
la privacidad de sus usuarios y, a la vez,
seguir proporcionando acceso al ACC, puede
deshabilitar la opción Privacy (Privacidad) >
Show Full IP Addresses (Mostrar direcciones
IP completas) o la opción Show User Names
In Logs And Reports (Mostrar nombres de
usuario en logs e informes).
Monitor Controla el acceso a la pestaña Monitor Yes (sí) No Yes (sí)

(Supervisar) (Supervisar). Si deshabilita este privilegio, el
administrador no verá la pestaña Monitor
(Supervisar) ni tendrá acceso a ninguno de los
logs, capturas de paquetes, información de
sesión, informes o Appscope. Para obtener un
control más detallado sobre qué información
de supervisión puede ver el administrador,
deje la opción Monitor (Supervisión) habilitada
y, a continuación, habilite o deshabilite los
nodos específicos en la pestaña como se
describe en Concesión de acceso detallado a la
pestaña Monitor (Supervisión).
Políticas Controla el acceso a la pestaña Policies Yes (sí) No Yes (sí)

(Políticas). Si deshabilita este privilegio, el
administrador no verá la pestaña Policies
(Políticas) ni tendrá acceso a ninguna
información de política. Para obtener un
de la política puede ver el administrador; por
ejemplo, para habilitar el acceso a un tipo de
política específico o para habilitar el acceso
de solo lectura a la información de la política,
deje la opción Policies (Políticas) habilitada y,
a continuación, habilite o deshabilite los nodos
específicos en la pestaña como se describe en
Concesión de acceso detallado a la pestaña
Policy (Política).

lectura
Objetos Controla el acceso a la pestaña Objects Yes (sí) No Yes (sí)

(Objetos). Si deshabilita este privilegio, el
administrador no verá la pestaña Objects
(Objetos) ni tendrá acceso a ninguno de
los objetos, perfiles de seguridad, perfiles
de reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control
más detallado sobre qué objetos puede ver
el administrador, deje la opción Objects
(Objetos) habilitada y, a continuación, habilite
o deshabilite los nodos específicos en la
pestaña como se describe en Concesión
de acceso detallado a la pestaña Objects
(Objetos).
Creación de Controla el acceso a la pestaña Red. Si Yes (sí) No Yes (sí)

contactos deshabilita este privilegio, el administrador
no verá la pestaña Network (Red) ni
tendrá acceso a ninguna información de
configuración de interfaz, zona, VLAN, Virtual
Wire, enrutador virtual, túnel de IPSec,
DHCP, proxy DNS, GlobalProtect o QoS o a
los perfiles de red. Para obtener un control
el administrador, deje la opción Network
(Red) habilitada y, a continuación, habilite o
deshabilite los nodos específicos en la pestaña
como se describe en Concesión de acceso
detallado a la pestaña Network (Red).
Dispositivo Controla el acceso a la pestaña Device Yes (sí) No Yes (sí)

(Dispositivo). Si deshabilita este privilegio,
el administrador no verá la pestaña Device
(Dispositivo) ni tendrá acceso a ninguna
información de configuración de todo
el cortafuegos, como información de
configuración de User-ID, alta disponibilidad,
perfil de servidor o certificado. Para obtener
un control más detallado sobre qué objetos
puede ver el administrador, deje la opción
Objects (Objetos) habilitada y, a continuación,
habilite o deshabilite los nodos específicos
en la pestaña como se describe en Concesión
de acceso detallado a la pestaña Device
(Dispositivo).
No puede habilitar el acceso

a los nodos Admin Roles
(Funciones de administrador)
o Administrators
(Administradores) para un

lectura
administrador basado en
funciones aunque habilite un
acceso completo a la pestaña
Device (Dispositivo).
Acceso detallado a la pestaña Supervisar

En algunos casos, puede que desee habilitar al administrador para que vea algunas pero no todas las áreas
de la pestaña Supervisar. Por ejemplo, puede querer restringir los administradores de operaciones a los logs
Config y Sistema únicamente, ya que no contienen datos privados de usuarios. Aunque esta sección de la
definición de función de administrador especifica qué áreas de la pestaña Monitor (Supervisar) puede ver el
administrador, también puede emparejar los privilegios de esta sección con privilegios de privacidad, como
deshabilitar la capacidad de ver nombres de usuarios en logs e informes. Sin embargo, una cosa que hay
que tener en cuenta es que los informes generados por el sistema seguirán mostrando nombres de usuario
y direcciones IP incluso si deshabilita esa funcionalidad en la función. Por este motivo, si no desea que el
administrador vea ninguna de la información de usuario privada, debería deshabilitar el acceso a informes
específicos como se indica en la tabla siguiente.
La siguiente tabla muestra los niveles de acceso de la pestaña Monitor (Supervisar) y las funciones de
administrador para las que están disponibles.
Las funciones de grupo de dispositivos y plantilla pueden ver los datos de logs únicamente
para los grupos de dispositivos que están en dominios de acceso asignados a esas
funciones.
Nivel de Descripción Disponibilidad de la HabilitarSolo Deshabilitar

acceso función de administrador lectura
Supervisar Habilita o deshabilita el acceso a Cortafuegos: Yes (sí) Yes No Yes

la pestaña Monitor (Supervisar). Si (sí) (sí)
Panorama: Yes (sí)
está deshabilitado, el administrador
no verá esta pestaña ni ninguno de Plantilla/grupo de
los logs o informes asociados. dispositivos: Yes (sí)
Logs Habilita o deshabilita el acceso Cortafuegos: Yes (sí) Yes No Yes

a todos los archivos de log. (sí) (sí)
Panorama: Yes (sí)
También puede dejar este privilegio
habilitado y, a continuación, Plantilla/grupo de
deshabilitar logs específicos que dispositivos: Yes (sí)
no desea que vea el administrador.
Tenga en cuenta que si desea
proteger la privacidad de sus
usuarios mientras sigue ofreciendo
acceso a uno o más logs, puede
deshabilitar la opción Privacy
(Privacidad) > Show Full IP
Addresses (Mostrar direcciones
IP completas) y la opción Show
User Names In Logs And Reports

(Mostrar nombres de usuario en
logs e informes).
Tráfico Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de tráfico. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
dispositivos: Yes (sí)
Amenazas Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de amenaza. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
Filtrado de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

URL ver los logs de filtrado de URL. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
Envíos a Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

WildFire ver los logs de WildFire. Estos logs (sí) (sí)
Panorama: Yes (sí)
solamente están disponibles si tiene
una suscripción a WildFire. Plantilla/grupo de
Filtrado de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

datos ver los logs de filtrado de datos. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
Coincidencias Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

HIP ver los logs de coincidencias HIP. (sí) (sí)
Panorama: Yes (sí)
Los logs de coincidencias HIP
solamente están disponibles si tiene Plantilla/grupo de
una suscripción al gateway y una dispositivos: Yes (sí)
licencia de portal de GlobalProtect.
User-ID Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de User-ID. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
Inspección Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

de túnel ver los logs de inspección de túnel. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de

Configuración Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de configuración. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
dispositivos: No
Sistema Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de sistema. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
dispositivos: No
Alarmas Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver las alarmas generadas por el (sí) (sí)
Panorama: Yes (sí)
sistema.
Plantilla/grupo de
Autenticación Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver los logs de autenticación. (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
dispositivos: No
Motor de Habilita o deshabilita el acceso a Cortafuegos: Yes (sí) Yes No Yes

correlación los objetos de correlación y los logs (sí) (sí)
Panorama: Yes (sí)
automatizada de eventos correlacionados en el
cortafuegos. Plantilla/grupo de
Objetos de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

correlación ver y habilitar o deshabilitar los (sí) (sí)
Panorama: Yes (sí)
objetos de correlación.
Plantilla/grupo de
Eventos Especifica si el administrador Cortafuegos: Yes (sí) Yes No Yes

correlacionados (sí) (sí)
Panorama: Yes (sí)
Plantilla/grupo de
Captura de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
paquetes ver capturas de paquetes (packet (sí) (sí) (sí)
Panorama: No
captures, pcaps) en la pestaña
Monitor (Supervisar). Recuerde Plantilla/grupo de
que las capturas de paquetes son dispositivos: No
datos de flujo sin procesar y, por lo
tanto, pueden contener direcciones
IP de usuarios. Si deshabilita los
privilegios Show Full IP Addresses

(Mostrar direcciones IP completas),
no ocultará la dirección IP en la
pcap y, por ello, debería deshabilitar
el privilegio Captura de paquetes
si le preocupa la privacidad del
usuario.
Appscope Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

ver las herramientas de análisis (sí) (sí)
Panorama: Yes (sí)
y visibilidad de App Scope. Al
habilitar Appscope, permite el Plantilla/grupo de
acceso a todos los gráficos de App dispositivos: Yes (sí)
Scope.
Explorador Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

de sesión examinar y filtrar las sesiones que (sí) (sí)
Panorama: No
se están ejecutando actualmente
en el cortafuegos. Recuerde que Plantilla/grupo de
el explorador de sesión muestra dispositivos: No
datos de flujo sin procesar y, por lo
tanto, puede contener direcciones
IP de usuarios. Si deshabilita los
privilegios Show Full IP Addresses
(Mostrar direcciones IP completas),
no ocultará la dirección IP en el
explorador de sesión y, por ello,
debería deshabilitar el privilegio
Session Browser (Explorador de
sesión) si le preocupa la privacidad
del usuario.
Lista de IP Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
bloqueadas ver la lista de bloqueo (habilitada o (sí) (sí) (sí)
Panorama: en Context
solo lectura) y eliminar las entradas
Switch UI: Yes (sí)
de la lista (habilitada). Si deshabilita
el ajuste, el administrador no podrá Plantilla: Yes (sí)
ver ni eliminar las entradas de la
lista de bloqueo.
Botnet Especifica si el administrador Cortafuegos: Yes (sí) Yes Yes Yes

puede generar y ver informes de (sí) (sí) (sí)
Panorama: No
análisis de Botnet o ver informes de
Botnet en modo de solo lectura. Si Plantilla/grupo de
deshabilita los privilegios Show Full dispositivos: No
IP Addresses (Mostrar direcciones
IP completas), no ocultará la
dirección IP en informes de Botnet
programados y, por ello, debería
deshabilitar el privilegio Botnet si le
preocupa la privacidad del usuario.

Informes en Habilita o deshabilita el acceso Cortafuegos: Yes (sí) Yes No Yes

PDF a todos los informes en PDF. (sí) (sí)
Panorama: Yes (sí)
También puede dejar este privilegio
habilitado y, a continuación, Plantilla/grupo de
deshabilitar informes en PDF dispositivos: Yes (sí)
específicos que no quiera que
vea el administrador. Tenga en
cuenta que si desea proteger la
privacidad de sus usuarios mientras
sigue ofreciendo acceso a uno o
más informes, puede deshabilitar
la opción Privacy (Privacidad) >
Show Full IP Addresses (Mostrar
direcciones IP completas) y la
opción Show User Names In Logs
And Reports (Mostrar nombres de
Gestionar Especifica si el administrador Cortafuegos: Yes (sí) Yes Yes Yes

resumen de puede ver, añadir o eliminar (sí) (sí) (sí)
Panorama: Yes (sí)
PDF definiciones de informes de
resumen en PDF. Con el acceso Plantilla/grupo de
de solo lectura, el administrador dispositivos: Yes (sí)
puede ver definiciones de informes
de resumen en PDF, pero no
puede añadirlas ni eliminarlas.
Si deshabilita esta opción, el
administrador no puede ver las
definiciones de los informes ni
añadirlas/eliminarlas.
Informes de Especifica si el administrador Cortafuegos: Yes (sí) Yes No Yes

resumen en puede ver los informes de resumen (sí) (sí)
Panorama: Yes (sí)
PDF en PDF generados en Monitor
(Supervisar) > Reports (Informes). Plantilla/grupo de
Si deshabilita esta opción, la dispositivos: Yes (sí)
categoría PDF Summary Reports
(Informes de resumen en PDF) no
se mostrará en el nodo Reports
(Informes).
Informe de Especifica si el administrador Cortafuegos: Yes (sí) Yes Yes Yes

actividad puede ver, añadir o eliminar (sí) (sí) (sí)
Panorama: Yes (sí)
del usuario definiciones de informes de
actividad del usuario y descargar Plantilla/grupo de
los informes. Con el acceso de solo dispositivos: Yes (sí)
lectura, el administrador puede
ver definiciones de informes de
actividad del usuario, pero no
puede añadirlas, eliminarlas ni
descargarlas. Si deshabilita esta

opción, el administrador no podrá
ver esta categoría de informe en
PDF.
Informe Especifica si el administrador Cortafuegos: Yes (sí) Yes Yes Yes

de uso de puede ver, añadir o eliminar un (sí) (sí) (sí)
Panorama: Yes (sí)
aplicación informe de uso de aplicación
SaaS SaaS. Con el acceso de solo Plantilla/grupo de
lectura, el administrador puede dispositivos: Yes (sí)
ver definiciones de informes de
uso de aplicación SaaS, pero no
puede añadirlas ni eliminarlas.
Si deshabilita esta opción, el
definiciones de los informes ni
añadirlas/eliminarlas.
Grupos de Especifica si el administrador Cortafuegos: Yes (sí) Yes Yes Yes

informes puede ver, añadir o eliminar (sí) (sí) (sí)
Panorama: Yes (sí)
definiciones de grupos de
informes. Con el acceso de solo Plantilla/grupo de
lectura, el administrador puede dispositivos: Yes (sí)
ver definiciones de grupos de
informes, pero no puede añadirlas
ni eliminarlas. Si deshabilita esta
opción, el administrador no podrá
ver esta categoría de informe en
PDF.
Programador Especifica si el administrador puede Cortafuegos: Yes (sí) Yes Yes Yes
de correo programar grupos de informes (sí) (sí) (sí)
Panorama: Yes (sí)
electrónico para correo electrónico. Como
los informes generados que se Plantilla/grupo de
envían por correo electrónico dispositivos: Yes (sí)
pueden contener datos de
usuario confidenciales que no
se eliminan al deshabilitar la
opción Privacy (Privacidad) >
direcciones IP completas) o
la opción Show User Names
In Logs And Reports (Mostrar
nombres de usuario en logs e
informes), y debido a que pueden
mostrar datos de logs a los que
el administrador no tiene acceso,
deberá deshabilitar la opción Email
Scheduler (Programador de correo
electrónico) si tiene requisitos de
privacidad del usuario.

Gestionar Habilita o deshabilita el acceso a Cortafuegos: Yes (sí) Yes No Yes

informes toda la funcionalidad de informe (sí) (sí)
Panorama: Yes (sí)
personalizados personalizado. También puede
dejar este privilegio habilitado Plantilla/grupo de
y, a continuación, deshabilitar dispositivos: Yes (sí)
categorías específicas de informes
personalizados a los que no
desee que el administrador pueda
acceder. Tenga en cuenta que
si desea proteger la privacidad
de sus usuarios mientras sigue
ofreciendo acceso a uno o más
informes, puede deshabilitar la
opción Privacy (Privacidad) >
direcciones IP completas) y la
opción Show User Names In Logs
And Reports (Mostrar nombres de
Los informes
programados para
ejecutarse en lugar
de ejecutarse a
petición mostrarán
la dirección IP e
información de
usuario. En este
caso, asegúrese
de restringir el
acceso a las
áreas de informe
correspondientes.
Además, la
función de informe
personalizado
no restringe la
capacidad de
generar informes
que contengan
datos de log
incluidos en logs
que estén excluidos
de la función de
administrador.
Estadísticas Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

de crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
aplicación incluya datos de la base de datos de
estadísticas de aplicación.

Plantilla/grupo de
Log de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

filtrado de crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
datos incluya datos de los logs de filtrado
de datos. Plantilla/grupo de

amenazas crear un informe personalizado (sí) (sí)
Panorama: Yes (sí)
que incluya datos de los logs de
amenaza. Plantilla/grupo de
Resumen Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

de amenaza crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de la base de datos de
resumen de amenaza. Plantilla/grupo de

tráfico crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de los logs de tráfico.
Plantilla/grupo de
Resumen Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

de tráfico crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de la base de datos de
resumen de amenaza. Plantilla/grupo de
Log de URL Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes
crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de los logs de filtrado
de URL. Plantilla/grupo de
Coincidencia Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

HIP crear un informe personalizado (sí) (sí)
Panorama: Yes (sí)
coincidencias HIP. Plantilla/grupo de

WildFire crear un informe personalizado (sí) (sí)
Panorama: Yes (sí)
WildFire. Plantilla/grupo de

ID de Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

usuario crear un informe personalizado que (sí) (sí)
Panorama: Yes (sí)
incluya datos de los logs de User-
ID. Plantilla/grupo de
Aut Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

crear un informe personalizado (sí) (sí)
Panorama: Yes (sí)
autenticación. Plantilla/grupo de
Ver Especifica si el administrador puede Cortafuegos: Yes (sí) Yes No Yes

informes ver un informe personalizado (sí) (sí)
Panorama: Yes (sí)
personalizados que se haya programado para su
programados generación. Plantilla/grupo de

informes de ver informes de aplicación. Los (sí) (sí)
Panorama: Yes (sí)
aplicación privilegios de privacidad no afectan
predefinidos los informes disponibles en el nodo Plantilla/grupo de
Monitor (Supervisar) > Reports dispositivos: Yes (sí)
(Informes) y, por lo tanto, debe
deshabilitar el acceso a los informes
si tiene requisitos de privacidad de
usuario.

informes de ver informes de amenazas. Los (sí) (sí)
Panorama: Yes (sí)
amenazas privilegios de privacidad no afectan
predefinidos los informes disponibles en el nodo Plantilla/grupo de
Monitor (Supervisar) > Reports dispositivos: Yes (sí)
usuario.

informes ver informes de filtrado de URL. Los (sí) (sí)
Panorama: Yes (sí)
de filtrado privilegios de privacidad no afectan
de URL los informes disponibles en el nodo Plantilla/grupo de
predefinidos Monitor (Supervisar) > Reports dispositivos: Yes (sí)
usuario.
Ver Especifica si el administrador Cortafuegos: Yes (sí) Yes No Yes

informes puede ver informes de tráfico. Los (sí) (sí)
Panorama: Yes (sí)
privilegios de privacidad no afectan

de tráfico los informes disponibles en el nodo Plantilla/grupo de
predefinidos Monitor (Supervisar) > Reports dispositivos: Yes (sí)
usuario.
Acceso detallado a la pestaña Política

Si habilita la opción de política en el perfil de función de administrador, a continuación podrá habilitar,
deshabilitar o proporcionar acceso de solo lectura a nodos específicos dentro de la pestaña según fuera
necesario para la función que esté definiendo. Al habilitar el acceso a un tipo de política específico, habilita
la capacidad de ver, añadir o eliminar reglas de política. Al habilitar un acceso de solo lectura a una política
específica, habilita al administrador para que pueda ver la base de reglas de política correspondiente,
pero no añadir ni eliminar reglas. Al deshabilitar el acceso a un tipo de política específico, impide que el
administrador vea la base de reglas de política.
Dado que la política basada en usuarios específicos (por nombre de usuario o dirección IP) debe definirse
explícitamente, los ajustes de privacidad que deshabiliten la capacidad de ver direcciones IP completas o
nombres de usuario no se aplican a la pestaña Política. Por lo tanto, solamente debería permitir el acceso a
la pestaña Política a administradores excluidos de restricciones de privacidad de usuario.

lectura
Seguridad Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas
de seguridad. Establezca el privilegio como
de solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
impedir que el administrador vea la base de
reglas de seguridad, deshabilite este privilegio.
NAT Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
de NAT. Establezca el privilegio como de
solo lectura si desea que el administrador
pueda ver las reglas, pero no modificarlas. Para
reglas NAT, deshabilite este privilegio.
Políticas de calidad Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
del servicio (QoS) administrador vea, añada y/o elimine reglas
de QoS. Establezca el privilegio como de solo
lectura si desea que el administrador pueda
ver las reglas, pero no modificarlas. Para
reglas QoS, deshabilite este privilegio.

lectura
Reenvío basado en Active este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
políticas administrador visualice, añada o elimine
las reglas de reenvío basado en políticas
(Policy-Based Forwarding, PBF). Establezca
el privilegio como de solo lectura si desea
que el administrador pueda ver las reglas,
pero no modificarlas. Para impedir que el
administrador vea la base de reglas PBF,
deshabilite este privilegio.
Descifrado Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
de descripción. Establezca el privilegio como
pueda ver las reglas, pero no modificarlas.
Para impedir que el administrador vea la base
de reglas de descripción, deshabilite este
privilegio.
Inspección de túnel Habilite este privilegio para permitir que Yes (sí) Yes (sí) Yes (sí)
el administrador vea, añada y/o elimine
reglas de inspección de túnel. Establezca
pero no modificarlas. Para impedir que
el administrador vea la base de reglas de
inspección de túnel, deshabilite este privilegio.
Cancelación de Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
aplicación administrador vea, añada y/o elimine reglas
de política de cancelación de aplicación.
Establezca el privilegio como de solo lectura
si desea que el administrador pueda ver las
reglas, pero no modificarlas. Para impedir
que el administrador vea la base de reglas de
cancelación de aplicación, deshabilite este
privilegio.
Autenticación Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
de política de autenticación. Establezca
pero no modificarlas. Para impedir que
el administrador vea la base de reglas de
autenticación, deshabilite este privilegio.
Protección DoS Habilite este privilegio para permitir que el Yes (sí) Yes (sí) Yes (sí)
administrador vea, añada y/o elimine reglas de
protección DoS. Establezca el privilegio como

lectura
pueda ver las reglas, pero no modificarlas.
Para impedir que el administrador vea la base
de reglas de protección DoS, deshabilite este
privilegio.
Acceso detallado a la pestaña Objetos

Un objeto es un contenedor que agrupa valores de filtros de políticas específicos (como direcciones IP,
URL, aplicaciones o servicios) para una definición de reglas simplificada. Por ejemplo, un objeto de dirección
puede contener definiciones de direcciones IP específicas para servidores web y de aplicaciones en su zona
DMZ.
Al decidir si desea permitir el acceso a la pestaña de objetos en su totalidad, determine si el administrador
tendrá responsabilidades de definición de políticas. Si no, probablemente el administrador no necesite
acceder a la pestaña. Sin embargo, si el administrador necesitara crear políticas, podrá habilitar el acceso a la
pestaña y, a continuación, otorgar privilegios de acceso detallados a nivel del nodo.
Al habilitar el acceso a un nodo específico, usted otorga al administrador el privilegio de ver, añadir
y eliminar el tipo de objeto correspondiente. Al otorgar un acceso de solo lectura, permitirá que el
administrador vea los objetos ya definidos, pero no podrá crear o eliminar ninguno. Al deshabilitar un nodo,
impide que el administrador vea el nodo en la interfaz web.

lectura
Direcciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de direcciones para su uso
en una política de seguridad.
Grupos de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
direcciones o eliminar objetos de grupos de direcciones
para su uso en una política de seguridad.
Regiones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de regiones para su uso en
una política de seguridad, de descifrado o DoS.
Aplicaciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de aplicaciones para su uso
en una política.
Grupos de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
aplicaciones o eliminar objetos de grupo de aplicaciones
para su uso en una política.
Filtros de Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
aplicación añadir o eliminar filtros de aplicación para la
simplificación de búsquedas repetidas.
Servicios Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de servicio para su uso en

lectura
la creación de reglas de políticas que limiten
los números de puertos que puede utilizar una
aplicación.
Grupos de servicios Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos de grupos de servicio para
su uso en una política de seguridad.
Etiquetas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar etiquetas que se hayan definido en
el cortafuegos.
GlobalProtect Especifica si el administrador puede ver, Yes (sí) No Yes (sí)

añadir o eliminar objetos y perfiles HIP. Puede
restringir el acceso a ambos tipos de objetos a
nivel de GlobalProtect, o bien proporcionar un
control más detallado habilitando el privilegio
GlobalProtect y restringiendo el acceso a
objetos HIP o perfiles HIP.
Objetos HIP Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar objetos HIP, que se utilizan para
definir perfiles HIP. Los objetos HIP también
generan logs de coincidencias HIP.
Aplicaciones sin Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
cliente añadir, modificar o eliminar aplicaciones de
VPN sin cliente de GlobalProtect.
Grupos de Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
aplicaciones sin ver, añadir, modificar o eliminar grupos
cliente de aplicaciones de VPN sin cliente de
GlobalProtect.
Perfiles de HIP Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles HIP para su uso en una
política de seguridad y/o para generar logs de
coincidencias HIP.
Listas dinámicas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
externas o eliminar listas de bloqueos dinámicos para su
uso en una política de seguridad.
Objetos Especifica si el administrador puede ver Yes (sí) No Yes (sí)

personalizados las firmas personalizadas de spyware y
vulnerabilidad. Puede restringir el acceso
para habilitar o deshabilitar el acceso a
todas las firmas personalizadas a este
nivel, o bien proporcionar un control más
detallado habilitando el privilegio Objetos

lectura
personalizados y, a continuación, restringiendo
el acceso a cada tipo de firma.
Patrones de datos Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar firmas de patrones de datos
personalizadas para su uso en la creación de
perfiles de protección contra vulnerabilidades
personalizados.
Spyware Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
ver, añadir o eliminar firmas de spyware
perfiles personalizados de protección contra
vulnerabilidades.
Vulnerabilidad Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar firmas de vulnerabilidad
perfiles personalizados de protección contra
vulnerabilidades.
Categoría de URL Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar categorías de URL personalizadas
para su uso en una política.
Perfiles de Especifica si el administrador puede ver Yes (sí) No Yes (sí)

seguridad perfiles de seguridad. Puede restringir el
acceso para habilitar o deshabilitar el acceso
a todos los perfiles de seguridad a este nivel,
o bien proporcionar un control más detallado
habilitando el privilegio Perfiles de seguridad
y, a continuación, restringiendo el acceso a
cada tipo de perfil.
Antivirus Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de antivirus.
Antispyware Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de antivirus.
Protección contra Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
vulnerabilidades añadir o eliminar perfiles de protección contra
vulnerabilidades.
Filtrado de URL Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de filtrado de URL.
Bloqueo de archivo Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de bloqueo de archivos.

lectura
Análisis de Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
WildFire o eliminar perfiles de análisis de WildFire.
Filtrado de datos Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de filtrado de datos.
Protección DoS Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de protección DoS.
Grupos de perfiles Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
de seguridad o eliminar grupos de perfiles de seguridad.
Reenvío de logs Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de reenvío de logs.
Autenticación Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir o eliminar objetos de aplicación de
autenticación.
Perfil de descifrado Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar perfiles de descifrado.
Programaciones Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar programaciones para limitar una
política de seguridad a una fecha y/o intervalo
de tiempo específico.
Acceso detallado a la pestaña Red

Al decidir si desea permitir el acceso a la pestaña Network (Red) en su totalidad, determine si el
administrador tendrá responsabilidades de administración de red, incluida la administración de
GlobalProtect. Si no, probablemente el administrador no necesite acceder a la pestaña.
También puede definir el acceso a la pestaña Network (Red) a nivel de nodo. Al habilitar el acceso a un nodo
específico, usted otorga al administrador el privilegio de ver, añadir y eliminar las configuraciones de red
correspondientes. Al tener un acceso de solo lectura el administrador puede visualizar la configuración ya
definida, pero no crear ni eliminar ninguna. Al deshabilitar un nodo, impide que el administrador vea el nodo
en la interfaz web.

lectura
Interfaces Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar configuraciones de interfaces.
Zonas Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar zonas.

lectura
vlans Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar VLAN.
Cables virtuales Especifica si el administrador puede ver, añadir Yes (sí) Yes (sí) Yes (sí)
o eliminar cables virtuales.
Enrutadores Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
virtuales añadir, modificar o eliminar enrutadores
virtuales.
Túneles IPSec Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
añadir, modificar o eliminar configuraciones de
túneles de IPSec.
DHCP Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
servidor DHCP y retransmisión DHCP.
Proxy DNS Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
proxy DNS.
GlobalProtect Especifica si el administrador puede ver, añadir Yes (sí) No Yes (sí)
o modificar configuraciones de portal y puerta
de enlace de GlobalProtect. Puede deshabilitar
el acceso a las funciones de GlobalProtect por
completo, o bien puede habilitar el privilegio
GlobalProtect y, a continuación, restringir la
función a las áreas de configuración del portal
o del puerta de enlace.
Portales Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
portal de GlobalProtect.
Puertas de enlace Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
puerta de enlace de GlobalProtect.
MDM Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
servidor MDM de GlobalProtect.
Lista de bloqueo de Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
dispositivos añadir, modificar o eliminar listas de bloqueo
de dispositivos.
Aplicaciones sin Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
cliente añadir, modificar o eliminar aplicaciones de
VPN sin cliente de GlobalProtect.

lectura
Grupos de Especifica si el administrador puede Yes (sí) Yes (sí) Yes (sí)
aplicaciones sin ver, añadir, modificar o eliminar grupos
cliente de aplicaciones de VPN sin cliente de
GlobalProtect.
Políticas de calidad Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
del servicio (QoS) añadir, modificar o eliminar configuraciones de
QoS.
LLDP Especifica si el administrador puede ver, Yes (sí) Yes (sí) Yes (sí)
LLDP.
Perfiles de red Establece el estado predeterminado para Yes (sí) No Yes (sí)
habilitar o deshabilitar para todos los ajustes
de red descritos a continuación.
Criptográfico Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
de IPSec de (Perfiles de red) > GlobalProtect IPSec Crypto
GlobalProtect (Criptográfico de IPSec de GlobalProtect).
Si deshabilita este privilegio, el administrador
no podrá ver el nodo o configurar algoritmos
para la autenticación y cifrado en túneles
VPN entre una puerta de enlace y clientes de
GlobalProtect.
Si establece este privilegio como de solo
lectura, el administrador podrá ver los perfiles
de criptográficos IPSec de GlobalProtect pero
no podrá añadirlo ni editarlos.
Puertas de enlace Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
de IKE (Perfiles de red) > IKE Gateways (Puertas de
enlace de IKE). Si deshabilita este privilegio, el
administrador no verá el nodo IKE Gateways
(Puertas de enlace de IKE) ni definirá puertas
de enlace que incluyan la información de
configuración necesaria para realizar la
negociación del protocolo IKE con la puerta de
enlace del peer.
Si el estado del privilegio está establecido
como de solo lectura, podrá ver las puertas de
enlace de IKE actualmente configuradas, pero
no podrá añadir ni editar puertas de enlace.
Criptográfico de Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
IPSec (Perfiles de red) > IPSec Crypto (Criptográfico
de IPSec). Si deshabilita este privilegio, el
administrador no verá el nodo Network
Profiles (Perfiles de red) > IPSec Crypto
(Criptográfico de IPSec) ni especificará

lectura
protocolos y algoritmos para la identificación,
autenticación y cifrado en túneles de VPN
basándose en la negociación de SA de IPSec.
como de solo lectura, podrá ver la
configuración criptográfica de IPSec
actualmente establecida, pero no podrá añadir
ni editar una configuración.
Criptográfico de Controla el modo en que los dispositivos Yes (sí) Yes (sí) Yes (sí)
IKE intercambian información para garantizar
una comunicación segura. Especifique los
protocolos y algoritmos para la identificación,
autenticación y cifrado en túneles de VPN
basándose en la negociación de SA de IPSec
(IKEv1 de fase 1).
Monitor Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Supervisar) (Perfiles de red) > Monitor (Supervisar). Si
deshabilita este privilegio, el administrador
no verá el nodo Network Profiles (Perfiles de
red) > Monitor (Supervisar) ni podrá crear o
editar un perfil de supervisión que se utilice
para supervisar túneles de IPSec y supervisar
un dispositivo de siguiente salto para reglas de
reenvío basadas en políticas (PBF).
configuración de perfil de supervisión
actualmente definida, pero no podrá añadir ni
editar una configuración.
Gestión de interfaz Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > Interface Mgmt (Gestión
de interfaz). Si deshabilita este privilegio,
el administrador no verá el nodo Network
Profiles (Perfiles de red) > Interface Mgmt
(Gestión de interfaz) ni podrá especificar los
protocolos que se utilizan para gestionar el
cortafuegos.
configuración de perfil de gestión de interfaz
Protección de Controla el acceso al nodo Network Yes (sí) Yes (sí) Yes (sí)
zonas Profiles (Perfiles de red) > Zone Protection
(Protección de zona). Si deshabilita este
privilegio, el administrador no verá el nodo

lectura
Network Profiles (Perfiles de red) > Zone
Protection (Proteccion de zona) ni podrá
configurar un perfil que determine cómo
responde el cortafuegos ante ataques desde
zonas de seguridad especificadas.
configuración de perfil de protección de zona
Perfil de QoS Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > QoS. Si deshabilita este
Network Profiles (Perfiles de red) > QoS
ni podrá configurar un perfil de QoS que
determine cómo se tratan las clases de tráfico
de QoS.
configuración de perfil de QoS actualmente
definida, pero no podrá añadir ni editar una
configuración.
Perfil de LLDP Controla el acceso al nodo Network Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de red) > LLDP. Si deshabilita este
Network Profiles (Perfiles de red) > LLDP ni
podrá configurar un perfil LLDP que controle
si las interfaces del cortafuegos pueden
participar en el protocolo de detección de
nivel de enlace.
configuración de perfil de LLDP actualmente
definida, pero no podrá añadir ni editar una
configuración.
Perfil BFD Controla el acceso al nodo Network Yes (sí) Yes (sí) Yes (sí)
Profiles (Perfiles de red) > BFD Profile
(Perfil BFD). Si deshabilita este privilegio,
el administrador no verá el nodo Network
Profiles (Perfiles de red) > BFD Profile (Perfil
BFD) ni podrá configurar un perfil BFD. Un
perfil de detección de reenvío bidireccional
(Bidirectional Forwarding Detection, BFD)
le permite configurar los ajustes BFD para
aplicar a una o más rutas o protocolos de
enrutamiento. Por lo tanto, BFD detecta un

lectura
enlace erróneo o peer BFD y permite una
conmutación por error sumamente rápida.
como de solo lectura, podrá ver el perfil BFD
actualmente configurado, pero no podrá
añadir ni editar un perfil BFD.
Acceso detallado a la pestaña Dispositivo

Para definir los privilegios de acceso detallados de la pestaña Device (Dispositivo), cuando cree o edite
un perfil de función de administrador (Device [Dispositivo] > Admin Roles [Funciones de administrador]),
desplácese hacia abajo hasta el nodo Device (Dispositivo) en la pestaña WebUI (Interfaz web).

lectura
Configuración Controla el acceso al nodo Setup Yes (sí) Yes (sí) Yes (sí)
(Configuración). Si deshabilita este privilegio,
el administrador no verá el nodo Setup
(Configuración) ni tendrá acceso a información
de configuración de todo el cortafuegos, como
información de configuración de gestión,
operaciones, servicio, Content-ID, WildFire o
sesión.
configuración actual, pero no podrá realizar
ningún cambio.
Equipo de gestión Controla el acceso al nodo Management Yes (sí) Yes (sí) Yes (sí)
(Gestión). Si deshabilita este privilegio, el
administrador no podrá configurar los ajustes
tales como el nombre de host, el dominio, la
zona horaria, la autenticación, la creación de
logs e informes, las conexiones a Panorama,
el banner, los mensajes y la configuración de
complejidad de contraseña, entre otros.
ningún cambio.
Operaciones Controla el acceso a los nodos Operations Yes (sí) Yes (sí) Yes (sí)
(Operaciones) y Telemetry and Threat
Intelligence (Información de telemetría y
amenazas). Si deshabilita este privilegio, el
administrador no podrá realizar las siguientes
tareas:

lectura
• Cargar configuraciones de cortafuegos.
• Guarde o restaure la configuración del
cortafuegos.
Este privilegio solo se

aplica a las opciones
Device (Dispositivo) >
Operations (Operaciones).
Los privilegios Save
(Guardar) y Commit
(Confirmar) controlan si
el administrador puede
guardar o restaurar las
configuraciones con
las opciones Config
(Configuración) > Save
(Guardar) y Config
(Configuración) > Revert
(Restaurar).
• Crear grupos personalizados.
• Configurar la supervisión de SNMP de la
• Configurar la función de servicio de
estadísticas.
• Realizar la configuración de Telemetry
and Threat Intelligence (Inteligencia de
telemetría y amenazas).
Solo los administradores con la función de
superusuario predefinida pueden exportar o
importar configuraciones de cortafuegos y
apagar el cortafuegos.
Solo los administradores con función de
superusuario o administrador de dispositivo
predefinida pueden reiniciar el cortafuegos o
reiniciar el plano de datos.
Los administradores con una función que
permite acceder solo a sistemas virtuales
específicos no pueden cargar, guardar o
restaurar la configuración del cortafuegos
con las opciones Device (Dispositivo) >
Operations (Operaciones).
Services Controla el acceso al nodo Services (Servicios). Yes (sí) Yes (sí) Yes (sí)
no podrá configurar servicios para los
servidores DNS, un servidor de actualización,
un servidor proxy o servidores NTP, ni
configurar rutas de servicio.

lectura
ningún cambio.
Content-ID Controla el acceso al nodo Content-ID. Si Yes (sí) Yes (sí) Yes (sí)
deshabilita este privilegio, el administrador no
podrá configurar el filtrado URL o Content-ID.
ningún cambio.
WildFire Controla el acceso al nodo WildFire. Si Yes (sí) Yes (sí) Yes (sí)
podrá configurar los ajustes de WildFire.
ningún cambio.
Sesión Controla el acceso al nodo Session (Sesión). Yes (sí) Yes (sí) Yes (sí)
no podrá configurar los ajustes de sesión ni
los tiempos de espera para TCP, UDP o ICMP,
ni configurar el cifrado o los ajustes de sesión
VPN.
ningún cambio.
HSM Controla el acceso al nodo HSM. Si deshabilita Yes (sí) Yes (sí) Yes (sí)
este privilegio, el administrador no podrá
configurar un módulo de seguridad de
hardware.
ningún cambio.
High Availability Controla el acceso al nodo High Availability Yes (sí) Yes (sí) Yes (sí)
(Alta disponibilidad). Si deshabilita este
High Availability (Alta disponibilidad) ni tendrá
acceso a información de configuración de
alta disponibilidad de todo el cortafuegos,
como información de configuración general o
supervisión de enlaces y rutas.

lectura
Si establece este privilegio como de
solo lectura, el administrador podrá ver
información de configuración de alta
disponibilidad del cortafuegos, pero no tendrá
permiso para realizar ningún procedimiento de
configuración.
Auditoría de Controla el acceso al nodo Config Audit Yes (sí) No Yes (sí)
configuraciones (Auditoría de configuraciones). Si deshabilita
este privilegio, el administrador no verá
el nodo Config Audit (Auditoría de
configuraciones) ni tendrá acceso a la
información de configuración de todo el
cortafuegos.
Administradores Controla el acceso al nodo Administrators No Yes (sí) Yes (sí)

(Administradores). Esta función solo puede
permitirse para acceso a solo lectura.
no verá el nodo Administrators
(Administradores) ni tendrá acceso a
información sobre su propia cuenta de
administrador.
lectura, el administrador podrá ver la
información de configuración de su propia
cuenta de administrador. No verá información
sobre las cuentas de otros administradores
configuradas en el cortafuegos.
Funciones de Controla el acceso al nodo Funciones de No Yes (sí) Yes (sí)

gestor gestor. Esta función solo puede permitirse
para acceso a solo lectura.
no verá el nodo Admin Roles (Funciones
de administrador) ni tendrá acceso a la
información de todo el cortafuegos sobre
la configuración de perfiles de función de
administrador.
solo lectura, podrá ver la información de
configuración de todas las funciones de
administrador configuradas en el dispositivo.
Perfil de Controla el acceso al nodo Authentication Yes (sí) Yes (sí) Yes (sí)
autenticación Profile (Perfil de autenticación). Si
no verá el nodo Authentication Profile
(Perfil de autenticación) ni podrá crear
o editar perfiles de autenticación que

lectura
especifiquen la configuración de autenticación
RADIUS, TACACS+, LDAP, Kerberos o
SAML, autenticación multifactor (MFA), o
autenticación de la base de datos local. PAN-
OS utiliza perfiles de autenticación para
autenticar administradores del cortafuegos
y usuarios finales del portal cautivo o
GlobalProtect.
información de Authentication Profile (Perfil
de autenticación), pero no podrá crear ni
editar perfiles de autenticación.
Secuencia de Controla el acceso al nodo Secuencia de Yes (sí) Yes (sí) Yes (sí)
autenticación autenticación. Si deshabilita este privilegio,
el administrador no verá el nodo Secuencia
de autenticación ni podrá crear o editar una
secuencia de autenticación.
información de Authentication Profile (Perfil
de autenticación), pero no podrá crear ni
editar una secuencia de autenticación.
Virtual Systems Controla el acceso al nodo Virtual Systems Yes (sí) Yes (sí) Yes (sí)
(Sistemas virtuales). Si deshabilita este
privilegio, el administrador no verá ni podrá
configurar sistemas virtuales.
como de solo lectura, podrá ver los sistemas
virtuales actualmente configurados, pero no
podrá añadir ni editar una configuración.
Puertas de enlace Controla el acceso al nodo Shared Gateways Yes (sí) Yes (sí) Yes (sí)
compartidas (Puertas de enlace compartidas). Las puertas
de enlace compartidas permiten que los
sistemas virtuales compartan una interfaz
común para las comunicaciones externas.
no verá ni podrá configurar puertas de enlace
compartidas.
como de solo lectura, podrá ver las puertas
de enlace compartidos actualmente
configurados, pero no podrá añadir ni editar
una configuración.

lectura
Identificación de Controla el acceso al nodo Identificación Yes (sí) Yes (sí) Yes (sí)
usuarios de usuarios. Si deshabilita este privilegio,
el administrador no verá el nodo User
Identification (Identificación de usuario)
ni tendrá acceso a la información de
configuración de identificación de usuarios
de todo el cortafuegos, como asignación de
usuario, seguridad de conexión, agentes de
User-ID, agentes de servicios de terminal,
configuración de asignación de grupo o
configuración de portal cautivo.
información de configuración del cortafuegos,
pero no tendrá permiso para realizar ningún
procedimiento de configuración.
Origen de Controla el acceso al nodo VM Information Yes (sí) Yes (sí) Yes (sí)
información de VM Source (Origen de información de VM) que
le permite configurar el agente de User-ID
de Windows/cortafuegos que recopilará
el inventario de VM automáticamente. Si
verá el nodo VM Information Source (Origen
de información de VM).
lectura, el administrador podrá ver los orígenes
de información de VM configurados, pero no
podrá añadir, editar ni eliminar ningún origen.
Este privilegio no está

disponible para los
administradores Grupo de
dispositivos y plantilla.
Gestión de Establece el estado predeterminado para Yes (sí) No Yes (sí)

certificados habilitar o deshabilitar para todos los ajustes
de certificados descritos a continuación.
Certificados Controla el acceso al nodo Certificates Yes (sí) Yes (sí) Yes (sí)
(Certificados). Si deshabilita este privilegio,
el administrador no verá el nodo Certificates
(Certificados) ni podrá configurar o acceder
a información relativa a certificados de
dispositivos o entidades de certificación de
confianza predeterminadas.
información de configuración de certificados

lectura
para el cortafuegos, pero no tendrá permiso
para realizar ningún procedimiento de
configuración.
Perfil del Controla el acceso al nodo Certificate Profile Yes (sí) Yes (sí) Yes (sí)
certificado (Perfil del certificado). Si deshabilita este
Certificate Profile (Perfil del certificado) ni
podrá crear perfiles del certificado.
lectura, el administrador podrá ver perfiles
del certificado actualmente configurados para
el cortafuegos, pero no tendrá permiso para
crear o editar un perfil del certificado.
OCSP responder Controla el acceso al nodo OCSP responder. Si Yes (sí) Yes (sí) Yes (sí)
verá el nodo OCSP responder (Respondedor
OCSP) ni podrá definir un servidor que
se utilizará para comprobar el estado de
revocación de los certificados emitidos por el
cortafuegos.
la configuración de OCSP Responder
(Respondedor OCSP) del cortafuegos, pero
no tendrá permiso para crear o editar una
configuración de respondedor OCSP.
Perfil de servicio Controla el acceso al nodo SSL/TLS Service Yes (sí) Yes (sí) Yes (sí)
SSL/TLS Profile (Perfil de servicio SSL/TLS).
no verá el nodo o configurará un perfil que
especifica una versión o rango de versiones de
protocolo y un certificado para los servicios de
cortafuego que usen SSL/TLS.
de servicio SSL/TLS existentes, pero no puede
crearlos ni editarlos.
SCEP Controla el acceso al nodo SCEP. Si deshabilita Yes (sí) Yes (sí) Yes (sí)
este privilegio, el administrador no verá el
nodo ni podrá definir un perfil que especifique
los ajustes de protocolo de inscripción
de certificados simple (simple certificate
enrollment protocol, SCEP) para emitir
certificados de dispositivo únicos.

lectura
de SCEP existentes, pero no puede crearlos ni
editarlos.
Exclusión de Controla el acceso al nodo SSL Decryption Yes (sí) Yes (sí) Yes (sí)
descifrado SSL Exclusion (Exclusiones de descifrado SSL). Si
no verá el nodo ni podrá ver las exclusiones
personalizadas de adición de cifrado SSL.
lectura, el administrador verá las excepciones
de cifrado SSL existentes, pero no podrá
crearlas ni editarlas.
Páginas de Controla el acceso al nodo Response Pages Yes (sí) Yes (sí) Yes (sí)
respuesta (Páginas de respuesta). Si deshabilita este
Response Page (Páginas de respuesta) ni
podrá definir un mensaje HTML personalizado
que se descarga y se visualiza en lugar de una
página web o archivo solicitado.
configuración de Response Page (Página de
respuesta) del cortafuegos, pero no tendrá
permiso para crear o editar la configuración de
una página de respuesta.
Configuración de Establece el estado predeterminado para Yes (sí) No Yes (sí)

log habilitar o deshabilitar para todos los ajustes
de log descritos a continuación.
Sistema Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > System (Sistema). Si
podrá ver el nodo Log Settings (Configuración
de log) > System (Sistema) ni especificar los
logs del sistema que el cortafuegos reenvía a
Panorama o a los servicios externos (como un
servidor syslog).
configuración de Log Settings (Configuración
de log) > System (Sistema) del cortafuegos,
pero no tendrá permiso para agregar, editar o
eliminar la configuración.
Configuración Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Configuration

lectura
(Configuración). Si deshabilita este privilegio,
el administrador no podrá ver el nodo
Log Settings (Configuración de log) >
Configuration (Configuración) ni especificar
los logs de configuración que el cortafuegos
reenvía a Panorama o a los servicios externos
(como un servidor syslog).
de log) > Configuration (Configuración) del
cortafuegos, pero no tendrá permiso para
agregar, editar o eliminar la configuración.
User-ID Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > User-ID. Si
podrá ver el nodo Log Settings (Configuración
de log) > User-ID ni especificar los logs
de User-ID que el cortafuegos reenvía a
Panorama o a los servicios externos (como un
servidor syslog).
de log) > User-ID del cortafuegos, pero no
tendrá permiso para agregar, editar o eliminar
la configuración.
Coincidencias HIP Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > HIP Match
(Coincidencias HIP). Si deshabilita este
privilegio, el administrador no podrá ver
el nodo Log Settings (Configuración de
log) > HIP Match (Coincidencias HIP) ni
especificar el perfil de información de host
(Host Information Profile, HIP) que coincide
con los logs que el cortafuegos reenvía a
Panorama o a los servicios externos (como
un servidor syslog). Los logs de coincidencia
HIP brindan información sobre las reglas de
la política de seguridad que se aplican a los
clientes de GlobalProtect
de log) > HIP del cortafuegos, pero no tendrá
permiso para agregar, editar o eliminar la
configuración.

lectura
Correlación Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Correlation
(Correlación). Si deshabilita este privilegio,
el administrador no podrá ver el nodo Log
Settings (Configuración de log) > Correlation
(Correlación) ni agregar, eliminar o modificar
la configuración de reenvío de logs de
correlación, o etiquetar direcciones IP de
origen o de destino.
de log) > Correlation (Correlación) del
cortafuegos, pero no tendrá permiso para
agregar, editar o eliminar la configuración.
Configuración de Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
alarma (Configuración de log) > Alarm Settings
(Configuración de alarma). Si deshabilita
este privilegio, el administrador no podrá
ver el nodo Log Settings (Configuración
de log) > Alarm Settings (Configuración de
alarma) ni configurar las notificaciones que
genera el cortafuegos cuando se encuentran
coincidencias con una regla (o un grupo de
reglas) de la política de seguridad de manera
repetida dentro de un período de tiempo
configurable.
de log) > Alarm Settings (Configuración
de alarma) del cortafuegos, pero no tendrá
permiso para editar la configuración.
Gestionar logs Controla el acceso al nodo Log Settings Yes (sí) Yes (sí) Yes (sí)
(Configuración de log) > Manage Logs
(Gestionar logs). Si deshabilita este privilegio,
el administrador no verá el nodo Log Settings
(Configuración de log) > Manage Logs
(Gestionar logs) ni podrá borrar los logs
indicados.
información de Log Settings (Configuración de
log) > Manage Logs (Gestionar logs), pero no
podrá borrar ninguno de los logs.

lectura
Perfiles de Establece el estado predeterminado para Yes (sí) No Yes (sí)

servidores habilitar o deshabilitar para todos los
ajustes de perfiles de servidor descritos a
continuación.
Captura de SNMP Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > SNMP Trap (Captura
de SNMP). Si deshabilita este privilegio, el
administrador no verá el nodo Server Profiles
(Perfiles de servidor) > SNMP Trap (Captura
de SNMP) ni podrá especificar uno o más
destinos de la captura de SNMP que deben
utilizarse en las entradas de log del sistema.
Si define este privilegio como de solo lectura,
el administrador podrá ver la información de
Server Profiles (Perfiles de servidor) > SNMP
Trap Logs (Logs de captura de SNMP), pero no
podrá especificar los destinos de la captura de
SNMP.
syslog Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Syslog. Si deshabilita
nodo Server Profiles (Perfiles de servidor) >
Syslog ni podrá especificar uno o más
servidores syslog.
Server Profiles (Perfiles de servidor) > Syslog,
pero no podrá especificar los servidores
syslog.
EMAIL Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Email (Correo
electrónico). Si deshabilita este privilegio,
el administrador no verá el nodo Server
Profiles (Perfiles de servidor) > Email (Correo
electrónico) ni podrá configurar un perfil
de correo electrónico que pueda utilizarse
para habilitar las notificaciones de correo
electrónico para las entradas de log del
sistema y la configuración.
información de Server Profiles (Perfiles
de servidor) > Email (Correo electrónico),
pero no podrá configurar un perfil de correo
electrónico.

lectura
HTTP Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > HTTP. Si deshabilita
HTTP ni podrá configurar un perfil de servidor
HTTP que pueda utilizarse para habilitar los
logs que reenvían entradas de log a destinos
HTTP.
información de Server Profiles (Perfiles de
servidor) > HTTP, pero no podrá configurar un
perfil de servidor HTTP.
flujo de red Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Netflow. Si deshabilita
Netflow ni podrá definir un perfil de servidor
de NetFlow, que especifica la frecuencia
de la exportación, además de los servidores
NetFlow que recibirán los datos exportados.
el administrador podrá ver la información
de Server Profiles (Perfiles de servidor) >
Netflow, pero no podrá definir un perfil de
Netflow.
RADIUS Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > RADIUS. Si deshabilita
RADIUS ni podrá configurar los servidores
RADIUS que se identifican en perfiles de
autenticación.
el administrador podrá ver la información
de Server Profiles (Perfiles de servidor) >
RADIUS, pero no podrá configurar los
servidores RADIUS.
TACACS+ Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > TACACS+.
no verá el nodo ni podrá configurar los
ajustes para los servidores TACACS+ a los
que se hace referencia en los perfiles de
autenticación.

lectura
de servidor TACACS+ existentes, pero no
puede añadirlos ni editarlos.
LDAP: Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > LDAP. Si deshabilita
LDAP ni podrá configurar los servidores LDAP
que se utilizarán para la autenticación con los
perfiles de autenticación.
el administrador verá la información de Server
Profiles (Perfiles de servidor) > LDAP, pero no
podrá configurar los servidores LDAP.
Kerberos Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
(Perfiles de servidor) > Kerberos. Si
no verá el nodo Server Profiles (Perfiles de
servidor) > Kerberos ni podrá configurar
un servidor Kerberos que permite a los
usuarios autenticarse de manera nativa en un
controlador de dominios.
el administrador podrá ver Server Profiles
(Perfiles de servidor) > Kerberos, pero no
podrá configurar los servidores Kerberos.
Proveedor de Controla el acceso al nodo Server Profiles Yes (sí) Yes (sí) Yes (sí)
identidad SAML (Perfiles de servidor) > SAML Identity
Provider (Proveedor de identidad SAML). Si
desactiva este privilegio, el administrador no
podrá ver el nodo ni configurar los perfiles
de servidor del proveedor de identidad (IdP)
SAML.
de servidor) > SAML Identity Provider
(Proveedor de identidad SAML), pero no
podrá configurar los perfiles de servidor del
IdP SAML.
Autenticación de Controla el acceso al nodo Server Profiles

múltiples factores (Perfiles de servidor) > Multi Factor
Authentication (Autenticación multifactor). Si
desactiva este privilegio, el administrador no

lectura
podrá ver el nodo ni configurar los perfiles de
servidor de autenticación multifactor (MFA).
de servidor) > SAML Identity Provider
(Proveedor de identidad SAML), pero no
podrá configurar los perfiles de servidor de
MFA.
Base de datos de Establece el estado predeterminado para Yes (sí) No Yes (sí)
usuario local habilitar o deshabilitar para todos los ajustes
de base de datos de usuario local descritos a
continuación.
Usuarios Controla el acceso al nodo Local User Yes (sí) Yes (sí) Yes (sí)
Database (Base de datos de usuario local) >
Users (Usuarios). Si deshabilita este privilegio,
el administrador no verá el nodo Local User
Users (Usuarios) ni configurará una base de
datos local en el cortafuegos para almacenar
información de autenticación para usuarios
con acceso remoto, administradores de
cortafuegos y usuarios del portal cautivo.
información de Local User Database (Base
de datos de usuario local) > Users (Usuarios),
pero no podrá configurar una base de datos
local en el cortafuegos para almacenar
información de autenticación.
Grupos de usuarios Controla el acceso al nodo Local User Yes (sí) Yes (sí) Yes (sí)
Users (Usuarios). Si deshabilita este privilegio,
el administrador no verá el nodo Local User
Users (Usuarios) ni podrá añadir información
de grupos de usuarios a la base de datos local.
información de Local User Database (Base
de datos de usuario local) > Users (Usuarios),
pero no podrá añadir información de grupos
de usuarios a la base de datos local.
Dominio de acceso Controla el acceso al nodo Access Domain Yes (sí) Yes (sí) Yes (sí)
(Dominio de acceso). Si desactiva este

lectura
Access Domain (Dominio de acceso) ni crear o
editar un dominio de acceso.
Access Domain (Dominio de acceso), pero no
se puede crear ni editar un dominio de acceso.
Programación de la Controla el acceso al nodo Scheduled Log Yes (sí) No Yes (sí)
exportación de logs Export (Exportación de logs programada). Si
no verá el nodo Scheduled Log Export
(Exportación de logs programada) ni podrá
programar exportaciones de logs y guardarlas
en un servidor de protocolo de transferencia
de archivos (File Transfer Protocol, FTP) en
formato CSV o utilizar copias seguras (Secure
Copy, SCP) para transferir datos de forma
segura entre el cortafuegos y un host remoto.
información de Scheduled Log Export Profile
(Perfil de programación de la exportación de
logs), pero no podrá programar la exportación
de logs.
Software Controla el acceso al nodo Software. Si Yes (sí) Yes (sí) Yes (sí)
no verá el nodo Software, no verá las
versiones más recientes del software PAN-
OS disponibles desde Palo Alto Networks, no
leerá las notas de cada versión ni seleccionará
una versión para su descarga e instalación.
información de Software, pero no podrá
descargar ni instalar software.
Cliente de Controla el acceso al nodo Cliente de Yes (sí) Yes (sí) Yes (sí)
GlobalProtect GlobalProtect. Si deshabilita este privilegio,
el administrador no verá el nodo Cliente
de GlobalProtect, no verá las versiones de
GlobalProtect disponibles, no descargará el
código ni activará el agente de GlobalProtect.
lectura, el administrador podrá ver las
versiones de GlobalProtect Client (Clientes
de GlobalProtect) disponibles, pero no podrá
descargar ni instalar el software de agente.

lectura
Actualizaciones Controla el acceso al nodo Dynamic Updates Yes (sí) Yes (sí) Yes (sí)
dinámicas (Actualizaciones dinámicas). Si deshabilita este
Dynamic Updates (Actualizaciones dinámicas),
no podrá ver las actualizaciones más recientes,
no podrá leer las notas de versión de cada
actualización ni podrá seleccionar una
actualización para su carga e instalación.
solo lectura, el administrador podrá
ver las versiones de Dynamic Updates
(Actualizaciones dinámicas) disponibles y leer
las notas de versión, pero no podrá cargar ni
instalar el software.
Licencias Controla el acceso al nodo Licenses Yes (sí) Yes (sí) Yes (sí)
(Licencias). Si deshabilita este privilegio,
el administrador no verá el nodo Licenses
(Licencias) ni podrá ver las licencias instaladas
o las licencias activas.
lectura, el administrador podrá ver las Licenses
(Licencias) instaladas, pero no podrá realizar
funciones de gestión de licencias.
Soporte Controla el acceso al nodo Support (Asistencia Yes (sí) Yes (sí) Yes (sí)
técnica). Si deshabilita este privilegio, el
administrador no podrá ver el nodo Support
(Asistencia técnica), activar la asistencia
ni acceder a las alertas de producción y
seguridad de Palo Alto Networks.
lectura, el administrador podrá ver el nodo
Support (Asistencia técnica) y acceder a
alertas de producción y seguridad, pero no
podrá activar la asistencia técnica.
Solo los administradores con la función de
superusuario predefinida pueden utilizar
el nodo Support (Asistencia técnica) para
generar archivos de asistencia técnica, o
generar y descargar archivos de volcado de
estadísticas y de núcleo.
Clave maestra y Controla el acceso al nodo Master Key and Yes (sí) Yes (sí) Yes (sí)
diagnóstico Diagnostics (Clave maestra y diagnóstico). Si
no verá el nodo Master Key and Diagnostics
(Clave maestra y diagnóstico) ni podrá

lectura
especificar una clave maestra para cifrar claves
privadas en el cortafuegos.
lectura, el administrador podrá ver el nodo
Master Key and Diagnostics (Clave maestra
y diagnóstico) y ver información sobre claves
maestras que se han especificado, pero no
podrá añadir ni editar una nueva configuración
de clave maestra.
Definición de ajustes de privacidad de usuario en el perfil de función de

administrador
Para definir los datos privados de usuario final a los que tendrá acceso un administrador, cuando cree
o edite un perfil de función de administrador (Device [Dispositivo] > Admin Roles [Funciones de
administrador]), desplácese hacia abajo hasta la opción Privacy (Privacidad) en la pestaña WebUI (Interfaz
web).

lectura
Privacidad Establece el estado predeterminado para Yes (sí) n/c Yes (sí)
de privacidad descritos a continuación.
Mostrar Cuando la opción está deshabilitada, las Yes (sí) n/c Yes (sí)
direcciones IP direcciones IP completas obtenidas a través
completas del tráfico que pasa por el cortafuegos de
Palo Alto Networks no se muestran en logs
ni informes. En lugar de las direcciones IP
que suelen mostrarse, aparecerá la subred
relevante.
Los informes programados

que se muestran en la
interfaz mediante Monitor
(Supervisar) > Reports
(Informes) y los informes
que se envían a través
de correos electrónicos
programados seguirán
mostrando direcciones IP
completas. Debido a esta
excepción, recomendamos
deshabilitar los siguientes
ajustes en la pestaña Monitor
(Supervisar): Informes
personalizados, Informes
de aplicación, Informes de

lectura
amenazas, Informes de filtrado
de URL, Informes de tráfico
y Programador de correo
electrónico.
Visualización de Cuando la opción está deshabilitada, los Yes (sí) n/c Yes (sí)
los nombres de nombres de usuario obtenidos a través del
usuario en los logs tráfico que pasa por el cortafuegos de Palo
e informes Alto Networks no se muestran en logs ni
informes. Las columnas donde normalmente
aparecerían los nombres de usuario están
vacías.
Los informes programados

que se muestran en la
interfaz mediante Monitor
(Supervisar) > Reports
(Informes) o los informes
que se envían mediante
el programador de correo
electrónico seguirán
mostrando nombres de
usuario. Debido a esta
excepción, recomendamos
deshabilitar los siguientes
ajustes en la pestaña
Supervisar: Informes
personalizados, Informes
de aplicación, Informes de
amenazas, Informes de filtrado
de URL, Informes de tráfico
y Programador de correo
electrónico.
Ver archivos PCAP Cuando la opción está deshabilitada, los Yes (sí) n/c Yes (sí)
archivos de captura de paquetes que suelen
estar disponibles en los logs de tráfico,
amenaza y filtrado de datos no se muestran.
Restricción del acceso de administrador a funciones de confirmación y

validación
Para restringir el acceso con el fin de confirmar (y anular), guardar y validar las funciones cuando crea
o edita un perfil de función de administrador (Device [Dispositivo] > Admin Roles [Funciones de
administrador]), desplácese hacia abajo hasta las opciones Commit (Confirmar), Save (Guardar) y Validate
(Validar) en la pestaña WebUI (Interfaz web).

lectura
Confirmar Establece el estado predeterminado en Yes (sí) N/C Yes (sí)

habilitado o deshabilitado para todos los
privilegios de confirmación y restauración que
se describen a continuación.
Dispositivo Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)

administrador no puede confirmar o restaurar
cambios que cualquier administrador haya
realizado en la configuración del cortafuegos,
lo que incluye sus propios cambios.
Compilar Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)

para otros administrador no puede confirmar o restaurar
administradores cambios que otros administradores hayan
realizado en la configuración del cortafuegos.
Guardar Establece el estado predeterminado en Yes (sí) N/C Yes (sí)

habilitado o deshabilitado para todos los
privilegios de guardado de operación que se
describen a continuación.
Guardado parcial Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)
administrador no puede guardar cambios que
cualquier administrador haya realizado en la
configuración del cortafuegos, lo que incluye
sus propios cambios.
Guardar para otros Cuando se encuentra deshabilitado, un Yes (sí) N/C Yes (sí)
administradores administrador no puede guardar cambios que
otros administradores hayan realizado en la
Validar Cuando la opción está deshabilitada, Yes (sí) N/C Yes (sí)
un administrador no puede validar una
configuración.
Acceso detallado a ajustes globales

Para definir la configuración global a la que tendrá acceso un administrador, cuando cree o edite un perfil
de función de administrador (Device [Dispositivo] > Admin Roles [Funciones de administrador]), desplácese
hacia abajo hasta la opción Privacy (Privacidad) en la pestaña WebUI (Interfaz web).

lectura
Global Establece el estado predeterminado para Yes (sí) n/c Yes (sí)
globales descritos a continuación. En este

lectura
momento, este ajuste solamente es efectivo
para Alarmas del sistema.
Alarmas del Cuando la opción está deshabilitada, un Yes (sí) n/c Yes (sí)
sistema administrador no puede ver ni reconocer
alarmas que se generen.
Concesión de acceso granular a la pestaña Panorama

La siguiente tabla muestra los niveles de acceso de pestaña Panorama y las funciones de administrador
Panorama personalizado para los que están disponibles. Los administradores del cortafuegos no pueden
acceder a ninguno de esos privilegios.
Nivel de Descripción Disponibilidad de la Habilitar Solo Deshabilitar

Configuración Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver o editar la información (sí) (sí) (sí)
Plantilla/grupo de
de configuración de Panorama,
dispositivos: No
incluida la información de
Management (Gestión),
Operations (Operaciones) y
Telemetry (Telemetría), Services
(Servicios), Content-ID, WildFire,
sesión o HSM.
Si este privilegio:
• se define como de solo lectura,
el administrador puede ver la
información pero no editarla.
• se deshabilita, el administrador
no podrá ver ni editar la
información.
Alta Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

disponibilidad puede ver y gestionar los ajustes (sí) (sí) (sí)
Plantilla/grupo de
de alta disponibilidad (HA) para el
dispositivos: No
servidor de gestión de Panorama.
Si define este privilegio como
de solo lectura, el administrador
puede ver la información de
configuración de HA para el
servidor de gestión de Panorama
pero no puede gestionar la
configuración.
Si deshabilita este privilegio,
el administrador no podrá
ver ni gestionar los ajustes de

configuración de HA para el
servidor de gestión de Panorama.
Auditoría de Especifica si el administrador Panorama: Yes (sí) Yes No Yes

configuraciones puede ejecutar las auditorías (sí) (sí)
Plantilla/grupo de
de configuración de Panorama.
dispositivos: No
Si deshabilita este privilegio, el
administrador no podrá ejecutar
las auditorías de configuración de
Panorama.
AdministradoresEspecifica si el administrador Panorama: Yes (sí) No Yes Yes

puede ver los detalles de la cuenta (sí) (sí)
Plantilla/grupo de
de administrador de Panorama.
dispositivos: No
completo a esta función: solo un
acceso de solo lectura. (Solo los
administradores con Panorama
con una función dinámica
pueden añadir, editar o eliminar
administradores de Panorama.)
Con un acceso de solo lectura,
el administrador puede ver la
información sobre su cuenta,
pero ninguna otra cuenta de
administrador de Panorama.
el administrador no puede ver
información sobre ninguna cuenta
de administrador de Panorama,
incluyendo la suya propia.
Funciones de Especifica si el administrador Panorama: Yes (sí) No Yes Yes

administrador puede ver las funciones de (sí) (sí)
Plantilla/grupo de
dispositivos: No
completo a esta función: solo un
acceso de solo lectura. (Solo los
administradores con Panorama
con una función dinámica pueden
añadir, editar o eliminar funciones
personalizadas de Panorama.)
Con un acceso de solo lectura,
el administrador puede ver
configuraciones de función de
administrador de Panorama, pero
no puede configurarlas.
el administrador no podrá ver

ni gestionar las funciones de
Dominio de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

acceso puede ver, añadir, editar, eliminar (sí) (sí) (sí)
Plantilla/grupo de
o duplicar los dominios de
dispositivos: No
acceso de los administradores
de Panorama. (Este privilegio
Puede
solo controla el acceso a la
asignar
configuración de dominios
dominios
de acceso, no el acceso a los
de
contextos de cortafuegos, grupos
acceso a
de dispositivos y plantillas que se
administradores
han asignado a los dominios de
de
acceso.)
grupo de
Si define este privilegio como dispositivos
de solo lectura, el administrador y plantilla
puede ver las configuraciones de para que
dominio de acceso de Panorama, puedan
pero no gestionarlas. acceder
a los
datos de
administrador no podrá ver ni
supervisión
gestionar las configuraciones de
y
dominio de acceso de Panorama.
configuración
en los
contextos
de
cortafuegos,
grupos de
dispositivos
y plantillas
que
se han
asignado
a esos
dominios
de
acceso.
Perfil de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

autenticación puede ver, añadir, editar, (sí) (sí) (sí)
Plantilla/grupo de
eliminar o duplicar los perfiles
dispositivos: No
de autenticación de los
administradores de Panorama.
puede visualizar los perfiles de
autenticación de Panorama pero
no gestionarlos.

ni gestionar los perfiles de
autenticación de Panorama.
Secuencia de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

autenticación puede ver, añadir, editar, (sí) (sí) (sí)
Plantilla/grupo de
eliminar o duplicar las secuencias
dispositivos: No
de autenticación de los
puede visualizar las secuencias de
autenticación de Panorama pero
no gestionarlos.
ni gestionar las secuencias de
autenticación de Panorama.
Identificación Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

de usuarios puede configurar la seguridad (sí) (sí) (sí)
Plantilla/grupo de
de conexión de User-ID y ver,
dispositivos: No
añadir, editar o eliminar puntos
de redistribución de User-ID (tal
como agentes de User-ID).
Si configura este privilegio como
puede ver los ajustes de la
conexión de seguridad de User-
ID y los puntos de redistribución,
pero no puede gestionar la
configuración.
ni gestionar los ajustes de la
seguridad de conexión de User-ID
ni los puntos de redistribución.
Dispositivos Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

gestionados puede ver, añadir, editar o (sí) (sí) (sí)
Plantilla/grupo de
eliminar cortafuegos como
dispositivos: Yes (sí) (No
dispositivos gestionados, e instalar
para
actualizaciones de contenido o
las
software en ellos.
funciones
Si define este privilegio como de
de solo lectura, el administrador Grupo
puede ver los cortafuegos de
gestionados, pero no añadirlos, dispositivo

eliminarlos, etiquetarlos ni instalar y
actualizaciones. plantilla)
Si deshabilita a este privilegio,
el administrador no podrá ver,
añadir, editar, etiquetar ni eliminar
cortafuegos gestionados ni
instalarles actualizaciones.
Un administrador
con privilegios de
implementación de
dispositivo podrá
seguir usando
las opciones
Panorama >
Device
Deployment
(Implementación
de dispositivo)
para instalar
actualizaciones
en cortafuegos
gestionados.
Plantillas Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver, editar, añadir o eliminar (sí) (sí) (sí)
Plantilla/grupo de
plantillas y pilas de plantillas.
dispositivos: Yes (sí) (No
Si define este privilegio como para
de solo lectura, el administrador Los los
puede ver las configuraciones administradores administradores
de plantilla y pila, pero no de de
gestionarlas. grupo de Grupo
dispositivos de
y plantilla dispositivo
solo y
pueden plantilla)
plantilla y pila.
ver las
plantillas
y pilas
que se
encuentran
en los
dominios
de acceso
asignados
a esos
administradores.

Grupos de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

dispositivos puede ver, editar, añadir o eliminar (sí) (sí) (sí)
Plantilla/grupo de
grupos de dispositivos.
de solo lectura, el administrador Los
puede ver las configuraciones de administradores
grupo de dispositivos, pero no de
gestionarlas. grupo de
dispositivos
y plantilla
solo
pueden
grupos de dispositivos.
ver los
grupos de
dispositivos
que se
encuentran
en los
dominios
de acceso
asignados
a esos
administradores.
Recopiladores Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

gestionados puede ver, editar, añadir o eliminar (sí) (sí) (sí)
Plantilla/grupo de
recopiladores gestionados.
dispositivos: No
puede ver las configuraciones de
recopiladores gestionados, pero no
gestionarlas.
el administrador no podrá ver,
editar, añadir ni eliminar las
configuraciones de recopiladores
gestionados.
Un administrador
con privilegios de
implementación de
dispositivo podrá
seguir usando
las opciones
Panorama >
Device
Deployment
(Implementación
de dispositivo)

para instalar
actualizaciones
en recopiladores
gestionados.
Grupos de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

recopiladores puede ver, editar, añadir o eliminar (sí) (sí) (sí)
Plantilla/grupo de
grupos de recopiladores.
dispositivos: No
Si define este privilegio
como de solo lectura, el
administrador puede ver los
grupos de recopiladores, pero no
gestionarlos.
ver ni gestionar los grupos de
recopiladores.
VMware Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Service puede ver y editar ajustes de (sí) (sí) (sí)
Plantilla/grupo de
Manager VMware Service Manager.
dispositivos: No
puede ver los ajustes, pero no
realizar ningún procedimiento
operativo o de configuración
relacionado.
el administrador no puede ver
los ajustes ni realizar ningún
procedimiento operativo o de
configuración relacionado.
Gestión de Define el estado predeterminado, Panorama: Yes (sí) Yes No Yes

certificados habilitado o deshabilitado de (sí) (sí)
Plantilla/grupo de
todos los privilegios de gestión de
dispositivos: No
certificados de Panorama.
Certificados Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver, editar, generar, (sí) (sí) (sí)
Plantilla/grupo de
eliminar, revocar, renovar o
dispositivos: No
exportar certificados. Este
privilegio también especifica si el
administrador puede importar o
exportar claves HA.
puede ver los certificados de

Panorama, pero no gestionar los
certificados o las claves HA.
ni gestionar los certificados de
Panorama ni las claves HA.
Perfil del Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes
certificado puede ver, añadir, editar, (sí) (sí) (sí)
Plantilla/grupo de
eliminar o duplicar los perfiles de
dispositivos: No
certificado de Panorama, pero no
gestionarlos.
ni gestionar los perfiles de
Perfil de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

servicio SSL/ puede ver, añadir, editar, eliminar (sí) (sí) (sí)
Plantilla/grupo de
TLS o duplicar los perfiles de servicios
dispositivos: No
SSL/TLS.
servicio de SSL/TLS, pero no
gestionarlos.
gestionar los perfiles de servicio
SSL/TLS.
Configuración Define el estado predeterminado, Panorama: Yes (sí) Yes No Yes

de log habilitado o deshabilitado de todos (sí) (sí)
Plantilla/grupo de
los privilegios de ajuste de logs.
dispositivos: No
Sistema Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver y configurar los ajustes (sí) (sí) (sí)
Plantilla/grupo de
que controlan el reenvío de
dispositivos: No
los logs de sistema a servicios
externos (syslog, correo
electrónico, servidores de captura
de SNMP o servidores HTTP).

puede ver los ajustes de reenvío
de logs de sistema, pero no
gestionarlos.
gestionar los ajustes.
Este privilegio se
aplica únicamente
a los logs de
sistema que
genera Panorama
y los recopiladores
de logs. El
privilegio Collector
Groups (Grupos
de recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de sistema que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > System
(Sistema) controla
el reenvío de
logs desde los
cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de log).
Configurar Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver y configurar los (sí) (sí) (sí)
Plantilla/grupo de
ajustes que controlan el reenvío
dispositivos: No
de los logs de configuración a
servicios externos (syslog, correo

de logs de configuración, pero no
gestionarlos.
Este privilegio se
aplica únicamente
a los logs de
configuración que
genera Panorama
y los recopiladores
de logs. El
privilegio Collector
Groups (Grupos
de recopiladores)
(Panorama >
Collector Groups)
controla el reenvío
de logs de
configuración que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > Config
de logs desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
User-ID Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
dispositivos: No
los logs de User-ID a servicios
externos (syslog, correo
de logs de configuración, pero no
gestionarlos.

Este privilegio se
aplica únicamente
a los logs de User-
ID que genera
Panorama y los
recopiladores de
logs. El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de User-ID que
los recopiladores
de log reciben de
los cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración
de log) > User-ID
de logs desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
Coincidencias Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

HIP puede ver y configurar los ajustes (sí) (sí) (sí)
Plantilla/grupo de
dispositivos: No
los logs de coincidencia HIP
desde un dispositivo virtual
Panorama en modo heredado
a servicios externos (Syslog,
correo electrónico o servidores de
captura de SNMP).
de logs de coincidencia HIP, pero
no gestionarlos.

El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de coincidencia
HIP que los
recopiladores de
log reciben de los
cortafuegos. El
privilegio Device
(Dispositivo) >
Log Settings
(Configuración de
log) > HIP Match
(Coincidencia
de HIP) controla
el reenvío de
logs desde los
cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
Correlación Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
ajustes que controlan el reenvío
dispositivos: No
de los logs de correlación
desde un dispositivo virtual
Panorama en modo heredado
a servicios externos (Syslog,
correo electrónico o servidores de
captura de SNMP).
de logs de correlación, pero no
gestionarlos.

El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
de logs de
correlación desde
un dispositivo serie
M de Panorama o
dispositivo virtual
Panorama en
modo Panorama.
Tráfico Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
dispositivos: No
los logs de tráfico desde un
dispositivo virtual Panorama
en modo heredado a servicios
externos (Syslog, correo
de logs de tráfico, pero no
gestionarlos.
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups)
controla el
reenvío de logs
de tráfico que los
recopiladores de
log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log

Forwarding)
controla el
reenvío desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
Amenazas Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
dispositivos: No
los logs de amenazas desde un
de logs de amenazas, pero no
gestionarlos.
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups
[Grupos de
recopiladores])
controla el
reenvío de logs
de amenaza que
los recopiladores
de log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log
Forwarding
[Reenvío de
logs]) controla el

reenvío desde
los cortafuegos
directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
WildFire Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
dispositivos: No
los logs de WildFire desde un
de logs de WildFire, pero no
gestionarlos.
El privilegio
Collector Groups
(Grupos de
recopiladores)
(Panorama >
Collector Groups
[Grupos de
recopiladores])
controla el
reenvío de logs
de WildFire que
los recopiladores
de log reciben de
los cortafuegos.
El privilegio
Log Forwarding
(Reenvío de
logs) (Objects
[Objetos] > Log
Forwarding
[Reenvío de
logs]) controla el
reenvío desde
los cortafuegos

directamente a
servicios externos
(sin agregación en
los recopiladores
de logs).
Perfiles de Define el estado predeterminado, Panorama: Yes (sí) Yes No Yes

servidores habilitado o deshabilitado de todos (sí) (sí)
Plantilla/grupo de
los privilegios de perfil de servidor.
dispositivos: No
Estos privilegios
solo pertenecen
a los perfiles de
servidor que se
usan para reenviar
logs de Panorama
o los recopiladores
de logs, y los
perfiles de servidor
que se usan para
autenticar a los
administradores
de Panorama. Los
privilegios Device
(Dispositivo) >
Server Profiles
(Perfiles de
servidor) controlan
el acceso a los
perfiles de servidor
que se usan para
reenviar logs
directamente
desde los
cortafuegos a
servicios externos
y para autenticar
administradores de
cortafuegos.
Captura de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

SNMP puede ver y configurar perfiles de (sí) (sí) (sí)
Plantilla/grupo de
servidor de captura de SNMP.
dispositivos: No
servidor de captura de SNMP,
pero no gestionarlos.

gestionar los perfiles de servidor
de captura de SNMP.
syslog Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver y configurar perfiles de (sí) (sí) (sí)
Plantilla/grupo de
servidor Syslog.
dispositivos: No
puede visualizar los perfiles
de servidor de Syslog pero no
gestionarlos.
de Syslog.
Correo Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

electrónico puede ver y configurar perfiles de (sí) (sí) (sí)
Plantilla/grupo de
servidor de correo electrónico.
dispositivos: No
servidor de correo electrónico,
pero no gestionarlos.
de correo electrónico.
RADIUS Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
perfiles de servidor RADIUS que
dispositivos: No
se usan para autenticar a los
servidor de RADIUS, pero no
gestionarlos.
de RADIUS.
TACACS+ Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
perfiles de servidor TACACS+
dispositivos: No
que se usan para autenticar a los

administrador no verá el nodo ni
podrá configurar los ajustes para
los servidores TACACS+ a los que
se hace referencia en los perfiles
de autenticación.
Si establece este privilegio como
podrá ver los perfiles de servidor
TACACS+ existentes, pero no
puede añadirlos ni editarlos.
LDAP: Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver y configurar los perfiles (sí) (sí) (sí)
Plantilla/grupo de
de servidor LDAP que se usan para
dispositivos: No
autenticar a los administradores de
Panorama.
de servidor LDAP, pero no
gestionarlos.
LDAP.
Kerberos Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

Plantilla/grupo de
perfiles de servidor Kerberos
dispositivos: No
que se usan para autenticar a los
de servidor Kerberos, pero no
gestionarlos.
Kerberos.
Proveedor Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

de identidad puede ver y configurar los (sí) (sí) (sí)
Plantilla/grupo de
SAML perfiles de servidor de proveedor
dispositivos: No
de identidad (IdP) SAML que
se usan para autenticar a los

servidor IdP SAML, pero no
gestionarlos.
IdP SAML.
Exportación Especifica si el administrador Panorama: Yes (sí) Yes No Yes

de puede ver, añadir, editar, eliminar (sí) (sí)
Plantilla/grupo de
configuración o duplicar las exportaciones de
dispositivos: No
programada configuración programada de
Panorama.
puede visualizar las exportaciones
programadas de Panorama, pero
no gestionarlas.
ni gestionar las exportaciones
programadas.
Software Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede: ver información sobre (sí) (sí) (sí)
Plantilla/grupo de
las actualizaciones de software
dispositivos: No
instaladas en el servidor de gestión
de Panorama; descargar, cargar o
instalar actualizaciones; y ver las
notas de la versión asociadas.
puede ver información sobre
de Panorama y ver las notas
de versión asociadas, pero no
puede realizar ninguna operación
relacionada.
actualizaciones de software de
Panorama, consultar las notas
de versión asociadas ni realizar
ninguna operación relacionada.
El privilegio
Panorama

> Device
Deployment
(Implementación
de dispositivo) >
Software controla
el acceso al
software PAN-
OS implementado
en cortafuegos
y el software
Panorama
implementado en
recopiladores de
log dedicados.
Actualizaciones Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

dinámicas puede: ver información sobre (sí) (sí) (sí)
Plantilla/grupo de
las actualizaciones de contenido
dispositivos: No
instaladas en el servidor de
gestión de Panorama (por ejemplo,
actualizaciones de WildFire);
descargar, cargar, instalar o
revertir las actualizaciones; y ver
las notas de la versión asociadas.
puede ver información sobre las
actualizaciones de contenido
de Panorama y ver las notas
de versión asociadas, pero no
puede realizar ninguna operación
relacionada.
actualizaciones de contenido de
Panorama, consultar las notas
de versión asociadas ni realizar
ninguna operación relacionada.
El privilegio
Panorama
> Device
Deployment
(Implementación
de dispositivo) >
Dynamic Updates
(Actualizaciones
dinámicas) controla
el acceso a las

actualizaciones
de contenido
implementadas en
los cortafuegos y
los recopiladores
de log dedicados.
Soporte Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede: ver información de (sí) (sí) (sí)
Plantilla/grupo de
asistencia de Panorama, alertas de
dispositivos: No
productos y de seguridad; habilitar
una licencia de asistencia, generar
archivos de asistencia tecnológica
y gestionar casos.
puede ver información de
asistencia de Panorama, alertas de
productos y de seguridad; pero no
activar una licencia de asistencia,
generar archivos de asistencia
tecnológica ni gestionar casos.
administrador no puede: ver
información de asistencia de
Panorama, alertas de productos y
de seguridad; activar una licencia
de asistencia, generar archivos de
asistencia tecnológica ni gestionar
casos.
Implementación Establece el estado Panorama: Yes (sí) Yes No Yes

de predeterminado, habilitado o (sí) (sí)
Plantilla/grupo de
dispositivo deshabilitado, para todos los
privilegios asociados con las
licencias de implementación y
o contenido en los cortafuegos y
recopiladores de logs.
Los privilegios
Panorama >
Software y
Panorama >
Dynamic Updates
(Actualizaciones
dinámicas)
controlan las
actualizaciones
de software

y contenido
instaladas en un
servidor de gestión
de Panorama.
Software Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede: ver información sobre (sí) (sí) (sí)
Plantilla/grupo de
instaladas en cortafuegos y
recopiladores de logs; descargar,
cargar o instalar actualizaciones;
y ver las notas de la versión
asociadas.
de Panorama y ver las notas de
versión asociadas, pero no puede
implementar las actualizaciones
en cortafuegos o recopiladores de
logs dedicados.
ver información sobre las
actualizaciones de software ni las
notas de versión asociadas, como
tampoco podrá implementar las
actualizaciones en el cortafuegos
o los recopiladores de logs
dedicados.
Cliente de Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

GlobalProtect puede: ver información sobre (sí) (sí) (sí)
Plantilla/grupo de
de agente/aplicación de
GlobalProtect; descargar, cargar
o activar actualizaciones, y ver las
GlobalProtect y ver las notas de
activar las actualizaciones en
cortafuegos.

el administrador no puede
actualizaciones de software
GlobalProtect, ver las notas de
versión asociadas, ni activar las
actualizaciones en cortafuegos.
Actualizaciones Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

dinámicas puede: ver información sobre (sí) (sí) (sí)
Plantilla/grupo de
las actualizaciones de contenido
(por ejemplo, actualizaciones
de aplicaciones) instaladas en
cortafuegos y recopiladores de
logs dedicados; descargar, cargar
o instalar actualizaciones, y ver las
puede ver información sobre las
actualizaciones de contenido
de Panorama y ver las notas de
implementar las actualizaciones
en cortafuegos o recopiladores de
logs dedicados.
actualizaciones de contenido ni las
notas de versión asociadas, como
tampoco podrá implementar las
actualizaciones en el cortafuegos
o los recopiladores de logs
dedicados.
Licencias Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

puede ver, actualizar y activar (sí) (sí) (sí)
Plantilla/grupo de
licencias de cortafuegos.
puede ver las licencias de
cortafuegos pero no actualizar ni
activar esas licencias.
Si desactiva este privilegio, el
administrador no podrá ver,
actualizar ni activar licencias de
cortafuegos.

Clave Especifica si el administrador Panorama: Yes (sí) Yes Yes Yes

maestra y puede ver y configurar una clave (sí) (sí) (sí)
Plantilla/grupo de
diagnóstico maestra con la que cifrar claves
dispositivos: No
privadas en Panorama.
puede ver la configuración de
clave maestra de Panorama, pero
no cambiarla.
editar la configuración de clave
maestra Panorama.
Privilegios de Acceso a la interfaz web de Panorama

Las funciones personalizadas de administrador de Panorama le permiten definir el acceso a las opciones de
Panorama y le dan la capacidad de dar acceso únicamente a los grupos de dispositivos y plantillas (pestañas
Policies [Políticas], Objects [Objetos], Network [Red] y Device [Dispositivo]).
Las funciones de administrador que puede crear son Panorama y Device Group and Template (Grupo
de dispositivos y plantilla). No puede conceder privilegios de acceso al CLI a un perfil de función de
administrador Device Group and Template (Grupo de dispositivos y plantilla). Si asigna privilegios de
superusuario para el CLI a un perfil de función de administrador Panorama, los administradores con esa
función pueden acceder a todas las funciones, independientemente de los privilegios de interfaz web que
asigne.
Nivel de acceso Descripción Enable Solo Deshabilitar

lectura
Dashboard (Panel) Controla el acceso a la pestaña Panel. Si Yes (sí) No Yes (sí)
verá la pestaña ni tendrá acceso a ninguno de
los widgets del panel.
ACC Controla el acceso al Centro de comando de Yes (sí) No Yes (sí)

aplicación (ACC). Si deshabilita este privilegio,
la pestaña ACC no aparecerá en la interfaz
web. Recuerde que si desea proteger la
privacidad de sus usuarios y a la vez seguir
proporcionando acceso al ACC, puede
deshabilitar la opción Privacy (Privacidad) >
Show Full IP Addresses (Mostrar direcciones
IP completas) y/o la opción Show User Names
In Logs And Reports (Mostrar nombres de

lectura
Monitor Controla el acceso a la pestaña Monitor Yes (sí) No Yes (sí)

(Supervisar) (Supervisar). Si deshabilita este privilegio, el
administrador no verá la pestaña Monitor
(Supervisar) ni tendrá acceso a ninguno de los
logs, capturas de paquetes, información de
sesión, informes o Appscope. Para obtener un
de supervisión puede ver el administrador,
deje la opción Monitor (Supervisar) habilitada
y, a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe
en Acceso detallado a la pestaña Monitor
(Supervisar).
Políticas Controla el acceso a la pestaña Policies Yes (sí) No Yes (sí)

(Políticas). Si deshabilita este privilegio, el
administrador no verá la pestaña Policies
(Políticas) ni tendrá acceso a ninguna
información de política. Para obtener un
de políticas puede ver el administrador; por
ejemplo, para habilitar el acceso a un tipo de
política específico o para habilitar el acceso
de solo lectura a información de políticas,
deje la opción Policies (Políticas) habilitada y,
a continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe en
Acceso detallado a la pestaña Policy (Política).
Objetos Controla el acceso a la pestaña Objects Yes (sí) No Yes (sí)

(Objetos). Si deshabilita este privilegio, el
administrador no verá la pestaña Objects
(Objetos) ni tendrá acceso a ninguno de
los objetos, perfiles de seguridad, perfiles
de reenvío de logs, perfiles de descifrado o
programaciones. Para obtener un control
el administrador, deje la opción Objects
(Objetos) habilitada y, a continuación, habilite
o deshabilite nodos específicos en la pestaña
como se describe en Acceso detallado a la
pestaña Objects (Objetos).
Creación de Controla el acceso a la pestaña Network Yes (sí) No Yes (sí)

contactos (Red). Si deshabilita este privilegio, el
administrador no verá la pestaña Network
(Red) ni tendrá acceso a ninguna información
de configuración de interfaz, zona, VLAN,
Virtual Wire, enrutador virtual, túnel de IPSec,
DHCP, proxy DNS, GlobalProtect o QoS o a
los perfiles de red. Para obtener un control

lectura
el administrador, deje la opción Networks
(Red) habilitada y, a continuación, habilite o
deshabilite nodos específicos en la pestaña
como se describe en Acceso detallado a la
pestaña Network (Red).
Dispositivo Controla el acceso a la pestaña Device Yes (sí) No Yes (sí)

(Dispositivo). Si deshabilita este privilegio,
el administrador no verá la pestaña Device
(Dispositivo) ni tendrá acceso a ninguna
información de configuración de todo
el cortafuegos, como información de
configuración de User-ID, alta disponibilidad,
perfil de servidor o certificado. Para
obtener un control más detallado sobre qué
objetos puede ver el administrador, deje la
opción Device (Dispositivo) habilitada y, a
continuación, habilite o deshabilite nodos
específicos en la pestaña como se describe
en Acceso detallado a la pestaña Device
(Dispositivo).

a los nodos Admin Roles
(Funciones de administrador)
o Administrators
(Administradores) para un
administrador basado en
funciones, aunque habilite un
acceso completo a la pestaña
Device (Dispositivo).
Panorama Controla el acceso a la pestaña Panorama. Si Yes (sí) No Yes (sí)

verá la pestaña Panorama y no tendrá acceso
a ninguna información de configuración en
Panorama, como los Dispositivos gestionados,
Recopiladores gestionados o Grupos de
recopiladores.
Para obtener un control más detallado sobre
qué objetos puede ver el administrador, deje la
opción Panorama habilitada y, a continuación,
habilite o deshabilite nodos específicos en la
pestaña como se describe en Acceso detallado
a la pestaña Panorama.
Privacidad Controla el acceso a los ajustes de privacidad Yes (sí) No Yes (sí)
descritos en Definición de los ajustes de
privacidad en el perfil de rol de administrador.

lectura
Validar Cuando la opción está deshabilitada, Yes (sí) No Yes (sí)

un administrador no puede validar una
configuración.
Guardar Establece el estado predeterminado Yes (sí) No Yes (sí)

(habilitado o deshabilitado) para todos los
privilegios de la función guardar que se
describen a continuación (Guardado parcial y
guardar para otros administradores).
• Guardado Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

parcial administrador no puede guardar ningún
cambio que cualquier administrador haya
realizado a la configuración de Panorama.
• Guardar Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

para otros administrador no puede guardar ningún
administradores cambio que otros administradores hayan
realizado a la configuración de Panorama.
Commit Configura el estado por defecto (habilitado Yes (sí) No Yes (sí)
o deshabilitado) para todos los privilegios
de confirmación, envío y reversión que se
describen a continuación (Panorama, grupos
de dispositivos, plantillas, forzar valores de
plantilla, grupos de recopiladores, clústeres de
dispositivos WildFire).
• Panorama Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

administrador no puede confirmar ni revertir
los cambios en la configuración que realicen
los administradores, incluidos sus propios
cambios.
• Confirmación Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

para otros administrador no puede confirmar ni revertir
administradores los cambios en la configuración que realicen
otros administradores.
Grupos de Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

dispositivos administrador no puede enviar los cambios a
los grupos de dispositivos.
Plantillas Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

administrador no puede enviar los cambios a
las plantillas.
Forzar valores de Este privilegio controla el acceso a la opción Yes (sí) No Yes (sí)
plantilla Force Template Values (Forzar valores de
plantilla) del cuadro de diálogo Push Scope
Selection (Selección del alcance del envío).

lectura
Cuando la opción está deshabilitada, el
administrador no puede reemplazar los
ajustes invalidados en las configuraciones de
cortafuegos locales con ajustes que Panorama
envía de una plantilla.
Grupos de Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

recopiladores administrador no puede enviar ningún cambio
a los grupos de recopiladores.
Clústeres de Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

dispositivos administrador no puede enviar los cambios a
WildFire los clústeres de dispositivos WildFire.
Tareas Cuando la opción está deshabilitada, un Yes (sí) No Yes (sí)

administrador no puede acceder al Gestor de
tareas.
Global Controla el acceso a los ajustes globales Yes (sí) No Yes (sí)
(alarmas del sistema) que se describen en
Acceso detallado a los ajustes globales.

Referencia: Uso de número de puerto
Las siguientes tablas enumeran los puertos que usan los cortafuegos de Palo Alto Networks para
comunicarse entre sí o con otros servicios de la red.
• Puertos usados para funciones de gestión
• Puertos usados para HA
• Puertos usados para Panorama
• Puertos usados para GlobalProtect
• Puertos usados para User-ID
Puertos usados para funciones de gestión

El cortafuegos y Panorama utilizan los siguientes puertos para las funciones de gestión.
Puerto de Protocolo Descripción

destino
22 TCP Se usa para comunicarse desde un sistema cliente con la interfaz CLI del
cortafuegos.
80 TCP El puerto que escucha el cortafuegos para recibir actualizaciones del

protocolo de estado de certificado en línea (Online Certificate Status
Protocol, OCSP) cuando actúa como un respondedor OCSP.
123 UDP Puerto que usa el cortafuegos para las actualizaciones NTP.
443 TCP Se usa para comunicarse desde un sistema cliente con la interfaz
web del cortafuegos. Este es también el puerto en el que escucha el
cortafuegos o el agente User-ID para actualizaciones de origen de
información de VM.
Este es el único puerto que se usa para la supervisión de un entorno
AWS.
Para supervisar un entorno VMware vCenter/ESXi, el puerto de escucha
cambia de forma predeterminada a 443, aunque puede configurarse.
162 UDP Puerto que el cortafuegos, Panorama o un recopilador de logs utiliza

para el Reenvío de capturas a un administrador SNMP.
No es necesario que este puerto esté abierto en el

cortafuegos de Palo Alto Networks. Debe configurar el
protocolo simple de administración de redes (SNMP)
para que escuche en este puerto. Si desea información
detallada, consulte la documentación de software de
gestión de SNMP.
161 UDP Puerto que escucha el cortafuegos para las solicitudes de sondeo
(mensajes GET) del gestor SNMP.

destino
514 TCP Puerto que utilizan el cortafuegos, Panorama o el recopilador de logs

para enviar logs a un servidor Syslog si realiza la Configuración de la
514 UDP
supervisión de Syslog; así como los puertos que escucha el agente
6514 SSL de User-ID integrado en PAN-OS o el agente de User-ID basado en
Windows para los mensajes de syslog de autenticación.
2055 UDP Puerto predeterminado que utiliza el cortafuegos para enviar registros
de NetFlow a un recopilador de NetFlow si realiza la Configuración de
exportaciones de NetFlow, aunque esto puede configurarse.
5008 TCP Puerto que el gestor de seguridad móvil de GlobalProtect escucha para
recibir solicitudes HIP de las Gateways de GlobalProtect.
Si está usando un sistema MDM de terceros, puede configurar el
gateway para que use un puerto distinto, tal y como requiera el
proveedor de MDM.
6080 TCP Puertos utilizados en el portal cautivo de User-ID™. 6080 para la

autenticación de NT LAN Manager (NTLM), 6081 para el portal cautivo
6081 TCP
en modo transparente y 6082 para el portal cautivo en modo de
6082 TCP redirigir.
Puertos usados para HA

Los cortafuegos configurados como peers de alta disponibilidad (High Availability, HA) deben poder
comunicarse entre sí para mantener la información de estado (enlace de control HA1) y sincronizar los
datos (enlace de datos HA2). En las implementaciones de HA activa/activa, las implementaciones de los
cortafuegos peer también deben reenviar paquetes a los peer HA que posee la sesión. El enlace HA3 es un
enlace de capa 2 (MAC en MAC) y no admite cifrado ni direcciones de capa 3.

destino
28769 TCP Se usa para el enlace de control HA1 para una comunicación de texto
clara entre los cortafuegos de peer de HA. El enlace de HA1 es un
28260 TCP
enlace de capa 3 y requiere una dirección IP.
28 TCP Se usa para el enlace de control HA1 para una comunicación cifrada
(SSH en TCP) entre los cortafuegos de peer de HA.
28770 TCP Puerto de escucha para enlaces de copia de seguridad HA1.
28771 TCP Usado para copias de seguridad de heartbeat. Palo Alto Networks
recomienda habilitar la copia de seguridad de heartbeat en la interfaz
de MGT si usa un puerto en banda para HA1 o los enlaces de copia de
seguridad HA1.
99 IP Se usa para el enlace HA2 para sincronizar sesiones, reenviar tablas,

las asociaciones de la seguridad IPSec y las tablas ARP entre los
29281 UDP
cortafuegos en un clúster en HA. El flujo de datos en el enlace HA2

destino
siempre es unidireccional (excepto para el mantenimiento de HA2);
fluye desde el cortafuegos activo (activo/pasivo), o el activo-principal
(activo/activo) hacia el cortafuegos pasivo (activo/pasivo) o activo
secundario (activo/activo). El enlace de HA2 es un enlace de capa 2 y
utiliza el tipo ether 0x7261 de manera predeterminada.
El enlace de datos HA también puede configurarse para usar el IP
(número de protocolo 99) o UDP (puerto 29281) como el transporte, y
por lo tanto permite que el enlace de datos de HA abarque las subredes.
Puertos usados para Panorama

Panorama utiliza los siguientes puertos.
Puerto de destino Protocolo Descripción

CLI de Panorama.
web de Panorama.
3978 TCP Se usa para la comunicación entre Panorama y los cortafuegos

gestionados o recopiladores de logs, así como para la
comunicación entre los recopiladores gestionados en un grupo
de recopiladores:
• Para la comunicación entre Panorama y los cortafuegos, se
trata de una conexión bidireccional en la que los cortafuegos
reenvían logs a Panorama y Panorama envía los cambios de
configuración a los cortafuegos. Los comandos de cambio de
contexto se envían a través de la misma conexión.
• Los recopiladores de logs usan este puerto de destino para
reenviar los logs a Panorama.
• Para una comunicación con el recopilador de logs
predeterminado en un dispositivo serie M en modo Panorama
y para la comunicación con los recopiladores de logs
dedicados.
28443 TCP Se usa para los dispositivos gestionados (cortafuegos y

recopilador de logs) para recuperar actualizaciones de software y
de contenido de Panorama.
Solo los dispositivos que ejecutan versiones

de PAN-OS 8.x y superiores recuperan
actualizaciones de Panorama mediante este
puerto. En el caso de los dispositivos que
ejecutan versiones anteriores, Panorama envía
los paquetes de actualización mediante el puerto
3978.

28769 (5.1 o TCP Se usa para una conectividad HA y la sincronización entre los
posterior) peers HA de Panorama usando una comunicación de texto clara.
TCP
Cualquiera de los peers puede iniciar la comunicación.
28260 (5.0 o
TCP
posterior)
49160 (5.0 o
anterior)
28 TCP Se usa para una conectividad HA y la sincronización entre los

peers HA de Panorama usando una comunicación cifrada (SSH
en TCP). Cualquiera de los peers puede iniciar la comunicación.
28270 (6.0 o TCP Se usa para la comunicación entre recopiladores de logs en un

posterior) grupo de recopiladores para la distribución de logs.
49190 (5.1 o
posterior)
2049 TCP La usa el dispositivo virtual Panorama para escribir logs en el

almacén de datos NFS.
23000 a 23999 TCP, UDP o SSL Se usa para la comunicación de syslog entre Panorama y los
componentes de ESM de las capturas.
Puertos usados para GlobalProtect

GlobalProtect utiliza los siguientes puertos.
443 TCP Se utiliza para las comunicaciones entre los agentes y los portales
de GlobalProtect, o para los agentes y las puertas de enlace de
GlobalProtect, y para las conexiones de túnel SSL.
Las puertas de enlace de GlobalProtect también utilizan este puerto
para recopilar información del host de los agentes de GlobalProtect
y realizar comprobaciones del perfil de información del host (host
information profile, HIP).
4501 UDP Se usa para las conexiones de túnel IPSec entre agentes y puertas de
enlace de GlobalProtect.
Para encontrar consejos sobre cómo usar una interfaz de bucle invertido para proporcionar acceso a
GlobalProtect a través de diferentes puertos y direcciones, consulte ¿Se puede configurar la página del
portal de GlobalProtect para acceder a ella desde cualquier puerto?
Puertos usados para User-ID

User-ID es una función que permite la asignación de direcciones IP de usuario a nombres de usuario y
miembros de grupo, que permite políticas basadas en grupos o usuarios y visibilidad sobre las actividades

de sus usuarios en su red (por ejemplo, para poder rastrear con rapidez a un usuario que puede ser víctima
de una amenaza). Para realizar esta asignación, el cortafuegos, el agente User-ID (instalado en un sistema
basado en Windows o el agente integrado de PAN-OS que funciona en el cortafuegos) o el agente de
servicios de terminal debe poder conectarse con los servicios de directorio de su red para realizar la
Asignación de grupos y la Asignación de usuarios. Además, si los agentes funcionan en sistemas externos al
cortafuegos, deben poder conectar con el cortafuegos para comunicar la dirección IP con las asignaciones
de nombre de usuario al cortafuegos. La siguiente tabla muestra los requisitos de comunicación para User-
ID junto con los números de puerto necesarios para establecer las conexiones.

destino
389 TCP Puerto que utiliza el cortafuegos para conectarse con un servidor LDAP
(texto normal o seguridad de la capa de transporte de inicio, Start TLS
[TLS de inicio]) para la Asignación de usuarios a grupos.
3268 TCP Puerto que utiliza el cortafuegos para conectarse con el servidor del
catálogo global de Active Directory (texto normal o Start TLS [TLS de
inicio]) para la Asignación de usuarios a grupos.
636 TCP Puerto que utiliza el cortafuegos para las conexiones de LDAP sobre SSL
con un servidor LDAP para la Asignación de usuarios a grupos.
3269 TCP Puerto que utiliza el cortafuegos para las conexiones de LDAP sobre
SSL con un servidor de catálogo global de Active Directory para la
Asignación de usuarios a grupos.
514 TCP Puerto que escucha el agente User-ID para los mensajes de syslog de
autenticación si realiza la Configuración de User-ID para supervisar los
6514 UDP
remitentes de Syslog para la asignación de usuarios. El puerto depende
SSL del tipo de agente y protocolo.
• Agente User-ID integrado en PAN-OS: puerto 6514 para SSL y
puerto 514 para UDP.
• Agente User-ID basado en Windows: puerto 514 para TCP y UDP.
5007 TCP Puerto que escucha el cortafuegos para obtener información de

asignación de usuarios desde User-ID o el agente de servicios de
terminal. El agente envía la asignación de dirección IP y nombre de
usuario junto con una marca de tiempo cuando sabe de una asignación
nueva o actualizada. Además, conecta con el cortafuegos a intervalos
regulares para actualizar las actualizaciones conocidas.
5006 TCP Puerto que escucha el agente User-ID para las solicitudes de API de
XML. El origen de esta comunicación suele ser el sistema que ejecuta
una secuencia de comandos que invoque la API.
88 UDP/TCP Puerto que usa el agente User-ID para autenticarse en un servidor

Kerberos. El dispositivo prueba UDP en primer lugar y luego vuelve a
TCP.
1812 UDP Puerto que usa el agente User-ID para autenticarse en un servidor
RADIUS.

destino
49 TCP Puerto que usa el agente User-ID para autenticarse en un servidor

TACACS+.
135 TCP Puerto que usa el agente User-ID para establecer conexiones
WMI basadas en TCP con el asignador de extremos de llamada a
procedimiento remoto (RPC) de Microsoft. El asignador de extremos
asigna al agente un puerto asignado aleatoriamente en el intervalo de
puertos 49152-65535. El agente usa esta conexión para crear consultas
RPC para las tablas de sesión y los logs de seguridad del servidor AD o
servidor Exchange. Este es también el puerto que se usa para acceder a
Terminal Services.
El agente User-ID también usa este puerto para conectar con sistemas
cliente y realizar sondeos de Windows Management Instrumentation
(WMI).
139 TCP Puerto que usa el agente User-ID para establecer conexiones NetBIOS
basadas en TCP con el servidor AD, de modo que pueda enviar consultas
RPC sobre logs de seguridad e información de sesión.
El agente User-ID también usa este puerto para conectar con sistemas
cliente para sondeos de NetBIOS (admitidos únicamente en el agente
User-ID basado en Windows).
445 TCP Puerto que usa el agente User-ID para conectar con Active Directory
(AD) mediante conexiones SMB basadas en TCP al servidor AD para
acceder a la información de inicio de sesión de usuario (administrador de
trabajos de impresión y Net Logon).

Restablecimiento del cortafuegos a los ajustes
predeterminados de fábrica
El restablecimiento del cortafuegos a los ajustes predeterminados de fábrica producirá la pérdida de todos
los ajustes y logs de configuración.
STEP 1 | Configure una conexión de consola con el cortafuegos.

1. Conecte un cable serie desde su ordenador al puerto de la consola y conecte con el firewall usando el
software de emulación de terminal (9600-8-N-1).
Si su ordenador no tiene un puerto de serie de 9 clavijas, use un conector de puerto

USB a serie.
2. Introduzca sus credenciales de inicio de sesión.
3. Introduzca el siguiente comando del CLI:
debug system maintenance-mode
El cortafuegos se reinicia en el modo de mantenimiento.
STEP 2 | Restablezca el sistema a los ajustes predeterminados de fábrica.

1. Cuando el dispositivo se reinicie, pulse Intro para continuar hacia el menú de modo de
mantenimiento.
2. Seleccione Restablecimiento de la configuración predeterminada de fábrica y
pulse Intro.
3. De nuevo, seleccione Restablecimiento de la configuración predeterminada de
fábrica y pulse Intro.
El cortafuegos se reinicia sin ningún ajuste de configuración. El nombre de usuario y contraseña
predeterminados para iniciar sesión en el cortafuegos es admin/admin.
Para realizar una configuración inicial del cortafuegos y configurar la conectividad de red, consulte
Integración del cortafuegos en la red de gestión.

Arranque del cortafuegos
El arranque acelera el proceso de configuración y obtención de licencia del cortafuegos para ponerlo
en funcionamiento en la red con o sin acceso a Internet. El arranque le permite elegir entre configurar
el cortafuegos con un archivo de configuración básica (init-cfg.txt) para poder conectarlo a Panorama y
obtener la configuración completa, o configurar completamente el cortafuegos con la configuración básica y
el archivo opcional bootstrap.xml.
• Soporte de la unidad Flash USB
• Archivos init-cfg.txt de muestra
• Preparación de una unidad Fash USB para el arranque de un cortafuegos
• Arranque de un cortafuegos usando una unidad Flash USB
Soporte de la unidad Flash USB

La unidad flash USB que arranca el cortafuegos de Palo Alto Networks basado en hardware debe admitir
uno de los siguientes formatos:
• Tabla de asignación de archivos 32 (FAT32)
• Tercer sistema de archivos extendido (ext3)
El cortafuegos puede arrancar desde las siguientes unidades flash con conectividad USB 2.0 o USB 3.0.
Unidades flash USB compatibles
Kingston
• Kingston SE9 8 GB (2.0)
• Kingston SE9 16GB (3.0)
• Kingston SE9 32GB (3.0)
SanDisk
• SanDisk Cruzer Fit CZ33 8 GB (2.0)
• SanDisk Cruzer Fit CZ33 16GB (2.0)
• SanDisk Cruzer Fit CZ33 32GB (2.0)
Silicon Power
• Silicon Power Jewel 32 GB (3.0)
• Silicon Power Jewel 16 GB (3.0)
PNY
• PNY Attache 16 GB (2.0)
• PNY Attache 32 GB (3.0)
Archivos init-cfg.txt de muestra

El archivo init-cfg.txt es necesario para el proceso de arranque; este archivo es un archivo de configuración
básica que usted crea usando un editor de texto. Para crear este archivo, consulte Creación del archivo init-

cfg.txt. Los siguientes archivos init-cfg.txt de ejemplo muestran los parámetros que admite el archivo; los
parámetros que debe proporcionar se muestran en negrita.
Archivo init-cfg.txt de muestra (dirección IP estática) Archivo init-cfg.txt de muestra (cliente DHCP)
type=static type=dhcp-client
ip-address=10.5.107.19 ip-address=
default-gateway=10.5.107.1 default-gateway=
netmask=
netmask=255.255.255.0 ipv6-address=
ipv6-address=2001:400:f00::1/64 ipv6-default-gateway=
ipv6-default-gateway=2001:400:f00::2 hostname=Ca-FW-DC1
hostname=Ca-FW-DC1 panorama-server=10.5.107.20
panorama-server=10.5.107.20 panorama-server-2=10.5.107.21
panorama-server-2=10.5.107.21 tplname=FINANCE_TG4
tplname=FINANCE_TG4 dgname=finance_dg
dgname=finance_dg dns-primary=10.5.6.6
dns-primary=10.5.6.6 dns-secondary=10.5.6.7
dns-secondary=10.5.6.7 op-command-modes=multi-
op-command-modes=multi-vsys,jumbo- vsys,jumbo-frame
frame dhcp-send-hostname=yes
dhcp-send-hostname=no dhcp-send-client-id=yes
dhcp-send-client-id=no dhcp-accept-server-hostname=yes
dhcp-accept-server-hostname=no dhcp-accept-server-domain=yes
dhcp-accept-server-domain=no
La tabla siguiente describe los campos del archivo init-cfg.txt El tipo es obligatorio; si el tipo es estático, la
dirección IP, la puerta de enlace por defecto y la máscara de red son obligatorias, o la dirección IPv6 y la
puerta de enlace por defecto IPv6 son obligatorias.
Campo Descripción
tipo (Obligatorio) Tipo de dirección IP de gestión estática o dhcp-client.
dirección-ip (Obligatorio para dirección de gestión estática IPv4) Dirección IPv4. El

cortafuegos ignora este campo si el tipo es dhcp-client.
default-gateway (Obligatorio para la dirección de gestión estática IPv4) Puerta de enlace

IPv4 por defecto para la interfaz de gestión. El cortafuegos ignora este
campo si el tipo es dhcp-client.
Máscara de red (Obligatorio para dirección de gestión estática IPv4) Máscara de red IPv4.
El cortafuegos ignora este campo si el tipo es dhcp-client.
ipv6-address (Obligatorio para la dirección de gestión estática IPv6) Dirección IPv4 y

extensión del /prefijo de la interfaz de gestión. El cortafuegos ignora este
ipv6-default-gateway (Obligatorio para la dirección de gestión estática IPv6) Puerta de enlace

IPv6 por defecto para la interfaz de gestión. El cortafuegos ignora este
Nombre de host (Opcional) Nombre de host para el cortafuegos.

Campo Descripción
panorama-server (Recomendado) Dirección IPv4 o IPv6 del servidor Panorama principal.
panorama-server-2 (Opcional) Dirección IPv4 o IPv6 del servidor Panorama secundario.
tplname (Recomendado) Nombre de la plantilla de Panorama.
dgname (Recomendado) Nombre del grupo de dispositivos Panorama.
dns-primary (Opcional) Dirección IPv4 o IPv6 del servidor DNS primario.
dns-secondary (Opcional) Dirección IPv4 o IPv6 del servidor DNS secundario.
vm-auth-key (Cortafuegos serie VM únicamente) Clave de autenticación de equipo

virtual.
op-command-modes (Opcional) Introduzca varios sistemas virtuales, trama gigante o ambos

separados por coma únicamente. Habilita sistemas virtuales múltiples y
tramas gigantes durante el arranque.
dhcp-send-hostname (Tipo de cliente DHCP únicamente) El servidor DHCP determina un valor

de sí o no. En caso afirmativo, el cortafuegos envía su nombre de host al
servidor DHCP.
dhcp-send-client-id (Tipo de cliente DHCP únicamente) El servidor DHCP determina un valor

afirmativo o negativo. En caso afirmativo, el cortafuegos envía su ID de
cliente al servidor DHCP.
dhcp-accept-server- (Tipo de cliente DHCP únicamente) El servidor DHCP determina un valor

hostname afirmativo o negativo. En caso afirmativo, el cortafuegos acepta el nombre
de host del servidor DHCP.
dhcp-accept-server- (Tipo de cliente DHCP únicamente) El servidor DHCP determina un valor

domain afirmativo o negativo. En caso afirmativo, el cortafuegos acepta el servidor
DNS del servidor DHCP.
Preparación de una unidad Fash USB para el arranque de un

cortafuegos
Puede usar una unidad flash USB para arrancar un cortafuegos físico. Sin embargo, para hacerlo debe
actualizarse a PAN-OS 7.1 y restablecer el cortafuegos a los ajustes predeterminados de fábrica. Por
motivos de seguridad, arranque un cortafuegos únicamente cuando este tenga la configuración de fábrica o
cuando todos los datos privados se hayan eliminado.
STEP 1 | Obtenga los números de serie (serial numbers, S/N) y los códigos de autorización para admitir
suscripciones de su correo electrónico de cumplimiento de pedido.
STEP 2 | Registre los S/N de los cortafuegos nuevos en el portal del servicio de atención al cliente.
1. Vaya a support.paloaltonetworks.com, inicie sesión y seleccione Assets (Activos) > Register New
Device (Registrar nuevos dispositivos) > Register device using Serial Number or Authorization Code
(Registrar dispositivo usando número de serie o código de autorización).

2. Siga los pasos para registrar el cortafuegos.
3. Haga clic en Submit (Enviar).
STEP 3 | Active los códigos de autorización en el portal del servicio de atención al cliente, que crea las
claves de licencia.
1. Vaya a support.paloaltonetworks.com, inicie sesión y seleccione la pestaña Assets (Activos).
2. Para cada S/N que acabe de registrar, haga clic en el enlace Action (Acción).
3. Seleccione Activate Auth-Code (Activar código de autorización).
4. Ingrese el Authorization code (Código de autorización) y haga clic en Agree (Acepto) y Submit
(Enviar).
STEP 4 | Añada los S/N en Panorama.

Complete el paso 1 en Añadir un cortafuegos como dispositivo gestionado en la Guía del administrador
en Panorama.
STEP 5 | Cree el archivo init-cfg.txt.

Cree el archivo init-cfg.txt, un archivo obligatorio que proporciona parámetros de arranque. Los campos
se describen en archivos de muestra init-cfg.txt.
Si falta el archivo init-cfg.txt, el proceso de arranque no se realizará y el cortafuegos se

iniciará con la configuración por defecto en la secuencia de inicio normal.
No hay espacios entre la clave y el valor en cada campo; no añada espacios ya que pueden causar
errores durante el análisis en el lado del servidor de gestión.
Puede tener varios archivos init-cfg.txt (uno para cada sitio remoto diferente) si antepone el S/N.al
nombre de archivo. Por ejemplo:
0008C200105-init-cfg.txt
0008C200107-init-cfg.txt
Si nada precede al nombre de archivo, el cortafuegos utiliza el archivo init-cfg.txt y continúa con el
arranque.
STEP 6 | (Opcional) Cree el archivo bootstrap.xml.

El archivo bootstrap.xml opcional es una configuración de cortafuegos completa que puede exportar de
un cortafuegos de producción existente.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) > Export named
configuration snapshot (Exportar instantánea de configuración con nombre).
2. Seleccione en Name el nombre de la configuración guardada o en ejecución.
4. Cambie el nombre del archivo a bootstrap.xml.
STEP 7 | Cree y descargue el lote de arranque en el portal del servicio de atención al cliente.
Para un cortafuegos físico, el lote de arranque requiere solo los directorios de /licencia y /config.
Use uno de los siguientes métodos para crear y descargar el lote de arranque:
• Use el Método 1 para crear un lote de arranque específico de un sitio remoto (tiene solo un archivo
init-cfg.txt).
• Use el Método 2 para crear un lote de arranque para varios sitios.
Método 1

1. En su sistema local, ingrese en support.paloaltonetworks.com e inicie sesión.
2. Seleccione Assets (Activos).
3. Seleccione el S/N del cortafuegos que desea arrancar.
4. Seleccione Bootstrap Container (Contenedor de arranque).
5. Haga clic en Select (Seleccionar).
6. Cargue y Open (Abra) el archivo init-cfg.txt que acaba de crear.
7. (Opcional) Seleccione el archivo bootstrap.xml que creó y haga clic en Upload Files (Cargar archivos).
Debe usar un archivo bootstrap.xml de un cortafuegos del mismo modelo y versión de

PAN-OS.
8. Seleccione Bootstrap Container Download (Descarga de contenedor de arranque) para descargar
un archivo tar.gz con el nombre bootstrap_<S/N>_<date>.tar.gz en su sistema local. Este
contenedor de arranque incluye las claves de licencia asociadas con el S/N del cortafuegos.
Método 2
Cree un archivo tar.gz en su sistema local con dos directorios de nivel superior: /license y /config.
Incluya todas las licencias y todos los archivos init-cfg.txt con S/N antepuestos a los nombres de archivo.
Los archivos de clave de licencia que descarga del portal del servicio de atención al cliente tienen el S/N
en el nombre de archivo de la licencia. PAN-OS comprueba el S/N en el nombre de archivo al compararlo
con el S/N del cortafuegos mientras ejecuta el proceso de arranque.
STEP 8 | Importe el archivo tar.gz que creó a un cortafuegos PAN-OS 7.1 usando Secure Copy (SCP) o
TFTP.
Acceda a la CLI e introduzca los siguientes comandos:
• tftp import bootstrap-bundle file <path and filename> from <host IP
address>
Por ejemplo:
tftp import bootstrap-bundle file /home/userx/bootstrap/devices/
pa5000.tar.gz from 10.1.2.3
• scp import bootstrap-bundle from <<usuario>@<host>:<ruta al archivo>>
Por ejemplo:
scp import bootstrap-bundle from [email protected]:/home/userx/bootstrap/
devices/pa200_bootstrap_bundle.tar.gz
STEP 9 | Prepare la unidad flash USB.

1. Introduzca la unidad flash USB en el cortafuegos que usó en el paso 8.
2. Introduzca el siguiente comando operativo de CLI usando su nombre de archivo ta.gz en lugar de
“pa5000.tar.gz”. Este comando formatea la unidad flash USB, descomprime el archivo y valida la
unidad flash USB
request system bootstrap-usb prepare from pa5000.tar.gz
3. Pulse y para continuar. El siguiente mensaje aparece cuando la unidad USB está lista:
USB prepare completed successfully.
4. Quite la unidad flash USB del cortafuegos.
5. Puede preparar todas las unidades flash USB que necesite.
STEP 10 | Entregue la unidad flash USB a su sitio remoto.

Si utilizó el Método 2 para crear el lote de arranque, puede usar el mismo contenido de la unidad
flash USB para arrancar los cortafuegos en varios sitios remotos. Puede traducir el contenido a varias
unidades flash USB o a una sola unidad flash USB utilizada varias veces.
Arranque de un cortafuegos usando una unidad Flash USB

Una vez que reciba un cortafuegos de Palo Alto Networks y una unidad flash USB que contenga los
archivos de arranque, puede arrancar el cortafuegos.
Los sistemas operativos de Microsoft Windows y Apple Mac no pueden leer la unidad flash
USB de arranque debido a que la unidad está formateada por un sistema de archivo ext4.
Debe instalar un software de terceros o usar un sistema Linux para leer la unidad USB.
STEP 1 | El cortafuegos debe estar en estado de fábrica por defecto o debe tener todos los datos
privados eliminados.
STEP 2 | Para garantizar la conectividad con su sede corporativa central, conecte el cortafuegos
mediante la interfaz de gestión (MGT) usando un cable Ethernet conectado a una de las
siguientes opciones:
• Un módem de subida.
• Un puerto en el conmutador o enrutador.
• Una toma Ethernet en la pared.
STEP 3 | Introduzca la unidad flash USB en el puerto USB del cortafuegos y encienda el cortafuegos. El
cortafuegos en estado de fábrica por defecto arranca desde la unidad flash USB.
La luz de estado del cortafuegos cambia de amarillo a verde cuando el cortafuegos está configurado; la
autoconfirmación se ha realizado correctamente.
STEP 4 | Verifique que el arranque se haya completado. Puede ver los logs de estado básico en la
consola durante el bootstrap y puede verificar la finalización del proceso.
1. Si incluyó valores de Panorama (panorama-server, tplname y dgname) en su archivo init-cfg.txt,
compruebe los dispositivos gestionados de Panorama, el grupo de dispositivos y el nombre de la
plantilla.
2. Verifique la configuración general del sistema accediendo a la interfaz web y seleccionando
Dashboard (Panel) > Widgets > System (Sistema) o utilizando los comandos operativos de la CLI
show system info y show config running.
3. Verifique la instalación de la licencia seleccionando Device (Dispositivo) > Licenses (Licencias) o
utilizando el comando operativo de la CLI request license info.
4. Si tiene configurado Panorama, gestione las versiones de contenidos y las versiones de software de
Panorama. Si no tiene configurado Panorama, use la interfaz web para gestionar las versiones de
contenidos y las versiones de software.

Autenticación
La autenticación se utiliza para proteger los servicios y las aplicaciones mediante la verificación
de las identidades de los usuarios, de modo que únicamente los usuarios legítimos puedan
acceder a ellos. Varias funciones del cortafuegos y de Panorama requieren una autenticación.
Los administradores se autentican para acceder a la interfaz de web, CLI o API de XML del
cortafuegos y de Panorama. Los usuarios finales se autentican en el portal cautivo o en
GlobalProtect para acceder a varios servicios y aplicaciones. Puede seleccionar entre varios
servicios de autenticación para proteger su red y para adaptar su infraestructura de seguridad
existente, y garantizar una experiencia de usuario fluida.
Si tiene una infraestructura de clave pública, puede implementar certificados para permitir la
autenticación sin que los usuarios deban responder manualmente a los desafíos del inicio de
sesión (consulte Gestión de certificados). De manera alternativa, o además de los certificados,
puede implementar una autenticación interactiva, que requiere que los usuarios se autentiquen
utilizando uno o más métodos. Los siguientes temas describen cómo implementar, probar y
solucionar los problemas de los diferentes tipos de autenticación interactiva:
> Tipos de autenticación

> Planificación de su implementación de autenticación
> Configuración de la autenticación multifactor
> Configuración de la autenticación SAML
> Configuración de un inicio de sesión único de Kerberos
> Configuración de la autenticación del servidor Kerberos
> Configuración de la autenticación TACACS+
> Configuración de la autenticación RADIUS
> Configuración de la autenticación LDAP
> Tiempos de espera de conexión de los servidores de autenticación
> Configuración de la autenticación de la base de datos local
> Configuración de una secuencia y perfil de autenticación
> Comprobación de la conectividad del servidor de autenticación
> Política de autenticación
> Solución de problemas de autenticación
161
162 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Autenticación
Tipos de autenticación
• Servicios de autenticación externos
• autenticación multifactor
• SAML
• Kerberos
• TACACS+
• RADIUS
• LDAP:
• Autenticación local
Servicios de autenticación externos

El cortafuegos y Panorama pueden utilizar servidores externos para controlar el acceso administrativo
a la interfaz web y el acceso del usuario final a los servicios o las aplicaciones mediante el portal cautivo
y GlobalProtect. En este contexto, los servicios de autenticación que no son locales en el cortafuegos o
Panorama se consideran externos, independientemente de si el servicio es interno (como Kerberos) o
externo (como un proveedor de identidad SAML) en relación a su red. Los tipos de servidor que pueden
integrar el cortafuegos y Panorama incluirán autenticación multifactor (MFA), SAML, Kerberos, TACACS
+, RADIUS y LDAP. A pesar de que puede utilizar los servicios de autenticación local que admiten el
cortafuegos y Panorama, por lo general, se recomiendan los servicios externos debido a que ofrecen lo
siguiente:
• Gestión central de todas las cuentas de usuario en un almacenamiento de identidades externo. Todos los
servicios externos compatibles proporcionan esta opción a los usuarios finales y administradores.
• Gestión central de la autorización de las cuentas (asignación de funciones y dominios de acceso). SAML,
TACACS+ y RADIUS admiten esta opción para los administradores.
• Inicio de sesión único (SSO), que permite a los usuarios autenticarse solo una vez para acceder a varios
servicios y aplicaciones. SAML y Kerberos admiten el SSO.
• Múltiples desafíos de autenticación de diferentes tipos (factores) para proteger los servicios y las
aplicaciones más delicados. Los servicios de MFA admiten esta opción.
La autenticación mediante un servicio externo requiere un perfil de servidor que defina cómo el cortafuegos
se conecta al servicio. Puede asignar el perfil del servidor a los perfiles de autenticación, lo que define la
configuración que personaliza para cada aplicación y conjunto de usuarios. Por ejemplo, puede configurar
un perfil de autenticación para los administradores que acceden a la interfaz web y otro perfil para los
usuarios finales que acceden al portal de GlobalProtect. Para obtener información detallada, consulte
Configuración de una secuencia y perfil de autenticación.
Autenticación multifactor
Puede realizar la Configuración de la autenticación multifactor (MFA) para garantizar que cada usuario se
autentique utilizando varios métodos to (factores) cuando accede a servicios y aplicaciones más delicados.
Por ejemplo, puede obligar a los usuarios a introducir una contraseña de inicio de sesión e introducir un
código de verificación que reciben por teléfono antes de permitir el acceso a documentos financieros
importantes. Este enfoque ayuda a evitar que los atacantes accedan a cada servicio y aplicación en su red
solo con robar las contraseñas. Evidentemente, no todos los servicios y aplicaciones requieren el mismo
nivel de protección, y es posible que la MFA no sea necesaria para los servicios y aplicaciones menos
delicados a los que los usuarios acceden con frecuencia. Para permitir una variedad de necesidades de
seguridad, puede realizar la Configuración de la política de autenticación para configurar las reglas de la
política de autenticación que activan la MFA o un factor de autenticación único (como las credenciales
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Autenticación 163

de inicio de sesión o los certificados) en función de los servicios, las aplicaciones y los usuarios finales
específicos.
Cuando seleccione la cantidad y los tipos de factores de autenticación que aplicará, debe comprender
cómo afecta la evaluación de la política a la experiencia del usuario. Cuando un usuario solicita un servicio
o aplicación, el cortafuegos evalúa la política de autenticación. Si la solicitud coincide con una regla de
la política de autenticación con MFA habilitada, el cortafuegos muestra un formulario web del portal
cautivo, de modo que los usuarios puedan autenticarse para el primer factor. Si la autenticación se produce
correctamente, el cortafuegos muestra una página de inicio de sesión de MFA para cada factor adicional.
Algunos servicios de MFA le solicitan al usuario seleccionar un factor de dos a cuatro, lo que es útil cuando
algunos factores no se encuentran disponibles. Si la autenticación se produce correctamente en todos los
factores, el cortafuegos evalúa la política de seguridad para el servicio o aplicación solicitado.
Para reducir la frecuencia de los desafíos de autenticación que interrumpen el flujo de

trabajo del usuario, puede configurar el primer factor para que utilice el inicio de sesión único
(single sign-on, SSO) de Kerberos o SAML, pero que no utilice la autenticación NT LAN
Manager (NTLM).
Para implementar la MFA de GlobalProtect, consulte la Configuración de GlobalProtect para
facilitar las notificaciones de la autenticación multifactor.
No puede utilizar los perfiles de autenticación de MFA en las secuencias de autenticación.
El cortafuegos facilita la implementación de MFA en su red integrándose directamente con varias

plataformas de MFA (Duo v2, Okta Adaptive y PingID) e integrándose a través de RADIUS con todas las
otras plataformas de MFA. El cortafuegos admite los siguientes factores de MFA:
Factor Descripción
Enviar Un dispositivo de extremo (como un teléfono o tableta) le pide al usuario que

permita o deniegue la autenticación.
Servicio de mensajes Un mensaje de SMS en el dispositivo de extremo le pide al usuario que

cortos (SMS) permita o deniegue la autenticación. En algunos casos, el dispositivo de
extremo proporciona un código que el usuario debe introducir en la página de
inicio de sesión de MFA.
Voz Una llamada telefónica automatizada le pide al usuario que se autentique

presionando una clave en el teléfono o introduciendo un código en la página
de inicio de MFA.
Contraseña de una Un dispositivo de extremo proporciona una cadena alfanumérica generada

sola vez (One-time automáticamente que el usuario introduce en la página de inicio de sesión de
password, OTP) MFA para habilitar la autenticación para una transacción o sesión única.
SAML
Puede utilizar el lenguaje de marcado para confirmaciones de seguridad (Security Assertion Markup
Language, SAML) 2.0 para autenticar a los administradores que acceder a la interfaz web del cortafuegos o
de Panorama, y a los usuarios finales que acceden a aplicaciones web internas o externas a su organización.
En entornos donde cada usuario accede a varias aplicaciones y la autenticación de cada uno impediría la
producción de usuario, puede configurar el inicio de sesión único (SSO) de SAML para permitir un inicio
de sesión para acceder a varias aplicaciones. De igual modo, el cierre de sesión único (single logout, SLO)
de SAML le permite a un usuario finalizar sesiones de varias aplicaciones cerrando la sesión de una sola

sesión. El SSO está disponible para los administradores que acceden a la interfaz web y a los usuarios
finales que acceden a las aplicaciones mediante GlobalProtect o el portal cautivo. El SLO está disponible
para los administradores y los usuarios finales de GlobalProtect, pero no para los usuarios finales del portal
cautivo. Cuando configura la autenticación de SAML en el cortafuegos o en Panorama, puede especificar los
atributos de SAML para la autorización de administrador. Los atributos de SAML le permiten cambiar con
rapidez las funciones, los dominios de acceso y los grupos de usuarios de administradores en su servicio de
directorio, lo que, por lo general, es más sencillo que volver a configurar el cortafuegos y Panorama.
Los administradores no pueden utilizar SAML para autenticarse para la CLI del cortafuegos
o de Panorama.
No puede utilizar los perfiles de autenticación de SAML en las secuencias de autenticación.
La autenticación de SAML requiere un proveedor de servicios (el cortafuegos o Panorama), que controla
el acceso a las aplicaciones y un proveedor de identidad (identity provider, IdP) como PingFederate,
que autentica usuarios. Cuando un usuario solicita un servicio o aplicación, el cortafuegos o Panorama
intercepta la solicitud y redirige el usuario al IdP para que se autentique. Luego, el IdP autentica al usuario
y devuelve una confirmación SAML, que indica que la autenticación fue correcta o no. La Autenticación de
SAML para los usuarios finales del portal cautivo ilustra la autenticación de SAML para un usuario final que
accede a las aplicaciones mediante el portal cautivo.

Kerberos
Kerberos es un protocolo de autenticación que permite un intercambio seguro de información entre las
partes mediante una red insegura utilizando claves únicas (denominadas vales) para identificar a las partes.
El cortafuegos y Panorama admiten dos tipos de autenticación de Kerberos para los administradores y los
usuarios finales:
• Autenticación de servidor Kerberos: un perfil de servidor Kerberos permite a los usuarios autenticarse
de manera nativa en un controlador de dominio de Active Directory o un servidor de autenticación
compatible con Kerberos V5. Este método de autenticación es interactivo y requiere que los usuarios
introduzcan nombres de usuario y contraseñas. Para obtener los pasos de la configuración, consulte
Configuración de la autenticación del servidor Kerberos.
• Inicio de sesión único (SSO) de Kerberos: una red que admita un SSO de Kerberos V5 pide al usuario
que inicie sesión únicamente para el acceso inicial a la red (por ejemplo, iniciando sesión en Microsoft
Windows). Tras este inicio de sesión inicial, el usuario podrá acceder a cualquier servicio basado en el
explorador de la red (por ejemplo, la interfaz web del cortafuegos) sin tener que iniciar sesión de nuevo
hasta que venza la sesión con SSO. (Su administrador de Kerberos define la duración de las sesiones con
SSO.) Si habilita el SSO de Kerberos y los servicios de autenticación externa (como un servidor TACACS
+), el cortafuegos primero prueba el SSO y, solo si falla, vuelve al servicio externo para la autenticación.
Para admitir el SSO de Kerberos, su red requiere:
• Una infraestructura Kerberos, que incluya un centro de distribución de claves (KDC) con un servidor
de autenticación (AS) y servicios de concesión de tickets (TGS).
• Una cuenta de Kerberos para el cortafuegos o Panorama que autentique usuarios. Se requiere una
cuenta para crear un keytab de Kerberos, que es un archivo que contiene el nombre principal y una
contraseña con hash del cortafuegos o Panorama. El proceso de SSO requiere un keytab.
Para obtener los pasos de la configuración, consulte Configuración de un inicio de sesión único de
Kerberos.
El SSO de Kerberos se encuentra disponible solo para los servicios y las aplicaciones
internas de su entorno de Kerberos. Para habilitar el SSO para los servicios y las
aplicaciones externas, utilice SAML.
TACACS+
El sistema de control de acceso del controlador de acceso a terminales (Terminal Access Controller Access-
Control System Plus, TACACS+) es una familia de protocolos que permiten la autenticación y la autorización
mediante un servidor centralizado. TACACS+ cifra nombres de usuario y contraseñas, lo que lo convierte
en una opción más segura que RADIUS, que solo cifra contraseñas. TACACS+ es más fiable dado que
utiliza TCP, mientras que RADIUS utiliza UDP. Puede configurar la autenticación TACACS+ para los
usuarios finales o los administradores en el cortafuegos y para los administradores en Panorama. De manera
opcional, puede utilizar los VSA de TACACS+ para gestionar la autorización del administrador. Los VSA de
TACACS+ le permiten cambiar con rapidez las funciones, los dominios de acceso y los grupos de usuarios de
administradores en su servicio de directorio, en lugar de volver a configurar el cortafuegos y Panorama.
Si utiliza TACACS+ para gestionar la autorización de administradores, no puede tener

cuentas administrativas locales en el cortafuegos o Panorama; debe definir las cuentas solo
en el servidor TACACS+.
El cortafuegos y Panorama admiten los siguientes atributos y VSA de TACACS+. Consulte su

documentación de servidor TACACS+ para obtener información sobre los pasos necesarios para definir
estos VSA en el servidor TACACS+.

Nombre Valor
service Este atributo es necesario para identificar los VSA como

específicos de Palo Alto Networks. Debe establecer el valor
en paloalto.
PROTOCOL Este atributo es necesario para identificar los VSA como

específicos de los dispositivos de Palo Alto Networks. Debe
establecer el valor en firewall (cortafuegos).
PaloAlto-Admin-Role Un nombre de función de administración predeterminada

(dinámica) o un nombre de función de administración
personalizada en el cortafuegos.
PaloAlto-Admin-Access-Domain El nombre de un dominio de acceso para los administradores

de cortafuegos (configurados en la página Device
[Dispositivo] > Access Domains [Dominios de acceso]).
Defina este VSA si el cortafuegos tiene múltiples sistemas
virtuales.
PaloAlto-Panorama-Admin-Role Un nombre de función de administración predeterminada

(dinámica) o un nombre de función de administración
personalizada en Panorama.
PaloAlto-Panorama-Admin-Access- El nombre de un dominio de acceso para los administradores

Domain de grupo de dispositivo y plantilla (configurados en la página
Panorama > Access Domains [Dominios de acceso]).
PaloAlto-User-Group El nombre de un grupo de usuarios en la lista de permitidos

de un perfil de autenticación.
RADIUS
El servicio de autenticación remota telefónica de usuario (RADIUS) es un protocolo de red ampliamente
admitido que brinda autenticación y autorización centralizadas. Puede configurar la autenticación RADIUS
para los usuarios finales o los administradores en el cortafuegos y para los administradores en Panorama.
De manera opcional, puede utilizar los atributos específicos del proveedor (Vendor-Specific Attributes, VSA)
de RADIUS para gestionar la autorización del administrador. Los VSA de RADIUS le permiten cambiar con
rapidez las funciones, los dominios de acceso y los grupos de usuarios de administradores en su servicio
de directorio, en lugar de volver a configurar el cortafuegos y Panorama. Además, puede configurar el
cortafuegos para utilizar un servidor RADIUS para lo siguiente:
• Recolección de VSA de los clientes de GlobalProtect.
• Implementación de la autenticación multifactor.
Al enviar solicitudes de autenticación a un servidor RADIUS, el cortafuegos y Panorama utilizan el nombre
de perfil de autenticación como el servidor de acceso de red (network access server, NAS), incluso si el perfil
está asignado a una secuencia de autenticación para el servicio (como el acceso administrativo a la interfaz
web) que inicia el proceso de autenticación.
El cortafuegos y Panorama admiten los siguientes VSA de RADIUS. Para definir VSA en un servidor
RADIUS, debe especificar el código de proveedor (25461 para cortafuegos o Panorama de Palo Alto
Networks) y el nombre y número de VSA. Algunos VSA también requieren un valor. Consulte su

documentación de servidor RADIUS para obtener información sobre los pasos necesarios para definir estos
VSA.
Si utiliza RADIUS para gestionar la autorización de administradores, no puede tener cuentas

administrativas locales en el cortafuegos o Panorama; debe definir las cuentas solo en el
servidor RADIUS.
Cuando configure las opciones avanzadas de proveedor en un servidor de control de acceso
seguro de Cisco (Cisco Secure Access Control Server, ACS), debe establecer Vendor
Length Field Size (Tamaño del campo longitud de proveedor) y Vendor Type Field Size
(Tamaño del campo de tipo de proveedor) en 1. De lo contrario, la autenticación fallará.
Nombre Número Valor
VSA para la autenticación y gestión de cuentas de administrador
PaloAlto-Admin-Role 1 Un nombre de función de administración

predeterminada (dinámica) o un nombre de función de
administración personalizada en el cortafuegos.
PaloAlto-Admin-Access-Domain 2 El nombre de un dominio de acceso para los

administradores de cortafuegos (configurados en
la página Device [Dispositivo] > Access Domains
[Dominios de acceso]). Defina este VSA si el
cortafuegos tiene múltiples sistemas virtuales.
PaloAlto-Panorama-Admin-Role 3 Un nombre de función de administración

predeterminada (dinámica) o un nombre de función de
administración personalizada en Panorama.
PaloAlto-Panorama-Admin-Access- 4 El nombre de un dominio de acceso para los

Domain administradores de grupo de dispositivo y plantilla
(configurados en la página Panorama > Access
Domains [Dominios de acceso]).
PaloAlto-User-Group 5 El nombre de un grupo de usuarios al que hace

referencia un perfil de autenticación.
Los VSA enviados desde los clientes de GlobalProtect al servidor RADIUS
PaloAlto-User-Domain 6 No especifique un valor cuando defina estos VSA.
PaloAlto-Client-Source-IP 7
PaloAlto-Client-OS 8
PaloAlto-Client-Hostname 9
PaloAlto-GlobalProtect-Client- 10
Version

LDAP:
El protocolo ligero de acceso a directorios (LDAP) es un protocolo estándar para acceder a directorios de
información. Puede realizar la Configuración de la autenticación LDAP para los usuarios finales y para los
administradores del cortafuegos y de Panorama.
La configuración del cortafuegos para conectarse a un servidor LDAP también le permite definir las reglas
de la política en función de los usuarios y los grupos de usuarios, en lugar de solo las direcciones IP. Para
obtener información sobre los pasos, consulte Asignación de usuarios a grupos y Habilitación de política
basada en usuarios y grupos.
Autenticación local
A pesar de que el cortafuegos y Panorama ofrecen autenticación local a administradores y usuarios
finales, se recomiendan los servicios de autenticación externa en la mayoría de los casos debido a que
proporcionan una gestión central de las cuentas. Sin embargo, es posible que requiera cuentas de usuario
especiales que no gestiona mediante los servidores del directorio que la organización reserva para las
cuentas regulares. Por ejemplo, puede definir una cuenta de superusuario local en el cortafuegos para poder
acceder al cortafuegos incluso aunque el servidor del directorio no funcione. En estos casos, puede utilizar
los siguientes métodos de autenticación local:
• (Solo en el cortafuegos) Autenticación de base de datos local: para realizar la Configuración de
la autenticación de la base de datos local, cree una base de datos que funcione localmente en el
cortafuegos y contenga las cuentas de usuario (nombres de usuario y contraseñas, o contraseñas con
hash) y los grupos de usuarios. Este tipo de autenticación es útil para la creación de cuentas de usuario
que reutilizan las credenciales de las cuentas Unix existentes en casos donde solo conoce las contraseñas
con hash, no las contraseñas en texto normal. Dado que la autenticación de base de datos local se
asocia con los perfiles de autenticación, puede incluir implementaciones donde diferentes conjuntos
de usuarios requieren diferentes configuraciones de autenticación, como el SSO de Kerberos o la
autenticación multifactor. (Para obtener información detallada, consulte Configuración de una secuencia
y perfil de autenticación). En el caso de las cuentas que utilizan contraseñas en texto normal, también
puede realizar el paso (Solo autenticación local) Defina la complejidad de la contraseña y la configuración
del vencimiento. Este método de autenticación se encuentra disponible para los administradores que
acceden al cortafuegos (pero no a Panorama) y para los usuarios finales que acceden a servicios y
aplicaciones mediante el portal cautivo o GlobalProtect.
• Autenticación local sin una base de datos: puede configurar cuentas administrativas del cortafuegos
o cuentas administrativas de Panorama sin crear una base de datos de los usuarios y los grupos de
usuarios que se ejecute localmente en el cortafuegos o en Panorama. Dado que este método no está
asociado a los perfiles de autenticación, no puede combinarlo con el SSO de Kerberos o la MFA. Sin
embargo, este es el único método de autenticación que permite perfiles de contraseña, lo que le permite
asociar cuentas individuales con configuración de vencimiento de contraseña que se diferencia de la
configuración global. (Para obtener información detallada, consulte [Solo autenticación local] Definición
de la complejidad de la contraseña y la configuración del vencimiento.)

Planificación de su implementación de
autenticación
A continuación, se muestran las preguntas clave que deben considerarse antes de implementar una solución
de autenticación para los administradores que acceden al cortafuegos y a los usuarios finales que acceden a
los servicios y aplicaciones mediante el portal cautivo.
En el caso de los usuarios finales y los administradores, considere las siguientes interrogantes:
¿Cómo puede aprovechar su infraestructura de seguridad existente? Por lo general, integrar el
cortafuegos con una infraestructura existente es más rápido y económico que establecer una
solución separada nueva solo para los servicios del cortafuegos. El cortafuegos se puede integrar con
autenticación multifactor, SAML, Kerberos, TACACS+, RADIUS, y servidores LDAP. Si sus usuarios
acceden a los servicios y aplicaciones externos a su red, puede utilizar SAML para integrar el cortafuegos
con un proveedor de identidad (IdP) que controla el acceso a los servicios y aplicaciones externos e
internos.
¿Cómo se puede optimizar la experiencia de usuario? Si no desea que los usuarios se autentiquen
manualmente y no cuenta con una infraestructura de clave pública, puede implementar la autenticación
de certificados. Otra opción es implementar el inicio de sesión único (single sign-on, SSO) de Kerberos
o SAML, de modo que los usuarios puedan acceder a varios servicios y aplicaciones tras iniciar sesión
en uno. Si su red requiere seguridad adicional, puede combinar la autenticación de certificados con la
autenticación interactiva (desafío-respuesta).
¿Requiere cuentas de usuario especiales que no gestiona mediante los servidores del directorio que la
organización reserva para las cuentas regulares? Por ejemplo, puede definir una cuenta de superusuario
local en el cortafuegos para poder acceder al cortafuegos incluso si el servidor del directorio no funciona.
Puede configurar la autenticación local para estas cuentas con fines especiales.
Por lo general, se recomiendan los servicios de autenticación externa en lugar de los de

autenticación local debido a que brindan gestión central de las cuentas.
Solo en el caso de los usuarios finales, considere lo siguiente:

¿Qué servicios y aplicaciones son más delicados que otros? Por ejemplo, es posible que desee una
autenticación más sólida para los documentos financieros clave que para los motores de búsqueda. Para
proteger los servicios y aplicaciones más delicados, puede configurar la Autenticación multifactor (Multi-
Factor Authentication, MFA) para garantizar que cada usuario se autentique utilizando varios métodos
(factores) cuando accede a esos servicios y aplicaciones. Para responder a distintas necesidades de
seguridad, realice la Configuración de la política de autenticación para configurar las reglas de la política
de autenticación que desencadenan la MFA o la autenticación de factor único (como las credenciales
de inicio de sesión o los certificados) en función de los servicios, las aplicaciones y los usuarios finales
específicos. Entre las otras maneras de reducir su servicio de ataque, se encuentran la segmentación de
la red y los grupos de usuario para aplicaciones de la lista de permitidos.
En el caso de solo los administradores, considere lo siguiente:
¿Utiliza un servidor externo para gestionar centralmente la autorización de todas las cuentas
administrativas? Si define los atributos específicos del proveedor (Vendor-Specific Attributes, VSA) en
el servidor externo, puede cambiar con rapidez las asignaciones de funciones administrativas mediante
el servicio de su directorio en lugar de volver a configurar el cortafuegos. Los VSA también le permiten
especificar los dominios de acceso para los administradores de cortafuegos con varios sistemas virtuales.
SAML, TACACS+ y RADIUS admiten autorización externa.
Si utiliza RADIUS o TACACS+ para gestionar la autorización de administradores, no

puede tener cuentas administrativas locales en el cortafuegos; debe definir las cuentas

solo en el servidor RADIUS o TACACS+. La autorización SAML permite cuentas locales
y externas.

Configuración de la autenticación multifactor
Para usar la autenticación multifactor (Multi-Factor Authentication, MFA) para proteger servicios y
aplicaciones sensibles, debe configurar el portal cautivo para que muestre un formulario web para el primer
factor de autenticación y registrar marcas de tiempo de autenticación. El cortafuegos utiliza las marcas
de tiempo para evaluar los tiempos de espera para las reglas de política de autenticación. Para habilitar
los factores de autenticación adicionales, puede integrar el cortafuegos con proveedores MFA a través
de RADIUS o API de proveedor. Después de evaluar la política de autenticación, el cortafuegos evalúa la
política de seguridad, por lo que se deben configurar reglas para ambos tipos de política.
Palo Alto Networks proporciona proveedores MFA a través de actualizaciones de contenido

de aplicaciones. Esto significa que si utiliza Panorama para enviar configuraciones de grupo
de dispositivos a los cortafuegos, debe instalar las mismas actualizaciones de aplicaciones en
los cortafuegos que en Panorama para evitar discrepancias en el soporte del proveedor.
STEP 1 | Configure el portal cautivo en el modo Redirect (Redirigir) para mostrar un formulario web
para el primer factor de autenticación, registrar marcas de tiempo de autenticación y actualizar
asignaciones de usuario.
STEP 2 | Configure uno de los siguientes perfiles de servidor para definir de qué manera el cortafuegos
se conectará con el servicio que autentica a los usuarios para el primer factor de autenticación.
• Añada un perfil de servidor RADIUS. Esto es necesario si el cortafuegos se integra con un proveedor
MFA a través de RADIUS. En ese caso, el proveedor MFA proporciona el primero y todos los factores
de autenticación adicionales para que usted pueda omitir el paso siguiente (configuración de un perfil
de servidor MFA). Si el cortafuegos se integra con un proveedor MFA a través de una API, se puede
usar un perfil de servidor RADIUS para el primer factor, pero se necesitan los perfiles de servidor
MFA para los factores adicionales.
• Añada un perfil de servidor SAML IdP.
En la mayoría de los casos, se recomienda un servicio externo para el primer factor de

autenticación. Sin embargo, puede realizar la configuración de autenticación de base de
datos local como alternativa.
STEP 3 | Añada un perfil de servidor MFA.

El perfil define de qué manera el cortafuegos se conecta con el servidor MFA. Añada un perfil separado
para cada factor de autenticación después del primer factor. El cortafuegos se integra con estos
servidores MFA a través de API de proveedores. Puede especificar hasta tres factores adicionales. Cada
proveedor MFA proporciona un factor, si bien algunos proveedores permiten a los usuarios elegir un
factor entre varios.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > Multi Factor Authentication
(Autenticación multifactor) y Add (Añadir) para añadir un perfil.
2. Introduzca un nombre en Name (Nombre) para identificar el servidor MFA.
3. Seleccione el Certificate Profile (Perfil del certificado) que el cortafuegos utilizará para validar el
certificado del servidor MFA al establecer una conexión segura con el servidor MFA.
4. Seleccione el MFA Vendor (Proveedor MFA) que implementó.
5. Configure el Value (Valor) de cada atributo de proveedor.

Los atributos definen de qué manera el cortafuegos se conecta con el servidor MFA. Cada Type
(Tipo) de proveedor requiere diferentes atributos y valores; consulte la documentación de su
proveedor para obtener detalles.

El perfil define el orden de los factores de autenticación a los que los usuarios deben responder.
1. Seleccione Device (Dispositivo) > Authentication Profile (Perfil de autenticación) y luego Add
(Añadir) para añadir un perfil.
2. Introduzca un Name (Nombre) para identificar el perfil de autenticación.
3. Seleccione el Type (Tipo) para el primer factor de autenticación y seleccione el Server Profile (Perfil
de servidor) correspondiente.
4. Seleccione Factors (Factores), Enable Additional Authentication Factors (Habilitar factores de
autenticación adicionales) y luego Add (Añadir) para añadir los perfiles de servidor MFA que
configuró.
El cortafuegos invocará cada servicio MFA en el orden enumerado, desde arriba hacia abajo.
5. Haga clic en OK (Aceptar) para guardar el perfil de autenticación.
STEP 5 | Configure un objeto de cumplimiento de autenticación.

El objeto asocia cada perfil de autenticación con un método de portal cautivo. El método determina si el
primer desafío de autenticación (factor) es transparente o requiere una respuesta del usuario.
Seleccione el Authentication Profile (Perfil de autenticación) que configuró e introduzca un Message
(Mensaje) que indique a los usuarios cómo autenticarse con el primer factor. El mensaje se muestra en el
formulario web del portal cautivo.
Si usted configura el Authentication Method (Método de autenticación) en browser-

challenge (comprobación del navegador), el formulario web del portal cautivo se muestra
solo si la autenticación SSO de Kerberos falla. De lo contrario, la autenticación para el
primer factor es automática, los usuarios no verán el formulario web.
STEP 6 | Configure una regla de política de autenticación.

La regla debe coincidir con los servicios y aplicaciones que usted desea proteger y los usuarios que
deben autenticarse.
1. Seleccione Policies (Políticas) > Authentication (Autenticación) y luego Add (Añadir) para añadir una
regla.
2. Introduzca un nombre en Name para identificar la regla.
3. Seleccione Source (Origen) y Add (Añadir) para añadir zonas específicas, o seleccione Any
(Cualquiera) para seleccionar cualquier zona o dirección IP.
La regla se aplica únicamente al tráfico proveniente de las direcciones IP identificadas o de las
interfaces en las zonas especificadas.
4. Seleccione User (Usuario) y seleccione o añada, haciendo clic en Add (Añadir), los grupos de usuario a
los cuales se aplica la regla (el valor predeterminado es any [cualquiera]).
5. Seleccione Source (Origen) y Add (Añadir) para añadir zonas y direcciones IP específicas, o seleccione
Any (Cualquiera) para seleccionar cualquier zona o dirección IP.
La direcciones IP pueden ser recursos (como servidores) para los cuales usted desea controlar el
acceso.

6. Seleccione Service/URL Category (Categoría de URL/servicio) y seleccione o añada, haciendo clic
en Add (Añadir), los servicios y grupos de servicio para los cuales la regla controla el acceso (el valor
predeterminado es service-http).
7. Seleccione o añada, haciendo clic en Add (Añadir), las categorías URL para las cuales la regla controla
el acceso (el valor predeterminado es any [cualquiera]). Por ejemplo, puede crear una categoría URL
personalizada que especifique sus sitios internos más sensibles.
8. Seleccione Actions (Acciones) y seleccione el objeto de Authentication Enforcement (Cumplimiento
de la autenticación) que creó.
9. Especifique el periodo de Timeout (Tiempo de espera) en minutos (el valor predeterminado es 60)
durante el cual el cortafuegos indica al usuario que se autentique solo una vez para el acceso repetido
a los servicios y aplicaciones.
10.Haga clic en OK (Aceptar) para guardar la regla.
STEP 7 | Personalice la página de inicio de sesión de MFA.

El cortafuegos muestra esta página para indicar a los usuarios cómo autenticarse para los factores MFA e
indicar el estado de autenticación (en curso, correcto o fallido).
1. Seleccione Device (Dispositivo) > Response Pages (Páginas de respuesta) y seleccione MFA Login
Page (Página de inicio de sesión de MFA).
2. Seleccione la página de respuesta Predefined (Predefinida) y Export (Exporte) la página a su sistema
cliente.
3. En su sistema cliente, use un editor HTML para personalizar la página de respuesta descargada y
guardarla con un nombre de archivo único.
4. Regrese al cuadro de diálogo MFA Login Page (Página de inicio MFA) en el cortafuegos, seleccione
Import (Importar) para importar su página personalizada, Browse (Examinar) para seleccionar Import
File (Importar archivo), luego seleccione el Destination (Destino) (sistema virtual o ubicación shared
[compartida]), haga clic en OK (Aceptar), y luego haga clic en Close (Cerrar).
STEP 8 | Configure una regla de política de seguridad que permita a los usuarios acceder a los servicios y
aplicaciones que requieren autenticación.
1. Creación de una regla de política de seguridad.
El motor de correlación automatizado en el cortafuegos utiliza varios objetos

de correlación para detectar eventos en su red que podrían indicar abuso de
credenciales en relación con MFA. Para revisar los eventos, seleccione Monitor
(Supervisar) > Automated Correlation Engine (Motor de correlación automatizado) >
Correlated Events (Eventos correlacionados).
STEP 9 | Verifique que el cortafuegos aplique la MFA.

1. Inicie sesión en su red como uno de los usuarios de origen especificados en la regla de autenticación.
2. Solicite un servicio o aplicación que coincida con uno de los servicios o aplicaciones especificados en
la regla.
El cortafuegos muestra el formulario web del portal cautivo para el primer factor de autenticación.
La página contiene el mensaje que introdujo en el objeto de cumplimiento de la autenticación. Por
ejemplo:

3. Introduzca sus credenciales para el primer desafío de autenticación.
El cortafuegos luego muestra una página de inicio de sesión de MFA para el siguiente factor
de autenticación. Por ejemplo, el servicio MFA puede indicarle que seleccione el método de
autenticación por voz, SMS, inserción o código PIN (OTP). Si selecciona el método push (inserción), el
teléfono le indicará que apruebe la autenticación.
4. Autentíquese con el siguiente factor.

El cortafuegos muestra un mensaje de autenticación correcta o fallida. Si la autenticación se realizó
correctamente, el cortafuegos muestra una página de inicio de sesión de MFA para el siguiente factor
de autenticación, si hubiera.
Repita este paso para cada factor MFA. Una vez que se ha autenticado para todos los factores,
el cortafuegos evalúa la política de seguridad para determinar si permitirá el acceso al servicio o
aplicación.
5. Finalice la sesión para el servicio o aplicación a los que acaba de acceder.
6. Inicie una nueva sesión para el mismo servicio o aplicación. Asegúrese de realizar este paso dentro del
periodo de Timeout (Tiempo de espera) que configuró en la regla de autenticación.
El cortafuegos permite el acceso sin una nueva autenticación.
7. Espere hasta que el periodo de Timeout (Tiempo de espera) caduque y solicite el mismo servicio o
aplicación.
El cortafuegos le solicita que vuelva a autenticarse.

Configuración de la autenticación SAML
Para configurar el inicio de sesión único (single sign-on, SSO) de SAML y el cierre de sesión único (single
logout, SLO), debe registrar el cortafuegos y el IdP entre sí para habilitar la comunicación entre ellos. Si el
IdP proporciona un archivo de metadatos que contiene información de registro, usted puede importarlo
en el cortafuegos para registrar el IdP y crear un perfil de servidor IdP. El perfil de servidor define cómo
conectarse con el IdP y especifica el certificado que el IdP utiliza para firmar los mensajes de SAML.
También puede usar un certificado para que el cortafuegos firme los mensajes de SAML. El uso de
certificados es opcional, pero lo recomendamos para asegurar las comunicaciones entre el cortafuegos y el
IdP.
El siguiente procedimiento describe cómo configurar la autenticación SAML para usuarios finales y
administradores de cortafuegos. También puede configurar la autenticación SAML para los administradores
de Panorama.
El SSO está disponible para los administradores y para los usuarios finales de GlobalProtect
y Captive Portal. El SLO está disponible para los administradores y los usuarios finales de
GlobalProtect, pero no para los usuarios finales de Captive Portal.
Los administradores pueden utilizar SAML para autenticarse en la interfaz web del
cortafuegos, pero no en la CLI.
STEP 1 | (Recomendado) Obtenga los certificados que el IdP y el cortafuegos utilizarán para firmar los
mensajes de SAML.
Si los certificados no especifican atributos de uso clave, todos los usos se permitirán de manera
predeterminada, incluidos los mensajes de firmas. En este caso, usted puede obtener certificados
mediante cualquier método.
Si el certificado especifica atributos de uso de clave, uno de los atributos debe ser la firma digital, que no
está disponible en los certificados que usted genera en el cortafuegos o en Panorama. En este caso, debe
importar los certificados:
• Certificado que el cortafuegos utiliza para firmar mensajes de SAML: importe el certificado desde la
autoridad de certificados (certificate authority, CA) de su empresa o una CA de terceros.
• Certificado que el IdP utiliza para firmar mensajes de SAML: importe un archivos de metadatos que
contenga el certificado del IdP (consulte el paso a continuación). El certificado de IdP se limita a los
siguientes algoritmos:
Public key algorithms (Algoritmos de clave pública): RSA (1.024 bits o mayor) y ECDSA (todos los
tamaños). Un cortafuegos en modo FIPS / CC admite RSA (2.048 bits o más) y ECDSA (todos los
tamaños).
Signature algorithms (Algoritmos de firma): SHA1, SHA256, SHA384 y SHA512. Un cortafuegos en
modo FIPS / CC soporta SHA256, SHA384 y SHA512.
STEP 2 | Añada un perfil de servidor SAML IdP.

El perfil de servidor registra el IdP en el cortafuegos y define cómo se conectan.
En este ejemplo, usted importa un archivos de metadatos de SAML desde el IdP, de manera que el
cortafuegos puede crear automáticamente un perfil de servidor y completar la información de conexión,
registro y certificado de IdP.

Si el IdP no proporciona un archivo de metadatos, seleccione Device (Dispositivo) >
Server Profiles (Perfiles de servidor) > SAML Identity Provider (Proveedor de identidad
de SAML) y Add (Añadir) para añadir el perfil de servidor, e ingrese manualmente la
información (consulte a su administrador de IdP para obtener los valores).
1. Exporte el archivo de metadatos desde el IdP a un sistema cliente al cual el cortafuegos pueda
acceder.
El certificado especificado en el archivo debe reunir los requisitos enumerados en el paso anterior.
Consulte su documentación de IdP para obtener instrucciones sobre cómo exportar el archivo.
2. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > SAML Identity Provider
(Proveedor de identidad de SAML) e Import (Importar) para importar el archivo de metadato en el
cortafuegos.
3. Introduzca un nombre en Profile Name (Nombre del perfil) para identificar el perfil de servidor.
4. Seleccione Browse (Examinar) para buscar el archivo de Identity Provider Metadata (Metadatos de
proveedor de identidad).
5. (Recomendado) Seleccione Validate Identity Provider Certificate (Validar certificado de proveedor
de identidad) (valor predeterminado) para que el cortafuegos valida el Identity Provider Certificate
(Certificado de proveedor de identidad).
La validación se produce después de asignar el perfil del servidor a un perfil de autenticación y
Commit (Confirmar). El cortafuegos utiliza el perfil de certificado en el perfil de autenticación para
validar el certificado.
La validación del certificado es una práctica recomendada para lograr mayor

seguridad.
6. Ingrese el Maximum Clock Skew (Desplazamiento de reloj máximo), que es la diferencia permitida
en segundos entre los tiempos del sistema del IdP y el cortafuegos al momento en que el cortafuegos
valida los mensajes de IdP (el valor predeterminado es 60; el intervalo es de 1 a 900). Si la diferencia
supera este valor, la autenticación falla.
7. Haga clic en OK (Aceptar) para guardar el perfil de servidor.
8. Haga clic en el nombre del perfil de servidor para que aparezcan los ajustes del perfil. Verifique que la
información importada sea correcta y modifíquela si fuera necesario.

El perfil define los ajustes de autenticación que son comunes a un conjunto de usuarios.
3. Configure el Type (Tipo) en SAML.
4. Seleccione el IdP Server Profile (Perfil de servidor IdP) que configuró.
5. Seleccione el Certificate for Signing Requests (Certificado para las solicitudes de firma).
El cortafuegos utiliza este certificado para firmar mensajes que envía al IdP.
6. (Opcional) Enable Single Logout (Habilitar cierre de sesión único) (está inhabilitado de manera
predeterminada).
7. Seleccione el Certificate Profile (Perfil de certificado) que el cortafuegos utilizará para validar el
Identity Provider Certificate (Certificado de proveedor de identidad).
8. Ingrese el Username Attribute (Atributo de nombre de usuario) que los mensajes de IdP utilizan para
identificar a los usuarios (el valor predeterminado es username [nombre de usuario]).

Si gestiona la autorización de administrador en el almacén de identidades, especifique
el Admin Role Attribute (Atributo de rol de administrador) y también el Access Domain
Attribute (Atributo de dominio de acceso).
9. Seleccione Advanced (Avanzado) y haga clic en Add (Añadir) para añadir los usuarios y grupos que
pueden autenticarse con este perfil de autenticación.
10.Haga clic en OK (Aceptar) para guardar el perfil de autenticación.
STEP 4 | Asigne el perfil de autenticación a las aplicaciones de cortafuegos que requieren autenticación.
1. Asigne el perfil de autenticación a lo siguiente:
• Cuentas de administrador que usted gestiona a nivel local en el cortafuegos. En este ejemplo,
configure una cuenta de administrador de cortafuegos antes de verificar la configuración de SAML
posteriormente en este procedimiento.
• Las cuentas de administrador que usted gestiona externamente en el almacén de identidades de
IdP. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), modifique
los ajustes de autenticación y seleccione el Authentication Profile (Perfil de autenticación) que
configuró.
• Las reglas de política de autenticación que aseguran los servicios y aplicaciones a los que los
usuarios finales acceden a través del portal cautivo. Consulte Configuración de la política de
autenticación.
• Portales y puertas de enlace de GlobalProtect a los que acceden los usuarios finales.
El cortafuegos valida el Identity Provider Certificate (Certificado de proveedor de identidad) que
usted asignó al perfil de servidor IdP SAML.
STEP 5 | Cree un archivo de metadatos SAML para registrar la aplicación del cortafuegos (acceso de
gestión, Captive Portal o GlobalProtect) en el IdP.
1. Seleccione Device (Dispositivo) > Authentication Profile (Perfil de autenticación) y, en la columna
Authentication (Autenticación) del perfil de autenticación que configuró, haga clic en Metadata
(Metadatos).
2. En la lista desplegable Commands (Comandos), seleccione la aplicación que desee registrar:
• management (gestión) (predeterminado): proporciona acceso de administrador a la interfaz web.
• captive-portal (portal cautivo): proporciona acceso al usuario final para los servicios y aplicaciones
a través de Captive Portal.
• global-protect: proporciona acceso al usuario final para los servicios y aplicaciones a través de
GlobalProtect.
3. (Captive Portal o GlobalProtect únicamente) para el Vsysname Combo (Combinación de nombre de
sistema virtual), seleccione el sistema virtual en el que están definidos los ajustes de Captive Portal o
el portal de GlobalProtect.
4. Ingrese la interfaz, la dirección IP o el nombre de host según la aplicación que registrará:
• management (gestión): para Management Choice (Opción de gestión), seleccione Interface
(Interfaz) (predeterminado) y seleccione una interfaz que esté habilitada para el acceso de gestión
a la interfaz web. La selección predeterminada es la dirección IP de la interfaz MGT.
• captive-portal: para el IP Hostname (Nombre de host IP), ingrese la dirección IP o el nombre
de host del Redirect Host (Host de redireccionamiento) (consulte Device [Dispositivo] > User
Identification [Identificación de usuario] > Captive Portal Settings [Configuración del portal
cautivo]).
• global-protect: para el IP Hostname (Nombre de host IP), ingrese el nombre de host o dirección IP
del portal o la puerta de enlace de GlobalProtect.
5. Haga clic en OK (Aceptar) y guarde el archivo de metadatos en su sistema cliente.

6. Importe el archivo de metadatos en el servidor de IdP para registrar la aplicación del cortafuegos.
Consulte la documentación del IdP para obtener instrucciones.
STEP 6 | Verifique que los usuarios puedan autenticarse usando el SSO de SAML.
Por ejemplo, para verificar que SAML funcione para el acceso a la interfaz web usando una cuenta de
administrador local:
1. Vaya a la URL de la interfaz web del cortafuegos.
2. Haga clic en Use Single Sign-On (Usar inicio de sesión único).
3. Ingrese el nombre de usuario del administrador.
4. Haga clic en Continue (Continuar).
El cortafuegos lo redirigirá para autenticarse en el IdP, que muestra una página de inicio de sesión.
Por ejemplo:
5. Inicie sesión usando su nombre de usuario y contraseña de SSO.

Una vez autenticado correctamente en el IdP, será redirigido nuevamente al cortafuegos, que
mostrará la interfaz web.
6. Utilice su cuenta de administrador de cortafuegos para solicitar acceso a otra aplicación de SSO.
El acceso correcto indica que la autenticación de SSO SAML se realizó correctamente.

Configuración de un inicio de sesión único de
Kerberos
Panorama y los cortafuegos de Palo Alto Networks admiten el inicio de sesión único (single sign-on, SSO)
de Kerberos 5 para autenticar a los administradores en la interfaz web y a los usuarios finales en el portal
cautivo. Si el SSO de Kerberos está habilitado, el usuario solo debe iniciar sesión durante el acceso inicial
a su red (como iniciar sesión en Microsoft Windows). Tras este inicio de sesión inicial, el usuario podrá
acceder a cualquier servicio basado en el explorador de la red (por ejemplo, la interfaz web del cortafuegos)
sin tener que iniciar sesión de nuevo hasta que venza la sesión con SSO.
STEP 1 | Cree un keytab de Kerberos.

El keytab es un archivo que contiene el nombre y la contraseña principales del cortafuegos, y es
necesario para el proceso de SSO.
1. Cree una cuenta de Kerberos para el cortafuegos. Consulte la documentación de Kerberos para
obtener información sobre los pasos.
2. Inicie sesión en el KDC y abra una línea de comandos.
3. Escriba el siguiente comando, donde <principal_name>, <password> y <algorithm> son variables.
ktpass /princ <principal_name> /pass <password> /crypto <algorithm> /ptype

KRB5_NT_PRINCIPAL /out <file_name>.keytab
Si el cortafuegos está en modo FIPS/CC, el algoritmo debe ser aes128-cts-hmac-

sha1-96 o aes256-cts-hmac-sha1-96. De lo contrario, puede usar también des3-
cbc-sha1 o arcfour-hmac. Para utilizar un algoritmo Advanced Encryption Standard
(estándar de cifrado avanzado, AES), el nivel funcional del KDC debe ser Windows
Server 2008 o posterior y debe habilitar el cifrado AES para la cuenta del cortafuegos.
El algoritmo del keytab tiene que coincidir con el algoritmo del ticket de servicio que
el TGS (servicio de concesión de vales) emite a los clientes. Su administrador de
Kerberos determina qué algoritmos usan los tickets de servicio.
STEP 2 | Realice la Configuración de una secuencia y perfil de autenticación para definir la configuración
de Kerberos y otras opciones de autenticación que son comunes a un conjunto de usuarios.
• Introduzca el dominio de Kerberos (normalmente es el dominio DNS de los usuarios, solo que el
dominio está en mayúsculas).
• Seleccione Import (Importar) en el Kerberos Keytab (Keytab de Kerberos) que creó para el
cortafuegos.
STEP 3 | Asigne el perfil de autenticación a la aplicación del cortafuegos que requiera autenticación.
• Acceso administrativo a la interfaz web: realice la Configuración de una cuenta administrativa de
cortafuegos y asigne el perfil de autenticación que configuró.
• Acceso de los usuarios finales a los servicios y las aplicaciones: asigne el perfil de autenticación
que configuró a un objeto de ejecución de autenticación. Durante la configuración del objeto,
configure el Authentication Method (Método de autenticación) como browser-challenge (Desafío
del explorador). Asigne el objeto a las reglas de la política de autenticación. Para obtener información
sobre todo el procedimiento de configuración de la autenticación para los usuarios finales, consulte la
Configuración de la política de autenticación.

Configuración de la autenticación del servidor
Kerberos
Puede utilizar Kerberos para autenticar de forma nativa los usuarios finales y los administradores del
cortafuegos o de Panorama para un controlador de dominio de Active Directory o un servidor de
autenticación Kerberos compatible con V5. Este método de autenticación es interactivo y requiere que los
usuarios introduzcan nombres de usuario y contraseñas.
Para usar un servidor Kerberos para la autenticación, debe poderse acceder al servidor a
través de una dirección IPv4. Las direcciones IPv6 no son compatibles.
STEP 1 | Añada un perfil de servidor Kerberos.

El perfil define cómo el cortafuegos se conecta al servidor de Kerberos.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > Kerberos y Add (Añada) un
perfil de servidor.
3. Add (Añada) cada servidor y especifique un Name (Nombre) (para identificar el servidor), la dirección
IPv4 o FQDN del Kerberos Server (servidor de Kerberos) y un número de Port (Puerto) opcional para
la comunicación con el servidor (el valor predeterminado es 88).
Si utiliza un objeto de dirección FQDN para identificar al servidor y, posteriormente,

cambia la dirección, debe confirmar el cambio para que se aplique la nueva dirección
de servidor.
4. Haga clic en OK (Aceptar) para guardar los cambios en el perfil.
STEP 2 | Asigne el perfil del servidor para realizar la Configuración de una secuencia y perfil de
autenticación.
El perfil de autenticación define ajustes de autenticación que son comunes a un conjunto de usuarios.
• Acceso de los usuarios finales a los servicios y las aplicaciones: asigne el perfil de autenticación
que configuró a un objeto de ejecución de autenticación y asigne el objeto a las reglas de la política
de autenticación. Para obtener información sobre todo el procedimiento de configuración de la
autenticación para los usuarios finales, consulte la Configuración de la política de autenticación.
STEP 4 | Compruebe que el cortafuegos pueda realizar la Comprobación de la conectividad del servidor
de autenticación para autenticar a los usuarios.

Configuración de la autenticación TACACS+
Puede configurar la autenticación TACACS+ para los usuarios finales y el cortafuegos, o los administradores
de Panorama. También puede usar un servidor TACACS+ para gestionar la autorización de administrador
(función y asignaciones de dominio de acceso) al definir los atributos específicos del proveedor (Vendor-
Specific Attributes, VSA). Para todos los usuarios, debe configurar un perfil de servidor TACACS+ que
defina de qué manera el cortafuegos o Panorama se conectan con el servidor (consulte el paso 1 a
continuación). Luego asigna el perfil de servidor a un perfil de autenticación para cada conjunto de usuarios
que requiera los ajustes de autenticación comunes (consulte el paso 2 a continuación). Lo que haga con el
perfil de autenticación dependerá de los usuarios que el servidor TACACS+ autentique:
• Usuarios finales: asigne el perfil de autenticación a un objeto de cumplimiento de autenticación y
asigne el objeto a reglas de política de autenticación. Para conocer el procedimiento completo, consulte
• Cuentas administrativas con autorización gestionada a nivel local en el cortafuegos o Panorama: asigne
el perfil de autenticación a las cuentas del administrador del cortafuegos o administrador de Panorama.
• Cuentas administrativas con autorización gestionada en el servidor TACACS+: el siguiente
procedimiento describe cómo configurar la autenticación y autorización de TACACS+ para los
administradores el cortafuegos. Para los administradores de Panorama, consulte Configuración de
autenticación TACACS+ para administradores de Panorama.
STEP 1 | Añada un perfil de servidor TACACS+.

El perfil define de qué manera el cortafuegos se conecta con el servidor TACACS+.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > TACACS+ y luego Add
3. Introduzca un intervalo de Timeout (Tiempo de espera) en segundos después del cual la solicitud de
autenticación vence (el valor predeterminado es 3; el intervalo es de 1 a 20).
4. Seleccione el Authentication Protocol (Protocolo de autenticación) (el valor predeterminado es
CHAP) que el cortafuegos utiliza para autenticarse en el servidor TACACS+.
Seleccione CHAP si el servidor TACACS+ admite ese protocolo; es más seguro que
PAP.
5. Seleccione Add (Añadir) para añadir cada servidor TACACS+ e ingrese lo siguiente:
• Un nombre en Name para identificar el servidor.
• La dirección IP o FQDN del servidor TACACS+. Si utiliza un objeto de dirección FQDN para
identificar el servidor y posteriormente cambia la dirección, debe confirmar el cambio para que la
nueva dirección de servidor tenga efecto.
• Secret/Confirm Secret (Secreto/Confirmar secreto) (clave para cifrar nombres de usuario y
contraseñas).
• El Port (Puerto) del servidor para las solicitudes de autenticación (el valor predeterminado es 49).
STEP 2 | Asigne el perfil del servidor TACACS+ a un perfil de autenticación.

El perfil de autenticación define los ajustes de autenticación que son comunes a un conjunto de usuarios.

3. Configure el Type (Tipo) en TACACS+.
4. Seleccione el Server Profile (Perfil de servidor) que configuró.
5. Seleccione Retrieve user group from TACACS+ (Recuperar grupo de usuarios desde TACACS+) para
recopilar información de grupo de usuarios desde los VSA definidos en el servidor TACACS+.
El cortafuegos coteja la información del grupo con los grupos que usted especifica en la lista de
permitidos del perfil de autenticación.
6. Seleccione Advanced (Avanzado) y, en la lista de permitidos, haga clic en Add (Añadir) y añada los
usuarios y grupos que pueden autenticarse con este perfil de autenticación.
STEP 3 | Configure el cortafuegos para que utilice el perfil de autenticación para todos los
administradores.
ajustes de autenticación.
2. Seleccione el Authentication Profile (Perfil de autenticación) que configuró y haga clic en OK
(Aceptar).
STEP 4 | Configure los roles y dominios de acceso que definen los ajustes de autorización para los
administradores.
Si ya definió VSA TACACS+ en el servidor TACACS+, los nombres que especifique para los roles y
dominios de acceso en el cortafuegos deben coincidir con los valores de VSA.
1. Configure un perfil de rol de administrador si el administrador utilizará un rol personalizado en lugar
de un rol predefinido (dinámico).
2. Configure un dominio de acceso si el cortafuegos tiene más de un sistema virtual: seleccione Device
(Dispositivo) > Access Domain (Dominio de acceso), y luego Add (Añadir) para añadir un dominio de
acceso, ingrese un nombre en Name para identificar el dominio de acceso, y seleccione Add (Añadir)
para añadir cada sistema virtual al que accederá el administrador. Luego haga clic en OK (Aceptar).
STEP 5 | Seleccione Commit (Confirmar) para aplicar los cambios y luego actívelos en el cortafuegos.
STEP 6 | Configure el servidor TACACS+ para que autentique y autorice administradores.

Consulte la documentación de su servidor TACACS+ a fin de obtener instrucciones específicas para
realizar los siguientes pasos:
1. Añada la dirección IP o el nombre de host del cortafuegos como el cliente TACACS+.
2. Añada las cuentas de administrador.
Si seleccionó CHAP como el Authentication Protocol (Protocolo de autenticación),

debe definir cuentas con contraseñas cifradas de manera reversible. De lo contrario, la
autenticación CHAP fallará.
3. Defina VSA TACACS+ para el rol, dominio de acceso y grupo de usuario de cada administrador.
STEP 7 | Verifique que el servidor TACACS+ realice la autenticación y autorización de los

administradores.
1. Inicie sesión en la interfaz web del cortafuegos usando una cuenta de administrador que haya
añadido al servidor TACACS+.
2. Verifique que pueda acceder solo a las páginas de la interfaz web que están permitidas para el rol que
usted asoció con el administrador.
3. En las pestañas Monitor (Supervisar), Policies (Políticas) y Objects (Objetos), verifique que puede
acceder únicamente a los sistemas virtuales que están permitidos para el dominio de acceso que
asoció con el adminisstrador.

Configuración de la autenticación RADIUS
Puede configurar la autenticación RADIUS para los usuarios finales y el cortafuegos, o los administradores
de Panorama. Para los administradores, puede usar RADIUS para gestionar la autorización (función y
asignaciones de dominio de acceso) al definir los atributos específicos del proveedor (Vendor-Specific
Attributes, VSA). También puede usar RADIUS para implementar la autenticación multifactor (Multi-Factor
Authentication, MFA) para los administradores e usuarios finales. Para habilitar la autenticación RADIUS,
debe configurar un perfil de servidor RADIUS que defina de qué manera el cortafuegos o Panorama se
conectan con el servidor (consulte el paso 1 a continuación). Luego asigna el perfil de servidor a un perfil de
autenticación para cada conjunto de usuarios que requiera los ajustes de autenticación comunes (consulte el
paso 2 a continuación). Lo que haga con el perfil de autenticación dependerá de los usuarios que el servidor
RADIUS autentique:
• Usuarios finales: asigne el perfil de autenticación a un objeto de cumplimiento de autenticación y
asigne el objeto a reglas de política de autenticación. Para conocer el procedimiento completo, consulte
También puede configurar sistemas cliente para que envíen atributos específicos del
proveedor (VSA) de RADIUS al servidor RADIUS al asignar el perfil de autenticación a un
portal o puerta de enlace de GlobalProtect. Los administradores de RADIUS luego pueden
realizar tareas administrativas en función de dichos VSA.
• Cuentas administrativas con autorización gestionada a nivel local en el cortafuegos o Panorama: asigne
el perfil de autenticación a las cuentas del administrador del cortafuegos o administrador de Panorama.
• Cuentas administrativas con autorización gestionada en el servidor RADIUS: el siguiente procedimiento
describe cómo configurar la autenticación y autorización de RADIUS para los administradores el
cortafuegos. Para los administradores de Panorama, consulte Configuración de autenticación RADIUS
para administradores de Panorama.
STEP 1 | Añada un perfil de servidor RADIUS.

El perfil define de qué manera el cortafuegos se conecta con el servidor RADIUS.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > RADIUS y luego Add
3. Introduzca un intervalo de Timeout (Tiempo de espera) en segundos después del cual la solicitud de
autenticación vence (el valor predeterminado es 3; el intervalo es de 1 a 20).
Si utiliza el perfil del servidor para integrar el cortafuegos con un servicio MFA,
ingrese un intervalo que proporcione a los usuarios tiempo suficiente para
autenticarse. Por ejemplo, si el servicio MFA solicita una única contraseña (OTP),
los usuarios necesitan tiempo para ver la OTP en su dispositivo de endpoint y, a
continuación, introducir la OTP en la página de inicio de sesión de MFA.
4. Seleccione el Authentication Protocol (Protocolo de autenticación) (el valor predeterminado es
CHAP) que el cortafuegos utiliza para autenticarse en el servidor RADIUS.
Seleccione CHAP si el servidor RADIUS admite ese protocolo; es más seguro que
PAP.
5. Seleccione Add (Añadir) para añadir cada servidor RADIUS e ingrese lo siguiente:
• Un nombre en Name para identificar el servidor.

• La dirección IP o FQDN del servidor RADIUS. Si utiliza un objeto de dirección FQDN para
identificar el servidor y posteriormente cambia la dirección, debe confirmar el cambio para que la
nueva dirección de servidor tenga efecto.
• Secret/Confirm Secret (Secreto/Confirmar secreto) (clave para cifrar nombres de usuario y
contraseñas).
• El Port (Puerto) del servidor para las solicitudes de autenticación (el valor predeterminado es
1812).
STEP 2 | Asigne el perfil del servidor RADIUS a un perfil de autenticación.

El perfil de autenticación define los ajustes de autenticación que son comunes a un conjunto de usuarios.
3. Configure el Type (Tipo) en RADIUS.
4. Seleccione el Server Profile (Perfil de servidor) que configuró.
5. Seleccione Retrieve user group from RADIUS (Recuperar grupo de usuarios desde RADIUS) para
recopilar información de grupo de usuarios desde los VSA definidos en el servidor RADIUS.
El cortafuegos coteja la información del grupo con los grupos que usted especifica en la lista de
permitidos del perfil de autenticación.
6. Seleccione Advanced (Avanzado) y, en la lista de permitidos, haga clic en Add (Añadir) y añada los
usuarios y grupos que pueden autenticarse con este perfil de autenticación.
STEP 3 | Configure el cortafuegos para que utilice el perfil de autenticación para todos los
administradores.
ajustes de autenticación.
2. Seleccione el Authentication Profile (Perfil de autenticación) que configuró y haga clic en OK
(Aceptar).
STEP 4 | Configure los roles y dominios de acceso que definen los ajustes de autorización para los
administradores.
Si ya definió VSA RADIUS en el servidor RADIUS, los nombres que especifique para los roles y dominios
de acceso en el cortafuegos deben coincidir con los valores de VSA.
1. Configure un perfil de rol de administrador si el administrador utiliza un rol personalizado en lugar de
un rol predefinido (dinámico).
2. Configure un dominio de acceso si el cortafuegos tiene más de un sistema virtual:
1. Seleccione Device (Dispositivo) > Access Domain (Dominio de acceso) y luego Add (Añadir) para
añadir un dominio de acceso, e ingrese un nombre en Name para identificar el dominio de acceso.
2. Seleccione Add (Añadir) para añadir cada sistema virtual al que accederá el administrador y luego
haga clic en OK (Aceptar).
STEP 5 | Seleccione Commit (Confirmar) para aplicar los cambios y luego actívelos en el cortafuegos.
STEP 6 | Configure el servidor RADIUS para que autentique y autorice administradores.

Consulte la documentación de su servidor RADIUS a fin de obtener instrucciones específicas para
realizar los siguientes pasos:
1. Añada la dirección IP o nombre de host del cortafuegos como el cliente RADIUS.

2. Añada las cuentas de administrador.
Si el perfil de servidor RADIUS especifica CHAP como el Authentication Protocol

(Protocolo de autenticación), debe definir cuentas con contraseñas cifradas de manera
reversible. De lo contrario, la autenticación CHAP fallará.
3. Defina el código de proveedor para el cortafuegos (25461) y defina los VSA RADIUS para el rol, el
dominio de acceso y el grupo de usuario de cada administrador.
Si desea información más detallada, consulte los siguientes artículos de la base de conocimientos:
• Para Windows 2003 Server, Windows 2008 (y posteriores) y Cisco Secure Access Control Server
(ACS) 4.0, atributos específicos de proveedor (Vendor-Specific Attributes, VSA) de RADIUS.
• Para Cisco ACS 5.2, configuración de Cisco ACS 5.2 para usar con VSA de Palo Alto.
Al configurar las opciones de proveedor avanzadas en ACS, debe configurar tanto

el Vendor Length Field Size (Tamaño de campo de longitud de proveedor) como
el Vendor Type Field Size (Tamaño de campo de tipo de proveedor) en 1. De lo
contrario, la autenticación fallará.
STEP 7 | Verifique que el servidor RADIUS realice la autenticación y autorización de los administradores.
1. Inicie sesión en la interfaz web del cortafuegos usando una cuenta de administrador que haya
añadido al servidor RADIUS.
2. Verifique que pueda acceder solo a las páginas de la interfaz web que están permitidas para el rol que
usted asoció con el administrador.
3. En las pestañas Monitor (Supervisar), Policies (Políticas) y Objects (Objetos), verifique que puede
acceder únicamente a los sistemas virtuales que están permitidos para el dominio de acceso que
asoció con el administrador.

Configuración de la autenticación LDAP
Puede utilizar LDAP para autenticar a los usuarios finales que acceden a aplicaciones y servicios mediante el
portal cautivo, y autenticar a los administradores del cortafuegos o de Panorama que acceden a la interfaz
de web.
También puede conectarse a un servidor LDAP para definir las reglas de la política en
función de los grupos de usuarios. Si desea información detallada, consulte la Asignación de
usuarios a grupos.
STEP 1 | Añada un perfil de servidor LDAP

El perfil define cómo el cortafuegos se conecta al servidor LDAP.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > LDAP y Add (Añadir) para
añadir un perfil de servidor.
3. Add (Añada) los servidores LDAP (máximo de cuatro). Para cada servidor, introduzca un Name
(Nombre) (para identificar el servidor), la dirección IP o FQDN del LDAP Server (servidor LDAP), y el
Port (Puerto) del servidor (el valor predeterminado es 389).
Si utiliza un objeto de dirección FQDN para identificar al servidor y, posteriormente,

cambia la dirección, debe confirmar el cambio para que la nueva dirección de servidor
entre en vigencia.
4. Seleccione el Type (Tipo) de servidor.
5. Introduzca el Bind Timeout (Tiempo de espera de vinculación) y el Search Timeout (Tiempo de
espera de búsqueda) en segundos (el valor predeterminado es 30 en ambos casos).
STEP 2 | Asigne el perfil del servidor para realizar la Configuración de una secuencia y perfil de
autenticación para definir varias configuraciones de autenticación.
• Acceso de los usuarios finales a los servicios y las aplicaciones: para obtener información sobre
todo el procedimiento de configuración de la autenticación para los usuarios finales, consulte la

Tiempos de espera de conexión de los
servidores de autenticación
Puede configurar el cortafuegos para utilizar Servicios de autenticación externa para los administradores
de autenticación que acceden al cortafuegos o Panorama, y los usuarios finales que acceden a servicios
o aplicaciones mediante el portal cautivo. Para garantizar que el cortafuegos no desperdicie recursos por
intentar alcanzar continuamente un servidor de autenticación que es inalcanzable, puede configurar un
intervalo de tiempo de espera tras el cual el cortafuegos deja de intentar la conexión. Configure el tiempo
de espera en los perfiles del servidor que definen cómo el cortafuegos se conecta a los servidores de
autenticación. Cuando selecciona valores de tiempo de espera, su objetivo es proporcionar un equilibrio
entre la necesidad de conservar los recursos del cortafuegos y ser responsable de demoras normales de red
que afectan a la rapidez con la que los servidores de autenticación responden al cortafuegos.
• Directrices de configuración de tiempo de espera de autenticación
• Modificación del tiempo de espera de servidor web de PAN-OS
• Modificación del tiempo de espera de sesión del portal cautivo
Directrices de configuración de tiempo de espera de autenticación

A continuación, se muestran algunas de las directrices de configuración del tiempo de espera para los
intentos del cortafuegos de conectarse con servicios de autenticación externa.
Además del tiempo de espera que configura en los perfiles del servidor para los servidores específicos,
el cortafuegos tiene un tiempo de espera global de servidor web de PAN-OS. El tiempo de espera
global se aplica cuando el cortafuegos se conecta a cualquier servidor externo para autenticar el acceso
administrativo a la interfaz web del cortafuego o a la API de XML de PAN-OS, y el acceso de usuario
final a las aplicaciones o servicios mediante el portal cautivo. El tiempo de espera global predeterminado
es de 30 segundos (rango: 3 a 125). El valor debe ser igual o superior al tiempo total durante el cual
cualquier perfil de servidor permite los intentos de conexión. El tiempo total en un perfil de servidor es
el valor de tiempo de espera multiplicado por la cantidad de reintentos y la cantidad de servidores. Por
ejemplo, si un perfil de servidor RADIUS especifica un tiempo de espera de 3 segundos, 3 reintentos
y 4 servidores, la cantidad total de tiempo que brinda el perfil para los intentos de conexión es de 36
segundos (3 x 3 x 4). Realice la Modificación del tiempo de espera de servidor web de PAN-OS si es
necesario.
No cambie el tiempo de espera de servidor web de PAN-OS a menos que observe fallos
de autenticación. Si establece un valor de tiempo de espera demasiado alto, es posible
que se degrade el rendimiento del cortafuegos o que el cortafuegos descarte solicitudes
de autenticación. Puede revisar los fallos de autenticación en los logs de autenticación.
El cortafuegos aplica un tiempo de espera a la sesión en el portal cautivo que define cuánto tiempo
pueden dedicar los usuarios finales a la respuesta del desafío de autenticación en un formulario web
del portal cautivo. El formulario web se muestra cuando los usuarios solicitan servicios o aplicaciones
que coinciden con una regla de la política de autenticación. El tiempo de espera predeterminado de la
sesión es de 30 segundos (rango: 1 a 1.599.999). El valor debe ser igual o superior al tiempo de espera
del servidor web de PAN-OS. Realice la Modificación del tiempo de espera de sesión del portal cautivo si
es necesario. Tenga en cuenta que es posible que aumentar los valores de tiempo de espera del servidor
web de PAN-OS y de sesión del portal cautivo degrade el rendimiento del cortafuegos o provoque el
descarte de las solicitudes de autenticación.
El tiempo de espera de sesión del portal cautivo no se relaciona con los temporizadores
que determinan por cuánto tiempo el cortafuegos retiene las asignaciones de direcciones
IP a nombres de usuario.

Los valores de tiempo de espera se acumulan en las secuencias de autenticación. Por ejemplo,
considere el caso de una secuencia de autenticación con dos perfiles de autenticación. Un perfil de
autenticación especifica un perfil de servidor RADIUS con 3 segundos de tiempo de espera, 3 reintentos
y 4 servidores. El otro perfil de autenticación especifica un perfil de servidor TACACS+ con 3 segundos
de tiempo de espera y 2 servidores. El período más prolongado posible durante el cual el cortafuegos
puede intentar autenticar las cuentas de usuario con esa secuencia de autenticación es 42 segundos: 36
segundos para el perfil de servidor RADIUS, además de 6 segundos para el perfil de servidor TACACS+.
El valor de tiempo de espera no configurable para los servidores de Kerberos es de 17 segundos en cada
servidor, que se especifica en el perfil de servidor de Kerberos.
Para configurar los valores de tiempo de espera y la configuración relacionada de otros tipos de
servidores, consulte:
• Añada un perfil de servidor de MFA.
• Añadir un perfil de servidor SAML IdP.
Modificación del tiempo de espera de servidor web de PAN-OS

El tiempo de espera del servidor web de PAN-OS debe ser igual o mayor al tiempo de espera en cualquier
perfil de servidor de autenticación multiplicado por la cantidad de reintentos y la cantidad de servidores en
ese perfil.
No cambie el tiempo de espera de servidor web de PAN-OS a menos que observe fallas
de autenticación. Si establece un valor de tiempo de espera demasiado alto, es posible
que se degrade el rendimiento del cortafuegos o que el cortafuegos descarte solicitudes de
autenticación. Puede revisar las fallas de autenticación en los logs de autenticación.
STEP 1 | Acceda a la CLI del cortafuegos.
STEP 2 | Establezca el tiempo de espera del servidor web de PAN-OS introduciendo los siguientes
comandos, donde <value> es la cantidad de segundos (predeterminado: 30; rango: 3 a 125).
> configure
# set deviceconfig setting l3-service timeout <value>
# commit
Modificación del tiempo de espera de sesión del portal cautivo

El valor de tiempo de espera de la sesión del portal cautivo debe ser igual o superior al tiempo de espera del
servidor web de PAN-OS. Para obtener información detallada, consulte Tiempos de espera de conexión de
los servidores de autenticación.
Cuanto más eleve los tiempos de espera de sesión del servidor web de PAN-OS y el portal
cautivo, más lentamente responderá el portal cautivo a los usuarios.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la sección
Session Timeouts (Tiempos de espera de la sesión).
STEP 2 | Introduzca un nuevo valor en segundos en el portal cautivo (valor predeterminado: 30; rango: 1
a 1.599.999) y haga clic en OK (Aceptar).

STEP 3 | Haga clic en Commit (Compilar) para compilar los cambios.

Configuración de la autenticación de la base de
datos local
Puede configurar una base de datos de usuarios que sea local en el cortafuegos para autenticar a los
administradores que acceder a la interfaz web del cortafuegos y para autenticar a los usuarios finales que
acceden a las aplicaciones mediante el portal cautivo o GlobalProtect. Realice los siguientes pasos para
configurar la autenticación local con una base de datos local.
Por lo general, se recomiendan los servicios de autenticación externos en lugar de los

de autenticación local debido a que proporcionan el beneficio de la gestión central de las
cuentas.
Además, puede configurar la autenticación local sin una base de datos, pero solo para los
administradores de cortafuegos o de Panorama.
STEP 1 | Añada la cuenta de usuario a la base de datos local.

1. Seleccione Device (Dispositivo) > Local User Database (Base de datos de usuarios locales) > Users
(Usuarios) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el administrador.
3. Introduzca una contraseña en Password (Contraseña) y luego en Confirm Password (Confirmar
contraseña), o introduzca una contraseña con hash en Password Hash (Hash de contraseña).
4. Seleccione Enable (Habilitar) para habilitar la cuenta (habilitado por defecto) y haga clic en OK
(Aceptar).
STEP 2 | Añada el grupo de usuarios a la base de datos local.

Esto es obligatorio si sus usuarios requieren pertenencia a un grupo.
1. Seleccione Device (Dispositivo) > Local User Database (Base de datos de usuarios locales) > User
Groups (Grupos de usuarios) y haga clic en Add (Añadir).
2. Introduzca un nombre en Name para identificar al grupo.
3. Seleccione Add (Añadir) para añadir cada usuario que sea miembro del grupo y luego haga clic en OK
(Aceptar).

El perfil de autenticación define ajustes de autenticación que son comunes a un conjunto de usuarios.
Configure el Type (Tipo) de autenticación en Local Database (Base de datos local).
STEP 4 | Asigne el perfil de autenticación a una cuenta administrativa o a una regla de la política de
autenticación para los usuarios finales.
• Administradores: Configuración de una cuenta administrativa de cortafuegos:
Especifique en Name (Nombre) el nombre de un usuario que definió previamente en este
procedimiento.
Asigne el Authentication Profile (Perfil de autenticación) que configuró para la cuenta.
• Usuarios finales: para obtener información sobre todo el procedimiento de configuración de la
autenticación para los usuarios finales, consulte la Configuración de la política de autenticación.


Configuración de una secuencia y perfil de
autenticación
Un perfil de autenticación define el servicio de autenticación que valida las credenciales de inicio de sesión
de los administradores que acceden a la interfaz web del cortafuegos y a los usuarios finales que acceden a
las aplicaciones a través del portal cautivo o GlobalProtect. El servicio puede ser la Autenticación local que
proporciona el cortafuegos o Servicios de autenticación externa. El perfil de autenticación también define
las opciones como el inicio de sesión único (single sign-on, SSO) de Kerberos.
Algunas redes tienen múltiples bases de datos (como TACACS+ y LDAP) para distintos usuarios y grupos
de usuarios. Para autenticar usuarios en esos casos, configure una secuencia de autenticación: una
clasificación ordenada de perfiles de autenticación con los que el cortafuegos compara al usuario durante
el inicio de sesión. El cortafuegos compara cada perfil en orden hasta que uno autentica correctamente al
usuario. Si la secuencia incluye un perfil de autenticación que especifica la autenticación de base de datos
local, el cortafuegos siempre comprueba ese perfil primero, independientemente del orden de la secuencia.
Solo se impide el acceso del usuario si falla la autenticación con todos los perfiles definidos en la secuencia.
La secuencia puede especificar los perfiles de autenticación que se basan en un servicio de autenticación
que el cortafuegos admite, excepto la autenticación multifactor (Multi-Factor Authentication, MFA) y SAML.
STEP 1 | (Solo servicio externo) Habilite al cortafuegos para que se conecte con un servidor externo para
autenticar a los usuarios:
1. Configure el servidor externo. Consulte la documentación de su servidor para obtener las
instrucciones.
2. Configure un perfil de servidor para el tipo de servicio de autenticación que utiliza.
Si el cortafuegos se integra con un servicio MFA a través de RADIUS, debe añadir

un perfil de servidor RADIUS. En este caso, el servicio MFA proporciona todos los
factores de autenticación. Si el cortafuegos se integra con un servicio MFA a través
de una API de proveedor, se puede seguir usando un perfil de servidor RADIUS
para el primer factor, pero se necesitan los perfiles de servidor MFA para los factores
adicionales.
• Añada un perfil de servidor MFA.

STEP 2 | (Autenticación de base de datos local únicamente) Configure una base de datos de usuario que sea
local para el cortafuegos.
Realice estos pasos para cada usuario y grupo de usuarios para los cuales desea configurar la
autenticación local en función de un almacén de identidades de usuario que sea local para el
cortafuegos:
1. Añada la cuenta de usuario a la base de datos local.
2. (Opcional) Añada el grupo de usuarios a la base de datos local.

STEP 3 | (Kerberos SSO únicamente) Cree un keytab Kerberos para el cortafuegos si el inicio de sesión
único (SSO) de Kerberos es el servicio de autenticación primario.
Cree un keytab de Kerberos. Un keytab es un archivo que contiene información de cuenta de Kerberos
para el cortafuegos. Para respaldar el SSO de Kerberos, su red debe contar con una infraestructura
Kerberos.

Defina una de las siguientes opciones, o ambas:
• SSO de Kerberos: el cortafuegos prueba la autenticación de SSO en primer lugar. Si falla, volverá al
tipo de autenticación especificado.
• Autenticación externa o autenticación de base de datos local: el cortafuegos solicita al usuario que
introduzca las credenciales de inicio de sesión y utiliza un servicio externo o base de datos local para
autenticar al usuario.
(Añadir) para añadir el perfil de autenticación.
3. Seleccione el Type (Tipo) de servicio de autenticación.
Si utiliza autenticación multifactor, el tipo seleccionado se aplica únicamente al primer factor de
autenticación. En la pestaña Factors (Factores), puede seleccionar factores MFA adicionales.
Si selecciona RADIUS, TACACS+, LDAP o Kerberos, elija el Server Profile (Perfil de servidor).
Si selecciona LDAP, seleccione el Server Profile (Perfil de servidor) y defina el Login Attribute
(Atributo de inicio de sesión). Para Active Directory, introduzca sAMAccountName como valor.
Si selecciona SAML, seleccione el IdP Server Profile (Perfil de servidor IdP).
4. Si desea activar el SSO de Kerberos, introduzca el Kerberos Realm (normalmente es el dominio DNS
de los usuarios, excepto por que el dominio está en MAYÚSCULAS) y seleccione Import (Import) para
importar el Kerberos Keytab que ha creado para el cortafuegos o Panorama.
5. (MFA únicamente) Seleccione Factors (Factores), Enable Additional Authentication Factors (Habilitar
factores de autenticación adicionales) y luego Add (Añadir) para añadir los perfiles de servidor MFA
que configuró.
El cortafuegos invocará cada servicio MFA en el orden enumerado, desde arriba hacia abajo.
6. Seleccione Advanced (Avanzado) y Add (Añadir) para añadir los usuarios y grupos que se pueden
autenticar con este perfil.
Puede seleccionar usuarios y grupos de la base de datos local o, si ha configurado el cortafuegos en
Map Users to Groups (Asignar usuarios a grupos) de un servicio de directorio basado en LDAP, como
Active Directory. De manera predeterminada, la lista está vacía, por lo que ningún usuario se puede
autenticar.
También puede seleccionar grupos personalizados definidos en una configuración de

asignación de grupo.
STEP 5 | Configure una secuencia de autenticación.

Es obligatorio si desea que el cortafuegos pruebe múltiples perfiles de autenticación para autenticar
usuarios. El cortafuegos evalúa los perfiles en orden descendente hasta que un perfil autentica
correctamente al usuario.
1. Seleccione Device (Dispositivo) > Authentication Sequence (Secuencia de autenticación) y luego
Add (Añadir) para añadir la secuencia de autenticación.

2. Introduzca un Name (Nombre) para identificar la secuencia de autenticación.
Para acelerar el proceso de autenticación, seleccione Use domain to determine

authentication profile (Usar dominio para determinar el perfil de autenticación): el
cortafuegos comparará el nombre del dominio que introduzca el usuario durante
el inicio de sesión con el dominio de usuario o el dominio Kerberos de un perfil de
autenticación de la secuencia, y luego usará ese perfil para autenticar al usuario.
Si el cortafuegos no encuentra una coincidencia o si usted deshabilita la opción, el
cortafuegos probará los perfiles en orden descendente.
3. Seleccione Add (Añadir) para añadir un perfil de autenticación. Para cambiar el orden de evaluación
de los perfiles, seleccione un perfil y haga clic en Move Up (Mover hacia arriba) o Move Down
(Mover hacia abajo).
4. Haga clic en OK (Aceptar) para guardar la secuencia de autenticación.
STEP 6 | Asigne el perfil de autenticación o secuencia a una cuenta administrativa para los
administradores del cortafuegos o a la política de autenticación para los usuarios finales.
• Administradores: asigne el perfil de autenticación según cómo gestiona la autorización del
administrador:
Autorización gestionada localmente en el cortafuegos: configure una cuenta de administrador de
cortafuegos.
Autorización gestionada en un SAML, TACACS+ o servidor RADIUS: seleccione Device
(Dispositivo) > Setup (Configuración) > Management (Gestión), modifique los ajustes de
autenticación y seleccione el Authentication Profile (Perfil de autenticación).
• Usuarios finales: para conocer el procedimiento completo para configurar la autenticación para los
usuarios finales, consulte Configuración de la política de autenticación.
STEP 7 | Verifique que el cortafuegos pueda comprobar la conectividad con el servidor de autenticación
para autenticar a los usuarios.

Comprobación de la conectividad del servidor
de autenticación
La función de comprobación de autenticación le permite comprobar si el cortafuegos o Panorama puede
comunicarse con el servidor de autenticación especificado en un perfil de autenticación y si una solicitud
de autenticación se produce correctamente para un usuario específico. Puede comprobar los perfiles de
autenticación que autentican a los administradores que acceder a la interfaz web o que autentican a los
usuarios finales que acceden a las aplicaciones mediante GlobalProtect o el portal cautivo. Puede realizar
pruebas de autenticación con la configuración del candidato para comprobar que la configuración sea
correcta antes de confirmarla.
STEP 1 | Configure un perfil de autenticación. No es necesario que confirme la configuración del perfil
de autenticación o el perfil de servidor antes de realizar la prueba.
STEP 2 | Inicie sesión en la CLI del cortafuegos.
STEP 3 | (Cortafuegos con varios sistemas virtuales) Defina el sistema virtual de destino al que
accederá el comando de comprobación.
Esto necesario en el caso de los cortafuegos con varios sistemas virtuales para que el comando de
autenticación de comprobación pueda ubicar el usuario que comprobará.
Defina el sistema virtual de destino ingresando lo siguiente:
admin@PA-3060> set system setting target-vsys <vsys-name>
Por ejemplo, si el usuario se define en vsys2, introduzca lo siguiente:
admin@PA-3060> set system setting target-vsys vsys2
La opción target-vsys depende de la sesión de inicio de sesión; el cortafuegos borra

la opción cuando cierra sesión.
STEP 4 | Compruebe el perfil de autenticación introduciendo el siguiente comando:
admin@PA-3060> test authentication authentication-profile <authentication-

profile-name> username <username> password
Por ejemplo, para probar un perfil de autenticación denominado my-profile para un usuario
denominado bsimpson, introduzca lo siguiente:
admin@PA-3060> test authentication authentication-profile my-profile

username bsimpson password
Cuando ejecuta el comando test, los nombres de los perfiles de autenticación y los
perfiles de servidor distinguen entre mayúsculas y minúsculas. Además, si un perfil
de autenticación tiene definido un modificador de nombre de usuario, debe escribir el
modificador con el nombre de usuario. Por ejemplo, si agrega el modificador de nombre
de usuario %USERINPUT%@%USERDOMAIN% para un usuario llamado bsimpson y el

nombre de dominio es mydomain.com, escriba [email protected] como nombre
de usuario. Esto garantiza que el cortafuegos envíe las credenciales correctas al servidor
de autenticación. En este ejemplo, mydomain.com es el dominio que define en el campo
User Domain (Dominio de usuario) en el perfil de autenticación.
STEP 5 | Vea los resultados de la prueba.

Si el perfil de autenticación se configura correctamente, los resultados indican Autenticación
correcta. Si hay un problema de configuración, los resultados muestran información que le ayuda a
solucionar los problemas de configuración.
Los resultados varían en función de varios factores relacionados con el tipo de

autenticación que está comprobando, así como el tipo de problema. Por ejemplo,
RADIUS y TACACS+ usan diferentes bibliotecas subyacentes, de modo que un mismo
problema que exista en ambos tipos producirá diferentes errores. Además, si hay un
problema en la red, como el uso de una dirección IP o puerto incorrecto en el perfil
del servidor de autenticación, el error de salida no es específico. Esto se debe a que
el comando de prueba no puede realizar el protocolo inicial entre el cortafuegos y el
servidor de autenticación para determinar detalles sobre el problema.

Política de autenticación
La política de autenticación le permite autenticar a los usuarios finales antes de que accedan a los servicios
y las aplicaciones. Cada vez que un usuario solicita un servicio o aplicación (como al visitar una página
web), el cortafuegos evalúa la política de autenticación. Según la regla de la política de autenticación
correspondiente, el cortafuegos le pide al usuario que se autentique con uno o más métodos (factores),
como inicio de sesión y contraseña, voz, SMS, envío o autenticación de contraseñas de una sola vez
(OTP). En el caso del primer factor, los usuarios se autentican mediante un formulario web en el portal
cautivo. En el caso de los factores adicionales, los usuarios se autentican mediante una página de inicio con
autenticación multifactor (MFA).
Para implementar la política de autenticación de GlobalProtect, consulte la Configuración de

GlobalProtect para facilitar las notificaciones de la autenticación multifactor.
Después de que el usuario se autentique en todos los factores, el cortafuegos evaluará la Política de
seguridad para determinar si se debe permitir el acceso al servicio o aplicación.
Para reducir la frecuencia de los desafíos de autenticación que interrumpen el flujo de trabajo del usuario,
puede especificar el período de tiempo de espera durante el cual el usuario se autentica únicamente para
el acceso inicial a los servicios y las aplicaciones, no para el próximo acceso. La política de autenticación se
integra con el portal cautivo para registrar las marcas de tiempo que se utilizan para evaluar el tiempo de
espera y para permitir políticas e informes basados en los usuarios.
En función de la información del usuario que recoge el cortafuegos durante la autenticación, User-ID
crea una nueva asignación de dirección IP a nombre de usuario o actualiza la asignación existente para
ese usuario (si la información de la asignación se modificó). El cortafuegos genera logs de User-ID para
registrar las adiciones y las actualizaciones. Además, el cortafuegos genera un log de autenticación para
cada solicitud que corresponda a una regla de autenticación. Si prefiere la supervisión centralizada, puede
configurar informes basados en User-ID o logs de autenticación, y enviar los logs a Panorama o a servicios
externos como haría en el caso de otros tipos de logs.
• Marcas de tiempo de la autenticación
• Configuración de la política de autenticación
Marcas de tiempo de la autenticación

Cuando se configura una regla de la política de autenticación, puede especificar el período de tiempo
de espera durante el cual el usuario se autentica únicamente para el acceso inicial a los servicios y las
aplicaciones, no para el próximo acceso. Su objetivo es especificar un tiempo de espera que brinde un
equilibrio entre la necesidad de proteger los servicios y las aplicaciones, y la necesidad de minimizar las
interrupciones en el flujo de trabajo del usuario. Cuando un usuario se autentica, el cortafuegos registra
una marca de tiempo para el primer desafío de autenticación (factor) y una marca de tiempo para cada
los factores de autenticación multifactor (MFA) adicionales. Cuando, posteriormente, el usuario solicita
servicios y aplicaciones que correspondan a la regla de autenticación, el cortafuegos evalúa el tiempo de
espera especificado en la regla asociada a cada marca de tiempo. Esto significa que el cortafuegos vuelve
a emitir desafíos de autenticación para cada factor cuando se venzan los tiempos de espera. Si realiza
la Redistribución de las asignaciones de usuario y la autenticación de las marcas de tiempo, todos los
cortafuegos aplicarán los tiempos de espera de la política de autenticación de manera uniforme para todos
los usuarios.
El cortafuegos registra una marca de tiempo independiente para cada proveedor de MFA.
Por ejemplo, si utiliza servidores Duo v2 y PingID para emitir desafíos para factores de MFA,
el cortafuegos registra una marca de tiempo para la respuesta de factor Duo y una marca de
tiempo para el factor de PingID.

En el período del tiempo de espera, un usuario que se autentica correctamente para una regla de
autenticación puede acceder a los servicios o las aplicaciones que protegen otras reglas. Sin embargo,
esta portabilidad se aplica únicamente a las reglas que activan los mismos factores de autenticación. Por
ejemplo, un usuario que se autentica correctamente para un regla que activa la autenticación TACACS+
debe autentificarse nuevamente para una regla que active una autenticación SAML, incluso si las solicitudes
de acceso se encuentran dentro del período de tiempo de espera para ambas reglas.
Cuando se evalúa el tiempo de espera en cada regla de autenticación y el temporizador global definido en
la configuración del portal cautivo (consulte la Configuración del portal cautivo), el cortafuegos le pide al
usuario que se vuelva a autenticar para la configuración que venza primero. Tras la nueva autenticación, el
cortafuegos registra las nuevas marcas de tiempo de autenticación para las reglas y vuelve a establecer el
recuento de tiempo del temporizador del portal cautivo. Por lo tanto, para habilitar diferentes períodos de
tiempo de espera para diferentes reglas de autenticación, establezca el temporizador del portal cautivo en
un valor similar o mayor al tiempo de espera de cualquier regla.
Configuración de la información de autenticación

Siga los pasos a continuación para configurar la política de autenticación para los usuarios finales que
acceden a servicios a través del portal cautivo. Antes de comenzar, asegúrese de que su Política de
seguridad permita a los usuarios acceder a los servicios y categorías de URL que requieren autenticación.
STEP 1 | Configuración de portal cautivo. Si utiliza servicios de Autenticación multifactor (Multi-Factor

Authentication, MFA) para autenticar usuarios, debe configurar el Mode (Modo) en Redirect
(Redirigir).
STEP 2 | Configure el cortafuegos para usar uno de los siguientes servicios para autenticar a los
usuarios.
• Servicios de autenticación externos: configure un perfil de servidor para definir de qué manera el
cortafuegos se conecta con el servicio.
• Autenticación de la base de datos local: añada cada cuenta de usuario a la base de datos de usuario
local en el cortafuegos.
• Inicio de sesión único (SSO) de Kerberos: cree un keytab Kerberos para el cortafuegos.
Opcionalmente, puede configurar el cortafuegos para usar el SSO de Kerberos como el servicio de
autenticación primario y, si se producen fallos del SSO, volver al servicio externo o la autenticación de
la base de datos local.
STEP 3 | Configuración de una secuencia y perfil de autenticación para cada conjunto de usuarios
y reglas de política de autenticación que requieran los mismos servicios y ajustes de
autenticación.
Seleccione el Type (Tipo) de servicio de autenticación y los ajustes relacionados:
• Servicio externo: seleccione el Type (Tipo) de servidor externo y seleccione el Server Profile (Perfil
de servidor) que creó para él.
• Autenticación de base de datos local: configure el Type (Tipo) en Local Database (Base de datos
local). En los ajustes Advanced (Avanzado), seleccione Add (Añadir) para añadir los usuarios de portal
cautivo y los grupos de usuario que creó.
• SSO de Kerberos: especifique el Kerberos Realm (Dominio Kerberos) y seleccione Import (Importar)
para importar el Kerberos Keytab.
STEP 4 | Configure un objeto de cumplimiento de autenticación.

El objeto asocia cada perfil de autenticación con un método de portal cautivo. El método determina si el
primer desafío de autenticación (factor) es transparente o requiere una respuesta del usuario.
1. Seleccione Objects (Objetos) > Authentication (Autenticación) y Add (Añadir) para añadir un objeto.

2. Introduzca un nombre en Name para identificar el objeto.
3. Seleccione un Authentication Method (Método de autenticación) para el Type (Tipo) de servicio de
autenticación que especificó en el perfil de autenticación:
• browser-challenge (comprobación del navegador): seleccione este método si desea que el
navegador del cliente responda al primer factor de autenticación, en lugar de solicitar al usuario
que ingrese sus credenciales de inicio de sesión. Para este método, debe haber configurado el SSO
de Kerberos en el perfil de autenticación o la autenticación de NT LAN Manager (NTLM) en los
ajustes del portal cautivo. Si la comprobación del navegador falla, el cortafuegos vuelve al método
web-form.
• web-form: seleccione este método si desea que el cortafuegos muestre un formulario web de
portal cautivo para los usuarios que ingresan las credenciales de inicio de sesión.
4. Seleccione el Authentication Profile (Perfil de autenticación) que configuró.
5. Introduzca el Message (Mensaje) que el fomulario web del portal cautivo mostará para indicar a los
usuarios cómo autenticarse con el primer factor de autenticación.
6. Haga clic en OK (Aceptar) para guardar el objeto.
STEP 5 | Configure una regla de política de autenticación.

Configure un perfil para cada conjunto de usuarios, servicios y categorías de URL que requieran los
mismos servicios y ajustes de autenticación.
1. Seleccione Policies (Políticas) > Authentication (Autenticación) y luego Add (Añadir) para añadir una
regla.
2. Introduzca un nombre en Name para identificar la regla.
3. Seleccione Source (Origen) y Add (Añadir) para añadir zonas específicas, o seleccione Any
(Cualquiera) para seleccionar cualquier zona o dirección IP.
La regla se aplica únicamente al tráfico proveniente de las direcciones IP identificadas o de las
interfaces en las zonas especificadas.
4. Seleccione User (Usuario) y seleccione o añada, haciendo clic en Add (Añadir), los grupos de usuario a
los cuales se aplica la regla (el valor predeterminado es any [cualquiera]).
5. Seleccione o añada, haciendo clic en Add (Añadir), los perfiles de información de hosts a los cuales se
aplica la regla (el valor predeterminado es any [cualquiera]).
6. Seleccione Source (Origen) y Add (Añadir) para añadir zonas y direcciones IP específicas, o seleccione
Any (Cualquiera) para seleccionar cualquier zona o dirección IP.
La direcciones IP pueden ser recursos (como servidores) para los cuales usted desea controlar el
acceso.
7. Seleccione Service/URL Category (Categoría de URL/servicio) y seleccione o añada, haciendo clic
en Add (Añadir), los servicios y grupos de servicio para los cuales la regla controla el acceso (el valor
predeterminado es service-http).
8. Seleccione o añada, haciendo clic en Add (Añadir), las Categorías de URL para las cuales la regla
controla el acceso (el valor predeterminado es any [cualquiera]). Por ejemplo, puede crear una
categoría URL personalizada que especifique sus sitios internos más sensibles.
9. Seleccione Actions (Acciones) y seleccione el objeto de Authentication Enforcement (Cumplimiento
de la autenticación) que creó.
10.Especifique el periodo de Timeout (Tiempo de espera) en minutos (el valor predeterminado es 60)
durante el cual el cortafuegos indica al usuario que se autentique solo una vez para el acceso repetido
a los servicios y aplicaciones.
11.Haga clic en OK (Aceptar) para guardar la regla.
STEP 6 | (MFA únicamente) Personalice la página de inicio de sesión de MFA.

El cortafuegos muestra esta página para que los usuarios puedan autenticarse para cualquier factor MFA
adicional.

STEP 7 | Verifique que el cortafuegos aplique la política de autenticación.
1. Inicie sesión en su red como uno de los usuarios de origen especificados en la regla de la política de
autenticación.
2. Solicite un servicio o categoría de URL que coincida con lo que especificó en la regla.
El cortafuegos muestra el formulario web del portal cautivo para el primer factor de autenticación.
Por ejemplo:

Si configuró el cortafuegos para que utilice uno o más servicios MFA, autentíquese
para los factores de autenticación adicionales.
3. Finalice la sesión para la URL o servicio a los que acaba de acceder.
4. Inicie una nueva sesión para el mismo servicio o aplicación. Asegúrese de realizar este paso dentro del
periodo de Timeout (Tiempo de espera) que configuró en la regla de autenticación.
El cortafuegos permite el acceso sin una nueva autenticación.
5. Espere hasta que el periodo de Timeout (Tiempo de espera) caduque y solicite el mismo servicio o
aplicación.
El cortafuegos le solicita que vuelva a autenticarse.
STEP 8 | (Opcional) Redistribución de las asignaciones de usuario y autenticación de las marcas de

tiempo. a los otros cortafuegos que apliquen la política de autenticación, a fin de asegurarse de
que todos aplican sistemáticamente los tiempos de espera para todos los usuarios.

Solución de problemas de autenticación
Cuando los usuarios no pueden autenticarse en un cortafuegos de Palo Alto Networks o en Panorama, o
el proceso de autenticación tarda más de lo esperado, un análisis de la información de autenticación puede
ayudar a determinar si el fallo o retraso se deben a las siguientes variables:
• Comportamiento del usuario: Por ejemplo, los usuarios quedan bloqueados tras introducir credenciales
erróneas o cuando hay un alto volumen de usuarios intentando acceder de manera simultánea.
• Problemas de red o del sistema: Por ejemplo, cuando un servidor de autenticación no es accesible.
• Problemas de configuración: Por ejemplo, la Lista de permitidas de un perfil de autenticación no tiene
todos los usuarios que debería.
Los siguientes comandos de la CLI muestran información que puede ayudarle a resolver estos problemas:
Tarea Comando
Muestra el número de cuentas de usuario

bloqueadas asociadas con el perfil de autenticación show authentication locked-users
(auth-profile), la secuencia de autenticación {
(is-seq) o el sistema virtual (vsys). vsys <value> |
auth-profile <value> |
is-seq
Para desbloquear usuarios, utilice
{yes | no}
el siguiente comando operativo: {auth-profile | vsys} <value>
}
> request
authentication [unlock-admin |
unlock-user]
Use el comando debug authentication

para solucionar problemas con eventos de debug authentication
autenticación. {
on {debug | dump | error | info |
Use las opciones show para mostrar estadísticas warn} |
de solicitud de autenticación y en nivel de show |
depuración actual: show-active-requests |
show-pending-requests |
• show muestra el nivel de depuración actual connection-show |
para el servicio de autenticación (authd). {
• show-active-requests muestra la cantidad connection-id |
de comprobaciones activas de solicitudes de protocol-type
autenticación, listas de permitidos, cuentas {
de usuario bloqueadas y solicitudes de Kerberos connection-
autenticación multifactor (Multi-Factor id <value> |
LDAP connection-id <value>
Authentication, MFA).
|
• show-pending-requests muestra la RADIUS connection-id <value>
cantidad de comprobaciones pendientes |
de solicitudes de autenticación, listas de TACACS+ connection-
permitidos, cuentas de usuario bloqueadas y id <value> |
solicitudes de MFA. }
• connection-show muestra las estadísticas de connection-debug-on |
respuestas y solicitudes de autenticación para {
connection-id |

Tarea Comando
todos los servidores de autenticación o de un debug-prefix |
tipo de protocolo específico. protocol-type
{
Use las opciones de connection-debug Kerberos connection-
para habilitar o deshabilitar la depuración de id <value> |
autenticación: LDAP connection-id <value>
|
• Use la opción on para habilitar o bien off para RADIUS connection-id <value>
deshabilitar la depuración de autenticación. |
• Use la opción connection-debug-on para TACACS+ connection-
habilitar o bien connection-debug-off id <value> |
para deshabilitar la depuración de todos los }
servidores de autenticación o para un tipo de connection-debug-off |
protocolo específico. {
connection-id |
protocol-type
{
Kerberos connection-
id <value> |
LDAP connection-id <value>
|
RADIUS connection-id <value>
|
TACACS+ connection-id
<value> |
}
connection-debug-on
}

Gestión de certificados
Los siguientes temas describen los distintos certificados y claves que utilizan los cortafuegos y
Panorama de Palo Alto Networks®, así como el modo de obtenerlos y gestionarlos:
> Claves y certificados

> Revocación de certificados
> Implementación de certificados
> Configuración de la verificación del estado de revocación de certificados
> Configuración de la clave maestra
> Obtención de certificados
> Exportación de un certificado y una clave privada
> Configuración de un perfil de certificado
> Configuración de un perfil de servicio SSL/TLS
> Sustitución del certificado para el tráfico de gestión entrante
> Configuración del tamaño de clave para los certificados de servidor proxy SSL de reenvío
> Revocación y renovación de certificados
> Claves seguras con un módulo de seguridad de hardware
207
208 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Gestión de certificados
Claves y certificados
Para garantizar la confianza entre las partes de una sesión de comunicación segura, los cortafuegos y
Panorama de Palo Alto Networks utilizan certificados digitales. Cada certificado contiene una clave
criptográfica para cifrar el texto sin formato o descifrar el texto cifrado. Cada certificado también incluye
una firma digital para autenticar la identidad del emisor. Este debe estar incluido en la lista de entidades
de certificación (CA) de confianza de la parte que realiza la autenticación. De manera opcional, la parte
que realiza la autenticación verifica que el emisor no haya revocado el certificado (consulte Revocación de
certificados).
Panorama y los cortafuegos de Palo Alto Networks utilizan certificados en las siguientes aplicaciones:
• Autenticación de usuarios para portal cautivo, GlobalProtect™, gestor de seguridad móvil y acceso a la
interfaz web a un cortafuegos o Panorama de Palo Alto Networks.
• Autenticación de dispositivos para VPN de GlobalProtect (de usuario remoto a sitio o gran escala).
• Autenticación de dispositivos para VPN de sitio a sitio de IPSec con intercambio de claves de Internet
(IKE).
• Descifrado de tráfico SSL entrante y saliente.
Un cortafuegos descifra el tráfico para aplicar reglas de políticas y, a continuación, vuelve a cifrarlo
antes de reenviar el tráfico al destino definitivo. Para el tráfico saliente, el cortafuegos actúa como
servidor proxy de reenvío, estableciendo una conexión SSL/TLS con el servidor de destino. Para proteger
una conexión entre sí mismo y el cliente, el cortafuegos utiliza un certificado de firma para generar
automáticamente una copia del certificado del servidor de destino.
La tabla siguiente describe las claves y los certificados que utilizan Panorama y los cortafuegos de Palo Alto
Networks. Una práctica recomendada es utilizar diferentes claves y certificados para cada uso.
Table 1: Claves/certificados de dispositivo de Palo Alto Networks
Uso de clave/ Descripción

certificado
Acceso administrativo Un acceso seguro a las interfaces de administración de cortafuegos o

Panorama (acceso HTTPS a la interfaz web) requiere un certificado de servidor
para la interfaz MGT (o una interfaz designada en el plano de datos si el
cortafuegos o Panorama no utiliza una interfaz de gestión) y, opcionalmente,
un certificado para autenticar al administrador.
Captive portal En las implementaciones en las que la política de autenticación identifique

a los usuarios que accedan a recursos HTTPS, designe un certificado de
servidor para la interfaz de portal cautivo. Si configura el portal cautivo para
que utilice certificados para identificar a los usuarios (en lugar de, o además
de la autenticación interactiva), implemente también certificados cliente.
Para obtener más información sobre el portal cautivo, consulte Asignación de
direcciones IP a nombres de usuario usando el portal cautivo.
Reenvío fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy
de reenvío confía en la CA que firmó el certificado del servidor de destino,
el cortafuegos utiliza el certificado de CA fiable de reenvío para generar
una copia del certificado del servidor de destino y enviarla al cliente. Para
configurar el tamaño de la clave privada, configure el tamaño de clave para los
certificados de servidor proxy SSL de reenvío. Para mayor seguridad, almacene
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Gestión de certificados 209

certificado
la clave en un módulo de seguridad de hardware (si desea información
detallada, consulte Claves seguras con un módulo de seguridad de hardware).
Reenvío no fiable Para el tráfico SSL/TLS saliente, si un cortafuegos que actúa como proxy de
reenvío no confía en la CA que firmó el certificado del servidor de destino, el
cortafuegos utiliza el certificado de CA no fiable de reenvío para generar una
copia del certificado del servidor de destino y enviarla al cliente.
inspección de SSL Claves que descifran el tráfico SSL/TLS entrante para su inspección y la
entrante aplicación de la política. Para esta aplicación, importe en el cortafuegos una
clave privada para cada servidor que esté sujeto a una inspección entrante
SSL/TLS. Consulte Configuración de la inspección de entrada SSL.
Certificado SSL de Certificados de servidores que deben excluirse del descifrado SSL/TLS. Por
exclusión ejemplo, si habilita el descifrado SSL pero su red incluye servidores para los
que el cortafuegos no debería descifrar el tráfico (por ejemplo, servicios web
para sus sistemas de RR.'A0;HH.), importe los correspondientes certificados
en el cortafuegos y configúrelos como certificados SSL de exclusión. Consulte
Exclusiones de descifrado.
GlobalProtect Todas las interacciones entre componentes de GlobalProtect se producen

en conexiones de SSL/TLS. Por lo tanto, como parte de la implementación
de GlobalProtect, implemente certificados de servidor para todos los
portales, gateways y gestores de seguridad móvil de GlobalProtect.
Opcionalmente, implemente certificados también para los usuarios que realizan
la autenticación.
La característica de VPN de gran escala (Large Scale VPN,

LSVPN) de GobalProtect requiere un certificado con firma CA.
VPN de sitio a sitio En una implementación de VPN de sitio a sitio de IPSec, los dispositivos
(IKE) de peer utilizan gateways de intercambio de claves de Internet (IKE) para
establecer un canal seguro. Las gateways de IKE utilizan certificados o claves
precompartidas para autenticar los peers entre sí. Los certificados o las claves
se configuran y asignan al definir una gateway de IKE en un cortafuegos.
Consulte Descripción general de VPN de sitio a sitio.
Clave maestra El cortafuegos utiliza una clave maestra para cifrar todas las claves privadas
y contraseñas. Si su red requiere una ubicación segura para almacenar claves
privadas, puede utilizar una clave de cifrado (ajuste) almacenada en un módulo
de seguridad de hardware (HSM) para cifrar la clave maestra. Para conocer más
detalles, consulte Cifrado de una clave maestra utilizando un HSM.
Syslog seguro Certificado para habilitar conexiones seguras entre el cortafuegos y un servidor
Syslog. Consulte Descripciones de los campos de Syslog.
CA raíz de confianza Designación de un certificado raíz emitido por una CA en la que confía
el cortafuegos. El cortafuegos puede utilizar un certificado de CA raíz
autofirmado para emitir certificados automáticamente para otras aplicaciones
(por ejemplo, proxy de reenvío SSL).

certificado
Asimismo, si un cortafuegos debe establecer conexiones seguras con otros
cortafuegos, la CA raíz que emite sus certificados debe estar incluida en la lista
de CA raíz de confianza del cortafuegos.
Comunicación De manera predeterminada, Panorama, los cortafuegos y los recopiladores

interdispositivo de logs usan un conjunto de certificados predefinidos para las conexiones
SSL/TLS utilizadas para la gestión y el reenvío de logs. Sin embargo, usted
puede mejorar esta conexión al implementar certificados personalizados a los
dispositivos en su implementación. Estos certificados también pueden usarse
para garantizar la conexión SSL/TLS entre los peers HA de Panorama.

Revocación de certificados
Panorama y los cortafuegos de Palo Alto Networks utilizan certificados digitales para garantizar la confianza
entre las partes de una sesión de comunicación segura. La configuración de un cortafuegos o Panorama para
que compruebe el estado de revocación de certificados ofrece seguridad adicional. Una parte que presente
un certificado revocado no es fiable. Cuando un certificado forma parte de una cadena, el cortafuegos o
Panorama comprueban el estado de cada certificado de la cadena, excepto el certificado de CA raíz, cuyo
estado de revocación no puede verificar el dispositivo.
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos
son un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo,
un empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En
estas circunstancias, la entidad de certificación que emitió el certificado deberá revocarlo.
Panorama y los cortafuegos de Palo Alto Networks admiten los siguientes métodos para verificar el estado
de revocación de certificados. Si configura los dos métodos, el cortafuegos o Panorama primero intentará
utilizar el método OCSP; si el servidor OCSP no está disponible, utilizará el método CRL.
• Lista de revocación de certificados (CRL)
• Protocolo de estado de certificado en línea (OCSP)
En PAN-OS, la verificación del estado de revocación de certificados es una función

opcional. La práctica recomendada es habilitarla para perfiles de certificados, que definen
la autenticación de usuarios y dispositivos para portal cautivo, GlobalProtect, VPN de sitio a
sitio de IPSec o acceso a la interfaz web del cortafuegos o Panorama.
Lista de revocación de certificados (CRL)

Cada entidad de certificación (CA) emite periódicamente una lista de revocación de certificados (CRL) en un
repositorio público. La CRL identifica los certificados revocados por su número de serie. Después de que la
CA revoque un certificado, la siguiente actualización de la CRL incluirá el número de serie de ese certificado.
El cortafuegos de Palo Alto Networks descarga y guarda en caché la última emisión de la CRL de cada CA
incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se aplica a
certificados validados; si un cortafuegos nunca validó un certificado, el cortafuegos no almacenará la CRL
para la CA de emisión. Asimismo, la caché solamente almacena una CRL hasta que vence.
El cortafuegos admite las CRL solo en formato de reglas de codificación distinguida (DER). Si el cortafuegos
descarga una CRL en cualquier otro formato (como en formato de correo con privacidad mejorada o PEM),
cualquier proceso de verificación de revocaciones que use esa CRL fallará cuando un usuario realice una
actividad que active el proceso (por ejemplo, el envío de datos SSL salientes). El cortafuegos generará un
log de sistema para el fallo de verificación. Si la verificación se aplicaba a un certificado SSL, el cortafuegos
también mostrará la página de respuesta de notificación de errores de certificados SSL al usuario.
Para usar CRL para comprobar el estado de verificación de los certificados usados para el descifrado de
tráfico SSL/TLS entrante/saliente, consulte la Configuración de la verificación de estado de certificados
usados para el descifrado de SSL/TLS.
Para utilizar las CRL para verificar el estado de revocación de certificados que autentiquen usuarios y
dispositivos, configure un perfil de certificado y asígnelo a las interfaces específicas de la aplicación: portal
cautivo, GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la
interfaz web de Panorama o cortafuegos de Palo Alto Networks. Si desea información detallada, consulte la
Configuración de la verificación del estado de revocación de los certificados.

Protocolo de estado de certificado en línea (OCSP)
Al establecer una sesión SSL/TLS, los clientes pueden utilizar el protocolo de estado de certificado en línea
(OCSP) para comprobar el estado de revocación del certificado de autenticación. El cliente que realiza
la autenticación envía una solicitud que contiene el número de serie del certificado al OCSP responder
(servidor). El respondedor busca en la base de datos de la entidad de certificación (CA) que emitió el
certificado y devuelve una respuesta con el estado (correcto, revocado o desconocido) al cliente. La ventaja
del método OCSP es que puede verificar el estado en tiempo real, en lugar de depender de la frecuencia de
emisión (cada hora, diariamente o semanalmente) de las CRL.
El cortafuegos de Palo Alto Networks descarga y guarda en caché información de estado de OCSP de
cada CA incluida en la lista de CA de confianza del cortafuegos. El almacenamiento en caché solamente se
aplica a certificados validados; si un cortafuegos nunca validó un certificado, la caché del cortafuegos no
almacenará la información de OCSP para la CA de emisión. Si su empresa tiene su propia infraestructura de
clave pública (PKI), puede configurar el cortafuegos como un respondedor OCSP (consulte Configuración de
un respondedor OCSP).
Para utilizar el OCSP para verificar el estado de revocación de certificados cuando el cortafuegos funcione
como proxy SSL de reenvío, realice los pasos que se indican en Configuración de la verificación de estado de
certificados usados para el descifrado de SSL/TLS.
Las siguientes aplicaciones utilizan certificados para autenticar usuarios y/o dispositivos: portal cautivo,
GlobalProtect (de usuario remoto a sitio o gran escala), VPN de sitio a sitio de IPSec o acceso a la interfaz
web de Panorama o cortafuegos de Palo Alto Networks. Para utilizar OCSP para verificar el estado de
revocación de los certificados:
Configure un OCSP responder.
Habilite el servicio OCSP de HTTP en el cortafuegos.
Cree u obtenga un certificado para cada aplicación.
Configure un perfil de certificado para cada aplicación.
Asigne el perfil de certificado a la aplicación relevante.
Para cubrir situaciones en las que el OCSP responder no esté disponible, configure la CRL como método de
retroceso. Para obtener los detalles, consulte la Configuración de la verificación del estado de revocación de
los certificados.

Implementación de certificados
Los enfoques básicos de implementación de certificados para Panorama o cortafuegos de Palo Alto
Networks son los siguientes:
• Obtenga certificados de una CA externa de confianza: La ventaja de obtener un certificado de una
entidad de certificación (CA) externa de confianza como VeriSign o GoDaddy es que los clientes finales
ya confiarán en el certificado debido a que los exploradores comunes incluyen certificados de CA raíz
de CA conocidas en sus almacenes de certificados raíz de confianza. Por lo tanto, para aplicaciones que
requieran que los clientes finales establezcan conexiones seguras con Panorama o el cortafuegos de Palo
Alto Networks, adquiera un certificado de una CA en la que confíen los clientes finales para no tener que
implementar previamente certificados de CA raíz en los clientes finales. (Algunas de estas aplicaciones
son un portal de GlobalProtect o gestor de seguridad móvil de GlobalProtect). Sin embargo, observe
que la mayoría de las CA externas no pueden emitir certificados de firma. Por lo tanto, este tipo de
certificado no es adecuado para las aplicaciones (por ejemplo, descifrado SSL/TLS y VPN a gran escala)
que requieran que el cortafuegos emita certificados. Consulte Obtención de un certificado desde una CA
externa.
• Obtenga certificados de una CA de empresa: Las empresas que tengan su propia CA interna podrán
utilizarla para emitir certificados para aplicaciones de cortafuegos e importarlos en el cortafuegos. La
ventaja es que los clientes finales probablemente ya confíen en la CA de empresa. Puede generar los
certificados necesarios e importarlos en el cortafuegos o generar una solicitud de firma de certificado
(CSR) en el cortafuegos y enviarla a la CA de empresa para que la firme. La ventaja de este método es
que la clave privada no abandona el cortafuegos. Un CA de empresa también puede emitir un certificado
de firma, que el cortafuegos utiliza para generar certificados automáticamente (por ejemplo, para VPN a
gran escala de GlobalProtect o sitios que requieran un descifrado SSL/TLS). Consulte Importación de un
certificado y una clave privada.
• Genere certificados autofirmados: Puede crear un certificado de CA raíz autofirmado en el cortafuegos y
utilizarlo para emitir certificados automáticamente para otras aplicaciones de cortafuegos.
Si utiliza este método para generar certificados para una aplicación que requiera que
un cliente final confíe en el certificado, los usuarios finales verán un error de certificado
debido a que el certificado de CA raíz no está en su almacén de certificados raíz de
confianza. Para evitar esto, implemente el certificado de CA raíz autofirmado en todos los
sistemas de usuario final. Puede implementar los certificados manualmente o utilizar un
método de implementación centralizado como un objeto de directiva de grupo (GPO) de
Active Directory.

Configuración de la verificación del estado de
revocación de certificados
Para verificar el estado de revocación de los certificados, el cortafuegos utiliza el protocolo de estado de
certificado en línea (Online Certificate Status Protocol, OCSP) y/o listas de revocación de certificados
(certificate revocation lists, CRL). Para obtener información detallada sobre estos métodos, consulte
Revocación de certificados. Si configura ambos métodos, el cortafuegos primero intentará utilizar el OCSP y
solamente volverá al método CRL si el respondedor OCSP no está disponible. Si su empresa tiene su propia
infraestructura de clave pública (PKI), puede configurar el cortafuegos para que funcione como el OCSP
responder.
Los siguientes temas describen cómo configurar el cortafuegos para verificar el estado de revocación de
certificados:
• Configuración de un OCSP responder
• Configuración de la verificación del estado de revocación de los certificados
• Configuración de la verificación del estado de revocación de certificados utilizados para el descifrado
SSL/TLS
Configuración de un OCSP responder

Para utilizar el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de
certificados, debe configurar el cortafuegos para que acceda a un respondedor OCSP (servidor). La entidad
que gestiona el OCSP responder puede ser una entidad de certificación (CA) externa o, si su empresa tiene
su propia infraestructura de clave pública (PKI), el propio cortafuegos. Si desea información detallada sobre
OCSP, consulte la Revocación de certificados.
STEP 1 | Defina un OCSP responder.

1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > OCSP
Responder (Respondedor OCSP) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para identificar al respondedor (hasta 31 caracteres). El nombre
distingue entre mayúsculas y minúsculas. Debe ser exclusivo y utilizar únicamente letras, números,
espacios, guiones y guiones bajos.
3. Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Compartida]) para esta configuración.
4. En el campo Host Name (Nombre de host), introduzca el nombre de host (recomendado) o la
dirección IP del OCSP responder. Puede introducir una dirección IPv4 o IPv6. A partir de este valor,
PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando.
Si configura el propio cortafuegos como respondedor OCSP, el nombre de host debe resolverse en
una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP.
STEP 2 | Habilite la comunicación de OCSP en el cortafuegos.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión).
2. En la sección Configuración de interfaz de gestión, edite para seleccionar la casilla de verificación
HTTP OCSP y haga clic en OK (Aceptar).
STEP 3 | (Opcional) Para configurar el propio cortafuegos como respondedor OCSP, añada un perfil de
gestión de interfaz a la interfaz utilizada para los servicios OCSP.

interfaz).
2. Haga clic en Add (Añadir) para crear un nuevo perfil o haga clic en el nombre de un perfil existente.
3. Seleccione la casilla de verificación HTTP OCSP y haga clic en OK (Aceptar).
4. Seleccione Network (Red) > Interfaces y haga clic en el nombre de la interfaz que el cortafuegos
utilizará para los servicios OCSP. El Host Name (Nombre de host) OCSP que se especifica en el paso
1 debe dirigir a una dirección IP en esta interfaz.
5. Seleccione Advanced (Avanzada) > Other info (Otra información) y seleccione el perfil de gestión de
interfaz que configuró.
6. Haga clic en OK (Aceptar) y Commit (Confirmar).
Configuración de la verificación del estado de revocación de los

certificados
El cortafuegos y Panorama utilizan certificados para autenticar usuarios y dispositivos para aplicaciones
tales como portal cautivo, GlobalProtect, VPN de sitio a sitio de IPSec y acceso a la interfaz web de
Panorama o el cortafuegos de Palo Alto Networks. Para mejorar la seguridad, la práctica recomendada
es configurar el cortafuegos o Panorama para que verifiquen el estado de revocación de certificados que
utilicen para la autenticación de dispositivos/usuarios.
STEP 1 | Realice la Configuración de un perfil de certificado para cada aplicación.

Asigne uno o más certificados CA raíz al perfil y seleccione el modo en que el cortafuegos verifica el
estado de revocación de certificados. El nombre común (FQDN o dirección IP) de un certificado debe
coincidir con una interfaz en la que aplique el perfil del paso 2.
Si desea información detallada de los certificados que utilizan las distintas aplicaciones, consulte Claves y
certificados.
STEP 2 | Asigne los perfiles de certificados a las aplicaciones relevantes.

Los pasos para asignar un perfil de certificado dependen de la aplicación que lo requiera.
Configuración de la verificación del estado de revocación de

certificados utilizados para el descifrado SSL/TLS
El cortafuegos descifra el tráfico SSL/TLS entrante y saliente para aplicar reglas y reglas de seguridad y
después vuelve a cifrar el tráfico antes de reenviarlo. (Si desea información detallada, consulte Inspección
entrante de SSL y Proxy de reenvío SSL.) Puede configurar el cortafuegos para comprobar el estado de
revocación de los certificados usados para la descripción como sigue.
Si habilita la verificación del estado de revocación de certificados de descifrado SSL/TLS,

añadirá tiempo al proceso de establecimiento de la sesión. El primer intento de acceder a un
sitio puede fallar si la verificación no termina antes de que se acabe el tiempo de espera de
la sesión. Por estos motivos, la verificación está deshabilitada de manera predeterminada.
STEP 1 | Defina los intervalos de tiempo de espera específicos de servicio para las solicitudes de estado
de revocación.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y, en la sección Session
Features (Características de la sesión), seleccione Decryption Certificate Revocation Settings
(Configuración de revocación de certificado de descifrado).

2. Realice uno de los dos pasos siguientes o ambos, en función de si el cortafuegos utilizará el Protocolo
de estado de certificado en línea (OCSP) o el método de Lista de revocación de certificados (CRL)
para verificar el estado de revocación de los certificados. Si el cortafuegos utiliza ambos, primero
intentará utilizar OCSP; si el respondedor OCSP no está disponible, entonces el cortafuegos intentará
utilizar el método CRL.
• En la sección CRL, seleccione la casilla de verificación Enable (Habilitar) e introduzca el Receive
Timeout (Tiempo de espera de recepción). Este es el intervalo (1-60 segundos) tras el cual el
cortafuegos deja de esperar una respuesta del servicio CRL.
• En la sección OCSP, seleccione la casilla de verificación Enable (Habilitar) e introduzca el Receive
Timeout (Tiempo de espera de recepción). Este es el intervalo (1-60 segundos) tras el cual el
cortafuegos deja de esperar una respuesta del OCSP responder.
Según el valor de Certificate Status Timeout (Tiempo de espera del estado del certificado) que
especifique en el paso 2, es posible que el cortafuegos registre un tiempo de espera antes de que
pase cualquiera de los intervalos de Receive Timeout (Tiempo de espera de recepción) o ambos.
STEP 2 | Defina el intervalo de tiempo de espera total para las solicitudes de estado de revocación.
Introduzca el Certificate Status Timeout (Tiempo de espera del estado del certificado). Este es el
intervalo (de 1 a 60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier
servicio de estado de certificado y aplica la lógica de bloqueo de sesión que puede definir de manera
opcional en el paso 3. El Certificate Status Timeout (Tiempo de espera del estado del certificado)
se relaciona con el Receive Timeout (Tiempo de espera de recepción) de OCSP/CRL de la manera
siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud después
de que pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera
del estado del certificado) o la suma de los dos valores de Receive Timeout (Tiempo de espera de
recepción).
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de que
pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del estado
del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de que
pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del estado
del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de CRL.
STEP 3 | Defina el comportamiento de bloqueo para el estado de certificado desconocido o un tiempo

de espera de solicitud de estado de revocación.
Si desea que el cortafuegos bloquee sesiones SSL/TLS cuando el servicio OCSP o CRL devuelva el
estado de revocación de certificados Desconocido, seleccione la casilla de verificación Block Session
With Unknown Certificate Status (Bloquear sesión con estado de certificado desconocido). De lo
contrario, el cortafuegos continuará con la sesión.
Si desea que el cortafuegos bloquee sesiones SSL/TLS después de que registre un tiempo de espera
de solicitud, seleccione la casilla de verificación Block Session On Certificate Status Check Timeout
(Bloquear sesión al agotar el tiempo de espera de comprobación de estado de certificado). De lo
contrario, el cortafuegos continuará con la sesión.

Configuración de la clave maestra
Cada servidor de gestión de cortafuegos o de Panorama tiene una clave maestra predeterminada que cifra
todas las claves privadas y contraseñas en la configuración para protegerlas (como la clave privada que se
utiliza para el descifrado proxy de reenvío SSL). Para garantizar la mejor postura de seguridad, configure una
nueva clave maestra y cámbiela periódicamente.
Si la configuración es de alta disponibilidad (HA), debe utilizar la misma clave maestra en los ambos
cortafuegos o Panorama del par. De lo contrario, la sincronización de HA no funcionará.
Además, si utiliza Panorama para gestionar su cortafuegos, debe utilizar la misma clave maestra en
Panorama y todos los cortafuegos gestionados, de modo que Panorama pueda enviar configuraciones a los
cortafuegos.
Para garantizar una seguridad adicional, consulte el Cifrado de una clave maestra utilizando
un HSM.
Asegúrese de almacenar la clave maestra en una ubicación segura. No puede recuperar la clave maestra y la
única manera de restaurar la clave maestra predeterminada es mediante el Restablecimiento del cortafuegos
a los ajustes predeterminados de fábrica.
STEP 1 | Seleccione Device (Dispositivo) > Master Key and Diagnostics (Clave maestra y diagnóstico) y
edite la sección Master Key (Clave maestra).
STEP 2 | Introduzca la Current Master Key (Clave maestra actual), si existe.
STEP 3 | Defina una New Master Key (Nueva clave maestra) y, a continuación, seleccione la acción
Confirm New Master Key (Confirmar clave maestra). La clave debe contener exactamente 16
caracteres.
STEP 4 | Para especificar la Life Time (Duración), introduzca el número de días en Days (Días) o de horas
en Hours (Horas) tras los cuales vencerá la clave.
Debe configurar una nueva clave maestra antes de que expire la clave actual. Si la clave
maestra expira, el cortafuegos o Panorama se reiniciarán automáticamente en el modo
Mantenimiento. Luego, deberá realizar el Restablecimiento del cortafuegos a los ajustes
predeterminados de fábrica.
STEP 5 | Introduzca un Time for Reminder (Período restante) que especifique el número de Days (Días)
y Hours (Horas) antes de que la clave maestra venza cuando el cortafuegos genere una alarma
de vencimiento. El cortafuegos abre automáticamente el cuadro de diálogo System Alarms
(Alarmas de sistema) para mostrar la alarma.
Para asegurarse de que se muestre la alarma de vencimiento, seleccione Device

(Dispositivo) > Log Settings (Configuración del registro), edite la configuración de las
alarmas y haga clic en Enable Alarms (Habilitar alarmas).
STEP 6 | (Opcional) Seleccione si desea utilizar un HSM para cifrar la clave maestra. Si desea
información detallada, consulte el Cifrado de una clave maestra utilizando un HSM.

Obtención de certificados
• Creación de un certificado de CA raíz autofirmado
• Generar un certificado
• Importación de un certificado y una clave privada
• Obtención de un certificado desde una CA externa
Creación de un certificado de CA raíz autofirmado

Un certificado de una entidad de certificación (CA) raíz autofirmado es el certificado de mayor nivel
de una cadena de certificados. Un cortafuegos puede utilizar este certificado para emitir certificados
automáticamente para otros usos. Por ejemplo, el cortafuegos emite certificados para el descifrado SSL/TLS
y para dispositivos satélite de una VPN a gran escala de GlobalProtect.
Al establecer una conexión segura con el cortafuegos, el cliente remoto debe confiar en la CA raíz que
emitió el certificado. De lo contrario, el explorador del cliente mostrará una advertencia indicando que el
certificado no es válido y podría (dependiendo de la configuración de seguridad) bloquear la conexión. Para
evitar esto, después de generar el certificado de CA raíz autofirmado, impórtelo en los sistemas cliente.
En un cortafuegos o Panorama de Palo Alto Networks, solo puede generar certificados

autofirmados si son certificados de CA.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo).
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la ubicación en Location
(Ubicación) (vsys o Shared [Compartido]) para esta configuración.
STEP 3 | Haga clic en Generate (Generar).
STEP 4 | Introduzca un Certificate Name (Nombre de certificado), como GlobalProtect_CA. El nombre

distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo
y utilizar únicamente letras, números, guiones y guiones bajos.
STEP 5 | En el campo Common Name (Nombre común), introduzca el FQDN (recomendado) o la

dirección IP de la interfaz en la que configurará el servicio que utilizará este certificado.
STEP 6 | Si el dispositivo tiene más de un vsys y desea que el certificado esté disponible para todos los
vsys, seleccione la casilla de verificación Shared (Compartido).
STEP 7 | Deje el campo Signed By (Firmado por) en blanco para designar el certificado como
autofirmado.
STEP 8 | (Obligatorio) Seleccione la casilla de verificación Certificate Authority (Autoridad de

certificado).
STEP 9 | Deje en blanco el campo OCSP Responder (Respondedor OCSP); la verificación del estado de
revocación de certificados no se aplica a certificados de CA raíz.
STEP 10 | Haga clic en Generate (Generar) y Commit (Confirmar).

Generar un certificado
Los cortafuegos y Panorama de Palo Alto Networks utilizan certificados para autenticar clientes, servidores,
usuarios y dispositivos en varias aplicaciones, incluido el descifrado SSL/TLS, portal cautivo, GlobalProtect,
VPN de sitio a sitio de IPSec y acceso a la interfaz web del cortafuegos/Panorama. Genere certificados para
cada uso: si desea obtener información detallada, consulte Claves y certificados.
Para generar un certificado, debe realizar la Creación de un certificado de CA raíz autofirmado o importar
uno (Importación de un certificado y una clave privada) para firmarlo. Para utilizar el protocolo de estado de
certificado en línea (OCSP) para verificar el estado de revocación de certificados, realice la Configuración de
un respondedor OCSP antes de generar el certificado.
(Ubicación) (vsys o Shared [Uso compartido]) para esta configuración.
STEP 3 | Haga clic en Generate (Generar).
STEP 4 | Seleccione Local (por defecto) como el Certificate Type (Tipo de certificado), a menos que
desee implementar certificados SCEP a clientes GlobalProtect.
STEP 5 | Introduzca un Certificate Name (Nombre de certificado). El nombre distingue entre mayúsculas
y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras,
números, guiones y guiones bajos.
STEP 6 | En el campo Common Name (Nombre común), introduzca el FQDN (recomendado) o la

dirección IP de la interfaz en la que configurará el servicio que utilizará este certificado.
STEP 7 | Si el dispositivo tiene más de un vsys y desea que el certificado esté disponible para todos los
vsys, seleccione la casilla de verificación Shared (Uso compartido).
STEP 8 | En el campo Signed By (Firmado por), seleccione el certificado de CA raíz que emitirá el
certificado.
STEP 9 | (Opcional) Seleccione un OCSP Responder (Respondedor OCSP).
STEP 10 | Para el Algorithm (Algoritmo) de generación de claves, seleccione RSA (por defecto)
o Elliptical Curve DSA (DSA de curva elíptica) (ECDSA). ECDSA se recomienda para
navegadores de clientes y sistemas operativos compatibles.
Los cortafuegos que ejecutan la versión PAN-OS 6.1 o anteriores eliminarán cualquier
certificado de ECDSA que envíe desde Panorama™, y ningún certificado RSA firmado
por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos.
No puede utilizar un módulo de seguridad de hardware (HSM) para almacenar claves ECDSA utilizadas
para el descifrado de SSL/TLS.
STEP 11 | Seleccione el Number of Bits (Número de bits) para definir la extensión de la clave del
certificado. Mientras más alto sea el número más seguro será, pero requerirá más tiempo de
procesamiento.

STEP 12 | Seleccione el algoritmo Digest (Resumen). Las opciones son las siguientes, de mayor a menor
seguridad: sha512, sha384, sha256 (por defecto), sha1 y md5.
Los certificados de cliente que se emplean al solicitar servicios de cortafuegos que se

basan en TLSv1.2 (como el acceso de administrador a la interfaz web) no pueden tener
sha512 como un algoritmo de resumen. Los certificados de cliente deben utilizar un
algoritmo de resumen más bajo (como sha384) o debe limitar la Max Version (Versión
máx.) a TLSv1.1 cuando realiza la Configuración de un perfil de servicio SSL/TLS de los
servicios de cortafuegos.
STEP 13 | En Expiration (Vencimiento), escriba la cantidad de días (por defecto es 365) durante los
cuales es válido el certificado.
STEP 14 | (Opcional) Seleccione Add (Añadir) para añadir los Certificate Attributes (Atributos del
certificado) para identificar de manera exclusiva el cortafuegos y el servicio que vaya a utilizar
el certificado.
Si añade un atributo Host Name (Nombre de host) (nombre DNS), la práctica

recomendada es que coincida con el Common Name (Nombre común). El nombre de
host cumplimenta el campo Nombre alternativo del asunto (SAN) del certificado.
STEP 15 | Haga clic en Generate (Generar) y en la pestaña Device Certificates (Certificados de

dispositivo), haga clic en el nombre del certificado.
Independientemente de la zona horaria del cortafuegos, siempre se muestra la hora del

meridiano de Greenwich (Greenwich Mean Time, GMT) para la validez del certificado y
las fechas/horas de vencimiento.
STEP 16 | Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al
certificado en el cortafuegos.
Por ejemplo, si el cortafuegos va a utilizar este certificado para asegurar el reenvío de syslogs a un
servidor syslog externo, seleccione la casilla de verificación Certificate for Secure Syslog (Certificado de
syslog seguro).
Importación de un certificado y una clave privada

Si su empresa tiene su propia infraestructura de clave pública (PKI), puede importar un certificado y una
clave privada en el cortafuegos desde la entidad de certificación (CA) de su empresa. Los certificados de CA
de empresa (a diferencia de la mayoría de certificados adquiridos a una CA externa de confianza) pueden
emitir automáticamente certificados de CA para aplicaciones como el descifrado SSL/TLS o VPN a gran
escala.
En un cortafuegos o Panorama de Palo Alto Networks, usted solo puede importar

certificados autofirmados si son certificados de CA.
En lugar de importar un certificado de CA raíz autofirmado en todos los sistemas cliente, la
práctica recomendada es importar un certificado desde la CA de la empresa, dado que los
clientes ya mantienen una relación de confianza con la CA de la empresa, lo cual simplifica
la implementación.

Si el certificado que va a importar forma parte de una cadena de certificados, la práctica
recomendada es importar toda la cadena.
STEP 1 | Desde la CA de la empresa, exporte el certificado y la clave privada que el cortafuegos utilizará
para la autenticación.
Al exportar una clave privada, debe introducir una frase de contraseña para cifrar la clave para su
transporte. Asegúrese de que el sistema de gestión puede acceder a los archivos del certificado y clave.
Al importar la clave en el cortafuegos, debe introducir la misma frase de contraseña para descifrarla.
STEP 4 | Haga clic en Import (Importar) e introduzca un Certificate Name (Nombre de certificado). El
nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Debe ser
exclusivo y utilizar únicamente letras, números, guiones y guiones bajos.
STEP 5 | Para que el certificado esté disponible para todos los sistemas virtuales, seleccione la casilla
de verificación Compartido. Esta casilla de verificación solo aparece si el cortafuegos admite
múltiples sistemas virtuales.
STEP 6 | Introduzca la ruta y el nombre del Certificate File (Archivo de certificado) que recibió de la CA
o seleccione Browse (Examinar) para buscar el archivo.
STEP 7 | Seleccione un File Format (Formato de archivo):

• Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado [PKCS12]):
este es el formato predeterminado y más común, en el que la clave y el certificado están en un único
contenedor (Certificate File [Archivo del certificado]). Si un módulo de seguridad de hardware (HSM)
va a almacenar la clave privada para este certificado, seleccione la casilla de verificación Private
key resides on Hardware Security Module (La clave privada reside en el módulo de seguridad de
hardware).
• Base64 Encoded Certificate (PEM) (Certificado codificado en Base64 [PEM]): debe importar la
clave independientemente del certificado. Si un módulo de seguridad de hardware (HSM) almacena
la clave privada para este certificado, seleccione la casilla de verificación Private key resides on
Hardware Security Module (La clave privada reside en el módulo de seguridad de hardware) y omita
el siguiente paso. De lo contrario, seleccione la casilla de verificación Import Private Key (Importar
clave privada), introduzca el archivo de clave en Key File (Archivo de clave) o haga clic en Browse
(Explorar) para buscarlo y realice el siguiente paso.
STEP 8 | Introduzca y vuelva a introducir (confirme) la Frase de contraseña utilizada para cifrar la clave
privada.
STEP 9 | Haga clic en OK (Aceptar). La página Device Certificates (Certificados de dispositivos) muestra
el certificado importado.
Obtención de un certificado desde una CA externa

La ventaja de obtener un certificado de una entidad de certificación (CA) externa es que la clave privada
no abandona el cortafuegos. Para obtener un certificado desde una CA externa, genere una solicitud de

firma de certificado (CSR) y envíela a la CA. Después de que la CA emita un certificado con los atributos
especiales, impórtelo en el cortafuegos. La CA puede ser una CA pública conocida o una CA de la empresa.
Para utilizar el protocolo de estado de certificación en línea (OCSP) para comprobar el estado de revocación
del certificado, realice la Configuración de un respondedor OCSP antes de generar la CSR.
STEP 1 | Solicite el certificado de una CA externa.

1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Device Certificates (Certificados de dispositivo).
3. Haga clic en Generate (Generar).
4. Introduzca un Certificate Name (Nombre de certificado). El nombre distingue entre mayúsculas
y minúsculas y puede tener hasta 31 caracteres. Debe ser exclusivo y utilizar únicamente letras,
números, guiones y guiones bajos.
5. En el campo Common Name (Nombre común), introduzca el FQDN (recomendado) o la dirección IP
de la interfaz en la que configurará el servicio que utilizará este certificado.
6. Si el dispositivo tiene más de un vsys y desea que el certificado esté disponible para todos los vsys,
seleccione la casilla de verificación Shared (Compartido).
7. En el campo Signed By (Firmado por), seleccione External Authority (CSR) (Autoridad externa [CSR]).
8. Si es aplicable, seleccione un OCSP responder (Respondedor OCSP).
9. (Opcional) Deberá Add (Añadir) los Certificate Attributes (Atributos del certificado) para identificar
de manera exclusiva el cortafuegos y el servicio que vaya a utilizar el certificado.
Si añade un atributo Host Name (Nombre de host), la práctica recomendada es

que coincida con el Common Name (Nombre común) (esto es obligatorio para
GlobalProtect). El nombre de host cumplimenta el campo Nombre alternativo del
asunto (SAN) del certificado.
10.Haga clic en Generate (Generar). La pestaña Device Certificates (Certificados de dispositivos)
muestra la CSR con el estado pending (pendiente).
STEP 2 | Envíe la CSR a la CA.

1. Seleccione la CSR y haga clic en Export (Exportar) para guardar el archivo .csr en un equipo local.
2. Cargue el archivo .csr en la CA.
STEP 3 | Importe el certificado.

1. Cuando la CA envíe el certificado firmado en respuesta a la CSR, vuelva a la pestaña Device
Certificates (Certificados de dispositivos) y haga clic en Import (Importar).
2. Introduzca el nombre del certificado en Certificate Name (Nombre de certificado), que se utiliza para
generar la CSR.
3. Introduzca la ruta y el nombre del Certificate File (Archivo del certificado) PEM que envió la CA o
seleccione Browse (Examinar) para buscarlo.
4. Haga clic en OK (Aceptar). La pestaña Device Certificates (Certificados de dispositivos) muestra el
certificado de un estado valid (válido).
STEP 4 | Configure el certificado.

1. Haga clic en el Name (Nombre) del certificado.
2. Seleccione las casillas de verificación que se correspondan con el uso que se pretende dar al
certificado en el cortafuegos. Por ejemplo, si el cortafuegos va a utilizar este certificado para asegurar
el reenvío de syslogs a un servidor syslog externo, seleccione la casilla de verificación Certificate for
Secure Syslog (Certificado de syslog seguro).

Exportación de un certificado y una clave
privada
Palo Alto Networks le recomienda usar una infraestructura de clave pública de empresa (PKI) para distribuir
un certificado y una clave privada en su organización. Sin embargo, si es necesario también puede exportar
un certificado y una clave privada desde el cortafuegos o Panorama. Puede usar un certificado y una clave
privada exportados en los siguientes casos:
• Configuración de una autenticación de administrador basada en certificados en la interfaz web
• GlobalProtect agent/app authentication to portals and gateways (Autenticación de agente/aplicación de
GlobalProtect en los portales y gateways)
• SSL Forward Proxy decryption (Descifrado del proxy SSL de reenvío)
• Obtención de un certificado desde una CA externa
STEP 2 | Si el cortafuegos tiene más de un sistema virtual (virtual system, vsys), seleccione la ubicación
en Location (Ubicación) (vsys o Shared [Uso compartido]) para el certificado.
STEP 3 | Seleccione el certificado, haga clic en Export (Exportar) y seleccione un File Format (Formato
de archivo):
• Base64 Encoded Certificate (PEM) (Certificado codificado en Base64): es el formato por defecto.
Se trata del formato más común y más ampliamente aceptado de Internet. Si desea que el archivo
exportado incluya la clave privada, seleccione la casilla de verificación Export Private Key (Exportar
clave privada).
• Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado): este formato
es más seguro que PEM, pero no es tan común o tan ampliamente admitido. El archivo exportado
incluirá automáticamente la clave privada.
• Binary Encoded Certificate (DER) (Certificado codificado binario): este es el formato que admite
la mayor cantidad de tipos de sistemas operativos. Puede exportar el certificado únicamente, no la
clave: para ello, ignore la casilla de verificación Export Private Key (Exportar clave privada) y los
campos de frase de contraseña.
STEP 4 | Escriba una frase de contraseña en Passphrase (Frase de contrseña) y repítala en Confirm
Passphrase (Confirmar frase de contrseña) para cifrar la clave privada si el valor de File Format
(Formato de archivo) es PKCS12 o si es PEM y ha seleccionado la casilla de verificación
Export Private Key (Exportar clave privada). Usará esta frase de contraseña cuando importe el
certificado y la clave en sistemas cliente.
STEP 5 | Haga clic en OK (Aceptar) y guarde el archivo de clave o certificado en su ordenador.

Configuración de un perfil de certificado
Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo,
GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad móvil y acceso a la interfaz web de
Panorama o los cortafuegos de Palo Alto Networks. Los perfiles especifican qué certificados deben
utilizarse, cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado.
Configure un perfil de certificado para cada aplicación.
La práctica recomendada es habilitar el protocolo de estado de certificado en línea (OCSP)

y/o la verificación del estado de la lista de revocación de certificados (CRL) para perfiles de
certificados. Si desea información detallada sobre estos métodos, consulte Revocación de
certificado.
STEP 1 | Obtenga los certificados de la entidad de certificación (CA) que asignará.

Realice uno de los pasos siguientes para obtener los certificados de CA que asignará al perfil. Debe
asignar al menos uno.
• Generar un certificado.
• Exporte un certificado de la CA de su empresa y, a continuación, impórtelo en el cortafuegos
(consulte el paso Asignar uno o más certificados).
STEP 2 | Identifique el perfil de certificado.

1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificado) > Certificates
Profile (Perfil de certificados) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para identificar el perfil. El nombre distingue entre mayúsculas y
minúsculas, debe ser único y puede tener hasta 31 caracteres, incluidas letras, números, espacios,
guiones y guiones bajos.
(Ubicación) (vsys o Shared [Compartido]) para esta configuración.
STEP 3 | Asigne uno o más certificados.

Realice los siguientes pasos para cada certificado de CA:
1. En la tabla Certificados de CA, haga clic en Add (Añadir).
2. Seleccione un CA Certificate (Certificado de CA). Otra opción es importar un certificado al hacer clic
en Import (Importar), introducir un Certificate Name (Nombre de certificado, seleccionar Browse
(Examinar) y buscar el Certificate File (Archivo de certificado) que ha exportado desde su CA de
empresa y hacer clic en OK (Aceptar).
3. (Opcional) Si el cortafuegos utiliza OCSP para verificar el estado de revocación de certificados,
configure los siguientes campos para cancelar el comportamiento predeterminado. Para la mayoría de
las implementaciones, estos campos no son aplicables.
• De manera predeterminada, el cortafuegos utiliza la URL del respondedor OCSP que estableció
en el procedimiento Configuración de un respondedor OCSP. Para cancelar ese ajuste, introduzca
una URL de OCSP predeterminada (que comience por http:// o https://).
• De manera predeterminada, el cortafuegos utiliza el certificado seleccionado en el campo CA
Certificate (Certificado de CA) para validar las respuestas de OCSP. Para utilizar un certificado
diferente para la validación, selecciónelo en el campo OCSP Verify CA Certificate (Verificación de
certificado CA con OCSP).
4. Haga clic en OK (Aceptar). La tabla Certificados de CA muestra el certificado asignado.

STEP 4 | Defina los métodos para verificar el estado de revocación de certificados y el comportamiento
de bloqueo asociado.
1. Seleccione Use CRL (Utilizar CRL) y/o Use OCSP (Utilizar OCSP). Si selecciona ambos, el cortafuegos
probará primero con OCSP y volverá al método CRL solo si respondedor OCSP no está disponible.
2. Dependiendo del método de verificación, introduzca el CRL Receive Timeout (Tiempo de espera de
recepción de CRL) y/o OCSP Receive Timeout (Tiempo de espera de recepción de OCSP). Estos son
los intervalos (1-60 segundos) tras los cuales el cortafuegos deja de esperar una respuesta del servicio
CRL/OCSP.
3. Introduzca el Certificate Status Timeout (Tiempo de espera del estado del certificado). Este es el
intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier
servicio de estado de certificado y aplica la lógica de bloqueo de sesión que defina. El Certificate
Status Timeout (Tiempo de espera del estado del certificado) se relaciona con el Receive Timeout
(Tiempo de espera de recepción) de OCSP/CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de espera de solicitud
después de que pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo
de espera del estado del certificado) o la suma de los dos valores de Receive Timeout (Tiempo de
espera de recepción).
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera de solicitud después de
que pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del
estado del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera de solicitud después de
que pase el menor de dos intervalos: el valor de Certificate Status Timeout (Tiempo de espera del
estado del certificado) o el valor de Receive Timeout (Tiempo de espera de recepción) de CRL.
4. Si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva el estado
de revocación de certificados desconocido, seleccione la casilla de verificación Block session if
certificate status is unknown (Bloquear una sesión si el estado del certificado es desconocido). De lo
contrario, el cortafuegos permitirá las sesiones.
5. Si desea que el cortafuegos bloquee sesiones después de que registre un tiempo de espera de
solicitud de OCSP o CRL, seleccione Block session if certificate status cannot be retrieved within
timeout (Bloquear una sesión si no se puede recuperar el estado del certificado dentro del tiempo de
espera). De lo contrario, el cortafuegos permitirá las sesiones.
6. (Solo GlobalProtect) Si usted desea que el cortafuegos bloquee las sesiones cuando el atributo de
número de serie en el asunto del certificado del cliente no coincida con la ID de host que el agente de
GlobalProtect informa al endpoint cliente, seleccione Block sessions if the certificate was not issued
to the authenticating device (Bloquear las sesiones si el certificado no se emitió para el dispositivo
de autenticación).
STEP 5 | Haga clic en OK (Aceptar) y luego en Commit (Confirmar).

Configuración de un perfil de servicio SSL/TLS
Los cortafuegos y Panorama de Palo Alto Networks utilizan perfiles de servicio SSL/TLS para especificar un
certificado y las versiones permitidas del protocolo para los servicios SSL/TLS. Los cortafuegos y Panorama
usan SSL/TLS para el portal cautivo, portales y puertas de enlace de GlobalProtect, tráfico entrante de
la interfaz de gestión (MGT), la función Cancelación de administrador de URL y el servicio de escucha de
syslog User-ID™. Mediante la definición de versiones de protocolo, puede usar un perfil para restringir los
conjuntos de cifras disponibles para proteger la comunicación con los clientes que solicitan los servicios.
Esto mejora la seguridad de la red al habilitar el cortafuegos o Panorama para evitar las versiones de SSL/
TLS que tienen debilidades conocidas. Si una solicitud de servicio involucra una versión de protocolo que
está fuera del rango especificado, el cortafuegos o Panorama regresa a la versión anterior o actualiza la
conexión a una versión compatible.
En los sistemas cliente que solicitan servicios de cortafuegos, la lista de certificados de

confianza (CTL) debe incluir el certificado de autoridad de certificación (CA) que emitió
el certificado especificado en el perfil de servicio SSL/TLS. De lo contrario, los usuarios
observarán un error de certificado cuando soliciten servicios de cortafuegos. La mayoría
de los certificados de CA externos están presentes de forma predeterminada en los
exploradores de cliente. Si el emisor es un certificado de CA generado por una empresa o
cortafuegos, debe implementar ese certificado de CA en los CTL en los navegadores de
cliente.
STEP 1 | Para cada servicio deseado, genere o importe un certificado en el cortafuegos (consulte
Obtención de certificados).
Utilice solo certificados firmados, no certificados de CA en perfiles de servicio SSL/TLS.
STEP 2 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL/TLS
Service Profile (Perfil de servicio SSL/TLS).
STEP 3 | Si el cortafuegos tiene más de un sistema virtual (virtual system, vsys), seleccione la ubicación
en Location (Ubicación) (vsys o Shared [Compartida]) en la que el perfil está disponible.
STEP 4 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) para identificar el perfil.
STEP 5 | Seleccione el Certificate (Certificado) que acaba de obtener.
STEP 6 | Defina el intervalo de protocolos que puede usar el servicio:

• En Min Version (Versión mínima), seleccione la versión de TLS más antigua permitida: TLSv1.0 (por
defecto), TLSv1.1 o TLSv1.2.
• En Max Version (Versión máxima), seleccione la versión de TLS más reciente permitida: TLSv1.0,
TLSv1.1, TLSv1.2 o Max (última versión disponible). El valor por defecto es Max.
En los cortafuegos en modo FIPS/CC que ejecutan PAN-OS 8.0 o una versión posterior,
TLSv1.1 es la versión TLS más antigua compatible; no seleccione TLSv1.0.
Los certificados de cliente que se utilizan al solicitar servicios de cortafuegos que dependen de
TLSv1.2 no puede tener SHA512 como un algoritmo de resumen. Los certificados de cliente
deben utilizar un algoritmo de resumen más bajo (como SHA384) o limitar la Max Version
(Versión máx.) a TLSv1.1 para los servicios de cortafuegos.


Sustitución del certificado para el tráfico de
gestión entrante
Cuando inicia por primera vez el cortafuegos o Panorama, estos generan automáticamente un certificado
predeterminado que habilita el acceso HTTPS a la interfaz web y a la API de XML en la interfaz de gestión
(MGT) y (solo en el cortafuegos) en cualquier otra interfaz que admita el tráfico de gestión HTTPS (para
obtener información detallada, consulte Uso de los perfiles de gestión de interfaz para restringir el acceso).
Para mejorar la seguridad del tráfico de gestión entrante, reemplace el certificado por defecto por un nuevo
certificado emitido específicamente para su organización.
No puede ver, modificar ni eliminar el certificado por defecto.

Para proteger el tráfico de gestión, también debe realizar la Configuración de cuentas
administrativas y autenticación.
STEP 1 | Obtenga el certificado que autenticará el cortafuegos o Panorama para los sistemas cliente de
administradores.
Puede simplificar su implementación de certificados mediante el uso de un certificado en el que
los sistemas clientes ya confíen. Por lo tanto, le recomendamos que realice una Importación de un
certificado y una clave privada de su autoridad de certificación (certificate authority, CA) empresarial o
la Obtención de un certificado desde una CA externa; el almacén de certificados raíz de confianza de los
sistemas cliente probablemente ya tenga el certificado CA raíz asociado que garantiza confianza.
Si realiza la Generación de un certificado en el cortafuegos o Panorama, los

administradores verán un error de certificado debido a que el certificado CA raíz no está
en el almacén de certificados raíz de confianza de los sistemas cliente. Para evitar esto,
implemente el certificado de CA raíz autofirmado en todos los sistemas cliente.
Independientemente de cómo obtenga el certificado, recomendamos un algoritmo Digest

(Resumen) de sha256 o mayor para la seguridad mejorada.
STEP 2 | Configuración de un perfil de servicio SSL/TLS.

Seleccione el Certificate (Certificado) que acaba de obtener.
Para una seguridad mejorada, recomendamos que configure Min Version (Versión
mínima) (la versión más antigua permitida de TLS) a TLSv1.1 para el tráfico de gestión
entrante. También recomendamos que use un perfil de servicio SSL/TLS diferente para
cada cortafuegos o servicio de Panorama en lugar de reutilizar este perfil para todos los
servicios.
STEP 3 | Aplique el perfil de servicio SSL/TS al tráfico de gestión entrante.

Configuración general.
2. Seleccione el SSL/TLS Service Profile (Perfil de servicio SSL/TLS) que acaba de configurar.

Configuración del tamaño de clave para los
certificados de servidor proxy SSL de reenvío
Cuando responde a un cliente en una sesión de Proxy de reenvío SSL, el cortafuegos crea una copia del
certificado que le presenta el servidor de destino y lo usa para establecer su conexión con el cliente. Por
defecto, el cortafuegos genera certificados con el mismo tamaño de clave que el certificado que le ha
presentado el servidor de destino. Sin embargo, puede cambiar el tamaño de la clave para el certificado
generado por el cortafuegos de la siguiente manera:
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y, en la sección
Decryption Settings (Configuración de descifrado), haga clic en SSL Forward Proxy Settings
(Configuración de proxy de reenvío de SSL).
STEP 2 | Seleccione un Key Size (Tamaño de clave):

• Defined by destination host (Definido por host de destino): el cortafuegos determina el tamaño de
clave de los certificados que genera para establecer las sesiones de proxy SSL con clientes en función
del tamaño de clave del certificado del servidor de destino. Si el servidor de destino usa una clave
RSA de 1024 bits, el cortafuegos genera un certificado con un tamaño de clave y un algoritmo hash
SHA-1. Si el servidor de destino usa un tamaño de clave superior a 1.024 bits (por ejemplo, 2.048
bits o 4.096 bits), el cortafuegos genera un certificado que usará una clave RSA de 2.048 bits y un
algoritmo SHA-256. Es el ajuste predeterminado.
• 1024-bit RSA (RSA de 1024 bits): el cortafuegos genera certificados que usan una clave RSA de
1.024 bits y un algoritmo de hash SHA-1 independiente del tamaño de clave de los certificados del
servidor de destino. A fecha de 31 de diciembre de 2013, las entidades de certificación (CA) públicas
y navegadores más populares han limitado la compatibilidad con los certificados X.509 que utilizan
claves de menos de 2.048 bits. En el futuro, en función de los ajustes de seguridad, cuando aparezcan
esas claves el navegador puede advertir al usuario o bloquear la sesión SSL/TLS por completo.
• 2048-bit RSA (RSA de 2048 bits): El cortafuegos genera certificados que usan una clave RSA de
2.048 bits y un algoritmo de hash SHA-256 independiente del tamaño de clave de los certificados del
servidor de destino. Las CA públicas y los navegadores más populares admiten claves de 2.048 bits,
que proporcionan más seguridad que las claves de 1.024 bits.
El cambio del ajuste del tamaño de la clave borra la caché del certificado actual.

Revocación y renovación de certificados
• Revocación de un certificado
• Renovación de un certificado
Revocación de un certificado
Diversas circunstancias pueden invalidar un certificado antes de la fecha de vencimiento. Algunos ejemplos
son un cambio de nombre, un cambio de asociación entre el sujeto y la entidad de certificación (por ejemplo,
un empleado cuyo contrato se resuelva) y la revelación (confirmada o sospechada) de la clave privada. En
estas circunstancias, la entidad de certificación (CA) que emitió el certificado deberá revocarlo. La siguiente
tarea describe cómo revocar un certificado para el que el cortafuegos sea la CA.
STEP 2 | Si el cortafuegos admite varios sistemas virtuales, la pestaña muestra el menú desplegable
Location (Ubicación). Seleccione el sistema virtual al que pertenece el certificado.
STEP 3 | Seleccione el certificado que desea revocar.
STEP 4 | Haga clic en Revoke (Revocar). PAN-OS inmediatamente establece el estado del certificado
como revocado y añade el número de serie a la caché del respondedor del protocolo de estado
de certificado en línea (OCSP) o la lista de revocación de certificados (CRL). No necesita realizar
una compilación.
Renovación de un certificado
Si un certificado vence, o lo hará pronto, puede restablecer el periodo de validez. Si una autoridad de
certificación (certificate authority, CA) externa firmó el certificado y el cortafuegos utiliza el protocolo
de estado de certificado en línea (Online Certificate Status Protocol, OCSP) para verificar el estado de
revocación de certificados, el cortafuegos utilizará información del respondedor OCSP para actualizar el
estado del certificado (consulte Configuración de un respondedor OCSP). Si el cortafuegos es la CA que
emitió el certificado, el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie
diferente pero los mismos atributos que el certificado anterior.
STEP 3 | Seleccione el certificado que desea renovar y haga clic en Renew (Renovar).
STEP 4 | Introduzca un New Expiration Interval (Nuevo intervalo de vencimiento) (en días).

Claves seguras con un módulo de seguridad de
hardware
Un módulo de seguridad de hardware (HSM) es un dispositivo físico que gestiona claves digitales. Un HSM
proporciona un almacenamiento seguro y la generación de claves digitales. Ofrece tanto protección lógica
como física de estos materiales ante un uso no autorizado y posibles atacantes.
Los clientes HSM integrados con cortafuegos o Panorama de Palo Alto Networks habilitan una seguridad
mejorada para las claves privadas utilizadas en el descifrado SSL/TLS (tanto el proxy SSL de reenvío como la
inspección de entrada SSL). Además, puede utilizar el HSM para cifrar claves maestras.
Los siguientes temas describen cómo integrar un HSM con su cortafuegos o Panorama:
• Configuración de la conectividad con un HSM
• Cifrado de una clave maestra utilizando un HSM
• Almacenamiento de claves privadas en un HSM
• Gestión de la implementación del HSM
Configuración de la conectividad con un HSM

Los clientes HSM están integrados en los cortafuegos series PA-3000, PA-5000, PA-5200, PA-7000 y
VM, y en el servidor de gestión de Panorama (dispositivo virtual y dispositivos serie M) para su uso con los
siguientes proveedores de HSM:
• SafeNet Network: las versiones de cliente admitidas dependen de la versión de PAN-OS:
• Versiones PAN-OS 8.0 y anteriores: versión de cliente de SafeNet Network 5.2.1.
• PAN-OS 8.0.2 y las versiones posteriores (también PAN-OS 7.1.10 y versiones PAN-OS 7.1
posteriores): versión de cliente de SafeNet Network 5.2.1, 5.4.2 y 6.2.2. En el cortafuegos o en
Panorama, utilice el comando de la CLI request hsm client-version para seleccionar la
versión compatible con su servidor de HSM SafeNet.
• Thales nShield Connect: todas las versiones de PAN-OS admiten la versión de cliente 11.62.
La versión del servidor HSM debe ser compatible con estas versiones de cliente. Consulte la documentación
del proveedor del HSM para conocer la matriz de compatibilidad de la versión de servidor cliente.
• Configuración de la conectividad con un HSM SafeNet Network
• Configuración de la conectividad con un HSM Thales nShield Connect
Configuración de la conectividad con un HSM SafeNet Network

Para configurar la conectividad entre el cortafuegos de Palo Alto Networks (cliente HSM) y un servidor
SafeNet Network HSM, debe especificar la dirección IP del servidor, ingresar una contraseña para
autenticar el cortafuegos en el servidor, y registrar el cortafuegos con el servidor. Antes de comenzar la
configuración, asegúrese de que ha creado una partición para el cortafuegos en el servidor HSM. Para
garantizar que la versión de cliente de SafeNet Network en el cortafuegos sea compatible con su servidor
de SafeNet Network, consulte Configuración de la conectividad con un HSM.
Antes de la conexión de HSM y el cortafuegos, el HSM autentica el cortafuegos según la dirección IP del
cortafuegos. Por lo tanto, debe configurar el cortafuegos para que utilice una dirección IP estática, no
una dirección dinámica asignada a través de DHCP. Las operaciones en el HSM dejarían de funcionar si la
dirección IP del cortafuegos cambiara durante el tiempo de ejecución.

Las configuraciones del HSM no están sincronizadas entre peers de cortafuegos en alta
disponibilidad (HA). Por consiguiente, deberá configurar el HSM por separado en cada uno
de los peers. En implementaciones de HA activas/pasivas, deberá realizar manualmente una
conmutación por error para configurar y autenticar cada peer de HA individualmente en el
HSM. Después de realizar esta conmutación manual inicial, la interacción del usuario no
será necesaria para la función de conmutación por error.
STEP 1 | Defina los ajustes de conexión para cada HSM SafeNet Network.
1. Inicie sesión en la interfaz web del cortafuegos y seleccione Device (Dispositivo) > Setup
(Configuración) > HSM.
2. Modifique la sección de proveedor de módulo de seguridad de hardware y configure el Provider
Configured (Proveedor configurado) en SafeNet Network HSM.
3. Seleccione Add (Añadir) para añadir cada servidor HSM de la siguiente manera. Una configuración
HSM de alta disponibilidad (HA) requiere dos servidores.
1. Especifique un nombre en Module Name (Nombre del módulo) para el servidor HSM. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
2. Ingrese una dirección IPv4 como Server Address (Dirección de servidor) HSM.
4. (HA únicamente) Seleccione High Availability (Alta disponibilidad), especifique el valor de Auto
Recovery Retry (Reintento de recuperación automática) e ingrese un High Availability Group Name
(Nombre de grupo de alta disponibilidad).
Si hay dos servidores HSM configurados, la práctica recomendada es habilitar High

Availability (Alta disponibilidad). De lo contrario, el segundo servidor HSM no se
utilizará.
STEP 2 | (Opcional) Configure una ruta de servicio para conectarse a HSM si no desea que el
cortafuegos se conecte a través de la interfaz de gestión (opción predeterminada).
Si configura una ruta de servicio para HSM, la ejecución del comando CLI clear
session all borrará todas las sesiones HSM existentes, y hará que todos los estados
del HSM se desconecten y luego se conecten nuevamente. Durante los segundos que
necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) y haga clic en Service
Route Configuration (Configuración de ruta de servicio).
2. Seleccione Customize (Personalizar) para personalizar una ruta de servicio. La pestaña IPv4 está
activa de manera predeterminada.
3. Haga clic en HSM en la columna Service (Servicio).
4. Seleccione una Source Interface (Interfaz de origen) para el HSM.
STEP 3 | Configure el cortafuegos para autenticarlo con el HSM.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > HSM y Setup Hardware Security Module
(Configurar módulo de seguridad de hardware).
2. Seleccione el Server Name (Nombre de servidor) de HSM.
3. Introduzca la Contraseña de administrador para autenticar el cortafuegos para el HSM.
El cortafuegos intenta realizar una autenticación con el HSM y muestra un mensaje de estado.

STEP 4 | Registre el cortafuegos como cliente HSM con el servidor HSM y asígnelo a una partición en el
servidor HSM.
Si el HSM ya tienen un cortafuegos con el mismo <cl-name> registrado, primero debe

eliminar el registro duplicado al ejecutar el comando client delete -client <cl-
name>, donde <cl-name> es el nombre del registro del cliente (cortafuegos) que desea
eliminar.
1. Inicie sesión en el HSM desde un sistema remoto.

2. Registre el cortafuegos usando el comando client register -c <cl-name> -ip <fw-ip-
addr>, donde <cl-name> es un nombre que usted asigna al cortafuegos para usar en HSM y <fw-ip-
addr> es la dirección IP del cortafuegos.
3. Asigne una partición al cortafuegos usando el comando client assignpartition -c <cl-
name> -p <partition-name>, donde <cl-name> es el nombre asignado al cortafuegos en
el comando client register y <partition-name> es el nombre de la partición configurada
anteriormente que desea asignar al cortafuegos.
STEP 5 | Configure el cortafuegos para conectarlo a la partición del HSM.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > HSM y haga clic en el icono de
actualización .
2. Seleccione Setup HSM Partition (Configurar partición HSM) en el área Operaciones de seguridad de
hardware.
3. Introduzca la Contraseña de partición para autenticar el cortafuegos para la partición del HSM.
STEP 6 | (HA únicamente) Repita la autenticación anterior y los pasos de conexión de partición para
añadir el HSM al grupo HA existente.
Si elimina el HSM de su configuración, repita el paso de conexión de partición anterior

para quitar el HSM eliminado del grupo HA.
STEP 7 | Verifique la conectividad del cortafuegos y la autenticación con el HSM.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > HSM y compruebe la autenticación y el
estado de conexión:
• Verde: el cortafuegos se autenticó correctamente y está conectado al HSM.
• Rojo: el cortafuegos no se autenticó correctamente al HSM o la conectividad de red con el HSM
no está activa.
2. Consulte las columnas siguientes de la sección Hardware Security Module Status (Estado de módulo
de seguridad de hardware) para determinar el estado de autenticación:
• Serial Number (Número de serie): el número de serie de la partición HSM si el HSM se ha
autenticado con éxito en el HSM.
• Partition (Partición): nombre de la partición del HSM que se asignó al cortafuegos.
• Module State (Estado de módulo): estado actual de la conexión con HSM. El valor es siempre
Authenticated (Autenticado) si la sección Hardware Security Module Status (Estado de
módulo de seguridad de hardware) muestra el HSM.
Configuración de la conectividad con un HSM Thales nShield Connect

Debe configurar un sistema de archivo remoto (remote filesystem, RF) como un núcleo para sincronizar
los datos clave para todos los cortafuegos (clientes HSM) de su organización que utilizan el HSM Thales

nShield Connect. Para garantizar que la versión de cliente de Thales nShield Connect en el cortafuegos sea
compatible con su servidor de Thales nShield Connect, consulte Configuración de la conectividad con un
HSM.
Antes de la conexión del HSM y el cortafuegos, el HSM autentica el cortafuegos según las direcciones IP
del cortafuegos. Por lo tanto, debe configurar el cortafuegos para que utilice direcciones IP estáticas, no
direcciones dinámicas asignadas a través de DHCP. Las operaciones en el HSM dejarían de funcionar si las
direcciones IP del cortafuegos cambiaran durante el tiempo de ejecución.
Las configuraciones del HSM no están sincronizadas entre peers de cortafuegos en alta
disponibilidad (HA). Por consiguiente, deberá configurar el HSM por separado en cada uno
de los peers. En implementaciones de HA activas/pasivas, deberá realizar manualmente una
conmutación por error para configurar y autenticar cada peer de HA individualmente en el
HSM. Después de realizar esta conmutación manual inicial, la interacción del usuario no
será necesaria para la función de conmutación por error.
STEP 1 | Defina los ajustes de conexión para cada HSM Thales nShield Connect.
1. Inicie sesión en la interfaz web del cortafuegos y seleccione Device (Dispositivo) > Setup
(Configuración) > HSM.
2. Modifique la sección de proveedor de módulo de seguridad de hardware y configure el Provider
Configured (Proveedor configurado) en Thales nShield Connect.
3. Seleccione Add (Añadir) para añadir cada servidor HSM de la siguiente manera. Una configuración
HSM de alta disponibilidad (HA) requiere dos servidores.
1. Especifique un nombre en Module Name (Nombre del módulo) para el servidor HSM. Puede ser
cualquier cadena ASCII con una longitud de hasta 31 caracteres.
2. Ingrese una dirección IPv4 como Server Address (Dirección de servidor) HSM.
4. Imtroduzca una dirección IPv4 para la Remote Filesystem Address (Dirección de sistema de archivos
remoto).
STEP 2 | (Opcional) Configure una ruta de servicio para conectarse a HSM si no desea que el
cortafuegos se conecte a través de la interfaz de gestión (opción predeterminada).
Si configura una ruta de servicio para HSM, la ejecución del comando CLI clear
session all borrará todas las sesiones HSM existentes, y hará que todos los estados
del HSM se desconecten y luego se conecten nuevamente. Durante los segundos que
necesita el HSM para recuperarse, fallarán todas las operaciones de SSL/TLS.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) y haga clic en Service
Route Configuration (Configuración de ruta de servicio).
2. Seleccione Customize (Personalizar) para personalizar una ruta de servicio. La pestaña IPv4 está
activa de manera predeterminada.
3. Haga clic en HSM en la columna Service (Servicio).
4. Seleccione una Source Interface (Interfaz de origen) para el HSM.
STEP 3 | Registre el cortafuegos como cliente HSM con el servidor HSM.

Este paso describe brevemente el procedimiento para utilizar la interfaz del panel frontal del HSM Thales
nShield Connect. Si desea información más detallada, consulte la documentación de Thales.
1. Inicie sesión en la pantalla del panel frontal de la unidad HSM Thales nShield Connect.

2. En el panel frontal de la unidad, utilice el botón de navegación de la derecha para seleccionar System
(Sistema) > System configuration (Configuración del sistema) > Client config (Configuración de
cliente) > New client (Nuevo cliente).
3. Introduzca la dirección IP del cortafuegos.
4. Seleccione System (Sistema) > System configuration (Configuración del sistema) > Client config
(Configuración del cliente) > Remote file system (Sistema de archivos remotos) e introduzca la
dirección IP del equipo cliente donde configure el RFS.
STEP 4 | Configure el RFS para que acepte las conexiones del cortafuegos.
1. Inicie sesión en el RFS desde un cliente Linux.
2. Obtenga el número de serie electrónico (electronic serial number, ESN) y el hash de la clave KNETI,
que autentica el HSM en los clientes, al ejecutar el comando anonkneti <ip-address>, donde
<ip-address> es la dirección IP de HSM.
A continuación se muestra un ejemplo:
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
En este ejemplo, B1E2-2D4C-E6A2 es el ESN y

5a2e5107e70d525615a903f6391ad72b1c03352c es el hash de la clave KNETI.
3. Utilice el siguiente comando de una cuenta de superusuario para configurar el RFS:
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
La <ip-address> es la dirección IP de HSM, <ESN> es el número de serie electrónico y <hash-Kneti-

key> es el hash de la clave KNETI.
El siguiente ejemplo utiliza los valores obtenidos mediante este procedimiento:
rfs-setup --force 192.0.2.1 B1E2-2D4C-E6A2

5a2e5107e70d525615a903f6391ad72b1c03352c
4. Utilice el siguiente comando para permitir los envíos del cliente HSM en el RFS:
rfs-setup --gang-client --write-noauth <FW-IPaddress>
donde <FW-IPaddress> es la dirección IP del cortafuegos.
STEP 5 | Autentique el cortafuegos en el HSM.

1. En la interfaz web del cortafuegos, seleccione Device (Dispositivo) > Setup (Configuración) > HSM y
Setup Hardware Security Module (Configurar módulo de seguridad de hardware).
El cortafuegos intenta realizar una autenticación con el HSM y muestra un mensaje de estado.
STEP 6 | Sincronice el cortafuegos con el RFS al seleccionar Device (Dispositivo) > Setup
(Configuración) > HSM y Synchronize with Remote Filesystem (Sincronizar con el sistema de
archivo remoto).

STEP 7 | Verifique la conectividad del cortafuegos y la autenticación con el HSM.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > HSM y compruebe la autenticación y el
estado de conexión:
• Verde: el cortafuegos se autenticó correctamente y está conectado al HSM.
• Rojo: el cortafuegos no se autenticó correctamente al HSM o la conectividad de red con el HSM
no está activa.
2. Consulte la sección Hardware Security Module Status (Estado de módulo de seguridad de hardware)
para determinar el estado de autenticación.
• Name (Nombre): nombre del servidor HSM.
• IP address (Dirección IP): dirección IP del servidor HSM.
• Module State (Estado de módulo): estado actual de la conexión con HSM: Authenticated
(Autenticado) o Not Authenticated (No autenticado).
Cifrado de una clave maestra utilizando un HSM

Una clave maestra cifra todas las claves privadas y las contraseñas en el cortafuegos y Panorama. Si tiene
requisitos de seguridad para almacenar sus claves privadas en una ubicación segura, puede cifrar la clave
maestra utilizando una clave de cifrado que se almacene en un HSM. A continuación, el cortafuegos o
Panorama solicita al HSM que descifre la clave maestra cuando sea necesaria para descifrar una contraseña
o clave privada en el cortafuegos. Normalmente, el HSM se encuentra en una ubicación de alta seguridad
separada del cortafuegos o de Panorama para mayor seguridad.
El HSM cifra la clave maestra mediante una clave de empaquetamiento. Para garantizar la seguridad, debe
cambiar (actualizar) con regularidad esta clave de empaquetamiento.
Los cortafuegos configurados en modo FIPS/CC no admiten cifrado de clave maestra con
HSM.
Los siguientes temas describen cómo descifrar la clave maestra inicialmente y cómo actualizar el cifrado de
la clave maestra:
• Cifrado de la clave maestra
• Actualización del cifrado de la clave maestra
Cifrado de la clave maestra

Si no ha cifrado anteriormente la clave maestra de un cortafuegos, utilice el siguiente procedimiento para
cifrarla. Utilice este procedimiento la primera vez que cifre una clave o si define una nueva clave maestra y
desea descifrarla. Si desea actualizar el cifrado de una clave cifrada anteriormente, consulte Actualización
del cifrado de la clave maestra.
STEP 1 | Seleccione Device (Dispositivo) > Master Key and Diagnostics (Clave maestra y diagnóstico).
STEP 2 | Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y
contraseñas del cortafuegos en el campo Master Key (Clave maestra).
STEP 3 | Si está cambiando la clave maestra, introduzca la nueva clave maestra y confírmela.
STEP 4 | Seleccione la casilla de verificación HSM.

• Life Time (Duración): el número de días y horas tras el cual vence la clave maestra (el rango es de 1 a
730 días).
• Time for Reminder (Período restante): el número de días y horas antes del vencimiento, en cuyo
momento se notificará al usuario del vencimiento inminente (el rango es de 1 a 365).

STEP 5 | Haga clic en OK (Aceptar).
Actualización del cifrado de la clave maestra

La práctica recomendada es actualizar periódicamente el cifrado de clave maestra rotando la clave
de empaquetamiento que lo cifra. La frecuencia de la rotación depende de su aplicación. La clave de
empaquetamiento permanece en su HSM. El siguiente comando es el mismo para los HSM SafeNet
Network y Thales nShield Connect.
STEP 1 | Inicie sesión en la CLI del cortafuegos.
STEP 2 | Utilice el siguiente comando de la CLI para rotar la clave de ajuste para la clave maestra de un
HSM:
> request hsm mkey-wrapping-key-rotation
Si la clave maestra está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste en el
HSM y cifrará la clave maestra con la nueva clave de ajuste.
Si la clave maestra no está cifrada en el HSM, el comando de la CLI generará una nueva clave de ajuste
en el HSM para su uso en el futuro.
Este comando no elimina la clave de ajuste anterior.
Almacenamiento de claves privadas en un HSM

Para una mayor seguridad, puede usar un HSM para asegurar las claves privadas que se usan en el
descifrado SSL/TLS para:
• SSL forward proxy (Proxy SSL de reenvío): el HSM puede almacenar la clave privada del certificado de
reenvío fiable que se utiliza para firmar certificados en operaciones de proxy SSL/TLS. A continuación, el
cortafuegos enviará los certificados que genere durante estas operaciones al HSM para su firma antes de
reenviarlos al cliente.
• SSL inbound inspection (Inspección de entrada SSL): el HSM puede almacenar las claves privadas de los
servidores internos de los que está haciendo una inspección entrante de SSL/TLS.
Si utiliza algoritmos de intercambio de claves DHE o ECDHE para permitir la Compatibilidad

del secreto perfecto y permanente (PFS) para el descifrado SSL, no puede utilizar un HSM
para almacenar las claves privadas para la inspección entrante de SSL. No puede utilizar
un HSM para almacenar claves ECDSA utilizadas para el descifrado de proxy de reenvío o
inspección entrante.
STEP 1 | En el HSM, importe o genere el certificado y la clave privada utilizada en su implementación de

descifrado.
Para obtener instrucciones sobre la importación o generación de un certificado y una clave privada en el
HSM, consulte su documentación del HSM.
STEP 2 | (Solo Thales nShield Connect) Sincronice los datos clave desde el sistema de archivos remotos
Thales nShield con el cortafuegos.
La sincronización con el HSM de SafeNet Network es automática.

1. Acceda a la interfaz web del cortafuegos y seleccione Device (Dispositivo) > Setup (Configuración) >
HSM.
2. Seleccione Synchronize with Remote Filesystem (Sincronizar con sistema de archivos remoto) en la
sección Hardware Security Operations (Operaciones de seguridad de hardware).
STEP 3 | Importe el certificado que corresponde a la clave almacenada en HSM en el cortafuegos.

(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Import (Importar).
2. Introduzca el Certificate Name (Nombre de certificado).
3. Seleccione Browse (Explorar) para buscar el Certificate File (Archivo de certificado) en el HSM.
4. Seleccione un File Format (Formato de archivo).
5. Seleccione Private Key resides on Hardware Security Module (La clave privada reside en el módulo
de seguridad de hardware).
STEP 4 | (Solo certificados de reenvío fiables) Habilite el certificado para su uso en el proxy SSL/TLS de
reenvío.
1. Abra el certificado que importó en el paso 3 para editarlo.
2. Seleccione Forward Trust Certificate (Certificados de reenvío fiables).
STEP 5 | Compruebe que ha importado con éxito el certificado en el cortafuegos.

Localice el certificado que importó en el paso 3 y consulte el icono en la columna Key (Clave):
• Icono de bloqueo: la clave privada del certificado está en el HSM.
• Icono de error: la clave privada no está en el HSM o el HSM no está autenticado o conectado
adecuadamente.
Gestión de la implementación del HSM

Puede realizar las siguientes tareas para gestionar la implementación del HSM:
• Visualice los ajustes de configuración del HSM.

Seleccione Device (Dispositivo) > Setup (Configuración) > HSM.
• Muestre la información detallada del HSM.

Seleccione Show Detailed Information (Mostrar información detallada) en la sección Hardware Security
Operations (Operaciones de seguridad de hardware).
Aparecerá información relativa a los servidores HSM, el estado de HA del HSM y el hardware del HSM.
• Exporte el archivo de compatibilidad.

Seleccione Export Support File (Exportar archivo de asistencia) en la sección Hardware Security
Operations (Operaciones de seguridad de hardware).
Se creará un archivo de prueba para ayudar en la asistencia a los clientes cuando se trate de solucionar
un problema con una configuración del HSM en el cortafuegos.
• Restablezca la configuración del HSM.

Seleccione Reset HSM Configuration (Restablecer configuración de HSM) en la sección Hardware
Security Operations (Operaciones de seguridad de hardware).
Seleccionar esta opción elimina todas las conexiones del HSM. Todos los procedimientos de
autenticación deberán repetirse después de utilizar esta opción.

Alta disponibilidad
La alta disponibilidad (high availability, HA) es una implementación en la que dos cortafuegos
se colocan en un grupo y su configuración se sincroniza para prevenir el fallo de un único
punto en su red. La conexión de heartbeat entre los peers del cortafuegos garantiza una
conmutación por error sin problemas en el caso de que falle un peer. La configuración de
dos cortafuegos en un clúster en HA proporciona redundancia y le permite garantizar la
continuidad empresarial.
> Descripción general de la alta disponibilidad

> Conceptos de HA
> Configuración de la HA activo/pasivo
> Configuración de HA activa/activa
> Estados del cortafuegos HA
> Referencia: Sincronización HA
241
242 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Alta disponibilidad
Descripción general de la alta disponibilidad
Puede configurar hasta dos cortafuegos de Palo Alto Networks como un par de HA. La HA le permite
reducir al mínimo la inactividad al garantizar que haya un cortafuegos alternativo disponible en el caso de
que falle el cortafuegos peer. Los cortafuegos en un clúster en HA usan puertos HA dedicados o internos en
el cortafuegos para sincronizar datos (configuraciones de red, objeto y política) y mantener la información
de estado. Los peers no comparten información de la configuración específica de los cortafuegos, como la
dirección IP de la interfaz de gestión o perfiles de administrador, la configuración específica de HA, datos
de log y el Centro de comando de aplicación (ACC). Para obtener una vista consolidada de aplicaciones y
logs a través del clúster en HA, deberá utilizar Panorama, el sistema de gestión centralizado de Palo Alto
Networks.
Cuando se produce un fallo en un cortafuegos en un par de HA y el cortafuegos del peer toma el control
de la tarea de proteger el tráfico, el evento se denomina una conmutación por error. Las condiciones que
activan una conmutación por error son las siguientes:
• Falla una o más de las interfaces supervisadas. (Supervisión de enlaces)
• No se puede llegar a uno o más de los destinos especificados en el cortafuegos. (Supervisión de rutas)
• El cortafuegos no responde a sondeos de heartbeat. (Sondeos de heartbeat y mensajes de saludo)
• Un chip o componente de software crítico falla, lo que se conoce como supervisión del estado de la ruta
del paquete.
Puede usar Panorama para gestionar los cortafuegos HA. Consulte Cambio de contexto—Cortafuegos o
Panorama en la Guía del administrador de Panorama.
Los cortafuegos de Palo Alto Networks admiten alta disponibilidad activo/activo o activo/pasivo de estado
con sincronización de sesión y configuración, con algunas excepciones.
• El cortafuegos PA-200 admite HA Lite únicamente.
• El cortafuegos VM-Series de AWS acepta solamente HA activa/pasiva; si se implementa con Amazon
Elastic Load Balancing (ELB), no acepta HA (en este caso, el ELB proporciona capacidades de
conmutación de fallos).
• El cortafuegos serie VM en Microsoft Azure no admite HA.
Tras comprender los conceptos de HA, continúe con la Configuración de la HA activa/pasiva o la
Configuración de la HA activa/activa.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Alta disponibilidad 243

Conceptos de HA
Los siguientes temas ofrecen información conceptual sobre cómo funciona la HA en un cortafuegos de Palo
Alto Networks:
• Modos de HA
• Enlaces de HA y enlaces de backup
• Prioridad y preferencia de dispositivos
• Conmutación por error
• Negociación previa de LACP y LLDP para HA activa/pasiva
• Dirección IP flotante y dirección MAC virtual
• Distribución de carga de ARP
• Redundancia basada en la ruta
• Temporizadores de HA
• Propietario de sesión
• Configuración de sesión
• NAT en modo HA activa/activa
• ECMP en modo HA activa/activa
Modos de HA
Puede configurar los cortafuegos para el HA en dos modos:
• Activo/pasivo: un dispositivo gestiona activamente el tráfico mientras que el otro está sincronizado
y listo para pasar al estado activo en el caso de que se produjera un fallo. En este modo, ambos
cortafuegos comparten los mismos ajustes de configuración y uno gestiona activamente el tráfico hasta
que se produce un fallo de ruta, enlace, sistema o red. Cuando el cortafuegos activo falla, el cortafuegos
pasivo pasa al estado activo y toma el control sin interrupciones, y aplica las mismas políticas para
mantener la seguridad de red. El HA activo/pasivo es compatible con las implementaciones de Virtual
Wire, capa 2 y capa 3.
El cortafuegos PA-200 admite HA Lite únicamente. HA Lite es una implementación

activo/pasivo que permite la sincronización de la configuración y la sincronización de
algunos datos de tiempo de ejecución, como asociaciones de seguridad de IPSec.
No admite ninguna sincronización de sesiones (HA2) y, por lo tanto, no ofrece una
conmutación por error con estado.
• Activo/Activo: ambos cortafuegos están activos, procesan el tráfico y trabajan sincronizadamente para
gestionar la configuración y la pertenencia de la sesión. Ambos cortafuegos mantienen individualmente
las tablas de sesión y las tablas de enrutamiento y se sincronizan entre sí. El HA activo/activo es
compatible con las implementaciones de Virtual Wire y capa 3.
En el modo activo/activo HA, el cortafuegos no admite el cliente DHCP. Además, solo el cortafuegos
activo-primario puede funcionar como retransmisión DHCP. Si el cortafuegos activo-secundario recibe
paquetes de difusión de DHCP, los descarta.
Una configuración activo/activo no equilibra la carga del tráfico. Si bien puede compartir
la carga al enviar el tráfico al peer, no se produce el equilibrio de la carga. Algunas
maneras de compartir la carga de sesiones con ambos cortafuegos incluyen el uso de
ECMP, varios ISP y equilibradores de carga.
Al decidir si usar el modo activo/pasivo o activo/activo, tenga en cuenta las siguientes diferencias:

• El modo activo/pasivo tiene un diseño simple;.Es considerablemente más sencillo solucionar problemas
de enrutamiento y flujo de tráfico en el modo activo/pasivo. El modo activo/pasivo admite una
implementación de capa 2; el modo activo/activo no.
• El modo activo/activo requiere conceptos de diseño avanzados, lo que puede derivar en redes
más complejas. Según cómo implemente el modo HA activo/activo, es posible que se necesite una
configuración adicional, tal como la activación de protocolos de red en ambos cortafuegos, la replicación
de grupos NAT y la implementación de direcciones IP flotantes para brindar una conmutación por error
apropiada. Debido a que ambos cortafuegos procesan activamente el tráfico, los cortafuegos usan
conceptos adicionales de propiedad de sesión y configuración de sesión para realizar la inspección de
contenido de capa 7. El modo activo/activo se recomienda si cada cortafuegos necesita sus propias
instancias de enrutamiento y usted necesita una redundancia completa en tiempo real de los dos
cortafuegos en todo momento. El modo activo/activo posee una conmutación por error más rápida y
puede manejar mejor los flujos de tráfico que el modo activo/pasivo, debido a que ambos cortafuegos
están procesando el tráfico de manera activa.
En el modo activo/activo, el par HA puede usarse para procesar temporalmente más

tráfico de lo que un cortafuegos maneja normalmente. Sin embargo, esta no debe ser la
norma, ya que el fallo de un cortafuegos hace que todo el tráfico se redireccione hacia el
otro cortafuegos en el par HA. Su diseño debe permitir que el otro cortafuegos procese la
capacidad máxima de sus cargas de tráfico con inspección de contenido habilitada. Si el
diseño excede la capacidad del otro cortafuegos, se puede producir una alta latencia o el
fallo de la aplicación.
Si desea información sobre cómo configurar sus cortafuegos en el modo activo/pasivo, consulte
Configuración de la HA activa/pasiva. Si desea información sobre cómo configurar sus cortafuegos en el
modo activo/activo, consulte Configuración de la HA activa/activa.
Enlaces de HA y enlaces de backup

Los cortafuegos en un clúster en HA usan enlaces de HA para sincronizar y mantener la información de
estado. Algunos modelos del firewall tienen puertos de HA específicos, como enlace de control (HA1) y
enlace de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
• En cortafuegos con puertos de HA específicos como los cortafuegos serie PA-800, PA-3000, PA-5000,
PA-5200 y PA-7000 (consulte Puertos de HA en el cortafuegos serie PA-7000), utilice los puertos de HA
específicos para gestionar la comunicación y la sincronización entre los cortafuegos.
• En el caso de los cortafuegos sin puertos de HA específicos como los cortafuegos serie PA-200, PA-220
y PA-500, se recomienda utilizar el puerto de plano de datos para el puerto de HA y utilizar el puerto de
gestión como el respaldo de HA1.
Los enlaces de HA1 y HA2 proporcionan sincronización para funciones que residen en
el plano de gestión. Utilizar las interfaces de HA específicas del plano de gestión es más
eficaz que utilizar los puertos internos, ya que así se elimina la necesidad de pasar los
paquetes de sincronización a través del plano de datos.
Enlaces de HA y enlaces Descripción

de backup
Enlace de control El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e

información de estado de HA, así como la sincronización del plano de gestión
para el enrutamiento e información de User-ID. Los cortafuegos también usan
este enlace para sincronizar cambios de configuración con su peer. El enlace
de HA1 es un enlace de capa 3 y requiere una dirección IP.
ICMP se utiliza para intercambiar heartbeats entre peers de HA.

Enlaces de HA y enlaces Descripción
de backup
Puertos usados para HA1 y TCP: puertos TCP 28769 y 28260 para una
comunicación con texto no cifrado; puerto 28 para una comunicación cifrada
(SSH sobre TCP).
Enlace de datos El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas,
asociaciones de seguridad de IPSec y tablas de ARP entre cortafuegos de un
clúster en HA. El flujo de datos del enlace de HA2 siempre es unidireccional
(excepto en la conexión persistente de HA2); fluye desde el cortafuegos
activo o activo-principal al cortafuegos pasivo o pasivo-secundario. El enlace
de HA2 es un enlace de capa 2 y utiliza el tipo ether 0x7261 de manera
predeterminada.
Puertos used for HA2: el enlace de datos de HA puede configurarse para
utilizar IP (número de protocolo 99) o UDP (puerto 29281) como transporte,
lo que permite que el enlace de datos de HA utilice subredes.
Enlaces de backup Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan puertos
internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en
cuenta las siguientes directrices al configurar enlaces de HA de backup:
• Las direcciones IP de los enlaces de HA principal y backup no deben
solaparse entre sí.
• Los enlaces de backup de HA deben encontrarse en una subred diferente
de la de los enlaces de HA principales.
• Los puertos de backup de HA1 y HA2 deben configurarse en puertos
físicos separados. El enlace de backup de HA1 utiliza los puertos 28770 y
28260.
Palo Alto Networks recomienda habilitar el backup de

heartbeat (que utiliza el puerto 28771 en la interfaz MGT) si
utiliza un puerto interno para los enlaces de HA1 o backup de
HA1.
Enlace de reenvío de Además de los enlaces de HA1 y HA2, las implementaciones activa/activa
paquete también requieren un enlace HA3 dedicado. Los cortafuegos utilizan este
enlace para el reenvío de paquetes al peer durante la configuración de la
sesión y el flujo de tráfico asimétrico. El enlace de HA3 es un enlace de capa
2 que utiliza encapsulación MAC-in-MAC. No admite direcciones o cifrado
de capa 3. Los cortafuegos de la serie PA-7000 sincronizan las sesiones de
los NPC uno por uno. En los cortafuegos serie PA-800, PA-3000, PA-5000
y PA-5200, puede configurar interfaces agregadas como un enlace HA3.
Las interfaces agregadas también pueden proporcionar redundancia para el
enlace HA3; usted no puede configurar enlaces de copia de seguridad para el
enlace HA3. En los cortafuegos serie PA-5200 y PA-7000, los puertos HSCI
dedicados admiten el enlace HA3. El cortafuegos añade un encabezado de
paquete exclusivo a los paquetes que cruzan el enlace HA3, por lo que la
MTU en este enlace debe ser superior a la extensión máxima del paquete
reenviado.

Puertos de HA en el cortafuegos PA-7000 Series
La conectividad HA en la serie PA-7000 exige el uso de puertos específicos en la tarjeta de gestión de
conmutación (Switch Management Card, SMC) para ciertas funciones; para otras funciones, puede usar los
puertos de la tarjeta de procesamiento de red (Network Processing Card, NPC). Los cortafuegos de la serie
PA-7000 sincronizan las sesiones de los NPC uno por uno.
La tabla siguiente describe los puertos de la SMC que están diseñados para la conectividad de HA:
Enlaces de Puertos de la SMC DESCRIPTION

HA y enlaces
de backup
Enlace de HA1-A Se utiliza para el control y la sincronización de HA en ambos

control modos de HA. Conecte este puerto directamente desde el
Velocidad: Ethernet
puerto HA1-A del primer cortafuegos al puerto HA1-A del
10/100/1000
segundo cortafuegos del par, o bien conéctelos juntos a
través de un conmutador o enrutador.
HA1 no se puede configurar en puertos de datos NPC o el
puerto MGT.
Backup de HA1-B Se utiliza para el control y la sincronización de HA como

enlace de respaldo para HA1-A en ambos modos de HA. Conecte
Velocidad: Puerto
control este puerto directamente desde el puerto HA1-B del primer
Ethernet 10/100/1000
cortafuegos al puerto HA1-B del segundo cortafuegos del
par, o bien conéctelos juntos a través de un conmutador o
enrutador.
El backup de HA1 no se puede configurar en puertos de
datos de NPC o el puerto MGT.
Enlace de HSCI-A Cortafuegos serie PA-7000

datos
HSCI-B Los puertos de interconexión de bastidor de alta velocidad
Backup de (High Speed Chassis Interconnect, HSCI) son interfaces
enlace de Quad Port SFP+ (QSFP+) de capa 1 que se utilizan para
datos conectar dos cortafuegos serie PA-700 en una configuración
de HA. Cada puerto consta de cuatro canales de 10 gigabits
multiplicados por una velocidad combinada de 40 gigabits.
El tráfico que se transporta en los puertos HSCI es tráfico sin
formato de capa 1, que no es enrutable o conmutable; por
lo tanto, los puertos HSCI deben conectarse directamente
entre sí. El puerto HSCI-A del primer bastidor se conecta
directamente al HSCI-A del segundo bastidor y el HSCI-B del
primer bastidor se conecta al HSCI-B del segundo bastidor.
Así se alcanzan velocidades de transferencia máximas de 80
gigabits. En software, ambos puertos (HSCI-A y HSCI-B) se
tratan como una única interfaz HA.
Cortafuegos serie PA-5200
El cortafuegos serie PA-5200 también utiliza HSCI, pero
solo tiene un puerto HSCI. El cortafuegos PA-5220 tiene
un puerto QSFP de 40 Gbps y los cortafuegos PA-5250 y
PA-5260 tienen un puerto QSFP28 de 40/100 Gbps.

Enlaces de Puertos de la SMC DESCRIPTION
HA y enlaces
de backup
Si los cortafuegos se implementan en:
• una configuración activa/activa, el HA2, el respaldo HA2
y los enlaces HA3 pueden utilizar los puertos HSCI o los
puertos de datos.
• una configuración activa/pasiva, el HA2 y el respaldo HA2
pueden utilizar los puertos HSCI o los puertos de datos.
Palo Alto Networks recomienda utilizar los puertos HSCI
específicos para el enlace HA2 y el enlace HA3.
Cuando se conectan puertos HSCI de

manera directa entre dos cortafuegos
PA-5220 ubicados cerca físicamente,
Palo Alto Networks recomienda que
utilice un cable óptico activo (AOC) QSFP
de 40 Gbps. Cuando se conectan dos
cortafuegos PA-5250 o dos cortafuegos
PA-5260 de manera directa, utilice un
cable óptico activo (AOC) QSFP de
40 Gbps o un cable óptico activo (AOC)
QSFP28 de 100 Gbps. En el caso de
las instalaciones con dos cortafuegos
que no se encuentran cerca y no pueden
utilizar un cable AOC, utilice transmisores
estándar de 40 Gbps o 100 Gbps, y la
longitud de cable adecuada.
Prioridad y preferencia de dispositivos

A los cortafuegos de un clúster en HA se les puede asignar un valor de prioridad de dispositivo para indicar
una preferencia por el cortafuegos que debería asumir la función activa o activa-principal. Si necesita utilizar
un cortafuegos específico del clúster en HA para proteger de manera activa el tráfico, debe habilitar el
comportamiento de preemption en ambos cortafuegos y asignar un valor de prioridad de dispositivo para
cada cortafuegos. El cortafuegos con el valor numérico más bajo y, por tanto, con la prioridad más alta, es
elegido como activo o activo-principal. El otro cortafuegos es el cortafuegos activo-secundario o pasivo.
De manera predeterminada, la preemption está deshabilitada en los cortafuegos y debe habilitarse en
ambos cortafuegos. Cuando se habilita, el comportamiento de preemption permite que el cortafuegos con la
mayor prioridad (valor numérico más bajo) vuelva a estar activo o activo-principal cuando se recupere de un
fallo. Cuando se produce una preemption, el evento se registra en los logs del sistema.
Conmutación por error

Cuando se produce un fallo en un cortafuegos y el peer pasivo toma el control de la tarea de proteger
el tráfico, el evento se denomina una conmutación por error. Una conmutación por error se activa, por
ejemplo, cuando falla una métrica supervisada en un cortafuegos en el par HA. Las métricas que se
supervisan para detectar un fallo de cortafuegos son las siguientes:
• Sondeos de heartbeat y mensajes de saludo

Los cortafuegos utilizan mensajes de saludo y heartbeats para comprobar que el cortafuegos peer
responde y está operativo. Los mensajes de saludo se envían desde un peer al otro en el intervalo de
saludo configurado para comprobar el estado del cortafuegos. El heartbeat es un ping ICMP para el
peer de HA a través del enlace de control y el peer responde al ping para establecer que los cortafuegos
están conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de 1.000
milisegundos. Un ping se envía cada 1.000 milisegundos y si se detectan tres pérdidas de heartbeat
consecutivas, se produce un error. Si desea información detallada sobre los temporizadores de HA que
activan una conmutación por error, consulte Temporizadores de HA on page 253.
• Supervisión de enlaces
Las interfaces físicas que deben supervisarse se agrupan en un grupo de enlaces y se supervisa su estado
(enlace activado o desactivado). Un grupo de enlaces puede contener una o más interfaces físicas. Se
activa un fallo de cortafuegos cuando falla alguna o todas las interfaces del grupo. El comportamiento
por defecto es que el fallo de cualquier enlace del grupo de enlaces haga que el cortafuegos cambie el
estado de HA a no funcional (o al estado provisional en el modo activo/activo) para indicar el fallo de un
objeto supervisado.
• Monitorización de rutas
Supervisa toda la ruta a través de la red hasta direcciones IP de vital importancia. Los pings ICMP se
utilizan para verificar que se puede llegar a la dirección IP. El intervalo predeterminado para pings es de
200 ms. Se considera que no se puede llegar a una dirección IP cuando fallan 10 pings consecutivos (el
valor predeterminado) y se activa un fallo de cortafuegos cuando no se puede llegar a alguna o todas
las direcciones IP supervisadas. El comportamiento por defecto es que cualquiera de las direcciones IP
a las que no se pueda llegar hará que el cortafuegos cambie el estado de HA a no funcional (o al estado
provisional en el modo activo/activo) para indicar el fallo de un objeto supervisado.
Además de los activadores de conmutación por error enumerados anteriormente, también se produce una
conmutación por error cuando el administrador suspende el cortafuegos o si se produce un adelantamiento.
En los cortafuegos serie PA-3000, PA-5000, PA-5200 y PA-7000, se puede producir un error si falla una
comprobación de estado interna. Esta comprobación de estado no es configurable y se habilita para verificar
los componentes críticos del cortafuegos, tales como las FPGA y CPU. Además, las comprobaciones de
estado general se producen en cualquier plataforma que produzca un error.
Negociación previa de LACP y LLDP para HA activa/pasiva

Si un cortafuegos utiliza LACP o LLDP, la negociación de estos protocolos tras la conmutación por error
previene una conmutación por error de fracciones de segundo. Sin embargo, puede habilitar una interfaz
en un cortafuegos pasivo para negociar LACP y LLDP antes de la conmutación por error. Por lo tanto, un
cortafuegos en estado HA Passive (Pasivo) o Non-functional (No funcional) puede comunicarse con los
dispositivos cercanos utilizando LACP o LLDP. Dicha negociación previa acelera la conmutación por error.
Los cortafuegos serie PA-3000, PA-5000, PA-5200 y PA-7000 admiten una configuración de negociación
previa en función de si la interfaz Ethernet o AE está en una implementación de capa 2, capa 3 o cable
virtual. Un cortafuegos HA pasivo maneja los paquetes LACP y LLDP de una de las dos maneras siguientes:
• Activo: el cortafuegos tiene LACP o LLDP configurados en la interfaz y participa activamente en la
negociación previa de LACP o LLDP, respectivamente.
• Pasivo: LACP o LLDP no están configurados en la interfaz y el cortafuegos no participa en el protocolo,
pero permite que los peers en cada lado del cortafuegos negocien previamente LACP o LLDP
respectivamente.
La negociación previa no se admite en subinterfaces o en interfaces de túnel.
Para configurar la negociación previa de LACP o LLDP, consulte el paso (Opcional) Habilite la negociación
previa de LACP y LLDP para HA activa/pasiva para una conmutación de error más rápida si su red utiliza
LACP o LLDP.

Dirección IP flotante y dirección MAC virtual
En una implementación de capa 3 del modo HA activo/activo, usted puede asignar direcciones IP flotantes,
que se mueven de un cortafuegos HA a otro si un enlace o cortafuegos falla. La interfaz en el cortafuegos
que posee la dirección IP flotante responde a solicitudes de ARP con una dirección MAC virtual.
Las direcciones IP flotantes se recomiendan cuando necesita funcionalidades tales como el protocolo de
redundancia de enrutador virtual (Virtual Router Redundancy Protocol, VRRP). Las direcciones IP flotantes
también pueden usarse para implementar VPN y NAT de origen, lo que permite conexiones persistentes
cuando el cortafuegos que ofrece esos servicios falla.
Como se muestra en la siguiente figura, cada interfaz de cortafuegos HA tiene su propia dirección IP y
dirección IP flotante. La dirección IP de la interfaz sigue siendo local para el cortafuegos, pero, si este falla,
la dirección IP flotante se mueve entre los cortafuegos. Usted configura los hosts de destino para usar una
dirección IP flotante como la puerta de enlace por defecto, lo que le permite cargar el tráfico de equilibrio a
los dos peers HA. También puede usar equilibradores de carga externos para cargar el tráfico de equilibrio.
Si un enlace o cortafuegos falla o un evento de supervisión de ruta produce un fallo, la dirección IP
flotante y la dirección MAC virtual se mueven hacia el cortafuegos funcional. (En la siguiente figura , cada
cortafuegos tiene dos direcciones IP flotantes y direcciones MAC virtuales; todas migran si el cortafuegos
falla). El cortafuegos en funcionamiento envía un ARP gratuito para actualizar las tablas MAC de los
conmutadores conectados para informar del cambio en la dirección IP flotante y la propiedad de la dirección
MAC para redireccionar el tráfico hacia él.
Una vez que se recupera el cortafuegos fallido, la dirección IP flotante y la dirección MAC virtual
regresan por defecto al cortafuegos con el ID de dispositivo [0 o 1] al que está vinculada la dirección IP.
Específicamente, una vez que el cortafuegos fallido se recupera, este vuelve a estar en línea. El cortafuegos
actualmente activo determina que el cortafuegos está nuevamente en línea y comprueba si la dirección IP
flotante que está manejando pertenece originalmente a él o al otro cortafuegos. Si la dirección IP flotante
estaba vinculada originalmente al otro ID de dispositivo, el cortafuegos automáticamente la devuelve. (Para
conocer una alternativa a este comportamiento predeterminado, consulte Caso de uso: configuración HA
activa/activa con dirección IP flotante enlazada a cortafuegos activo-principal).
Cada cortafuegos del par HA crea una dirección MAC virtual para cada una de sus interfaces que posee una
dirección IP flotante o dirección IP de uso compartido de carga de ARP.
El formato de la dirección MAC virtual (en cortafuegos que no sean de la serie PA-7000) es 00-1B-17-00-
xx-yy, donde 00-1B-17 es el ID del proveedor (de Palo Alto Networks en este caso), 00 es fijo, xx indica el
ID del dispositivo y el ID de grupo, como se muestra en la siguiente figura, e yy es el ID de interfaz:

El formato de la dirección MAC virtual en cortafuegos de la serie PA-7000 es 00-1B-17-xx-xx-xx, donde
00-1B-17 es el ID del proveedor (de Palo Alto Networks en este caso), y los siguientes 24 bits indican el ID
del dispositivo, ID de grupo e ID de interfaz de la siguiente manera:
Cuando un cortafuegos activo toma el control, envía ARP gratuitos de cada una de sus interfaces
conectadas para informar a los conmutadores de capa 2 conectados de la nueva ubicación de la dirección
MAC virtual. Para configurar direcciones IP flotantes, consulte Caso de uso: configuración de HA activa/
activa con direcciones IP flotantes.
Distribución de carga de ARP

En una implementación de interfaz de capa y configuración HA activa/activa, la distribución de carga de
ARP permite que los cortafuegos compartan una dirección IP y proporcionen servicios de puerta de enlace.
Use la distribución de carga de ARP únicamente cuando no haya ningún dispositivo de capa 3 entre el
cortafuegos y los hosts de destino; es decir, cuando los hosts de destino utilicen el cortafuegos como la
puerta de enlace por defecto.
En este escenario, todos los hosts se configuran con una única dirección IP de puerta de enlace. Uno de
los cortafuegos responde a solicitudes de ARP para la dirección IP de puerta de enlace con su dirección
MAC virtual. Cada cortafuegos posee una dirección MAC virtual única generada para la dirección IP
compartida. El algoritmo de carga compartida que controla qué cortafuegos responderá a la solicitud de
ARP es configurable; se determina mediante el cálculo del hash o módulo de la dirección IP de origen de la
solicitud de ARP.
Después de que el host de destino recibe la respuesta de ARP de la puerta de enlace, captura la dirección
MAC y todo el tráfico del host se envía a través del cortafuegos que respondió con la dirección MAC virtual

durante el periodo de almacenamiento en caché del ARP. El periodo de almacenamiento en caché del ARP
depende del sistema operativo del host de destino.
Si un enlace o cortafuegos falla, la dirección IP flotante y la dirección MAC virtual se mueven hacia el
cortafuegos funcional. El cortafuegos funcional envía ARP gratuitos para actualizar la tabla MAC de los
conmutadores conectados para redirigir hacia él el tráfico desde el cortafuegos fallido. Consulte Caso de
uso: Configuración de alta disponibilidad activa/activa con uso compartido de carga de ARP.
Puede configurar interfaces en el lado WAN de los cortafuegos HA con direcciones IP flotantes y configurar
interfaces en el lado LAN de los cortafuegos HA con una dirección IP compartida para la distribución de
carga de ARP. Por ejemplo, la siguiente figura ilustra las direcciones IP flotantes para los enrutadores
perimetrales WAN anteriores y una dirección de distribución de carga ARP para los hosts en el segmento
LAN.
Redundancia basada en la ruta

En una implementación de interfaz de capa 3 y una configuración activa/activa, los cortafuegos están
conectados a enrutadores, no a conmutadores. Los cortafuegos usan protocolos de enrutamiento dinámico
para determinar la mejor ruta (ruta asimétrica) y para compartir la carga entre el par HA. En ese caso no
se necesita ninguna dirección IP. Si un enlace, ruta supervisada o cortafuegos falla, o si la detección de
reenvío bidireccional (Bidirectional Forwarding Detection, BFD) detecta un fallo de enlace, el protocolo
de enrutamiento (RIP, OSPF o BGP) se encarga del nuevo enrutamiento del tráfico hacia el cortafuegos
en funcionamiento. Usted configura cada interfaz de cortafuegos con una nueva dirección IP única. Las
direcciones IP siguen siendo locales para el cortafuegos en el que están configuradas; no se mueven entre
dispositivos cuando un cortafuegos falla. Consulte Caso de uso: Configuración de HA activa/activa con
redundancia basada en la ruta.

Temporizadores de HA
Los temporizadores de alta disponibilidad (high availability, HA) facilitan que el cortafuegos detecte un fallo
y active una conmutación por error. Para reducir la complejidad al configurar temporizadores de HA, puede
seleccionar uno de los tres perfiles: Recommended (Recomendado), Aggressive (Agresivo) y Advanced
(Avanzado). Estos perfiles cumplimentan automáticamente los valores óptimos del temporizador de HA para
la plataforma de cortafuegos específica con el fin de habilitar una implementación de HA más rápida.
Utilice el perfil Recommended (Recomendado) para ajustes comunes del temporizador de conmutación por
error y el perfil Aggressive (Agresivo) para ajustes más rápidos del temporizador de conmutación por error.
El perfil Advanced (Avanzado) le permite personalizar los valores del temporizador para que se adapten a
sus requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales
(recomendados/agresivos) de los diferentes modelos de hardware; estos valores se indican únicamente
como referencia y pueden cambiar en versiones posteriores.
Temporizadores Descripción Serie PA-7000 Serie PA-800 Dispositivo

virtual de
Serie PA-5200 PA-500
Panorama
Panorama M-
Serie PA-3000 PA-200 Series
VM-SERIES
Tiempo Intervalo durante el 0/0 0/0 0/0

de espera cual el cortafuegos
ascendente permanecerá activo tras
tras fallo de un fallo de supervisor
supervisor (ms) de ruta o supervisor de
enlace. Se recomienda
este ajuste para evitar
una conmutación por
error de HA debido a los
flaps ocasionales de los
dispositivos vecinos.

virtual de
Panorama
Panorama M-
VM-SERIES
Tiempo de Tiempo que un 1/1 1/1 1/1

espera para ser cortafuegos pasivo
preferente (min) o secundario activo
esperará antes de
tomar el control como
dispositivo activo o
principal activo.
Intervalo de Frecuencia con la 1000/1000 2000/1000 2000/1000

heartbeat (ms) que los peers de HA
2000/1000
intercambian mensajes
(solo para VM-
de heartbeat en forma de
Series en AWS)
un ICMP (ping).
Tiempo de Tiempo que el 2000/500 2000/500 2000/500

espera de cortafuegos pasivo (en el
promoción (ms) modo activo/pasivo) o el
cortafuegos secundario
activo (en el modo
activo/activo) esperará
antes de tomar el control
como cortafuegos
activo o principal activo
después de perder las
comunicaciones con el
peer de HA. Este tiempo
de espera únicamente
comenzará después
de haber realizado una
declaración de fallo de
peer.
Tiempo de Intervalo de tiempo 500/500 500/500 7000/5000

espera principal que se aplica al mismo
adicional (ms) evento que Tiempo
de espera activo tras
un fallo de supervisor
(intervalo: 0-60000 ms;
valor predeterminado:
500 ms). El intervalo
de tiempo adicional
únicamente se aplica al
cortafuegos activo en
el modo activo/pasivo y
al cortafuegos principal
activo en el modo activo/

virtual de
Panorama
Panorama M-
VM-SERIES
activo. Se recomienda
este temporizador para
evitar una conmutación
por error cuando
ambos cortafuegos
experimentan el mismo
fallo de supervisor
de enlace/ruta
simultáneamente.
Intervalo de Intervalo de tiempo 8000/8000 8000/8000 8000/8000

saludo (ms) en milisegundos
entre los paquetes
de saludo enviados
para verificar que la
funcionalidad de HA del
otro cortafuegos está
operativo. El intervalo es
de 8000-60000 ms con
un valor predeterminado
de 8000 ms para todas
las plataformas.
N.º máximo de Se cuenta un flap cuando 3/3 3/3 No aplicable

flaps el cortafuegos deja el
estado activo antes
de que transcurran 15
minutos desde la última
vez que dejó el estado
activo. Este valor indica
el número máximo de
flaps permitidos antes
de que se determine
suspender el cortafuegos
y que el cortafuegos
pasivo tome el control
(intervalo: 0-16; valor
predeterminado: 3).
Propietario de sesión
En una configuración HA activa/activa, ambos cortafuegos están activos simultáneamente, lo que
significa que los paquetes pueden distribuirse entre ellos. Dicha distribución requiere que los cortafuegos
desempeñen dos funciones: propiedad de la función y configuración de la sesión. En general, cada
cortafuegos del par desempeña una de estas funciones, con lo cual se evitan condiciones de carrera que
pueden producirse en entornos enrutados asimétricamente.

Puede configurar el propietario de las sesiones bien como el cortafuegos que recibe el primer paquete de
una nueva sesión desde el host de destino, o bien como el cortafuegos que está en estado activo-primario
(el dispositivo principal). Si el dispositivo principal está configurado, pero el cortafuegos que recibe el
primer paquete no está en estado activo-primario, el cortafuegos reenvía el paquete al cortafuegos peer (el
propietario de la sesión) mediante el enlace HA3.
El propietario de la sesión realiza todo el procesamiento de capa 7, tal como App-ID, Content-ID y
exploración en busca de amenazas para la sesión. El propietario de la sesión también genera todos los logs
de tráfico para la sesión.
Si el propietario de la sesión falla, el cortafuegos peer se convierte en el propietario de la sesión. Las
sesiones existentes conmutan por error al cortafuegos en funcionamiento y no hay procesamiento de capa
7 disponible para esas sesiones. Cuando un cortafuegos se recupera de un fallo, por defecto, todas las
sesiones de su propiedad antes del fallo regresan al cortafuegos original; el procesamiento de capa 7 no se
reanuda.
Si usted configura la propiedad de la sesión en el dispositivo principal, la configuración de la sesión regresa
por defecto al dispositivo principal también.
Palo Alto Networks recomienda configurar el propietario de sesión en el primer paquete y la

configuración de sesión en el módulo IP, a menos que se indique lo contrario en un caso de
uso específico.
La configuración del propietario de sesión y configuración de sesión en el dispositivo

principal hace que el cortafuegos activo-principal realice todo el procesamiento del tráfico.
Podría configurar esto por uno de los siguientes motivos:
• Está solucionando problemas y capturando logs y capturas de paquetes, por lo que el
paquete que se está procesando no se divide entre los cortafuegos.
• Desea forzar el par HA activo/activo para que funcione como un par HA activo/pasivo.
Consulte Caso de uso: Configuración HA activa/activa con dirección IP flotante enlazada a
cortafuegos activo-principal on page 280.
Configuración de sesión
El cortafuegos de configuración de sesión realiza el procesamiento de capa 2 a capa 4 necesario para
configurar una nueva sesión. El cortafuegos de configuración de sesión también realiza NAT usando
el grupo NAT del propietario de sesión. Usted determina el cortafuegos de configuración de sesión en
una configuración activa/activa al seleccionar una de las siguientes opciones de distribución de carga de
configuración de sesión.
Opción de configuración Descripción

de sesión
IP Modulo El cortafuegos distribuye la carga de configuración de sesión sobre la base de

la paridad de la dirección IP de origen. Este es un método determinista para
compartir la configuración de la sesión.
IP Hash (Hash de IP) El cortafuegos utiliza un hash de las direcciones IP de origen y destino para
distribuir las responsabilidades de configuración de la sesión.
Primary Device El cortafuegos activo-principal siempre configura la sesión; solo el cortafuegos

(Dispositivo principal) lleva a cabo todas las responsabilidades de configuración de la sesión.

Opción de configuración Descripción
de sesión
First Packet (Primer El cortafuegos que recibe el primer paquete de una sesión realiza la
paquete) configuración de la sesión.
• Si desea compartir la carga de las responsabilidades de propietario de la sesión y

configuración de la sesión, configure el propietario de la sesión en First Packet y la
configuración de la sesión en IP modulo. Estos son los ajustes recomendados.
• Si desea solucionar problemas o capturar logs o capturas de paquetes, o si desea que
un par HA activo/activo funcione como un par HA activo/pasivo, configure el propietario
de la sesión y la configuración de la sesión en el dispositivo principal, para que el
dispositivo activo-principal realice todo el procesamiento del tráfico. Consulte Caso de
uso: Configuración HA activa/activa con dirección IP flotante enlazada a cortafuegos
activo-principal.
El cortafuegos utiliza el enlace HA3 para enviar paquetes a su peer para la configuración de la sesión si
fuera necesario. La siguiente figura y texto describen la ruta de un paquete que el cortafuegos FW1 recibe
para una nueva sesión. Las líneas de puntos rojos indican que el cortafuegos FW1 reenvía el paquete al
FW2 y el FW2 devuelve el paquete al FW1 por el enlace HA3.
El host de destino envía un paquete a FW1.

El FW1 examina el contenido del paquete para determinar si coincide con una sesión existente. Si no
hay coincidencia con ninguna sesión, el FW1 determina que ha recibido el primer paquete para una
nueva sesión y, por lo tanto, se convierte en el propietario de la sesión (suponiendo que Session Owner
Selection [Selección del responsable de la sesión] está configurado en First Packet [Primer paquete]).
FW1 utiliza la opción de distribución de carga de configuración de la sesión para identificar el
cortafuegos de configuración de la sesión. En este ejemplo, FW2 está configurado para realizar la
configuración de la sesión.
FW1 utiliza el enlace HA3 para enviar el primer paquete a FW2.
FW2 configura la sesión y devuelve el paquete a FW1 para el procesamiento de capa 7, si hubiera.
FW1 luego reenvía el paquete por la interfaz de salida hacia el destino.
La siguiente figura y texto describen la ruta de un paquete que coincide con una sesión existente:

El host de destino envía un paquete a FW1.
El FW1 examina el contenido del paquete para determinar si coincide con una sesión existente. Si la
sesión coincide con una sesión existente, FW1 procesa el paquete y lo envía por la interfaz de salida
hacia el destino.
NAT en modo HA activa/activa

En una configuración HA activa/activa:
• Debe vincular cada regla NAT de IP dinámica (Dynamic IP, DIP) y regla NAT de IP dinámica y puerto
(Dynamic IP and Port, DIPP) con el ID de dispositivo 0 o ID de dispositivo 1.
• Debe vincular cada regla NAT estática al ID de dispositivo 0, ID de dispositivo 1, ambos ID de
dispositivo, o el cortafuegos en estado activo-principal.
Por lo tanto, cuando uno de los cortafuegos crea una nueva sesión, la vinculación del ID de dispositivo 0
o 1 determina qué reglas NAT coinciden con el cortafuegos. La vinculación del dispositivo debe incluir al
cortafuegos propietario de la sesión para que la regla coincida.
El cortafuegos de configuración de la sesión realiza la búsqueda de coincidencia de la política NAT, pero
las reglas NAT se evalúan en función del propietario de la sesión. La sesión se traduce de acuerdo con las
reglas de NAT que están vinculadas con el dispositivo propietario de sesión. Al realizar la búsqueda de
coincidencias con la política NAT, un cortafuegos omite todas las reglas de NAT que no están vinculadas
con el cortafuegos propietario de sesión.
Por ejemplo, supongamos que el cortafuegos con ID de dispositivo 1 es el propietario de la sesión y el
cortafuegos de configuración de sesión. Cuando el cortafuegos con ID de dispositivo 1 intenta que la sesión
coincida con una regla de NAT, ignora todas las reglas vinculadas al ID de dispositivo 0. El cortafuegos
realiza la traducción NAT únicamente si el propietario de sesión y el ID de dispositivo en la regla NAT
coinciden.
En una situación típica, usted crea reglas NAT específicas del dispositivo cuando los cortafuegos peer
utilizan diferentes direcciones IP para la traducción.
Si uno de los cortafuegos peer falla, el cortafuegos activo continúa procesando el tráfico para las sesiones
sincronizadas del cortafuegos fallido, incluido el tráfico NAT. En una configuración NAT de origen, cuando
un cortafuegos falla:
• La dirección IP flotante que se utiliza como la dirección IP traducida de la regla NAT se transfiere al
cortafuegos operativo. Por lo tanto, las sesiones existentes que conmutan por error continúan utilizando
esta dirección IP.

• Todas las nuevas sesiones usarán las reglas NAT específicas del dispositivo que pertenecen
originalmente al cortafuegos operativo. Es decir, el cortafuegos operativo traduce las nuevas sesiones
usando solo las reglas NAT que coinciden con su ID de dispositivo e ignora las reglas NAT vinculadas con
el ID del dispositivo fallido.
Si desea que los cortafuegos realicen una NAT dinámica usando la misma dirección IP simultáneamente,
se recomienda crear una regla NAT duplicada que esté vinculada también con el cortafuegos peer. Se
obtendrán dos reglas NAT con las mismas direcciones IP de traducción, una vinculada al ID de dispositivo
0 y otra vinculada al ID de dispositivo 1. Por lo tanto, la configuración permite al cortafuegos actual llevar a
cabo la configuración de la nueva sesión y buscar la coincidencia de la política NAT para las reglas de NAT
que están vinculadas a su ID de dispositivo. Sin la regla NAT duplicada, el cortafuegos no encontrará sus
propias reglas específicas del dispositivo y omitirá todas las reglas NAT que no estén vinculadas a su ID de
dispositivo cuando intente buscar coincidencia con una política NAT.
Para obtener ejemplos de HA activo/activo con NAT, consulte:
• Caso de uso: Configuración de HA activa/activa con NAT DIPP de origen usando direcciones IP flotantes
on page 283
• Caso de uso: Configuración de grupos de direcciones IP NAT de origen separadas para cortafuegos HA
activo/activo on page 286
• Caso de uso: Configuración de HA activa/activa para distribución de carga ARP con NAT de destino on
page 287
• Caso de uso: Configuración de HA activa/activa para distribución de carga ARP con NAT de destino en
capa 3 on page 289
ECMP en modo HA activa/activa

Cuando un peer HA activo/activo falla, sus sesiones se transfieren al nuevo cortafuegos activo-principal,
que intenta usar la misma interfaz de salida que estaba usando el cortafuegos que falló. Si el cortafuegos
detecta que la interfaz está entre las rutas ECMP, las sesiones transferidas tomarán la misma ruta e
interfaz de salida. Este comportamiento se produce independientemente del algoritmo de ECMP en uso; se
recomienda utilizar la misma interfaz.
Solo en el caso de que ninguna ruta de ECMP coincida con la interfaz de salida original, el cortafuegos
activo-principal seleccionará una nueva ruta ECMP.
Si no configuró las mismas interfaces en los peers activo/activo, cuando se produzca una conmutación por
error, el cortafuegos activo-principal seleccionará la mejor ruta desde la tabla FIB. En consecuencia, las
sesiones existentes pueden no distribuirse de acuerdo con el algoritmo de ECMP.

Configuración de la HA activo/pasivo
• Requisitos para la HA activa/pasiva on page 260
• Directrices de configuración para la HA activo/pasivo on page 260
• Configuración de la HA activa/pasiva on page 263
• Definición de las condiciones de conmutación por error de HA on page 268
• Verificación de conmutación por error on page 269
Requisitos para la HA activa/pasiva

Para configurar la alta disponibilidad en sus firewalls de Palo Alto Networks, necesitará un par de firewalls
que cumplan los siguientes requisitos:
El mismo modelo: ambos cortafuegos del par deben tener el mismo modelo de hardware o de máquina
virtual.
La misma versión de PAN-OS: ambos cortafuegos deben ejecutar la misma versión de PAN-OS y estar
actualizados en las bases de datos de la aplicación, URL y amenazas.
La misma capacidad de múltiples sistemas virtuales: ambos cortafuegos deben tener la función Multi
Virtual System Capability (Capacidad de sistema multivirtual) habilitada o no habilitada. Cuando está
habilitada, cada cortafuegos requiere sus propias licencias de sistemas virtuales múltiples.
El mismo tipo de interfaces: enlaces de HA específicos o una combinación del puerto de gestión y los
puertos internos que se establecen para la HA de tipo de interfaz.
• Determine la dirección IP de la conexión de HA1 (control) entre peers de HA. La dirección IP de
HA1 de ambos peers debe estar en la misma subred si están conectados directamente o si están
conectados al mismo conmutador.
En el caso de cortafuegos sin puertos de HA específicos, puede utilizar el puerto de gestión para la
conexión de control. Al utilizar el puerto de gestión obtiene un enlace de comunicación directa entre
los planos de gestión de ambos cortafuegos. Sin embargo, dado que los puertos de gestión no tienen
cables directos entre los peers, asegúrese de que tiene una ruta que conecte estas dos interfaces a
través de su red.
• Si utiliza la capa 3 como método de transporte para la conexión de HA2 (datos), determine la
dirección IP para el enlace de HA2. Utilice la capa 3 únicamente si la conexión de HA2 debe
comunicarse a través de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con
la de los enlaces de HA1 ni con ninguna otra subred asignada a los puertos de datos del firewall.
El mismo conjunto de licencias: las licencias son exclusivas para cada cortafuegos y no se pueden
compartir entre los cortafuegos. Por lo tanto, debe obtener licencias idénticas para ambos cortafuegos.
Si los dos cortafuegos no tienen un conjunto idéntico de licencias, no podrán sincronizar información de
configuración ni mantener la paridad para una conmutación por error sin problemas.
Si ya cuenta con un cortafuegos y desea añadir uno nuevo para HA, pero este ya
está configurado, se recomienda el Restablecimiento del cortafuegos a los ajustes
predeterminados de fábrica del nuevo cortafuegos. Esto garantizará que el nuevo
cortafuegos tenga una configuración limpia. Después de configurar la HA, deberá
sincronizar la configuración del cortafuegos principal con el cortafuegos recién
introducido con la configuración limpia.
Directrices de configuración para la HA activo/pasivo

Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idéntica en ambos cortafuegos y algunas de manera independiente (no coincidentes) en cada cortafuegos.

Estos ajustes de HA no se sincronizan entre los cortafuegos. Si desea información detallada sobre qué se
sincroniza y qué no, consulte Referencia: Sincronización HA on page 294.
La siguiente lista de verificación enumera los ajustes que debe configurar de manera idéntica en ambos
cortafuegos:
Usted debe habilitar HA en ambos cortafuegos.
Debe configurar el mismo valor de ID de grupo en ambos cortafuegos. El cortafuegos utiliza el valor
de ID de grupo para crear una dirección MAC virtual para todas las interfaces configuradas. Consulte
la dirección IP flotante y la dirección MAC virtual para obtener información sobre las direcciones MAC
virtuales. Cuando un nuevo cortafuegos activo toma el control, se envían mensajes ARP gratuitos desde
cada una de las interfaces conectadas para informar a los conmutadores de capa 2 la nueva ubicación de
la dirección MAC.
Si está utilizando puertos internos como enlaces HA, debe configurar las interfaces para los enlaces HA1
y HA2 en el tipo HA.
Establezca el modo HA como Activo Pasivo en ambos cortafuegos.
Si se le solicita, habilite la preferencia en ambos cortafuegos. Sin embargo, el valor de prioridad de
dispositivo no debe ser idéntico.
Si fuera necesario, configure el cifrado del enlace HA1 (para la comunicación entre los peers de HA) en
ambos cortafuegos.
Basándose en la combinación de puertos de HA1 y backup de HA1 que está utilizando, utilice las
siguientes recomendaciones para decidir si debería habilitar el backup de heartbeat:
La funcionalidad HA (copia de seguridad de HA1 y HA1) no es compatible en la interfaz

de gestión si está configurada para el direccionamiento DHCP (IP Type [Tipo de IP] está
configurado como DHCP Client [Cliente DHCP]), excepto para AWS.
• HA1: Puerto de HA1 específico

Backup de HA1: Puerto interno
Recomendación: Habilitar backup de heartbeat
• HA1: Puerto de HA1 específico
Backup de HA1: Puerto de administración
Recomendación: No habilitar backup de heartbeat
• HA1: Puerto interno
Recomendación: Habilitar backup de heartbeat
• HA1: Puerto de administración
Recomendación: No habilitar backup de heartbeat
La siguiente tabla enumera los ajustes de HA que debe configurar de manera independiente en ambos
cortafuegos. Consulte Referencia: Sincronización HA on page 294 para obtener más información sobre
otros ajustes de configuración que no se sincronizan automáticamente entre peers.

Ajustes de PeerA PeerB
configuración
independientes
Enlace de control Dirección IP del enlace de HA1 Dirección IP del enlace de HA1
configurado en este cortafuegos (PeerA). configurado en este cortafuegos
(PeerB).
En el caso de cortafuegos sin puertos de HA específicos, utilice la dirección IP del

puerto de gestión para el enlace de control.
Enlace de datos De manera predeterminada, el enlace de De manera predeterminada, el

HA2 utiliza Ethernet/capa 2. enlace de HA2 utiliza Ethernet/capa
La información de
2.
enlace de datos se Si utiliza una conexión de capa 3,
sincroniza entre configure la dirección IP para el enlace de Si utiliza una conexión de capa 3,
los cortafuegos datos de este cortafuegos (PeerA). configure la dirección IP para el
después de enlace de datos de este cortafuegos
habilitar la HA (PeerB).
y establecer
el enlace de
control entre los
cortafuegos.
Prioridad de El cortafuegos que tiene la intención de Si PeerB es pasivo, establezca el

dispositivo activar debe tener un valor numérico más valor de prioridad de dispositivo
(obligatorio si bajo que su peer. Por lo tanto, si PeerA va con un número mayor que el de
se habilita la a funcionar como el cortafuegos activo, PeerA. Por ejemplo, establezca el
preemption) mantenga el valor predeterminado de 100 valor como 110.
y aumente el valor de PeerB.
Si los cortafuegos tienen el mismo valor
de prioridad de dispositivo, usan la
misma dirección MAC de su HA1 como
separador.
Supervisión de Seleccione las interfaces físicas del Seleccione un conjunto similar

enlaces: Supervise cortafuegos que desearía supervisar de interfaces físicas que desearía
una o más y defina la condición de fallo (todas o supervisar y defina la condición de
interfaces físicas alguna) que activará una conmutación por fallo (todas o alguna) que activará
que gestionen el error. una conmutación por error.
tráfico vital de
este cortafuegos y
defina la condición
de fallo.
Supervisión de Defina la condición de fallo (todas o Seleccione un conjunto similar de

rutas: Supervise alguna), el intervalo de ping y el recuento dispositivos o direcciones IP de
una o más de pings. Esto es de especial utilidad destino que se puedan supervisar
direcciones IP de para supervisar la disponibilidad de otros para determinar la activación de
destino en las que dispositivos de red interconectados. Por una conmutación por error para
el firewall pueda ejemplo, supervise la disponibilidad de un PeerB. Defina la condición de fallo
utilizar pings ICMP enrutador que se conecte a un servidor, (todas o alguna), el intervalo de ping
para verificar la conectividad del propio servidor o y el recuento de pings.

Ajustes de PeerA PeerB
configuración
independientes
la capacidad de cualquier otro dispositivo vital que se
respuesta. encuentre en el flujo del tráfico.
Asegúrese de que no sea probable que el
nodo/dispositivo que está supervisando
no responda, especialmente bajo carga,
ya que esto podría provocar un fallo
de supervisión de rutas y activar una
conmutación por error.
Configuración de la HA activa/pasiva
El siguiente procedimiento muestra cómo configurar un par de cortafuegos en una implementación activo/
pasivo como se muestra en la topología de ejemplo siguiente.
Para configurar un par HA activo/pasivo, primero complete el siguiente flujo de trabajo en el primer
cortafuegos y luego repita los pasos en el segundo cortafuegos.
STEP 1 | Conecte los puertos de HA para establecer una conexión física entre los cortafuegos.
• En el caso de cortafuegos con puertos de HA específicos, utilice un cable Ethernet para conectar
los puertos de HA1 y HA2 específicos de los peers. Utilice un cable cruzado si los cortafuegos están
conectados directamente entre sí.
• En el caso de cortafuegos sin puertos de HA específicos, seleccione dos interfaces de datos para el
enlace de HA2 y el enlace de HA1 de backup. A continuación, utilice un cable Ethernet para conectar
estas interfaces de HA internas entre ambos cortafuegos.
Utilice el puerto de gestión para el enlace de HA1 y asegúrese de que los puertos de gestión pueden
conectarse entre sí a través de su red.
STEP 2 | Habilite los pings en el puerto de gestión.

La habilitación de los pings permite que el puerto de gestión intercambie información de backup de
heartbeat.
configuración de interfaz de gestión.

2. Seleccione Ping como servicio permitido en la interfaz.
STEP 3 | Si el cortafuegos no tiene puertos de HA específicos, configure los puertos de datos para que
funcionen como puertos de HA.
En el caso de cortafuegos con puertos de HA específicos, vaya al siguiente paso.
1. Seleccione Network (Red) > Interfaces.
2. Confirme que el enlace está activado en los puertos que desee utilizar.
3. Seleccione la interfaz y establezca el Interface Type (Tipo de interfaz) como HA.
4. Establezca los ajustes Link Speed (Velocidad de enlace) y Link Duplex (Dúplex de enlace) según
corresponda.
STEP 4 | Establezca el modo HA y el ID de grupo.

1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > General y edite la sección
de Configuración.
2. Establezca un Group ID (ID de grupo) y, de manera opcional, una Description (Descripción) para
el par. El ID de grupo exclusivamente cada clúster en HA en su red. Si tiene varios pares HA que
comparten el mismo dominio de difusión, debe establecer un ID de grupo exclusivo para cada par.
3. Establezca el modo como Active Passive (Activo Pasivo).
STEP 5 | Configure la conexión del enlace de control.

Este ejemplo muestra un puerto interno configurado con el tipo de interfaz HA.
En el caso de cortafuegos que utilicen el puerto de gestión como el enlace de control, la información de
dirección IP se cumplimenta previamente de manera automática.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la sección Control
Link (HA1) (Enlace de control [HA1]).
2. Seleccione el Port (Puerto) al que ha conectado el cable para utilizarlo como el enlace HA1.
3. Establezca la IPv4/IPv6 Address (Dirección IPv4/IPv6) y la Netmask (Máscara de red).
Si las interfaces HA1 están en subredes separadas, introduzca la dirección IP de la Gateway (Puerta
de enlace). No añada una dirección de gateway si los cortafuegos están conectados directamente.
STEP 6 | (Opcional) Habilite el cifrado para la conexión del enlace de control.

Esto suele utilizarse para proteger el enlace si los dos cortafuegos no están conectados directamente, es
decir, si los puertos están conectados a un conmutador o un enrutador.
1. Exporte la clave de HA desde un cortafuegos e impórtela al cortafuegos peer.
(Certificados).
2. Seleccione Export HA key (Exportar clave de HA). Guarde la clave de HA en una ubicación de red
a la que pueda acceder el peer.
3. En el cortafuegos del peer, seleccione Device (Dispositivo) > Certificate Management (Gestión
de certificado) > Certificates (Certificados) y seleccione Import HA key (Importar clave HA) para
desplazarse hasta la ubicación donde guardó la clave e importarla en el peer.
Control Link (HA1) (Enlace de control [HA1]).
3. Seleccione Cifrado habilitado.
STEP 7 | Configure la conexión del enlace de control de backup.

1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la sección Control
Link (HA1 Backup) (Enlace de control [copia de seguridad de HA1]).

2. Seleccione la interfaz de copia de seguridad de HA1 y configure la IPv4/IPv6 Address (Dirección
IPv4/IPv6) y la Netmask (Máscara de red).
STEP 8 | Configure la conexión del enlace de datos (HA2) y la conexión de HA2 de backup entre los
cortafuegos.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la sección Data Link
(HA2) (Enlace de datos [HA2]).
2. Seleccione el Port (Puerto) para la conexión del enlace de datos.
3. Seleccione el método Transport (Transporte). El valor predeterminado es Ethernet y funcionará
cuando el par de HA se conecte directamente o a través de un conmutador. Si necesita enrutar el
tráfico del enlace de datos a través de la red, seleccione IP o UDP como modo de transporte.
4. Si utiliza IP o UDP como método de transporte, introduzca la IPv4/IPv6 Address (Dirección IPv4/
IPv6) y la Netmask (Máscara de red).
5. Verifique que se ha seleccionado Enable Session Synchronization (Habilitar sincronización de sesión).
6. Seleccione HA2 Keep-alive (Conexión persistente de HA2) para habilitar la supervisión del enlace
de datos de HA2 entre los peers de HA. Si se produce un fallo basado en el umbral establecido (el
valor predeterminado son 10.000 ms), se producirá la acción definida. En el caso de una configuración
activo/pasivo, se generará un mensaje de log de sistema crítico cuando se produzca un fallo de
conexión persistente de HA2.
Puede configurar la opción Conexión persistente de HA2 en ambos cortafuegos

o solamente un cortafuegos del clúster en HA. Si la opción se habilita únicamente
en un cortafuegos, solamente ese cortafuegos enviará los mensajes de conexión
persistente. Si se produce un fallo, se notificará al otro cortafuegos.
7. Edite la sección Data Link (HA2 Backup) (Enlace de datos [copia de seguridad de HA2]), seleccione la
interfaz y añada la IPv4/IPv6 Address (Dirección IPv4/Ipv6) y la Netmask (Máscara de red).
STEP 9 | Habilite el backup del heartbeat si su enlace de control utiliza un puerto de HA específico o un
puerto interno.
No necesita habilitar el backup del heartbeat si está utilizando el puerto de gestión para el enlace de
control.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la configuración de
elección.
2. Seleccione Heartbeat Backup (Copia de seguridad de heartbeat).
Para permitir la transmisión de heartbeats entre los cortafuegos, deberá verificar que el puerto de
gestión entre ambos peers puede enrutarse del uno al otro.
Habilitar el backup de heartbeat también le permite evitar una situación de síndrome

de cerebro dividido. El síndrome de cerebro dividido se produce cuando el enlace
HA1 deja de funcionar y provoca que el cortafuegos se omita, pese a que el
cortafuegos sigue funcionando. En tales situaciones, cada peer cree que el otro
ha dejado de funcionar e intenta iniciar los servicios que están en funcionamiento,
causando un síndrome de cerebro dividido. Si el enlace de backup de heartbeat
está habilitado, se evita el síndrome de cerebro dividido, ya que los heartbeats
redundantes y los mensajes de saludo se transmiten a través del puerto de gestión.
STEP 10 | Establezca la prioridad de dispositivo y habilite la preemption.

Este ajuste únicamente es necesario si desea asegurarse de que un cortafuegos específico es el
dispositivo activo preferido. Para obtener más información, consulte Prioridad de dispositivo y
preferencia.

elección.
2. Establezca el valor numérico de Device Priority (Prioridad de dispositivo). Asegúrese de establecer
un valor numérico más bajo en el cortafuegos al que desee asignar una mayor prioridad.
Si ambos cortafuegos tienen el mismo valor de prioridad de dispositivo, el cortafuegos

con la dirección MAC más baja en el enlace de control de HA1 será el cortafuegos
activo.
3. Seleccione Preemptive (Preferente).
Debe habilitar la preemption tanto en el cortafuegos activo como en el pasivo.
STEP 11 | (Opcional) Modifique los HA Timers (Temporizadores HA).

De manera predeterminada, el perfil del temporizador de HA se establece como el perfil Recommended
(Recomendado) y es adecuado para la mayoría de implementaciones de HA.
elección.
2. Seleccione el perfil Aggressive (Intensivo) para activar la conmutación por error más rápido;
seleccione Advanced (Avanzado) para definir valores personalizados para activar la conmutación por
error en su configuración.
Para ver el valor preestablecido para un temporizador concreto incluido en un

perfil, seleccione Advanced (Avanzado) y haga clic en Load Recommended (Carga
recomendada) o Load Aggressive (Carga intensiva). Los valores preestablecidos para
su modelo de hardware aparecerán en la pantalla.
STEP 12 | (Opcional, únicamente configurado en el cortafuegos pasivo) Modifique el estado de enlace de

los puertos HA en el cortafuegos pasivo.
El estado de enlace pasivo es shutdown (apagar) de manera predeterminada. Cuando

habilite HA, el estado de enlace de los puertos de HA del cortafuegos activo será de color
verde; los del cortafuegos pasivo estarán desactivados y se mostrarán de color rojo.
La configuración del estado de enlace como Auto (Automático) permite reducir la cantidad de tiempo
que tarda el cortafuegos pasivo en tomar el control cuando se produce una conmutación por error y le
permite supervisar el estado del enlace.
Para habilitar el estado de enlace del cortafuegos pasivo para que permanezca activado y refleje el
estado de cableado de la interfaz física:
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite la configuración
activa pasiva.
2. Establezca Estado de los enlaces en el pasivo (Passive Link State) como Auto (Automático).
La opción automática reduce la cantidad de tiempo que tarda el cortafuegos pasivo en tomar el
control cuando se produce una conmutación por error.
Aunque la interfaz se muestre de color verde (cableada y activada), seguirá

descartando todo el tráfico hasta que se active una conmutación por error.
Cuando modifique el estado de enlace pasivo, asegúrese de que los dispositivos adyacentes
no reenvían el tráfico al cortafuegos pasivo basándose únicamente en el estado de enlace del
cortafuegos.
STEP 13 | Habilite la HA.

Setup (Configuración).
2. Seleccione Enable HA (Habilitar HA).
3. Seleccione Enable Config Sync (Habilitar sincronización de configuración). Este ajuste habilita la
sincronización de los ajustes de configuración entre los cortafuegos activo y pasivo.
4. Introduzca la dirección IP asignada al enlace de control del peer en Peer HA1 IP Address (Dirección
IP HA1 del peer).
En el caso de cortafuegos sin puertos de HA específicos, si el peer utiliza el puerto de gestión para el
enlace de HA1, introduzca la dirección IP del puerto de gestión del peer.
5. Introduzca Backup HA1 IP Address (Dirección IP de HA1 de copia de seguridad).
STEP 14 | (Opcional) Habilite LACP and LLDP Pre-Negotiation for Active/Passive HA (Negociación
previa de LACP y LLDP para la HA activa/pasiva) para una conmutación por error más rápida
si su red utiliza LACP o LLDP.
Habilite LACP y LLDP antes de configurar la negociación previa de HA para el protocolo

si desea que la negociación previa funcione en modo activo.
1. Asegúrese de configurar el estado del enlace como Auto (Automático) en el paso 12.
2. Seleccione Network (Red) > Interfaces > Ethernet.
3. Para habilitar la negociación previa activa de LACP:
1. Seleccione una interfaz AE en una implementación de capa 2 o capa 3.
2. Seleccione la pestaña LACP.
3. Seleccione Enable in HA Passive State (Habilitar en estado pasivo HA).
No puede seleccionar también Same System MAC Address for Active-Passive

HA (Misma dirección MAC del sistema para HA activo-pasivo) debido a que la
negociación previa requiere direcciones MAC de interfaz únicas en los cortafuegos
activo y pasivo.
4. Para habilitar la negociación previa pasiva de LACP:
1. Seleccione una interfaz Ethernet en una implementación de Virtual Wire.
2. Seleccione la pestaña Advanced (Avanzado).
3. Seleccione la pestaña LACP.
5. Para habilitar la negociación previa activa de LLDP:
1. Seleccione una interfaz Ethernet en una implementación de capa 2, capa 3 o Virtual Wire.
2. Seleccione la pestaña Advanced (Avanzado).
3. Seleccione la pestaña LLDP.
Si desea permitir la negociación previa pasiva de LLDP para una implementación

de Virtual Wire, realice el paso e pero no habilite LLDP.
STEP 15 | Guarde los cambios de configuración.


STEP 16 | Cuando termine de configurar ambos cortafuegos, verifique que los dispositivos están
emparejados en la HA activo/pasivo.
1. Acceda al Dashboard (Panel) de ambos dispositivos y visualice el widget High Availability.
2. En el cortafuegos activo, haga clic en el enlace Sync to peer.
3. Confirme que los cortafuegos están emparejados y sincronizados, como se muestra a continuación:
• En el cortafuegos pasivo: el estado del cortafuegos local debería mostrar passive (pasivo) y
Running Config (Config. en ejecución) debería mostrar synchronized (sincronizada).
• En el cortafuegos activo: El estado del cortafuegos local debería mostrar active (activo) y Running
Config (Config. en ejecución) debería mostrar synchronized (sincronizada).
Definición de las condiciones de conmutación por error de HA

Realice la siguiente tarea para definir las condiciones del error y establecer qué causará un error en un
cortafuegos en un par de cortafuegos de HA, un evento en el que la tarea de protección de tráfico pasa del
cortafuegos previamente activo a su par de HA. La Descripción general de la alta disponibilidad describe las
condiciones que causan un error.
Si está utilizando SNMPv3 para supervisar los cortafuegos, tenga en cuenta que el ID de
motor de SNMPv3 es exclusivo para cada cortafuegos; EngineID no se sincroniza entre el
clúster en HA y, por lo tanto, le permite supervisar independientemente cada cortafuegos del
clúster en HA. Para obtener información sobre la configuración de SNMP, consulte Reenvío
de capturas a un administrador SNMP. Como EngineID se genera utilizando el número de
serie del cortafuegos, en el cortafuegos VM-Series deberá aplicar una licencia válida para
obtener un EngineID exclusivo para cada cortafuegos.
STEP 1 | Para configurar la supervisión de enlaces, defina las interfaces que desea supervisar. Un cambio
en el estado de enlace de estas interfaces activará una conmutación por error.
1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > Link and Path Monitoring
(Supervisión de enlaces y rutas) y haga clic en Add (Añadir) para añadir un grupo de enlaces.
2. Asigne un nombre al Link Group (Grupo de enlaces), seleccione Add (Añadir) para añadir las
interfaces para su supervisión y seleccione la Failure Condition (Condición de fallo para el grupo). El
grupo de enlaces que defina se añadirá a la sección Link Group (Grupo de enlaces).
STEP 2 | (Opcional) Modifique la condición de fallo de los grupos de enlaces que configuró (en el paso
anterior) en el cortafuegos.
De manera predeterminada, el cortafuegos activará una conmutación por error cuando falle cualquier
enlace supervisado.
1. Seleccione la sección Link Monitoring (Supervisión de enlaces).
2. Establezca la Failure Condition (Condición de fallo) como All (Todas).
El ajuste predeterminado es Any (Cualquiera).
STEP 3 | Para configurar la supervisión de rutas, defina las direcciones IP de destino en las que el
firewall debería hacer ping para verificar la conectividad de red.
1. En la sección Path Group (Grupo de rutas) de la pestaña Device (Dispositivo) > High Availability (Alta
disponibilidad) > Link and Path Monitoring (Supervisión de enlaces y rutas), seleccione Add option
for your set up (Añadir para su configuración): Virtual Wire, VLAN o Enrutador virtual.
2. Seleccione el elemento adecuado del menú desplegable para el nombre en Name (Nombre) y haga
clic en Add (Añadir) para añadir las direcciones IP (origen o destino, según se le pida) que desee

supervisar. A continuación, seleccione la Failure Condition (Condición de fallo) del grupo. El grupo de
rutas que defina se añadirá a la sección Path Group (Grupo de rutas).
STEP 4 | (Opcional) Modifique la condición de fallo para todos los grupos de rutas configurados en el
cortafuegos.
De manera predeterminada, el cortafuegos activará una conmutación por error cuando falle cualquier
ruta supervisada.
Establezca la Failure Condition (Condición de fallo) como All (Todas).
El ajuste predeterminado es Any (Cualquiera).
STEP 5 | Seleccione Commit (Confirmar) para confirmar la configuración.
Verificación de conmutación por error

Para comprobar que su configuración de HA funciona correctamente, active una conmutación por error
manual y verifique que los cortafuegos cambian de estado correctamente.
STEP 1 | Suspenda el cortafuegos activo.

Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > Operational Commands
(Comandos operativos) y haga clic en el enlace Suspend local device (Suspender dispositivo local).
STEP 2 | Verifique que el cortafuegos pasivo ha tomado el control como activo.

En el Dashboard (Panel), verifique que el estado del cortafuegos pasivo cambie a active (activo) en el
widget High Availability.
STEP 3 | Restablezca el cortafuegos suspendido a un estado funcional. Espere un par de minutos y,

a continuación, verifique que se ha producido un adelantamiento, si la opción Preemptive
(Preferente) se ha habilitado.
1. En el cortafuegos que ha suspendido previamente, seleccione Device (Dispositivo) > High Availability
(Alta disponibilidad) > Operational Commands (Comandos operativos) y haga clic en Make local
device functional (Hacer dispositivo local funcional).
2. En el widget High Availability (Alta disponibilidad) del Dashboard (Panel), confirme que el cortafuegos
ha tomado el control como cortafuegos activo y que el peer ahora está en un estado pasivo.

Configuración de HA activa/activa
• Requisitos previos para la HA activa/activa on page 270
• Configuración de la HA activa/activa on page 271
• Determinación del caso de uso activo/activo on page 276
Requisitos previos para la HA activa/activa

Para configurar la HA activa/activa en sus cortafuegos, necesitará un par de cortafuegos que reúnan los
siguientes requisitos:
El mismo modelo: ambos cortafuegos del par deben ser del mismo modelo de hardware.
La misma versión de PAN-OS: ambos cortafuegos deben ejecutar la misma versión de PAN-OS y estar
actualizados en las bases de datos de la aplicación, URL y amenazas.
La misma capacidad de múltiples sistemas virtuales: ambos cortafuegos deben tener la función Multi
Virtual System Capability (Capacidad de sistema multivirtual) habilitada o no habilitada. Cuando está
habilitada, cada cortafuegos requiere sus propias licencias de sistemas virtuales múltiples.
El mismo tipo de interfaces: enlaces de HA específicos o una combinación del puerto de gestión y los
puertos internos que se establecen para la HA de tipo de interfaz.
• Las interfaces HA deben estar configuradas con direcciones IP estáticas únicamente, no con
direcciones IP obtenidas de DHCP (excepto AWS, que pueden usar direcciones DHCP). Determine
la dirección IP de la conexión de HA1 (control) entre peers de HA. La dirección IP de HA1 de ambos
peers debe estar en la misma subred si están conectados directamente o si están conectados al
mismo conmutador.
En el caso de cortafuegos sin puertos de HA específicos, puede utilizar el puerto de gestión para la
conexión de control. Al utilizar el puerto de gestión obtiene un enlace de comunicación directa entre
los planos de gestión de ambos cortafuegos. Sin embargo, dado que los puertos de gestión no tienen
cables directos entre los peers, asegúrese de que tiene una ruta que conecte estas dos interfaces a
través de su red.
• Si utiliza la capa 3 como método de transporte para la conexión de HA2 (datos), determine la
dirección IP para el enlace de HA2. Utilice la capa 3 únicamente si la conexión de HA2 debe
comunicarse a través de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con
la de los enlaces de HA1 ni con ninguna otra subred asignada a los puertos de datos del firewall.
• Cada cortafuegos necesita una interfaz dedicada para el enlace HA3. Los cortafuegos serie PA-7000
utilizan el puerto HSCI para HA3. Los cortafuegos serie PA-5200 pueden utilizar el puerto HSCI
para HA3 o puede configurar interfaces agregadas en los puertos del plano de datos para HA3 para
redundancia. En las plataformas restantes, puede configurar interfaces agregadas en los puertos del
plano de datos como el enlace HA3 para redundancia.
El mismo conjunto de licencias: las licencias son exclusivas para cada cortafuegos y no se pueden
compartir entre los cortafuegos. Por lo tanto, debe obtener licencias idénticas para ambos cortafuegos.
Si los dos cortafuegos no tienen un conjunto idéntico de licencias, no podrán sincronizar información de
configuración ni mantener la paridad para una conmutación por error sin problemas.
Si ya tiene un cortafuegos y desea añadir uno nuevo para HA pero este ya está
configurado, se recomienda que realice el Restablecimiento del cortafuegos a los
ajustes predeterminados de fábrica en el nuevo cortafuegos. Esto garantizará que
el nuevo cortafuegos tenga una configuración limpia. Después de configurar la HA,
deberá sincronizar la configuración del cortafuegos principal con el cortafuegos recién
introducido con la configuración limpia. También deberá configurar las direcciones IP
locales.

Configuración de la HA activa/activa
El siguiente procedimiento describe el flujo de trabajo básico para configurar sus cortafuegos en una
configuración activa/activa. Sin embargo, antes de comenzar, Determine su caso de uso activo/activo para
los ejemplos de configuración que más se adecuen a su entorno de red específico.
Para configurar activo/activo, primero complete los siguientes pasos en un peer y luego complételos en el
segundo peer, y asegúrese de que configure la ID de dispositivo en valores diferentes (0 o 1) en cada peer.
STEP 1 | Conecte los puertos de HA para establecer una conexión física entre los cortafuegos.
Para cada caso de uso, los cortafuegos podrían ser cualquier modelo de hardware; elija
el paso HA3 que corresponda a su modelo.
• En el caso de cortafuegos con puertos de HA específicos, utilice un cable Ethernet para conectar
los puertos de HA1 y HA2 específicos de los peers. Utilice un cable cruzado si los cortafuegos están
conectados directamente entre sí.
• En el caso de cortafuegos sin puertos de HA específicos, seleccione dos interfaces de datos para el
enlace de HA2 y el enlace de HA1 de backup. A continuación, utilice un cable Ethernet para conectar
estas interfaces de HA internas entre ambos cortafuegos. Utilice el puerto de gestión para el enlace
de HA1 y asegúrese de que los puertos de gestión pueden conectarse entre sí a través de su red.
• Para HA3:
• En los cortafuegos de la serie PA-7000, conecte la interconexión de bastidor de alta velocidad
(High Speed Chassis Interconnect, HSCI) en el primer bastidor con la HSCI-A en el segundo
bastidor, y la HSCI-B en el primer bastidor con la HSCI-B en el segundo bastidor. En un
cortafuegos de la serie PA-5200 (que posee un puerto HSCI), conéctese con el puerto HSCI del
primer bastidor con el puerto HSCI en el segundo bastidor. También puede utilizar los puertos de
datos para los cortafuegos HA3 en los cortafuegos de la serie PA-5200.
• En cualquier otro modelo de hardware, use interfaces de plano de datos para HA3.
STEP 2 | Habilite los pings en el puerto de gestión.

La habilitación de los pings permite que el puerto de gestión intercambie información de backup de
heartbeat.
1. En Device (Dispositivo) > Setup (Configuración) > Management (Gestión), edite los ajustes de la
interfaz de gestión.
2. Seleccione Ping como servicio permitido en la interfaz.
STEP 3 | Si el cortafuegos no tiene puertos de HA específicos, configure los puertos de datos para que
funcionen como puertos de HA.
En el caso de cortafuegos con puertos de HA específicos, vaya al siguiente paso.
2. Confirme que el enlace está activado en los puertos que desee utilizar.
3. Seleccione la interfaz y establezca el Interface Type (Tipo de interfaz) como HA.
4. Establezca los ajustes Link Speed (Velocidad de enlace) y Link Duplex (Dúplex de enlace) según
corresponda.
STEP 4 | Habilite la HA activa/activa y configure el ID de grupo.

1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Setup
(Configuración).

3. Introduzca un Group ID (ID de grupo), que debe ser el mismo para ambos cortafuegos. El cortafuegos
utiliza el ID de grupo para calcular la dirección MAC virtual (el intervalo es 1-63).
4. (Opcional) Introduzca una Description (Descripción).
5. Para Mode (Modo), seleccione Active Active (Activo activo).
STEP 5 | Configure el ID del dispositivo, habilite la sincronización e identifique el enlace de control en el

cortafuegos peer.
(Configuración).
2. Seleccione Device ID (ID de dispositivo) de la siguiente manera:
• Al configurar el primer peer, establezca la Device ID (ID de dispositivo) en 0.
• Al configurar el segundo peer, establezca la Device ID (ID de dispositivo) en 1.
3. Seleccione Habilitar sincronización de configuración. Este ajuste es obligatorio para sincronizar las
dos configuraciones de cortafuegos (habilitado por defecto).
4. Introduzca la Peer HA1 IP Address (Dirección IP HA1 del peer), que es la dirección IP del enlace de
control HA1 del cortafuegos del peer.
5. (Opcional) Introduzca una Backup Peer HA1 IP Address (Dirección IP HA1 de respaldo), que es la
dirección IP del enlace de control de copia de seguridad del cortafuegos del peer.
STEP 6 | Determine si el cortafuegos con el ID de dispositivo más bajo reemplaza al cortafuegos activo-
principal tras la recuperación después de un fallo.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Election Settings
(Configuración de elección).
2. Seleccione Preemptive (Preferente) para que el cortafuegos con el ID de dispositivo más bajo
reanude automáticamente el funcionamiento activo-principal después de que cualquiera de los
cortafuegos se recuperen de un fallo. Ambos cortafuegos deben tener la opción Preemptive
(Preferente) seleccionada para que se produzca el reemplazo.
Deje Preemptive (Preferente) sin seleccionar si desea que la función activa-principal continúe con
el cortafuegos actual hasta que usted convierta manualmente el cortafuegos recuperado en el
cortafuegos activo-principal.
STEP 7 | Habilite el backup del heartbeat si su enlace de control utiliza un puerto de HA específico o un
puerto interno.
No necesita habilitar la copia de seguridad de heartbeat si está utilizando el puerto de gestión para el
enlace de control.
2. Seleccione Heartbeat Backup (Copia de seguridad de heartbeat).
Para permitir la transmisión de heartbeats entre los cortafuegos, deberá verificar que el puerto de
gestión entre ambos peers puede enrutarse del uno al otro.
Habilitar la copia de seguridad de heartbeat le permite evitar una situación de

síndrome de cerebro dividido. El síndrome de cerebro dividido se produce cuando el
enlace HA1 deja de funcionar y provoca que el cortafuegos omita heartbeats, pese
a que el cortafuegos sigue funcionando. En tales situaciones, cada peer cree que el
otro ha dejado de funcionar e intenta iniciar los servicios que están en funcionamiento,
lo que produce un síndrome de cerebro dividido. Al habilitar la copia de seguridad de
heartbeat se evita el síndrome de cerebro dividido, ya que los heartbeats redundantes
y los mensajes de saludo se transmiten a través del puerto de gestión.

STEP 8 | (Opcional) Modifique los HA Timers (Temporizadores HA).
De manera predeterminada, el perfil del temporizador de HA se establece como el perfil Recommended
(Recomendado) y es adecuado para la mayoría de implementaciones de HA.
2. Seleccione Aggressive (Intensivo) para activar la conmutación por error más rápido. Seleccione
Advanced (Avanzado) para definir los valores personalizados y así activar la conmutación por error en
su configuración.
Para ver el valor preestablecido para un temporizador concreto incluido en un

perfil, seleccione Advanced (Avanzado) y haga clic en Load Recommended (Carga
recomendada) o Load Aggressive (Carga intensiva). Los valores preestablecidos para
su modelo de hardware aparecerán en la pantalla.
STEP 9 | Configure la conexión del enlace de control.

Este ejemplo muestra un puerto interno configurado con el tipo de interfaz HA.
En el caso de cortafuegos que utilicen el puerto de gestión como el enlace de control, la información de
dirección IP se cumplimenta previamente de manera automática.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Control Link (HA1)
(Enlace de control [HA1]).
2. Seleccione el Port (Puerto) al que ha conectado el cable para utilizarlo como el enlace HA1.
3. Establezca la IPv4/IPv6 Address (Dirección IPv4/IPv6) y la Netmask (Máscara de red).
Si las interfaces HA1 están en subredes separadas, introduzca la dirección IP de la Gateway (Puerta
de enlace). No añada una dirección de puerta de enlace si los cortafuegos están conectados
directamente.
STEP 10 | (Opcional) Habilite el cifrado para la conexión del enlace de control.

Esto suele utilizarse para proteger el enlace si los dos cortafuegos no están conectados directamente, es
decir, si los puertos están conectados a un conmutador o un enrutador.
1. Exporte la clave de HA desde un cortafuegos e impórtela al cortafuegos peer.
(Certificados).
2. Seleccione Export HA key (Exportar clave de HA). Guarde la clave de HA en una ubicación de red
a la que pueda acceder el peer.
3. En el cortafuegos del peer, seleccione Device (Dispositivo) > Certificate Management (Gestión
de certificado) > Certificates (Certificados) y seleccione Import HA key (Importar clave HA) para
desplazarse hasta la ubicación donde guardó la clave e importarla en el peer.
2. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Control Link (HA1)
(Enlace de control [HA1]).
3. Seleccione Encryption Enabled (Cifrado habilitado).
STEP 11 | Configure la conexión del enlace de control de backup.

1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Control Link (HA1
Backup) (Enlace de control [copia de seguridad HA1]).
2. Seleccione la interfaz de copia de seguridad de HA1 y configure la IPv4/IPv6 Address (Dirección
IPv4/IPv6) y la Netmask (Máscara de red).
STEP 12 | Configure la conexión del enlace de datos (HA2) y la conexión de HA2 de backup entre los
cortafuegos.

1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > General, edite Data Link (HA2)
(Enlace de datos [HA2]).
2. Seleccione el Port (Puerto) para la conexión del enlace de datos.
3. Seleccione el método Transport (Transporte). El valor predeterminado es Ethernet y funcionará
cuando el par de HA se conecte directamente o a través de un conmutador. Si necesita enrutar el
tráfico del enlace de datos a través de la red, seleccione IP o UDP como modo de transporte.
4. Si utiliza IP o UDP como método de transporte, introduzca la IPv4/IPv6 Address (Dirección IPv4/
IPv6) y la Netmask (Máscara de red).
5. Verifique que se ha seleccionado Enable Session Synchronization (Habilitar sincronización de sesión).
6. Seleccione HA2 Keep-alive (Conexión persistente de HA2) para habilitar la supervisión del enlace
de datos de HA2 entre los peers de HA. Si se produce un fallo basado en el umbral establecido (el
valor predeterminado son 10.000 ms), se producirá la acción definida. En el caso de una configuración
activo/pasivo, se generará un mensaje de log de sistema crítico cuando se produzca un fallo de
conexión persistente de HA2.
Puede configurar la opción Conexión persistente de HA2 en ambos cortafuegos

o solamente un cortafuegos del clúster en HA. Si la opción se habilita únicamente
en un cortafuegos, solamente ese cortafuegos enviará los mensajes de conexión
persistente. Si se produce un fallo, se notificará al otro cortafuegos.
7. Edite la sección Data Link (HA2 Backup) (Enlace de datos [copia de seguridad de HA2]), seleccione la
interfaz y añada la IPv4/IPv6 Address (Dirección IPv4/Ipv6) y la Netmask (Máscara de red).
STEP 13 | Configure el enlace HA3 para el reenvío de paquetes.

1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > Active/Active Config (Config.
activa/activa) y edite Packet Forwarding (Reenvío de paquetes).
2. Para HA3 Interface (Interfaz HA3), seleccione la interfaz que planea usar para reenviar paquetes
entre los peers de HA activo/activo. Debe ser una interfaz dedicada con capacidad para el transporte
de capa 2 y estar configurada en Interface Type HA (Interfaz tipo HA).
3. Seleccione VR Sync para forzar la sincronización de todos los enrutadores virtuales configurados en
los peers de HA. Use esta opción cuando el enrutador virtual no esté configurado para los protocolos
de enrutamiento dinámico. Ambos peers deben conectarse al mismo enrutador de siguiente salto a
través de una red conmutada y deben utilizar únicamente rutas estáticas.
4. Seleccione QoS Sync para sincronizar la selección de perfil de QoS en todas las interfaces físicas.
Utilice esta opción cuando ambos peers tengan velocidades de enlace similares y requieran
los mismos perfiles de QoS en todas las interfaces físicas. Este ajuste afecta a la sincronización
de la configuración de QoS en la pestaña Network (Red). La política de QoS se sincroniza
independientemente de este ajuste.
STEP 14 | (Opcional) Modifique el tiempo de espera tentativa.

2. Para Tentative Hold Time (sec) (Tiempo de espera provisional [s]), introduzca la cantidad de
segundos que un cortafuegos permanece en el estado Tentative (Provisional) si falla (el intervalo es
de 10 a 600, el valor predeterminado es 60).
STEP 15 | Configure Session Owner (Responsable de la sesión) y Session Setup (Configuración de la

sesión).
2. En Session Owner Selection (Selección del responsable de la sesión), seleccione una de las opciones
siguientes:

• First Packet (Primer paquete): el cortafuegos que recibe el primer paquete de una nueva sesión es
el propietario de la sesión (configuración recomendada). Este ajuste minimiza el tráfico por HA3 y
distribuye la carga de tráfico por los peers.
• Primary Device (Dispositivo principal): el cortafuegos que está en estado activo-principal es el
propietario de la sesión.
3. En Session Setup (Configuración de la sesión), seleccione una de las opciones siguientes:
• IP Modulo: distribuye la carga de configuración de la sesión sobre la base de la paridad de la
dirección IP de origen (configuración recomendada).
• Primary Device (Dispositivo principal): El cortafuegos activo principal configura todas las sesiones.
• First Packet (Primer paquete): el cortafuegos que recibe el primer paquete de una nueva sesión
realiza la configuración de la sesión.
• IP Hash: el cortafuegos utiliza un hash de la dirección IP de origen o una combinación de las
direcciones IP de origen y destino para distribuir las responsabilidades de configuración de la
sesión.
STEP 16 | Configure una dirección virtual de HA.

Necesita una dirección virtual para usar una Floating IP Address and Virtual MAC Address (Dirección IP
flotante y dirección MAC virtual) o ARP Load-Sharing (Distribución de la carga de ARP).
activa/activa), seleccione Add (Añadir) para añadir una dirección virtual.
2. Introduzca o seleccione una interfaz.
3. Seleccione la pestaña IPv4 o IPv6 y haga clic en Add (Añadir).
4. Introduzca una IPv4 Address (Dirección IPv4) o IPv6 Address (Dirección IPv6).
5. Para Type (Tipo):
• Seleccione Floating (Flotante) para configurar la dirección IP virtual como una dirección IP virtual
flotante.
• Seleccione ARP Load Sharing (Distribución de la carga ARP) para configurar la dirección IP virtual
como una dirección IP compartida y continúe con Configure ARP Load-Sharing (Configuración de
la distribución de carga de ARP).
STEP 17 | Configure la dirección IP flotante.

1. No seleccione Floating IP bound to the Active-Primary device (Vinculación de IP flotante al
dispositivo activo-principal) a menos que desee que el par HA activo/activo se comporte como un
par HA activo/pasivo.
2. Para Device 0 Priority (Prioridad de dispositivo 0) y Device 1 Priority (Prioridad de dispositivo
1), introduzca la prioridad para el cortafuegos configurado con el ID de dispositivo 0 y el ID de
dispositivo 1, respectivamente. Las prioridades relativas determinan qué peer es propietario de la
dirección IP flotante que acaba de configurar (el intervalo es de 0 a 255). El cortafuegos con el valor
de prioridad más bajo (prioridad más alta) es propietario de la dirección IP flotante.
3. Seleccione Failover address if link state is down (Dirección de conmutación por error si el estado
del enlace es desconectado) para hacer que el cortafuegos use la dirección de conmutación por error
cuando el estado del enlace en la interfaz sea desconectado.
STEP 18 | Configure ARP Load-Sharing (Distribución de la carga de ARP).

El algoritmo de selección del dispositivo determina qué cortafuegos HA responde a las solicitudes ARP
para proporcionar la distribución de carga.

1. En Device Selection Algorithm (Algoritmo de selección de dispositivo), seleccione una de las
opciones siguientes:
• IP Modulo: el cortafuegos que responderá a las solicitudes de ARP basándose en la paridad de la
dirección IP de los solicitantes de ARP.
• IP Hash: el cortafuegos que responderá a las solicitudes de ARP basándose en un hash de la
STEP 19 | Habilite las tramas gigantes en los cortafuegos que no sean de la serie PA-7000.
Los puertos de conmutación que conectan el enlace HA3 deben admitir tramas gigantes para manejar la
carga de trabajo asociada con la encapsulación MAC-in-MAC en el enlace HA3.
El tamaño del paquete de trama gigante en el cortafuegos debe coincidir con el ajuste del
conmutador.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión).

2. En la sección Session Settings, seleccione Enable Jumbo Frames.
4. Repita el procedimiento en los dispositivos de red intermediarios que corresponda.
STEP 20 | Defina las condiciones de conmutación por error de HA.
STEP 22 | Reinicie el cortafuegos después de cambiar la configuración de tramas gigantes.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones).
2. Haga clic en Reboot Device (Reiniciar dispositivo).
Determinación del caso de uso activo/activo

Determine qué tipo de caso de uso tiene y luego seleccione el procedimiento correspondiente para
configurar HA activa/activa.
Si está usando Redundancia basada en la ruta on page 252, Dirección IP flotante y dirección MAC virtual on
page 250 o Distribución de carga de ARP on page 251, seleccione el procedimiento correspondiente.
• Caso de uso: Configuración de HA activa/activa con redundancia basada en la ruta on page 277
• Caso de uso: Configuración de HA activa/activa con direcciones IP flotantes on page 277
• Caso de uso: Configuración de HA activa/activa con distribución de carga ARP on page 279
Si desea una implementación HA activa/activa de capa 3 que se comporte como una implementación
activa/pasiva, seleccione el siguiente procedimiento:
• Caso de uso: Configuración HA activa/activa con dirección IP flotante enlazada a cortafuegos activo-
principal on page 280
Si está configurando NAT en modo HA activa/activa on page 258, consulte los siguientes procedimientos:
• Caso de uso: Configuración de HA activa/activa con NAT DIPP de origen usando direcciones IP flotantes
on page 283
• Caso de uso: Configuración de grupos de direcciones IP NAT de origen separadas para cortafuegos HA
activo/activo on page 286
• Caso de uso: Configuración de HA activa/activa para distribución de carga ARP con NAT de destino on
page 287

• Caso de uso: Configuración de HA activa/activa para distribución de carga ARP con NAT de destino en
capa 3 on page 289
Caso de uso: Configuración de HA activa/activa con redundancia basada

en la ruta
La siguiente topología de capa 3 ilustra dos cortafuegos PA-7050 en un entorno de HA activa/activa
que utiliza redundancia basada en la ruta. Los cortafuegos pertenecen a un área OSPF. Cuando un
enlace o cortafuegos falla, OSPF maneja la redundancia al redireccionar el tráfico hacia el cortafuegos en
funcionamiento.
STEP 1 | Configuración de la HA activa/activa.

Realice el paso 1 al paso 15.
STEP 2 | Configure OSPF.

Consulte OSPF.
STEP 3 | Defina las condiciones de conmutación por error de HA.

Definición de las condiciones de conmutación por error de HA.
STEP 5 | Configure el cortafuegos del peer de la misma manera, excepto en el paso 5, si seleccionó
el ID de dispositivo 0 para el primer cortafuegos, seleccione el ID de dispositivo 1 para el
cortafuegos del peer.
Caso de uso: Configuración de HA activa/activa con direcciones IP

flotantes
En este ejemplo de interfaz de capa 3, los cortafuegos HA se conectan a conmutadores y usan las
direcciones IP flotantes para manejar fallos de enlace o cortafuegos. Los hosts de destino están
configurados cada uno con una puerta de enlace, que es la dirección IP flotante de uno de los cortafuegos
HA. Consulte Dirección IP flotante y dirección MAC virtual.

STEP 2 | Configure direcciones virtuales de HA.

Necesita una dirección virtual para utilizar una dirección IP flotante y dirección MAC virtual.
1. En Device (Dispositivo) > High Availability (Alta disponibilidad) > Active/Active Config
(Configuración activa/activa), haga clic en Add (Añadir) para añadir una dirección virtual.
2. Introduzca o seleccione una Interface (Interfaz).
4. Introduzca una dirección IPv4 en IPv4 Address (Dirección IPv4) o una dirección IPv6 en IPv6 Address
(Dirección IPv6).
5. En Type (Tipo), seleccione Floating (Flotante), para configurar la dirección IP virtual como una
dirección IP flotante.

1. No seleccione Floating IP bound to the Active-Primary device (IP flotante vinculada al dispositivo
activo-principal).
2. En Device 0 Priority (Prioridad O de dispositivo) y Device 1 Priority (Prioridad 1 de dispositivo),
introduzca la prioridad para el cortafuegos configurado con el ID de dispositivo 0 y el ID de
dispositivo 1, respectivamente. Las prioridades relativas determinan qué peer es propietario de la
dirección IP flotante que acaba de configurar (el intervalo es de 0 a 255). El cortafuegos con el valor
de prioridad más bajo (prioridad más alta) es propietario de la dirección IP flotante.
Realice el paso 19 de la Configuración HA activa/activa.
STEP 5 | Definición de las condiciones de conmutación por error de HA

STEP 7 | Configure el cortafuegos del peer de la misma manera, pero no seleccione un ID de dispositivo
diferente.
Por ejemplo, si seleccionó el ID de dispositivo 0 para el primer cortafuegos, seleccione el ID de
dispositivo 1 para el cortafuegos del peer.
Caso de uso: Configuración de HA activa/activa con distribución de carga

ARP
En este ejemplo, los hosts de una implementación de capa 3 necesitan servicios de puerta de enlace de los
cortafuegos HA. Los cortafuegos están configurados con una sola dirección IP compartida, que permite el
Uso compartido de carga de ARP. Los hosts de destino están configurados con la misma puerta de enlace,
que es la dirección IP compartida de los cortafuegos HA.
STEP 1 | Realice del paso 1 al paso 15 de la Configuración de HA activa/activa.

La dirección virtual es la dirección IP compartida que permite el Uso compartido de carga de ARP.
1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > Active/Active Config
(Configuración activa/activa) > Virtual Address (Dirección virtual) y haga clic en Add (Añadir).
2. Introduzca o seleccione una Interface (Interfaz).
4. Introduzca una dirección IPv4 en IPv4 Address (Dirección IPv4) o una dirección IPv6 en IPv6 Address
(Dirección IPv6).
5. En Type (Tipo), seleccione ARP Load Sharing (Uso compartido de carga de ARP), que permite que
ambos peers utilicen la dirección IP virtual para el Uso compartido de carga de ARP.
STEP 3 | Configure el Uso compartido de carga de ARP.

1. En Device Selection Algorithm (Algoritmo de selección del dispositivo), seleccione una de las
• IP Modulo (Módulo IP): el cortafuegos que responderá a las solicitudes de ARP basándose en la
paridad de la dirección IP de los solicitantes de ARP.

• IP Hash (Hash IP): el cortafuegos que responderá a las solicitudes de ARP basándose en un hash
de la dirección IP de los solicitantes de ARP.
STEP 5 | Definición de las condiciones de conmutación por error de HA
STEP 7 | Configure el cortafuegos del peer de la misma manera, pero no seleccione un ID de dispositivo
diferente.
Caso de uso: Configuración HA activa/activa con dirección IP flotante

enlazada a cortafuegos activo-principal
En centros de datos de misión crítica, puede configurar que ambos cortafuegos de HA de capa 3 participen
en la supervisión de la ruta, para que puedan detectar fallos en la ruta antes de ambos cortafuegos. Además,
usted prefiere controlar si y cuándo la dirección IP flotante regresa al cortafuegos recuperado después de
que vuelva a activarse, y no la dirección IP flotante que regresa al ID de dispositivo al cual está vinculada.
(Dicho comportamiento predeterminado se describe en Dirección IP flotante y dirección MAC virtual).
En este caso de uso, usted controla cuándo la dirección IP flotante y, por lo tanto, la función activa-
principal regresan al peer HA recuperado. Los cortafuegos HA activo/activo comparten una sola dirección
IP flotante que usted vincula con cualquier cortafuegos que esté en estado activo-principal. Con solo una
dirección IP flotante el tráfico de red fluye predominantemente hacia un solo cortafuegos, por lo que esta
implementación activa/activa funciona como una implementación activa/pasiva.
En este caso de uso, los conmutadores Cisco Nexus 7010 con PortChannels virtuales (virtual PortChannels,
vPC) que operan en capa 3 se conectan a los cortafuegos. Debe configurar los conmutadores de capa 3
(peers de enrutador) antes y después de los cortafuegos con una preferencia de ruta hacia la dirección IP
flotante. Es decir, debe diseñar su red de manera que las tablas de ruta de los peers de enrutador tengan
la mejor ruta hacia la dirección IP flotante. Este ejemplo utiliza rutas estáticas con las métricas apropiadas,
de manera que la ruta hacia la dirección IP flotante utiliza una métrica más baja (la ruta hacia la dirección IP
flotante es la preferida) y recibe el tráfico. Una alternativa al uso de rutas estáticas sería diseñar la red para
que redistribuya la dirección IP flotante en el protocolo de enrutamiento OSPF (si está usando OSPF).
La siguiente topología ilustra la dirección IP flotante vinculada al cortafuegos activo-principal, que
inicialmente es el peer A, el cortafuegos de la izquierda.

Tras una conmutación por error, el cortafuegos activo-principal (peer A) deja de funcionar y el cortafuegos
activo-secundario (peer B) toma el control como peer activo-principal, la dirección IP flotante pasa al peer B
(se muestra en la siguiente figura). El peer B sigue siendo el cortafuegos activo-principal y el tráfico continúa
fluyendo hacia el peer B, incluso aunque el peer A se recupere y se convierta en el cortafuegos activo-
secundario. Usted decide si convertirá el peer A en el cortafuegos activo-principal nuevamente y cuándo.
La vinculación de la dirección IP flotante con el cortafuegos activo-principal le brinda mayor control sobre
la manera en que el cortafuegos determina la propiedad de la dirección IP flotante a medida que se mueve
entre diferentes estados HA de cortafuegos. Se obtienen las siguientes ventajas:
• Puede tener una configuración HA activa/activa para la supervisión de ruta de ambos cortafuegos, pero
tener la función de los cortafuegos como una configuración HA activa/pasiva debido a que el tráfico
direccionado hacia la dirección IP flotante siempre va hacia el cortafuegos activo-principal.
Cuando desactiva la preferencia en ambos cortafuegos, tiene los siguientes beneficios adicionales:
• La dirección IP flotante no se mueve hacia atrás y hacia adelante entre los cortafuegos HA si el
cortafuegos activo-secundario alterna entre activo e inactivo.
• Puede revisar la funcionalidad del cortafuegos recuperado y los componentes adyacentes antes de dirigir
el tráfico manualmente otra vez, y puede realizar esto en un tiempo de inactividad adecuado.

• Usted controla qué cortafuegos es propietario de la dirección IP flotante, de manera que mantiene todo
el flujo de sesiones nuevas y existentes en el cortafuegos activo-principal, con lo cual minimiza el tráfico
en el enlace HA3.
• Recomendamos que configure la supervisión del enlace HA en las interfaces que

admiten las direcciones IP flotantes para permitir que cada peer HA detecte rápidamente
un fallo del enlace y realice una conmutación por error hacia su peer. Ambos peers HA
deben tener supervisión de enlace para que funcione.
• Recomendamos que configure la supervisión de ruta HA para notificar a cada peer HA
cuando una ruta haya fallado, para que los cortafuegos puedan realizar la conmutación
por error hacia su peer. Debido a que la dirección IP flotante siempre está vinculada a
un cortafuegos activo-principal, el cortafuegos no puede realizar automáticamente una
conmutación por error hacia el peer cuando una ruta deja de funcionar y la supervisión
de ruta no está habilitada.
No puede configurar NAT para una dirección IP flotante que está vinculada a un cortafuegos
activo-principal.
STEP 1 | Realice los pasos del 1 al 5 de la Configuración de la HA activa/activa.
STEP 2 | (Opcional) Deshabilite la preferencia.
Al deshabilitar la preferencia usted controla por completo cuándo el cortafuegos

recuperado se convierte en el cortafuegos activo-principal.
elección.
2. Desmarque Preemptive si está habilitado.
STEP 3 | Realice los pasos del 7 al 14 de la Configuración de la HA activa/activa.
STEP 4 | Configure Session Owner (Responsable de la sesión) y Session Setup (Configuración de la

sesión).
2. Para Session Owner Selection (Selección del responsable de la sesión), le recomendamos que
seleccione Primary Device (Dispositivo principal). El cortafuegos que está en estado activo-principal
es el propietario de la sesión.
O bien, para Session Owner Selection (Selección del responsable de la sesión) puede seleccionar
First Packet (Primer paquete) y luego para Session Setup (Configuración de la sesión), seleccione
Primary Device (Dispositivo principal) o First Packet (Primer paquete).
3. Para Session Setup (Configuración de sesión), seleccione Primary Device (Dispositivo principal): el
cortafuegos activo-principal configura todas las sesiones. Este es el ajuste recomendado si desea
que su configuración activa/activa se comporte como una configuración activa/pasiva, debido a que
mantiene toda la actividad en el cortafuegos activo-principal.
También debe diseñar la red para eliminar la posibilidad de flujo de tráfico asimétrico
hacia el par HA. Si no lo hace y el tráfico va hacia el cortafuegos activo-secundario,
configurar Session Owner Selection (Selección del responsable de la sesión) y
Session Setup (Configuración de la sesión) en Primary Device (Dispositivo principal)

hace que el tráfico atraviese HA3 para llegar al cortafuegos activo-principal para la
propiedad de la sesión y la configuración de la sesión.

2. Introduzca o seleccione una interfaz.
3. Seleccione la pestaña IPv4 o IPv6 y Add (Añadir) para añadir una IPv4 Address (Dirección IPv4)o
IPv6 Address (Dirección IPv6).
STEP 6 | Vincule la dirección IP flotante con el cortafuegos activo-principal.

1. Seleccione Floating IP bound to the Active-Primary device (IP flotante vinculada al dispositivo
activo-principal).
STEP 9 | Configure el cortafuegos del peer de la misma manera, excepto que con la selección de un ID
de dispositivo diferente.
Caso de uso: Configuración de HA activa/activa con NAT DIPP de origen

usando direcciones IP flotantes
Este ejemplo de interfaz de capa 3 utiliza NAT en modo HA activa/activa. Los conmutadores de capa 2
crean dominios de difusión para garantizar que los usuarios puedan llegar a todo lo comprendido antes y
después de los cortafuegos.
PA-3050-1 tiene el ID de dispositivo 0 y su peer HA, PA-3050-2, tiene el ID de dispositivo 1. En este caso
de uso, NAT traduce la dirección IP de origen y el número de puerto en la dirección IP flotante configurada
en la interfaz de salida. Cada host se configura con una dirección de puerta de enlace por defecto, que es
la dirección IP flotante en Ethernet1/1 de cada cortafuegos. La configuración requiere dos reglas NAT de
origen, cada una vinculada a un ID de dispositivo, a pesar de que usted configura ambas reglas NAT en un
solo cortafuegos y de que están sincronizadas con el cortafuegos peer.

STEP 1 | En los dispositivos PA-3050-2 (ID de dispositivo 1), realice los pasos del 1 al 3 de la
Configuración de la HA activa/activa.
STEP 2 | Habilite la HA activa/activa

(Configuración).
5. Establezca el Device ID (ID de dispositivo) como 1.
6. Seleccione Enable Config Sync (Habilitar sincronización de configuración). Este ajuste es obligatorio
para sincronizar las dos configuraciones de cortafuegos (habilitado por defecto).
7. Introduzca la Peer HA1 IP Address (Dirección IP de HA del peer), que es la dirección IP del enlace de
8. (Opcional) Introduzca una Backup Peer HA1 IP Address (Dirección IP de HA1 de backup), que es la
dirección IP del enlace de control de rcopia de seguridad del cortafuegos del peer.

Complete los pasos del 6 al 14.
STEP 4 | Configure Propietario de sesión y Configuración de sesión.

2. Para Session Owner Selection (Selección del responsable de la sesión), seleccione First Packet
(Primer paquete):el cortafuegos que recibe el primer paquete de una nueva sesión es el propietario
de la sesión.
3. Para Session Setup (Configuración de sesión), seleccione IP Modulo (Módulo IP): distribuye la carga
de configuración de la sesión sobre la base de la paridad de la dirección IP de origen.

2. Seleccione Interface (Interfaz) eth1/1.
3. Seleccione IPv4 y Add (Añadir)para añadir una IPv4 Address de 10.1.1.101.

1. No seleccione Floating IP bound to the Active-Primary device (IP flotante vinculada al dispositivo
activo-principal).
STEP 8 | Definición de las condiciones de conmutación por error de HA.
STEP 10 | Configure el cortafuegos del peer, PA-3050-1, con los mismos ajustes, excepto por los
siguientes cambios:
• Seleccione Device ID 0 (ID de dispositivo 0).
• Configure una dirección virtual de 10.1.1.100.
• Para Device 1 Priority (Prioridad de dispositivo 1), introduzca 255. Para Device 0 Priority (Prioridad
de dispositivo 0), introduzca 0.
En este ejemplo, el ID de dispositivo 0 posee un valor de prioridad baja, por lo cual tiene prioridad
alta . Así pues, el cortafuegos con el ID de dispositivo 0 (PA-3050-1) es propietario de la dirección IP
10.1.1.100.
STEP 11 | Antes de salir de PA-3050-1, cree la regla NAT de origen para el ID de dispositivo 0.
1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para la regla, que en este ejemplo la identifica como una
regla NAT de origen para el ID de dispositivo 0.
3. Para NAT Type (Tipo de NAT), seleccione ipv4 (opción por defecto).
4. En Original Packet (Paquete original), para Source Zone (Zona de origen), seleccione Any
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio), Source Address (Dirección
de origen) y Destination Address (Dirección de destino) queden configuradas en Any (Cualquiera).
7. Para el Translated Packet (Paquete traducido), seleccione Dynamic IP And Port (IP dinámica y
puerto) para Translation Type (Tipo de traducción).
8. Para Address Type (Tipo de dirección), seleccione Interface Address (Dirección de interfaz), en cuyo
caso la dirección traducida será la dirección IP en la interfaz. Seleccione Interface (Interfaz) (eth1/1
en este ejemplo) y una IP Address (Dirección IP) de la dirección IP flotante 10.1.1.100.
9. En la pestaña Active/Active HA Binding (Vinculación de HA activa/activa), para Active/Active HA
Binding, seleccione0 para vincular la regla NAT al ID de dispositivo 0.
STEP 12 | Cree la regla NAT de origen para el ID de dispositivo 1.

2. Introduzca un nombre en Name (Nombre) para la regla de política, que en este ejemplo permite
identificarla como una regla NAT de origen para el ID de dispositivo 1.
(Cualquiera). Para Destination Zone (Zona de destino), seleccione la zona que creó para la red
externa.
5. Permita que Destination Interface (Interfaz de destino), Service (Servicio), Source Address (Dirección
de origen) y Destination Address (Dirección de destino) queden configuradas en Any (Cualquiera).
6. Para el Translated Packet (Paquete traducido), seleccione Dynamic IP And Port (IP dinámica y
puerto) para Translation Type (Tipo de traducción).
7. Para Address Type (Tipo de dirección), seleccione Interface Address (Dirección de interfaz), en cuyo
caso la dirección traducida será la dirección IP en la interfaz. Seleccione Interface (Interfaz) (eth1/1
en este ejemplo) y una IP Address (Dirección IP) de la dirección IP flotante 10.1.1.101.
8. En la pestaña Active/Active HA Binding (Vinculación de HA activa/activa), para Active/Active HA
Binding, seleccione1 para vincular la regla NAT al ID de dispositivo 1.
Caso de uso: Configuración de grupos de direcciones IP NAT de origen

separadas para cortafuegos HA activo/activo
Si desea usar grupos de direcciones IP para el NAT en modo HA activa/activa on page 258 de origen, cada
cortafuegos debe tener su propio grupo, que usted luego vinculará a un ID de dispositivo en una regla NAT.
Los objetos de direcciones y reglas NAT se sincronizan (en el modo activo/pasivo y activo/activo), por lo
que deben configurarse en solo uno de los cortafuegos del par HA.
Este ejemplo configura un objeto de dirección denominado Dyn-IP-Pool-dev0 que contiene el grupo de
direcciones IP 10.1.1.140-10.1.1.150. También configura un objeto de dirección denominado Dyn-IP-Pool-
dev1 que contiene el grupo de direcciones IP 10.1.1.160-10.1.1.170. El primer objeto de dirección está
vinculado al ID de dispositivo 0; el segundo objeto de dirección está vinculado al ID de dispositivo 1.
STEP 1 | ECree objetos de dirección en un cortafuegos HA.

1. Seleccione Objects (Objetos) > Addresses (Dirección) y luego haga clic en Add (Añadir) para añadir
un nombre de objeto de dirección en Name (Nombre), que, en este ejemplo, es Dyn-IP-Pool-dev0.
2. Para Type (Tipo), seleccione IP Range (Intervalo IP) e introduzca el intervalo 10.1.1.140-10.1.1.150.
4. Repita este paso para configurar otro objeto de dirección denominado Dyn-IP-Pool-dev1 con el IP
Range (Intervalo IP) de 10.1.1.160-10.1.1.170.

1. Seleccione Policies (Política) > NAT y luego, haga clic en Add (Añadir) para añadir una regla de
política NAT con un nombre en Name (Nombre); por ejemplo, Src-NAT-dev0.
(Cualquiera).
3. Para Destination Zone (Zona de destino), seleccione la zona de destino para la cual desea traducir la
dirección de origen, como por ejemplo, Untrust.
4. En Translated Packet (Paquete traducido), para Translation Type (Tipo de traducción), seleccione
Dynamic IP and Port (IP dinámica y puerto).

5. Para Translated Address (Dirección traducida), seleccione Add (Añadir) para añadir el objeto de
dirección que creó para el grupo de direcciones que pertenecen al ID de dispositivo 0: Dyn-IP-Pool-
dev0.
6. Para Active/Active HA Binding (Vinculación de HA activa/activa), seleccione 0 para vincular la regla
NAT al ID de dispositivo 0.

1. Seleccione Policies (Política) > NAT y luego, haga clic en Add (Añadir) para añadir una regla de
política NAT con un nombre en Name (Nombre); por ejemplo, Src-NAT-dev1.
(Cualquiera).
3. Para Destination Zone (Zona de destino), seleccione la zona de destino para la cual desea traducir la
dirección de origen, como por ejemplo, Untrust.
4. En Translated Packet (Paquete traducido), para Translation Type (Tipo de traducción), seleccione
Dynamic IP and Port (IP dinámica y puerto).
5. Para Translated Address (Dirección traducida), seleccione Add (Añadir) para añadir el objeto de
dirección que creó para el grupo de direcciones que pertenecen al ID de dispositivo 1: Dyn-IP-Pool-
dev1.
6. Para Active/Active HA Binding (Vinculación de HA activa/activa), seleccione 1 para vincular la regla
NAT al ID de dispositivo 1.
Caso de uso: Configuración de HA activa/activa para distribución de carga

ARP con NAT de destino
Este ejemplo de interfaz de capa 3 utiliza NAT en modo HA activa/activa y Uso compartido de carga de
ARP con NAT de destino. Ambos cortafuegos HA responden a una solicitud ARP para la dirección NAT de
destino con la dirección MAC de la interfaz de salida. La NAT de destino traduce la dirección IP compartida
pública (en este ejemplo, 10.1.1.200) a la dirección IP privada del servidor (en este ejemplo, 192.168.2.200).
Cuando los cortafuegos HA reciben tráfico para el destino 10.1.1.200, ambos cortafuegos podrían
responder a la solicitud ARP, lo que podría causar la inestabilidad de la red. Para evitar el posible uso,
configure el cortafuegos que está en estado activo-principal para que responda a la solicitud ARP mediante
la vinculación de la regla NAT de destino con el cortafuegos activo-principal.

STEP 1 | En PA-3050-2 (ID del dispositivo 1), realice el paso 1 al paso 3 de la Configuración HA activa/
activa.

(Configuración).
6. En Device ID (ID de dispositivo) seleccione 1.
7. Seleccione Habilitar sincronización de configuración. Este ajuste es obligatorio para sincronizar las
dos configuraciones de cortafuegos (habilitado por defecto).
STEP 3 | Realice del paso 6 al paso 15 de la Configuración HA activa/activa.

3. Seleccione IPv4 y haga clic en Add (Añadir) para añadir una dirección IPv4 10.1.1.200 en IPv4
Address (Dirección IPv4).
4. En Type (Tipo), seleccione ARP Load Sharing (Uso compartido de carga de ARP), lo que configura la
dirección IP virtual que utilizarán ambos peers para el ARP Load-Sharing (Uso compartido de carga de
ARP).


1. Para Device Selection Algorithm (Algoritmo de selección del dispositivo), seleccione IP Modulo
(Módulo IP). El cortafuegos que responderá a las solicitudes de ARP basándose en la paridad de la
STEP 9 | Configure el cortafuegos del peer, PA-3050-1 (ID de dispositivo 0), con la misma configuración,
excepto en el paso 2, donde debe seleccionar Device ID 0 (ID de dispositivo 0).
STEP 10 | Antes de salir de PA-3050-1 (ID de dispositivo 0), cree la regla NAT de destino para que el
cortafuegos activo-principal responda a solicitudes de ARP.
regla NAT de destino para el ARP de capa 2.
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona Untrust que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio) y Source Address
(Dirección de origen) queden configuradas en Any (Cualquiera).
7. Para Destination Address (Dirección de destino), especifique 10.1.1.200.
8. Para Translated Packet (Paquete traducido), Source Address Translation(Traducción de dirección de
origen) queda en None (Ninguno).
9. Para Destination Address Translation (Traducción de dirección de destino), introduzca la dirección IP
privada del servidor de destino, que en este ejemplo es 192.168.1.200.
10.En la pestaña Active/Active HA Binding (Enlace HA activo/activo), en Active/Active HA Binding
(Enlace HA activo/activo), seleccione primary (principal) para vincular la regla NAT con el
cortafuegos en estado activo-principal.
Caso de uso: Configuración de HA activa/activa para distribución de carga

ARP con NAT de destino en capa 3
Este ejemplo de interfaz de capa 3 utiliza NAT en modo HA activa/activa y Uso compartido de carga de
ARP. PA-3050-1 tiene el ID de dispositivo 0 y su peer HA, PA-3050-2, tiene el ID de dispositivo 1.
En este caso de uso, ambos cortafuegos HA deben responder a una solicitud ARP para la dirección NAT de
destino. El tráfico puede llegar a cualquiera de los cortafuegos de cualquier enrutador WAN en la zona no
fiable. La NAT de destino traduce la dirección IP compartida pública a la dirección IP privada del servidor. La
configuración requiere una regla NAT de destino vinculada a ambos ID de dispositivo, a fin de que ambos
cortafuegos puedan responder a solicitudes ARP.

STEP 1 | En PA-3050-2 (ID del dispositivo 1), realice el paso 1 al paso 3 de la Configuración HA activa/
activa.

1. Seleccione Device (Dispositivo) > High Availability (Alta disponibilidad) > General > Setup
(Configuración) y edite la sección.
6. En Device ID (ID de dispositivo) seleccione 1.
7. Seleccione Enable Config Sync (Habilitar sincronización de configuración). Este ajuste es obligatorio
para sincronizar las dos configuraciones de cortafuegos (habilitado por defecto).


3. Seleccione IPv4 y haga clic en Add (Añadir) para añadir una dirección IPv4 10.1.1.200 en IPv4
Address (Dirección IPv4).
4. En Type (Tipo), seleccione ARP Load Sharing (Uso compartido de carga de ARP), lo que configura la
dirección IP virtual que utilizarán ambos peers para el ARP Load-Sharing (Uso compartido de carga de
ARP).

1. En Device Selection Algorithm (Algoritmo de selección del dispositivo), seleccione una de las
• IP Modulo (Módulo IP): el cortafuegos que responderá a las solicitudes de ARP basándose en la
paridad de la dirección IP de los solicitantes de ARP.
• IP Hash (Hash IP): el cortafuegos que responderá a las solicitudes de ARP se basa en un hash de la
dirección IP de origen y destino de los solicitantes de ARP.
STEP 9 | Configure el cortafuegos del peer, PA-3050-1 (ID de dispositivo 0), con la misma configuración,
pero ajuste la Device ID (ID de dispositivo) en 0 en lugar de 1.
STEP 10 | Antes de salir de PA-3050-1 (ID de dispositivo 0), cree la regla NAT de destino para el ID de
dispositivo 0 y el ID de dispositivo 1
regla NAT de destino para el ARP de capa 3.
(Cualquiera).
5. Para Destination Zone (Zona de destino), seleccione la zona Untrust que creó para la red externa.
6. Permita que Destination Interface (Interfaz de destino), Service (Servicio) y Source Address
(Dirección de origen) queden configuradas en Any (Cualquiera).
7. Para Destination Address (Dirección de destino), especifique 10.1.1.200.
8. Para Translated Packet (Paquete traducido), Source Address Translation(Traducción de dirección de
origen) queda en None (Ninguno).
9. Para Destination Address Translation (Traducción de dirección de destino), introduzca la dirección IP
privada del servidor de destino, que en este ejemplo es 192.168.1.200.
10.En la pestaña Active/Active HA Binding (Enlace HA activo/activo), en Active/Active HA Binding
(Enlace HA activo/activo), seleccioneboth (Ambos) para vincular la regla NAT al ID de dispositivo 0 y
al ID de dispositivo 1.

Estados del cortafuegos HA
Un cortafuegos de HA puede tener uno de los siguientes estados:
Estado del Se produce Descripción

cortafuegos HA en
Inicial A/P o A/A Estado transitorio de un cortafuegos cuando se une al par de HA. El
cortafuegos permanece en este estado tras el arranque hasta que
descubre a un peer y las negociaciones comienzan. Luego del tiempo
de espera, el cortafuegos se vuelve activo si la negociación de HA no
ha iniciado.
Activo A/P Estado del cortafuegos activo en una configuración activa/pasiva.
PASIVA A/P Estado del cortafuegos pasivo en una configuración activa/pasiva. El

cortafuegos pasivo está listo para convertirse en un cortafuegos activo
sin interrupciones en la red. A pesar de que el cortafuegos pasivo no
procesa otro tráfico:
• Si se configura el modo automático del estado de enlace pasivo, el
cortafuegos pasivo ejecuta protocolos de enrutamiento, supervisa
el estado del enlace y la ruta, y el cortafuegos pasivo negociará
previamente los paquetes LACP y LLDP si se configuran los
paquetes de negociación previa LACP y LLDP, respectivamente.
• El cortafuegos pasivo sincroniza el estado del flujo, los objetos del
tiempo de ejecución y la configuración.
• El cortafuegos pasivo supervisa el estado del cortafuegos activo
utilizando el protocolo de saludo.
Activo/principal A/A En una configuración activa/activa, el estado del cortafuegos durante

el cual este realiza la conexión con los agentes de User-ID, ejecuta el
servidor DHCP y la transmisión DHCP, y encuentra coincidencias entre
reglas NAT y PBF con la ID del dispositivo del cortafuegos activo-
principal. Un cortafuegos en este estado puede poseer sesiones y
configurar sesiones.
Activo- A/A En una configuración activa/activa, el estado del cortafuegos durante

secundario el cual este se conecta a los agentes de User-ID, ejecuta el servidor
DHCP y encuentra coincidencias entre reglas NAT y PBF con la ID
del dispositivo del cortafuegos activo-secundario. Un cortafuegos
en estado activo-secundario no admite transmisión DHCP. Un
cortafuegos en este estado puede poseer sesiones y configurar
sesiones.
Provisional A/A Estado de un cortafuegos (en una configuración activa/activa)

provocado por una de las siguientes condiciones:
• Fallo de un cortafuegos.
• Fallo de un objeto supervisado (un enlace o una ruta).
• El cortafuegos permanece suspendido o en estado no funcional.

Estado del Se produce Descripción
cortafuegos HA en
Un cortafuegos en estado provisional sincroniza sesiones y
configuraciones del peer.
• En una implementación de cable virtual, cuando un cortafuegos
ingresa a un estado provisional debido a un fallo de ruta y
recibe un paquete para reenviar, envía el paquete al cortafuegos
del peer mediante el enlace HA3 para su procesamiento. El
cortafuegos del peer procesa el paquete y lo devuelve al enlace
HA3 hacia el cortafuegos para que se envíe a la interfaz de
salida. Este comportamiento conserva la ruta de reenvío en una
implementación de cable virtual.
• En una implementación de capa 3, cuando un cortafuegos en estado
provisional recibe un paquete, envía ese paquete mediante el enlace
HA3 para que el cortafuegos del peer posea o configure la sesión.
Según la topología de red, el cortafuegos envía el paquete al destino
o lo envía al peer en estado provisional para su reenvío.
Una vez que la ruta o enlace fallido se borra o a medida que el
cortafuegos fallido pasa de un estado provisional a un estado activo-
secundario, se activa el Tentative Hold Time (Tiempo de espera
provisional) y se produce la convergencia del enrutamiento. El
cortafuegos intenta crear adyacencias de enrutamiento y completar su
tabla de ruta antes de procesar los paquetes. Sin este temporizador,
el cortafuegos de recuperación entraría en estado activo-secundario
inmediatamente y bloquearía los paquetes, ya que carecería de las
rutas necesarias.
Cuando un cortafuegos abandona el estado suspendido, pasa a
estado provisional durante el Tentative Hold Time (Tiempo de espera
provisional) luego de que los enlaces funcionen y puedan procesar los
paquetes entrantes.
Es posible deshabilitar el Tentative Hold Time range (Intervalo de
tiempo de espera provisional) (s) (que es de 0 segundos) o dentro del
intervalo entre 10 y 600 s; el valor predeterminado es de 60 s.
No funcional A/P o A/A Estado de error debido a un fallo en el plano de datos o una falta
de coincidencia en la configuración, como un solo cortafuegos
configurado para el reenvío de paquetes, la sincronización de VR o la
sincronización de QoS.
En modo activo/pasivo, todas las causas que se enumeran para el
estado provisional causan un estado no funcional.
Suspendido A/P o A/A Estado deshabilitado de manera administrativa. En este estado, un

cortafuegos de HA no puede participar en el proceso de elección de
HA.

Referencia: Sincronización HA
Si ha habilitado la sincronización de configuración en ambos peers en un par HA, la mayoría de ajustes de la
configuración que establezca en un peer se sincronizará automáticamente en el otro peer al compilar. Para
evitar conflictos de configuración, haga siempre cambios de configuración en el peer activo (activo/pasivo) o
activo principal (activo/activo) y espere a que los cambios se sincronicen en el peer antes de hacer cualquier
cambio de configuración adicional.
Solo las configuraciones confirmadas se sincronizan entre los peers HA. Las confirmaciones
en la cola de confirmación en el momento de la sincronización HA no se sincronizarán.
Los siguientes temas identifican qué ajustes de configuración debe establecer en cada cortafuegos de
manera independiente (estos ajustes no están sincronizados del peer HA).
• ¿Qué ajustes no se sincronizan en HA Activo/pasivo? on page 294
• ¿Qué ajustes no se sincronizan en HA Activo/activo? on page 296
• Sincronización de información de tiempos de ejecución del sistema on page 300
¿Qué ajustes no se sincronizan en HA Activo/pasivo?

Debe configurar los siguientes ajustes en cada cortafuegos en un par HA en una implementación activo/
pasivo. Estos ajustes no se sincronizan de un peer a otro.
Elemento de ¿Qué no se sincroniza en Activo/pasivo?

configuración
Configuración de Todos los ajustes de la configuración de gestión deben realizarse

interfaz de gestión individualmente en cada dispositivo, incluidos los siguientes:
• Device (Dispositivo) > Setup (Configuración) > Management
(Gestión) > General Settings (Configuración general): nombre de host,
dominio, banner de inicio de sesión, perfil de servicio SSL/TLS, zona
horaria, configuración regional, fecha, hora, latitud, longitud.
Se sincroniza la configuración para el perfil de servicio

SSL/TLS asociado (Device [Dispositivo] > Certificate
Management [Gestión de certificados] > SSL/TLS
Service Profile [Perfil de servicio SSL/TLS]) y los
certificados asociados (Device [Dispositivos] > Certificate
Management [Gestión de certificados] > Certificates
[Certificados]). Simplemente se trata del ajuste relativo a
qué perfil de servicio SSL/TLS se debe usar en la interfaz
de gestión que no se sincroniza.
• Device (Dispositivos) > Setup (Configuración) > Management

(Gestión) > Management Interface Settings (Configuración de interfaz
de gestión): tipo de IP, dirección IP, máscara de red, puerta de enlace
predeterminada, dirección IPv6/longitud de prefijo, puerta de enlace
IPv6 predeterminada, velocidad, MTU y servicios (HTTP, HTTP OCSP,
HTTPS, Telnet, SSH, Ping, SNMP, User-ID, SSL de escucha de Syslog
de User-ID, UDP de escucha de Syslog de User-ID).

configuración
Capacidad de vsys Debe activar la licencia de los sistemas virtuales en cada cortafuegos del
múltiples par para aumentar la cantidad de sistemas virtuales sobre la cantidad
de referencia que se proporciona de manera predeterminada en los
cortafuegos serie PA-3000, PA-5000, PA-5200 y PA-7000
Además, debe habilitar Multi Virtual System Capability (Capacidad para
múltiples sistemas virtuales) en cada cortafuegos (Device [Dispositivos] >
Setup [Configuración] > Management [Gestión] > General Settings
[Configuración general]).
Configuración de Debe definir el perfil de autenticación y el perfil de certificados para el

autenticación de acceso administrativo al cortafuegos localmente en cada cortafuegos
administrador (Device [Dispositivos] > Setup [Configuración] > Management
[Gestión] > Authentication [Autenticación]).
Ajustes de Panorama Establezca la siguiente configuración de Panorama en cada cortafuegos

(Device [Dispositivo] > Setup [Configuración] > Management [Gestión] >
Panorama Settings [Configuración de Panorama]).
• Servidores de Panorama
• Disable Panorama Policy and Objects (Deshabilitar política y objetos
de Panorama) y Disable Device and Network Template (Deshabilitar
plantilla de dispositivo y red).
SNMP Device (Dispositivo) > Setup (Configuración) > Operations

(Operaciones) > SNMP Setup (Configuración de SNMP)
Services Device (Dispositivo) > Setup (Configuración) > Services (Servicios)
Rutas de servicio Device (Dispositivo) > Setup (Configuración) > Servicess (Servicios) >
globales Service Route Configuration (Configuración de ruta de servicio)
Configuración Device (Dispositivo) > Setup (Configuración) > Telemetry and Threat
de telemetría e Intelligence (Telemetría e inteligencia de amenazas)
inteligencia de
amenazas
Protección de datos Device (Dispositivo) > Setup (Configuración) > Content-ID > Manage
Data Protection (Gestionar protección de datos)
Jumbo Frames Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Session
Settings (Configuración de sesión) > Enable Jumbo Frame (Habilitar
trama gigante)
Reenviar los ajustes Device (Dispositivo) > Setup (Configuración) > Session (Sesión) >
de certificados del Decryption Settings (Configuración de descifrado) > SSL Forward Proxy
servidor proxy Settings (Configuración de proxy de reenvío SSL)
Clave maestra Device (Dispositivo) > Setup (Configuración) > HSM > Hardware
asegurada por HSM Security Module Provider (Proveedor de módulo de seguridad de

configuración
hardware) > Master Key Secured by HSM (Clave maestra asegurada por
HSM)
Configuración de Device (Dispositivo) > Scheduled Log Export (Exportación de logs

exportación de logs programada)
Actualizaciones de En el caso de actualizaciones de software, puede descargarlas e instalarlas

software por separado en cada dispositivo o descargarlas en un peer y sincronizar
la actualización en el otro peer. Debe instalar la actualización en cada
peer (Device [Dispositivo] > Software).
Paquete de agente de En el caso de actualizaciones de clientes de GlobalProtect, puede

GlobalProtect descargarlas e instalarlas por separado en cada cortafuegos, o
descargarlas en un peer y sincronizar la actualización en el otro peer.
Debe activarlas por separado en cada peer (Device [Dispositivo] >
GlobalProtect Client [Cliente de GlobalProtect]).
Actualizaciones de En el caso de actualizaciones de contenido, puede descargarlas e

contenido instalarlas por separado en cada cortafuegos o descargarlas en un peer y
sincronizar la actualización en el otro peer. Debe instalar la actualización
en cada peer (Device [Dispositivo] > Dynamic Updates [Actualizaciones
dinámicas]).
Licencias/ Device (Dispositivo) > Licenses (Licencias)

Suscripciones
Suscripción de Device (Dispositivo) > Support (Asistencia técnica)

asistencia
Clave maestra La clave maestra debe ser idéntica en cada cortafuegos en el par
HA, pero debe introducirla manualmente en cada cortafuegos
(Device [Dispositivo] > Master Key and Diagnostics [Clave maestra y
diagnóstico]).
Antes de cambiar la clave maestra, debe deshabilitar la sincronización de
configuración en ambos peers (Device [Dispositivo] > High Availability
[Alta disponibilidad] > General > Setup [Configuración] y desmarcar la
casilla de verificación Enable Config Sync [Habilitar sincronización de
configuración]) y después volver a habilitarla tras cambiar las claves.
Informes, logs y Datos de log, Informes y Datos y configuración de panel (visualización de

Configuración de columnas, widgets) no se sincronizan entre peers. En cambio, los ajustes
panel de configuración de informes sí se actualizan.
Configuración de HA Device (Dispositivo) > High Availability (Alta disponibilidad)
¿Qué ajustes no se sincronizan en HA Activo/activo?

Debe configurar los siguientes ajustes en cada cortafuegos en un par HA en una implementación activo/
activo. Estos ajustes no se sincronizan de un peer a otro.

Elemento de ¿Qué no se sincroniza en activo/activo?
configuración
Configuración de Debe configurar todos los ajustes de gestión individualmente en cada

interfaz de gestión cortafuegos, incluido lo siguiente:
• Device (Dispositivo) > Setup (Configuración) > Management (Gestión) >
General Settings (Ajustes generales): nombre de host, dominio, banner
de inicio de sesión, perfil de servicio SSL/TLS, zona horaria, configuración
regional, fecha, hora, latitud, longitud.
Se sincroniza la configuración para el perfil de servicio SSL/

TLS asociado (Device [Dispositivo] > Certificate Management
[Gestión de certificados] > SSL/TLS Service Profile [Perfil
de servicio SSL/TLS] con los certificados asociados
(Device [Dispositivo] > Certificate Management [Gestión de
certificado] > Certificates [Certificados]). Simplemente se trata
del ajuste relativo a qué perfil de servicio SSL/TLS se debe
usar en la interfaz de gestión que no se sincroniza.
• Device (Dispositivo) > Setup (Configuración) > Management (Gestión) >

Management Interface Settings (Ajustes de la interfaz de gestión):
dirección IP, máscara de red, puerta de enlace predeterminada, dirección
IPv6/longitud de prefijo, puerta de enlace IPv6 predeterminada, velocidad,
MTU y servicios (HTTP, HTTP OCSP, HTTPS, Telnet, SSH, Ping, SNMP,
User-ID, SSL de escucha de Syslog de User-ID, UDP de escucha de Syslog
de User-ID).
Capacidad de vsys Debe activar la licencia de sistemas virtuales en cada cortafuegos del par
múltiples para aumentar la cantidad de sistemas virtuales por encima del número base
proporcionado de manera predeterminada en los cortafuegos de la serie
PA-3000, PA-5000, PA-5200 y PA-7000.
Asimismo, debe habilitar Multi Virtual System Capability (Capacidad para
múltiples sistemas virtuales) en cada cortafuegos (Device [Dispositivo] >
Setup [Configuración] > Management [Gestión] > General Settings [Ajustes
generales]).
Configuración de Debe definir el perfil de autenticación y el perfil de certificado para el

autenticación de acceso administrativo al cortafuegos localmente en cada cortafuegos
administrador (Device [Dispositivo] > Setup [Configuración] > Management [Gestión] >
Authentication [Autenticación]).
Ajustes de Panorama Defina los siguientes ajustes de Panorama en cada cortafuegos (Device
[Dispositivo] > Setup [Configuración] > Management [Gestión] > Panorama
Settings [Ajustes de panorama]).
• Servidores de Panorama
• Disable Panorama Policy and Objects (Deshabilitar política y objetos de
Panorama) y Disable Device and Network Template (Deshabilitar plantilla
de dispositivo y red).
SNMP Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) >
SNMP Setup (Configuración de SNMP)

configuración
Services Device (Dispositivo) > Setup (Configuración) > Services (Servicios)
Rutas de servicio Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service
globales Route Configuration (Configuración de la ruta de servicios)
Ajustes de telemetría Device (Dispositivo) > Setup (Configuración) > Telemetry and Threat
e inteligencia contra Intelligence (Telemetría e inteligencia contra amenazas)
amenazas
Protección de datos Device (Dispositivo) > Setup (Configuración) > Content-ID > Manage Data
Protection (Protección de datos de gestión)
Jumbo Frames Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Session
Settings (Ajustes de sesión) > Enable Jumbo Frame (Habilitar tramas
gigantes)
Reenviar los ajustes de Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Decryption
certificados del servidor Settings (Ajustes de descifrado) > SSL Forward Proxy Settings (Ajustes de
proxy proxy de reenvío SSL)
Configuración del HSM. Device (Dispositivo) > Setup (Configuración) > HSM
Configuración de Device (Dispositivo) > Scheduled Log Export (Programación de la

exportación de logs exportación de logs)
Actualizaciones de En el caso de actualizaciones de software, puede descargarlas e instalarlas

software por separado en cada dispositivo o descargarlas en un peer y sincronizar
la actualización en el otro peer. Debe instalar la actualización en cada peer
(Device [Dispositivo] > Software).
Paquete de agente de En el caso de actualizaciones de clientes de GlobalProtect, puede descargarlas

GlobalProtect e instalarlas por separado en cada cortafuegos, o descargarlas en un peer
y sincronizar la actualización en el otro peer. Debe activarlas por separado
en cada peer (Device [Dispositivo] > GlobalProtect Client [Cliente de
GlobalProtect]).
Actualizaciones de En el caso de actualizaciones de contenido, puede descargarlas e instalarlas

contenido por separado en cada cortafuegos o descargarlas en un peer y sincronizar
la actualización en el otro peer. Debe instalar la actualización en cada peer
(Device [Dispositivo] > Dynamic Updates [Actualizaciones dinámicas]).
Licencias/Suscripciones Device (Dispositivo) > Licenses (Licecncias)
Suscripción de Device (Dispositivo) > Support (Asistencia técnica)

asistencia
Dirección IP de interfaz Todos los ajustes de configuración de la interfaz Ethernet se sincronizan,

Ethernet excepto la dirección IP (Network [Red] > Interface [Interfaz] > Ethernet).

configuración
Direcciones IP de Todos los ajustes de configuración de la interfaz de bucle invertido se

interfaz de loopback sincronizan, excepto la dirección IP (Network [Red] > Interface > Loopback
[Bucle invertido]).
Direcciones IP de Todos los ajustes de configuración de la interfaz de túnel se sincronizan,

interfaz de túnel excepto la dirección IP (Network [Red] > Interface [Interfaz] > Tunnel
[Túnel]).
Prioridad del sistema Cada peer debe tener un único ID de sistema LACP en una implementación
LACP activa/activa (Network [Red] > Interface [Interfaz] > Ethernet > Add
Aggregate Group [Añadir grupo de agregación] > System Priority [Prioridad
del sistema])
Dirección IP de interfaz Todos los ajustes de configuración de la interfaz VLAN se sincronizan,

de VLAN excepto la dirección IP (Network [Red] > Interface [Interfaz] > VLAN).
Enrutadores virtuales La configuración del enrutador virtual se sincroniza solo si ha habilitado

la sincronización de VR (Device [Dispositivo] > High Availability [Alta
disponibilidad] > Active/Active Config [Configuración activa/activa] > Packet
Forwarding [Reenvío de paquetes]). La necesidad de hacer esto o no viene
determinada por el diseño de su red, incluido el hecho de que tenga o no
enrutamiento asimétrico.
Túneles IPSec La sincronización de la configuración del túnel IPSec depende de si ha

configurado las direcciones virtuales para usar direcciones IP flotantes
(Device [Dispositivo] > High Availability [Alta disponibilidad] > Active/
Active Config [Configuración activa/activa] > Virtual Address [Dirección
virtual]). Si ha configurado una dirección IP flotante, estos ajustes se
sincronizan automáticamente. De lo contrario, debe configurar esos ajustes
independientemente en cada peer.
Configuración de portal La sincronización de la configuración del portal de GlobalProtect depende de

de GlobalProtect si ha configurado las direcciones virtuales para usar direcciones IP flotantes
(Network [Red] > GlobalProtect > Portals [Portales]). Si ha configurado una
dirección IP flotante, los ajustes de configuración del portal de GlobalProtect
se sincronizan automáticamente. De lo contrario, debe configurar los ajustes
de este portal independientemente en cada peer.
Configuración La sincronización de configuración de la puerta de enlace de GlobalProtect

del gateway de depende de si ha configurado las direcciones virtuales para usar direcciones
GlobalProtect IP flotantes (Network [Red] > GlobalProtect > Gateways [Puertas de enlace]).
Si ha configurado una dirección IP flotante, los ajustes de configuración del
gateway de GlobalProtect se sincronizan automáticamente. De lo contrario,
debe configurar los ajustes del gateway independientemente en cada peer.
Políticas de calidad del La configuración de QoS se sincroniza solo si ha habilitado QoS Sync (Device
servicio (QoS) [Dispositivo] > High Availability [Alta disponibilidad] > Active/Active Config
[Configuración activa/activa] > Packet Forwarding [Reenvío de paquetes]).
Puede elegir no sincronizar la QoS si, por ejemplo, tiene un ancho de banda
distinto en cada enlace o diferentes latencias en sus proveedores de servicio.

configuración
LLDP En una configuración activa/activa, los datos de cortafuegos individuales o

de estado de LLDP no se sincronizan (Network [Red] > Network Profiles
[Perfiles de red] > LLDP).
BFD En una configuración activa/activa, los datos de sesión BFD o de

configuración de BFD no se sincronizan (Network [Red] > Network Profiles
[Perfiles de red] > BFD Profile [Perfil BFD]).
Puertas de enlace de La sincronización de configuración de la puerta de enlace de IKE depende

IKE de si ha configurado las direcciones virtuales para usar direcciones IP
flotantes (Network [Red] > IKE Gateways [Puertas de enlace de IKE]). Si
ha configurado una dirección IP flotante, los ajustes de configuración del
gateway de IKE se sincronizan automáticamente. De lo contrario, debe
configurar los ajustes del gateway de IKE independientemente en cada peer.
Clave maestra La clave maestra debe ser idéntica en cada cortafuegos en el par HA, pero
debe introducirla manualmente en cada cortafuegos (Device [Dispositivo] >
Master Key and Diagnostics [Clave maestra y diagnóstico]).
Antes de cambiar la clave maestra, debe deshabilitar la sincronización de
configuración en ambos peers (Device [Dispositivo] > High Availability [Alta
disponibilidad] > General > Setup [Configuración] y desmarcar la casilla de
verificación Enable Config Sync [Habilitar sincronización de configuración]) y
después volver a habilitarla tras cambiar las claves.
Informes, logs y Datos de log, Informes y Datos y configuración de panel (visualización de

Configuración de panel columnas, widgets) no se sincronizan entre peers. En cambio, los ajustes de
configuración de informes sí se actualizan.
Configuración de HA • Device [Dispositivo] > High Availability [Alta disponibilidad]

• (La excepción es Device [Dispositivo] > High Availability [Alta
disponibilidad] > Active/Active Configuration [Configuración activa/
activa] > Virtual Addresses [Direcciones virtuales] que sí se sincroniza).
Sincronización de información de tiempos de ejecución del sistema

La siguiente tabla resume la información de tiempo de ejecución del sistema sincronizada entre los peer de
HA.
Información de tiempo de ¿Configuración Enlace de HA Detalles

ejecución sincronizada?
A/P A/A
Plano de administración
Asignaciones de usuario a Yes (sí) Yes (sí) HA1

grupo

A/P A/A
Concesiones DHCP (como Yes (sí) Yes (sí) HA1

servidor)
Caché de DNS No No n/c
Actualización de FQDN No No n/c
Claves de IKE (fase 2) Yes (sí) Yes (sí) HA1
Base de datos de URL de No No n/c

BrightCloud
Caché de URL de BrightCloud No No n/c Esta función está

deshabilitada de manera
predeterminada y debe
habilitarse por separado en
cada peer HA.
Filtro Bloom de BrightCloud No No n/c Esta función está

deshabilitada de manera
predeterminada y debe
habilitarse por separado en
cada peer HA.
Caché de URL de PAN-DB Yes (sí) No HA1 Se sincroniza durante el

backup de la base de datos
al disco (cada ocho horas,
cuando se actualiza la
versión de la base de datos
de URL) o cuando se reinicia
el cortafuegos.
Contenido (sincronización Yes (sí) Yes (sí) HA1

manual)
PPPoE, concesión de PPPoE Yes (sí) Yes (sí) HA1
Configuración y concesión de Yes (sí) Yes (sí) HA1

cliente DHCP
Lista de usuarios que han Yes (sí) Yes (sí) HA1

iniciado sesión en SSL VPN
Base de información de Yes (sí) Yes (sí) HA1

reenvío (FIB)
Plano de datos

A/P A/A
Tabla de sesiones Yes (sí) Yes (sí) HA2 • Los peers activos/
pasivos no sincronizan
ICMP ni la información
de sesión del host.
• Los peers activos/
activos no sincronizan
información de sesiones
de host, sesiones de
multidifusión ni sesiones
BFD.
Tabla de ARP Yes (sí) No HA2 Tras la actualización a

PAN-OS 7.1, la capacidad
de la tabla ARP aumenta
automáticamente.
Para evitar la falta de
coincidencia, actualice
ambos peers en un lapso
breve.
Se
recomienda
borrar la
memoria
caché
de ARP
(clear
arp) en
ambos
peers
antes de
actualizar
a PAN-OS
7.1.
Tabla de detección de vecinos Yes (sí) No HA2

(ND)
Tabla MAC Yes (sí) No HA2
Número de secuencia de Yes (sí) Yes (sí) HA2

IPSec (antirreproducción)
Entradas de la lista de bloqueo No No n/c

de DoS
Asignaciones de usuario a Yes (sí) Yes (sí) HA2

dirección IP

A/P A/A
MAC virtual Yes (sí) Yes (sí) HA2

Supervisión
Para prevenir posibles inconvenientes y para acelerar la respuesta ante incidentes cuando
se necesite, el cortafuegos ofrece inteligencia sobre patrones de tráfico y usuario usando
informes personalizables e informativos. El panel, el Centro de control de aplicaciones (ACC),
los informes y los logs del cortafuegos le permiten monitorizar la actividad de su red. Puede
monitorizar los logs y filtrar la información para generar informes con vistas predefinidas o
personalizadas. Por ejemplo, puede usar las plantillas predefinidas para generar informes sobre
las actividades del usuario o analizar los informes y logs para interpretar comportamientos
inusuales en la red, y generar un informe personalizado sobre el patrón de tráfico. Para lograr
una presentación visualmente atractiva de la actividad de la red, el panel y ACC incluyen
widgets, gráficos y tables con los cuales puede interactuar para encontrar la información que
necesita. Además, puede configurar el cortafuegos para enviar información monitorizada
como notificaciones de correo electrónico, mensajes de syslog, capturas de SNMP y registros
NetFlow para servicios externos.
> Uso del panel on page 307

> Uso del centro de comando de aplicación on page 309
> Uso de los informes de App Scope on page 330
> Use el motor de correlación automatizada. on page 336
> Realización de capturas de paquetes on page 341
> Supervisión de aplicaciones y amenazas on page 352
> Visualización y gestión de logs on page 353
> Supervisión de la lista de bloqueo on page 363
> Visualización y gestión de informes on page 364
> Uso de servicios externos para la monitorización on page 381
> Configuración de reenvío de logs on page 382
> Configuración de alertas de correo electrónico on page 385
> Uso de syslog para la monitorización on page 387
> Monitorización de SNMP y capturas on page 419
> Reenvío de logs a un destino de HTTP on page 435
> Monitorización de NetFlow on page 439
305
306 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Supervisión
Uso del panel
Los widgets de la pestaña Dashboard (Panel) muestran información general del cortafuegos, como la
versión de software, el estado operativo de cada interfaz, la utilización de recursos y hasta 10 de las
entradas más recientes en los logs de sistema, configuración y amenazas. Todos los widgets disponibles
aparecen de forma predeterminada, pero cada administrador puede eliminar y agregar widgets individuales
según sea necesario. Haga clic en el icono de actualización para actualizar el panel o un widget individual.
Para cambiar el intervalo de actualización automática, seleccione un intervalo del menú desplegable (1
min, 2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el menú desplegable Widget,
seleccione una categoría y luego el nombre del widget. Para eliminar un widget, haga clic en en la barra de
títulos. La siguiente tabla describe los widgets del panel.
Gráficos del panel Descripciones
Aplicaciones Muestra las aplicaciones con la mayoría de sesiones. El tamaño del bloque
principales indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el
número) y el color indica el riesgo de seguridad, desde verde (más bajo) a rojo
(más alto). Haga clic en una aplicación para ver su perfil de aplicación.
Aplicaciones Similar a Aplicaciones principales, excepto las que muestran las aplicaciones de
principales de alto mayor riesgo con la mayoría de las sesiones.
riesgo
Información general Muestra el nombre del cortafuegos, el modelo, la versión del software de PAN-
OS, la aplicación, las amenazas, las versiones de definición del filtro de URL, la
fecha y hora actuales y el período transcurrido desde el último reinicio.
Estado de interfaz Indica si cada interfaz está activa (verde), no está operativa (rojo) o en un
estado desconocido (gris).
Logs de amenazas Muestra el ID de amenaza, la aplicación y la fecha y hora de las 10

últimas entradas en el log Amenazas. El ID de amenaza es una descripción
malintencionada de una URL que incumple el perfil de filtro de URL.
Logs de configuración Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y la
fecha y hora de las 10 últimas entradas en el log Configuración.
Logs de filtrado de Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log
datos Filtrado de datos.
Registros de filtrado Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log
de URL Filtrado de URL.
Logs del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log
Sistema.
Una entrada Config installed indica que se han llevado a

cabo cambios en la configuración correctamente.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Supervisión 307

Gráficos del panel Descripciones
Recursos del sistema Muestra el uso de CPU de gestión, el uso de plano de datos y el Número
de sesiones que muestra el número de sesiones establecidas a través del
cortafuegos.
Administradores Muestra la dirección IP de origen, el tipo de sesión (Web o CLI) y la hora de

registrados inicio de sesión para cada administrador actualmente registrado.
Factor de riesgo de Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la
ACC semana pasada. Los valores mayores indican un mayor riesgo.
High Availability Si la alta disponibilidad (high availability, HA) está habilitada, indica el estado
de HA del dispositivo local y del peer: verde (activo), amarillo (pasivo) o negro
(otro). Para obtener más información sobre HA, consulte Alta disponibilidad on
page 241.
Bloqueos Muestra bloqueos de configuración realizados por los administradores.

Uso del centro de comando de aplicación
El centro de control de aplicaciones (ACC) es un resumen interactivo, y gráfico de las aplicaciones, usuarios,
URL, amenazas y contenido que atraviesa su red. El ACC usa los logs del cortafuegos para ofrecer visibilidad
de los patrones de tráfico y la información aplicable sobre las amenazas. El diseño del ACC incluye una vista
con pestañas de la actividad de la red, la actividad las amenazas y la actividad bloqueada, y cada una de ellas
incluye widgets adecuados para una mejor visualización del tráfico de la red. La representación gráfica le
permite interactuar con los datos y visualizar las relaciones entre eventos en la red para que pueda detectar
anomalías o averiguar formas de mejorar sus reglas de seguridad de red. Para tener una vista personalizada
de su red, también puede añadir una pestaña personalizada e incluir widgets que le permitan desglosar la
información que le resulte más importante.
• ACC: presentación general on page 309
• Pestañas de ACC on page 311
• Widgets de ACC on page 312 (Descripciones de widget on page 314)
• Filtros de ACC on page 318
• Interacción con el ACC on page 320
• Caso de uso: ACC: Ruta de descubrimiento de información on page 323
ACC: presentación general

Ahora vamos a conocer la ACC.
Pestañas El ACC incluye tres pestañas predefinidas que ofrecen

visibilidad sobre el tráfico de red, la actividad de las
amenazas y la actividad bloqueada. Si desea más

información sobre cada pestaña, consulte Pestañas de
ACC.
Widgets Cada pestaña incluye un conjunto predeterminado de

widgets que representan mejor los eventos y tendencias
asociados a la pestaña. Los widgets le permiten estudiar
los datos usando los siguientes filtros:
• bytes (entrada y salida)
• sesiones
• contenido (archivos y datos)
• Categorías de URL
• amenazas (y recuentos)
Si desea más información sobre cada pestaña, consulte
Widgets de ACC.
Time Los gráficos de cada widget ofrecen una vista de

resumen y datos anteriores. Puede elegir un intervalo
personalizado o usar los periodos predefinidos que van
desde 15 minutos hasta los últimos 30 días o los últimos
30 días naturales. El periodo de tiempo seleccionado se
aplica a todas las pestañas del ACC.
El período de tiempo usado para mostrar los datos, por
defecto, es el valor Last Hour (Última hora) actualizado
en intervalos de 15 minutos. El intervalo de fecha y
hora se muestran en pantalla, por ejemplo en 11:40, el
intervalo de tiempo es 01/12 10:30:00-01/12 11:29:59.
Filtros globales Los filtros globales le permiten establecer el filtro en

todas las pestañas y filtros. Los gráficos aplican los
filtros seleccionados antes de representar los datos.
Para obtener información sobre cómo utilizar los filtros,
consulte Filtros de ACC.
Vista de la La vista de aplicación permite filtrar la vista de ACC por

aplicación las aplicaciones sancionadas y no sancionadas en uso en
la red o por el nivel de riesgo de las aplicaciones en uso
en la red. El verde indica las aplicaciones sancionadas,
el azul, las aplicaciones no sancionadas, y el amarillo
indica las aplicaciones sancionadas parcialmente. Las
aplicaciones sancionadas parcialmente son las que
tienen un estado de sanción mixto; esto indica que la
aplicación está etiquetada como aprobada de manera
inconsistente, por ejemplo, es posible que se encuentre
sancionada en uno o más sistemas virtuales en un
cortafuegos habilitado para varios sistemas virtuales,
o en uno o más cortafuegos dentro de un grupo de
dispositivos en Panorama.
Factor de riesgo El factor de riesgo (1=más bajo; 5=más alto) indica

el riesgo relativo según las aplicaciones usadas en su
red. El factor de riesgos usa diversos factores para

evaluar los niveles de riesgo asociados, como si la
aplicación puede compartir archivos, tiende a un uso
malintencionado o intenta evadir cortafuegos; también
los factores de la actividad de amenazas y malware,
como a través del número de amenazas bloqueadas,
host en riesgo o tráfico hacia los hosts o dominios
malintencionados.
Source Los datos que se utilizan en la visualización de ACC. Las

opciones varían en el cortafuegos y en Panorama.
En el cortafuegos, si está habilitado para varios sistemas
virtuales, puede usar el menú desplegable Virtual
System (Sistema virtual) para cambiar la visualización de
ACC de modo que incluya todos los sistemas virtuales o
solo un sistema virtual seleccionado.
En Panorama, puede seleccionar el menú desplegable
Device Group (Grupo de dispositivos) para cambiar la
visualización de ACC de modo que incluya datos de
todos los grupos de dispositivos o solo un grupo de
dispositivos seleccionados.
Además, en Panorama puede cambiar el Data Source
(Origen de datos) como datos de Panorama o Remote
Device Data (Datos de dispositivo remoto). Remote
Device Data (Datos del dispositivo remoto) solo está
disponible cuando todos los cortafuegos gestionados
tienen la versión PAN-OS 7.0.0 o posterior. Cuando
filtra la visualización de un grupo de dispositivos
específico, los datos de Panorama se usan como el
origen de datos.
Exportar Puede exportar los widgets que se muestran en la

pestaña seleccionada actualmente como un PDF. El
PDF se descarga y guarda en la carpeta de descargas
asociadas con su navegador web en su ordenador.
Pestañas de ACC
El ACC incluye las siguientes pestañas predefinidas para visualizar la actividad de red, la actividad de las
amenazas y la actividad bloqueada.
Pestaña DESCRIPTION
Network Activity Muestra una visualización general del tráfico y la actividad de los usuarios
(Actividad de red) en su red, incluido:
• Las aplicaciones principales en uso
• Los usuarios que generan más tráfico (con una descripción
pormenorizada de los bytes, contenido, amenazas o URL a las que ha
accedido el usuario
• Las reglas de seguridad más usadas con las que coincide el tráfico

Pestaña DESCRIPTION
Asimismo, puede ver la actividad de la red según la zona de origen o
destino, región o direcciones IP, por interfaces de acceso o salida y por
información del host GlobalProtect, como los sistemas operativos de los
dispositivos más usados en la red.
Actividad de Muestra una descripción general de las amenazas, centrado en las

amenazas principales amenazas: vulnerabilidades, spyware, virus, hosts que visitan
dominios o URL malintencionados, principales envíos de WildFire
por tipo de archivo y aplicación y aplicaciones que usan puertos no
estándar. El widget Hosts en riesgo de esta pestaña (únicamente algunas
plataformas admiten el widget) complementa la detección con mejores
técnicas de visualización; utiliza la información de la pestaña de eventos
correlacionados (Automated Correlation Engine (Motor de correlación
automatizada) > Correlated Events (Eventos correlacionados)) para
presentar una vista agregada de hosts en riesgo en su red en función de
las direcciones IP/usuarios de origen y la gravedad.
Actividad bloqueada Se centra en el tráfico al que se ha impedido entrar en la red. Los widgets
de esta pestaña le permiten ver la actividad denegada por nombre de
aplicación, nombre de usuario, nombre de amenaza, contenido bloqueado
(archivos y datos) por un perfil de bloqueo de archivo. También enumera
las principales reglas de seguridad que se compararon para bloquear
amenazas, contenido y URL.
Actividad de túnel Muestra la actividad del tráfico de túnel que el cortafuegos ha

inspeccionado en función de las políticas de inspección de túnel. La
información incluye el uso del túnel basado en ID de túnel, etiqueta de
inspección, protocolos de usuario y túnel tales como Generic Routing
Encapsulation (GRE), protocolo de túnel GPRS para datos de usuario
(GTP-U) y IPSec no cifrado.
También puede Interacción con el ACC on page 320 para crear pestañas personalizadas con widgets y
diseño personalizado que cumplan sus necesidades de supervisión de red, exportar la pestaña y compartirla
con otros administradores.
Widgets de ACC
Los widgets de cada pestaña son interactivos; puede definir los Filtros de ACC y desglosar detalles de cada
tabla o gráfico, o personalizar los widgets incluidos en la pestaña para centrarse en la información que
necesita. Si desea detalles sobre la visualización de cada widget, consulte las Descripciones de los widgets.

Widgets
Ver Puede ordenar los datos por bytes, sesiones, amenazas,

recuento, contenido, URL, malintencionados, benignos,
archivos, aplicaciones, datos, perfiles, objetos, usuarios.
Las opciones disponibles varían según el widget.
Gráfico Las opciones de visualización de los gráficos son

mapa jerárquico, gráfico de líneas, gráfico de barras
horizontales, gráfico de área apilada, gráfico de barra
apilada y mapas. Las opciones disponibles varían según
el widget; la experiencia de interacción también varía
según el tipo de gráfico. Por ejemplo, el widget para
aplicaciones que usan puertos no estándar le permite
elegir entre un mapa jerárquico y un gráfico de líneas.
Para obtener una vista más detallada, haga clic en
el gráfico. El área en la que haga clic se convierte en
un filtro y le permite acercarse a la selección y ver
información más granular para esa selección.
Tabla La vista detallada de los datos usados para representar el

gráfico se ofrece en una tabla debajo del gráfico. Puede
interactuar con la tabla de distintos modos:
• Puede hacer clic y establecer un filtro local o un
filtro global para un atributo de la tabla. El gráfico se
actualiza y la tabla se ordena según ese filtro local. La

Widgets
información mostrada en el gráfico y la tabla siempre
está sincronizada.
• Pase el ratón sobre un atributo de la tabla y use las
opciones disponibles en el menú desplegable.
Acciones Maximizar vista: le permite aumentar el widget y ver la

tabla en una pantalla más grande y con más información
visualizable.
Configurar filtros locales: le permite añadir Filtros
de ACC para refinar la visualización dentro del widget.
Use estos filtros para personalizar los widgets; estas
personalizaciones se retienen entre inicios de sesión.
Saltar a logs: le permite navegar directamente a los

logs (pestaña Monitor [Supervisar] > Logs [Logs] >
<log-type>). Los logs se filtran usando el periodo que se
muestra en el gráfico.
Si ha establecido filtros locales y globales, la consulta de
log concatena el periodo y los filtros y muestra solo logs
que cumplan con el conjunto de filtros combinado.
Exportar: le permite exportar el gráfico como PDF.

El PDF se descarga y se guarda en la máquina local.
Se guarda en la carpeta Descargas asociada con su
navegador web en su ordenador.
Descripciones de widget
Cada pestaña del ACC incluye un conjunto distinto de widgets.
Widget Descripción
Network Activity (Actividad de red): Muestra una descripción general del tráfico y la actividad de los
usuarios en su red.
Application Usage (Uso La tabla muestra las principales diez aplicaciones que se usan en la red; todas
de aplicación) las aplicaciones restantes que se usan en la red se agregan y visualizan como
otras. El gráfico muestra todas las aplicaciones por categoría y subcategoría
de aplicación y la aplicación. Use este widget para buscar las aplicaciones que
se intentan usar en la red, le informa sobre las aplicaciones predominantes
según ancho de banda, recuento de sesiones, transferencias de archivos,
activación de más amenazas y acceso a URL.
Atributos de ordenación: bytes, sesiones, amenazas, contenido, URL

Widget Descripción
Gráficos disponibles: mapa jerárquico, área, columna, línea (los gráficos varían
según el atributo de ordenación seleccionado)
User Activity (Actividad Muestra los diez usuarios más activos de la red que han generado el mayor
del usuario) volumen de tráfico y consumido recursos de red para obtener contenido. Use
este widget para monitorizar los principales usuarios según uso ordenado por
bytes, sesiones, amenazas, contenido (archivos y patrones) y URL visitadas.
Gráficos disponibles: área, columna, línea (los gráficos varían según el atributo
de ordenación seleccionado)
Source IP Activity Muestra las principales direcciones IP o nombres de host de los dispositivos
(Actividad de IP de que han iniciado la actividad en la red. Todos los demás dispositivos se
origen) agregan y visualizan como otros.
Destination IP Activity Muestra las direcciones IP o nombres de host de los diez principales destinos
(Actividad de IP de a los que accedieron los usuarios de la red.
destino)
Source Regions Muestra las diez principales direcciones (regiones definidas personalizadas o
(Regiones de origen) integradas) del mundo desde las que los usuarios iniciaron la actividad en su
red.
Gráficos disponibles: mapa, barra
Destination Regions Muestra las diez principales regiones de destino (regiones definidas
(Regiones de destino) personalizadas o integradas) del mundo desde las que los usuarios accedieron
al contenido de la red.
Gráficos disponibles: mapa, barra
GlobalProtect Muestra información del estado de los hosts en los que se ejecuta el agente
Host Information GlobalProtect; el sistema de host es un cliente de GlobalProtect. Esta
(Información de host de información se origina desde entradas en el log de coincidencias HIP que se
GlobalProtect) generan cuando los datos enviados por el agente GlobalProtect coinciden
con un objeto HIP o un perfil HIP que haya definido en el cortafuegos. Si no
tiene log de coincidencias HIP, este widget está en blanco. Para aprender a
crear objetos HIP y perfiles HIP, y usarlos como criterios de coincidencias de
políticas, consulte Configuración de la aplicación de políticas basadas en HIP.
Atributos de ordenación: perfiles, objetos, sistemas operativos
Gráficos disponibles: barra

Widget Descripción
Rule Usage (Uso de Muestra las diez principales reglas que han iniciado más tráfico en la red.
reglas) Use este widget para ver las reglas usadas más comúnmente, monitorizar los
patrones de uso y para evaluar si las reglas son efectivas para asegurar su red.
Gráficos disponibles: línea
Ingress Interfaces Muestra las interfaces de cortafuegos que se usan más para permitir el tráfico
(Interfaces de entrada) en la red.
Atributos de ordenación: bytes, bytes enviados, bytes recibidos
Egress Interfaces Muestra las interfaces de cortafuegos que más usa el tráfico que sale de la
(Interfaces de salida) red.
Atributos de ordenación: bytes, bytes enviados, bytes recibidos
Source Zones (Zonas Muestra las zonas que más se usan para permitir que el tráfico entre en la red.
de origen)
Destination Zones Muestra las zonas que más usa el tráfico que sale de la red.
(Zonas de destino)
Threat Activity (Actividad de amenazas): Esta pestaña muestra una descripción general de las amenazas
en la red.
Compromised Hosts Muestra los hosts con más probabilidad de estar en riesgo en la red.
(Hosts en riesgo) Este widget resume los eventos desde los logs de correlación. Para cada
dirección IP/usuario de origen, incluye el objeto de correlación que activó la
coincidencia y el recuento de coincidencias que se agrega desde la correlación
de evidencias en los logs de eventos correlacionados. Para más información,
consulte Use el motor de correlación automatizada. on page 336.
Disponible en la serie PA-3000, PA-5000, PA-5200, PA-7000 Series y
Panorama.
Atributos de ordenación: gravedad (por defecto)
Hosts Visiting Muestra la frecuencia con la que los hosts (dirección IP/nombres de host)
Malicious URLs (Hosts de su red han accedido a URL malintencionadas. Se sabe que esas URL son
de visitas a URL malware por su categorización en PAN-DB.
malintencionadas)
Atributos de ordenación: recuento
Hosts Resolving Muestra los host que más coinciden con las firmas de DNS; los hosts de
Malicious Domains la red que intentan resolver el nombre de host o dominio de una URL

Widget Descripción
(Hosts de resolución malintencionada. Esta información se recopila a partir de un análisis de la
de dominios actividad DNS de su red. Utiliza la monitorización pasiva de DNS, el tráfico
malintencionados) DNS generado en la red, la actividad vista en el sandbox si ha configurado
un sinkhole de DNS en el cortafuegos, y los informes DNS en orígenes DNS
malintencionados que están disponibles en los clientes de Palo Alto Networks.
Atributos de ordenación: recuento
Threat Activity Muestra las amenazas que se ven en su red. Esta información se basa en
(Actividad de coincidencias de firmas en antivirus, antispyware y perfiles de protección de
amenazas) vulnerabilidad y virus de los que informa WildFire.
Atributos de ordenación: amenazas
Gráficos disponibles: barra, área, columna
WildFire Activity by Muestra las aplicaciones con la mayoría de envíos de WildFire. Este widget
Application (Actividad usa los veredictos de malintencionado/benigno de los logs de envío de
de WildFire por WildFire.
aplicación)
Atributos de ordenación: malintencionado, benigno
Gráficos disponibles: barra, línea
WildFire Activity by Muestra un vector de amenazas por tipo de archivo. Este widget muestra los
File Type (Actividad de tipos de archivo que han generado la mayoría de envíos de WildFire y usa
WildFire por tipo de el veredicto de malintencionado o benigno del log de envíos de WildFire. Si
archivo) estos datos no están disponibles, el widget está vacío.
Atributos de ordenación: malintencionado, benigno
Gráficos disponibles: barra, línea
Applications using Muestra las aplicaciones que entran en su red por puertos no estándar. Si ha
Non Standard Ports migrado sus reglas de cortafuegos de un cortafuegos basado en puerto, use
(Aplicaciones que usan esta información para diseñar reglas de políticas que permitan únicamente el
puertos no estándar) tráfico en el puerto predeterminado de la aplicación. Cuando sea necesario,
haga una excepción para permitir el tráfico en un puerto no estándar o cree
una aplicación personalizada.
Gráficos disponibles: mapa jerárquico, línea
Rules Allowing Muestra reglas de políticas de seguridad que permiten aplicaciones en puertos
Applications On Non no predeterminados. El gráfico muestra todas las reglas mientras la tabla
Standard (Reglas que muestra las diez reglas principales y agrega los datos de las reglas restantes
permiten aplicaciones como Otro.
en puertos no estándar)
Esta información le ayuda a identificar huecos en la seguridad de red
permitiéndole evaluar si una aplicación está saltándose puertos o entrando
furtivamente en su red. Por ejemplo, puede validar si tiene una regla que
permita el tráfico en cualquier puerto excepto el puerto predeterminado
para la aplicación. Pongamos, por ejemplo, que tiene una regla que define el
tráfico DNS en el puerto predeterminado de la aplicación (el puerto 53 es el

Widget Descripción
puerto estándar para DNS). Este widget mostrará cualquier regla que admite
el tráfico DNS en su red en cualquier puerto excepto el puerto 53.
Gráficos disponibles: mapa jerárquico, línea
Blocked Activity (Actividad bloqueada): Esta pestaña se centra en el tráfico bloqueado para que no entre
en la red.
Blocked Application Muestra las aplicaciones que se han denegado en su red, y le permite
Activity (Actividad de visualizar las amenazas, el contenido y las URL que mantiene fuera de su red.
aplicación bloqueada)
Atributos de ordenación: amenazas, contenido, URL
Gráficos disponibles: mapa jerárquico, área, columna
Blocked User Activity Muestra las solicitudes de usuario que se bloquearon por coincidencia con el
(Actividad de usuario perfil de antivirus, antispyware, bloqueo de archivos o filtrado de URL adjunto
bloqueado) a la regla de política de seguridad.
Blocked Threats Muestra las amenazas que se rechazaron con mayor éxito en su red. Estas
(Amenazas bloqueadas) amenazas se comparan con firmas antivirus, firmas de vulnerabilidad y firmas
DNS disponibles a través de las actualizaciones de contenido dinámico en el
cortafuegos.
Atributos de ordenación: amenazas
Blocked Content Muestra los archivos y datos que se bloquearon para que no entren en la red.
(Contenido bloqueado) El contenido se bloqueó porque la política de seguridad denegó el acceso en
función de los criterios definidos en el perfil de seguridad Bloqueo de archivo
o un perfil de seguridad de Filtrado de datos.
Atributos de ordenación: archivos, datos
Security Policies Muestra reglas de políticas de seguridad que bloquean o restringen el tráfico
Blocking Activity de su red. Como su widget muestra las amenazas, el contenido y las URL a las
(Actividad de bloqueo que se denegó acceso a la red, puede usarlos para evaluar la efectividad de las
de políticas de reglas de políticas. Este widget no muestra el tráfico que se bloqueó por las
seguridad) reglas de denegación que se han definido en la política.
Filtros de ACC
Los gráficos y tablas de los widgets de ACC le permiten usar filtros para restringir el ámbito de datos que
se muestra, de modo que puede aislar atributos específicos y analizar información que quiera ver en mayor
detalle. El ACC admite el uso simultáneo de filtros globales y widget.

• Filtros de widget: Aplica un filtro de widget, que es un filtro que es local en un widget específico. Un
filtro de widget le permite interactuar con el gráfico y personalizar la vista para que pueda explorar los
datos y acceder a la información que quiere monitorizar en un widget específico. Para crear un filtro de
widget que sea persistente en los reinicios, debe usar la opción Set Local Filter (Configurar filtro local).
• Filtros globales: Aplique filtros globales en todas las pestañas en el ACC. Un filtro global le permite
pivotar la vista alrededor de la información que necesita instantáneamente y excluir la información
irrelevante para la vista actual. Por ejemplo, para ver todos los eventos relacionados con un usuario y
aplicación específicos, puede aplicar el nombre de usuario y la aplicación como un filtro global y ver solo
información relativa a ese usuario y aplicación a través de todas las pestañas y widgets en el ACC. Los
filtros globales sí se borran al reiniciar.
Puede aplicar los filtros globales de tres formas:

• Establecer un filtro desde una tabla: seleccione un atributo desde una tabla en cualquier widget y
aplicar el atributo como un filtro global.
• Add a widget filter to a global filter: pase el cursor del ratón sobre el atributo y haga clic en la flecha a
la derecha del atributo. Esta opción le permite elevar un filtro local utilizado en un widget, y aplicar el
atributo de manera global para actualizar la pantalla en todas las pestañas de ACC.
• Definir un filtro global: Defina un filtro usando el panel Global Filters (Filtros globales) en el ACC.
Consulte Interacción con el ACC on page 320 si desea detalles sobre el uso de estos filtros.

Interacción con el ACC
Para personalizar y restringir la visualización de ACC, puede añadir, eliminar, exportar e importar pestañas,
añadir y eliminar widgets, establecer filtros locales y globales e interactuar con los widgets.
• Añada una pestaña

1. Seleccione el icono de la lista de pestañas.
2. Introduzca un View Name (Nombre de vista). Este nombre se utilizará como el nombre de la pestaña.
Puede añadir hasta 5 pestañas.
• Modifique una pestaña.

Seleccione la pestaña y haga clic en el icono de lápiz junto al nombre de la pestaña para modificarla. Por
ejemplo .
La edición de una pestaña le permite añadir, eliminar o restablecer los widgets que se muestran en la
pestaña. También puede cambiar el diseño de widget de la pestaña.
Para guardar la pestaña como pestaña predeterminada, seleccione .
• Exporte e importe pestañas.

1. Seleccione la pestaña y haga clic en el icono de lápiz junto al nombre de la pestaña para modificarla.
2.
Seleccione el icono para exportar la pestaña actual como archivo .txt. Puede compartir este
archivo .txt con otro administrador.
3. Para importar la pestaña como una pestaña nueva a otro cortafuegos, seleccione el icono en la
lista de pestañas y añada un nombre y haga clic en el icono importar, y luego busque el archivo .txt.
• Vea qué widgets se incluyen en una pestaña.

1. Seleccione la pestaña y haga clic en el icono del lápiz para editarlo.
2. Seleccione el menú desplegable Add Widget (Añadir widget) y compruebe los widgets que tienen las
casillas de verificación seleccionadas.
• Añadir un widget a un grupo de widgets.

1. Añada una nueva pestaña o modifique una pestaña predefinida.
2. Seleccione Add Widget (Añadir widget) y marque la casilla de verificación del widget que quiere
añadir. Puede seleccionar hasta 12 widgets.
3. (Opcional) Para crear un diseño de dos columnas, seleccione Add Widget Group (Añadir grupo de
widgets). Puede arrastrar y soltar los widgets en la vista de dos columnas. Cuando arrastre el widget
sobre el diseño, aparecerá un marcador de posición para que suelte el widget.
No puede ponerle nombre a los grupos de widgets.
• Eliminar una pestaña o un widget/grupo de widgets.

1. Para eliminar una pestaña personalizada, seleccione la pestaña y haga clic en el icono X. request high-
availability state functional
No puede eliminar una pestaña predefinida.
2. Para eliminar un widget o grupo de widgets, modifique la pestaña y la sección del espacio de trabajo,
haga clic en el icono (X) de la derecha. Esta acción no se puede deshacer.
• Restablezca los widgets predeterminados de una pestaña.

En una pestaña por defecto, como la pestaña Blocked Activity (Actividad bloqueada), puede eliminar
uno o más widgets. Si quiere restablecer el diseño para que incluya el conjunto predeterminado de
widgets de la pestaña, modifique la pestaña y haga clic en Reset view (Restablecer vista).
• Amplíe el zoom sobre los detalles en un área, columna o gráfico de líneas.

Vea cómo funciona la funcionalidad de ampliación de zoom.
Haga clic y arrastre un área en el gráfico para ampliar el zoom. Por ejemplo, cuando amplíe el zoom en
un gráfico de línea, activa una segunda consulta y el cortafuegos recupera los datos para el periodo de
tiempo seleccionado. No es simplemente una magnificación.
• Utilice la lista desplegable de la tabla para buscar más información sobre un atributo.
1. Pase el ratón sobre un atributo de la tabla para ver el menú desplegable.
2. Haga clic en el menú desplegable para ver las opciones disponibles.
• Global Find (Búsqueda global): Uso de Global Find para buscar el cortafuegos o servidor de
gestión de Panorama on page 63 le permite encontrar referencias al atributo (nombre de
usuario/dirección IP, nombre de objeto, nombre de regla de política, ID de amenaza o nombre de
aplicación) en cualquier lugar de la configuración candidata.
• Value (Valor): muestra los detalles del ID de amenaza, nombre de aplicación u objeto de dirección.
• Who Is: realiza una búsqueda de nombre de dominio (WHOIS) para la dirección IP. Las bases de
datos de consulta de búsqueda que almacenan los usuarios registrados o asignados de un recurso
de Internet.
• Search HIP Report (Buscar en informe HIP): usa el nombre de usuario o dirección IP para buscar
coincidencias en un informe de coincidencias HIP.
• Defina un filtro local.
También puede hacer clic en un atributo en la siguiente tabla bajo el gráfico para
aplicarlo como un filtro de widget.
1. Seleccione un widget y haga clic en el icono .

2. Haga clic en el icono y añada los filtros que quiere aplicar.
3. Haga clic en Apply (Aplicar). Estos filtros no se eliminan al reiniciar.
Los filtros de widget activos se indican junto al nombre de widget.
• Niegue un filtro de widget.

1. Haga clic en el icono para mostrar el cuadro de diálogo Configurar filtros locales.
2. Añada un filtro y haga clic en el icono de negación .

• Establecer un filtro global desde una tabla.
Pase el curso del ratón sobre un atributo en la tabla que hay debajo de la gráfica y haga clic en la flecha
que aparece a la derecha del atributo.
• Establezca un filtro global usando el panel Filtros globales

Vea los filtros globales en acción.
1. Encuentre el panel Global Filters (Filtros globales) en la parte izquierda del ACC.
2. Haga clic en el icono para ver la lista de filtros que quiere aplicar.
• Promover un filtro de widget a filtro global.

1. En cualquier tabla de un widget, haga clic en el enlace de un atributo. Esto define el atributo como un
filtro de widget.
2. Para promover el filtro a filtro global, seleccione la flecha a la derecha del filtro.
• Eliminar un filtro.
Haga clic en el icono para eliminar un filtro.
• Para filtros globales: Se encuentra en el panel Filtros globales.
• Para filtros de widget: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales,
seleccione el filtro y haga clic en el icono .
• Borrar todos los filtros.

• Para filtros globales: Haga clic en el botón Clear All (Borrar todo) debajo de Filtros globales.
• Para filtros de widget: Seleccione un widget y haga clic en el icono . Después haga clic en el botón
Clear All (Borrar todo) en el cuadro de diálogo Setup Local Filters (Configurar filtros locales).
• Vea qué filtros están en uso.

• Para filtros globales: El número de filtros globales aplicado se muestra en el panel izquierdo, debajo
de Filtros globales.
• Para filtros de widget: El número de filtros de widgets aplicados a un widget se muestran junto al
nombre del widget. Para ver los filtros, haga clic en el icono .
• Restablezca la visualización en un widget.

• Si define un filtro de widget o desglosa un gráfico, haga clic en el enlace Home (Inicio) para
restablecer la visualización en el widget.
Caso de uso: ACC: Ruta de descubrimiento de información

El ACC tiene una variedad de información que puede usarse como punto de inicio para el análisis de tráfico
de red. Veamos un ejemplo sobre el uso de ACC para descubrir eventos de interés. Este ejemplo ilustra
cómo puede usar el ACC para asegurar que los usuarios legítimos puedan responder por sus acciones,
detecten y supervisen la actividad no autorizada, así como detectar y diagnosticar hosts en riesgo y sistemas
vulnerables de su red.
Los widgets y filtros del ACC le ofrecen la capacidad de analizar los datos y filtrar las vistas en función de los
eventos de interés o preocupaciones. Puede seguir eventos que atraigan su interés, exportar directamente
un PDF de una pestaña, acceder a los logs crudos sin procesar y guardar una vista personalizada de la
actividad que desea monitorizar. Estas funcionalidades le permiten monitorizar la actividad y desarrollar
políticas y contramedidas para fortificar su red frente a actividades malintencionadas. En esta sección,
aprenderá la Interacción con el ACC on page 320 y sus widgets en distintas pestañas, desglosar con filtros
widget, pivotar las vistas ACC usando filtros globales y exportar un PDF para compartir con los equipos de
TI o de respuesta a incidencias.
A primera vista, verá los widgets Application Usage (Uso de aplicación) y User Activity (Actividad de usuario)
en la pestaña ACC > Network Activity (Actividad de red). El widget User Activity (Actividad de usuario)
muestra que el usuario Marsha Wirth ha transferido 718 megabytes de datos durante la última hora. Este
volumen es seis veces mayor que cualquier otro usuario de la red. Para ver la tendencia de las últimas horas,
amplíe el valor de Time (Tiempo) a Last 6 Hrs (Últimas 6 horas) y ahora la actividad que Marsha ha tenido es
de 6,5 gigabytes en más de 891 sesiones y ha activado 38 firmas de amenazas.

Como Marsha ha transferido un gran volumen de datos, aplique su nombre de usuario como un filtro global
(Filtros de ACC on page 318) y pivote todas las vistas del ACC a la actividad del tráfico de Marsha.
La pestaña Application Usage (Uso de aplicación) ahora muestra que la aplicación principal que usaba
Marsha era RapidShare, un sitio de alojamiento de archivos con base en Suiza que pertenece a la categoría
de URL de intercambio de archivos. Para una investigación más detallada, añada RapidShare como filtro
global y vea la actividad de Marsha en el contexto de RapidShare.
Considere si desea aprobar RapidShare para que lo use la compañía. ¿Debería permitir las
cargas a este sitio y necesita una política de QoS para limitar el ancho de banda?
Para ver con qué direcciones IP se ha comunicado Marsha, seleccione el widget Destination IP Activity
(Actividad de IP de destino) y visualice los datos por bytes y por URL.

Para saber con qué países se ha comunicado Marsha, ordene por sessions (sesiones) en el widget
Destination Regions (Regiones de destino).
A partir de estos datos, puede confirmar que Marsha, una usuaria de su red, ha establecido sesiones
establecidas en Corea y Estados Unidos, y que ha registrado 19 amenazas en sus sesiones dentro de la
Unión Europea.
Para ver la actividad de Marsha desde una perspectiva de amenazas, quite el filtro global de RapidShare.
En el widget Threat Activity (Actividad de amenazas) de la pestaña Threat Activity (Actividad de

amenazas), vea las amenazas. El widget muestra que su actividad ha activado 26 vulnerabilidades en la
categoría de amenazas de desbordamiento, DoS y ejecución de código. Varias de estas vulnerabilidades son
de gravedad crítica.

Para desglosar cada vulnerabilidad, haga clic en el gráfico y restrinja el ámbito de su investigación. Cada clic
aplica automáticamente un filtro local en el widget.
Para investigar cada amenaza por nombre, puede crear un filtro global para indicar Microsoft Works File
Converter Field Length Remote Code Execution Vulnerability (Vulnerabilidad de ejecución de código
remoto de longitud de campo de conversor de archivo Microsoft Works). A continuación, vea el widget
User Activity widget (widget Actividad del usuario) en la pestaña Network Activity (Actividad de red). Esta
pestaña se filtra automáticamente para mostrar la actividad de amenazas de Marsha (observe los filtros
globales en la captura de pantalla).

Observe que esta vulnerabilidad de ejecución de código de Microsoft se activó por correo electrónico,
mediante la aplicación imap. Ahora puede establecer que Marsha tiene vulnerabilidades de IE y de archivos
adjuntos al correo electrónico, y quizás su ordenador necesita parches. Ahora puede desplazarse al widget
Blocked Threats (Amenazas bloqueadas) en la pestaña Blocked Activity (Actividad bloqueada) para
comprobar cómo se bloquean muchas de estas vulnerabilidades.
O puede comprobar el widget Rule Usage (Uso de reglas) en la pestaña Network Activity (Actividad de red)
para descubrir cuántas vulnerabilidades ingresaron en su red y qué regla de seguridad admitió este tráfico, y
navegar directamente hasta la regla de seguridad usando la función Global Find (Búsqueda global).
Después, averigüe por qué imap usó un puerto 43206 no estándar en lugar del puerto 143, que es el puerto
predeterminado para la aplicación. Considere modificar la regla de políticas de seguridad para permitir que
las aplicaciones usen únicamente el puerto predeterminado para la aplicación o evalúe si este puerto debe
ser una excepción para su red.
Para revisar si se registraron amenazas a través de imap, consulte la actividad de

Marsha en el widget WildFire Activity by Application (Actividad de WildFire por aplicación) en la pestaña
Threat Activity (Actividad de amenazas). Puede confirmar que Marsha no realizó una actividad dañina, pero

para verificar que ningún otro usuario se puso en riesgo por la aplicación imap, niegue a Marsha como filtro
global y busque otros usuarios que activaron amenazas por imap.
Haga clic en la barra de imap en el gráfico y desglose las amenazas entrantes asociadas con la aplicación.
Para saber con quién está registrada una dirección IP, pase el ratón sobre la dirección IP atacante y
seleccione el enlace Who Is en el menú desplegable.
Como el recuento de sesiones desde esta dirección IP es alto, seleccione los widgets Blocked Content
(Contenido bloqueado) y Blocked Threats (Amenazas bloqueadas) en la pestaña Blocked Activity
(Actividad bloqueada) para los eventos relacionados con esta dirección IP. La pestaña Blocked Activity
(Actividad bloqueada) le permite validar si sus reglas de políticas son efectivas a la hora de bloquear
contenido o amenazas cuando un host de su red está en riesgo.
Use la funcionalidad Export PDF (Exportar PDF) en el ACC para exportar la vista actual (crear una
instantánea de los datos) y enviarla a un equipo de respuesta a incidencias. Para ver los logs de amenazas
directamente desde el widget, también puede hacer clic en el icono para ir a los logs; la consulta se
genera automáticamente y solo los logs relevantes se muestran en pantalla (por ejemplo en Monitor
[Supervisar] > Logs > Threat Logs [Logs de amenazas]).

Ahora ha usado el ACC para revisar las tendencias/datos de red para averiguar qué aplicaciones o usuarios
están generando más tráfico, y como muchas aplicaciones son responsables de las amenazas que se
detectan en la red. Así, se ha podido identificar qué aplicaciones o usuarios generaron el tráfico, determinar
si la aplicación estaba en el puerto predeterminado y qué reglas de políticas permitieron que el tráfico
entrara en la red, así como determinar si la amenaza se está propagando lateralmente en la red. También
se identificó las direcciones IP de destino, las geoubicaciones con las que los hosts de la red se están
comunicando. Use las conclusiones de su investigación para crear políticas orientadas a objetivos que
puedan proteger a los usuarios y a su red.

Uso de los informes de App Scope
Los informes de Appscope proporcionan herramientas de visibilidad y análisis para detectar los
comportamientos problemáticos, lo que permite comprender los cambios en el uso de las aplicaciones y la
actividad del usuario, y los usuarios y las aplicaciones que consumen la mayor parte del ancho de banda de
la red, e identificar las amenazas en la red.
Con los informes de Appscope, puede comprobar rápidamente si algún comportamiento es inusual o
inesperado. Cada informe proporciona una ventana dinámica y personalizable por el usuario en la red; al
pasar el ratón por encima y hacer clic en las líneas y barras de los gráficos, se abre información detallada
acerca de la aplicación específica, categoría de la aplicación, usuario u origen del ACC. Los gráficos de App
Scope en Monitor (Supervisar) > App Scope le ofrecen la posibilidad de realizar las siguientes tareas:
• Alternar entre los atributos de la leyenda para ver solamente los detalles del gráfico que desea revisar.
La posibilidad de incluir o excluir datos del gráfico permite cambiar la escala y revisar los detalles más
detenidamente.
• Hacer clic en un atributo del gráfico de barras y ver los detalles de las sesiones relacionadas en el ACC.
Haga clic en un nombre de aplicación, una categoría de aplicación, un nombre de amenaza, una categoría
de amenaza, una dirección IP de origen o una dirección IP de destino en cualquier gráfico de barras para
filtrar el atributo y ver las sesiones relacionadas en el ACC.
• Exportar un gráfico o un mapa a PDF o como una imagen. Para garantizar la portabilidad y la
visualización fuera de línea, puede exportar los gráficos y mapas como PDF o imágenes PNG.
Los siguientes informes de Appscope están disponibles:
• Informe de resumen on page 330
• Informe del supervisor de cambios on page 331
• Informe del supervisor de amenazas on page 332
• Informe del mapa de amenazas on page 333
• Informe del supervisor de red on page 334
• Informe del mapa de amenazas on page 335
Informe de resumen
El informe de resumen de App Scope (Monitor [Supervisar] > App Scope > Summary [Resumen]) muestra
gráficos de las cinco principales aplicaciones ganadoras, perdedoras y que consumen ancho de banda,
categorías de aplicación, usuarios y orígenes.

Informe del supervisor de cambios
El informe del supervisor de cambios de App Scope (Monitor [Supervisar] > App Scope [Alcance de la
aplicación] > Change Monitor [Supervisor de cambios]) muestra los cambios realizados en un período de
tiempo específico. Por ejemplo, el siguiente gráfico muestra las principales aplicaciones más utilizadas en la
última hora en comparación con el último periodo de 24 horas. Las principales aplicaciones se determinan
por el recuento de sesiones y se ordenan por porcentajes.
El informe del supervisor de cambios contiene los siguientes botones y opciones.
Botón Descripción
Top 10 (10 principales) Determina el número de registros con la mayor medición

incluidos en el gráfico.
Application (Aplicación) Determina el tipo de elemento indicado: Aplicación, Categoría

de aplicación, Origen o Destino.

Botón Descripción
Gainers (Ganadores) Muestra mediciones de elementos que han ascendido

durante el periodo de medición.
Losers (Perdedores) Muestra mediciones de elementos que han descendido

New (Nueva) Muestra mediciones de elementos que se han agregado

Dropped (Descartado) Muestra mediciones de elementos que se han suspendido

Filter (Filtro) Aplica un filtro para mostrar únicamente el elemento

seleccionado. None (Ninguno) muestra todas las entradas.
Determina si mostrar información de sesión o byte.
Sort (Ordenar) Determina si ordenar entradas por porcentajes o incremento

bruto.
Export (Exportar) Exporta el gráfico como imagen .png o PDF.
Compare (Comparar) Especifica el periodo durante el que se realizaron las

mediciones de cambio.
Informe del supervisor de amenazas

El informe del supervisor de amenazas de App Scope (Monitor [Supervisor] > App Scope > Threat Monitor
[Supervisor de amenazas]) muestra un recuento de las principales amenazas durante el período de tiempo
seleccionado. Por ejemplo, la siguiente ilustración muestra los 10 principales tipos de amenaza en las últimas
6 horas.
Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. El informe
del supervisor de amenazas contiene los siguientes botones y opciones.

Botón Descripción
10 principales Determina el número de registros con la mayor medición

Amenazas Determina el tipo de elemento medido: Amenaza, Categoría

de amenaza, Origen o Destino.
Filtro Aplica un filtro para mostrar únicamente el tipo de elemento

seleccionado.
Determina si la información se presenta en un gráfico de

columna apilado o un gráfico de área apilado.
Exportar Exporta el gráfico como imagen .png o PDF.
Especifica el periodo durante el que se realizaron las

mediciones.
Informe del mapa de amenazas

El informe de mapa de amenazas de App Scope (Monitor [Supervisar] > App Scope > Threat Map [Mapa de
amenazas]) muestra una vista geográfica de amenazas, que incluye la gravedad. Cada tipo de amenaza está
indicado con colores como se indica en la leyenda debajo del gráfico.
El cortafuegos usa la geolocalización para crear mapas de amenazas. El cortafuegos se encuentra en la
parte inferior de la pantalla del mapa de amenazas si no ha especificado las coordenadas de geolocalización
(Device [Dispositivo] > Setup [Configuración] > Management [Gestión], en la sección General Settings
[Configuración general]) en el cortafuegos.
El informe del mapa de amenazas contiene los siguientes botones y opciones.
Botón Desripción

Amenazas entrantes Muestra las amenazas entrantes.
Amenazas salientes Muestra las amenazas salientes.

Botón Desripción
Filtro Aplica un filtro para mostrar únicamente el tipo de elemento

seleccionado.
Acercar y alejar Acerque y aleje el mapa.
Indica el periodo durante el que se realizaron las mediciones.
Informe del supervisor de red

El informe de supervisor de red de App Scope (Monitor [Supervisar] > App Scope > Network Monitor
[Supervisor de red]) muestra el ancho de banda dedicado a diferentes funciones de red durante el período
de tiempo especificado. Cada función de red está indicada con colores como se indica en la leyenda debajo
del gráfico. Por ejemplo, la imagen siguiente muestra el ancho de banda de aplicación en los 7 últimos días
basándose en la información de sesión.
El informe del supervisor de red contiene los siguientes botones y opciones.
Botón Descripción
Top 10 (10 principales) Determina el número de registros con la mayor medición

Application (Aplicación) Determina el tipo de elemento indicado: Aplicación,

Categoría de aplicación, Origen o Destino.
Filter (Filtro) Aplica un filtro para mostrar únicamente el elemento

seleccionado. None (Ninguno) muestra todas las entradas.
Export (Exportar) Exporta el gráfico como imagen .png o PDF.
Determina si la información se presenta en un gráfico de

columna apilado o un gráfico de área apilado.

Botón Descripción
Indica el periodo durante el que se realizaron las mediciones

de cambio.
Informe del mapa de amenazas

El informe de mapa de tráfico de App Scope (Monitor [Supervisar] > App Scope > Traffic Map [Mapa de
tráfico]) muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos.
El cortafuegos usa la geolocalización para crear mapas de tráfico. El cortafuegos se encuentra en la parte
inferior de la pantalla del mapa de tráfico si no ha especificado las coordenadas de geolocalización (Device
[Dispositivo] > Setup [Configuración] > Management [Gestión] sección General Settings [Configuración
general]) en el cortafuegos.
Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. El informe del
mapa de tráfico contiene los siguientes botones y opciones.
Botones Descripción

Amenazas entrantes Muestra las amenazas entrantes.
Amenazas salientes Muestra las amenazas salientes.
Acercar y alejar Acerque y aleje el mapa.
Indica el periodo durante el que se realizaron las mediciones

de cambio.

Use el motor de correlación automatizada.
El motor de correlación automatizado se encuentra en una herramienta de análisis que usa los logs en
el cortafuegos para detectar los eventos útiles en su red. El motor correlaciona una serie de eventos de
amenazas relacionado que, cuando se combina, indica un host que puede estar comprometido en su red u
otra conclusión de mayor nivel. Señala áreas de riesgo, como hosts en riesgo en la red, le permite evaluar
el riesgo y desarrollar acciones para evitar la explotación de los recursos de red. El motor de correlación
automatizado usa objetos de correlación para analizar los logs en busca de patrones cuando se produce una
coincidencia, y genera un evento correlacionado.
Los siguientes modelos admiten el motor de correlación automatizado:

• Panorama: dispositivos M-Series y dispositivos virtuales.
• Cortafuegos de PA-7000 Series
• Cortafuegos de la serie PA-5000
• Conceptos del motor de correlación automatizada on page 336

• Visualización de los objetos de correlación on page 337
• Interpretación de eventos correlacionados on page 338
• Uso del widget de los hosts en riesgo en el ACC on page 340
Conceptos del motor de correlación automatizada

El motor de correlación automatizado usa objetos de correlación para analizar los logs en busca de patrones
cuando se produce una coincidencia, y genera un evento correlacionado.
• Objeto de correlación on page 336
• Eventos correlacionados on page 337
Objeto de correlación
Un objeto de correlación es un archivo de definición que especifica patrones para la búsqueda de
coincidencias, orígenes de datos que se usarán para las búsquedas y el periodo durante el que buscarán
dichos patrones. Un patrón es una estructura booleana de condiciones que consulta los siguientes orígenes
de datos (o logs) en el cortafuegos: estadísticas de aplicación, tráfico, resumen de tráfico, resumen de
amenazas, amenazas, filtrado de datos y filtrado de URL. Cada patrón tiene una puntuación de gravedad, y
un umbral para el número de veces que el patrón debe ocurrir en un límite de tiempo definido para indicar
una actividad malintencionada. Cuando se produce una coincidencia con un patrón, se registra un evento de
correlación.
Un objeto de correlación puede conectar eventos de red aislados y buscar patrones que indiquen un evento
más significativo. Estos objetos identifican patrones de tráfico sospechosos y anomalías de red, incluida
la actividad IP sospechosa, actividad de comando y control conocida, explotaciones de vulnerabilidad
conocidas o actividad de botnet que, cuando se correlaciona, indica que hay una alta probabilidad de que
un host de la red esté en riesgo. Los objetos de correlación se han definido y desarrollado por el equipo de
investigación de amenazas de Palo Alto Networks y se han distribuido con las actualizaciones dinámicas
semanales al cortafuegos y a Panorama. Para obtener nuevos objetos de correlación, el cortafuegos debe
tener una licencia de Threat Prevention. Panorama requiere una licencia de compatibilidad para obtener las
actualizaciones.
Los patrones definidos en un objeto de correlación pueden ser estáticos y dinámicos. Los objetos
correlacionados que incluyen los patrones observados en WildFire son dinámicos y pueden correlacionar

patrones de malware detectados por WildFire con la actividad de comando y control iniciada por el host al
que estaba dirigido el malware de su red o la actividad detectada por un extremo protegido por capturas
en Panorama. Por ejemplo, cuando un host envía un archivo a la nube de WildFire y el veredicto es que
es malintencionado, el objeto de correlación busca otros hosts o clientes en la red que muestren el mismo
comportamiento visto en la nube. Si la muestra de malware ha realizado una consulta DNS y navegado
hasta un dominio de malware, el objeto de correlación analizará los logs en busca de un evento similar.
Cuando la actividad de un host coincide con el análisis de la nube, se registra un evento correlacionado de
alta gravedad.
Eventos correlacionados
Un evento correlacionado se registra cuando los patrones y umbrales definidos en un objeto de correlación
coincide con los patrones de tráfico de su red. Para la Interpretación de eventos correlacionados on page
338 y la visualización de una pantalla gráfica de los eventos, consulte Uso del widget de los hosts en
riesgo en el ACC on page 340.
Visualización de los objetos de correlación

Puede ver los objetos de correlación disponibles actualmente en el cortafuegos.
STEP 1 | Seleccione Monitor (Supervisar) > Automated Correlation Engine (Motor de correlación
automatizada) > Correlation Objects (Objetos de correlación). Todos los objetos de la lista
están habilitados de manera predeterminada.
STEP 2 | Visualice los detalles de cada objeto de correlación. Cada objeto ofrece la siguiente
información:
• Name (Nombre) y Title (Título): el nombre y el título indican el tipo de actividad que detecta el objeto
de correlación. La columna Nombre está oculta a la vista de manera predeterminada. Para ver la
definición del objeto, muestre la columna y haga clic en el enlace del nombre.
• ID: un número único que identifica el objeto de correlación; esta columna también está oculta de
manera predeterminada. Los ID están en la serie 6000.
• Category (Categoría): una clasificación del tipo de amenaza o daño que supone para la red, el usuario
o el host. Por ahora, todos los objetos identifican los hosts comprometidos en la red.
• State (Estado): indica si el objeto de correlación está habilitado (activo) o deshabilitado (inactivo).
Todos los objetos de la lista están habilitados de manera predeterminada, por lo tanto están activos.
Como estos objetos se han basado en los datos de inteligencia de amenazas y los ha definido el
equipo de investigación de amenazas de Palo Alto Networks, mantenga los objetos activos para
poder monitorizar y detectar una actividad malintencionada en su red.
• Description (Descripción): especifica las condiciones de coincidencia que el cortafuegos o Panorama
utilizará para analizar los logs. Describe la secuencia de condiciones que se comparan para identificar
la aceleración o progresión de la actividad malintencionada o el comportamiento sospechoso del
host. Por ejemplo, el objeto Compromise Lifecycle (Alterar ciclo de vida) detecta un host implicado
en un ciclo de vida de ataques completo en una progresión de tres pasos que comienza con una

actividad de análisis o sondeo, continúa con el aprovechamiento de la vulnerabilidades y concluye
con el contacto con la red con un dominio malintencionado conocido.
Para obtener más información, consulte Conceptos del motor de correlación automatizada on page
336 y Use el motor de correlación automatizada. on page 336.
Interpretación de eventos correlacionados

Puede visualizar y analizar los logs generados para cada evento correlacionado en la pestaña Monitor
(Supervisar) > Automated Correlation Engine (Motor de correlación automatizada) > Correlated Events
(Eventos correlacionados)
Eventos correlacionados on page 337 incluye los siguientes detalles:
Campo Descripción
Hora de coincidencias La hora a la que el objeto de correlación activó una coincidencia.
Hora de actualización La hora en la que evento se actualizó por última vez con evidencia sobre
la coincidencia. Cuando el cortafuegos recopila pruebas sobre el patrón o
secuencia de eventos definidos en un objeto de correlación, la marca de
tiempo del log de evento correlacionado se actualiza.
Nombre de objeto El nombre del objeto de correlación que activó la coincidencia.
Dirección de origen La dirección IP del usuario/dispositivo de su red desde la que se originó el

tráfico.
Usuario de origen La información del usuario y grupo de usuarios del servidor de directorios, si
User-ID on page 449 está habilitado.
Gravedad La gravedad indica la urgencia y el impacto de la coincidencia. El nivel

de gravedad indica la extensión del daño o el patrón de progresión y
Para la frecuencia de la incidencia. Dado que los objetos de correlación se
configurar centran en la detección de amenazas, los eventos correlacionados suelen
el relacionarse con la identificación de hosts en riesgo en la red y el nivel de
cortafuegos gravedad tiene las siguientes implicaciones:
o
• Critical (Crítico): confirma que se ha comprometido la seguridad de un
Panorama
host basándose en eventos correlacionados que indican un patrón en
para
aumento. Por ejemplo, se registra un evento crítico cuando un host
enviar
que ha recibido un archivo considerado malintencionado por WildFire
alertas
muestra la misma actividad de comando y control observada en ese
usando
archivo malintencionado dentro del espacio aislado de WildFire.
un correo
electrónico, • High (Alta): indica que hay una probabilidad muy alta de que un host vea
SNMP o comprometida su seguridad en función de una correlación entre varios
mensajes eventos de amenaza, como el malware detectado en cualquier punto de la
syslog

Campo Descripción
para un red que coincida con la actividad de comando y control generada por un
nivel de host concreto.
gravedad • Medium (Intermedia): indica que hay cierta probabilidad de que un
deseado, host vea comprometida su seguridad en función de la detección de
consulte uno o varios eventos sospechosos, como las visitas repetidas a URL
Uso de consideradas malintencionadas, lo que sugiere la existencia de una
servicios actividad de comando y control planeada.
externos • Low (Baja): indica la posibilidad de que un host vea comprometida
para la su seguridad basándose en la detección de uno o varios eventos
monitorización sospechosos, como una visitas a una URL considerada malintencionada o
on page un dominio DNS dinámico.
381. • Informational (Informativo): detecta un evento que podría resultar útil en
conjunto para identificar una actividad sospechosa, pero un evento por
separado no necesariamente es significativo.
Resumen Una descripción que resume las pruebas recopiladas en el evento

correlacionado.
Haga clic en el icono para consultar la vista detallada de log, que incluye todas las pruebas de una
coincidencia:
Pestaña Descripción
Información Detalles de objeto: Presenta la información sobre el Objeto de correlación on page 336
de que activó la coincidencia.
coincidencias
Detalles de coincidencia: Un resumen de los detalles de coincidencia que incluye la
hora de la coincidencia, la última hora de actualización de la prueba de coincidencia, la
gravedad del evento y un resumen de eventos.
Evidencia Presenta todas las pruebas que corroboran el evento correlacionado. Enumera la
de información detallada en las pruebas recopiladas de cada sesión.
coincidencias

Uso del widget de los hosts en riesgo en el ACC
El widget de hosts en riesgo en ACC > Threat Activity (Actividad de amenazas) acumula los Eventos
correlacionados on page 337 y los ordena por gravedad. Muestra el usuario/dirección IP de origen que
activó el evento, el objeto de correlación que se compara y el número de veces que se hizo coincidir el
objeto. Use el enlace de recuento de coincidencias para cambiar a los detalles de pruebas de coincidencias.
Si desea más información, consulte Use el motor de correlación automatizada. on page 336 y Uso del
centro de comando de aplicación on page 309.

Realización de capturas de paquetes
Todos los cortafuegos de Palo Alto Networks le permiten tomar capturas de paquetes (pcap) del tráfico
que atraviesa la interfaz de gestión y las interfaces de red del cortafuegos. Cuando se toman capturas de
paquetes en el plano de datos, puede tener que usar la Deshabilitación de descarga de hardware on page
342 para garantizar que el cortafuegos capture todo el tráfico.
La captura de paquetes puede hacer un uso muy intensivo de la CPU y puede degradar
el rendimiento del cortafuegos. Utilice esta función únicamente cuando sea necesario y
asegúrese de desactivarla cuando haya recopilado los paquetes necesarios.
• Tipos de captura de paquetes on page 341

• Deshabilitación de descarga de hardware on page 342
• Captura de paquetes personalizada on page 342
• Captura de paquetes de amenazas on page 346
• Tome una captura de paquetes de aplicaciones on page 347
• Captura de paquetes en la interfaz de gestión on page 350
Tipos de captura de paquetes

Hay cuatro tipos de capturas de paquetes diferentes que puede habilitar, en función de lo que puede
necesitar hacer:
• Captura de paquetes personalizada: el cortafuegos captura paquetes para todo el tráfico o el tráfico
basado en los filtros que defina. Por ejemplo, puede configurar el cortafuegos para que solamente
capture paquetes destinados o procedentes de una dirección IP o un puerto de origen y destino
específicos. Entonces, puede usar las capturas de paquetes para solucionar los problemas relacionados
con la red o para reunir los atributos de aplicación, lo que le permitirá escribir firmas de aplicaciones
personalizadas o solicitar una firma de aplicación de Palo Alto Networks. Consulte Captura de paquetes
personalizada on page 342.
• Captura de paquetes de amenazas: el cortafuegos captura paquetes cuando detecta un virus, spyware
o una vulnerabilidad. Puede habilitar esta función en los perfiles de seguridad Antivirus, Antispyware
y Protección de vulnerabilidades. Aparecerá un enlace para ver o exportar las capturas de paquetes
en la segunda columna del log de amenazas. Estas capturas de paquetes le ofrecen el contexto de una
amenaza para ayudarle a determinar si un ataque ha tenido éxito o para obtener más información sobre
los métodos utilizados por un atacante. También puede enviar este tipo de pcap a Palo Alto Networks
para reanalizar una amenaza si cree que es un falso positivo o falso negativo. Consulte Captura de
paquetes de amenazas on page 346.
• Captura de paquetes de aplicación: el cortafuegos captura paquetes en función de la aplicación y filtros
específicos que defina. Aparecerá un enlace para ver o exportar las capturas de paquetes en la segunda
columna de los logs de tráfico para el tráfico que coincide con la regla de captura de paquetes. Consulte
Tome una captura de paquetes de aplicaciones on page 347.
• Captura de paquetes de interfaz de gestión: el cortafuegos captura paquetes en la interfaz de gestión
(MGT). Las capturas de paquete son útiles para solucionar los problemas de servicios que atraviesen la
interfaz, como la autenticación de gestión de dispositivos a Servicios de autenticación externos on page
163, actualizaciones de software y contenido, reenvío de logs, comunicación con servidores SNMP y
solicitudes de autenticación para GlobalProtect y el portal cautivo. Consulte Captura de paquetes en la
interfaz de gestión on page 350.

Deshabilitación de descarga de hardware
Las capturas de paquete en un cortafuegos de Palo Alto Networks se realizan en la CPU de plano de datos,
a no ser que configure el cortafuegos para la Captura de paquetes en la interfaz de gestión on page 350,
en cuyo caso la captura de paquete se realiza en el plano de gestión. Cuando una captura de paquetes se
realiza en el plano de datos, durante la etapa de entrada, el cortafuegos realiza comprobaciones de análisis
de paquetes y descarta todos los paquetes que no coincidan con el filtro de captura de paquetes. Cualquier
tráfico que se descarga en el procesador de descarga de la matriz de puertas de campo programable (FPGA)
también se excluirá, a no ser que desactive la descarga de hardware. Por ejemplo, en el FPGA puede
descargarse el tráfico cifrado (SSL/SSH), los protocolos de red (OSPF, BGP, RIP), las cancelaciones de
aplicaciones, por lo que se excluyen de las capturas de paquetes por defecto. Algunos tipos de sesiones
nunca se descargarán, como ARP, todo el tráfico no IP, IPSec, sesiones VPN y paquetes SYN, FIN y RST.
La descarga de hardware es compatible con los siguientes cortafuegos: Cortafuegos serie

PA-3050, PA-3060, PA-5000, PA-5200 y PA-7000.
Si se deshabilita la descarga de hardware aumenta el uso de CPU del plano de datos. Si

el uso de la CPI del plano de datos ya es alto, puede querer programar una ventana de
mantenimiento antes de deshabilitar la descarga de hardware.
STEP 1 | Deshabilitar la descarga de hardware ejecutando el siguiente comando de la CLI:
admin@PA-7050>set session offload no
STEP 2 | Cuando el cortafuegos capture el tráfico requerido, habilite la descarga de hardware

ejecutando el siguiente comando de la CLI:
admin@PA-7050>set session offload yes
Captura de paquetes personalizada

Las capturas de paquetes personalizadas le permiten definir el tráfico que capturará el cortafuegos. Para
asegurarse de capturar todo el tráfico, puede tener que usar la Deshabilitación de descarga de hardware on
page 342.
STEP 1 | Antes de iniciar una captura de paquetes, identifique los atributos del tráfico que desea
capturar.
Por ejemplo, para determinar la dirección IP de origen, la dirección IP de NAT de origen y la dirección IP
de destino para el tráfico entre dos sistemas, realice un ping desde el sistema de origen hasta el sistema
de destino. Cuando el ping se haya completado, vaya a Monitor (Supervisar) > Traffic (Tráfico) y ubique
el log de tráfico para los dos sistemas. Haga clic en el icono Detailed Log View (Vista detallada del log)
ubicado en la primera columna del log y anote la dirección de origen, la IP NAT de origen y la dirección
de destino.

El siguiente ejemplo muestra cómo usar una captura de paquete para solucionar los problemas de una
conectividad Telnet desde un usuario en la zona de confianza a un servidor en la zona DMZ.
STEP 2 | Defina los filtros de captura de paquetes para que el cortafuegos solo capture el tráfico en el
que está interesado.
El uso de filtros le facilitará la búsqueda de la información que necesita en la captura de paquete y
reducirá la potencia de procesamiento requerida para que el cortafuegos realice la captura de paquetes.
Para capturar todo el tráfico, no defina filtros y deje la opción de filtro desactivada.
Por ejemplo, si ha configurado NAT en el cortafuegos, deberá aplicar dos filtros. El primero filtra según la
dirección IP de origen preNAT a la dirección IP de destino, y el segundo filtra el tráfico de un servidor de
destino a la dirección IP NAT de origen.
1. Seleccione Monitor (Supervisar) > Packet Capture (Captura de paquetes).
2. Haga clic en Clear All Settings (Borrar todos l los ajustes) en la parte inferior de la ventana para
borrar cualquier ajuste de captura existente.
3. Haga clic en Manage Filters (Gestionar filtros) y después en Add (Añadir).
4. Seleccione Id 1 y en el campo Source (Origen), escriba la dirección IP de origen en la que está
interesado y en el campo Destination (Destino) escriba una dirección IP de destino.
Por ejemplo, escriba la dirección IP de origen 192.168.2.10 y la dirección IP de destino
10.43.14.55. Para filtrar aún más la captura, defina Non-IP como exclude (excluir) para excluir el
tráfico no IP, tal como el tráfico de difusión.
5. Seleccione Add (Añadir) para añadir el segundo filtro y seleccione Id 2.
Por ejemplo, en el campo Source (Origen), escriba 10.43.14.55 y en el campo Destination
(Destino) escriba 10.43.14.25. En el menú desplegable Non-IP, seleccione exclude (excluir).

STEP 3 | Defina Filtering (Filtrado) como On (Encendido).
STEP 4 | Especifique la etapa del tráfico que activa la captura de paquetes y el nombre de archivo que se
va a usar para almacenar el contenido capturado. Si desea una definición de cada etapa, haga
clic en el icono Help (Ayuda) en la página de captura de paquetes.
Por ejemplo, para configurar todas las etapas de capturas de paquetes y definir un nombre de archivo
para cada etapa, realice el siguiente procedimiento:
1. Seleccione Add (Añadir) para añadir una Stage (Etapa) a la configuración de captura de paquetes y
defina un nombre de archivo en File (Archivo) para la captura de paquetes resultante.
Por ejemplo, seleccione receive (recibir) como Stage (Etapa) y defina el nombre de archivo en File
(Archivo) como telnet-test-received.
2. Seleccione nuevamente Add (Añadir) y luego añada cada Stage (Etapa) que desee capturar (receive
[recibir], firewall [cortafuegos], transmit [transmitir] y drop [descartar]) y defina un nombre de
archivo único en File (Archivo) para cada etapa.
STEP 5 | Defina Packet Capture (Captura de paquete) como ON (Activada).

El cortafuegos o dispositivo le advierte que el rendimiento del sistema puede reducirse; acepte la
advertencia haciendo clic en OK (Aceptar). Si define filtros, la captura de paquetes debe afectar poco en
el rendimiento, aunque siempre debe definir como Off (Desactivada) la captura de paquetes después de
que el cortafuegos capture los datos que desea analizar.
STEP 6 | Genera tráfico que coincide con los filtros que haya definido.

Para este ejemplo, genere el tráfico a partir del sistema de origen en el servidor con Telnet ejecutando el
siguiente comando desde el sistema de origen (192.168.2.10):
telnet 10.43.14.55
STEP 7 | Defina la captura de paquetes como OFF (Desactivada) y haga clic en el icono actualizar para
ver los archivos de captura de paquetes.
Observe que, en este caso, no se han perdido paquetes, de modo que el cortafuegos no ha creado un
archivo para la etapa de colocación.
STEP 8 | Descargue las capturas de paquetes haciendo clic en el nombre de archivo de la columna File
(Nombre de archivo).
STEP 9 | Visualice los archivos de captura de paquetes con un analizador de paquetes de red.
En este ejemplo, la captura de paquete .pcap recibida muestra una sesión de Telnet fallida desde el
sistema de origen en 192.168.2.10 al servidor con Telnet en 10.43.14.55. El sistema de origen envió la
solicitud de Telnet al servidor, pero este no respondió. En este ejemplo, puede que el servidor no tenga
Telnet habilitado, por lo que debe consultar el servidor.
STEP 10 | Habilite el servicio Telnet en el servidor de destino (10.43.14.55) y active la captura de

paquetes para tomar una nueva captura de paquetes.
STEP 11 | Genera tráfico que activará la captura de paquetes.

Ejecute de nuevo la sesión Telnet desde el sistema de origen al servidor con Telnet habilitado.
telnet 10.43.14.55
STEP 12 | Descargue y abra el archivo .pcap recibido y visualícelo usando un analizador de paquetes de
red.
La siguiente captura de paquetes ahora muestra una sesión de Telnet fallida desde el usuario host en
192.168.2.10 al servidor con Telnet en 10.43.14.55.
También verá la dirección NAT 10.43.14.25. Cuando el servidor responda, lo hará a la

dirección NAT. Puede ver que la sesión tiene éxito como se indica en el protocolo de tres
direcciones entre el host y el servidor y entonces verá los datos de Telnet.

Captura de paquetes de amenazas
Para configurar al cortafuegos para que capture paquetes (pcap) cuando detecte una amenaza, habilite
la opción de captura de paquetes en los perfiles de seguridad de antivirus, antispyware y protección de
vulnerabilidad.
STEP 1 | Habilite la opción de captura de paquetes en el perfil de seguridad.

Algunos perfiles de seguridad le permiten definir una captura de paquete único o una captura extendida.
Si selecciona la captura extendida, defina la longitud de la captura. Esto permitirá que el cortafuegos
capture más paquetes para ofrecer el contexto adicional relacionado con la amenaza.
Si se establece que la acción para una amenaza determinada sea diferente a permitir, el
cortafuegos solo capturará los paquetes que coincidan con la firma de amenazas.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) y habilite la opción de
captura de paquetes para los perfiles admitidos como se indica a continuación:
• Antivirus: seleccione un perfil antivirus personalizado y, en la pestaña Antivirus, seleccione la
casilla de verificación Packet Capture (Captura de paquetes).
• Antispyware: seleccione un perfil antispyware personalizado, haga clic en la pestaña DNS
Signatures (Firmas DNS) y, en la lista desplegable Packet Capture (Captura de paquete),
seleccione single-packet (paquete único) o extended-capture (captura extendida).
• Vulnerability Protection (Protección contra vulnerabilidades): seleccione un perfil de protección
de vulnerabilidades personalizado y, en la pestaña Rules (Reglas), haga clic en Add (Añadir) para
añadir una nueva regla o seleccione una regla existente. Defina Packet Capture (Captura de
paquetes) como single-packet (paquete único) o extended-capture (captura extendida).
Si el perfil cuenta con excepciones de firmas definidas, haga clic en la pestaña

Exceptions (Excepciones) y en la columna Packet Capture (Captura de paquetes)
de una firma, seleccione single-packet (paquete único) o extended-capture (captura
extendida).
2. (Opcional) Si ha seleccionado extended-capture (captura extendida) para cualquiera de los perfiles,
defina la longitud de la captura de paquetes extendida.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content-ID y edite la configuración de
Content-ID.
2. En la sección Extended Packet Capture Length (packets) (Extensión de captura extendida
de paquetes [paquetes]), especifique el número de paquetes que capturará el cortafuegos (el
intervalo es 1-50; el valor por defecto es 5).
STEP 2 | Añada el perfil de seguridad (con la captura de paquetes habilitada) a una regla de la política de
seguridad.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla.
2. Seleccione la pestaña Actions (Acciones).

3. En la sección Profile Settings (Configuración de perfil), seleccione un perfil que tenga habilitada la
captura de paquetes.
Por ejemplo, haga clic en el menú desplegable Antivirus y seleccione un perfil que tenga habilitada la
captura de paquetes.
STEP 3 | Vea/exporte la captura de paquetes de los logs de amenazas.

1. Seleccione Monitor (Supervisar) > Logs > Threat (Amenaza).
2. En la entrada de log en la que está interesado, haga clic en el icono de captura de paquetes verde
en la segunda columna. Vea la captura de paquetes directamente o seleccione Export (Exportar) para
exportarla a su sistema.
Tome una captura de paquetes de aplicaciones

Los siguientes temas describen dos formas de configurar el cortafuegos para tomar capturas de paquetes de
aplicaciones:
• Captura de paquetes de aplicaciones desconocidas on page 347
• Captura de paquetes de aplicaciones personalizada on page 348
Captura de paquetes de aplicaciones desconocidas

Los cortafuegos de Palo Alto Networks generan automáticamente una captura de paquetes de las sesiones
que contienen una aplicación que no pueden identificar. Normalmente, las únicas aplicaciones clasificadas
como tráfico desconocido (tcp, udp o tcp no sincronizado) son aplicaciones disponibles comercialmente que
todavía no tienen firmas App-ID, son aplicaciones internas o personalizadas de su red o posibles amenazas.
Puede usar esas capturas de paquetes para reunir más contexto relacionado con la aplicación desconocida
o usar la información para analizar el tráfico en busca de posibles amenazas. También puede realizar una
Gestión de aplicaciones personalizadas o desconocidas controlándolas mediante una política de seguridad
o escribiendo una firma de aplicación personalizada y creando una regla de seguridad basada en la firma
personalizada. Si la aplicación es una aplicación comercial, puede enviar la captura de paquetes a Palo Alto
Networks para que se cree una firma App-ID.
STEP 1 | Compruebe que la captura de paquetes de aplicaciones desconocidas está activada. Esta
opción está deshabilitada de manera predeterminada.
1. Para ver la configuración de la captura de aplicaciones desconocidas, ejecute el siguiente comando de
la CLI:
admin@PA-200>show running application setting | match “Unknown capture”

2. Si la opción del ajuste de captura desconocida está deshabilitada, habilítela:

admin@PA-200>set application dump-unknown yes
STEP 2 | Encuentre la aplicación desconocida filtrando los logs de tráfico.

1. Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico).
2. Haga clic en Add Filter (Añadir filtro) y seleccione los filtros como aparecen en el siguiente ejemplo:
3. Haga clic en Add (Añadir) y en Apply Filter (Aplicar filtro).
STEP 3 | Haga clic en el icono de captura de paquetes para ver la captura de paquetes o seleccione
Export (Exportar) para exportar esa captura a su sistema local.
Captura de paquetes de aplicaciones personalizada

Puede configurar un cortafuegos de Palo Alto Networks para que realice una captura de paquetes según
un nombre de aplicación y los filtros que defina. A continuación, puede utilizar la captura de paquetes
para solucionar los problemas de control de la aplicación. Cuando configure una captura de paquetes de
aplicación, debe usar el nombre de aplicación definido en la base de datos App-ID. Puede ver una lista de
todas las aplicaciones App-ID utilizando Applipedia o desde la interfaz web del cortafuegos en Objects
(Objetos) > Applications (Aplicaciones).
STEP 1 | Use una aplicación de emulador de terminal, como PuTTY, para iniciar una sesión SSH en el
cortafuegos.
STEP 2 | Active la captura de paquetes de aplicaciones y defina filtros.
admin@PA-200>set application dump on application <application-name>

rule <rule-name>

Por ejemplo, para capturar paquetes para la aplicación con base de Facebook que coincide con la regla
de seguridad llamada rule1, ejecute el siguiente comando de la CLI:
admin@PA-200>set application dump on application facebook-base rule rule1
También puede aplicar otros filtros, como direcciones IP de origen o destino.
STEP 3 | Vea el resultado de los ajustes de captura de paquetes para asegurar que se aplican los filtros
correctos. El resultado aparece tras habilitar la captura de paquetes.
En el siguiente resultado, verá que el filtrado de aplicaciones se basa en la aplicación basada en Facebook
para el tráfico que coincida con rule1.
Application setting:
Application cache : yes
Supernode : yes
Heuristics : yes
Cache Threshold : 16
Bypass when exceeds queue limit: no
Traceroute appid : yes
Traceroute TTL threshold : 30
Use cache for appid : no
Max. unknown sessions : 5000
Current unknown sessions : 0
Application capture : on
Max. application sessions : 5000
Current application sessions : 0
Application filter setting:
Rule : rule1
From : any
To : any
Source : any
Destination : any
Protocol : any
Source Port : any
Dest. Port : any
Application : facebook-base
Current APPID Signature
Signature Usage : 21 MB (Max. 32 MB)
TCP 1 C2S : 15503 states
TCP 1 S2C : 5070 states
TCP 2 C2S : 2426 states
TCP 2 S2C : 702 states
UDP 1 C2S : 11379 states
UDP 1 S2C : 2967 states
UDP 2 C2S : 755 states
UDP 2 S2C : 224 states
STEP 4 | Acceda a Facebook.com desde un navegador web para generar tráfico de Facebook y luego
desactive la captura de paquetes de aplicaciones al ejecutar el siguiente comando CLI:
admin@PA-200>set application dump off
STEP 5 | Vea/exporte la captura de paquetes.

1. Inicie sesión en la interfaz web del cortafuegos y seleccione Monitor (Supervisar) > Logs > Traffic
(Tráfico).
2. En la entrada de log en la que está interesado, haga clic en el icono de captura de paquetes verde
en la segunda columna.
3. Vea la captura de paquetes directamente o seleccione Export (Exportar) para exportar esa captura a
su sistema. La siguiente captura de pantalla muestra una captura de paquete basado en Facebook.
Captura de paquetes en la interfaz de gestión

El comando de la CLI tcpdump le permite capturar paquetes que atraviesen la interfaz de gestión (MGT) en
un cortafuegos de Palo Alto Networks.
Cada plataforma tiene un número predeterminado de bytes que captura tcpdump. Los
cortafuegos PA-200 y PA-500 capturan 68 bytes de datos de cada paquete, y cualquier
byte que lo supere queda truncado. Los cortafuegos serie PA-3000, PA-5000, PA-7000 y
VM capturan 96 bytes de datos de cada paquete. Para definir el número de paquetes que
capturará tcpdump, use la opción snaplen (longitud de instantánea) (intervalo 0-65535).
Si define snaplen como 0, el cortafuegos usará la longitud máxima necesaria para capturar
paquetes completos.
STEP 1 | Use una aplicación de emulador de terminal, como PuTTY, para iniciar una sesión SSH en el
cortafuegos.
STEP 2 | Para iniciar una captura de paquetes en la interfaz MGT, ejecute el comando siguiente:
admin@PA-200>tcpdump filter “<filter-option> <IP-address>” snaplen length
Por ejemplo, para capturar el tráfico que se genera cuando un administrador se autentica en el
cortafuegos usando RADIUS, filtre según la dirección IP de destino del servidor RADIUS (10.5.104.99 en
este ejemplo):
admin@PA-200>tcpdump filter “dst 10.5.104.99” snaplen 0
También puede filtrar por src (dirección IP de origen), host y red, y puede excluir contenido. Por ejemplo,
para filtrar en una subred y excluir todo el tráfico SCP, SFTP y SSH traffic (que usa el puerto 22), ejecute
el siguiente comando:
admin@PA-200>tcpdump filter “net 10.5.104.0/24 and not port 22” snaplen 0

Cada vez que tcpdump realice una captura de paquete, almacenará el contenido en un
archivo llamado mgmt.pcap. Este archivo se sobrescribe cada vez que ejecute tcpdump.
STEP 3 | Cuando el tráfico en el que está interesado haya atravesado la interfaz MGT, pulse Ctrl + C
para detener la captura.
STEP 4 | Consulte la captura de paquetes ejecutando el siguiente comando:
admin@PA-200> view-pcap mgmt-pcap mgmt.pcap
El siguiente resultado muestra la captura de paquete del puerto MTG (10.5.104.98) al servidor RADIUS
(10.5.104.99):
09:55:29.139394 IP 10.5.104.98.43063 > 10.5.104.99.radius: RADIUS, Access

Request (1), id: 0x00 length: 89
09:55:29.144354 arp reply 10.5.104.98 is-at 00:25:90:23:94:98 (oui
Unknown)
09:55:29.379290 IP 10.5.104.98.43063 > 10.5.104.99.radius: RADIUS, Access
Request (1), id: 0x00 length: 70
09:55:34.379262 arp who-has 10.5.104.99 tell 10.5.104.98
STEP 5 | (Opcional) Exporte la captura de paquetes del cortafuegos usando SCP (o TFTP). Por ejemplo,
para exportar la captura de paquetes con SCP, ejecute el siguiente comando:
admin@PA-200>scp export mgmt-pcap from mgmt.pcap to <username@host:path>
Por ejemplo, para exportar el pcap a un servidor con SCP en 10.5.5.20 a una carpeta temporal llamada
temp-SCP, ejecute el siguiente comando de la CLI:
admin@PA-200>scp export mgmt-pcap from mgmt.pcap to [email protected]:c:/temp-

SCP
Introduzca el nombre de usuario y la contraseña de la cuenta en el servidor SCP para habilitar al

cortafuegos para que copie la captura de paquetes en la carpeta c:\temp-SCP con el SCP habilitado.
STEP 6 | Ahora puede visualizar los archivos de captura de paquetes con un analizador de paquetes de
red como Wireshark.

Supervisión de aplicaciones y amenazas
Todos los cortafuegos de próxima generación de Palo Alto Networks están equipados con la tecnología
App-ID on page 575, la cual permite identificar las aplicaciones que cruzan su red con independencia del
protocolo, el cifrado o la táctica de evasión. De este modo, puede optar por el Uso del centro de comando
de aplicación on page 309 para monitorizar las aplicaciones. ACC resume gráficamente los datos de una
variedad de bases de datos de logs para resaltar las aplicaciones que cruzan su red, quién las usa y su
posible impacto en la seguridad. ACC se actualiza de forma dinámica de acuerdo con la clasificación de
tráfico continua que App-ID realiza; si una aplicación cambia de puerto o comportamiento, App-ID continúa
observando el tráfico, mostrando los resultados en ACC. La visibilidad adicional de categorías de URL,
amenazas y datos ofrece una perspectiva completa de la actividad de la red. Con ACC, puede obtener
información rápidamente acerca del tráfico que cruza su red y traducir la información a una política de
seguridad con más información.
De este modo, puede optar por el Uso del panel on page 307 para monitorizar la red.
Infraestructura de red de entrega de contenido para actualizaciones dinámicas on page 572 para
comprobar si los eventos registrados en logs en el cortafuegos conllevan un riesgo para la seguridad.
El resumen de inteligencia de AutoFocus muestra la prevalencia de propiedades, actividades o
comportamientos asociados con los logs de su red y a escala global, además del veredicto de WildFire y
las etiquetas de AutoFocus vinculadas a ellos. Con una suscripción activa a AutoFocus, puede utilizar esta
información para crear alertas de AutoFocus personalizadas que rastrean amenazas específicas en su red.

Visualización y gestión de logs
Un log es un archivo con marca de tiempo generado automáticamente que proporciona un código
de seguimiento para los eventos del sistema en el cortafuegos o eventos de tráfico de red que el
cortafuegos supervisa. Las entradas de log contienen artefactos, que son las propiedades, actividades o
comportamientos asociados con el evento registrado en el log, tales como el tipo de aplicación o la dirección
IP de un atacante. Cada tipo de log registra información para un tipo de evento separado. Por ejemplo, el
cortafuegos genera un log de amenazas para registrar el tráfico que coincide con una firma de spyware,
vulnerabilidad o virus, o un ataque DoS que coincide con los umbrales configurados para un análisis de
puerto o actividad de barrido del host en el cortafuegos.
• Tipos de logs y niveles de gravedad on page 353
• Visualización de logs on page 358
• Filtrar logs on page 359
• Exportación de logs on page 360
• Configuración de cuotas de almacenamiento y periodos de vencimiento de logs on page 361
• Programación de exportaciones de logs a un servidor SCP o FTP on page 361
Tipos de logs y niveles de gravedad

Puede ver los siguientes tipos de log en las páginas Monitor (Supervisar) > Logs.
• Logs de tráfico on page 353
• Logs de amenazas on page 354
• Registros de filtrado de URL on page 354
• Logs de envíos de WildFire on page 355
• Logs de filtrado de datos on page 355
• Logs de correlación on page 355
• Logs de inspección de túnel on page 356
• Logs de configuración on page 356
• Logs del sistema on page 356
• Log de coincidencias HIP on page 357
• Logs de User-ID on page 357
• Logs de alarmas on page 357
• Logs de autenticación on page 358
• Logs unificados on page 358
Logs de tráfico
Los logs de tráfico muestran una entrada para el inicio y el final de cada sesión. Todas las entradas incluyen
la siguiente información: fecha y hora, las zonas de origen y destino, las direcciones y los puertos, el nombre
de la aplicación, la regla de seguridad aplicada al flujo de tráfico, la acción de la regla (permitir, denegar o
descartar), la interfaz de entrada y salida, el número de bytes y la razón para finalizar la sesión.
La columna Type (Tipo) indica si la entrada es para el inicio o el final de la sesión. La columna Action (Acción)
indica si el cortafuegos permitió, denegó o descartó la sesión. El descarte indica que la regla de seguridad
que ha bloqueado el tráfico ha especificado una aplicación cualquiera, mientras que la denegación indica
que la regla ha identificado una aplicación específica. Si el cortafuegos descarta el tráfico antes de identificar
la aplicación, como cuando una regla descarta todo el tráfico para un servicio específico, la columna
Application (Aplicación) muestra not-applicable.

Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión, como si una entrada
ICMP agrega varias sesiones entre el mismo origen y destino (en cuyo caso el valor de la columna Count
[Recuento] será superior a uno).
Logs de amenazas
Los logs de amenazas muestran entradas cuando el tráfico coincide con uno de los Perfiles de seguridad
on page 997 adjuntos a una regla de seguridad en el cortafuegos. Cada entrada incluye la siguiente
información: fecha y hora; tipo de amenaza (como virus o spyware); descripción de la amenaza o URL
(columna Name);, zonas de origen y destino, direcciones y puertos; nombre de la aplicación; acción de la
alarma (como permitir o bloquear); y nivel de gravedad.
Para ver más detalles de las entradas de log de amenazas individuales:
• Haga clic en junto a una entrada para ver detalles como si la entrada agrega varias amenazas del
mismo tipo entre el mismo origen y destino (en cuyo caso el valor de la columna Count (Recuento) será
superior a uno).
• Si configuró el cortafuegos para Realización de capturas de paquetes on page 341, haga clic en junto a
cualquier entrada para acceder a los paquetes capturados.
La siguiente tabla resume los niveles de gravedad de las amenazas:
Gravedad Descripción
Crítica Amenazas graves, como aquellas que afectan a las instalaciones predeterminadas de
software ampliamente implementado, que comprometen profundamente los servidores y
dejan el código de explotación al alcance de los atacantes. El atacante no suele necesitar
ningún tipo de credenciales de autenticación o conocimientos acerca de las víctimas y el
objetivo no necesita ser manipulado para que realice ninguna función especial.
Alta Amenazas que tienen la habilidad de convertirse en críticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difíciles de explotar, no conceder privilegios elevados
o no tener un gran grupo de víctimas.
Intermedia Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante esté en la misma
LAN que la víctima, afectan solo a configuraciones no estándar o aplicaciones oscuras u
ofrecen acceso muy limitado. Además, las entradas de log de Presentaciones de WildFire
con un veredicto de malware se registran como amenazas de nivel medio.
Baja Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura
de la organización. Suelen requerir acceso local o físico al sistema y con frecuencia
suelen ocasionar problemas en la privacidad de las víctimas, problemas de DoS y fugas de
información. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativa Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podría haber problemas más serios. Las entradas de logs de filtrado de URL y
las entradas de logs de Presentaciones de WildFire con un veredicto benigno se registran
como informativas.
Registros de filtrado de URL

Filtrado de URL on page 627 muestran entradas para el tráfico que coincide con Perfil de filtrado de URL
on page 634 adjuntos a las reglas de seguridad. Por ejemplo, el cortafuegos genera un log si una regla

bloquea el acceso a sitios web y categorías de sitios web específicos o si configuró una regla para generar
una alerta cuando un usuario accede a un sitio web.
Logs de envíos de WildFire

El cortafuegos reenvía ejemplos (enlaces de archivos y de correo electrónico) a la nube de WildFire para
su análisis en función de la configuración de los perfiles del análisis de WildFire (Objects [Objetos] >
Security Profiles [Perfiles de seguridad] > WildFire Analysis [Análisis de WildFire]). El cortafuegos genera
entradas de log de envíos de WildFire para cada muestra que reenvía después de que WildFire complete el
análisis estático y dinámico de la muestra. Las entradas de log de envíos de WildFire incluyen la acción del
cortafuegos para el ejemplo (permitir o bloquear) y el veredicto de WildFire para el ejemplo enviado.
La siguiente tabla resume los veredictos de WildFire:
Gravedad DESCRIPTION
Bueno Indica que la entrada recibió un veredicto de benigno tras el análisis de WildFire. Los
archivos clasificados como benignos son seguros y no exhiben un comportamiento
malintencionado.
Grayware Indica que la entrada recibió un veredicto de grayware del análisis de WildFire. Los
archivos clasificados como grayware no suponen una amenaza de seguridad directa,
pero pueden mostrar un comportamiento agresivo de algún tipo. Grayware puede incluir
adware, spyware y objetos de ayuda del explorador (BHO).
Phishing Indica que WildFire le asignó un veredicto de análisis de phishing a un enlace. Un veredicto
de phishing indica que el sitio hacia el que el enlace dirige a los usuarios mostró actividad
de phishing de credenciales.
malicioso Indica que la entrada recibió un veredicto malintencionado tras el análisis de WildFire.
Las muestras clasificadas como malintencionadas pueden suponer una amenaza para la
seguridad. El malware puede incluir virus, gusanos, troyanos, herramientas de acceso
remoto (RAT), rootkits y botnets. Para las muestras que se identifican como malware, la
nube de WildFire genera y distribuye una firma para evitar futuras exposiciones.
Logs de filtrado de datos

Los logs de filtrado de datos muestran entradas sobre las reglas de seguridad que ayudan a evitar que
la información confidencial, como números de tarjetas de crédito, salga de la zona protegida por el
cortafuegos. Consulte Configuración de filtrado de datos on page 522 para obtener información sobre
cómo definir perfiles de filtrado de datos.
Este tipo de log también muestra información de perfiles de bloqueo de archivos. Por ejemplo, si una regla
bloquea los archivos .exe, el log muestra los archivos bloqueados.
Logs de correlación
El cortafuegos registra en evento correlacionado cuando los patrones y umbrales definidos en un Objeto de
correlación on page 336 coinciden con los patrones de tráfico de su red. Para la Interpretación de eventos
correlacionados on page 338 y la visualización de una pantalla gráfica de los eventos, consulte Uso del
widget de los hosts en riesgo en el ACC on page 340.
La siguiente tabla resume los niveles de gravedad de los logs de correlación:

Gravedad Descripción
Crítical Confirma que un host se ha visto en peligro basándose en eventos correlacionados que
(Crítico) indican un patrón de progresión. Por ejemplo, se registra un evento crítico cuando un
host que ha recibido un archivo considerado malintencionado por WildFire muestra la
misma actividad de comando y control observada en ese archivo malintencionado dentro
del espacio aislado de WildFire.
High (Alta) Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad
basándose en una correlación entre varios eventos de amenaza, como el software
malicioso detectado en cualquier punto de la red que coincida con la actividad de
comando y control generada por un host concreto.
Medium Indica que hay una probabilidad de que un host vea comprometida su seguridad
(Intermedia) basándose en la detección de uno o varios eventos sospechosos, como las visitas
repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad
de comando y control generada por una secuencia de comandos.
Low (Baja) Indica la posibilidad de que un host vea comprometida su seguridad basándose en la
detección de uno o varios eventos sospechosos, como una visita a una URL considerada
malintencionada o un dominio DNS dinámico.
Informational Detecta un evento que podría resultar útil en conjunto para identificar una actividad
(Informativo) sospechosa; un evento por separado no tiene por qué ser significativo en sí.
Logs de inspección de túnel

Los logs de inspección de túnel son logs de tráfico para las sesiones de túnel; muestran entradas de sesiones
de túnel no cifradas. Para evitar contarlas dos veces, el cortafuegos guarda solo los flujos internos en logs
de tráfico y envía sesiones de túnel a los logs de inspección de túnel. Las entradas de log de inspección de
túnel incluyen Receive Time (Hora de recepción) (fecha y hora de recepción del log), ID de túnel, etiqueta
de supervisión, ID de sesión, regla de seguridad aplicada a la sesión de túnel, cantidad de bytes en la sesión,
ID de sesión principal (ID de sesión para la sesión de túnel), dirección de origen, usuario de origen y zona de
origen, dirección de destino, usuario de destino y zona de destino.
Haga clic en la vista detallada de log para ver los detalles de una entrada, como el protocolo de túnel que
se utiliza y la marca que indica si el contenido del túnel se inspeccionó o no. Solo una sesión con una sesión
principal contará con una marca Tunnel Inspected (Túnel inspeccionado), lo que indica que la sesión se
encuentra en un túnel en un túnel (dos niveles de encapsulación). El primer encabezado exterior de un túnel
no contará con la marca Tunnel Inspected (Túnel inspeccionado).
Logs de configuración
Los logs de configuración muestran entradas de todos los cambios en la configuración del cortafuegos.
Cada entrada incluye la fecha y hora, el nombre de usuario del administrador, la dirección IP desde la cual
se realizó el cambio, el tipo de cliente (Web, CLI o Panorama), el tipo de comando ejecutado, el estado del
comando (si se ejecutó correctamente o falló), la ruta de configuración y los valores anteriores y posteriores
al cambio.
Logs del sistema

Los logs del sistema muestran entradas para cada evento del sistema en el cortafuegos. Cada entrada
incluye la fecha y hora y la gravedad y descripción del evento. La siguiente tabla resume los niveles de

gravedad de los logs de sistema. Para ver una lista parcial de mensajes de log de sistema y sus niveles de
gravedad correspondientes, consulte Eventos de logs del sistema.
Gravedad Description
Crítica Fallos de hardware, lo que incluye la conmutación por error de alta disponibilidad (high
availability,HA) y los fallos de enlaces.
Alta Problemas graves, incluidas las interrupciones en las conexiones con dispositivos externos,
como servidores LDAP y RADIUS.
Intermedia Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.
Baja Notificaciones de menor gravedad, como cambios de contraseña de usuario.
Informativa Inicios de sesión/cierres de sesión, cambio de nombre o contraseña de administrador,

cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles
de gravedad.
Log de coincidencias HIP

La coincidencia de perfil de información de host (Host Information Profile, HIP) de GlobalProtect le permite
recoger información sobre el estado de seguridad de los dispositivos de destino que acceden a su red (tal
como si tienen el cifrado de disco habilitado). El cortafuegos puede permitir o denegar el acceso a un host
específico en función del cumplimiento con las reglas de seguridad basadas en el HIP que define. Los logs
de coincidencia del HIP muestran los flujos de tráfico que coinciden con el objeto HIP o el perfil HIP que
configuró para las reglas.
Logs de User-ID
User-ID on page 449 muestran información sobre las asignaciones de direcciones IP a nombres de
usuario y Marcas de tiempo de la autenticación on page 199, como los orígenes de la información de
asignación y los períodos de tiempo cuando los usuarios se autenticaron. Puede utilizar esta información
para ayudar a solucionar problemas de User-ID y de autenticación. Por ejemplo, si el cortafuegos está
aplicando la regla de política incorrecta a un usuario, puede ver los logs para verificar si ese usuario está
asignado a la dirección IP correcta y si las asociaciones de grupo son correctas.
Logs de alarmas
Una alarma es un mensaje generado por el cortafuegos que indica que el número de eventos de un tipo
determinado (por ejemplo, fallos de cifrado y descifrado) superó el límite configurado para ese tipo de
evento. Para habilitar las alarmas y configurar los límites de las alarmas, seleccione Device (Dispositivo) >
Log Settings (Configuración de logs) y edite la configuración de las alarmas.
Cuando genera una alarma, el cortafuegos crea un log de alarma y abre el diálogo System Alarms (Alarmas
del sistema) para mostrar la alarma. Tras cerrar el diálogo haciendo clic en Close (Cerrar), puede volver a
abrirlo en cualquier momento haciendo clic en Alarms (Alarmas) ( ) al final de la interfaz web. Para evitar
que el cortafuegos abra automáticamente el cuadro de diálogo de una alarma en particular, seleccione la
alarma en la lista Unacknowledged Alarms (Alarmas no aceptadas) y haga clic en Acknowledge (Aceptar)
para aceptar la alarma.

Logs de autenticación
Los logs de autenticación muestran información sobre los eventos de autenticación que ocurren cuando
los usuarios finales tratan de acceder a los recursos de la red cuyo acceso se controla con las reglas de la
Política de autenticación on page 199. Puede utilizar esta información para solucionar problemas de acceso
y ajustar su política de autenticación según sea necesario. En combinación con objetos de correlación,
también puede utilizar los logs de autenticación para identificar actividades sospechosas en su red, por
ejemplo, ataques de fuerza bruta.
También puede configurar las reglas de autenticación para los eventos de tiempo de espera de logs. Estos
tiempos de espera de autenticación de logs se relacionan con el periodo de tiempo que un usuario necesita
para autenticarse solo una vez en un recurso, pero puede acceder a él varias veces. Conocer los tiempos de
espera le permite decidir mejor si debe ajustarlos y cómo hacerlo (para obtener los detalles, consulte Marcas
de tiempo de la autenticación on page 199).
Los logs del sistema registran eventos de autenticación relacionados con GlobalProtect y el
acceso de los administradores a la interfaz web.
Logs unificados
Los logs unificados son entradas de logs de tráfico, amenazas, filtrado de URL, envíos de WildFire y filtrado
de datos en una sola pantalla. La vista de logs unificados le permite investigar y filtrar las entradas más
recientes de diferentes tipos de logs en un lugar, en vez de buscar en cada tipo de log por separado. Haga
clic en Effective Queries ( ) en el área de filtros para seleccionar qué tipos de logs mostrarán entradas en
la vista de logs unificados.
La vista de logs unificados muestra solo las entradas de los logs de los que tiene permiso para ver. Por
ejemplo un administrador que no dispone permisos para ver los logs de envíos a WildFire, no verá esas
entradas al visualizar los logs unificados. Tipos de funciones administrativas on page 71 definen estos
permisos.
Cuando realiza la Configuración de búsqueda remota en AutoFocus para realizar una

búsqueda específica en el cortafuegos, los resultados de la búsqueda se muestran en la
vista de logs unificados.
Visualización de logs
Puede ver los diferentes tipos de logs en el cortafuegos en forma de tabla. El cortafuegos almacena
localmente todos los archivos de log y genera automáticamente logs de configuración y sistema por defecto.
Para obtener más información sobre las reglas de seguridad que desencadenan la creación de entradas para
los demás tipos de logs, consulte Tipos de logs y niveles de gravedad on page 353.
Para configurar el cortafuegos para el reenvío de logs como mensajes de syslog, notificaciones por correo
electrónico o capturas del protocolo simple de administración de redes (Simple Network Management
Protocol, SNMP), aplique el Uso de servicios externos para la monitorización on page 381
STEP 1 | Seleccione un tipo de log para visualizar.

1. Seleccione Monitor (Supervisar) > Logs.
2. Seleccione un tipo de log de la lista.
El cortafuegos muestra solo los logs que tiene permiso para ver. Por ejemplo, si su
cuenta administrativa no tiene permiso para ver los logs de envíos de WildFire, el
cortafuegos no muestra ese tipo de log cuando accede a las páginas de logs. Tipos de
funciones administrativas on page 71 definen esos permisos.

STEP 2 | (Opcional) Personalice la visualización de la columna de logs.
1. Haga clic en la flecha a la derecha de cualquier encabezado de columna y seleccione Columns
(Columnas).
2. Seleccione las columnas para mostrar las listas. El log se actualiza automáticamente para coincidir con
sus selecciones.
STEP 3 | Vea los detalles adicionales sobre las entradas del log.
• Haga clic en el catalejo ( ) para ver una entrada de log específica. La vista detallada de logs tiene
más información sobre el origen y destino de la sesión, además de una lista de sesiones relacionadas
con la entrada del log.
• (Solo para logs de amenazas) Haga clic en junto a una entrada para acceder a las capturas de
paquetes locales de la amenaza. Para habilitar capturas de paquetes locales, consulte Realización de
capturas de paquetes on page 341.
• (Solo tráfico, amenaza, filtrado de URL, envíos de WildFire, filtrado de datos y logs unificados) Vea
los datos de amenazas de AutoFocus para acceder a una entrada del log.
1. Habilitación de la inteligencia contra amenazas AutoFocus on page 49.
Habilite AutoFocus en Panorama para ver los datos de amenazas de AutoFocus

de todas las entradas de log de Panorama, incluso los de cortafuegos que no
están conectados a AutoFocus o que ejecutan PAN-OS 7.0 y versiones anteriores
(Panorama > Setup [Configuración] > Management [Gestión] > AutoFocus).
2. Coloque el cursor sobre una dirección IP, una URL, un agente de usuario, un nombre de amenaza
(subtipo: solo virus y wildfire), un nombre de archivo o un hash SHA-256.
3. Haga clic en el menú desplegable ( ) y seleccione AutoFocus.
4. Infraestructura de red de entrega de contenido para actualizaciones dinámicas on page 572.
Pasos siguientes:
• Filtrar logs on page 359.
• Exportación de logs on page 360.
• Configuración de cuotas de almacenamiento y periodos de vencimiento de logs on page 361.
Filtrar logs
Cada log tiene un área de filtrado que le permite configurar criterios para mostrar las entradas del log.
La capacidad de filtrar logs resulta útil para centrarse en los eventos de su cortafuegos que poseen
propiedades o atributos particulares. Filtre los logs según los artefactos que estén asociados con entradas
de log individuales.
STEP 1 | (Solo para logs unificados) Seleccione los tipos de logs que se incluirán en la vista de logs
unificados.
1. Haga clic en Effective Queries (Consultas efectivas) ( ).
2. Seleccione uno o más tipos de logs en la lista (traffic [tráfico], threat [amenaza], url, data [datos] y
wildfire).
3. Haga clic en OK (Aceptar). Los logs unificados se actualizan para mostrar solo las entradas de los
tipos de logs que seleccionó.
STEP 2 | Añada un filtro al campo de filtros.

Si el valor del artefacto coincide con el operador (tal como has o in), coloque el valor
entre comillas para evitar un error de sintaxis. Por ejemplo, si filtra por país de destino
y usa IN como valor para especificar INDIA, introduzca el filtro como ( dstloc eq
“IN” ).
• Haga clic en uno o más artefactos (como el tipo de aplicación asociado con el tráfico y la dirección IP
de un atacante) en una entrada de log. Por ejemplo, haga clic en 10.0.0.25 para Source (Origen) y en
web-browsing para Application (Aplicación) en una entrada de log para mostrar solo las entradas que
contienen ambos artefactos en el log (búsqueda con AND).
• Para especificar los artefactos que se añadirán al campo de filtros, haga clic en Add Filter (Añadir
filtro) ( ).
• Para añadir un filtro guardado previamente, haga clic en Load Filter (Cargar filtro) ( ).
STEP 3 | Aplique el filtro al log.

Haga clic en Apply Filter (Aplicar filtro) ( ). El log se actualizará para mostrar solo las entradas de log
que coinciden con el filtro actual.
STEP 4 | (Opcional) Guarde los filtros de uso frecuente.

1. Haga clic en Save Filter (Guardar filtro) ( ).
2. Introduzca un nombre para el filtro en Name.
3. Haga clic en OK (Aceptar). Puede ver los filtros guardados al hacer clic en Load Filter (Cargar filtro)
( ).
Pasos siguientes:
• Visualización de logs.
• Exportación de logs.
Exportación de logs
Puede exportar el contenido de un tipo de log a un informe con formato de valores separados por coma
(comma-separated value, CSV). Por defecto, el informe contiene hasta 2000 filas de entradas de logs.
STEP 1 | Especifique el número de filas para mostrar en el informe.

configuración de creación de logs y creación de informes.
2. Haga clic en la pestaña Log Export and Reporting (Exportación de log y creación de informes).
3. Modifique el número de Max Rows in CSV Export (Cantidad máxima de filas en exportación de CSV)
(hasta 100 000 filas).
STEP 2 | Descargue el log.

1. Haga clic en Export to CSV ( ). Aparece una barra de progreso que muestra el estado de la descarga.
2. Cuando se haya completado la descarga, haga clic en Download file (Descargar archivo) para guardar
una copia del log en su carpeta local. Para obtener descripciones de los encabezados de columna en
un log descargado, consulte Descripciones de los campos de Syslog.
Siguientes pasos...
Programación de exportaciones de logs a un servidor SCP o FTP.

Configuración de cuotas de almacenamiento y periodos de
vencimiento de logs
El cortafuegos elimina automáticamente los logs que superan el periodo especificado. Cuando el
cortafuegos alcanza la cuota de almacenamiento de un tipo de log, automáticamente elimina los logs más
antiguos de ese tipo para conseguir espacio, aunque no haya definido un periodo de caducidad.
Si desea eliminar manualmente los logs, seleccione Device (Dispositivo) > Log Settings
(Configuración de log) y, en la sección Manage Logs (Gestionar logs), haga clic en los
enlaces para borrar los logs por tipo.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de creación de logs e informes.
STEP 2 | Seleccione Log Storage (Almacenamiento de logs) e introduzca una Quota (Cuota) (%) para
cada tipo de log. Al cambiar un valor del porcentaje, el cuadro de diálogo se actualiza para
mostrar el valor absoluto correspondiente (columna de cuota GB/MB).
STEP 3 | Introduzca Max Days (Máx. de días) (período de vencimiento) para cada tipo de log (el intervalo
es de 1 a 2000). Los campos están en blanco por defecto, lo que significa que los logs nunca
vencen.
El cortafuegos sincroniza los periodos de vencimiento en pares de alta disponibilidad

(HA). Como solo el peer de alta disponibilidad (HA) activo genera logs, el peer pasivo no
tiene logs que eliminar a no ser que se produzca una conmutación por error y comience a
generar logs.
Programación de exportaciones de logs a un servidor SCP o FTP

Puede programar exportaciones de logs de envío de WildFire, tráfico, amenazas, filtrado URL, filtrado de
datos y coincidencias HIP a un servidor de copias seguras (SCP) o un servidor de protocolo de transferencia
de archivos (FTP). Realice esta tarea para cada tipo de log que desee exportar.
Puede usar comandos de copia segura (SCP) de la CLI para exportar la base de datos de
logs completa a un servidor SCP e importarlo a otro cortafuegos. Como la base de datos de
logs es demasiado grande para que sea práctico importarla o exportarla en las siguientes
plataformas, estas no admiten esas opciones: Los cortafuegos serie PA-7000 (todas las
versiones de PAN-OS), el dispositivo virtual de Panorama que se ejecuta en Panorama
6.0 o versiones posteriores y los dispositivos serie M de Panorama (todas las versiones de
Panorama).
STEP 1 | Seleccione Device (Dispositivo) > Scheduled Log Export (Exportación de logs programada) y
haga clic en Add (Añadir).
STEP 2 | Introduzca un Name (Nombre) para la exportación de logs programada y seleccione Enable
(Habilitar) para habilitarla.
STEP 3 | Seleccione el Log Type (Tipo de log) que se debe exportar.

STEP 4 | Seleccione la Scheduled Export Start Time (Hora de inicio de exportación programada) diaria.
Las opciones se muestran en incrementos de 15 minutos en un reloj de 24 horas (00:00 -
23:59).
STEP 5 | Seleccione el Protocol (Protocolo) para exportar los logs: SCP (seguro) o FTP.
STEP 6 | Introduzca el Hostname (Nombre de host) o la dirección IP del servidor.
STEP 7 | Introduzca el número de Port (Puerto). De manera predeterminada, FTP usa el puerto 21 y SCP
usa el puerto 22.
STEP 8 | Introduzca la Path (Ruta) o directorio donde se guardarán los logs almacenados.
STEP 9 | Introduzca el Username (Nombre de usuario) y, si es necesario, la Password (Contraseña) (y

Confirm Password [Confirme la contraseña]) para acceder al servidor.
STEP 10 | (Solo FTP) Seleccione Enable FTP Passive Mode (Habilitar modo pasivo de FTP) si desea
utilizar el modo pasivo de FTP, en el que el cortafuegos inicia una conexión de datos con el
servidor FTP. De manera predeterminada, el cortafuegos utiliza el modo activo FTP en el que
el servidor FTP inicia una conexión de datos con el cortafuegos. Seleccione el modo según lo
que admite su servidor FTP y sus requisitos de red.
STEP 11 | (Solo SCP) Haga clic en Test SCP server connection (Probar la conexión de servidor SCP).
Antes de establecer una conexión, el cortafuegos debe aceptar la clave del host para el
servidor SCP.
Si utiliza una plantilla Panorama para configurar la programación de exportación

de logs, debe realizar este paso después de asignar la configuración de plantilla a
los cortafuegos. Tras asignar la plantilla, inicie sesión en cada cortafuegos, abra la
programación de exportación de logs y haga clic en Test SCP server connection (Probar
la conexión del servidor SCP).

Supervisión de la lista de bloqueo
Existen dos maneras de provocar que el cortafuegos ubique una dirección IP en la lista de bloqueo:
• Configure un perfil de protección frente a vulnerabilidades con una regla que bloquee las conexiones IP
y aplique el perfil a la política de seguridad, que se aplica a una zona.
• Configure una regla de la política de protección contra DoS con la acción Protect (Proteger) y un perfil
de protección contra DoS clasificado, que especifique una tasa máxima de conexiones por segundo
permitidas. Cuando los paquetes entrantes coinciden con la política de la protección contra DoS y
superan la tasa máxima, y si especificó una duración de bloqueo y una regla de la política clasificada que
permite incluir la dirección IP de origen, el cortafuegos agrega la dirección IP de origen ilícita a la lista de
bloqueo.
En los casos que se describen anteriormente, el cortafuegos automáticamente bloquea el tráfico en el
hardware antes de que esos paquetes utilicen los recursos de la CPU o el búfer de paquetes. Si el tráfico de
ataques supera la capacidad de bloqueo del hardware, el cortafuegos utiliza los mecanismos de bloqueo de
IP del software para bloquear el tráfico.
El cortafuegos crea automáticamente una entrada en la lista de bloqueo de hardware basada en su perfil de
protección frente a vulnerabilidades o regla de la política de protección contra DoS; la dirección de origen
de la regla es la dirección IP de origen en la lista de bloqueo de hardware.
Las entradas en la lista de bloqueo indican en la columna Type (Tipo) si las bloqueó el hardware (hw) o el
software (sw). En la parte inferior de la pantalla, se muestra lo siguiente:
• El recuento de Total Blocked IPs (IP bloqueadas totales) de la cantidad de direcciones IP bloqueadas que
admite el cortafuegos.
• Porcentaje de la lista de bloqueo que ha utilizado el cortafuegos.
Para visualizar los detalles sobre una dirección en la lista de bloqueo, mueva el puntero sobre la dirección
IP de origen y haga clic en el enlace de la flecha hacia abajo. Haga clic en el enlace Who Is, que muestra la
función Network Solutions Who Is (Who Is de las soluciones de red), que proporciona información sobre la
dirección.
Para obtener información sobre la configuración de un perfil de protección contra vulnerabilidades, consulte
Personalización de la acción y las condiciones de activación para una firma de fuerza bruta on page 529.
Para obtener información sobre la lista de bloqueo y los perfiles de protección contra DoS, consulte
Protección DoS contra inundaciones de nuevas sesiones on page 1120.

Visualización y gestión de informes
Las funciones de generación de informes del cortafuegos le permiten comprobar el estado de su red, validar
sus políticas y concentrar sus esfuerzos en mantener la seguridad de la red para que sus usuarios estén
protegidos y sean productivos.
• Tipos de informes on page 364
• Visualización de informes on page 365
• Configuración del período de vencimiento y de ejecución para los informes on page 365
• Deshabilitación de informes predefinidos on page 366
• Informes personalizados on page 366
• Generación de informes personalizados on page 368
• Generación de informes de Botnet on page 371
• Generación de informes de uso de la aplicación SaaS on page 373
• Gestión de informes de resumen en PDF on page 375
• Generación de informes de actividad del usuario/grupo on page 377
• Gestión de grupos de informes on page 378
• Programación de informes para entrega de correos electrónicos on page 379
Tipos de informes
El cortafuegos incluye informes predefinidos que puede utilizar tal cual o bien puede crear informes
personalizados que satisfagan sus necesidades por lo que respecta a datos específicos y tareas útiles o
combinar informes predefinidos y personalizados para compilar la información que necesita. El cortafuegos
proporciona los siguientes tipos de informes:
• Informes predefinidos: le permiten ver un resumen rápido del tráfico de su red. Hay disponible un
conjunto de informes predefinidos divididos en cuatro categorías: Aplicaciones, Tráfico, Amenaza y
Filtrado de URL. Consulte Visualización de informes on page 365.
• Informes de actividad de usuario o grupo: le permiten programar o crear un informe a petición sobre
el uso de la aplicación y la actividad de URL para un usuario específico o para un grupo de usuarios. El
informe incluye las categorías de URL y un cálculo del tiempo de exploración estimado para usuarios
individuales. Consulte Generación de informes de actividad del usuario/grupo on page 377.
• Informes personalizados: cree y programe informes personalizados que muestren exactamente la
información que desee ver, filtrando según las condiciones y las columnas que deben incluirse. También
puede incluir generadores de consultas para un desglose más específico de los datos de informe.
Consulte Generación de informes personalizados on page 368.
• Informes de resumen en PDF: agregue hasta 18 informes/gráficos predefinidos o personalizados de las
categorías Amenaza, Aplicación, Tendencia, Tráfico y Filtrado de URL a un documento PDF. Consulte
Gestión de informes de resumen en PDF on page 375.
• Informes de Botnet: le permiten utilizar mecanismos basados en el comportamiento para identificar
posibles hosts infectados por Botnet en la red. Consulte Generación de informes de Botnet on page
371.
• Grupos de informes: combine informes personalizados y predefinidos en grupos de informes y compile
un único PDF que se enviará por correo electrónico a uno o más destinatarios. Consulte Gestión de
grupos de informes on page 378.
Los informes se pueden generar según se necesiten, con una planificación recurrente, y se puede programar
su envío diario por correo electrónico.

Visualización de informes
El cortafuegos proporciona una variedad de más de 40 informes predefinidos que se generan cada día. Estos
informes se pueden visualizar directamente en el cortafuegos. Puede ver estos informes directamente en el
cortafuegos. Además, puede visualizar informes personalizados e informes de resumen.
Se asignan aproximadamente 200 MB de almacenamiento para guardar informes en el cortafuegos. No
puede configurar este límite, pero puede realizar la Configuración del período de vencimiento y de ejecución
para los informes on page 365 para permitir que el cortafuegos elimine automáticamente los informes
que superen el periodo. Tenga en cuenta que cuando el cortafuegos alcance su límite de almacenamiento,
automáticamente elimina informes anteriores para conseguir espacio, incluso si no define un periodo de
caducidad. Otra forma de conservar recursos de sistema del cortafuegos es con la Deshabilitación de
informes predefinidos on page 366. Para la conservación de informes a largo plazo, puede exportar
los informes (como se describe abajo) o a través de la Programación de informes para entrega de correos
electrónicos on page 379.
A diferencia de los otros informes, no puede guardar informes Actividad de grupo/usuario en

el cortafuegos. Debe usar la Generación de informes de actividad del usuario/grupo on page
377 a petición o programarlos para una entrega por correo electrónico.
STEP 1 | Seleccione Monitor (Supervisar) > Reports (Informes).

Los informes se agrupan en secciones (tipos) en el lado derecho de la página: Custom Reports (Informes
personalizados), Application Reports (Informes de aplicación), Traffic Reports (Informes de tráfico),
Threats Reports (Informes de amenazas), URL Filtering Reports (Informes de filtrado de URL) e PDF
Summary Reports (Informes de resumen en PDF).
STEP 2 | Seleccione un informe para visualizarlo. Luego, la página de informes muestra el informe del día
anterior.
Para ver informes de otros días, seleccione una fecha en el calendario en la parte inferior derecha de
la página y seleccione un informe. Si selecciona un informe en otra sección, la selección de la fecha se
restablece a la fecha actual.
STEP 3 | Para visualizar un informe fuera de línea, puede exportar el informe en los formatos PDF, CSV
o XML. Haga clic en Export to PDF (Exportar a PDF), Export to CSV (Exportar a CSV) o Export
to XML (Exportar a XML) en la parte inferior de la página, y luego imprima o guarde.
Configuración del período de vencimiento y de ejecución para los

informes
El período de vencimiento y el período de ejecución forman parte de la configuración global y se aplican
a todos los Tipos de informes on page 364. Tras realizar nuevos informes, el cortafuegos elimina
automáticamente los informes que superen el período de vencimiento.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), edite la
configuración de creación de logs e informes, y seleccione la pestaña Log Export and Reporting
(Exportación e informes de logs).
STEP 2 | Establezca el Report Runtime (Período de ejecución del informe) en una hora en una
programación de 24 horas (valor predeterminado: 02:00; rango: 00:00 [medianoche] a 23:00).

STEP 3 | Introduzca el Report Expiration Period (Período de vencimiento del informe) en días (valor
predeterminado: no posee vencimiento; rango: 1 a 2000).
No puede cambiar el almacenamiento que asigna el cortafuegos para guardar informes:

se ha predefinido a aproximadamente 200 MB. Cuando el cortafuegos alcanza su
almacenamiento máximo, automáticamente elimina informes anteriores para conseguir
espacio, incluso si no define un Report Expiration Period (Período de vencimiento del
informe).
Deshabilitación de informes predefinidos

El cortafuegos incluye aproximadamente 40 informes predefinidos que se generan automáticamente cada
día. Si no utiliza algunos o todos estos informes predefinidos, podrá deshabilitar los informes seleccionados
y conservar recursos del sistema en el cortafuegos.
Asegúrese de que ningún grupo de informes o Informe de resumen en pdf incluye los informes predefinidos
que va a deshabilitar. De lo contrario, el cortafuegos mostrará el informe de resumen PDF o un grupo de
informes sin ningún dato.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración de creación de logs e informes.
STEP 2 | Seleccione la pestaña Pre-Defined Reports (Informes predefinidos) y elimine la selección de

la casilla de verificación para cada informe que desee deshabilitar. Para deshabilitar todos los
informes predefinidos, haga clic en Deselect All (Anular todas las selecciones).
Informes personalizados
Para crear informes personalizados con un fin concreto, debe considerar los atributos o la información clave
que quiere recuperar y analizar. Esta consideración le guiará a la hora de realizar las siguientes selecciones
en un informe personalizado:
Selección DESCRIPTION
Base de datos Puede basar el informe en uno de los siguientes tipos de bases de datos:
• Bases de datos de resumen: estas bases de datos están disponibles para
estadísticas de aplicación, tráfico, amenaza, filtrado de URL y logs de
inspección de túnel. El cortafuegos agrega los logs detallados en intervalos
de 15 minutos. Para habilitar un tiempo de respuesta más rápido al generar
informes, el cortafuegos condensa los datos: las sesiones duplicadas
se agrupan e incrementan con un contador repetido y ciertos atributos
(columnas) se excluyen del resumen.
• Logs detallados: estas bases de datos detallan los logs y enumeran todos los
atributos (columnas) para cada entrada de log.
Los informes basados en logs detallados tardan mucho

más en ejecutarse y no se recomiendan a menos que sea
absolutamente necesario.

Atributos Columnas que quiere utilizar como criterios de coincidencia. Los atributos
son las columnas disponibles para su selección en un informe. Desde la lista
de Available Columns (Columnas disponibles), puede añadir los criterios de
selección para datos coincidentes y para agregar la información detallada
(Selected Columns [Columnas seleccionadas]).
Ordenar por/Agrupar Los criterios Sort By (Ordenar por) y Group By (Agrupar por) le permiten
por organizar/segmentar los datos del informe; los atributos de ordenación y
agrupación disponibles varían basándose en el origen de datos seleccionado.
La opción Sort By (Ordenar por) especifica el atributo que se utiliza para la
agregación. Si no selecciona un atributo según el cual ordenar, el informe
devolverá el primer número N de resultados sin ninguna agregación.
La opción Agrupar por le permite seleccionar un atributo y utilizarlo como
ancla para agrupar datos; a continuación, todos los datos del informe se
presentarán en un conjunto de 5, 10, 25 o 50 grupos principales. Por ejemplo,
si selecciona Hora para Agrupar por y desea disponer de los 25 grupos
principales durante un periodo de 24 horas, los resultados del informe se
generan cada hora durante un periodo de 24 horas. La primera columna del
informe será la hora y el siguiente conjunto de columnas será el resto de las
columnas del informe seleccionadas.
El siguiente ejemplo muestra el modo en que los criterios Selected Columns

(Columnas seleccionadas) y Sort By (Ordenar por)/Group By (Agrupar por)
trabajan en conjunto al generar informes:
Las columnas dentro de un círculo rojo (arriba) muestran las columnas

seleccionadas, que son los atributos que deben coincidir para generar el
informe. Se analiza cada entrada de log del origen de datos y se establecen las
coincidencias con estas columnas. Si varias sesiones tienen los mismos valores
para las columnas seleccionadas, las sesiones se agregarán y se incrementará el
recuento de repeticiones (o sesiones).
La columna dentro de un círculo azul indica el orden de clasificación
seleccionado. Cuando se especifica el orden de clasificación (Sort By [Ordenar
por]), los datos se ordenan (y agregan) según el atributo seleccionado.
La columna dentro de un círculo verde indica la selección de Group By
(Agrupar por), que sirve de ancla para el informe. La columna Group By
(Agrupar por) se utiliza como criterio de coincidencia para filtrar los N grupos
principales. A continuación, para cada uno de los N grupos principales, el
informe enumera los valores del resto de las columnas seleccionadas.

Por ejemplo, si un informe tiene las siguientes selecciones:
El resultado será el siguiente:
El informe está anclado por Day (Día) y se ordena por Sessions (Sesiones).
Enumera los 5 días (5 Groups [5 grupos]) con el máximo de tráfico en el
período de tiempo de Last 7 Days (Últimos 7 días). Los datos se enumeran
según las Top 5 (5 principales) sesiones de cada día para las columnas
seleccionadas: App Category (Categoría de aplicación), App Subcategory
(Subcategoría de aplicación) y Risk (Riesgo).
Período de tiempo Intervalo de fechas para el que quiere analizar datos. Puede definir un intervalo
personalizado o seleccionar un periodo que vaya desde los últimos 15 minutos
hasta los últimos 30 días. Los informes se pueden ejecutar a petición o se
pueden programar para su ejecución cada día o cada semana.
Generador de El generador de consultas le permite definir consultas específicas para ajustar

consultas aún más los atributos seleccionados. Le permite ver solamente lo que desee
en su informe utilizando los operadores y y o y un criterio de coincidencia y,
a continuación, incluir o excluir datos que coincidan o nieguen la consulta del
informe. Las consultas le permiten generar una intercalación de información
más centrada en un informe.
Generación de informes personalizados

Puede configurar informes personalizados que el cortafuegos genera inmediatamente (a petición) o
según una planificación (cada noche). Para comprender las selecciones disponibles para crear un informe
personalizado determinado, consulte informes personalizados.
Una vez que el cortafuegos genera un informe personalizado programado, existe el

riesgo de invalidar los resultados anteriores de ese informe si modifica su configuración
para cambiar los resultados futuros. Si desea modificar la configuración de un informe
programado, se recomienda crear un informe nuevo.

STEP 1 | Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes
personalizados).
STEP 2 | Haga clic en Añadir y, a continuación, introduzca un Nombre para el informe.
Para basar un informe en una plantilla predefinida, haga clic en Cargar plantilla y
seleccione la plantilla. A continuación, podrá editar la plantilla y guardarla como un
informe personalizado.
STEP 3 | Seleccione la Database (Base de datos) que debe utilizarse para el informe.
Cada vez que cree un informe personalizado, se creará un informe de vista de log
automáticamente. Este informe muestra los logs que se utilizaron para crear el
informe personalizado. El informe Vista de log utiliza el mismo nombre que el informe
personalizado, pero añade las palabras (Vista de log) al nombre del informe.
Al crear un grupo de informes, puede incluir el informe Vista de log con el informe personalizado. Para
obtener más información, consulte Gestión de grupos de informes.
STEP 4 | Seleccione la casilla de verificación Scheduled (Programado) para ejecutar el informe cada
noche. A continuación, el informe estará disponible para su visualización en la columna Reports
(Informes) del lateral.
STEP 5 | Defina los criterios de filtrado. Seleccione el Time Frame (Período), el orden Sort By (Ordenar
por) y la preferencia Group By (Agrupar por), y seleccione las columnas que deben mostrarse
en el informe.
STEP 6 | (Opcional) Seleccione los atributos de Query Builder (Generador de consultas) si desea
limitar aun más los criterios de selección. Para crear una consulta de informe, especifique
lo siguiente y haga clic en Add (Añadir). Repita las veces que sean necesarias para crear la
consulta completa.
• Connector (Conector): seleccione el conector (y/o) para preceder la expresión que está agregando.
• Negate (Negar): seleccione la casilla de verificación para interpretar la consulta como una negativa.
Si, por ejemplo, decide hacer coincidir las entradas de las últimas 24 horas o se originan en la zona no
fiable, la opción de negación produce una coincidencia en las entradas que no se hayan producido en
las últimas 24 horas o no pertenezcan a la zona no fiable.
• Attribute (Atributo): seleccione un elemento de datos. Las opciones disponibles dependen de la
elección de la base de datos.
• Operator (Operador): seleccione el criterio para determinar si se aplica el atributo (como =). Las
opciones disponibles dependen de la elección de la base de datos.
• Value (Valor): especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente figura (basada en la base de datos Traffic Log) muestra una consulta que
coincide si se ha recibido la entrada de log de tráfico de la zona no fiable en las últimas 24 horas.
STEP 7 | Para comprobar los ajustes de informes, seleccione Run now (Ejecutar ahora). Modifique los
ajustes según sea necesario para cambiar la información que se muestra en el informe.

STEP 8 | Haga clic en OK (Aceptar) para guardar el informe personalizado.
Ejemplos de informes personalizados
Si desea configurar un informe sencillo en el que utiliza la base de datos de resumen de tráfico de los
últimos 30 días y ordena los datos por las 10 sesiones principales y dichas sesiones se agrupan en 5
grupos por día de la semana. Debería configurar el informe personalizado para que tuviera un aspecto
parecido a este:
Y el resultado en PDF del informe debería tener un aspecto parecido a este:
Ahora, si quiere utilizar el generador de consultas para generar un informe personalizado que represente
a los principales consumidores de los recursos de red dentro de un grupo de usuarios, debería configurar
el informe para que tuviera un aspecto parecido a este:

El informe debería mostrar a los principales usuarios del grupo de usuarios de gestión de productos
ordenados por bytes.
Generación de informes de Botnet

El informe de Botnet le permite utilizar mecanismos heurísticos y basados en el comportamiento para
identificar posibles hosts infectados por Botnet en la red. Para evaluar la actividad de botnet y los hosts
infectados, el cortafuegos relaciona los datos de actividad de red en los logs de amenazas, URL y filtrado
de datos con la lista de URL de malware de PAN-DB, proveedores de DNS dinámico conocidos y dominios
registrados en los últimos 30 días. Puede configurar el informe para identificar hosts que visitaron esos
sitios, así como hosts que se comunicaron con los servidores de Internet Relay Chat (IRC) o que usaron
aplicaciones desconocidas. El malware a menudo usa DNS dinámicas para evitar las listas negras de IP,
mientras que los servidores IRC a menudo usan bot para funciones automatizadas.
El cortafuegos requiere licencias de Threat Prevention y Filtrado de URL para usar el

informe de botnet. Puede Use el motor de correlación automatizada. on page 336 para
monitorizar actividades malintencionadas según indicadores adicionales a los que usa
el informe de botnet. Sin embargo, el informe de botnet es la única herramienta que usa
dominios registrados recientemente como un indicador.
• Configuración de un informe de botnet on page 371

• Interpretación de los resultados del informe de botnet on page 372
Configuración de un informe de botnet

Puede programar un informe de botnet o ejecutarlo según demanda. El cortafuegos genera informes
de botnet programados cada 24 horas porque la detección basada en comportamiento requiere que se
correlacione tráfico en múltiples logs a lo largo de ese intervalo de tiempo.
STEP 1 | Defina los tipos de tráfico que indican una posible actividad de botnet.
1. Seleccione Monitor (Supervisar) > Botnet y haga clic en Configuration (Configuración) a la derecha
de la página.
2. Habilite con Enable (Habilitar) y defina el conteo con Count (Recuento) para cada tipo de Tráfico
HTTP que desea que incluya el informe.
Los valores de Count (Recuento) representan el número mínimo de eventos de cada tipo de tráfico
que deben producirse para que el informe enumere el host asociado con una puntuación de confianza
más alta (mayor probabilidad de infección de botnet). Si el número de eventos es inferior al Count

(Recuento), el informe mostrará una puntuación de confianza inferior o (para ciertos tipos de tráfico)
no se mostrará una entrada para el host. Por ejemplo, si define el Count (Recuento) en tres para
Malware URL visit (Visita URL de malware), los hosts que ingresen en tres o más URL de malware
conocidos tendrán mayores puntuaciones que los hosts que ingresen en menos de tres. Si desea
información detallada, consulte Interpretación de los resultados del informe de botnet on page
372.
3. Defina los umbrales que determinan si el informe incluirá hosts asociados con el tráfico que incluya
aplicaciones TCP o UDP desconocidas.
4. Seleccione la casilla de verificación IRC para incluir tráfico que relacionado con servidores IRC.
5. Haga clic en OK (Aceptar) para guardar la configuración del informe.
STEP 2 | Programe el informe o ejecútelo según demanda.

1. Haga clic en Report Setting (Configuración de informe) en la parte derecha de la página.
2. Seleccione un intervalo de tiempo para el informe en la lista desplegable Test Run Time Frame
(Marco de tiempo de ejecución de prueba).
3. Indique en No. of Rows (Número de filas) el número de filas que desee incluir en el informe.
4. (Opcional) Utilice la opción Add (Añadir) para añadir entradas en Query Builder (Generador de
consultas) con el fin de filtrar el informe por atributos como direcciones IP de origen o destino,
usuarios o zonas.
Por ejemplo, si conoce por adelantado que el tráfico iniciado desde la dirección IP 10.3.3.15 no
contiene una actividad de botnet potencial, añada not (addr.src in 10.0.1.35) como
consulta para excluir ese host desde los resultados del informe. Si desea información detallada,
consulte Interpretación de los resultados del informe de botnet on page 372.
5. Seleccione Scheduled (Programado) para ejecutar el informe diariamente o haga clic en Run Now
(Ejecutar ahora) para ejecutar el informe inmediatamente.
Interpretación de los resultados del informe de botnet

El informe de botnet muestra una línea para cada host que está asociado con el tráfico que haya definido
como sospechoso cuando configuró el informe. Para cada host, el informe muestra una puntuación de
confianza de 1 a 5 para indicar la probabilidad de infección de botnet, donde 5 indica la probabilidad
de infección más alta. Las puntuaciones corresponden a los niveles de gravedad de las amenazas: 1 es
informativa, 2 es baja, 3 es media, 4 es alta y 5 es crítica. El cortafuegos basa las puntuaciones en:
• Tipo de tráfico: ciertos tipos de tráfico HTTP tienen más probabilidad de implicar actividad de botnet.
Por ejemplo, el informe asigna una mayor confianza a los hosts que visitan URL de malware conocido
que a los hosts que navegan a dominios de IP en lugar de URL, asumiendo que ha definido que ambas
actividades son sospechosas.
• Cantidad de eventos: los hosts que están asociados a un número mayor de eventos sospechosos tendrán
mayores puntuaciones de confianza en función de los umbrales (valores de Count [Recuento]) que usted
define cuando realiza la Configuración de un informe de botnet on page 371.
• Descargas ejecutables: el informe asigna una mayor confianza en los hosts que descargan archivos
ejecutables. Los archivos ejecutables son parte de muchas infecciones y, si se combinan otros tipos de
tráfico sospechoso, puede ayudarle a priorizar sus investigaciones de hosts comprometidos.
Cuando revisa los resultados del informe, puede detectar que los orígenes que usa el cortafuegos para
evaluar la actividad del botnet (por ejemplo, la lista de URL de malware en PAN-DB) tiene carencias.
También puede averiguar que estos orígenes identifican el tráfico que considere seguro. Para compensar
ambos casos, puede agregar filtros de consulta cuando realiza una Configuración de un informe de botnet
on page 371.

Generación de informes de uso de la aplicación SaaS
El informe en PDF de uso de la aplicación SaaS es un informe de dos partes basado en la idea de
aplicaciones aprobadas y no aprobadas. Una aplicación aprobada es una aplicación que usted formalmente
aprueba para usar en la red; una aplicación SaaS es una aplicación que tiene la característica SaaS=yes en la
página de detalles de las aplicaciones en Objects (Objetos) > Applications (Aplicaciones), todas las demás
aplicaciones se consideran como no SaaS. Para indicar que ha aprobado una aplicación SaaS o no SaaS,
debe etiquetarla con la nueva etiqueta predefinida denominada Sanctioned. El contrafuegos y Panorama
consideran cualquier aplicación sin esta etiqueta predefinida como no sancionada para usar en la red.
• La primera parte del informe (10 páginas) se centra en las aplicaciones SaaS utilizadas en su red durante
el período del informe. Presenta una comparación de aplicaciones SaaS aprobadas frente a no aprobadas
según el número total de aplicaciones utilizadas en su red, el ancho de banda consumido por estas
aplicaciones, la cantidad de usuarios que utilizan estas aplicaciones, los principales grupos de usuarios
que utilizan la mayor cantidad de aplicaciones SaaS, y los principales grupos de usuarios que transfieren
el mayor volumen de datos a través de aplicaciones SaaS aprobadas y no aprobadas. La primera parte
del informe también resalta las principales subcategorías de aplicaciones SaaS enumeradas en orden
según la cantidad máxima de aplicaciones usadas, la cantidad de usuarios y la cantidad de datos (bytes)
transferidos en cada subcategoría de aplicación.
• La segunda parte del informe se concentra en la información de navegación detallada para aplicaciones
SaaS y no SaaS para cada subcategoría de aplicación enumerada en la primera parte del informe. Para
cada aplicación en una subcategoría, también incluye información sobre los principales usuarios que
transfirieron datos, los principales tipos de archivos boqueados o con alertas, y las principales amenazas
para cada aplicación. Además, esta sección del informe cuenta las muestras para cada aplicación que
el cortafuegos envió para el análisis de WildFire y la cantidad de muestras que se clasificaron como
benignas y malintencionadas.
Use la información de este informe para consolidar la lista de aplicaciones SaaS aprobadas y críticas de la
empresa, y para aplicar las políticas para controlar las aplicaciones no aprobadas que representan un riesgo
innecesario para la propagación del malware y la pérdida de datos.
El informe de uso de aplicación SaaS predefinido que se introdujo en PAN-OS 7.0 aún está
disponible como informe diario que enumera las principales 100 aplicaciones SaaS (con la
característica de aplicación SaaS, SaaS=yes) que se ejecuta en la red en un día dado.
STEP 1 | Etiquete las aplicaciones que aprueba para su uso en la red como Sanctioned.
Para generar un informe correcto e informativo, debe etiquetar las aplicaciones

aprobadas de manera consistente en los contrafuegos con múltiples sistemas virtuales y
en los cortafuegos que pertenecen a un grupo de dispositivos en Panorama. Si la misma
aplicación está etiquetada como aprobada en un sistema virtual y como no aprobada
en otro, o en Panorama, si una aplicación no está aprobada en un grupo de dispositivos
primarios pero está etiquetada como aprobada en un grupo de dispositivos secundarios
(o viceversa), el informe de uso de la aplicación SaaS informará la aplicación como
parcialmente aprobada y mostrará resultados superpuestos.
Ejemplo: Si Box es sancionada en vsys1 y Google Drive es sancionada en vsys2, los usuarios de Google
Drive en vsys1 se contarán como usuarios de una aplicación SaaS no sancionada y los usuarios de
Box en vsys2 se contarán como usuarios de una aplicación SaaS no sancionada. El resultado principal
en el informe destacará que un total de dos aplicaciones SaaS únicas se detectan en la red con dos
aplicaciones sancionadas y dos aplicaciones no sancionadas.
1. Seleccione Object (Objeto) > Applications (Aplicaciones).

2. Haga clic en el nombre de la aplicación en Name (Nombre) para editar una aplicación y seleccione
Edit (Modificar) en la sección Tag (Etiqueta).
3. Seleccione Sanctioned (Aprobada) en la lista desplegable Tags (Etiquetas).
Debe usar la etiqueta predefinida Sanctioned (Aprobada) (con color verde de fondo). Si usa cualquier
otra etiqueta para indicar que aprobó la aplicación, el cortafuegos no reconocerá la etiqueta y el
informe será impreciso.
4. Haga clic en OK (Aceptar) y Close (Cerrar) para salir de todos los cuadros de diálogo abiertos.
STEP 2 | Configure el informe de uso de aplicación SaaS.

1. Seleccione Monitor (Supervisar) > PDF Reports (Informes en PDF) > SaaS Application Usage (Uso de
aplicación SaaS).
2. Haga clic en Add (Añadir), introduzca un nombre en Name (Nombre) y seleccione un Time Period
(Período) para el informe (el valor por defecto es Last 7 Days [Últimos 7 días]).
Por defecto, el informe incluye información detallada sobre las principales

subcategorías de aplicación SaaS y no SaaS, lo cual puede hacer que el informe sea
grande en cuento a páginas y tamaño de archivo. Desmarque la casilla de verificación
Include detailed application category information in report (Incluir información de
categoría de aplicación detallada en el informe) si desea reducir el tamaño de archivo
y limitar el recuento de páginas a 10.
3. Seleccione si desea la opción de informe Include logs from (Incluir logs de):
• All User Groups and Zones (Todos los grupos de usuarios y zonas): el informe incluye datos sobe
todas las zonas de seguridad y grupos de usuarios disponibles en los logs.
Si desea incluir grupos de usuarios específicos en el informe, seleccione Include user group
information in the report (Incluir información de grupo de usuarios en el informe) y haga clic en
el enlace manage groups (gestionar grupos) para seleccionar los grupos que desea incluir. Debe
añadir entre uno y un máximo de 25 grupos de usuario, de manera que el cortafuegos o Panorama
puedan filtrar los logs para los grupos de usuario seleccionados. Si selecciona los grupos para
incluir, el informe agregará a todos los grupos de usuario en un solo grupo denominado Others
(Otros).
• Selected Zone (Zona seleccionada): el informe filtra los datos para la zona de seguridad
especificada e incluye los datos de esa zona únicamente.
Si desea incluir grupos de usuarios específicos en el informe, seleccione Include user group
information in the report (Incluir información de grupo de usuarios en el informe) y haga clic
en el enlace manage groups for selected zone (gestionar grupos de zona seleccionada) para
seleccionar los grupos de usuarios dentro de esta zona que desea incluir en el informe. Debe
añadir entre uno y un máximo de 25 grupos de usuario, de manera que el cortafuegos o Panorama
puedan filtrar los logs para los grupos de usuario seleccionados dentro de la zona de seguridad.

Si selecciona los grupos para incluir, el informe agregará a todos los grupos de usuario en un solo
grupo denominado Others (Otros).
• Selected User Group (Grupo de usuarios seleccionados): el informe filtra los datos para el grupo
de usuarios especificado únicamente e incluye la información de uso de aplicación de SaaS para el
grupo de usuarios seleccionado únicamente.
4. Seleccione si desea incluir todas las subcategorías de la aplicación en el informe (opción

predeterminada) o Limit the max subcategories in the report (Limitar las subcategorías máx. en
el informe) a las principales 10, 15, 20 o 25 categorías (la opción predeterminada es todas las
subcategorías).
5. Haga clic en Run Now (Ejecutar ahora) para generar el informe a pedido para el periodo de los
últimos 7 días y los últimos 30 días. Asegúrese de que el bloqueador de elementos emergentes esté
deshabilitado en su navegador, debido a que el informe se abre en una nueva pestaña.
STEP 3 | Programación de informes para entrega de correos electrónicos on page 379.

El informe de los últimos 90 días debe programarse para el envío por correo electrónico.
En los cortafuegos de la serie PA-200, PA-220 y PA-500, el informe de uso de aplicación SaaS no se
envía como PDF adjunto en el correo electrónico. En lugar de eso, el correo electrónico incluye un
enlace en el que debe hacer clic para abrir el informe en un explorador web.
Gestión de informes de resumen en PDF

Los informes de resumen en PDF contienen información recopilada de informes existentes, basándose
en datos de los 5 principales de cada categoría (en vez de los 50 principales). También pueden contener
gráficos de tendencias que no están disponibles en otros informes.
STEP 1 | Configure un Informe de resumen en PDF.

1. Seleccione Monitor (Supervisar) > PDF Reports (Informes PDF) > Manage PDF Summary (Gestionar
resumen en PDF).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un Name (Nombre) para el informe.
3. Utilice la lista desplegable para cada grupo de informes y seleccione uno o varios de los elementos
para diseñar el informe de resumen en PDF. Puede incluir un máximo de 18 elementos de informe.

• Para eliminar un elemento del informe, haga clic en el icono x o cancele la selección del menú
desplegable para el grupo de informes adecuado.
• Para reorganizar los informes, arrastre y coloque los iconos de elemento en otra área del informe.
4. Haga clic en OK (Aceptar) para guardar el informe.
STEP 2 | Vea el informe.

Para descargar y ver el informe de resumen en PDF, consulte Visualización de informes on page 365.

Generación de informes de actividad del usuario/grupo
Los informes de actividad de grupo/usuario resumen la actividad web de usuarios individuales o grupos de
usuarios. Ambos informes incluyen la misma información, excepto Browsing Summary by URL Category
(Examinar resumen por categoría de URL) y Browse time calculations (Cálculos de tiempo de exploración),
que se incluyen en informes de actividad del usuario únicamente.
Debe configurar User-ID on page 449 en el cortafuegos para acceder a lista de usuarios/grupos de
usuarios.
STEP 1 | Configurar los tiempos de exploración y número de logs para informes de actividad de grupo/
usuario.
Solo es obligatorio si desea cambiar los valores predeterminados.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión), edite la
configuración de creación de logs e informes, y seleccione la pestaña Log Export and Reporting
(Exportación e informes de logs).
2. En Max Rows in User Activity Report (Filas máximas en informe de actividad de usuario): introduzca
el número máximo de filas que se admite para los informes de actividad detallada del usuario
(intervalo: 1-1048576; valor por defecto: 5000). Escriba el número de logs que analiza el informe.
3. Introduzca el Average Browse Time (Tiempo de exploración promedio) en segundos que estima que
los usuarios deberían tardar en explorar una página web (intervalo: 0-300 segundos; por defecto: 60).
Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se
considerará una nueva actividad de exploración. El cálculo usa Páginas contenedoras on page 638
(iniciado en los logs de filtrado de URL) como base e ignorará las páginas web nuevas que se carguen

entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. Por
ejemplo, si define que el Average Browse Time (Tiempo de exploración promedio) es de 2 minutos y
un usuario abre una página web y visualiza dicha página durante 5 minutos, el tiempo de exploración
de dicha página seguirá siendo de 2 minutos. Esto es así porque no hay forma de determinar durante
cuánto tiempo un usuario visualiza una página concreta. El cálculo del tiempo medio de exploración
ignorará los sitios categorizados como anuncios web y redes de entrega de contenido.
4. En Page Load Threshold (Umbral de carga de página), introduzca el tiempo previsto en segundos que
tardan los elementos de una página en cargarse en la página (el valor por defecto es 20). Cualquier
solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se
considerará que son elementos de la página. Cualquier solicitud que se produzca fuera del umbral de
carga de página se considerará que es el usuario haciendo clic en un enlace de la página.
STEP 2 | Genere el informe de actividad de grupo/usuario.

1. Seleccione Monitor (Supervisar) > PDF Reports (Informes en PDF) > User Activity Report (Informe
de actividad del usuario).
2. Haga clic en Add ((Añadir) y, a continuación, introduzca un Name (Nombre) para el informe.
3. Cree el informe:
• Informe de actividad del usuario: seleccione User (Usuario) e introduzca el nombre de usuario
en Username (Nombre de usuario) o la dirección IP en IP address (Dirección IP) (IPv4 o IPv6) del
usuario.
• Informe de actividad de grupo: seleccione Group (Grupo) y elija el Group Name (Nombre del
grupo) del grupo de usuarios.
4. Seleccione el Time Period (Período) del informe.
5. (Opcional) Seleccione la casilla de verificación Include Detailed Browsing (Incluir exploración
detallada) (de manera predeterminada, no está seleccionada) para incluir logs de URL detallados en el
informe.
La información de navegación detallada puede incluir un gran volumen de logs (miles de logs) para el
usuario o grupo de usuarios seleccionado y puede hacer que el informe sea muy extenso.
6. Para ejecutar el informe a petición, haga clic en Run Now (Ejecutar ahora).
7. Para guardar la configuración del informe, haga clic en OK (Aceptar). No puede guardar la salida de
los informes de actividad de grupo/usuario. Puede programar la entrega por correo electrónico del
informe; consulte la Programación de informes para entrega de correos electrónicos on page 379.
Gestión de grupos de informes

Los grupos de informes le permiten crear conjuntos de informes que el sistema puede recopilar y
enviar como un informe agregado en PDF único con una página de título opcional y todos los informes
constituyentes incluidos.
Configure grupos de informes.

Debe configurar un Grupo de informes para enviar informes por correo electrónico.
1. Cree un perfil de servidor de correo electrónico.
2. Defina el Grupo de informes. Un grupo de informes puede compilar informes predefinidos, informes
de resumen en PDF, informes personalizados e informes Vista de log en un único PDF.
1. Seleccione Monitor (Supervisar) > Report Group (Grupo de informes).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un Name (Nombre) para el grupo de
informes.
3. (Opcional) Seleccione Title Page (Página de título) y añada un Title (Título) para el PDF creado.

4. Seleccione informes de la columna izquierda y haga clic en Add (Añadir) para mover cada informe
al grupo de informes en la derecha.
El informe Log View (Ver log) es un tipo de informe que se crea automáticamente cada vez que
crea un informe personalizado y utiliza el mismo nombre que el informe personalizado. Este
informe mostrará los logs que se han utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log al crear un grupo de informes, añada su informe personalizado
a la lista Custom Reports (Informes personalizados) y, a continuación, para añadir el informe Vista
de log, seleccione el nombre del informe coincidente en la lista Log View (Vista de log). El informe
incluirá los datos del informe personalizado y los datos de log que se han utilizado para crear el
informe personalizado.
6. Para utilizar el grupo de informes, consulte Programación de informes para entrega de correos
electrónicos.
Programación de informes para entrega de correos electrónicos

Los informes se pueden programar para una entrega diaria o semanal en un día especificado. Los informes
programados comienzan a ejecutarse a las 2:00 AM y la entrega de correo electrónico comienza después de
que se hayan generado todos los informes programados.
STEP 1 | Seleccione Monitor (Supervisar) > PDF Reports (Informes en PDF) > Email Scheduler
(Programador de correo electrónico) y haga clic en Add (Añadir).
STEP 2 | Introduzca un nombre en Name para identificar la programación.
STEP 3 | Seleccione el Report Group (Grupo de informes) para la entrega de correos electrónicos. Para
configurar un grupo de informes, consulte Gestión de grupos de informes.
STEP 4 | En Email Profile (Perfil de correo electrónico), seleccione un perfil de servidor de correo
electrónico que se utilizará para entregar los informes o haga clic en el enlace Email Profile
(Perfil de correo electrónico) para llevar a cabo la Creación de un perfil de correo electrónico.

STEP 5 | Seleccione la frecuencia con la que generar y enviar el informe en Recurrence (Periodicidad).
STEP 6 | El campo Override Email Addresses (Cancelar direcciones de correo electrónico) le permite
enviar este informe exclusivamente a los destinatarios especificados. Cuando añade
destinatarios al campo, el cortafuegos no envía el informe a los destinatarios configurados en
el perfil de servidor de correo electrónico. Utilice esta opción para las ocasiones en las que el
informe vaya dirigido a una persona distinta de los administradores o destinatarios definidos en
el perfil de servidor de correo electrónico.

Uso de servicios externos para la
monitorización
El uso de un servicio externo para monitorizar el cortafuegos le permite recibir alertas de eventos
importantes, archivar información monitorizada de sistema con almacenamiento dedicado a largo plazo
e integrarse con herramientas de monitorización de seguridad de terceros. Los siguientes son escenarios
comunes para el uso de servicios externos:
Para una notificación inmediata de amenazas o eventos de sistema importantes, puede utilizar la
Monitorización de estadísticas mediante SNMP on page 424. Reenvío de capturas a un administrador
SNMP on page 425 o Configuración de alertas de correo electrónico on page 385.
Para enviar una solicitud de API basada en HTTP directamente a un servicio externo que expone una
API para automatizar un flujo de trabajo o una acción. Puede, por ejemplo, reenviar logs que coinciden
con los criterios definidos para crear un ticket de incidencia en Service Now en lugar de confiar en un
sistema externo para convertir mensajes de syslog o capturas de SNMP en una solicitud HTTP. Puede
modificar la URL, el encabezado HTTP, los parámetros y la carga en la solicitud HTTP para desencadenar
una acción en función de los atributos en un log del cortafuegos. Consulte Reenvío de logs a un destino
de HTTP on page 435.
Para el almacenamiento de logs a largo plazo y la monitorización de cortafuegos centralizados, puede
usar la Configuración de la monitorización de syslog on page 387 para enviar los datos de logs a
un servidor Syslog. Esto permite la integración con herramientas de monitorización de seguridad de
terceros, como Splunk! o ArcSight.
Si desea monitorizar estadísticas en el tráfico IP que atraviesa las interfaces de cortafuegos, puede
realizar la Configuración de exportaciones de NetFlow on page 439 para ver las estadística en el
colector de NetFlow.
Puede realizar la Configuración de reenvío de logs on page 382 desde los cortafuegos directamente a
servicios externos o desde los cortafuegos a Panorama y después configurar Panorama para reenviar los
logs a los servidores. Consulte las Opciones de reenvío de logs para los factores a tener en cuenta a la hora
de decidir dónde enviar los logs.
No puede agregar registros de NetFlow en Panorama; debe enviarlos directamente desde

los cortafuegos al recopilador de NetFlow.

Configuración de reenvío de logs
En un entorno en el que utiliza varios cortafuegos para controlar y analizar el tráfico de red, cualquier
cortafuegos puede mostrar logs e informes solo para el tráfico que supervisa. Debido a que el inicio de
sesión en varios cortafuegos puede hacer de la supervisión una tarea engorrosa, puede lograr una visibilidad
global de la actividad de la red de manera más eficiente al reenviar los logs de todos los cortafuegos a
Panorama o los servicios externos. Si utiliza servicios externos para supervisión, el cortafuegos convierte
automáticamente los logs en el formato necesario: mensajes syslog, capturas SNMP, notificaciones de
correo electrónico o como una carga HTTP para enviar los detalles de log a un servidor HTTP. En los casos
en que algunos equipos de su organización puedan lograr mayor eficiencia al supervisar solo los logs que
son relevantes para sus operaciones, puede crear filtros de reenvío basados en cualquier atributo de logs (tal
como un tipo de amenaza o usuario de origen). Por ejemplo, un analista de operaciones de seguridad que
investiga ataques de malware puede estar interesado únicamente en logs de amenazas con el atributo de
tipo configurado en wildfire-virus.
Puede reenviar logs desde los cortafuegos directamente a servicios externos o desde
los cortafuegos a Panorama y después configurar Panorama para reenviar los logs a los
servidores. Consulte las Opciones de reenvío de logs para los factores a tener en cuenta a la
hora de decidir dónde enviar los logs.
Puede usar comandos de copia segura (SCP) de la CLI para exportar la base de datos de
logs completa a un servidor SCP e importarlo a otro cortafuegos. Como la base de datos de
logs es demasiado grande para que sea práctico importarla o exportarla en el cortafuegos
PA-7000 Series, esta no admite esas opciones. También puede usar la interfaz web en
todas las plataformas para ver y gestionar informes, pero solo según tipo de logs, no según
toda la base de datos de logs.
STEP 1 | Configure un perfil de servidor para cada servicio externo que recibirá información de logs.
Puede usar perfiles diferentes para enviar conjuntos de logs diferentes, filtrados por
atributos de log, a un servidor diferente. Para aumentar la disponibilidad, defina múltiples
servidores en un único perfil.
Configure uno o más de los siguientes perfiles de servidor:

• Cree un perfil de servidor de correo electrónico.
• Paso Configure un perfil de servidor de capturas de SNMP. Para habilitar al gestor SNMP (servidor de
capturas) para que interprete las capturas de cortafuegos, debe cargar los MIB compatibles de Palo
Alto Networks en el gestor SNMP y, si fuera necesario, compilarlos. Si desea información detallada,
consulte la documentación de software de gestión de SNMP.
• Configure un perfil de servidor Syslog. Si el servidor Syslog requiere la autenticación de cliente,
también debe Crear un certificado para garantizar la comunicación syslog en SSL.
• Configure un perfil de servidor HTTP (consulte Envío de logs a un destino HTTP).
STEP 2 | Cree un perfil de reenvío de logs.

El perfil define los destinos para tráfico, amenaza, envío de WildFire, filtro de URL, filtro de datos, túnel y
logs de autenticación.
1. Seleccione Objects (Objetos) > Log Forwarding (Reenvío de logs) y luego Add (Añadir) para añadir un
perfil.

Si desea que el cortafuegos asigne automáticamente el perfil a nuevas reglas y zonas de seguridad,
escriba predeterminado. Si no desea un perfil por defecto o desea cancelar un perfil por defecto
existente, introduzca un nombre en Name (Nombre), que lo ayudará a identificar el perfil cuando lo
asigne a reglas y zonas de seguridad.
Si no existen perfiles de reenvío de logs llamados default, la selección del perfil

se define como None (Ninguno) por defecto en nuevas reglas de seguridad (campo
Log Forwarding [Reenvío de log]) y nuevas zonas de seguridad (campo Log Setting
[Configuración de log]), aunque usted puede cambiar la selección.
3. Seleccione Add (Añadir) para añadir uno o más perfiles de la lista de coincidencias.
Los perfiles especifican los filtros de la consulta de log, los destinos de reenvío y las acciones
automáticas, así como el etiquetado. Para cada perfil de lista de coincidencia:
2. Seleccione el Log Type (Tipo de log).
3. En la lista desplegable Filter (Filtro), seleccione Filter Builder (Generador de filtro). Especifique lo
siguiente y luego seleccione Add (Añadir) para añadir cada consulta:
• Lógica de Connector (Conector) (y/o)
• Attribute (Atributo) de log
• Operator (Operador) para definir lógica de inclusión o exclusión
• Value (Valor) de atributo para coincidencia de la consulta
4. Seleccione Panorama si desea reenviar logs a los recopiladores de logs o al servidor de gestión
Panorama.
5. Para cada tipo de servicio externo que utilice para supervisar (SNMP, correo electrónico, syslog y
HTTP), seleccione Add (Añadir) para añadir uno o más perfiles de servidor.
4. Haga clic en OK (Aceptar) para guardar el perfil de reenvío de logs.
STEP 3 | Asigne el perfil de reenvío de logs a las reglas de politica y zonas de red.
Las reglas de seguridad, autenticación y protección DoS admiten el reenvío de logs. En este ejemplo, se
asigna el perfil a una regla de seguridad.
Realice los siguientes pasos por cada regla que desee que active el reenvío de logs:
1. Seleccione Policies (Políticas) > Security (Seguridad) y modifique la regla.
2. Seleccione Actions (Acciones) y seleccione el perfil de Log Forwarding (Reenvío de logs) que creó.
3. Configure el Profile Type (Tipo de perfil), en Profiles (Perfiles) o Group (Grupo), y luego seleccione
los perfiles de seguridad o Group Profile (Perfil de grupo) requeridos para activar la generación y el
reenvío de logs para lo siguiente:
• Logs de amenazas: el tráfico debe coincidir con cualquier perfil de seguridad asignado a una regla.
• Logs de envío de WildFire: el tráfico debe coincidir con un perfil de análisis de WildFire asignado a
la regla.
4. Para los logs de tráfico, seleccione Log At Session Start (Log al iniciar sesión) o Log At Session End
(Log al finalizar sesión).
5. Haga clic en OK (Aceptar) para guardar la regla.
STEP 4 | Configure los destinos de los logs de sistema, configuración, ID de usuario, coincidencias HIP y
correlación.
Panorama genera logs de correlación basados en los logs de cortafuegos que recibe, en
lugar de agrupar logs de correlación de los cortafuegos.
1. Seleccione Device (Dispositivo) > Log Settings (Configuración de log).

2. Para cada tipo de log que el cortafuegos reenviará, consulte el paso Añadir uno o más perfiles de lista
de coincidencia.
STEP 5 | (Solo cortafuegos PA-7000 Series) Configure una interfaz de tarjeta de log para realizar el
reenvío de logs.
1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en Add Interface (Añadir interfaz).
2. Seleccione la Slot (Ranura) y el Interface Name (Nombre de interfaz).
3. Cambie el Interface Type (Tipo de interfaz) a Log Card (Tarjeta de log).
4. Introduzca la IP Address (Dirección IP), Default Gateway (Puerta de enlace predeterminada) y (para
IPv4 únicamente) la Netmask (Máscara de red).
5. Seleccione Advanced (Avanzado) y especifique Link Speed (Velocidad del enlace), Link Duplex
(Dúplex de enlace) y Link State (Estado de enlace).
Estos campos están configurados por defecto en auto, que especifica que el
cortafuegos determina automáticamente los valores según la conexión. Sin embargo,
el valor mínimo recomendado de Link Speed (Velocidad de enlace) para cualquier
conexión es de 1000 (Mbps).
STEP 6 | Compile y compruebe sus cambios.

2. Compruebe que los destinos de log que configuró reciben logs de cortafuegos:
• Panorama: si el cortafuegos reenvía los logs a un dispositivo virtual Panorama en modo Panorama
o a un dispositivo serie M, debe configurar un grupo de recopiladores antes de que Panorama
reciba los logs. Después puede verificar el reenvío de logs.
• Servidor de correo electrónico: compruebe que los destinatarios especificados reciben logs como
notificaciones de correo electrónico.
• Servidor de syslog: consulte la documentación de su servidor syslog para comprobar que recibe
logs como mensajes de syslog.
• Gestor SNMP: use un gestor SNMP para explorar MIB y objetos, a fin de verificar que recibe logs
como capturas SNMP.
• Servidor HTTP: reenvíe logs a un destino de HTTP.

Configuración de alertas de correo electrónico
Puede configurar alertas de correo electrónico para los logs de sistema, configuración, coincidencias HIP,
correlación, amenazas, envío de WildFire y tráfico.
STEP 1 | Cree un perfil de servidor de correo electrónico.
Puede usar perfiles separados para enviar notificaciones de correo electrónico para
cada tipo de log a un servidor diferente. Para aumentar la disponibilidad, defina múltiples
servidores (hasta cuatro) en un único perfil.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > Email (Correo electrónico).
2. Haga clic en Add (Añadir) y, a continuación, introduzca un Name (Nombre) para el perfil.
3. Si el cortafuegos tiene más de un sistema virtual (vsys), seleccione la Location (Ubicación) (vsys o
Shared [Compartido]) en la que el perfil está disponible.
4. Para cada servidor (de correo electrónico) de protocolo simple de transferencia de correo (Simple
Mail Transport Protocol, SMTP), haga clic en Add (Añadir) y defina la siguiente información:
• Name (Nombre): nombre para identificar el servidor SMTP (1-31 caracteres). Este campo es solo
una etiqueta y no tiene que ser el nombre de host de un servidor de correo electrónico existente.
• Email Display Name (Nombre de visualización de correo electrónico): el nombre que aparecerá en
el campo De del correo electrónico.
• From (De): la dirección de correo electrónico desde la cual el cortafuegos envía correos
electrónicos.
• To (Para): la dirección de correo electrónico a la cual el cortafuegos envía correos electrónicos.
• Additional Recipient (Destinatario adicional): si desea que las notificaciones se envíen a una
segunda cuenta, introduzca la dirección aquí. Solo puede añadir un destinatario adicional. Para
varios destinatarios, añada la dirección de correo electrónico de una lista de distribución.
• Email Gateway (Puerta de enlace de correo electrónico): la dirección IP o el nombre de host de la
puerta de enlace SMTP que se usará para enviar los mensajes de correo electrónico.
5. (Opcional) Seleccione la pestaña Custom Log Format (Formato de log personalizado) y personalice el
formato de los mensajes de correo electrónico. Si desea más información sobre cómo crear formatos
personalizados para los distintos tipos de log, consulte Guía de configuración de formato de eventos
comunes.
6. Haga clic en OK (Aceptar) para guardar el perfil de servidor de correo electrónico.
STEP 2 | Configure las alertas de correo electrónico para logs de envíos de WildFire, tráfico y amenaza.
1. Consulte el paso Creación de un perfil de reenvío de logs.
1. Seleccione Objects (Objetos) > Log Forwarding (Reenvío de logs), haga clic en Add (Añadir) e
introduzca un Name (Nombre) para identificar el perfil.
2. Para cada tipo de log y nivel de gravedad o veredicto de WildFire, seleccione el perfil de servidor
de correo electrónico y haga clic en OK.
2. Consulte el paso Asignación del perfil de reenvío de logs a las reglas de la política y las zonas de la
red.
STEP 3 | Configure las alertas de correo electrónico de los logs de sistema, configuración, coincidencias
HIP y correlación.
1. Seleccione Device (Dispositivo) > Log Settings (Configuración de logs).
2. Para cada log de sistema y correlación, haga clic en cada nivel de gravedad, seleccione el perfil de
servidor de Email (Correo electrónico) y haga clic en OK (Aceptar).

3. Para cada log de configuración y coincidencia HIP, edite la sección, seleccione el perfil de servidor de
Email (Correo electrónico) y haga clic en OK (Aceptar).
4. Haga clic en Commit (Confirmar).

Uso de syslog para la monitorización
Syslog es un mecanismo de transporte de logs estándar que permite añadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, cortafuegos o impresoras, de diferentes proveedores a un
repositorio central para su archivo y análisis, así como para elaborar informes. Los cortafuegos de Palo Alto
Networks pueden reenviar todos los tipos de log que generan a un servidor Syslog externo. Puede usar TCP
o SSL para un reenvío fiable y seguro de logs, o UDP para un reenvío no seguro.
• Configuración de la monitorización de syslog on page 387
• Descripciones de los campos de syslog on page 389
Configuración de la monitorización de syslog

Para usar Syslog para la monitorización de un cortafuegos de Palo Alto Networks, cree un perfil de servidor
Syslog y asígnelo a los ajustes de log para cada tipo de log. Opcionalmente, puede configurar el formato de
encabezado usado en los mensajes syslog y habilitar la autenticación de cliente para syslog en SSL.
STEP 1 | Configure un perfil de servidor Syslog.
Puede usar perfiles diferentes para enviar syslogs para cada tipo de log a un servidor
diferente. Para aumentar la disponibilidad, defina múltiples servidores (hasta cuatro) en
un único perfil.
1. SeleccioneDevice (Dispositivo) > Server Profiles (Perfiles de servidor) > Syslog.

2. Haga clic en Add (Añadir) e introduzca un Name (Nombre) para el perfil.
Shared [Compartida]) en la que el perfil está disponible.
4. Para cada servidor syslog, haga clic en Add (Añadir) e introduzca la información que necesita el
cortafuegos para conectarse con él:
• Name (Nombre): nombre exclusivo para el perfil de servidor.
• Syslog Server (Servidor Syslog): dirección IP o nombre de dominio completo (fully qualified
domain name, FQDN) del servidor Syslog.
• Transport (Transporte): seleccione TCP, UDP o SSL como el método de comunicación con el
servidor Syslog.
• Port (Puerto): número de puerto por el que se enviarán mensajes de syslog (el valor por defecto es
UDP en el puerto 514); debe usar el mismo número de puerto en el cortafuegos y en el servidor
syslog.
• Format (Formato): seleccione el formato de mensaje de Syslog que se debe utilizar: BSD (valor
predeterminado) o IETF. Normalmente, el formato BSD se realiza mediante UDP y el formato IETF
mediante TCP/ o SSL.
• Facility (Instalaciones): seleccione un valor de syslog estándar (por defecto es LOG_USER) para
calcular el campo de prioridad (PRI) en la implementación del servidor syslog. Seleccione el valor
que asigna cómo usa el campo PRI para gestionar sus mensajes de syslog.
5. (Opcional) Para personalizar el formato de los mensajes de syslog que envía el cortafuegos, seleccione
la pestaña Custom Log Format (Formato de log personalizado). Si desea más información sobre
cómo crear formatos personalizados para los distintos tipos de log, consulte Common Event Format
Configuration Guide (Guía de configuración de formato de eventos comunes).
STEP 2 | Configure el reenvío de syslog para logs de envíos de WildFire, tráfico y amenaza.
1. Consult el paso Creación de un perfil de reenvío de logs.

1. Seleccione Objects (Objetos) > Log Forwarding (Reenvío de logs), haga clic en Add (Añadir) e
ingrese un nombre en Name (Nombre) para identificar el perfil.
2. Para cada tipo de log y nivel de gravedad o veredicto de WildFire, seleccione el perfil de servidor
de Syslog y haga clic en OK (Aceptar).
2. Consulte el paso Asignación del perfil de reenvío de logs a las reglas de politica y zonas de red.
STEP 3 | Configure el reenvío de syslog de logs de sistema, configuración, coincidencias HIP y

correlación.
1. Seleccione Device (Dispositivo) > Log Settings (Configuración de log).
2. Para cada log de sistema y correlación, haga clic en cada nivel de gravedad, seleccione el perfil de
servidor Syslog y haga clic en OK (Aceptar).
3. Para cada log de configuración, coincidencia HIP y correlación, edite la sección, seleccione el perfil de
servidor Syslog y haga clic en OK (Aceptar).
STEP 4 | (Opcional) Configure el formato de encabezado utilizado en los mensajes de syslog.

Los datos de log incluyen el identificador único del cortafuegos que generó el log. La selección del
formato de encabezado proporciona más flexibilidad para filtrar y crear informes sobre los datos de log
para algunos servidores de información de seguridad y gestión de eventos (SIEM).
Se trata de una configuración global y se aplica a todos los perfiles de servidores syslog configurados en
el cortafuegos.
ajustes de registro e informes.
2. Seleccione la pestaña Log Export and Reporting (Exportación de log y creación de informes) y
seleccione el Formato de NOMBRE DE HOST de syslog:
• FQDN (valor por defecto): concatena el nombre de host y el nombre de dominio definidos en el
cortafuegos de envío.
• hostname: utiliza el nombre de host definido en el cortafuegos de envío.
• ipv4-address: utiliza la dirección IPv4 de la interfaz del cortafuegos utilizada para enviar logs. De
manera predeterminada, esta es la interfaz MGT.
• ipv6-address: utiliza la dirección IPv6 de la interfaz del cortafuegos utilizada para enviar logs. De
manera predeterminada, esta es la interfaz MGT.
• none (ninguno): deja el campo de nombre de host sin configurar en el cortafuegos. No hay ningún
identificador para el cortafuegos que envía los logs.
STEP 5 | Cree un certificado para asegurar la comunicación de syslog a través de SSL.

Requerido solo si el servidor syslog usa la autenticación de cliente. El servidor syslog utiliza el certificado
para verificar que el cortafuegos está autorizado para comunicarse con el servidor syslog.
Asegúrese de que se cumplen las siguientes condiciones:
• La clave privada debe estar disponible en el cortafuegos de envío; las claves no pueden almacenarse
en un módulo de seguridad de hardware (Hardware Security Module, HSM).
• El sujeto y el emisor del certificado no deben ser idénticos.
• El servidor syslog y el cortafuegos de envío deben tener certificados firmados por la misma entidad
de certificación (certificate authority, CA) de confianza. También puede generar un certificado
autofirmado en el cortafuegos, exportar el certificado desde el cortafuegos e importarlo en el
servidor syslog.
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Generate (Generar).

2. Introduzca un Name (Nombre) para el certificado.
3. En el campo Common Name (Nombre común), introduzca la dirección IP del cortafuegos que enviará
logs al servidor syslog.
4. En Signed by (Firmado por), seleccione la CA de confianza o la CA autofirmada en las que el servidor
syslog y el cortafuegos de envío confían.
El certificado no puede ser una Certificate Authority (Autoridad de certificado) o una External
Authority (Autoridad externa) (solicitud de firma de certificados [certificate signing request, CSR]).
5. Haga clic en Generate (Generar). El cortafuegos genera el certificado y el par de claves.
6. Haga clic en el nombre del certificado para editarlo, seleccione la casilla de verificación Certificate for
Secure Syslog (Certificado para syslog seguro) y haga clic en OK (Aceptar).
STEP 6 | Compile sus cambios y revise los logs del servidor syslog.
2. Para revisar los logs, consulte la documentación de su software de gestión de syslog. También puede
revisar las descripciones del campo de Syslog.
Descripciones de los campos de syslog

Los siguientes temas enumeran los campos estándar de cada tipo de log que los cortafuegos de Palo Alto
Networks pueden reenviar a un servidor externo, así como los niveles de gravedad, formatos personalizados
y secuencias de escape. Para facilitar el análisis, la coma es el delimitador; cada campo es una cadena de
valores separados por comas (CSV). La etiqueta FUTURE_USE se aplica a los campos que los cortafuegos no
implementan actualmente.
Los logs de envío de WildFire son un subtipo de logs de amenazas y utilizan el mismo
formato que syslog.
• Campos del log de tráfico on page 389

• Campos del log de amenazas on page 395
• Log de coincidencias HIP on page 357
• Campos de log de User-ID on page 403
• Campos del log de inspección de túnel on page 405
• Configuración de campos de logs on page 413
• Campos de logs de autenticación on page 411
• Campos de logs del sistema on page 415
• Campos de log de eventos correlacionados on page 416
• Formato de logs/eventos personalizados on page 418
• Secuencias de escape on page 418
Campos del log de tráfico

Formato: FUTURE_USE, Fecha de recepción, Número de serie, Tipo, Tipo de amenaza/Contenido,
FUTURE_USE, Tiempo generado, IP de origen, IP de destino, IP origen NAT, IP destino NAT, Nombre
de regla, Usuario de origen, Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de
destino, Interfaz entrante, Interfaz saliente, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número
de repeticiones, Puerto de origen, Puerto de destino, Puerto de origen NAT, Puerto de destino NAT,
Marcas, Protocolo, Acción, Bytes, Bytes enviados, Bytes recibidos, Paquetes, Hora de inicio, Tiempo
transcurrido, Categoría, FUTURE_USE, Número de secuencia, Marcas de acción, Ubicación de origen,
Ubicación de destino, FUTURE_USE, Paquetes enviados, Paquetes recibidos, Motivo del fin de sesión,
Jerarquía de grupos de dispositivos Nivel 1, Jerarquía de grupos de dispositivos Nivel 2, Jerarquía de grupos
de dispositivos Nivel 3, Jerarquía de grupos de dispositivos Nivel 4, Nombre de sistema virtual, Nombre del

dispositivo, Origen de acción, UUID VM de origen, UUID VM de destino, ID/IMSI de túnel, Etiqueta/IMEI
de supervisión, ID de sesión principal, Hora de inicio principal, Tipo de túnel
Nombre de campo Descripción
Fecha de registro Hora a la que se recibió el log en el plano de gestión.
Número de serie (n.° de serie) Número de serie del cortafuegos que generó el log.
Tipo Especifica el tipo de log; los valores son Tráfico, Amenaza,

Configuración, Sistema y Coincidencias HIP.
Tipo de amenaza/contenido Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y
Denegar.
• Iniciar: sesión iniciada.
• Finalizar: sesión finalizada.
• Descartar: Sesión descartada antes de identificar la aplicación; no
hay ninguna regla que permita la sesión.
• Denegar: Sesión descartada después de identificar la aplicación;
hay una regla para bloquear o no hay ninguna regla que permita la
sesión.
Hora de generación (Hora Hora a la que se generó el log en el plano de datos.

generada)
Dirección de origen Dirección IP de origen de la sesión original.
Dirección de destino Dirección IP de destino de la sesión original.
NAT IP origen Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen

posterior.
NAT IP destino Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino

posterior.
Nombre de regla (Regla) Nombre de la regla con la que ha coincidido la sesión.
Usuario de origen Nombre del usuario que inició la sesión.
Usuario de destino Nombre del usuario para el que iba destinada la sesión.
Aplicación Aplicación asociada a la sesión.
Sistema virtual Sistema virtual asociado a la sesión.
Zona de origen Zona de origen de la sesión.
Zona de destino Zona de destino de la sesión.
Interfaz entrante Interfaz de la que se obtuvo la sesión.
Interfaz saliente Interfaz de destino de la sesión.

Acción de log Perfil de reenvío de logs aplicado a la sesión.
ID de sesión Identificador numérico interno aplicado a cada sesión.
Número de repeticiones Número de sesiones con el mismo IP de origen, IP de destino,

Aplicación y Subtipo observados en 5 segundos. Utilizado
únicamente para ICMP.
Puerto de origen Puerto de origen utilizado por la sesión.
Puerto de destino Puerto de destino utilizado por la sesión.
NAT puerto origen NAT de puerto de origen posterior.
NAT puerto destino NAT de puerto de destino posterior.
Marcas Campo de 32 bits que proporciona información detallada sobre la

sesión; este campo puede descodificarse añadiendo los valores con Y
y con el valor registrado:
• 0x80000000: la sesión tiene una captura de paquetes (PCAP).
• 0x02000000: sesión IPv6.
• 0x01000000: la sesión SSL se ha descifrado (proxy SSL).
• 0x00800000: la sesión se ha denegado a través del filtrado de
URL.
• 0x00400000: la sesión ha realizado una traducción NAT (NAT).
• 0x00200000: la información de usuario de la sesión se ha
capturado mediante el portal cautivo.
• 0x00080000: el valor X-Forwarded-For de un proxy está en el
campo Usuario de origen.
• 0x00040000: el log corresponde a una transacción en una sesión
de proxy HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor
(Container Page).
• 0x00002000: la sesión tiene una coincidencia temporal en una
regla para la gestión de las dependencias de las aplicaciones
implícitas. Disponible en PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico
para esta sesión.
Protocolo IP Protocolo IP asociado a la sesión.
Acción Acción realizada para la sesión; los valores son:

• Permitir: la política permitió la sesión.
• Denegar: la política denegó la sesión.
• Descartar: la sesión se descartó de manera silenciosa.
• Descartar ICMP: la sesión se descartó de manera silenciosa con
un mensaje de ICMP inalcanzable al host o aplicación.
• Restablecer ambos: la sesión se ha terminado y un
restablecimiento de TCP se envía a ambos lados de la conexión.

• Restablecer cliente: la sesión se ha terminado y un
restablecimiento de TCP se envía al cliente.
• Restablecer servidor: la sesión se ha terminado y un
restablecimiento de TCP se envía al servidor.
Bytes Número total de bytes (transmitidos y recibidos) de la sesión.
Bytes enviados Número de bytes en la dirección cliente a servidor de la sesión.

Disponible en todos los modelos excepto la serie PA-4000.
Bytes recibidos Número de bytes en la dirección servidor a cliente de la sesión.

Paquetes Número total de paquetes (transmitidos y recibidos) de la sesión.
Fecha de inicio Hora de inicio de sesión.
Tiempo transcurrido (s) Tiempo transcurrido en la sesión.
Categoría Categoría de URL asociada a la sesión (si es aplicable).
Número de secuencia Identificador de entrada de log de 64 bits que aumenta

secuencialmente, cada tipo de log tiene un espacio de número único.
Marcas de acción Campo de bits que indica si el log se ha reenviado a Panorama.
País de origen País de origen o región interna para direcciones privadas; la longitud
máxima es de 32 bytes.
País de destino País de destino o región interna para direcciones privadas. La

longitud máxima es de 32 bytes.
Paquetes enviados (pkts_sent) Números de paquetes de cliente a servidor de la sesión.

Paquetes recibidos Números de paquetes de servidor a cliente de la sesión.

(pkts_received)
Razón del fin de sesión Razón por la que ha finalizado una sesión. Si la finalización ha
(session_end_reason) tenido varias causas, este campo solo muestra la más importante.
Los valores de la posible razón de finalización de la sesión son los
siguientes en orden de prioridad (el primero es el más importante):
• threat (amenaza): el cortafuegos ha detectado una amenaza
asociada a una acción de restablecimiento, borrado o bloqueo
(dirección IP).
• policy-deny: la sesión ha hecho coincidir una regla de seguridad
con una acción de denegación o borrado.
• decrypt-cert-validation: la sesión finalizó debido a que usted
configuró el cortafuegos para que bloquee el cifrado de proxy

de reenvío SSL o la inspección de entrada SSL cuando la sesión
utilice la autenticación de cliente o un certificado de servidor
con cualquiera de las siguientes condiciones: vencido, emisor no
fiable, estado desconocido o tiempo de espera de verificación
de estado agotado. Este motivo de fin de la sesión también se
muestra cuando el certificado del servidor produce un alerta
de fatal error (error irrecuperable) de tipo bad_certificate,
unsupported_certificate, certificate_revoked, access_denied o
no_certificate_RESERVED (SSLv3 únicamente).
• decrypt-unsupport-param: la sesión finalizó porque usted
configuró el cortafuegos para que bloquee el descifrado de
proxy de reenvío SSL o la inspección de entrada SSL cuando
la sesión utiliza una versión de protocolo, cifra o algoritmo
SSH no compatible. Este motivo de fin de la sesión se muestra
cuando la sesión produce una alerta de error irrecuperable
de tipo unsupported_extension, unexpected_message o
handshake_failure.
• decrypt-error: la sesión finalizó porque usted configuró el
cortafuegos para que bloquee el descifrado de proxy de reenvío
SSL o la inspección de entrada SSL cuando los recursos del
cortafuegos o el módulo de seguridad de (hardware security
module, HSM) no estaban disponibles. Este motivo de fin de la
sesión también se muestra cuando usted configura el cortafuegos
para que bloquee el tráfico SSL con errores de SSH que produjo
una alerta de error irrecuperable que no sea ninguna de las
enumeradas para los motivos de finalización decrypt-cert-
validation y decrypt-unsupport-param.
• tcp-rst-from-client: el cliente ha enviado un restablecimiento de
TCP al servidor.
• tcp-rst-from-server: el servidor ha enviado un restablecimiento de
TCP al cliente.
• resources-unavailable: la sesión se ha cancelado debido a una
limitación de recursos del sistema. Por ejemplo, la sesión podría
haber superado el número de paquetes que no funcionan
permitidos por flujo o por la cola de paquetes que no funcionan
globales.
• tcp-fin: uno o varios hosts de la conexión han enviado un mensaje
FIN de TCP para cerrar la sesión.
• tcp-reuse: se reutiliza una sesión y el cortafuegos cierra la sesión

anterior.
• decoder: el decodificador detecta una nueva conexión en el
protocolo (como HTTP-Proxy) y finaliza la conexión anterior.
• aged-out: la sesión ha caducado.
• unknown: este valor se aplica en las siguientes situaciones:
• Terminaciones de sesiones a las que no se aplican los motivos
anteriores (por ejemplo, un comando clear session all).
• Para logs generados en una versión de PAN-OS que
no admite el campo de razón de finalización de sesión
(versiones posteriores a PAN-OS 6.1), el valor será unknown
(desconocido) después de una actualización de la versión

actual de PAN-OS o después de que los logs se carguen en el
cortafuegos.
• En Panorama, los logs recibidos de los cortafuegos para los
que la versión de PAN-OS no admite razones de finalización de
sesión tendrán un valor unknown.
• n/a: este valor se aplica cuando el tipo de log de tráfico no es end.
Jerarquía de grupos de Secuencia de números de identificación que indica la ubicación

dispositivos (dg_hier_level_1 a del grupo de dispositivos dentro de una jerarquía de grupos de
dg_hier_level_4) dispositivos. El cortafuegos (o sistema virtual) que genera el log
incluye el número de identificación de cada antecesor en su jerarquía
de grupos de dispositivos. El grupo de dispositivos compartidos (nivel
0) no se incluye en esta estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó
un cortafuegos (o sistema virtual) que pertenece al grupo de
dispositivos 45, y que sus antecesores son 34 y 12. Para ver los
nombres de grupos de dispositivos que corresponden con el valor 12,
34 o 45, use uno de los siguientes métodos:
Comando de la CLI en modo de configuración: show readonly
dg-meta-data
Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-
hierarchy></show>
Nombre de sistema virtual El nombre del sistema virtual asociado con la sesión; solo válido en
los cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del dispositivo El nombre de host del cortafuegos en el que se inició sesión.
Origen de acción (action_source) Especifica si la acción desarrollada para permitir o bloquear una
aplicación se definió en la aplicación o en la política. Las acciones
pueden: permitir, denegar, descartar, restablecer servidor, restablecer
cliente o restablecer ambos para la sesión.
UUID VM de origen Indica el identificador único universal de origen para un equipo

virtual invitado en el entorno NSX VMware.
UUID VM de destino Indica el identificador único universal de destino para un equipo

virtual invitado en el entorno NSX VMware.
ID/IMSI de túnel ID del túnel que se está inspeccionando o ID de identidad de

suscriptor móvil internacional (International Mobile Subscriber
Identity, IMSI) del usuario móvil.
Etiqueta/IMEI de supervisión Nombre de supervisor que configuró para la regla de política

de inspección de túnel o el ID de identidad de equipo móvil
internacional (International Mobile Equipment Identity, IMEI) del
dispositivo móvil.

ID de sesión primaria ID de la sesión en la cual se tuneliza esta sesión. Se aplica al túnel

interno (si hay dos niveles de tunelización) o al contenido interno (si
hay un nivel de tunelización) únicamente.
Hora de inicio principal Año/mes/día horas:minutos:segundos desde que comenzó la sesión

(parent_start_time) de túnel principal.
Tipo de túnel (Túnel) Tipo de túnel, tal como GRE o IPSec.
Campos del log de amenazas

Formato: FUTURE_USE, Hora de recepción, Número de serie, Tipo, Tipo de amenaza/contenido,
FUTURE_USE, Tiempo generado, IP de origen, IP de destino, IP de origen NAT, IP de destino NAT, Nombre
de regla, Usuario de origen, Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino,
Interfaz entrante, Interfaz saliente, Perfil de reenvío de logs, FUTURE_USE, ID de sesión, Número de
repeticiones, Puerto de origen, Puerto de destino, Puerto de origen NAT, Puerto destino NAT, Marcas,
Protocolo, Acción, Varios, ID de amenaza, Categoría, Gravedad, Dirección, Número de secuencia, Marcas de
acción, Ubicación de origen, Ubicación de destino, FUTURE_USE, Tipo de contenido, PCAP_ID, Resumen
de archivo, Nube, Índice de URL, Agente de usuario, Tipo de archivo, X-Forwarded-For, Sitio de referencia,
Remitente, Asunto, Destinatario, ID de informe, Jerarquía de grupos de dispositivos Nivel 1, Jerarquía
de grupos de dispositivos Nivel 2, Jerarquía de grupos de dispositivos Nivel 3, Jerarquía de grupos de
dispositivos Nivel 4, Nombre de sistema virtual, Nombre del dispositivo, FUTURE_USE, UUIDD VM de
origen, UUID VM de destino, método HTTP, ID/IMSI de túnel, Etiqueta/IMEI de supervisión, ID de sesión
principal, hora de inicio principal, Tipo de túnel, Categoría de amenaza, Versión de contenido, FUTURE_USE
Número de serie (n.° de Número de serie del cortafuegos que generó el log.
serie)
Tipo Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.
Tipo de amenaza/ Subtipo del log de amenaza. Los valores incluyen lo siguiente:
contenido
• data (datos): patrón de datos que coinciden con un perfil de filtrado de
datos.
• file (archivo): tipo de archivo que coincide con un perfil de bloqueo de
archivos.
• flood (congestión): congestión detectada mediante un perfil de
protección de zona.
• packet (paquete): protección de ataque basada en paquetes
desencadenada por un perfil de protección de zona.
• scan (análisis): análisis detectado mediante un perfil de protección de
zona.
• spyware: spyware detectado mediante un perfil de antispyware.
• url: log de filtrado de URL.
• virus: virus detectado mediante un perfil de antivirus.

• vulnerability (vulnerabilidad): exploit de vulnerabilidad detectado
mediante un perfil de protección de vulnerabilidad.
• wildfire: veredicto de WildFire generado cuando el cortafuegos envía
un archivo a WildFire según un perfil de análisis de WildFire y se
registra un veredicto (malintencionado, grayware o benigno, según lo
que esté registrando) en el log de envíos de WildFire.
• wildfire-virus: virus detectado mediante un perfil de antivirus.
Hora de generación (Hora Hora a la que se generó el log en el plano de datos.

generada)
Dirección de origen Dirección IP de origen de la sesión original.
Dirección de destino Dirección IP de destino de la sesión original.
NAT IP origen Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen

posterior.
NAT IP destino Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino

posterior.
Nombre de regla (rule) Nombre de la regla con la que ha coincidido la sesión.
Usuario de destino Nombre del usuario para el que iba destinada la sesión.
Aplicación Aplicación asociada a la sesión.
Zona de origen Zona de origen de la sesión.
Zona de destino Zona de destino de la sesión.
Interfaz entrante Interfaz de la que se obtuvo la sesión.
Interfaz saliente Interfaz de destino de la sesión.
ID de sesión Identificador numérico interno aplicado a cada sesión.
Número de repeticiones Número de sesiones con el mismo IP de origen, IP de destino, Aplicación

y Tipo de contenido/amenaza observadas en 5 segundos. Utilizado
únicamente para ICMP.
Puerto de origen Puerto de origen utilizado por la sesión.
Puerto de destino Puerto de destino utilizado por la sesión.

NAT puerto origen NAT de puerto de origen posterior.
NAT puerto destino NAT de puerto de destino posterior.
Marcas Campo de 32 bits que proporciona información detallada sobre la sesión;

este campo puede descodificarse añadiendo los valores con Y y con el
valor registrado:
• 0x02000000: sesión IPv6.
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00200000: la información de usuario de la sesión se ha capturado
mediante el portal cautivo.
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo
Usuario de origen.
• 0x00040000: el log corresponde a una transacción en una sesión de
proxy HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor
(Container Page).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla
para la gestión de las dependencias de las aplicaciones implícitas.
Disponible en PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para
esta sesión.
Protocolo IP Protocolo IP asociado a la sesión.
Acción Acción realizada para la sesión; los valores son Alerta, Permitir, Denegar,
Descartar, Descartar todos los paquetes, Restablecer cliente, Restablecer
servidor, Restablecer ambos y Bloquear URL.
• Alerta: amenaza o URL detectada pero no bloqueada.
• Permitir: alerta de detección de inundación.
• Denegar: el mecanismo de detección de inundación está activado, y el
tráfico se deniega en función de la configuración.
• Descartar: se detecta una amenaza y se descarta la sesión asociada.
• Descartar todos los paquetes: se detecta una amenaza y la sesión
permanece, pero se descartan todos los paquetes.
• Restablecer cliente: se detecta una amenaza y se envía un TCP RST al
cliente.
• Restablecer servidor: se detecta una amenaza y se envía un TCP RST al
servidor.
• Restablecer ambos: se detecta una amenaza y se envía un TCP RST
tanto al cliente como al servidor.
• Bloquear URL: la solicitud de URL se bloqueó porque coincidía con una
categoría de URL que se había establecido como bloqueada.
URL/Nombre de archivo Campo de longitud variable con un máximo de 1.023 caracteres.

El URI real cuando el subtipo es URL.
Nombre de archivo o tipo de archivo cuando el subtipo es Archivo.
Nombre de archivo cuando el subtipo es Virus.
Nombre de archivo cuando el subtipo es WildFire.
Nombre de amenaza/ Identificador de Palo Alto Networks para la amenaza. Es una cadena
contenido de descripción seguida de un identificador numérico de 64 bits entre
paréntesis para algunos subtipos:
• 8000 - 8099: detección de exploración.
• 8500 - 8599: detección de inundación.
• 9999: log de filtrado de URL.
• 10000 - 19999: detección de llamada a casa de spyware.
• 20000 - 29999: detección de descarga de spyware.
• 30000 - 44999: detección de exploits de vulnerabilidades.
• 52000 - 52999: detección de tipo de archivo.
• 60000 - 69999: detección de filtrado de datos.
Los intervalos de ID de amenaza para la detección de

virus, fuente de firmas de WildFire y firmas C2 de DNS
utilizadas en versiones anteriores se han reemplazado por
ID únicos globales y permanentes. Consulte los nombres
de campo Threat/Content Type (Tipo de amenaza/
contenido) y Threat Category (thr_category) (Categoría de
amenaza) para crear informes actualizados, filtrar logs de
amenaza y actividad ACC.
Categoría Para el subtipo URL, es la categoría de URL; para el subtipo WildFire, es

el veredicto del archivo y es “malintencionado”, “phishing”, “grayware” o
“beningno”; para otros subtipos, el valor es “Cualquiera”.
Gravedad Gravedad asociada a la amenaza; los valores son Informativo, Bajo, Medio,
Alto y Crítico.
Dirección Indica la dirección del ataque: cliente a servidor o servidor a cliente.

• 0: la dirección de la amenaza es cliente a servidor.
• 1: la dirección de la amenaza es servidor a cliente.
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente.

Cada tipo de log tiene un espacio de número exclusivo.
País de origen País de origen o región interna para direcciones privadas. La longitud
País de destino País de destino o región interna para direcciones privadas. La longitud

Tipo de contenido Únicamente es aplicable cuando el subtipo es URL.

(contenttype)
Tipo de contenido de los datos de respuesta HTTP. La longitud máxima es
de 32 bytes.
ID de captura de paquetes ID de captura de paquetes (pcap) es un elemento integral no firmado de 64

(pcap_id) bits que indica un ID para correlacionar archivos de captura de paquetes
de amenaza con capturas de paquetes ampliadas tomadas como parte de
dicho flujo. Todos los logs de amenazas contendrán un pcap_id cuyo valor
es 0 (ninguna captura de paquetes asociada) o un ID que haga referencia al
archivo de captura de paquetes ampliado.
Resumen de archivo Solamente para el subtipo WildFire; el resto de tipos no utiliza este campo.
(filedigest)
La cadena filedigest muestra el hash binario del archivo enviado para ser
analizado por el servicio WildFire.
Nube (cloud) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
La cadena cloud muestra el FQDN del dispositivo WildFire (privado) o la
nube de WildFire (pública) desde donde se cargó el archivo para su análisis.
Índice de URL (url_idx) Se usa en el filtrado URL y los subtipos WildFire.

Cuando una aplicación usa conexiones persistentes TCP para mantener
una conexión abierta durante un periodo de tiempo, todas las entradas
del log para esa sesión tienen un ID de sesión único. En esos caso, cuando
tenga un log de amenazas único (e ID de sesión) que incluya múltiples
entradas URL, la url_idx es un contador que le permite correlacionar el
orden de cada entrada del log en la sesión única.
Por ejemplo, para conocer la URL de un archivo que el cortafuegos ha
reenviado a WildFire para analizarlo, encuentre el ID de sesión y el url_idx
del log de envíos de WildFire y busque el mismo ID de sesión y url_idx en
sus logs de filtrado de URL. La entrada del log que coincida con el ID de
sesión y url_idx contendrá la URL del archivo que se reenvió a WildFire.
Agente de usuario Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
(user_agent) este campo.
El campo Agente de usuario especifica el explorador web que utiliza
el usuario para acceder a la URL (por ejemplo, Internet Explorer). Esta
información se envía en la solicitud de HTTP al servidor.
Tipo de archivo (filetype) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el tipo de archivo que el cortafuegos ha reenviado para el
análisis de WildFire.
X-Forwarded-For (xff) Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
este campo.
El campo X-Forwarded-For del encabezado HTTP contiene la dirección IP
del usuario que ha solicitado la página web. Permite identificar la dirección

IP del usuario, lo que es especialmente útil si tiene un servidor proxy en su
red que reemplaza la dirección IP del usuario por su propia dirección en el
campo de dirección IP de origen del encabezado del paquete.
Sitio de referencia (referer) Solamente para el subtipo Filtrado de URL; el resto de los tipos no utilizan
este campo.
El campo Referer (Sitio de referencia) del encabezado HTTP contiene la
dirección URL de la página web que enlaza al usuario a otra página web. Es
el origen que redirige (remite) al usuario a la página web solicitada.
Remitente (sender) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el nombre del remitente de un mensaje de correo electrónico
que WildFire considera malintencionado al analizar el enlace del mensaje
de correo electrónico reenviado por el cortafuegos.
Asunto (subject) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el asunto de un mensaje de correo electrónico que WildFire
considera malintencionado al analizar el enlace del mensaje de correo
electrónico reenviado por el cortafuegos.
Destinatario (recipient) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Especifica el nombre del destinatario de un mensaje de correo electrónico
que WildFire considera malintencionado al analizar el enlace del mensaje
de correo electrónico reenviado por el cortafuegos.
ID de informe (reportid) Solamente para el subtipo WildFire; el resto de los tipos no utilizan este
campo.
Identifica la solicitud de análisis en la nube de WildFire o el dispositivo
WildFire.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo
de dispositivos de dispositivos dentro de una jerarquía de grupos de dispositivos. El
(dg_hier_level_1 a cortafuegos (o sistema virtual) que genera el log incluye el número de
dg_hier_level_4) identificación de cada antecesor en su jerarquía de grupos de dispositivos.
El grupo de dispositivos compartidos (nivel 0) no se incluye en esta
estructura.
Si los valores de log son 12, 34, 45, 0, significa que el log lo generó un
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45,
y que sus antecesores son 34 y 12. Para ver los nombres de grupos de
dispositivos que corresponden con el valor 12, 34 o 45, use uno de los
siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-
meta-data

Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-
hierarchy></show>
Nombre de sistema virtual El nombre del sistema virtual asociado con la sesión; solo válido en los
(vsys_name) cortafuegos habilitados para múltiples sistemas virtuales.
(device_name)
UUID VM de origen Indica el identificador único universal de origen para un equipo virtual
invitado en el entorno NSX VMware.
UUID VM de destino Indica el identificador único universal de destino para un equipo virtual
invitado en el entorno NSX VMware.
Método HTTP Solo en logs de filtrado URL. Describe el método HTTP utilizado en la
solicitud web. Solo se registran los siguientes métodos: Conectar, Eliminar,
Obtener, Encabezado, Opciones, Publicar, Colocar.
ID/IMSI de túnel ID del túnel que se está inspeccionando o ID de identidad de suscriptor

móvil internacional (International Mobile Subscriber Identity, IMSI) del
usuario móvil.
Etiqueta/IMEI de El valor definido por el usuario que agrupa el tráfico similar para fines de
supervisión creación de logs e informes. Este valor se define a nivel global.
ID de sesión primaria ID de la sesión en la cual se tuneliza esta sesión. Se aplica al túnel interno
(si hay dos niveles de tunelización) o al contenido interno (si hay un nivel
de tunelización) únicamente.
Hora de inicio principal Año/mes/día horas:minutos:segundos desde que comenzó la sesión de

(parent_start_time) túnel principal.
Tipo de túnel (Túnel) Tipo de túnel, tal como GRE o IPSec.
Categoría de amenaza Describe las categorías de amenaza utilizadas para clasificar diferentes
(thr_category) tipos de firmas de amenaza.
Versión de contenido Versión de aplicaciones y amenazas en su cortafuegos cuando se generó el

(contentver) log.
Campos de logs de coincidencias de HIP

Formato: FUTURE_USE, Receive Time, Serial Number, Type, Threat/Content Type, FUTURE_USE,
Generated Time, Source User, Virtual System, Machine name, OS, Source Address, HIP, Repeat Count,
HIP Type, FUTURE_USE, FUTURE_USE, Sequence Number, Action Flags, Device Group Hierarchy Level 1,
Device Group Hierarchy Level 2, Device Group Hierarchy Level 3, Device Group Hierarchy Level 4, Virtual
System Name, Device Name, Virtual System ID, IPv6 Source Address

Serial Number (Serial Número de serie del cortafuegos que generó el log.
#)
Tipo Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
(configuración), system (sistema) y hip-match (coincidencias HIP).
Tipo de amenaza/ Subtipo del log de coincidencias HIP; no utilizado.

contenido
Generated Time Hora a la que se generó el log en el plano de datos.

(Generate Time)
Sistema virtual Sistema virtual asociado al log de coincidencias HIP.
Nombre de la máquina Nombre de la máquina del usuario.

(machinename)
OS Sistema operativo instalado en la máquina o el dispositivo del usuario (o en el

sistema cliente).
Dirección de origen Dirección IP del usuario de origen.
HIP (matchname) Nombre del perfil u objeto HIP.
Número de Número de veces que ha coincidido el perfil HIP.

repeticiones
Tipo HIP (matchtype) Especifica si el campo HIP representa un objeto HIP o un perfil HIP.
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
tipo de log tiene un espacio de número único.
Action Flags Campo de bits que indica si el log se ha reenviado a Panorama.
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo de
de dispositivos dispositivos dentro de una jerarquía de grupos de dispositivos. El cortafuegos
(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación de cada
dg_hier_level_4) antecesor en su jerarquía de grupos de dispositivos. El grupo de dispositivos
compartidos (nivel 0) no se incluye en esta estructura.
cortafuegos (o sistema virtual) que pertenece al grupo de dispositivos 45, y que
sus antecesores son 34 y 12. Para ver los nombres de grupos de dispositivos
que corresponden con el valor 12, 34 o 45, use uno de los siguientes métodos:
Comando de la CLI en modo de configuración: show readonly dg-meta-
data

Consulta de la API:
/api/?type=op&cmd=<show><dg-hierarchy></dg-hierarchy></
show>
Nombre de sistema El nombre del sistema virtual asociado con la sesión; solo válido en los
virtual cortafuegos habilitados para múltiples sistemas virtuales.
Nombre del El nombre de host del cortafuegos en el que se inició sesión.

dispositivo
Virtual System ID Un identificador único de un sistema virtual en un cortafuegos de Palo Alto

Networks.
Dirección de sistema Dirección IPv6 de la máquina o dispositivo del usuario.

IPv6
Campos de log de User-ID

Formato: FUTURE_USER, Receive Time, Serial Number, Sequence Number, Action Flags, Type, Threat/
Content Type, FUTURE_USE, Generated Time, Device Group Hierarchy Level 1, Device Group Hierarchy
Level 2, Device Group Hierarchy Level 3, Device Group Hierarchy Level 4, Virtual System Name, Device
Name, Virtual System ID, Virtual System, Source IP, User, Data Source Name, Event ID, Repeat Count,
Time Out Threshold, Source Port, Destination Port, Data Source, Data Source Type, FUTURE_USE,
FUTURE_USE, Factor Type, Factor Completion Time, Factor Number
Receive Time Hora a la que se recibió el log en el plano de gestión.

(receive_time)
#)
Número de secuencia Número de serie del cortafuegos que generó el log.
Tipo (type) Especifica el tipo de log; los valores son Tráfico, Amenaza, Configuración,
Sistema y Coincidencias HIP.
Threat/Content Type Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y
(Tipo de amenaza/ Denegar.
contenido)
"Iniciar: sesión iniciada
"Finalizar: sesión finalizada.
"Descartar: sesión descartada antes de identificar la aplicación; no hay
ninguna regla que permita la sesión.

"Denegar: sesión descartada después de identificar la aplicación; hay una
regla para bloquear o no hay ninguna regla que permita la sesión.

(Generate Time)
Jerarquía de grupos Secuencia de números de identificación que indica la ubicación del grupo
de dispositivos de dispositivos dentro de una jerarquía de grupos de dispositivos. El
(dg_hier_level_1 a cortafuegos (o sistema virtual) que genera el log incluye el número de
dg_hier_level_4) identificación de cada antecesor en su jerarquía de grupos de dispositivos.
El grupo de dispositivos compartidos (nivel 0) no se incluye en esta
estructura.
data
Consulta de la API: /api/?type=op&cmd=<show><dg-
hierarchy></dg-hierarchy></show>
Nombre del El nombre de host del cortafuegos en el que se inició sesión.

dispositivo
Virtual System ID Un identificador único de un sistema virtual en un cortafuegos de Palo

Alto Networks.
Sistema virtual Sistema virtual asociado al log Configuración.
IP de origen Dirección IP de origen de la sesión original.
Usuario Identifica el usuario final.
Data Source Name Origen de User-ID que envía la asignación de (puerto) ID a usuarios.
ID de evento Cadena que muestra el nombre del evento.
Número de Número de sesiones con el mismo IP de origen, IP de destino, Aplicación

repeticiones y Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
Time Out (timeout) Tiempo de espera tras el cual se borran las asignaciones de IP a usuarios.
Source Port Puerto de origen utilizado por la sesión.

(beginport)

Destination Port Puerto de destino utilizado por la sesión.

(endport)
Origen de datos Origen desde el cual se recopila la información de asignación.
Tipo de origen de Mecanismo utilizado para identificar las asignaciones de direcciones IP a

datos usuarios dentro del origen de los datos.
Tipo de factor Proveedor que se utiliza para autenticar un usuario cuando se cuenta con
autenticación multifactor.
Tiempo de finalización Hora de finalización de la autenticación.

de factor
Número de factor Indica el uso de la autenticación primaria (1) o los factores adicionales (2,
3).
Campos del log de inspección de túnel

Formato: FUTURE_USE, Hora de recepción, Número de serie, Tipo, Subtipo, FUTURE_USE, Hora de
generación, IP de origen, IP de destino, IP NAT de origen, IP NAT de destino, Nombre de la regla, Usuario de
origen, Usuario de destino, Aplicación, Sistema virtual, Zona de origen, Zona de destino, Interfaz entrante,
Interfaz saliente, Acción de log, FUTURE_USE, ID de sesión, Número de repeticiones, Puerto de origen,
Puerto de destino, Puerto NAT de origen, Puerto NAT de destino, Marcas, Protocolo, Acción, Gravedad,
Número de secuencia, Marcas de acción, Ubicación de origen, Ubicación de destino, Nivel 1 de jerarquía
de grupo de dispositivos, Nivel 2 de jerarquía de grupo de dispositivos, Nivel 3 de jerarquía de grupo
de dispositivos, Nivel 4 de jerarquía de grupo de dispositivos, Nombre del sistema virtual, Nombre del
dispositivo, ID/IMSI de túnel, Etiqueta de supervisión/IMEI, ID de sesión principal, Hora de inicio principal,
Bytes del túnel, Bytes enviados, Bytes recibidos, Paquetes, Paquetes enviados, Encapsulación máxima,
Protocolo desconocido, Comprobación estricta, Fragmento de túnel, Sesiones creadas, Sesiones cerradas,
Motivo de finalización de la sesión, Origen de acción, Hora de inicio, Tiempo transcurrido
Receive Time (Fecha Mes, día y hora en que se recibió el log en el plano de gestión.
de registro)
#) (Número de serie [n.
° de serie])
Type (Tipo) Tipo de log en relación con la sesión: inicio o final.
Threat/Content Type Subtipo del log Tráfico; los valores son Iniciar, Finalizar, Colocar y Denegar.
(Tipo de amenaza/
• Start (Iniciar): sesión iniciada.
contenido)
• End (Finalizar): sesión finalizada.
• Drop (Descartar): sesión descartada antes de identificar la aplicación; no
hay ninguna regla que permita la sesión.

• Deny (Denegar): sesión descartada después de identificar la aplicación; hay
una regla para bloquear o no hay ninguna regla que permita la sesión.

(Generate Time) (Hora
de generación [Hora
generada])
Source Address Dirección IP de origen de los paquetes de la sesión.

(Dirección de origen)
Destination Address Dirección IP de destino de los paquetes de la sesión.

(Dirección de destino)
NAT Source IP (NAT Si se ejecuta un NAT de origen, es el NAT de dirección IP de origen posterior.
IP origen)
NAT Destination IP Si se ejecuta un NAT de destino, es el NAT de dirección IP de destino

(NAT IP destino) posterior.
Rule Name (Rule) Nombre de la regla de política de seguridad en vigencia en la sesión.

(Nombre de regla
[Regla])
Source User (Usuario ID de usuario de origen de los paquetes de la sesión.

de origen)
Destination User ID de usuario de origen de los paquetes de la sesión.

(Usuario de destino)
Application Protocolo de tunelización utilizado en la sesión.

(Aplicación)
Virtual System Sistema virtual asociado a la sesión.

(Sistema virtual)
Source Zone (Zona de Zona de origen de los paquetes de la sesión.

origen)
Destination Zone Zona de destino de los paquetes de la sesión.

(Zona de destino)
Inbound Interface Interfaz de la que se obtuvo la sesión.

(Interfaz entrante)
Outbound Interface Interfaz de destino de la sesión.

(Interfaz saliente)
Log Action (Acción de Perfil de reenvío de logs aplicado a la sesión.

log)

Session ID (ID de ID de la sesión que se está registrando.

sesión)
Repeat Count Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y

(Número de Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
repeticiones)
Source Port (Puerto de Puerto de origen utilizado por la sesión.

origen)
Destination Port Puerto de destino utilizado por la sesión.

(Puerto de destino)
NAT Source Port (NAT NAT de puerto de origen posterior.

puerto origen)
NAT Destination Port NAT de puerto de destino posterior.

(NAT puerto destino)
Flags (Marcas) Campo de 32 bits que proporciona información detallada sobre la sesión;
este campo puede descodificarse añadiendo los valores con Y y con el valor
registrado:
• 0x02000000: sesión IPv6.
• 0x00800000: la sesión se ha denegado a través del filtrado de URL.
• 0x00200000: la información de usuario de la sesión se ha capturado
mediante el portal cautivo (Captive Portal).
• 0x00080000: el valor X-Forwarded-For de un proxy está en el campo
Usuario de origen.
• 0x00040000: el log corresponde a una transacción en una sesión de proxy
HTTP (Transacción proxy).
• 0x00008000: la sesión es un acceso a la página de contenedor (Container
Page).
• 0x00002000: la sesión tiene una coincidencia temporal en una regla para
la gestión de las dependencias de las aplicaciones implícitas. Disponible en
PAN-OS 5.0.0 y posterior.
• 0x00000800: se utilizó el retorno simétrico para reenviar tráfico para esta
sesión.
Protocol (IP Protocol) Protocolo IP asociado a la sesión.

(Protocolo [Protocolo
IP])
Action (Acción) Acción realizada para la sesión; los valores son:

• Allow (Permitir): la política permitió la sesión.
• Deny (Denegar): la política denegó la sesión.
• Drop (Descartar): la sesión se descartó de manera silenciosa.

• Drop ICMP (Descartar ICMP): la sesión se descartó de manera silenciosa
con un mensaje de ICMP inalcanzable al host o aplicación.
• Reset both (Restablecer ambos): la sesión se ha terminado y un
restablecimiento de TCP se envía a ambos lados de la conexión.
• Reset client (Restablecer cliente): la sesión se ha terminado y un
restablecimiento de TCP se envía al cliente.
• Reset server (Restablecer servidor): la sesión se ha terminado y un
restablecimiento de TCP se envía al servidor.
Severity (Gravedad) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Sequence Number Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
(Número de secuencia) tipo de log tiene un espacio de número único. Este campo no es compatible
con los cortafuegos PA-7000 Series.
Action Flags (Marcas Campo de bits que indica si el log se ha reenviado a Panorama.
de acción)
Source Location País de origen o región interna para direcciones privadas; la longitud máxima es
(source country) de 32 bytes.
(Ubicación de origen
[país de origen])
Destination Location País de destino o región interna para direcciones privadas. La longitud máxima
(destination country) es de 32 bytes.
(Ubicación de destino
[país de destino])
data
Consulta de la API:
show>
Virtual System Name El nombre del sistema virtual asociado con la sesión; solo válido en los
(Nombre de sistema cortafuegos habilitados para múltiples sistemas virtuales.
virtual)

Device Name (Nombre El nombre de host del cortafuegos en el que se inició sesión.
del dispositivo)
Tunnel ID/IMSI (ID/ ID del túnel que se está inspeccionando o ID de identidad de suscriptor móvil
IMSI de túnel) internacional (International Mobile Subscriber Identity, IMSI) del usuario móvil.
Monitor Tag/IMEI Nombre de supervisor que configuró para la regla de política de inspección de
(Etiqueta/IMEI de túnel o el ID de identidad de equipo móvil internacional (International Mobile
supervisión) Equipment Identity, IMEI) del dispositivo móvil.
Parent Session ID (ID ID de la sesión en la cual se tuneliza esta sesión. Se aplica al túnel interno
de sesión primaria) (si hay dos niveles de tunelización) o al contenido interno (si hay un nivel de
tunelización) únicamente.
Hora de inicio Año/mes/día horas:minutos:segundos desde que comenzó la sesión de túnel

principal principal.
(parent_start_time)
Tunnel Type (Tunnel) Tipo de túnel, tal como GRE o IPSec.

(Tipo de túnel [Túnel])
Bytes Cantidad de bytes de la sesión.
Bytes Sent (Bytes Número de bytes en la dirección cliente a servidor de la sesión.

enviados)
Bytes Received (Bytes Número de bytes en la dirección servidor a cliente de la sesión.

recibidos)
Packets (Paquetes) Número total de paquetes (transmitidos y recibidos) de la sesión.
Paquetes enviados Números de paquetes de cliente a servidor de la sesión.

(pkts_sent)
Paquetes recibidos Números de paquetes de servidor a cliente de la sesión.

(pkts_received)
Encapsulación máxima Cantidad de paquetes que el cortafuegos descartó debido a que el paquete
(max_encap) excedía la cantidad máxima de niveles de encapsulación configurados en la
regla de política de inspección de túnel (descartar paquete si se excede el nivel
máximo de inspección de túnel).
Protocolo Cantidad de paquetes que el cortafuegos descartó debido a que contiene un

desconocido protocolo desconocido, según se habilitó en la regla de política de inspección
(unknown_proto) de túnel (descartar paquete si hay un protocolo desconocido dentro del túnel).
Comprobación estricta Cantidad de paquetes que el cortafuegos descartó debido a que el encabezado
(strict_check) del protocolo del túnel en el paquete no cumplió con el RFC para el protocolo
del túnel, según se habilitó en la regla de política de inspección de túnel (Drop

packet if tunnel protocol fails strict header check [Descartar paquete si el
protocolo del túnel no supera la comprobación de encabezado estricto]).
Fragmento de túnel Cantidad de paquetes que el cortafuegos descartó debido a errores de

(tunnel_fragment) fragmentación.
Sesiones creadas Cantidad de sesiones internas creadas.

(sessions_created)
Sesiones cerradas Cantidad de sesiones completas/cerradas que se crearon.

(sessions_closed)
Razón del fin de sesión Razón por la que ha finalizado una sesión. Si la finalización ha tenido varias
(session_end_reason) causas, este campo solo muestra la más importante. Los valores de la posible
razón de finalización de la sesión son los siguientes en orden de prioridad (el
primero es el más importante):
• threat (amenaza): el cortafuegos ha detectado una amenaza asociada a una
acción de restablecimiento, borrado o bloqueo (dirección IP).
• policy-deny: La sesión ha hecho coincidir una regla de seguridad con una
acción de denegación o borrado.
• decrypt-cert-validation: la sesión finalizó debido a que usted configuró
el cortafuegos para que bloquee el cifrado de proxy de reenvío SSL o
la inspección de entrada SSL cuando la sesión utilice la autenticación
de cliente o un certificado de servidor con cualquiera de las siguientes
condiciones: vencido, emisor no fiable, estado desconocido o tiempo de
espera de verificación de estado agotado. Este motivo de fin de la sesión
también se muestra cuando el certificado del servidor produce un alerta
de error irrecuperable de tipo bad_certificate, unsupported_certificate,
certificate_revoked, access_denied o no_certificate_RESERVED (SSLv3
únicamente).
• decrypt-unsupport-param: la sesión finalizó porque usted configuró el
cortafuegos para que bloquee el descifrado de proxy de reenvío SSL o la
inspección de entrada SSL cuando la sesión utiliza una versión de protocolo,
cifra o algoritmo SSH no compatible. Este motivo de fin de la sesión se
muestra cuando la sesión produce una alerta de error irrecuperable de tipo
unsupported_extension, unexpected_message o handshake_failure.
• decrypt-error: la sesión finalizó porque usted configuró el cortafuegos
para que bloquee el descifrado de proxy de reenvío SSL o la inspección de
entrada SSL cuando los recursos del cortafuegos o el módulo de seguridad
de (hardware security module, HSM) no estaban disponibles. Este motivo de
fin de la sesión también se muestra cuando usted configura el cortafuegos
para que bloquee el tráfico SSL con errores de SSH que produjo una alerta
de error irrecuperable que no sea ninguna de las enumeradas para los
motivos de finalización decrypt-cert-validation y decrypt-unsupport-param.
• tcp-rst-from-client: el cliente ha enviado un restablecimiento de TCP al
servidor.
• tcp-rst-from-server: el servidor ha enviado un restablecimiento de TCP al
cliente.
• resources-unavailable: la sesión se ha cancelado debido a una limitación
de recursos del sistema. Por ejemplo, la sesión podría haber superado el

número de paquetes que no funcionan permitidos por flujo o por la cola de
paquetes que no funcionan globales.
• tcp-fin: uno o varios hosts de la conexión han enviado un mensaje FIN de
TCP para cerrar la sesión.
• tcp-reuse: se reutiliza una sesión y el cortafuegos cierra la sesión anterior.
• decoder: el decodificador detecta una nueva conexión en el protocolo
(como HTTP-Proxy) y finaliza la conexión anterior.
• aged-out: la sesión ha caducado.
• unknown: este valor se aplica en las siguientes situaciones:
• Terminaciones de sesiones a las que no se aplican los motivos anteriores
(por ejemplo, un comando clear session all).
• Para logs generados en una versión de PAN-OS que no admite el campo
de razón de finalización de sesión (versiones posteriores a PAN-OS 6.1),
el valor será unknown (desconocido) después de una actualización de
la versión actual de PAN-OS o después de que los logs se carguen en el
cortafuegos.
• En Panorama, los logs recibidos de los cortafuegos para los que la
versión de PAN-OS no admite razones de finalización de sesión tendrán
un valor unknown.
• n/a: este valor se aplica cuando el tipo de log de tráfico no es end.
Fuente de acción Especifica si la acción desarrollada para permitir o bloquear una aplicación se
(action_source) definió en la aplicación o en la política. Las acciones pueden: permitir, denegar,
descartar, restablecer servidor, restablecer cliente o restablecer ambos para la
sesión.
Start Time (start) Año/mes/día horas:minutos:segundos desde que comenzó la sesión.

(Fecha de inicio [start])
Elapsed Time (sec) Tiempo transcurrido en la sesión.

(Tiempo transcurrido
[s])
Campos de logs de autenticación

Formato: FUTURE_USE, Receive Time, Serial Number, Type, Threat/Content Type, FUTURE_USE,
Generated Time, Virtual System, Source IP, User, Normalize User, Object, Authentication Policy, Repeat
Count, Authentication ID, Vendor, Log Action, Server Profile, desc, Client Type, Event Type, Factor Number,
Action Flags, Device Group Hierarchy 1, Device Group Hierarchy 2, Device Group Hierarchy 3, Device
Group Hierarchy 4, Virtual System Name, Device Name
Nombre de campo DESCRIPTION
Serial Number (Serial #) Número de serie del dispositivo que generó el log.

Tipo de amenaza/ Subtipo del log de sistema; hace referencia al demonio de sistema que genera
contenido el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw
(hardware), nat (NAT), ntpd (demonio NTP), pbf (PBF), port (puerto), pppoe
(PPPoE), ras (RAS), routing (enrutamiento), satd, sslmgr (gestor SSL), sslvpn
(VPN SSL), userid (ID de usuario), url-filtering (filtrado de URL) y vpn (VPN).

(Generate Time)
IP de origen Dirección IP de origen de la sesión original.
Usuario Usuario final que se autentica.
Normalizar usuario Versión normalizada del nombre de usuario que se autentica (como la anexión
de un nombre de dominio al nombre de usuario).
Objeto Nombre del objeto asociado al evento del sistema.
Política de Política que se invoca para la autenticación antes de permitir el acceso al

autenticación recurso protegido.
Número de Número de sesiones con el mismo IP de origen, IP de destino, Aplicación y

repeticiones Subtipo observados en 5 segundos. Utilizado únicamente para ICMP.
ID de autenticación ID único que se brinda para la autenticación primaria y la autenticación

(multifactor) adicional.
Proveedor El proveedor que brinda la autenticación de factor adicional.
Server Profile Servidor de autenticación que se utiliza para realizar la autenticación.

(serverprofile)
Description (desc) Información de autenticación adicional.
Tipo de cliente Tipo de cliente que se utiliza para completar la autenticación (como el portal
de autenticación).
Tipo de evento Resultado del intento de autenticación.
Número de factor Indica el uso de la autenticación primaria (1) o los factores adicionales (2, 3).
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente.

Cada tipo de log tiene un espacio de número exclusivo.
Action Flags Campo de bits que indica si el log se ha reenviado a Panorama.

(dg_hier_level_1 a (o sistema virtual) que genera el log incluye el número de identificación
dg_hier_level_4) de cada antecesor en su jerarquía de grupos de dispositivos. El grupo de
dispositivos compartidos (nivel 0) no se incluye en esta estructura.
data
Consulta de la API:
show>
Configuración de campos de logs

Formato: FUTURE_USE, Hora de recepción, Número de serie, Tipo, Subtipo, FUTURE_USE, Tiempo
generado, Host, Sistema virtual, Comando, Admin, Cliente, Resultado, Ruta de configuración, Número de
secuencia, Marcas de acción, Detalle antes del cambio, Detalle después del cambio, Jerarquía de grupos de
dispositivos Nivel 1, Jerarquía de grupos de dispositivos Nivel 2, Jerarquía de grupos de dispositivos Nivel 3,
Jerarquía de grupos de dispositivos Nivel 4, Nombre de sistema virtual, Nombre del dispositivo
Receive Time (Hora de Hora a la que se recibió el log en el plano de gestión.

recepción)
Serial Number (N.° de Número de serie del dispositivo que generó el log.
serie)
Type (Tipo) Tipo de log; los valores son traffic (tráfico), threat (amenaza), config
Subtype (Subtipo) Subtipo del log Configuración; no utilizado.
Hora de generación Hora a la que se generó el log en el plano de datos.

(Generate Time)
Host Nombre de host o dirección IP de la máquina cliente.

Virtual System Sistema virtual asociado al log de configuración.

(Sistema virtual)
Comando (cmd) Comando ejecutado por el administrador; los valores son añadir, duplicar,
compilar, eliminar, editar, mover, renombrar y establecer.
Admin (administrador) Nombre de usuario del administrador que realiza la configuración.
Client (cliente) Cliente utilizado por el administrador; los valores son Web y CLI.
Result (resultado) Resultado de la acción de configuración; los valores son Enviada,

Correctamente, Fallo y No autorizado.
Configuration Path Ruta del comando de configuración emitido; puede tener una longitud de hasta
(ruta) 512 bytes.
Detalle antes Este campo solo se incluye en los logs personalizados y no tiene el formato
del cambio predeterminado.
(before_change_detail)
Contiene la xpath completa antes del cambio de configuración.
Detalle después Este campo solo se incluye en los logs personalizados y no tiene el formato
del cambio predeterminado.
(after_change_detail)
Contiene la xpath completa después del cambio de configuración.
Número de secuencia Identificador de entrada de log de 64 bits que aumenta secuencialmente; cada
(seqno) tipo de log tiene un espacio de número exclusivo.

(actionflags)
data
Consulta de la API:
show>
virtual)

del dispositivo)
Campos de logs del sistema

Formato: FUTURE_USE, Receive Time, Serial Number, Type, Content/Threat Type, FUTURE_USE,
Generated Time, Virtual System, Event ID, Object, FUTURE_USE, FUTURE_USE, Module, Severity,
Description, Sequence Number, Action Flags, Device Group Hierarchy Level 1, Device Group Hierarchy
Level 2, Device Group Hierarchy Level 3, Device Group Hierarchy Level 4, Virtual System Name, Device
Name
Receive Time (Fecha de Hora a la que se recibió el log en el plano de gestión.

registro)
Serial Number (Serial #) Número de serie del cortafuegos que generó el log.
Type (Tipo) Tipo de log; los valores son Tráfico, Amenaza, Configuración, Sistema y
Coincidencias HIP.
Content/Threat Type Subtipo del log de sistema; hace referencia al demonio de sistema que genera
(Tipo de contenido/ el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
amenaza) general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw
Generated Time (Hora Hora a la que se generó el log en el plano de datos.

de generación)
Virtual System (Sistema Sistema virtual asociado al log de configuración.

virtual)
Event ID (ID de evento) Cadena que muestra el nombre del evento.
Object (Objeto) Nombre del objeto asociado al evento del sistema.
Module (módulo) Este campo únicamente es válido cuando el valor del campo Subtipo es
General. Proporciona información adicional acerca del subsistema que genera
el log; los valores son General, Gestión, Autenticación, HA, Actualizar y
Bastidor.
Severity (Gravedad) Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
Description Descripción detallada del evento, hasta un máximo de 512 bytes.

(Descripción)

Sequence Number Identificador de entrada de log de 64 bits que aumenta secuencialmente, cada
(Número de secuencia) tipo de log tiene un espacio de número único.
Action Flags (Marcas de Campo de bits que indica si el log se ha reenviado a Panorama.
acción)
data
Consulta de la API:
show>
virtual)
del dispositivo)
Campos de log de eventos correlacionados

Formato: FUTURE_USE, Receive Time, Serial Number, Type, Content/Threat Type, FUTURE_USE,
Generated Time, Source Address. Source User, Virtual System, Category, Severity, Device Group Hierarchy
Level 1, Device Group Hierarchy Level 2, Device Group Hierarchy Level 3, Device Group Hierarchy Level 4,
Virtual System Name, Device Name, Virtual System ID, Object Name, Object ID, Evidence
Serial Number (Serial #) Número de serie del dispositivo que generó el log.
Content/Threat Type Subtipo del log de sistema; hace referencia al demonio de sistema que genera
el log. Los valores son crypto (criptográfico), dhcp, dnsproxy (proxy DNS), dos,
general (general), global-protect (GlobalProtect), ha (alta disponibilidad), hw


(Generate Time)
Dirección de origen Dirección IP de usuario que inició el evento.
Usuario de origen Nombre del usuario que inició el evento.
Sistema virtual Sistema virtual asociado al log Configuración.
Category Resumen del tipo de amenaza o riesgo para la red, usuario o host.
Gravedad Gravedad asociada al evento; los valores son Informativo, Bajo, Medio, Alto y
Crítico.
data
Consulta de la API:
show>
Virtual System ID Un identificador único de un sistema virtual en un cortafuegos de Palo Alto

Networks.
Nombre de objeto Nombre del objeto de correlación con el que se produjo la coincidencia.
(objectname)
ID de objeto Nombre del objeto asociado al evento del sistema.

Prueba Una afirmación de resumen que indica las veces que el host halló
coincidencias con las condiciones definidas en el objeto de correlación. Por
ejemplo, el host ingresó en la URI de malware conocida (19 veces).
Gravedad de Syslog
La gravedad de Syslog se establece basándose en el tipo de log y el contenido.
Tipo/gravedad de log Gravedad de Syslog
Tráfico info
Configurar info
Amenaza/Sistema: Informativo info
Amenaza/Sistema: Bajo Aviso
Amenaza/Sistema: Medio Advertencia
Amenaza/Sistema: Alto Error
Amenaza/Sistema: Crítico Crítico
Formato de logs/eventos personalizados

Para facilitar la integración con sistemas de análisis de logs externos, el cortafuegos le permite personalizar
el formato de logs; también le permite añadir pares de atributos personalizados Clave: Pares de atributo
Value (Valor). El formato de los mensajes personalizados puede configurarse en Device (Dispositivo) >
Server Profiles (Perfiles de servidor) > Syslog > Syslog Server Profile (Perfil de servidor Syslog) > Custom
Log Format (Formato de log personalizado).
Para lograr un formato de log que cumpla con el formato de eventos comunes (CEF) de ArcSight, consulte
CEF Configuration Guide (en inglés).
Secuencias de escape
Cualquier campo que contenga una coma o comillas dobles aparecerá entre comillas dobles. Además, si
aparecen comillas dobles dentro de un campo, se definirán como carácter de escape anteponiéndoles
otras comillas dobles. Para mantener la compatibilidad con versiones anteriores, el campo Varios del log de
amenaza siempre aparecerá entre comillas dobles.

Monitorización de SNMP y capturas
Los siguientes temas describen cómo los cortafuegos, Panorama y los dispositivos WF-500 de Palo Alto
Networks implementan SNMP, y los procedimientos para configurar la supervisión de SNMP y la entrega de
capturas.
• Compatibilidad de SNMP on page 419
• Active el gestor SNMP para explorar MIB y objetos on page 420
• Habilitación de servicios SNMP para elementos de red asegurados por el cortafuegos on page 423
• Monitorización de estadísticas mediante SNMP on page 424
• Reenvío de capturas a un administrador SNMP on page 425
• MIB admitidas on page 427
Compatibilidad de SNMP
Puede utilizar el administrador del SNMP para supervisar las alertas activadas por eventos y las estadísticas
operativas del cortafuegos, Panorama o el dispositivo WF-500 y para el tráfico que procesan. Las
estadísticas y capturas pueden ayudarle a identificar las limitaciones de recursos, cambios o fallos
de sistemas, y ataques de malware. Puede configurar alertas mediante el reenvío de datos de log
como capturas y permitir el envío de estadísticas en respuesta a mensajes GET (solicitudes) desde
su administrador SNMP. Cada captura y estadística tiene un identificador de objeto (OID). Los OID
relacionados se organizan jerárquicamente dentro de las bases de información de gestión (MIB) que cargue
en el gestor SNMP para habilitar la monitorización.
Cuando un evento desencadena la generación de capturas SNMP (por ejemplo, cuando

una interfaz deja de funcionar), el cortafuegos, el dispositivo virtual Panorama, el dispositivo
serie M y el dispositivo WF-500 responden mediante la actualización del objeto SNMP
correspondiente (por ejemplo, las interfaces MIB) en lugar de esperar la actualización
periódica de todos los objetos que se produce cada diez segundos. Esto garantiza que
su administrador SNMP muestre la información más reciente al sondear un objeto para
confirmar un evento.
El cortafuegos, Panorama y el dispositivo WF-500 admiten SNMP versión 2c y versión 3. Decida cuál usar
en función de la versión que otros dispositivos de su red admiten y sus requisitos de seguridad de red.
SNMP versión 3 es más seguro y permite un control de acceso más pormenorizado para las estadísticas
del sistema que el SNMP versión 2c. La siguiente tabla resume las funciones de seguridad de cada versión.
Podrá seleccionar la versión y configurar las funciones de seguridad cuando realice la Supervisión de
estadísticas con SNMP y el Reenvío de capturas a un administrador SNMP.
Versión Autenticación Privacidad del IntegridadGranularidad de acceso a MIB

deSNMP mensaje delmensaje
SNMPv2c Cadena de comunidad No (cleartext) No Acceso a la comunidad SNMP a

todas las MIB del dispositivo.
SNMPv3 EngineID, nombre de Contraseña de Yes (sí) Acceso del usuario en función de las
usuario y contraseña privacidad para vistas que incluyen o excluyen los
de autenticación cifrado AES 128 OID específicos
(hash SHA para la de mensajes
contraseña) SNMP

La Implementación de SNMP ilustra una implementación en la cual los cortafuegos reenvían capturas a
un administrador SNMP a la vez que reenvían logs a los recopiladores de log. Alternativamente, puede
configurar los recopiladores de logs para reenviar las capturas de cortafuegos al gestor SNMP. Para
obtener información detallada sobre estas implementaciones, consulte Opciones de reenvío de logs en la
creación centralizada de logs e informes. En todas las implementaciones, el administrador SNMP obtiene
estadísticas directamente desde el cortafuegos Panorama o el dispositivo WF-500. En este ejemplo, un
único administrador SNMP recopila tanto capturas como estadísticas, aunque puede usar administradores
distintas para esas funciones si se adapta mejor a su red.
Figure 2: Implementación SNMP
Active el gestor SNMP para explorar MIB y objetos

Para usar SNMP para monitorizar cortafuegos, Panorama o dispositivos WF-500 de Palo Alto Networks,
primero debe cargar las MIB admitidas on page 427 en su administrador SNMP y determinar qué
identificadores de objeto (object identifiers, OID) corresponden a las estadísticas y capturas del sistema
que desea monitorizar. Los siguientes temas ofrecen una descripción de cómo encontrar OID y MIB en un
administrador SNMP. Para conocer los pasos específicos para realizar esas tareas, consulte su software de
gestión SNMP.
• Identificación de una MIB que contiene un OID conocido on page 421
• Recorrido por un MIB on page 421
• Identificación de OID de estadísticas o capturas de un sistema on page 422

Identificación de una MIB que contiene un OID conocido
Si ya conoce el OID para el objeto SNMP concreto (estadísticas o capturas) y desea conocer los OID de
objetos similares para que pueda supervisarlos, puede explorar la MIB que contiene el OID conocido.
STEP 1 | Cargue todas las MIB admitidas on page 427 en su gestor SNMP.
STEP 2 | Busque todo el árbol MIB para el OID conocido. El resultado de la búsqueda muestra la ruta
de MIB para el OID, así como la información sobre el OID (por ejemplo, el nombre, estado
y descripción). Luego puede seleccionar otros OID en la misma MIB para ver la información
sobre ellos.
STEP 3 | (Opcional) Realice un Recorrido por un MIB on page 421 para mostrar todos sus objetos.
Recorrido por un MIB

Si desea ver qué objetos SNMP (estadísticas y capturas del sistema) están disponibles para su supervisión,
puede que resulte útil mostrar todos los objetos de una MIB concreta. Para ello, cargue las MIB admitidas
on page 427 en su gestor SNMP y realice un recorrido por la MIB que desee. Para enumerar las capturas
que los cortafuegos, Panorama o dispositivos WF-500 de Palo Alto Networks admiten, recorra la MIB de
panCommonEventEventsV2. En el siguiente ejemplo, al recorrer PAN-COMMON-MIB.my on page 433
se muestra la siguiente lista de OID y sus valores para ciertas estadísticas:

Identificación de OID de estadísticas o capturas de un sistema
Para usar un administrador SNMP para supervisar cortafuegos, Panorama o dispositivos WF-500 de Palo
Alto Networks, debe conocer los OID de las estadísticas y capturas del sistema que desea supervisar.
STEP 1 | Revise las MIB compatibles para determinar cuál contiene el tipo de estadística que desea.
Por ejemplo, PAN-COMMON-MIB.my contiene información de versión de hardware. La
MIB panCommonEventEventsV2 contiene todas las capturas que admiten los cortafuegos,
Panorama y dispositivos WF-500 de Palo Alto Networks.
STEP 2 | Abra la MIB en un editor de texto y realice una búsqueda de palabras clave. Por ejemplo, el uso
de una versión de hardware como cadena de búsqueda en PAN-COMMON-MIB identifica el
objeto panSysHwVersion:
panSysHwVersion OBJECT-TYPE
SYNTAX DisplayString (SIZE(0..128))
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"Hardware version of the unit."
::= {panSys 2}
STEP 3 | En una explorador de MIB, busque el árbol de MIB para que el nombre de objeto
identificado muestre su OID. Por ejemplo, el objeto panSysHwVersion tiene un OID de
1.3.6.1.4.1.25461.2.1.2.1.2.

Habilitación de servicios SNMP para elementos de red asegurados
por el cortafuegos
Si va a usar el protocolo simple de administración de redes (SNMP) para monitorizar o gestionar elementos
de la red (por ejemplo, conmutadores y enrutadores) que están dentro de las zonas de seguridad de los
cortafuegos de Palo Alto Networks, deberá crear una regla de seguridad que permita los servicios SNMP
para esos elementos.
No necesita una regla de seguridad para habilitar la supervisión de SNMP de cortafuegos,

Panorama o dispositivos WF-500 de Palo Alto Networks. Si desea información detallada,
consulte Monitorización de estadísticas mediante SNMP on page 424.
STEP 1 | Cree un grupo de aplicaciones.

1. Seleccione Objects (Objetos) > Application Group (Grupo de aplicaciones) y haga clic en Add
(Añadir).
2. Introduzca un nombre en Name (Nombre) para identificar el grupo de aplicaciones.
3. Haga clic en Add (Añadir), introduzca snmp y seleccione snmp y snmp-trap en el menú desplegable.
4. Haga clic en OK (Aceptar) para guardar el grupo de aplicaciones.
STEP 2 | Cree una regla de seguridad para permitir los dispositivos SNMP.
2. En la pestaña General, introduzca un nombre en Name (Nombre) para la regla.
3. En las pestañas Source (Origen) y Destination (Destino), haga clic en Add (Añadir) e introduzca una
zona de origen en Source Zone (Zona de origen) y una zona de destino en Destination Zone (Zona de
destino) para el tráfico.
4. En la pestaña Applications (Aplicaciones), haga clic en Add (Añadir), introduzca el nombre del grupo
de aplicaciones que acaba de crear y selecciónelo en el menú desplegable.
5. En la pestaña Actions (Acciones), compruebe que Action (Acción) esté configurada en Allow
(Permitir) y haga clic en OK (Aceptar) y después en Commit (Confirmar).

Monitorización de estadísticas mediante SNMP
Las estadísticas que recoge un administrador de protocolo simple de administración de redes (Simple
Network Management Protocol, SNMP) de los cortafuegos de Palo Alto Networks pueden ayudar a medir
el estado de su red (dispositivos y conexiones), identificar las limitaciones de los recursos y supervisar el
tráfico o procesar las cargas. Estas estadísticas incluyen información como los estados de la interfaz (activa
o caída), las sesiones de usuarios activas, las sesiones simultáneas, el uso de sesiones, la temperatura y el
tiempo de funcionamiento del sistema.
No puede configurar un administrador SNMP para que controle los cortafuegos de Palo Alto
Networks (mediante mensajes SET), solo para recopilar estadísticas de ellos (mediante
mensajes GET). Para obtener más información sobre cómo se implementa el SNMP en los
cortafuegos de Palo Alto Networks, consulte Compatibilidad de SNMP on page 419.
STEP 1 | Puede configurar un administrador SNMP para recibir estadísticas de los cortafuegos.
Los siguientes pasos ofrecen una descripción de las tareas que realiza en el administrador SNMP. Para
ver los pasos específicos, consulte la documentación de su gestor SNMP.
1. Para permitir que el administrador SNMP interprete estadísticas del cortafuegos, cargue las MIB
admitidas on page 427 de los cortafuegos de Palo Alto Networks y, si es necesario, compílelas.
2. Para cada cortafuegos que vaya a supervisar el administrador SNMP, defina los ajustes de conexión
(dirección IP y puerto) y los ajustes de autenticación (cadena de comunidad SNMP 2c o ID de motor/
nombre de usuario/contraseña de SNMP 3) para el cortafuegos.
Los cortafuegos de Palo Alto Networks usan el puerto 161.
El administrador SNMP puede usar la misma conexión o una diferente, y los mismos ajustes de
autenticación o diferentes para múltiples cortafuegos. Los ajustes deben coincidir con los que usted
definió al configurar el SNMP en el cortafuegos (consulte el paso 3 on page 425). Por ejemplo, si
usa SNMPv2c, la cadena de comunidad que define al configurar el cortafuegos debe coincidir con la
cadena de comunidad que defina en el administrador SNMP de ese cortafuegos.
3. Determine los identificadores de objeto (OID) de las estadísticas que desea monitorizar. Por
ejemplo, para monitorizar el porcentaje de utilización de la sesión de un cortafuegos, un explorador
MIB muestra que esta estadística corresponde con el OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 en PAN-
COMMON-MIB.my on page 433. Si desea información detallada, consulte Active el gestor SNMP
para explorar MIB y objetos on page 420.
4. Configure el gestor SNMP para monitorizar los OID deseados.
STEP 2 | Habilite el tráfico de SNMP en una interfaz de cortafuegos.

Esta es la interfaz que recibirá las solicitudes de estadísticas desde el gestor SNMP.
PAN-OS no sincroniza los ajustes de interfaz de gestión (MGT) para cortafuegos en una
configuración de alta disponibilidad (high availability, HA). Debe configurar la interfaz
para cada par de HA.
Realice este paso en la interfaz web del cortafuegos.

• Para habilitar el tráfico SNMP en la interfaz MGT, seleccione Device (Dispositivo) > Setup
(Configuración) > Interfaces, modifique la interfaz Management (Gestión), seleccione SNMP y luego
haga clic en OK (Aceptar) y Commit (Confirmar).

• Para habilitar el tráfico SNMP en cualquier otra interfaz, cree un perfil de gestión de interfaz para los
servicios SNMP y asigne el perfil a la interfaz que recibirá las solicitudes SNMP. El tipo de interfaz
debe ser Ethernet de capa 3.
STEP 3 | Configure el cortafuegos para responder a las solicitudes de estadísticas desde un

administrador SNMP.
PAN-OS no sincroniza los ajustes de respuesta SNMP para cortafuegos en una

configuración de alta disponibilidad (high availability, HA). Debe configurar esos ajustes
para cada par de HA.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones) y, en la sección
Miscellaneous (Varios), haga clic en SNMP Setup (Configuración de SNMP).
2. Seleccione la versión de SNMP en Version (Versión) y configure los valores de autenticación del
siguiente modo. Si desea información más detallada sobre versión, consulte Compatibilidad de SNMP
on page 419.
• V2c: introduzca la SNMP Community String, que identifica a una comunidad de administradores
SNMP y dispositivos supervisados, además de servir como contraseña para autenticar a los
miembros de la comunidad entre sí.
Se recomienda no usar la cadena de comunidad pública predeterminada; es

bien conocida, y por ello no es segura.
• V3: cree al menos un grupo de vistas SNMP y un usuario. Las cuentas y vistas de usuario
proporcionan autenticación, privacidad y control de acceso cuando los cortafuegos reenvían
capturas y los administradores SNMP obtienen estadísticas de cortafuegos.
• Vistas: cada vista es un Identificador de objeto (object identifier, OID) emparejado y una
máscara binaria: el OID especifica un MIB y la máscara (en formato hexadecimal) especifica
qué objetos son accesibles dentro (incluir coincidencias) o fuera (excluir coincidencias) del
MIB. Haga clic en Add (Añadir) en la primera lista e introduzca un Name (Nombre) para el
grupo de vistas. En cada vista del grupo, haga clic en Add (Añadir) y configure los campos
Name (Nombre), OID (Identificador de objeto), Option (Opción) coincidente (include [incluir] o
exclude [excluir]) y Mask (Máscara) de la vista.
• Haga clic en Add (Añadir) en la segunda lista, introduzca un nombre de usuario en Users
(Usuarios), seleccione el grupo View (Ver) en la lista desplegable, escriba la contraseña de
autenticación (Auth Password) que se usa para autenticar al administrador SNMP y escriba
la contraseña de privacidad (Priv Password) que se usa para cifrar los mensajes SNMP al
administrador SNMP.
STEP 4 | Supervise las estadísticas del cortafuegos en un gestor SNMP.

Consulte la documentación de su gestor SNMP para obtener más detalles.
Cuando supervise las estadísticas relacionadas a las interfaces del cortafuegos, debe
comparar los índices de interfaz del gestor SNMP con los nombres de interfaz de la
interfaz web del cortafuegos. Si desea información detallada, consulte Identificadores de
interfaz de cortafuegos en los gestores SNMP y recopiladores de NetFlow on page 446.
Reenvío de capturas a un administrador SNMP

Las capturas del protocolo simple de administración de redes (Simple Network Management Protocol,
SNMP) pueden alertarle sobre eventos del sistema (fallos o cambios del hardware o software de los

cortafuegos de Palo Alto Networks) o sobre amenazas (tráfico que coincide con una regla de seguridad del
cortafuegos) que requieren atención inmediata.
Para ver la lista de capturas que los dispositivos de Palo Alto Networks admiten, use su
administrador SNMP para acceder a la MIB panCommonEventEventsV2. Para obtener más
detalles, consulte Cómo usar un gestor SNMP para explorar MIB y objetos.
Para obtener información detallada sobre cómo los cortafuegos de Palo Alto Networks
implementan el SNMP, consulte SNMP Support (Asistencia de SNMP).
STEP 1 | Habilite el gestor SNMP para que interprete las capturas que recibe.
Cargue los MIB compatibles para los cortafuegos de Palo Alto Networks y, si es necesario, confírmelos.
Para ver los pasos específicos, consulte la documentación de su gestor SNMP.
STEP 2 | Configure un perfil de servidor trap SNMP.

El perfil define la forma en que el cortafuegos accede a los administradores SNMP (servidores de
capturas). Puede definir hasta cuatro gestores de SNMP para cada perfil.
Otra opción es configurar distintos perfiles de servidor de capturas de SNMP para

diferentes tipos de logs, niveles de gravedad y veredictos de WildFire.
1. Inicie sesión en la interfaz web del cortafuegos.

2. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > SNMP Trap (Captura de
SNMP).
3. Haga clic en Add (Añadir) e introduzca un Name (Nombre) para el perfil.
Shared [Uso compartido]) en la que el perfil está disponible.
5. Seleccione la versión de SNMP en Version (Versión) y configure los valores de autenticación del
siguiente modo. Para obtener más detalles, consulte a la asistencia de SNMP.
• V2c: en cada servidor, haga clic en Add (Añadir) y escriba el nombre del servidor en Name
(Nombre), la dirección IP (SNMP Manager [Gestor SNMP]) y la Community String (Cadena de
comunidad). La cadena de comunidad que identifica a una comunidad de administradores SNMP y
dispositivos monitorizados, además de servir como contraseña para autenticar a los miembros de
la comunidad entre sí.
Se recomienda no usar la cadena de comunidad pública predeterminada; es

bien conocida, y por ello no es segura.
• V3: para cada servidor, haga clic en Add (Añadir) y escriba el nombre del servidor en Name
(Nombre), dirección IP (SNMP Manager [Gestor SNMP]), cuenta de usuario SNMP en User
(Usuario) (que debe coincidir con un nombre de usuario definido en el administrador SNMP), el
EngineID usado para identificar de forma única el cortafuegos (puede dejar el campo en blanco
para usar el número de serie del cortafuegos), la contraseña de autenticación (Auth Password
[Contraseña de autenticación]) usada para autenticar el servidor y la contraseña de privacidad
(Priv Password [Contraseña de privacidad]) usada para cifrar los mensajes SNMP al servidor.
STEP 3 | Configure el reenvío de logs.

1. Configure los destinos de las capturas de WildFire, tráfico y amenaza:
1. Cree un perfil de reenvío de logs. Para cada tipo de log y nivel de gravedad o veredicto de
WildFire, seleccione el perfil del servidor de la captura de SNMP.

2. Asignación del perfil de reenvío de logs a las reglas de la política y las zonas de la red. Las reglas y
las zonas activarán el reenvío y la generación de capturas.
2. Configuración de los destinos de los logs de sistema, configuración, User-ID, coincidencias HIP y
correlación. Para cada tipo de log (captura) y nivel de gravedad, seleccione el perfil del servidor de
captura de SNMP.
STEP 4 | Supervise las capturas de un gestor SNMP.

Consulte la documentación de su gestor SNMP.
Cuando supervise las estadísticas relacionadas con las interfaces del cortafuegos, debe
comparar los índices de interfaz del gestor SNMP con los nombres de interfaz de la
interfaz web del cortafuegos. Si desea información detallada, consulte Identificadores de
interfaz de cortafuegos en los gestores SNMP y recopiladores de NetFlow.
MIB admitidas
La tabla siguiente muestra las bases de información de gestión (management information bases, MIB) del
Protocolo simple de administración de redes (Simple Network Management Protocol, SNMP) que admiten
los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks. Debe cargar esas MIB en su
administrador SNMP para monitorizar los objetos (estadísticas y capturas del sistema) que se han definido
en las MIB. Para obtener más detalles, consulte Cómo usar un gestor SNMP para explorar MIB y objetos.
Tipo de MIB MIB admitidas
Estándar: El Grupo de Trabajo MIB-II

de Ingeniería de Internet (IETF)
IF-MIB
mantiene la mayoría de MIB
estándar. Puede descargar las HOST-RESOURCES-MIB
MIB desde el sitio web de IETF.
ENTITY-MIB
Los ENTITY-SENSOR-MIB
cortafuegos,
ENTITY-STATE-MIB
Panorama y
dispositivos IEEE 802.3 LAG MIB
WF-500 de
LLDP-V2-MIB.my
Palo Alto
Networks no BFD-STD-MIB
admiten todos
los objetos
(OID) de todas
esas MIB.
Consulte los
enlaces de MIB
admitidas para
obtener una
descripción
general de los
OID admitidos.
Empresa: puede descargar PAN-COMMON-MIB.my

las MIB de empresa desde
PAN-GLOBAL-REG-MIB.my

Tipo de MIB MIB admitidas
el portal de Documentación PAN-GLOBAL-TC-MIB.my
técnica de Palo Alto Networks.
PAN-LC-MIB.my
PAN-PRODUCT-MIB.my
PAN-ENTITY-EXT-MIB.my
PAN-TRAPS.my
MIB-II
MIB-II proporciona identificadores de objetos (OID) para protocolos de gestión de red en redes basadas en
TCP/IP. Use esta MIB para supervisar información general sobre sistemas e interfaces. Por ejemplo, puede
analizar tendencias de uso de ancho de banda ancha por tipo de interfaz (objeto ifType) para determinar si
el cortafuegos necesita más interfaces de ese tipo para acomodar los picos de volumen del tráfico.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten los siguientes
grupos de objetos:
Grupo de objetos DESCRIPTION
sistema Ofrece información de sistema, como el modelo de hardware, tiempo de

funcionamiento del sistema, FQDN y ubicación física.
Interfaces Ofrece estadísticas para interfaces físicas y lógicas como tipo, ancho de banda
actual (velocidad), estado operativo (por ejemplo, activo o inactivo) y paquetes
descartados. La interfaz lógica admite, entre otros, túneles VPN, grupos de
agregación, subinterfaces de capa 2, subinterfaces de capa 3, interfaces de
loopback e interfaces VLAN.
RFC 1213 define esta MIB.
IF-MIB
IF-MIB admite los tipos de interfaz (física y lógica) y contadores más altos (64K), más allá de los definidos
en MIB-II on page 428. Use esta MIB para estadísticas de interfaz más allá de las que proporciona MIB-II.
Por ejemplo, para monitorizar el ancho de banda actual de interfaces de alta velocidad (mayor que 2,2Gps)
como las interfaces 10G de los cortafuegos PA-5000 Series, debe comprobar el objeto ifHighSpeed de
IF-MIB en lugar del objeto ifSpeed de MIB-II. Las estadísticas IF-MIB pueden ser útiles para evaluar la
capacidad de su red.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten la ifXTable en IF-
MIB, lo que ofrece información de interfaz, como el número de paquetes de multidifusión y difusión que se
transmiten y reciben, si la interfaz está en modo promiscuo o si tiene un conector físico.
HOST-RESOURCES-MIB
HOST-RESOURCES-MIB ofrece información sobre los recursos del ordenador host. Use esta MIB para
supervisar las estadísticas de uso de memoria y CPU. Por ejemplo, si consulta la carga actual de la CPU
(objeto hrProcessorLoad) puede solucionar problemas de rendimiento del cortafuegos.

Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks admiten partes de los siguientes
grupos de objetos:
Grupo de objetos Descripción
hrDevice Ofrece información como la carga de la CPU, la capacidad de almacenamiento

y el tamaño de la partición. Los OID de hrProcessorLoad ofrecen una media
de los núcleos que procesan paquetes. Para el cortafuegos PA-5060, que
tiene múltiples planos de datos (DP), la media es de los núcleos en los tres DP
que procesan paquetes.
hrSystem Ofrece información como el tiempo de funcionamiento del sistema, el número

de sesiones de usuario y de procesos actuales.
hrStorage Ofrece información como la cantidad de almacenamiento usada.
ENTITY-MIB
ENTITY-MIB ofrece OID para múltiples componentes físicos y lógicos. Use esta MIB para determinar qué
componentes físicos se cargan en un sistema (por ejemplo, sensores de temperatura y de los ventiladores) y
ver información relacionada como los modelos y números de serie. También puede utilizar los números de
índice para que estos componentes determinen su estado operativo en la ENTITY-SENSOR-MIB on page
430 y ENTITY-STATE-MIB on page 431.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten partes del grupo
entPhysicalTable:
Objeto DESCRIPTION
entPhysicalIndex Nombre de espacio único que incluye ranuras y unidades de disco.
entPhysicalDescr La descripción del componente.
entPhysicalVendorType El sysObjectID (consulte PAN-PRODUCT-MIB.my on page 434) cuando

está disponible (objetos de bastidor y módulo).
entPhysicalContainedIn El valor de entPhysicalIndex para el componente que contiene este

componente.
entPhysicalClass Bastidor (3), contenedor (5) para una ranura, suministro de alimentación (6),
ventilador (7), sensor (8) para cada temperatura u otros aspectos ambientales
y módulo (9) para cada tarjeta de línea.
entPhysicalParentRelPos La posición relativa de este componente secundario está entre sus

componentes iguales. Los componentes hermanos se definen como
componentes entPhysicalEntry que comparten los mismos valores
de instancia de cada uno de los objetos entPhysicalContainedIn y
entPhysicalClass.

Objeto DESCRIPTION
entPhysicalName Solo es compatible si la interfaz de gestión (MGT) permite dar nombre a la

tarjeta de línea.
entPhysicalHardwareRev La revisión de hardware específica del proveedor del componente.
entPhysicalFirwareRev La revisión de firmware específica del proveedor del componente.
entPhysicalSoftwareRev La revisión de software específica del proveedor del componente.
entPhysicalSerialNum El número de serie específico del proveedor del componente.
entPhysicalMfgName El número del fabricante del componente.
entPhysicalMfgDate La fecha en la que se fabricó el componente.
entPhysicalModelName El número de modelo del disco.
entPhysicalAlias Un alias del gestor de red especificado para el componente.
entPhysicalAssetID Un identificador de monitorización del activo asignado por el usuario que el

gestor de red especificó para el componente.
entPhysicalIsFRU Indica si el componente es una unidad reemplazable en la instalación (FRU).
entPhysicalUris El número de identificador del equipo de lenguaje común (CLEI) del

componente (por ejemplo, URN:CLEI:CNME120ARA).
ENTITY-SENSOR-MIB
ENTITY-SENSOR-MIB añade compatibilidad con los sensores físicos de equipos de red más allá de lo que
define la ENTITY-MIB on page 429. Use esta MIB junto con ENTITY-MIB para supervisar el estado
operativo de los componentes físicos de un sistema (por ejemplo, los sensores de temperatura y de los
ventiladores). Por ejemplo, para solucionar problemas que pueden derivar de las condiciones ambientales,
puede asignar los índices de entidad desde la ENTITY-MIB (objeto entPhysicalDescr) para valores de estado
operativo (objeto entPhysSensorOperStatus) en la ENTITY-SENSOR-MIB. En el siguiente ejemplo, todos los
sensores de temperatura y ventiladores de un cortafuegos PA-3020 están funcionando:

El mismo OID puede referirse a diferentes sensores en una plataforma diferente. Use la
ENTITY-MIB para la plataforma de destino para que la plataforma de destino compare el
valor con la descripción.
Los cortafuegos, Panorama y dispositivos WF-500 de Palo Alto Networks solo admiten partes del grupo
entPhySensorTable. Las partes admitidas varían según la plataforma e incluyen solo los sensores térmicos
(temperatura en Celsius) y de los ventiladores (RPM).
RFC 3433 define la ENTITY-SENSOR-MIB.
ENTITY-STATE-MIB
ENTITY-STATE-MIB ofrece información sobre el estado de los componentes físicos más allá de lo que
define la ENTITY-MIB on page 429, incluido el estado administrativo y operativo de componentes en las
plataformas basadas en bastidor. Use esta MIB junto con ENTITY-MIB para monitorizar el estado operativo
de los componentes físicos de un cortafuegos PA-7000 Series (por ejemplo, tarjetas de línea, bandejas de
ventilador y fuentes de alimentación). Por ejemplo, para solucionar problemas de reenvío de logs de logs
de amenazas, puede asignar los índices de (LPC) de tarjeta de procesamiento de logs desde la ENTITY-MIB
(objeto entPhysicalDescr) a los valores de estado operativo (objeto entStateOper) en la ENTITY-SENSOR-
MIB. Los valores de estado operativo usan números para indicar el estado: 1 para desconocido, 2 para
deshabilitado, 3 para habilitado y 4 para pruebas. El cortafuegos de la serie PA-7000 es el único cortafuegos
de Palo Alto Networks que admite esta MIB.
RFC 4268 defina la ENTITY-STATE-MIB.
IEEE 802.3 LAG MIB

Use la MIB IEEE 802.3 LAG para monitorizar el estado de grupos agregados que tengan habilitado el
protocolo de control de adición de enlaces (ECMP on page 932). Cuando el cortafuegos registra eventos
LACP, también genera capturas que son útiles para la resolución de problemas. Por ejemplo, las capturas
pueden indicarle si las interrupciones de tráfico entre el cortafuegos y un peer LACP desde la conectividad
perdida o desde una velocidad de interfaz no comparada y valores duplicados.
PAN-OS implementa las siguientes tablas SNMP para LACP.
El objeto dot3adTablesLastChanged indica la hora del cambio más reciente en

dot3adAggTable, dot3adAggPortListTable y dot3adAggPortTable.
Tabla DESCRIPTION
Tabla de configuración Esta tabla contiene información sobre cada grupo de agregación que se
de agregador asocia con un cortafuegos. Cada grupo de agregación tiene una entrada.
(dot3adAggTable)
Algunos objetos de tabla tienen restricciones, que describe el objeto
dot3adAggIndex. Este índice es el identificador único que el sistema
local asigna al grupo de agregación. Identifica una instancia de grupo de
agregación entre los objetos gestionados subordinados del objeto contenido.
El identificador es de solo lectura.
La MIB ifTable (una lista de entradas de interfaz) no admite

interfaces lógicas y por ello no tiene una entrada para el
grupo de agregación.

Tabla DESCRIPTION
Tabla de lista de Esta tabla enumera los puertos asociados con cada grupo de agregación en un
puerto de agregación cortafuegos. Cada grupo de agregación tiene una entrada.
(dot3adAggPortListTable)
El atributo dot3adAggPortListPorts enumera el conjunto completo de puertos
asociados con un grupo de agregación. Cada bit definido en la lista representa
un miembro de puerto. Para las plataformas no basados en bastidor, este es
un valor de 64 bits. Para plataformas de bastidor, el valor es una matriz de
ocho entradas de 64 bits.
Tabla de puerto Esta tabla contiene información de configuración LACP sobre cada puerto
de agregación asociado con un grupo de agregación en un cortafuegos. Cada puerto tiene
(dot3adAggPortTable) una entrada. La tabla no tiene entradas para puertos que no están asociados
con un grupo de agregación.
Tabla de estadística Esta tabla contiene información de agregación de enlaces sobre cada puerto
de LACP asociado con un grupo de agregación en un cortafuegos. Cada puerto tiene
(dot3adAggPortStatsTable)una fila. La tabla no tiene entradas para puertos que no están asociados con
un grupo de agregación.
La MIB IEEE 802.3 LAG incluye las siguientes capturas relacionadas con LACP:
Nombre de captura Descripción
panLACPLostConnectivityTrap
El peer perdió conectividad con el cortafuegos.
panLACPUnresponsiveTrap El peer no responde al cortafuegos.
panLACPNegoFailTrap La negociación LACP con el peer ha fallado.
panLACPSpeedDuplexTrap Los ajustes dúplex y la velocidad de enlace en el cortafuegos y el peer no

coinciden.
panLACPLinkDownTrap Una interfaz del grupo de agregación se ha desactivado.
panLACPLacpDownTrap Una interfaz se retiró del grupo de agregación.
panLACPLacpUpTrap Una interfaz se añadió al grupo de agregación.
Para las definiciones de MIB, consulte la MIB IEEE 802.3 LAG.
LLDP-V2-MIB.my
Use el LLDP-V2-MIB para monitorizar los eventos de protocolo de detección de nivel de enlace (LLDP on
page 938). Por ejemplo, puede consultar el objeto lldpV2StatsRxPortFramesDiscardedTotal para ver el
número de tramas LLDP que se descartaron por cualquier razón. El cortafuegos de Palo Alto Networks
usa LLDP para descubrir dispositivos vecinos y sus funcionalidades. LLDP facilita la solución de problemas,
especialmente para las implementaciones de Virtual Wire donde las utilidades de ping o tracerout no
detecta el cortafuegos.
Los cortafuegos de Palo Alto Networks admiten todos los objetos LLDP-V2-MIB excepto:

• Los siguientes objetos lldpV2Statistics:
• lldpV2StatsRemTablesLastChangeTime
• lldpV2StatsRemTablesInserts
• lldpV2StatsRemTablesDeletes
• lldpV2StatsRemTablesDrops
• lldpV2StatsRemTablesAgeouts
• Los siguientes objetos lldpV2RemoteSystemsData:
• La tabla lldpV2RemOrgDefInfoTable
• En la tabla lldpV2RemTable: lldpV2RemTimeMark
BFD-STD-MIB
Use la MIB de detección de reenvío bidireccional (Bidirectional Forwarding Detection, BFD) para supervisar
y recibir alertas de fallos para la ruta bidireccional entre dos motores de reenvío, tal como interfaces,
enlaces de datos o los motores en sí. Por ejemplo, puede comprobar el objeto bfdSessState para ver el
estado de una sesión BFD entre motores de reenvío. En la implementación de Palo Alto Networks, uno de
los motores de reenvío es una interfaz en el cortafuegos y el otro es un peer BFD adyacente configurado.
PAN-COMMON-MIB.my
Utilice PAN-COMMON-MIB para supervisar la siguiente información para los cortafuegos, Panorama y
dispositivos WF-500 de Palo Alto Networks:
panSys Contiene objetos como versiones de software/hardware de sistema, versiones

de contenido dinámico, número de serie, estado/modo de HA y contadores
globales.
Los contadores globales incluyen los relacionados con la denegación de
servicio (DoS), fragmentación de IP, estado de TCP y paquetes descartados.
El seguimiento de estos contadores le permite supervisar las irregularidades
de tráfico que derivan de los ataques DoS, fallos de conexión o sistema, o
limitaciones de recursos. PAN-COMMON-MIB admite contadores globales
para cortafuegos pero no para Panorama.
panChassis Tipo de bastidor y modo de dispositivo M-Series (recopilador de logs o

Panorama).
panSession Información de utilización de sesión. Por ejemplo, el número total de sesiones

activas en el cortafuegos o un sistema virtual específico.
panMgmt Estado de la conexión desde el cortafuegos al servidor de gestión de

Panorama.
panGlobalProtect Uso del gateway GlobalProtect como un porcentaje, máximo de túneles

permitidos y número de túneles activos.
panLogCollector Estadísticas de creación de logs de cada recopilador de logs, que incluyen

la tasa de creación de logs, las cuotas de logs, el uso del disco, los períodos

de conservación, la redundancia de los logs (habilitado o deshabilitado), el
estado de reenvío de los cortafuegos a los recopiladores de logs, el estado de
reenvío de los recopiladores de logs a los servicios externos, y el estado de las
conexiones entre el cortafuegos y el recopilador de logs.
panDeviceLogging Estadísticas de creación de logs de cada cortafuegos, que incluyen la tasa de

creación de logs, el uso del disco, los períodos de conservación, el estado de
reenvío de los cortafuegos individuales a Panorama y servidores externos, y el
estado de las conexiones entre el cortafuegos y el recopilador de logs.
PAN-GLOBAL-REG-MIB.my
PAN-GLOBAL-REG-MIB.my contiene definiciones de OID global de máximo nivel para varios subárboles de
módulo MIB de empresa de Palo Alto Networks. Esta MIB no contiene objetos para que los supervise; solo
es necesaria para que hagan referencia a ella otras MIB.
PAN-GLOBAL-TC-MIB.my
PAN-GLOBAL-TC-MIB.my define convenciones (por ejemplo, la longitud de caracteres y caracteres
admitidos) para los valores de texto de objetos en módulos MIB de empresa de Palo Alto Networks. Todos
los productos de Palo Alto Networks sigue estas convenciones. Esta MIB no contiene objetos para que los
supervise; solo es necesaria para que hagan referencia a ella otras MIB.
PAN-LC-MIB.my
PAN-LC-MIB.my contiene definiciones de objetos gestionados que implementan los recopiladores de logs
(dispositivos M-Series en un modo de recopilador de logs). Use esta MIB para monitorizar la tasa de logging,
la duración de almacenamiento de base de datos de logs (en días) y uso de disco (en MB) de cada disco
lógico (hasta cuatro) en un recopilador de logs. Por ejemplo, puede usar esta información para determinar
si debe añadir más recopiladores de logs o reenviar logs a un servidor externo (por ejemplo, un servidor de
syslog) para el archivado.
PAN-PRODUCT-MIB.my
PAN-PRODUCT-MIB.my define OID de sysObjectID para todos los productos de Palo Alto Networks. Esta
MIB no contiene objetos para que los supervise; solo es necesaria para que hagan referencia a ella otras
MIB.
PAN-ENTITY-EXT-MIB.my
Use PAN-ENTITY-EXT-MIB.my en conjunto con ENTITY-MIB on page 429 para supervisar el uso de
la alimentación para componentes físicos de un cortafuegos dela serie PA-7000 (por ejemplo, bandejas
de ventilador y fuentes de alimentación), que es el único cortafuegos de Palo Alto Networks que admite
esta MIB. Por ejemplo, para solucionar problemas de reenvío de logs, puede querer comprobar el uso de
alimentación de las tarjetas de procesamiento de logs (LPC): puede asignar los índices LPC desde ENTITY-
MIB (objeto entPhysicalDescr) a valores en PAN-ENTITY-EXT-MIB (objeto panEntryFRUModelPowerUsed).
PAN-TRAPS.my
Use PAN-TRAPS.my para ver una lista completa de todas las capturas generadas e información sobre ellas
(por ejemplo, una descripción). Para acceder a una lista de capturas que admiten los cortafuegos, Panorama
y los dispositivos WF-500 de Palo Alto Networks, consulte el objeto PAN-COMMON-MIB.my on page
433 panCommonEvents > panCommonEventsEvents > panCommonEventEventsV2.

Reenvío de logs a un destino de HTTP
El cortafuegos y Panorama pueden enviar logs a un servidor HTTP. Puede optar por enviar todos los logs o
enviar logs de manera selectiva para activar una acción en un servicio externo basado en HTTP cuando se
produce un evento. Al reenviar logs a un servidor HTTP, puede elegir las siguientes opciones:
• Configure el cortafuegos para que envíe una solicitud API basada en HTTP directamente a un servicio
externo a fin de activar una acción basada en los atributos en un log de cortafuegos. Puede configurar el
cortafuegos para que funcione con cualquier servicio basado en HTTP que exponga una API y modifique
la URL, el encabezado HTTP, los parámetros y la carga útil en la solicitud HTTP para satisfacer sus
necesidades de integración.
• Etiquete automáticamente la dirección IP de origen o destino en una entrada de log y registre la
dirección IP y la asignación de etiquetas a un agente de User-ID en el cortafuegos o Panorama, o a un
agente de User-ID remoto para poder responder a un evento y aplicar dinámicamente la política de
seguridad. Para aplicar la política, debe usar grupos de direcciones dinámicas en la política.
STEP 1 | Cree un perfil de servidor HTTP para enviar logs a un destino HTTP.
El perfil de servidor HTTP le permite especificar de qué manera acceder al servidor y definir el formato
en el cual enviar logs al destino HTTP. De manera predeterminada, el cortafuegos utiliza el puerto
de gestión para enviar estos logs. Sin embargo, puede asignar una interfaz de origen y una dirección
IP diferente en Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service Route
Configuration (Configuración de ruta de servicio).
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > HTTP, en Name (Nombre)
añada un nombre para el perfil de servidor y seleccione la Location (Ubicación). El perfil puede ser
Shared (Compartido)entre todos los sistemas virtuales o aplicado a un sistema virtual específico.
2. Haga clic en Add (Añadir) para proporcionar detalles para cada servidor. Cada perfil puede tener un
máximo de 4 servidores.
3. Introduzca un Name (Nombre) y una Address (Dirección) IP.
4. Seleccione el Protocol (Protocolo) (HTTP o HTTPS). El Port (Puerto) es 80 o 443, respectivamente;
usted puede modificar el número de puerto para que coincida con el puerto en el cual escucha su
servidor HTTP.
5. Seleccione el HTTP Method (Método HTTP) que el servicio externo admite: PUT, POST (opción
predeterminada), GET y DELETE.
6. Ingrese el Username (Nombre de usuario) y Password (Contraseña) para autenticar el servidor, si
fuera necesario. Haga clic en OK (Aceptar).
7. Seleccione Test Server Connection (Comprobar la conexión del servidor) para verificar la
conectividad de red entre el cortafuegos y el servidor HTTP.
STEP 2 | Seleccione el Payload Format (Formato de carga útil) para la solicitud HTTP.
1. Seleccione el enlace de Log Type (Tipo de Log) para cada tipo de log para el cual desee definir el
formato de solicitud HTTP.

2. Seleccione la lista desplegable de Pre-defined Formats (Formatos predefinidos) para visualizar los
formatos disponibles a través de actualizaciones de contenido, o cree un formato personalizado.
Si crea un formato personalizado, URI es el endpoint del recurso en el servicio HTTP. El cortafuegos
agrega el URI a la dirección IP que definió anteriormente para construir la URL para la solicitud HTTP.
Asegúrese de que el formato de URL y de carga útil coincida con la sintaxis que su proveedor externo
requiere. Puede utilizar cualquier atributo admitido en el tipo de log seleccionado dentro de los pares
de Encabezado, Parámetro y Valor de HTTP, y la carga útil de la solicitud.
3. Seleccione Send Test Log (Enviar log de prueba) para verificar que el servidor HTTP reciba la
solicitud. Cuando envía de manera interactiva un log de prueba, el cortafuegos utiliza el formato tal
como está y no reemplaza la variable por un valor de un log del cortafuegos. Si su servidor HTTP
envía una respuesta 404, proporcione valores para los parámetros, a fin de que el servidor pueda
procesar la solicitud correctamente.
STEP 3 | Defina los criterios de coincidencia para determina cuándo el cortafuegos enviará logs al
servidor HTTP, y adjunte el perfil de servidor HTTP para usar.
1. Seleccione los tipos de logs para los cuales desea activar un flujo de trabajo:
• Añada un perfil de envío de logs (Objects [Objetos] > Log Forwarding Profile [Perfil de envío de
logs]) para los logs que pertenecen a la actividad de usuario. Por ejemplo, logs de tráfico, amenaza
o autenticación.
• Seleccione Device (Dispositivo) > Log Settings (Configuración de logs) para los logs que
pertenecen a eventos del sistema, tales como logs de configuración o sistema.
2. Seleccione el tipo de log y utilice el nuevo Filter Builder (Generador de filtro) para definir los criterios
de coincidencia.
3. Seleccione Add (Añadir) para añadir un perfil de servidor HTTP para enviar logs a un destino HTTP.

4. Añada una etiqueta a la dirección IP de origen o destino en la entrada del log. Esta capacidad le
permite usar grupos de direcciones dinámicas y reglas de política de seguridad para limitar el acceso a
la red o aislar la dirección IP hasta que pueda clasificar el dispositivo de usuario afectado.
Seleccione Add (Añadir) en la sección Built-in Actions (Acciones integradas) y seleccione el Target
(Objetivo), acción: Add Tag (Añadir etiqueta) y Registration (Registro) para registrar la etiqueta en el
User-ID local en un cortafuegos o en el Panorama que está gestionando el cortafuegos.
Si desea registrar la etiqueta en un agente de User-ID remoto, consulte el paso 4.
STEP 4 | Registre o cancele el registro de una etiqueta en una dirección IP de origen o destino, en una
entrada de log para un agente de User-ID remoto.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > HTTP, en Name (Nombre)
añada un nombre para el perfil de servidor y seleccione la Location (Ubicación). El perfil puede ser
Shared (Compartido)entre todos los sistemas virtuales o aplicado a un sistema virtual específico.
2. Seleccione Tag Registration (Registro de etiqueta) para habilitar el cortafuegos para que registre la
dirección IP y la asignación de etiquetas con el agente de User-ID en un cortafuegos remoto. Con el
registro de etiqueta habilitado, usted no puede especificar el formato de carga útil.
3. Añada los detalles de conexión para acceder al agente de User-ID remoto.

4. Seleccione el tipo de log (Objects [Objetos] > Log Forwarding Profile [Perfil de reenvío de logs] o
Device [Dispositivo] > Log Settings [Configuración de logs]) para el cual desee añadir una etiqueta a
la dirección IP de origen o destino en la entrada del log.
5. Seleccione Add (Añadir) en la sección Built-in Actions (Acciones integradas) y seleccione Name
(Nombre) para asignar un nombre a la acción. Seleccione las siguientes opciones para registrar la
etiqueta en el agente de User-ID remoto:
• Target (Objetivo): Seleccione la dirección IP de origen o destino.
• Action (Acción): Añadir etiqueta o quitar etiqueta.
• Registration (Registro): Agente User-ID remoto.
• HTTP Profile (Perfil HTTP): Seleccione el perfil que creó con Tag Registration (Registro de
etiquetas) habilitado.
• Tag (Etiqueta): Introduzca una nueva etiqueta o seleccione una de la lista desplegable.
Para aplicar la política dinámica debe usar grupos de direcciones dinámicas en la política.

Monitorización de NetFlow
NetFlow es un protocolo estándar del sector que el cortafuegos puede utilizar para exportar estadísticas
sobre el tráfico IP en sus interfaces. El cortafuegos exporta las estadísticas como campos de NetFlow a un
recopilador NetFlow. El recopilador NetFlow es un servidor que utiliza para analizar el tráfico de la red con
fines de seguridad, administración, contabilidad y solución de problemas. Todos los cortafuegos de Palo
Alto Networks son compatibles con NetFlow Versión 9. Los cortafuegos solo son compatibles con NetFlow
unidireccional, pero no bidireccional. Los cortafuegos realizan el procesamiento NetFlow en todos los
paquetes IP en las interfaces y no admiten NetFlow muestreado. Puede exportar registros de NetFlow para
las interfaces de capa 3, capa 2, cable virtual, tap, VLAN, loopback y túnel. Para agregar interfaces Ethernet,
puede exportar registros para el grupo agregado, pero no para las interfaces individuales dentro del grupo.
Para identificar las interfaces del cortafuegos en un recopilador NetFlow, consulte Identificadores de
interfaz de cortafuegos en los gestores SNMP y recopiladores de NetFlow on page 446. Los cortafuegos
admiten Plantillas de NetFlow on page 440 estándar y empresariales (específicas de PAN-OS), que los
recopiladores NetFlow utilizan para descifrar los campos NetFlow.
• Configuración de exportaciones de NetFlow on page 439
• Plantillas de NetFlow on page 440
Configuración de exportaciones de NetFlow

Para utilizar un recopilador NetFlow con el fin de analizar el tráfico de red en las interfaces de cortafuegos,
realice los siguientes pasos para configurar las exportaciones de registros de NetFlow.
STEP 1 | Cree un perfil de servidor NetFlow.

El perfil define los recopiladores NetFlow que recibirán los registros exportados y especifica los
parámetros de exportación.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > NetFlow y Add (Añadir)
para añadir un perfil.
3. Especifique la velocidad a la que el cortafuegos actualiza las plantillas de NetFlow en Minutes
(Minutos) (el valor predeterminado es 30) y Packets (Paquetes) (registros exportados: el valor
predeterminado es 20), de acuerdo con los requisitos de su recopilador de NetFlow. El cortafuego
actualiza las plantillas cuando se supere cualquiera de los umbrales.
4. Especifique el Active Timeout (Tiempo de espera activo), que es la frecuencia en minutos con la que
el cortafuegos exporta registros (el valor predeterminado es 5).
5. Seleccione PAN-OS Field Types (Tipos de campos de PAN-OS) si desea que el cortafuegos exporte
los campos App-ID y User-ID.
6. Add (Añada) cada recopilador NetFlow (como máximo, dos por perfil) que recibirá los registros. Para
cada recopilador, especifique la siguiente información:
• Name (Nombre) para identificar el recopilador.
• Nombre de host o dirección IP del NetFlow Server (Servidor NetFlow).
• Port (Puerto) de acceso (el valor predeterminado es 2055).
STEP 2 | Asigne el perfil del servidor NetFlow a las interfaces del cortafuegos que transfieren el tráfico
que desea analizar.
En este ejemplo, asigne el perfil a una interfaz de Ethernet existente.
1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en el nombre de la interfaz para
editarlo.

Puede exportar registros de NetFlow para las interfaces de capa 3, capa 2, cable
virtual, tap, VLAN, loopback y túnel. Para agregar interfaces Ethernet, puede exportar
registros para el grupo agregado, pero no para las interfaces individuales dentro del
grupo.
2. Seleccione el perfil de servidor NetFlow (NetFlow Profile [Perfil NetFlow]) que configuró y haga clic
en OK (Aceptar).
STEP 3 | (Necesario para los cortafuegos serie PA-7000 y PA-5200) Configure una ruta de servicio que
el cortafuegos utilizará para enviar registros de NetFlow.
No puede utilizar una interfaz de gestión (MGT) para enviar registros de NetFlow desde los cortafuegos
serie PA-7000 y PA-5200. En el caso de los otros modelos de cortafuegos, una ruta de servicio es
opcional. En todos los cortafuegos, el interfaz que envía registros de NetFlow no debe ser el mismo que
el interfaz para el que el cortafuegos recopila los registros.
2. (Cortafuegos con múltiples sistemas virtuales) Seleccione una de las siguientes opciones:
• Global: seleccione esta opción si la ruta de servicio se aplica a todos los sistemas virtuales del
cortafuegos.
• Sistemas virtuales: seleccione esta opción si la ruta de servicio se aplica a un sistema virtual
específico. Establezca la Location (Ubicación) del sistema virtual.
3. Seleccione Service Route Configuration (Configuración de ruta de servicios) y personalícela.
4. Seleccione el protocolo (IPv4 o IPv6) que utiliza la interfaz. Puede configurar la ruta de servicio de
ambos protocolos si es necesario.
5. Haga clic en NetFlow en la columna Service (Servicio).
6. Seleccione la Source Interface (Interfaz de origen).
Any (Todos), Use default (Utilizar predeterminado) y MGT (Gestión) no son opciones
de interfaz válidas para enviar registros de NetFlow desde cortafuegos serie PA-7000 o
PA-5200.
7. Seleccione una Source Address (Dirección de origen) (dirección IP).
8. Haga clic en OK (Aceptar) dos veces para guardar los cambios.
STEP 4 | Haga clic en Commit (Confirmar) para compilar los cambios.
STEP 5 | Supervise el tráfico del cortafuegos en un recopilador de NetFlow.

Consulte la documentación de su recopilador de NetFlow.
Cuando supervise las estadísticas, debe comparar los índices de interfaz en el

recopilador de NetFlow con los nombres de interfaz en la interfaz web del cortafuegos.
Si desea información detallada, consulte Identificadores de interfaz de cortafuegos en los
gestores SNMP y recopiladores de NetFlow.
Para solucionar los problemas de entrega de NetFlow, utilice el comando operativo de la CLI debug
log-receiver netflow statistics.
Plantillas de NetFlow
Los recopiladores de NetFlow usan plantillas para descifrar los campos que exporta el cortafuegos. El
cortafuegos selecciona una plantilla según el tipo de datos exportados: tráfico IPv4 o IPv6, con o sin
NAT y con campos estándar o específicos de empresa (específicos de PAN-OS). El cortafuegos actualiza
periódicamente las plantillas para reevaluar cuál se usa (en caso de que el tipo de datos exportados cambie)
y aplicar los cambios a los campos en la plantilla seleccionada. Cuando configura exportaciones de NetFlow,

configure la tasa de actualización en función de un intervalo y una serie de registros exportados de acuerdo
con los requisitos de su recopilador de NetFlow. El cortafuegos actualiza las plantillas después de haber
superado cualquiera de los umbrales.
El cortafuegos de Palo Alto Networks admite las siguientes plantillas de NetFlow:
Plantilla ID
IPv4 Standard 256
IPv4 Enterprise 257
IPv6 Standard 258
IPv6 Enterprise 259
IPv4 con NAT Standard 260
IPv4 con NAT Enterprise 261
IPv6 con NAT Standard 262
IPv6 con NAT Enterprise 263
En la siguiente tabla se incluyen los campos de NetFlow que el cortafuegos puede enviar junto con las
plantillas que los definen:
Valor Campo DESCRIPTION Plantillas
1 IN_BYTES Contador de entrada con una longitud Todas las plantillas

de N * 8 bits para el número de bytes
asociado a un flujo IP. De forma
predeterminada, N es 4.
2 IN_PKTS Contador de entrada con una longitud Todas las plantillas

de N * 8 bits para el número de
paquetes asociado a un flujo IP. De
forma predeterminada, N es 4.
4 PROTOCOL Byte de protocolo IP. Todas las plantillas
5 TOS Ajuste de tipo de byte de servicio al Todas las plantillas

entrar la interfaz de entrada.
6 TCP_FLAGS Total de marcas de TCP de este flujo. Todas las plantillas
7 L4_SRC_PORT Número de puerto de origen de TCP/ Todas las plantillas

UDP (por ejemplo FTP, Telnet o
equivalente).
8 IPV4_SRC_ADDR Dirección de origen IPv4. IPv4 Standard

IPv4 Enterprise

IPv4 con NAT
Standard
IPv4 con NAT
Enterprise
10 INPUT_SNMP Índice de interfaz de entrada. La Todas las plantillas

longitud del valor es de 2 bytes de
forma predeterminada, pero es posible
utilizar valores superiores. Para
obtener detalles acerca de la manera
en que los cortafuegos de Palo Alto
Networks generan índices de interfaz,
consulte Identificadores de interfaz
de cortafuegos en gestores SNMP y
recopiladores de NetFlow.
11 L4_DST_PORT Número de puerto de destino de Todas las plantillas

TCP/UDP (por ejemplo FTP, Telnet o
equivalente).
12 IPV4_DST_ADDR Dirección de destino IPv4. IPv4 Standard

IPv4 Enterprise
IPv4 con NAT
Standard
IPv4 con NAT
Enterprise
14 OUTPUT_SNMP Índice de interfaz de salida. La Todas las plantillas

longitud del valor es de 2 bytes de
forma predeterminada, pero es posible
utilizar valores superiores. Para
obtener detalles acerca de la manera
en que los cortafuegos de Palo Alto
Networks generan índices de interfaz,
consulte Identificadores de interfaz
de cortafuegos en gestores SNMP y
recopiladores de NetFlow.
21 LAST_SWITCHED Tiempo de actividad del sistema Todas las plantillas

en milisegundos en el momento de
conmutar el último paquete de este
flujo.
22 FIRST_SWITCHED Tiempo de actividad del sistema Todas las plantillas

en milisegundos en el momento de
conmutar el primer paquete de este
flujo.
27 IPV6_SRC_ADDR Dirección de origen IPv6. IPv6 Standard

IPv6 Enterprise

IPv6 con NAT
Standard
IPv6 con NAT
Enterprise
28 IPV6_DST_ADDR Dirección de destino IPv6. IPv6 Standard

IPv6 Enterprise
IPv6 con NAT
Standard
IPv6 con NAT
Enterprise
32 ICMP_TYPE Tipo de paquete del protocolo de Todas las plantillas

mensajes de control de Internet
(ICMP). Esto se indica como:
Tipo de ICMP * 256 + código de ICMP
61 DIRECTION Dirección de flujo: Todas las plantillas

• 0 = entrada
• 1 = salida
148 flowId Identificador de flujo único en un Todas las plantillas

dominio de observación. Puede
usar este elemento de información
para diferenciar los distintos flujos
si las claves de flujo, como las
direcciones IP y los números de
puertos, no se indican o se indican en
registros independientes. El flowID
corresponde al campo de ID de sesión
en los logs de tráfico y amenaza.
233 firewallEvent Indica un evento del cortafuegos: Todas las plantillas

• 0 = Ignorar (no válido): no se
utiliza.
• 1 = Flujo creado: el registro de
datos de NetFlow corresponde a
un nuevo flujo.
• 2 = Flujo eliminado: el registro de
datos de NetFlow corresponde al
final de un flujo.
• 3 = Flow denegado: el registro de
datos de NetFlow indica un flujo
que la política del cortafuegos
negó.
• 4 = Alerta de flujo: no se utiliza.
• 5 = Actualización de flujo: el
registro de datos de NetFlow

se envía para un flujo de larga
duración, que es un flujo que dura
más que el periodo de Active
Timeout (Tiempo de espera activo)
configurado en el perfil de servidor
de NetFlow .
225 postNATSourceIPv4Address La definición de este elemento IPv4 con NAT

de información es idéntica a la de Standard
sourceIPv4Address, a excepción de
IPv4 con NAT
que indica un valor modificado que
Enterprise
el cortafuegos produjo durante la
traducción de la dirección de red
después de que el paquete atravesara
la interfaz.
226 postNATDestinationIPv4Address La definición de este elemento IPv4 con NAT

destinationIPv4Address, a excepción
IPv4 con NAT
de que indica un valor modificado
Enterprise
que el cortafuegos produjo durante
la traducción de la dirección de red
después de que el paquete atravesara
la interfaz.
227 postNAPTSourceTransportPort La definición de este elemento IPv4 con NAT

sourceTransportPort, a excepción de
IPv4 con NAT
Enterprise
traducción del puerto de la dirección
de red después de que el paquete
atravesara la interfaz.
228 postNAPTDestinationTransportPort
La definición de este elemento IPv4 con NAT
destinationTransportPort, a excepción
IPv4 con NAT
Enterprise
que el cortafuegos produjo durante la
traducción del puerto de la dirección
de red después de que el paquete
atravesara la interfaz.
281 postNATSourceIPv6Address La definición de este elemento IPv6 con NAT

de información es idéntica a la Standard
definición de elemento de información
IPv6 con NAT
sourceIPv6Address, a excepción de
Enterprise
traducción de la dirección de red
NAT64 después de que el paquete
atravesara la interfaz. Consulte RFC
2460 para la definición del campo de

dirección de origen del encabezado
de IPv6. Consulte RFC 6146 para la
especificación de NAT64.
282 postNATDestinationIPv6Address La definición de este elemento IPv6 con NAT

de información es idéntica a la Standard
definición de elemento de información
IPv6 con NAT
destinationIPv6Address, a excepción
Enterprise
que el cortafuegos produjo durante
la traducción de la dirección de red
NAT64 después de que el paquete
atravesara la interfaz. Consulte RFC
2460 para la definición del campo de
dirección de destino del encabezado
de IPv6. Consulte RFC 6146 para la
especificación de NAT64.
346 privateEnterpriseNumber Este es un número de empresa IPv4 Enterprise

privado único que identifica a Palo
IPv4 con NAT
Alto Networks: 25461
Enterprise
IPv6 Enterprise
IPv6 con NAT
Enterprise
56701App-ID Nombre de una aplicación identificada IPv4 Enterprise

por App-ID. El nombre puede tener
IPv4 con NAT
hasta 32 bytes.
Enterprise
IPv6 Enterprise
IPv6 con NAT
Enterprise
56702User-ID Nombre de usuario identificado por IPv4 Enterprise

User-ID. El nombre puede tener hasta
IPv4 con NAT
64 bytes.
Enterprise
IPv6 Enterprise
IPv6 con NAT
Enterprise

Identificadores de interfaz de cortafuegos en
los gestores SNMP y recopiladores de NetFlow
Si utiliza un recopilador NetFlow (consulte Supervisión de NetFlow) o un gestor SNMP (consulte
Supervisión de SNMP y capturas) para supervisar el cortafuegos de Palo Alto Networks, un índice de
interfaz (objeto ifindex de SNMP) identifica la interfaz del cortafuegos que transporta un flujo concreto
(consulte Índices de interfaz en un gestor SNMP). En contraste, el interfaz web del cortafuegos usa
nombres de interfaz como identificadores (por ejemplo, ethernet1/1), sin índices. Para comprender qué
características de las que puede ver en un recopilador de NetFlow o gestor SNMP se aplican a qué interfaz
de cortafuegos, debe ser capaz de relacionar los índices de interfaz con nombres de interfaz.
Figure 3: Índices de interfaz en un gestor SNMP
Debe hacer coincidir los índices con nombres comprendiendo las fórmulas que usa el cortafuegos para
calcular los índices. Las fórmulas varían por plataforma y tipo de interfaz: física o lógica.
Los índices de interfaces físicas están comprendidos en un intervalo de 1-9999, el cual calcula el
cortafuegos del modo siguiente:
Plataforma de cortafuegos Cálculo Ejemplo de índice de interfaz
No basada en bastidor: Puerto de gestión + desplazamiento Cortafuegos de PA-5000 Series,

de puerto físico Eth1/4 =
Serie VM, PA-200, PA-220,
PA-500, PA-800, PA-3000, • Puerto de gestión: es una 2 (puerto de gestión) + 4 (puerto
PA-5000, PA-5200 constante que depende de la físico) = 6
plataforma.
• 2 para cortafuegos basados
en hardware (por ejemplo,
cortafuegos de PA-5000
Series)
• 1 para el cortafuegos de VM-
Series
• Desplazamiento de puerto físico:
es el número del puerto físico.
Basada en bastidor: (Máx. de puertos * ranura) + Cortafuegos de PA-7000 Series,

desplazamiento de puerto físico + Eth3/9 =
Cortafuegos de PA-7000
puerto de gestión
Series (64 (máx. de puertos) * 3 (ranura))
• Número máximo de puertos: es + 9 (puerto físico) + 5 (puerto de
Esta una constante de 64. gestión) = 206
plataforma • Ranura: es el número de ranura
es del bastidor de la tarjeta de
compatible interfaz de red.

Plataforma de cortafuegos Cálculo Ejemplo de índice de interfaz
con SNMP, • Desplazamiento de puerto físico:
pero no con es el número del puerto físico.
NetFlow. • Puerto de gestión: es una
constante de 5 para los
cortafuegos PA-7000 Series.
Los índices de interfaces lógicas para todas las plataformas son números de nueve dígitos que el
cortafuegos calcula del modo siguiente:
Tipo de Intervalo Dígito Dígitos Dígitos Dígitos 1-4 Ejemplo de índice de

interfaz 9 7-8 5-6 interfaz
Interfaz 101010001/-199999999
Tipo: Ranura Puerto Subinterfaz: Eth1/5.22 = 100000000
de capa 1 de de sufijo (tipo) + 100000 (ranura)
3 interfaz: interfaz: 1-9999 + 50000 (puerto) + 22
1-9 1-9 (0001-9999) (sufijo) = 101050022
(01-09) (01-09)
Interfaz 101010001/-199999999
de capa 1 de de sufijo (tipo) + 200000 (ranura) +
2 interfaz: interfaz: 1-9999 30000 (puerto) + 6 (sufijo)
1-9 1-9 (0001-9999) = 102030006
(01-09) (01-09)
Subinterfaz101010001/-199999999
Vwire 1 de de sufijo (tipo) + 400000 (ranura)
interfaz: interfaz: 1-9999 + 20000 (puerto) + 312
1-9 1-9 (0001-9999) (sufijo) = 104020312
(01-09) (01-09)
VLAN 200000001-200009999
Tipo: 00 00 Sufijo de VLAN.55 = 200000000
2 VLAN: (tipo) + 55 (sufijo) =
1-9999 200000055
(0001-9999)
Loopback 300000001-300009999
Tipo: 00 00 Sufijo de Loopback.55 =
3 loopback: 300000000 (tipo) + 55
1-9999 (sufijo) = 300000055
(0001-9999)
Túnel 400000001-400009999
Tipo: 00 00 Sufijo Tunnel.55 = 400000000
4 de túnel: (tipo) + 55 (sufijo) =
1-9999 400000055
(0001-9999)
Grupo 500010001-500089999
Tipo: 00 Sufijo Subinterfaz: AE5.99 = 500000000
de 5 AE: 1-8 sufijo (tipo) + 50000 (sufijo AE)
agregados (01-08) 1-9999 + 99 (sufijo) = 500050099
(0001-9999)

User-ID
En contraposición a una dirección IP, la identidad de un usuario es un componente
fundamental de una infraestructura de seguridad eficaz. Saber quién usa cada una de las
aplicaciones de su red y quién puede haber transmitido una amenaza o está transfiriendo
archivos puede reforzar las políticas de seguridad y reducir los tiempos de respuesta en
caso de un incidente. User-ID, una función estándar del cortafuegos de Palo Alto Networks,
le permite aprovechar la información sobre usuarios almacenada en una gran variedad de
repositorios. Los siguientes temas proporcionan más información detallada sobre User-ID y su
configuración:
> Descripción general de User-ID on page 451

> Conceptos de User-ID on page 453
> Habilitación de User-ID on page 457
> Asignación de usuarios a grupos on page 460
> Asignación de direcciones IP a usuarios on page 463
> Habilitación de política basada en usuarios y grupos on page 500
> Habilitación de política para usuarios con múltiples cuentas on page 501
> Verificación de la configuración de User-ID on page 503
> Implementación de User-ID en una red a gran escala on page 505
449
450 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | User-ID
Descripción general de User-ID
User-ID™ le permite identificar a todos los usuarios en su red utilizando una variedad de técnicas para
garantizar que pueda identificar los usuarios en todas las ubicaciones con una variedad de métodos de
acceso y sistemas operativos, como Microsoft Windows, Apple iOS, Mac OS, Android y Linux®/UNIX.
Conocer sus usuarios en lugar de solo conocer sus direcciones IP le permite lo siguiente:
• Visibilidad: la visibilidad mejorada del uso de las aplicaciones basada en los usuarios le ofrece
información más pertinente sobre la actividad de la red. La importancia de User-ID se vuelve evidente
cuando observa una aplicación extraña o desconocida en su red. Por medio del ACC o el visor de logs, su
equipo de seguridad puede determinar cuál es la aplicación, quién es el usuario, el consumo de ancho de
banda y de sesión, el origen y el destino del tráfico de la aplicación y cualquier amenaza asociada.
• Control de políticas: la conexión de la información del usuario con las reglas de la política de seguridad
permite una habilitación segura de las aplicaciones que atraviesan la red y garantiza que solo los usuarios
con una necesidad empresarial de una aplicación puedan acceder. Por ejemplo, algunas aplicaciones,
tales como las aplicaciones SaaS que habilitan el acceso a los servicios de Recursos Humanos (tales
como Workday o Service Now) deben estar disponibles para todos los usuarios conocidos de la red. Sin
embargo, para las aplicaciones más delicadas puede reducir la superficie de ataque al garantizar que solo
los usuarios que las necesitan tengan acceso a ellas. Por ejemplo, si bien el personal de asistencia técnica
de TI puede necesitar legítimamente el acceso a aplicaciones de escritorio remoto, la mayoría de sus
usuarios no lo necesitan.
• Creación de logs, creación de informes, análisis de datos: si se produce un incidente de seguridad, el
análisis de datos y la generación de informes basados en la información del usuario, en lugar de solo las
direcciones IP, brindan una imagen más completa del problema. Por ejemplo, puede utilizar la actividad
de grupo/usuario predefinida para ver un resumen de las actividades web de usuarios individuales o
grupos de usuarios, o el informe de uso de aplicaciones SaaS para ver los usuarios que transfieren más
datos mediante aplicaciones SaaS no sancionadas.
Para aplicar las políticas basadas en usuarios y grupos, el cortafuegos debe poder asignar las direcciones
IP de los paquetes que recibe a nombres de usuarios. User-ID proporciona numerosos mecanismos para
recopilar esta información de Asignación de usuario on page 453. Por ejemplo, el agente de User-ID
supervisa los logs de servidor para eventos de inicio de sesión y escucha mensajes de syslog de servicios de
autenticación. Para identificar asignaciones de direcciones IP que el agente no asignó, puede configurar la
Política de autenticación on page 199 para que redirija las solicitudes HTTP a un inicio de sesión de portal
cautivo. Puede adaptar los mecanismos de asignación de usuarios a su entorno e incluso utilizar diferentes
mecanismos en diferentes sitios para garantizar que permite a todos los usuario acceder de manera segura a
las aplicaciones en todas las ubicaciones, todo el tiempo.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | User-ID 451

Figure 4: User-ID
Para habilitar las políticas basadas en usuarios y grupos, el cortafuegos debe tener una lista de todos
los usuarios disponibles y su pertenencia a los grupos, de modo que pueda seleccionar grupos al definir
las reglas de su política. El cortafuegos recopila información de Asignación de grupos on page 453
conectándose directamente con el servidor de su directorio LDAP o utilizando integración de la API de XML
con el servidor de su directorio.
Consulte Conceptos de User-ID on page 453 si desea información sobre cómo funciona User-ID y
Habilitación de User-ID on page 457 si desea instrucciones sobre la configuración de User-ID.
User-ID no funciona en entornos en los que las direcciones IP de los usuarios están sujetas
a la traducción NAT antes de que el cortafuegos asigne las direcciones IP a nombres de
usuarios.

Conceptos de User-ID
• Asignación de grupos on page 453
• Asignación de usuario on page 453
Asignación de grupos
Para definir las reglas de políticas basadas en usuarios o grupos, primero cree un perfil de servidor
LDAP que defina la forma en que el cortafuegos se conecta a su servidor de directorio y se autentica. El
cortafuegos admite una variedad de servidores de directorio, incluidos Microsoft Active Directory (AD),
Novell eDirectory y Sun ONE Directory Server. El perfil de servidor también define cómo el cortafuegos
busca el directorio para recuperar la lista de grupos y la lista de miembros correspondiente. Si utiliza un
servidor de directorio que no es compatible con el cortafuegos de forma nativa, puede integrar la función
de asignación de grupos utilizando la API de XML. Luego, puede crear una configuración de asignación de
grupos para realizar la Asignación de usuarios a grupos on page 460 y la Habilitación de política basada en
usuarios y grupos on page 500.
La definición de reglas de políticas que se basen en la pertenencia a grupos en lugar de en usuarios
individuales simplifica la administración porque no tiene que actualizar las reglas siempre que se agregan
nuevos usuarios a un grupo. Cuando configure una asignación de grupo, puede limitar qué grupos estarán
disponibles en las reglas de políticas. Puede especificar grupos que ya existen en su servicio de directorios
o especificar grupos personalizados basados en filtros LDAP. Puede tardar si define grupos personalizados
que si crea nuevos grupos o cambia los existentes en un servidor LDAP, y la definición no requiere la
intervención de un administrador LDAP. User-ID asigna todos los usuarios de directorio LDAP que hacen
coincidir el filtro con el grupo personalizado. Por ejemplo, puede querer una política de seguridad que
permita a los contratistas del departamento de marketing acceder a los sitios de redes sociales. Si no existe
ningún grupo de Active Directory para ese departamento, puede configurar un filtro LDAP que coincida con
los usuarios cuyo atributo de LDAP Departamento está definido como Marketing. Las consultas e informes
de log que se basan en grupos de usuarios incluirán grupos personalizados.
Asignación de usuario
Conocer los nombres de usuario y de grupos representa solo un paso. El cortafuegos también necesita
saber qué direcciones IP asignar a qué usuarios de modo que las reglas de seguridad puedan aplicarse
correctamente. User-ID on page 452 muestra los diferentes métodos que se utilizan para identificar
usuarios y grupos en su red y presenta el modo en que la asignación de usuarios y la asignación de grupos
trabajan en conjunto para habilitar la visibilidad y la aplicación de la seguridad basada en usuarios y grupos.
Los temas siguientes describen los diferentes métodos de asignación de usuarios:
• Monitorización de servidor on page 453
• Asignación de puertos on page 454
• Syslog on page 454
• Encabezados XFF on page 454
• Política de autenticación y portal cautivo on page 454
• GlobalProtect on page 455
• XML API on page 456
• Sondeo de cliente on page 456
Monitorización de servidor
Con la supervisión de servidor, un agente de User-ID (ya sea un agente basado en Windows que se ejecute
en un servidor de dominio en su red, o el agente de User-ID de PAN-OS integrado que se ejecute en el
cortafuegos) supervisa los logs de eventos de seguridad en busca de los servidores de Microsoft Exchange,

los controladores de dominio, o los servidores Novell eDirectory especificados en busca de eventos de
inicio de sesión. Por ejemplo, en un entorno AD, puede configurar el agente de User-ID para que supervise
los logs de seguridad en busca de renovaciones o concesiones de tickets de Kerberos, acceso al servidor
Exchange (si está configurado) y conexiones de servicio de impresión y archivo. Para que estos eventos se
registren en el log de seguridad, el dominio AD debe configurarse para registrar eventos de inicio de sesión
de cuenta correctos. Además, dado que los usuarios pueden iniciar sesión en cualquiera de los servidores
del dominio, debe configurar la supervisión de servidor para todos los servidores con el fin de capturar
todos los eventos de inicio de sesión de usuarios. Consulte Configuración de la asignación de usuarios
mediante el agente de User-ID de Windows on page 466 o Configuración de la asignación de usuarios
mediante el agente de User-ID integrado en PAN-OS on page 473 para obtener información detallada.
Asignación de puertos
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma dirección IP. En este caso, el proceso de asignación de usuario a dirección
IP requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignación,
debe instalar el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal
Windows/Citrix para que sirva de intermediario en la asignación de puertos de origen a los diversos
procesos de usuario. Para los servidores de terminal que no admiten el agente de servicios de terminal,
como los servidores de terminal de Linux, puede utilizar la API XML para enviar información de asignación
de usuarios de eventos de inicio de sesión y cierre de sesión a User-ID. Consulte Configuración de la
asignación de usuarios para usuarios del servidor de terminal on page 491 para obtener información
detallada sobre la configuración.
Encabezados XFF
User-ID puede leer las direcciones IPv4 o IPv6 de los usuarios en el encabezado X-Forwarded-For (XFF) de
las solicitudes de cliente de HTTP cuando el cortafuegos se encuentra entre Internet y un servidor proxy
que normalmente ocultaría las direcciones IP de los usuarios. User-ID asocia las direcciones IP reales de los
usuarios con los nombres de usuario. Consulte el paso 9 on page 459
Política de autenticación y portal cautivo

En algunos casos, el agente de User-ID no puede asignar una dirección IP a un nombre de usuario usando
la supervisión del servidor u otros métodos (por ejemplo, si el usuario no ha iniciado sesión o si utiliza
un sistema operativo como Linux, que no es compatible con sus servidores de dominio). En otros casos,
es posible que desee que los usuarios se autentiquen cuando acceden a aplicaciones confidenciales
independientemente de los métodos que el agente de User-ID utiliza para realizar la asignación de usuarios.
En todos estos casos, puede realizar la Configuración de la política de autenticación y la Asignación de
direcciones IP a nombres de usuario utilizando el portal cautivo. Todo el tráfico web (HTTP o HTTPS) que
corresponda a una regla de política de autenticación le pide al usuario que se autentique con el portal
cautivo. Puede utilizar los siguientes Métodos de autenticación del portal cautivo:
• Desafío del explorador: utilice la autenticación de inicio de sesión único de Kerberos (recomendada) o
NT LAN Manager (NTLM) si desea reducir la cantidad de mensajes de inicio de sesión a los que deben
responder los usuarios.
• Formulario web: utilice autenticación de multifactor; la autenticación de inicio de sesión único de SAML;
la autenticación de Kerberos, TACACS+, RADIUS o LDAP; o la autenticación local.
• Autenticación de certificados de cliente.
Syslog
Es posible que su entorno cuente con servicios de red existentes que autentican usuarios. Entre estos
servicios se incluyen controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple,
servidores proxy y otros mecanismos de control de acceso a la red (NAC). Puede configurar estos servicios
para enviar mensajes de syslog con información sobre los eventos de inicio de sesión y cierre de sesión,

y configurar el agente de User-ID para analizar estos mensajes. El agente de User-ID analiza en busca
de eventos de inicio de sesión para asignar direcciones IP a nombres de usuario y analiza en busca de
eventos de cierre de sesión para eliminar las asignaciones desactualizadas. La eliminación de asignaciones
desactualizadas es útil en entornos donde las asignaciones de direcciones IP cambian con frecuencia.
El agente de User-ID integrado en PAN-OS y el agente de User-ID basado en Windows utilizan los perfiles
de análisis de syslog para analizar los mensajes de syslog. En entornos donde los servicios envían los
mensajes en diferentes formatos, puede crear un perfil personalizado para cada formato y asociar varios
perfiles con cada remitente de syslog. Si utiliza el agente de User-ID integrado en PAN-OS, también puede
utilizar los perfiles de análisis de syslog predefinidos que ofrece Palo Alto Networks con las actualizaciones
de contenido de las aplicaciones.
Los mensajes de syslog deben cumplir los siguientes criterios para que un agente de User-ID los analice:
• Cada mensaje debe ser una cadena de texto de una sola línea. Los delimitadores permitidos de los saltos
de línea son una nueva línea (\n) o un retorno de carro más una nueva línea (\r\n).
• El tamaño máximo permitido de un mensaje de syslog individual es de 2048 bytes.
• Los mensajes de syslog que se envían por UDP deben estar incluidos en un único paquete; los mensajes
enviados a través de SSL pueden repartirse entre varios paquetes. Un único paquete puede contener
varios mensajes de syslog.
Consulte Configuración de User-ID para supervisar los remitentes de Syslog para la asignación de usuarios
on page 476 para obtener información detallada sobre la configuración.
Figure 5: Integración de User-ID con Syslog
GlobalProtect
En el caso de usuarios móviles o con itinerancia, el cliente GlobalProtect proporciona la información de
asignación de usuarios directamente al firewall. En este caso, cada usuario de GlobalProtect tiene un agente
o una aplicación ejecutándose en el cliente que requiere que el usuario introduzca credenciales de inicio de
sesión para un acceso mediante VPN al cortafuegos. A continuación, esta información de inicio de sesión se
añade a la tabla de asignaciones de usuarios de User-ID del cortafuegos para lograr visibilidad y la aplicación
de políticas de seguridad basadas en usuarios. Dado que los usuarios de GlobalProtect deben autenticarse
para poder acceder a la red, la asignación de direcciones IP a nombres de usuarios se conoce de manera
explícita. Esta es la mejor solución en entornos confidenciales en los que deba estar seguro de quién es
un usuario para permitirle el acceso a una aplicación o un servicio. Para obtener más información sobre
cómo configurar GlobalProtect, consulte la GlobalProtect Administrator’s Guide (Guía del administrador de
GlobalProtect).

XML API
El portal cautivo y otros método de asignación de usuarios estándar posiblemente no funcionen para
ciertos tipos de acceso de usuarios. Por ejemplo, los métodos estándar no pueden añadir asignaciones
de usuarios que se conectan desde una solución VPN de terceros o usuarios que se conectan a una red
inalámbrica habilitada para 802.1x. Para estos casos, puede utilizar la API de XML de PAN-OS con el fin
de capturar eventos de inicio de sesión y enviarlos al agente de User-ID integrado en PAN-OS. Consulte
Envío de asignaciones de usuarios a User-ID mediante la API XML on page 499 para obtener información
detallada.
Sondeo de cliente
En un entorno de Microsoft Windows, puede configurar el agente de User-ID para probar sistemas de
cliente con el Instrumental de administración de Windows (Windows Management Instrumentation, WMI) o
sondeos de NetBIOS en intervalos regulares para verificar que la asignación de usuario existente siga siendo
válida o para obtener el nombre de usuario para una dirección IP que todavía no se haya asignado.
El sondeo de NetBIOS solo es compatible en el caso del agente de User-ID basado en

Windows; no es compatible en el caso del agente de User-ID integrado en PAN-OS.
El sondeo de clientes se diseñó para las redes heredadas, en las que la mayoría de los usuarios utilizan
estaciones de trabajo en Windows en la red interna, pero no es ideal para las redes actuales más modernas
que son compatibles con una base de usuarios móviles o con itinerancia en diversos dispositivos y sistemas
operativos. Además, el sondeo de clientes puede generar una gran cantidad de tráfico de red (basado en el
número total de direcciones IP asignadas) y puede implicar una amenaza de seguridad cuando se configura
incorrectamente. Por lo tanto, el sondeo de clientes ya no es un método recomendado para la asignación
de usuarios. En su lugar, recoja información de asignación de usuarios de fuentes más aisladas y fiables,
como controladores de dominio, y mediante integraciones con Syslog on page 454 o la XML API on page
456, que le permiten capturar con seguridad la información de asignación de usuarios desde cualquier
tipo de dispositivo o sistema operativo. Si tiene aplicaciones confidenciales que requieren que conozca
exactamente quién es cada usuario, configure Política de autenticación y portal cautivo on page 454 con
el fin de garantizar que solo permita el acceso a los usuarios autorizados.
Dado que el sondeo del WMI confía en datos que se informan en el extremo, no es un
método que se recomiende para obtener información de User-ID en una red de alta
seguridad. Si utiliza un agente de User-ID para analizar los logs de eventos de seguridad
del AD, los mensajes de syslog, o la API de XML para obtener las asignaciones de User-ID,
Palo Alto Networks recomienda deshabilitar el sondeo del WMI.
Si elige el sondeo del WMI, no lo habilite en interfaces externas no fiables, dado que podría
provocar que el agente envíe las sondas del WMI con información confidencial, como el
nombre de usuario, el nombre de dominio y hash de contraseña de la cuenta de servicio del
agente de User-ID, fuera de su red. Es muy posible que un atacante utilice esta información
para penetrar la red y obtener acceso avanzado.
Si habilita el sondeo en sus zonas fiables, el agente sondeará periódicamente cada dirección IP obtenida
(cada 20 minutos de manera predeterminada, pero esto puede configurarse) para verificar que el mismo
usuario sigue conectado. Además, cuando el cortafuegos se encuentre una dirección IP para la que no tenga
una asignación de usuario, enviará la dirección al agente para un sondeo inmediato.
Consulte Configuración de la asignación de usuarios mediante el agente de User-ID de Windows on page
466 o Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS on
page 473 para obtener información detallada.

Habilitación de User-ID
En contraposición a una dirección IP, la identidad de un usuario es un componente fundamental de una
infraestructura de seguridad eficaz. Saber quién usa cada una de las aplicaciones de su red y quién puede
haber transmitido una amenaza o está transfiriendo archivos puede reforzar la política de seguridad y
reducir los tiempos de respuesta en caso de un incidente. User-ID le permite aprovechar la información de
usuario almacenada en una amplia variedad de repositorios para mayor visibilidad, control de política basada
en el usuario y en el grupo, y un mejor registro, presentación de informes e informática forense.
STEP 1 | Habilite User-ID en las zonas de origen que contengan los usuarios que enviarán solicitudes
que requieran controles de acceso basados en usuarios.
Habilite User-ID solo en zonas de confianza. Si habilita User-ID y el sondeo de clientes

en una zona no fiable externa (como Internet), las sondas podrían enviarse fuera de su
red protegida, y derivar en divulgación de información del nombre de cuenta de servicio
del agente de User-ID, nombre de dominio y hash de contraseña cifrado, lo que podría
permitir a un atacante obtener acceso no autorizado a recursos protegidos.
1. Seleccione Network (Red) > Zones (Zonas) y haga clic en el nombre de la zona.
2. Seleccione Enable User Identification (Habilitar identificación de usuario) y haga clic en OK
(Aceptar).
STEP 2 | Creación de una cuenta de servicio exclusiva para el agente de User-ID on page 463.
Como práctica recomendada, cree una cuenta de servicio con el conjunto mínimo de
permisos necesarios para respaldar las opciones de User-ID que usted permite para
reducir la superficie de ataque en caso de que una cuenta de servicio se vea afectada.
Esto es necesario si usted planea usar el agente de User-ID basado en Windows o el agente de User-
ID integrado en PAN-OS para supervisar los controladores de dominio, los servidores de Microsoft
Exchange o los clientes de Windows para los eventos de inicio y cierre de sesión.
STEP 3 | Asignación de usuarios a grupos on page 460.

Esto permite que el cortafuegos se conecte con su directorio LDAP y recupere información Asignación
de grupos on page 453 para que usted pueda seleccionar nombres de usuario y nombres de grupo al
crear la política.
STEP 4 | Asignación de direcciones IP a usuarios on page 463.
Como práctica recomendada, no habilite el sondeo de clientes como método de

asignación de usuarios en redes de alta seguridad. El sondeo de clientes puede generar
una gran cantidad de tráfico de red y puede representar una amenaza de seguridad
cuando no se configura correctamente.
La manera de hacerlo depende de dónde se encuentran los usuarios y qué tipos de sistemas utilizan, y
qué sistemas de su red están recopilando eventos de inicio y cierre de sesión para los usuarios. Debe
configurar uno o más agentes de User-ID para habilitar Asignación de usuario on page 453:
• Configuración de la asignación de usuarios mediante el agente de User-ID de Windows on page
466.
• Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS on
page 473.

• Configuración de User-ID para supervisar los remitentes de Syslog para la asignación de usuarios on
page 476.
• Configuración de la asignación de usuarios para usuarios del servidor de terminal on page 491.
• Envío de asignaciones de usuarios a User-ID mediante la API XML on page 499.
STEP 5 | Especifique las redes que se deben incluir en la asignación de usuarios y excluir de esta.
Como práctica recomendada, siempre especifique qué redes incluir y excluir de User-ID.
Esto le permite asegurarse de que solo se sondeen sus activos fiables y de que no se
creen asignaciones de usuario indeseables de manera imprevista.
Configure cada agente que haya configurado para la asignación de usuario de la siguiente manera:
• Paso 2 on page 471
• Paso 3 on page 474
STEP 6 | Configure Política de autenticación y portal cautivo on page 454.

El cortafuegos utiliza el portal cautivo para autenticar a los usuarios finales cuando solicitan servicios,
aplicaciones o categorías de URL que coinciden con reglas Política de autenticación on page 199. En
función de la información recopilada durante la autenticación, el cortafuegos crea nuevas asignaciones
de usuario o actualiza asignaciones existentes. La información de asignación recopilada durante la
autenticación cancela la información recopilada a través de otros métodos de User-ID.
1. Configuración de portal cautivo on page 487.
2. Configuración de la información de autenticación on page 200.
STEP 7 | Habilite el cumplimiento de la política basada en usuarios y grupos.
Cree reglas basadas en grupos en lugar de usuarios siempre que sea posible. Esto evita
que tenga que actualizar continuamente sus políticas (lo que requiere una confirmación)
cada vez que cambie su base de usuarios.
Después de configurar User-ID, podrá seleccionar un nombre de usuario o grupo al definir el origen o el
destino de una regla de seguridad:
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir una nueva regla o
haga clic en un nombre de regla existente para modificarlo.
2. Seleccione User (Usuario) y especifique qué usuarios y grupos deben coincidir en la regla de una de
las siguientes formas:
• Si desea seleccionar usuarios o grupos específicos como criterios de coincidencia, haga clic en
el botón Add (Añadir) en la sección Source User (Usuario de origen) para mostrar una lista de
usuarios y grupos detectados por la función de asignación de grupos del cortafuegos. Seleccione
los usuarios o grupos que deben añadirse a la regla.
• Si desea que la política coincida con cualquier usuario que se haya autenticado correctamente
o no, y no necesita conocer el nombre específico del usuario o grupo, seleccione known-user
(usuario conocido) o unknown (desconocido) en la lista desplegable que se encuentra por encima
de la lista Source User (Usuario de origen).
3. Configure el resto de la regla según sea adecuado y, a continuación, haga clic en OK (Aceptar). Para
obtener información detallada sobre otros campos de la política de seguridad, consulte Configuración
de una política de seguridad básica on page 38.
STEP 8 | Cree las reglas de política de seguridad para habilitar de manera segura User-ID en sus zonas
fiables y evitar que el tráfico de User-ID salga de la red.

Siga Práctica recomendada de política de seguridad de puerta de enlace de Internet on page 1006 para
asegurare de que la aplicación User-ID (paloalto-userid-agent) solo esté permitida en las zonas en las que
sus agentes (tanto agentes de Windows como agentes integrados en PAN-OS) supervisen los servicios y
distribuyan las asignaciones a los cortafuegos. Específicamente:
• Permita la aplicación paloalto-userid-agent entre las zonas donde residen sus agentes y las zonas
donde residen los servidores supervisados (o incluso mejor, entre los sistemas específicos que alojan
al agente y a los servidores supervisados).
• Permita la aplicación paloalto-userid-agent entre los agentes y los cortafuegos que necesitan las
asignaciones de usuario, y entre los cortafuegos que están redistribuyendo asignaciones de usuario y
los cortafuegos a los cuales están redistribuyendo la información.
• Deniegue la aplicación paloalto-userid-agent a las zonas externas, tal como su zona de Internet.
STEP 9 | Configure el cortafuegos para que obtenga direcciones IP de encabezados X-Forwarded-For

(XFF).
Cuando el cortafuegos esté entre Internet y un servidor proxy, las direcciones IP de los paquetes que
el cortafuegos ve son para el servidor proxy y no para los usuarios. Para habilitar la visibilidad de las
direcciones IP, configure el cortafuegos para que utilice los encabezados XFF para la asignación de
usuario. Con esta opción habilitada, el cortafuegos coteja las direcciones IP con los nombres de usuario
mencionados en la política, para habilitar el control y la visibilidad para los usuarios y grupos asociados.
Si desea información detallada, consulte Identificación de usuarios conectados a través de un servidor
proxy on page 1066.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content-ID (ID de contenido) y edite la
configuración de X-Forwarded-For Headers.
2. Seleccione X-Forwarded-For Header in User-ID (Usar X reenviado para encabezado en ID de
usuario).
Al seleccionar la casilla Strip-X-Forwarded-For Header (Quitar X reenviado para

encabezado) no se deshabilita el uso de encabezados XFF para atribución de
usuarios en reglas de políticas; el cortafuegos solamente pone a cero el valor de XFF
tras usarlo para la atribución de usuarios.

Seleccione Commit (Confirmar) para confirmar los cambios a fin de activarlos.
STEP 11 | Verificación de la configuración de User-ID on page 503.

Después de configurar la asignación de usuarios y la asignación de grupos, verifique que la configuración
funcione correctamente y que habilitar y supervisar de manera segura el acceso de los usuarios y grupos
a sus aplicaciones y servicios.

Asignación de usuarios a grupos
La definición de reglas de políticas que se basen en la pertenencia a grupos de usuarios en lugar de en
usuarios individuales simplifica la administración porque usted no tiene que actualizar las reglas siempre que
cambia a pertenencia al grupo. El número de grupos de usuarios distintos que cada cortafuegos o Panorama
puede hacer referencia en todas las políticas varía según el modelo:
• Cortafuegos VM-50, VM-100, VM-300, PA-200, PA-220, PA-500, PA-800 Series, PA-3020 y PA-3050:
1.000 grupos
• Cortafuegos y todos los modelos de Panorama VM-500, VM-700, PA-5020, PA-5050, PA-5060,
PA-5200 Series y PA-7000 Series 10.000 grupos
Utilice el siguiente procedimiento para permitir que el cortafuegos se conecte con su directorio LDAP y
recupere información de asignación de grupos. Luego puede Habilitar el cumplimiento de la política basada
en usuarios y grupos..
Lo siguiente son prácticas recomendadas para la asignación de grupos en un entorno de

Active Directory (AD):
• Si tiene un único dominio, solamente necesita una configuración de asignación de grupos
con un perfil de servidor LDAP que conecte el cortafuegos con el controlador de dominio
utilizando la mejor conectividad. Puede añadir hasta cuatro controladores de dominio
al perfil de servidor LDAP para redundancia. Tenga en cuenta que no puede aumentar
la redundancia más allá de los cuatro controladores de dominio para un mismo dominio
mediante la adición de varias configuraciones de asignación de grupo para ese dominio.
• Si tiene varios dominios y/o varios bosques, debe crear una configuración de asignación
de grupo con un perfil de servidor LDAP que conecte el cortafuegos a un servidor de
dominio en cada dominio/bosque. Tome las medidas oportunas para garantizar que los
nombres se usuarios son exclusivos en los distintos bosques.
• Si tiene grupos universales, cree un perfil de servidor LDAP para conectarse con el
servidor de catálogo global.
STEP 1 | Añada un perfil de servidor LDAP

El perfil define cómo el cortafuegos conecta con los servidores de directorio desde los que recopila la
información de asignación de grupo.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > LDAP y luego Add (Añadir)
para añadir un perfil de servidor.
3. Seleccione Add (Añadir) para añadir los servidores LDAP. Puede añadir hasta cuatro servidores al
mismo perfil, pero deben tener el mismo Type (Tipo). Para cada servidor, ingrese un nombre en Name
(para identificar al servidor), una dirección IP del LDAP Server (Servidor LDAP) o FQDN, y un Port
(Puerto) para el servidor (el valor predeterminado es 389).
En función de su selección (tal como active-directory), el cortafuegos rellena automáticamente los
atributos de LDAP correctos en los ajustes de asignación de grupo. Sin embargo, si ha personalizado
su esquema de LDAP, puede que tenga que modificar los ajustes predeterminados.
5. En Base DN, seleccione el nombre distintivo (Distinguished Name, DN) de la ubicación del árbol
LDAP donde desee que el cortafuegos comience su búsqueda de información de usuarios y grupos.
6. En Bind DN (Enlazar DN), Password (Contraseña) y Confirm Password (Confirmar contraseña),
ingrese las credenciales de autenticación para el enlace al árbol LDAP.

Bind DN puede ser un nombre LDAP totalmente cualificado (tal como
cn=administrador,cn=usuarios,dc=acme,dc=local) o un nombre principal de usuario (tal
como [email protected]).
7. Ingrese el Bind Timeout (Tiempo de espera de enlace) y el Search Timeout (Tiempo de espera de
búsqueda) en segundos (el valor predeterminado es 30 para ambos).
STEP 2 | Configure los ajustes de servidor en una configuración de asignación de grupo.

1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Group Mapping
Settings (Ajustes de asignación de grupo).
2. Seleccione Add (Añadir) para añadir la configuración de asignación de grupo.
3. En Name (Nomre) ingrese un nombre exclusivo para identificar la configuración de asignación de
grupo.
4. Seleccione el Server Profile (Perfil de servidor) de LDAP que acaba de crear.
5. (Opcional) Por defecto, el campo User Domain (Dominio de usuario) está en blanco: el cortafuegos
detecta automáticamente los nombres de dominio para servidores de Active Directory (AD). Si
introduce un valor, este sobrescribirá cualquier nombre de dominio que el cortafuegos recupera en el
origen LDAP. Su entrada debe tener el nombre de dominio de NetBIOS.
6. (Opcional) Para filtrar los grupos que el cortafuegos rastrea para la asignación de grupos, en la sección
Group Objects, introduzca un Search Filter (Filtro de búsqueda) (consulta LDAP), Object Class (Clase
de objeto) (definición de grupo), Group Name (Nombre de grupo), y Group Member (Miembro de
grupo).
7. (Opcional) Para filtrar los usuarios que el cortafuegos rastrea para la asignación de grupos, en la
sección User Objects, introduzca un Search Filter (Filtro de búsqueda) (consulta LDAP), Object Class
(Clase de objeto) (definición de usuario) y User Name (Nombre de usuario).
8. (Opcional) Para hacer que la información de User-ID coincida con la información de encabezado de
correo electrónico identificada en los enlaces y archivos adjuntos de correos electrónicos reenviados
a WildFire™, ingrese la lista de dominios de correo electrónico de su organización (Domain List [Lista
de dominios]). Utilice comas para separar varios dominios (hasta 256 caracteres).
Después de hacer clic en OK (Aceptar) (en un paso posterior de este procedimiento), PAN-OS rellena
automáticamente los Mail Attributes (Atributos de correo) en función del tipo de servidor LDAP
especificado en Server Profile (Perfil de servidor). Cuando se produzca una coincidencia, el nombre
de usuario de la sección de encabezado de correo electrónico de log de WildFire contendrá un
vínculo que abrirá la pestaña ACC, filtrada por usuario o grupo de usuarios.
9. Asegúrese de que la configuración de asignación de grupo esté Enabled (Habilitada) (opción
predeterminada).
STEP 3 | Limita qué grupos estarán disponibles en las reglas de políticas.

Solo es obligatorio si desea limitar las reglas de políticas a grupos específicos. El máximo combinado para
las listas Group Include List (Lista de inclusión de grupos) y Custom Group (Grupo personalizado) es de
640 entradas para cada configuración de asignación de grupo. Cada entrada debe ser un solo grupo o
una lista de grupos. Por defecto, si no especifica grupos, todos los grupos están disponibles en reglas de
políticas.
Cualquier grupo personalizado que cree también estará disponible en la Lista de

permitidos de perfiles de autenticación (Configuración de una secuencia y perfil de
autenticación).
1. Añada grupos existentes del servicio de directorio:

1. Seleccione Group Include List (Lista de inclusión de grupos).

2. Seleccione los grupos disponibles que desea que aparezcan en las reglas de políticas y añádalos
( ) a los grupos incluidos.
2. Si desea basar reglas de políticas en atributos de usuario que no coincidan con grupos de usuario
existentes, cree grupos personalizados que se basen en filtros de LDAP:
1. Seleccione Custom Group (Grupo personalizado) y Add (Añadir) para añadir el grupo.
2. Introduzca un nombre de usuario en Name (Nombre) que sea único en la configuración de
asignación de grupo para el cortafuegos o sistema virtual actual.
Si el Name (Nombre) tiene el mismo valor que el nombre distintivo (DN) de un dominio de grupo
AD existente, el cortafuegos usa el grupo personalizado en todas las referencias a ese nombre (por
ejemplo, en políticas y logs).
3. Especifique un LDAP Filter (Filtro LDAP) de hasta 2048 caracteres UTF-8 y haga clic en OK
(Aceptar).
El cortafuegos no valida los filtros LDAP, por lo que es labor suya asegurarse de que son precisos.
Para minimizar el impacto del rendimiento en el servidor de directorio de LDAP, lo

mejor es usar únicamente los atributos indizados en el filtro.
Es necesario compilar antes de que los grupos personalizados estén disponibles en políticas y objetos.

Asignación de direcciones IP a usuarios
User-ID ofrece numerosos métodos diferentes para la asignación de direcciones IP a nombres de usuarios.
Antes de considerar la asignación de usuarios, tenga en cunta desde dónde inician sesión sus usuarios,
los servicios a los que acceden, y las aplicaciones y datos que requieren control de acceso. Esto le
proporcionará información sobre los tipos de agentes o integraciones que le permitirán identificar a sus
usuarios mejor.
Cuando tenga un plan, podrá comenzar a configurar la asignación de usuarios utilizando uno o más de los
siguientes métodos como sea necesario para permitir el acceso basado en los usuarios, y la visibilidad de las
aplicaciones y los recursos:
Si tiene usuarios con sistemas cliente que no hayan iniciado sesión en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesión en el dominio), puede realizar la
Asignación de direcciones IP a nombres de usuario utilizando el portal cautivo. El uso del portal cautivo
junto con la política de autenticación también garantiza que todos los usuarios se autentiquen para
acceder a sus aplicaciones y datos más delicados.
Para asignar usuarios a medida que inician sesión en sus servidores Exchange, controladores de dominio,
servidores eDirectory o clientes de Windows, debe configurar un agente de User-ID:
• Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS
• Configuración de la asignación de usuarios mediante el agente de User-ID de Windows
Si tiene clientes que ejecuten sistemas multiusuario en un entorno Windows, como Microsoft Terminal
Server, Citrix Metaframe Presentation Server o XenApp, realice la Configuración del agente de servicios
de terminal de Palo Alto Networks para la asignación de usuarios. En un sistema multiusuario que no se
ejecuta en Windows, puede realizar la Recuperación de las asignaciones de usuario de un servidor de
terminal utilizando la API de XML de PAN-OS.
Para obtener asignaciones de usuarios a partir de servicios de red existentes que autentiquen usuarios,
tales como controladores inalámbricos, dispositivos 802.1x, servidores Open Directory de Apple,
servidores proxy u otros mecanismos de control de acceso a la red (Network Access Control, NAC),
lleve a cabo la Configuración de User-ID para supervisar los remitentes de Syslog para la asignación de
usuarios.
A pesar de que puede configurar el agente de Windows o el agente de User-ID integrado

en PAN-OS en el cortafuegos para que escuche los mensajes syslog de autenticación de
los servicios de red, dado que solo el agente integrado en PAN-OS admite el servicio de
escucha mediante TLS, es la configuración recomendada.
En el caso de otros clientes que no pueda asignar con otros métodos, puede optar por el Envío de
asignaciones de usuarios a User-ID mediante la API XML.
Una red a gran escala puede tener cientos de fuentes de información que los cortafuegos consultan
para la asignación de usuarios y grupos, y puede tener numerosos cortafuegos que aplican políticas
basadas en la información de asignación. Puede simplificar la administración de User-ID para dicha red
al agregar la información de asignación antes de que los agentes de User-ID la recopilen. También puede
reducir los recursos que usan los cortafuegos y las fuentes de información en el proceso de consulta,
al configurar algunos cortafuegos para que redistribuyan la información de asignación. Para obtener
información detallada, realice la Implementación de User-ID en una red a gran escala.
Creación de una cuenta de servicio exclusiva para el agente de

User-ID
Si planea usar el agente de User-ID basado en Windows o el agente de User-ID integrado en PAN-OS
para asignar usuarios a medida que inician sesión en sus servidores Exchange, controladores de dominio,

servidores de eDirectory o cliente de Windows, debe crear una cuenta de servicio exclusiva para el agente
de User-ID en un controlador de dominio en cada dominio que el agente supervisará.
Los permisos necesarios para la cuenta de servicio dependen de los métodos y ajustes de asignación de
usuarios que planea utilizar. Para reducir el riesgo asociado con la alteración de la cuenta de servicio de
User-ID, configure siempre la cuenta dentro del conjunto mínimo de permisos necesarios para que el agente
funcione correctamente.
User-ID proporciona numerosos métodos para recopilar de manera segura la información de

asignación de usuario. Algunas de las características heredadas, que han sido diseñadas
para entornos que solo necesitaban la asignación de usuarios en escritorios de Windows
anexados a la red local, requieren cuentas de servicio con privilegios. En caso de que la
cuenta de servicio con privilegios esté afectada, esto dejaría su red expuesta a ataques.
Como práctica recomendada, evite el uso de estas características heredadas, tal como
sondeo de clientes, autenticación NTLM y supervisión de sesión, que requieren privilegios
que supondrían una amenaza si se alteran. El siguiente flujo de trabajo detalla todos los
privilegios necesarios y proporciona orientación en relación con qué características de User-
ID requieren privilegios que podrían suponer una amenaza, para que usted pueda decidir
cómo identificar mejor a los usuarios sin afectar su posición de seguridad en general.
STEP 1 | Cree una cuenta de Active Directory (AD) para el agente de User-ID.
Debe crear una cuenta de servicio en cada dominio que el agente supervisará.
1. Inicie sesión en el controlador de dominio.
2. Haga clic con el botón derecho del ratón en el icono de Windows ( ), seleccione Search (Buscar) para
buscar Active Directory Users and Computers (Usuarios y equipos de Active
Directory) e inicie la aplicación.
3. En el panel de navegación, abra el árbol de dominio, haga clic con el botón derecho en Managed
Service Accounts (Cuentas de servicio gestionadas) y seleccione New (Nuevo) > User (Usuario).
4. Ingrese el First Name (Nombre), Last Name (Apellido) y User logon name (Nombre de inicio de
sesión de usuario) del usuario y haga clic en Next (Siguiente).
5. Ingrese la Password (Contraseña) y luego Confirm Password (Confirmar contraseña), y luego haga
clic en Next (Siguiente) y Finish (Finalizar).
STEP 2 | Añada la cuenta a los grupos Builtin que tienen privilegios para el acceso a los servicios y hosts
que el agente de User-ID supervisará.
1. Haga clic con el botón derecho del ratón en la cuenta de servicio que acaba de añadir y seleccione
Add to a group (Añadir a un grupo).
2. Enter the object names to select (Ingrese los nombres de objetos para seleccionar) de la siguiente
manera para asignar la cuenta a los grupos. Separe cada entrada con punto y coma.
• Event Log Readers (Lectores de log de evento) o un grupo personalizado que tiene privilegios
para leer eventos de log de seguridad. Estos privilegios son necesarios si el agente de User-ID
recopilará información de asignación al supervisar los logs de seguridad.
• (Agente integrado de PAN-OS únicamente) El grupo Distributed COM Users (Usuarios COM
distribuidos), que tiene privilegios para iniciar, activar y usar objetos de modelo de objeto de
componente distribuido (Distributed Component Object Model, DCOM).
• (No recomendado) El grupo Server Operators (Operadores de servidor), que tiene privilegios para
abrir las sesiones. El agente solo necesita estos privilegios si planea configurarlo para que actualice
información de asignación existente al supervisar las sesiones de usuario.

Debido a que este grupo también tiene privilegios para apagar y reiniciar
servidores, asígnele la cuenta solo si la supervisión de las sesiones de usuario es
muy importante.
• (Agente integrado de PAN-OS únicamente) Si planea configurar la autenticación NTLM para el
portal cautivo, el cortafuegos en el que configuró el agente deberá unirse al dominio. Para habilitar
esto, ingrese el nombre de un grupo que tenga privilegios administrativos para unirse al dominio,
escribir el nombre principal del servicio validado y cree un objeto de ordenador dentro de la
unidad organizativa computers (ordenadores) (ou = ordenadores).
El agente integrado a PAN-OS necesita operaciones con privilegios para unirse

al domino, lo cual supone una amenaza a la seguridad si la cuenta es alterada.
Considere configurar la autenticación de inicio de sesión único (single sign-on,
SSO) de Kerberos o de SSO de SAML para el portal cautivo en lugar de NTLM.
Kerberos y SAML son métodos de autenticación más potentes y robustos, y no
requieren que el cortafuegos se una al dominio.
Para un cortafuegos con varios sistemas virtuales, solo vsys1 puede unirse al dominio debido a las
restricciones de AD en los sistemas virtuales que se ejecutan en el mismo host.
3. Seleccione Check Names (Comprobar nombres) para validar sus entrada y haga clic en OK (Aceptar)
dos veces.
STEP 3 | Si planea usar el sonde de WMI, habilite la cuenta para leer el espacio de nombres CIMV2 en
los sistemas cliente.
De manera predeterminada, las cuentas del grupo de operadores de servidor tienen este permiso.
No habilite el sondeo de clientes en redes de alta seguridad. El sondeo de clientes

puede generar una gran cantidad de tráfico de red y puede representar una amenaza de
seguridad cuando no se configura correctamente. En su lugar, recopile información de
asignación de usuarios de fuentes más aisladas y fiables, como controladores de dominio
y a través de integraciones con Syslog o XML API, que tienen el beneficio adicional de
permitir la captura segura de información de asignación de usuarios desde cualquier tipo
de dispositivo o sistema operativo. Solo clientes de Windows.
Realice esta tarea en cada sistema cliente que el agente de User-ID sondeará para la información de
asignación de usuarios:
1. Haga clic con el botón derecho del ratón en el icono de Windows ( ), seleccione Search (Buscar) para
buscar wmimgmt.msc e inicie la consola de gestión WMI.
2. En el árbol de la consola, haga clic con el botón derecho en WMI Control (Control de WMI) y
seleccione Properties (Propiedades).
3. Seleccione Security (Seguridad), seleccione Root (Raíz) > CIMV2 y haga clic en Security (Seguridad).
4. Seleccione Add (Añadir) para añadir el nombre de la cuenta de servicio que creó y luego Check
Names (Comprobar nombres) para verificar su entrada, y haga clic en OK (Aceptar).
Es posible que deba cambiar las Locations (Ubicaciones) o hacer clic en Advanced
(Avanzado) para consultar los nombres de cuenta. Consulte la ayuda del cuadro de
diálogo para obtener más detalles.
5. En la sección Permissions (Permisos) para <Username>, seleccione Allow (Permitir) para habilitar los
permisos Enable Account (Habilitar cuenta), Read Security (Seguridad de lectura) y Remote Enable
(Llamada remota habilitada).
6. Haga clic en OK (Aceptar) dos veces.
STEP 4 | Desactive los privilegios de cuenta que no sean necesarios.

Al garantizar que la cuenta de servicio de User-ID tenga el conjunto mínimo de privilegios de cuenta,
puede reducir la superficie de ataque en caso de que la cuenta sea alterada.
Para garantizar que la cuenta de User-ID tenga los mínimos privilegios necesarios, deniegue los
siguientes privilegios en la cuenta:
• Deny interactive logon for the User-ID service account (Denegar el inicio de sesión interactivo
para la cuenta de servicio de User-ID): si bien la cuenta de servicio de User-ID necesita permiso
para leer y analizar los logs de eventos de seguridad de Active Directory, no requiere la habilidad de
inicio de sesión para los servidores o sistemas de dominio de forma interactiva. Usted puede limitar
este privilegio al utilizar políticas de grupo o al utilizar una cuenta de servicio gestionado (consulte
Microsoft TechNet para obtener más información).
• Deny remote access for the User-ID service account (Denegar el acceso remoto para la cuenta de
servicio de User-ID): esto impide que un atacante utilice la cuenta para acceder a la red desde el
exterior de la red.
STEP 5 | Siguientes pasos...

Ya está listo para lo siguiente:
• Configuración de la asignación de usuarios mediante el agente de ID de usuario de Windows.
• Configuración de la asignación de usuarios mediante el agente de User-ID integrado en PAN-OS.
Configuración de la asignación de usuarios mediante el agente de

User-ID de Windows
En la mayoría de los casos, la gran parte de los usuarios de su red tendrán inicios de sesión en sus servicios
de dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks supervisa los
servidores en busca de eventos de inicio de sesión y realiza la asignación de direcciones IP a nombres de
usuarios. El modo en que configure el agente de User-ID dependerá del tamaño de su entorno y la ubicación
de sus servidores de dominio. La práctica recomendada es que ubique a sus agentes de User-ID cerca de
los servidores que supervisarán (es decir, los servidores supervisados y el agente de User-ID de Windows
no deberían estar separados por un enlace WAN). Esto se debe a que la mayor parte del tráfico para la
asignación de usuarios se produce entre el agente y el servidor supervisado, y únicamente una pequeña
cantidad del tráfico (la diferencia de asignaciones de usuarios desde la última actualización) se produce
desde el agente al cortafuegos.
Los siguientes temas describen cómo instalar y configurar el agente de User-ID y cómo configurar el
cortafuegos para que recupere información de asignación de usuarios del agente:
• Instalación del agente de User-ID basado en Windows on page 466
• Configuración del agente de User-ID basado en WIndows para la asignación de usuarios on page 470
Instalación del agente de User-ID basado en Windows

El siguiente procedimiento muestra cómo instalar el agente de User-ID en un servidor miembro en el
dominio y configurar la cuenta de servicio con los permisos obligatorios. Si está actualizando, el instalador
eliminará automáticamente la versión anterior; no obstante, es conveniente hacer una copia de seguridad
del archivo config.xml antes de ejecutar el instalador.
Para obtener información sobre los requisitos del sistema para instalar el agente de User-
ID basado en Windows y para obtener información sobre las versiones admitidas del SO del
servidor, consulte la matriz de compatibilidad de Palo Alto Networks.

STEP 1 | Cree una cuenta de servicio de Active Directory exclusiva para que el agente de User-ID
acceda a los servicios y hosts que supervisará para recopilar información de asignación de
usuarios.
Creación de una cuenta de servicio exclusiva para el agente de User-ID on page 463.
STEP 2 | Decida dónde instalar los agentes de User-ID.

El agente de User-ID consulta los logs del controlador de dominio y el servidor Exchange mediante
llamadas a procedimiento remoto de Microsoft (MSRPC), que requieren una transferencia completa
de todo el log en cada consulta. Por lo tanto, siempre instale uno o más agentes de User-ID en cada
ubicación que tenga servidores que tengan que supervisarse.
Para obtener información más detallada sobre dónde instalar agentes de User-ID,
consulte Diseño de implementaciones de identificación de usuario (User-ID).
• Debe instalar el agente de User-ID en un sistema que ejecute una de las versiones de SO admitidas:
consulte “Compatibilidad del agente de User-ID con el sistema operativo (SO)” en las Notas de
versión de agente de User-ID.
• Asegúrese de que el sistema que alojará el agente de User-ID es un miembro del mismo dominio que
los servidores que supervisará.
• La práctica recomendada es instalar el agente de User-ID cerca de los servidores que supervisará (hay
más tráfico entre el agente de User-ID y los servidores supervisados que entre el agente de User-ID y
el cortafuegos, de modo que ubicar el agente cerca de los servidores supervisados optimiza el uso del
ancho de banda).
• Para garantizar la asignación de usuarios más completa, debe supervisar todos los servidores que
contengan información de inicio de sesión de usuarios. Puede que necesite instalar varios agentes de
User-ID para supervisar eficazmente todos sus recursos.
STEP 3 | Descargue el instalador de agente de User-ID.
Instale la misma versión del agente de User-ID que la versión de PAN-OS que se esté
ejecutando en el cortafuegos. Si no hubiera una versión de agente de User-ID que
coincida con la versión de PAN-OS, instale la versión más reciente que sea más cercana
a la versión de PAN-OS. Por ejemplo, si está ejecutando PAN-OS 7.1 en su cortafuegos,
instale el agente de User-ID versión 7.0.
1. Inicie sesión en el sitio de Atención al cliente de Palo Alto Networks.

2. Seleccione Software Updates (Actualizaciones de software) en la sección Manage Devices (Gestionar
dispositivos).
3. Desplácese hasta la sección Agente de identificación de usuarios de la pantalla y haga clic en
Download (Descargar) para descargar la versión del agente de User-ID que quiera instalar.
4. Guarde el archivo UaInstall-x.x.x-xx.msi en los sistemas donde tenga la intención de instalar
el agente.
STEP 4 | Ejecute el instalador como administrador.

1. Abra el menú de Inicio de Windows, haga clic con el botón derecho en el programa Símbolo del
sistema y seleccione Ejecutar como administrador.
2. Desde la línea de comandos, ejecute el archivo .msi que ha descargado. Por ejemplo, si guardó el
archivo .msi en el escritorio, debería introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.0-1.msi

3. Siga los mensajes de configuración para instalar el agente con los ajustes predeterminados. De
manera predeterminada, el agente se instala en la carpeta C:\Program Files (x86)\Palo
Alto Networks\User-ID Agent, pero puede hacer clic en Examinar para seleccionar una
ubicación diferente.
4. Cuando finalice la instalación, haga clic en Cerrar para cerrar la ventana de configuración.
STEP 5 | Inicie la aplicación del agente de User-ID.

Abra el menú Inicio de Windows y seleccione User-ID Agent.
STEP 6 | (Opcional) Cambie la cuenta de servicio que utiliza el agente de User-ID para iniciar sesión.
De manera predeterminada, el agente utiliza la cuenta de administrador utilizada para instalar el
archivo .msi. Sin embargo, puede que quiera cambiarla por una cuenta restringida de la manera siguiente:
1. Seleccione User Identification (Identificación de usuarios) > Setup (Configuración) y haga clic en Edit
(Editar).
2. Seleccione la pestaña Authentication (Autenticación) e introduzca el nombre de cuenta de servicio
que quiera que utilice el agente de User-ID en el campo User name for Active Directory (Nombre de
usuario para Active Directory).
3. Introduzca la Password (Contraseña) para la cuenta especificada.
STEP 7 | (Opcional) Asigne permisos de cuenta a la carpeta de instalación.

Solamente necesita realizar este paso si la cuenta de servicio que configuró para el agente de User-ID
no es miembro del grupo de administradores para el dominio o miembro de los grupos Operadores de
servidor y Lectores de log de evento.
1. Otorgue permisos a la cuenta de servicio para la carpeta de instalación:
1. Desde el Explorador de Windows, desplácese hasta C:\Program Files\Palo Alto
Networks, haga clic con el botón derecho en la carpeta y seleccione Properties (Propiedades).
2. En la pestaña Security (Seguridad), haga clic en Add (Añadir) para añadir la cuenta de servicio del
agente de User-ID y asignarle permisos para Modify (Modificar), Read & execute (Leer y ejecutar),
List folder contents (Enumerar contenido de carpeta) y Read (Leer); a continuación, haga clic en
OK (Aceptar) para guardar la configuración de la cuenta.
2. Otorgue permisos a la cuenta de servicio para el subárbol de registro del agente de User-ID:
1. Ejecute regedit32 y desplácese hasta el subárbol de Palo Alto Networks en una de las
siguientes ubicaciones:
• Sistemas de 32 bits: HKEY_LOCAL_MACHINE\Software\ Palo Alto Networks
• Sistemas de 64 bits: HKEY_LOCAL_MACHINE\Software\ WOW6432Node\Palo Alto
Networks
2. Haga clic con el botón derecho en el nodo de Palo Alto Networks y seleccione Permisos.
3. Asigne a la cuenta de servicio de User-ID Full Control (Control completo) y, a continuación, haga
clic en OK (Aceptar) para guardar el ajuste.
3. En el controlador de dominio, añada la cuenta de servicio a los grupos integrados para habilitar
privilegios para leer los eventos de logs de seguridad (grupo Lectores de log de evento) y abrir
sesiones (grupo Operadores de servidor):
1. Ejecute MMC e inicie el complemento de usuarios y equipos de Active Directory.
2. Desplácese hasta la carpeta Builtin del dominio y, a continuación, haga clic con el botón derecho
en cada grupo que necesite editar (Event Log Reader [Lectores de log de evento] y Server
Operator [Operadores de servidor]) y seleccione Add to Group (Añadir al grupo) para abrir el
cuadro de diálogo de propiedades.

3. Haga clic en Add (Añadir) e introduzca el nombre de la cuenta de servicio que configuró para
ser utilizada por el servicio de User-ID y, a continuación, haga clic en Check Names (Comprobar
nombres) para validar que tiene el nombre de objeto adecuado.
4. Haga clic en OK (Aceptar) dos veces para guardar la configuración.
STEP 8 | (Opcional) Asigne sus propios certificados para la autenticación mutua entre el agente de User-
ID de Windows y el cortafuegos.
1. Obtenga su certificado para el agente de User-ID de Windows. La clave privada del certificado del
servidor debe estar cifrada y cargarse usando los paquetes PFX o P12.
• Generar un certificado on page 220 Luego expórtelo para cargarlo en el agente de User-ID de
Windows.
• Exporte un certificado de la autoridad de certificados (CA) de la empresa y cárguelo en el agente
de User-ID de Windows.
2. Añada un certificado de servidor en el agente de User-ID de Windows.
1. En el agente de User-ID de Windows, seleccione Server Certificate (Certificado de servidor) y
haga clic en Add (Añadir).
2. Ingrese la ruta y el nombre del archivo de certificado que recibió de la CA o busque el archivo de
certificado.
3. Ingrese la contraseña de clave privada.
4. Haga clic en OK (Aceptar) y, a continuación, en Commit (Confirmar).
3. Cargue un certificado en el cortafuegos para validar la identidad del agente de User-ID de Windows.
4. Configure el perfil de certificado para el dispositivo de cliente. Dispositivo cliente (cortafuegos o
Panorama)
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificate
Profile (Perfil de certificados).
2. Configuración de un perfil de certificado on page 225.
Solo puede asignar un perfil de certificado para los agentes de User-ID de

Windows y los agentes de servicios de terminal (Terminal Services, TS. Por lo
tanto, su perfil de certificado debe incluir todas las autoridades de certificado que
emitieron certificados cargados en los agentes de TS User-ID conectados.
5. Asigne el perfil de certificado para el cortafuegos.
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Connection
Security (Seguridad de conexión) y haga clic en el botón edit (modificar).
2. Seleccione el perfil de certificado que ha configurado en el paso anterior, en la lista desplegable
User-ID Certificate Profile (Perfil de certificado de ID de usuario).
6. Haga clic en Commit (Confirmar) para guardar los cambios.
STEP 9 | Configuración de la detección de credenciales con el agente de ID de usuario basado en

Windows on page 540.
Para usar el agente de User-ID basado en Windows para detectar envíos de credenciales y Prevención
de phishing de credenciales on page 538, debe instalar el servicio de credenciales de User-ID en el
agente de User-ID basado en Windows. Solo puede instalar este complemento en un controlador de
dominio de solo lectura (RODC).

Configuración del agente de User-ID basado en WIndows para la
asignación de usuarios
El agente de User-ID de Palo Alto Networks es un servicio de Windows que se conecta con servidores de
su red (por ejemplo, servidores Active Directory, Microsoft Exchange y Novell eDirectory) y supervisa los
logs en busca de eventos de inicio de sesión. El agente utiliza esta información para asignar direcciones
IP a nombres de usuarios. Los cortafuegos de Palo Alto Networks se conectan con el agente de User-
ID para recuperar esta información de asignación de usuarios, habilitando la visibilidad de la actividad de
los usuarios por nombre de usuario en lugar de por dirección IP. Esto también habilita la aplicación de la
seguridad basada en usuarios y grupos.
Para obtener información sobre las versiones del OS del servidor admitidas por el agente
de User-ID, consulte “Operating System (OS) Compatibility User-ID Agent” (en inglés) en las
notas de versión de agente de User-ID.
STEP 1 | Defina los servidores que supervisará el agente de User-ID para recopilar información de
asignación de direcciones IP a usuarios.
El agente de User-ID puede supervisar hasta 100 servidores, de los cuales hasta 50 pueden ser emisores
de syslog.
Para recopilar todas las asignaciones necesarias, el agente de User-ID debe conectarse
a todos los servidores en los que sus usuarios inician sesión para supervisar los archivos
de log de seguridad en todos los servidores que contengan eventos de inicio de sesión.
1. Abra el menú Inicio de Windows y seleccione User-ID Agent.

2. Seleccione User Identification (Identificación de usuarios) > Discovery (Detección).
3. En la sección Servers (Servidores) de la pantalla, haga clic en Add (Añadir).
4. Introduzca un Name (Nombre) y una Server Address (Dirección de servidor) para el servidor que
vaya a supervisarse. La dirección de red puede ser un FQDN o una dirección IP.
5. Seleccione el Server Type (Tipo de servidor) (Microsoft Active Directory, Microsoft Exchange,
Novell eDirectory, o Emisor de syslog) y, a continuación, haga clic en OK (Aceptar) para guardar la
entrada del servidor. Repita este paso para este servidor que vaya a supervisarse.
6. (Opcional) Para permitir que el cortafuegos detecte automáticamente controladores de dominio en
su red mediante búsquedas de DNS, haga clic en Auto Discover (Detectar automáticamente).
La detección automática únicamente localiza los controladores de dominio del

dominio local; deberá añadir manualmente los servidores Exchange, los servidores
eDirectory y los emisores de Syslog.
7. (Opcional) Para ajustar la frecuencia con la que el cortafuegos sondea los servidores configurados
en busca de información de asignación, seleccione User Identification (Identificación de usuario) >
Setup (Configuración) y Edit (Editar) para modificar la sección Setup (Configuración). En la pestaña
Server Monitor (Supervisión de servidor), modifique el valor del campo Server Log Monitor
Frequency (seconds) (Frecuencia de supervisión de log de servidor [segundos]). Aumente el valor de
este campo a 5 segundos en entornos con controladores de dominio de mayor antigüedad o enlaces
de alta latencia.
Asegúrese de que el ajuste Enable Server Session Read (Habilitar lectura de sesión
de servidor) no esté seleccionado. Esta configuración requiere que el agente User-ID
tenga una cuenta de Active Directory con privilegios de operador de servidor para que
pueda leer todas las sesiones de usuario. En su lugar, debe utilizar una integración
de Syslog o XML API para supervisar los orígenes que capturan eventos de inicio de
sesión y cierre de sesión para todos los tipos de dispositivos y sistemas operativos

(en lugar de solo sistemas operativos Windows), como controladores inalámbricos y
Controladores de Acceso de Red (Network Access Controllers, NAC).
STEP 2 | Especifique las subredes que el agente de User-ID de Windows debería incluir o excluir de
User-ID.
De manera predeterminada, User-ID asigna a todos los usuarios que acceden a los servidores que usted
está supervisando.
Como práctica recomendada, siempre especifique qué redes incluir y excluir de User-
ID para garantizar que el agente solo se comunique con recursos internos y evitar la
asignación de usuarios no autorizados. Solo debe habilitar User-ID en las subredes en
las que los usuarios internos de su organización inician sesión.
1. Seleccione User Identification (Identificación de usuarios) > Discovery (Detección).

2. Seleccione Add (Añadir) para añadir una entrada en la lista Incluir/Excluir e ingrese un nombre para la
entrada en Name y el intervalo de dirección IP de la subred, como la Network Address (Dirección de
red).
3. Seleccione si se incluirá en la red o excluirá de la red:
• Include specified network (Incluir red especificada): seleccione esta opción si desea limitar la
asignación de usuarios a los usuarios que iniciaron sesión únicamente en la subred especificada.
Por ejemplo, si incluye 10.0.0.0/8, el agente asigna a los usuarios en esa subred y excluye a los
demás. Si desea que el agente asigne usuarios en otras subredes, debe repetir estos pasos para
añadir redes adicionales a la lista.
• Exclude specified network (Excluir red especificada): seleccione esta opción si desea que el
agente excluya un subconjunto de las subredes que añadió para inclusión. Por ejemplo, si incluye
10.0.0.0/8 y excluye 10.2.50.0/22, el agente asignará a los usuarios en todas las subredes de
10.0.0.0/8 excepto 10.2.50.0/22, y excluirá todas las subredes fuera de 10.0.0.0/8.
Si añade subredes para exclusión sin añadir ninguna para inclusión, el agente no
realizará la asignación de usuarios en ninguna subred.
STEP 3 | (Opcional) Si ha configurado el agente para que se conecte a un servidor Novell eDirectory,
debe especificar el modo en que el agente debería buscar el directorio.
1. Seleccione User Identification (Identificación de usuarios) > Setup (Configuración) y haga clic en Edit
(Editar) en la sección Setup (Configuración) de la ventana.
2. Seleccione la pestaña eDirectory y, a continuación, cumplimente los campos siguientes:
• Search Base (Base de búsqueda): punto de partida o contexto raíz para las consultas del agente,
por ejemplo: dc=domain1, dc=example, dc=com.
• Bind Distinguished Name (Enlazar nombre distintivo): cuenta que debe utilizarse para enlazarla
con el directorio, por ejemplo: cn=admin, ou=IT, dc=domain1, dc=example, dc=com.
• Bind Password (Enlazar contraseña): contraseña de la cuenta de enlace. El agente guardará la
contraseña cifrada en el archivo de configuración.
• Search Filter (Filtro de búsqueda): consulta de búsqueda para entradas de usuarios (el valor
predeterminado es objectClass=Person).
• Server Domain Prefix (Prefijo del dominio de servidor): prefijo que identifica de manera exclusiva
al usuario. Esto solamente es obligatorio si hay espacios de nombres solapados, como diferentes
usuarios con el mismo nombre de dos directorios diferentes.
• Use SSL (Utilizar SSL): seleccione la casilla de verificación para utilizar SSL para el enlace de
eDirectory.

• Verify Server Certificate (Comprobar certificado de servidor): seleccione la casilla de verificación
para comprobar el certificado de servidor de eDirectory al utilizar SSL.
STEP 4 | (Opcional, no recomendado) Configure el sondeo de clientes.
No habilite el sondeo de clientes en redes de alta seguridad. El sondeo de clientes

puede generar una gran cantidad de tráfico de red y puede representar una amenaza de
seguridad cuando se configura mal.
1. En la pestaña Client Probing (Sondeo de clientes), seleccione la casilla de verificación Enable WMI
Probing (Habilitar sondeo de WMI) y/o la casilla de verificación Enable NetBIOS Probing (Habilitar
sondeo de NetBIOS).
2. Asegúrese de que el cortafuegos de Windows permitirá el sondeo de clientes añadiendo una
excepción de administración remota al cortafuegos de Windows para cada cliente sondeado.
Para que el sondeo de NetBIOS funcione de forma efectiva, cada PC cliente

sondeado debe proporcionar un puerto 139 en el cortafuegos de Windows y debe
tener los servicios de uso compartido de archivos e impresoras activados. Si bien el
sondeo de clientes no es una práctica recomendada, si usted planea habilitarlo, se
prefiere el sondeo de WMI antes que NetBIOS siempre que fuera posible.
STEP 5 | Guarde la configuración.

Haga clic en OK (Aceptar) para guardar los ajustes de configuración del agente de User-ID y, a
continuación, haga clic en Commit (Confirmar) para reiniciar el agente de User-ID y cargar los nuevos
ajustes.
STEP 6 | (Opcional) Defina el conjunto de usuarios para los que no necesite proporcionar asignaciones de
dirección IP a nombre de usuario, como cuentas de kiosco.
También puede utilizar la lista ignore-user para identificar a usuarios que desee
obligar a autenticar mediante un portal cautivo.
Cree un archivo ignore_user_list.txt y guárdelo en la carpeta User-ID Agent del servidor de

dominio donde el agente esté instalado.
Enumere las cuentas de usuario que deben ignorarse; no hay ningún límite en el número de cuentas que
puede añadir a la lista. Cada nombre de cuenta de usuario debe estar en una línea separada. Por ejemplo:
SPAdmin
SPInstall
TFSReport
Puede utilizar un asterisco como carácter de comodín para hacer coincidir varios nombres de usuario,
pero solo como último carácter en la entrada. Por ejemplo, corpdomain\it-admin* coincidiría con
todos los administradores del dominio corpdomain cuyos nombres de usuario comienzan con la
cadena it#admin.
STEP 7 | Configure los cortafuegos para conectarlos al agente de User-ID.
El cortafuegos puede conectarse únicamente a un agente de User-ID basado en

Windows que está usando el complemento de servicio de credenciales de User-ID para
detectar los envíos de credenciales corporativas. Consulte Configuración de la detección
de credenciales con el agente de User-ID basado en Windows para obtener más detalles

sobre cómo usar este servicio para la prevención de suplantación de identidad de
credenciales.
Realice los siguientes pasos en cada cortafuegos que quiera conectar al agente de User-ID para recibir
asignaciones de usuarios:
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > User-ID Agents
(Agentes de User-ID) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el agente de User-ID.
3. Introduzca la dirección IP del Host de Windows en el que está instalado el agente de User-ID.
4. Introduzca el número de Port (Puerto) (1-65535) en el que el agente escuchará solicitudes de
asignación de usuarios. Este valor debe coincidir con el valor configurado en el agente de User-ID.
De manera predeterminada, el puerto se establece como 5007 en el cortafuegos y en versiones más
recientes del agente de User-ID. Sin embargo, algunas versiones anteriores del agente de User-ID
utilizan el puerto 2010 como valor predeterminado.
5. Asegúrese de que la configuración esté establecida en Enabled (Habilitado) y, a continuación, haga
clic en OK (Aceptar).
7. Verifique que el estado Connected status (Estado conectado) aparezca activado (luz verde).
STEP 8 | Verifique que el agente de User-ID está asignando correctamente direcciones IP a nombres de
usuarios y que los cortafuegos pueden conectarse con el agente.
1. Inicie el agente de User-ID y seleccione User Identification (Identificación de usuarios).
2. Verifique que el estado del agente muestra Agent is running (El agente se está ejecutando). Si el
agente no se está ejecutando, haga clic en Start (Iniciar).
3. Para verificar que el agente de User-ID se puede conectar con servidores supervisados, asegúrese de
que el estado de cada servidor sea Connected (Conectado).
4. Para verificar que los cortafuegos se pueden conectar con el agente de User-ID, asegúrese de que el
estado de cada dispositivo conectado sea Connected (Conectado).
5. Para verificar que el agente de User-ID está asignando direcciones IP a nombres de usuarios,
seleccione Monitoring (Supervisando) y asegúrese de que la tabla de asignaciones se cumplimenta.
También puede seleccionar Search (Búsqueda) para buscar usuarios específicos o Delete (Eliminar)
para borrar asignaciones de usuarios de la lista.
Configuración de la asignación de usuarios mediante el agente de

User-ID integrado en PAN-OS
El siguiente procedimiento muestra cómo configurar el agente de User-ID integrado en PAN-OS en el
cortafuegos para la asignación de dirección IP a nombre de usuario. El agente de User-ID integrado realiza
las mismas tareas que el agente basado en Windows a excepción del sondeo de clientes de NetBIOS (se
admite el sondeo de WMI).
STEP 1 | Cree una cuenta de servicio de Active Directory para que el agente de User-ID acceda a los
servicios y hosts que supervisará para recopilar información de asignación de usuarios.
Creación de una cuenta de servicio exclusiva para el agente de User-ID on page 463.
STEP 2 | Defina los servidores que supervisará el cortafuegos para recopilar información de asignación
de usuarios.
Dentro del máximo total de 100 servidores supervisados por cortafuegos, puede definir no más de 50
emisores de syslog para cualquier sistema virtual simple.

Para recopilar todas las asignaciones necesarias, el cortafuegos debe conectarse a
todos los servidores en los que sus usuarios inician sesión para que pueda supervisar los
archivos de log de seguridad en todos los servidores que contengan eventos de inicio de
sesión.
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > User Mapping
(Asignación de usuario).
2. Haga clic en Add (Añadir) en la sección Server Monitoring (Supervisión de servidor).
3. Introduzca un nombre en Name para identificar el servidor.
5. Introduzca la Network Address (Dirección de red) (una dirección FQDN o IP) del servidor.
6. Asegúrese de que el perfil del servidor esté Enabled (Habilitado) y, a continuación, haga clic en OK
(Aceptar).
7. (Opcional) Haga clic en Discover (Detectar) si desea que el firewall detecte automáticamente
controladores de dominio en su red mediante búsquedas de DNS.
La función de detección automática es únicamente para controladores de dominio;

deberá añadir manualmente los servidores Exchange o eDirectory que desee
supervisar.
8. (Opcional) Especifique la frecuencia con la que el cortafuegos sondea los servidores de Windows en
busca de información de asignación. Este es el intervalo entre el final de la última consulta y el inicio
de la siguiente.
Si la carga de consultas es alta, el intervalo observado entre solicitudes puede

superar considerablemente la frecuencia que especifique.
1. Edite la opción Palo Alto Networks User ID Agent Setup.

2. Seleccione la pestaña Server Monitor (Supervisor de servidor) y especifique el valor Server Log
Monitor Frequency (Frecuencia de supervisión de log de servidor) en segundos (por defecto: 2;
intervalo: 1-3600). Aumente el valor de este campo a 5 segundos en entornos con controladores
de dominio de mayor antigüedad o enlaces de alta latencia.
Asegúrese de que el ajuste Enable Session (Habilitar sesión) no esté

seleccionado. Esta configuración requiere que el agente de User-ID tenga una
cuenta de Active Directory con privilegios de operador de servidor, para que pueda
leer todas las sesiones de usuario. En su lugar, debe utilizar una integración de
Syslog o XML API para supervisar los orígenes que capturan eventos de inicio de
sesión y cierre de sesión para todos los tipos de dispositivos y sistemas operativos
(en lugar de solo sistemas operativos Windows), como controladores inalámbricos
y NAC.
STEP 3 | Especifique las subredes que el agente de User-ID integrado a PAN-OS debería incluir en la
asignación de usuarios o excluir de dicha asignación.
De manera predeterminada, User-ID asigna a todos los usuarios que acceden a los servidores que usted
está supervisando.
Como práctica recomendada, siempre especifique qué redes incluir en User-ID y

cuáles excluir de User-ID, para garantizar que el agente solo se comunique con
recursos internos y evitar la asignación de usuarios no autorizados. Solo debe habilitar
la asignación de usuarios en las subredes en las que los usuarios internos de su
organización inician sesión.

(Asignación de usuario).
2. Seleccione Add (Añadir) para añadir una entrada en Include/Exclude Networks (Redes de inclusión/
exclusión) e ingrese un nombre en Name para la entrada, y asegúrese de que la casilla de Enabled
(Habilitada) esté marcada.
3. Ingrese la Network Address (Dirección de red) y luego seleccione si se incluirá o excluirá:
• Include (Incluir): seleccione esta opción si desea limitar la asignación de usuarios a los usuarios que
iniciaron sesión únicamente en la subred especificada. Por ejemplo, si incluye 10.0.0.0/8, el agente
asigna a los usuarios en esa subred y excluye a los demás. Si desea que el agente asigne usuarios
en otras subredes, debe repetir estos pasos para añadir redes adicionales a la lista.
• Exclude (Excluir): seleccione esta opción si desea que el agente excluya un subconjunto de las
subredes que añadió para inclusión. Por ejemplo, si incluye 10.0.0.0/8 y excluye 10.2.50.0/22,
el agente asignará a los usuarios en todas las subredes de 10.0.0.0/8 excepto 10.2.50.0/22, y
excluirá todas las subredes fuera de 10.0.0.0/8.
Si añade subredes para exclusión sin añadir ninguna para inclusión, el agente no
realizará la asignación de usuarios en ninguna subred.
STEP 4 | Establezca las credenciales de dominio de la cuenta que utilizará el firewall para acceder a
recursos de Windows. Esto es necesario para supervisar servidores Exchange y controladores
de dominio, así como para el sondeo de WMI.
1. Edite la opción Palo Alto Networks User ID Agent Setup.
2. En la pestaña WMI Authentication (Autenticación WMI), introduzca el User Name (Nombre de
usuario) y la Password (Contraseña) de la cuenta que el agente User-ID utilizará para sondear los
clientes y supervisar los servidores. Introduzca el nombre de usuario mediante la sintaxis de dominio/
nombre de usuario.
STEP 5 | (Opcional, no recomendado) Configure el sondeo de WMI (el agente de User-ID integrado a PAN-
OS no admite el sondeo de NetBIOS).
No habilite el sondeo de WMI en redes de alta seguridad. El sondeo del cliente puede
generar una gran cantidad de tráfico de red y puede representar una amenaza de
seguridad cuando no se configura correctamente.
1. En la pestaña Client Probing (Sondeo de clientes), seleccione la casilla de verificación Enable Probing
(Habilitar sondeo).
2. (Opcional) Si es necesario, modifique el Probe Interval (Intervalo de sondeo) (en minutos) para
garantizar que sea lo suficientemente extenso para que el agente de User-ID sondee todas las
direcciones IP obtenidas (por defecto: 20; intervalo: 1-1440). Este es el intervalo entre el final de la
última solicitud de sondeo consulta y el inicio de la siguiente.
Si la carga de consultas es alta, el intervalo observado entre solicitudes puede

superar considerablemente el intervalo que especifique.
4. Asegúrese de que el cortafuegos de Windows permitirá el sondeo de clientes añadiendo una
excepción de administración remota al cortafuegos de Windows para cada cliente sondeado.
STEP 6 | (Opcional) Defina el conjunto de usuarios para los que no necesite proporcionar asignaciones de
dirección IP a nombre de usuario, tales como cuentas de kiosco.

También puede utilizar la lista ignore user para identificar a usuarios que desee obligar a
autenticarse mediante un portal cautivo.
Seleccione la pestaña Ignore User List (Lista de usuarios para ignorar) y luego Add (Añadir) para
añadir cada nombre de usuario que se debe excluir de la asignación de usuarios. Puede utilizar un
asterisco como carácter de comodín para hacer coincidir varios nombres de usuario, pero solo como
último carácter en la entrada. Por ejemplo, corpdomain\it-admin* coincidiría con todos los
administradores del dominio corpdomain , cuyos nombres de usuario comienzan con la cadena
it#admin. Puede añadir hasta 5.000 entradas para excluir de la asignación de usuarios.
STEP 7 | Active los cambios de configuración.

Haga clic en OK (Aceptar) y Commit (Compilar).
STEP 8 | Verifique la configuración.

1. Acceda a la CLI del cortafuegos.
2. Introduzca el siguiente comando operativo:
> show user server-monitor state all

3. En la pestaña Device (Dispositivo) > User Identification (Identificación de usuario) > User Mapping
(Asignación de usuario) en la interfaz web, verifique que el estado de cada servidor configurado para
la supervisión de servidores sea Connected (Conectado).
Configuración de User-ID para supervisar los remitentes de Syslog

para la asignación de usuarios
Para obtener asignaciones de dirección IP a nombre de usuario de servicios de red existentes que
autentican usuarios, puede configurar el agente de User-ID integrado en PAN-OS o el agente de User-ID
basado en Windows para analizar mensajes de Syslog on page 454 de otros servicios. Para garantizar que
las asignaciones de usuarios permanezcan actualizadas, puede configurar el agente de User-ID para analizar
mensajes de Syslog para eventos de cierre de sesión, de modo que el cortafuegos elimine automáticamente
las asignaciones desactualizadas.
• Configuración del agente de User-ID integrado en PAN-OS como receptor de syslog on page 476
• Configuración del agente de User-ID de Windows como receptor de Syslog on page 481
Configuración del agente de User-ID integrado en PAN-OS como receptor

de syslog
Para configurar el agente de User-ID integrado en PAN-OS para crear nuevas asignaciones de usuario y
eliminar asignaciones obsoletas a través del control de syslog, comience por definir los perfiles de análisis
de Syslog. El agente de User-ID utiliza los perfiles para encontrar eventos de inicio y cierre de sesión en
mensajes de syslog. En entornos en los que los emisores de syslog (los servicios de red que autentican a los
usuarios) envían mensajes de syslog en diferentes formatos, configure un perfil para cada formato de syslog.
Los mensajes de syslog deben cumplir ciertos criterios para que un agente de User-ID los analice (consulte
Syslog). Este procedimiento utiliza ejemplos con los siguientes formatos:
• Eventos de inicio de sesión:[Tue Jul 5 13:15:04 2016 CDT] Administrator
authentication success User:johndoe1 Source:192.168.3.212
• Eventos de cierre de sesión:[Tue Jul 5 13:18:05 2016 CDT] User logout successful
User:johndoe1 Source:192.168.3.212

Después de configurar los perfiles de análisis de Syslog, debe especificar los emisores de syslog para que el
agente de User-ID supervise.
El agente de User-ID integrado en PAN-OS acepta Syslogs únicamente a través de SSL

y UDP. Sin embargo, debe tener precaución a la hora de usar UDP para recibir mensajes
de syslog, ya que no es un protocolo fiable y, como tal, no hay manera de verificar que un
mensaje se haya enviado desde un emisor syslog de confianza. Aunque puede restringir los
mensajes de syslog a direcciones IP de origen específicas, esto no impide a los atacantes
replicar la dirección IP, lo que permite la inyección de mensajes de syslog no autorizados
en el cortafuegos. Una práctica recomendada es utilizar SSL para escuchar mensajes de
syslog. Sin embargo, si debe usar UDP, asegúrese de que tanto el emisor syslog como el
cliente estén en una red dedicada y segura para evitar que hosts no fiables puedan enviar
tráfico UDP al cortafuegos.
STEP 1 | Determine si hay un perfil de análisis de Syslog predefinido para sus emisores syslog
particulares.
Palo Alto Networks proporciona varios perfiles predefinidos a través de actualizaciones de contenido
de aplicaciones. Los filtros predefinidos son generales para el cortafuegos, mientras que los perfiles
definidos de manera personalizada solo se aplican a un sistema virtual.
Los perfiles de análisis de Syslog nuevos de una versión de contenido particular se

documentan en la nota de versión correspondiente junto con la regex específica utilizada
para definir el filtro.
1. Instale la última actualización de Aplicaciones o de Aplicaciones y amenazas.

1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y Check Now
(Comprobar ahora).
2. Seleccione Download (Descargar) y luego Install (Instalar) para descargar e instalar cualquier
actualización.
2. Determine qué perfiles de análisis de Syslog están disponibles:
(Asignación de usuario) y haga clic en Add (Añadir) en la sección Server Monitoring (Supervisión
de servidores).
2. Configure el Type (Tipo) en Syslog Sender (Emisor de Syslog) y haga clic en Add (Añadir) en la
sección Filter (Filtro). Si el perfil de análisis de Syslog que necesita está disponible, omita los pasos
para la definición de perfiles personalizados.
STEP 2 | Defina los perfiles de análisis de Syslog para crear y eliminar asignaciones de usuario.
Cada perfil filtra los mensajes syslog para identificar eventos de inicio de sesión (para crear asignaciones
de usuario) o eventos de cierre de sesión (para eliminar asignaciones), pero ningún perfil puede hacer
ambas cosas.
1. Revise los mensajes syslog que el emisor syslog genera para identificar la sintaxis de los eventos
de inicio y cierre de sesión. Esto le permite identificar los patrones coincidentes al crear perfiles de
análisis de Syslog.
Al revisar mensajes syslog, determine también si incluyen el nombre de dominio. Si

no lo incluyen y sus asignaciones de usuario requieren nombres de dominio, ingrese
el nombre de dominio predeterminado al definir los emisores syslog que el agente de
User-ID supervisa (en pasos posteriores de este procedimiento).
(Asignación de usuario) y modifique la configuración del agente de User-ID de Palo Alto Networks.

3. Seleccione Syslog Filters (Filtros de Syslog) y haga clic en Add (Añadir) para añadir un perfil de
4. Introduzca un nombre para identificar el Syslog Parse Profile (Perfil de análisis de Syslog).
5. Seleccione el Type (Tipo) de análisis para encontrar eventos de inicio o cierre de sesión en los
mensajes de syslog:
• Regex Identifier (Identificador de regex): expresiones regulares.
• Field Identifier (Identificador de campo): cadenas de texto.
Los siguientes pasos describen cómo configurar estos tipos de análisis.
STEP 3 | (Identificador de regex únicamente) Defina los patrones de coincidencia de regex.
Si el mensaje syslog contiene un espacio o una tabulación independiente como

delimitador, debe utilizar \s para un espacio y \t para una tabulación.
1. Ingrese el Event Regex (Regex de evento) para el tipo de evento que desea encontrar:
• Eventos de inicio de sesión: para el mensaje de ejemplo, la regex (authentication\
success){1} extrae la primera instancia {1} de la cadena authentication success.
• Eventos de cierre de sesión: para el mensaje de ejemplo, la regex (logout\ successful){1}
extrae la primera instancia {1} de la cadena logout successful.
La barra invertida (\) antes del espacio es un carácter regex de "escape" estándar que indica al motor
de regex que no trate el espacio como carácter especial.
2. Ingrese el Username Regex (Regex de nombre de usuario) para identificar el inicio del nombre de
usuario.
En el mensaje de ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena
User:johndoe1 e identificaría johndoe1 como el nombre de usuario.
3. Ingrese la Address Regex (Regex de dirección) para identificar la parte de la dirección IP de los
mensajes syslog.
En el mensaje de ejemplo, la expresión regular Source:([0-9]{1,3}\.[0-9]{1,3}\.[0-9]
{1,3}\.[0-9]{1,3}) coincide con la dirección IPv4 Source:192.168.3.212.
El siguiente es un ejemplo de un perfil de análisis de Syslog que utiliza regex para identificar eventos
de inicio de sesión:
4. Haga clic en OK (Aceptar) dos veces para guardar el perfil.
STEP 4 | (Análisis de identificador de campo únicamente) Defina los patrones de coincidencia de

cadena.
1. Ingrese una Event String (Cadena de evento) para identificar el tipo de eventos que desea encontrar:
• Eventos de inicio de sesión: para el mensaje de ejemplo, la cadena authentication success
identifica los eventos de inicio de sesión.

• Eventos de cierre de sesión: para el mensaje de ejemplo, la cadena logout successful
identifica los eventos de cierre de sesión.
2. Ingrese un Username Prefix (Prefijo de nombre de usuario) para identificar el inicio del campo de
nombre de usuario en los mensaje de syslog. Este campo no admite regex como \s (para un espacio) o
\t (para una pestaña).
En los mensajes de ejemplo, User: identifica el inicio del campo del nombre de usuario.
3. Ingrese el Username Delimiter (Delimitador de nombre de usuario) que indica el final del campo del
nombre de usuario en los mensaje de syslog. Utilice \s para indicar un espacio independiente (como
en el mensaje de ejemplo) y \t para indicar tabulación.
4. Ingrese un Address Prefix (Prefijo de dirección) para identificar el inicio del campo de dirección IP en
los mensaje de syslog. Este campo no admite regex como \s (para un espacio) o \t (para una pestaña).
En los mensajes de ejemplo, Source: identifica el inicio del campo de dirección.
5. Ingrese el Address Delimiter (Delimitador de dirección) que indica el final del campo del nombre de
dirección en los mensaje de syslog.
Por ejemplo, introduzca \n para indicar que el delimitador es un salto de línea.
El siguiente es un ejemplo de un perfil de análisis de Syslog completo que utiliza la coincidencia de
cadenas para identificar eventos de inicio de sesión:
STEP 5 | Especifique los emisores de syslog que el cortafuegos supervisa.

Dentro del máximo total de 100 servidores supervisados por cortafuegos, puede definir no más de 50
emisores de syslog para cualquier sistema virtual simple.
El cortafuegos descartará los mensajes de Syslog recibidos de emisores que no estén en esta lista.
(Asignación de usuario) y haga clic en Add (Añadir) para añadir una entrada en la lista Server
Monitoring (Supervisión de servidores).
2. Ingrese un nombre en Name para identificar el emisor.
3. Asegúrese de que el perfil del emisor esté Enabled (Habilitado) (opción predeterminada).
4. Configure el Type (Tipo) en Syslog Sender (Emisor de Syslog).
5. Ingrese la Network Address (Dirección de red) del emisor de syslog (dirección IP o FQDN).
6. Seleccione SSL (opción predeterminada) o UDP como el Connection Type (Tipo de conexión).
Debe tener precaución a la hora de usar UDP para recibir mensajes de syslog, ya
que no es un protocolo fiable y, como tal, no hay manera de verificar que un mensaje
se envió desde un servidor de syslog de confianza. Aunque puede restringir los
mensajes de syslog a direcciones IP de origen específicas, esto no impide a los
atacantes replicar la dirección IP, lo que permite la inyección de mensajes de syslog

no autorizados en el cortafuegos. Se recomienda utilizar siempre SSL para escuchar
mensajes de syslog al usar asignación de usuarios sin agentes en un cortafuegos. Sin
embargo, si debe usar UDP, asegúrese de que tanto el emisor syslog como el cliente
estén en una red dedicada y segura para evitar que hosts no fiables puedan enviar
tráfico UDP al cortafuegos.
Un emisor de Syslog que utilice SSL para conectarse mostrará un estado conectado cuando haya una
conexión SSL activa. Los emisores de Syslog que utilicen UDP no mostrarán ningún valor para Estado.
7. Para cada formato de syslog que el emisor admita, seleccione Add (Añadir) para añadir un perfil
de análisis de Syslog a la lista de filtros. Seleccione el Event Type (Tipo de evento) para cuya
identificación se ha configurado cada perfil: login (inicio de sesión) (opción predeterminada) o logout
(cierre de sesión).
8. (Opcional) Si los mensajes de syslog no contienen información de dominio y sus asignaciones de
usuario requieren nombres de dominio, ingrese un Default Domain Name (Nombre de dominio
predeterminado) para anexar a las asignaciones.
STEP 6 | Habilite los servicios del receptor de syslog en la interfaz que el cortafuegos utiliza para
recopilar asignaciones de usuario.
interfaces) y modifique un perfil de gestión de interfaz existente o seleccione Add (Añadir) para
añadir un nuevo perfil.
2. Seleccione User-ID Syslog Listener-SSL o User-ID Syslog Listener-UDP, o ambos, dependiendo de
los protocolos que definió para los emisores de syslog en la lista de supervisión de servidores.
Los puertos de recepción (514 para UDP y 6514 para SSL) no son configurables;
están habilitados a través del servicio de gestión únicamente.
3. Haga clic en OK (Aceptar) para guardar el perfil de gestión de interfaz.
Incluso después de habilitar el servicio de recepción de syslog User-ID en la interfaz,

esta solamente aceptará conexiones con syslog desde emisores que tengan una
entrada correspondiente en la configuración de los servidores supervisados de User-
ID. El cortafuegos descartará las conexiones o los mensajes de emisores que no
estén en esta lista.
4. Asigne el perfil de gestión de interfaz a la interfaz que el cortafuegos utiliza para recopilar
asignaciones de usuario:
1. Seleccione Network (Red) > Interfaces y modifique la interfaz.
2. Seleccione Advanced (Avanzado) > Other info (Otra información), seleccione la interfaz
Management Profile (Perfil de gestión) que acaba de agregar y haga clic en OK (Aceptar).
STEP 7 | Verifique que el cortafuegos añada y elimine asignaciones de usuario cuando los usuarios
inician o cierran sesión.
Puede usar comandos CLI para ver información adicional sobre emisores syslog,
mensajes syslog y asignaciones de usuario.
1. Inicie sesión en un sistema cliente para el cual un emisor syslog supervisado genere mensajes de
evento de inicio y cierre de sesión.
2. Inicie sesión en la CLI del cortafuegos.
3. Verifique que el cortafuegos haya asignado el nombre de usuario de inicio de sesión a la dirección IP
del cliente:

> show user ip-user-mapping ip <ip-address>
IP address: 192.0.2.1 (vsys1)
User: localdomain\username
From: SYSLOG
4. Cierre sesión del sistema cliente.
5. Verifique que el cortafuegos haya eliminado la asignación de usuario:

No matched record
Configuración del agente de User-ID de Windows como receptor de

Syslog
Para configurar el agente de User-ID basado en Windows para crear nuevas asignaciones de usuario y
eliminar asignaciones obsoletas a través del control de syslog, comience por definir los perfiles de análisis
de Syslog. El agente de User-ID utiliza los perfiles para encontrar eventos de inicio y cierre de sesión en
mensajes de syslog. En entornos en los que los emisores de syslog (los servicios de red que autentican a los
usuarios) envían mensajes de syslog en diferentes formatos, configure un perfil para cada formato de syslog.
Los mensajes de syslog deben cumplir ciertos criterios para que un agente de User-ID los analice (consulte
Syslog). Este procedimiento utiliza ejemplos con los siguientes formatos:
• Eventos de inicio de sesión: [Tue Jul 5 13:15:04 2016 CDT] Administrator
authentication success User:johndoe1 Source:192.168.3.212
• Eventos de cierre de sesión: [Tue Jul 5 13:18:05 2016 CDT] User logout successful
User:johndoe1 Source:192.168.3.212
Después de configurar los perfiles de análisis de Syslog, debe especificar los emisores de syslog para que el
agente de User-ID supervise.
El agente de User-ID de Windows acepta Syslogs únicamente a través de TCP y UDP. Sin
embargo, debe tener precaución a la hora de usar UDP para recibir mensajes de syslog,
ya que no es un protocolo fiable y, como tal, no hay manera de verificar que un mensaje se
haya enviado desde un emisor syslog de confianza. Aunque puede restringir los mensajes
de syslog a direcciones IP de origen específicas, esto no impide a los atacantes replicar
la dirección IP, lo que permite la inyección de mensajes de syslog no autorizados en el
cortafuegos. Se recomienda utilizar TCP en lugar de UDP. En ambos casos, asegúrese
de que tanto el servidor syslog como el cliente de syslog estén en una VLAN dedicada y
segura, para evitar que hosts no fiables envíen syslogs al agente User-ID.
STEP 1 | Implemente los agentes de User-ID basados en Windows si aún no lo ha hecho.

1. Instale el agente de User-ID basado en Windows.
2. Paso Configure el cortafuegos para que se conecte con el agente de User-ID.
STEP 2 | Defina los perfiles de análisis de Syslog para crear y eliminar asignaciones de usuario.
Cada perfil filtra los mensajes syslog para identificar eventos de inicio de sesión (para crear asignaciones
de usuario) o eventos de cierre de sesión (para eliminar asignaciones), pero ningún perfil puede hacer
ambas cosas.

1. Revise los mensajes syslog que el emisor syslog genera para identificar la sintaxis de los eventos
de inicio y cierre de sesión. Esto le permite identificar los patrones coincidentes al crear perfiles de
Al revisar mensajes syslog, determine también si incluyen el nombre de dominio.

Si no lo incluyen y sus asignaciones de usuario requieren nombres de dominio,
ingrese el Default Domain Name (Nombre de dominio predeterminado) al definir los
emisores syslog que el agente de User-ID supervisa (en pasos posteriores de este
procedimiento).
2. Abra el menú Inicio de Windows y seleccione User-ID Agent.
3. Seleccione User Identification (Identificación de usuario) > Setup (Configuración) y luego Edit
(Editar) para modificar la configuración.
4. Seleccione Syslog, Enable Syslog Service (Habilitar servicio de Syslog) y luego Add (Añadir) para
añadir un perfil de análisis de Syslog.
5. Introduzca un Profile Name (Nombre de perfil) y una Description (Descripción).
6. Seleccione el Type (Tipo) de análisis para encontrar eventos de inicio o cierre de sesión en los
mensajes de syslog:
• Regex: expresiones regulares.
• Field (Campo): cadenas de texto.
Los siguientes pasos describen cómo configurar estos tipos de análisis.
STEP 3 | (Análisis de regex únicamente) Defina los patrones de coincidencia de regex.

Si el mensaje syslog contiene un espacio o una tabulación independiente como delimitador, debe utilizar
\s para un espacio y \t para una tabulación.
1. Ingrese el Event Regex (Regex de evento) para el tipo de evento que desea encontrar:
• Eventos de inicio de sesión: para el mensaje de ejemplo, la regex (authentication\
success){1} extrae la primera instancia {1} de la cadena authentication success.
• Eventos de cierre de sesión: para el mensaje de ejemplo, la regex (logout\ successful){1}
extrae la primera instancia {1} de la cadena logout successful.
La barra invertida antes del espacio es un carácter regex de "escape" estándar que indica al motor de
regex que no trate el espacio como carácter especial.
2. Ingrese el Username Regex (Regex de nombre de usuario) para identificar el inicio del nombre de
usuario.
En el mensaje de ejemplo, la regex User:([a-zA-Z0-9\\\._]+) coincidiría con la cadena
User:johndoe1 e identificaría johndoe1 como el nombre de usuario.
3. Ingrese la Address Regex (Regex de dirección) para identificar la parte de la dirección IP de los
mensajes syslog.
En el mensaje de ejemplo, la expresión regular Source:([0-9]{1,3}\.[0-9]{1,3}\.[0-9]
{1,3}\.[0-9]{1,3}) coincide con la dirección IPv4 Source:192.168.3.212.
El siguiente es un ejemplo de un perfil de análisis de Syslog que utiliza regex para identificar eventos
de inicio de sesión:

STEP 4 | (Análisis de identificador de campo únicamente) Defina los patrones de coincidencia de

cadena.
1. Ingrese una Event String (Cadena de evento) para identificar el tipo de eventos que desea encontrar:
• Eventos de inicio de sesión: para el mensaje de ejemplo, la cadena authentication success
identifica los eventos de inicio de sesión.
• Eventos de cierre de sesión: para el mensaje de ejemplo, la cadena logout successful
identifica los eventos de cierre de sesión.
2. Ingrese un Username Prefix (Prefijo de nombre de usuario) para identificar el inicio del campo de
nombre de usuario en los mensaje de syslog. Este campo no admite regex como \s (para un espacio) o
\t (para una pestaña).
En los mensajes de ejemplo, User: identifica el inicio del campo del nombre de usuario.
3. Ingrese el Username Delimiter (Delimitador de nombre de usuario) que indica el final del campo del
nombre de usuario en los mensaje de syslog. Utilice \s para indicar un espacio independiente (como
en el mensaje de ejemplo) y \t para indicar tabulación.
4. Ingrese un Address Prefix (Prefijo de dirección) para identificar el inicio del campo de dirección IP en
los mensaje de syslog. Este campo no admite regex como \s (para un espacio) o \t (para una pestaña).
En los mensajes de ejemplo, Source: identifica el inicio del campo de dirección.
5. Ingrese el Address Delimiter (Delimitador de dirección) que indica el final del campo del nombre de
dirección en los mensaje de syslog.
Por ejemplo, introduzca \n para indicar que el delimitador es un salto de línea.
El siguiente es un ejemplo de un perfil de análisis de Syslog completo que utiliza la coincidencia de
cadenas para identificar eventos de inicio de sesión:
STEP 5 | Especifique los emisores de syslog que el agente de User-ID supervisa.

Dentro del máximo total de 100 servidores de todos los tipos que el agente de User-ID puede
supervisar, hasta 50 pueden ser emisores de syslog.
El agente de User-ID descartará los mensajes de Syslog recibidos de emisores que no estén en esta lista.
1. Seleccione User Identification (Identificación de usuario) > Discovery (Detección) y haga clic en Add
(Añadir) para añadir una entrada en la lista de servidores.
2. Ingrese un nombre en Name para identificar el emisor.
3. Ingrese la Server Address (Dirección de servidor) del emisor de syslog (dirección IP o FQDN).
4. Configure el Server Type (Tipo de servidor) en Syslog Sender (Emisor de Syslog).
5. (Opcional) Si los mensajes de syslog no contienen información de dominio y sus asignaciones de
usuario requieren nombres de dominio, ingrese un Default Domain Name (Nombre de dominio
predeterminado) para anexar a las asignaciones.
6. Para cada formato de syslog que el emisor admita, seleccione Add (Añadir) para añadir un perfil
de análisis de Syslog a la lista de filtros. Seleccione el Event Type (Tipo de evento) para cuya
identificación configuró cada perfil: login (inicio de sesión) (opción predeterminada) o logout (cierre
de sesión), y luego haga clic en OK (Aceptar).
8. Seleccione Commit (Confirmar) para confirmar los cambios a la configuración del agente de User-ID.
STEP 6 | Verifique que el agente de User-ID añada y elimine asignaciones de usuario cuando los
usuarios inician o cierran sesión.
Puede usar comandos CLI para ver información adicional sobre emisores syslog,
mensajes syslog y asignaciones de usuario.
1. Inicie sesión en un sistema cliente para el cual un emisor syslog supervisado genere mensajes de
evento de inicio y cierre de sesión.
2. Verifique que el agente de User-ID haya asignado el nombre de usuario de inicio de sesión a la
dirección IP del cliente:
1. En el agente de User-ID, seleccione Monitoring (Supervisión).
2. Ingrese el nombre de usuario o la dirección IP en el campo de filtro, seleccione Search (Buscar), y
verifique que la lista muestre la asignación.
3. Verifique que el cortafuegos reciba la asignación de usuario del agente de User-ID:
1. Inicie sesión en la CLI del cortafuegos.
2. Ejecute el siguiente comando:
Si el cortafuegos recibió la asignación de usuario, el resultado se asemeja al siguiente:

User: localdomain\username
From: SYSLOG
4. Cierre sesión en el sistema cliente.
5. Verifique que el agente de User-ID haya eliminado la asignación de usuario:
1. En el agente de User-ID, seleccione Monitoring (Supervisión).
2. Ingrese el nombre de usuario o la dirección IP en el campo de filtro, seleccione Search (Buscar), y
verifique que la lista no muestre la asignación.
6. Verifique que el cortafuegos haya eliminado la asignación de usuario:

1. Acceda a la CLI del cortafuegos.
2. Ejecute el siguiente comando:
Si el cortafuegos eliminó la asignación de usuario, el resultado se verá como el siguiente:
No matched record
Asignación de direcciones IP a nombres de usuario mediante un

portal cautivo
Cuando un usuario inicia un tráfico web (HTTP o HTTPS) que coincide con una regla de Política de
autenticación on page 199, el cortafuegos solicita al usuario que se autentique con el portal cautivo. Esto
garantiza que conozca exactamente quién accede a sus aplicaciones y datos más delicados. En función de
la información del usuario que se recoge durante la autenticación, el cortafuegos crea una nueva asignación
de dirección IP a nombre de usuario o actualiza la asignación existente para ese usuario. Este método de
asignación de usuario es útil en los entornos en donde el cortafuegos no puede obtener información sobre
las asignaciones mediante otros métodos como los servidores de supervisión. Por ejemplo, puede contar
con usuarios que no iniciaron sesión en sus servidores de dominio supervisados, como usuarios en clientes
Linux.
• Métodos de autenticación de portal cautivo on page 485
• Modos de portal cautivo on page 486
• Configuración de portal cautivo on page 487
Métodos de autenticación de portal cautivo

El portal cautivo utiliza los siguientes métodos para autenticar a los usuarios cuyas solicitudes web
coinciden con las reglas de la Política de autenticación:
Authentication Method DESCRIPTION
Kerberos SSO El cortafuegos utiliza el inicio de sesión único (SSO) de Kerberos para
obtener credenciales de usuario del explorador de forma transparente.
Para usar este método, su red requiere una infraestructura Kerberos
que incluya un centro de distribución de claves (KDC) con un servidor
de autenticación y servicios de concesión de tickets. El cortafuegos no
debe tener una cuenta de Kerberos.
Si la autenticación de SSO de Kerberos falla, el cortafuegos volverá a
la autenticación de NT LAN Manager (NTLM). Si no configura NTLM
o la autenticación de NTLM falla, el cortafuegos retrocederá a una
autenticación con formato web o certificado de cliente, en función de
su política de autenticación y la configuración del portal cautivo.
Se recomienda el SSO de Kerberos en lugar de la

autenticación de NTLM. Kerberos es un método de
autenticación más potente y robusto que NTLM y
no requiere que el cortafuegos tenga una cuenta
administrativa para unirse al dominio.

Authentication Method DESCRIPTION
NT LAN Manager (NTLM) El cortafuegos utiliza un mecanismo de respuesta por desafío cifrado
para obtener las credenciales del usuario desde el explorador. Si se
configura correctamente, el explorador proporcionará las credenciales
al cortafuegos de manera transparente sin preguntar al usuario, pero
mostrará un mensaje de solicitud de credenciales si es necesario.
Si usa el agente de Id de usuarios basado en Windows, las respuestas
NTLM van directamente al controlador de dominio en el que ha
instalado el agente.
Si configura la autenticación SSO de Kerberos, el cortafuegos
intenta ese método antes de volver a la autenticación de NTLM. Si el
explorador no puede realizar la autenticación de NTLM o si esta falla,
el cortafuegos retrocederá a una autenticación con formato web o
certificado de cliente, en función de su política de autenticación y la
configuración del portal cautivo.
Microsoft Internet Explorer admite NTLM de manera predeterminada.
Puede configurar Mozilla Firefox y Google Chrome para usar también
NTLM, pero no puede usar NTLM para autenticar a clientes que no
sean de Windows.
Formato web El cortafuegos redirige solicitudes a un formato web para su

autenticación. Para implementar este método, puede configurar la
política de autenticación para que utilice la autenticación multifactor
(MFA); la autenticación SAML, Kerberos, TACACS+, RADIUS,
o la autenticación LDAP. Aunque los usuarios deben introducir
manualmente sus credenciales de inicio de sesión, este método
funciona con todos los exploradores y sistemas operativos.
Certificado de autenticación El cortafuegos pide al explorador que presente un certificado de

de cliente cliente válido para autenticar al usuario. Para utilizar este método
debe proporcionar certificados de cliente en cada sistema de usuario
e instalar el certificado de la entidad de certificación (certificate
authority, CA) de confianza utilizada para emitir esos certificados en el
cortafuegos.
Modos de portal cautivo

El modo de portal cautivo define el modo en que el cortafuegos captura solicitudes web para su
autenticación:
Modo DESCRIPTION
Transparente El cortafuegos intercepta el tráfico del explorador mediante la regla de

la política de autenticación y representa la URL de destino original, y
emite un HTTP 401 para invocar la autenticación. Sin embargo, como
el cortafuegos no tiene el certificado real para la URL de destino, el
explorador muestra un error de certificado a los usuarios que intenten
acceder a un sitio seguro. Por lo tanto, utilice este modo solo cuando
sea absolutamente necesario, como en implementaciones de capa 2 o
cable virtual.

Modo DESCRIPTION
Redirigir El cortafuegos intercepta sesiones de HTTP o HTTPS desconocidas y

las redirige a una interfaz de capa 3 en el cortafuegos utilizando una
redirección HTTP 302 para realizar la autenticación. Este es el modo
preferido porque proporciona una mejor experiencia de usuario final
(sin errores de certificado). Sin embargo, requiere una configuración
de capa 3 adicional. Otra ventaja del modo Redirigir es que permite el
uso de cookies de sesión, que permiten que el usuario siga explorando
sitios autenticados sin tener que volver a asignar cada vez que venza
el tiempo de espera. Esto es de especial utilidad para los usuarios
que se desplazan de una dirección IP a otra (por ejemplo, de la LAN
corporativa a la red inalámbrica) porque no tendrán que volver a
autenticar al cambiar de dirección IP siempre que la sesión permanezca
abierta.
Si utiliza la autenticación de NTLM o el SSO Kerberos, deberá utilizar
el modo Redirigir porque el explorador únicamente proporcionará
credenciales a sitios fiables. El modo Redirigir también es necesario
si utiliza Autenticación multifactor on page 163 para autenticar a
usuarios del portal cautivo.
Configuración de portal cautivo

El siguiente procedimiento muestra cómo configurar un portal cautivo utilizando el agente de ID de usuario
integrado en PAN-OS para redirigir solicitudes web que coincidan con una regla de Authentication Policy
(Política de autenticación) a una interfaz de cortafuegos (host de redireccionamiento). Según la sensibilidad,
las aplicaciones a las que acceden los usuarios a través del portal cautivo requieren diferentes métodos
y ajustes de autenticación. Para adaptarse a todos los requisitos de autenticación, puede usar los objetos
de aplicación de autenticación predeterminados y personalizados. Cada objeto se asocia a una regla de
autenticación con un perfil de autenticación en un método de autenticación de portal cautivo.
• Objetos de aplicación de autenticación predeterminados: utilice los objetos predeterminados si desea
asociar varias reglas de autenticación al mismo perfil de autenticación global. Debe configurar este
perfil de autenticación antes de configurar el portal cautivo y luego asignarlo en los ajustes del portal
cautivo. No puede usar los objetos de cumplimiento de autenticación predeterminados para las reglas de
autenticación que requieren autenticación multifactor (MFA).
• Objetos de aplicación de autenticación personalizados: utilice un objeto personalizado para cada
regla de autenticación que requiera un perfil de autenticación que difiera del perfil global. Los objetos
personalizados son obligatorios para las reglas de autenticación que requieren MFA. Para usar objetos
personalizados, cree perfiles de autenticación y asígnelos a los objetos después de configurar el portal
cautivo, cuando realiza la configuración de la política de autenticación.
Tenga en cuenta que los perfiles de autenticación son necesarios solo si los usuarios se autentican a través
del formulario web de un portal cautivo, SSO de Kerberos o el NT LAN Manager (NTLM). Como alternativa
o complemento de estos métodos, el siguiente procedimiento también describe de qué manera implementar
la autenticación del certificado de cliente.
Si tiene la intención de utilizar un portal cautivo sin utilizar las otras funciones de User-ID
(asignación de usuarios y grupos), no necesita configurar un agente User-ID.

STEP 1 | Configure las interfaces que el cortafuegos usará para las solicitudes web entrantes, la
autenticación de usuarios y la comunicación con servidores de directorio para asignar nombres
de usuario a direcciones IP.
El cortafuegos usa la interfaz de gestión (MGT) para todas estas funciones de forma predeterminada,
pero puede configurar otras interfaces. En el modo de redirección, debe usar una interfaz de capa 3 para
redirigir solicitudes.
1. (Interfaz MGT únicamente) Seleccione Device (Dispositivo) > Setup (Configuración) > Interfaces,
modifique la interfaz Management (Gestión), seleccione User-ID (ID de usuario) y haga clic en OK
(Aceptar).
2. (Solo interfaz no MGT) Asigne un perfil de gestión de interfaz a la interfaz de capa 3 que el
cortafuegos usará para las solicitudes web entrantes o la comunicación con los servidores de
directorio. Debe habilitar Response Pages (Páginas de respuesta) y User ID (ID de usuario) en el perfil
de gestión de interfaz.
3. (Solo interfaces no MGT) Configure una ruta de servicio para la interfaz que usará el cortafuegos
para autenticar a usuarios. Si el cortafuegos tiene más de un sistema virtual (vsys), la ruta de servicio
puede ser global o específica de vsys. Los servicios deben incluir LDAP y, posiblemente, lo siguiente:
• Kerberos, RADIUS, TACACS+ o Multi-Factor Authentication (Autenticación multifactor):
configure una ruta de servicio para cualquier servicio de autenticación que utilice.
• UID Agent (Agente UID): configure este servicio únicamente si habilitará la autenticación NT LAN
Manager (NTLM) o si habilitará la poítica basada en usuario y en grupo.
4. (Modo de redireccionamiento únicamente): Cree un registro de dirección DNS (A) que asigne la
dirección IP de la interfaz de capa 3 al host de redireccionamiento. Si va a usar SSO de Kerberos,
deberá añadir además un registro de puntero DNS (PTR) que realice la misma asignación.
Si su red no admite el acceso a los servidores de directorio desde ninguna interfaz de cortafuegos,
deberá realizar la configuración de la asignación de usuarios usando el agente de ID de usuario de
Windows.
STEP 2 | Asegúrese de que el sistema de nombres de dominio (DNS, Domain Name System) está
configurado para resolver sus direcciones de controlador de dominio.
Para verificar que la resolución es correcta, haga ping en el FQDN del servidor. Por ejemplo:
admin@PA-200> ping host dc1.acme.com
STEP 3 | Configure los clientes para que confíen en los certificados del portal cautivo.
Obligatorio para el modo de redireccionamiento: para redirigir usuarios de forma transparente sin
mostrar errores de certificados. Utilice un certificado autofirmado o importe un certificado que haya
firmado una entidad de certificación (CA) externa.
Para utilizar un certificado autofirmado, primero deberá crear un certificado de CA raíz y, a continuación,
utilizarlo para firmar el certificado que usará en el portal cautivo:
2. Cree un certificado CA raíz autofirmado o importe un certificado CA (consulte Importación de un
certificado y clave privada).
3. Genere un certificado para usar con el portal cautivo. Asegúrese de configurar los siguientes campos:
• Common Name (Nombre común): introduzca el nombre DNS del host de intranet para la interfaz
de capa 3.
• Signed By (Firmado por): seleccione el certificado de CA que acaba de crear o importar.

• Atributos de certificados: haga clic en Add (Añadir), en el Type (Tipo), seleccione IP y para el Value
(Valor), introduzca la dirección IP de la interfaz de capa 3 a la que el cortafuegos redirigirá las
solicitudes.
4. Configuración de un perfil de servicio SSL/TLS. Asigne el certificado de portal cautivo que acaba de
crear al perfil.
5. Configure los clientes para que confíen en el certificado:
1. Exporte el certificado de CA que ha creado o importado.
2. Importe el certificado como una CA raíz de confianza en todos los exploradores de cliente, ya sea
configurando manualmente el explorador o añadiendo el certificado a las raíces de confianza en un
objeto de directiva de grupo (GPO, Group Policy Object) de Active Directory.
STEP 4 | (Opcional) Configure la autenticación de certificado de cliente.
No necesita una secuencia o perfil de autenticación para la autenticación de certificados

de cliente. Si configura tanto un perfil/secuencia de autenticación como una autenticación
de certificado, los usuarios deberán autenticarse usando ambos.
1. Use un certificado de CA raíz para generar un certificado de cliente para cada usuario que se
autenticará a través del portal cautivo. La CA en este caso suele ser la CA de su empresa, no el
cortafuegos.
2. Exporte el certificado de CA en el formato PEM a un sistema al que puede acceder el cortafuegos.
3. Importe el certificado CA al cortafuegos: consulte Importación de un certificado y clave privada.
Después de la importación, haga clic en el certificado importado, seleccione Trusted Root CA (CA raíz
fiable) y haga clic en OK (Aceptar).
4. Configuración de un perfil de certificado.
• En el menú desplegable Username Field (Campo de nombre de usuario), seleccione el campo de
certificado que contenga la información de la identidad del usuario.
• En la lista CA Certificates (Certificados de CA), haga clic en Add (Añadir) y seleccione el
certificado de CA que acaba de importar.
STEP 5 | (Opcional) Habilite la autenticación de NT LAN Manager (NTLM).
Como práctica recomendada, elija la autenticación de inicio de sesión único (SSO)

de Kerberos o el SSO SAML antes que la autenticación NTLM. Kerberos y SAML son
métodos de autenticación más potentes y robustos que NTLM, y no requieren que el
cortafuegos tenga una cuenta administrativa para unirse al dominio. Si configura NTLM,
el agente de ID de usuario integrado a PAN-OS debe poder resolver correctamente el
nombre de DNS de su controlador de dominio para que se una al dominio.
1. Si aún no lo hizo, cree una cuenta de servicio dedicada para el agente de ID de usuario.
Se le recomienda usar una cuenta de agente de ID de usuario separada de su cuenta

de administrador de cortafuegos.
(Asignación de usuario) y modifique la sección de configuración de agente de ID de usuario de Palo
Alto Networks.
3. Seleccione NTLM y Enable NTLM authentication processing (Habilitar el procesamiento de
autenticación NTLM).
4. Introduzca el NTLM Domain (Dominio NTLM) con el que el agente de User-ID del cortafuegos
comprobará las credenciales de NTLM.
5. Introduzca el Admin User Name (Nombre de usuario administrador) y la Password (Contraseña) de la
cuenta de Active Directory que creó para el agente de ID de usuario.

No incluya el dominio en el campo Admin User Name (Nombre de usuario del
administrador) De lo contrario, el cortafuegos no podrá unirse al dominio.
6. Haga clic en Aceptar para guardar la configuración.
STEP 6 | Configure los ajustes del portal cautivo.

1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Captive Portal
Settings (Configuración de portal cautivo) y modifique los ajustes.
2. Enable Captive Portal (Habilite el portal cautivo) (el valor predeterminado está habilitado).
3. Especifique el Timer (Temporizdor), que es el tiempo máximo en minutos que el cortafuegos retiene
una asignación de dirección IP a usuario para un usuario después de que ese usuario se autentique
a través del portal cautivo (el valor predeterminado es 60; el intervalo es de 1 a 1440). Después de
que el Timer (Temporizador) finalice, el cortafuegos elimina la asignación y las marcas de tiempo de
autenticación asociadas que se utilizaron para evaluar el tiempo de espera en las reglas de política de
autenticación.
Al evaluar el temporizador del portal cautivo y el valor de tiempo de espera en cada

regla de política de autenticación, el cortafuegos indica al usuario que vuelva a
autenticarse para el ajuste que caduque primero. Tras la nueva autenticación, el
cortafuegos restablece el recuento de tiempo para el temporizador del portal cautivo
y registra las nuevas marcas de tiempo de autenticación para el usuario. Por lo tanto,
para habilitar diferentes periodos de tiempo de espera para diferentes reglas de
autenticación, configure el temporizador del portal cautivo en un valor que sea igual o
superior a cualquier tiempo de espera de regla.
4. Seleccione el SSL/TLS Service Profile (Perfil de servicio SSL/TLS) que creó para redirigir las
solicitudes por TLS. Consulte Configuración de un perfil de servicio SSL/TLS.
5. Seleccione el Mode (Modo) (en este ejemplo, Redirect [Redirigir]).
6. (Modo de redireccionamiento únicamente) Especifique el Redirect Host (Host de
redireccionamiento), que es el nombre de host de intranet (el nombre de host sin punto en su
nombre) que resuelve a la dirección IP de la interfaz de capa 3 del cortafuegos a la que se redirigirán
las solicitudes web.
Si los usuarios se autentican mediante el inicio de sesión único (SSO) de Kerberos, el Redirect Host
(Host de redireccionamiento) debe ser el mismo que el nombre de host especificado en el Kerberos
keytab.
7. Seleccione el método de autenticación que deberá utilizarse si falla NTLM (o si no está utilizando
NTLM):
• Para usar la autenticación de certificados cliente, seleccione el Certificate Profile (Perfil de
certificado) que ha creado.
• Para usar los ajustes globales para la autenticación SSO o interactiva, seleccione el Authentication
Profile (Perfil de autenticación) que configuró.
• Para usar los ajustes específicos de la regla de la política de autenticación para la autenticación
interactiva o SSO, asigne perfiles de autenticación a los objetos de cumplimiento de autenticación
cuando configure la política de autenticación.
8. Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) para confirmar la configuración del portal
cautivo.

El cortafuegos no muestra el formulario web de portal cautivo a los usuarios hasta que se configuran las
reglas de la política de autenticación cuando los usuarios soliciten servicios o aplicaciones.

Configuración de la asignación de usuarios para usuarios del
servidor de terminal
Los usuarios individuales del servidor de terminal parecen tener la misma dirección IP y, por lo tanto,
una asignación de direcciones IP a nombres de usuarios no es suficiente para identificar a un usuario
específico. Para habilitar la identificación de usuarios específicos en servidores de terminal basados en
Windows, el agente de servicios de terminal (agente de TS) de Palo Alto Networks asignará un intervalo
de puertos a cada usuario. A continuación, notificará a cada cortafuegos conectado sobre el intervalo de
puertos asignado, lo que permitirá que el cortafuegos cree una tabla de asignaciones de direcciones IP,
puertos y usuarios y habilite la aplicación de políticas de seguridad basadas en usuarios y grupos. Para
los servidores de terminal que no sean de Windows, puede configurar la API XML de PAN-OS para que
extraiga información de asignación de usuarios.
Las siguientes secciones describen cómo configurar la asignación de usuarios para usuarios del servidor de
terminal:
• Configuración del agente de servicios de terminal de Palo Alto Networks para la asignación de usuarios
on page 491
• Recuperación de asignaciones de usuarios de un servidor de terminal mediante la API XML de PAN-OS
on page 494
Configuración del agente de servicios de terminal de Palo Alto Networks

para la asignación de usuarios
Utilice el siguiente procedimiento para instalar y configurar el agente de TS en el servidor de terminal. Para
asignar a todos sus usuarios, debe instalar el agente de TS en todos los servidores de terminal en los que sus
usuarios inicien sesión.
Para obtener información sobre los servidores de terminal compatibles con el agente de TS,
consulte la matriz de compatibilidad de Palo Alto Networks.
STEP 1 | Descargue el instalador de agente de TS.

1. Inicie sesión en el sitio de Atención al cliente de Palo Alto Networks.
2. Seleccione Software Updates (Actualizaciones de software) en la sección Gestionar dispositivos.
3. Desplácese hasta la sección Terminal Services Agent (Agente de servicios de terminal) y haga clic en
Download (Descargar) para descargar la versión del agente que quiera instalar.
4. Guarde el archivo TaInstall64.x64-x.x.x-xx.msi o TaInstall-x.x.x-xx.msi (asegúrese
de seleccionar la versión adecuada según si el sistema Windows está ejecutando un SO de 32 bits o
de 64 bits) en los sistemas en los que tenga la intención de instalar el agente.
STEP 2 | Ejecute el instalador como administrador.

1. Abra el menú de Inicio de Windows, haga clic con el botón derecho en el programa Símbolo del
sistema y seleccione Ejecutar como administrador.
2. Desde la línea de comandos, ejecute el archivo .msi que ha descargado. Por ejemplo, si guardó el
archivo .msi en el escritorio, debería introducir lo siguiente:
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-8.0.0-1.msi
3. Siga los mensajes de configuración para instalar el agente con los ajustes predeterminados. De
manera predeterminada, el agente se instala en la carpeta C:\Program Files (x86)\Palo
Alto Networks\Terminal Server Agent, pero puede hacer clic en Examinar para seleccionar
una ubicación diferente.

4. Cuando finalice la instalación, haga clic en Cerrar para cerrar la ventana de configuración.
Si está actualizando a una versión de agente de TS con un controlador más reciente

que el de la instalación existente, el asistente de instalación le solicitará reiniciar el
sistema después de actualizar con el fin de utilizar el controlador más reciente.
STEP 3 | Defina el intervalo de puertos para el agente de TS que debe asignarse a los usuarios finales.
Los campos System Source Port Allocation Range (Intervalo de asignación del puerto de
origen del sistema) y System Reserved Source Ports (Puertos de origen reservados del
sistema) especifican el intervalo de puertos que se asignará a las sesiones que no sean
de usuarios. Asegúrese de que los valores especificados en estos campos no se solapan
con los puertos que designó para el tráfico de usuarios. Estos valores solamente pueden
cambiarse editando los correspondientes ajustes de registro de Windows.
1. Abra el menú Inicio de Wndows y seleccione Terminal Server Agent para iniciar la aplicación de
agente de servicios de terminal.
2. Haga clic en Configure (Configurar) en el menú lateral.
3. Introduzca el Source Port Allocation Range (Intervalo de asignación de puerto de origen) (valor
por defecto: 20 000-39 999). Este es el intervalo completo de números de puertos que el agente
de TS adjudicará para la asignación de usuarios. El intervalo de puertos que especifique no puede
solaparse con el System Source Port Allocation Range (Intervalo de asignación del puerto de origen
del sistema).
4. (Opcional) Si hay puertos/intervalos de puertos en la asignación del puerto de origen que no desea
que el agente de TS adjudique a sesiones de usuario, especifíquelos como Reserved Source Ports
(Puertos de origen reservados). Para incluir varios intervalos, utilice comas sin espacios, por ejemplo:
2000-3000,3500,4000-5000.
5. Especifique el número de puertos que deben asignarse a cada usuario individual tras su inicio de
sesión en el servidor de terminal en el campo Port Allocation Start Size Per User (Tamaño de inicio
de asignación de puertos por usuario) (valor predeterminado: 200).
6. Especifique el Port Allocation Maximum Size Per User (Tamaño máximo de asignación de puerto por
usuario), que es el número máximo de puertos que el agente de servicios de terminal puede asignar a
un usuario individual.
7. Especifique si desea continuar procesando el tráfico del usuario si el usuario se queda sin puertos
asignados. De manera predeterminada, está seleccionada la opción Fail port binding when available
ports are used up (Fallo en el enlace de puertos cuando se utilizan los puertos disponibles), que
indica que la aplicación no enviará tráfico cuando se hayan utilizado todos los puertos. Para habilitar a
los usuarios para que sigan utilizando aplicaciones cuando se queden sin puertos, cancele la selección
de esta casilla de verificación. Recuerde que puede que este tráfico no se identifique con User-ID.
STEP 4 | (Opcional) Asigne sus propios certificados para la autenticación mutua entre el agente de TS y el
cortafuegos.
1. Obtenga su certificado para el agente de TS para su PKI de la empresa o genere uno en el
cortafuegos. La clave privada del certificado del servidor debe estar cifrada. El certificado debe
cargarse en un formato de archivo PEM.
• Generar un certificado on page 220 Luego expórtelo para cargarlo en el agente de TS.
• Exporte un certificado de la autoridad de certificados (CA) de la empresa y cárguelo en el agente
de TS.
2. Añada un certificado de servidor en el agente de TS.
1. En el agente de TS, seleccione Server Certificate (Certificado de servidor) y haga clic en Add
(Añadir).

2. Ingrese la ruta y el nombre del archivo de certificado que recibió de la CA o busque el archivo de
certificado.
3. Ingrese la contraseña de clave privada.
4. Haga clic en OK (Aceptar) y, a continuación, en Commit (Confirmar).
3. Configure y asigne el perfil de certificado para el cortafuegos.
Profile (Perfil de certificados) para Configuración de un perfil de certificado on page 225.
Solo puede asignar un perfil de certificado para los agentes de ID de usuario de

Windows y los agentes de TS. Por lo tanto, su perfil de certificado debe incluir
todas las autoridades de certificado que emitieron certificados cargados en los
agentes de TS e ID de usuario de Windows conectados.
2. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Connection
Security (Seguridad de conexión) y haga clic en el botón edit (modificar) para asignar el perfil de
certificado.
3. Seleccione el perfil de certificado que ha configurado en el paso anterior, en la lista desplegable
User-ID Certificate Profile (Perfil de certificado de ID de usuario).
STEP 5 | Configure el cortafuegos para conectarlo al agente de servicios de terminal.

Realice los siguientes pasos en cada cortafuegos que desee conectar al agente de servicios de terminal
para recibir asignaciones de usuarios:
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuario) > Terminal Server
Agents (Agentes de servidor de terminal) y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para el agente de servicios de terminal.
3. Introduzca la dirección IP del Host de Windows en el que está instalado el agente de servicios de
terminal.
4. Introduzca el número de Port (Puerto) en el que el agente escuchará solicitudes de asignación de
usuarios. Este valor debe coincidir con el valor configurado en el agente de servicios de terminal.
De manera predeterminada, el puerto se establece como 5009 en el cortafuegos y en el agente. Si
lo cambia aquí, también debe cambiar el campo Listening Port (Puerto de escucha) en la pantalla
Configure (Configurar) del agente de servicios de terminal.
5. Asegúrese de que la configuración esté Enabled (Habilitada) y, a continuación, haga clic en OK
(Aceptar).
7. Verifique que el estado Connected (Conectado) aparezca como conectado (luz verde).
STEP 6 | Verifique que el agente de servicios de terminal está asignando correctamente direcciones IP a
nombres de usuarios y que los cortafuegos pueden conectarse con el agente.
1. Abra el menú Inicio de Windows y seleccione Terminal Server Agent.
2. Verifique que los cortafuegos puedan conectarse asegurándose de que el Connection Status (Estado
de conexión) de cada cortafuegos de la lista de conexión sea Connected (Conectado).
3. Para verificar que el agente de servicios de terminal esté asignando correctamente intervalos de
puertos a nombres de usuarios, seleccione Monitoring (Supervisión) en el menú lateral y asegúrese
de que la tabla de asignaciones está cumplimentada.
STEP 7 | (Servidores Windows 2012 R2 únicamente) Deshabilite el modo protegido mejorado de Microsoft
Internet Explorer para cada usuario que utilice ese navegador.
Esta tarea no es necesaria para otros navegadores tales como Google Chrome o Mozilla Firefox.

Para deshabilitar el modo protegido mejorado para todos los usuarios, use la política de
seguridad local.
Siga los pasos a continuación en Windows Server:

1. Inicie Internet Explorer.
2. Seleccione Internet options (Opciones de Internet) > Advanced (Avanzado) y desplácese hasta la
sección Security (Seguridad).
3. Desmarque Enable Enhanced Protected Mode (Habilitar modo protegido mejorado).
En Internet Explorer, Palo Alto Networks recomienda que no deshabilite el modo

protegido, que es diferente del modo protegido mejorado.
Recuperación de asignaciones de usuarios de un servidor de terminal

mediante la API XML de PAN-OS
La API XML de PAN-OS utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas de la API
se pueden realizar directamente desde utilidades de la línea de comandos como cURL o usando cualquier
secuencia de comandos o marco de aplicaciones que sea compatible con los servicios de la REST.
Para habilitar un servidor de terminal que no sea de Windows para que envíe información de asignación
de usuarios directamente al cortafuegos, cree secuencias de comandos que extraigan los eventos de inicio
de sesión y cierre de sesión de usuarios y utilícelas para introducirlos en el formato de solicitud de API
XML de PAN-OS. A continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos
utilizando cURL o wget y proporcionando la clave de API del cortafuegos para lograr comunicaciones
seguras. La creación de asignaciones de usuarios desde sistemas multiusuario como servidores de terminal
requiere el uso de los siguientes mensajes de la API:
• <multiusersystem>: Establece la configuración para un sistema multiusuario de la API XML en el
cortafuegos. Este mensaje permite la definición de la dirección IP de servidor de terminal (esta será
la dirección de origen para todos los usuarios de ese servidor de terminal). Además, el mensaje de
configuración <multiusersystem> especifica el intervalo de números de puertos de origen que
debe adjudicarse para la asignación de usuarios y el número de puertos que debe adjudicarse a cada
usuario individual después de iniciar sesión (lo que se denomina tamaño de bloque). Si quiere utilizar el
intervalo de asignación del puerto de origen predeterminado (1025-65534) y el tamaño de bloque (200),
no necesita enviar un evento de configuración <multiusersystem> al cortafuegos. En vez de eso, el
cortafuegos generará automáticamente la configuración del sistema multiusuario de la API XML con los
ajustes predeterminados tras recibir el primer mensaje de evento de inicio de sesión de usuario.
• <blockstart>: Se utiliza con los mensajes <login> y <logout> para indicar el número de puerto
de origen de partida asignado al usuario. A continuación, el cortafuegos utiliza el tamaño de bloque
para determinar el intervalo de números de puertos que debe asignarse a la dirección IP y al nombre
de usuario del mensaje de inicio de sesión. Por ejemplo, si el valor de <blockstart> es 13200 y el
tamaño de bloque configurado para el sistema multiusuario es 300, el intervalo del puerto de origen
asignado al usuario es del 13200 al 13499. Cada conexión iniciada por el usuario debería utilizar un
número de puerto de origen exclusivo dentro del intervalo asignado, lo que permite que el cortafuegos
identifique al usuario basándose en sus asignaciones de direcciones IP, puertos y usuarios para la
aplicación de reglas de políticas de seguridad basadas en usuarios y grupos. Cuando un usuario agota
todos los puertos asignados, el servidor de terminal debe enviar un nuevo mensaje <login> que asigne
un nuevo intervalo de puertos al usuario con el fin de que el cortafuegos pueda actualizar la asignación
de direcciones IP, puertos y usuarios. Además, un único nombre de usuario puede tener varios bloques

de puertos asignados simultáneamente. Cuando un cortafuegos recibe un mensaje <logout> que
incluye un parámetro <blockstart>, elimina la correspondiente asignación de dirección IP, puerto y
usuario de su tabla de asignaciones. Cuando el cortafuegos recibe un mensaje <logout> con un nombre
de usuario y una dirección IP, pero sin <blockstart>, elimina al usuario de su tabla. Y si el cortafuegos
recibe un mensaje <logout> únicamente con una dirección IP, elimina el sistema multiusuario y todas
las asignaciones asociadas al mismo.
Los archivos XML que el servidor de terminal envía al cortafuegos pueden contener varios
tipos de mensajes, y estos mensajes no tienen que estar en ningún orden específico dentro
del archivo. Sin embargo, al recibir un archivo XML que contenga varios tipos de mensajes,
el cortafuegos los procesará en el siguiente orden: solicitudes multiusersystem en primer
lugar, seguidas de inicios de sesión y cierres de sesión.
El siguiente flujo de trabajo ofrece un ejemplo de cómo utilizar la API XML de PAN-OS para enviar
asignaciones de usuarios desde un servidor de terminal que no sea de Windows al cortafuegos.
STEP 1 | Genere la clave de API que se utilizará para autenticar la comunicación de la API entre el
cortafuegos y el servidor de terminal. Para generar la clave, debe proporcionar credenciales
de inicio de sesión para una cuenta administrativa; la API está disponible para todos los
administradores (incluidos los administradores basados en funciones con privilegios de la API
XML habilitados).
Todos los caracteres especiales de la contraseña deben estar codificados con URL/
porcentaje.
Desde un explorador, inicie sesión en el cortafuegos. A continuación, para generar la clave de API para el
cortafuegos, abra una nueva ventana del explorador e introduzca la siguiente URL:
https://<Firewall-IPaddress>/api/?
type=keygen&user=<username>&password=<password>
donde <Firewall-IPaddress> es la dirección IP o FQDN del cortafuegos y <username> y <password> son

las credenciales para la cuenta de usuario administrativo del cortafuegos. Por ejemplo:
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
El cortafuegos responde con un mensaje que contiene la clave, por ejemplo:
<response status="success">
<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
STEP 2 | (Opcional) Genere un mensaje de configuración que el servidor de terminal enviará para
especificar el intervalo de puertos y el tamaño de bloque de los puertos por usuario que utiliza
su agente de servicios de terminal.
Si el agente de servicios de terminal no envía un mensaje de configuración, el cortafuegos
automáticamente creará una configuración de agente de servidor de terminal mediante los siguientes
ajustes predeterminados tras recibir el primer mensaje de inicio de sesión:
• Intervalo de puertos predeterminado: De 1025 a 65534

• Tamaño de bloque por usuario: 200
• Número máximo de sistemas multiusuario: 1.000
A continuación puede ver un mensaje de configuración de muestra:
<uid-message>
<payload>
<multiusersystem>
<entry ip="10.1.1.23" startport="20000" endport="39999"
blocksize="100">
</multiusersystem>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
donde entry ip especifica la dirección IP asignada a los usuarios del servidor de terminal, startport
y endport especifican el intervalo de puertos que debe utilizarse al asignar puertos a usuarios
individuales y blocksize especifica el número de puertos que debe asignarse a cada usuario. El tamaño
de bloque máximo es 4000 y cada sistema multiusuario puede asignar un máximo de 1000 bloques.
Si define un tamaño de bloque y/o intervalo de puertos personalizado, recuerde que debe configurar
los valores de modo que se asignen todos los puertos del intervalo y que no haya huecos ni puertos sin
utilizar. Por ejemplo, si establece el intervalo de puertos como 1000-1499, podría establecer el tamaño
de bloque como 100, pero no como 200. Esto se debe a que si lo estableciera como 200, habría puertos
sin utilizar al final del intervalo.
STEP 3 | Cree una secuencia de comandos que extraiga los eventos de inicio de sesión y cree el archivo
de entrada XML que debe enviarse al cortafuegos.
Asegúrese de que la secuencia de comandos aplica la asignación de intervalos de números de puertos
con límites fijos y sin que los puertos se solapen. Por ejemplo, si el intervalo de puertos es 1000-1999 y
el tamaño de bloque es 200, los valores aceptables de blockstart serían 1000, 1200, 1400, 1600 o 1800.
Los valores de blockstart 1001, 1300 o 1850 no serían aceptables porque algunos de los números de
puertos del intervalo se quedarían sin utilizar.
La carga de eventos de inicio de sesión que el servidor de terminal envía al cortafuegos

puede contener varios eventos de inicio de sesión.
A continuación se muestra el formato del archivo de entrada de un evento de inicio de sesión XML de
PAN-OS:
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
</uid-message>
El cortafuegos utiliza esta información para cumplimentar su tabla de asignaciones de usuarios.

Basándose en las asignaciones extraídas del ejemplo anterior, si el cortafuegos recibiera un paquete cuya

dirección y cuyo puerto de origen fueran 10.1.1.23:20101, asignaría la solicitud al usuario jparker para la
aplicación de políticas.
Cada sistema multiusuario puede asignar un máximo de 1.000 bloques de puertos.
STEP 4 | Cree una secuencia de comandos que extraiga los eventos de cierre de sesión y cree el archivo
de entrada XML que debe enviarse al cortafuegos.
Tras recibir un mensaje de evento logout con un parámetro blockstart, el cortafuegos elimina la
correspondiente asignación de dirección IP, puerto y usuario. Si el mensaje logout contiene un nombre
de usuario y una dirección IP, pero ningún parámetro blockstart, el cortafuegos eliminará todas las
asignaciones del usuario. Si el mensaje logout solamente contiene una dirección IP, el cortafuegos
eliminará el sistema multiusuario y todas las asignaciones asociadas.
A continuación se muestra el formato del archivo de entrada de un evento de cierre de sesión XML de
PAN-OS:
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
</uid-message>
También puede borrar del cortafuegos la entrada del sistema multiusuario mediante el
siguiente comando de la CLI: clear xml-api multiusersystem
STEP 5 | Asegúrese de que las secuencias de comandos que cree incluyan un modo de aplicar
dinámicamente que el intervalo de bloques de puertos asignado mediante la API XML coincida
con el puerto de origen asignado al usuario en el servidor de terminal y que la asignación se
elimine cuando el usuario cierre sesión o cuando cambie la asignación de puertos.
Una forma de hacerlo sería utilizar reglas de NAT netfilter para ocultar sesiones de usuarios detrás de los
intervalos de puertos específicos asignados a través de la API XML basándose en el UID. Por ejemplo,
para garantizar que un usuario cuyo User-ID sea jjaso se asigne a una traducción de direcciones de red
de origen (SNAT) cuyo valor sea 10.1.1.23:20000-20099, la secuencia de comandos que cree debería
incluir lo siguiente:
(root@ts1 ~)# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso -p

tcp -j SNAT --to-source 10.1.1.23:20000-20099
Del mismo modo, las secuencias de comandos que cree también deberían garantizar que la configuración
de enrutamiento de la tabla de IP elimine dinámicamente la asignación de SNAT cuando el usuario cierre
sesión o cuando cambie la asignación de puertos:
(root@ts1 ~)# iptables -t nat -D POSTROUTING 1
STEP 6 | Defina cómo empaquetar los archivos de entrada XML que contienen los eventos de
configuración, inicio de sesión y cierre de sesión en mensajes wget o cURL para su transmisión
al cortafuegos.

Para aplicar los archivos al cortafuegos mediante wget:
> wget --post file <filename> “https://<Firewall-

IPaddress>/api/?type=user-id&key=<key>&file-
name=<input_filename.xml>&client=wget&vsys=<VSYS_name>”
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en
10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con wget tendría el
siguiente aspecto:
> wget --post file login.xml “https://10.2.5.11/api/?type=user-

id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg&file-
name=login.xml&client=wget&vsys=vsys1”
Para aplicar el archivo al cortafuegos mediante cURL:
> curl --form file=@<filename> https://<Firewall-IPaddress>/api/?

type=user-id&key=<key>&vsys=<VSYS_name>
Por ejemplo, la sintaxis para enviar un archivo de entrada denominado login.xml al cortafuegos en
10.2.5.11 utilizando la clave k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg con cURL
tendría el siguiente aspecto:
> curl --form [email protected] “https://10.2.5.11/api/?type=user-

id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg&vsys=vsys1”
STEP 7 | Verifique que el cortafuegos esté recibiendo correctamente eventos de inicio de sesión de los
servidores de terminal.
Verifique la configuración abriendo una conexión de SSH con el cortafuegos y, a continuación,
ejecutando los siguientes comandos de la CLI:
Para verificar si el servidor de terminal se está conectando con el cortafuegos a través de XML:
admin@PA-5050> show user xml-api multiusersystem

Host Vsys Users Blocks
----------------------------------------
10.5.204.43 vsys1 5 2
Para verificar que el cortafuegos está recibiendo asignaciones de un servidor de terminal a través de
XML:
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43

Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1

Envío de asignaciones de usuarios a User-ID mediante la API XML
User-ID proporciona muchos métodos integrados para obtener información de asignación de usuarios. Sin
embargo, es posible que tenga aplicaciones o dispositivos que capturan la información de usuario pero no
pueden integrarse de forma nativa con User-ID. Por ejemplo, podría tener una aplicación personalizada
desarrollada internamente o un dispositivo que el método de asignación de usuario no estándar admita. En
estos casos, puede utilizar la API de XML de PAN-OS para crear secuencias de comando personalizadas
que envíen la información al agente de User-ID integrado en PAN-OS o directamente al cortafuegos. La
API XML de PAN-OS utiliza solicitudes HTTP estándar para enviar y recibir datos. Las llamadas a la API
se pueden realizar directamente mediante las utilidades de línea de comandos, como cURL, o mediante
cualquier marco de secuencias de comandos o aplicaciones compatible con las solicitudes POST y GET.
Para habilitar un sistema externo para que envíe información de asignación de usuarios al agente de User-ID
integrado en PAN-OS, cree secuencias de comandos que extraigan los eventos de inicio de sesión y cierre
de sesión de usuarios, y utilice los eventos como entrada para la solicitud de API de XML de PAN-OS. A
continuación defina los mecanismos para enviar solicitudes de API XML al cortafuegos (utilizando cURL, por
ejemplo) y use la clave de API del cortafuegos para una comunicación segura. Para obtener información más
detallada, consulte Guía de uso de PAN-OS XML API.

Habilitación de política basada en usuarios y
grupos
Tras realizar la Habilitación de User-ID, podrá configurar la política de seguridad que se aplica a usuarios
y grupos específicos. Los controles de políticas en función del usuario también pueden incluir información
sobre la aplicación, incluso a qué categoría o subcategoría pertenece, en qué tecnología está basada o
cuáles son sus características. Puede definir las reglas de la política para habilitar aplicaciones de forma
segura en función de los usuarios o grupos de usuarios, en cualquier dirección, entrante o saliente.
Ejemplos de políticas en función del usuario:
• Permitir que solamente el departamento de TI utilice herramientas como SSH, telnet y FTP en los
puertos estándares.
• Permitir al grupo de servicios de asistencia y soporte utilizar Slack.
• Permitir a todos los usuarios leer Facebook, pero bloquear el uso de las aplicaciones de Facebook y
limitar la publicación a los empleados del departamento de marketing.

Habilitación de política para usuarios con
múltiples cuentas
Si un usuario de su organización tiene múltiples responsabilidades, ese usuario puede tener múltiples
nombres de usuario (cuentas), cada uno con distintos privilegios para acceder a un conjunto de servicios
específico, pero todos los nombres de usuarios comparten la misma dirección IP (el sistema cliente del
usuario). Sin embargo, el agente de User-ID puede asignar cualquier dirección IP (o dirección IP e intervalo
de puertos para usuarios de servidor de terminal) a un único nombre de usuario para aplicar la política, y no
puede predecir qué nombre de usuario asignará el agente. Para controlar el acceso de todos los nombres de
usuario de un usuario, puede aplicar ajustes a las reglas, grupos de usuarios y agente de User-ID.
Por ejemplo, supongamos que el cortafuegos tiene una regla que permite que el nombre de usuario
corp_user acceda al correo electrónico y una regla que permita que el nombre de usuario admin_user
acceda a un servidor MySQL. El usuario inicia sesión con cualquiera de los nombres de usuario desde la
misma dirección IP de cliente. Si el agente User-ID asigna la dirección IP a corp_user, entonces, tanto si
el usuario inicia sesión como corp_user como si lo hace con admin_user, el cortafuegos identificará que el
usuario es corp_user y le concederá acceso al correo electrónico, pero no al servidor MySQL. Por otro lado,
si el agente User-ID asigna la dirección IP a admin_user, el cortafuegos siempre identificará al usuario como
admin_user independientemente del inicio de sesión, y le concederá acceso al servidor MySQL, pero no al
correo electrónico. Los siguientes pasos describen cómo aplicar ambas reglas en este ejemplo.
STEP 1 | Configure un grupo de usuarios para cada servicio que requiera distintos privilegios de acceso.
En este ejemplo, cada grupo es para un único servicio (servidor MySQL o correo electrónico). Sin
embargo, es común configurar cada grupo para un conjunto de servicios que requieran los mismos
privilegios (por ejemplo, un grupo para todos los servicios de usuario básicos y otro grupo para todos los
servicios administrativos).
Si su organización ya tiene grupos de usuarios que pueden acceder a los servicios que requiere el
usuario, solo tiene que añadir el nombre de usuario que se use para servicios menos restringidos a esos
grupos. En este ejemplo, el servidor de correo electrónico requiere un acceso menos restringido que
el servidor MySQL, y corp_user es el nombre de usuario para acceder al correo electrónico. Así, añade
corp_user a un grupo que pueda acceder a correo electrónico (corp_employees) y a un grupo que pueda
acceder al servidor MySQL (network_services).
Si añadir un nombre de usuario a un grupo existente concreto puede infringir las normas de su
organización, puede crear un grupo personalizado que se base en un filtro LDAP. En este ejemplo,
supongamos que network_services es un grupo personalizado que configura como sigue:
Settings (Configuración de asignación de grupo) y seleccione Add (Añadir) para añadir una
configuración de asignación de grupo con un nombre único en Name (Nombre).
2. Seleccione un Server Profile (Perfil de servidor) LDAP y asegúrese de que la casilla de verificación
Enabled (Habilitado) esté habilitada.
3. Seleccione la pestaña Custom Group (Grupo personalizado) y seleccione Add (Añadir) para añadir un
grupo personalizado con network_services en Name (Nombre).
4. Especifique un LDAP Filter (Filtro LDAP) que coincida con un atributo LDAP de corp_user y haga clic
en OK (Aceptar).
Por último, si otros usuarios que están en el grupo de servicios menos restringidos
reciben nombres de usuario adicionales que acceden a servicios más restringidos,

puede añadir esos nombres de usuario al grupo para obtener más servicios
restringidos. Este escenario es más común que el inverso; un usuario con acceso a
servicios más restringidos suele tener ya acceso a servicios menos restringidos.
STEP 2 | Configure las reglas que controlan el acceso del usuario en función de los grupos que acaba de
configurar.
Paso 7 on page 458
1. Configure una regla de seguridad que permita que el grupo corp_employees acceda al correo
electrónico.
2. Configure una regla de seguridad que permita que el grupo network_services acceda al servidor
MySQL.
STEP 3 | Configure la lista de ignorados del agente de User-ID.

Esto garantiza que el agente de User-ID asigne la dirección IP del cliente únicamente al nombre de
usuario que es miembro de los grupos asignados a las reglas que acaba de configurar. La lista de
ignorados debe contener todos los nombres de usuario de los usuarios que no son miembros de estos
grupos.
En este ejemplo, añada admin_user a la lista de ignorados del agente de User-ID basado en Windows
para garantizar que asigna la dirección IP del cliente a corp_user. Esto garantiza que, si el usuario inicia
sesión como corp_user o admin_user, el cortafuegos identifica al usuario como corp_user y aplica ambas
reglas que ha configurado porque corp_user es un miembro de los grupos a los que las reglas hacen
referencia.
1. Cree un archivo ignore_user_list.txt.
2. Abra el archivo y añada admin_user.
Si después añade más nombres de usuarios, cada uno debe estar en una línea separada.
3. Guarde el archivo en la carpeta de agente de User-ID en el servicio de dominio donde el agente está
instalado.
Si usa el agente de User-ID integrado de PAN-OS, consulte Configuración de la

asignación de usuarios mediante el agente de User-ID integrado en PAN-OS on page
473 para obtener instrucciones sobre cómo configurar la lista de ignorados.
STEP 4 | Configure la autenticación de endpoint para los servicios restringidos.

Esto permite que el endpoint compruebe las credenciales del usuario y conserva la capacidad de permitir
el acceso a los usuarios con múltiples nombres de usuario.
En este ejemplo, ha configurado una regla de cortafuegos que permite que corp_user, como miembro
del grupo network_services, envíe una solicitud de servicio al servidor MySQL. Ahora debe configurar
el servidor MySQL para que responda a cualquier nombre de usuario no autorizado (como corp_user)
pidiendo al usuario que escriba las credenciales de inicio de sesión de un nombre de usuario autorizado
(admin_user).
Si el usuario inicia sesión en la red como admin_user, el usuario podrá acceder al

servidor MySQL sin pedir las credenciales de admin_user de nuevo.
En este ejemplo, tanto corp_user como admin_user deben tener cuentas de correo electrónico, de modo
que el servidor de correo electrónico no pedirá credenciales adicionales independientemente del nombre
de usuario que haya introducido el usuario al iniciar sesión en la red.
El cortafuegos está ahora listo para aplicar reglas a un usuario con múltiples nombres de usuario.

Verificación de la configuración de User-ID
Después de configurar la asignación de usuarios y grupos, habilitar User-ID en su política de seguridad y
configurar la política de autenticación, debe comprobar que User-ID funcione correctamente.
STEP 1 | Acceda a la CLI del cortafuegos.
STEP 2 | Verifique que la asignación de grupos funciona.

Desde la CLI, introduzca el siguiente comando operativo:
> show user group-mapping statistics
STEP 3 | Verifique que la asignación de usuarios funciona.

Si está utilizando el agente de User-ID integrado en PAN-OS, podrá verificarlo desde la CLI utilizando el
siguiente comando:
> show user ip-user-mapping-mp all

IP Vsys From User Timeout (sec)
------------------------------------------------------
192.168.201.1 vsys1 UIA acme\george 210
192.168.201.11 vsys1 UIA acme\duane 210
192.168.201.50 vsys1 UIA acme\betsy 210
192.168.201.10 vsys1 UIA acme\administrator 210
192.168.201.100 vsys1 AD acme\administrator 748
Total: 5 users
*: WMI probe succeeded
STEP 4 | Compruebe la regla de su política de seguridad.

• Desde una máquina en la zona donde esté habilitado User-ID, intente acceder a sitios y aplicaciones
para comprobar las reglas que ha definido en su política y asegúrese de que el tráfico se permite y
deniega del modo esperado.
• También puede utilizar el comando operativo test security-policy-match para determinar
si la política se ha configurado correctamente. Por ejemplo, supongamos que tiene una regla que
bloquea al usuario duane y le impide jugar a World of Warcraft. Podría comprobar la política del
modo siguiente:
> test security-policy-match application worldofwarcraft source-user acme

\duane source any destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}

STEP 5 | Compruebe su configuración de política de autenticación y portal cautivo.
1. Desde la misma zona, vaya a una máquina que no sea miembro de su directorio, como un sistema
Mac OS, e intente hacer ping a un sistema externo a la zona. El ping debería funcionar sin requerir
autenticación.
2. Desde la misma máquina, abra un explorador y desplácese hasta un sitio web en una zona de destino
que coincida con una regla de autenticación que haya definido. El formulario web del portal cautivo
debería aparecer y solicitarle las credenciales de inicio de sesión.
3. Inicie sesión utilizando las credenciales correctas y confirme que se le ha redirigido a la página
solicitada.
4. También puede comprobar su política de autenticación utilizando el comando operativo test cp-
policy-match de la manera siguiente:
> test cp-policy-match from corporate to internet source 192.168.201.10

destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
STEP 6 | Verifique que los archivos de log muestren nombres de usuario.

Seleccione una página de logs (como Monitor [Supervisar] > Logs > Traffic [Tráfico]) y compruebe que la
columna Source User (Usuario de origen) muestre nombres de usuario.
STEP 7 | Verifique que los informes muestren nombres de usuario.

1. Seleccione Monitor (Supervisar) > Reports (Informes).
2. Seleccione un tipo de informe que incluya nombres de usuario. Por ejemplo, el informe Denied
Applications, la columna Source User, deberían mostrar una lista de los usuarios que intentaron
acceder a las aplicaciones.

Implementación de User-ID en una red a gran
escala
Una red a gran escala puede tener cientos de fuentes de información que los cortafuegos consultan para
asignar direcciones IP a nombres de usuario y asignar nombres de usuario a grupos de usuario. Puede
simplificar la administración de User-ID para dicha red al agregar la información de asignación de usuario
y grupo antes de que los agentes de User-ID la recopilen, con lo cual se reduce la cantidad de agentes
necesarios.
Una red a gran escala también puede tener numerosos cortafuegos que usan la información de asignación
para aplicar las políticas. Puede reducir los recursos que usan los cortafuegos y las fuentes de información
en el proceso de consulta al configurar algunos cortafuegos para que adquieran la información de asignación
a través de la redistribución en lugar de la consulta directa. La redistribución también permite que los
cortafuegos apliquen políticas basadas en el usuario cuando los usuarios dependen de las fuentes locales
para la autenticación (por ejemplo, servicios de directorio regional), pero necesitan acceso a servicios y
aplicaciones remotos (por ejemplo, aplicaciones de centro de datos globales).
Si realiza la Configuración de la información de autenticación on page 200, sus cortafuegos deben
redistribuir las Marcas de tiempo de la autenticación on page 199 asociadas con las respuestas del usuario
a los desafíos de autenticación. Los cortafuegos utilizan las marcas de tiempo para evaluar los tiempo de
espera para las reglas de la política de autenticación. El tiempo de espera permite al usuario que se autentica
correctamente solicitar servicios y aplicaciones posteriormente sin volver a autenticarse dentro del período
de tiempo de espera. La redistribución de las marcas de tiempo le permitirá aplicar el tiempo de espera
incluso si el cortafuegos que inicialmente concedió el acceso para un usuario no es el mismo cortafuegos
que más tarde controla el acceso para ese usuario.
• Implementación de User-ID para numerosas fuentes de información de asignación on page 505
• Redistribución de las asignaciones de usuario y autenticación de las marcas de tiempo. on page 509
Implementación de User-ID para numerosas fuentes de

información de asignación
Puede usar el reenvío de logs de Windows y los servidores de catálogo globales para simplificar la
asignación de usuarios y grupos en una red a gran escala de controladores de dominio de Microsoft Active
Directory (AD) o servidores de Exchange. Estos métodos simplifican la administración de User-ID al agregar
la información de asignación antes de que los agentes de User-ID la recopilen, con lo cual se reduce la
cantidad de agentes necesarios.
• Servidores de catálogo global y reenvío de logs de Windows on page 505
• Planificación de una implementación de User-ID a gran escala on page 506
• Configuración de reenvío de logs de Windows on page 507
• Configuración de User-ID para numerosas fuentes de información de asignación on page 507
Servidores de catálogo global y reenvío de logs de Windows

Como cada agente de User-ID puede supervisar hasta 100 servidores, el cortafuegos necesitará múltiples
agentes de User-ID para supervisar una red con cientos de controladores de dominio de AD o servidores
de Exchange. La creación y gestión de numerosos agentes de User-ID implica una considerable carga
administrativa, especialmente al expandir las redes donde la monitorización de controladores de nuevos
dominios resulta muy difícil. El reenvío de logs de Windows le permite minimizar la carga administrativa
reduciendo el número de servidores que hay que supervisar y reduciendo por tanto el número de
agentes de User-ID que hay que gestionar. Cuando configure el reenvío de logs de Windows, múltiples

controladores de dominio exportan sus eventos de inicio de sesión a un único miembro de dominio desde el
que el agente de User-ID recopila la información de asignación de usuario.
Puede configurar el reenvío de logs de Windows para las versiones 2003, 2008, 2008 R2,
2012 y 2012 R2 de Windows Server. El reenvío de logs de Windows no está disponible para
los servidores que no son de Microsoft.
Para recopilar la información de asignación de grupo en una red a gran escala, puede configurar el
cortafuegos para que consulte a un servidor del catálogo global que recibe la información de cuenta desde
los controladores de dominio.
La siguiente figura ilustra la asignación de usuarios y la asignación de grupos para una red a gran escala
en la que el cortafuegos usa un agente de User-ID basado en Windows. Consulte Planificación de una
implementación de User-ID a gran escala on page 506 para determinar si esta implementación se adapta
a su red.
Planificación de una implementación de User-ID a gran escala

Cuando decide si usar los servidores de catálogo global y de reenvío de logs de Windows para su
implementación de User-ID, consulte a su administrador de sistema para determinar:

El ancho de banda necesario para que los controladores reenvíen eventos de inicio de sesión a los
servidores miembros. El ancho de banda es un múltiplo de la tasa de inicio de sesión (número de inicios
de sesión por minuto) de los controladores de dominio y el tamaño de byte para cada evento de inicio de
sesión.
Los controladores de dominio no reenvían sus logs de seguridad completos; solo reenvían los eventos
que el proceso de asignación de usuarios necesitan por inicio de sesión: tres eventos para Windows
Server 2003 o cuatro eventos para Windows Server 2008/2012 y MS Exchange.
Si los siguientes elementos de red admiten el ancho de banda requerido:
• Controladores de dominio: deben admitir la carga de procesamiento asociada con el reenvío de los
eventos.
• Servidores miembros: deben admitir la carga de procesamiento asociada con la recepción de los
eventos.
• Conexiones: La distribución geográfica (local o remota) de los controladores de dominio, servidores
miembros y servidores del catálogo global es un factor. Por lo general, una distribución remota admite
menor ancho de banda.
Configuración de reenvío de logs de Windows

Para configurar el reenvío de logs de Windows necesitará privilegios administrativos para configurar
políticas de grupos en servidores de Windows. Configure el reenvío de logs de Windows en todos los
servidores miembros que recopilarán eventos de inicio de sesión desde controladores de dominios. A
continuación se incluye un resumen general de las tareas; consulte su documentación de Windows Server
para conocer los pasos específicos.
STEP 1 | En cada servidor miembro que vaya a recopilar eventos de seguridad, habilite la recopilación de
eventos, añada los controladores de dominio con orígenes de eventos y configure la consulta
de recopilación de eventos (suscripción). Los eventos que especifique en la suscripción varían
según la plataforma de controlador del dominio:
• Windows Server 2003: Los ID de evento para los eventos requeridos son 672 (vale de autenticación
concedido), 673 (vale de servicio concedido) y 674 (vale concedido renovado).
• Windows Server 2012: Los ID de evento para los eventos requeridos son 4768 (vale de autenticación
concedido), 4769 (vale de servicio concedido) y 4770 (vale concedido renovado).
Debe enviar eventos a la ubicación de los logs de seguridad en los servidores miembros,
no a la ubicación de logs reenviados predeterminados.
Para reenviar eventos lo más rápidamente posible, seleccione la opción Minimize

Latency (Minimizar latencia) al configurar la suscripción.
STEP 2 | Configure una política de grupo para permitir la gestión remota de Windows (WinRM,
Windows Remote Management) en los controladores de dominio.
STEP 3 | Configure una política de grupo para permitir el reenvío de eventos de Windows en los
controladores de dominio.
Configuración de User-ID para numerosas fuentes de información de

asignación
STEP 1 | Configure el reenvío de logs de Windows en los servidores miembros que recopilarán eventos
de inicio de sesión.

Configuración de reenvío de logs de Windows. Este paso requiere privilegios administrativos para
configurar políticas de grupos en servidores de Windows.
STEP 2 | Instale el agente de User-ID basado en Windows.

Instale el agente de User-ID basado en Windows en un servidor Windows que pueda acceder a los
servidores miembros. Asegúrese de que el sistema que alojará el agente de User-ID es un miembro del
mismo dominio que los servidores que supervisará.
STEP 3 | Configure el agente de User-ID de Windows para recopilar asignaciones de usuarios desde los
servidores miembros.
1. Inicie el agente de User-ID basado en Windows.
2. Seleccione User Identification (Identificación de usuarios) > Discovery (Detección) y realice los
siguientes pasos para cada servidor miembro que recibirá eventos de los controladores de dominio:
1. En la sección Servers, haga clic en Add (Añadir) e introduzca un nombre en Name para identificar
el servidor miembro.
2. En el campo Server Address (Dirección de servidor), introduzca el FQDN o dirección IP del
servidor miembro.
3. En Server Type (Tipo de servidor), seleccione Microsoft Active Directory.
4. Haga clic en OK (Aceptar) para guardar la entrada del servidor.
3. Realice el resto de la configuración del agente de User-ID: consulte la Configuración del agente de
User-ID basado en Windows para la asignación de usuarios.
STEP 4 | Configure un perfil de servidor LDAP para especificar cómo conecta el cortafuegos con los
servidores de catálogo global (hasta cuatro) para obtener información de asignación del grupo.
Para mejorar la disponibilidad, use al menos dos servidores de catálogo global para
asegurar la redundancia.
Puede recopilar información de asignación de grupos únicamente para grupos universales, no para
grupos de dominio local (subdominios).
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > LDAP, haga clic en Add
(Añadir) e introduzca un nombre para el perfil en Name (Nombre).
2. En la sección Servers, para cada catálogo global, haga clic en Add (Añadir) e introduzca en Name el
nombre del servidor, la dirección IP (LDAP Server) y el Port (Puerto). En el caso de una conexión
con texto sin formato o seguridad de capa de transporte de inicio (Start TLS), use el Port (Puerto)
3268. Para una conexión de LDAP por SSL, use el Port (Puerto) 3269. Si la conexión va a usar TLS de
inicio o LDAP en SSL, seleccione la casilla de verificación Require SSL/TLS secured connection (Exigir
conexión SSL/TLS segura).
3. En el campo Base DN, introduzca el nombre distintivo (DN) del punto en el servidor de catálogo
global en el que el cortafuegos comenzará a buscar información de asignación de grupo (por ejemplo,
DC=acbdomain,DC=com).
4. En Type (Tipo), seleccione active-directory.
5. Configure el resto de los campos según sea necesario: consulte Añada un perfil de servidor LDAP.
STEP 5 | Configure un perfil de servidor LDAP para especificar cómo conecta el cortafuegos con los
servidores (hasta cuatro) para obtener información de asignación de dominio.
User-ID utiliza esta información para asignar nombres de dominios DNS a los nombres de dominios de
NetBIOS. Esta asignación garantiza que las referencias a nombres de usuario/dominio sean coherentes
en las reglas de políticas.

Para mejorar la disponibilidad, use al menos dos servidores para asegurar la
redundancia.
Los pasos son idénticos que con el perfil de servidor LDAP que creó para los catálogos globales en el
paso 4, excepto para los siguientes campos:
• LDAP Server (Servidor LDAP): introduzca la dirección IP del controlador de dominio que contiene la
información de asignación de dominios.
• Port (Puerto): para una conexión de texto sin formato o TLS de inicio, use el Port (Puerto) 389.
Para una conexión de LDAP por SSL, use el Port (Puerto) 636. Si la conexión va a usar TLS de inicio
o LDAP en SSL, seleccione la casilla de verificación Require SSL/TLS secured connection (Exigir
conexión SSL/TLS segura).
• Base DN: seleccione el DN del punto en el controlador de dominio donde el cortafuegos
comenzará su búsqueda de información de asignación de dominio. El valor debe
empezar con la cadena: cn=partitions,cn=configuration (por ejemplo,
cn=partitions,cn=configuration,DC=acbdomain,DC=com).
STEP 6 | Cree una configuración de asignación de grupos para cada perfil de servidor de LDAP que haya
creado.
Settings (Configuración de asignación de grupos).
2. Haga clic en Add (Añadir) e introduzca un nombre en Name para identificar la configuración de
asignación de grupos.
3. Seleccione el Server Profile (Perfil de servidor) de LDAP y asegúrese de que la casilla de verificación
Enabled (Habilitada) esté seleccionada.
4. Configure el resto de campos como sea necesario; consulte Asignación de usuarios a grupos.
Si el catálogo global y los servidores de asignación de dominios hacen referencia a

más grupos de lo que exigen sus reglas de seguridad, configure la Group Include List
(Lista de inclusión de grupos) o la lista Custom Group (Grupo personalizado) para
limitar los grupos para los cuales User-ID realiza la asignación.
Redistribución de las asignaciones de usuario y autenticación de

las marcas de tiempo.
Cada cortafuegos que aplica políticas basadas en el usuario necesita información de asignación de usuarios.
En una red a gran escala, en lugar de configurar todos sus cortafuegos para consultar directamente
la asignación de fuentes de información, puede dinamizar el uso de recursos configurando algunos
cortafuegos para recoger la asignación de información a través de la redistribución. La redistribución
también permite que los cortafuegos apliquen políticas basadas en el usuario cuando los usuarios dependen
de las fuentes locales para la autenticación (por ejemplo, servicios de directorio regional), pero necesitan
acceso a servicios y aplicaciones remotos (por ejemplo, aplicaciones de centro de datos globales).
Puede redistribuir la información de asignación de usuario a través de cualquier método,

excepto agentes de servicios de terminal (Terminal Services, TS). No puede redistribuir la
asignación de grupos o información de coincidencias HIP.
Si utiliza Panorama y los recopiladores de logs dedicados para gestionar los cortafuegos y
los logs de cortafuegos agregados, puede utilizar Panorama para gestionar la redistribución
de User-ID. Aprovechar Panorama y su infraestructura de recopilación de logs distribuidos

es una solución más simple que crear conexiones adicionales entre cortafuegos para
redistribuir la información de User-ID.
Si realiza la Configuración de la política de autenticación, sus cortafuegos también deben redistribuir

las marcas de tiempo de autenticación que se generan cuando los usuarios se autentican para acceder
a las aplicaciones y los servicios. Los cortafuegos utilizan las marcas de tiempo para evaluar los tiempo
de espera para las reglas de la política de autenticación. El tiempo de espera permite al usuario que se
autentica correctamente solicitar servicios y aplicaciones posteriormente sin volver a autenticarse dentro
del período de tiempo de espera. La redistribución de las marcas de tiempo le permite aplicar tiempos de
espera uniformes en todos los cortafuegos de su red.
Los cortafuegos comparten asignaciones de usuario y marcas de tiempo de autenticación como parte
del mismo flujo de redistribución; no debe configurar la redistribución para cada tipo de información por
separado.
• Implementación de cortafuegos para la redistribución de User-ID
• Configuración de la redistribución de User-ID
Implementación de cortafuegos para la redistribución de User-ID

Para agregar información de User-ID, organice la secuencia de redistribución en capas, donde cada
capa tiene uno o más cortafuegos. En la capa inferior, los agentes de User-ID integrados a PAN-OS que
se ejecutan en cortafuegos y agentes de User-ID basados en Windows que se ejecutan en servidores
de Windows realizan la asignación de direcciones IP a nombres de usuario. Cada capa superior tiene
cortafuegos que reciben la información de asignación y marcas de tiempo de autenticación de hasta 100
puntos de redistribución en la capa inmediatamente inferior. Los cortafuegos de capas superiores agregan la
información de asignación y las marcas de tiempo de todas las capas. Esta implementación ofrece la opción
de configurar políticas para todos los usuarios en los cortafuegos de capa superior y políticas específicas
de la región o de la función para un subconjunto de usuarios en los dominios correspondientes en los
cortafuegos de capa inferior.
Figure 6: Redistribución de User-ID y marcas de tiempo on page 511 muestra una implementación con
tres capas de cortafuegos que redistribuyen la información de asignación y las marcas de tiempo desde
fuentes de información locales a oficinas regionales y luego a un centro de datos global. El cortafuegos del
centro de datos que agrega toda la información la comparte con otros cortafuegos del centro de datos, de
modo que todos puedan aplicar la política y generar informes para todos los usuarios en toda su red. Solo
los cortafuegos de la capa inferior utilizan agentes de User-ID para consultar a los servidores del directorio.
Las fuentes de información desde las cuales consultan los agentes User-ID no cuentan para el máximo
de diez saltos en la secuencia. Sin embargo, los agentes User-ID basados en Windows que reenvían
información de asignación a los cortafuegos sí cuentan. Por lo tanto, en este ejemplo, la redistribución desde
la región europea hasta todos los cortafuegos del centro de datos requiere solo tres saltos, mientras que
la redistribución desde la región de Norteamérica requiere cuatro saltos. También en este ejemplo, la capa
superior posee dos saltos: el primero para agregar la información en un cortafuegos del centro de datos y el
segundo para compartir la información con otros cortafuegos del centro de datos.

Figure 6: Redistribución de User-ID y marcas de tiempo
Configuración de la redistribución de User-ID

Antes de configurar la redistribución de User-ID:
Planifique la arquitectura de redistribución. Algunos factores que deben considerarse son los siguientes:
• ¿Qué cortafuegos aplicarán políticas para todos los usuarios y qué cortafuegos aplicarán políticas
específicas de la región o de la función para un subconjunto de usuarios?
• ¿Cuántos saltos requiere la secuencia de redistribución para agregar toda la información de User-ID?
La cantidad máxima de saltos permitidos es diez.
• ¿Cómo puede minimizar la cantidad de cortafuegos que consultan las fuentes de información de
asignación de usuarios? Mientras menor sea la cantidad de cortafuegos que consultan, menor será la
carga de procesamiento en los cortafuegos y las fuentes.
Configuración de la asignación de usuarios usando agentes de User-ID integrados en PAN-OS o agentes
de User-ID basados en Windows.
Configuración de la política de autenticación
Realice los siguientes pasos en el cortafuegos en la secuencia de redistribución de User-ID.

STEP 1 | Configure el cortafuegos para redistribuir la información de User-ID.
Omita este paso si el cortafuegos recibe, pero no redistribuye información de User-ID.
1. Seleccione Device (Dispositivo) > User Identification (Identificación de usuarios) > User Mapping
(Asignación de usuarios).
2. (Cortafuegos con sistemas virtuales múltiples únicamente) Seleccione la Location (Ubicación). Debe
configurar los ajustes de User-ID para cada sistema virtual.
Puede redistribuir la información entre sistemas virtuales en diferentes cortafuegos o

en el mismo cortafuego. En ambos casos, cada sistema virtual cuenta como un salto
en la secuencia de redistribución.
3. Edite la configuración del agente de User-ID de Palo Alto Networks y seleccione Redistribution
(Redistribución).
4. Introduzca el Collector Name (Nombre del recopilador) y la Pre-Shared Key (Clave precompartida)
para identificar este cortafuegos o sistema virtual como agente de User-ID.
STEP 2 | Configure la ruta de servicio que utiliza el cortafuegos para consultar a otros cortafuegos la
información de User-ID.
Omita este paso si el cortafuegos recibe información de asignación de usuarios de agentes de User-ID
basados en Windows o directamente de las fuentes de información (como los servidores de directorio)
en lugar de otros cortafuegos.
2. (Cortafuegos con sistemas virtuales múltiples únicamente) Seleccione Global (para una ruta de
servicio de todo el cortafuegos) o Virtual Systems (Sistemas virtuales) (para una ruta de servicio
específica del sistema virtual), y realice la Configuración de la ruta de servicio.
3. Haga clic en Service Route Configuration (Configuración de ruta de servicios), seleccione Customize
(Personalizar) y seleccione IPv4 o IPv6 según los protocolos de su red. Configure la ruta de servicio
para ambos protocolos si su red usa ambos.
4. Seleccione UID Agent (Agente UID) y luego seleccione la Source Interface (Interfaz de origen) y la
Source Address (Dirección de origen).
5. Haga clic en OK (Aceptar) dos veces para guardar la ruta de servicio.
STEP 3 | Permita que el cortafuegos responda cuando otros cortafuegos consulten la información de
User-ID.
Omita este paso si el cortafuegos recibe, pero no redistribuye información de User-ID.
Configure un perfil de gestión de interfaz con el servicio de User-ID habilitado y asigne el perfil a una
interfaz de cortafuegos.
STEP 4 | Compile y compruebe sus cambios.

1. Commit (Confirme) sus cambios para activarlos.
2. Acceda a la CLI de un cortafuegos para redistribuir la información de User-ID.
3. Muestre todas las asignaciones de usuarios ejecutando el siguiente comando:
> show user ip-user-mapping all

4. Registre la dirección IP asociada con cualquier nombre de usuario.
5. Acceda a la CLI de un cortafuegos que recibe información de User-ID redistribuida.
6. Muestre la información de asignación y la marca de tiempo de autenticación para la <ip_address>
que registró:

> show user ip-user-mapping <ip_address>
User: corpdomain\username1
From: UIA
Idle Timeout: 10229s
Max. TTL: 10229s
MFA Timestamp: first(1) - 2016/12/09 08:35:04
Group(s): corpdomain\groupname(621)
Este ejemplo de resultado muestra la marca de tiempo de autenticación para una

respuesta de un desafío (factor) de autenticación. En las reglas de la política de
autenticación que utilizan autenticación multifactor (MFA), el resultado muestra
múltiples marcas de tiempo de autenticación.

Prevención de amenazas
El cortafuegos de última generación de Palo Alto Networks protege y defiende su red ante
amenazas de productos y amenazas avanzadas persistentes (APT). Los mecanismos de
detección con varios elementos del cortafuegos incluyen un enfoque basado en firmas (IPS/
comando y control/antivirus), un enfoque basado en la heurística (detección de bots), un
enfoque basado en Sandbox (WildFire) y un enfoque basado en análisis con el protocolo de
capa 7 (App-ID).
Las amenazas de productos son explotaciones menos sofisticadas que se detectan y previenen
con mayor facilidad con una combinación de funciones de antivirus, antispyware y protección
contra vulnerabilidades, además de filtrado de URL e identificación de aplicaciones del
cortafuegos.
Las amenazas avanzadas son cometidas por cibercriminales organizados que utilizan vectores
de ataque sofisticados que tienen como objetivo su red, habitualmente para robar propiedad
intelectual y datos financieros. Estas amenazas son más evasivas y requieren mecanismos de
supervisión inteligentes para realizar una investigación detallada de host y de red en busca
de software malintencionado. El cortafuegos de última generación de Palo Alto Networks,
junto con WildFire™ y Panorama™, brinda una solución completa que intercepta y detiene
la cadena de ataque, y ofrece visibilidad para evitar un incumplimiento de la seguridad en su
infraestructura de red, tanto móvil como virtualizada.
> Configuración de antivirus, antispyware y protección frente a vulnerabilidades

> Creación de excepciones de amenazas
> Configuración de filtrado de datos
> Configuración de bloqueo de archivos
> Prevención de ataques de fuerza bruta
> Personalización de la acción y las condiciones de activación para una firma de fuerza bruta
> Prácticas recomendadas para proteger su red ante evasiones de capa 4 y capa 7
> Habilitación de las firmas de evasión
> Practicas recomendadas para las actualizaciones de aplicaciones y contenido de amenazas
> Prevención de phishing de credenciales
> Uso compartido de inteligencia de amenazas con Palo Alto Networks
> Uso de consultas de DNS para identificar hosts infectados en la red
> Supervisar direcciones IP bloqueadas
> Obtenga más información y evalúe las amenazas
> Infraestructura de red de entrega de contenido para actualizaciones dinámicas
> Recursos de prevención de amenazas
515
516 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Prevención de amenazas
Configuración de antivirus, antispyware y
protección frente a vulnerabilidades
Todos los cortafuegos de próxima generación de Palo Alto Networks incluyen perfiles predefinidos
de antivirus, antispyware y protección de vulnerabilidades que puede incluir en las reglas de políticas
de seguridad. Incluye un perfil de antivirus predefinido, default (predeterminado), que usa la acción
predeterminada para cada protocolo (bloquear tráfico HTTP, FTP y SMB y alerta de tráfico SMTP, IMAP y
POP3). Hay dos perfiles predefinidos de antispyware y protección contra vulnerabilidades:
• default (predeterminado): aplica la acción predeterminada a todo el spyware y eventos de protección
de vulnerabilidades de gravedad crítica, alta y media de cliente y servidor. No detecta los niveles bajo e
informativo.
• strict (estricto): aplica la respuesta de bloqueo a todo el spyware y eventos de protección de
vulnerabilidades de gravedad crítica, alta y media de cliente y servidor y usa la acción predeterminada
para los eventos bajos e informativos.
Para garantizar que el tráfico que entra en su red está libre de amenazas, incluya los perfiles predefinidos en
sus políticas básicas de acceso web. Al supervisar el tráfico en su red y ampliar su base de reglas de políticas,
puede diseñar perfiles más granulares para hacer frente a sus necesidades de seguridad específicas.
Use el siguiente flujo de trabajo para configurar los perfiles de seguridad de antivirus, antispyware y
protección de vulnerabilidades.
Palo Alto Networks define una acción predeterminada para todas las firmas antispyware
y de protección de vulnerabilidades. Para ver la acción predeterminada, seleccione
Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware u Objects
(Objetos) > Security Profiles (Perfiles de seguridad) > Vulnerability Protection (Protección
de vulnerabilidades) y luego seleccione un perfil. Haga clic en la pestaña Exceptions
(Excepciones) y después en Show all signatures (Mostrar todas las firmas) para ver la lista
de todas las firmas y la Action (Acción) predeterminada correspondiente. Para cambiar la
acción predeterminada, debe crear un nuevo perfil y, a continuación, especificar una Action
(Acción) y/o añadir excepciones de firma individuales a las Exceptions (Excepciones) en el
perfil.
STEP 1 | Compruebe que tiene una suscripción de prevención de amenazas.

La suscripción de prevención de amenazas reúne en una licencia las funciones de antivirus, antispyware
y protección contra vulnerabilidades. Para comprobar si posee una suscripción activa de prevención de
amenazas, seleccione Device (Dispositivo) > Licenses (Licencias) y verifique que la fecha de caducidad
de Threat Prevention (Prevención de amenazas) sea futura.
STEP 2 | Descargue la última actualización de contenido.

1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y haga clic en Check
Now (Comprobar ahora) en la parte inferior de la página para recuperar las firmas más recientes.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Prevención de amenazas 517

2. En la columna Actions (Acciones), haga clic en Download (Descargar) e instale las actualizaciones
de antivirus más recientes y luego descargue y seleccione Install (Instalar) para instalar las
actualizaciones más recientes de aplicaciones y protección contra amenazas.
STEP 3 | Programe actualizaciones de contenido.
Como práctica recomendada, programe el cortafuegos para que descargue e instale

actualizaciones de antivirus todos los días, y actualizaciones de aplicaciones y
prevención de amenazas semanalmente.
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y luego haga clic en
Schedule (Programar) para recuperar automáticamente las actualizaciones de firmas de antivirus y
aplicaciones y amenazas.
2. Especifique la frecuencia y momento de las actualizaciones:
• download-only (solo descarga): el cortafuegos descarga automáticamente las actualizaciones más
recientes según el cronograma que usted defina, pero debe instalarlas manualmente.
• download-and-install (descargar e instalar): el cortafuegos descarga e instala automáticamente las
actualizaciones según el cronograma que usted defina.
3. Haga clic en OK (Aceptar) para guardar el cronograma actualizado, no se necesita confirmar.
4. (Opcional) Defina un Threshold (Umbral) para indicar una cantidad mínima de horas transcurridas
desde que una actualización está disponible para que el cortafuegos la descargue. Por ejemplo,
configurar el Threshold (Umbral) en 10 significa que el cortafuegos no descargará una actualización
hasta que tenga al menos 10 horas, independientemente del cronograma.
5. (HA únicamente) Decida si elegirá la opción Sync To Peer (Sincronizar con el peer), que permite que
el peer sincronice las actualizaciones de contenido después de descargar e instalar (el cronograma
de actualización no sincroniza entre los peers; usted debe configurar manualmente el cronograma en
ambos peers).
Existen consideraciones adicionales para decidir si usará la opción Sync To Peer (Sincronizar con el
peer) y cómo, según su implementación HA:
• HA activo/pasivo: si los cortafuegos utilizan el puerto MGT para las actualizaciones de contenido,
programe ambos cortafuegos para que descarguen e instalen las actualizaciones de forma
independiente. Sin embargo, si los cortafuegos utilizan un puerto de datos para las actualizaciones
de contenido, el cortafuegos pasivo no descargará ni instalará actualizaciones, a menos y hasta
que esté activo. Para mantener los cronogramas sincronizados en ambos cortafuegos al usar un
puerto de datos para las actualizaciones, programa actualizaciones en ambos cortafuegos y luego
habilite Sync To Peer (Sincronizar con el peer) para que, sea cual fuera el cortafuegos activo, este
descargue e instale las actualizaciones, y también las envíe al cortafuegos pasivo.
• HA activo/activo: si los cortafuegos utilizan la interfaz MGT para las actualizaciones de contenido,
seleccione download-and-install (descargar a instalar) en ambos cortafuegos, pero no habilite
Sync To Peer (Sincronizar con el peer). Sin embargo, si los cortafuegos usan un puerto de datos,
seleccione download-and-install (descargar e instalar) en ambos cortafuegos y habilite Sync To
Peer (Sincronizar con el peer) para que si un cortafuegos asume un estado activo-secundario, el
cortafugos activo-primario descargue e instale las actualizaciones y las envíe al cortafuegos activo-
secundario.
STEP 4 | (Opcional) Cree perfiles de seguridad personalizados para antivirus, antispyware y protección de
vulnerabilidades.
O bien, puede usar los perfiles estricto o predeterminado predefinido.
Cree perfiles de seguridad recomendados para lograr la mejor posición de seguridad.

• Para crear perfiles antivirus personalizados, seleccione Objects (Objetos) > Security Profiles (Perfiles
de seguridad) > Antivirus y Add (Añadir) para añadir un nuevo perfil.
• Para crear perfiles antivirus personalizados, seleccione Objects (Objetos) > Security Profiles (Perfiles
de seguridad) > Antivirus y Add (Añadir) para añadir un nuevo perfil.
• Para crear perfiles de protección de vulnerabilidades personalizados, seleccione Objects (Objetos) >
Security Profiles (Perfiles de seguridad) > Vulnerability Protection (Protección de vulnerabilidades) y
Add (Añadir) para añadir un nuevo perfil.
STEP 5 | Adjunte perfiles de seguridad a sus reglas de política de seguridad.
Cuando configura el cortafuegos con una regla de política de seguridad que utiliza un
perfil de protección de vulnerabilidades para bloquear las conexiones, el cortafuegos
automáticamente bloquea el tráfico en el hardware (consulte Supervisión de direcciones
IP bloqueadas).
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la regla que desea modificar.
2. En la pestaña Actions (Acciones), seleccione Profiles (Perfiles) como el Profile Type (Tipo de perfil).
3. Seleccione los perfiles de seguridad que creó para Antivirus, Anti-Spyware y Vulnerability Protection
(Protección de vulnerabilidades).
STEP 6 | Confirme los cambios.


Creación de excepciones de amenazas
Palo Alto Networks define una acción predeterminada recomendada (como un bloqueo o una alerta) para
las firmas de amenazas. Puede utilizar una ID de amenaza para excluir una firma de amenaza de la aplicación
o modificar la acción que aplica el cortafuegos para esa firma de amenaza. Por ejemplo, puede modificar la
acción para las firmas de amenazas que causan falsos positivos en su red.
Configure las excepciones de las amenazas para antivirus, vulnerabilidad, spyware y firmas de DNS para
cambiar la aplicación del cortafuegos para una amenaza. Sin embargo, antes de comenzar, asegúrese de que
el cortafuegos detecte y aplique acciones ante amenazas en función de la configuración predeterminada de
las firmas:
• Obtenga las actualizaciones más recientes de amenazas de antivirus, amenazas y aplicaciones, y firmas
de WildFire.
• Establezca antivirus, antispyware y protección frente a vulnerabilidades y aplique estos perfiles de
seguridad a su política de seguridad.
STEP 1 | Excluya las firmas del antivirus de la aplicación de acciones.
A pesar de que puede utilizar un perfil de antivirus para excluir firmas de antivirus, no
puede cambiar la acción que aplica el cortafuegos a una firma de antivirus determinada.
Sin embargo, puede definir la acción que el cortafuegos aplicará a los virus que
encuentre en diferentes tipos de tráfico editando los decodificadores (Objects [Objetos] >
Security Profiles [Perfiles de seguridad] > Antivirus > <antivirus-profile> > Antivirus).
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Antivirus.
2. Haga clic en Add (Añadir) para añadir un nuevo perfil de antivirus o modifique uno existente en el que
desea excluir una firma de amenazas, y seleccione Virus Exception (Excepción de virus).
3. Haga clic en Add (Añadir) para añadir la Threat ID (ID de amenazas) de la firma de amenazas que
desea excluir de la aplicación de acciones del cortafuegos.
4. Haga clic en OK (Aceptar) para guardar el perfil de antivirus.
STEP 2 | Modifique la aplicación de acciones para las vulnerabilidades y las firmas de spyware (excepto
las firmas de DNS; pase a la próxima opción para modificar la aplicación de acciones para las
firmas de DNS, que son un tipo de firma de spyware).
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware
(Antispyware) u Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Vulnerability
Protection (Protección frente a vulnerabilidades).

2. Haga clic en Add (Añadir) para añadir un nuevo perfil de antispyware o protección frente a
vulnerabilidades, o modifique uno existente en el que desea excluir una firma de amenazas, y
seleccione Exceptions (Excepciones).
3. Haga clic en Show all signatures (Mostrar todas las firmas) y realice el filtro para seleccionar la firma
en la que desea modificar las reglas de aplicación.
4. Seleccione la Action (Acción) que desea que aplique el cortafuegos en esta firma de amenaza.
En el caso de las firmas que desea excluir de la aplicación de acciones debido a que provocan falsos
positivos, configure Allow (Permitir) como Action (Acción).
5. Haga clic en OK (Aceptar) para guardar su perfil nuevo o modificado antispyware o de protección
frente a vulnerabilidades.
STEP 3 | Modifique la aplicación para las firmas de DNS.

De manera predeterminada, el DNS busca los nombres de host maliciosos que las firmas de DNS
detectan y envían a un sinkhole.
(Antispyware).
2. Haga clic en Add (Añadir) para añadir un nuevo perfil de antispyware o modifique uno existente en el
que desea excluir una firma de amenazas, y seleccione DNS Signatures (Firmas de DNS).
3. Haga clic en Add (Añadir) para añadir la Threat ID (ID de amenazas) de la firma de DNS que desea
excluir de la aplicación de acciones del cortafuegos:
4. Haga clic en OK (Aceptar) para guardar el perfil de antispyware modificado o uno nuevo.

Configuración de filtrado de datos
Use los perfiles de filtrado de datos para prevenir que información delicada, confidencial y exclusiva
salga de su red. Primero, cree un patrón de datos para definir los tipos de información que desea que el
cortafuegos filtre. Los patrones predefinidos y los ajustes integrados le facilitan la creación de patrones
personalizados para el filtrado referido a números de seguro social y tarjetas de crédito, o a la titularidad
de archivos, tales como título o autoría de documentos. Continúe añadiendo uno o más patrones de datos
a un perfil de filtrado de datos y luego adjunte el perfil a una regla de política de seguridad para habilitar el
filtrado de datos.
Si utiliza una solución de prevención de pérdida de datos (data loss prevention, DLP) de endpoint de
terceros que completa las propiedades de archivo a fin de indicar contenido delicado, el filtrado de datos
permite que el cortafuegos aplique su política DLP. Para permitir estos datos confidenciales, cree un patrón
de datos personalizado para identificar las propiedades de archivo y valores etiquetados por su solución
DLP, y luego registre o bloquee los archivos que su perfil de filtrado de datos detecte en función de dicho
patrón.
STEP 1 | Defina un nuevo objeto de patrón de datos para detectar la información que desea filtrar.
1. Seleccione Objects (Objetos) > Custom Objects (Objetos personalizados) > Data Patterns (Patrones
de datos) y luego Add (Añadir) para añadir un nuevo objeto.
2. Proporcione un nombre descriptivo para el nuevo objeto en Name (Nombre).
3. (Opcional) Seleccione Shared (Compartido) si desea que el patrón de datos esté disponible para lo
siguiente:
• Every virtual system (vsys) on a multi-vsys firewall (Cada sistema virtual [vsys] en un cortafuegos
de varios vsys): si no está marcada (deshabilitada), el patrón de datos está disponible solo para el
sistema virtual seleccionado en la pestaña Objects (Objetos).
• Every device group on Panorama (Cada grupo de dispositivos en Panorama): si no está marcada
(deshabilitada), el patrón de datos está disponible solo para el grupo de dispositivos seleccionado
en la pestaña Objects (Objetos).
4. (Opcional, Panorama únicamente) Seleccione Disable override (Deshabilitar cancelación) para
evitar que los administradores cancelen la configuración de este objeto de patrón de datos en los
grupos de dispositivos que lo heredan. Esta opción no está seleccionada de manera predeterminada,
lo que significa que los administradores pueden sobrescribir la configuración de cualquier grupo de
dispositivos que hereda el objeto.
5. (Opconal: Panorama únicamente) Seleccione Data Capture (Captura de datos) para recopilar
automáticamente los datos bloqueados por el filtro.
Especifique una contraseña para Manage Data Protection (Gestionar protección

de datos) en la página Settings (Configuración) para ver sus datos capturados
(Device [Dispositivo] > Setup [Configuración] > Content-ID > Manage Data Protection
[Gestionar protección de datos]).
6. Configure el Pattern Type (Tipo de patrón) con una de las siguientes opciones:
• Predefined (Predefinido): filtre los números de tarjeta de crédito y seguro socia.
• Regular Expression (Expresión regular): filtre patrones de datos personalizados.
• File Properties (Propiedades de archivo): filtre según propiedades de archivo y los valores
asociados.
7. Seleccione Add (Añadir) para añadir una nueva regla al objeto de patrón de datos.
8. Especifique el patrón de datos según el Pattern Type (Tipo de patrón) que seleccionó para este
objeto:

• Predefined (Predefinido): seleccione el Name (Nombre): ya sea Credit Card Numbers (Números
de tarjeta de crédito) o Social Security Numbers (Números de seguro social) (con o sin guiones de
separación).
• Regular Expression (Expresión regular): especifique un Name (Nombre) descriptivo, seleccione el
File Type (Tipo de archivo) (uno o varios) que desea analizar y luego el Data Pattern (Patrón de
datos) específico que desea que el cortafuegos detecte.
• File Properties (Propiedades de archivo): especifique un Name (Nombre) descriptivo, seleccione el
File Type (Tipo de archivo) y la File Property (Propiedad de archivo) que desea analizar, e ingrese
el Property Value (Valor de propiedad) específico que desea que el cortafuegos detecte.
9. Haga clic en OK (Aceptar) para guardar el patrón de datos.
STEP 2 | Añada el objeto del patrón de datos a un perfil de filtrado de datos.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Data Filtering (Filtrado de
datos) y Add (Añadir) para añadir o modificar un perfil de filtrado de datos.
2. Seleccione Add (Añadir) para añadir una nueva regla de perfil y seleccione el patrón de datos que
creó en el paso 1.
3. Especifique las Applications (Aplicaciones), File Types (Tipos de archivo) y qué Direction (Dirección)
de tráfico (carga o descarga) desea filtrar según el patrón de datos.
El tipo de archivo que seleccione debe ser el mismo tipo de archivo que definió para
el patrón de datos en el paso 1 o debe ser un tipo de archivo que incluya el tipo de
archivo del patrón de datos. Por ejemplo, podría definir el objeto de patrón de datos
y el perfil de filtrado de datos para analizar todos los documentos de Microsoft Office.
O bien, podría definir el objeto de patrón de datos para que coincida solamente con
las presentaciones de PowerPoint de Microsoft, mientras el perfil de filtrado de datos
analiza todos los documentos de Microsoft Office.
Si un objeto de patrón de datos se adjunta a un perfil de filtrado de datos y los tipos de archivo
configurados no se alinean entre los dos, el perfil no filtrará correctamente los documentos que
coincidan con el objeto de patrón de datos.
4. Configure el Alert Threshold (Umbral de alerta) para especificar las veces que el patrón de datos
debe detectarse en un archivo para que se active una alerta.
5. Configure el Block Threshold (Umbral de bloqueo) para bloquear los archivos que contengan al
menos esta cantidad de instancias del patrón de datos.
6. Configure la Log Severity (Gravedad de log) registrada para los archivos que coinciden con esta regla.
7. Haga clic en OK (Aceptar) para guardar el perfil de filtrado de datos.
STEP 3 | Aplique el ajuste del filtrado de datos al tráfico.

1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) o modifique una regla de política
de seguridad.
2. Seleccione Actions (Acciones) y defina Profile Type (Tipo de perfil) en Profiles (Perfiles).
3. Adjunte el perfil de filtrado de datos que creó en el paso 2 a la regla de política de seguridad.
STEP 4 | (Recomendado) Evite que los exploradores web reanuden sesiones que el cortafuegos ha
finalizado.
Esta opción garantiza que, cuando el cortafuegos detecte y luego descarte un archivo
delicado, el explorador web no pueda reanudar la sesión en un intento por recuperar el
archivo.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content-ID y edite la configuración de
Content-ID.
2. Desmarque la opción Allow HTTP header range option (Permitir opción de rango de encabezado
HTTP).
STEP 5 | Supervise los archivos que el cortafuegos está filtrando.

Seleccione Monitor (Supervisar) > Data Filtering (Filtrado de datos) para visualizar los archivos que el
cortafuegos ha detectado y bloqueado según sus ajustes de filtrado de datos.

Configuración de bloqueo de archivos
Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos específicos que desee bloquear
o supervisar. Para la mayor parte del tráfico (incluido el tráfico en su red interna), debería bloquear los
archivos que son conocidos por transportar amenazas o que no tienen un caso de uso real para carga/
descarga. Actualmente, estos incluyen archivos por lotes, DLL, archivos de clase Java, archivos de ayuda,
accesos directos de Windows (.lnk), y archivos BitTorrent. Además, para brindar protección contra ataques
mediante descargas ocultas, permita la carga/descarga de ejecutables y archivos comprimidos (.zip y .rar),
pero obligue a los usuarios a reconocer que están transfiriendo un archivo para que puedan advertir que
el navegador está intentando descargar algo que no sabían. Para las reglas de política que permiten la
navegación web general, sea más estricto con el bloqueo de archivos, ya que el riesgo de que los usuarios
descarguen accidentalmente archivos malintencionados es mucho más alto. Para este tipo de tráfico,
debería adjuntar un perfil de bloqueo de archivos más estricto que también bloquee los archivos portables
ejecutables (PE).
Puede definir sus propios perfiles de bloqueo de archivo, o bien elegir uno de los siguientes perfiles
predefinidos al aplicar bloqueo de archivos a una regla de política de seguridad: Los perfiles predefinidos,
que están disponibles con la versión de actualización de contenido 653 y posteriores, le permiten habilitar
rápidamente los ajustes recomendados de bloqueo de archivos:
• basic file blocking (bloqueo de archivo básico): adjunte este perfil para las reglas de política de seguridad
que permiten el tráfico hacia y desde las aplicaciones menos sensibles para bloquear archivos que
habitualmente se incluyen en campañas de ataques de malware o que no tienen un caso de uso real para
la carga/descarga. Este perfil bloquea la carga y descarga de archivos PE ( .scr, .cpl, .dll, .ocx, .pif, .exe),
archivos Java (.class, .jar), archivos de ayuda (.chm, .hlp) y otros archivos posiblemente malintencionados,
incluidos .vbe, .hta, .wsf, .torrent, .7z, .rar, .bat. Además, solicita a los usuarios una confirmación al
intentar descargar archivos rar o zip cifrados. Esta regla alerta sobre todos los otros tipos de archivo, a
fin de brindarle visibilidad completa de todos los tipos de archivo que entran a la red y que salen de ella.
• strict file blocking (bloqueo de archivo estricto): use este perfil más estricto en las reglas de política de
seguridad que permiten el acceso a sus aplicaciones más delicadas. Este perfil bloquea los mismos tipos
de archivo que el otro perfil, y además bloquea archiso flash, .tar, codificación multinivel, .cab, .msi, y
archivos rar y zip cifrados.
Estos perfiles predefinidos están diseñados para brindar la posición más segura para su red. Sin embargo, si
tiene aplicaciones de misión crítica que dependen de algunas de las aplicaciones que están bloqueadas en
estos perfiles predeterminados, puede clonar los perfiles y modificarlos según fuera necesario. Asegúrese de
usar solo los perfiles modificados para aquellos usuarios que necesiten cargar o descargar un tipo de archivo
peligroso. Además, para reducir la superficie de ataque, asegúrese de usar otras medidas de seguridad para
garantizar que los archivos que sus usuarios están cargando y descargando no supongan una amenaza para
su organización. Por ejemplo, si debe permitir la descarga de archivos PE, asegúrese de enviar todos los
archivos PE desconocidos a WildFire para su análisis. Además, mantenga una política de filtrado de URL
estricta para garantizar que los usuarios no puedan descargar contenido de sitios web conocidos por alojar
contenido malintencionado.
STEP 1 | Cree el perfil de bloqueo de archivos.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > File Blocking (Bloqueo de
archivos) y Add (Añadir) para añadir un perfil.
2. En Name (Nombre), ingrese un nombre para el perfil de bloqueo de archivos, por ejemplo,
Block_EXE.
3. (Opcional) Ingrese una descripción en Description, como Bloquear la descarga de
archivos exe desde sitios web por parte de usuarios.

4. (Opcional) Especifique que el perfil sea Shared (Compartido) con:
de varios vsys): si no está marcada (deshabilitada), el perfil está disponible solo para el sistema
virtual seleccionado en la pestaña Objects (Objetos).
(deshabilitada), el perfil está disponible solo para el grupo de dispositivos seleccionado en la
evitar que los administradores cancelen la configuración de este perfil de bloqueo de archivos en los
grupos de dispositivos que lo heredan. Esta opción no está seleccionada de manera predeterminada,
lo que significa que los administradores pueden cancelar la configuración de cualquier grupo de
dispositivos que hereda el perfil.
STEP 2 | Configure las opciones de bloqueo de archivos.

1. Haga clic en Add (Añadir) y defina una regla para el perfil.
2. En Name, ingrese un nombre para la regla; por ejemplo, BlockEXE.
3. Seleccione Any (Cualquiera) o especifique una o más Applications (Aplicaciones) para filtrar, tal como
web-browsing (navegación web).
Solo los exploradores web pueden mostrar la página de respuesta (mensaje para
continuar) que permite a los usuarios confirmar que su elección de otra aplicación
derive en tráfico bloqueado para esas aplicaciones, debido a que no se muestra un
mensaje a los usuarios que les permita continuar.
4. Seleccione Any (Cualquiera) o especifique uno o más File Types (Tipos de archivo), tal como exe.
5. Especifique la Direction (Dirección), tal como download (descarga).
6. Especifique la Action (Acción) (alert [alertar], block [bloquear] o continue [continuar]). Por ejemplo,
seleccione continue (continuar) a fin de solicitar una confirmación a los usuarios para permitirles
descargar un archivo ejecutable (.exe). O bien, puede elegir block (bloquear) para bloquear archivos
especificados o puede configurar el cortafuegos para que active un alert (alerta) cuando un usuario
descargue un archivo ejecutable.
STEP 3 | Aplique el perfil de bloqueo de archivos a una política de seguridad.

1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla de política existente
o seleccione Add (Añadir) para crear una nueva regla según se describe en Configuración de una
política de seguridad básica.
2. En la pestaña Actions (Acciones), seleccione el perfil de bloqueo de archivo en el paso anterior. En
este ejemplo, el nombre de perfil es Block_EXE.
3. Seleccione Commit (Confirmar) para confirmar la configuración.
STEP 4 | Para comprobar su configuración de bloqueo de archivos, acceda a un ordenador de endpoint

en la zona fiable del cortafuegos y trate de descargar un archivo ejecutable desde un sitio
web en la zona no fiable. Debería aparecer una página de respuesta. Haga clic en Continue
(Continuar) para confirmar que puede descargar el archivo. También puede establecer otras
acciones, como alert (alertar) o block (bloquear), que no proporcionarán al usuario una
página que le pregunte si desea continuar. A continuación se muestra la página de respuesta
predeterminada de File Blocking (Bloqueo de archivos):

STEP 5 | (Opcional) Defina páginas de respuesta de bloqueo de archivos personalizadas (Device
[Dispositivo] > Response Pages [Páginas de respuesta]). Esto le permite ofrecer más
información a los usuarios cuando ven una página de respuesta. Puede incluir información
como la información de políticas de empresa e información de contacto de un departamento de
soporte técnico.
Cuando crea un perfil de bloqueo de archivos con la acción continue (continuar),

únicamente puede elegir la aplicación de web-browsing (navegación web). Si elige
cualquier otra aplicación, el tráfico que coincida con la política de seguridad no fluirá
hacia el cortafuegos debido a que los usuarios no tendrán una opción de continuar.
Además, deberá configurar y habilitar una política de descifrado para los sitios web
HTTPS.
Compruebe sus logs para determinar la aplicación utilizada para comprobar esta función.
Por ejemplo, si está usando Microsoft Sharepoint para descargar archivos, incluso
aunque esté usando un navegador web para acceder al sitio, la aplicación en realidad es
sharepoint-base o sharepoint-document. (Puede resultar útil configurar el tipo de
aplicación como Any [Cualquiera] para la comprobación).

Prevención de ataques de fuerza bruta
Un ataque de fuerza bruta utiliza un gran volumen de solicitudes/respuestas de la misma dirección IP de
origen o destino para introducirse en un sistema. El atacante emplea un método de ensayo y error para
adivinar la respuesta a un reto o una solicitud.
El perfil de protección contra vulnerabilidades del cortafuegos incluye firmas para protegerle de ataques
de fuerza bruta. Cada firma tiene un ID, nombre de amenaza y gravedad, y se activa cuando se registra
un patrón. El patrón especifica las condiciones y el intervalo en los que el tráfico se identifica como un
ataque de fuerza bruta; algunas firmas están asociadas a otra firma secundaria de una gravedad menor que
especifica el patrón con el que debe coincidir. Cuando un patrón coincide con la firma o la firma secundaria,
activa la acción predeterminada de la firma.
Para aplicar la protección:
• Adjunte el perfil de protección frente a vulnerabilidades a una regla de la política de seguridad. Consulte
Configuración de antivirus, antispyware y protección frente a vulnerabilidades.
• Instale actualizaciones de contenido que incluyan nuevas firmas para proteger ante amenazas
emergentes. Consulte Instalación de las actualizaciones de contenido y software.

Personalización de la acción y las condiciones
de activación para una firma de fuerza bruta
El cortafuegos incluye dos tipos de firmas de fuerza bruta predefinidas: firma principal y firma secundaria.
Una firma secundaria es una única incidencia de un patrón de tráfico que coincide con la firma. Una firma
principal está asociada a una firma secundaria y se activa cuando se producen varios eventos dentro de un
intervalo de tiempo, que coinciden con el patrón de tráfico definido en la firma secundaria.
Por lo general, una firma secundaria tiene de manera predeterminada la acción permitir, porque un único
evento no es indicativo de un ataque. Esto garantiza que el tráfico legítimo no se bloquee y evita generar
logs de amenaza para los eventos que no merecen atención. Palo Alto Networks le recomienda que no
cambie la acción predeterminada sin antes considerarlo detenidamente.
En la mayoría de los casos, la firma de fuerza bruta es un evento destacado debido a su patrón recurrente. Si
fuera necesario, puede realizar una de las siguientes opciones para personalizar la acción para una firma de
fuerza bruta:
• Cree una regla para modificar la acción predeterminada para todas las firmas de la categoría de fuerza
bruta. Puede optar por permitir, alertar, bloquear, restablecer o descartar el tráfico.
• Defina una excepción para una firma específica. Por ejemplo, puede buscar y definir una excepción para
CVE.
Para una firma principal, puede modificar tanto las condiciones de activación como la acción; para una firma
secundaria, solamente puede modificar la acción.
Para mitigar un ataque de manera eficaz, especifique la acción Bloquear dirección IP en

lugar de la acción Eliminar o Restablecer para la mayoría de firmas de fuerza bruta.
STEP 1 | Cree un nuevo perfil de protección contra vulnerabilidades.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Vulnerability Protection
(Protección frente a vulnerabilidades) y Add (Añadir) para añadir un perfil.
2. Especifique un nombre en Name para el perfil de protección frente a vulnerabilidades.
4. (Opcional) Especifique que el perfil sea Shared (Compartido) con:
de varios vsys): si no está marcada (deshabilitada), el perfil está disponible solo para el sistema
virtual seleccionado en la pestaña Objects (Objetos).
(deshabilitada), el perfil está disponible solo para el grupo de dispositivos seleccionado en la
evitar que los administradores cancelen la configuración de este perfil de protección frente a
vulnerabilidades en los grupos de dispositivos que lo heredan. Esta opción no está seleccionada de
manera predeterminada, lo que significa que los administradores pueden cancelar la configuración de
cualquier grupo de dispositivos que hereda el perfil.
STEP 2 | Cree una regla que defina la acción para todas las firmas de una categoría.
1. En la pestaña Rules (Reglas), seleccione Add (Añadir) e ingrese un Rule Name (Nombre de regla) para
una nueva regla.

2. (Opcional) Especifique un nombre de amenaza específico (el valor predeterminado es any
[cualquiera]).
3. Establezca la Action (Acción). En este ejemplo, está establecida como Block IP (Bloquear IP).
Si configura un perfil de protección frente a vulnerabilidades para bloquear IP, el

cortafuegos primero utiliza hardware para bloquear las direcciones IP. Si el tráfico
de ataques excede la capacidad de bloqueo del hardware, el cortafuegos utiliza
mecanismos de bloqueo de software para bloquear las direcciones IP restantes.
4. Establezca la Category (Categoría) como brute-force (fuerza bruta).
5. (Opcional) Si bloquea, especifique el Host Type (Tipo de host) en el cual desea bloquear: server
(servidor) o client (cliente) (el valor predeterminado es any [cualquiera]).
6. Consulte el paso 3 para personalizar la acción para una firma específica.
7. Consulte el paso 4 para personalizar el umbral de activación para una firma principal.
8. Haga clic en OK (Aceptar) para guardar la regla y el perfil.
STEP 3 | (Opcional) Personalice la acción para una firma específica.

1. En la pestaña Exceptions (Excepciones), seleccione Show all signatures (Mostrar todas las firmas)
para buscar la firma que desee modificar.
Para ver todas las firmas de la categoría de fuerza bruta, busque por category contains
'brute-force'.
2. Para editar una firma específica, haga clic en la acción predeterminada predefinida en la columna
Acción.
3. Defina la acción. Allow (Permitir), Alert (Alertar), Block Ip (Bloquear IP) o Drop (Descartar). Si
selecciona Block Ip (Bloquear IP), realice estas tareas adicionales:

1. Especifique el Time (Tiempo) (en segundos) después del cual activar la acción.
2. Especifique Track By (Rastrear por) y bloquee la dirección IP usando IP source (Origen de IP) o IP
source and destination (Origen y destino de IP).
5. Para cada firma modificada, seleccione la casilla de verificación de la columna Enable (Habilitar).
STEP 4 | Personalice las condiciones de activación para una firma principal.

Una firma principal que pueda editarse se marcará con este icono: request restart system.
En este ejemplo, los criterios de búsqueda fueron la categoría brute force y CVE-2008-1447.
1. Modifique ( ) el atributo de tiempo y los criterios de agregación para la firma.
2. Para modificar el umbral de activación, especifique el Number of Hits (Número de resultados) por
cantidad de seconds (segundos).
3. Especifique si agregar el número de resultados (Aggregation Criteria [Criterios de agregación]) por
source (origen), destination (destino) u source-and-destination (origen y destino).
STEP 5 | Añada este nuevo perfil a una regla de política de seguridad.

de seguridad.
2. En la pestaña Actions (Acciones), seleccione Profiles (Perfiles) como el Profile Type (Tipo de perfil)
para el Profile Setting (Ajuste de perfil).
3. Seleccione su perfil de Vulnerability Protection (Protección frente a vulnerabilidades).


Prácticas recomendadas para proteger su red
ante evasiones de capa 4 y capa 7
Para supervisar y proteger su red de la mayoría de ataques de capa 4 y capa 7, aquí tiene un par de
recomendaciones.
Actualice a la última versión del software PAN-OS y la última versión de publicación de contenido para
asegurarse de que tiene las últimas actualizaciones de seguridad. Consulte Instalación de actualizaciones
de contenido y software.
Configure el cortafuegos para que actúe como proxy DNS y habilite las firmas de evasión.
• Configure un objeto proxy DNS.
Cuando actúa como proxy DNS, el cortafuegos resuelve las solicitudes DNS y almacena en caché las
asignaciones de nombre de host y direcciones IP para resolver de manera rápida y eficiente futuras
consultas DNS.
• Habilitación de firmas de evasión
Las firmas de evasión que detectan solicitudes HTTP o TLS elaboradas pueden enviar alertas cuando
los clientes se conectan a un domino que no sea el dominio especificado en la solicitud DNS original.
Asegúrese de configurar el proxy DNS antes de habilitar las firmas de evasión. Sin el proxy DNS, las
firmas de evasión pueden activar alertas cuando un servidor DNS de la configuración de equilibrio de
carga DNS devuelve direcciones IP diferentes (para los servidores que alojan recursos idénticos) al
cortafuegos y cliente en respuesta a la misma solicitud DNS.
Para los servidores, cree reglas de política de seguridad que permitan solo las aplicaciones que usted
apruebe en cada servidor. Verifique que el puerto estándar para la aplicación coincida con el puerto de
escucha del servidor. Por ejemplo, para garantizar que solo se permita el tráfico SMTP en su servidor
de correo electrónico, configure la aplicación en smtp y configure el servicio en application-default. Si
su servidor utiliza solo un subconjunto de los puertos estándar (por ejemplo, si su servidor SMTP utiliza
solo el puerto 587 mientras la aplicación SMTP tiene puertos estándar definidos como 25 y 587), cree
un nuevo servicio personalizado que incluya solo el puerto 587 y utilice ese nuevo servicio en su regla
de política de seguridad en lugar de la opción predeterminada de la aplicación Además, asegúrese de
restringir el acceso a zonas de origen y destino específicas, y a conjuntos específicos de direcciones IP.

Adjunte los siguientes perfiles de seguridad a sus reglas de políticas de seguridad para proporcionar una
protección basada en firmas:
• Cree un perfil de protección contra vulnerabilidades para bloquear todas las vulnerabilidades con
gravedad baja y alta.
• Cree un perfil antyspyware para bloquear todo el spyware con gravedad baja y alta.
• Cree un perfil de antivirus para bloquear todo el contenido que coincida con una firma de antivirus.
Bloquee todas las aplicaciones o tráfico desconocidos mediante la política de seguridad. Normalmente,
las únicas aplicaciones clasificadas como tráfico desconocido son aplicaciones internas o personalizadas
de su red, o posibles amenazas. El tráfico desconocido puede ser una aplicación no compatible, un
protocolo anómalo o anormal, o una aplicación conocida que utiliza puertos no estándar. En cualquiera
de estos casos debe bloquearse. Consulte Gestionar aplicaciones personalizadas o desconocidas.
Configure un bloqueo de archivo para impedir que los tipos de archivo portables ejecutables (Portable
Executable, PE) para el tráfico de bloque de mensajes del servidor (Server Message Block, SMB) pasen de
zonas fiables a zonas no fiables (aplicaciones ms-ds-smb).
Cree un perfil de protección de zona configurado para ofrecer protección frente a los ataques basados
en paquetes (Network [Red] > Network Profiles [Perfiles de red] > Zone Protection [Protección de
zona]):
• Seleccione la opción para descartar los paquetes IP Malformed (Con formato incorrecto) (Packet
Based Attack Protection [Protección contra ataque basado en paquetes] > IP Drop [Descarte de IP]).
• Habilite la opción de descarte Mismatched overlapping TCP segment (Segmento TCP superpuesto
no coincidente)(Packet Based Attack Protection [Protección contra ataque basado en paquetes] >
TCP Drop [Descarte de IP]).
Al establecer deliberadamente conexiones con datos superpuestos pero diferentes en ellas, los
atacantes pueden intentar causar una interpretación equivocada de la intención de la conexión

e inducir deliberadamente falsos positivos o falsos negativos. Los atacantes utilizan también la
replicación de IP y la predicción de números de secuencia para interceptar la conexión de un usuario
e introducir sus propios datos en la conexión. La selección de la opción Mismatched overlapping TCP
segment (Segmento TCP superpuesto no coincidente) especifica que PAN-OS descarta las tramas
con datos superpuestos y no coincidentes. Los segmentos recibidos son descartados cuando están
dentro de otro segmento, cuando se superponen con parte de otro segmento o cuando contienen
otro segmento completo.
• Habilite las opciones de descarte TCP SYN with Data (TCP SYN con datos) y TCP SYNACK with
Data (TCP SYNACK con datos) (Packet Based Attack Protection [Protección contra ataque basado
en paquetes] > TCP Drop [Descarte de TCP]).
El descarte de paquetes SYN y SYN-ACK que contienen datos en la carga durante un protocolo
de tres direcciones aumenta la seguridad al bloquear malware incluido en la carga y prevenir que
extraiga datos no autorizados antes de que se complete el protocolo TCP.
• Quite las marcas de tiempo TCP de los paquetes SYN antes de que el cortafuegos envíe el paquete
(Packet Based Attack Protection [Protección contra ataque basado en paquetes] > TCP Drop
[Descarte de TCP]).
Cuando habilita la opción Strip TCP Options - TCP Timestamp (Quitar opciones TCP - Marca de
tiempo TCP), la pila TCP en ambos extremos de la conexión TCP no admitirá marcas de tiempo TCP.
Esto evita los ataques que utilizan distintas marcas de tiempo en varios paquetes para el mismo
número de secuencia.
Si configura direcciones IPv6 en sus hosts de red, asegúrese de habilitar el soporte para IPv6 si aún no
está habilitado (Network [Red] > Interfaces > Ethernet > IPv6).
La habilitación de la compatibilidad con IPv6 permite el acceso a hosts IPv6 y también filtra paquetes
IPv6 encapsulados en paquetes IPv4, lo cual evita que las IPv6 en direcciones de multidifusión IPv4 se
utilicen para el reconocimiento de la red.

Habilite la compatibilidad con tráfico de multidifusión para que el cortafuegos pueda aplicar la política
sobre tráfico de multidifusión (Network [Red] > Virtual Router [Enrutador virtual] > Multicast
[Multidifusión]).
Deshabilite las opciones Forward datagrams exceeding UDP content inspection queue (Enviar
datagramas que excedan la cola de inspección de contenido UDP) y Forward segments exceeding TCP
content inspection queue (Enviar segmentos que excedan la cola de inspección de contenido TCP)
(Device [Dispositivo] > Setup [Configuración] > Content-ID [ID de contenido] > Content-ID Settings
[Configuración de ID de contenido]).
De manera predeterminada, cuando la cola de inspección de contenido TCP o UDP está llena, el
cortafuegos omite la inspección de ID de contenido para los segmentos TCP o datagramas UDP que
excedan el límite de cola de 64. Al deshabilitar estas opciones, el cortafuegos descarta los segmentos
TCP y ls datagramas UDP cuando la cola de inspección de contenido TCP o UDP está llena.
Tenga en cuenta que la inhabilitación de estas opciones puede provocar una

degradación del rendimiento y algunas aplicaciones pueden perder funcionalidad,
especialmente en situaciones de tráfico de alto volumen.
Deshabilite Allow HTTP header range option (Habilitar opción de intervalo de encabezado HTTP)
(Device [Dispositivo] > Setup[Configurar] > Content-ID [ID de contenido] > Content-ID Settings
[Configuración de ID de contenido]).
La opción de intervalo de encabezado HTTP permite a un cliente recuperar solo parte de un archivo.
Cuando un cortafuegos de próxima generación en una transferencia identifica y omite un archivo
malicioso, finaliza la sesión TCP con un paquete RST. Si el explorador web implementa la opción de
intervalo de encabezado HTTP, puede comenzar una nueva sesión para recuperar solo la parte restante
del archivo, lo cual evita que el cortafuegos active la misma firma nuevamente debido a la falta de
contexto en la sesión inicial y, al mismo tiempo, permite que el explorador web vuelva a armar el archivo
y envíe el contenido malintencionado. Al deshabilitar esta opción, evita que esto pase.
La inhabilitación de esta opción no debería afectar el rendimiento del dispositivo. Sin

embargo, la recuperación de la interrupción de la transferencia del archivo HTTP podría
verse afectada. Además, la inhabilitación de esta opción puede afectar los servicios de
multimedia de transmisión, como Netflix, Windows Server Updates Services (WSUS) y
las actualizaciones de contenido de Palo Alto Networks.
Cree un perfil de protección de vulnerabilidades que bloquee las anomalías del protocolo si el
comportamiento de un protocolo se desvía del uso estándar y de cumplimiento. Por ejemplo, un paquete
con formato incorrecto, una aplicación escrita de manera deficiente o una aplicación que se ejecuta en
un puerto no estándar se considerarían anomalías y podrían usarse como herramientas de evasión.

Si su red es crítica; es decir, si la prioridad más alta de la empresa es la disponibilidad de la aplicación,
debe comenzar por alertar sobre las anomalías del protocolo durante un periodo para garantizar que
no haya aplicaciones internas críticas que utilicen protocolos establecidos de una manera no estándar.
Si detecta que ciertas aplicaciones críticas activan firmas de anomalía de protocolo, puede excluir
dichas aplicaciones del cumplimiento de anomalía de protocolo. Para esto, añada otra regla al perfil de
protección de vulnerabilidades que incluya en la lista de permitidos las anomalías del protocolo y adjunte
el perfil a la regla de política de seguridad que aplica el tráfico hacia y desde las aplicaciones críticas.
Asegúrese de que las reglas del perfil de protección de vulnerabilidades y las reglas de la política de
seguridad que incluya en la lista de permitidos las anomalías de protocolo para las aplicaciones internas
críticas se indiquen por encima de las reglas que bloquean las anomalías de protocolo. El tráfico se
evalúa en función de las reglas de política de seguridad y las reglas de los perfiles de protección de
vulnerabilidades desde arriba hacia abajo, y se aplica en función de la primera regla de coincidencia.
• Comience por alertas sobre las anomalías de protocolo:
Cree una regla de perfil de protección de vulnerabilidades con la opción Action (Acción) configurada
en Alert (Alerta), la opción Category (Categoría) configurada en protocol-anomaly (protocolo-
anomalía) y la opción Severity (Gravedad) configurada en Any (Cualquiera). Supervise el tráfico para
determinar si alguna aplicación interna crítica utiliza protocolos establecidos de maneras no estándar.
Si detecta que esto es así, continúe incluyendo en la lista de permitidos las anomalías de protocolo
para dichas aplicaciones y luego bloquee las anomalías de protocolo para las demás aplicaciones.
• Bloquee las anomalías de protocolo:

Cree una regla de perfil de protección de vulnerabilidades con la opción Category (Categoría)
configurada en protocol-anomaly (protocolo-anomalía), la regla Action (Acción) configurada en Reset
Both (Restablecer ambos) y la opción Severity (Gravedad) configurada en Any (Cualquiera).
• Opcionalmente, incluya en la lista de permitidos las anomalías de protocolo para las aplicaciones
críticas que utilizan protocolos establecidos de una manera no estándar. Para ello, cree una regla
de perfil de protección de vulnerabilidades que permita anomalías de protocolo: configure la
regla Action (Acción) en Allow (Permitir), la opción Category (Categoría) en protocol-anomaly
(protocolo-anomalía) y la opción Severity (Gravedad)en any (cualquiera). Adjunte la regla de perfil de
protección de vulnerabilidad a la regla de política de seguridad que aplique el tráfico hacia y desde las
aplicaciones críticas.

Habilitación de las firmas de evasión
Las firmas de evasión de Palo Alto Networks detectan solicitudes HTTP o TLS manipuladas y pueden alertar
en instancias en las que un cliente se conecta a un dominio que no es el dominio especificado en la solicitud
DNS. Las firmas de evasión son eficaces únicamente cuando el cortafuegos está habilitado para actuar como
un proxy DNS y resolver las solicitudes de nombre de dominio. La práctica recomendada es realizar los
siguientes pasos para habilitar las firmas de evasión.
STEP 1 | Habilite un cortafuegos que sea un intermediario entre los clientes y los servidores, y que actúe
como proxy DNS.
Realice la Configuración de un objeto proxy DNS, que incluye los siguientes pasos:
• Especifique las interfaces en las cuales desea que el cortafuegos escuche las solicitudes DNS.
• Defina el servidor DNS con el que se comunicará el cortafuegos para resolver las solicitudes DNS.
• Configure las entradas estáticas de FQDN a dirección IP que el cortafuegos puede resolver
localmente, sin tener que conectarse con un servidor DNS.
• Habilite el almacenamiento en caché de asignaciones resueltas de nombre de host a dirección IP.
STEP 2 | Obtenga la versión más reciente de contenido sobre aplicaciones y amenazas (versión 579 o
posterior).
2. Seleccione Check Now (Comprobar ahora) para descargar las últimas actualizaciones de contenido de
aplicaciones y amenazas.
3. Descargue e instale la versión de contenido 579 de aplicaciones y amenazas (o posterior).
STEP 3 | Defina cómo el cortafuegos debe aplicar acciones al tráfico que coincide con las firmas de
evasión.
(Antispyware) y Add (Añadir) para añadir o modificar un perfil antispyware.
2. Seleccione Exceptions (Excepciones) y seleccione Show all signatures (Mostrar todas las firmas).
3. Filtre las firmas en función de la palabra clave evasion.
4. Para todas las firmas de evasión, configure Action (Acciones) en un ajuste que no sea el de permitir
o la acción por defecto (la acción por defecto para las firmas de evasión es permitir). Por ejemplo,
establezca que la Action (Acción) para las ID de firmas 14978 y 14984 sea alert (alertar) o drop
(descartar).
5. Haga clic en OK (Aceptar) para guardar el perfil de antispyware actualizado.
6. Adjunte el perfil de antispyware a una regla de política de seguridad: Seleccione Policies (Políticas) >
Security (Seguridad), seleccione la política deseada para modificarla y, a continuación, haga clic en
la pestaña Actions (Acciones). En Profile Settings (Configuración del perfil), haga clic en el menú
desplegable junto a Anti-Spyware, seleccione el perfil antispyware que acaba de modificar para
aplicar las firmas de evasión.
STEP 4 | Guarde los cambios.


Prevención de phishing de credenciales
Los sitios de phishing son sitios que los atacantes disfrazan de sitios web legítimos con el objetivo de robar
información del usuario, especialmente, las credenciales que proporcionan acceso a su red. Cuando un
correo electrónico de phishing entra en una red, solo se necesita que un usuario haga clic en el enlace
e introduzca las credenciales para que se produzca una infracción. Puede detectar y evitar los ataques
de phishing en curso controlando los sitios que pueden recibir credenciales corporativas basadas en la
categoría de URL del sitio de los usuarios. Esto le permite evitar que los usuarios envíen credenciales a
sitios no fiables, además de permitir a los usuarios continuar enviando credenciales a sitios corporativos y
sancionados.
La prevención de phishing de credenciales funciona mediante el análisis de los envíos de nombres de
usuario y contraseñas a sitios web, y la comparación de esos envíos con las credenciales corporativas
válidas. Puede seleccionar los sitios web en los que desea permitir o bloquear la recepción de credenciales
corporativas en función de la categoría de URL del sitio web. Cuando el cortafuegos detecta que un
usuario intenta enviar credenciales a un sitio en una categoría que ha restringido, se muestra una página de
respuesta de bloqueo que evita que el usuario envíe credenciales, o se presenta una página para continuar
que advierte a los usuarios contra el envío de credenciales a sitios clasificados en determinadas categorías
de URL, pero aún les permite continuar el envío de credenciales. Puede personalizar las páginas de bloqueo
para proporcionar información a los usuarios sobre la reutilización de las credenciales corporativas, incluso
en sitios legítimos sin phishing.
Para habilitar la prevención de phishing de credenciales, debe configurar User-ID para que detecte cuando
los usuarios envíen credenciales corporativas válidas a un sitio (en lugar de credenciales personales) y
el Filtrado de URL para que especifique las categorías de URL en las que desea evitar que los usuarios
introduzcan sus credenciales corporativas. Los siguientes temas describen los diferentes métodos que
puede utilizar para detectar envíos de credenciales y brindar instrucciones para configurar la protección
contra phishing de credenciales.
• Métodos para comprobar los envíos de credenciales corporativas
• Configuración de detección de credenciales con el agente de User-ID basado en Windows
• Configuración de la prevención de phishing de credenciales
Métodos para comprobar los envíos de credenciales corporativas

Antes de realizar la Configuración de la prevención de phishing de credenciales, decida el método que
desea que utilice el cortafuegos para comprobar si las credenciales que se enviaron a una página web son
credenciales corporativas válidas.
Método para Requisitos de ¿Cómo detecta este método los nombres de usuario o las
comprobar las configuración de contraseñas corporativas a medida que los usuarios las envían
credenciales User-ID a los sitios web?
enviadas
Asignación de Configuración El cortafuegos determina si el nombre de usuario que un

grupos de asignación usuario envía a un sitio restringido coincide con cualquier
de grupos en el nombre de usuario corporativo válido.
cortafuegos
Para ello, el cortafuegos compara el nombre de usuario
enviado a la lista de nombres de usuario en su tabla de
asignación de usuarios a grupo para detectar cuándo los
usuarios envían un nombre de usuario corporativo a un sitio
en una categoría restringida.

enviadas
Este método sólo comprueba envíos de nombre de usuario
corporativo basándose en la pertenencia a un grupo LDAP,
lo que hace que sea sencillo de configurar, pero más
propenso a falsos positivos.
Asignación de Asignaciones El cortafuegos determina si el nombre de usuario que un

direcciones IP a de direcciones usuario envía a un sitio restringido se asigna a la dirección IP
usuarios IP a nombres del usuario con sesión iniciada.
de usuario
Para ello, el cortafuegos compara la dirección IP del usuario
identificadas
con sesión iniciada y el nombre de usuario enviado a un sitio
mediante la
web con la tabla de asignación de direcciones IP a usuarios
asignación
para detectar cuando los usuarios envían un nombre de
de usuarios,
usuario corporativo a un sitio en una categoría restringida.
GlobalProtect
o la política de Dado que este método busca una coincidencia entre la
autenticación y dirección IP del usuario con sesión iniciada asociado a la
portal cautivo. sesión y la tabla de asignación de direcciones IP a nombres
de usuario, se trata de un método eficaz para la detección de
envíos de nombres de usuario corporativos, pero no detecta
el envío de contraseñas corporativas. Si desea detectar el
envío de nombres de usuario y contraseñas corporativas,
debe utilizar el método de filtro de credenciales de dominio.
Filtro de Agente de El cortafuegos determina si el nombre de usuario y la

credenciales de User-ID basado contraseña que envía un usuario coinciden con el nombre de
dominio en Windows usuario y la contraseña corporativos del mismo usuario.
configurado
Para ello, el cortafuegos debe ser capaz de encontrar una
con el elemento
coincidencia entre los envíos de credenciales con nombres
adicional del
de usuario y contraseñas corporativos válidos, y comprobar
servicio de
si el nombre de usuario enviado se correlaciona con la
credenciales de
dirección IP del usuario con sesión iniciada de la siguiente
User-ID
manera:
-Y-
• Para detectar nombres de usuario y contraseñas
Asignaciones corporativos: el cortafuegos recupera una máscara de
de direcciones bits segura, denominada filtro bloom, de un agente de
IP a nombres User-ID basado en Windows con el elemento adicional
de usuario de credenciales de User-ID. Este servicio adicional
identificadas analiza su directorio en busca de nombres de usuario
mediante la y contraseñas hash, y los descompone en una máscara
asignación de bits segura (el filtro bloom) y la envía al agente de
de usuarios, Windows. El cortafuegos recupera el filtro boom del
GlobalProtect agente de Windows en intervalos regulares y, siempre
o la política de que detecta que un usuario envía credenciales a una
autenticación y categoría restringida, descompone el filtro bloom, y busca
portal cautivo. un nombre de usuario y contraseña hash que coincida. El
cortafuegos solo puede conectarse a un agente de User-
ID basado en Windows que ejecuta el elemento adicional
del servicio de credenciales de User-ID.

enviadas
• Para comprobar que las credenciales pertenezcan al
usuario con sesión iniciada: el cortafuegos busca una
asignación entre la dirección IP del usuario con sesión
iniciada y el nombre de usuario detectado en su tabla de
asignación de direcciones IP a nombres de usuario.
Para obtener más información sobre cómo funciona el
método de credenciales de dominio y los requisitos para
habilitar este tipo de detección, consulte Configuración de
detección de credenciales con el agente de User-ID basado
en Windows.
Configuración de la detección de credenciales con el agente de ID

de usuario basado en Windows
El filtro de credencial de dominio permite que el cortafueogs detecte contraseñas enviadas a las páginas
web. Este método de detección de credenciales requiere que el agente de ID de usuario basado en
Windows y el servicio de credencial de ID de usuario, un complemento del agente de ID de usuario, estén
instalados en un controlador de dominio de solo lectura (read-only domain controller, RODC).
Un RODC es un servidor Microsoft Windows que mantiene una copia de solo lectura de una base de datos
de Active Directory que aloja un controlador de dominio. Cuando el controlador de dominio está ubicado
en una sede corporativa; por ejemplo, los RODC pueden implementarse en ubicaciones de red remotas para
proporcionar servicios de autenticación. La instalación del agente de ID de usuario en un RODC puede ser
útil por algunos motivos: el acceso al directorio de controlador de dominio no es necesario para habilitar
la detección de credenciales y usted puede admitir la detección de credenciales para un conjunto limitado
u objetivo de usuarios. Debido a que el directorio que el RODC aloja es de solo lectura, el contenido del
directorio permanece seguro en el controlador de dominio.
Después de instalar el agente de ID de usuario en un RODC, el servicio de credencial de ID de usuario
se ejecuta en segundo plano y escanea el directorio para encontrar los hashes de nombres de usuario y
contraseñas de miembros de grupo que se incluyen en la lista de la política de replicación de contraseña
de RODC: puede definir quién desea que esté en la lista. El servicio de credencial de ID de usuario
toma los hashes de nombre de usuario y contraseña recopilados y deconstruye los datos en un tipo de
máscara de bits denominada filtro de eclosión. Los filtros de eclosión son estructuras de datos compactos
que proporcionan un método seguro para comprobar si un elemento (un hash de nombre de usuario o
contraseña) es miembro de un conjunto de elementos (los conjuntos de credenciales que aprobó para la
replicación en el RODC). El servicio de credencial de ID de usuario reenvía el filtro de eclosión al agente
de ID de usuario; el cortafuegos recupera el filtro de eclosión más reciente del agente de ID de usuario
en intervalos periódicos y lo utiliza para detectar envíos de hashes de nombres de usuario y contraseñas.
Según su configuración, el cortafuegos luego bloquea, alerta o permite los envíos de contraseña válidos a
páginas web, o muestra una página de respuesta a los usuarios que les advierte los peligros de suplantación
de identidad, pero les permite continuar con el envío.
A través de este proceso, el agente de ID de usuario no almacena ni expone hashes de contraseña, ni
reenvía hashes de contraseña al cortafuegos. Una vez que los hashes de contraseña se deconstruyen en un
filtro de eclosión, no hay manera de recuperarlos.

STEP 1 | Configuración de la asignación de usuarios mediante el agente de ID de usuario de Windows.
Para habilitar la detección de credenciales, debe instalar el agente de ID de usuario

basado en Windows en un RODC (requiere Microsoft Windows 2008r2 64 o posterior).
Elementos importantes para recordar al configurar la ID de usuario para habilitar la detección de filtro de
credenciales de dominio:
• Debido a que la eficacia de la detección de suplantación de identidad de credenciales depende
de su configuración de RODC, asegúrese de revisar también las prácticas recomendadas y las
recomendaciones para la administración de RODC.
• Descargue las actualizaciones de software de ID de usuario:
• Instalador de Windows de agente de ID de usuario: UaInstall-x.x.x-x.msi.
• Instalador de Windows del servicio de credenciales del agente de ID de usuario: UaCredInstall64-
x.x.x-x.msi.
• Instale el agente de ID de usuario y el servicio de credenciales del agente de usuario en un RODC
usando una cuenta que tenga privilegios para leer Active Directory a través de LDAP (el agente de ID
de usuario también necesita este privilegio).
STEP 2 | Habilite el agente de ID de usuario y el servicio de credencial de agente de usuario (que se

ejecuta en segundo plano para escanear las credenciales permitidas) para que comparta
información.
1. En el servidor RODC, incie el agente de ID de usuario.
2. Seleccione Setup (Configuración) y modifique la sección Setup.
3. Seleccione la pestaña Credentials (Credenciales). Esta pestaña se muestra únicamente si usted ya

instaló el servicio de credenciales de agente de ID de usuario.
4. Seleccione Import from User-ID Credential Agent (Importar del agente de credenciales de ID de
usuario). Esto permite que el agente de ID de usuario importe el filtro de eclosión que el agente

de credenciales de ID de usuario crea para representar a los usuarios y los hashes de contraseña
correspondientes.
5. Haga clic en OK (Aceptar), en Save (Guardar) para guardar los ajustes y en Commit (Confirmar).
STEP 3 | En el directorio RODC, defina el grupo de usuarios para el cual desea admitir la detección de
envío de credenciales.
• Confirme que los grupos que deben recibir el cumplimiento de envío de credenciales se añadan al
grupo de replicación de contraseña RODC permitida.
• Verifique que ninguno de los grupos dentro del grupo de replicación de contraseña RODC permitida
esté también en el grupo de replicación de contraseña no permitida. Los grupos enumerados en
ambos no estarán sujetos al cumplimiento de la suplantación de identidad de credenciales.
STEP 4 | Continúe con la siguiente tarea.

Configuración de la prevención de la suplantación de identidad de credenciales en el cortafuegos.
Configuración de la prevención de suplantación de identidad de

credenciales
Una vez que ha decidido cuál de los Métodos para comprobar los envíos de credenciales corporativas
desea usar, realice los siguientes pasos para habilitar el cortafuegos a fin de que detecte cuando los
usuarios envíen credenciales corporativas a páginas web y alerten sobre esta acción, bloqueen el envío de
credenciales o soliciten a los usuarios que acepten los riesgos de phishing (suplantación de identidad) antes
de continuar con el envío de credenciales.
STEP 1 | Si aún no lo hizo, Habilite User-ID.

Cada uno de los Métodos para comprobar los envíos de credenciales corporativas exige una
configuración de User-ID diferente para comprobar los envíos de credenciales corporativas:
• Si planea usar el método de asignación de grupo, que detecta si un usuario está enviando un nombre
de usuario corporativo válido, asigne usuarios a grupos.
• Si planea usar el método de asignación de usuario IP, que detecta si un usuario está enviando un
nombre de usuario corporativo válido que pertenece al usuario que inició sesión, asigne direcciones
IP a usuarios.
• Si planea usar el método de filtro de credenciales de dominio, que detecta si un usuario está enviando
un nombre de usuario y contraseña válidos, y si esas credenciales pertenecen al usuario que inició
sesión, configure la detección de credenciales con el agente de User-ID basado en Windows y asigne
direcciones IP a usuarios.
STEP 2 | Si aún no lo ha hecho, configure un perfil de filtrado de URL recomendado para garantizar
protección contra las URL que se observó que alojan malware o contenido de exploits.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de
URL) y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
2. Bloquee el acceso a todas las categorías URL peligrosas conocidas: malware, phishing, DNS dinámico,
desconocidas, cuestionables, extremistas, de infracción de derechos de autor, proxy-avoidance-and-
anonymizers y estacionadas.
STEP 3 | Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios
web que están en categorías URL permitidas.
El cortafuegos omite automáticamente la comprobación de los envíos de credenciales

para las ID de aplicación asociadas con los sitios que nunca se ha observado que
alojen malware o contenido de phishing, para garantizar un desempeño óptimo, incluso

si habilita las comprobaciones en la categoría correspondiente. La lista de sitios
en los cuales el cortafuegos omitirá la comprobación de credenciales se actualiza
automáticamente a través de las actualizaciones de aplicación y contenido de prevención
de amenazas.
1. Seleccione User Credential Detection (Detección de credencial de usuario).

2. Seleccione uno de los Métodos para comprobar los envíos de credenciales corporativas a páginas
web en la lista desplegable User Credential Detection (Detección de credenciales de usuario):
• Use IP User Mapping (Usar asignación de usuario IP): comprueba el envío de nombres de usuario
corporativo válidos y verifica que el nombre de usuario que inició sesión esté asignado a la
dirección IP de la sesión. Para esto, el cortafuegos compara el nombre de usuario enviado y la
dirección IP de origen de la sesión con su table de asignación de direcciones IP a usuarios. Para
utilizar este método puede emplear cualquiera de los métodos de asignación de usuarios descritos
en Asignar direcciones IP a los usuarios.
• Use Domain Credential Filter (Usar filtro de credenciales de dominio): comprueba el envío de
nombres de usuario y contraseñas válidas, y verifica que el nombre de usuario esté asignado a la
dirección IP del usuario registrado. Consulte Configuración de detección de credenciales con el
agente de User-ID de Windows para obtener instrucciones sobre cómo configurar User-ID para
habilitar este método.
• Use Group Mapping (Usar asignación de grupo): comprueba el envío de nombres de usuario
válidos en función de la tabla de asignación de usuario a grupo completada al configurar el
cortafuegos para la asignación de usuarios a grupos.
Con la asignación de grupos, usted puede aplicar la detección de credenciales a cualquier parte del
directorio o a un grupo específico, tal como grupos como TI que tienen acceso a sus aplicaciones
más sensibles.
Este método es propenso a falsos positivos en entornos que no poseen nombres de

usuario estructurados de manera inequívoca. Por ello, solo debe usar este método
para proteger sus cuentas de usuario más importantes.
3. Configure la Valid Username Detected Log Severity (Gravedad del log detectado de nombre de
usuario válido) que el cortafuegos utilizará para la detección de logs de envío de credenciales
corporativas. De manera predeterminada, el cortafuegos registra estos eventos como eventos de
gravedad intermedia.
STEP 4 | Bloquee (o alerte) los envíos de credenciales a sitios permitidos.

1. Seleccione Categories (Categorías).
2. Para cada categoría a la cual se permite el Site Access (Acceso al sitio), seleccione cómo desea que se
manejen los User Credential Submissions (Envíos de credenciales de usuario):
• alert (alerta): permite que los usuarios envíen sus credenciales al sitio web, pero genera un log de
filtrado de URL cada vez que un usuario envía credenciales a sitios de esta categoría de URL.
• allow (permitir): (predeterminado) permite que los usuarios envíen sus credenciales al sitio web.
• block (bloquear): impide que usuarios envíen credenciales al sitio web. Cuando un usuario intenta
enviar credenciales, el cortafuegos muestra la página de bloqueo antiphishing, que impide el envío
de credenciales.
• continue (continuar): presenta la Página de continuación antiphishing a los usuarios cuando
intentan enviar credenciales. Los usuarios deben seleccionar Continue (Continuar) en la página de
respuesta para continuar con el envío.
3. Seleccione OK (Aceptar) para guardar el perfil de filtro de URL.
STEP 5 | Aplique el perfil de filtro URL con los ajustes de detección de credenciales a sus reglas de
política de seguridad.

de seguridad.
2. En la pestaña Actions (Acciones), configure el Profile Type (Tipo de perfil) en Profiles (Perfiles).
3. Seleccione el perfil URL Filtering (Filtrado de URL) nuevo o actualizado para adjuntarlo a la regla de
4. Seleccione OK (Aceptar) para guardar la regla de la política de seguridad.
STEP 7 | Supervise los envíos de credenciales que el cortafuegos detecte.
Seleccione ACC > Hosts Visiting Malicious URLs (Hosts de visitas a URL
malintencionadas) para ver la cantidad de usuarios que visitaron sitios de malware y
phishing.
Seleccione Monitor (Supervisar) > Logs > URL Filtering (Filtrado de URL).
La nueva columna Credential Detected (Credencial detectada) indica eventos en los que el cortafuegos
detectó una solicitud post HTTP que incluía una credencial válida:
(Para visualizar esta columna, pase el ratón sobre cualquier encabezado de columna y haga clic en la
flecha para seleccionar las columnas que desea visualizar).
Los detalles de entrada del log también indican el envío de credenciales:
STEP 8 | Valide y solucione problemas de detección del envío de credenciales.

• Use el siguiente comando CLI para visualizar las estadísticas de detección de credenciales:
> show user credential-filter statistics
El resultado de este comando varía según el método configurado para que el cortafuegos detecte envíos
de credenciales. Por ejemplo, si el método Domain Credential Filter (Filtro de credenciales de dominio)
está configurado en un perfil de filtrado de URL, se muestra una lista de agentes de User-ID que han
reenviado un filtro de eclosión al cortafuegos, junto con la cantidad de credenciales incluidas en el filtro
de eclosión.
• (Método Group Mapping [Asignación de grupo) únicamente) Utilice el siguiente comando CLI
para ver información de asignación de grupo, incluido el número de perfiles de filtrado URL con

la detección de credenciales de asignación de grupo habilitada y los nombres de usuario de los
miembros del grupo que intentaron enviar las credenciales a un sitio restringido.
> show user group-mapping statistics

• (Método Domain Credential Filter (Filtro de credenciales de dominio únicamente) Utilice el siguiente
comando CLI para ver todos los agentes de User-ID basados en Windows que envían asignaciones al
cortafuegos:
> show user user-id-agent state
El resultado del comando ahora muestra recuentos de filtro de eclosión que incluyen la cantidad
de actualizaciones de filtro de eclosión que el cortafuegos ha recibido de cada agente, si alguna
actualización de filtro de eclosión falló en el proceso, y cuántos segundos transcurrieron desde la
última actualización de filtro de eclosión.
• (Método de Domain Credential Filter (Filtrado de credenciales de dominio únicamente) El agente
de User-ID basado en Windows muestra los mensajes de log que el filtro de eclosión (bloom filter,
BF) de referencia envía al cortafuegos. En la interfaz del agente de User-ID, seleccione Monitoring
(Supervisión) > Logs.

Uso compartido de inteligencia de amenazas
con Palo Alto Networks
La telemetría es el proceso de recolección y transmisión de datos para su análisis. Cuando habilita la
telemetría en el cortafuegos, el cortafuegos recopila y envía periódicamente información sobre aplicaciones,
amenazas y el estado del dispositivo a Palo Alto Networks. El uso compartido de la inteligencia de amenazas
ofrece los siguientes beneficios:
• Mejor vulnerabilidad y firmas de spyware para usted y otros clientes del mundo. Por ejemplo, cuando
un evento de amenaza desencadena firmas de vulnerabilidad o spyware, el cortafuegos comparte las
URL asociadas a la amenaza con el equipo de investigación de amenazas de Palo Alto Networks para que
puedan clasificar adecuadamente las URL como maliciosas.
• Pruebas y evaluaciones rápidas de las firmas de amenazas experimentales sin impacto en su red, de
modo que se pueden suministrar firmas de prevención de amenazas críticas a todos los clientes de Palo
Alto Networks con mayor rapidez.
• Mejora la precisión y la capacidad para detectar malware dentro del filtrado de URL de PAN-DB, las
firmas de comando y control (C2) basadas en DNS y WildFire.
Palo Alto Networks utiliza la inteligencia de amenazas que se extrae de la telemetría para proporcionarle
estos beneficios a usted y a otros usuarios de Palo Alto Networks. Todos los usuarios de Palo Alto
Networks se benefician con el uso compartido de los datos de telemetría de cada usuario, lo que convierte
a la telemetría en un enfoque impulsado por una comunidad para la prevención de amenazas. Palo Alto
Networks no comparte sus datos de telemetría con otros clientes u organizaciones externas.
• ¿Qué datos de telemetría recopila el cortafuegos?
• Monitorización de DNS pasivo
• Habilitación de la telemetría
¿Qué datos de telemetría recopila el cortafuegos?

El cortafuegos recopila y reenvía diferentes conjuntos de datos de telemetría a Palo Alto Networks en
función de la configuración de telemetría que habilite. El cortafuegos recopila los datos de los campos en las
entradas de su log (consulte Tipos de logs y niveles de gravedad); el tipo de log y la combinación de campos
varían según la configuración. Revise la siguiente tabla antes de realizar la Habilitación de la telemetría.
setting DESCRIPTION
Informes de aplicación La cantidad y el tamaño de las aplicaciones conocidas por puerto de destino,
las aplicaciones desconocidas por puerto de destino y las aplicaciones
desconocidas por dirección IP de destino. El cortafuegos genera estos
informes a partir de los logs del cortafuegos y los reenvía cada 4 horas.
Informes de prevención La información del atacante, la cantidad de amenazas de cada país de origen
de amenazas y el puerto de destino, y los objetos de correlación que desencadenaron los
eventos de amenazas. El cortafuegos genera estos informes de los logs de
amenazas y los reenvía cada 4 horas.
Informes de URL Las URL con las siguientes categorías de URL de PAN-DB: malware, phishing,
DNS dinámico, evasión de proxy, contenido sospechoso, estacionado y
desconocido (URL que PAN-DB aún no ha categorizado). El cortafuegos
genera estos informes a partir de los logs de filtrado de URL.

setting DESCRIPTION
Los informes de URL también incluyen estadísticas de PAN-DB como la
versión de la base de datos de filtrado de URL en el cortafuegos y la nube
de PAN-DB, la cantidad de URL en esas bases de datos y la cantidad de URL
que clasificó el cortafuegos. Estas estadísticas se basan en el tiempo que el
cortafuegos reenvió los informes de URL.
El cortafuegos reenvía informes de URL cada 4 horas.
Informes de Información sobre archivos que el cortafuegos permite o bloquea basados en

identificación de tipo de configuraciones de filtrado de datos y bloqueo de archivos. El cortafuegos
archivo genera estos informes a partir de los logs de filtrado de datos y los reenvía
cada 4 horas.
Datos de prevención de Datos de logs de eventos de amenazas que activaron firmas que se
amenazas encuentran bajo evaluación de eficacia de Palo Alto Networks. Los datos de
prevención de amenazas proporcionan a Palo Alto Networks mayor visibilidad
de su tráfico de red que otras configuraciones de telemetría. Cuando está
habilitado, es posible que el cortafuegos recopile información como las
direcciones IP de origen o víctima.
Habilitar los datos de prevención de amenazas también permite que las
firmas no publicadas, que Palo Alto Networks está probando, se ejecuten en
segundo plano. Estas firmas no afectan a las reglas de políticas de seguridad ni
a los logs del cortafuegos, y no tienen ningún impacto en el rendimiento de su
cortafuegos.
El cortafuegos reenvía los datos de prevención de amenazas cada 5 minutos.
Capturas de paquetes Capturas de paquetes (si habilitó su cortafuegos para la Captura de paquetes
de prevención de de amenazas) de los eventos de amenaza que desencadenan las firmas bajo
amenazas evaluación de eficacia de Palo Alto Networks. Las capturas de los paquetes de
prevención de amenazas proporcionan a Palo Alto Networks mayor visibilidad
de su tráfico de red que otras configuraciones de telemetría. Cuando está
habilitado, es posible que el cortafuegos recopile información como las
direcciones IP de origen o víctima.
El cortafuegos reenvía las capturas de los paquetes de prevención de
amenazas cada 5 minutos.
Estadísticas de uso de Los retrocesos de procesos de cortafuegos que han fallado, así como
producto información sobre el estado del cortafuegos. Los retrocesos de procesos
describen el historial de ejecución de los procesos fallidos. Estos informes
incluyen detalles sobre el modelo de cortafuegos y las versiones de liberación
de contenido y de PAN-OS instaladas en su cortafuegos.
El cortafuegos reenvía estadísticas de uso del producto cada 5 minutos.
Monitorización de DNS Asignaciones de dominio a direcciones IP basadas en el tráfico del

pasivo cortafuegos. Cuando habilita la Passive DNS Monitoring (Supervisión de DNS
pasivo), el cortafuegos actúa como un sensor DNS pasivo y envía información
de DNS a Palo Alto Networks para su análisis.
El cortafuegos reenvía datos de la supervisión de DNS pasivo en lotes de
1 MB.

Monitorización de DNS pasivo
La supervisión de DNS pasivo permite al cortafuegos actuar como un sensor de DNS pasivo y enviar la
información de DNS a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de
inteligencia y prevención de amenazas. Los datos recogidos incluyen la consulta de DNS no recursivo (es
decir, el explorador web envía una consulta a un servidor DNS para traducir un dominio a una dirección
IP y el servidor regresa una respuesta sin consultar a otros servidores DNS) y las cargas del paquete de
respuesta. Consulte Descripción general del DNS para obtener más información en segundo plano sobre
DNS.
La inteligencia de amenazas que recoge el cortafuegos de la supervisión de DNS pasivo consiste únicamente
en asignaciones de dominios a direcciones IP. Palo Alto Networks no conserva ningún registro del origen de
estos datos y no tiene ninguna posibilidad de asociarlos al remitente en el futuro. El equipo de investigación
de amenazas de Palo Alto Networks utiliza la información sobre el DNS pasivo para conocer mejor la
propagación de malware y las técnicas de evasión que se aprovechan del sistema DNS. La información
recogida mediante esta recolección de datos se utiliza para mejorar la categoría de URL de PAN-DB y la
precisión de firmas C2 basadas en DNS, y la detección de malware de WildFire.
El cortafuegos reenvía respuestas de DNS solo cuando se cumplen los siguientes requisitos:
• El bit de respuesta de DNS se ha establecido
• El bit truncado de DNS no se ha establecido
• El bit recursivo de DNS no se ha establecido
• El código de respuesta de DNS es 0 o 3 (NX)
• El recuento de preguntas de DNS es superior a 0
• El recuento de RR de respuestas de DNS es superior a 0 o, si es 0, las marcas deben ser 3 (NX)
• El tipo de registro de consulta de DNS es A, NS, CNAME, AAAA, MX
Habilitación de la telemetría
Cuando habilita la telemetría, define qué datos recoge el cortafuegos y comparte con Palo Alto Networks.
En algunas configuraciones de telemetría, puede previsualizar los datos que su cortafuegos envía antes de
confirmar. El cortafuegos utiliza la ruta de servicio de los servicios de Palo Alto Networks para enviar los
datos que comparte de la telemetría con Palo Alto Networks.
STEP 1 | Seleccione Device (Dispositivo) > Setup (Configuración) > Telemetry (Telemetría) y edite la
configuración de telemetría.
STEP 2 | Seleccione los datos de telemetría que desea compartir con Palo Alto Networks. Para
obtener descripciones más específicas sobre estos datos, consulte ¿Qué datos de telemetría
recopila el cortafuegos? De manera predeterminada, toda la configuración de telemetría está
deshabilitada.

Para habilitar las capturas de paquetes de prevención de amenazas, también debe
habilitar los datos de prevención de amenazas.
STEP 3 | Abra un ejemplo de informe ( ) para visualizar el tipo de datos que recoge el cortafuegos
para los informes de aplicaciones, los informes de prevención de amenazas, los informes de
URL y los informes de identificación de tipo de archivo.
El ejemplo de informe, en formato XML, se basa en la actividad de su cortafuegos en las primeras 4 horas
desde que visualizó por primera vez el ejemplo de informe. Un ejemplo de informe no muestra ninguna
entrada si el cortafuegos no encontró ningún tráfico coincidente para el informe. El cortafuegos solo
recoge nueva información para un ejemplo de informe cuando reinicia el cortafuegos y abre un ejemplo
de informe.
La figura a continuación muestra un ejemplo de informe de los informes de prevención de amenazas:

Los informes de aplicaciones, los informes de prevención de amenazas, los informes de URL y los
informes de identificación de tipo de archivo incluyen varios informes. En el ejemplo de informe, Type
(Tipo) describe el nombre de un informe. Aggregate (Agregado) enumera los campos de logs que el
cortafuegos recoge para el informe (consulte Descripciones de los campos de Syslog para determinar el
nombre de los campos como aparecen en los logs del cortafuegos). Values (Valores) indica las unidades
de medida utilizadas en el informe (por ejemplo, el valor count (recuento) para el informe Attackers
(Atacantes) (threat [amenaza]) corresponde a la cantidad de veces que el cortafuegos detectó una
amenaza asociada a una ID de amenaza particular).
STEP 4 | Visualice el tipo de datos que recoge el cortafuegos para las estadísticas de uso del producto.
Introduzca el siguiente comando operativo de la CLI: show system info
STEP 5 | Haga clic en OK (Aceptar) y en Commit (Confirmar) para aplicar los cambios.
STEP 6 | Si habilitó las opciones Threat Prevention Data (Datos de prevención de amenazas) y Threat
Prevention Packet Captures (Capturas de paquetes de prevención de amenazas), visualice los
datos que recoge el cortafuegos.
1. Edite la configuración de la telemetría.
2. Haga clic en Download Threat Prevention Data (Descargar los datos de prevención de amenazas)
( ) para descargar un archivo tarball (.tar.gz) con las 100 carpetas de datos más recientes que
recogió el cortafuegos de Threat Prevention Data (Datos de prevención de amenazas) y Threat
Prevention Packet Captures (Captura de paquetes de prevención de amenazas). Si nunca habilitó
estas configuraciones o si las habilitó, pero no hay eventos de amenaza que coincidan con las
condiciones para estas configuraciones, el cortafuegos no generará un archivo y, en su lugar,
devolverá un mensaje de error.
Actualmente, no existe una manera de visualizar la información de DNS que recoge el cortafuegos
mediante la supervisión de DNS pasivo.

Uso de consultas de DNS para identificar hosts
infectados en la red
La acción de sinkhole de DNS de los perfiles de antispyware permite que el cortafuegos genere una
respuesta a una consulta de DNS para un dominio malicioso conocido o para un dominio personalizado, de
modo que pueda identificar los hosts de su red que se infectaron con malware. Por defecto, las consultas
DNS a cualquier dominio incluido en la lista de firmas de DNS de Palo Alto Networks se envían a un
sinkhole a una dirección IP de servidor de Palo Alto Networks. Los siguientes temas brindan detalles sobre
cómo habilitar el sinkhole de DNS para dominios personalizados y cómo identificar hosts infectados.
• Sinkholing de DNS
• Configuración del sinkholing de DNS para una lista de dominios personalizados
• Configuración de la dirección IP del sinkhole en un servidor local de la red
• Identificación de hosts infectados
Sinkholing de DNS
La función de sinkholing de DNS facilita la identificación de hosts infectados en la red protegida mediante
tráfico DNS en situaciones en las que el cortafuegos no puede ver la consulta de DNS del cliente infectado
(es decir, el cortafuegos no puede ver el originador de la consulta de DNS). En una implementación típica,
donde el cortafuegos está antes del servidor DNS local, el log de amenazas identificará la resolución DNS
local como el origen del tráfico en lugar del host infectado. Las consultas de DNS de malware de sinkholing
resuelven este problema de visibilidad al generar respuestas erróneas a las consultas de host de cliente
dirigidas a dominios malintencionados, de modo que los clientes que intenten conectarse a dominios
malintencionados (mediante comando y control, por ejemplo) intentarán, en cambio, conectarse a una
dirección IP sinkhole de Palo Alto Networks o a una dirección IP definida por el usuario, como se describe
en Configure DNS Sinkholing for a List of Custom Domains (Configuración del sinkholing de DNS para una
lista de dominios personalizados). Los hosts infectados pueden identificarse fácilmente en los logs de tráfico
porque cualquier host que intente conectarse a la dirección IP sinkhole probablemente esté infectado con
malware.
Si desea habilitar el sinkholing de DNS para las firmas de DNS de Palo Alto Networks, adjunte el perfil
antispyware predeterminado a una regla de la política de seguridad (consulte Configuración de antivirus,
antispyware y protección frente a vulnerabilidades). Las consultas DNS a cualquier dominio incluido en
las firmas de DNS de Palo Alto Networks se resolverán en la dirección IP de sinkhole por defecto de Palo
Alto Networks. Las direcciones IP actualmente son IPv4 (71.19.152.112 y una dirección de bucle invertido
IPv6)::1. Esta dirección está sujeta a cambios y puede actualizarse con actualizaciones de contenido.

Figure 7: Ejemplo de sinkholing de DNS
Configuración del sinkholing de DNS para una lista de dominios

personalizados
Para habilitar el sinkholing para una lista personalizada de dominios, debe crear una lista externa dinámica
que incluya los dominios, habilite la acción de sinkhole en un perfil antispyware y adjunte el perfil a una
regla de política de seguridad. Cuando un cliente intenta acceder a un dominio malintencionado de la lista, el
cortafuegos falsifica la dirección IP de destino en el paquete al servidor por defecto de Palo Alto Networks
o a una dirección IP definida por el usuario para el sinkholing.
Para cada dominio personalizado incluido en la lista dinámica externa, el cortafuegos general las firmas de
spyware basadas en DNS. La firma se denomina Custom Malicious DNS Query <domain name> y es del tipo
spyware con gravedad media; cada firma es un hash de 24 bytes del nombre de dominio.
Cada modelo de cortafuegos admite un máximo de 50 000 nombres de dominio en una o más listas
dinámicas, pero no se fuerza un límite máximo para ninguna otra lista.
STEP 1 | Habilite el sinkholing de DNS para la lista personalizada de dominios en una lista dinámica
externa.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-Spyware.
2. Modifique un perfil existente o seleccione uno de los perfiles por defecto existentes y duplíquelo.
3. Asigne un nombre al perfil en Name y, a continuación, seleccione la pestaña DNS Signatures.
4. Haga clic en Add (Añadir) y seleccione External Dynamic Lists (Listas dinámicas externas) en la lista
desplegable.
Si ya ha creado una lista dinámica externa de tipo: Lista de dominio, puede

seleccionarla aquí. El menú desplegable no muestra listas dinámicas externas de tipo
URL o direcciones IP que pueda haber creado.

5. Configure la lista dinámica externa del perfil Anti-Spyware (consulte Configuración del cortafuegos
para acceder a una lista dinámica externa). El Type (Tipo) está preconfigurado en Domain List (Lista
de dominios).
6. (Opcional) En la lista desplegable Packet Capture (Captura de paquetes), seleccione single-packet (un
solo paquete) para capturar el primer paquete de la sesión o extended-capture (captura extendida)
para configurar entre 1 y 50 paquetes. A continuación, puede usar las capturas de paquete para un
análisis más detallado.
STEP 2 | Verifique los ajustes de sinkholing en el perfil de antispyware.

1. En la pestaña DNS Signatures (Firmas DNS), verifique que Action (Acción) on DNS Queries (sobre
consultas DNS) sea sinkhole.
2. En la sección Sinkhole, verifique que Sinkhole esté habilitado. Para su conveniencia, la dirección
IP del sinkhole por defecto se configura para acceder a un servidor de Palo Alto Networks. Palo
Alto Networks puede actualizar automáticamente esta dirección IP a través de actualizaciones de
contenido.
Si desea modificar la dirección de Sinkhole IPv4 o Sinkhole IPv6 en un servidor local de su red o en
una dirección de bucle invertido, consulte Configuración de la dirección IP de sinkhole en un servidor
local o en su red.
3. Haga clic en OK (Aceptar) para guardar el perfil de antispyware.
STEP 3 | Adjunte el perfil de antispyware a una regla de política de seguridad.

2. En la pestaña Actions (Acciones), seleccione la casilla de verificación Log at Session Start (Crear log al
inicio de la sesión) para habilitar el registro de logs.
3. En la sección Profile Setting (Configuración de perfil), haga clic en el menú desplegable Profile Type
(Tipo de perfil) para ver todos los Profiles (Perfiles). Haga clic en el menú desplegable Anti-Spyware y
seleccione el nuevo perfil.
4. Haga clic en OK (Aceptar) para guardar la regla de política.
STEP 4 | Compruebe que la acción de política esté forzada.

1. Visualice las entradas de lista dinámica externa que pertenezcan a la lista de dominio y acceda a un
dominio desde la lista.
2. Para supervisar la actividad del cortafuegos:
1. Seleccione ACC y añada un dominio de URL como filtro global para ver la actividad de amenazas y
la actividad bloqueada para el dominio al cual accedió.
2. Seleccione Monitor (Supervisar) > Logs > Threat (Amenaza) y filtre por (action eq
sinkhole) para visualizar los logs en los dominios de sinkhole.

STEP 5 | Verifique si las entradas en la lista dinámica externa se ignoraron u omitieron.
Use el siguiente comando CLI en el cortafuegos para revisar los detalles de la lista.
request system external-list show type domain name <list_name>
Por ejemplo:
request system external-list show type domain name

My_List_of_Domains_2015
vsys1/EBLDomain:
Next update at : Thu May 21 10:15:39 2015
Source : https://1.2.3.4/My_List_of_Domains_2015
Referenced : Yes
Valid : Yes
Number of entries : 3
domains:www.example.com
baddomain.com
qqq.abcedfg.com
STEP 6 | (Opcional) Recupere la lista dinámica externa a pedido.

Para forzar que el cortafuegos recupere la lista actualizada a pedido en lugar de hacerlo en el siguiente
intervalo de actualización (la frecuencia de Repeat [Repetición] que definió para la lista dinámica
externa), use el siguiente comando CLI:
request system external-list refresh type domain name <list_name>
Como alternativa, puede usar la interfaz del cortafuegos para recuperar una lista dinámica
externa del servidor web.
Configuración de la dirección IP del sinkhole en un servidor local

de la red
Por defecto, la función de sinkholing está habilitada para todas las firmas DNS de Palo Alto Network, y
la dirección IP de sinkhole está configurada para acceder a un servidor de Palo Alto Network. Use las
instrucciones de esta sección si desea configurar la dirección IP de sinkhole en un servidor local de la red.
Debe obtener las direcciones IPv4 e IPv6 para usar como direcciones IP de sinkhole, debido a que el
software malintencionado puede realizar consultas de DNS mediante uno o ambos protocolos. La dirección
de sinkhole de DNS debe estar una zona distinta de la de los hosts de cliente para garantizar que cuando un
host infectado intente iniciar una sesión con la dirección IP de sinkhole, se enrute a través del cortafuegos.
Las direcciones de sinkhole se deben reservar con este fin y no es necesario asignarlas a
un host físico. Además, puede utilizar un servidor honey-pot (trampa) como host físico para
analizar más detenidamente el tráfico malintencionado.
Para los siguientes pasos de configuración, se utilizan las siguientes direcciones de sinkhole
de DNS de ejemplo:
Dirección de sinkhole de DNS IPv4: 10.15.0.20
Dirección de sinkhole de DNS IPv6: fd97:3dec:4d27:e37c:5:5:5:5

STEP 1 | Configure la interfaz de sinkhole y la zona.
El tráfico de la zona en la que se encuentran los hosts de cliente se debe enrutar a la zona en la que se ha
definido la dirección IP de sinkhole para que se registre el tráfico.
Utilice una zona específica para el tráfico de sinkhole, ya que el host infectado enviará
tráfico a esta zona.
1. Seleccione Network (Red) > Interfaces y seleccione una interfaz para configurar como su interfaz de
sinkhole.
2. En la lista desplegable Interface Type (Tipo de interfaz), seleccione Layer3.
3. Para añadir una dirección IPv4, seleccione la pestaña IPv4, seleccione Static (Estático) y, a
continuación, haga clic en Add (Añadir). En este ejemplo, añada 10.15.0.20 como la dirección IPv4 de
DNS sinkhole.
4. Seleccione la pestaña IPv6, haga clic en Static (Estático) y, a continuación, haga clic en Add (Añadir) y
especifique una dirección IPv6 y una máscara de subred. En este ejemplo, fd97:3dec:4d27:e37c::/64
es la dirección de sinkhole IPv6.
5. Haga clic en OK (Aceptar) para guardar.
6. Para añadir una zona para el sinkhole, seleccione Network (Red) > Zones (Zonas) y haga clic en Add
(Añadir).
7. Especifique un Name (Nombre) para la zona.
8. En la lista desplegable Type (Tipo), seleccione Layer3.
9. En la sección Interfaces, haga clic en Add (Añadir) y añada la interfaz que ha configurado.
STEP 2 | Habilite el sinkholing DNS.

Por defecto, el sinkholing está habilitado para todas las firmas DNS de Palo Alto Networks. Para cambiar
la dirección de sinkhole a su servidor local, consulte el paso Verificar los ajustes de sinkholing en el perfil
anti-spyware. en Configuración del sinkholing de DNS para una lista de dominios personalizados.
STEP 3 | Edite la regla de la política de seguridad que permite el tráfico de los hosts de cliente de la zona
de confianza a la zona que no es de confianza para incluir la zona de sinkhole como un destino
y adjuntar el perfil de antispyware.
La modificación de las reglas de política de seguridad que permiten el tráfico desde hosts clientes en la
zona fiable hacia la zona no fiable garantiza la identificación del tráfico de hosts infectados. Al añadir la
zona de sinkhole como un destino en la regla, permite que los clientes infectados envíen consultas de
DNS falsas al sinkhole de DNS.
2. Seleccione una regla existente que permita el tráfico de la zona del host de cliente a la zona que no es
de confianza.
3. En la pestaña Destination (Destino), seleccione Add (Añadir) para añadir la zona de sinkhole. Esto
permite que el tráfico del host de cliente fluya hasta la zona de sinkhole.
4. En la pestaña Actions (Acciones), seleccione la casilla de verificación Log at Session Start (Log al
iniciar sesión) para habilitar el registro de logs. De este modo, garantiza que el tráfico de los hosts
de cliente de la zona de confianza se registre al acceder a las zonas que no son de confianza o de
sinkhole.
5. En la sección Profile Setting (Ajuste de perfil), seleccione el perfil de Antispyware en el que ha
habilitado el sinkholing de DNS.
6. Haga clic en OK (Aceptar) para guardar la regla de política de seguridad y, a continuación, en Commit
(Confirmar).

STEP 4 | Para confirmar que podrá identificar los hosts infectados, compruebe si el tráfico desde el host
cliente de la zona de confianza hasta la nueva zona de sinkhole se está registrando.
En este ejemplo, el cliente de host infectado es 192.168.2.10 y la dirección IPv4 de sinkhole es
10.15.0.20.
1. En un host de cliente de la zona de confianza, abra un símbolo del sistema y ejecute el siguiente
comando:
C:\>ping <sinkhole address>
La salida del siguiente ejemplo muestra la solicitud de ping a la dirección de sinkhole de DNS en
10.15.0.2 y el resultado, que es Request timed out debido a que en este ejemplo la dirección IP
de sinkhole no se ha asignado a un host físico:
C:\>ping 10.15.0.20
Pinging 10.15.0.20 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 10.15.0.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
2. En el cortafuegos, seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) y encuentre la entrada
de log con el origen 192.168.2.10 y el destino 10.15.0.20. Esto confirma que el tráfico para la
dirección IP de sinkhole atraviesa las zonas del cortafuegos.
Puede buscar o filtrar los logs y mostrar solo los logs con el destino 10.15.0.20. Para
ello, haga clic en la dirección IP (10.15.0.20) en la columna Destination (Destino), lo
que añadirá el filtro (addr.dst en 10.15.0.20) al campo de búsqueda. Haga clic en el
icono Aplicar filtro a la derecha del campo de búsqueda para aplicar el filtro.
STEP 5 | Compruebe que el sinkholing de DNS esté configurado correctamente.

Está simulando la acción que un host cliente infectado realizaría cuando una aplicación malintencionada
intenta una notificación de instalación.
1. Detecte un dominio malintencionado que esté incluido en la base de datos de firmas de antivirus
actual del cortafuegos para comprobar el sinkholing.
1. Seleccione Device (Dispositivo) > Dynamic (Dinámico) Updates (Actualizaciones) y en la sección
Antivirus, haga clic en el enlace Release Notes (Notas de versión) para la base de datos de
antivirus instalada actualmente. También puede buscar las notas de versión del antivirus que
enumeran las actualizaciones de firma incrementales en la sección de actualizaciones dinámicas
del sitio de asistencia técnica de Palo Alto Networks.
2. En la segunda columna de las notas de la versión, busque un elemento de línea con una extensión
de dominio (por ejemplo, com, edu o net). En la columna de la izquierda se muestra el nombre del
dominio. Por ejemplo, en la versión de antivirus 1117-1560, hay un elemento en la columna de la
izquierda llamado "tbsbana" y en la columna de la derecha se muestra "net".
A continuación se muestra el contenido de las notas de la versión para este elemento de línea:
conficker:tbsbana 1
variants: net
2. En el host de cliente, abra un símbolo del sistema.
3. Realice la acción NSLOOKUP para una dirección URL identificada como un dominio malintencionado
conocido.

Por ejemplo, si se usa la dirección URL track.bidtrk.com:
C:\>nslookup
track.bidtrk.com
Server: my-local-dns.local
Address: 10.0.0.222
Non-authoritative answer:
Name: track.bidtrk.com.org
Addresses: fd97:3dec:4d27:e37c:5:5:5:510.15.0.20
En la salida, observe que la acción NSLOOKUP para el dominio malintencionado se ha falsificado

mediante las direcciones IP de sinkhole que configuramos (10.15.0.20). Dado que el dominio coincide
con una firma DNS malintencionada, se realiza la acción sinkhole.
4. Seleccione Monitor (Supervisar) > Logs > Threat (Amenaza) y busque la entrada de log de amenaza
correspondiente para comprobar si se ha realizado la acción correcta en la solicitud NSLOOKUP.
5. Haga ping a track.bidtrk.com, lo que genera tráfico de red para la dirección de sinkhole.
Identificación de hosts infectados

Después de configurar la función de sinkholing de DNS y comprobar si el tráfico para un dominio
malintencionado se dirige a la dirección de sinkhole, debe supervisar regularmente el tráfico para la
dirección de sinkhole para poder hacer un seguimiento de los hosts infectados y eliminar la amenaza.
• Utilice Appscope para identificar los hosts de cliente infectados.

1. Seleccione Monitor (Supervisar) > App Scope y seleccione Threat Monitor (Supervisor de amenazas).
2. Haga clic en el botón Show spyware (Mostrar spyware) de la parte superior de la página mostrada.
3. Seleccione un intervalo de tiempo.
En la siguiente captura de pantalla se muestran tres casos de consultas de DNS sospechosas,
generadas cuando el host de cliente de prueba realizó una acción NSLOOKUP en un dominio
malintencionado conocido. Haga clic en el gráfico para ver más detalles del evento.

• Configure un informe personalizado para identificar todos los hosts de cliente que envían
tráfico a la dirección IP de sinkhole, que es 10.15.0.20 en este ejemplo.
Reenvíe la información a un gestor de SNMP, a un servidor Syslog o a Panorama para

habilitar las alertas para estos eventos.
En este ejemplo, el host de cliente infectado realiza una acción NSLOOKUP para un dominio
malintencionado conocido incluido en la base de datos de firmas DNS de Palo Alto Networks. A
continuación, la consulta se envía al servidor DNS local, el cual reenvía la solicitud a través del
cortafuegos a un servidor DNS externo. La política de seguridad del cortafuegos con el perfil
de antispyware configurado coincide con la consulta enviada a la base de datos de firmas DNS,
la cual falsifica a continuación la respuesta mediante la dirección de sinkhole de 10.15.0.20 y
fd97:3dec:4d27:e37c:5:5:5:5. El cliente intenta iniciar una sesión y el log de tráfico registra la actividad
con el host de origen y la dirección de destino, que ahora se dirige a la dirección de sinkhole falsa.
La visualización del log de tráfico en el cortafuegos permite identificar cualquier host de cliente que
envíe tráfico a la dirección de sinkhole. En este ejemplo, los logs muestran que la dirección de origen
192.168.2.10 ha enviado la consulta de DNS malintencionada. A continuación, el host se puede buscar
y limpiar. Sin la opción de sinkhole de DNS, el administrador solo vería el servidor DNS local como el
sistema que ha realizado la consulta y no vería el host de cliente infectado. Si intenta ejecutar un informe
en el log de amenazas mediante la acción “sinkhole”, el log muestra el servidor DNS local, pero no el host
infectado.
1. Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes personalizados).
2. Haga clic en Add (Añadir) y asigne un Name (Nombre) al informe.
3. Defina un informe personalizado que capture el tráfico para la dirección de sinkhole del modo
siguiente:

• Database (Base de datos): seleccione Traffic Log (Registro de tráfico).
• Scheduled (Programado): habilite Scheduled (Programado) para que el informe se ejecute cada
noche.
• Time Frame (Periodo): 30 días.
• Selected Columns (Columnas seleccionadas): seleccione Source address (Dirección de origen)
o Source User (Usuario de origen) (si ha configurado User-ID) para identificar el host de cliente
infectado en el informe y seleccione Destination address (Dirección de destino), la cual será la
dirección de sinkhole.
• En la sección de la parte inferior de la pantalla, cree una consulta personalizada para el tráfico de
la dirección de sinkhole (10.15.0.20 en este ejemplo). Puede especificar la dirección de destino
en la ventana Query Builder (Generador de consultas) (addr.dst en 10.15.0.20) o seleccionar lo
siguiente en cada columna y hacer clic en Add (Añadir): Connector = and, Attribute = Destination
Address, Operator = in y Value = 10.15.0.20. Haga clic en Add (Añadir) para añadir la consulta.
4. Haga clic en Run Now (Ejecutar ahora) para ejecutar el informe. El informe muestra todos los hosts
de cliente que han enviado tráfico a la dirección de sinkhole, lo que indica que es probable que estén
infectados. A continuación, puede hacer un seguimiento de los hosts y comprobarlos para detectar
spyware.
5. Para ver los informes programados que se han ejecutado, seleccione Monitor (Supervisar) > Reports
(Informes).

Supervisión de direcciones IP bloqueadas
El cortafuegos mantiene una lista de bloqueo de las direcciones IP de origen que está bloqueando. Cuando
el cortafuegos bloquea una dirección IP de origen, tal como cuando configura alguna de las siguientes reglas
de política, bloquea el tráfico en el hardware antes de que esos paquetes utilicen recursos de búfer de
paquetes o CPU:
• Una regla de política de protección DoS clasificada con la acción de Protect (Proteger) (una política
de protección DoS clasificada especifica que las conexiones entrantes coinciden con una dirección
IP, dirección IP de destino o par de dirección IP de origen y destino, y está asociada con un perfil de
protección DoS clasificado, según se describe en Supervisión de direcciones IP bloqueadas)
• Una regla de política de seguridad que utiliza un perfil de protección frente a vulnerabilidades.
El bloqueo de direcciones IP de hardware es compatible con los cortafuegos PA-3060, PA-3050 y con los
cortafuegos de la serie PA-5000, PA-5200 y PA-7000.
Puede ver la lista de bloqueo, obtener información detallada sobre una dirección IP en la lista de bloqueo o
ver cuentas de direcciones que el hardware y software están bloqueando. Puede eliminar una dirección IP
de la lista si considera que no deben bloquearse. Puede cambiar el origen de la información detallada sobre
direcciones en la lista. También puede cambiar por cuánto tiempo el hardware bloqueará las direcciones IP.
• Visualice las entradas en la lista de bloqueo.

1. Seleccione Monitor (Supervisar) > Block IP List (Lista de bloqueo de IP).
Las entradas en la lista de bloqueo indican en la columna Type (Tipo) si fueron bloqueadas por
hardware (hw) o software (sw).
2. Observe lo siguiente en la parte inferior de la pantalla:
• Recuento de Total Blocked IPs (IP totales bloqueadas) en relación con el número de direcciones
IP bloqueadas que admite el cortafuegos.
• El porcentaje de la lista de bloqueo que ha usado el cortafuegos.
3. Para filtrar las entradas mostradas, seleccione un valor en una columna (que crea un filtro en el
campo Filters [Filtros]) y aplique el filtro ( ). De lo contrario, el cortafuegos muestra las primeras
1000 entradas.
4. Ingrese un número de Page (Página) o haga clic en las flechas en la parte inferior de la pantalla para
avanzar en las páginas de entradas.
5. Para ver detalles sobre una dirección en la lista de bloqueo, pase el ratón sobre una dirección IP de
origen y haga clic en la flecha hacia abajo. Haga clic en el enlace Who Is, que muestra información de
Network Solutions Who Is acerca de la dirección.
• Elimine entradas de la lista de bloqueo.

Puede eliminar una entrada si determina que una dirección IP no debería bloquearse.
Luego debe revisar la regla de política que hizo que el cortafuegos bloquee la dirección.
1. Seleccione Monitor (Supervisar) > Block IP List (Lista de bloqueo de IP).

2. Seleccione una o más entradas y haga clic en Delete (Eliminar).
3. (Opcional) Seleccione Clear All (Borrar todo) para eliminar todas las entradas de la lista.
• Deshabilite o vuelva a habilitar el bloqueo de direcciones IP de hardware para fines de solución

de problemas.
Si bien el bloqueo de direcciones IP de hardware está deshabilitado, el cortafuegos

continúa realizando el bloqueo de direcciones IP de software que usted ha configurado.
> set system setting hardware-acl-blocking [enable | disable]
Deje el bloqueo de direcciones IP de hardware habilitado, a menos que el servicio

técnico de Palo Alto Networks le solicite que lo deshabilite; por ejemplo, si se está
depurando un flujo de tráfico.
• Ajuste la cantidad de segundos que las direcciones IP bloqueadas por el hardware

permanecerán en la lista de bloqueo (el intervalo es de 1 a 3600; el valor predeterminado es 1).
> set system setting hardware-acl-blocking duration <seconds>
Mantenga una duración más breve para las entradas de lista de bloqueo de hardware
que para las entradas de lista de bloqueo de software, a fin de reducir la probabilidad de
superar la capacidad de bloqueo del hardware.
• Cambie el sitio web predeterminado para encontrar más información sobre una dirección IP de
Network Solutions Who Is a otro sitio web.
# set deviceconfig system ip-address-lookup-url <url>
• Visualice los recuentos de direcciones IP bloqueadas por hardware y software; por ejemplo,
para ver la tasa de ataques.
Visualice la suma total de entradas de direcciones IP en la tabla de bloqueo de hardware y la lista de
bloqueo (bloqueadas por hardware y software):
> show counter global name flow_dos_blk_num_entries
Visualice el recuento de entradas de direcciones IP en la tabla de bloqueo de hardware que fueron

bloqueadas por hardware:
> show counter global name flow_dos_blk_hw_entries
Visualice el recuento de entradas de direcciones IP en la lista de bloqueo que fueron bloqueadas por
software:

> show counter global name flow_dos_blk_sw_entries
• Visualice la información de la lista de bloqueo por ranura en un cortafuegos de la serie

PA-7000.
> show dos-block-table software filter slot <slot-number>

Obtenga más información y evalúe las
amenazas
Las funciones Threat Vault (Baúl de amenazas) y AutoFocus se incluyen en el cortafuegos con el fin de
hacer visible la naturaleza de las amenazas que detecta el cortafuegos y para proporcionar una perspectiva
más completa de cómo un artefacto se adapta al tráfico de red de su organización (un artefacto es una
propiedad, una actividad o un comportamiento asociado a un archivo, un enlace de correo electrónico o
una sesión). Estas funciones le permiten obtener el doble de información contextual inmediata sobre una
amenaza o realizar un cambio de su investigación sobre amenazas desde cortafuegos hacia Threat Vault y
AutoFocus sin inconvenientes.
Además, puede utilizar las categorías de amenazas (que clasifican los tipos de eventos de amenazas) para
reducir su vista de ciertos tipos de actividad de amenazas o para crear informes personalizados.
• Evaluación de los artefactos del cortafuegos con AutoFocus
• Más información sobre las firmas de amenazas
• Supervisión de actividad y creación de informes personalizados en función de las categorías de amenazas
Evaluación de los artefactos del cortafuegos con AutoFocus

Utilice el resumen de inteligencia de AutoFocus para que un artefacto evalúe su onmipresencia en su red y
las amenazas asociadas a ella.
• Resumen de inteligencia de AutoFocus
• Visualice y actúe en función de los datos del resumen de inteligencia de AutoFocus
Resumen de inteligencia de AutoFocus

El resumen de inteligencia de AutoFocus ofrece una vista centralizada de la información sobre un artefacto
que AutoFocus extrajo de la inteligencia de amenazas que se recopilar a partir de otros usuarios de
AutoFocus, WildFire, la base de datos de filtrado de URL de PAN-DB, la Unidad 42 y la inteligencia de
código abierto.

Analysis Information La pestaña Analysis Information (Información del análisis) muestra la siguiente
información:
• Sesiones: la cantidad de veces que se inició sesión en su cortafuegos y se
detectaron muestras asociadas al artefacto.
• Muestras: una comparación de las muestras de la organización y muestras
globales asociadas al artefacto o agrupadas por veredicto de WildFire
(benigna, malware o greyware). Global se refiere a muestras de todas los
envíos de WildFire, mientras que organización se refiere solo a muestras
enviadas a WildFire por su organización.
• Etiquetas coincidentes: las etiquetas de AutoFocus que coinciden con
el artefacto. Las etiquetas de AutoFocus indican si un artefacto está
vinculado con malware o ataques dirigidos.
DNS pasivo La pestaña Passive DNS (DNS pasivo) muestra el historial de DNS pasivo que
incluye el artefacto. El historial de DNS pasivo se basa en la inteligencia de
DNS global en AutoFocus; no se limita a la actividad de DNS en su red. El
historial de DNS pasivo consiste en lo siguiente:
• La solicitud de dominio
• El tipo de solicitud DNS
• La dirección IP o el dominio producto de la resolución de la solicitud DNS
(las direcciones IP privadas no se muestran)
• La cantidad de veces que se realizó la solicitud
• La fecha y la hora en la que la solicitud se vio por primera y última vez
Matching Hashes La pestaña Matching Hashes (Hashes coincidentes) muestra las 5 muestras
coincidentes que se detectaron más recientemente. La información de las
muestras incluye:
• El hash SHA256 de la muestra

• El tipo de archivo de la muestra
• La fecha y la hora en la que WildFire analizó la muestra y le asignó un
veredicto de WildFire
• El veredicto de WildFire para la muestra
• La fecha y la hora en la que WildFire actualizó el veredicto de WildFire
para la muestra (si corresponde)
Visualice y actúe en función de los datos del resumen de inteligencia de

AutoFocus
Interactúe con el resumen de inteligencia de AutoFocus para mostrar más información sobre un artefacto
o extender su búsqueda de artefactos a AutoFocus. Las etiquetas de AutoFocus revelan si el artefacto se
asocia a ciertos tipos de malware o comportamiento malicioso.
STEP 1 | Confirme que el cortafuegos está conectado a AutoFocus.

Garantice la Habilitación de la inteligencia contra amenazas AutoFocus del cortafuegos (se requiere una
suscripción activa de AutoFocus).
STEP 2 | Busque artefactos para investigar.

Puede ver un resumen de inteligencia de AutoFocus de los artefactos cuando realiza las siguientes
acciones:
• Visualización de logs (solo tráfico, amenaza, filtrado de URL, envíos de WildFire, filtrado de datos y
logs unificados).
• Visualización de entradas de lista dinámica externa.
STEP 3 | Coloque el cursor sobre un artefacto para abrir el menú desplegable y haga clic en AutoFocus.
El resumen de inteligencia de AutoFocus solo se encuentra disponible en los siguientes tipos de

artefactos:
IP Address (Dirección IP)
URL
Dominio
Agente de usuario
Nombre de la amenaza (solo para las amenazas de los virus de subtipos y wildfire)
Filename
Hash SHA-256

STEP 4 | Inicie una búsqueda en AutoFocus para buscar el artefacto para el que abrió el resumen de
inteligencia de AutoFocus.
Haga clic en el enlace Search AutoFocus for... (Buscar en AutoFocus...) en la parte superior de la ventana
de resumen de inteligencia de AutoFocus. Los resultados de la búsqueda incluyen todos los ejemplos
asociados al artefacto. Alterne entre las pestañas My Samples (Mis ejemplos) y All Samples (Todos
los ejemplos) y compare la cantidad de muestras para determinar la omnipresencia del artefacto en su
organización.
STEP 5 | Inicie una búsqueda en AutoFocus para buscar otros artefactos en el resumen de inteligencia
de AutoFocus.
Haga clic en los siguientes artefactos para determinar su omnipresencia en su organización:
• Veredictos de WildFire en la pestaña Analysis Information (Información del análisis)
• URL y direcciones IP en la pestaña Passive DNS (DNS pasivo)
• Hashes SHA256 en la pestaña Matching Hashes (Hashes coincidentes)
STEP 6 | Vea la cantidad de sesiones asociadas al artefacto de su organización por mes.

Coloque el cursor sobre las barras de sesiones.
STEP 7 | Vea la cantidad de ejemplos asociados al artefacto por alcance y veredicto de WildFire.
Coloque el cursor sobre las barras de ejemplos.
STEP 8 | Vea más detalles sobre las etiquetas coincidentes de AutoFocus

Coloque el cursor sobre una etiqueta coincidente para ver la descripción de la etiqueta y otros detalles
de la etiqueta.

STEP 9 | Vea otros ejemplos asociados a la etiqueta coincidente.
Haga clic en una etiqueta coincidente para que Autofocus inicie una búsqueda de esa etiqueta. Los
resultados de la búsqueda incluyen todos los ejemplos que coinciden con la etiqueta.
Las etiquetas de la unidad 42 identifican las amenazas y las campañas que suponen un riesgo directo de
seguridad. Haga clic en la etiqueta coincidente Unit 42 (Unidad 42) para ver cuántos ejemplos de su red
están asociados a la amenaza que identifica la etiqueta.
STEP 10 | Busque más etiquetas coincidentes para un artefacto.

Haga clic en el botón de puntos suspensivos (...) para que AutoFocus inicie una búsqueda de ese
artefacto. La columna Tags (Etiquetas) en los resultados de la búsqueda muestra más etiquetas que
coinciden con el artefacto, lo que le brinda una idea de otras instancias de malware, comportamientos
maliciosos, actores de amenazas, explotaciones o campañas donde se detecta el artefacto habitualmente.
Más información sobre las firmas de amenazas

Los logs de amenazas del cortafuegos registran todas las amenazas que el cortafuegos detecta en función
de las firmas de amenazas (Configuración de antivirus, antispyware y protección frente a vulnerabilidades) y
el ACC muestra una descripción general de las principales amenazas en su red. Cada evento que registra el
cortafuegos incluye una ID que identifica la firma de amenaza asociada.
Puede utilizar el ID de amenazas encontrada con un log de amenaza o entrada de ACC para realizar las
siguientes tareas:
• Compruebe con facilidad si una firma de amenazas se configuró como una excepción de su política de
seguridad (Creación de excepciones de amenazas).
• Busque la información de Threat Vault más reciente sobre una amenaza específica. Debido a que Threat
Vault está integrada con el cortafuegos, puede ver detalles de las amenazas directamente en el contexto
del cortafuegos o iniciar una búsqueda de Threat Vault en una nueva ventana del explorador para
detectar una amenaza registrada por el cortafuegos.
STEP 1 | Confirme que el cortafuegos está conectado a Threat Vault.

Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y edite la
configuración Logging and Reporting (Creación de logs e informes) como Enable Threat Vault Access
(Habilitar el acceso a Threat Vault). El acceso a Threat Vault se habilita de manera predeterminada.
STEP 2 | Busque el ID de amenazas de las amenazas que detecta el cortafuegos.

• Para ver cada evento de amenaza que detecta el cortafuegos basado en las firmas de amenazas,
seleccione Monitor (Supervisar) > Logs > Threat (Amenaza). Puede encontrar el ID de una entrada de
amenaza de la columna ID o seleccionar la entrada de log para ver los detalles del log, que incluye el
ID de amenaza.
• Para acceder a una descripción general de las amenazas principales de la red, seleccione ACC >
Threat Activity (Actividad de amenazas) y observe el widget de Threat Activity (Actividad de
amenazas). La columna ID muestra el ID de amenazas de cada amenaza que se muestra.
• Para ver los detalles de las amenazas que puede configurar como excepciones de amenazas (es decir,
el cortafuegos aplica la amenaza de manera diferente a la acción predeterminada definida para la
firma de amenazas) seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > Anti-
Spyware/Vulnerability Protection (Antispyware / protección contra vulnerabilidades). Haga clic en
Add (Añadir) para añadir un perfil o modifique uno existente, y haga clic en la pestaña Exceptions
(Excepciones) para ver las excepciones configuradas. Si no se configuran excepciones, puede filtrar
por firmas de amenazas o seleccione Show all signatures (Mostrar todas las firmas).
STEP 3 | Coloque el cursor sobre un Threat Name (Nombre de amenaza) o el ID de amenazas para
abrir el menú desplegable, y haga clic en Exception (Excepción) para revisar los detalles de la
amenaza y cómo se configura el cortafuegos para aplicar la amenaza.
Por ejemplo, obtenga más información sobre una amenaza principal ilustrada en el ACC:

STEP 4 | Revise los Threat Details (Detalles de amenaza) más recientes de la amenaza e inicie una
búsqueda de Threat Vault en función del ID de amenazas.
• Los detalles de amenazas que se muestran incluyen la información de Threat Vault más reciente para
la amenaza, los recursos que puede utilizar para obtener más información sobre la amenaza y los CVE
asociados a la amenaza.
• Seleccione View in Threat Vault (Ver en Threat Vault) para abrir una búsqueda Threat Vault en una
nueva ventana del explorador y buscar la información más reciente que tiene la base de datos de
amenazas de Palo Alto Networks para esta firma de amenazas.
STEP 5 | Compruebe si una firma de amenazas se configuró como una excepción de su política de
seguridad.
• Si la columna Used in current security rule (Utilizada en la regla de seguridad actual) está vacía, el
cortafuegos aplica la amenaza en función de la acción de la firma predeterminada recomendada (por
ejemplo, bloquear o crear alerta).
• Una marca de verificación en la columna Used in current security rule (Utilizada en la regla de
seguridad actual) indica que una regla de la política de seguridad se configuró para aplicar una acción

no predeterminada a la amenaza (por ejemplo, permitir), en función de la configuración de Exempt
Profiles (Perfiles de exclusión) asociada.
La columna Used in security rule (Utilizada en la regla de seguridad actual) no indica si

la regla de la política de seguridad está habilitada; solo indica si la regla de la política de
seguridad se configuró con una exención de amenaza. Seleccione Policies (Políticas) >
Security (Seguridad) para comprobar si una regla indicada de la política de seguridad
está habilitada.
STEP 6 | Haga clic en Add (Añadir) para añadir una dirección IP para filtrar la excepción de amenaza o
ver las Exempt IP Addresses (Direcciones IP exentas) existentes.
Configure una dirección IP de exención para aplicar una excepción de amenaza solo cuando la sesión
asociada cuente con una dirección IP de origen o de destino coincidente; en el caso de las otras sesiones,
la amenaza se aplica en función de la acción de la firma predeterminada.
Supervisión de actividad y creación de informes personalizados en

función de las categorías de amenazas
Las categorías de amenazas clasifican los diferentes tipos de firmas de amenazas para ayudarle a
comprender y establecer conexiones entre los eventos que detectan las firmas de amenazas. Las categorías
de amenazas son subconjuntos de tipos de firmas de amenazas más amplios: spyware, vulnerabilidad,
antivirus y firmas DNS. Las entradas de log de amenazas muestran la categoría de amenaza de cada evento
registrado.
• Filtre los logs de amenaza por categoría de amenaza.

1. Seleccione Monitor (Supervisar) > Logs > Threat (Amenaza).
2. Añada la columna Threat Category (Categoría de amenaza) para ver la categoría de amenaza de cada
entrada de log:
3. Para implementar un filtro en función de la categoría de amenaza:

• Utilice el generador de consultas de log para añadir un filtro con la categoría de amenaza Attribute
(Atributo) y en el campo Value (Valor), introduzca una categoría de amenaza.
• Seleccione la categoría de amenaza de cualquier entrada del log para añadir esa categoría al filtro:
• Filtre la actividad del ACC por categoría de amenaza.

1. Seleccione ACC y añada una categoría de amenaza como filtro global:

2. Seleccione la categoría de amenaza que se utilizará para filtrar todas las pestañas de ACC.
• Cree informes personalizados basados en las categorías de amenazas para recibir información
sobre tipos específicos de amenazas que detectó el cortafuegos.
1. Seleccione Monitor (Supervisar) > Manage Custom reports (Gestionar informes personalizados) para
añadir un nuevo informe personalizado o modificar uno existente.
2. Seleccione la Database (Base de datos) que se utilizará como el origen del informe personalizado.
En este caso, seleccione Threat (Amenaza) de cualquiera de los dos tipos de orígenes de la base
de datos, base de datos de resumen y logs detallados. Los datos de la base de datos de resumen
se resumen para permitir una respuesta más rápida cuando se generan informes. La generación de
logs detallados requiere más tiempo, pero estos proporcionan un conjunto de datos detallados y
completos de cada entrada del log.
3. En el generador de consultas de log, añada un filtro de informes con el atributo Threat Category
(Categoría de amenaza) y en el campo Value (Valor), seleccione una categoría de amenaza en la que
se basará su informe.
4. Para comprobar la configuración del nuevo informe, seleccione Run now (Ejecutar ahora).
5. Haga clic en OK (Aceptar) para guardar el informe.

Infraestructura de red de entrega de contenido
para actualizaciones dinámicas
Palo Alto Networks mantiene una infraestructura de red de entrega de contenidos (Content Delivery
Network, CDN) para entregar actualizaciones de contenido a los cortafuegos de Palo Alto Networks. Estos
cortafuegos acceden a los recursos web en la CDN para realizar diferentes funciones de App-ID y Content-
ID. Para habilitar y programar las actualizaciones de contenido, consulte Instalación de las actualizaciones de
contenido y software.
La siguiente tabla enumera los recursos de Internet a los que accede el cortafuegos para una función o
aplicación:
Recurso URL Direcciones estáticas (si se requiere un

servidor estático)
Base de datos de • updates.paloaltonetworks.com:443 staticupdates.paloaltonetworks.com o

aplicaciones la dirección IP 199.167.52.15
Base de datos • updates.paloaltonetworks.com:443 staticupdates.paloaltonetworks.com o

amenazas/antivirus la dirección IP 199.167.52.15
• downloads.paloaltonetworks.com:443
Como práctica recomendada,
establezca el servidor de
actualizaciones para que acceda
a updates.paloaltonetworks.com.
De esta forma, el cortafuegos de
Palo Alto Network podrá recibir
actualizaciones de contenido desde
el servidor que esté más cercano en
la infraestructura de CDN.
PAN-DB URL Filtering *.urlcloud.paloaltonetworks.com Las direcciones IP estáticas no están

disponibles. No obstante, puede
Se resuelve como la
resolver manualmente una dirección
dirección URL principal
URL como una dirección IP y permitir
s0000.urlcloud.paloaltonetworks.com
el acceso a la dirección IP del servidor
y, a continuación, se redirige al
regional.
servidor regional más próximo:
• s0100.urlcloud.paloaltonetworks.com
Filtrado de URL de • database.brightcloud.com:443/80 Póngase en contacto con el Servicio de

BrightCloud • service.brightcloud.com:80 atención al cliente de BrightCloud.

Recursos de prevención de amenazas
Para obtener más información sobre la prevención de amenazas, consulte las siguientes fuentes:
• Creación de firmas de amenazas personalizadas
• Implementación de prevención de amenazas
• Comprensión de la protección de DoS
Para ver una lista de las amenazas y aplicaciones que los productos de Palo Alto Networks pueden
identificar, utilice los siguientes enlaces:
• Applipedia: ofrece información sobre las aplicaciones que Palo Alto Networks puede identificar.
• Threat Vault: enumera todas las amenazas que pueden identificar los productos de Palo Alto Networks.
Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al número de
ID para obtener más información acerca de una amenaza.

App-ID
Para habilitar aplicaciones de forma segura en su red, los cortafuegos de nueva generación de
Palo Alto Networks ofrecen una perspectiva tanto web como de aplicación (App-ID y filtrado
de URL) frente a una amplia gama de riesgos legales, normativos, de productividad y de uso de
recursos.
App-ID le permite visualizar las aplicaciones de la red, para que así pueda saber cómo
funcionan y comprender las características de su comportamiento y su riesgo relativo. Este
conocimiento sobre las aplicaciones le permite crear y aplicar reglas de políticas de seguridad
tanto para habilitar, examinar y moldear las aplicaciones deseadas como para bloquear aquellas
que no desea. Cuando defina reglas de políticas para permitir el tráfico, App-ID empezará a
clasificar el tráfico sin ninguna configuración adicional.
> Descripción general de App-ID on page 577

> Gestión de aplicaciones personalizadas o desconocidas on page 578
> Gestión de nuevos App-ID introducidos en versiones de contenido on page 579
> Uso de objetos de aplicación en la política on page 585
> Aplicaciones con compatibilidad implícita on page 591
> Gateways de nivel de aplicación on page 595
> Deshabilitación de la gateway de nivel de aplicación (ALG) SIP on page 597
575
576 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | App-ID
Descripción general de App-ID
App-ID, un sistema de clasificación de tráfico patentado disponible únicamente en los cortafuegos de Palo
Alto Networks, determina qué es la aplicación, independientemente del puerto, el protocolo, el cifrado
(SSH o SSL) o cualquier otra táctica evasiva utilizada por la aplicación. Aplica múltiples mecanismos de
clasificación (firmas de aplicaciones, decodificación de protocolos de aplicaciones y heurística) al flujo de
tráfico de su red para identificar aplicaciones de forma precisa.
App-ID identifica las aplicaciones que pasan por su red de la siguiente forma:
• El tráfico se compara con la política para comprobar si está permitido en la red.
• A continuación, se aplican firmas al tráfico permitido para identificar la aplicación en función de sus
propiedades y características de transacciones. La firma también determina si la aplicación se está
utilizando en su puerto predeterminado o si está utilizando un puerto no estándar. Si la política permite
el tráfico, a continuación, este se examina en busca de amenazas y se analiza en mayor profundidad para
identificar la aplicación de manera más granular.
• Si App-ID determina que el cifrado (SSL o SSH) ya está en uso y se está aplicando una regla de políticas
de Descifrado on page 599, se descifra la sesión y se vuelven a aplicar las firmas de la aplicación sobre
el flujo descifrado.
• Posteriormente, los decodificadores de protocolos conocidos se utilizan para aplicar firmas adicionales
basadas en contextos para detectar otras aplicaciones que podrían estar pasando por dentro del
protocolo (por ejemplo, Yahoo! Instant Messenger a través de HTTP). Los decodificadores validan si el
tráfico cumple con la especificación del protocolo y ofrecen soporte para NAT transversal y la apertura
de pinholes dinámicos para aplicaciones como SIP y FTP.
• Para aplicaciones que son especialmente evasivas y que no se pueden identificar mediante firmas
avanzadas y análisis de protocolos, podrán utilizarse la heurística o el análisis de comportamiento para
determinar la identidad de la aplicación.
Cuando se identifica la aplicación, la comprobación de la política determina cómo tratarla: por ejemplo,
bloquearla o autorizarla y analizarla en busca de amenazas, inspeccionar la transferencia no autorizada de
archivos y patrones de datos o moldearla utilizando QoS.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | App-ID 577

Gestión de aplicaciones personalizadas o
desconocidas
Palo Alto Networks proporciona actualizaciones semanales de aplicaciones para identificar nuevas firmas
App-ID. De manera predeterminada, App-ID siempre está habilitado en el cortafuegos y no necesita
configurar una serie de firmas para identificar aplicaciones conocidas. Normalmente, las únicas aplicaciones
clasificadas como tráfico desconocido (tcp, udp o tcp no sincronizado) en el ACC y los logs de tráfico son
aplicaciones disponibles comercialmente que todavía no se han añadido a App-ID, aplicaciones internas o
personalizadas de su red o posibles amenazas.
En ocasiones, el cortafuegos puede determinar que una aplicación es desconocida por los siguientes
motivos:
• Datos incompletos: Se inicia el protocolo, pero no se ha enviado ningún paquete de datos antes de que
se agote el tiempo de espera.
• Datos insuficientes: Se inicia el protocolo seguido por uno o más paquetes de datos; sin embargo, no se
han intercambiado suficientes paquetes de datos para identificar la aplicación.
Las siguientes opciones son las disponibles para gestionar aplicaciones desconocidas:
• Cree políticas de seguridad para controlar aplicaciones desconocidas por TCP desconocido, UDP
desconocido o por una combinación de zona de origen, zona de destino y direcciones IP.
• Solicite una App-ID de Palo Alto Networks: Si desea inspeccionar y controlar las aplicaciones que
atraviesan su red en busca de tráfico desconocido, puede tomar una captura de paquetes. Si la captura
de paquetes revela que la aplicación es una aplicación comercial, puede enviar dicha captura de paquetes
a Palo Alto Networks para que desarrolle una App-ID. Si es una aplicación interna, puede crear un App-
ID personalizado o definir una política de cancelación de aplicación.
• Creación de una aplicación personalizada on page 586 con una firma y adjúntela a una política de
seguridad, o cree una aplicación personalizada y defina una política de cancelación de aplicación. Una
aplicación personalizada le permite personalizar la definición de la aplicación interna (sus características,
categoría y subcategoría, riesgo, puerto y tiempo de espera) y ejercer un control detallado de las políticas
para minimizar el rango de tráfico no identificado en su red. La creación de una aplicación personalizada
también le permite identificar correctamente la aplicación en el ACC y los logs de tráfico, y resulta
de utilidad a la hora de realizar auditorías/informes de las aplicaciones de su red. En el caso de una
aplicación personalizada, puede especificar una firma y un patrón que identifiquen de manera exclusiva
la aplicación y usarla en una política de seguridad que permita o niegue la aplicación.
De forma alternativa, si desea que el cortafuegos procese la aplicación personalizada utilizando el
método rápido (la inspección de capa 4 en lugar de utilizar App-ID para la inspección de capa 7), puede
hacer referencia al App-ID personalizado en una regla de políticas de cancelación de aplicación. Una
cancelación de aplicación con una aplicación personalizada evitará que el motor de App-ID procese
la sesión, lo cual es una inspección de capa 7. Por el contrario, obliga a que el cortafuegos gestione la
sesión como un cortafuegos de inspección de estado normal en la capa 4, con lo que ahorra tiempo de
procesamiento de la aplicación.
Por ejemplo, si crea una aplicación personalizada que se activa en el encabezado de un host
www.misitioweb.com, los paquetes se identifican primero como navegación web y, a continuación, se
identifican con su aplicación personalizada (cuya aplicación principal es navegación web). Dado que la
aplicación principal es navegación web, la aplicación personalizada se inspecciona como capa 7 y se
examina en busca de contenido y vulnerabilidades.
Si define una cancelación de aplicación, el cortafuegos deja de procesar en la capa 4. El nombre de la
aplicación personalizada se asigna a la sesión para ayudar a identificarla en los logs y no se examina el
tráfico en busca de amenazas.

Gestión de nuevos App-ID introducidos en
versiones de contenido
La instalación de un nuevo App-ID incluido en una versión de contenido a veces puede provocar un cambio
de aplicación de políticas para la aplicación, que ahora se identifica de forma única. Antes de instalar una
nueva versión de contenido, revise cómo afectará la política a los nuevos App-ID y planifique cualquier
actualización de política que sea necesaria. Evalúe el tratamiento que se ofrecerá a una aplicación tanto
antes como después de que se instale el nuevo contenido. Después podrá modificar las reglas de políticas
de seguridad existentes usando los nuevos App-ID contenidos en una versión de contenido descargada
(antes de instalar los App-ID). Esto le permitirá actualizar simultáneamente sus políticas de seguridad e
instalar nuevo contenido, además de cambiar sin problemas la aplicación de políticas. Además, también
puede optar por deshabilitar los nuevos App-ID al instalar una nueva versión de contenido; esto permite
protegerse contra las amenazas más recientes, a la vez que le ofrece flexibilidad para habilitar los nuevos
App-ID después de que haya tenido la posibilidad de preparar cualquier cambio de política.
Las siguientes opciones le permiten evaluar el impacto de una nueva App-ID en la aplicación de las políticas
existentes, deshabilitar (y habilitar) App-ID, y actualizar a la perfección las reglas de políticas para asegurar y
aplicar las aplicaciones recientemente identificadas:
• Revisión de nuevos App-ID
• Deshabilitación o habilitación de App-ID
• Preparación de actualizaciones de política para App-ID pendientes
Revisión de nuevos App-ID

Revise las firmas de los nuevos App-ID presentados en la actualización de contenido de amenazas o
aplicaciones. Para cada firma de aplicación nueva que presente, puede previsualizar los detalles del App-ID,
incluida una descripción de la aplicación identificada por el App-ID, los otros App-ID existentes de los que
depende la nueva firma (como SSL o HTTP) y la categoría que recibió el tráfico de la aplicación antes de que
se introdujera el nuevo App-ID (por ejemplo, una aplicación puede clasificarse como tráfico de navegación
web antes de que se introduzca una firma de App-ID que identifica de forma única el tráfico). Tras revisar
la descripción y los detalles de una firma de App-ID nueva, revise la forma en que la firma App-ID afecta a
la aplicación de la política existente. Cuando se presentan nuevas firmas de aplicación, puede que el tráfico
de aplicación recién identificado no coincida con las políticas que aplicaron previamente a la aplicación. La
revisión del impacto de la política para firmas de nuevas aplicaciones le permite identificar las políticas que
no aplicarán la aplicación cuando se instale el nuevo App-ID.
Tras descargar una nueva versión contenido, revise los nuevos App-ID que se incluyen en la versión de
contenido y evalúe cómo los nuevos App-ID afectarán a las reglas de políticas existentes:
• Revisión de los nuevos App-ID desde la última versión de contenido on page 579
• Revisión del impacto de un App-ID nuevo sobre las reglas de políticas existentes on page 581
Revisión de los nuevos App-ID desde la última versión de

contenido
STEP 1 | Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y Check Now
(Comprobar ahora) para actualizar la lista de actualizaciones de contenido disponibles.

STEP 2 | Seleccione Download (Descargar) para descargar las últimas actualizaciones de contenido de
aplicaciones y amenazas. Cuando descargue la actualización de contenido, aparecerá un enlace
Apps (Aplicaciones) en la columna Features (Funciones) para la actualización de ese contenido.
STEP 3 | Haga clic en el enlace Apps (Aplicaciones) de la columna Features (Funciones) para ver detalles
de aplicaciones recientemente identificadas:
Una lista de App-ID muestra todos los App-ID nuevos introducidos, desde la versión de contenido
instalada en el cortafuegos hasta la versión de contenido de Content Version (Versión de contenido)
seleccionada.
Los detalles App-ID que puede usar para evaluar un posible impacto en la aplicación de políticas
incluyen:
• Depends on (Depende de): enumera las firmas de aplicación en la que se basa este App-ID para
identificar de forma única la aplicación. Si una de las firmas de aplicación enumeradas en el campo
Depends On (Depende de) está deshabilitada, el App-ID que depende de ella también lo estará.
• Previously Identified As (Previamente identificada como): enumera los App-ID que coinciden con la
aplicación antes de que el nuevo App-ID se instale para identificar de forma única la aplicación.
• App-ID Enabled (Habilitado para App-ID): todos los App-ID aparecen como habilitados cuando se
descarga una versión de contenido, a menos que opte por deshabilitar manualmente la firma de App-
ID antes de instalar la actualización de contenido (consulte Deshabilitación o habilitación de App-ID
on page 582).
Los cortafuegos con vsys múltiples muestran los estados de App-ID como vsys-specific (específicos
de vsys). Esto se debe a que el estado no se aplica a distintos sistemas virtuales y debe habilitarse o
deshabilitarse individualmente para cada sistema virtual. Para ver el estado de App-ID de un sistema
virtual específico, haga clic en Objects (Objetos) > Applications (Aplicaciones), seleccione un sistema
virtual en Virtual System (Sistema virtual) y seleccione el App-ID.

• Deshabilitación o habilitación de App-ID on page 582.
• Preparación de actualizaciones de política para App-ID pendientes on page 583.

Revisión del impacto de un App-ID nuevo sobre las reglas de
políticas existentes
STEP 1 | Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas).
STEP 2 | Puede revisar el impacto de las políticas de nuevas versiones de contenido que se descargan
en el cortafuegos. Seleccione Download (Descargar) para descargar una nueva versión de
contenido y haga clic en Review Policies (Revisar políticas) en la columna Action (Acción).
El cuadro de diálogo Policy review based on candidate configuration (Revisión de políticas
basada en la configuración de candidatos) le permite filtrar por Content Version (Versión de
contenidos) y ver los App-ID introducidos en una versión específica (también puede filtrar el
impacto en la política de App-ID nuevos de acuerdo con Rulebase [Base de reglas] y Virtual
System [Sistema virtual]).
STEP 3 | Seleccione un App-ID nuevo en el menú desplegable Application (Aplicación) para ver las
reglas de la política que implementa actualmente la aplicación. Las reglas mostradas se basan
en las firmas de aplicaciones que coinciden con la aplicación antes de que se instale el App-ID
nuevo (vea los detalles de la aplicación para ver la lista de firmas de aplicaciones en Previously
Identified As [Identificado anteriormente como] antes del nuevo App-ID).
STEP 4 | Use los detalles proporcionados en la revisión de la política para planificar actualizaciones de
reglas de políticas que surtan efecto cuando el App-ID se instale y habilite para identificar de
forma única la aplicación.
Puede ir a Preparación de actualizaciones de política para App-ID pendientes on page 583 o añadir
directamente el nuevo App-ID a reglas de políticas con las que se identificaba anteriormente la
aplicación usando el cuadro de diálogo de revisión de políticas.
En el siguiente ejemplo, se ha introducido el nuevo App-ID nube-adobe en una versión de contenido. El
tráfico de nube-adobe se identifica actualmente como tráfico de navegación web y SSL. Se muestran las
reglas de políticas configuradas para aplicar el tráfico de navegación web o SSL para indicar qué reglas
de políticas se verán afectadas cuando se instale el nuevo App-ID. En este ejemplo, la regla Permitir
aplicación SSL aplica actualmente el tráfico SSL. Para seguir permitiendo el tráfico de nube-adobe
cuando se identifica de forma única y deja de identificarse como tráfico SSL:
Añada el nuevo App-ID a las reglas de la política existente de modo que se siga aplicando el tráfico de
aplicación de acuerdo con sus requisitos de seguridad existentes cuando se instale el App-ID.
En este ejemplo, para seguir permitiendo el tráfico de nube-adobe cuando el nuevo App-ID lo identifica
de forma única, y no se identifica más como tráfico SSL, añada el nuevo App-ID a la regla de políticas de
seguridad Permitir aplicación SSL.

Las actualizaciones de reglas de políticas entran en vigor únicamente cuando se instalan las
actualizaciones de aplicación.
STEP 5 | Pasos siguientes:

• Deshabilitación o habilitación de App-ID on page 582.
• Preparación de actualizaciones de política para App-ID pendientes on page 583.
Deshabilitación o habilitación de App-ID

Deshabilite los nuevos App-ID que se incluyen en una versión de contenido para disfrutar al instante
de protección contra las amenazas más recientes sin perder la flexibilidad para habilitar posteriormente
los App-ID después de preparar las actualizaciones de políticas necesarias. Puede deshabilitar todos los
App-ID introducidos en una versión de contenido, definir actualizaciones de contenido programadas para
deshabilitar automáticamente nuevos App-ID o deshabilitar App-ID para aplicaciones específicas.
Las reglas de políticas que hacen referencia a App-ID solo identifican y aplican el tráfico basado en los App-
ID habilitados.
Ciertos App-ID no pueden deshabilitarse, y solo permiten el estado habilitado. Entre los App-ID que no se
pueden deshabilitar se incluyen las firmas de aplicaciones que usan implícitamente otros App-ID (como tcp
desconocido). La deshabilitación de un App-ID base puede provocar que también se deshabiliten los App-
ID que dependan de ese App-ID base. Por ejemplo, la deshabilitación de la base-facebook deshabilitaría
también todas las demás App-ID de Facebook.
• Deshabilitación de todos los App-ID de una versión de contenido o de actualizaciones de

contenido programadas.
• Para deshabilitar todos los App-ID nuevos introducidos en una versión de contenido, seleccione
Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y haga clic en Install (Instalar)
para instalar una versión de contenido de aplicación y amenazas. Cuando se le pida, seleccione
Disable new apps in content update (Deshabilitar nuevas aplicaciones en la actualización de
contenido). Seleccione la casilla de verificación para deshabilitar las aplicaciones y seguir instalando
la actualización de contenido; hacerlo le permitirá protegerse de amenazas y le dará la opción de
habilitar las aplicaciones en otro momento.
• En la página Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas), seleccione
Schedule (Programación). Seleccione Disable new apps in content update (Deshabilitar nuevas
aplicaciones en actualización de contenido) para las descargas e instalaciones de versiones de
contenido.
• Deshabilitación de los App-ID de una o múltiples aplicaciones a la vez.

• Para deshabilitar rápidamente una o múltiples aplicaciones a la vez, haga clic en Objects (Objetos) >
Applications (Aplicaciones). Seleccione la casilla de verificación de una o más aplicaciones y haga clic
en Disable (Deshabilitar).
• Para revisar los detalles de una única aplicación y después deshabilitar el App-ID de esa aplicación,
seleccione Objects (Objetos) > Applications (Aplicaciones) y Disable App-ID (Deshabilitar App-
ID). Puede usar este paso para deshabilitar ambos App-ID pendientes (cuando se descarga en el
cortafuegos la versión de contenido que incluye el App-ID pero no se instala) o App-ID instalados.
• Habilitación de App-ID.
Habilite los App-ID que deshabilitó previamente seleccionando Objects (Objetos) > Applications
(Aplicaciones). Seleccione la casilla de verificación de una o más aplicaciones y haga clic en Enable

(Habilitar) o abra los detalles de una aplicación específica y haga clic en Enable App-ID (Habilitar App-
ID).
Preparación de actualizaciones de política para App-ID pendientes

Ahora podrá planificar las actualizaciones de políticas de los nuevos App-ID. Las versiones anteriores a
PAN-OS 7.0 requerían que instalase nuevas App-ID (como parte de una versión de contenido) y aplicara
las actualizaciones de política necesarias. Esto daba lugar a que durante un periodo el que el tráfico de la
aplicación recién identificada no se aplicaba, ya fuera por las reglas existentes (con la que el tráfico coincidía
antes de identificarse de forma única) o por las reglas que tenían que crearse o modificarse para usar el
nuevo App-ID.
Ahora pueden añadirse App-ID pendientes a reglas de políticas para evitar fallos de aplicación de políticas
que podría producirse en el periodo que transcurre entre que se instala una versión de contenido y se
actualiza la política de seguridad. Los App-ID pendientes incluyen aquellos App-ID que se han deshabilitado
manualmente o App-ID que se descarguen en el cortafuegos pero no se instalen. Use esta opción para
evaluar el tratamiento que recibe una aplicación antes y después de instalar una actualización de contenido
nueva. Aunque pueden añadirse a las reglas de políticas, los App-ID pendientes no entrarán en vigor hasta
que se instalen y habiliten en el cortafuegos.
Los nombres de los App-ID que se hayan deshabilitado manualmente aparecerán en gris y cursiva para
indicar el estado deshabilitado:
• App-ID deshabilitados que aparecen en la lista de la página Objects (Objetos) > Applications
(Aplicaciones):
• App-ID deshabilitados incluidos en una regla de políticas de seguridad:
Los App-ID que se incluyen en una versión de contenido descargada pueden tener un
estado de App-ID habilitado, pero los App-ID no entran en vigor hasta que se instala la
versión de contenido que corresponda.
• Para instalar ahora la versión de contenido y después actualizar las políticas:
Haga lo siguiente para disfrutar de nuevas firmas de amenazas inmediatamente, cuando

revisa las firmas de aplicaciones nuevas y actualiza sus políticas.
1. Seleccione Device (Dispositivo) > Dynamic Updates (Actualizaciones dinámicas) y haga clic en
Download (Descargar) para descargar la versión de contenido más reciente.
2. Realice la Revisión del impacto de un App-ID nuevo sobre las reglas de políticas existentes para
evaluar el impacto de la política en los nuevos App-ID.
3. Seleccione Install para instalar la versión de contenido más reciente. Antes de que se instale la
versión de contenido, se le pedirá que elija Disable new apps in content update (Deshabilitar
aplicaciones nuevas en la actualización de contenido). Seleccione la casilla de verificación y continúe

instalando la versión de contenido. Las firmas de amenaza incluidas en la versión de contenido se
instalarán y se harán efectivas, mientras que los App-ID nuevos o actualizados se deshabilitarán.
4. Seleccione Policies (Políticas) y actualice las reglas de Security (Seguridad), QoS y Policy Based
Forwarding (Reenvío basado en políticas) que correspondan para implementar el tráfico de la
aplicación ahora identificado de forma única mediante los App-ID pendientes.
5. Seleccione Objects (Objetos) > Applications (Aplicaciones) y seleccione uno o varios App-ID
deshabilitados y haga clic en Enable (Habilitar).
6. Después seleccione Commit (Confirmar) para confirmar los cambios y actualizar sin problemas la
aplicación de políticas de nuevos App-ID.
• Actualice ahora las políticas e instale la versión de contenido:

Download (Descargar) para descargar la versión de contenido más reciente.
2. Realice la Revisión del impacto de un App-ID nuevo sobre las reglas de políticas existentes para
evaluar el impacto de la política en los nuevos App-ID.
3. Mientras revisa el impacto que los nuevos App-ID tienen en las políticas, puede usar Policy Review
based on candidate configuration (Revisión de política basada en configuración candidata) para
añadir un nuevo App-ID a las reglas de políticas existentes: request restart system. El nuevo App-ID
se añade a las reglas existentes como un App-ID deshabilitado.
4. Siga revisando cómo afectan a las políticas todos los App-ID incluidos en la última versión de
contenido del menú desplegable Applications (Aplicaciones). Añada los nuevos App-ID a las políticas
existentes según sea necesario. Haga clic en OK (Aceptar) para guardar los cambios.
5. Seleccione Install (Instalar) para instalar la versión de contenido más reciente.
6. Después seleccione Commit (Confirmar) para confirmar los cambios y actualizar sin problemas la
aplicación de políticas de nuevos App-ID.

Uso de objetos de aplicación en la política
• Creación de un grupo de aplicaciones on page 585
• Creación de un filtro de aplicaciones on page 586
• Creación de una aplicación personalizada on page 586
Creación de un grupo de aplicaciones

Un grupo de aplicaciones es un objeto que contiene aplicaciones que desea tratar de forma similar en
una política. Los grupos de aplicaciones son útiles para permitir acceso a aplicaciones cuyo uso puede
aprobar explícitamente dentro de su organización. La agrupación de aplicaciones sancionadas simplifica
la administración de las bases de reglas. En lugar de tener que actualizar reglas individuales de la política
cuando hay un cambio en las aplicaciones que admite, puede actualizar únicamente los grupos de
aplicaciones afectadas.
Cuando decida cómo agrupar aplicaciones, considere cómo quiere aplicar acceso a sus aplicaciones
aprobadas y cree un grupo de aplicaciones que corresponda con cada uno de sus objetivos de políticas. Por
ejemplo, puede que haya algunas aplicaciones a las que solo quiere que accedan sus administradores de TI,
y otras aplicaciones que quiera que estén a disposición de cualquier usuario conocido de su organización.
En este caso, debe crear grupos de aplicaciones separadas para cada uno de esos objetivos de políticas.
Aunque por lo general quiera permitir acceso a las aplicaciones únicamente en el puerto predeterminado,
puede que quiera agrupar aplicaciones que sean una excepción y aplicar acceso a estas aplicaciones en una
regla distinta.
STEP 1 | Seleccione Objects (Objetos) > Application Groups (Grupos de aplicaciones).
STEP 2 | Seleccione Add (Añadir) para añadir un grupo y Name (Nombre) para asignarle un nombre
descriptivo.
STEP 3 | (Opcional) Seleccione Shared (Compartido) para crear el objeto en una ubicación compartida
para el acceso como un objeto compartido en Panorama para el uso en todos los sistemas
virtuales en un cortafuegos de sistema virtual múltiple.
STEP 4 | Seleccione Add (Añadir) para añadir las aplicaciones que desea incluir en el grupo y haga clic en
OK (Aceptar).

Creación de un filtro de aplicaciones
Un filtro de aplicaciones es un objeto que agrupa dinámicamente las aplicaciones basadas en los atributos
de aplicación que defina, incluidas su categoría, subcategoría, tecnología, factor de riesgo y características.
Esto es útil cuando desee habilitar un acceso seguro a aplicaciones que no aprueba explícitamente, pero
a la que desea que los usuarios puedan acceder. Por ejemplo, puede querer permitir que los empleados
seleccionen sus propios programas de oficina (como Evernote, Google Docs o Microsoft Office 365)
para uso empresarial. Para permitir de forma segura estos tipos de aplicaciones, puede crear un filtro
de aplicaciones que coincida con la categoría business-systems y la subcategoría office-programs. A
medida que surgen nuevos programas de oficina en aplicaciones y se crean App-ID nuevos, estas nuevas
aplicaciones coincidirán automáticamente con el filtro que defina; no tendrá que realizar ningún cambio
adicional en su base de reglas de políticas para habilitar de forma segura cualquier aplicación que coincida
con los atributos que defina en el filtro.
STEP 1 | Seleccione Objects (Objetos) > Application Filters (Filtros de aplicación).
STEP 2 | Seleccione Add (Añadir) para añadir un filtro y Name (Nombre) para asignarle un nombre
descriptivo.
STEP 3 | (Opcional) Seleccione Shared (Compartido) para crear el objeto en una ubicación compartida
para el acceso como un objeto compartido en Panorama para el uso en todos los sistemas
virtuales en un cortafuegos de sistema virtual múltiple.
STEP 4 | Defina el filtro seleccionando valores de atributo desde las secciones Categoría, Subcategoría,
Tecnología, Riesgo y Característica. A medida que seleccione valores, observará que la lista de
aplicaciones coincidentes de la parte inferior del cuadro de diálogo se reduce. Cuando ajuste
los atributos de filtro para que coincidan con los tipos de aplicaciones que desee habilitar de
forma segura, haga clic en OK (Aceptar).
Creación de una aplicación personalizada

Para habilitar aplicaciones de forma segura, deberá clasificar todo el tráfico, en todos los puertos, en todo
momento. Con App-ID, las únicas aplicaciones clasificadas normalmente como tráfico desconocido (tcp,
udp o tcp no sincronizado) en el ACC y los logs de tráfico son aplicaciones disponibles comercialmente que
todavía no se han añadido a App-ID, aplicaciones internas o personalizadas de su red o posibles amenazas.

Si busca tráfico desconocido de una aplicación comercial que aún no tiene
un App-ID, puede enviar una solicitud para un nuevo App-ID ahora: http://
researchcenter.paloaltonetworks.com/submit-an-application/.
Para garantizar que sus aplicaciones personalizadas internas no aparezcan como tráfico desconocido, cree
una aplicación personalizada. Así podrá ejercer un control granular de las políticas sobre esas aplicaciones
para minimizar el intervalo de tráfico no identificado de su red, reduciendo así la superficie de ataque. La
creación de una aplicación personalizada también le permite identificar correctamente la aplicación del ACC
y los logs de tráfico y resulta de utilidad a la hora de realizar auditorías/informes de las aplicaciones de su
red.
Para crear una aplicación personalizada, debe definir los atributos de aplicaciones: sus características,
categoría y subcategoría, riesgo, puerto y tiempo de espera. Además, debe definir patrones o valores que
el cortafuegos pueda usar para comparar los propios flujos de tráfico (la firma). Por último, puede vincular
la aplicación personalizada a una política de seguridad que permita o deniegue la aplicación (o añadirla a
un grupo de aplicaciones o identificarla con un filtro de aplicaciones). También puede crear aplicaciones
personalizadas para identificar aplicaciones efímeras según tema, como vídeo ESPN3 del mundial de fútbol
o un campeonato de baloncesto.
Para recopilar los datos correctos y así crear una firma de aplicación personalizada,
necesitará comprender bien las capturas de paquetes y cómo se forman los datagramas.
Si la firma se crea de manera demasiado amplia, puede que incluya otro tráfico similar
de forma accidental; si se define de manera demasiado específica, el tráfico evadirá la
detección si no coincide exactamente con el patrón.
Las aplicaciones personalizadas se almacenan en una base de datos separada del
cortafuegos y su base de datos no se ve afectada por las actualizaciones semanales de
App-ID.
Los decodificadores de protocolos de aplicación admitidos que habilitan el cortafuegos
para que detecte las aplicaciones que puedan estar pasando a través de un túnel dentro
del protocolo incluyen los siguientes, según la actualización de contenido 609: FTP, HTTP,
IMAP, POP3, SMB y SMTP.
A continuación se muestra un ejemplo básico de cómo crear una aplicación personalizada.
STEP 1 | Reúna información sobre la aplicación que pueda usar para escribir firmas personalizadas.
Para ello, debe conocer la aplicación y cómo controlar el acceso. Por ejemplo, puede limitar qué
operaciones pueden realizar los usuarios en la aplicación (como cargar, descargar o transmitir en directo).
Tal vez quiera permitir la aplicación, pero aplicando políticas de QoS.
• Capture paquetes de aplicación de modo que pueda encontrar características únicas sobre la
aplicación en la que basar su firma de aplicación personalizada. Un modo de hacerlo es ejecutar un
analizador de protocolos, como Wireshark, en el sistema del cliente para capturar los paquetes entre
el cliente y el servidor. Realice distintas acciones en la aplicación, como la carga y descarga, para que
pueda ubicar cada tipo de sesión en las capturas de paquetes resultantes (PCAP).
• Como el cortafuegos por defecto toma capturas de paquetes de todo el tráfico desconocido, si el
cortafuegos se encuentra el cliente y el servidor podrá ver la captura de paquete para el tráfico
desconocido directamente desde el log de tráfico.
• Use las capturas de paquete para encontrar patrones o valores en los contextos de paquete que
puede usar para crear firmas que coincidan de forma única con el tráfico de aplicación. Por ejemplo,
busque patrones de cadena en encabezados de solicitudes o respuestas HTTP, rutas URI o nombres
de host. Si desea información sobre los distintos contextos de cadena que puede usar para crear

firmas de aplicaciones y en los que puede buscar los valores correspondientes en el paquete, consulte
Creación de firmas de amenazas personalizadas.
STEP 2 | Añada la aplicación personalizada.

1. Seleccione Objects (Objetos) > Applications (Aplicaciones) y haga clic en Add (Añadir).
2. En la pestaña Configuration (Configuración), escriba un nombre en Name y una descripción en
Description (Descripción) para la aplicación personalizada, lo que ayudará a otros administradores a
entender por qué creó la aplicación.
3. (Opcional) Seleccione Shared (Compartido) para crear el objeto en una ubicación compartida para
el acceso como un objeto compartido en Panorama para el uso en todos los sistemas virtuales en un
cortafuegos de sistema virtual múltiple.
4. Defina las Propiedades y Características de la aplicación.
STEP 3 | Defina detalles sobre la aplicación, como el protocolo subyacente, el número de puerto en el
que se ejecuta la aplicación, los valores de tiempo de espera y cualquier tipo de escaneo que
puede realizar en el tráfico.
En la pestaña Advanced (Avanzado), defina los ajustes que permitirán al cortafuegos identificar el
protocolo de la aplicación:
• Especifique el protocolo y los puertos predeterminados que usa la aplicación.
• Especifique los valores de tiempo de espera de sesión. Si no especifica valores de tiempo de espera,
se usarán los predeterminados.
• Indique cualquier tipo de escaneo adicional que planee realizar en el tráfico de aplicación.
Por ejemplo, para crear una aplicación personalizada basada en TCP que se ejecute en SSL, pero use el
puerto 4443 (en lugar del puerto predeterminado de SSL, 443), deberá especificar el número de puerto.
Al añadir el número de puerto para una aplicación personalizada, puede crear reglas de políticas que
usen el puerto predeterminado para la aplicación, en lugar de abrir puertos adicionales en el cortafuegos.
Hacerlo mejora su estrategia de seguridad.

STEP 4 | Defina los criterios que utilizará el cortafuegos para comparar el tráfico con la nueva aplicación.
Usará la información que obtuvo de las capturas de paquete para especificar los valores de contexto de
cadena que puede usar el cortafuegos para comparar los patrones en el tráfico de aplicación.
1. En la pestaña Signatures (Firmas), haga clic en Add (Añadir), defina un nombre en Signature Name
(Nombre de firma) y, si lo desea, un comentario en Comment (Comentario) para ofrecer información
sobre cómo desea usar esta firma.
2. Especifique el ámbito de la firma en Scope (Alcance): Session (Sesión) si coincide con una sesión
completa o Transaction (Transacción) si es una única transacción.
3. Especifique condiciones para definir firmas haciendo clic en Add And Condition (Añadir condición Y)
o Add Or Condition (Añadir condición O).
4. Seleccione un Operator (Operador) para definir el tipo de condiciones de comparación que usará:
Pattern Match (Coincidencia de patrón) o Equal To (Igual a).
• Si ha seleccionado Pattern Match (Coincidencia de patrón), seleccione el contexto en Context
(Contexto) y use una expresión regular para definir el Pattern (Patrón) para que coincida
con el contexto seleccionado. Opcionalmente, haga clic en Add (Añadir) para definir un par
de calificador/valor. La lista Qualifier (Calificador) es específica del Context (Contexto) que
seleccione.
• Si ha seleccionado Equal To (Igual a), seleccione el Context (Contexto) y use una expresión regular
para definir que la opción Position (Posición) de los bytes del encabezado del paquete utilizada
coincida con el contexto seleccionado. Seleccione first-4bytes o second-4bytes. Defina el valor
hexadecimal de 4 bytes de Mask (Máscara) (por ejemplo, 0xffffff00) y Value (Valor) (por ejemplo,
0xaabbccdd).
Por ejemplo, si está creando una aplicación personalizada para una de sus aplicaciones internas,
puede usar ssl-rsp-certificate Context (Contexto ssl-rsp-certificado) para definir una coincidencia de
patrón para el mensaje de respuesta de certificado de una negociación SSL desde el servidor y crear
un patrón en Pattern (Patrón) para cotejar el commonName del servidor en el mensaje como aparece
aquí:

5. Repita los pasos c y d para cada condición que coincida.
6. Si el orden en el que el cortafuegos intenta buscar coincidencias con las definiciones de firma
es importante, asegúrese de seleccionar la casilla de verificación Ordered Condition Match
(Coincidencia de condición ordenada) y luego ordenar las condiciones para que se evalúen
adecuadamente. Seleccione una condición o un grupo y haga clic en Move Up (Mover hacia arriba) o
Move Down (Mover hacia abajo). No puede mover condiciones de un grupo a otro.
7. Haga clic en OK (Aceptar) para guardar la definición de firma.
STEP 5 | Guarde la aplicación.

1. Haga clic en OK (Aceptar) para guardar la definición de aplicación personalizada.
STEP 6 | Valide que el tráfico coincida con la aplicación personalizada como se espera.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir una regla de
políticas de seguridad que permita la nueva aplicación.
2. Ejecute la aplicación desde un sistema cliente que esté entre el cortafuegos y la aplicación, y
compruebe los logs de tráfico (Monitor [Supervisar] > Traffic [Tráfico]) para asegurarse de ver el
tráfico que coincide con la aplicación nueva (y de que se está gestionando según su regla de políticas).

Aplicaciones con compatibilidad implícita
Cuando cree una política para permitir aplicaciones específicas, también debe asegurarse de permitir
cualquier otra aplicación de la que dependa la aplicación en cuestión. En muchos casos, no tiene que
permitir de manera explícita el acceso a las aplicaciones dependientes para que el tráfico fluya, ya que el
cortafuegos es capaz de determinar las dependencias y permitirlas de manera implícita. Esta compatibilidad
implícita también se aplica a las aplicaciones personalizadas que se basen en HTTP, SSL, MS-RPC o RTSP.
Las aplicaciones para las que el cortafuegos no pueda determinar las aplicaciones dependientes a tiempo
requerirán que permita de manera explícita las aplicaciones dependientes al definir sus políticas. Puede
determinar las dependencias de las aplicaciones en Applipedia.
La tabla siguiente enumera las aplicaciones para las que el cortafuegos tiene una compatibilidad implícita
(según la actualización de contenido 595).
Table 2: Aplicaciones con compatibilidad implícita
Application Admite implícitamente
360-safeguard-update http
apple-update http
apt-get http
as2 http
avg-update http
avira-antivir-update http, ssl
blokus rtmp
bugzilla http
clubcooee http
corba http
cubby http, ssl
dropbox ssl
esignal http
evernote http, ssl
ezhelp http
facebook http, ssl
chat de facebook jabber

complemento social de facebook http
fastviewer http, ssl
forticlient-update http
good-for-enterprise http, ssl
google-cloud-print http, ssl, jabber
google-desktop http
google-talk jabber
google-update http
gotomypc-desktop-sharing citrix-jedi
gotomypc-file-transfer citrix-jedi
gotomypc-printing citrix-jedi
hipchat http
iheartradio ssl, http, rtmp
infront http
instagram http, ssl
issuu http, ssl
java-update http
jepptech-updates http
kerberos rpc
kik http, ssl
lastpass http, ssl
logmein http, ssl
mcafee-update http
megaupload http
metatrader http
mocha-rdp t_120

mount rpc
ms-frs msrpc
ms-rdp t_120
ms-scheduler msrpc
ms-service-controller msrpc
nfs rpc
oovoo http, ssl
paloalto-updates ssl
panos-global-protect http
panos-web-interface http
pastebin http
pastebin-posting http
pinterest http, ssl
portmapper rpc
prezi http, ssl
rdp2tcp t_120
renren-im jabber
roboform http, ssl
salesforce http
stumbleupon http
supremo http
symantec-av-update http
trendmicro http
trillian http, ssl
twitter http
whatsapp http, ssl

xm-radio rtsp

Gateways de nivel de aplicación
El cortafuegos de Palo Alto Networks no clasifica el tráfico por puerto y protocolo; en lugar de eso,
identifica la aplicación basándose en sus propiedades y características de transacciones exclusivas mediante
la tecnología App-ID. Sin embargo, algunas aplicaciones requieren que el cortafuegos abra pinholes
dinámicamente para establecer la conexión, determinar los parámetros de la sesión y negociar los puertos
que se utilizarán para la transferencia de datos; estas aplicaciones utilizan la carga de la capa de aplicación
para comunicar los puertos TCP o UDP dinámicos en los que la aplicación abre conexiones de datos. Para
dichas aplicaciones, el cortafuegos sirve de gateway de nivel de aplicación (ALG) y abre un pinhole durante
un tiempo limitado y para transferir exclusivamente datos o tráfico de control. El cortafuegos también
realiza una reescritura NAT del payload cuando es necesario.
• El ALG H.323 (H.225 y H.248) no es compatible con el modo de distribución al equipo

selector.
• Cuando el cortafuegos sirve de ALG para el protocolo de inicio de sesión (SIP), de
manera predeterminada realiza NAT en el payload y abre pinholes dinámicos para los
puertos de medios. En algunos casos, dependiendo de las aplicaciones SIP en uso en su
entorno, los endpoints SIP tienen inteligencia NAT incorporada en sus clientes. En esos
casos, quizás deba deshabilitar la función de ALG SIP para evitar que el cortafuegos
modifique las sesiones de señalización. Cuando la ALG SIP está deshabilitada, si App-ID
determina que una sesión es de tipo SIP, no se traduce la carga y no se abren pinholes
dinámicos. Consulte Deshabilitación de la puerta de enlace de nivel de aplicación (ALG)
SIP.
La siguiente tabla enumera los ALG IPv4, NAT, IPv6, NPTv6 y NAT64 e indica con una marca de verificación
si el ALG admite cada protocolo (como el SIP).
App-ID IPv4 NAT IPv6 NPTv6 NAT64
SIP request high- request high- request high- — —

availability availability availability
state state state
functional functional functional
SCCP request high- request high- request high- — —

availability availability availability
state state state
MGCP request high- request high- — — —

availability availability
state state
functional functional
FTP request high- request high- request high- request high- —

availability availability availability availability
state state state state functional

App-ID IPv4 NAT IPv6 NPTv6 NAT64
RTSP request high- request high- request high- request high- —

availability availability availability availability
MySQL request high- request high- — — —

state state
Oracle/SQLNet/ request high- request high- request high- request high- —

TNS availability availability availability availability
rpc request high- request high- — — —

state state
RSH request high- request high- — — —

state state
UNIStim request high- request high- — — —

state state
H.225 request high- request high- — — —

state state
H.248 request high- request high- — — —

state state

Deshabilitación de la gateway de nivel de
aplicación (ALG) SIP
El cortafuegos de Palo Alto Networks utiliza la gateway de nivel de aplicación (ALG) del protocolo de inicio
de sesión (SIP) para abrir pinholes dinámicos en el cortafuegos donde la NAT está habilitada. Sin embargo,
algunas aplicaciones (como las de VoIP) tienen inteligencia NAT incorporada en la aplicación cliente. En
estos casos, el ALG SIP del cortafuegos puede interferir en las sesiones de señalización y provocar que la
aplicación cliente deje de funcionar.
Una solución a este problema es definir una política de cancelación de aplicación para SIP, pero utilizar este
enfoque deshabilita la App-ID y la función de detección de amenazas. Un enfoque mejor es deshabilitar el
ALG SIP, lo cual no deshabilita la App-ID ni la detección de amenazas.
El siguiente procedimiento describe cómo deshabilitar el ALG SIP.
STEP 1 | Seleccione Objects (Objetos) > Applications (Aplicaciones).
STEP 2 | Seleccione la aplicación sip.

Puede escribir sip en el cuadro Search (Búsqueda) para ayudar a encontrar la aplicación sip.
STEP 3 | Seleccione Customize... (Personalizar...) para ALG en la sección Opciones del cuadro de diálogo
Aplicación.

STEP 4 | Seleccione la casilla de verificación Disable ALG (Deshabilitar ALG) del cuadro de diálogo
Aplicación - sip y haga clic en OK (Aceptar).
STEP 5 | Haga clic en Close (Cerrar) para cerrar el cuadro de diálogo Application (Aplicación) y en
Commit (Confirmar) para guardar el cambio.

Descifrado
Los cortafuegos de Palo Alto Networks ofrecen la posibilidad de descifrar y examinar el tráfico
para ofrecer visibilidad, control y seguridad granular. El descifrado de un cortafuegos de Palo
Alto Networks ofrece la capacidad de aplicar políticas de seguridad al tráfico cifrado, que
de otra manera no podría bloquearse ni moldearse de acuerdo con los ajustes de seguridad
que ha configurado. Use el descifrado en un cortafuegos para evitar que entre en su red
contenido malicioso o que salga de ella contenido sensible no percibido como tal por estar
cifrado. La habilitación del descifrado en un cortafuegos de Palo Alto Networks puede incluir
la preparación de claves y certificados necesarios para el descifrado, la creación de una política
de descifrado y la configuración de un reflejo de puerto de descifrado. Consulte los siguientes
temas para saber más sobre el descifrado y configurarlo:
> Descripción general del descifrado

> Conceptos de descifrado
> Definición del tráfico para el descifrado
> Configuración del proxy SSL de reenvío
> Configuración de la inspección de entrada SSL
> Configuración del Proxy SSH
> Exclusiones de descifrado
> Permisos para que los usuarios excluyan el descifrado SSL
> Configuración del reflejo del puerto de descifrado
> Deshabilitación temporal del descifrado SSL
599
600 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Descifrado
Descripción general del descifrado
Los protocolos SSL (Secure Sockets Layer, Capa de sockets seguros) y SSH (Secure Shell, Shell seguro)
se usan para asegurar el tráfico entre dos entidades, como un servidor web y un cliente. El SSL y el SSH
encapsulan el tráfico, cifrando los datos de modo que sean ininteligibles para todas las entidades excepto
el cliente y el servidor que cuenten con las claves para descodificar los datos y los certificados, lo que
garantiza la confianza entre los dispositivos. El tráfico que se ha cifrado con los protocolos SSL y SSH puede
descifrarse para garantizar que esos protocolos se están usando únicamente para los fines deseados y no
para ocultar una actividad no deseada o contenido malicioso.
Los cortafuegos de Palo Alto Networks descifran el tráfico cifrado mediante claves que transforman las
cadenas (contraseñas y secretos compartidos) de texto cifrado a texto sin cifrar (descifrado) y de texto sin
cifrar a texto cifrado (recifrado del tráfico cuando abandona el dispositivo). Los certificados se usan para
definir al cortafuegos como un interlocutor de confianza y crear una conexión segura. El cifrado SSL (tanto
en la inspección de entrada como el proxy de reenvío) requiere certificados para establecer la confianza
entre dos entidades para asegurar una conexión SSL/TLS. Los certificados también pueden usarse al excluir
a los servidores del descifrado SSL. Puede integrar un módulo de seguridad de hardware (HSM) con un
cortafuegos para permitir una seguridad mejorada para las claves privadas usadas en el proxy de envío
SSL como en el descifrado de inspección de entrada SSL. Para saber más sobre el almacenamiento y la
generación de claves con un HSM, y la integración del HSM en su cortafuegos, consulte Claves seguras con
un módulo de seguridad de hardware. El descifrado SSH no requiere certificados.
El descifrado del cortafuegos de Palo Alto Networks se basa en políticas y puede usarse para descifrar,
examinar y controlar las conexiones SSL y SSH entrantes y salientes. Las políticas de descifrado le permiten
especificar el tráfico que se desea descifrar en función de la categoría de URL, destino u origen para poder
bloquear o restringir el tráfico especificado según sus ajustes de seguridad. El cortafuegos usa certificados y
claves para descifrar el tráfico especificado por la política y convertirlo a texto sin formato, y después aplica
App-ID y ajustes de seguridad en el tráfico de texto sin formato, lo que incluye el descifrado, antivirus,
vulnerabilidades, antispyware, filtrado de URL y perfiles de bloqueo de archivos. Cuando el tráfico se
haya descifrado y examinado en el cortafuegos, el tráfico de texto sin cifrar se volverá a cifrar al salir
del cortafuegos para asegurar su privacidad y seguridad. Utilice el descifrado basado en la política en el
cortafuegos para lo siguiente:
• Evite que el malware camuflado como tráfico cifrado se introduzca en una red de su empresa.
• Evite que salga información corporativa sensible de la red corporativa.
• Asegúrese de que las aplicaciones correctas se ejecuten en una red segura.
• Descifre el tráfico de forma selectiva; por ejemplo, puede excluir del descifrado el tráfico de sitios
financieros o sanitarios mediante la configuración de excepciones de descifrado.
Las tres políticas de descifrado que se ofrecen en el cortafuegos, el proxy de reenvío SSL, la inspección
entrante de SSL y el proxy SSH, proporcionan métodos para detectar y examinar específicamente tráfico
saliente SSL, tráfico entrante SSL y tráfico SSH, respectivamente. Las políticas de descifrado proporcionan
los ajustes para que usted especifique qué tráfico descifrar, además puede anexar un perfil de descifrado a
una política con el objetivo de aplicar ajustes de seguridad más pormenorizados al tráfico descifrado como,
por ejemplo, para buscar certificados del servidor, modos no admitidos y fallos. Este descifrado basado
en políticas en el cortafuegos le ofrece visibilidad y controla del tráfico cifrado SSL y SSH de acuerdo con
parámetros configurables.
También puede optar por extender una configuración de descifrado en el cortafuegos para incluir el reflejo
de descifrado, lo que permite el reenvío de tráfico descifrado como texto sin cifrar a una solución externa
para su análisis y archivado.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Descifrado 601

Conceptos de descifrado
Para saber más sobre las claves y certificados para el descifrado, las políticas de descifrado y el reflejo de los
puertos de descifrado, consulte los siguientes temas:
• Políticas de claves y certificados para el descifrado
• Proxy Ssl de reenvío
• inspección de SSL entrante
• Proxy Ssh
• Reflejo de descifrado
• Descifrado SSL para certificados de criptografía de curva elíptica (ECC).
• Compatibilidad del secreto perfecto y permanente (PFS) para el descifrado SSL
Políticas de claves y certificados para el descifrado

Las claves son cadenas de números que suelen generarse mediante una operación matemática con números
aleatorios y números primos altos. Las claves se usan para transformar otras cadenas (como contraseñas y
secretos compartidos) de texto sin cifrar en texto cifrado (en un proceso llamado cifrado) y texto cifrado en
texto sin cifrar (en el proceso de descifrado). Las claves pueden ser simétricas (se usa la misma clave para
cifrar y descifrar) o asimétricas (se usa una clave para el cifrado y una clave relacionada matemáticamente
para el descifrado). Cualquier sistema puede generar una clave.
Los certificados X.509 se usan para establecer la confianza entre un cliente y un servidor para establecer
una conexión SSL. Un cliente que intente autenticar un servidor (o un servidor que autentique un cliente)
conoce la estructura del certificado X.509 y por ello sabe cómo extraer la información de identificación del
servidor de los campos del certificado, como su FQDN o dirección IP (llamados nombre común o CN en
el certificado) o el nombre de la organización, departamento o usuario para el que se emitió el certificado.
Todos los certificados debe emitirlos una entidad de certificación (CA). Cuando la CA verifica un cliente o
servidor, la CA emite el certificado y lo firma con su clave privada.
Con una política de descifrado configurada, la sesión entre el cliente y el servidor solo se establece si
el cortafuegos confía en la CA que firma el certificado del servidor. Para establecer esa confianza, el
cortafuegos debe tener el certificado de la CA raíz del servidor en su lista de certificados de confianza (CTL)
y usar la clave pública de ese certificado de CA raíz para comprobar la firma. A continuación, el cortafuegos
presenta una copia del certificado del servidor con la firma del certificado de reenvío fiable al cliente para
que lo autentique. También puede configurar el cortafuegos para que utilice una CA de empresa como
certificado de reenvío fiable para el proxy SSL de reenvío. Si el cortafuegos no tiene el certificado de CA de
raíz del servidor en su CTL, presentará una copia del certificado de servidor firmado por el certificado de
reenvío no fiable al cliente. El certificado no fiable de reenvío garantiza que a los clientes les aparezca un
mensaje con una advertencia de certificación cuando intenten acceder a los sitios alojados en un servidor
con certificados que no sean de confianza.
Para obtener más información sobre los certificados, consulte Gestión de certificados.
Para controlar las CA de confianza en las que confía su cortafuegos, use la pestaña
Device (Dispositivo) > Certificate Management (Gestión de certificados) > Certificates
(Certificados) > Default Trusted Certificate Authorities (Entidades de certificación de
confianza predeterminadas) en la interfaz web del cortafuegos.
La siguiente tabla describe los distintos certificados que usan los cortafuegos de Palo Alto Networks para el
descifrado.

Certificados utilizados Descripción
con el descifrado
Reenvío fiable Es el certificado que presenta el cortafuegos a los clientes durante el

descifrado si el sitio con el que el cliente intenta conectar tiene un certificado
firmado con una CA en la que confía el cortafuegos. Para configurar el
certificado de reenvío confiable en el cortafuegos, consulte el paso Configure
el certificado de reenvío confiable para que el cortafuegos presente a
los clientes cuando el certificado del servidor esté firmado por una CA
confiable. Puede usar un certificado firmado por una CA empresarial o
un certificado autofirmado como el certificado de reenvío confiable. en la
tarea Configuración del proxy SSL de reenvío. Por defecto, el cortafuegos
determina el tamaño de clave que debe usar para el certificado cliente en
función del tamaño de clave del servidor de destino. Sin embargo, también
puede determinar el tamaño de clave específico que usará el cortafuegos.
Consulte Configuración del tamaño de clave para los certificados de servidor
proxy SSL de reenvío. Para mayor seguridad, almacene la clave privada
asociada con el certificado de reenvío fiable en un módulo de seguridad de
hardware (consulte Almacenamiento de claves privadas en un HSM).
Reenvío no fiable Es el certificado que presenta el cortafuegos a los clientes durante el

descifrado si el sitio con el que el cliente intenta conectar tiene un certificado
firmado con una CA en la que el cortafuegos NO confía. Para configurar un
certificado de reenvío no fiable en el cortafuegos, consulte el paso Configure
el certificado fiable de reenvío. en la tarea Configuración del proxy SSL de
reenvío.
Certificado SSL de Certificados de servidores que quiere excluir del descifrado SSL. Por ejemplo,
exclusión si ha habilitado el descifrado SSL pero tiene servidores que no desea incluir en
el descifrado SSL (por ejemplo, servicios web de sus sistemas de RR.'A0;HH.),
importe los correspondientes certificados en el cortafuegos y configúrelos
como certificados SSL de exclusión. Consulte Exclusión de un servidor del
descifrado.
inspección de SSL Certificado que se usa para descifrar el tráfico SSL entrante para su
entrante inspección y la aplicación de políticas. Para esta aplicación, debe importar
los certificados de servidor y las claves privadas para los servidores a los que
realiza una inspección de entrada SSL. Para mayor seguridad, almacene las
claves privadas en un HSM (consulte Almacenamiento de claves privadas en
un HSM).
Proxy SSL de reenvío

Utilice una política de descifrado del proxy SSL de reenvío para descifrar y examinar el tráfico SSL/TLS de
usuarios internos a Internet. El descifrado proxy de reenvío SSL impide que el malware oculto como tráfico
cifrado SSL ingrese en la red corporativa.
Con el descifrado del proxy SSL de reenvío, el cortafuegos se encuentra entre el cliente interno y el servidor
externo. El cortafuegos utiliza certificados para establecerse como agente externo de confianza para la
sesión entre el cliente y el servidor (si desea información detallada en los certificados, consulte Políticas
de claves y certificados para el descifrado). Cuando el cliente inicia una sesión SSL con el servidor, el
cortafuegos intercepta la solicitud SSL del cliente y la reenvía al servidor. El servidor devuelve un certificado
destinado al cliente, que el cortafuegos intercepta. Si el certificado del servidor está firmado por una entidad
CA en la que el cortafuegos confía, el cortafuegos creará una copia del certificado del servidor firmado con

el certificado de reenvío fiable, y enviará el certificado al cliente. Si el certificado del servidor está firmado
por una CA en la que el cortafuegos no confía, el cortafuegos creará una copia del certificado del servidor,
lo firmará con el certificado no fiable de reenvío y lo enviará al cliente. En este caso, el cliente verá una
advertencia de página bloqueada que indica que el sitio con el que intenta conectar no es fiable, y tendrá
la opción de continuar o terminar la sesión. Cuando el cliente autentique el certificado, la sesión SSL se
establecerá y el cortafuegos funcionará como proxy de reenvío fiable hacia el sitio al que está accediendo el
cliente.
A medida que el cortafuegos continúe recibiendo tráfico SSL del servidor que esté destinado al cliente,
descifrará dicho tráfico para convertirlo en tráfico no cifrado y aplicará los perfiles de descifrado y seguridad
al tráfico. A continuación el tráfico se recifrará en el cortafuegos, que enviará el tráfico cifrado al cliente.
La siguiente figura muestra este proceso en detalle. Consulte la Configuración del proxy SSL de reenvío para
obtener más información detallada sobre la configuración del proxy SSL de reenvío.
Inspección de SSL entrante

Use Inspección de entrada SSL para descifrar y examinar el tráfico SSL entrante de un cliente a un servidor
de destino (cualquier servidor para el que tenga el certificado y pueda importar en el cortafuegos). Por
ejemplo, si un empleado se ha conectado remotamente a un servidor web alojado en la red de la empresa e
intenta agregar documentos internos restringidos a su carpeta de Dropbox (que usa SSL para la transmisión
de datos), se puede usar la inspección de entrada SSL para asegurar que los datos confidenciales no salen de
la red segura de la empresa mediante un bloqueo o restricción de la sesión.
La configuración de la inspección entrante SSL incluye la importación de un certificado y clave privada del
servidor de destino en el cortafuegos. Dado que el certificado y la clave del servidor de destino se importan
al cortafuegos, en la mayoría de los casos, el cortafuegos puede acceder a la sesión SSL entre el servidor y
el cliente, y descifrar e inspeccionar el tráfico de manera transparente, en lugar de funcionar como proxy
(en el caso donde el cifrado negociado incluye un algoritmo de intercambio de claves de PFS, el cortafuegos
funcionará como un proxy transparente). El cortafuegos puede aplicar políticas de seguridad al tráfico
descifrado, detectar contenido malicioso y controlar la ejecución de aplicaciones en este canal seguro.

La siguiente figura muestra cómo funciona la inspección entrante SSL. Consulte Configuración de la
inspección de entrada SSL para obtener información detallada sobre la habilitación de esta función.
Proxy Ssh
El proxy SSH permite que el cortafuegos descifre las conexiones de SSH entrantes y salientes que lo
atraviesan para asegurar que el SSH no se use para encubrir aplicaciones y contenido no deseado. El
descifrado SSH no requiere ningún certificado, y la clave que se usa para el descifrado SSH se genera
automáticamente al iniciar el cortafuegos. Durante el proceso de inicio, el cortafuegos comprueba si ya
existe una clave. De lo contrario, se genera una clave. Esta clave se usa para descifrar las sesiones SSH de
todos los sistemas virtuales configurados en el cortafuegos. La misma clave se usa para descifrar todas las
sesiones SSH v2.
En una configuración Proxy SSH, el cortafuegos se encuentra entre un cliente y un servidor. Cuando el
cliente inicia una solicitud SSH al servidor, el cortafuegos intercepta la solicitud la reenvía al servidor. A
continuación, el cortafuegos intercepta la respuesta del servidor y la reenvía al cliente, estableciendo un
túnel SSH entre el cortafuegos y el cliente y un túnel SSH entre el cortafuegos y el servidor, por lo que el
cortafuegos funciona como proxy. A medida que el tráfico fluye entre el cliente y el servidor, el cortafuegos
puede distinguir si el tráfico SSH se enruta normalmente o si usa un túnel SSH (reenvío de puertos). La
inspección de contenido y amenazas no se realizan en los túneles SSH; sin embargo, si el cortafuegos
identifica túneles SSH, el tráfico en el túnel SSH se bloqueará y restringirá de acuerdo con las políticas de
seguridad configuradas.
La siguiente figura muestra cómo funciona el cifrado de proxy SSH. Consulte la Configuración de proxy SSH
para obtener información detallada sobre cómo habilitar el cifrado de proxy SSH.

Reflejo de descifrado
La función de reflejo del descifrado permite crear una copia del tráfico descifrado desde un cortafuegos
y enviarlo a una herramienta de recopilación de tráfico que sea capaz de recibir capturas de paquetes sin
formato, como NetWitness o Solera, para su archivado y análisis. Esta función es necesaria para aquellas
organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir
la fuga de datos (DLP). El reflejo de descifrado solo está disponible en las plataformas serie PA-7000,
serie PA-5200, serie PA-5000 y serie PA-3000 y requiere la instalación de una licencia gratuita para su
habilitación.
Tenga en cuenta que el descifrado, almacenamiento, inspección y uso del tráfico SSL está legislado en
algunos países y puede que sea necesario tener el consentimiento del usuario para poder usar la función
de reflejo del de cifrado. Además, el uso de esta función podría hacer que usuarios maliciosos con accesos
administrativos al cortafuegos recopilaran nombres de usuario, contraseñas, números de la seguridad social,
números de tarjetas de crédito u otra información sensible para enviarla a través de un canal cifrado. Palo
Alto Networks le recomienda consultar a su asesor corporativo antes de habilitar y utilizar esta función en
un entorno de producción.
El siguiente gráfico muestra el proceso del reflejo del tráfico de descifrado y la sección Configuración del
reflejo del puerto de descifrado describe como otorgar una licencia a esta función y habilitarla.
Descifrado SSL para certificados de criptografía de curva elíptica

(ECC).
El cortafuegos descifra automáticamente tráfico SSL de los sitios web y las aplicaciones con certificados
ECC, que incluye certificados de algoritmos de firma digital de curva elíptica (ECDSA). A medida que las
organizaciones realizan la transición hacia el uso de los certificados de ECC para aprovechar las claves

fuertes y el pequeño tamaño de los certificados, puede continuar conservando la visibilidad, y habilitar el
tráfico de aplicaciones y sitios web con protección de ECC de manera segura.
El descifrado para sitios web y aplicaciones que utiliza certificados de ECC no admite tráfico
que se refleja hacia el cortafuegos; el tráfico cifrado que utiliza certificados de ECC debe
pasar mediante el cortafuegos directamente para que este lo descifre.
No puede utilizar un módulo de seguridad de hardware (hardware security module, HSM)
para almacenar las claves privadas asociadas a los certificados de ECDSA.
Compatibilidad del secreto perfecto y permanente (PFS) para el

descifrado SSL
El PFS es un protocolo de comunicación segura que evita el peligro de que una sesión cifrada ponga en
peligro a varias sesiones cifradas. Con PFS, un servidor genera claves privadas únicas para cada sesión
segura que establece con un cliente. Si una clave privada de un servidor está en riesgo, solo la sesión
establecida con esa clave es vulnerable; un atacante no puede recuperar datos de sesiones pasadas y
futuras debido a que el servidor establece cada una de ellas en conexión con una clave generada única. El
cortafuegos descifra sesiones SSL establecidas con algoritmos de intercambio de claves PFS, y conserva la
protección de PFS para sesiones pasadas y futuras.
La compatibilidad para PFS basado en Diffie-Hellman (DHE) y PFS basado en Diffie-Hellman (ECDHE)
de curva elíptica se habilita de forma predeterminada (Objects [Objetos] > Decryption Profile [Perfil de
descifrado] > SSL Decryption [Descifrado SSL] > SSL Protocol Settings [Configuración de protocolo SSL]).
Si utiliza algoritmos de intercambio de claves DHE o ECDHE para permitir la Compatibilidad

del secreto perfecto y permanente (PFS) para el descifrado SSL, no puede utilizar un módulo
de seguridad de hardware (hardware security module, HSM) para almacenar las claves
privadas para la inspección entrante de SSL.

Definición del tráfico para descifrar
Una regla de política de descifrado le permite definir el tráfico que desea que el cortafuegos descifre, o
definir el tráfico que desea que el cortafuegos excluya del descifrado. Puede adjuntar un perfil de descifrado
a una regla de la política de descifrado para controlar de manera más pormenorizada el tráfico descifrado.
• Creación de un perfil de descifrado
• Creación de una regla de política de descifrado
Creación de un perfil de descifrado

Un perfil de descifrado le permite realizar comprobaciones en el tráfico descifrado y el tráfico que ha
excluido del descifrado. Cree un perfil de descifrado para:
• Bloquear sesiones que utilizan protocolos no compatibles, conjuntos de cifrado o sesiones que requieren
la autenticación del cliente.
• Bloquear sesiones en función del estado del certificado, donde el certificado está vencido, está firmado
por una CA no fiable, tiene extensiones que restringen el uso del certificado, poseen un estado de
certificado desconocido, o el estado no puede recuperarse durante un período de tiempo de espera
configurado.
• Bloquear sesiones si los recursos para realizar el descifrado no están disponibles o si un módulo de
seguridad de hardware no está disponible para firmar certificados.
Después de crear un perfil de descifrado, adjúntelo a una regla de la política de descifrado; entonces, el
cortafuegos aplicará la configuración del perfil de descifrado al tráfico que coincida con la regla de la política
de descifrado.
Los cortafuegos de Palo Alto Networks incluyen un perfil de descifrado por defecto que puede usar para
aplicar las versiones del protocolo recomendado básico y los conjuntos de cifras para el tráfico descifrado.
STEP 1 | Crear un nuevo perfil de descifrado.

Seleccione Objects (Objetos) > Decryption Profile (Perfil de descifrado), haga clic en Add (Añadir) para
añadir una regla de perfil de descifrado o modifíquela, y asigne a la regla un nombre descriptivo en Name
(Nombre).
STEP 2 | (Opcional) Permita que la regla del perfil sea de Shared (Uso compartido) en cada sistema virtual
de un cortafuegos o cada grupo de dispositivos de Panorama.
STEP 3 | (Reflejo de descifrado únicamente) Habilite una interfaz Ethernet que el cortafuegos pueda utilizar
para copiar y reenviar el tráfico descifrado.
Independientemente de esta tarea, siga los pasos para realizar la Configuración del reflejo del puerto de
descifrado. El reflejo del puerto de descifrado requiere una licencia de reflejo del puerto de descifrado.
STEP 4 | (Opcional) Bloquee y controle el tráfico entrante o de túnel de SSL:

Seleccione SSL Decryption (Descifrado SSL):
• Seleccione SSL Forward Proxy (Proxy de reenvío SSL) para configurar los ajustes para verificar
certificados, aplicar versiones del protocolo y conjuntos de cifras, y realizar comprobaciones de fallos
en el tráfico descifrado SSL. Estos ajustes están activos únicamente cuando este perfil se adjunta a
una regla de política de descifrado que está configurada para realizar el descifrado proxy de reenvío
SSL.

• Seleccione SSL Inbound Inspection (Inspección entrante de SSL) para configurar las versiones de
protocolo de aplicación de ajustes y los conjuntos de cifrado, y para realizar comprobaciones de fallos
en el tráfico entrante de SSL. Estos ajustes están activos únicamente cuando este perfil se adjunta a
una regla de política de descifrado que está configurada para realizar la inspección entrante SSL.
• Seleccione SSL Protocol Settings (Configuración del protocolo de SSL) para configurar las versiones
mínima y máxima del protocolo y el intercambio de clave, cifrado y algoritmos de autenticación que
se deben aplicar al tráfico de SSL. Estos ajustes están activos cuando este perfil se adjunta a una regla
de política de descifrado que está configurada para realizar el descifrado proxy de reenvío SSL o la
inspección entrante SSL.
STEP 5 | (Opcional) Bloquee y controle el tráfico (por ejemplo, una categoría URL) para la cual tenga el
descifrado deshabilitado.
Seleccione No Decryption (Sin descifrado) y configure los ajustes para validar los certificados para el
tráfico que se excluye del descifrado.
Estos ajustes están activos únicamente cuando el perfil de descifrado se adjunta a una regla de política
de descifrado que deshabilita el descifrado para cierto tráfico.
STEP 6 | (Opcional) Bloquee y controle el tráfico SSH descifrado.

Seleccione SSH Proxy (Proxy SSH) y realice la configuración para aplicar las versiones de protocolos
compatibles y para bloquear sesiones si los recursos del sistema no están disponibles para realizar el
descifrado.
Estos ajustes están activos únicamente cuando el perfil de descifrado se adjunta a una regla de política
de descifrado que descifra el tráfico SSH.
STEP 7 | Añada la regla del perfil de descifrado a una regla de política de descifrado.
El tráfico que coincide con las reglas de la política se aplica en función de la configuración adicional que
definió en el perfil de descifrado.
1. Seleccione Policies (Políticas) > Decryption (Descifrado) y realice la Creación de una regla de política
de descifrado o modifique una regla existente.
2. Seleccione Options (Opciones)y seleccione un Decryption Profile (Perfil de descifrado) para bloquear
y controlar los diferentes aspectos del tráfico que coincide con la regla.
Los ajustes de la regla del perfil que se aplican al tráfico coincidente dependen de la acción de la regla
de política (descifrar o no descifrar) y al tipo de la regla de política (proxy de reenvío SSL, inspección
entrante SSL o proxy SSH). Esto le permite usar el perfil de descifrado por defecto, el perfil de
descifrado estándar personalizado para su organización, con diferentes tipos de reglas de política de
descifrado.
Creación de una regla de política de descifrado

Cree una regla de política de descifrado para definir el tráfico que descifrará el cortafuegos y el tipo de
descifrado que desea que el cortafuegos realice: descifrado de Proxy de reenvío SSL, Inspección entrante
de SSL o Proxy SSH. También puede utilizar una regla de la política de descifrado para definir el Reflejo de
descifrado.
STEP 1 | Añada una nueva regla a la política de descifrado.

Seleccione Policies (Políticas) > Decryption (Descifrado), haga clic en Add (Añadir) para añadir una
nueva regla a la política de descifrado y proporcione un nombre descriptivo a la regla de la política en
Name (Nombre).
STEP 2 | Configure la regla de descifrado para que coincida con el tráfico en función de la red y los
objetos de política:
• Firewall security zones: seleccione Source (Origen) y/o Destination (Destino) y busque el tráfico en
función de la Source Zone (Zona de origen) y/o la Destination Zone (Zona de destino).
• IP addresses, address objects, and/or address groups (Direcciones IP, objetos de dirección o grupos
de direcciones): seleccione Source (Origen) o Destination (Destino) para buscar el tráfico en función
de la Source Address (Dirección de origen) o la Destination Address (Dirección de destino). O bien,
seleccione Negate (Negar) para excluir la lista de direcciones de origen del descifrado.
• Users (Usuarios): seleccione Source (Origen) y configure el Source User (Usuario de origen) para
el cual se debe descifrar el tráfico. Puede descifrar el tráfico de un usuario o grupo específico, o
descifrar el tráfico de ciertos tipos de usuarios, tal como usuarios desconocidos o usuarios previo al
inicio de sesión (usuarios que se conectaron a GlobalProtect pero que aún no iniciaron sesión).
• Ports and protocols (Puertos y protocolos): seleccione Service/URL Category (Categoría de URL/
servicio) para configurar la regla de buscar el tráfico en función del servicio. Por defecto, la regla
de política se configura para descifrar todo el tráfico en los puertos TCP y UDP. Puede añadir un
servicio o grupo de servicios y, opcionalmente, configurar la regla en application-default (aplicación-
predeterminada) para que coincida únicamente con los puertos predeterminados de la aplicación.
La configuración de application-default es útil para las Exclusiones de descifrado. Puede

excluir del descifrado las aplicaciones que se ejecutan en sus puertos por defecto, a la
vez que continúa descifrando las mismas aplicaciones cuando son detectadas en puertos
no estándar.
• URLs and URL categories (URL y categorías de URL): seleccione Service/URL Category (Categoría de
URL/servicio) y descifre el tráfico en función de:
• Una lista de URL en host externo que el cortafuegos recupera para la aplicación de la política
(consulte Objects [Objetos] > External Dynamic Lists [Listas dinámicas externas]).
• Categorías de URL personalizadas (consulte Objects [Objetos] > Custom Objects [Objetos
personalizados] > URL Category [Categoría de URL]).
• Categorías de URL de Palo Alto Networks. Esta opción es útil para las Exclusiones de descifrado.
Por ejemplo, puede crear una categoría de URL personalizada para agrupar sitios que no desea
descifrar, o podría excluir del descifrado los sitios financieros o relacionados con la salud en
función de las categorías de URL de Palo Alto Networks.
STEP 3 | Configure la regla de modo que descifre el tráfico coincidente o excluya el tráfico coincidente
del descifrado.
Seleccione Options (Opciones) y configure la Action (Acción) de la regla de política:
Para descifrar el tráfico coincidente:
1. Configure Action (Acción) en Decrypt (Descifrado).
2. Configure el Type (Tipo) de descifrado que realizará el cortafuegos en el tráfico coincidente:
• Proxy Ssl de reenvío
• Proxy Ssh
• Inspección entrante de SSL. Si desea habilitar la inspección entrante de SSL, seleccione también el
Certificate (Certificado) para el servidor interno de destino del tráfico entrante de SSL.
Para excluir del descifrado el tráfico coincidente:

Configure Action (Acción) en No Decrypt (Sin descifrado).
STEP 4 | (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para realizar comprobaciones
adicionales en el tráfico que coincide con la regla de la política.
Por ejemplo, adjunte un perfil de descifrado a una regla de la política para garantizar que los certificados
del servidor sean válidos y para bloquear sesiones utilizando protocolos o cifrado no compatible. Para
llevar a cabo la Creación de un perfil de descifrado, seleccione Objects (Objetos) > Decryption Profile
(Perfil de descifrado).
STEP 5 | Haga clic en OK (Aceptar) para guardar la política.
STEP 6 | Seleccione el próximo paso para habilitar completamente el cortafuegos para que descifre el
tráfico:
• Configuración del proxy SSL de reenvío
• Configuración de la inspección de entrada SSL
• Configuración del Proxy SSH
• Creación de Exclusiones de descifrado

Configuración del proxy SSL de reenvío
Para habilitar el cortafuegos para que realice el descifrado de proxy SSL de reenvío, debe configurar los
certificados necesarios para establecer el cortafuegos como un tercero fiable para la sesión entre el cliente y
el servidor. El cortafuegos puede utilizar certificados autofirmados o certificados firmados por una autoridad
de certificación (certificate authority, CA) empresarial como certificados de reenvío fiables para autenticar
la sesión SSL con el cliente.
• (Recomendado) Certificados con firma de CA empresarial
Una CA empresarial puede emitir un certificado de firma que el cortafuegos puede utilizar para firmar
los certificados de los sitios que requieran un descifrado SSL. Cuando el cortafuegos confía en la CA que
firmó el certificado del servidor de destino, el cortafuegos puede enviar una copia del certificado del
servidor de destino al cliente firmado por la CA empresarial.
• Certificado autofirmado
Cuando un cliente se conecta a un servidor con un certificado que está firmado por una CA en la que el
cortafuegos confía, el cortafuegos puede firmar una copia del certificado del servidor para presentarlo
al cliente y establecer la sesión SSL. Puede usar certificados autofirmados para el descifrado proxy de
reenvío SSL si su organización no posee una CA empresarial o si usted solo desea realizar el descifrado
para una cantidad limitada de clientes.
Además, configure un certificado de reenvío no fiable para que el cortafuegos presente a los clientes
cuando el certificado esté firmado por una CA en la que el cortafuegos no confía. Esto garantiza que a los
clientes les aparezca un mensaje con una advertencia sobre el certificado cuando intenten acceder a sitios
con certificados que no sean de confianza.
Después de configurar los certificados de reenvío fiables y no fiables necesarios para el descifrado
proxy de reenvío SSL, añada una regla de política de descifrado para definir el tráfico que desea que el
cortafuegos descifre. El tráfico de túnel SSL que coincide con la regla de política de descifrado se descifra
para convertirse en tráfico no cifrado. El tráfico no cifrado se bloquea y restringe en función del perfil de
descifrado adjuntado a la política, y a la política de seguridad del cortafuegos. El tráfico vuelve a cifrarse a
medida que sale del cortafuegos.
STEP 1 | Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire,
capa 2 o capa 3.
Visualice las interfaces configuradas en la pestaña Network (Red) > Interfaces > Ethernet. La columna
Interface Type (Tipo de interfaz) muestra si una interfaz está configurada para ser una interfaz de Virtual
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo
de interfaz es.
STEP 2 | Configure el certificado de reenvío fiable para que el cortafuegos presente a los clientes
cuando el certificado del servidor esté firmado por una CA fiable. Puede usar un certificado
firmado por una CA empresarial o un certificado autofirmado como el certificado de reenvío
fiable.
(Recomendado) Use un certificado firmado por una CA empresarial como el certificado de reenvío fiable:
1. Genere una solicitud de firma de certificado (Certificate Signing Request, CSR) para que la CA de
empresa lo firme y valide.
(Certificados) y haga clic en Generate (Generar).
2. Introduzca un Certificate Name (Nombre de certificado), como my-fwd-proxy.

3. En la lista desplegable Signed By (Firmado por), seleccione External Authority (CSR) (Autoridad
externa [CSR]).
4. (Opcional) Si su CA de empresa lo requiere, añada Certificate Attributes (Atributos del certificado)
para identificar más información detallada del cortafuegos, como el país o el departamento.
5. Haga clic en OK (Aceptar) para guardar la CSR. El certificado pendiente ahora se muestra en la
pestaña Device Certificates (Certificados de dispositivos).
2. Exporte la CSR:
1. Seleccione el certificado pendiente que aparece en la pestaña Device Certificates (Certificados de
dispositivos).
2. Haga clic en Export (Exportar)para descargar y guardar el archivo del certificado.
Deje Export private key (Exportar clave privada) sin seleccionar para garantizar
que la clave privada permanezca protegida en el cortafuegos.
3. Proporcione el archivo del certificado a su CA de empresa. Cuando reciba el certificado firmado de
CA de empresa de su CA de empresa, guárdelo para importarlo en el cortafuegos.
4. Importe el certificado firmado por la CA de empresa al cortafuegos:
(Certificados) y haga clic en Import (Importar).
2. Introduzca el Certificate Name (Nombre de certificado) pendiente de manera exacta (en este
caso, my-fwd-trust). El Certificate Name (Nombre del certificado) que introduzca debe coincidir
exactamente con el nombre del certificado pendiente a fin de que este se valide.
3. Seleccione el Certificate File (Archivo del certificado) que recibió de su CA de empresa.
4. Haga clic en OK (Aceptar). El certificado se muestra como válido con las casillas de verificación
Clave y CA seleccionadas.
5. Seleccione el certificado validado, en este caso, my-fwd-proxy, para habilitarlo como Forward Trust
Certificate (Reenviar certificado fiable) y utilizarlo para el descifrado del proxy SSL de reenvío.
6. Haga clic en OK (Aceptar) para guardar el certificado de reenvío fiable firmado por la CA de empresa.
Use un certificado autofirmado como el certificado de reenvío fiable:
1. Genere un nuevo certificado.
(Certificados).
2. Haga clic en Generate (Generar) en la parte inferior de la ventana.
3. Introduzca un nombre de certificado, como mi-reenvio-fiable.
4. Escriba un Common Name (Nombre común), como 192.168.2.1. Debería ser la dirección IP o el
FQDN que aparecerá en el certificado. En este caso estamos usando la IP de la interfaz fiable.
Evite usar espacios en este campo.
5. Deje en blanco el campo Signed By (Firmado por).
6. Haga clic en la casilla de verificación Certificate Authority (Autoridad del certificado) para
habilitar el cortafuegos para que emita el certificado. Al seleccionar esta casilla de verificación, se
crea una entidad de certificación (CA) en el cortafuegos que se importará a los exploradores de los
clientes, de modo que los clientes confíen en el cortafuegos como CA.
7. Seleccione Generate (Generar) el certificado.
2. Haga clic en nuevo certificado my-fwd-trust para modificarlo y habilite la opción Forward Trust
Certificate (Reenviar certificado fiable).
3. Haga clic en OK (Aceptar) para guardar el certificado de reenvío fiable autofirmado.
STEP 3 | Distribuya el certificado de reenvío fiable a los almacenes de certificados del sistema cliente.

Si utiliza un certificado firmado por una CA de empresa como el certificado de reenvío fiable para el
descifrado de proxy de reenvío SSL y los sistemas cliente ya tienen la CA de empresa añadida a la lista de
CA raíz de confianza local, puede omitir este paso.
Si no instala el certificado de reenvío fiable en los sistemas cliente, los usuarios verán
advertencias de certificación en cada sitio SSL que visiten.
En un cortafuegos configurado como portal GlobalProtect:
Esta opción es compatible con las versiones de SO cliente de Windows y Mac, y requiere
la instalación del agente GlobalProtect 3.0.0 o posterior en los sistemas cliente.
1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) y luego seleccione una configuración
de portal existente o seleccione Add (Añadir) para añadir una nueva.
2. Seleccione Agent (Agente) y luego seleccione una configuración de agente existente o seleccione
Add (Añadir) para añadir una nueva.
3. Seleccione Add (Añadir) para añadir el certificado de reenvío fiable de proxy de reenvío SSL a la
sección de CA raíz de confianza.
4. Seleccione Install in Local Root Certificate Store (Instalar en el almacén de certificados raíz locales)
para que el portal de GlobalProtect distribuya automáticamente el certificado y lo instale en el
almacén de certificados en los sistemas cliente de GlobalProtect.
5. Haga clic en OK (Aceptar) dos veces.
Sin GlobalProtect:
Exporte el certificado fiable de reenvío para importarlo en sistemas cliente resaltando el certificado y
haciendo clic en Export (Exportar) en la parte inferior de la ventana. Elija el formato PEM y no seleccione
la opción Export private key (Exportar clave privada). Impórtelo a la lista de CA raíz de confianza del
explorador de los sistemas cliente para que los clientes confíen en él. Al importar en el explorador del
cliente, asegúrese de que el certificado se añade al almacén de certificados de entidades de certificación
raíz de confianza. En sistemas Windows, la ubicación de importación predeterminada es el almacén
de certificados personales. También puede simplificar este proceso utilizando una implementación
centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.
STEP 4 | Configure el certificado fiable de reenvío.

1. Haga clic en Generate (Generar) en la parte inferior de la página de certificados.
2. Introduzca un Certificate Name (Nombre de certificado), como mi-reenvio-nofiable.
3. Defina el Common Name (Nombre común), por ejemplo 192.168.2.1. Deje Signed By (Firmado por)
en blanco.
4. Haga clic en la casilla de verificación Certificate Authority (Autoridad del certificado) para habilitar el
cortafuegos para que emita el certificado.
5. Haga clic en Generate (Generar) para generar el certificado.
7. Haga clic en el nuevo certificado my-ssl-fw-untrust para modificarlo y habilite la opción Forward
Untrust Certificate (Reenviar certificado no fiable).
No exporte el certificado no fiable de reenvío para su importación en sistemas cliente.

Si el certificado no fiable de reenvío se importa en sistemas cliente, los usuarios no
verán advertencias de certificación en los sitios SSL con certificados no fiables.

STEP 5 | (Opcional) Configure el tamaño de clave de los certificados proxy SSL de reenvío que el
cortafuegos presenta a los clientes. Por defecto, el cortafuegos determina el tamaño de clave
que debe en función del tamaño de clave del certificado del servidor de destino.
STEP 6 | Cree una regla de política de descifrado para definir el tráfico que el cortafuegos descifrará.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente y
defina el tráfico que debe descifrarse.
2. Seleccione Options (Opciones) y:
• Configure la Action (Acción) de la regla en Decrypt (Descifrar) para descifrar el tráfico
coincidente.
• Configure el Type (Tipo) de regla en SSL Forward Proxy (Proxy de reenvío SSL).
• (Opcional) Seleccione un Decryption Profile (Perfil de descifrado) para bloquear y controlar
diferentes aspectos del tráfico descifrado (por ejemplo, cree un perfil de descifrado para realizar
comprobaciones de certificados y aplicar sólidos conjuntos de cifras y versiones de protocolo).
STEP 7 | Habilite el cortafuegos para que envíe tráfico descifrado SSL para el análisis de WildFire.
Esta opción requiere una licencia WildFire activa y es una práctica recomendad de
WildFire.
STEP 9 | Elija su próximo paso...

• Habilitar a los usuarios para que excluyan el descifrado SSL..
• Configure las exclusiones de descifrado para deshabilitar el descifrado de ciertos tipos de tráfico.

Configuración de la inspección de entrada SSL
Utilice la Inspección entrante de SSL para descifrar e inspeccionar el tráfico SSL entrante destinado a un
servidor de red (puede realizar la inspección entrante de SSL para cualquier servidor si tiene el certificado
del servidor). Con una política de descifrado de inspección de entrada SSL habilitada, todo el tráfico SSL
identificado por la política se descifrará para convertirse en texto no cifrado y se inspeccionará. El tráfico
no cifrado se bloquea y restringe en función del perfil de descifrado adjunto a la política y a los perfiles
configurados de antivirus, vulnerabilidad, antispyware, filtro de URL y bloqueo de archivos. También puede
habilitar el cortafuegos para el reenvío de tráfico SSL descifrados para el análisis de WildFire y la generación
de firmas.
La configuración de la Inspección entrante de SSL incluye la instalación del certificado del servidor de
destino en el cortafuegos y la creación de una política de descifrado de inspección de entrada SSL.
STEP 1 | Asegúrese de que las interfaces adecuadas estén configuradas como interfaces de modo tap,
cable virtual, capa 2 o capa 3.
No puede utilizar una interfaz de modo tap en la inspección entrante de SSL si el cifrado
negociado incluye algoritmos de intercambio de claves PFS (DHE y ECDHE).
Visualice las interfaces configuradas en las pestañas Network (Red) > Interfaces > Ethernet. La columna
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz y modificar su configuración, incluido qué tipo de
interfaz es.
STEP 2 | Asegúrese de que el certificado del servidor de destino esté instalado en el cortafuegos.
En la interfaz web, seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates > Device Certificates (Certificados de dispositivos) para ver los certificados instalados en el
cortafuegos.
Para importar el certificado del servidor de destino en el cortafuegos:
1. En la pestaña Device Certificates (Certificados de dispositivos), seleccione Import (Importar).
2. Introduzca un Certificate Name (Nombre de certificado ) descriptivo.
3. Busque y seleccione el Certificate File (Archivo del certificado) del servidor de destino.
STEP 3 | Lleve a cabo la Creación de una regla de la política de descifrado para definir el tráfico que el
cortafuegos debe descifrar.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente, y
defina el tráfico que se descifrará.
coincidente.
• Configure el Type (Tipo) de regla en SSL Inbound Inspection (Inspección de entrada SSL).
• Seleccione el Certificate (Certificado) para el servidor interno que es el destino del tráfico SSL
entrante.
diferentes aspectos del tráfico descifrado (por ejemplo, la Creación de un perfil de descifrado para
finalizar sesiones si los recursos del sistema no están disponibles para el descifrado del proceso).

STEP 4 | Habilite el cortafuegos para que envíe tráfico descifrado de SSL para el análisis de WildFire.
Esta opción requiere una licencia de WildFire activa y es la práctica recomendada de

WildFire.
STEP 6 | Seleccione su próximo paso.

• Lleve a cabo la Habilitación de la exclusión del descifrado SSL de los usuarios.
• Configure las Exclusiones de descifrado para deshabilitar el descifrado de diferentes tipos de tráfico.

Configuración del Proxy SSH
La configuración de SSH Proxy (Proxy SSH) no requiere certificados y la clave utilizada para descifrar
sesiones SSH se genera automáticamente en el cortafuegos durante el inicio.
Si el descifrado SSH está habilitado, el cortafuegos descifra el tráfico SSH, y bloquea o restringe el tráfico
SSH en función de su política de descifrado y la configuración del perfil de descifrado. El tráfico vuelve a
cifrarse a medida que sale del cortafuegos.
STEP 1 | Asegúrese de que las interfaces adecuadas están configuradas como interfaces de Virtual Wire,
capa 2 o capa 3. El descifrado solo se puede realizar en Virtual Wire, interfaces de capa 2 o
capa 3.
Visualice las interfaces configuradas en las pestañas Network (Red) > Interfaces > Ethernet. La columna
Wire, Layer 2 oLayer 3. Puede seleccionar una interfaz para modificar su configuración, incluido qué tipo
de interfaz es.
STEP 2 | Lleve a cabo la Creación de una regla de la política de descifrado para definir el tráfico que el
cortafuegos debe descifrar.
1. Seleccione Policies (Políticas) > Decryption (Descifrado), añada o modifique una regla existente, y
defina el tráfico que se descifrará.
coincidente.
• Configure el Type (Tipo) de regla en SSL Proxy.
diferentes aspectos del tráfico descifrado (por ejemplo, la Creación de un perfil de descifrado para
finalizar sesiones si los recursos del sistema no están disponibles para el descifrado del proceso).
STEP 4 | (Opcional) Continúe con las Exclusiones de descifrado para deshabilitar el descifrado de
diferentes tipos de tráfico.

Exclusiones de descifrado
Palo Alto Networks excluye a ciertas aplicaciones y servicios del descifrado SSL de manera predeterminada
y puede seleccionar excluir un servidor determinado del descifrado o excluir un tráfico determinado del
descifrado en función del origen, el destino, la categoría de URL y el servicio. Las exclusiones predefinidas
de descifrado excluyen automáticamente aplicaciones y servicios del descifrado que no funcionan
correctamente cuando el cortafuegos los descifra, y las exclusiones personalizadas de descifrado le
permiten excluir el tráfico del descifrado por motivos legales o de privacidad.
• Exclusiones predefinidas de descifrado de Palo Alto Networks
• Exclusión de un servidor del descifrado
• Creación de una exclusión al descifrado basada en la política
Exclusiones predefinidas de descifrado de Palo Alto Networks

Palo Alto Networks define las exclusiones de cifrado para identificar las aplicaciones y los servicios
que no funcionan correctamente cuando el cortafuegos los descifra. Palo Alto Networks proporciona
exclusiones de descifrado predefinidas nuevas y actualizadas al cortafuegos como parte de la actualización
de contenido de aplicaciones y amenazas (o la actualización de contenido de aplicaciones si no tiene una
licencia de prevención de amenazas). Las exclusiones de descifrado predefinidas se habilitan de manera
predeterminada; el cortafuegos no descifra tráfico que coincide con la exclusión predefinida y permite el
tráfico descifrado en función de su política de seguridad. Debido a que el tráfico permanece cifrado, el
cortafuegos no inspecciona y aplica el tráfico. También puede deshabilitar exclusiones predefinidas; en este
caso, las aplicaciones o los servicios cifrados que el cortafuegos no puede descifrar no se admiten (puede
seleccionar deshabilitar las exclusiones predefinidas para aplicar una política de seguridad estricta que solo
permite aplicaciones y servicios que el cortafuegos puede inspeccionar y aplicar).
Puede ver y gestionar todas las exclusiones de descifrado predefinidas de Palo Alto Networks directamente
en el cortafuegos (Device [Dispositivo] > Certificate Management [Gestión de certificados] > Decryption
Exclusions [Exclusiones de descifrado]):
El cortafuegos elimina automáticamente exclusiones de cifrado predefinidas habilitadas de la lista cuando

se vuelven obsoletas (cuando una aplicación que sufrió una interrupción causada por el descifrado ahora se
admite con descifrado). Seleccione la opción Show Obsoletes (Mostrar obsoletos) para comprobar si hay
exclusiones predefinidas deshabilitadas restantes en la lista que ya no se necesiten, dado que el cortafuegos
no elimina las exclusiones de descifrado predefinidas deshabilitadas automáticamente.
Además de las exclusiones de descifrado predefinidas, también puede crear exclusiones de descifrado
personalizadas: Realice la Exclusión de un servidor del descifrado para excluir el tráfico de descifrado

basado en certificados del servidor o la Creación de una exclusión al descifrado basada en la política para
excluir el tráfico de descifrado basado en la aplicación, el origen, el destino, la URL, la categoría y el servicio.
Exclusión de un servidor del descifrado

Puede excluir tráfico de servidor dirigido del descifrado SSL. Por ejemplo, si ha habilitado el descifrado SSL,
puede configurar una excepción de descifrado para el servidor en su red corporativa que aloja los servicios
web para su sistema de RR. HH. Este tipo de exclusión de descifrado se basa en el nombre de host que
identifica el servidor en otros dispositivos de la red. El nombre de host del servidor que utiliza para definir
la exclusión de descifrado se compara con el nombre común (CN) en el certificado que presenta un servidor
o, en el caso donde un servidor único aloja varios sitios web utilizando diferentes certificados, el nombre
de host se compara con la indicación del nombre de servidor (SNI) que presenta el cliente para indicar el
servidor al que desea conectarse.
STEP 1 | Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL
Decryption Exclusions (Exclusiones de descifrado SSL).
STEP 2 | Haga clic en Add (Añadir) para añadir una nueva exclusión de descifrado, o seleccione una
entrada personalizada existente para modificarla.
STEP 3 | Introduzca el hostname (nombre de host) del sitio web o la aplicación que desea excluir del
descifrado.
Para excluir del descifrado todos los nombres de host asociados a un determinado dominio, puede
utilizar un asterisco de comodín (*). En este caso, todas las sesiones en las que el servidor presente un
CN que contenga el dominio se excluyen del descifrado.
Asegúrese de que el campo del nombre de host sea único para cada entrada personalizada. Si una
exclusión predefinida coincide con una entrada personalizada, la entrada personalizada tiene prioridad.
STEP 4 | (Opcional) Seleccione Shared (Uso compartido) para compartir una exclusión en todos los
sistemas virtuales en un cortafuegos de sistema virtual múltiple.
STEP 5 | Haga clic en Exclude (Excluir) para excluir la aplicación del descifrado. De manera alternativa,
si modifica una exclusión de descifrado existente, puede desmarcar esta casilla de verificación
para comenzar a descifrar una entrada que, previamente, se excluía del descifrado.
STEP 6 | Haga clic en OK (Aceptar) para guardar la nueva entrada de exclusión.
Creación de una exclusión al descifrado basada en la política

Excluya determinado tráfico del descifrado según la aplicación, el origen, el destino, la categoría de URL y
el servicio. Por ejemplo, aproveche las categorías de URL para excluir el tráfico financiero o de salud del
descifrado, dado que es probable que ese tráfico sea personal de los usuarios.
Dado que las reglas de políticas se comparan con el tráfico entrante en secuencias, asegúrese de que hay en
la lista una regla de exclusión de descifrado en su política de descifrado.
STEP 1 | Excluya el tráfico de descifrado en función de los criterios coincidentes.

Este ejemplo muestra cómo excluir el tráfico categorizado como financiero o sanitario del descifrado del
proxy SSL de reenvío.
1. Seleccione Policies (Políticas) > Decryption (Descifrado) y haga clic en Add (Añadir) para añadir una
regla, o modifique una regla de la política de seguridad.
2. Defina el tráfico que desea excluir del descifrado.

En este ejemplo:
1. Otorgue a la regla un nombre descriptivo en Name, como No-Descifrar-Estado-Financiero.
2. Establezca Any (Todos) como los valores de Source (Origen) y Destination (Destino) para aplicar la
regla No-Decrypt-Finance-Health a todo el tráfico de SSL destinado a un servidor externo.
3. Seleccione URL Category (Categoría URL) y Add (Añadir) para añadir las categorías de URL
servicios-financieros y salud-y-medicina.
3. Seleccione Options (Opciones) y configure la regla en No Decrypt (Sin descifrado).
4. (Opcional) Puede utilizar un perfil de descifrado para validar los certificados para las sesiones que
el cortafuegos no descifra. Adjunte un perfil de descifrado a la regla que está configurada en Block
sessions with expired certificates (Bloquear sesiones con certificados vencidos) y/o Block sessions
with untrusted issuers (Bloquear sesiones con emisores no fiables).
5. Haga clic en OK (Aceptar) para guardar la política de descifrado No-Descifrar-Estado-Financiero
STEP 2 | Coloque la regla de exclusión de descifrado en la parte superior de su política de descifrado.

Las reglas de descifrado se aplican al tráfico entrante secuencialmente y se aplica la primera regla que
coincida con el tráfico. Si mueve la regla No Decrypt (Sin descifrado) a la parte superior de la lista de
reglas, se asegura de que el tráfico que coincida con la regla permanezca cifrado, incluso aunque el
tráfico posteriormente coincida con otras reglas de descifrado.
Seleccione la política No-Decrypt-Finance-Health (Decryption [Descifrado] > Policies [Políticas]), y
haga clic en Move Up (Mover hacia arriba) hasta que aparezca en la parte superior de la lista (o puede
arrastrar y soltar la regla).


Permisos para que los usuarios excluyan el
descifrado SSL
En algunos casos, es posible que desee avisar a los usuarios que determinado tráfico web se descifra y
permitirles finalizar sesiones que no deseen que se inspeccionen. En este caso, la primera vez que un
usuario intente explorar un sitio HTTPS o una aplicación que coincida con su política de descifrado, el
cortafuegos mostrará una página de respuesta que notifica al usuario que la sesión va a descifrarse. Los
usuarios pueden permitir el descifrado y acceder a la página haciendo clic en Yes (Sí) o excluir el descifrado
haciendo clic en No y finalizar la sesión. La elección de permitir el descifrado se aplica a todos los sitios
HTTPS a los que los usuarios intenten acceder en las próximas 24 horas, después de lo cual el cortafuegos
vuelve a mostrar la página de respuesta. Los usuarios que opten por excluir el descifrado SSL no podrán
acceder a la página web solicitada ni a ningún otro sitio HTTPS durante un minuto. Una vez transcurrido
el minuto, el cortafuegos vuelve a mostrar la página de respuesta la próxima vez que los usuarios intentan
acceder a un sitio HTTPS.
El cortafuegos incluye una página de exclusión del descifrado SSL predefinida que puede habilitar. También
puede personalizar la página con su propio texto o imágenes.
STEP 1 | (Opcional) Personalizar la página de exclusión del descifrado SSL

1. Seleccione Device [Dispositivo] > Response Pages [Páginas de respuesta].
2. Seleccione el enlace SSL Decryption Opt-out Page (Página de exclusión de descifrado de SSL).
3. Seleccione la página Predefined (Predefinido) y haga clic en Export (Exportar).
4. Con el editor de textos de HTML que prefiera, edite la página.
5. Si desea añadir una imagen, aloje la imagen en un servidor web accesible desde sus sistemas de
usuario final.
6. Añada una línea al HTML para señalar la imagen. Por ejemplo:
<img src="http://cdn.slidesharecdn.com/ Acme-logo-96x96.jpg?1382722588"/>

7. Guarde la imagen editada con un nuevo nombre de archivo. Asegúrese de que la página conserva su
codificación UTF-8.
8. De nuevo en el cortafuegos, seleccione Device (Dispositivo) > Response Pages (Páginas de
respuesta).
9. Seleccione el enlace SSL Decryption Opt-out Page (Página de exclusión de descifrado de SSL).
10.Haga clic en Import (Importar) y, a continuación, introduzca la ruta y el nombre de archivo en el
campo Import File (Importar archivo) o Browse (Examinar) para encontrar el archivo.
11.(Opcional) Seleccione el sistema virtual en el que se usará esta página de inicio de sesión en la lista
desplegable Destination (Destino) o seleccione Shared (Compartido) para que esté disponible para
todos los sistemas virtuales.
12.Haga clic en OK (Aceptar) para importar el archivo.
13.Seleccione la página de respuesta que acaba de importar y haga clic en Close (Cerrar).
STEP 2 | Active la exclusión de descifrado SSL

1. En la página Device (Dispositivo) > Response Pages (Páginas de respuesta), haga clic en el enlace
Disabled (Deshabilitado).
2. Seleccione Enable SSL Opt-out Page (Página de exclusión de SSL) y haga clic en OK (Aceptar).
STEP 3 | Compruebe que la página de exclusión aparece cuando intenta desplazarse a un sitio.

Desde un navegador, vaya a un sitio cifrado que coincida con su política de descifrado.
Compruebe si se muestra la nueva página de respuesta de exclusión de descifrado SSL.

Configuración del reflejo del puerto de
descifrado
Antes de que pueda habilitar el Decryption Mirroring (Reflejo de descifrado), debe obtener e instalar una
licencia de reflejo del puerto de descifrado. La licencia es gratuita y puede habilitarse a través del portal de
asistencia técnica como se describe en el siguiente procedimiento. Después de instalar la licencia de reflejo
del puerto de descifrado y reiniciar el cortafuegos, puede habilitar el reflejo del puerto de descifrado.
STEP 1 | Solicite una licencia para cada cortafuegos en el que desee habilitar el reflejo del puerto de
descifrado.
1. Inicie sesión en el sitio web de Asistencia técnica de Palo Alto Networks y desplácese a la pestaña
Assets (Activos).
2. Seleccione la entrada para el cortafuegos para el que desea obtener una licencia y seleccione Actions.
3. Seleccione Decryption Port Mirror (Reflejo de puerto de descifrado). Aparecerá un aviso legal.
4. Si está de acuerdo con los requisitos y las posibles implicaciones legales, haga clic en I understand
and wish to proceed (Comprendo las condiciones y deseo continuar).
5. Haga clic en Activate (Activar).
STEP 2 | Instale la licencia de reflejo del puerto de descifrado en el cortafuegos.

1. Desde la interfaz web del cortafuegos, seleccione Device (Dispositivo) > Licenses (Licencias).
2. Haga clic en Retrieve license keys from license server (Recuperar claves de licencia del servidor de
licencias).
3. Verifique que la licencia se ha activado en el cortafuegos.
4. Reinicie el cortafuegos (Device [Dispositivo] > Setup [Configuración] > Operations [Operaciones]).
Esta función no estará disponible para su configuración hasta que no vuelva a cargarse PAN-OS.

STEP 3 | Habilite el cortafuegos para que reenvíe tráfico descifrado. Se necesitan permisos de
superusuario para realizar este paso.
En un cortafuegos con un único sistema virtual:
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content - ID (Contenido: ID).
2. Seleccione la casilla de verificación Allow forwarding of decrypted content (Permitir reenvío de
contenido descifrado).
En un cortafuegos con varios sistemas virtuales:
1. Seleccione Device (Dispositivo) > Virtual System (Sistema virtual).
2. Seleccione un sistema virtual para su edición o cree un nuevo sistema virtual seleccionando Añadir.
3. Seleccione la casilla de verificación Allow forwarding of decrypted content (Permitir reenvío de
contenido descifrado).
STEP 4 | Habilite una interfaz Ethernet que se usará para el reflejo de descifrado.
1. Seleccione Network (Red) > Interfaces (Interfaces) > Ethernet.
2. Seleccione la interfaz Ethernet que quiera configurar para el reflejo del puerto de descifrado.
3. Seleccione Reflejo de descifrado como el Tipo de interfaz.
Este tipo de interfaz solo aparece si la licencia de Reflejo de puerto de descifrado está instalada.
STEP 5 | Habilite el reflejo de tráfico descifrado.

1. Seleccione Objects (Objetos) > Decryption Profile (Perfil de descifrado).
2. Seleccione una interfaz en Interface, que se usará para el reflejo de descifrado.
El menú desplegable Interfaz contiene todas las interfaces Ethernet que se han definido como el tipo:
Decrypt Mirror (Reflejo de descifrado).
3. Especifique si desea reflejar el tráfico descifrado antes o después de aplicar las políticas.
De manera predeterminada, el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de
la búsqueda de políticas de seguridad, lo que le permitirá reproducir eventos y analizar el tráfico que
genere una amenaza o active una acción de descarte. Si solamente desea reflejar el tráfico descifrado
después de aplicar las políticas de seguridad, seleccione la casilla de verificación Reenviado solo. Con
esta opción, solamente se reflejará el tráfico reenviado a través del cortafuegos. Esta opción es de
utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas, como
un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS).
4. Haga clic en OK (Aceptar) para guardar el perfil de descifrado.
STEP 6 | Adjunte la regla de perfiles de descifrado (con el reflejo de puerto de descifrado habilitado) a
una regla de políticas de descifrado. Se reflejará todo el tráfico descifrado en función de la regla
de políticas.
1. Seleccione Policies (Políticas) > Decryption (Descifrado).
2. Haga clic en Añadir para configurar una política de descifrado o seleccione una política de descifrado
existente para editarla.
3. En la pestaña Options (Opciones), seleccione Decrypt (Descifrado) y el Decryption Profile (Perfil de
descifrado) creado en el paso 4.
4. Haga clic en OK (Aceptar) para guardar la política.


Deshabilitación temporal del descifrado SSL
En algunos casos puede que desee deshabilitar temporalmente el descifrado SSL. Por ejemplo, si sus
usuarios tienen problemas para acceder a un sitio o aplicación cifrado, puede que desee deshabilitar el
descifrado SSL para poder solucionar el problema. Aunque puede deshabilitar las políticas de descifrado
asociadas, la modificación de las políticas supone un cambio que requiere una compilación. En su lugar, use
el siguiente comando para deshabilitar temporalmente el descifrado SSL y vuelva a habilitarlo tras terminar
la resolución de problemas. Este comando no requiere una compilación y no persiste en su configuración
tras un reinicio.
• Deshabilitación del descifrado SSL
set system setting

ssl-decrypt skip-ssl-decrypt yes
• Rehabilitación del descifrado SSL
set system setting

ssl-decrypt skip-ssl-decrypt no

Filtrado de URL
La solución de filtrado de URL de Palo Alto Networks le permite supervisar y controlar los
sitios que pueden acceder los usuarios para evitar ataques de phishing controlando los sitios
a los que los usuarios pueden enviar credenciales corporativas válidas, y aplicar la búsqueda
segura de motores de búsqueda como Google and Bing.
> Descripción general del filtrado de URL

> Conceptos del filtrado de URL
> Categorización de PAN-DB
> Activación de un proveedor de filtrado de URL
> Determinación de los requisitos de la política de filtrado de URL
> Configuración de filtrado de URL
> Uso de una lista dinámica externa en un perfil de filtro de URL
> Personalización de las páginas de respuesta de filtrado de URL
> Permiso de acceso con contraseña a ciertos sitios
> Aplicación de búsquedas seguras
> Supervisión de la actividad web
> Configuración de la nube privada de PAN-DB
> Casos de uso de filtrado de URL
> Solución de problemas del filtrado de URL
627
628 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Filtrado de URL
Descripción general del filtrado de URL
La solución de filtrado de URL de Palo Alto Networks complementa App-ID, ya que le permite configurar el
cortafuegos para identificar y controlar el acceso al tráfico web (HTTP y HTTPS), y para proteger su red de
los ataques.
Con el filtrado de URL habilitado, todo el tráfico web se compara con la base de datos de filtrado de URL,
que contiene una lista de millones de sitios web que se han clasificado en categorías. Puede utilizar estas
categorías de URL como criterios de coincidencia para aplicar una política de seguridad y para habilitar con
seguridad el acceso web y el control del tráfico que atraviesa su red. También puede utilizar el filtrado de
URL para aplicar una configuración de búsqueda segura para sus usuarios y para garantizar la Prevención de
phishing de credenciales en función de la categoría de URL.
Aunque la solución de filtrado de URL de Palo Alto Networks admite tanto BrightCloud como PAN-DB, solo
la solución de filtrado de URL PAN-DB URL Filtering le permite escoger entre la nube pública de PAN-DB
y la nube privada de PAN-DB. Use la solución de nube pública si los cortafuegos de nueva generación de
Palo Alto Networks de su red pueden acceder directamente a Internet. Si los requisitos de seguridad de red
de su empresa prohíben que los cortafuegos accedan directamente a Internet, puede implementar una nube
privada de PAN-DB en uno o más dispositivos M-500 que funcionen como servidores de PAN-DB en su
red.
• Proveedores de filtrado de URL
• Interacción entre App-ID y categorías de URL
• Nube privada de PAN-DB
Proveedores de filtrado de URL

Los cortafuegos de Palo Alto Networks admiten dos proveedores para el filtrado de URL:
• PAN-DB: Base de datos de filtrado de URL desarrollada por Palo Alto Networks que está altamente
integrada en PAN-OS y la nube de inteligencia de amenazas de Palo Alto Networks. PAN-DB ofrece
una caché local de alto rendimiento para un rendimiento en línea máximo en las búsquedas de URL, y
ofrece cobertura contra direcciones IP y URL dañinas. A medida que WildFire, que es parte de la nube
de inteligencia de amenazas de Palo Alto Networks, identifica el malware desconocido, las explotaciones
día cero y las amenazas avanzadas persistentes (APT); la base de datos de PAN-DB se actualiza con
información sobre URL maliciosas para que pueda bloquear las descargas de malware y deshabilitar las
comunicaciones de comando y control (C2) para proteger su red de las ciberamenazas. Las categorías de
URL malware y phishing se actualizan cada cinco minutos para garantizar que pueda gestionar el acceso
a esos sitios dentro de los minutos de categorización.
Para ver una lista de categorías de filtrado PAN-DB URL Filtering, consulte https://
urlfiltering.paloaltonetworks.com/CategoryList.aspx.
• BrightCloud: una base de datos de URL externa, propiedad de Webroot, Inc., que está integrada en los
cortafuegos de PAN-OS. Para obtener información sobre la base de datos de URL de BrightCloud, visite
http://brightcloud.com.
Para obtener instrucciones sobre cómo configurar el cortafuegos para utilizar uno de los proveedores de
filtrado de URL admitidos, consulte Habilitación de un proveedor de filtrado de URL.
Interacción entre App-ID y categorías de URL

La solución de filtrado de URL de Palo Alto Networks, en combinación con App-ID on page 575, ofrece una
protección sin precedentes frente a una amplia variedad de riesgos en los ámbitos de la ley, la normativa,
la productividad y el uso de recursos, así como los ciberataques. Mientras que App-ID le permite controlar
a qué aplicaciones pueden acceder los usuarios, el filtrado de URL ofrece control sobre la actividad web
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Filtrado de URL 629

relacionada. Cuando se combinan con User-ID, también puede aplicar estos controles basándose en
usuarios y grupos.
Con el panorama actual de aplicaciones y el modo en que muchas aplicaciones utilizan HTTP y HTTPS,
deberá determinar cuándo utilizar App-ID, cuándo el filtrado de URL y cuándo ambos sistemas para definir
políticas de acceso web completas. Las firmas de App-ID son granulares y le permiten identificar los
cambios de una aplicación basada en web a otra; el filtrado de URL le permite aplicar acciones basadas
en un sitio web o categoría de URL específicos. Por ejemplo, aunque puede usar el filtrado de URL para
controlar el acceso a Facebook y/o LinkedIn, el filtrado de URL no puede bloquear el uso de aplicaciones
relacionadas, como el correo electrónico, el chat y cualquier aplicación nueva que se introduzca después
de que implemente su política. Cuando se combina con App-ID, puede controlar el uso de aplicaciones
relacionadas porque las firmas de aplicación granulares pueden identificar cada aplicación y regular el
acceso a Facebook mientras bloquea el acceso al chat de Facebook, cuando se definen en la política.
También puede usar las categorías de URL como un criterio de coincidencia en las políticas. En lugar
de crear políticas que se limiten a permitir o bloquear todos los comportamientos, el uso de URL como
criterios de coincidencia permite un comportamiento basado en excepciones y le da más funcionalidades de
aplicación forzada de políticas granulares. Por ejemplo, deniegue el acceso a sitios de malware y de hacking
para todos los usuarios, pero permita el acceso a usuarios que pertenecen al grupo de seguridad de TI.
Para ver ejemplos, consulte Casos de uso de filtrado de URL on page 684.
Nube privada de PAN-DB

La nube privada de PAN-DB es una solución instalada que es útil para organizaciones que prohíben o
restringen el uso del servicio de nube pública de PAN-DB. Con esta solución instalada, puede implementar
uno o más dispositivos M-500 como servidores de PAN-DB en su red o centro de datos. Los cortafuegos
piden a la nube privada de PAN-DB que realice búsquedas de URL, en lugar de acceder a la nube pública de
PAN-DB.
El proceso para realizar búsquedas de URL, tanto en la nube privada como en la pública, es el mismo para
los cortafuegos de la red. De manera predeterminada, el cortafuegos está configurado para acceder a la
nube pública de PAN-DB. Si implementa una nube privada de PAN-DB, debe configurar los cortafuegos con
una lista de direcciones IP o FQDN para acceder al servidor o los servidores en la nube privada.
Los cortafuegos que ejecuten PAN-OS 5.0 o versiones posteriores pueden comunicarse con
la nube privada de PAN-DB.
Cuando realice la Configuración de la nube privada de PAN-DB on page 679, puede configurar el
dispositivo M-500 para tener acceso directo a internet o mantenerlo completamente fuera de línea. Dado
que el dispositivo M-500 requiere actualizaciones de base de datos y contenido para realizar búsquedas
de URL, si el dispositivo no tiene una conexión activa a Internet, deberá descargar manualmente las
actualizaciones en un servidor de su red e importar las actualizaciones utilizando SCP en cada dispositivo
M-500 de la nube privada de PAN-DB. Además, los dispositivos deben poder obtener la base de datos de
valores de inicialización y cualquier otra actualización de contenido normal o crítica de los cortafuegos a los
que atiende.
Para autenticar los cortafuegos que conectan con la nube privada de PAN-DB, un conjunto de certificados
de servidor predeterminado se empaquetan con el dispositivo; no puede importar ni usar otro certificado de
servidor para autenticar los cortafuegos. Si cambia el nombre de host del dispositivo M-500, el dispositivo
genera automáticamente un nuevo conjunto de certificados para autenticar los cortafuegos.
• Dispositivo M-500 para la nube privada de PAN-DB on page 631
• Table 3: Diferencias entre la nube pública de PAN-DB y la nube privada de PAN-DB on page 631

Dispositivo M-500 para la nube privada de PAN-DB
Para implementar una nube privada de PAN-DB, necesita uno o más dispositivos M-500. El dispositivo
M-500 se envía en modo Panorama, y para implementarse como nube privada de PAN-DB debe
configurarse para funcionar en el modo PAN-URL-DB. En el modo PAN-URL-DB, el dispositivo ofrece los
servicios de categorización de URL para empresas que no desean usar la nube pública de PAN-DB.
El dispositivo M-500, cuando se implementa como una nube privada de PAN-DB, usa dos puertos, MGT
(Eth0) y Eth1; Eth2 no está disponible para su uso. El puerto de gestión se usa para el acceso administrativo
al dispositivo y para obtener las últimas actualizaciones de contenido desde la nube pública de PAN-DB o
desde un servidor de su red. Para una comunicación entre la nube privada de PAN-DB y los cortafuegos de
la red, puede usar el puerto MGT o Eth1.
El dispositivo M-100 no se puede implementar como una nube privada de PAN-DB.
El dispositivo M-500 en modo PAN-URL-DB:

• No tiene una interfaz web, solo admite una interfaz de línea de comandos (CLI).
• No puede ser gestionado por Panorama.
• No puede implementarse en un clúster en alta disponibilidad (HA).
• No requiere una licencia de filtrado de URL. Los cortafuegos deben tener una licencia de PAN-DB URL
Filtering para conectar con la nube privada de PAN-DB y consultarla.
• Se envía con un conjunto de certificados de servidor predeterminados que se usan para autenticar los
cortafuegos que se conectan con la nube privada de PAN-DB. No puede importar ni usar otro certificado
de servidor para autenticar los cortafuegos. Si cambia el nombre de host del dispositivo M-500, el
dispositivo genera automáticamente un nuevo conjunto de certificado para autenticar los cortafuegos a
los que atiende.
• Solo se puede restablecer al modo Panorama. Si desea implementar el dispositivo como recopilador de
logs dedicado, cambie al modo Panorama y defínalo en el modo de recopilador de logs.
Table 3: Diferencias entre la nube pública de PAN-DB y la nube privada de PAN-DB
Diferencias Nube pública de PAN-DB Nube privada de PAN-DB
Actualizaciones Las actualizaciones de contenido Las actualizaciones de contenido y las

de contenido (normales y críticas) y las actualizaciones actualizaciones de bases de datos de URL
y base de de bases de datos completas se publican completas están disponibles una vez al
datos varias veces al día. La nube pública día durante la semana.
PAN-DB actualiza el estado de malware
y phishing en las categorías de URL cada
cinco minutos. El cortafuegos busca
actualizaciones críticas siempre que
consulta a los servidores de nubes para
búsquedas de URL.
Solicitudes de Envíe solicitudes de cambio de Envíe sus solicitudes de cambio

categorización categorización de URL usando las de categorización de URL usando
de URL siguientes opciones: únicamente el sitio web de
comprobación de sitios de Palo Alto
• Sitio web de comprobación de sitios
Networks.
de Palo Alto Networks.
• Página de configuración de perfil de
filtrado de URL en el cortafuegos.

Diferencias Nube pública de PAN-DB Nube privada de PAN-DB
• Log de filtrado de URL en el
cortafuegos.
Consultas URL Si el cortafuegos no puede resolver una Si el cortafuegos no puede resolver

sin resolver consulta de URL, la solicitud se envía a una consulta, la solicitud se envía al
los servidores en la nube pública. dispositivo M-500 en la nube privada de
PAN-DB. Si no hay coincidencia para la
URL, la nube privada de PAN-DB envía
una respuesta de categoría desconocida
al cortafuegos; la solicitud no se envía
a la nube pública a no ser que haya
configurado el dispositivo M-500 para
acceder a la nube pública de PAN-DB.
Si los dispositivos M-500 que
constituyen su nube privada de PAN-DB
se configuran para estar completamente
fuera de línea, no enviará ningún dato o
análisis a la nube pública.

Conceptos del filtrado de URL
• Categorías de URL on page 633
• Perfil de filtrado de URL on page 634
• Acciones del perfil de filtrado de URL on page 635
• Listas de bloqueadas y permitidas on page 637
• Lista dinámica externa para URL on page 638
• Páginas contenedoras on page 638
• Creación de logs del encabezado HTTP on page 638
• Páginas de respuesta de filtrado de URL on page 639
• Categoría de URL como criterio de coincidencia de política on page 642
Categorías de URL
Cada sitio web definido en la base de datos de filtrado de URL tiene asignada una categoría de URL. A
continuación se ilustran algunas maneras de aprovechar las categorías de URL:
• Bloquear o permitir el tráfico según la categoría de URL: puede crear un perfil de filtrado de URL que
especifique una acción para cada categoría de URL y adjuntar el perfil a una política. El tráfico que
coincida con política dependería de la configuración del filtrado de URL en el perfil. Por ejemplo, para
bloquear todos los sitios web de juego, debe establecer la acción de bloqueo para la categoría de URL
juegos en el perfil de URL y adjuntarla a las reglas de política de seguridad que permiten el acceso web.
Consulte Configuración de filtrado de URL para obtener más información.
• Aplicar política según la categoría URL: si desea que una regla de una política específica se aplique
solamente al tráfico web de los sitios de una categoría específica, use la categoría URL como criterio
de coincidencia al crear la regla de la política. Por ejemplo, puede usar la categoría de URL aplicaciones
de transmisión multimedia en una política de QoS para aplicar controles de ancho de banda a todos los
sitios web categorizados como aplicaciones de transmisión multimedia. Consulte Categoría URL como
criterios de coincidencia de política para obtener más información.
• Bloquear o permitir los envíos de credenciales corporativas según la categoría de URL: prevenga
el phishing de identidades al habilitar el cortafuegos para que detecte los envíos de credenciales
corporativas a los sitios y luego bloquee o permita dichos envíos según la categoría de URL. Bloquee a
los usuarios para el envío de credenciales a sitios malintencionados y no fiables, advierta a los usuarios
sobre el ingrese de credenciales corporativas en sitios desconocidos o advierta contra la reutilización de
credenciales corporativas en sitios no corporativos, y permita explícitamente a los usuarios que envíen
credenciales a sitios corporativos y aprobados.
Al agrupar sitios web en categorías, resulta más fácil definir acciones basándose en determinados tipos de
sitios web. Además de las categorías de URL estándar, hay tres categorías adicionales:
Categoría Descripción
not-resolved Indica que el sitio web no se ha encontrado en la base de datos de filtrado de

URL local y que el cortafuegos no ha podido conectarse con la base de datos
de la nube para comprobar la categoría. Cuando se realiza una búsqueda de
categoría de URL, en primer lugar el cortafuegos comprueba la caché del
plano de datos en busca de la URL. Si no se encuentra ninguna coincidencia,
a continuación comprueba la caché del plano de gestión y si no se encuentra
ninguna coincidencia aquí, consulta la base de datos de URL en la nube. En el
caso de la nube privada de PAN-DB, la base de datos de URL de la nube no se
usa para las consultas.

Categoría Descripción
Definir la acción que se va a bloquear para el tráfico que se está
categorizando como no resuelto puede ser muy disruptivo para los usuarios.
Puede definir la acción como continue (continuar), de modo que sus usuarios
pueden notificar a los usuarios que están accediendo a un sitio que está
bloqueado por la política de la compañía y ofrecer la opción de leer la
renuncia de responsabilidad y continuar hacia el sitio web.
Para obtener más información sobre la solución de problemas de búsqueda,
consulte Solución de problemas del filtrado de URL.
private-ip-addresses Indica que el sitio web es un único dominio (no tiene subdominios), la
dirección IP está en el intervalo de IP privadas o el dominio raíz de la URL es
desconocido para la nube.
unknown Dado que el sitio web todavía no se ha categorizado, no existe en la base de

datos de filtrado de URL del cortafuegos ni en la base de datos de la nube de
URL.
Al decidir qué acción realizar para el tráfico categorizado como unknown
(desconocido), tenga en cuenta que si establece una acción de bloqueo,
puede perjudicar mucho a los usuarios, ya que podría haber muchos sitios
válidos que todavía no estén en la base de datos de URL. Si desea tener una
política muy estricta, podría bloquear esta categoría, de modo que no se
pueda acceder a los sitios web que no existan en la base de datos de URL.
Palo Alto Networks recopila la lista de URL desde la categoría desconocida
y las procesa para determinar la categoría de URL. Estas URL se procesan
automáticamente todos los días, siempre que los sitios web tengan
contenido legible por máquina en un formato y lenguaje compatibles. Tras la
categorización, la información de categoría actualizada queda a disposición de
todos los clientes PAN-DB.
Consulte Configuración de filtrado de URL.
Puede enviar solicitudes de cambio de categorización de la URL usando el portal web

dedicado de Palo Alto Networks (Test A Site), la página de configuración del perfil de filtrado
URL en el cortafuegos o el log de filtrado URL en el cortafuegos. Cada solicitud de cambio
se procesa automáticamente todos los días, siempre que los sitios web tengan contenido
legible por máquina en un formato y lenguaje compatibles. En ocasiones, el cambio de
categorización requiere que un miembro del personal de ingeniería de Palo Alto Networks
realice una revisión manual. En dichos casos, el proceso puede demorar un poco más.
Perfil de filtrado de URL

Un perfil de filtrado de URL es un conjunto de controles de filtrado de URL que se aplican a reglas de la
política de seguridad individuales para aplicar su política de acceso web. El cortafuegos incluye un perfil
predeterminado que se ha configurado para bloquear categorías propensas a las amenazas, como malware,
phishing y contenido para adultos. Puede utilizar el perfil predeterminado en una política de seguridad,
duplicarlo para utilizarlo como punto de partida para nuevos perfiles de filtrado de URL o añadir un nuevo
perfil de filtrado de URL. A continuación, puede personalizar los perfiles de URL recién añadidos y añadir
listas de sitios web específicos que siempre deberían bloquearse o permitirse. Por ejemplo, puede que desee
bloquear los sitios de redes sociales, pero permitir algunos sitios web que formen parte de la categoría de
redes sociales.

Configure la práctica recomendada de perfil de filtrado de URL para garantizar la protección
contra URL que se observó que alojan malware o contenido abusivo.
Acciones del perfil de filtrado de URL

El perfil de filtrado de URL especifica los permisos de acceso web y envío de credenciales para cada
categoría de URL. De manera predeterminada, el acceso al sitio para todas las categorías de URL se
configura como permitido al Crear un nuevo perfil de filtrado de URL. Esto significa que los usuarios podrán
navegar por todos los sitios libremente y que el tráfico no será registrado. Puede personalizar el perfil de
filtrado de URL con ajustes de Site Access (Acceso a sitios) personalizados para cada categoría o usar el
perfil de filtrado URL predeterminado ya definido en el cortafuegos para permitir el acceso a todas las
categorías de URL, excepto las siguientes categorías propensas a amenazas, que son bloqueadas: abuso de
drogas, contenido adulto, apuestas, piratería informática, malware, phishing, cuestionables y sobre armas.
Para cada categoría de URL, seleccione los User Credential Submissions (Envíos de credenciales de
usuario) para permitir o impedir que los usuarios envíen credenciales corporativas válidas a una URL de
esa categoría, a fin de prevenir el phishing de identidades. La gestión de los sitios a los cuales los usuarios
pueden enviar las credenciales requiere el uso de User-ID y usted primero debe realizar la Configuración
de la prevención de suplantación de identidad de credenciales. Las categorías de URL con el Site Access
(Acceso al sitio) establecido en bloquear se establecen automáticamente para bloquear también los envíos
de credenciales de usuario.
Obtenga más información sobre cómo configurar un perfil de filtrado de URL recomendado
para garantizar protección contra las URL que se observó que alojan malware o contenido
de exploits.
Acción Descripción
Acceso a sitio
alert (alertar) El sitio web está permitido y se genera una entrada de log en el log de filtrado
de URL.
allow (permitir) El sitio web está permitido y no se genera ninguna entrada de log.
block (bloquear) El sitio web está bloqueado y el usuario verá una página de respuesta y no
podrá ir al sitio web. Se generará una entrada de log en el log de filtrado de
URL.
El bloqueo del acceso a un sitio para una categoría de URL también establece
el bloqueo del envío de credenciales de usuario para esa categoría de URL.
continue (continuar) El usuario recibirá una página de respuesta indicando que el sitio se ha
bloqueado debido a la política de la empresa, pero se le dará la opción de ir
al sitio web. La acción continue (continuar) se suele usar para categorías que
se consideran inofensivas y se usa para mejorar la experiencia del usuario
mediante la posibilidad de continuar si considera que el sitio se ha categorizado
incorrectamente. El mensaje de la página de respuesta se puede personalizar
para incluir información detallada específica de su empresa. Se generará una
entrada de log en el log de filtrado de URL.
La página Continue (Continuar) no se mostrará correctamente

en equipos cliente configurados para usar un servidor proxy.

override (cancelar) El usuario verá una página de respuesta indicando que se requiere una
contraseña para permitir el acceso a los sitios web de la categoría en cuestión.
Con esta opción, el administrador de seguridad o el miembro del departamento
de soporte técnico proporcionaría una contraseña que concedería un acceso
temporal a todos los sitios web de la categoría en cuestión. Se generará una
entrada de log en el log de filtrado de URL. Configure la Habilitación del acceso
a determinados sitios mediante contraseña.
La página Override (Cancelar) no se mostrará correctamente

en equipos cliente configurados para usar un servidor proxy.
none (ninguno) La acción none (ninguno) solo se aplica a las categorías de URL personalizadas.
Seleccione none (ninguno) para asegurarse de que si existen varios perfiles
de URL, la categoría personalizada no tendrá ningún efecto en otros perfiles.
Por ejemplo, si tiene dos perfiles URL y la categoría URL personalizada está
configurada como block (bloquear) en un perfil, si no desea que la acción de
bloquear se aplique al otro perfil, debe configurar la acción en none (ninguno).
Además, para eliminar una categoría de URL personalizada, se debe establecer
en none (ninguno) en cualquier perfil en el que se use.
Permisos de credenciales de usuario
Estos ajustes requieren que primero realice la Configuración de la prevención de

suplantación de identidad de credenciales.
alert (alertar) Permita a los usuarios que envíen credenciales corporativas a los sitios de esta
categoría de URL, pero genere un log de alerta de filtrado URL cada vez que
esto ocurra.
Permitir (opción Permita a los usuarios que envíen credenciales corporativas a los sitios web de
predeterminada) esta categoría de URL.
block (bloquear) Bloquee a los usuarios para que no envíen credenciales corporativas a los sitios
web de esta categoría. La página de respuesta antiphishing predeterminada se
muestra a los usuarios cuando acceden a sitios para los cuales los envíos de
credenciales corporativas están bloqueados. Puede optar por crear una página
de bloqueo personalizada para mostrar.
continue (continuar) Muestra una página de respuesta a los usuarios que solicita que seleccionen
Continue (Continuar) para acceder al sitio. De manera predeterminada, la
página de continuar para la prevención del phishing se muestra a los usuarios
cuando estos ingresan en los sitios para los cuales no se recomienda el envío
de credenciales. También puede optar por crear una página de respuesta
predeterminada para mostrar, por ejemplo, si desea advertir a los usuarios
contra los intentos de phishing o la reutilización de credenciales en otros sitios
web.

Listas de bloqueadas y permitidas
En algunos casos, puede que desee bloquear una categoría pero permitir unos cuantos sitios específicos de
esa categoría. También puede que desee permitir algunas categorías, pero bloquear sitios individuales de
esas categorías. Esto se realiza añadiendo las direcciones IP o URL de esos sitios a las secciones de lista de
bloqueados y permitidos del perfil de filtrado de URL para realizar la Definición de las listas de bloqueados
y permitidos con el fin de especificar los sitios web que siempre deben estar bloqueados y permitidos,
independientemente de la categoría de URL.
Cuando introduzca las URL en la lista de bloqueados o permitidos, o en la lista dinámica externa de
URL, introduzca cada URL o dirección IP en una nueva fila separada por una nueva línea. Cuando utilice
comodines en las URL, siga estas reglas:
• No incluya HTTP y HTTPS cuando se definan las entradas de la lista de permitidos o bloqueados.
Por ejemplo, introduzca www.paloaltonetworks.com o paloaltonetworks.com en lugar de https://
www.paloaltonetworks.com.
• Las entradas de la lista de bloqueo deben ser una coincidencia exacta y no distinguen entre mayúsculas y
minúsculas.
Por ejemplo, para prevenir que un usuario acceda a un sitio web dentro del dominio
paloaltonetworks.com, añada *.paloaltonetworks.com a la lista de bloqueados. De esta manera, se
bloquearán todas las URL de paloaltoneworks.com, incluso si la dirección incluye un prefijo de dominio
(http://, www) o un prefijo de subdominio (mail.paloaltonetworks.com). Lo mismo ocurre con
el sufijo de subdominio. Por ejemplo, si desea bloquear paloaltonetworks.com/en/US, también debe
añadir paloaltonetworks.com/* a la lista de bloqueados.
Además, para bloquear el acceso a un sufijo de dominio como paloaltonetworks.com.au, debe añadir una
entrada con una barra (/) al final. En este ejemplo, añadiría *.paloaltonetworks.com/ a la lista de
bloqueados.
• Las listas de bloqueados y permitidos admiten patrones de comodines. Los siguientes caracteres se
consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carácter anterior se considera un token. Un token puede ser cualquier
número de caracteres ASCII que no contenga un carácter separador o un asterisco (*). Por ejemplo, los
siguientes patrones son válidos:
• *.yahoo.com (los tokens son: "*", "yahoo" y "com")
• www.*.com (los tokens son: "www", "*" and "com")
• www.yahoo.com/search=* (los tokens son: "www", "yahoo", "com", "search", "*")
Los siguientes patrones no son válidos porque el asterisco (*) no es el único carácter en el token:
• ww*.yahoo.com
• www.y*.com

Lista dinámica externa para URL
Para proteger la red contra nuevas fuentes de amenaza o malware, puede usar la Lista dinámica externa on
page 1044 en los perfiles de filtrado de URL para bloquear o permitir, o para definir acciones detalladas
tales como continuar, alertar o cancelar para URL, antes de adjuntar el perfil a una regla de política de
seguridad. A diferencia de la lista de permitidos, la lista de bloqueados o una categoría de URL personalizada
en el cortafuegos, una lista dinámica externa le brinda la capacidad de actualizar la lista sin un cambio en
la configuración ni confirmación en el cortafuegos. El cortafuegos importa dinámicamente la lista en el
intervalo configurado y aplica la política para las URL (se ignorarán las direcciones IP o los dominios) de la
lista. Para obtener las pautas de formato de URL, consulte Listas de bloqueadas y permitidas on page 637.
Páginas contenedoras
Una página contenedora es la página principal a la que accede un usuario al visitar un sitio web, pero se
pueden cargar sitios web adicionales dentro de la página principal. Si se habilita la opción Log Container
page only (Página de contenedor de log únicamente) en el perfil de filtrado de URL, solamente se
registrará la página de contenedor principal y no las páginas posteriores que puedan cargarse en la página
de contenedor. Dado que el filtrado de URL potencialmente puede generar muchas entradas de log,
puede que quiera activar esta opción; de este modo, las entradas de log solamente incluirán esos URI
cuando el nombre de archivo de la página solicitada coincida con los tipos MIME específicos. El conjunto
predeterminado incluye los siguientes tipos MIME:
• application/pdf
• application/soap+xml
• application/xhtml+xml
• text/html
• text/plain
• text/xml
Si ha habilitado la opción Log container page only (Página de contenedor de log

únicamente), puede que no siempre haya una entrada de log de URL correlacionada
para amenazas detectadas por antivirus o protección contra vulnerabilidades.
Creación de logs del encabezado HTTP

El filtrado de URL proporciona visibilidad y control sobre el tráfico web de su red. Para aumentar la
visibilidad en el contenido web, puede configurar el perfil de filtrado de URL para registrar un log de
atributos de encabezado HTTP incluido en una solicitud web. Cuando un cliente solicita una página web,
el encabezado HTTP incluye los campos de agente de usuario, sitio de referencia y x-forwarded-for como
pares de atributo y valor, y los reenvía al servidor web. En caso de estar habilitado para el logging de
encabezados HTTP, el cortafuegos registra los siguientes pares de atributo y valor en los logs de filtrado
URL:
Atributo Descripción
Agente de usuario Explorador web que usa el usuario para acceder a la dirección URL
(por ejemplo, Internet Explorer). Esta información se envía en la
solicitud de HTTP al servidor.
Sitio de referencia Dirección URL de la página web que dirige al usuario a otra página
web. Se trata del origen que redirige (remite) al usuario a la página
web que se está solicitando.

Atributo Descripción
X-Forwarded-For (xff) Opción del campo de encabezado de solicitud HTTP que conserva
la dirección IP del usuario que ha solicitado la página web. Si
tiene un servidor proxy en la red, el XFF le permite identificar la
dirección IP del usuario que solicitó el contenido, en lugar de solo
registrar la dirección IP del servidor proxy como dirección IP de
origen que solicitó la página web.
Páginas de respuesta de filtrado de URL

El cortafuegos proporciona tres páginas de respuesta predefinidas que se muestran de forma
predeterminada cuando un usuario intenta navegar a un sitio de una categoría configurada con una de
las acciones de bloqueo del perfil de filtrado URL (bloquear, continuar o cancelar) o si la opción Container
Pages (Páginas de contenedor) está habilitada:
• Página de bloqueo de coincidencia de categoría y filtro de URL
El acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por
una regla de política de seguridad.
• Página de continuación y cancelación de filtrado de URL

Página con la política de bloqueo inicial que permite a los usuarios omitir el bloqueo al hacer clic en
Continue (Continuar). Con la cancelación de administración de URL habilitada, (Habilitación del acceso
a determinados sitios mediante contraseña), después de hacer clic en Continue (Continuar), el usuario
debe proporcionar una contraseña para cancelar la política que bloquea la URL.
• Página de bloque de búsqueda segura de filtrado de URL

Acceso bloqueado por una regla de política de seguridad con un perfil de filtrado de URL que tiene
habilitada la opción Safe Search Enforcement (Aplicación de búsquedas seguras) (consulte Aplicación

forzada de búsquedas seguras). El usuario verá esta página si se realiza una búsqueda con Google, Bing,
Yahoo o Yandex y la configuración de cuenta de su explorador o motor de búsqueda para la búsqueda
segura no está establecida como estricta.
• Página de bloqueo antiphishing

Esta página se muestra a los usuarios cuando intentan introducir credenciales corporativas (nombres
de usuario o contraseñas) en una página web, con una categoría para la cual se bloqueó la presentación
de credenciales. El usuario puede seguir accediendo al sitio, pero sigue sin poder enviar credenciales
corporativas válidas a formularios web asociados. Para controlar los sitios a los cuales los usuarios
pueden enviar credenciales corporativas, el cortafuegos debe configurarse con User-ID y con la opción
Prevent Credential Phishing (Prevenir el phishing de identidades) habilitada y basada en la categoría de
URL.
• Página de continuación antiphishing

Esta página advierte a los usuarios sobre el envío de credenciales (nombres de usuario y contraseñas)
a un sitio web. La advertencia a los usuarios contra la presentación de credenciales puede ayudar a
disuadirlos de reutilizar credenciales corporativas y educarlos sobre posibles intentos de phishing. Deben
seleccionar Continue (Continuar) para introducir las credenciales en el sitio. Para controlar los sitios a los
cuales los usuarios pueden enviar credenciales corporativas, el cortafuegos debe configurarse con User-
ID y con la opción Prevent Credential Phishing (Prevenir el phishing de identidades) habilitada y basada
en la categoría de URL.

Puede usar las páginas predefinidas o puede usar la opción de personalizar las páginas de respuesta
de filtrado URL para comunicar sus políticas de uso aceptable específicas o personalización de marca
corporativa. Además, puede usar las Variables de página de respuesta de filtrado de URL para la sustitución
en el momento del evento de bloqueo o añadir una de las Referencias de página de respuesta admitidas a
imágenes, sonidos u hojas de estilo externos.
Table 4: Variables de página de respuesta de filtrado de URL
Variable Uso
<user/> El cortafuegos sustituye la variable por el nombre de usuario (si está

disponible mediante User-ID) o la dirección IP del usuario cuando se muestra
la página de respuesta.
<url/> El cortafuegos sustituye la variable por la dirección URL solicitada cuando se

muestra la página de respuesta.
<category/> El cortafuegos sustituye la variable por la categoría de filtrado de URL de la

solicitud bloqueada.
<pan_form/> Código HTML para mostrar el botón Continue (Continuar) en la página de

continuación y cancelación de filtrado de URL.
Además, puede añadir código que active el cortafuegos para mostrar el uso de distintos mensajes según
la categoría de URL a la que el usuario está intentando acceder. Por ejemplo, el siguiente fragmento de
código de una página de respuesta especifica que se muestre el mensaje 1 si la categoría de URL es games,
el mensaje 2 si la categoría es travel o el mensaje 3 si la categoría es kids:
var cat = "<category/>";

switch(cat)
{
case 'games':
document.getElementById("warningText").innerHTML = "Message 1";
break;
case 'travel':
break;
case 'kids':
break;
}

Solo se puede cargar una página HTML en cada sistema virtual para cada tipo de página de bloqueo. Sin
embargo, otros recursos como las imágenes, los sonidos y las hojas de estilos en cascada (archivos CSS)
se pueden cargar de otros servidores en el momento en el que se muestra la página de respuesta en el
explorador. Todas las referencias deben incluir una dirección URL completa.
Table 5: Referencias de página de respuesta
Tipo de referencia Código HTML de ejemplo
Imagen
<img src="http://virginiadot.org/images/Stop-Sign-
gif.gif">
Sonido
<embed src="http://simplythebest.net/sounds/WAV/
WAV_files/ movie_WAV_files/ do_not_go.wav" volume="100"
hidden="true" autostart="true">
Hoja de estilos
<link href="http://example.com/style.css"
rel="stylesheet" type="text/css" />
Hiperenlace
<a href="http://en.wikipedia.org/wiki/
Acceptable_use_policy">View Corporate
Policy</a>
Categoría de URL como criterio de coincidencia de política

Utilice las categorías de URL como criterios de coincidencia en una regla de la política para una aplicación
más detallada. Por ejemplo, supongamos que ha configurado el cifrado, pero desea excluir del descifrado
el tráfico dirigido a ciertos tipos de sitios web (por ejemplo, servicios financieros o sanitarios). En este caso,
crearía una regla de política de descifrado que coincidiera con esas categorías y definiría la acción como
no descifrar. Si sitúa esta regla por encima de la regla para descifrar todo el tráfico, puede garantizar que el
tráfico web con categorías URL que coinciden con la regla de no descifrar y el resto del tráfico coinciden
con la regla siguiente.
La siguiente tabla describe los tipos de políticas que aceptan las categorías de URL como criterios de
coincidencia:
Tipo de política Descripción
Autenticación Para garantizar que los usuarios están autenticados antes de permitirles el
acceso a una categoría específica, puede adjuntar una categoría de URL como
criterio de coincidencia para las reglas de la política de autenticación.
Descifrado Las políticas de descifrado pueden usar categorías de URL como criterios
de coincidencia para determinar si los sitios web especificados deberían
descifrarse o no. Por ejemplo, si tiene una política de descifrado con la acción
Descifrar para todo el tráfico entre dos zonas, puede haber categorías de
sitios web específicas, como servicios financieros y/o salud y medicina,

que no deberían descifrarse. En este caso, debe crear una nueva política de
descifrado con la acción No descifrar que precede a la política de descifrado
y, a continuación, define una lista de categorías de URL como criterios de
coincidencia para la política. Al hacer esto, no se descifrará ninguna categoría
de URL que forme parte de la política de no descifrado. Además, puede
configurar una categoría de URL personalizada para definir su propia lista de
URL que, a continuación, se puede usar en la política de no descifrado.
Políticas de calidad del Las políticas de QoS pueden utilizar categorías de URL para asignar los niveles
servicio (QoS) de rendimiento de categorías específicas de sitios web. Por ejemplo, puede que
quiera permitir la categoría aplicaciones de transmisión multimedia y al mismo
tiempo limitar el rendimiento añadiendo la categoría de URL como criterio de
coincidencia a la política de QoS.
Seguridad En las políticas de seguridad, puede utilizar categorías de URL como criterios
de coincidencia en la pestaña Service/URL Category (Servicio/Categoría de
URL) y en los perfiles de filtrado de URL que se incluyen en la pestaña Actions
(Acciones).
Si, por ejemplo, el grupo de seguridad de TI de su empresa necesita acceder
a la categoría hacking, mientras a todos los demás usuarios se les deniega el
acceso a la categoría, deberá crear las siguientes reglas:
• Una regla de la política de seguridad que permita que el grupo seguridad de
TI acceda al contenido categorizado como hacking. La regla de la política
de seguridad hace referencia a la categoría hacking de la pestaña Services/
URL Category (Servicio/Categoría de URL) y el grupo de seguridad de TI en
la pestaña Users (Usuarios).
• Otra regla de la política de seguridad que permita acceso web general a
todos los usuarios. Para esta regla, adjunte un perfil de filtrado de URL que
bloquea la categoría hacking.
La política que permite el acceso al hacking deberá indicarse antes de la política
que bloquea el hacking. Esto se debe a que las reglas de políticas de seguridad
se evalúan de arriba a abajo, de modo que cuando un usuario que forme parte
del grupo de seguridad intente acceder a un sitio de hacking, la regla de política
que permite el acceso se evalúa en primer lugar, y después permite que el
usuario acceda a los sitios de hacking. Los usuarios de todos los demás grupos
se evalúan con respecto a la regla de acceso web general que bloquea el
acceso a los sitios de hacking.

Categorización de PAN-DB
Cuando un usuario solicita una URL, el cortafuegos determina la categoría de URL al comparar la URL con
los siguientes componentes (en orden) hasta que encuentra una coincidencia:
Si la URL solicitada coincide con una entrada caducada de la caché de URL del plano de datos (dataplane,
DP), la caché responderá con la categoría caducada, pero también enviará una consulta de categorización de
URL a la caché del plano de gestión (management plane, MP). Esto evita retrasos innecesarios en el plano
de datos, suponiendo que la frecuencia de cambio de categorías sea baja. De manera similar, en la caché
de URL del plano de gestión, si una consulta de URL del plano de datos coincide con una entrada caducada
del plano de gestión, el plano de gestión responderá al plano de datos con la categoría caducada y también
enviará una solicitud de categorización de URL al servicio de la nube de PAN-DB. Al obtener la respuesta de
la nube, el cortafuegos enviará la categoría actualizada al plano de datos.
A medida que se definan nuevas URL y categorías, o si se necesitan actualizaciones clave, la base de datos
de la nube se actualizará. Cada vez que el cortafuegos consulte a la nube con una búsqueda de URL o si no
se producen búsquedas en la nube durante 30 minutos, las versiones de la base de datos del cortafuegos se
compararán y, si no coinciden, se realizará una actualización progresiva.
La tabla siguiente describe los componentes de PAN-DB de manera detallada. El sistema BrightCloud
funciona de manera similar, pero no utiliza una base de datos de envíos iniciales.
Componente DESCRIPTION
Base de datos de La base de datos de envíos iniciales descargada en el cortafuegos es un

envíos de filtrado de pequeño subconjunto de la base de datos que se mantiene en los servidores
URL de la nube de URL de Palo Alto Networks. El motivo de esto es que la base
de datos completa contiene millones de URL y puede que sus usuarios nunca
accedan a muchas de estas URL. Cuando descarga la base de datos de valores
de inicialización iniciales, selecciona una región (Norteamérica, Europa,
APAC, Japón). Cada región contiene un subconjunto de URL a las que más
se accede para la región indicada. Esto permite que el cortafuegos almacene
una base de datos de URL mucho más pequeña, lo que mejora enormemente

el rendimiento de búsqueda de URL. Si un usuario accede a un sitio web que
no esté en la base de datos de URL local, el cortafuegos consulta la base de
datos de la nube completa y después añade la nueva URL a la base de datos
local. De este modo, la base de datos local del cortafuegos se cumplimenta/
personaliza continuamente basándose en la actividad de los usuarios.
Al volver a descargar la base de datos de valores de

inicialización de PAN-DB o cambiar el proveedor de la base
de datos de URL de PAN-DB a BrightCloud se borrará la
base de datos local.
Servicio de la nube El servicio de la nube de PAN-DB se implementa mediante Amazon Web

Services (AWS). AWS proporciona un alto rendimiento distribuido y un
Consulte Diferencias
entorno estable para descargas de la base de datos de envíos y búsquedas de
entre la nube pública
URL para cortafuegos de Palo Alto Networks, y la comunicación se establece
de PAN-DB y la nube
mediante SSL. Los sistemas de la nube de AWS incluyen la totalidad de PAN-
privada de PAN-
DB, que se actualiza cuando se identifican nuevas URL. El servicio de la nube
DB para obtener
de PAN-DB admite un mecanismo automatizado para actualizar la base de
información sobre la
datos de URL local del cortafuegos si la versión no coincide. Cada vez que
nube privada.
el cortafuegos consulta a los servidores de la nube con búsquedas de URL,
también comprueba si hay actualizaciones clave. Si no se han producido
consultas en los servidores de la nube en más de 30 minutos, el cortafuegos
comprueba si hay actualizaciones en los sistemas de la nube.
El sistema de la nube también proporciona un mecanismo para enviar
solicitudes de cambio de categoría de URL. Esto se realiza a través del servicio
de comprobación de sitios web, que está disponible directamente desde el
cortafuegos (configuración de perfil de filtrado de URL) y desde el sitio web
Test A Site de Palo Alto Networks. Además, puede enviar una solicitud de
cambio de categorización de URL directamente desde el log de filtrado de
URL del cortafuegos en la sección Detalles de log.
Caché de URL del plano Cuando se activa PAN-DB en el cortafuegos, el cortafuegos descarga una
de gestión (MP) base de datos de valores de inicialización de uno de los servidores de la nube
de PAN-DB para cumplimentar inicialmente la caché local; esto se hace
para mejorar el rendimiento de búsqueda. Cada base de datos de valores de
inicialización regional contiene las principales URL de la región. Asimismo, el
tamaño de la base de datos de valores de inicialización (número de entradas
de URL) también depende de la plataforma del dispositivo. La caché de
URL del plano de gestión se escribe automáticamente en la unidad local del
cortafuegos cada ocho horas, antes de que se reinicie el cortafuegos o cuando
la nube actualiza la versión de la base de datos de URL en el cortafuegos.
Después de reiniciar el cortafuegos, el archivo que se guardó en la unidad
local se cargará en la caché del plano de gestión. También se implementa el
mecanismo de usados menos recientemente (LRU) en la caché de URL del
plano de gestión en el caso de que la caché esté llena. Si la caché se llena, las
URL a las que se ha accedido menos se sustituirán por las URL más recientes.
Caché de URL del plano Se trata de un subconjunto de la caché del plano de gestión. Es una base de
de datos (DP) datos de URL dinámica personalizada que se almacena en el plano de datos
(DP) y se usa para mejorar el rendimiento de búsqueda de URL. La caché
de URL del plano de datos se borra tras cada reinicio del cortafuegos. El
número de URL que se almacenan en la caché de URL del plano de datos varía

según la plataforma de hardware y las URL almacenadas actualmente en el
TRIE (estructura de datos). Se implementa el mecanismo de usados menos
recientemente (LRU) en la caché del plano de datos en el caso de que la caché
esté llena. Si la caché se llena, las URL a las que se ha accedido menos se
sustituirán por las URL más recientes. Las entradas de la caché de URL del
plano de datos vencen tras un periodo de tiempo especificado. Este periodo
de vencimiento no es configurable.

Activación de un proveedor de filtrado de URL
Para habilitar el filtrado de URL en un cortafuegos, debe adquirir y activar una licencia de filtrado de URL
para uno de los Proveedores de filtrado de URL admitidos y, a continuación, instalar la base de datos del
proveedor que ha seleccionado.
A partir de PAN-OS 6.0, los cortafuegos gestionados por Panorama no requieren la

ejecución del mismo proveedor de filtrado de URL que esté configurado en Panorama. En
el caso de los cortafuegos que ejecutan PAN-OS 6.0 o posterior, cuando se detecta un
error de coincidencia entre el proveedor habilitado en los cortafuegos y los componentes
habilitados en Panorama, los cortafuegos pueden migrar automáticamente categorías de
URL o perfiles de URL a una o varias categorías que coincidan con las que el proveedor
tiene habilitadas. Para obtener instrucciones sobre cómo configurar el filtrado de URL en
Panorama si va a gestionar cortafuegos que ejecutan distintas versiones de PAN-OS,
consulte la Guía del administrador de Panorama.
Si tiene licencias válidas para PAN-DB y BrightCloud, la activación de la licencia de PAN-DB desactiva
automáticamente la licencia de BrightCloud (y viceversa). No puede haber más de una licencia de filtrado de
URL activa en un cortafuegos a la vez.
• Habilitación de PAN-DB URL Filtering
• Habilitación del filtrado de URL de BrightCloud
Habilitación de PAN-DB URL Filtering

STEP 1 | Obtenga e instale una licencia de PAN-DB URL Filtering y confirme que está instalada.
Si la licencia caduca, PAN-DB URL Filtering sigue funcionando de acuerdo con la

información de categorías de URL existente en las cachés del plano de datos y el plano
de gestión. No obstante, las búsquedas en la nube de URL y otras actualizaciones
basadas en la nube no funcionarán hasta que instale una licencia válida.
1. Seleccione Device (Dispositivo) > Licenses (Licencias) y, en la sección License Management (Gestión
de licencias), seleccione el método de instalación de la licencia:
• Retrieve license keys from license server (Recuperar claves de licencia del servidor de licencias)
• Activate feature using authorization code (Activar característica mediante código de
autorización)
• Manually upload license key (Clave de licencia de carga manual)
2. Después de instalar la licencia, confirme si en la sección PAN-DB URL Filtering, en el campo Date
Expires (Fecha de caducidad), se muestra una fecha válida.
STEP 2 | Descargue la base de datos de envíos iniciales y active el filtrado de URL de PAN-DB.
El cortafuegos debe tener acceso a Internet y no puede cargar manualmente las de datos
de valores de inicialización de PAN-DB.

1. En la sección PAN-DB URL Filtering, campo Download Status (Estado de descarga), haga clic en
Download Now (Descargar ahora).
2. Seleccione una región y haga clic en OK (Aceptar) para iniciar la descarga.
3. Cuando finalice la descarga, haga clic en Activate (Activar). El valor en el campo Active (Activo)
cambia a Yes (Sí).
Si PAN-DB ya es el proveedor de filtrado de URL activo y hace clic en Re-Download

(Volver a descargar), se borrará el plano de datos y el almacenamiento en caché del
plano de gestión, y se sustituirán con la nueva base de datos de envíos. Debe evitar
hacerlo a menos que sea necesario, ya que perderá su almacenamiento en caché,
que se personalizó en función del tráfico web de sus usuarios.
STEP 3 | Programe el cortafuegos para descargar actualizaciones dinámicas para Aplicaciones y

amenazas.
Se requiere una licencia de prevención de amenazas para recibir actualizaciones de

contenido, la cual cubre Antivirus y Aplicaciones y amenazas.

2. En el campo Schedule (Programar) de la sección Applications and Threats (Aplicaciones y amenazas),
haga clic en el enlace None (Ninguna) para programar actualizaciones periódicas.
Solo puede programar actualizaciones dinámicas si el cortafuegos tiene acceso

directo a internet. Si las actualizaciones ya están programadas en una sección, el
texto del enlace muestra la configuración de la programación.
Las actualizaciones de aplicaciones y amenazas pueden incluir actualizaciones para el filtrado de URL
en relación con la opción Safe Search Enforcement (Aplicación de búsquedas seguras).
Habilitación del filtrado de URL de BrightCloud

STEP 1 | Obtenga e instale una licencia URL de BrightCloud y confirme que está instalada.
BrightCloud incluye una opción en el perfil de filtrado de URL (Objects [Objetos] > Security Profiles
[Perfiles de seguridad] > URL Filtering [Filtrado de URL]) para permitir o bloquear todas las categorías si
la licencia caduca.
1. Seleccione Device (Dispositivo) > Licenses (Licencias) y, en la sección License Management (Gestión
de licencias), seleccione el método de instalación de la licencia:
• Activate feature using authorization code (Activar característica mediante código de
autorización)
• Retrieve license keys from license server (Recuperar claves de licencia del servidor de licencias)
• Manually upload license key (Clave de licencia de carga manual)
2. Después de instalar la licencia, confirme si en la sección Filtrado de URL de BrightCloud, campo Date
Expires (Fecha de caducidad), se muestra una fecha válida.
STEP 2 | Instale la base de datos de BrightCloud.

El método usado para hacer esto depende de si el cortafuegos tiene acceso directo a Internet.
Cortafuegos con acceso directo a Internet
Seleccione Device (Dispositivo) > Licenses (Licencias), y en la sección BrightCloud URL Filtering (Filtrado
de URL de BrightCloud), campo Active (Activo), haga clic en el enlace Activate (Activar) para instalar la
base de datos de BrightCloud. Esta operación inicia automáticamente un restablecimiento del sistema.
Cortafuegos sin acceso directo a Internet
1. Descargue la base de datos de BrightCloud en un host con acceso a Internet. El cortafuegos debe
tener acceso al host:
1. En un host con acceso a Internet, ingrese en el sitio web de asistencia técnica de Palo Alto
Networks, www.paloaltonetworks.com/support/tabs/overview.html, e inicie sesión.
2. En la sección Recursos, haga clic en Dynamic Updates (Actualizaciones dinámicas).
3. En la sección BrightCloud Database (Base de datos de BrightCloud), haga clic en Download
(Descargar) y guarde el archivo en el host.
2. Actualice la base de datos en el cortafuegos:
1. Inicie sesión en el cortafuegos, seleccione Device (Dispositivo) > Dynamic Updates
(Actualizaciones dinámicas) y haga clic en Upload (Actualizar).
2. En Type (Tipo), seleccione URL Filtering (Filtrado URL).
3. Introduzca la ruta del archivo en File (Archivo) en el host o haga clic en Browse (Examinar)
para buscarlo y, a continuación, haga clic en OK (Aceptar). Cuando el estado sea Completed
(Completado), haga clic en Close (Cerrar).
3. Instale la base de datos:
Install From File (Instalar desde archivo).
2. En Type (Tipo), seleccione URL Filtering (Filtrado URL). El cortafuegos selecciona
automáticamente el archivo que acaba de cargar.
3. Haga clic en OK (Aceptar) y, cuando el resultado sea Succeeded (Correctamente), haga clic en
Close (Cerrar).
STEP 3 | Habilite las búsquedas en la nube para categorizar dinámicamente una dirección URL si la
categoría no está disponible en la base de datos de BrightCloud local.
1. Acceda a la CLI de PAN-OS.
2. Introduzca los siguientes comandos para activar el filtrado de URL dinámica.
> configure
# set deviceconfig setting url dynamic-url yes
# commit
STEP 4 | Programe el cortafuegos para descargar actualizaciones dinámicas para firmas de aplicaciones y
amenazas y filtrado de URL.
Solo puede programar actualizaciones dinámicas si el cortafuegos tiene acceso directo a Internet.
Las actualizaciones de Aplicaciones y amenazas pueden incluir actualizaciones para el filtrado de URL
en relación con la opción Safe Search Enforcement (Aplicación de búsquedas seguras) en el perfil de
filtrado de URL. Por ejemplo, si Palo Alto Networks añade la compatibilidad con un nuevo proveedor
de búsquedas o si cambia el método usado para detectar la configuración de búsqueda segura de un
proveedor existente, la actualización se incluirá en las actualizaciones de Aplicaciones y amenazas.

Las actualizaciones de BrightCloud incluyen una base de datos de aproximadamente 20 millones de sitios
web que se almacenan en la unidad del cortafuegos. Debe programar actualizaciones de filtrado de URL
para recibir actualizaciones de base de datos de BrightCloud.
Se requiere una licencia de prevención de amenazas para recibir actualizaciones de

antivirus y aplicaciones y amenazas.

2. En el campo Schedule (Programación) de la sección Applications and Threats, haga clic en el enlace
None (Ninguna) para programar actualizaciones periódicas.
3. En el campo Schedule (Programación) de la sección URL Filtering (Filtrado URL), haga clic en el enlace
None (Ninguna) para programar actualizaciones periódicas.
Si las actualizaciones ya están programadas en una sección, el texto del enlace

muestra la configuración de la programación.

Determinación de los requisitos de la política
de filtrado de URL
La práctica recomendada para implementar el filtrado de URL en su organización es empezar con un perfil
de filtrado de URL pasivo que enviará alertas sobre la mayoría de las categorías. Tras establecer la acción de
alerta, puede supervisar la actividad web de los usuarios durante varios días para determinar los patrones
del tráfico web. Después de hacerlo, podrá tomar decisiones sobre los sitios web y las categorías de sitios
web que deberían controlarse.
En el procedimiento siguiente, los sitios web propensos a las amenazas se establecerán como bloqueados
y las otras categorías se establecerán como alerta, lo que hará que se registre el tráfico de todos los sitios
web. Esto podría crear una gran cantidad de archivos de log, así que lo mejor es realizar esta acción para una
supervisión inicial con el fin de determinar los tipos de sitios web a los que están accediendo sus usuarios.
Tras determinar las categorías que su empresa aprueba, dichas categorías deberían establecerse como
permitidas, lo cual no generará logs. Además, para reducir los logs de filtrado de URL, habilite la opción Log
container page only (Página de contenedor de log únicamente) en el perfil de filtrado de URL para que
solamente se registre la página principal que coincide con la categoría, pero no las páginas o categorías
posteriores que puedan cargarse en la página de contenedor.
Si se suscribe a las fuentes URL de terceros y desea proteger a sus usuarios contra las amenazas
emergentes, consulte Uso de una lista dinámica externa en un perfil de filtro de URL.
STEP 1 | Cree un nuevo perfil de filtrado de URL.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) URL Filtering (Filtrado de
URL).
2. Seleccione el perfil predeterminado y, a continuación, haga clic en Clone (Duplicar). El nuevo perfil se
denominará default-1 (predeterminado-1).
3. Seleccione el perfil default-1 (predeterminado-1) y cámbiele el nombre. Por ejemplo, cámbiele el
nombre por Supervisión-URL.
STEP 2 | Configure la acción para todas las categorías como alert (alertar), excepto para las categorías
propensas a las amenazas, que deberían permanecer bloqueadas.
Para seleccionar todos los elementos de la lista de categorías de un sistema Windows,

haga clic en la primera categoría y, a continuación, mantenga pulsada la tecla Mayús
y haga clic en la última categoría; esto seleccionará todas las categorías. Mantenga
pulsada la tecla Ctrl y haga clic en los elementos cuya selección debería cancelarse. En
un Mac, haga lo mismo utilizando las teclas Mayúsculas y Comando. También podría
establecer todas las categorías como Alertar y cambiar manualmente las categorías
recomendadas de nuevo a Bloquear.
1. En la sección en la que se incluyen todas las categorías de URL, seleccione todas las categorías.
2. A la derecha del encabezado de la columna Acción, pase el ratón por encima, seleccione la flecha
hacia abajo, a continuación, seleccione Set Selected Actions (Establecer acciones seleccionadas) y
seleccione alert (alertar).

3. Para asegurarse de bloquear el acceso a los sitios propensos a las amenazas, seleccione las siguientes
categorías y, a continuación, establezca la acción en block (bloquear): consumo de drogas, contenido
para adultos, juego, hacking, malware, phishing, contenido cuestionable y armas.
STEP 3 | Aplique el perfil de filtrado de URL a las reglas de política de seguridad que permiten el tráfico
web para los usuarios.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la política de seguridad
correspondiente para modificarla.
2. Seleccione la pestaña Actions (Acciones) y, en la sección Profile Setting (Ajuste de perfil), haga clic en
el menú desplegable URL Filtering (Filtrado de URL) y seleccione el nuevo perfil.

STEP 5 | Visualice los logs de filtrado de URL para determinar todas las categorías de sitios web a las
que están accediendo sus usuarios. En este ejemplo, algunas categorías se establecen como
bloqueadas, de modo que dichas categorías también aparecerán en los logs.
Para obtener información sobre cómo visualizar los logs y generar informes, consulte Supervisión de la
actividad web.
Seleccione Monitor (Supervisar) > Logs (Logs) > URL Filtering (Filtrado de URL). Se creará una entrada
de log para cualquier sitio web que exista en la base de datos de filtrado de URL que esté en una
categoría establecida con una acción distinta de allow (permitir).

Configuración de filtrado de URL
Después de determinar los requisitos de la política de filtrado de URL, debe tener conocimientos básicos
de los tipos de sitios web y categorías de sitios web a los que están accediendo sus usuarios. Con esta
información, ya está listo para crear perfiles de filtrado de URL personalizados y adjuntarlos a las reglas
de política de seguridad que permiten el acceso web. Además de gestionar el acceso web con un perfil de
filtrado de URL y si tiene User-ID configurado, también puede gestionar los sitios a los cuales los usuarios
pueden enviar credenciales corporativas.
STEP 1 | Cree un perfil de filtrado de URL.
Si aún no lo ha hecho, configure un perfil de filtrado de URL recomendado para

garantizar protección contra las URL que se observó que alojan malware o contenido de
exploits.
Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de URL)
y Add (Añadir) para añadir o modificar un perfil de filtrado de URL.
STEP 2 | Defina el acceso al sitio para cada categoría de URL.

Seleccione Categories (Categorías) y configure el acceso al sitio para cada categoría de URL:
• Seleccione Allow (Permitir) para permitir el tráfico a la categoría de URL. El tráfico permitido no está
registrado.
• Seleccione alert (alerta) para tener visibilidad sobre los sitios a los que los usuarios están accediendo.
El cotejo del tráfico está permitido, pero un log de filtrado de URL se genera para registrar cuando un
usuario accede a un sitio de la categoría.
• Seleccione block (bloquear) para denegar el acceso al tráfico que coincide con la categoría y registrar
en logs el tráfico bloqueado.
• Seleccione continue (continuar) para mostrar una página a los usuarios con una advertencia y
solicitarles que hagan clic en Continue (Continuar) para proceder a un sitio de la categoría.
• Para permitir el acceso solo si los usuarios especifican una contraseña configurada, seleccione
override (cancelar). Para obtener más detalles sobre este ajuste, consulte Habilitación del acceso a
determinados sitios mediante contraseña.
STEP 3 | Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios
web que están en categorías URL permitidas.

alojan malware o contenido de phishing (suplantación de identidad), para garantizar
un desempeño óptimo y una tasa de falsos positivos baja, incluso si habilita las
comprobaciones en la categoría correspondiente. La lista de sitios en los cuales el
cortafuegos omitirá la comprobación de credenciales se actualiza automáticamente a
través de las actualizaciones de aplicación y contenido de prevención de amenazas.
1. Seleccione User Credential Detection (Detección de credencial de usuario).

2. Seleccione uno de los Métodos para comprobar los envíos de credenciales corporativas a páginas
web en la lista desplegable User Credential Detection (Detección de credenciales de usuario):
• Use IP User Mapping (Usar asignación de usuario IP): comprueba el envío de nombres de usuario
corporativo válidos y verifica que el nombre de usuario coincida con el usuario registrado en la
dirección IP de origen de la sesión. Para utilizar este método, el cortafuegos compara el nombre

de usuario enviado con su tabla de asignación de direcciones IP a nombres de usuario. Para utilizar
este método puede emplear cualquiera de los métodos de asignación de usuarios descritos en
Asignar direcciones IP a los usuarios.
• Use Domain Credential Filter (Usar filtro de credenciales de dominio): comprueba el envío de
nombres de usuario y contraseñas válidas, y verifica que el nombre de usuario esté asignado a la
dirección IP del usuario registrado. Consulte Configuración de la asignación de usuarios mediante
el agente de User-ID de Windows para obtener instrucciones sobre cómo configurar User-ID para
habilitar este método.
• Use Group Mapping (Usar asignación de grupo): comprueba el envío de nombres de usuario
válidos en función de la tabla de asignación de usuario a grupo completada al configurar el
cortafuegos para la asignación de usuarios a grupos.
Con la asignación de grupos, usted puede aplicar la detección de credenciales a cualquier parte del
directorio o a un grupo específico, tal como grupos como TI que tienen acceso a sus aplicaciones
más sensibles.
Este método es propenso a falsos positivos en entornos que no poseen nombres de

usuario estructurados de manera inequívoca. Por ello, solo debe usar este método
para proteger sus cuentas de usuario más importantes.
3. Configure la Valid Username Detected Log Severity (Gravedad del log detectado de nombre de
usuario válido) que el cortafuegos utilizará para la detección de logs de envío de credenciales
corporativas. De manera predeterminada, el cortafuegos registra estos eventos como eventos de
gravedad intermedia.
STEP 4 | Habilite o bloquee a los usuarios para el envío de credenciales corporativas a sitios en función
de la categoría de URL para la prevención del phishing de credenciales.

alojan malware o contenido de phishing (suplantación de identidad), para garantizar
un desempeño óptimo y una tasa de falsos positivos baja, incluso si habilita las
comprobaciones en la categoría correspondiente. La lista de sitios en los cuales el
cortafuegos omitirá la comprobación de credenciales se actualiza automáticamente a
través de las actualizaciones de aplicación y contenido de prevención de amenazas.
1. Para cada categoría de URL a la cual se permite el acceso al sitio, seleccione cómo desea que se
manejen los envíos de credenciales de usuario:
• alert (alerta): permite que los usuarios envíen sus credenciales al sitio web, pero genera un log de
alerta de filtrado de URL cada vez que un usuario envía credenciales a sitios de esta categoría de
URL.
• allow (permitir): (predeterminado) permite que los usuarios envíen sus credenciales al sitio web.
• block (bloquear): muestra la Página de bloqueo antiphishing para bloquear a los usuarios para el
envío de credenciales al sitio web.
• continue (continuar): presente la Página de continuación antiphishing para solicitar a los usuarios
que hagan clic en Continue (Continuar) para acceder al sitio.
2. Configure el perfil de filtrado de URL para detectar envíos de credenciales corporativas a sitios web
que están en categorías URL permitidas.
STEP 5 | Defina las listas de bloqueados y permitidos para especificar los sitios web que siempre deben
bloquearse o permitirse, independientemente de la categoría de URL.
Por ejemplo, para reducir los logs de filtrado de URL, puede añadir sus sitios web corporativos a la lista
de permitidos, de modo que no se genere ningún log para estos sitios. O bien, si hay un sitio web que

se usa demasiado y no está relacionado con el trabajo de ningún modo, puede añadirlo a la lista de
bloqueados.
Los elementos de la lista de bloqueados siempre se bloquearán independientemente de la acción de la
categoría asociada y las URL de la lista de permitidos siempre se permitirán.
Para obtener más información sobre el formato correcto y el uso de comodines, consulte Listas de
bloqueados y permitidos.
1. Seleccione Overrides (Cancelaciones) e ingrese las URL o direcciones IP en la Block List (Lista de
bloqueo), y seleccione una acción:
• block (bloquear): bloquea la dirección URL.
• continue (continuar): solicitar a los usuarios que hagan clic en Continue (Continuar) para ir a la
página web.
• override (cancelar): se solicita al usuario una contraseña para ir al sitio web.
• alert (alertar): permite al usuario acceder al sitio web y añade una entrada de log de alerta en el log
de URL.
2. Para la lista Allow (Permitidas), introduzca las direcciones IP o URL que deberían permitirse siempre.
Cada fila debe estar separada por una nueva línea.
STEP 6 | Habilite Aplicación forzada de búsquedas seguras.
STEP 7 | Registre solo Container Pages (Páginas de contenedor) para los eventos de filtrado de URL.
1. Seleccione URL Filtering Settings (Configuración de filtrado URL). La opción Log container page only
(Página de contenedor de log únicamente) está habilitada de forma predeterminada para que solo se
registre la página principal que coincide con la categoría, pero no las páginas o categorías posteriores
que puedan cargarse en la página de contenedor.
2. Para habilitar el registro de logs para todas las página o categorías, desactive la casilla de verificación
Log container page only (Página de contenedor de log únicamente).
STEP 8 | Habilite HTTP Header Logging (Registro de encabezado HHTTP) para uno o varios de los
campos de encabezado HTTP admitidos.
Seleccione URL Filtering Settings (Configuración de filtrado URL) y seleccione uno o varios de los
siguientes campos para registrar:
• User-Agent (Agente de usuario)
• Referer (Sitio de referencia)
• X-Forwarded-For (X reenviado para)
STEP 9 | Guarde el perfil de filtrado URL y confirme los cambios.

Para comprobar la configuración de filtrado de URL, solamente tiene que acceder a

un sitio web de una categoría establecida como Bloquear o Continuar para comprobar
si se realiza la acción adecuada.

Uso de una lista dinámica externa en un perfil
de filtro de URL
Una lista dinámica externa es un archivo de texto que está alojado en un servidor web externo. Puede usar
esta lista para importar URL y aplicar la política en estas URL. Cuando se actualiza la lista en el servidor
web, el cortafuegos recupera los cambios y aplica la política a la lista modificada sin necesidad de una
confirmación en el cortafuegos.
Para obtener más información, consulte Lista dinámica externa.
STEP 1 | Configuración del cortafuegos para acceder a una lista dinámica externa.
• Asegúrese de que la lista no incluya direcciones IP o nombres de dominio el cortafuegos omite las
entradas que no sean URL.
• Compruebe el formato de la lista (consulte Listas de bloqueados y permitidos).
• Seleccione URL List (Lista de URL) de la lista desplegable Type (Tipo).
STEP 2 | Use la lista dinámica externa en un perfil de filtro de URL.

1. Seleccione Objets (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de
URL).
2. Seleccione Add (Añadir) para añadir o modifique un perfil de filtro de URL existente.
3. Asigne un nombre al perfil en Name (Nombre) y en la pestaña Categories (Categorías), seleccione la
lista dinámica externa en la lista de categorías.
4. Haga clic en Action (Acción) para seleccionar una acción más detallada para las URL en la lista
dinámica externa.
Si una URL que está incluida en una lista dinámica externa también se incluye en una
categoría de URL personalizada o en las Listas de bloqueados y permitidos, la acción
especificada en la categoría personalizada o la lista de bloqueados y permitidos
tendrá prioridad sobre la lista dinámica externa.
6. Adjunte el perfil de filtrado de URL a una regla de política de seguridad.
2. Seleccione la pestaña Actions (Acciones) y, en la sección Profile Setting (Ajuste de perfil),
seleccione el nuevo perfil en el menú desplegable URL Filtering (Filtrado de URL).
STEP 3 | Compruebe que la acción de política esté forzada.

1. Realice la Visualización de las entradas de la lista dinámica externa para la lista de URL e intente
acceder a la URL desde la lista.
2. Verifique que la acción que definió se haya aplicado en el navegador.
1. Seleccione ACC y añada un dominio de URL como filtro global para ver la actividad de la red y la
actividad bloqueada para la URL a la cual accedió.
2. Seleccione Monitor (Supervisar) > Logs > URL Filtering (Filtrado de URL) para acceder a la vista
detallada del log.
STEP 4 | Verifique si las entradas en la lista dinámica externa se ignoraron u omitieron.

En una lista de tipo URL, el cortafuegos omite las entradas que no son URL como no válidas e ignora las
entradas que superan el límite máximo del modelo de cortafuegos.
Para comprobar si alcanzó el límite de un tipo de lista dinámica externa, seleccione

Objects (Objetos) > External Dynamic Lists (Listas dinámicas externas) y haga clic en
List Capacities (Capacidades de la lista).
Use el siguiente comando CLI en un cortafuegos para revisar los detalles de una lista.
request system external-list show type url name <list_name>
Por ejemplo:
request system external-list show type url name My_URL_List

vsys5/My_URL_List:
Next update at: Tue Jan 3 14:00:00 2017
Source: http://example.com/My_URL_List.txt
Referenced: Yes
Valid: Yes
Auth-Valid: Yes
Total valid entries: 3

Total invalid entries: 0
Valid urls:
www.URL1.com
www.URL2.com
www.URL3.com

Personalización de las páginas de respuesta de
filtrado de URL
El cortafuegos proporciona páginas de respuesta de filtrado de URL predefinidas que muestran de manera
predeterminada cuando se producen las siguientes condiciones:
• Un usuario intenta explorar un sitio en una categoría con acceso restringido.
• Un usuario envía credenciales corporativas válidas a un sitio con detección de credenciales habilitada
(Prevención de phishing de credenciales en función de la categoría de URL).
• Las páginas contenedoras bloquean un intento de búsqueda.
Sin embargo, puede crear sus propias páginas de respuesta con su marca corporativa, políticas de uso
aceptable y enlaces a sus recursos internos.
STEP 1 | Exporte las páginas de respuesta predeterminadas.

1. Seleccione Device (Dispositivo) > Response Pages (Páginas de respuesta).
2. Seleccione el enlace de la página de respuesta de filtrado de URL que desee modificar.
3. Haga clic en la página de respuesta (predefinida o compartida) y, a continuación, haga clic en el enlace
Export (Exportar) y guarde el archivo en su escritorio.
STEP 2 | Edite la página exportada.

1. Con el editor de texto de HTML que prefiera, edite la página:
• Si desea que la página de respuesta muestre información personalizada sobre el usuario, la
dirección URL o la categoría específicos que se han bloqueado, añada una o varias de las variables
de las páginas de respuesta de filtrado de URL admitidas.
• Si desea incluir imágenes personalizadas (como su logotipo corporativo), un sonido, una hoja de
estilos o un enlace a otra dirección URL (por ejemplo, a un documento en el que se detalla su
política de uso web aceptable), incluya una o varias de las referencias de la página de respuesta
admitidas.
2. Guarde la imagen editada con un nuevo nombre de archivo. Asegúrese de que la página conserva su
codificación UTF-8. Por ejemplo, en el Bloc de notas, debe seleccionar UTF-8 en la lista desplegable
Encoding (Codificación) del cuadro de diálogo Guardar como.
STEP 3 | Importe la página de respuesta personalizada.

1. Seleccione Device (Dispositivo) > Response Pages (Páginas de respuesta).
2. Seleccione el enlace correspondiente a la página de respuesta de filtrado de URL que ha editado.
3. Haga clic en Import (Importar) y, a continuación, introduzca la ruta y el nombre de archivo en el
4. (Opcional) Seleccione el sistema virtual en el que se usará esta página de inicio de sesión en la lista
desplegable Destination (Destino) o seleccione shared (compartido) para que esté disponible para
5. Haga clic en OK (Aceptar) para importar el archivo.
STEP 4 | Guarde las páginas de respuesta nuevas.

Seleccione Commit (Confirmar) para confirmar los cambios.
STEP 5 | Compruebe si se muestra la nueva página de respuesta.

En un explorador, vaya a la dirección URL que activará la página de respuesta. Por ejemplo, para ver una
página de respuesta modificada de filtrado de URL y coincidencia de categorías, busque la dirección URL
cuyo bloqueo es requerido según la configuración de su política de filtrado de URL.

Habilitación del acceso a determinados sitios
mediante contraseña
En determinados casos, puede haber categorías de URL que desee bloquear, pero permite el acceso a
determinados usuarios ocasionalmente. En este caso, debe establecer la acción de la categoría en override
(cancelar) y establecer una contraseña de cancelación de administrador de URL en la configuración de
Content-ID del cortafuegos. Cuando los usuarios intenten buscar la categoría, se les pedirá que especifiquen
la contraseña de cancelación para poder acceder al sitio. Use el siguiente procedimiento para configurar la
cancelación de administrador de URL:
STEP 1 | Establezca la contraseña de cancelación de administrador de URL.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content ID (ID de contenido).
2. En la sección URL Admin Override (Cancelación de administrador de URL), haga clic en Add (Añadir).
3. En el campo Location (Ubicación), seleccione el sistema virtual al que se aplica esta contraseña.
4. Especifique el valor de Password (Contraseña) y seleccione Confirm Password (Confirmar
contraseña).
5. Seleccione un SSL/TLS Service Profile (Perfil de servicio SSL/TLS). El perfil especifica el certificado
que el cortafuegos presenta al usuario si el sitio con la cancelación es un sitio HTTPS. Para obtener
más información, consulte Configuración de un perfil de servicio SSL/TLS.
6. Seleccione el Mode (Modo) para indicar al usuario que especifique la contraseña:
• Transparent (Transparente): el cortafuegos intercepta el tráfico del explorador destinado al sitio
en una categoría de URL que ha configurado para la cancelación y representa la URL de destino
original mediante la generación de HTTP 401 para solicitar la contraseña.
El explorador del cliente mostrará errores de certificado si no confía en el

certificado.
• Redirect (Redirigir): el cortafuegos intercepta el tráfico HTTP o HTTPS para una categoría de URL
establecida para la cancelación y redirige la solicitud a una interfaz de capa 3 en el cortafuegos
mediante un redireccionamiento HTTP 302 para solicitar la contraseña de cancelación. Si
selecciona esta opción, debe especificar la Address (Dirección) (dirección IP o nombre de host
DNS) a la que se redirige el tráfico.
STEP 2 | (Opcional) Establezca un periodo de cancelación personalizado.

1. Edite la sección Filtrado de URL.
2. Para cambiar el tiempo durante el que los usuarios pueden examinar un sitio en una categoría para la
que han especificado correctamente la contraseña de cancelación, especifique un valor nuevo en el
campo URL Admin Override Timeout (Tiempo de espera de cancelación de administrador de URL).
De forma predeterminada, los usuarios pueden acceder a los sitios de la categoría durante 15 minutos
sin necesidad de volver a especificar la contraseña.
3. Para cambiar el período de tiempo durante el que los usuarios están bloqueados y no pueden acceder
a un sitio configurado para la cancelación después de tres intentos fallidos de introducción de la
contraseña de cancelación, especifique un valor nuevo en el campo URL Admin Lockout Timeout
(Tiempo de espera de bloqueo de administrador de URL). De forma predeterminada, los usuarios
permanecen bloqueados durante 30 minutos.

STEP 3 | (Solo en el modo Redirigir) Cree una interfaz de capa 3 a la que redirigir las solicitudes web para
los sitios en una categoría configurada para la cancelación.
1. Cree un perfil de gestión para habilitar la interfaz de modo que muestre la página de respuesta de
continuación y cancelación de filtrado de URL:
1. Seleccione Network (Red) > Interface Mgmt (Gestión de interfaz) y haga clic en Add (Añadir).
2. Introduzca un Name (Nombre) para el perfil, seleccione Response Pages (Páginas de respuesta) y,
a continuación, haga clic en OK (Aceptar).
2. Cree la interfaz de capa 3. Asegúrese de adjuntar el perfil de gestión que acaba de crear (en la
pestaña Advanced [Avanzado] > Other Info [Otra información] del cuadro de diálogo Ethernet
Interface [Interfaz Ethernet]).
STEP 4 | (Solo en el modo Redirigir) Para redirigir a los usuarios de forma transparente sin mostrar
errores de certificado, instale un certificado que coincida con la dirección IP de la interfaz a la
que va a redirigir las solicitudes web para un sitio en una categoría de URL configurada para la
cancelación. Puede generar un certificado autofirmado o importar un certificado firmado por
una CA externa.
Para usar un certificado autofirmado, primero debe crear un certificado de CA raíz y, a continuación,
usar esa CA para firmar el certificado que usará para la cancelación de administrador de URL del modo
siguiente:
1. Para crear un certificado de CA raíz, seleccione Device (Dispositivo) > Certificate Management
(Gestión de certificados) > Certificates (Certificados) > Device Certificates (Certificados de
dispositivo) y luego haga clic en Generate (Generar). Introduzca un Certificate Name (Nombre de
certificado), como RootCA. No seleccione ningún valor en el campo Signed By (Firmado por) (esto
es lo que indica que está autofirmado). Asegúrese de seleccionar la casilla de verificación Certificate
Authority (Autoridad del certificado) y, a continuación, haga clic en Generate (Generar) para generar
el certificado.
2. Para crear el certificado que se usará para la cancelación de administrador de URL, haga clic en
Generate (Generar). Especifique el Certificate Name (Nombre del certificado) y el nombre de host
DNS o la dirección IP de la interfaz como el Common Name (Nombre común). En el campo Signed
By (Firmado por), seleccione la CA que creó en el paso anterior. Añada un atributo de dirección IP
y especifique la dirección IP de la interfaz de capa 3 a la que redirigirá las solicitudes web para las
categorías de URL con la acción de cancelación.
4. Para configurar clientes para que confíen en el certificado, seleccione el certificado de CA en
la pestaña Device Certificates (Certificados de dispositivos) y haga clic en Export (Exportar). A
continuación deberá importar el certificado como una CA raíz de confianza en todos los exploradores
de cliente, ya sea configurando manualmente el explorador o añadiendo el certificado a las raíces de
confianza en un objeto de directiva de grupo (GPO) de Active Directory.
STEP 5 | Especifique qué categorías de URL requieren una contraseña de cancelación para permitir el
acceso.
1. Seleccione Objects (Objetos) > URL Filtering (Filtro URL) y seleccione un perfil de filtrado de URL
existente o seleccione Add (Añadir) para añadir uno nuevo.
2. En la pestaña Categories (Categorías), establezca la acción en override (cancelar) para cada categoría
que requiera una contraseña.
3. Complete las secciones restantes del perfil de filtrado de URL y, a continuación, haga clic en OK
(Aceptar) para guardar el perfil.
STEP 6 | Aplique el perfil de filtrado de URL a las reglas de política de seguridad que permiten el acceso
a los sitios que requieren la cancelación de la contraseña para el acceso.

1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la política de seguridad adecuada
para modificarla.
2. Seleccione la pestaña Actions (Acciones) y, en la sección Profile Setting (Ajuste de perfil), haga clic en
el menú desplegable URL Filtering (Filtrado de URL) y seleccione el perfil.


Aplicación de búsquedas seguras
Muchos motores de búsqueda incluyen una opción de búsqueda segura que filtra las imágenes y los vídeos
para adultos del tráfico de devolución de consultas de búsqueda. Puede habilitar el cortafuegos para
bloquear los resultados de la búsqueda si el usuario final no utiliza la configuración de búsqueda segura
más exigente y también puede habilitar la búsqueda segura de manera transparente para sus usuarios. El
cortafuegos admite la aplicación de búsqueda segura para los siguientes proveedores de búsquedas: Google,
Yahoo, Bing, Yandex y YouTube. Tenga en cuenta que la búsqueda segura es una configuración de menor
esfuerzo y los proveedores de servicio no garantizan que funcione en cada sitio web. Además, son los
proveedores de búsqueda los que clasifican los sitios como seguros o inseguros (no Palo Alto Networks).
Para usar esta función, debe habilitar la opción Safe Search Enforcement (Aplicación de búsquedas
seguras) en un perfil de filtrado de URL y adjuntarla a una regla de la política de seguridad. El cortafuegos
bloqueará cualquier tráfico de retorno de consulta de búsqueda coincidente que no utilice la configuración
de búsqueda segura más estricta. Existen dos métodos de aplicación de búsqueda segura:
• Bloqueo de resultados de búsqueda cuando la búsqueda segura estricta no está habilitada: cuando un
usuario final intenta realizar una búsqueda sin habilitar primero la configuración de búsqueda segura
más estricta, el cortafuegos bloquea los resultados de la consulta de búsqueda y muestra la página de
bloqueo de búsqueda segura de filtrado de URL. De forma predeterminada, esta página proporciona una
dirección URL al proveedor de búsquedas para configurar la búsqueda segura.
• Habilitación transparente de la búsqueda segura de usuarios: cuando un usuario final intenta realizar
una búsqueda sin habilitar primero la configuración de búsqueda segura estricta, el cortafuegos bloquea
los resultados de la búsqueda con un código de estado HTTP 503 y redirige la consulta de búsqueda a
una URL que incluye los parámetros de búsqueda segura. Para habilitar esta función, importe una página
de bloque de búsqueda segura de filtrado de URL nueva que contenga JavaScript para reescribir la
dirección URL de búsqueda de modo que incluya los parámetros de búsqueda segura estricta. Con esta
configuración, los usuarios no verán la página de bloque, sino que serán redirigidos automáticamente a
una consulta de búsqueda que fuerza las opciones de búsqueda segura más estrictas. Este método de
aplicación forzada de búsquedas seguras requiere la versión de publicación de contenido 475 o posterior
y solo es compatible con las búsquedas en Google, Yahoo y Bing.
Dado que la configuración de la búsqueda segura varía según el proveedor de búsqueda, comience por
revisar las diferentes implementaciones de búsqueda segura. Existen dos maneras de aplicar la búsqueda
segura: puede bloquear los resultados de la búsqueda cuando la búsqueda segura está deshabilitada o
puede habilitar la búsqueda segura de manera transparente para sus usuarios:
• Configuración de búsqueda segura para proveedores de búsqueda
• Bloqueo de resultados de búsqueda cuando la búsqueda segura estricta no está habilitada
• Habilitación transparente de la búsqueda segura para usuarios
Configuración de búsqueda segura para proveedores de búsqueda

La configuración de búsqueda segura varía según el proveedor de búsqueda; revise las siguientes
configuraciones para obtener más información.
Proveedor de Descripción de la configuración de búsqueda segura

búsquedas
Google/YouTube Permiten la búsqueda segura en equipos individuales o en toda la red mediante la

dirección IP virtual de búsqueda segura de Google:
Aplicación forzada de búsquedas seguras en Google en equipos individuales:

búsquedas
En la sección de ajustes de búsqueda de Google, la opción Filter explicit results
(Filtrar resultados explícitos) habilita la función de búsqueda segura. Una vez
habilitada, la configuración se almacena en una cookie del explorador como FF= y
se pasa al servidor cada vez que el usuario realiza una búsqueda en Google.
La anexión de safe=active a una dirección URL de consulta de búsqueda de
Google también habilita la configuración de búsqueda segura más estricta.
Aplicación forzada de búsquedas seguras en Google y YouTube mediante una
dirección IP virtual
Google proporciona servidores que bloquean SafeSearch
(forcesafesearch.google.com) en cada búsqueda en Google y YouTube. Si añade
una entrada DNS para www.google.com y www.youtube.com (y otros
subdominios correspondientes a países de Google y YouTube) que incluya
un registro CNAME que apunte a forcesafesearch.google.com para la
configuración de su servidor DNS, puede garantizar que todos los usuarios de
su red usen la configuración de búsqueda segura estricta cada vez que realicen
una búsqueda en Google o YouTube. Sin embargo, debe tener en cuenta que esa
solución no es compatible con la aplicación forzada de búsquedas seguras en el
cortafuegos. Así, si está usando esta opción para forzar las búsquedas seguras
en Google, lo mejor es bloquear el acceso a otros motores de búsqueda del
cortafuegos creando categorías de URL personalizadas y añadiéndolas a la lista de
bloqueados en el perfil de filtrado de URL.
Si planea utilizar la solución de bloqueo SafeSearch de Google,

considere la posibilidad de configurar un proxy DNS (Network
[Red] > DNS Proxy [Proxy DNS]) y establecer el origen de
herencia como la interfaz de capa 3 en la que el cortafuegos recibe
la configuración de DNS del proveedor de servicios mediante
DHCP. Debe configurar el proxy DNS con Static Entries (Entradas
estáticas) para www.google.com y www.youtube.com mediante la
dirección IP local para el servidor de forcesafesearch.google.com.
Yahoo Permite la búsqueda segura solamente en equipos individuales. Las preferencias

de búsqueda de Yahoo incluyen tres opciones de SafeSearch: Strict (Estricta),
Moderate (Moderada) o Off (Desactivada). Una vez habilitada, la configuración se
almacena en una cookie del explorador como vm= y se pasa al servidor cada vez
que el usuario realiza una búsqueda en Yahoo.
La anexión de vm=r a una dirección URL de consulta de búsqueda de Yahoo
también habilita la configuración de búsqueda segura más estricta.
Al realizar una búsqueda en Yahoo Japan (yahoo.co.jp) tras

iniciar sesión con una cuenta de Yahoo, el usuario final debe
habilitar la opción Lock (Bloqueo) de SafeSearch.
Bing Permite la búsqueda segura en equipos individuales o mediante su programa Bing

in the Classroom. La configuración de Bing incluye tres opciones de SafeSearch:
Strict (Estricta), Moderate (Moderada) o Off (Desactivada). Una vez habilitada, la
configuración se almacena en una cookie del explorador como adtl= y se pasa al
servidor cada vez que el usuario realiza una búsqueda en Bing.

búsquedas
La anexión de adlt=strict a una dirección URL de consulta de búsqueda de
Bing también habilita la configuración de búsqueda segura más estricta.
El motor de búsqueda SSL de Bing no fuerza los parámetros de URL de búsqueda
segura y, por lo tanto, debe considerar la posibilidad de bloquear Bing en SSL para
la aplicación forzada de búsquedas seguras completa.
Bloqueo de los resultados de búsqueda cuando la búsqueda segura

estricta no está habilitada
De forma predeterminada, si habilita la aplicación forzada de búsquedas seguras, cuando un usuario intenta
realizar una búsqueda sin usar la configuración de búsqueda segura más estricta, el cortafuegos bloquea
los resultados de la consulta de búsqueda y muestra la página de bloque de búsqueda segura de filtrado
de URL. Esta página incluye un enlace a la página de configuración de búsqueda para el proveedor de
búsquedas correspondiente de modo que el usuario final pueda habilitar la configuración de búsqueda
segura. Si tiene previsto usar este método predeterminado para forzar la búsqueda segura, debe comunicar
la política a sus usuarios finales antes de implementarla. Consulte la información detallada sobre cómo
cada proveedor de búsquedas implementa la búsqueda segura. La página de bloque de búsqueda segura
de filtrado de URL predeterminada incluye un enlace a la configuración de búsqueda para el proveedor de
búsquedas correspondiente. Opcionalmente, puede personalizar las páginas de respuesta de filtro URL.
Además, para habilitar la aplicación forzada de búsquedas seguras de modo que sea transparente para sus
usuarios finales, configure el cortafuegos para Habilitar de forma transparente la búsqueda segura para los
usuarios.
STEP 1 | Habilite la aplicación forzada de búsquedas seguras en el perfil de filtrado de URL.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro URL).
2. Seleccione un perfil existente para modificarlo o duplique el perfil predeterminado para crear un
nuevo perfil.
3. En la pestaña Settings (Configuración), seleccione la casilla de verificación Safe Search Enforcement
(Cumplimiento de búsquedas seguras) para habilitarla.
4. (Opcional) Restrinja los usuarios para motores de búsqueda específicos:
1. En la pestaña Categories (Categorías), establezca la categoría search-engines (motores de
búsqueda) en block (bloquear).
2. Para cada motor de búsqueda al que desee que los usuarios finales puedan acceder, especifique la
dirección web en el cuadro de texto Allow List (Lista de permitidos). Por ejemplo, para permitir a
los usuarios acceder solo a las búsquedas en Google y Bing, debe especificar lo siguiente:
www.google.com
www.bing.com
5. Configure otras opciones según sea necesario para:
• Defina el acceso al sitio para cada categoría de URL.
• Defina las listas de bloqueados y permitidos para especificar los sitios web que siempre deben
STEP 2 | Añada el perfil de filtrado de URL a la regla de la política de seguridad que permite el tráfico de
clientes de la zona de confianza a Internet.

1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla a la cual aplicar el perfil de
filtro URL que acaba de habilitar para el cumplimiento de la búsqueda segura.
2. En la pestaña Actions (Acciones), seleccione el perfil de URL Filtering (Filtrado de URL).
3. Haga clic en OK (Aceptar) para guardar la regla de la política de seguridad.
STEP 3 | Habilite el descifrado del proxy SSL de reenvío.

Dado que la mayoría de los motores de búsqueda cifran los resultados de búsqueda, debe habilitar el
descifrado del proxy SSL de reenvío para que el cortafuegos pueda inspeccionar el tráfico de búsqueda y
detectar la configuración de búsqueda segura.
1. Añada una categoría de URL personalizada para los sitios de búsqueda:
1. Seleccione Objects (Objetos) > Custom Objects (Objetos personalizados) > URL Category
(Categoría de URL) y luego Add (Añadir) para añadir una categoría personalizada.
2. Introduzca un nombre en Name (Nombre) para la categoría, como SearchEngineDecryption.
3. Seleccione Add (Añadir) para añadir lo siguiente a la lista de sitios:
www.bing.*
www.google.*
search.yahoo.*
4. Haga clic en OK (Aceptar) para guardar el objeto de la categoría de URL personalizada.
2. Siga los pasos de Configuración de proxy de reenvío SSL.
3. En la pestaña Service/URL Category (Servicio/Categoría de URL) de la regla de la política de
descifrado, seleccione Add (Añadir) para añadir la categoría URL personalizada que acaba de crear y
STEP 4 | (Recomendado) Bloquee el tráfico de búsqueda Bing que se ejecuta con SSL.
Dado que el motor de búsqueda SSL de Bing no cumple la configuración de búsqueda segura, para una
aplicación forzada de búsquedas completo, debe rechazar todas las sesiones de Bing que se ejecutan con
SSL.
1. Añada una categoría de URL personalizada para Bing:
2. Introduzca un nombre en Name (Nombre) para la categoría, como EnableBingSafeSearch.
www.bing.com/images/*
www.bing.com/videos/*
2. Cree otro perfil de filtrado de URL para bloquear la categoría personalizada que ha creado:
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro
URL).
2. Seleccione Add (Añadir) para añadir un perfil nuevo y asígnele un Name (Nombre) descriptivo.
3. Busque la categoría personalizada en la lista de categorías y establézcala en block (bloquear).
4. Haga clic en OK (Aceptar) para guardar el perfil de filtro de URL.
3. Añada una regla de la política de seguridad para bloquear el tráfico SSL de Bing:
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir una regla de
política que permita el tráfico de su zona fiable a Internet.
2. En la pestaña Actions (Acciones), adjunte el perfil de filtrado de URL que acaba de crear para
bloquear la categoría de Bing personalizada.

3. En la pestaña Service/URL Category (Categoría de URL/servicio), seleccione Add (Añadir) para
añadir un New Service (Nuevo servicio) y asígnele un Name (Nombre) descriptivo, como bingssl.
4. Seleccione TCP como Protocol (Protocolo) y establezca Destination Port (Puerto de destino) en
443.
6. Use la opción Move (Mover) para asegurarse de que esta regla está debajo de la regla que tiene el
perfil de filtrado de URL con el forzaje de búsquedas seguras habilitado.

STEP 6 | Compruebe la configuración de la aplicación forzada de búsquedas seguras.

Este paso de verificación solo funciona si usa páginas de bloqueo para forzar la búsqueda segura. Si usa
la aplicación forzada de búsquedas seguras transparente, la página de bloque del cortafuegos invoca la
reescritura de URL con los parámetros de búsqueda segura en la cadena de consulta.
1. En un equipo detrás del cortafuegos, deshabilite la configuración de búsqueda estricta para uno
de los proveedores de búsquedas admitidos. Por ejemplo, en bing.com, haga clic en el icono de
preferencias en la barra de menús de Bing.
2. Establezca la opción SafeSearch (Búsqueda segura) en Moderate (Moderada) o Off (Desactivada) y

haga clic en Save (Guardar).
3. Realice una búsqueda en Bing y compruebe si se muestra la página de bloque de búsqueda segura de
filtrado de URL en lugar de los resultados de la búsqueda:
4. Use el enlace de la página de bloque para ir a la configuración de búsqueda del proveedor de

búsquedas, establezca la configuración de búsqueda segura más estricta (Strict [Estricta] en el caso
de Bing) y, a continuación, haga clic en Save [Guardar].
5. Vuelva a realizar una búsqueda en Bing y compruebe si se muestran los resultados de la búsqueda
filtrada en lugar de la página de bloque.
Habilitación transparente de la búsqueda segura para los usuarios

Si desea forzar el filtrado de los resultados de la consulta de búsqueda con los filtros de búsqueda segura
más estricta, pero no desea que los usuarios finales tengan que configurar las opciones manualmente, puede
habilitar la aplicación forzada de búsquedas seguras transparente del modo siguiente. Esta función solo es
compatible con los motores de búsqueda de Google, Yahoo y Bing, y requiere la versión de publicación de
contenido 475 o posterior.
STEP 1 | Asegúrese de que el cortafuegos ejecuta la versión de publicación de contenido 475 o

posterior.
2. Marque la sección Applications and Threats (Aplicaciones y amenazas) para determinar qué
actualización se está ejecutando.

3. Si el cortafuegos no está ejecutando la actualización requerida o posterior, haga clic en Check Now
(Comprobar ahora) para recuperar una lista de actualizaciones disponibles.
4. Busque la actualización requerida y haga clic en Download (Descargar).
5. Cuando finalice la descarga, haga clic en Install (Instalar).
STEP 2 | Habilite la aplicación forzada de búsquedas seguras en el perfil de filtrado de URL.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro URL).
2. Seleccione un perfil existente para modificarlo o duplique el perfil predeterminado para crear uno
nuevo.
3. En la pestaña Configuración, seleccione la casilla de verificación Safe Search Enforcement (Aplicación
de búsquedas seguras) para habilitarla.
4. (Opcional) Permita el acceso solo a motores de búsqueda específicos:
1. En la pestaña Categories (Categorías), establezca la categoría search-engines (motores de
búsqueda) en block (bloquear).
2. Para cada motor de búsqueda al que desee que los usuarios finales puedan acceder, especifique la
dirección web en el cuadro de texto Allow List (Lista de permitidas). Por ejemplo, para permitir a
los usuarios acceder solo a las búsquedas en Google y Bing, debe especificar lo siguiente:
www.google.com
www.bing.com
5. Configure otras opciones según sea necesario para:
• Defina el acceso al sitio para cada categoría de URL.
• Defina las listas de bloqueados y permitidos para especificar los sitios web que siempre deben
STEP 3 | Añada el perfil de filtrado de URL a la regla de la política de seguridad que permite el tráfico de
clientes de la zona de confianza a Internet.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione una regla a la cual aplicar el perfil de
filtro URL que acaba de habilitar para el cumplimiento de la búsqueda segura.
2. En la pestaña Actions (Acciones), seleccione el perfil de URL Filtering (Filtrado de URL).
3. Haga clic en OK (Aceptar) para guardar la regla de la política de seguridad.
STEP 4 | (Recomendado) Bloquee el tráfico de búsqueda Bing que se ejecuta con SSL.
Dado que el motor de búsqueda SSL de Bing no cumple la configuración de búsqueda segura, para una
aplicación forzada de búsquedas completo, debe rechazar todas las sesiones de Bing que se ejecutan con
SSL.
1. Añada una categoría de URL personalizada para Bing:
2. Introduzca un Name (Nombre) para la categoría, como EnableBingSafeSearch.
www.bing.com/images/*
www.bing.com/videos/*
2. Cree otro perfil de filtrado de URL para bloquear la categoría personalizada que ha creado:
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtro
URL).

2. Seleccione Add (Añadir) para añadir un perfil nuevo y asígnele un Name (Nombre) descriptivo.
3. Busque la categoría personalizada que acaba de crear en la lista de categorías y establézcala en
block (bloquear).
4. Haga clic en OK (Aceptar) para guardar el perfil de filtro de URL.
3. Seleccione Add (Añadir) para añadir una regla de la política de seguridad para bloquear el tráfico SSL
de Bing:
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir una regla de
política que permita el tráfico de su zona fiable a Internet.
2. En la pestaña Actions (Acciones), adjunte el perfil de filtrado de URL que acaba de crear para
bloquear la categoría de Bing personalizada.
3. En la pestaña Service/URL Category (Categoría de URL/servicio), seleccione Add (Añadir) para
añadir un New Service (Nuevo servicio) y asígnele un Name (Nombre) descriptivo, como bingssl.
4. Seleccione TCP como Protocol (Protocolo) y establezca Destination Port (Puerto de destino) en
443.
6. Use la opción Move (Mover) para asegurarse de que esta regla está debajo de la regla que tiene el
perfil de filtrado de URL con el forzaje de búsquedas seguras habilitado.
STEP 5 | Edite la página de bloque de búsqueda segura de filtrado de URL para sustituir el código
existente por JavaScript con el fin de reescribir las URL de consulta de búsqueda para forzar la
búsqueda segura de forma transparente.
1. Seleccione Device (Dispositivo) > Response Pages (Páginas de respuesta) > URL Filtering Safe
Search Block Page (Página de bloque de búsqueda segura de filtrado de URL).
2. Seleccione Predefined (Predefinido) y, a continuación, haga clic en Export (Exportar) para guardar el
archivo localmente.
3. Use un editor HTML para sustituir todo el texto de la página de bloque existente por el siguiente
texto y, a continuación, guarde el archivo:
<html>
<head>
<title>Search Blocked</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="pragma" content="no-cache">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">

<div id="content">
<h1>Search Blocked</h1>
<p>
<b>User:</b>
<user/>
</p>
<p>Your search results have been blocked because your search
settings are not in accordance with company policy. In order to
continue, please update your search settings so that Safe Search is
set to the strictest setting. If you are currently logged into your
account, please also lock Safe Search and try your search again.</p>
<p>
For more information, please refer to:
<a href="<ssurl/>">
<ssurl/>
</a>
</p>
<p id="java_off"> Please enable JavaScript in your browser.<br></
p>
<p><b>Please contact your system administrator if you believe this
message is in error.</b></p>
</div>
</body>
<script>
// Grab the URL that's in the browser.
var s_u = location.href;
//bing
// Matches the forward slashes in the beginning, anything, then
".bing." then anything followed by a non greedy slash. Hopefully the
first forward slash.
var b_a = /^.*\/\/(.+\.bing\..+?)\//.exec(s_u);
if (b_a) {
s_u = s_u + "
STEP 6 | Importe la página de bloque de búsqueda segura de filtrado de URL editada en el cortafuegos.
1. Para importar la página de bloque editada, seleccione Device (Dispositivo) > Response Pages
(Páginas de respuesta) > URL Filtering Safe Search Block Page (Página de bloque de búsqueda
segura de filtrado de URL).
2. Haga clic en Import (Importar) y, a continuación, introduzca la ruta y el nombre de archivo en el
3. (Opcional) Seleccione el sistema virtual en el que se usará esta página de inicio de sesión en la lista
desplegable Destination (Destino) o seleccione shared (compartido) para que esté disponible para
4. Haga clic en OK (Aceptar) para importar el archivo.
STEP 7 | Habilite el descifrado del proxy SSL de reenvío.

Dado que la mayoría de los motores de búsqueda cifran los resultados de búsqueda, debe habilitar el
descifrado del proxy SSL de reenvío para que el cortafuegos pueda inspeccionar el tráfico de búsqueda y
detectar la configuración de búsqueda segura.
1. Añada una categoría de URL personalizada para los sitios de búsqueda:
2. Introduzca un nombre en Name para la categoría, como SearchEngineDecryption.

www.bing.*
www.google.*
search.yahoo.*
2. Siga los pasos de Configuración de proxy de reenvío SSL.
3. En la pestaña Service/URL Category (Categoría de URL/servicio) de la regla de la política de
descifrado, seleccione Add (Añadir) para añadir la categoría URL personalizada que acaba de crear y


Supervisión de la actividad web
El ACC, los informes y logs de filtrado de URL muestran toda la actividad web de los usuarios para las
categorías de URL establecidas como alert (alertar), block (bloquear), continue (continuar) u override
(cancelar). Al supervisar los logs, puede obtener una mayor comprensión de la actividad web de su base de
usuarios para determinar una política de acceso web.
Los siguientes temas describen cómo supervisar la actividad web:
• Supervisión de la actividad web de los usuarios de red on page 672
• Visualización del informe de actividad del usuario on page 675
• Configuración de informes de filtrado de URL personalizados on page 676
Supervisión de la actividad web de los usuarios de red

Puede utilizar el ACC, los informes de filtrado de URL y los logs que se generan en el cortafuegos para
supervisar la actividad de los usuarios.
• Para obtener una vista rápida de las categorías más comunes a las que acceden los usuarios
de su entorno, seleccione los widgets de ACC. La mayoría de widgets de la pestaña Network
Activity (Actividad de red) le permiten ordenar las URL. Por ejemplo, en el widget Uso de
aplicación puede ver que la categoría de red es la categoría a la que más se accede, seguida
del túnel cifrado y ssl. También puede ver la lista de Threat Activity (Actividad de amenazas) y
Blocked Activity (Actividad bloqueada) ordenada en URL.
Vea los logs y configure las opciones de log:
• En el ACC, puede pasar directamente a los logs ( ) o seleccionar Monitor (Supervisar) >
Logs > URL Filtering (Filtrado de URL).
La acción del log para cada entrada depende de la configuración de acceso al sitio que define para la
categoría correspondiente:

• Log de alerta: en este ejemplo, a la categoría computer-and-internet-info (Información de ordenador
e internet) se le asignó la acción alert (crear alerta).
• Log de bloqueo: en este ejemplo, a la categoría insufficient-content (contenido insuficiente) se

le asignó la acción continue (continuar). Si a la categoría se le hubiese asignado la acción block
(bloquear), el log Action (Acción) sería block-url (bloquear URL).
• Log de alerta en el sitio web cifrado: en este ejemplo, la categoría es private-ip-addresses

(direcciones IP privadas) y la aplicación es web-browsing (navegación web). Además, este log indica
que el cortafuegos descifró este tráfico.
• También puede añadir otras columnas a su vista de log de filtrado de URL, como las zonas
de origen y destino, el tipo de contenido y si se realizó o no una captura de paquetes. Para
modificar qué columnas mostrar, haga clic en la flecha hacia abajo en cualquier columna y
seleccione el atributo que debe mostrarse.
• Para ver la información detallada completa del log y/o solicitar un cambio de categoría para la
URL específica a la que se accedió, haga clic en el icono de información detallada del log en la
primera columna del log.

• Genere informes de filtrado de URL predefinidos en las categorías de URL, los usuarios de URL,
los sitios web a los que se accede, las categorías bloqueadas, etc.
Seleccione Monitor (Supervisar) > Reports (Informes) y, en la sección URL Filtering Reports (Informes
de filtrado de URL), seleccione uno de los informes. Los informes abarcan un período de 24 horas en la
fecha del calendario que selecciona. También puede exportar el informe a PDF, CSV o XML.

Visualización del informe de actividad del usuario
Este informe proporciona un método rápido para visualizar la actividad de un usuario o grupo y también
ofrece la opción de visualizar la actividad de tiempo de exploración.
STEP 1 | Configure un informe de actividad del usuario

1. Seleccione Monitor (Supervisar) > PDF Reports (Informes en PDF) > User Activity Report (Informe
de actividad del usuario).
2. Haga clic en Add (Añadir) para añadir un informe e introduzca un nombre para él en Name (Nombre).
3. Seleccione el Type (Tipo) de servidor:
• Seleccione User (Usuario) para generar un informe para una persona.
• Seleccione Group (Grupo) para seleccionar un grupo de usuarios.
Debe realizar la Habilitación de User-ID para poder seleccionar nombres de usuario

o grupo. Si User-ID no se ha configurado, puede seleccionar el tipo User (Usuario) e
introducir la dirección IP del equipo del usuario.
4. Introduzca el Username/IP Address (Nombre de usuario/dirección IP) de un informe de usuario o
introduzca el nombre de grupo de un informe de grupo de usuarios.
5. Seleccione el periodo de tiempo. Puede seleccionar un período de tiempo existente o seleccionar
Custo (Personalizado).
6. Seleccione la casilla de verificación Include Detailed Browsing (Incluir exploración detallada) para
que se incluya información de exploración en el informe.
STEP 2 | Ejecute el informe.

1. Haga clic en Run now (Ejecutar ahora).
2. Cuando el cortafuegos termine de generar el informe, haga clic en uno de los enlaces para
descargarlo:
• Haga clic en Download User Activity Report (Descargar informe de actividad del usuario) para
descargar una versión en PDF del informe.
• Haga clic en Download URL Logs (Descargar logs de URL) para descargar un archivo CSV de las
entradas de log correspondientes.
3. Tras descargar el informe, haga clic en Cancel (Cancelar).

4. Si desea guardar la configuración del informe de actividad del usuario para poder ejecutar el mismo
informe más tarde, haga clic en OK (Aceptar); de lo contrario, haga clic en Cancel (Cancelar).
STEP 3 | Vea el informe de actividad del usuario abriendo el archivo que descargó. La versión PDF
del informe muestra el usuario o el grupo en el que basó el informe, el período de tiempo del
informe y un índice:

STEP 4 | Haga clic en un elemento del índice para ver los detalles del informe. Por ejemplo, haga clic
en Traffic Summary by URL Category (Resumen de tráfico por categoría de URL) para ver
estadísticas para el usuario o grupo seleccionado.
Configuración de informes de filtrado de URL personalizados

Para generar un informe detallado que puede programar para que se ejecute con regularidad, configure un
informe personalizado de filtrado de URL. Puede seleccionar cualquier combinación de campos de log de
filtrado de URL para realizar el informe.
STEP 1 | Añada un nuevo informe personalizado.

1. Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes personalizados) y
Add (Añadir) para añadir un informe.
2. Asigne al informe un Name (Nombre) único y, opcionalmente, una Description (Descripción).
3. Seleccione la Database (Base de datos) que desea utilizar para generar el informe. Para generar un
informe detallado con filtrado de URL, seleccione URL de la sección Detailed Logs (Logs detallados):

STEP 2 | Configure las opciones de informe.
1. Seleccione un Time Frame (Período de tiempo) predefinido o seleccione Custom (Personalizado).
2. Seleccione las columnas de logs que desea incluir en el informe de la lista de columnas disponibles y
añádalas ( ) a las columnas seleccionadas. Por ejemplo, para un informe de filtrado de URL, puede
seleccionar las siguientes opciones:
• Acción
• Categoría de aplicación
• Category
• País de destino
• Usuario de origen
• URL
3. Si en el cortafuegos, está habilitada la Prevención de phishing de credenciales, seleccione el atributo

Flags (Marcas), el operador has y el valor Credential Detected (Credencial detectada) para que
también se incluyan eventos en el informe que registren cuando un usuario envíe una credencial
corporativa válida a un sitio.
4. (Opcional) Seleccione una opción Sort By (Ordenar por) para configurar el atributo que se utilizará
para agregar los detalles del informe. Si no selecciona un atributo según el cual ordenar, el informe
devolverá el primer número N de resultados sin ninguna agregación. Seleccione un atributo Group
By (Agrupar por) que se utilizará como delimitador para agrupar los datos. El siguiente ejemplo
muestra un informe con Group By (Agrupar por) la App Category (Categoría de aplicaciones) y Sort
By (Ordenar por) el Count (Conteo) de los Top 5 (5 principales).

STEP 3 | Ejecute el informe.
1. Haga clic en el icono Run Now (Ejecutar ahora) para generar inmediatamente el informe que
aparecerá en una nueva pestaña.
2. Cuando complete la revisión del informe, vuelva a la pestaña Report Setting (Configuración de
informes) y modifique la configuración antes de volver a ejecutar el informe, o continúe al próximo
paso para programar un informe.
3. Seleccione la casilla de verificación Schedule (Programación) para ejecutar el informe una vez al día.
Esto generará un informe diario con información detallada de la actividad web las últimas 24 horas.
STEP 5 | Vea el informe personalizado.

1. Seleccione Monitor (Supervisar) > Reports (Informes).
2. Expanda el panel Custom Reports (Informes personalizados) en la columna derecha y seleccione el
informe que desea ver. El informe más reciente se muestra automáticamente.
3. Para ver el informe de una fecha anterior, seleccione la fecha del calendario. También puede exportar
el informe a PDF, CSV o XML.

Configuración de la nube privada de PAN-DB
Para implementar uno o más dispositivos M-500 como una nube privada de PAN-DB en su red o centro de
datos, debe completar las siguientes tareas:
• Configuración de la nube privada de PAN-DB on page 679
• Configuración los cortafuegos para acceder a la nube privada de PAN-DB on page 682
Configuración de la nube privada de PAN-DB

STEP 1 | Monte en rack el dispositivo M-500.
Consulte la M-500 Hardware Reference Guide (Guía de referencia de hardware de M-500) para obtener
instrucciones.
STEP 2 | Registre el dispositivo M-500.

Si desea instrucciones sobre el registro del dispositivo M-500, consulte Registro del cortafuegos.
STEP 3 | Realice la configuración inicial del dispositivo M-500.
El dispositivo M-500 del modo PAN-DB usa dos puertos MGT (Eth0) y Eth1; Eth2 no
se usa en el modo PAN-DB. El puerto de gestión se usa para el acceso administrativo
al dispositivo y para obtener las últimas actualizaciones de contenido desde la nube
pública de PAN-DB. Para una comunicación entre el dispositivo (servidor PAN-DB) y los
cortafuegos de la red, puede usar el puerto MGT o Eth1.
1. Conéctese al dispositivo M-500 de uno de estos modos:

• Conecte un cable serie desde un ordenador al puerto de la consola del dispositivo M-500 y
conecte usando un software de emulación de terminal (9600-8-N-1).
• Conecte un cable Ethernet RJ-45 desde un ordenador hasta el puerto MGT del dispositivo M-500.
Use un navegador para ir a https://192.168.1.1. Para habilitar el acceso a esta URL tal vez deba
cambiar la dirección IP del ordenador por una dirección de la red 192.168.1.0 (por ejemplo,
192.168.1.2).
2. Cuando se le indique, inicie sesión en el dispositivo. Inicie sesión usando el nombre de usuario y
contraseña predeterminados (admin/admin). El dispositivo comenzará a inicializarse.
3. Configure los ajustes de acceso a la red, incluida la dirección IP para la interfaz MGT:
set deviceconfig system ip-address <server-IP> netmask <netmask> default-

gateway <gateway-IP> dns-setting servers primary <DNS-IP>
donde <server-IP> es la dirección IP que quiere asignar a la interfaz de gestión del servidor,
<netmask> es la máscara de subred, <gateway-IP> es la dirección IP de la gateway de red y <DNS-
IP> es la dirección IP del servidor DNS principal.
4. Configure los ajustes de acceso a la red, incluida la dirección IP para la interfaz Eth1:
set deviceconfig system eth1 ip-address <server-IP> netmask <netmask>

default-gateway <gateway-IP> dns-setting servers primary <DNS-IP>

donde <server-IP> es la dirección IP que quiere asignar a la interfaz de datos del servidor ,
<netmask> es la máscara de subred, <gateway-IP> es la dirección IP del gateway de red y <DNS-IP>
es la dirección IP del servidor DNS.
5. Guarde sus cambios en el servidor PAN-DB.
Confirmar
STEP 4 | Cambie al modo de nube privada de PAN-DB.

1. Para cambiar al modo PAN-DB, use el siguiente comando de la CLI:
request system system-mode pan-url-db
Puede cambiar del modo Panorama al modo PAN-DB y viceversa; y del modo
Panorama al modo de recopilador de logs y viceversa. No se permite cambiar
directamente desde el modo PAN-DB al modo de recopilador de logs ni viceversa.
Cuando cambie el modo operativo, se activa un reinicio de datos. Con la excepción
de los ajustes de acceso de gestión, todos los logs y la configuración existente se
eliminarán en el reinicio.
2. Use los comandos siguientes para comprobar que el modo ha cambiado:
show pan-url-cloud-status
hostname: M-500
ip-address: 1.2.3.4
netmask: 255.255.255.0
default-gateway: 1.2.3.1
ipv6-address: unknown
ipv6-link-local-address: fe80:00/64
ipv6-default-gateway:
mac-address: 00:56:90:e7:f6:8e
time: Mon Apr 27 13:43:59 2015
uptime: 10 days, 1:51:28
family: m
model: M-500
serial: 0073010000xxx
sw-version: 7.0.0
app-version: 492-2638
app-release-date: 2015/03/19 20:05:33
av-version: 0
av-release-date: unknown
wf-private-version: 0
wf-private-release-date: unknown
logdb-version: 7.0.9
platform-family: m
pan-url-db: 20150417-220
system-mode: Pan-URL-DB
operational-mode: normal
3. Utilice el siguiente comando para comprobar la versión de la base de datos de la nube en el

dispositivo:
show pan-url-cloud-status
Cloud status: Up
URL database version: 20150417-220

STEP 5 | Instale las actualizaciones de contenido y base de datos.
El dispositivo solo almacena la versión en ejecución actualmente del contenido y una

versión anterior.
Seleccione uno de los siguientes métodos de instalación de las actualizaciones de contenido y base de
datos:
• Si el servidor PAN-DB tiene acceso directo a Internet, use los siguientes comandos:
1. Para comprobar si se ha publicado una nueva versión use:
request pan-url-db upgrade check
2. Para consultar qué versión tiene instalada actualmente en su servidor use:
request pan-url-db upgrade info
3. Para descargar e instalar la última versión:
• request pan-url-db upgrade download latest
• request pan-url-db upgrade install <version latest | file>
4. Para programar el dispositivo M-500 para que busque automáticamente actualizaciones:
set deviceconfig system update-schedule pan-url-db recurring weekly

action download-and-install day-of-week <day of week> en <hr:min>
• Si el servidor PAN-DB está fuera de línea, acceda al sitio web de asistencia técnica de Palo Alto
Networks para descargar y guardar las actualizaciones de contenido en un servidor SCP en su red.
Entonces podrá importar e instalar las actualizaciones usando los siguientes comandos:
• scp import pan-url-db remote-port <port-number> from
username@host:path
• request pan-url-db upgrade install file <filename>
STEP 6 | Configuración del acceso administrativo a la nube privada de PAN-DB.
El dispositivo tiene una cuenta admin predeterminada. Cualquier usuario administrativo

adicional que cree puede ser un superusuario (con acceso completo) o superusuario con
acceso de solo lectura.
La nube privada de PAN-DB no admite el uso de VSA de RADIUS. Si los VSA empleados en el
cortafuegos o Panorama se usan para habilitar el acceso a la nube privada de PAN-DB, se producirá un
fallo de autenticación.
• Para definir un usuario administrativo local del servidor PAN-DB:
1. Configurar
2. set mgt-config users <username> permissions role-based <superreader |
superuser> yes
3. set mgt-config users <username> password
4. Enter password:xxxxx
5. Confirm password:xxxxx
6. Confirmar
• Para definir un usuario administrativo con la autenticación RADIUS:

1. Cree un perfil de servidor RADIUS.
set shared server-profile radius <server_profile_name>

server <server_name> ip-address <ip_address> port <port_no>
secret <shared_password>
2. Cree un perfil de autenticación.
set shared authentication-profile <auth_profile_name> user-

domain <domain_name_for_authentication> allow-list <all> method radius
server-profile <server_profile_name>
3. Adjunte el perfil de autenticación al usuario.
set mgt-config users <username> authentication-

profile <auth_profile_name>
4. Confirme los cambios.
Confirmar
• Para ver la lista de usuarios:
show mgt-config users

users {
admin {
phash fnRL/G5lXVMug;
permissions {
role-based {
superuser yes;
}
}
}
admin_user_2 {
permissions {
role-based {
superreader yes;
}
}
authentication-profile RADIUS;
}
}
STEP 7 | Configure los cortafuegos para acceder a la nube privada de PAN-DB.
Configuración los cortafuegos para acceder a la nube privada de

PAN-DB
Cuando usa la nube pública de PAN-DB, cada cortafuegos accede a los servidores PAN-DB en la nube AWS
para descargar la lista de servidores elegibles con los que pueda conectar para las búsquedas de URL. Con la
nube privada de PAN-DB, debe configurar los cortafuegos con una lista (estática) de sus servidores de nube
privada de PAN-DB que se usarán para las búsquedas de URL. La lista puede contener hasta 20 entradas; se
admiten las direcciones IPv4, direcciones IPv6 y FQDN. Cada entrada de la lista (dirección IP o FQDN) debe
asignarse al puerto de gestión y/o eth1 del servidor PAN-DB.
STEP 1 | Seleccione una de las siguientes opciones en función de la versión de PAN-OS del cortafuegos.

• Para cortafuegos que ejecuten PAN-OS 7.0, acceda alCLI de PAN-OS o la interfaz web del
cortafuegos.
Use el comando siguiente de la CLI para configurar el acceso a la nube privada:
set deviceconfig setting pan-url-db cloud-static-list <IP addresses>

enable
O en la interfaz web de cada cortafuegos, seleccione Device (Dispositivo) > Setup (Configuración) >
Content-ID, edite la sección URL Filtering (Filtrado de URL) e introduzca la dirección IP o FQDN del
PAN-DB Server (Servidor PAN-DB). La lista debe estar separada por comas.
• Con los cortafuegos que ejecuten PAN-OS 5.0, 6.0 o 6.1, use el siguiente comando de la CLI para el
configurar acceso a la nube privada:
debug device-server pan-url-db cloud-static-list-enable <IP addresses>

enable
Para eliminar las entradas de los servidores de PAN-DB privados, y permitir que los
cortafuegos se conecten con la nube pública de PAN-DB, use el comando:
set deviceconfig setting pan-url-db cloud-static-list <IP addresses>

disable
Cuando elimine la lista de servidores de PAN-DB privados, se activará un proceso de reelección en

el cortafuegos. El cortafuegos comprueba en primer lugar la lista de servidores de la nube privada de
PAN-DB y, cuando no puede encontrar uno, el cortafuegos accede a los servidores PAN-DB en la
nube AWS para descargar la lista de servidores elegibles con los que pueda conectar.
STEP 3 | Para verificar que el cambio es efectivo, use el siguiente comando de la CLI en el cortafuegos:
show url-cloud-status
Cloud status: Up
URL database version: 20150417-220

Casos de uso de filtrado de URL
Los siguientes casos de uso muestran cómo utilizar App-ID para controlar un conjunto específico de
aplicaciones basadas en Internet y cómo utilizar categorías de URL como criterios de coincidencia en
una política. Al trabajar con App-ID, es importante comprender que cada firma de App-ID puede tener
dependencias que sean obligatorias para controlar una aplicación por completo. Por ejemplo, en el caso
de aplicaciones de Facebook, la base de facebook de App‑ID es obligatoria para acceder al sitio web de
Facebook y controlar otras aplicaciones de Facebook. Por ejemplo, para configurar el cortafuegos con el
fin de que controle el correo electrónico de Facebook, tendría que permitir la base de Facebook y el correo
de Facebook de App-ID. Como otro ejemplo, si busca en Applipedia (la base de datos de App-ID) LinkedIn,
verá que para controlar el correo de LinkedIn, deberá aplicar la misma acción a ambos App-ID: base de
LinkedIn y correo de LinkedIn. Para determinar las dependencias de las aplicaciones para firmas de App-ID,
visite Applipedia, busque la aplicación en cuestión y, a continuación, haga clic en la aplicación para obtener
información detallada.
• Caso de uso: control de acceso web on page 684
• Caso de uso: Uso de categorías de URL en la comparación de políticas on page 687
Estos casos de uso dependen de User-ID on page 449 para implementar políticas basadas
en usuarios y grupos, y se requiere Descifrado on page 599 para identificar y controlar los
sitios web cifrados con SSL/TLS.
Caso de uso: control de acceso web

Al utilizar el filtrado de URL para controlar el acceso a sitios web de usuarios, puede que haya instancias
en las que un control detallado sea obligatorio para un sitio web específico. En este caso de uso, se aplica
una política de filtrado de URL a la política de seguridad que permite el acceso web para sus usuarios y
la categoría de URL redes sociales se establece como Bloquear, pero la lista de permitidas del perfil de
URL se configura para permitir el sitio web de redes sociales de Facebook. Para tener un control adicional
sobre Facebook, la política de la empresa también determina que solamente el departamento de marketing
tiene un acceso completo a Facebook y que el resto de usuarios de la empresa solamente pueden leer
publicaciones de Facebook y no pueden utilizar ninguna otra aplicación de Facebook, como el correo
electrónico, las publicaciones, el chat y el intercambio de archivos. Para lograr este requisito, debe utilizarse
App-ID para proporcionar un control detallado sobre Facebook.
La primera regla de política de seguridad permitirá que el departamento de marketing acceda al sitio web de
Facebook, así como a todas las aplicaciones de Facebook. Como esta regla de permiso también permitirá el
acceso a Internet, se aplican perfiles de prevención de amenazas a la regla para que el tráfico que coincida
con la política se examine en busca de amenazas. Esto es importante porque la regla de permiso es terminal
y no continuará para comprobar otras reglas si hay una coincidencia de tráfico.
STEP 1 | Confirme que el filtrado de URL tiene licencia.

1. Seleccione Device (Dispositivo) > Licenses (Licencias) y confirme que aparezca una fecha válida para
la base de datos de filtrado de URL que se utilizará. Será PAN-DB o BrightCloud.
2. Si no hay ninguna licencia válida instalada, consulte Habilitación del filtrado de URL PAN-DB.
STEP 2 | Confirme que User-ID funciona. User-ID es obligatorio para crear políticas basadas en usuarios
y grupos.
1. Para comprobar la asignación de grupos, desde la CLI, ingrese el siguiente comando:
show user group-mapping statistics
2. Para comprobar la asignación de usuarios, desde la CLI, ingrese el siguiente comando:

show user ip-user-mapping-mp all
3. Si no aparecen estadísticas y/o no se muestra información de asignación de dirección IP a usuario,
consulte User-ID.
STEP 3 | Configure un perfil de filtrado de URL duplicando el perfil predeterminado.

1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de
URL) y seleccione el perfil default (predeterminado).
2. Haga clic en el icono Clore (Duplicar). Debería aparecer un nuevo perfil denominado default-1
(predeterminado-1).
3. Seleccione el nuevo perfil y cámbiele el nombre.
STEP 4 | Configure el perfil de filtrado de URL para que bloquee redes sociales y permita Facebook.
1. Modifique el nuevo perfil de filtrado de URL y, en la lista Category (Categoría), desplácese hasta
social-networking (redes sociales) y, en la columna Action (Acción), haga clic en Allow (Permitir) y
cambie la acción a Block (Bloquear).
2. En el cuadro Allow List (Lista de permitidas), introduzca facebook.com, pulse Intro para iniciar una
nueva línea y, a continuación, introduzca*.facebook.com. Ambos formatos son obligatorios, así
que se identificarán todas las variantes de URL que un usuario pueda utilizar, como facebook.com,
www.facebook.com y https://facebook.com.
STEP 5 | Aplique el nuevo perfil de filtrado de URL a la regla de la política de seguridad que permite el
acceso web desde la red de usuario a Internet.
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en la regla de la política que permite
el acceso web.
2. En la pestaña Actions (Acciones), seleccione el perfil de URL que acaba de crear en el menú
desplegable URL Filtering (Filtrado de URL).

STEP 6 | Cree la regla de política de seguridad que permitirá al departamento de marketing acceder al
sitio web de Facebook y a todas las aplicaciones de Facebook.
Esta regla debe preceder a las demás porque:
• Es una regla específica. Las reglas más específicas deben debe preceder a las demás.
• La regla permitir terminará cuando se produzca una coincidencia de tráfico.
2. Introduzca un Name (Nombre) y, opcionalmente, una Description (Descripción) y Tag (Etiqueta).
3. En la pestaña Source (Origen), añada la zona donde los usuarios estén conectados.
4. En la pestaña User (Usuario) de la sección Source User (Usuario de origen), haga clic en Add (Añadir).
5. Seleccione el grupo de directorios que incluya a sus usuarios de marketing.
6. En la pestaña Destination (Destino), seleccione la zona conectada a Internet.
7. En la pestaña Applications (Aplicaciones), haga clic en Add (Añadir) y añada la firma de App-ID
facebook.
8. En la pestaña Actions (Acciones), añada los perfiles predeterminados para Antivirus, Vulnerability
Protection (Protección contra vulnerabilidades) y Antispyware.
9. Haga clic en OK (ACEPTAR) para guardar el perfil de seguridad.
La firma de App-ID facebook utilizada en esta política engloba todas las aplicaciones de Facebook,
como base de facebook, chat de facebook y correo de facebook, por lo que esta es la única firma de
App-ID obligatoria en esta regla.
Cuando esta regla está establecida, si un empleado de marketing intenta acceder al sitio web de
Facebook o cualquier aplicación de Facebook, la regla coincide basándose en el hecho de que el
usuario forma parte del grupo de marketing. Para el tráfico de cualquier usuario que no pertenezca al
departamento de marketing, la regla se omitirá porque no habrá ninguna coincidencia de tráfico y el
procesamiento de reglas continuará.
STEP 7 | Configure la política de seguridad para bloquear al resto de usuarios de modo que no puedan
utilizar ninguna aplicación de Facebook que no sea una exploración web básica. La forma
más sencilla de hacer esto es duplicar la política de permiso de marketing y, a continuación,
modificarla.
1. Desde Policies (Políticas) > Security (Seguridad), haga clic en la política de permiso de Facebook
de marketing que creó anteriormente para resaltarla y, a continuación, haga clic en el icono Clone
(Duplicar).
2. Introduzca un Name (Nombre) y, opcionalmente, introduzca una Description (Descripción) y Tag
(Etiqueta).

3. En la pestaña User (Usuario), resalte el grupo de marketing y elimínelo; en el menú desplegable,
seleccione any (cualquiera).
4. En la pestaña Applications (Aplicaciones), haga clic en la firma de App-ID facebook y elimínela.
5. Haga clic en Add (Añadir) y añada las siguientes firmas de App-ID:
• aplicaciones de facebook
• chat de facebook
• intercambio de archivos de facebook
• correo de facebook
• publicaciones de facebook
• complemento social de facebook
6. En la pestaña Actions (Acciones), en la sección Action Setting (Configuración de acción), seleccione
Deny (Denegar). La configuración del perfil ya debería ser correcta porque esta regla se duplicó.
7. Haga clic en OK (ACEPTAR) para guardar el perfil de seguridad.

8. Asegúrese de que esta nueva regla de denegación se enumera después de la regla de permiso de
marketing para garantizar que el procesamiento de reglas se realiza en el orden correcto con el fin de
permitir a los usuarios de marketing y, a continuación, denegar/limitar al resto de usuarios.
9. Haga clic en Commit (Confirmar) para guardar la configuración.
Con estas reglas de políticas establecidas, cualquier usuario que forme parte del grupo de marketing
tendrá un acceso completo a todas las aplicaciones de Facebook y cualquier usuario que no forme
parte del grupo de marketing solamente tendrá acceso de solo lectura al sitio web de Facebook y no
podrá utilizar determinadas funciones de Facebook, como la publicación, el chat, el correo electrónico
y el intercambio de archivos.
Caso de uso: Uso de categorías de URL en la comparación de

políticas
También puede utilizar las categorías de URL como criterios de coincidencia para los siguientes tipos
de políticas: Autenticación, descifrado, seguridad y QoS. En este caso de uso, las reglas de la política de
descifrado buscan coincidencias con las categorías de URL para controlar las categorías web que se deben
descifrar o no. La primera regla es una regla de no descifrado que indica al cortafuegos no descifrar tráfico
de usuarios saliente en sitios de servicios financieros o de salud y medicina, y la segunda regla indica al
cortafuegos descifrar todo el resto del tráfico.
STEP 1 | Cree la regla de no descifrado que se incluirá primero en la lista de políticas de descifrado.
Esto impedirá el descifrado de cualquier sitio web que tenga las categorías de URL servicios
financieros o salud y medicina.
1. Seleccione Policies (Políticas) > Decryption (Descifrado) y haga clic en Add (Añadir).

(Etiqueta).
3. En la pestaña Source (Origen), añada la zona donde los usuarios estén conectados.
4. En la pestaña Destination (Destino), ingrese la zona conectada a Internet.
5. En la pestaña URL Category (Categoría de URL), haga clic en Add (Añadir) y seleccione las categorías
de URL financial-services (servicios financieros) y health-and-medicine (salud y medicina).
6. En la pestaña Options (Opciones), defina la acción como No Decrypt (Sin descifrar).
7. (Opcional) Aunque el cortafuegos no descifra ni inspecciona el tráfico de la sesión, puede adjuntar un
Decryption profile (Perfil de descifrado) si desea aplicar los certificados de servidor durante la sesión.
El perfil de descifrado le permite configurar el cortafuegos para terminar la conexión SSL cuando los
certificados de servidor han vencido o cuando los certificados son emitidos por un emisor que no es
de confianza.
8. Haga clic en OK (ACEPTAR) para guardar la regla de política.
STEP 2 | Cree la regla de política de descifrado que descifrará el resto del tráfico.
1. Seleccione la política de no descifrado que creó anteriormente y, a continuación, haga clic en Clone
(Duplicar).
(Etiqueta).
3. En la pestaña URL Category (Categoría de URL), seleccione servicios financieros y salud y medicina
y, a continuación, haga clic en el icono Delete (Eliminar).
4. En la pestaña Options (Opciones), establezca la acción como Decrypt (Descifrar) y el Type( Tipo)
como SSL Forward Proxy (Proxy SSL de reenvío).
5. (Opcional) Adjunte un Decryption profile (Perfil de descifrado) para especificar la verificación del
certificado de servidor, las comprobaciones de modo no admitidas y las comprobaciones de fallos del
tráfico SSL. Consulte Configuración del proxy SSL de reenvío para obtener información detallada.
6. Asegúrese de que esta nueva regla de descifrado aparezca después de la regla de no descifrado para
garantizar que el procesamiento de reglas se realice en el orden correcto, y que los sitios web de
servicios financieros y salud y medicina no se descifren.
7. Haga clic en OK (ACEPTAR) para guardar la regla de política.
STEP 3 | (Solo BrightCloud) Active búsquedas en la nube para categorizar dinámicamente una URL
cuando la categoría no está disponible en la base de datos local del cortafuegos.
1. Acceda a la CLI en el cortafuegos.
2. Especifique los siguientes comandos para habilitar el filtrado de URL dinámicas:

1. Configurar
2. set deviceconfig setting url dynamic-url yes
3. Confirmar

Con estas dos políticas de descifrado establecidas, cualquier tráfico destinado a las categorías de URL
servicios financieros o salud y medicina no se descifrará. El resto del tráfico sí se descifrará.
Ahora que tiene unos conocimientos básicos de las potentes funciones del filtrado de URL, App-ID y
User-ID, puede aplicar políticas similares a su cortafuegos para controlar cualquier aplicación de la base
de datos de firmas de App-ID de Palo Alto Networks y controlar cualquier sitio web incluido en la base
de datos de filtrado de URL.
Para obtener ayuda para solucionar problemas del filtrado de URL, consulte Solución de problemas del
filtrado de URL.

Solución de problemas del filtrado de URL
En los siguientes temas se proporcionan directrices de solución de problemas para diagnosticar y resolver
problemas comunes del filtrado de URL.
• Problemas en la activación de PAN-DB on page 690
• Problemas de conectividad con la nube de PAN-DB on page 691
• URL clasificadas como no resueltas on page 692
• Categorización incorrecta on page 692
• Base de datos de URL vencida on page 694
Problemas en la activación de PAN-DB

Utilice el siguiente flujo de trabajo para solucionar los problemas de activación de PAN-DB.
STEP 1 | Acceda a la CLI de PAN-OS.
STEP 2 | Compruebe si PAN-DB se ha activado mediante la ejecución del siguiente comando:

show system setting url-database
Si la respuesta es paloaltonetworks, PAN-DB es el proveedor activo.
STEP 3 | Compruebe si el cortafuegos tiene una licencia de PAN-DB válida mediante la ejecución del
siguiente comando:
request license info
Debería de ver la entrada de licencia Feature: PAN_DB URL Filtering. Si la licencia no está
instalada, deberá obtener e instalar una. Consulte Configuración de filtrado de URL.
STEP 4 | Tras instalar la licencia, descargue una nueva base de datos de envíos de PAN-DB mediante la
ejecución del siguiente comando:
request url-filtering download paloaltonetworks region <region>
STEP 5 | Para comprobar el estado de la descarga, ejecute el siguiente comando:

request url-filtering download status vendor paloaltonetworks
• Si el mensaje es distinto de PAN-DB download: Finished successfully (Descarga de
PAN-DB: finalizada correctamente), detenga el proceso, ya que puede haber un problema
de conexión con la nube. Intente solucionar el problema de conectividad realizando una solución
de problemas de red básica entre el cortafuegos e Internet. Para obtener más información, consulte
Problemas de conectividad con la nube de PAN-DB.
• Si el mensaje es PAN-DB download: Finished successfully (Descarga de PAN-DB:
finalizada correctamente), el cortafuegos habrá descargado correctamente la base de datos
de envíos de URL. Intente habilitar PAN-DB de nuevo mediante la ejecución del siguiente comando:
admin@PA-200> set system setting url-database paloaltonetworks

• Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.

Problemas de conectividad con la nube de PAN-DB
Para comprobar la conectividad entre el cortafuegos y la nube de PAN-DB:
show url-cloud status
Si se puede acceder a la nube, la respuesta esperada es similar a la siguiente:

PAN-DB URL Filtering
License : valid
Current cloud server : s0000.urlcloud.paloaltonetworks.com
Cloud connection : connected
URL database version - device : 2013.11.18.000
URL database version - cloud : 2013.11.18.000 ( last update time
2013/11/19
13:20:51 )
URL database status : good
URL protocol version - device : pan/0.0.2
URL protocol version - cloud : pan/0.0.2
Protocol compatibility status : compatible
Si no se puede acceder a la nube, la respuesta esperada es similar a la siguiente:

PAN-DB URL Filtering
License : valid
Cloud connection : not connected
URL database version - device : 2013.11.18.000
URL database version - cloud : 2013.11.18.000 ( last update time
2013/11/19
13:20:51 )
URL database status : good
URL protocol version - device : pan/0.0.2
URL protocol version - cloud : pan/0.0.2
Protocol compatibility status : compatible
Utilice la siguiente lista de verificación para identificar y resolver problemas de conectividad:

¿Se muestra el campo de licencia de filtrado de URL de PAN-DB como no válido? Obtenga e instale una
licencia válida de PAN-DB.
¿Se muestra el estado de la base de datos de URL como desactualizado? Descargue una nueva base de
datos de envíos ejecutando el siguiente comando:
request url-filtering download paloaltonetworks region <region>

¿Se muestra la versión del protocolo de URL como no compatible? Actualice PAN-OS a la versión más
reciente.
¿Puede enviar un ping al servidor de nube de PAN-DB desde el cortafuegos? Ejecute el siguiente
comando para comprobarlo:
ping source <ip-address> host s0000.urlcloud.paloaltonetworks.com <
Por ejemplo, si la dirección IP de su interfaz de gestión es 10.1.1.5, ejecute el siguiente comando:

ping source 10.1.1.5 host s0000.urlcloud.paloaltonetworks.com
¿Se encuentra el cortafuegos en una configuración de HA? Compruebe que el estado de HA de los
cortafuegos se encuentre en un estado activo, activo-principal o activo-secundario. El acceso a la nube
de PAN-DB se bloqueará si el cortafuegos tiene un estado diferente: Ejecute el siguiente comando en
cada cortafuegos del par para observar el estado:
show high-availability state
Si aún tiene problemas de conectividad entre el cortafuegos y la nube de PAN-DB, póngase en contacto con
el equipo de asistencia técnica de Palo Alto Networks.
URL clasificadas como no resueltas

Utilice el siguiente flujo de trabajo para solucionar problemas en los que algunas o todas las URL
identificadas por PAN-DB se clasifican como no resueltas:
STEP 1 | Compruebe la conexión con la nube de PAN-DB mediante la ejecución del siguiente comando:
En el campo de conexión con la nube se debe mostrar connected (conectado). Si no se muestra
connected (conectado), cualquier URL que no exista en la caché del plano de gestión se categoriza
como not-resolved (no resuelto). Para solucionar este problema, consulte Problemas de
conectividad con la nube de PAN-DB.
STEP 2 | Si el estado de conexión de la nube es connected (conectado), compruebe el uso actual del
cortafuegos. Si el rendimiento del cortafuegos tiene picos, puede que las solicitudes de URL
se descarten (puede que no lleguen al plano de gestión) y se categoricen como not-resolved
(no resueltas).
Para ver los recursos del sistema, ejecute el siguiente comando y vea las columnas %CPU y %MEM:
show system resources
También puede ver los recursos del sistema en el widget System Resouces (Recursos del sistema) en el
Dashboard (Panel) en la interfaz web.
STEP 3 | Si el problema persiste, póngase en contacto con el equipo de asistencia técnica de Palo Alto
Networks.
Categorización incorrecta
Es posible que, a veces, considere que algunas URL están categorizadas incorrectamente. Utilice el siguiente
flujo de trabajo para determinar la categorización de una URL para un sitio y solicitar un cambio de
categoría, de ser necesario.
STEP 1 | Compruebe la categoría en el plano de datos mediante la ejecución del siguiente comando:
show running url <URL>
Por ejemplo, para ver la categoría del sitio web de Palo Alto Networks, ejecute el siguiente comando:
show running url paloaltonetworks.com

Si la URL almacenada en la caché del plano de datos tiene la categoría correcta (información de equipo e
internet en este ejemplo), la categorización es correcta y no es necesario realizar ninguna otra acción. Si
la categoría no es correcta, vaya al paso siguiente.
STEP 2 | Compruebe la categoría en el plano de gestión mediante la ejecución del siguiente comando:
test url-info-host <URL>
Por ejemplo:
test url-info-host paloaltonetworks.com
Si la URL almacenada en la caché del plano de gestión tiene la categoría correcta, quite la URL de la
caché del plano de datos mediante la ejecución del siguiente comando:
clear url-cache url <URL>
La próxima vez que el cortafuegos solicite la categoría de esta URL, la solicitud se reenviará al plano
de gestión. Esto solucionará el problema y no será necesario realizar ninguna otra acción. Si esto no
soluciona el problema, vaya al paso siguiente para comprobar la categoría de URL en los sistemas de la
nube.
STEP 3 | Compruebe la categoría en la nube mediante la ejecución del siguiente comando:
test url-info-cloud <URL>
STEP 4 | Si la URL almacenada en la nube tiene la categoría correcta, quite la URL de las cachés del
plano de datos y el plano de gestión.
Ejecute el siguiente comando para eliminar una URL de la caché del plano de datos:
clear url-cache url <URL>
Ejecute el siguiente comando para eliminar una URL de la caché del plano de gestión:
delete url-database url <URL>
La próxima vez que el cortafuegos solicite la categoría de la URL dada, la solicitud se reenviará al plano
de gestión y, a continuación, a la nube. Esto debería solucionar el problema de búsqueda de categoría. Si
el problema persiste, consulte el paso siguiente para enviar una solicitud de cambio de categorización.
STEP 5 | Para enviar una solicitud de cambio desde la interfaz web, vaya al log de URL y seleccione la
entrada de log para la URL que desee cambiar.
STEP 6 | Haga clic en el enlace Request Categorization (Solicitar cambio de categorización) y siga
las instrucciones. Además, para solicitar un cambio de categoría en el sitio web Test A Site
(en inglés) de Palo Alto Networks, busque la URL y, a continuación, haga clic en el icono
Request Change (Solicitar cambio). Para ver una lista de todas las categorías disponibles
con descripciones para cada categoría, consulte https://urlfiltering.paloaltonetworks.com/
CategoryList.aspx.

Si la solicitud de cambio se aprueba, recibirá una notificación por correo electrónico. A continuación,
tiene dos opciones para asegurarse de que la categoría de URL se actualiza en el cortafuegos:
• Espere hasta que la URL de la caché caduque y la próxima vez que un usuario acceda a la URL, la
actualización de la nueva categorización se incluirá en la caché.
• Ejecute el siguiente comando para forzar la actualización en la caché:
request url-filtering update url <URL>
Base de datos de URL vencida

Si ha observado mediante Syslog o la CLI que PAN-DB no está actualizada, esto significa que la conexión
del cortafuegos con la nube de URL está bloqueada. Esto suele suceder cuando la base de datos de URL
del cortafuegos es demasiado antigua (la diferencia de la versión es de más de tres meses) y la nube no
puede actualizar el cortafuegos automáticamente. Para solucionar este problema, deberá volver a descargar
una base de datos de envíos inicial (esta operación no está bloqueada). El resultado será una reactivación
automática de PAN-DB.
Para actualizar la base de datos manualmente, realice uno de los pasos siguientes:
• En la interfaz web, seleccione Device (Dispositivo) > Licenses (Licencias) y en la sección PAN-DB URL
Filtering (Filtrado de URL de PAN-DB), haga clic en el enlace Re-Download (Volver a descargar).
• En la CLI, ejecute el siguiente comando:
request url-filtering download paloaltonetworks region <region_name>
La nueva descarga de la base de datos de envíos activa la purga de la caché de URL en

el plano de gestión y el plano de datos. A continuación, la caché del plano de gestión se
volverá a rellenar con el contenido de la nueva base de datos de envíos.

Calidad de servicio
La calidad de servicio (QoS) es un conjunto de tecnologías que se utilizan en una red para
garantizar su capacidad de ejecutar de manera fiable aplicaciones de alta prioridad y tráfico
bajo una capacidad de red limitada. Para lograr su cometido, las tecnologías de QoS ofrecen
gestión diferenciada y asignación de capacidad a flujos específicos del tráfico de red. Esto
permite que el administrador de red asigne el orden en que se gestiona el tráfico y la cantidad
de ancho de banda permitida para el tráfico.
La calidad de servicio (QoS) de aplicaciones de Palo Alto Networks ofrece un QoS básica
aplicada a redes y la amplía para proporcionar QoS a aplicaciones y usuarios.
Utilice los siguientes temas para obtener información sobre el QoS basado en aplicaciones de
Palo Alto Networks y configurarlo:
> Descripción general del QoS on page 697

> Conceptos de QoS on page 699
> Configuración de QoS on page 703
> Configuración de QoS para un sistema virtual on page 708
> Aplicación forzada de QoS basada en la clasificación DSCP on page 713
> Casos de uso de QoS on page 716
> Utilice la herramienta de comparación de productos de Palo Alto Networks

para ver las funciones de QoS que admite su modelo de cortafuegos.
Seleccione dos o más modelos de productos y haga clic en Compare
Now (Comparar ahora) para ver la compatibilidad de las funciones de
QoS para cada modelo (por ejemplo, puede comprobar si su modelo de
cortafuegos admite QoS en subinterfaces y, de ser así, la cantidad máxima
de subinterfaces en las que se puede habilitar QoS).
> En interfaces Ethernet agregados (AE), QoS es compatible en cortafuegos
serie PA-7000, PA-5000 y PA-3000 que se ejecutan en PAN-OS 7.0 o
versiones posteriores.
695
696 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Calidad de servicio
Descripción general del QoS
Utilice el QoS para establecer la prioridad y ajustar los aspectos de calidad del tráfico de red. Puede asignar
el orden en el que se gestionan los paquetes y adjudicar el ancho de banda, garantizando la aplicación del
tratamiento preferido y los niveles óptimos de rendimiento al tráfico, aplicaciones y usuarios seleccionados.
Las medidas de calidad de servicio sujetas a una implementación de QoS son el ancho de banda (tasa de
transferencia máxima), el rendimiento (tasa de transferencia real), la latencia (retraso) y la vibración (varianza
en latencia). La capacidad de moldear o controlar estas medidas de calidad de servicio hace que el QoS sea
de especial importancia para el ancho de banda alto, el tráfico en tiempo real como la voz sobre IP (VoIP), las
videoconferencias y el vídeo bajo demanda con una alta sensibilidad a la latencia y la vibración. Asimismo,
utilice QoS para lograr resultados como los siguientes:
• Establezca la prioridad del tráfico de red y aplicaciones, garantizando una alta prioridad para el tráfico
importante o limitando el tráfico no esencial.
• Logre un ancho de banda equivalente compartiendo diferentes subredes, clases o usuarios en una red.
• Asigne el ancho de banda externa o internamente o de ambas formas, aplicando QoS tanto al tráfico de
carga como al de descarga o solamente al tráfico de carga o al de descarga.
• Garantice una baja latencia para el tráfico generador de ingresos y de clientes en un entorno empresarial.
• Realice la generación de perfiles de tráfico de aplicaciones para garantizar el uso del ancho de banda.
La implementación de QoS en un cortafuegos de Palo Alto Networks comienza con tres componentes de
configuración principales que admiten una solución completa de QoS: un perfil de QoS, una política de QoS
y la configuración de la interfaz de salida de QoS. Cada una de estas opciones de la tarea de configuración
de QoS facilita un proceso más amplio que optimiza y establece la prioridad del flujo de tráfico y asigna y
garantiza el ancho de banda de acuerdo con los parámetros configurables.
La figura QoS Traffic Flow (Flujo de tráfico de QoS) muestra el tráfico a medida que se desplaza desde el
origen, el cortafuegos con el QoS habilitada lo moldea y, por último, recibe una prioridad y se entrega en su
destino.
Figure 8: Flujo de tráfico de QoS
Las opciones de configuración de QoS le permiten controlar el flujo de tráfico y definirlo en puntos
diferentes del flujo. La figura QoS Traffic Flow (Flujo de tráfico de QoS) indica en qué lugar las opciones
configurables definen el flujo de tráfico. Una regla de política QoS le permite definir el tráfico que desea que
reciba tratamiento QoS y asignar a ese tráfico una clase QoS. Entonces, el tráfico coincidente se modela en
función de los ajustes de la clase de perfil QoS a medida que sale de la interfaz física.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Calidad de servicio 697

Los componentes de configuración de QoS influyen unos en otros y las opciones de configuración de QoS
se pueden utilizar para crear una implementación de QoS completa y detallada, o se pueden utilizar con
moderación con un mínimo de acciones del administrador.
Cada modelo de cortafuegos admite un número máximo de puertos que se puede configurar con QoS.
Consulte la hoja de especificaciones de su modelo de cortafuegos o utilice la herramienta de comparación
de productos para ver la compatibilidad de las funciones de QoS de dos o más cortafuegos en una única
página.

Conceptos de QoS
Utilice los siguientes temas para obtener información sobre los diferentes componentes y mecanismos de
una configuración de QoS en un cortafuegos de Palo Alto Networks:
• QoS para aplicaciones y usuarios on page 699
• Política de QoS on page 699
• Perfil de QoS on page 699
• Clases de QoS on page 700
• Establecimiento de colas de prioridad de QoS on page 700
• Gestión del ancho de banda de QoS on page 701
• Interfaz de salida de QoS on page 701
• QoS para texto no cifrado y tráfico de túnel on page 702
QoS para aplicaciones y usuarios

Un cortafuegos de Palo Alto Networks proporciona un QoS básico, que controla el tráfico que sale del
cortafuegos de acuerdo con la red o la subred y amplía la capacidad del QoS para clasificar y moldear
también el tráfico de acuerdo con la aplicación y el usuario. El cortafuegos de Palo Alto Networks ofrece
esta capacidad integrando las funciones App-ID on page 575 y User-ID on page 449 con la configuración
de QoS. Las entradas de App-ID y User-ID que existen para identificar aplicaciones y usuarios específicos
de su red están disponibles en la configuración de QoS para que pueda especificar fácilmente aplicaciones y
usuarios para los cuales desea gestionar o garantizar el ancho de banda.
Política de QoS
Use una regla de políticas de QoS para definir si el tráfico recibe tratamiento QoS (ya sea preferente o de
limitación de ancho de banda) y si se le asigna a dicho tráfico una clase de servicio de QoS.
Defina una regla de políticas de QoS que coincida con el tráfico basándose en:
• Aplicaciones y grupos de aplicaciones.
• Zonas de origen, direcciones de origen y usuarios de origen.
• Zonas de destino y direcciones de destino.
• Servicios y grupos de servicios limitados a números de puertos TCP o UDP concretos.
• Categorías de URL, incluidas categorías de URL personalizadas.
• Los valores de Punto de código de servicios diferenciados (DSCP) y Tipo de servicio (ToS) se utilizan para
indicar el nivel de servicio solicitado para el tráfico, como la prioridad alta o la entrega de la mejor opción.
Configure varias reglas de políticas de QoS (Policies [Políticas] > QoS) para asociar diferentes tipos de
tráfico a diferentes Clases de QoS on page 700 de servicio.
Perfil de QoS
Utilice una regla de perfil QoS para definir valores de hasta ocho clases de QoS incluidos en esa regla de
perfil.
Con una regla de perfil QoS, puede definir el Establecimiento de colas de prioridad de QoS y la Gestión del
ancho de banda de QoS para las clases de QoS. Cada regla de perfil QoS le permite configurar el ancho de
banda y los ajustes de prioridad individuales para hasta ocho clases de QoS, además del ancho de banda
total asignado para las ocho clases combinadas. Asocie la regla de perfil QoS (o las múltiples reglas de
perfil QoS) a una interfaz física para aplicar la prioridad y los ajustes del ancho de banda definidos al tráfico
saliente de la interfaz.

Hay una regla de perfil de QoS por defecto disponible en el cortafuegos. La regla de perfil por defecto y las
clases definidas en el perfil no tienen máximo predefinido ni límites de ancho de banda garantizados.
Para definir la configuración de prioridad y ancho de banda de las clases de QoS, consulte el paso Añadir
una regla del perfil de QoS.
Clases de QoS
Una clase de QoS determina la prioridad y el ancho de banda del tráfico que coincide con una regla de la
política de QoS. Puede utilizar una regla de la política de QoS para definir las clases de QoS. Hay hasta ocho
clases de QoS definibles en un único perfil de QoS. A menos que esté configurado de otra forma, al tráfico
que no coincida con una clase de QoS se le asignará la clase 4.
El establecimiento de colas de prioridad y la gestión del ancho de banda de QoS, los mecanismos
fundamentales de una configuración de QoS, se configuran dentro de la definición de la clase de QoS
(consulte el paso Añada una regla del perfil de QoS). Para cada clase de QoS, puede establecer una prioridad
(tiempo real, alta, media y baja) y el máximo y el ancho de banda garantizado para el tráfico coincidente.
El establecimiento de colas de prioridad de QoS y la gestión del ancho de banda determinan el orden y el
modo en el que se gestiona el tráfico al entrar o al salir de una red:
Establecimiento de colas de prioridad de QoS

Se puede aplicar una de las cuatro prioridades en una clase de QoS: tiempo real, alta, media y baja. Al
tráfico que coincide con una regla de política de QoS se le asigna la clase de QoS asociada con esa regla
y el cortafuegos trata el tráfico coincidente en función de la prioridad de clase de QoS. Los paquetes del
flujo de tráfico saliente se colocan en cola según su prioridad hasta que la red esté lista para procesarlos.
El establecimiento de colas de prioridad le permite garantizar que el tráfico, las aplicaciones o los usuarios
importantes tengan prioridad. La prioridad en tiempo real suele utilizarse para aplicaciones que son
especialmente sensibles a la latencia, como las aplicaciones de voz y vídeo.

Gestión del ancho de banda de QoS
La gestión del ancho de banda de QoS le permite controlar los flujos de tráfico para que este no supere la
capacidad de la red (lo que provocaría la congestión de la red) y también le permite asignar un ancho de
banda para ciertos tipos de tráfico, aplicaciones y usuarios. Con QoS, puede aplicar un ancho de banda al
tráfico en una escala reducida o amplia. Una regla de perfil QoS le permite establecer límites de ancho de
banda para clases de QoS individuales y el ancho de banda total combinado para las ocho clases de QoS.
Como parte de los pasos para la Configuración de QoS, puede adjuntar la regla de perfil QoS a una interfaz
física para aplicar la configuración del ancho de banda en el tráfico que sale de la interfaz; la configuración
de clase de QoS individual se aplica al tráfico que coincide con esa clase de QoS (las clases de QoS se
asignan al tráfico que coincide con las reglas de la política de QoS). Además, el límite de ancho de banda
general para el perfil se puede aplicar a todo el tráfico de texto normal (tráfico de texto normal específico
que se origina en las interfaces de origen y subredes de origen), todo el tráfico de túnel y las interfaces de
túnel individuales. Puede añadir varias reglas de perfil a una sola interfaz QoS para aplicar diferentes ajustes
de ancho de banda al tráfico saliente de la interfaz.
Los siguientes campos admiten ajustes de ancho de banda de QoS:
• Egress Guaranteed (Salida garantizada): la cantidad de ancho de banda garantizado para el tráfico
coincidente. Cuando se supera el ancho de banda garantizado de salida, el cortafuegos conmuta el
tráfico en base a best-effort. El ancho de banda que está garantizado pero sin usar continúa disponible
para todo el tráfico. Según su configuración de QoS, puede garantizar un ancho de banda para una sola
clase de QoS, para todo o parte del tráfico sin cifrar, y para todo o parte del tráfico de túnel.
Ejemplo:
El tráfico de clase 1 tiene 5 Gbps de ancho de banda de salida garantizado, lo que significa que hay
5 Gbps disponibles pero no reservados para el tráfico de clase 1. Si el tráfico de clase 1 no usa o solo
usa parcialmente el ancho de banda garantizado, otras clases de tráfico podrán usar el ancho de banda
restante. Sin embargo, durante los períodos de mucho tráfico, hay 5 Gbps de ancho de banda totalmente
disponibles para el tráfico de clase 1. Durante estos períodos de congestión, cualquier tráfico de clase 1
que supere los 5 Gbps es la mejor opción.
• Egress Max (Salida máxima): la asignación de ancho de banda general para el tráfico coincidente. El
cortafuegos descarta el tráfico que excede el límite de salida máximo que haya configurado. Según su
configuración de QoS, puede establecer un límite máximo de ancho de banda para una clase QoS, para
todo o parte del tráfico de texto no cifrado, para todo o parte del tráfico de túnel, y para todo el tráfico
saliente de la interfaz QoS.
El ancho de banda garantizado acumulado para las reglas de perfil QoS asociadas a la
interfaz no debe superar el ancho de banda total asignado a la interfaz.
Para definir la configuración de ancho de banda de las clases de QoS, consulte el paso Añada una regla del
perfil de QoS. Para aplicar esa configuración de ancho de banda a tráfico de texto normal y de túnel, y para
establecer el límite de ancho de banda general para una interfaz de QoS, consulte el paso Habilite QoS en
una interfaz física.
Interfaz de salida de QoS

La habilitación de una regla de perfil de QoS en la interfaz de salida del tráfico identificado para el
tratamiento de QoS, completa la configuración de QoS. La interfaz de entrada del tráfico de QoS es la
interfaz por la que el tráfico accede al cortafuegos. La interfaz de salida del tráfico de QoS es la interfaz
por la que el tráfico abandona el cortafuegos. QoS siempre está habilitado y aplicado en la interfaz de
salida para el flujo de tráfico. La interfaz de salida de una configuración de QoS puede ser la interfaz de
orientación externa o de orientación interna del cortafuegos, dependiendo del flujo de tráfico que reciba el
tratamiento de QoS.

Por ejemplo, en una red empresarial, si está limitando el tráfico de descarga de los empleados en un sitio
web específico, la interfaz de salida de la configuración de QoS es la interfaz interna del cortafuegos, dado
que el flujo de tráfico proviene de Internet, pasa por el cortafuegos y se dirige a su red empresarial. De
manera alternativa, al limitar el tráfico de carga de los empleados en el mismo sitio web, la interfaz de salida
de la configuración de QoS es la interfaz externa del cortafuegos, dado que el tráfico que está limitando se
desplaza desde su red empresarial, pasando por el cortafuegos, hasta Internet.
Consulte el paso Identifique la interfaz de salida para las aplicaciones en las que se identificó una necesidad
de tratamiento de QoS. para obtener más información sobre cómo realizar el paso Identifique la interfaz de
salida para las aplicaciones que desea que reciban tratamiento de QoS.
QoS para texto no cifrado y tráfico de túnel

Como mínimo, la habilitación de interfaces QoS requiere que seleccione una regla de perfil QoS por defecto
que defina el ancho de banda y los ajustes de prioridad para todo el tráfico de texto no cifrado que sale de la
interfaz. Sin embargo, al configurar o modificar una interfaz QoS, se puede aplicar una configuración de QoS
detallada al tráfico saliente de texto no cifrado y de túnel. El tratamiento preferente y la limitación de ancho
de banda de QoS pueden aplicarse para el tráfico de túnel, para interfaces de túnel individuales o para el
tráfico de texto no cifrado procedente de otras interfaces y subredes de origen. En los cortafuegos de Palo
Alto Networks, el término tráfico de túnel hace referencia al tráfico de interfaz de túnel, concretamente, al
tráfico de IPSec en el modo de túnel.

Configuración de QoS
Siga estos pasos para configurar la calidad de servicio (QoS), que incluye cómo crear un perfil de QoS, crear
una política de QoS y habilitar QoS en una interfaz.
STEP 1 | Identifique el tráfico que desea gestionar con QoS.

Este ejemplo muestra cómo utilizar el QoS para limitar la exploración web.
Seleccione ACC para ver la página Application Command Center (Centro de control de aplicaciones).
Utilice los ajustes y los gráficos de la página ACC para ver tendencias y el tráfico relacionado con
aplicaciones, filtrado de URL, prevención de amenazas, filtrado de datos y coincidencias HIP.
Haga clic en cualquier nombre de aplicación para mostrar información de aplicación detallada.
STEP 2 | Identifique la interfaz de salida para las aplicaciones que desea que reciban un tratamiento de
QoS.
La interfaz de salida del tráfico depende del flujo de tráfico. Si está moldeando el tráfico
entrante, la interfaz de salida es la interfaz de orientación interna. Si está moldeando el
tráfico saliente, la interfaz de salida es la interfaz de orientación externa.
Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) para ver los logs de tráfico.
Para filtrar y mostrar únicamente los logs de una aplicación específica:
• Si se muestra una entrada para la aplicación, haga clic en el enlace subrayado de la columna
Aplicación y, a continuación, haga clic en el icono de envío.
• Si una entrada no se muestra para la aplicación, haga clic en el icono Añadir log y busque la aplicación.
La Egress I/F (Interfaz de salida) de los logs de tráfico muestra la interfaz de salida de cada aplicación.
Para mostrar la columna Interfaz de salida si no aparece de manera predeterminada:
• Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado que
incluye la interfaz de salida de la aplicación indicada en la sección Destino:

STEP 3 | Añada una regla de políticas de QoS.
Las reglas de política de QoS definen el tráfico que recibirá el tratamiento de QoS. El cortafuegos asigna
una clase de servicio QoS al tráfico que coincide con la regla de política.
1. Seleccione Policies (Políticas) > QoS y seleccione Add (Añadir) para añadir una nueva regla de
política.
2. En la pestaña General, otorgue a la regla de política de QoS un Nombre descriptivo.
3. Especifique el tráfico que recibirá tratamiento de QoS en función de los valores de Source (Origen),
Destination (Destino), Application (Aplicación), Service/URL Category (Categoría de URL/servicio) y
DSCP/ToS (los ajustes de DSCP/ToS le permiten la aplicación de QoS en función de la clasificación
de DSCP).
Por ejemplo, seleccione la pestaña Application (Aplicación), haga clic en Add (Añadir) y seleccione
web-browsing (exploración web) para aplicar la regla de QoS al tráfico de navegación web.
4. (Opcional) Proceda con la definición de parámetros adicionales. Por ejemplo, seleccione Source
(Origen) y Add (Añadir) para añadir un Source User (Usuario de origen) para proporcionar QoS para el
tráfico web de un usuario específico.
5. Seleccione Other Settings (Otros ajustes) y asigne una QoS Class (Clase de QoS) al tráfico que
coincida con la regla de política. Por ejemplo, asigne la clase 2 al tráfico web de user1:
STEP 4 | Añada una regla de perfil de QoS.

Una regla de perfil de QoS le permite definir las ocho clases de servicio que el tráfico puede recibir,
incluida la prioridad, y habilita la gestión del ancho de banda de QoS.
Puede editar cualquier perfil de QoS existente, incluido el valor predeterminado, haciendo clic en el
nombre del perfil de QoS.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > QoS Profile (Perfil QoS) y Add
(Añadir) para añadir un nuevo perfil.
2. Introduzca un Profile Name (Nombre de perfil) descriptivo.
3. Configure los límites de ancho de banda general para la regla del perfil de QoS:
• Introduzca un valor de Egress Max (Máximo de salida) para establecer la asignación del ancho de
banda total para la regla de perfil de QoS.
• Introduzca un valor de Egress Guaranteed (Salida garantizada) para establecer el ancho de banda
garantizado para el perfil de QoS.
Todo el tráfico que supere el valor de Egress Guaranteed será la mejor opción pero
no estará garantizado. El ancho de banda que está garantizado pero sin usar continúa
disponible para todo el tráfico.
4. En la sección Clases, especifique cómo tratar hasta ocho clases de QoS individuales:
1. Haga clic en Add (Añadir) para añadir una clase al perfil de QoS.
2. Seleccione la Priority (Prioridad) para la clase: tiempo real, alta, media o baja.

3. Introduzca el valor de ancho de banda Egress Max (Máximo de salida) y Egress Guaranteed (Salida
garantizada) para el tráfico asignado a cada clase de QoS.
En el siguiente ejemplo, la regla de perfil de QoS denominada Limit Web Browsing limita el tráfico de
clase 2 a un ancho de banda máximo de 50 Mbps y un ancho de banda garantizado de 2 Mbps.
STEP 5 | Habilite QoS en una interfaz física.

Parte de este paso involucra la opción de seleccionar texto sin cifrar y tráfico de túnel para el
tratamiento de QoS único.
Compruebe si el modelo de cortafuegos que está utilizando admite la habilitación de QoS

en una subinterfaz, al revisar un resumen de las especificaciones del producto.
1. Seleccione Network (Red) > QoS y Add (Añadir) para añadir una interfaz QoS.
2. Seleccione Physical Interface (Interfaz física) y elija el Interface Name (Nombre de interfaz) de la
interfaz en que desea habilitar QoS.
En el ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web (consulte el
paso 2).
3. Configure el valor de ancho de banda Egress Max (Máximo de salida) para todo el tráfico que sale de
esta interfaz.
La práctica recomendada es definir siempre el valor de Máximo de salida para una

interfaz de QoS. Asegúrese de que el ancho de banda garantizado acumulado para
las reglas de perfil QoS que se asociaron a la interfaz no supere el ancho de banda
total asignado a esta.
4. Seleccione Turn on QoS feature on this interface (Activar la función QoS en esta interfaz).
5. En la sección Default Profile (Perfil predeterminado), seleccione una regla de perfil QoS para aplicar a
todo el tráfico Clear Text (No cifrado) saliente de la interfaz física.
6. (Opcional) Seleccione una regla de perfil QoS predeterminada para aplicar a todo el tráfico de túnel
que sale de la interfaz.

Por ejemplo, habilite QoS en ethernet 1/1 y aplique el ancho de banda y los ajustes de prioridad
que definió para la regla de perfil QoS Limit Web Browsing (paso 4) que deben usarse como ajustes
predeterminados para el tráfico de salida no cifrado.
1. (Opcional) Prosiga con la definición de ajustes más detallados para proporcionar QoS para tráfico
sin cifrar y de túnel. Los ajustes configurados en la pestaña Clear Text Traffic (Tráfico no cifrado) y
en la pestaña Tunneled Traffic (Tráfico de túnel) cancelan automáticamente los ajustes de perfil por
defecto para el texto sin cifrar y el tráfico de túnel en la pestaña de interfaz física.
• Seleccione Clear Text Traffic (Tráfico no cifrado) y:
• Establezca los anchos de banda de Egress Guaranteed (Salida garantizada) y Egress Max
(Máximo de salida) para el tráfico de texto no cifrado.
• Haga clic en Add (Añadir) y aplique una regla de perfil QoS para aplicar tráfico de texto sin
cifrar basado en la interfaz de origen y la subred de origen.
• Seleccione Tunneled Traffic (Tráfico de túnel)y:
• Establezca los anchos de banda de Egress Guaranteed (Salida garantizada) y Egress Max
(Máximo de salida) para el tráfico de túnel.
• Haga clic en Add (Añadir) y asocie un perfil de QoS a una única interfaz de túnel.

STEP 7 | Verifique la configuración de QoS.

Seleccione Network (Red) > QoS y luego Statistics (Estadísticas) para ver el ancho de banda de QoS,
las sesiones activas de una clase de QoS seleccionada y las aplicaciones activas para la clase de QoS
seleccionada.
Por ejemplo, vea las estadísticas de Ethernet 1/1 con el QoS habilitada:

Tráfico de clase 2 limitado a 2 Mbps de ancho de banda garantizado y un ancho de banda máximo de 50
Mbps.
Siga haciendo clic en las pestañas para mostrar más información relativa a las aplicaciones, los usuarios
de origen, los usuarios de destino, las reglas de seguridad y las reglas de QoS.
Los límites de ancho de banda que se muestran en la ventana QoS Statistics

(Estadísticas de QoS) incluyen un factor de ajuste de hardware.

Configuración de QoS para un sistema virtual
El QoS se puede configurar para uno o varios sistemas virtuales configurados en un cortafuegos de Palo
Alto Networks. Como un sistema virtual es un cortafuegos independiente, el QoS debe configurarse
independientemente para un único sistema virtual.
La configuración de QoS para un sistema virtual es similar a configurar QoS en un cortafuegos físico, con la
excepción de que configurar QoS para un sistema virtual requiere la especificación del origen y destino del
tráfico. Dado que existe un sistema virtual sin límites físicos fijos y que el tráfico en un entorno virtual se
extiende a más de un sistema virtual, es necesario especificar las zonas e interfaces de origen y destino para
controlar y moldear el tráfico para un único sistema virtual.
El ejemplo siguiente muestra dos sistemas virtuales configurados en un cortafuegos. VSYS 1 (púrpura)
y VSYS 2 (rojo) han configurado QoS para establecer la prioridad o limitar dos flujos de tráfico distintos,
indicados por sus correspondientes líneas púrpura (VSYS 1) y roja (VSYS 2). Los nodos de QoS indican los
puntos en los que el tráfico se asocia a una política QoS y se asigna a una clase de servicio QoS, y después
indican el punto en el que el tráfico se moldea conforme abandona el cortafuegos
Consulte Sistemas virtuales para obtener información sobre los sistemas virtuales y cómo configurarlos.
STEP 1 | Confirme que las interfaces, los enrutadores virtuales y las zonas de seguridad adecuados están
asociados a cada sistema virtual.
• Para ver interfaces configuradas, seleccione Network (Red) > Interface (Interfaz).
• Para ver zonas configuradas, seleccione Network (Red) > Zones (Zonas)
• Para ver nformación sobre enrutadores virtuales definidos, seleccione Network (Red) > Virtual
Routers (Enrutadores virtuales).
STEP 2 | Identifique el tráfico al que aplicar el QoS.

Seleccione ACC para ver la página Application Command Center (Centro de control de aplicaciones).
Utilice los ajustes y los gráficos de la página ACC para ver tendencias y el tráfico relacionado con
aplicaciones, filtrado de URL, prevención de amenazas, filtrado de datos y coincidencias HIP.
Para ver información de un sistema virtual específico, seleccione el sistema virtual en el menú
desplegable Sistema virtual:
Haga clic en cualquier nombre de aplicación para mostrar información de aplicación detallada.
STEP 3 | Identifique la interfaz de salida para las aplicaciones que identifique que necesitan un
tratamiento de QoS.
En un entorno de sistema virtual, el QoS se aplica al tráfico del punto de salida del tráfico en el sistema
virtual. Dependiendo de la configuración de la política de QoS para un sistema virtual, el punto de salida
del tráfico de QoS podría asociarse a una interfaz física o podría ser una zona.
Este ejemplo muestra cómo limitar el tráfico de exploración web en VSYS 1.
Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) para ver logs de tráfico. Cada entrada tiene la
opción de mostrar columnas con información necesaria para configurar QoS en un entorno de sistema
virtual:
• Sistema virtual
• Interfaz de salida
• Interfaz de entrada
• zona de origen
• zona de destino
Para mostrar una columna si no aparece de manera predeterminada:
• Haga clic en cualquier encabezado de columna para añadir una columna al log:
• Haga clic en el icono de catalejo a la izquierda de cualquier entrada para mostrar un log detallado
que incluye la interfaz de salida de la aplicación, así como zonas de origen y destino, en las secciones
Origen y Destino:

Por ejemplo, para el tráfico de exploración web desde VSYS 1, la interfaz de entrada es Ethernet 1/2, la
interfaz de salida es Ethernet 1/1, la zona de origen es fiable y la zona de destino es no fiable.
STEP 4 | Cree un perfil de QoS.

Puede editar cualquier perfil de QoS existente, incluido el valor predeterminado, haciendo clic en el
nombre del perfil.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > QoS Profile (Perfil de QoS) y haga
clic en Add (Añadir) para abrir el cuadro de diálogo QoS Profile (Perfil de QoS).
2. Introduzca un Nombre de perfil descriptivo.
3. Introduzca un Máximo de salida para establecer la asignación del ancho de banda total para el perfil
de QoS.
4. Introduzca una Egress Guaranteed (Salida garantizada) para establecer el ancho de banda garantizado
para el perfil de QoS.
Todo el tráfico que supere el límite garantizado de salida del perfil de QoS será la
mejor opción pero no estará garantizado.
5. En la sección Clases del Perfil de QoS, especifique cómo tratar hasta ocho clases de QoS individuales:
1. Haga clic en Añadir para añadir una clase al perfil de QoS.
2. Seleccione la Prioridad de la clase.
3. Introduzca un Máximo de salida para la clase para establecer el límite de ancho de banda total
para esa clase individual.
4. Introduzca una Salida garantizada para la clase para establecer el ancho de banda garantizado para
esa clase individual.
6. Haga clic en ACEPTAR para guardar el perfil de QoS.
STEP 5 | Cree una política de QoS.

En un entorno con varios sistemas virtuales, el tráfico abarca más de un sistema virtual. Por este motivo,
al habilitar QoS para un sistema virtual, debe definir que el tráfico reciba tratamiento QoS basado en
zonas de origen y destino. De este modo se garantiza que el tráfico se prioriza y moldea solo para ese
sistema virtual (y no para otros sistemas virtuales a través de los que puede fluir el tráfico).
1. Seleccione Policies (Políticas) > QoS y Add (Añadir) para añadir una regla de política QoS.
2. Seleccione General y asígnele un nombre descriptivo a la regla de política QoS en Name (Nombre).
3. Especifique el tráfico al que se aplicará la regla de política de QoS. Utilice las pestañas Origen,
Destino, Aplicación y Categoría de URL/servicio para definir los parámetros de coincidencia para
identificar el tráfico.
Por ejemplo, seleccione Application, haga clic en Add y seleccione la exploración web para aplicar la
regla de política de QoS a esa aplicación:

4. Seleccione Source (Origen) y Add (Añadir) para añadir la zona de origen del tráfico de exploración
web de vsys 1.
5. Seleccione Destination y Add para seleccionar la zona de destino del tráfico de exploración web de
vsys 1.
6. Seleccione Other Settings y seleccione una QoS Class para asignarla a la regla de política de QoS. Por
ejemplo, asigne la clase 2 al tráfico de exploración web de VSYS 1:
7. Haga clic en ACEPTAR para guardar la regla de política de QoS.
STEP 6 | Habilite el perfil de QoS en una interfaz física.
La práctica recomendada es definir siempre el valor de Máximo de salida para una

interfaz de QoS.
1. Seleccione Network (Red) > QoS y haga clic en Add (Añadir) para abrir el cuadro de diálogo QoS
Interface (Interfaz de QoS).
2. Habilite QoS en la interfaz física:
1. En la pestaña Interfaz física, seleccione el Nombre de interfaz de la interfaz a la que se aplicará el
perfil de QoS.
En este ejemplo, Ethernet 1/1 es la interfaz de salida para el tráfico de exploración web de vsys 1
(consulte el paso 2).

2. Seleccione Activar la función QoS en esta interfaz.
3. En la pestaña Interfaz física, seleccione el perfil de QoS predeterminado que debe aplicarse a todo el
tráfico de tipo Tráfico en claro.
(Opcional) Utilice el campo Interfaz de túnel para aplicar un perfil de QoS predeterminado a todo el
tráfico de túnel.
4. (Opcional) En la pestaña Tráfico en claro, configure ajustes de QoS adicionales para el tráfico de texto
claro:
• Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de texto
claro.
• Haga clic en Añadir para aplicar un perfil de QoS al tráfico de texto claro seleccionado,
seleccionando el tráfico para el tratamiento de QoS de acuerdo con la interfaz de origen y la
subred de origen (creando un nodo de QoS).
5. (Opcional) En la pestaña Tráfico de túnel, configure ajustes de QoS adicionales para interfaces de
túnel:
• Establezca los anchos de banda de Salida garantizada y Máximo de salida para el tráfico de túnel.
• Haga clic en Añadir para asociar una interfaz de túnel seleccionada a un perfil de QoS.
STEP 7 | Verifique la configuración de QoS.

• Seleccione Network (Red) > QoS para visualizar la página de políticas de QoS. La página Políticas
de QoS verifica que QoS está habilitada e incluye el enlace Estadísticas. Haga clic en el enlace
Estadísticas para ver el ancho de banda de QoS, las sesiones activas de un nodo o una clase de QoS
que haya seleccionado y las aplicaciones activas del nodo o la clase de QoS que haya seleccionado.
• En un entorno de vsys múltiple, las sesiones no pueden abarcar varios sistemas. Se crean varias
sesiones para un flujo de tráfico si el tráfico pasa por más de un sistema virtual. Para examinar las
sesiones que se ejecuten en el cortafuegos y ver las reglas de QoS y las clases de QoS aplicadas,
seleccione Monitor (Supervisar) > Session Browser (Navegador de sesión)

Aplicación forzada de QoS basada en la
clasificación DSCP
Un punto de código de servicios diferenciado (Differentiated Services Code Point, DSCP) es un valor de
encabezado que puede usarse para solicitar (por ejemplo) entrega de alta prioridad o la mejor opción de
entrega para el tráfico. La clasificación de DSCP basada en la sesión le permite respetar los valores de DSCP
para el tráfico entrante y marcar una sesión con un valor DSCP a medida que el tráfico de sesión sale del
cortafuegos. Esto permite que todo el tráfico entrante y saliente de una sesión pueda recibir tratamiento
QoS/DSCP continuado a medida que atraviesa su red. Por ejemplo, ahora el tráfico entrante de retorno
procedente de un servidor externo se puede tratar con la misma prioridad QoS que aplicó el cortafuegos
inicialmente para el flujo de salida en función del valor DSCP que el cortafuegos detectó al comienzo de la
sesión. Los dispositivos de red entre el cortafuegos y el usuario final también aplicarán la misma prioridad
para el tráfico de retorno (y cualquier otro tráfico entrante y saliente para la sesión).
Los diferentes tipos de marcas de DSCP indican diferentes niveles de servicio:
Al completar este paso, el cortafuegos puede marcar el tráfico con el mismo valor DSCP que se detectó al
inicio de una sesión (en este ejemplo, el cortafuegos marcaría el tráfico de retorno con el valor DSCP AF11).
Mientras que la configuración de QoS le permite moldear el tráfico conforme abandona el cortafuegos,
habilitar esta opción en una regla de seguridad permite a los otros dispositivos de red intermedios entre el
cortafuegos y el cliente seguir aplicando la prioridad para el tráfico marcado con DSCP.
• Expedited Forwarding (EF) (Reenvío rápido): Se puede usar para solicitar pérdida baja, latencia baja y
ancho de banda garantizado para el tráfico. Los paquetes con valores de puntos de código EF suelen
tener garantizado el envío de máxima prioridad.
• Assured Forwarding (AF) (Reenvío garantizado): Se puede usar para ofrecer envíos fiables a las
aplicaciones. Los paquetes con puntos de código AF indican una solicitud para que el tráfico reciba el
tratamiento de mayor prioridad que ofrezca la mejor opción de servicio (a través de paquetes con un
punto de código EF seguirá teniendo prioridad sobre aquellos con un punto de código AF).
• Class Selector (CS) (Selector de clase): Se puede usar para ofrecer compatibilidad con dispositivos de red
más antiguos que usan el campo Prioridad de IP para marcar el tráfico prioritario.
• IP Precedence (ToS) (Precedencia de IP): Los dispositivos de red antiguos pueden usarla para marcar
el tráfico prioritario (el campo de encabezado Prioridad de IP se usaba para indicar la prioridad para un
paquete antes de la introducción de la clasificación DSCP).
• Custom Codepoint (Punto de código personalizado): Cree un punto de código personalizado para buscar
coincidencias con el tráfico al introducir un Codepoint Name (Nombre de punto de código) y un Binary
Value (Valor binario).
Por ejemplo, seleccione Assured Forwarding (AF) (Reenvío garantizado) para asegurarse de que el
tráfico marcado con un valor de punto de código AF tiene mayor prioridad de entrega fiable a través de
aplicaciones marcadas para recibir menor prioridad. Siga los siguientes pasos para habilitar la clasificación de
DSCP basada en la sesión. En primer lugar, configure QoS basada en el marcado DSCP detectado al inicio
de una sesión. Después, habilite el cortafuegos para marcar el flujo de retorno para una sesión con el mismo
valor DSCP usado para aplicar QoS para el flujo de salida inicial.
STEP 1 | Realice los pasos preliminares para configurar QoS.
STEP 2 | Defina el tráfico que debe recibir tratamiento QoS en función del valor de DSCP.
1. Seleccione Policies (Políticas) > QoS y Add (Añadir) para añadir o modificar una regla QoS existente,
y rellene los campos obligatorios.

2. Seleccione DSCP/ToS y seleccione Codepoints (Puntos de código).
3. Seleccione Add (Añadir) para añadir puntos de código DSCP/ToS para los que desea aplicar QoS.
4. Seleccione el Type (Tipo) de marca DSCP/ToS para la regla QoS que coincidirá con el tráfico:
Se recomienda usar un único tipo de DSCP para gestionar y priorizar su tráfico de

red.
5. Asigne la política de QoS al tráfico en una escala más detallada al especificar el valor de Codepoint
(Punto de código). Por ejemplo, con reenvío garantizado (Assured Forwarding, AF) seleccionado
como el Type (Tipo) de valor DSCP para coincidir con la política, especifique además un valor de
Codepoint (Punto de código) AF, como por ejemplo, AF11.
Si reenvío rápido (Expedited Forwarding, EF) está seleccionado como el Type (Tipo)
de marca DSCP, no se puede especificar un valor de Codepoint (Punto de código)
detallado. La política de QoS coincidirá con el tráfico marcado con cualquier valor de
punto de código EF.
6. Seleccione Other Settings (Otros ajustes) y asigne una QoS Class (Clase de QoS) al tráfico que
coincida con la regla de QoS. En este ejemplo, asigne la clase 1 a las sesiones en las que se detecte la
marca DSCP de AF11 para el primer paquete de la sesión.
7. Haga clic en OK (Aceptar) para guardar la regla de QoS.
STEP 3 | Defina la prioridad de QoS para la recepción del tráfico cuando coincida con una regla de QoS
basada en el marcado de DSCP detectado al inicio de una sesión.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > QoS Profile (Perfil QoS) y
luego haga clic en Add (Añadir) para añadir o modifique un perfil de QoS existente. Para obtener
información sobre opciones de perfiles para establecer la prioridad y el ancho de banda del tráfico,
consulte Conceptos de QoS y Configuración de QoS.
2. Seleccione Add (Añadir) para añadir o modificar una clase de perfil. Por ejemplo, dado que el paso 2
mostraba pasos para clasificar el tráfico AF11 como tráfico de clase 1, podría añadir o modificar una
entrada de class1.
3. Seleccione una Priority (Prioridad) para la clase de tráfico, como por ejemplo, high (alta).
4. Haga clic en OK (Aceptar) para guardar el perfil de QoS.
STEP 4 | Habilite el QoS en una interfaz.

Seleccione Network (Red) > QoS y Add (Añadir) para añadir o modifique una interfaz existente y luego
seleccione Turn on QoS feature on this interface (Activar la función QoS en esta interfaz).
En este ejemplo, el tráfico con un marcado AF11 DSCP se hace coincidir con la regla QoS y se asigna a la
clase 1. El perfil de QoS habilitado en la interfaz aplica el tratamiento de alta prioridad para el tráfico de
clase 1 a medida que sale del cortafuegos (el tráfico saliente de la sesión).
STEP 5 | Habilite el marcado DSCP.

Marque el tráfico de retorno con un valor DSCP, lo que permite que se marque el flujo entrante de una
sesión con el mismo valor DSCP detectado para el flujo saliente.
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir o modificar una
2. Seleccione Actions (Acciones) y en el menú desplegable QoS Marking (Marca QoS) elija Follow-
Client-to-Server-Flow (Seguir flujo de cliente a servidor).
Al completar este paso, el cortafuegos puede marcar el tráfico con el mismo valor DSCP que se detectó
al inicio de una sesión (en este ejemplo, el cortafuegos marcaría el tráfico de retorno con el valor DSCP
AF11). Mientras que la configuración de QoS le permite moldear el tráfico conforme abandona el

cortafuegos, habilitar esta opción en una regla de seguridad permite a los otros dispositivos de red
intermedios entre el cortafuegos y el cliente seguir aplicando la prioridad para el tráfico marcado con
DSCP.
STEP 6 | Confirme la configuración.

Haga clic en Commit (Confirmar) para compilar los cambios.

Casos de uso de QoS
Los siguientes casos de uso demuestran cómo utilizar QoS en situaciones habituales:
• Caso de uso: QoS para un único usuario on page 716
• Caso de uso: QoS para aplicaciones de voz y vídeo on page 718
Caso de uso: QoS para un único usuario

Una directora ejecutiva observa que durante los periodos en los que la red se utiliza mucho, no puede
acceder a aplicaciones empresariales para responder de manera eficaz a comunicaciones empresariales
clave. El administrador de TI quiere asegurarse de que todo el tráfico hacia y desde la directora ejecutiva
recibe un tratamiento preferente frente al tráfico de otros empleados, de manera que tenga garantizado, no
solamente el acceso, sino un alto rendimiento de los recursos de red clave.
STEP 1 | El administrador crea el perfil de QoS CEO_traffic para definir el modo en que el tráfico
originado en la directora ejecutiva se tratará y moldeará a medida que salga de la red
empresarial:
El administrador asigna un ancho de banda garantizado (Egress Guaranteed [Salida garantizada]) de 50

Mbps para garantizar que la directora ejecutiva disponga de esa cantidad de ancho de banda garantizado
en todo momento (más de lo que necesitaría utilizar), independientemente de la congestión de la red.
El administrador sigue designando el tráfico de clase 1 como alta prioridad y establece el uso del ancho
de banda máximo del perfil (Egress Max [Máximo de salida]) como 1000 Mbps, el mismo ancho de
banda máximo para la interfaz en el que el administrador habilitará QoS. El administrador ha decidido no
restringir el uso del ancho de banda de la directora ejecutiva de ningún modo.
La práctica recomendada es cumplimentar el campo Egress Max [Máximo de salida] para

un perfil de QoS, aunque el ancho de banda máximo del perfil coincida con el ancho de
banda máximo de la interfaz. El ancho de banda máximo del perfil de QoS nunca debería
superar el ancho de banda máximo de la interfaz en la que tenga la intención de habilitar
QoS.
STEP 2 | El administrador crea una política de QoS para identificar el tráfico de la directora ejecutiva
(Policies [Políticas] > QoS) y asignarle la clase que definió en el perfil de QoS (consulte el
paso anterior). Como se ha configurado User-ID, el administrador utiliza la pestaña Source
(Origen)de la política de QoS para identificar de manera exclusiva el tráfico de la directora
ejecutiva por su nombre de usuario de red empresarial. (Si no se ha configurado User-ID, el
administrador podría Add (Añadir) la dirección IP de la directora ejecutiva bajo Source Address
(Dirección de origen). Consulte User-ID):

El administrador asocia el tráfico de la directora ejecutiva a la clase 1 (pestaña Other Settings [Otros
ajustes]) y, a continuación, sigue cumplimentando los campos obligatorios restantes de la política; el
administrador otorga a la política un Name (Nombre) descriptivo (pestaña General) y selecciona Any
(Cualquiera) para la Source Zone (Zona de origen) (pestaña Source (Origen)) y Destination Zone (Zona
de destino) (pestaña Destination (Destino)):
STEP 3 | Ahora que la clase 1 está asociada al tráfico de la directora ejecutiva, el administrador
habilita QoS seleccionando Dirección de origen (Activar la función QoS en esta interfaz)y
seleccionando la interfaz de salida del flujo de tráfico. La interfaz de salida del flujo de tráfico
de la directora ejecutiva es la interfaz de orientación externa, en este caso, Ethernet 1/2:
Como el administrador quiere asegurarse de que todo el tráfico originado en la directora ejecutiva está
garantizado por el perfil de QoS y la política de QoS asociada que creó, selecciona CEO_traffic para
aplicarlo al tráfico de tipo Clear Text (No cifrado) que se desplaza desde Ethernet 1/2.
STEP 4 | Después de confirmar la configuración de QoS, el administrador se desplaza a la página

Network (Red) > QoS para confirmar que el perfil de QoS CEO_traffic está habilitado en la
interfaz de orientación externa, Ethernet 1/2:

STEP 5 | Hace clic en Statistics (Estadísticas) para ver cómo se está moldeando el tráfico originado en la
directora ejecutiva (clase 1) a medida que se desplaza desde Ethernet 1/2:
Este caso demuestra cómo aplicar QoS a tráfico originado en un único usuario de origen.
Sin embargo, si también quisiera garantizar o moldear el tráfico para un usuario de
destino, podría realizar una configuración de QoS similar. En lugar o además de este
flujo de trabajo, cree una política de QoS que especifique la dirección IP del usuario
como la Destination Address (Dirección de destino) en la página Policies (Políticas) >
QoS (en lugar de especificar la información de origen del usuario) y, a continuación,
habilite QoS en la interfaz de orientación interna de la red en la página Network (Red) >
QoS (en lugar de la interfaz de orientación externa).
Caso de uso: QoS para aplicaciones de voz y vídeo

El tráfico de voz y vídeo es especialmente sensible a las mediciones que la función QoS moldea y controla,
especialmente la latencia y la vibración. Para que las transmisiones de voz y vídeo sean audibles y claras, los
paquetes de voz y vídeo no se pueden descartar, retrasar ni entregar de manera inconsistente. La práctica
recomendada para aplicaciones de voz y vídeo, además de garantizar el ancho de banda, es garantizar la
prioridad del tráfico de voz y vídeo.
En este ejemplo, los empleados de una sucursal de la empresa están teniendo dificultades y experimentan
una falta de fiabilidad al utilizar tecnologías de videoconferencia y voz sobre IP (VoIP) para realizar
comunicaciones empresariales con otras sucursales, socios y clientes. Un administrador de TI tiene la
intención de implementar QoS para solucionar estos problemas y garantizar una comunicación empresarial
eficaz y fiable para los empleados de la sucursal. Como el administrador quiere garantizar QoS para el tráfico
de red tanto entrante como saliente, habilitará QoS tanto en la interfaz de orientación interna como en la de
orientación externa del cortafuegos.
STEP 1 | El administrador crea un perfil de QoS y define la clase 2 de forma que el tráfico asociado a la
clase 2 reciba una prioridad en tiempo real y, en una interfaz con un ancho de banda máximo
de 1000 Mbps, en todo momento, se garantizará un ancho de banda de 250 Mbps, incluyendo
los períodos en los que más se utilice la red.
La prioridad en tiempo real suele recomendarse para las aplicaciones afectadas por la latencia y es de
especial utilidad a la hora de garantizar el rendimiento y la calidad de aplicaciones de voz y vídeo.

En la interfaz web del cortafuegos, el administrador selecciona Network (Red) > Network Profiles
(Perfiles de red) > Qos Profile (Perfil Qos), hace clic en Add (Añadir), introduce el Profile Name (Nombre
del perfil) ensure voip-video traffic y define el tráfico de clase 2.
STEP 2 | El administrador crea una política de QoS para identificar el tráfico de voz y vídeo. Como la
empresa no tiene una aplicación de voz y vídeo estándar, el administrador quiere asegurarse
de que el QoS se aplica en un par de aplicaciones utilizadas ampliamente y con frecuencia por
los empleados para comunicarse con otras oficinas, socios y clientes. En la pestaña Policies
(Políticas) > QoS > QoS Policy Rule (Regla de política de QoS) > Applications (Aplicaciones),
el administrador hace clic en Add (Añadir) y abre la ventana Application Filter (Filtro de
aplicación). El administrador sigue seleccionando criterios para filtrar las aplicaciones en
las que quiere aplicar el QoS, seleccionando la Subcategoría voip-video y restringiéndola al
especificar únicamente aplicaciones de VoIP y vídeo que tengan un riesgo bajo y que se utilicen
ampliamente.
El filtro de aplicación es una herramienta dinámica que, cuando se utiliza para filtrar aplicaciones en la
política de QoS, permite aplicar QoS en todas las aplicaciones que cumplan los criterios de VoIP y vídeo,
riesgo bajo y ampliamente utilizado en cualquier momento.
El administrador asigna al Application Filter (Filtro de aplicación) el nombre voip-video-low-risk y lo

incluye en la política de QoS:

El administrador nombra la política de QoS comoVoice-Video y selecciona Other Settings para asignar el
tráfico que coincide con la política de clase 2. Va a utilizar la política de QoS Voice-Video para el tráfico
de QoS tanto entrante como saliente, así que establece la información de Source (Origen) y Destination
(Destino) en Any (Cualquiera):
STEP 3 | Como el administrador quiere garantizar el QoS para comunicaciones de voz y vídeo tanto
entrantes como salientes, habilita QoS en la interfaz de orientación externa de la red (para
aplicar QoS a comunicaciones salientes) y en la interfaz de orientación interna (para aplicar QoS
a comunicaciones entrantes).
El administrador empieza habilitando el perfil de QoS que creó, garantiza el tráfico de voz-vídeo (la clase
2 en este perfil está asociada con la política, voz-vídeo) en la interfaz de orientación externa, en este
caso, Ethernet 1/2.
A continuación, habilita el mismo perfil de QoS, ensure voip-video traffic en una segunda interfaz, la
interfaz de orientación interna (en este caso, Ethernet 1/1).

STEP 4 | El administrador selecciona Network (Red) > QoS para confirmar que el QoS se ha habilitado
tanto para el tráfico de voz y vídeo entrante como para el saliente:
El administrador ha habilitado el QoS correctamente tanto en la interfaz de orientación interna de la

red como en la externa. Ahora se garantiza la prioridad en tiempo real para el tráfico de aplicaciones
de voz y vídeo a medida que se desplaza hacia adentro y hacia afuera de la red, garantizando que estas
comunicaciones, que son especialmente sensibles a la latencia y la vibración, puedan utilizarse de manera
fiable y eficaz para realizar comunicaciones empresariales tanto internas como externas.

VPN
Las redes privadas virtuales (VPN) crean túneles que permiten que los usuarios o sistemas
se conecten de manera segura a través de una red pública como si se estuvieran conectando
a través de una red de área local (LAN). Para configurar un túnel VPN, hacen falta dos
dispositivos que puedan autenticarse mutuamente y cifrar el flujo de información entre ellos.
Los dispositivos pueden ser una pareja de cortafuegos de Palo Alto Networks, o bien un
cortafuegos de Palo Alto Networks y un dispositivo de otro proveedor con capacidad para
VPN.
> Implementaciones de VPN on page 725

> Descripción general de VPN de sitio a sitio on page 726
> Conceptos de VPN de sitio a sitio on page 727
> Configuración de VPN de sitio a sitio on page 734
> Configuraciones rápidas de VPN de sitio a sitio on page 750
723
724 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN
Implementaciones de VPN
El cortafuegos de Palo Alto Networks admite las siguientes implementaciones de VPN:
• VPN de sitio a sitio: Una VPN sencilla que se conecta a un sitio central y a un sitio remoto, o bien una
VPN hub and spoke que se conecta a un sitio central con múltiples sitios remotos. El cortafuegos usa
el conjunto de protocolos de Seguridad IP (IPSec) para configurar un túnel seguro entre los dos sitios.
Consulte Descripción general de VPN de sitio a sitio.
• VPN de usuario remoto a sitio: Una solución que usa el agente GlobalProtect para permitir a un usuario
remoto establecer una conexión segura a través del cortafuegos. Esta solución usa SSL e IPSec para
establecer una conexión segura entre el usuario y el sitio. Consulte la GlobalProtect Administrator’s
Guide (Guía del administrador de GlobalProtect).
• VPN a gran escala: La VPN a gran escala de GlobalProtect de Palo Alto Networks (LSVPN) ofrece un
mecanismo simplificado para implementar una VPN hub and spoke con un máximo de 1.024 oficinas
satélite. Esta solución requiere que haya cortafuegos de Palo Alto Networks implementados en el
concentrador y en todos los radios. Usa certificados para la autenticación de dispositivos, SSL para la
protección entre todos los componentes e IPSec para proteger los datos. Consulte Large Scale VPN
(LSVPN) (VPN a gran escala (LSVPN)).
Figure 9: Implementaciones de VPN
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN 725

Descripción general de VPN de sitio a sitio
Una conexión VPN que permita conectar dos redes de área local (LAN) se llama VPN de sitio a sitio. Puede
configurar VPN basadas en rutas para conectar cortafuegos de Palo Alto Networks en dos ubicaciones,
o bien conectar cortafuegos de Palo Alto Networks a dispositivos de seguridad de terceros en otras
ubicaciones. El cortafuegos también puede interoperar con dispositivos VPN basados en políticas de
terceros; el cortafuegos de Palo Alto Networks es compatible con VPN basado en rutas.
El cortafuegos de Palo Alto Networks configura una VPN basada en rutas, donde el cortafuegos toma una
decisión de enrutamiento basada en la dirección IP de destino. Si el tráfico se enruta a un destino específico
a través de un túnel de VPN, se cifrará como tráfico VPN.
El conjunto de protocolos de seguridad IP (IPSec) se utiliza para configurar un túnel seguro para el tráfico
VPN. Asimismo, la información de los paquetes de TCP/IP está protegida (y cifrada si el tipo de túnel es
ESP). El paquete IP (encabezado y carga) está incrustado en otra carga de IP, se aplica un nuevo encabezado
y se envía a través del túnel IPSec. La dirección IP de origen en el nuevo encabezado es la del peer VPN
local y la dirección IP de destino es la del peer VPN del otro extremo del túnel. Cuando el paquete llega al
peer VPN remoto (el cortafuegos en el otro extremo del túnel), el encabezado exterior se elimina y se envía
el paquete original a su destino.
Para configurar el túnel VPN, primero deben autenticarse los peers. Tras autenticarse correctamente, los
peers negocian los algoritmos y el mecanismo de cifrado para proteger la comunicación. El proceso de
Intercambio de claves por red (IKE) se usa para autenticar a los peers VPN, y las asociaciones de seguridad
(SA) IPSec se definen en cada extremo del túnel para proteger la comunicación VPN. IKE usa certificados
digitales o claves previamente compartidas, así como las claves Diffie Hellman, para configurar las SA para
el túnel IPSec. Las SA especifican todos los parámetros necesarios para un cifrado de transmisión seguro
(incluyendo el índice de parámetros de seguridad (SPI), el protocolo de seguridad, claves criptográficas y la
dirección IP de destino IP), autenticación de datos, integridad de datos y autenticación de extremo.
La siguiente ilustración muestra un túnel de VPN entre dos sitios. Cuando un cliente que está protegido por
el peer A de la VPN necesita contenido de un servidor ubicado en el otro sitio, el peer A de la VPN inicia
una solicitud de conexión al peer B de la VPN. Si la política de seguridad permite la conexión, el peer A de
la VPN usa los parámetros del perfil criptográfico IKE (IKE de fase 1) para establecer una conexión segura y
autenticar al peer B de la VPN. A continuación, el peer A de la VPN establece el túnel VPN usando el perfil
criptográfico IPSec, que define los parámetros del IKE de fase 2 para permitir la transferencia segura de
datos entre los dos sitios.
Figure 10: VPN de sitio a sitio

Conceptos de VPN de sitio a sitio
Una conexión VPN ofrece acceso seguro a la información entre dos o más sitios. Para proporcionar acceso
seguro a los recursos y una conectividad fiable, una conexión VPN necesita los siguientes componentes:
• Puerta de enlace de IKE on page 727
• Interfaz de túnel on page 727
• Monitorización de túnel on page 728
• Intercambio de claves por red (IKE) para VPN on page 728
• IKEv2 on page 731
Puerta de enlace de IKE

Los cortafuegos Palo Alto Networks o un cortafuegos y otro dispositivo de seguridad que inicien y terminen
conexiones VPN entre dos redes se llaman gateways IKE. Para configurar el túnel VPN y enviar tráfico entre
los gateways IKE, cada peer debe tener una dirección IP (estática o dinámica) o FQDN. Los peers VPN usan
claves previamente compartidas o certificados para autenticarse mutuamente.
Los peers también deben negociar el modo (principal o agresivo) para configurar la duración del túnel
VPN y la SA en IKE de fase 1. El modo principal protege la identidad de los peers y es más seguro porque
se intercambian más paquetes al configurar el túnel. Si ambos peers lo admiten, el modo principal es el
recomendado para la negociación IKE. El modo agresivo usa menos paquetes para configurar el túnel VPN,
por lo que es una opción más rápida, aunque menos segura, de configurar el túnel VPN.
Consulte Configuración de una puerta de enlace IKE on page 734 para obtener información detallada
sobre la configuración.
Interfaz de túnel
Para configurar un túnel VPN, la interfaz de capa 3 en cada extremo debe tener una interfaz de túnel lógica
para que el cortafuegos se conecte y establezca un túnel VPN. Una interfaz de túnel es una interfaz (virtual)
lógica que se usa para enviar tráfico entre dos extremos. Si configura ID proxy, la ID proxy se considera en
la capacidad total del túnel IPSec.
La interfaz de túnel debe pertenecer a una zona de seguridad para aplicar una política; asimismo, debe estar
asignada a un enrutador virtual para usar la infraestructura de enrutamiento existente. Compruebe que la
interfaz de túnel y la interfaz física estén asignadas al mismo enrutador virtual, de modo que el cortafuegos
pueda realizar una búsqueda de rutas y determinar el mejor túnel que puede usar.
Normalmente, la interfaz de capa 3 a la que está vinculada la interfaz de túnel pertenece a una zona externa,
por ejemplo, la zona no fiable. Aunque la interfaz de túnel puede estar en la misma zona de seguridad que
la interfaz física, puede crear una zona separada para la interfaz de túnel con el fin de lograr una mayor
seguridad y mejor visibilidad. Si crea una zona separada para la interfaz de túnel (p. ej., una zona VPN),
necesitará crear políticas de seguridad que habiliten el flujo del tráfico entre la zona VPN y la zona fiable.
Para enrutar tráfico entre los sitios, una interfaz de túnel no necesita una dirección IP. Solo es necesaria
una dirección IP si quiere habilitar la supervisión de túneles o si está usando un protocolo de enrutamiento
dinámico para enrutar tráfico a través del túnel. Con enrutamiento dinámico, la dirección IP del túnel
funciona como dirección IP de próximo salto para el enrutamiento de tráfico al túnel VPN.
Si está configurando el cortafuegos Palo Alto Networks con un peer VPN que utiliza una VPN basada
en políticas, debe configurar un ID de proxy local y remoto cuando configure el túnel IPSec. Cada peer
compara los ID de proxy que tiene configurados con lo que se recibe realmente en el paquete para permitir
una negociación IKE de fase 2 correcta. Si se requieren varios túneles, configure ID de proxy exclusivos para
cada interfaz de túnel; una interfaz de túnel puede tener un máximo de 250 ID de proxy. Cada ID de proxy

se tendrá en cuenta a la hora de calcular la capacidad del túnel VPN IPSec del cortafuegos, y la capacidad
del túnel varía en función del modelo de cortafuegos.
Consulte Configuración de un túnel IPSec on page 742 para obtener información detallada sobre la
configuración.
Monitorización de túnel
Para un túnel VPN, puede comprobar la conectividad con una dirección IP de destino a través del túnel. El
perfil de supervisión de la red del cortafuegos le permite verificar la conectividad (mediante ICMP) con una
dirección IP de destino o un próximo salto en el intervalo de sondeo especificado, así como especificar una
acción o fallo para acceder a la dirección IP supervisada.
Si no es posible alcanzar la IP de destino, puede configurar el cortafuegos para que espere a que se recupere
el túnel o configurar una conmutación por error a otro túnel. En cada caso, el cortafuegos genera un log de
sistema que le alerta de un fallo del túnel y renegocia las claves IPSec para acelerar la recuperación.
Consulte Configuración de la supervisión de túnel on page 745 para obtener información detallada sobre
la configuración.
Intercambio de claves por red (IKE) para VPN

El proceso IKE permite a los peers VPN en ambos extremos del túnel cifrar y descifrar paquetes usando
claves o certificados acordados mutuamente y un método de cifrado. El proceso IKE se realiza en dos
fases: IKE de fase 1 y IKE de fase 2. Cada una de estas fases usa claves y algoritmos de cifrado que se
definen usando perfiles criptográficos (perfil criptográfico IKE y perfil criptográfico IPSec), y el resultado
de la negociación IKE es una asociación de seguridad (SA). Una SA es un conjunto de claves y algoritmos
acordados mutuamente usados por ambos peers VPN para permitir el flujo de datos a través del túnel VPN.
La siguiente ilustración muestra el proceso de intercambio de claves para configurar un túnel VPN:
IKE de fase 1
En esta fase, los cortafuegos usan los parámetros definidos en la configuración del gateway IKE y el perfil
criptográfico IKE para autenticarse mutuamente y establecer un canal de control. La fase IKE es compatible
con el uso de claves compartidas previamente o certificados digitales (que usan infraestructuras de claves
públicas, PKI) para la autenticación mutua de los peers VPN. Las claves previamente compartidas son una
solución sencilla para proteger redes pequeñas, ya que no necesitan ser compatibles con una infraestructura

PKI. Los certificados digitales pueden ser más adecuados para redes o implementaciones de mayor tamaño
que requieren de mayor seguridad para la autenticación.
Al usar certificados, asegúrese de que la CA que emite el certificado es de confianza para ambos peers
del gateway y que la longitud máxima de la cadena de certificados es 5 o menos. Con la fragmentación
IKE habilitada, el cortafuegos puede volver a juntar mensajes IKE con hasta 5 certificados en la cadena de
certificados y establecer correctamente el túnel VPN.
El perfil criptográfico IKE define las siguientes opciones que se usan en la negociación de SA IKE:
• Grupo Diffie-Hellman (DH) para la generación de claves simétricas para IKE.
El algoritmo Diffie Hellman usa la clave privada de una parte y la clave pública de la otra para crear un
secreto compartido, que es una clave cifrada compartida por ambos peers del túnel VPN. Los grupos DH
compatibles con el cortafuegos son: grupo 1: 768 bits; grupo 2: 1024 bits (predeterminado); grupo 5:
1536 bits; grupo 14: 2048 bits, grupo 19: grupo de curva elíptica de 256 bits y grupo 20: grupo de curva
elíptica de 384 bits.
• Algoritmos de autenticación: sha1; sha 256; sha 384; sha 512 o md5
• Algoritmos de cifrado: 3des, aes-128-cbc, aes-192-cbc o aes-256-cbc o des.
IKE de fase 2
Una vez protegido y autenticado el túnel, en la fase 2 se aumenta la protección del canal para la
transferencia de datos entre las redes. IKE de fase 2 usa las claves que se establecieron en la fase 1 del
proceso y el perfil criptográfico IPSec, que define los protocolos y las claves IPSec usadas para la SA en el
IKE de fase 2.
IPSEC usa los siguientes protocolos para habilitar una comunicación segura:
• Encapsulating Security Payload (ESP) (Carga de seguridad encapsulada): le permite cifrar el paquete
de IP completo, así como autenticar la fuente y verificar la integridad de los datos. Mientras que ESP
necesita que cifre y autentique el paquete, puede elegir solo cifrar o solo autenticar definiendo la opción
de cifrado como Null; no se recomienda usar cifrado sin autenticación.
• Authentication header (AH) (Encabezado de autenticación): autentica el origen del paquete y verifica la
integridad de datos. AH no cifra la carga de datos y se desaconseja su uso en implementaciones en las
que es importante la privacidad de los datos. AH se suele usar cuando el principal objetivo es verificar la
legitimidad del peer y no se requiere privacidad de datos.
Table 6: Algoritmos compatibles con cifrado y autenticación IPSEC
ESP AH
Opciones de intercambio de Diffie Hellman (DH) compatibles
• Grupo 1: 768 bits

• Grupo 2: 1024 bits (predeterminado)
• Grupo 5: 1536 bits
• Grupo 14: 2048 bits.
• Grupo 19: grupo de curva elíptica de 256 bits
• Grupo 20: grupo de curva elíptica de 384 bits
• No-pfs: De manera predeterminada, perfect forward secrecy (PFS) está habilitado, lo que significa que
se genera una nueva clave DH en IKE de fase 2 usando uno de los grupos enumerados arriba. Esta
clave es independiente de las claves intercambiadas en IKE de fase 1 y ofrece una mejor transferencia
de datos. Si selecciona no-pfs, la clave DH creada en la fase 1 no se renueva y se usa una única clave
para las negociaciones con la SA IPSec. Ambos peers VPN deben estar habilitados o deshabilitados
para PFS.

ESP AH
Algoritmos de cifrado compatibles
• 3des Estándar de cifrado triple de datos (3DES) con una fuerza de seguridad
de 112 bits
• aes-128-cbc Estándar de cifrado avanzado (AES) usando encadenamiento de

bloques de cifras (CBC) con una fuerza de seguridad de 128 bits
• aes-192-cbc AES usando CBC con una fuerza de seguridad de 192 bits
• aes-256-cbc AES usando CBC con una fuerza de seguridad de 256 bits
• aes-128-ccm AES usando Counter CBC-MAC (CCM) con una fuerza de seguridad
de 128 bits
• aes-128-gcm AES usando Modo Galois/Counter (GCM) con una fuerza de seguridad
de 128 bits
• aes-256-gcm AES usando GCM con una fuerza de seguridad de 256 bits
• des Estándar de cifrado de datos (Data Encryption Standard, DES) con una
fuerza de seguridad de 56 bits
Algoritmos de autenticación compatibles
• md5 • md5
• sha 1 • sha 1
• sha 256 • sha 256
• sha 384 • sha 384
• sha512 • sha 512
Métodos de protección de túneles VPN IPSec (IKE de fase 2)

Los túneles VPN IPSec se pueden proteger usando claves manuales o automáticas. Asimismo, las opciones
de configuración IPSec incluyen un grupo Diffie-Hellman para acordar claves o un algoritmo de cifrado y un
hash para la autenticación de mensajes.
• Clave manual: La clave manual se suele usar si el cortafuegos Palo Alto Networks está estableciendo un
túnel VPN con un dispositivo antiguo o si quiere reducir los gastos de la generación de claves de sesión.
Si usa claves manuales, debe configurarse la misma en ambos peers.
Las claves manuales no son recomendables para establecer un túnel VPN porque las claves de sesión
pueden verse comprometidas cuando transmitan la información de claves entre peers; si las claves ven
comprometida su seguridad, la transferencia de datos deja de ser segura.
• Clave automática: La clave automática le permite generar claves automáticamente para configurar y
mantener el túnel IPSec basado en algoritmos definidos en el perfil criptográfico IPSec.

IKEv2
Una puerta de enlace de VPN IPSec usa IKEv1 o IKEv2 para negociar la asociación de seguridad IKE (SA) y
el túnel IPSec. IKEv2 se define en RFC 5996.
A diferencia IKEv1, que usa Phase 1 SA y Phase 2 SA, IKEv2 usa una SA secundaria para Encapsulating
Security Payload (ESP) (Carga de seguridad encapsulada) o Authentication Header (AH) (Encabezado de
autenticación), que se configura con una SA IKE.
Debe habilitarse NAT transversal (NAT-T) en ambas puertas de enlace si tiene NAT habilitada en un
dispositivo situado entre dos puertas de enlace. Una puerta de enlace solo puede ver la dirección IP pública
(enrutable globalmente) del dispositivo NAT.
IKEv2 ofrece las siguientes ventajas con respecto a IKEv1:
• Los extremos de túnel intercambian menos mensajes para establecer un túnel. IKEv2 usa cuatro
mensajes; IKEv1 usa nueve mensajes (en el modo principal) o seis mensajes (en el modo agresivo).
• La funcionalidad NAT-T integrada mejora la compatibilidad entre proveedores.
• La comprobación de estado integrada se restablece automáticamente si un túnel deja de estar
disponible. La comprobación de actividad sustituye la Detección de fallo del peer usada en IKEv1.
• Admite selectores de tráfico (uno por intercambio). Los selectores de tráfico se usan en las negociaciones
IKE para controlar qué tráfico puede acceder al túnel.
• Admite intercambio de certificados de Hash y URL para reducir la fragmentación.
• Resiliencia ante ataques de denegación de servicio con validación de peers mejorada. Un número
excesivo de SA medio abiertas puede activar la validación de cookies.
Antes de configurar IKEv2, debería estar familiarizado con los siguientes conceptos.
• Comprobación de actividad on page 731
• Umbral de activación de cookies y validación de cookies estricta on page 731
• Selectores de tráfico on page 732
• Intercambio de certificados Hash y URL on page 733
• Duración de la clave de SA e intervalo de reautenticación on page 733
Cuando haya realizado la Configuración de una puerta de enlace IKE on page 734, si elige IKEv2, realice
las siguientes tareas opcionales relacionadas con IKEv2 como se requiere en su entorno:
• Exportación de un certificado para un peer para acceder usando Hash y URL on page 737
• Importación de un certificado para Autenticación de puerta de enlace IKEv2 on page 738
• Cambio de la duración de la clave o del intervalo de autenticación IKEv2 on page 738
• Cambio del umbral de activación de cookies para IKEv2 on page 739
• Configuración de selectores de tráfico IKEv2 on page 739
Comprobación de actividad
La comprobación de actividad IKEv2 es similar a Detección de fallo del peer (DPD), que IKEv1 usa para
determinar si un peer sigue disponible.
En IKEv2, la comprobación de actividad la logra cualquier transmisión de paquete IKEv2 o mensaje de
información vacío que envíe el gateway al peer en un intervalo configurable (predeterminado: cinco
segundos). En caso necesario, el remitente intenta la retransmisión hasta diez veces. Si no recibe respuesta,
el remitente cierra y elimina la IKE_SA y las CHILD_SA correspondientes. El remitente empezará de nuevo
enviando otro mensaje IKE_SA_INIT.
Umbral de activación de cookies y validación de cookies estricta

La validación de cookies siempre está habilitada para IKEv2; ayuda a proteger contra ataques DoS de media
SA. Puede configurar el número de umbral global de SA a medio abrir que activará la validación de cookies.

También puede activar gateways IKE individuales para garantizar que se realiza la validación de cookies para
cada SA IKEv2 nueva.
• El Cookie Activation Threshold (Umbral de activación de cookies) es una configuración de sesión VPN
global que limita el número de SA IKE a medio abrir simultáneas (el valor predeterminado es de 500).
Si el número de SA IKE a medio abrir supera el Cookie Activation Threshold (Umbral de activación de
cookies), el respondedor solicitará una cookie y el iniciador deberá responder con una IKE_SA_INIT que
contenga una cookie para validar la conexión. Si la cookie se valida correctamente, se puede iniciar otra
SA. Un valor de 0 significa que la validación de cookies está siempre activa.
El respondedor no mantiene un estado del iniciador ni realiza un intercambio de claves Diffie-Hellman
hasta que el iniciador devuelva la cookie. La validación de cookies IKEv2 mitiga un ataque de denegación
de servicio que podría intentar dejar numerosas conexiones a medio abrir.
El Cookie Activation Threshold (Umbral de activación de cookies) debe ser inferior que el valor de
Maximum Half Opened SA (SA semiabiertas máximas). Si ha realizado un Cambio del umbral de
activación de cookies para IKEv2 on page 739 a un número mucho más alto (por ejemplo, 65 534) y
el ajuste Maximum Half Opened SA (SA semiabiertas máximas) se mantiene en el valor por defecto de
65 535, la validación de cookies está esencialmente deshabilitada.
• Puede habilitar Strict Cookie Validation (Validación estricta de cookies) si desea que se realice la
validación de cookies para cada SA IKEv2 que reciba la puerta de enlace, independientemente del umbral
global. La Strict Cookie Validation (Validación estricta de cookies) afecta solo a la puerta de enlace que
se está configurando y está deshabilitada por defecto. Si Strict Cookie Validation (Validación estricta
de cookies) está deshabilitada, el sistema usa el Cookie Activation Threshold (Umbral de activación de
cookies) para determinar si se necesita o no una cookie.
Selectores de tráfico
En IKEv1, un cortafuegos que tiene una VPN basada en rutas necesita usar un ID de proxy local y remoto
para configurar un túnel IPSec. Cada peer compara los ID de proxy con lo que se recibe realmente en el
paquete para permitir una negociación IKE de fase 2 correcta. El IKE de fase 2 consiste en negociar las SA
para configurar un túnel IPSec. (Para obtener más información sobre ID de proxy, consulte Interfaz de túnel
on page 727).
En IKEv2, puede realizar una Configuración de selectores de tráfico IKEv2 on page 739, que son
componentes de tráfico de red que se usan durante la negociación IKE. Los selectores de tráfico se usan
durante la CHILD_SA (creación de túnel) de fase 2 para configurar el túnel y determinar qué tráfico está
permitido a través del túnel. Los dos peers de puerta de enlace IKE deben negociar y acordar sus selectores
de tráfico; de lo contrario, una parte estrecha su intervalo de direcciones para acuerdo. Una conexión IKE
puede tener múltiples túneles; por ejemplo, puede asignar diferentes túneles a cada departamento para
aislar su tráfico. La separación de tráfico también permite implementar funciones como QoS.
Los selectores de tráfico IPv4 e IPv6 son:
• Dirección IP de origen: un prefijo de red, intervalo de dirección, host específico o un comodín.
• Dirección IP de destino: un prefijo de red, intervalo de dirección, host específico o un comodín.
• Protocolo: un protocolo de transporte, como TCP o UDP.
• Puerto de origen: el puerto donde se ha originado el paquete.
• Puerto de destino: el puerto al que está destinado el paquete.
Durante la negociación IKE, puede haber múltiples selectores de tráfico para diferentes redes y protocolos.
Por ejemplo, el Iniciador puede indicar que quiere enviar paquetes TCP desde 172.168.0.0/16 a través
del túnel a su peer, destinado a 198.5.0.0/16. También quiere enviar paquetes UDP desde 172.17.0.0/16
a través del mismo túnel a la misma puerta de enlace, con destino a 0.0.0.0 (cualquier red). La puerta de
enlace de peers debe coincidir con estos selectores de tráfico para que sepa qué esperar.
Es posible que una puerta de enlace empiece la negociación usando un selector de tráfico que sea una
dirección IP más específica que la dirección de la otra puerta de enlace.

• Por ejemplo, la puerta de enlace A ofrece una dirección IP de origen de 172.16.0.0/16 y la dirección IP
de destino 192.16.0.0/16. Pero la puerta de enlace B se configura con 0.0.0.0 (cualquier origen) como la
dirección IP de origen y 0.0.0.0 (cualquier destino) como la dirección IP de destino. Por lo tanto, la puerta
de enlace B restringe la dirección IP de origen a 192.16.0.0/16 y la dirección de destino 172.16.0.0/16.
Así, la restricción adapta la dirección de la puerta de enlace A y los selectores de tráfico de las dos
puertas de enlace están de acuerdo.
• Si la puerta de enlace B (configurada con dirección IP 0.0.0.0) es el Iniciador en lugar del Respondedor, la
puerta de enlace A responderá con sus direcciones IP más específicas, y la puerta de enlace B restringirá
sus direcciones para llegar a un acuerdo.
Intercambio de certificados Hash y URL

IKEv2 admite Intercambio de certificados Hash y URL, que se usa durante una negociación IKEv2 de una
SA. Almacene el certificado en un servidor HTTP, que se especifica mediante una URL. El peer recupera el
certificado del servidor basándose en la recepción de la URL al servidor. El hash se usa para comprobar si el
contenido del certificado es válido o no. Por tanto, los dos peers intercambian certificados con la CA HTTP
en lugar de hacerlo entre sí.
La parte hash de Hash y URL reduce el tamaño del mensaje y de este modo Hash y URL es un modo
de reducir la probabilidad de fragmentación de paquetes durante la negociación IKE. El peer recibe el
certificado y el hash esperados, y por tanto la primera fase IKE ha validado el peer. La reducción de la
fragmentación ayuda a proteger contra ataques de denegación de servicio.
Puede habilitar el intercambio de certificados hash y URL al configurar una puerta de enlace IKE al
seleccionar HTTP Certificate Exchange (Intercambio de certificado HTTP) e introducir la Certificate
URL (URL de certificado). El peer también debe usar el intercambio de certificados Hash y URL para que
el intercambio se realice correctamente. Si el peer no puede usar Hash y URL, los certificados X.509 se
intercambian de forma parecida a como lo hacen en IKEv1.
Si habilita el intercambio de certificados Hash y URL, debe exportar su certificado al servidor de certificados
si aún no está allí. Al exportar el certificado, el formato de archivo debería ser Binary Encoded Certificate
(DER) (Certificado codificado binario). Consulte Exportación de un certificado para un peer para acceder
usando Hash y URL on page 737.
Duración de la clave de SA e intervalo de reautenticación

En IKEv2, dos valores de perfil criptográfico IKE, Key Lifetime (Duración de la clave) y IKEv2
Authentication Multiple (Múltiplo de autenticación IKEv2), controlan el establecimiento de SA IKE IKEv2.
La duración de la clave es el tiempo de validez de una clave SA IKE negociada. Antes de que venza la clave,
se deberá volver a asignar la clave de registro de SA; de no ser así, cuando llegue el vencimiento, la SA
deberá comenzar una nueva asignación de claves SA IKE IKEv2. El valor predeterminado es de 8 horas.
El intervalo de reautenticación se obtiene al multiplicar la Key Lifetime (Duración de la clave) por IKEv2
Authentication Multiple (Múltiplo de autenticación IKEv2). El múltiplo de autenticación es 0 de manera
predeterminada, lo que deshabilita la función de reautenticación.
El intervalo del múltiplo de autenticación es 0-50. De modo que si va a configurar un múltiplo de
autenticación de 20, por ejemplo, el sistema realizaría una reautenticación cada 20 asignaciones de clave, es
decir, cada 160 horas. Eso significa que la puerta de enlace podría crear SA secundarias durante 160 horas
antes de tener que reautenticarse con IKE para recrear la SA IKE desde cero.
En IKEv2, las puertas de enlace del Iniciador y el Respondedor tienen su propio valor de duración de clave, y
el gateway con la duración de clave más breve es la que solicitará la reasignación de claves de SA.

Configuración de VPN de sitio a sitio
Para configurar VPN de sitio a sitio:
Asegúrese de que sus interfaces Ethernet, enrutadores virtuales y zonas están configurados
correctamente. Si desea más información, consulte Configuración de interfaces y zonas.
Cree sus interfaces de túnel. Lo ideal sería colocar las interfaces de túnel en una zona separada para que
el tráfico de túnel pueda utilizar políticas diferentes.
Configure rutas estáticas o asigne protocolos de enrutamiento para redirigir el tráfico a los túneles VPN.
Para admitir el enrutamiento dinámico (son compatibles OSPF, BGP, RIP), debe asignar una dirección IP a
la interfaz del túnel.
Defina puertas de enlace IKE para establecer comunicación entre peers a cada lado del túnel VPN;
defina también el perfil criptográfico que especifica los protocolos y algoritmos para identificación,
autenticación y cifrado que se usarán para configurar túneles VPN en IKEv1 de fase 1. Consulte
Configuración de un puerto de enlace de IKE y Definición de perfiles criptográficos de IKE.
Configure los parámetros necesarios para establecer la conexión IPSec para transferencia de datos
a través del túnel VPN; consulte Configuración de un túnel IPSec. En IKEv1 de fase 2, consulte la
Definición de perfiles criptográficos de IPSec.
(Opcional) Especifique el modo en que el cortafuegos supervisará los túneles IPSec. Consulte la
Configuración de la supervisión de túnel.
Defina políticas de seguridad para filtrar e inspeccionar el tráfico.
Si hay una regla de denegación en el extremo de la base de reglas de seguridad, el

tráfico intrazona se bloquea a menos que se permita de otro modo. Las reglas para
permitir aplicaciones IKE e IPSec deben incluirse de manera explícita por encima de la
regla de denegación.
Si el tráfico de su VPN atraviesa un cortafuegos serie PA-7000 o PA-5200 (no se origina

ni finaliza en él), configura reglas de la política de seguridad bidireccional para permitir el
tráfico de ESP o AH en ambas direcciones.
Cuando haya terminado estas tareas, el túnel estará listo para su uso. El tráfico destinado a zonas/
direcciones definidas en la política se enruta automáticamente correctamente basándose en la ruta de
destino de la tabla de enrutamiento y se gestiona como tráfico VPN. Para ver algunos ejemplos de VPN de
sitio a sitio, consulte Configuraciones rápidas de VPN de sitio a sitio.
Para solucionar problemas, puede implementar la Habilitación/deshabilitación, actualización o reinicio de un
puerto de enlace de KE o túnel IPSec.
Configuración de una puerta de enlace IKE

Para configurar un túnel VPN, los peers o puertas de enlace VPN deben autenticarse mutuamente usando
claves previamente compartidas o certificados digitales y establecer un canal seguro en el que negociar la
asociación de seguridad (SA) IPSec que se usará para proteger el tráfico entre los hosts en ambos lados.
STEP 1 | Defina la puerta de enlace de IKE.

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Gateways (Puertas de enlace de
IKE), haga clic en Add (Añadir) y en la pestaña General, e ingrese el nombre de la puerta de enlace en
Name.
2. Para Version (Versión), seleccione IKEv1 only mode (Modo exclusivo IKEv1), IKEv2 only mode
(Modo exclusivo IKEv2) o IKEv2 preferred mode (Modo preferido IKEv2). La puerta de enlace IKE
comienza su negociación con su peer en el modo especificado aquí. Si selecciona IKEv2 preferred

mode (Modo preferido IKEv2) los dos peers usarán IKEv2 si el peer remoto lo admite; de lo contrario,
usarán IKEv1.
La selección de Version (Versión) también determina qué opciones están disponibles en la
pestañaAdvanced Options (Opciones avanzadas).
STEP 2 | Establezca el endpoint local del túnel (puerta de enlace).

1. En Address Type (Tipo de dirección), haga clic en IPv4 o IPv6.
2. Seleccione la Interface (Interfaz) física de salida en el cortafuegos donde reside la puerta de enlace
local.
3. En la lista desplegable Local IP Address (Dirección IP local), seleccione la dirección IP que se usará
como extremo para la conexión VPN. Esta es la interfaz externa con una dirección IP enrutable
públicamente en el cortafuegos.
STEP 3 | Establezca el peer en el extremo más alejado del túnel (puerta de enlace).
1. Seleccione si la asignación de direcciones del Peer IP Type (Tipo de IP del peer) será Static (Estática)
o Dynamic (Dinámica).
2. Si la Peer IP Address (Dirección IP del peer) es estática, introduzca la dirección IP del peer.
STEP 4 | Especifique cómo se autentica el peer.

Seleccione el método de Authentication (Autenticación). Pre-Shared Key (Clave precompartida) o
Certificate (Certificado). Si selecciona Pre-Shared Key (Clave precompartida), vaya al siguiente paso. Si
elige Certificate (Certificado), vaya a Configuración de la autenticación basada en certificado.
STEP 5 | Configure una clave precompartida.

1. Introduzca una Pre-shared Key (Clave precompartida), que es la clave de seguridad que se usará para
autenticación a través del túnel. Introduzca de nuevo el valor en Confirm Pre-shared Key (Confirmar
clave precompartida). Utilice un máximo de 255 caracteres ASCII o no ASCII.
PRÁCTICAS RECOMENDADAS: Genere una clave que sea difícil de averiguar con ataques por
diccionario; use un generador de claves previamente compartidas en caso necesario.
2. En Local Identification (Identificación local), seleccione uno de los siguientes tipos e introduzca el
valor que considere oportuno: FQDN (hostname) (FQDN [nombre de host]), IP address (dirección
IP), KEYID (binary format ID string in HEX) (KEYID [cadena de ID de formato binario en HEX], User
FQDN (email address) (FQDN de usuario [dirección de correo electrónico]). La identificación local
define el formato y la identificación de la puerta de enlace local. Si no se especifica ningún valor, la
dirección IP local se utilizará como el valor de identificación local.
3. En Peer Identification (Identificación del peer), seleccione uno de los tipos siguientes e introduzca el
valor: FQDN (hostname) (FQDN [nombre de host]), IP address (dirección IP), KEYID (binary format
ID string in HEX) (KEYID [cadena de ID de formato binario en HEX], User FQDN (email address)
(FQDN de usuario [dirección de correo electrónico]). La identificación del peer define el formato y la
identificación de la puerta de enlace local. Si no se especifica ningún valor, la dirección IP del peer se
utilizará como el valor de identificación del peer.
4. Vaya al paso 7 y continúe desde allí.
STEP 6 | Configuración de la autenticación basada en certificados.

Realice los pasos restantes de este procedimiento si ha seleccionado Certificate (Certificado) como el
método de autenticación de la puerta de enlace del peer en el otro extremo del túnel.
1. Seleccione un Local Certificate (Certificado local) que ya se encuentre en el cortafuegos del menú
desplegable, importe un certificado con Import (Importar) o cree un nuevo certificado con Generate
(Generar).

• Si desea importar un certificado, Importe un certificado para la autenticación de la puerta de
enlace IKEv2 y regrese a esta tarea.
• Si desea generar un nuevo certificado, Genere un certificado en el cortafuegos y regrese a esta
tarea.
2. Haga clic en la casilla de verificación HTTP Certificate Exchange (Intercambio de certificado HTTP)
si desea configurar Hash y URL (solo IKEv2). Para un intercambio de certificados HTTP, introduzca
la Certificate URL (URL de certificado). Para obtener más información, consulte Intercambio de
certificado de hash y URL.
3. Seleccione el tipo de Local Identification (Identificación local) entre lo siguiente: Distinguished Name
(Subject), FQDN (hostname) (Nombre distintivo [asunto], FQDN [nombre de host]), IP address
(Dirección IP), User FQDN (email address) (FQDN de usuario [dirección de correo electrónico]) e
introduzca el valor. La identificación local define el formato y la identificación de la puerta de enlace
local.
4. Seleccione el tipo de Peer Identification (Identificación del peer) entre: Distinguished Name
(Subject), FQDN (hostname) (Nombre distintivo [asunto], FQDN [nombre de host]), IP address
(Dirección IP), User FQDN (email address) (FQDN de usuario [dirección de correo electrónico]) e
introduzca el valor. La identificación del peer define el formato y la identificación de la puerta de
enlace local.
5. Seleccione un tipo de Peer ID Check (Comprobación de ID de peer):
• Exact (Exacto): marque esta opción para asegurarse de que el ajuste local y la carga de trabajo de
ID IKE del peer coinciden a la perfección.
• Wildcard (Carácter comodín): marque esta opción para permitir que la identificación de peer
coincida siempre que coincidan todos caracteres antes del comodín (*). No es necesario que
coincidan los caracteres tras el asterisco.
6. Haga clic en Permit peer identification and certificate payload identification mismatch (Permitir
identificación de peer y falta de coincidencia de identificación de carga de certificado) si desea
permitir una SA IKE correcta incluso aunque la identificación del peer no coincida con la identificación
del peer en el certificado.
7. Seleccione un Certificate Profile (Perfil de certificado) en el menú desplegable. Un perfil del
certificado contiene información sobre el modo de autenticar la puerta de enlace del peer.
8. Haga clic en Enable strict validation of peer’s extended key use (Habilitar validación estricta de uso
de clave extendida de peer) si desea controlar estrictamente cómo se puede usar la clave.
STEP 7 | Configure las opciones avanzadas para la puerta de enlace.

1. Seleccione la pestaña Advanced Options (Opciones avanzadas).
2. En la sección Common Options (Opciones comunes), seleccione Enable Passive Mode (Habilitar
modo pasivo) si desea que el cortafuegos solamente responda a las solicitudes de conexión IKE y que
nunca las inicie.
3. Seleccione Enable NAT Traversal (Habilitar NAT transversal) si tiene un dispositivo que realice NAT
entre puertas de enlace, para utilizar la encapsulación UDP en los protocolos IKE y UDP y permitirles
pasar a través de dispositivos de NAT intermedios.
4. Si ha elegido IKEv1 only mode (Modo exclusivo IKEv1) antes, en la pestaña IKEv1:
• Seleccione auto (automático), aggressive (agresivo) o main (principal) para Exchange Mode (Modo
de intercambio). Cuando se establece que un dispositivo utilice el modo de intercambio auto
(automático), puede aceptar solicitudes de negociación tanto del modo main (principal) como del
modo aggressive (agresivo); sin embargo, siempre que sea posible, inicia la negociación y permite
intercambios en el modo main (principal).
Si el modo de intercambio no se ha definido como auto (automático), debe

configurar ambos peers con el mismo modo de intercambio para permitir que cada
peer acepte las solicitudes de negociación.

• Seleccione un perfil existente o mantenga el perfil predeterminado del menú desplegable IKE
Crypto Profile (Perfil criptográfico de IKE). Para obtener detalles sobre cómo definir un perfil
criptográfico IKE, consulte Definición de perfiles criptográficos IKE.
• (Solamente si utiliza autenticación basada en certificados y el modo de intercambio no
está definido como aggressive) Haga clic en Enable Fragmentation (Habilitar fragmentación)
para habilitar que el cortafuegos opere con fragmentación IKE.
• Haga clic en Dead Peer Detection (Detección de peers no activos) e introduzca un Interval
(Intervalo) (entre 2-100 segundos). En Retry (Reintentar), defina el tiempo de espera (el intervalo
es de 2 a 100 segundos) antes de intentar volver a comprobar la disponibilidad. La detección de
fallo del peer identifica peers IKE inactivos o no disponibles enviando una carga de notificación
IKE de fase 1 al peer y esperando a que la reconozca.
5. Si ha elegido IKEv2 only mode (Modo exclusivo IKEv2) o IKEv2 preferred mode (Modo preferido
IKEv2) en el paso 1, en la pestaña IKEv2:
• Seleccione un IKE Crypto Profile (Perfil criptográfico IKE) en el menú desplegable, que configura
las opciones de la primera fase IKE como el grupo DH, el algoritmo hash y la autenticación ESP.
Para obtener información sobre los perfiles criptográficos IKE, consulte IKE de fase 1.
• Habilite Strict Cookie Validation (Validación estricta de cookies) si desea garantizar que siempre
se cumpla la validación de cookie en SA IKEv2 para esta puerta de enlace. Consulte Umbral de
activación de cookies y validación de cookies estricta.
• Seleccione Enable Liveness Check (Habilitar comprobación de actividad) e ingrese un Interval
(sec) (Intervalo [s]) (el valor predeterminado es 5) si desea que la puerta de enlace envíe una
solicitud de mensaje a su peer de puerta de enlace, en el que solicite una respuesta. En caso
necesario, el Iniciador intenta la comprobación de actividad hasta diez veces. Si no recibe
respuesta, el Iniciador cierra y elimina la IKE_SA y las CHILD_SA. El Iniciador empezará de nuevo
enviando otro mensaje IKE_SA_INIT.

Haga clic en OK (Aceptar) y Commit (Confirmar).
Exportación de un certificado para un peer para acceder usando Hash y

URL
IKEv2 admite Intercambio de certificados Hash y URL on page 733 como método para que el peer y el
extremo remoto del túnel recuperen el certificado de un servidor donde ha exportado el certificado. Realice
esta tarea para exportar su certificado a ese servidor. Ya debe haber creado un certificado utilizando Device
(Dispositivo) > Certificate Management (Gestión de certificados).
STEP 1 | Seleccione Device (Dispositivo) > Certificates (Certificados) y, si su plataforma admite varios
sistemas virtuales, en Location (Ubicación), seleccione el sistema virtual adecuado.
STEP 2 | En la pestaña Device Certificates (Certificados de dispositivo), seleccione el certificado para

exportar al servidor mediante la opción Export (Exportar).
El estado del certificado debe ser válido, no caducado. El cortafuegos no le impedirá

exportar un certificado no válido.
STEP 3 | Para File Format (Formato de archivo), seleccione Binary Encoded Certificate (DER)
(Certificado codificado binario).
STEP 4 | Deje Export private key (Exportar clave privada) sin marcar. No es necesario exportar la clave
privada para Hash y URL

Importación de un certificado para Autenticación de puerta de enlace

IKEv2
Realice esta tarea si está autenticando un peer para una puerta de enlace IKEv2 y no ha usado un
certificado local existente en el cortafuegos, sino que quiere importar un certificado desde otra ubicación.
Para realizar esta tarea, se da por hecho que ha seleccionado Network (Red) > IKE Gateways (Puertas
de enlace de IKE), ha añadido una puerta de enlace y, en Local Certificate (Certificado local), hizo clic en
Import (Importar).
STEP 1 | Importe un certificado.

1. Seleccione Network (Red) > IKE Gateways (Puertas de enlace de IKE), haga clic en Add (Añadir) para
añadir una puerta de enlace y en la pestaña General, en Authentication (Autenticación), seleccione
Certificate (Certificado). En Local Certificate (Certificado local), haga clic en Import (Importar).
2. En la ventana Import Certificate (Importar certificado), introduzca un nombre en Certificate Name
(Nombre de certificado) para el certificado que está importando.
3. Seleccione Shared (Compartido) si este certificado debe compartirse entre múltiples sistemas
virtuales.
4. En Certificate File (Archivo de certificado), utilice Browse (Examinar) para buscar el archivo del
certificado. Haga clic en el nombre archivo y seleccione Open (Abrir), lo que cumplimenta el campo
Certificate File (Archivo de certificado).
5. En File Format (Formato de archivo), seleccione una de las opciones siguientes:
• Base64 Encoded Certificate (PEM) (Certificado codificado en Base64 (PEM)): contiene el
certificado, pero no la clave. Es texto no cifrado.
• Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado (PKCS12)):
contiene tanto el certificado como la clave.
6. Seleccione Import private key (Importar clave privada) si la clave está en un archivo distinto del
archivo de certificados. La clave es opcional, con la siguiente excepción:
• Debe importar una clave si establece el File Format (Formato de archivo) en PEM. Introduzca un
Key file (Archivo de clave) al hacer clic en Browse (Examinar) y buscar el archivo de clave que
desea importar.
• Introduzca una Passphrase (Frase de contraseña) y seleccione Confirm Passphrase (Confirmar
frase de contraseña).
STEP 2 | Continúe con la siguiente tarea.

Paso Configuración de la autenticación basada en certificados.
Cambio de la duración de la clave o del intervalo de autenticación IKEv2

Esta tarea es opcional; el valor predeterminado de la duración de la asignación de claves de SA IKE IKEv2 es
de 8 horas. El valor predeterminado de Autenticación múltiple IKEv2 es 0, lo que significa que la función de
reautenticación está deshabilitada. Para obtener más información, consulte la Duración de la clave de SA e
intervalo de reautenticación.
Para cambiar los valores predeterminados, realice la siguiente tarea. Un requisito previo es que ya exista un
perfil de cifrado IKE.
STEP 1 | Cambie la duración de la clave de SA o el intervalo de autenticación para un perfil criptográfico

IKE

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Crypto (Criptográfico IKE) y
seleccione el perfil Criptográfico IKE que se aplica a la puerta de enlace local.
2. Para la Key Lifetime (Duración de la clave), seleccione una unidad (Seconds [Segundos], Minutes
[Minutos], Hours [Horas] o Days [Días]) e introduzca un valor. El mínimo es de tres minutos.
3. Para IKE Authentication Multiple (Múltiplo de autenticación IKE), introduzca un valor, que se
multiplica por la duración para determinar el intervalo de reautenticación.

Cambio del umbral de activación de cookies para IKEv2

Realice la siguiente tarea si quiere que el cortafuegos tenga un umbral diferente del ajuste predeterminado
de 500 sesiones de SA a medio abrir antes de que requiera la validación de cookies. Para obtener más
información sobre la validación de cookies, consulte el Umbral de activación de cookies y validación de
cookies estricta.
STEP 1 | Cambie el umbral de activación de cookies.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la configuración
de sesión de VPN. En Cookie Activation Threshold (Umbral de activación de cookies), introduzca el
número máximo de SA a medio abrir permitidas antes de que el respondedor solicite una cookie del
iniciador (intervalo: 0-65.535; predeterminado: 500).

Configuración de selectores de tráfico IKEv2

En IKEv2, puede configurar los Selectores de tráfico on page 732, que son componentes del tráfico de
red que se utilizan durante la negociación IKE. Los selectores de tráfico se usan durante la CHILD_SA
(creación de túnel) de fase 2 para configurar el túnel y determinar qué tráfico está permitido a través del
túnel. Los dos peers de gateway IKE deben negociar y acordar sus selectores de tráfico; de lo contrario, una
parte estrecha su intervalo de direcciones para acuerdo. Una conexión IKE puede tener múltiples túneles;
por ejemplo, puede asignar diferentes túneles a cada departamento para aislar su tráfico. La separación
de tráfico también permite implementar funciones como QoS. Utilice el siguiente flujo de trabajo para
configurar los selectores de tráfico.
STEP 1 | Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) > Proxy IDs (ID de proxy).
STEP 2 | Seleccione la pestaña IPv4 o IPv6.
STEP 3 | Haga clic en Add (Añadir) e introduzca el Name (Nombre) en el campo Proxy ID (ID de proxy).
STEP 4 | En el campo Local, introduzca la Source IP Address (Dirección IP de origen).
STEP 5 | En el campo Remote (Remoto), introduzca la Destination IP Address (Dirección IP de destino).
STEP 6 | En el campo Protocol (Protocolo), seleccione el protocolo de transporte (TCP o UDP) en el

menú desplegable.

Definición de perfiles criptográficos
Un perfil criptográfico especifica los cifrados usados para autenticación o cifrado entre dos peers IKE y la
duración de esta clave. El periodo entre cada renegociación se conoce como duración; cuando el tiempo
especificado vence, el cortafuegos vuelve a negociar un nuevo conjunto de claves.
Para proteger las comunicaciones a través del túnel VPN, el cortafuegos requiere perfiles criptográficos IKE
e IPSec para completar las negociaciones IKE de fase 1 y de fase 2, respectivamente. El cortafuegos incluye
un perfil criptográfico predeterminado IKE y un perfil criptográfico predeterminado IPSec que están listos
para utilizarse.
• Definición de perfiles criptográficos IKE on page 740
• Definición de perfiles criptográficos IPSec on page 741
Definición de perfiles criptográficos IKE

El perfil criptográfico IKE se utiliza para configurar algoritmos de cifrado y autenticación que sirven para el
proceso de intercambio de claves en IKE de fase 1, y una duración de las claves, que especifica el tiempo
que serán válidas. Para invocar el perfil, debe vincularlo a la configuración de gateway IKE.
Todos los gateways IKE configurados en la misma interfaz o dirección IP local deben usar el
mismo perfil criptográfico.
STEP 1 | Creación de un nuevo perfil IKE.

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Crypto (Criptográfico de IKE) y
seleccione Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para el perfil nuevo.
STEP 2 | Especifique el Grupo DH (Diffie–Hellman) para el intercambio de claves y los algoritmos de

autenticación y cifrado.
Haga clic en Add (Añadir) en las secciones correspondientes (DH Group, Authentication y Encryption) y
seleccione las opciones en los menús desplegables.
Si no sabe con certeza con qué son compatibles los peers VPN, añada múltiples grupos o algoritmos en
orden de mayor a menor seguridad del siguiente modo; los peers negocian el grupo o algoritmo admitido
más fuerte para establecer el túnel.
• Grupo DH: group20, group19, group14, group5, group2 y group1.
• Autenticación: sha512, sha384, sha256, sha1, md5.
• Cifrado: aes-256-cbc, aes-192-cbc, aes-128-cbc, 3des, des.
DES está disponible para brindar compatibilidad con versiones anteriores en dispositivos
heredados que no admiten un cifrado más seguro, pero se recomienda usar siempre un
algoritmo de cifrado más seguro, tal como 3DES o AES si el peer lo admite.
STEP 3 | Especifique la duración de la validez de la clave y el intervalo de reautenticación.

Para obtener información detallada, consulte la Duración de la clave de SA e intervalo de
reautenticación.
1. En los campos Key Lifetime (Duración de la clave), especifique el periodo (en segundos, minutos,
horas o días) durante el cual es válida la clave (rango: 3 minutos a 365 días; valor predeterminado: 8
horas). Cuando vence la clave, el cortafuegos renegocia una nueva clave. La duración es el periodo
entre cada renegociación.
2. En IKEv2 Authentication Multiple (Autenticación IKEv2 múltiple), especifique un valor (rango:
0 a 50; valor predeterminado: 0) que se multiplica por la Key Lifetime (Duración de la clave)

para determinar el conteo de autenticación. El valor predeterminado 0 deshabilita la función de
reautenticación.
STEP 4 | Confirme su perfil criptográfico IKE.

Haga clic en OK (Aceptar) y en Commit (Confirmar).
STEP 5 | Adjunte el perfil criptográfico IKE y la configuración del gateway IKE.

Consulte Configuración de opciones avanzadas para la puerta de enlace.
Definición de perfiles criptográficos IPSec

El perfil criptográfico IPSec se invoca en IKE de fase 2. Especifica el modo en que se protegen los datos
dentro del túnel cuando se usa IKE de clave automática para generar claves automáticamente para las SA
del IKE.
STEP 1 | Cree un nuevo perfil IPSec.

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IPSec Crypto (Criptográfico IPSec) y
seleccione Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para el perfil nuevo.
3. Seleccione el IPSec Protocol (Protocolo de IPSec) (ESP o AH) que quiere aplicar para proteger los
datos cuando atraviesan el túnel.
4. Haga clic en Add (Añadir) y seleccione la Authentication (Autenticación) y los algoritmos de
Encryption (Cifrado) para ESP, así como los algoritmos de Authentication (Autenticación) para AH, de
modo que los peers de IKE puedan negociar las claves para proteger la transferencia de datos a través
del túnel.
Si no sabe con certeza con qué son compatibles los peers IKE, añada múltiples algoritmos en orden
de mayor a menor seguridad del siguiente modo; los peers negocian el algoritmo admitido más fuerte
para establecer el túnel:
• Cifrado: aes-256-gcm, aes-256-cbc, aes-192-cbc, aes-128-gcm, aes-128-ccm (el cortafuegos de
la serie VM no admite esta opción), aes-128-cbc, 3des, des.
DES está disponible para brindar compatibilidad con versiones anteriores en

dispositivos heredados que no admiten un cifrado más seguro, pero se recomienda
usar siempre un algoritmo de cifrado más seguro, tal como 3DES o AES si el peer
lo admite.
• Autenticación: sha512, sha384, sha256, sha1, md5.
STEP 2 | Seleccione el Grupo DH para usar las negociaciones de SA IPSec en el IKE de fase 2.
Seleccione el nivel de la clave que quiere usar para el DH Group (Grupo DH) en el menú desplegable.
Si no sabe con certeza con qué son compatibles los peers VPN, añada múltiples grupos en orden de
mayor a menor seguridad del siguiente modo; los peers negocian el grupo admitido más fuerte para
establecer el túnel: group20, group19, group14, group5, group2 y group1.
Seleccione no-pfs, si no desea renovar la clave que se creó en la fase 1; la clave actual se vuelve a utilizar
para las negociaciones de SA IPSEC.
STEP 3 | Especifique la duración de la clave (tiempo y volumen del tráfico).

Usar una combinación de tiempo y volumen del tráfico le permite garantizar la seguridad de los datos.

Seleccione la Lifetime (Duración) o el período durante el cual es válida la clave en segundos, minutos,
horas o días (intervalo: 3 minutos a 365 días). Cuando vence el tiempo especificado, el cortafuegos
vuelve a negociar un nuevo conjunto de claves.
Seleccione la Lifesize (Tamaño de duración) o el volumen de datos que establecerán cuándo han de
volver a negociarse las claves.
STEP 4 | Confirme su perfil IPSec.

Haga clic en OK (Aceptar) y en Commit (Confirmar).
STEP 5 | Adjunte el perfil IPSec a una configuración de túnel IPSec.

Consulte Configuración de intercambio de claves.
Configuración de un túnel IPSec

La configuración del túnel IPSec le permite autenticar o cifrar los datos (paquete de IP) cuando cruzan el
túnel.
Si está configurando un cortafuegos de Palo Alto Networks para trabajar con un peer compatible con VPN
basada en políticas, debe definir ID de proxy. Los dispositivos compatibles con VPN basadas en políticas
usan reglas/políticas o listas de acceso de seguridad específicas (direcciones de origen, direcciones de
destino y puertos) para permitir el tráfico interesante a través de un túnel IPSec. Se hace referencia a estas
reglas durante la negociación IKE de fase 2/modo rápido y se intercambian como ID de proxy en el primer
o segundo mensaje del proceso. Por lo tanto, si está configurando el cortafuegos Palo Alto Networks para
trabajar con un peer de VPN basada en políticas, para una negociación de fase 2 correcta debe definir el ID
de proxy, de modo ambos peers tengan en el mismo ajuste. Si el ID de proxy no está configurado, porque el
cortafuegos de Palo Alto Networks es compatible con VPN basadas en rutas, los valores predeterminados
usados por el ID de proxy son ip de origen: 0.0.0.0/0, ip de destino: 0.0.0.0/0 y aplicación: cualquiera; y
cuando estos valores se intercambian con el peer, se produce un fallo al configurar la conexión VPN.
STEP 1 | Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y luego Add (Añadir) para añadir
una configuración de túnel.
STEP 2 | En la pestaña General, introduzca en Name (Nombre) un nombre para el nuevo túnel.
STEP 3 | Seleccione la Tunnel interface (Interfaz de túnel) que se usará para configurar el túnel de IPSec.
Para crear una nueva interfaz de túnel:
1. Seleccione Tunnel Interface (Interfaz de túnel) > New Tunnel Interface (Nueva interfaz de túnel).
(También puede seleccionar Network [Red] > Interfaces > Tunnel [Túnel] y hacer clic en Add
[Añadir].)
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
3. En la pestaña Config, seleccione el menú desplegable Security Zone (Zona de seguridad) para definir
la zona del siguiente modo:
Usar una zona fiable como punto de finalización del túnel: seleccione la zona del menú desplegable.
Asociar la interfaz del túnel con la misma zona (y enrutador virtual) que la interfaz externa por la que
entran los paquetes al cortafuegos reduce la necesidad de crear enrutamiento entre zonas.
O bien:
Crear una zona separada para la terminación de túnel VPN (Recomendado): seleccione New Zone
(Nueva zona), defina un nombre para la nueva zona (por ejemplo, vpn-corp) y haga clic en OK (Aceptar).
1. En el menú desplegable Virtual Router (Enrutador virtual), seleccione default (por defecto).

2. (Opcional) Si desea asignar una dirección IPv4 a la interfaz de túnel, seleccione la pestaña IPv4 y haga
clic en Add (Añadir) para añadir la dirección IP y la máscara de red; por ejemplo: 10.31.32.1/32.
STEP 4 | (Opcional) Habilite IPv6 en la interfaz de túnel.

1. Seleccione la pestaña IPv6 en Network (Red) > Interfaces > Tunnel (Túnel) > IPv6.
2. Seleccione la casilla de verificación para Enable IPv6 on the interface (Habilitar las direcciones IPv6
en la interfaz).
Esta opción permite enrutar el tráfico IPv6 en un túnel IPv4 IPSec y ofrece confidencialidad entre
redes IPv6. El tráfico IPv6 se encapsula mediante IPv4 y, a continuación, mediante ESP. Para enrutar
tráfico IPv6 al túnel, puede usar una ruta estática al túnel, OSPFv3 o una regla de reenvío basado en
políticas (PBF) para dirigir tráfico al túnel.
3. Introduzca el Interface ID (ID de interfaz) exclusivo ampliado de 64 bits en formato hexadecimal, por
ejemplo, 00:26:08:FF:FE:DE:4E:29. De manera predeterminada, el cortafuegos utilizará el EUI-64
generado desde la dirección MAC de la interfaz física.
4. Para asignar una dirección IPv6 a la interfaz de túnel, haga clic en Add (Añadir)e ingrese la dirección
IPv6 y la longitud del prefijo, por ejemplo 2001:400:f00::1/64. Si no se selecciona Prefijo, la dirección
IPv6 asignada a la interfaz será la que especifique completamente en el cuadro de texto de la
dirección.
1. Seleccione Use interface ID as host portion (Usar ID de interfaz como parte de host) para asignar
una dirección IPv6 a la interfaz que utilizará el ID de interfaz como la parte de host de la dirección.
2. Seleccione Anycast (Difusión por proximidad) para incluir el enrutador mediante el nodo más
cercano.
STEP 5 | Configure el intercambio de clave.

Configure uno de los siguientes tipos de intercambio de clave:
Configure el intercambio de clave automática.
1. Seleccione la puerta de enlace IKE. Para configurar una puerta de enlace IKE, consulte Configuración
de una puerta de enlace IKE.
2. (Opcional) Seleccione el perfil criptográfico IPSec predeterminado. Para crear un nuevo perfil de
IPSec, consulte Definición de perfiles criptográficos IPSec.
Configure el intercambio de clave manual.
1. Especifique el SPI para el cortafuegos local: SPI es un índice hexadecimal de 32 bits que se añade al
encabezado de tunelización IPSec para ayudar a diferenciar los distintos flujos de tráfico IPSec; se usa
para crear la SA requerida a fin de establecer un túnel de VPN.
2. Seleccione la Interface (Interfaz) que constituirá el extremo del túnel y, de manera opcional,
seleccione la dirección IP para la interfaz local que es el extremo del túnel.
3. Seleccione el protocolo que se usará: AH o ESP.
4. Para AH, seleccione el método de Authentication (Autenticación) del menú desplegable, introduzca
una Key (Clave) y, a continuación, Confirm Key (Confirme la clave).
5. Para ESP, seleccione el método de Authentication (Autenticación) del menú desplegable, introduzca
una Key (Clave) y, a continuación, Confirm Key (Confirme la clave). A continuación, seleccione
el método de Encryption (Cifrado), introduzca una Key (Clave) y, a continuación, Confirm Key
(Confirme la clave), en caso necesario.
6. Especifique el SPI para el peer remoto.
7. Introduzca la Remote Address (Dirección remota), la dirección IP y el peer remoto.
STEP 6 | Protección contra un ataque de reproducción.

Un ataque de reproducción consiste en interceptar un paquete de forma malintencionada y
retransmitirlo.
Marque la casilla de verificación Show Advanced Options (Mostrar opciones avanzadas), seleccione
Enable Replay Protection (Habilitar protección de reproducción) para detectar y neutralizar ataques de
reproducción.
STEP 7 | (Opcional) Conserve el encabezado Type of Service (Tipo de servicio) para la prioridad o el
tratamiento de paquetes de IP.
En la sección Show Advanced Options (Mostrar opciones avanzadas), seleccione Copy TOS Header
(Copiar encabezado de TOS). De este modo se copia el encabezado de TOS (Tipo de servicio) desde el
encabezado IP interno en el encabezado IP externo de los paquetes resumidos con el fin de preservar la
información original de TOS.
Si existen varias sesiones dentro del túnel (cada una con un valor TOS diferente), el
copiar el encabezado TOS puede hacer que los paquetes IPSec lleguen desordenados.
STEP 8 | Habilite la supervisión de túnel
Deberá asignar una dirección IP a la interfaz de túnel para su supervisión.
Para alertar al administrador de dispositivo de los fallos del túnel y proporcionar una conmutación por
error automática a otra interfaz de túnel:
1. Especifique una Destination IP (IP de destino) en el otro lado del túnel que el supervisor de túnel
utilizará para determinar si el túnel funciona correctamente.
2. Seleccione un Profile (Perfil) para determinar la acción cuando falla un túnel. Para crear un nuevo
perfil, consulte Definición de perfiles supervisión de túnel.
STEP 9 | Cree un ID de proxy para identificar a los peers de VPN.

Este paso es obligatorio solo si el peer VPN usa una VPN basada en políticas.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec) y haga clic en Add (Añadir).
2. Seleccione la pestaña Proxy IDs (ID de proxy).
3. Seleccione la pestaña IPv4 o IPv6.
4. Haga clic en Add (Añadir) e introduzca el nombre de Proxy ID (ID de proxy).
5. Introduzca la dirección IP Local o subred para la puerta de enlace VPN.
6. Introduzca la dirección Remote (Remota) para la puerta de enlace VPN.
7. Seleccione el Protocol (Protocolo) en el menú desplegable:
• Number (Número): especifique el número de protocolo (utilizado para la interoperabilidad con
dispositivos de terceros).
• Any (Cualquiera): permita el tráfico de TCP o UDP.
• TCP: especifique los números de puertos locales y remotos.
• UDP: especifique los números de puertos locales y remotos.


Configuración de la supervisión de túnel
Para ofrecer un servicio VPN ininterrumpido, puede usar la capacidad Detección de fallo del peer junto con
la capacidad de supervisión del túnel en el cortafuegos. También puede supervisar el estado del túnel. Estas
tareas de supervisión se describen en las siguientes secciones:
• Definición de un perfil de supervisión de túnel on page 745
• Visualización del estado de los túneles on page 745
Definición de un perfil de supervisión de túnel

Un perfil de supervisión de túnel le permite verificar la conectividad entre los peers VPN; puede configurar
la interfaz de túnel para hacer ping a una dirección IP de destino con un intervalo determinado y especificar
la acción si la comunicación a través del túnel está cortada.
STEP 1 | Seleccione Network (Red) > Network Profiles (Perfiles de red) > Monitor (Supervisión). Hay un
perfil de supervisión de túnel disponible para su uso.
STEP 2 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) para el perfil.
STEP 3 | Seleccione la Action (Acción) que se realizará si no es posible alcanzar la dirección IP de

destino.
• Wait Recover (Esperar recuperación): el cortafuegos espera a que el túnel se recupere. Continúa
usando la interfaz del túnel para las decisiones de enrutamiento como si el túnel siguiera activo.
• Fail Over (Conmutación por error): desvía el tráfico a una ruta alternativa si hay alguna disponible.
El cortafuegos deshabilita la interfaz del túnel y, por lo tanto, deshabilita cualquier ruta en la tabla de
rutas que use la interfaz.
En ambos casos, el cortafuegos intenta acelerar la recuperación negociando nuevas claves IPSec.
STEP 4 | Especifique el Interval (sec) (Intervalo [s]) y el Threshold (Umbral) para iniciar la acción
especificada.
• El Threshold (Umbral) especifica el número de latidos que se perderán antes de que el cortafuegos
realice la acción especificada (rango: 2 a 100; valor predeterminado: 5).
• Interval (sec) (Intervalo [s]) especifica el tiempo (en segundos) entre latidos (rango: 2 a 10; valor
predeterminado: 3).
STEP 5 | Adjunte el perfil de supervisión a una configuración de túnel IPSec. Consulte Habilitación de la
supervisión de túnel.
Visualización del estado de los túneles

El estado del túnel informa si se han establecido las SA IKE de fase 1 y de fase 2 válidas, y de si está
operativa la interfaz del túnel para el paso de tráfico.
Dado que la interfaz del túnel es una interfaz lógica, no puede indicar el estado del enlace físico. Por lo
tanto, debe habilitar la supervisión de túnel para que la interfaz del túnel pueda verificar la conectividad
a una dirección IP y determinar si la ruta sigue siendo utilizable. Si no se puede alcanzar la dirección IP,
el cortafuegos esperará a la recuperación del túnel o una conmutación por error. Cuando se produce una
conmutación por error, se anula el túnel existente y se inician cambios de enrutamiento para establecer un
nuevo túnel y redirigir el tráfico.
STEP 1 | Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec).

STEP 2 | Visualización del Tunnel Status (Estado de túnel)
• El color verde indica que el túnel de la SA IPSec es válido.
• El color rojo indica que la SA IPSec no está disponible o ha vencido.
STEP 3 | Vea el IKE Gateway Status (Estado de la puerta de enlace de IKE).

• El color verde indica que la SA IKE de fase 1 es válida.
• El color rojo indica que la SA IKE de fase 1 no está disponible o ha vencido.
STEP 4 | Vea el Tunnel Interface Status (Estado de la interfaz del túnel)

• El color verde indica que la interfaz del túnel está activa.
• El color rojo indica que la interfaz de túnel no está activa porque la supervisión del túnel está
habilitada y el estado es desactivado.
Para solucionar problemas de un túnel VPN que aún no esté activo, consulte Interpretación de mensajes
de error de VPN on page 748.
Habilitación/deshabilitación, actualización o reinicio de un

gateway IKE o túnel IPSec
Puede habilitar, deshabilitar, actualizar o reiniciar un gateway IKE o túnel de VPN para facilitar la solución de
problemas.
• Habilitación o deshabilitación de una puerta de enlace de IKE o un túnel IPSec on page 746
• Comportamientos de actualización o reinicio on page 746
• Actualización o reinicio de una puerta de enlace IKE o túnel IPSec on page 747
Habilitación o deshabilitación de una puerta de enlace de IKE o un túnel

IPSec
Habilite o deshabilite una puerta de enlace de IKE o túnel IPSec para facilitar la resolución de problemas.
• Habilite o deshabilite una puerta de enlace IKE.

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Gateways (Puertas de enlace de
IKE) y seleccione la puerta de enlace que desea habilitar o deshabilitar.
2. En la parte inferior de la pantalla, haga clic en Enable (Habilitar) o Disable (Deshabilitar).
• Habilite o deshabilite un túnel IPSec.

1. Seleccione Network (Red) > IPSec Tunnels (Tuneles IPSec) y seleccione el túnel que desea habilitar o
deshabilitar.
2. En la parte inferior de la pantalla, haga clic en Enable (Habilitar) o Disable (Deshabilitar).
Comportamientos de actualización o reinicio

Puede realizar la Actualización o reinicio de una puerta de enlace IKE o túnel IPSec. Los comportamientos
de actualizar y reiniciar para un gateway IKE y túnel IPSec son los siguientes:
Fase Actualizar Reiniciar
Puerta de Actualiza las estadísticas en pantalla para Reinicia la puerta de enlace IKE seleccionada.
enlace IKE la puerta de enlace IKE seleccionada.

Fase Actualizar Reiniciar
(IKE de fase Equivale a emitir un segundo comando IKEv2: También reinicia cualquier asociación
1) show en el CLI (tras un comando show de seguridad (SA) IPSec secundaria.
inicial).
IKEv1: No reinicia las SA IPSec asociadas.
Un reinicio interrumpe todas las sesiones
existentes.
Equivale a emitir una secuencia de comandos
clear, test, show en la CLI.
Túnel IPSec Actualiza las estadísticas en pantalla para Reinicia el túnel IPSec.
(IKE de fase el túnel IPSec seleccionado.
Un reinicio interrumpe todas las sesiones
2)
Equivale a emitir un segundo comando existentes.
show en el CLI (tras un comando show
Equivale a emitir una secuencia de comandos
inicial).
clear, test, show en la CLI.
Actualización o reinicio de una puerta de enlace IKE o túnel IPSec

Tenga en cuenta que el resultado de reiniciar una puerta de enlace IKE depende de si se trata de IKEv1 o
IKEv2. Consulte Comportamientos de actualización o reinicio para una puerta de enlace de IKE (IKEv1 e
IKEv2) y para un túnel IPSec.
• Actualice o reinicie una puerta de enlace IKE.

1. Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y seleccione el túnel para la puerta de
enlace que desea actualizar o reiniciar.
2. En la fila correspondiente a ese túnel, en la columna Status (Estado), haga clic en IKE Info.
3. En la parte inferior de la pantalla Info IKE, haga clic en la acción que desea:
• Refresh (Actualizar): actualiza las estadísticas en pantalla.
• Restart (Reiniciar): borra las SA, de modo que el tráfico se descarta hasta que se inicie la
negociación IKE de nuevo y se vuelva a crear el túnel.
• Actualice o reinicie un túnel IPSec.

Puede determinar que es necesario actualizar o reiniciar el túnel porque usa la supervisión de túneles
para supervisar el estado del túnel, o usa un supervisor de red externo para supervisar la conectividad de
red a través del túnel IPSec.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y seleccione el túnel que desea actualizar
o reiniciar.
2. En la fila de ese túnel, en la columna Status (Estado), haga clic en Tunnel Info (Información de túnel).
3. En la parte inferior de la pantalla Información de túnel, haga clic en la acción que desea:
• Refresh (Actualizar): actualiza las estadísticas en pantalla.
• Restart (Reiniciar): borra las SA, de modo que el tráfico se descarta hasta que se inicie la
negociación IKE de nuevo y se vuelva a crear el túnel.
Prueba de conectividad VPN

Realice esta tarea para probar la conectividad VPN.

STEP 1 | Inicie el IKE de fase 1 haciendo un ping a un host a través del túnel o usando el siguiente
comando del CLI:
test vpn ike-sa gateway <gateway_name>
STEP 2 | Introduzca el siguiente comando para probar si el IKE de fase 1 está configurado:
show vpn ike-sa gateway <gateway_name>
En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes

del log del sistema para interpretar el motivo del fallo.
STEP 3 | Inicie el IKE de fase 2 haciendo un ping a un host a través del túnel o usando el siguiente
comando del CLI:
test vpn ipsec-sa tunnel <tunnel_name>
STEP 4 | Introduzca el siguiente comando para probar si el IKE de fase 2 está configurado:
show vpn ipsec-sa tunnel <tunnel_name>
En el resultado, compruebe si se muestra la asociación de seguridad. De lo contrario, revise los mensajes

del log del sistema para interpretar el motivo del fallo.
STEP 5 | Para ver la información del flujo de tráfico VPN, use el siguiente comando.
show vpn-flow
total tunnels configured: 1
filter - type IPSec, state any
total IPSec tunnel configured: 1

total IPSec tunnel shown: 1
name id state local-ip peer-ip

tunnel-i/f
-----------------------------------------------------------------------------------
vpn-to-siteB 5 active 100.1.1.1 200.1.1.1 tunnel.41
Interpretación de mensajes de error de VPN

La siguiente tabla enumera algunos de los mensajes de error de VPN más comunes que se registran en el log
del sistema.
Table 7: Mensajes de error de Syslog para problemas de VPN
Si el error es: Pruebe a:
IKE phase-1 negotiation is failed • Verificar si la dirección IP pública

as initiator, main mode. Failed de cada peer VPN es precisa en la
SA: x.x.x.x(500)-y.y.y.y(500) configuración del gateway IKE.

Si el error es: Pruebe a:
cookie:84222f276c2fa2e9:0000000000000000 due • Verificar si se puede hacer ping
to timeout. a las direcciones IP y que los
problemas de enrutamiento no están
o
provocando el fallo de conexión.
IKE phase 1 negotiation is failed. Couldn’t
find configuration for IKE phase-1 request
for peer IP x.x.x.x(1929)
Received unencrypted notify payload (no Comprobar el perfil criptográfico

proposal chosen) from IP x.x.x.x(500) to IKE para verificar que las propuestas
y.y.y.y(500), ignored... en ambos lados tienen un cifrado,
autenticación y propuesta de grupo DH
o
comunes.
IKE phase-1 negotiation is failed. Unable to
process peer’s SA payload.
pfs group mismatched:my: 2peer: 0 Comprobar la configuración del perfil

criptográfico IPSec para verificar que:
o
• los dos peers VPN tienen el
IKE phase-2 negotiation failed when
mismo valor de pfs: habilitado o
processing SA payload. No se encontró
deshabilitado
propuesta adecuada en la carga SA del peer.
• los grupos DH propuestos por cada
peer tienen al menos un grupo DH
en común
IKE phase-2 negotiation failed when El peer VPN de un extremo está

processing Proxy ID. Recibió id local usando una VPN basada en políticas.
x.x.x.x/x tipo IPv4 dirección de protocolo Debe configurar un ID de proxy en el
0 puerto 0, recibió id remota y.y.y.y/y tipo cortafuegos de Palo Alto Networks.
IPv4 dirección de protocolo 0 puerto 0. Consulte Creación de una ID de proxy
para identificar a los peers de VPN.

Configuraciones rápidas de VPN de sitio a sitio
En las siguientes secciones se proporcionan instrucciones detalladas para configurar algunas
implementaciones globales de VPN:
• VPN de sitio a sitio con rutas estáticas on page 750
• VPN de sitio a sitio con OSPF on page 753
• VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico on page 757
VPN de sitio a sitio con rutas estáticas

Los siguientes ejemplos muestran una conexión VPN entre dos sitios que usan rutas estáticas. Sin
enrutamiento dinámico, las interfaces de túnel en el peer A de VPN y el peer B de VPN no necesitan una
dirección IP porque el cortafuegos usa automáticamente la interfaz del túnel como el próximo salto para
el enrutamiento de tráfico a través de los sitios. Sin embargo, para habilitar la supervisión del túnel, se ha
asignado una dirección IP estática a cada interfaz de túnel.
STEP 1 | Configure una interfaz de capa 3.

Esta interfaz se usa para el túnel IKE de fase 1.
1. Seleccione Network (Red) > Interfaces > Ethernet y, a continuación, seleccione la interfaz que desee
configurar para la VPN.
2. Seleccione Layer3 en el menú desplegable Interface Type (Tipo de interfaz).
3. En la pestaña Config, seleccione la Security Zone (Zona de seguridad) a la que pertenezca la interfaz:
• La interfaz debe ser accesible desde una zona fuera de su red fiable. Considere la posibilidad de
crear una zona de VPN específica para lograr la visibilidad y el control necesarios del tráfico de su
VPN.
• Si todavía no ha creado la zona, seleccione New Zone (Nueva zona) en el menú desplegable
Security Zone (Zona de seguridad), defina un Name (Nombre) para la nueva zona y, a
continuación, haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual) que debe utilizarse.
192.168.210.26/24.
En este ejemplo, la configuración para el peer A de VPN es:

• Interface (Interfaz): ethernet1/7
• Security Zone (Zona de seguridad): untrust (no fiable)
• Virtual Router (Enrutador virtual): default (predeterminado)
• IPv4: 192.168.210.26/24
La configuración para el peer B de VPN es:
• IPv4: 192.168.210.120/24
STEP 2 | Cree una interfaz de túnel y vincúlela a un enrutador virtual y una zona de seguridad.
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y haga clic en Add (Añadir).
para definir la zona del siguiente modo:
• Para usar una zona fiable como punto de finalización del túnel, seleccione la zona en el menú
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga clic
en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para una
nueva zona, por ejemplo vpn-tun, y haga clic en OK (Aceptar).
4. Seleccione el Virtual Router (Enrutador virtual).
5. (Opcional) Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic
en Add (Añadir) en la sección IP e introduzca la dirección IP y la máscara de red para asignarlas a la
interfaz.
Con rutas estáticas, la interfaz de túnel no necesita una dirección IP. Para el tráfico destinado a una
subred/dirección IP específica, la interfaz de túnel se convertirá automáticamente en el próximo salto.
Plantéese añadir una dirección IP si quiere habilitar la supervisión de túnel.
• Interface (Interfaz): tunnel.10 (túnel.10)
• Security Zone (Zona de seguridad): vpn_tun
• IPv4: 172.19.9.2/24
• IPv4: 192.168.69.2/24
STEP 3 | Configure una ruta estática, en el servidor virtual, a la subred de destino.

1. Seleccione Network (Red) > Virtual Router (Enrutador virtual) y haga clic en el enrutador que ha
definido en el paso anterior.
2. Seleccione Static Route (Ruta estática), haga clic en Add (Añadir) e introduzca una nueva ruta para
acceder a la subred que se encuentra en el otro extremo del túnel.
• Destination (Destino): 192.168.69.0/24

• Destination (Destino): 172.19.9.0/24
STEP 4 | Configure los perfiles criptográficos (perfil criptográfico IKE para fase 1 y perfil criptográfico
IPSec para fase 2).
Complete esta tarea en ambos peers y asegúrese de definir valores idénticos.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Crypto (Criptográfico IKE). En
este ejemplo, hemos usado el perfil predeterminado.
2. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IPSec Crypto (Criptográfico IPSec).
En este ejemplo, hemos usado el perfil predeterminado.
STEP 5 | Configure la puerta de enlace IKE.

1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > IKE Gateway (Puerta de enlace de
IKE).
2. Haga clic en Add (Añadir) y configure las opciones en la pestaña General.
• Local IP address (Dirección IP local): 192.168.210.26/24
• Peer IP type/address (Tipo/Dirección IP del peer): static (estática)/192.168.210.120
• Preshared keys (Claves previamente compartidas): introduzca un valor
• Local identification (Identificación local): None (Ninguna); significa que la dirección IP local se
utilizará como el valor de identificación local.
• La configuración para el peer B de VPN es:
• Peer IP type/address (Tipo/Dirección IP del peer): estática/192.168.210.26
• Preshared keys (Claves previamente compartidas): introduzca el mismo valor que el del peer A
• Local identification (Identificación local): ninguna
3. Seleccione Advanced Phase 1 Options (Opciones de fase 1 avanzadas) y seleccione el perfil
criptográfico de IKE que ha creado anteriormente para usar IKE de fase 1.
STEP 6 | Configure el túnel IPSec.

1. Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec).
• Tunnel Interface (Interfaz del túnel): tunnel.10 (túnel.10)
• Type (Tipo): clave automática
• IKE Gateway (Puerta de enlace de IKE): seleccione la puerta de enlace de IKE definida más arriba.
• IPSec Crypto Profile (Perfil criptográfico IPSec): seleccione el perfil criptográfico IPSec definido
en el paso 4.
• Tunnel Interface (Interfaz de túnel): tunnel.11 (túnel.11)
• Type (Tipo): Auto Key (clave automática)

• IPSec Crypto Profile (Perfil criptográfico IPSec): seleccione el perfil criptográfico IPSec definido
en el paso 4.
3. (Opcional) Seleccione Show Advanced Options (Mostrar opciones avanzadas), seleccione Tunnel
Monitor (Supervisor de túnel) y especifique una dirección IP de destino para hacer ping para verificar
la conectividad. Normalmente, se usa la dirección IP de la interfaz de túnel del peer de VPN.
4. (Opcional) Para definir la acción que se realizará si no es posible establecer conectividad, consulte
Definición de un perfil de supervisión de túnel.
STEP 7 | Cree políticas para permitir el tráfico entre los sitios (subredes).
2. Cree reglas para permitir el tráfico entre la zona no fiable y la zona vpn-tun y la zona vpn-tun y la
zona no fiable para tráfico que se origine desde el origen especificado y las direcciones IP de destino.
STEP 8 | Confirme cualquier cambio de configuración pendiente.

STEP 9 | Prueba de conectividad VPN.

Consulte también Visualización del estado de los túneles.
VPN de sitio a sitio con OSPF

En este ejemplo, cada sitio usa OSPF para enrutamiento o tráfico dinámicos. La dirección IP del túnel en
cada peer de VPN se asigna estáticamente y sirve como el próximo salto para el enrutamiento de tráfico
entre dos sitios.
STEP 1 | Configure las interfaces de capa 3 en cada cortafuegos.

1. Seleccione Network (Red) > Interfaces > Ethernet y, a continuación, seleccione la interfaz que quiera
VPN.

192.168.210.26/24.
• IPv4: 100.1.1.1/24
• IPv4: 200.1.1.1/24
desplegable.
en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para una
nueva zona (por ejemplo, vpn-tun), y haga clic en OK (Aceptar).
5. Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Add
(Añadir) en la sección IP e introduzca la dirección IP y la máscara de red/prefijo para asignarlas a la
interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará como dirección IP de próximo salto para enrutar el tráfico al túnel y
también puede usarse para supervisar el estado del túnel.
• IPv4: 2.1.1.141/24
• Interface (Interfaz): túnel.40
• IPv4: 2.1.1.140/24

IPSec para fase 2).
STEP 4 | Establezca la configuración OSPF en el enrutador virtual y adjunte las áreas OSPF con las
interfaces apropiadas en el cortafuegos.
Para obtener más información sobre las opciones OSPF disponibles en el cortafuegos, consulte
Configuración de OSPF.
Use Broadcast como el tipo de enlace cuando haya más de dos enrutadores OSPF que necesiten
intercambiar información de enrutamiento.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador
predeterminado o añada uno nuevo.
2. Seleccione OSPF (para IPv4) o OSPFv3 (para IPv6) y seleccione Enable (Habilitar).
3. En este ejemplo, la configuración OSPF para el peer A de VPN es:
• Router ID (ID del enrutador): 192.168.100.141
• Area ID (ID de área): 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p
• Area ID (ID de área): 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace:
Broadcast
La configuración OSPF para el peer B de VPN es:
• Router ID (ID del enrutador): 192.168.100.140
• Area ID (ID de área): 0.0.0.0 que se asigna a la interfaz del túnel.1 con el tipo de enlace: p2p
• Area ID (ID de área): 0.0.0.20 que se asigna a la interfaz Ethernet1/15 con el tipo de enlace:
Difusión

Estos ejemplos usan direcciones IP estáticas para ambos peers VPN. Normalmente, la sede usa
una dirección IP configurada estáticamente y la sucursal puede usar una dirección IP dinámica; las
direcciones IP dinámicas no son las más indicadas para configurar servicios estables como VPN.
IKE).
• Peer IP address (Dirección IP del peer): 200.1.1.1/24
• Preshared keys (Claves previamente compartidas): introduzca un valor
• Peer IP address (Dirección IP del peer): 100.1.1.1/24
3. Seleccione el perfil criptográfico IKE que ha creado anteriormente para usar IKE de fase 1.

• IPSec Crypto Profile (Perfil criptográfico de IPSec): seleccione la puerta de enlace de IKE definida
en más arriba.
en más arriba.
3. Seleccione Show Advanced Options (Mostrar opciones avanzadas), seleccione Tunnel Monitor
(Supervisor de túnel) y especifique una dirección IP de destino para hacer ping para verificar la
conectividad.
4. Para definir la acción que se realizará si no es posible establecer conectividad, consulte Definición de
perfiles supervisión de túnel.
STEP 8 | Verifique las adyacencias OSPF y las rutas desde el CLI.

Verifique que ambos cortafuegos puedan verse entre sí con estado completo. Confirme además la
dirección IP de la interfaz del túnel del peer de VPN y el ID del enrutador OSPF. Use los siguientes
comandos del CLI con cada peer de VPN:
• show routing protocol ospf neighbor

• show routing route type ospf

Consulte Configuración de la supervisión del túnel y Visualización del estado de los túneles.
VPN de sitio a sitio con rutas estáticas y enrutamiento dinámico

En este ejemplo, un sitio usa rutas estáticas y el otro sitio usa OSPF. Cuando el protocolo de enrutamiento
no es el mismo entre ubicaciones, la interfaz del túnel en cada cortafuegos debe estar configurada con una
dirección IP estática. A continuación, permita el intercambio de información de enrutamiento, el cortafuegos
que participa tanto en el proceso de enrutamiento estático como el dinámico debe configurarse con un
Perfil de redistribución. Configurar el perfil de redistribución habilita al enrutador virtual para redistribuir y
filtrar rutas entre protocolos (rutas estáticas, rutas conectadas y hosts) desde el sistema autónomo estático
al sistema autónomo OSPF. Sin este perfil de redistribución, cada protocolo funciona por su cuenta y no
intercambia ninguna información de ruta con otros protocolos que se ejecutan en el mismo enrutador
virtual.
En este ejemplo, la oficina satélite tiene rutas estáticas y todo el tráfico destinado a la red 192.168.x.x se
enruta al túnel .41. El enrutador virtual del peer B de VPN participa tanto en el proceso de enrutamiento
dinámico como el estático y está configurado como un perfil de redistribución para propagar (exportar) las
rutas estáticas al sistema autónomo OSPF.

STEP 1 | Configure las interfaces de capa 3 en cada cortafuegos.
VPN.
192.168.210.26/24.
• IPv4: 100.1.1.1/24
• IPv4: 200.1.1.1/24
IPSec para fase 2).


Con claves compartidas previamente, para añadir el escrutinio de autenticación al configurar el túnel IKE
de fase 1, puede configurar atributos de identificación de peer y local, y un valor correspondiente con el
que coincide en el proceso de negociación.
IKE).
• Peer IP type (Tipo de IP de peer): dynamic (dinámica)
• Preshared keys (Claves previamente compartidas): enter a value (introduzca un valor)
• Local identification (Identificación local): seleccione FQDN(hostname) (FQDN [nombre de host])
e introduzca un valor para el peer A de VPN.
• Peer identification (Identificación del peer): seleccione FQDN(hostname) (FQDN [nombre de
host]) e introduzca un valor para el peer B de VPN.
• Peer IP address (Dirección IP de peer): dynamic (dinámica)
• Local identification (Identificación local): seleccione FQDN(hostname) (FQDN [nombre de host])
e introduzca un valor para el peer B de VPN.
• Peer identification (Identificación del peer): seleccione FQDN(hostname) (FQDN [nombre de
host]) e introduzca un valor para el peer A de VPN.
3. Seleccione el perfil criptográfico IKE que ha creado anteriormente para usar IKE de fase 1.
2. En el campo Interface Name (Nombre de interfaz), especifique un sufijo numérico, p. ej., .41.
3. En la pestaña Config, amplíe el menú desplegable Security Zone (Zona de seguridad) para definir la
zona del siguiente modo:
desplegable.
en New Zone (Nueva zona). En el cuadro de diálogo Zone (Zona), defina un Name (Nombre) para
una nueva zona, por ejemplo vpn-tun, y haga clic en OK (Aceptar).
5. Asigne una dirección IP a la interfaz de túnel, seleccione la pestaña IPv4 o IPv6, haga clic en Add
(Añadir) en la sección IP e introduzca la dirección IP y la máscara de red/prefijo para asignarlas a la
interfaz, por ejemplo, 172.19.9.2/24.
Esta dirección IP se usará para enrutar el tráfico al túnel y supervisar el estado del túnel.

• IPv4: 2.1.1.141/24
• IPv4: 2.1.1.140/24
STEP 5 | Especifique la interfaz para enrutar el tráfico a un destino en la red 192.168.x.x.

1. En el peer A de VPN, seleccione el enrutador virtual.
2. Seleccione Static Routes (Rutas estáticas) y Add (Añadir) para añadir túnel.41 como la Interface
(Interfaz) para el enrutamiento de tráfico con un Destination (Destino) en la red 192.168.x.x.
STEP 6 | Establezca la ruta estática y la configuración OSPF en el enrutador virtual y adjunte las áreas
OSPF con las interfaces apropiadas en el cortafuegos.
1. En el peer B de VPN, seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione
el enrutador predeterminado o añada uno nuevo.
2. Seleccione Static Routes (Rutas estáticas) y Add (Añadir) para añadir la dirección IP del túnel como el
próximo salto para el tráfico en la red 172.168.x.x.
Asigne la métrica de ruta deseada; usando un valor bajo se aumenta la prioridad para la selección de
ruta en la tabla de reenvíos.
3. Seleccione OSPF (para IPv4) u OSPFv3 (para IPv6) y seleccione Enable (Habilitar).
4. En este ejemplo, la configuración OSPF para el peer B de VPN es:
• ID del enrutador: 192.168.100.140
• ID de área: 0.0.0.0 se asigna a la interfaz Ethernet1/12 con el tipo de enlace: Broadcast
• ID de área: 0.0.0.10 que se asigna a la interfaz Ethernet1/1 con el tipo de enlace: Broadcast
• ID de área: 0.0.0.20 se asigna a la interfaz Ethernet1/15 con el tipo de enlace: Broadcast
STEP 7 | Cree un perfil de redistribución para inyectar las rutas estáticas en el sistema autónomo OSPF.
1. Cree un perfil de redistribución en el peer B de VPN.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador que
ha usado más arriba.
2. Seleccione Redistribution Profiles (Perfiles de redistribución) y haga clic en Add (Añadir).
3. Introduzca un nombre para el perfil, seleccione Redist y asigne un valor de Priority (Prioridad). Si
ha configurado múltiples perfiles, coincidirá primero el perfil con el valor de propiedad más bajo.
4. Defina Source Type (Tipo de origen) como static (estático) y haga clic en OK (Aceptar). Se usará la
ruta estática definida en el 6-b para la redistribución.
2. Inyecte rutas estáticas en el sistema OSPF.
1. Seleccione OSPF > Export Rules (Reglas de exportación) (para IPv4) u OSPFv3 > Export Rules
(Reglas de exportación) (para IPv6).
2. Haga clic en Add (Añadir) y seleccione el perfil de redistribución que acaba de crear.
3. Seleccione cómo se llevan las rutas externas al sistema OSPF. La opción predeterminada, Ext2,
calcula el coste total de la ruta usando solo métricas externas. Para usar métricas OSPF tanto
internas como externas, use Ext1.

4. Asigne una Metric (Métrica) (valor de coste) a las rutas inyectadas en el sistema OSPF. Esta opción
le permite cambiar la métrica para la ruta inyectada al entrar en el sistema OSPF.

• Type (Tipo): Auto Key (Clave automática)
en más arriba.
• Type (Tipo): Auto Key (Clave automática)
en más arriba.
3. Seleccione Show Advanced Options (Mostrar opciones avanzadas), seleccione Tunnel Monitor
(Supervisor de túnel) y especifique una dirección IP de destino para hacer ping para verificar la
conectividad.
4. Para definir la acción que se realizará si no es posible establecer conectividad, consulte Definición de
perfiles supervisión de túnel.
STEP 10 | Verifique las adyacencias OSPF y las rutas desde el CLI.

Verifique que ambos cortafuegos puedan verse entre sí con estado completo. Confirme además la
dirección IP de la interfaz del túnel del peer de VPN y el ID del enrutador OSPF. Use los siguientes
comandos del CLI con cada peer de VPN:
• show routing protocol ospf neighbor

• show routing route
A continuación se muestra un ejemplo de salida en cada peer de VPN.

Consulte Configuración de la supervisión del túnel y Visualización del estado de los túneles.

VPN a gran escala (LSVPN)
La función VPN a gran escala (LSVPN) de GlobalProtect incluida en el cortafuegos de nueva
generación de Palo Alto Networks simplifica la implementación de VPN de topología en
estrella tradicionales, lo que le permite implementar rápidamente redes empresariales con
varias sucursales con una cantidad mínima de configuración obligatoria en los dispositivos
satélite remotos. Esta solución utiliza certificados para la autenticación de cortafuegos e IPSec
para proteger datos.
LSVPN habilita VPN de sitio a sitio entre cortafuegos de Palo Alto Networks.
Para configurar una VPN de sitio a sitio entre un cortafuegos de Palo Alto
Networks y otro dispositivo, consulte VPN on page 723.
Los siguientes temas describen los componentes de LSVPN y cómo configurarlos para habilitar
servicios de VPN de sitio a sitio entre cortafuegos de Palo Alto Networks:
> Descripción general de LSVPN on page 765

> Creación de interfaces y zonas para la LSVPN on page 766
> Habilitación de SSL entre componentes de LSVPN de GlobalProtect on page 768
> Configuración del portal para autenticar satélites on page 774
> Configuración de puertas de enlace de GlobalProtect para LSVPN on page 776
> Configuración del portal de GlobalProtect para LSVPN on page 780
> Preparación del satélite para unirse a la LSVPN on page 785
> Verificación de la configuración de LSVPN on page 788
> Configuraciones rápidas de LSVPN on page 789
763
764 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN)
Descripción general de LSVPN
GlobalProtect proporciona una completa infraestructura para gestionar el acceso seguro a recursos
corporativos desde sus ubicaciones remotas. Esta infraestructura incluye los siguientes componentes:
• Portal de GlobalProtect: Proporciona las funciones de gestión necesarias para su infraestructura de
LSVPN de GlobalProtect. Cada satélite que participa en la LSVPN de GlobalProtect recibe información
de configuración del portal, incluida información de configuración para permitir que los satélites (los
radios) se conecten a las puertas de enlace (los concentradores). El portal se configura en una interfaz de
cualquier cortafuegos de última generación de Palo Alto Networks.
• Puertas de enlace de GlobalProtect: cortafuegos de Palo Alto Networks que proporciona el extremo
del túnel para conexiones de satélites. Los recursos a los que acceden los satélites están protegidos por
la política de seguridad de la puerta de enlace. No es obligatorio tener un portal y una puerta de enlace
separados; un único cortafuegos puede actuar tanto de portal como de puerta de enlace.
• Satélite de GlobalProtect: cortafuegos de Palo Alto Networks en una ubicación remota que establece
túneles de IPSec con las puertas de enlace de sus sedes para lograr un acceso seguro a recursos
centralizados. La configuración del cortafuegos del satélite es mínima, lo que le permite ajustar rápida y
fácilmente su VPN a medida que añada nuevas ubicaciones.
El siguiente diagrama muestra cómo funcionan los componentes de LSVPN de GlobalProtect en conjunto.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | VPN a gran escala (LSVPN) 765
Creación de interfaces y zonas para la LSVPN
Debe configurar las siguientes interfaces y zonas para su infraestructura de LSVPN:
• Portal de GlobalProtect: requiere una interfaz de capa 3 para que se conecten los satélites de
GlobalProtect. Si el portal y el gateway se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde sus sucursales.
• Gateways de GlobalProtect: Requiere tres interfaces: una interfaz de capa 3 en la zona a la que
pueden acceder los satélites remotos, una interfaz interna en la zona fiable que se conecta con los
recursos protegidos y una interfaz de túnel lógica para finalizar los túneles de VPN desde los satélites. A
diferencia de otras soluciones de VPN de sitio a sitio, el gateway de GlobalProtect solamente requiere
una única interfaz de túnel, que utilizará para las conexiones de túnel con todos sus satélites remotos
(punto a multipunto). Si tiene la intención de utilizar el enrutamiento dinámico, deberá asignar una
dirección IP a la interfaz de túnel. GlobalProtect admite el direccionamiento IPv6 e IPv4 para la interfaz
de túnel.
• Satélite de GlobalProtect: Requiere una única interfaz de túnel para establecer una VPN con
los gateways remotos (hasta un máximo de 25 gateways). Si tiene la intención de utilizar el
enrutamiento dinámico, deberá asignar una dirección IP a la interfaz de túnel. GlobalProtect admite el
direccionamiento IPv6 e IPv4 para la interfaz de túnel.
Si desea más información sobre portales, puertas de enlace y satélites, consulte Descripción general de
LSVPN.

El portal y cada gateway y cada satélite requieren una interfaz de capa 3 para permitir que el tráfico se
enrute entre las distintas ubicaciones.
Si el gateway y el portal se encuentran en el mismo cortafuegos, puede utilizar una única interfaz para
ambos componentes.
configurar para la LSVPN de GlobalProtect.
3. En la pestaña Config (Configurar), seleccione la Security Zone (Zona de seguridad) a la que
pertenezca la interfaz:
VPN.
5. Asigne una dirección IP a la interfaz:
• Para una dirección IPv4, seleccione IPv4 y Add (Añadir) para añadir la dirección IP y la máscara de
red para asignar a la interfaz; por ejemplo, 203.0.11.100/24.
• Para una dirección IPv6, seleccione IPv6, Enable IPv6 on the interface (Habilitar IPv6 en la
interfaz) y Add (Añadir) para añadir la dirección IP y la máscara de red para asignar a la interfaz;
por ejemplo, 2001:1890:12f2:11::10.1.8.160/80.
STEP 2 | En los cortafuegos donde se alojen gateways de GlobalProtect, configure la interfaz de túnel
lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
No se requieren direcciones IP en la interfaz de túnel a menos que tenga la intención de

utilizar el enrutamiento dinámico. Sin embargo, asignar una dirección IP a la interfaz de
túnel puede resultar útil para solucionar problemas de conexión.
Asegúrese de habilitar User-ID en la zona donde finalizan los túneles de VPN.
desplegable.
• (Recomendado) Si desea crear una zona separada para la finalización del túnel de VPN, haga
clic en New Zone (Nueva zona). En el cuadro de diálogo Zona, defina un Name (Nombre) para la
nueva zona (por ejemplo, lsvpn-tun), seleccione la casilla de verificación Enable User Identification
(Habilitar identificación de usuarios) y, a continuación, haga clic en OK (Aceptar).
5. (Opcional) Para asignar una dirección IP a la interfaz de túnel:
por ejemplo, 2001:1890:12f2:11::10.1.8.160/80.
STEP 3 | Si ha creado una zona separada para la finalización del túnel de las conexiones VPN, cree una
política de seguridad para habilitar el flujo de tráfico entre la zona VPN y su zona fiable.
Por ejemplo, una regla de política habilita el tráfico entre la zona lsvpn-tun y la zona L3-Trust.

Habilitación de SSL entre componentes de
LSVPN de GlobalProtect
Toda la interacción entre los componentes de GlobalProtect se realiza a través de una conexión SSL/TLS.
Por lo tanto, debe generar y/o instalar los certificados necesarios antes de configurar cada componente,
de modo que pueda hacer referencia a los certificados y/o perfiles de certificados adecuados en las
configuraciones de cada componente. En las siguientes secciones se describen los métodos compatibles de
implementación de certificados, las descripciones y las directrices de recomendaciones para los diversos
certificados de GlobalProtect, además de ofrecer instrucciones para la generación e implementación de los
certificados necesarios:
• Acerca de la implementación de certificados on page 768
• Implementación de certificados de servidor en los componentes de LSVPN de GlobalProtect on page
768
• Implementación de certificados cliente en los satélites de GlobalProtect usando SCEP on page 771
Acerca de la implementación de certificados

Hay dos métodos básicos para implementar certificados para LSVPN de GlobalProtect:
• Autoridad de certificación empresarial: Si ya cuenta con su propia entidad de certificación empresarial,
puede utilizar esta CA interna para emitir un certificado de CA intermedio para el portal de GlobalProtect
para habilitarlo con el fin de que emita certificados para los gateways y los satélites de GlobalProtect.
También puede configurar el portal de GlobalProtect para que funcione como cliente de protocolo de
inscripción de certificados simple (Simple Certificate Enrollment Protocol, SCEP) para emitir certificados
cliente a satélites de GobalProtect.
• Certificados autofirmados: Puede generar un certificado de CA raíz autofirmado en el cortafuegos
y usarlo para emitir certificados de servidor para el portal, los gateways y los satélites. La práctica
recomendada es crear un certificado de CA raíz autofirmado en el portal y utilizarlo para emitir
certificados de servidor para los gateways y los satélites. De este modo, la clave privada utilizada para la
firma del certificado permanece en el portal.
Implementación de certificados de servidor en los componentes de

LSVPN de GlobalProtect
Los componentes de LSVPN de GlobalProtect utilizan SSL/TLS para autenticarse mutuamente. Antes
de implementar el LSVPN, debe asignar un perfil de servicio SSL/TLS a cada portal y gateway. El perfil
especifica el certificado del servidor y versiones de TLS permitidas para la comunicación con dispositivos
satélite. No necesita crear perfiles de servicio SSL/TLS para los dispositivos satélite debido a que el portal
emitirá un certificado de servidor para cada satélite durante la primera conexión como parte del proceso de
registro del dispositivo satélite.
Además, debe importar el certificado de entidad de certificación (CA) raíz utilizado para emitir los
certificados de servidor en cada cortafuegos que tenga la intención de alojar como puerta de enlace o
satélite. Por último, en cada puerta de enlace y satélite que participe en la LSVPN, deberá configurar un
perfil de certificado que los habilitará para establecer una conexión SSL/TLS mediante la autenticación
mutua.
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de LSVPN de GlobalProtect:
STEP 1 | En el cortafuegos que aloja el portal GlobalProtect, cree el certificado de CA raíz para la
emisión de certificados autofirmados para los componentes de GlobalProtect.
Creación de un certificado de CA raíz autofirmado:
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Generate (Generar).
2. Introduzca un Certificate Name (Nombre de certificado), como LSVPN_CA.
3. No seleccione ningún valor en el campo Signed By (Firmado por) (esto es lo que indica que está
autofirmado).
4. Seleccione la casilla de verificación Certificate Authority (Autoridad del certificado) y, a continuación,
haga clic en OK (Aceptar) para generar el certificado.
STEP 2 | Cree perfiles de servicio SSL/TLS para el portal y los gateways GlobalProtect.
Para el portal y cada gateway, debe asignar un perfil de servicio SSL/TLS que haga referencia a un único
certificado de servidor autofirmado.
La práctica recomendada es emitir todos los certificados necesarios en el portal, para

que el certificado de firma (con la clave privada) no tenga que exportarse.
Si el portal y gateway GlobalProtect se encuentran en la misma interfaz del cortafuegos,

puede utilizar el mismo certificado de servidor para ambos componentes.
1. Utilice la CA raíz en el portal para la generación de un certificado para cada puerta de enlace que
implemente:
(Certificados) > Device Certificates (Certificados de dispositivo) y haga clic en Generate
(Generar).
2. Introduzca un Certificate Name (Nombre de certificado).
3. Introduzca el FQDN (recomendado) o la dirección IP de la interfaz donde pretende configurar la
puerta de enlace en el campo Common Name (Nombre común).
4. En el campo Signed By (Firmado por), seleccione el certificado LSVPN_CA que acaba de crear.
5. En la sección Atributos del certificado, haga clic en Add (Añadir) y defina los atributos para
identificar de forma exclusiva la puerta de enlace. Tenga en cuenta que si añade un atributo
Host Name (Nombre de host) (que cumplimenta el campo SAN del certificado), debe coincidir
exactamente con el valor que haya definido en el campo Common Name (Nombre común).
2. Configure un perfil de servicio SSL/TLS para el portal y cada puerta de enlace:
1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SSL/TLS
Service Profile (Perfil de servicio SSL/TLS) y haga clic en Add (Añadir).
2. Introduzca un nombre en Name (Nombre) para identificar el perfil y seleccione el Certificate
(Certificado) de servidor que acaba de crear para el portal o puerta de enlace.
3. Defina el intervalo de versiones TLS (Min Version [Versión mín.]) a Max Version [Versión máx.])
permitido para comunicarse con dispositivos satélite y haga clic en OK (Aceptar).
STEP 3 | Implemente los certificados de servidor autofirmados en los gateways.
Recomendaciones:
• Exporte los certificados de servidor autofirmados emitidos por la CA raíz desde el portal e impórtelos
en los gateways.
• Asegúrese de emitir un único certificado de servidor para cada gateway.
• El campo de nombre común (CN) y, si es aplicable, de nombre alternativo del asunto (SAN) del
certificado deben coincidir con la dirección IP o con el nombre de dominio completo (FQDN) de la
interfaz donde configure el gateway.
1. En el portal, seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) >
Certificates (Certificados) > Device Certificates (Certificados de dispositivo), seleccione el certificado
de puerta de enlace que desea implementar y haga clic en Export (Exportar).
2. Seleccione Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado) en el
menú desplegable File Format (Formato de archivo).
3. Introduzca dos veces una Passphrase (Frase de contraseña) para cifrar la clave privada asociada
al certificado y, a continuación, haga clic en OK (Aceptar) para descargar el archivo PKCS12 en su
ordenador.
4. En la puerta de enlace, seleccione Device (Dispositivo) > Certificate Management (Gestión de
certificados) > Certificates (Certificados) > Device Certificates (Certificados de dispositivo) y haga
clic en Import (Importar).
5. Introduzca un Certificate Name (Nombre de certificado).
6. Introduzca la ruta y el nombre en el Certificate File (Archivo de certificado) que acaba de descargar
del portal o seleccione Browse (Examinar) para buscar el archivo.
7. Seleccione Encrypted Private Key and Certificate (PKCS12) (Clave privada cifrada y certificado
[PKCS12]) como el File Format (Formato de archivo).
8. Introduzca la ruta y nombre en el archivo PKCS#12 en el campo Key File (Archivo de clave) o
seleccione Browse (Examinar) para encontrarla.
9. Vuelva a introducir la Passphrase (Frase de contraseña) que usó para cifrar la clave privada cuando la
exportó del portal y después haga clic en OK (Aceptar) para importar el certificado y la clave.
STEP 4 | Importe el certificado de CA raíz utilizado para la emisión de certificados de servidor para los
componentes de LSVPN.
Debe importar el certificado de CA raíz en todas los gateways y los satélites. Por motivos de seguridad,
asegúrese de exportar únicamente el certificado, no la clave privada asociada.
1. Descargue el certificado de CA raíz del portal.
2. Seleccione el certificado de CA raíz utilizado para la emisión de certificados para los componentes
de LSVPN y haga clic en Export (Exportar).
3. Seleccione Base64 Encoded Certificate (Certificado codificado en Base64) (PEM) en la lista
desplegable File Format (Formato de archivo) y haga clic en OK (Aceptar) para descargar el
certificado. (No exporte la clave privada).
2. En los cortafuegos que alojan los gateways y los satélites, importe el certificado de CA raíz.
2. Introduzca un Certificate Name (Nombre de certificado) que identifique al certificado como su
certificado de CA de cliente.
3. Seleccione Browse (Examinar) para buscar el Certificate File (Archivo del certificado) que
descargó de la CA.
4. Seleccione Base64 Encoded Certificate (PEM) (Certificado con codificación Base64 [PEM]) como
File Format (Formato de archivo) y, a continuación, haga clic en OK (Aceptar).
5. Seleccione el certificado que acaba de importar en la pestaña Device Certificates (Certificados de
dispositivos) para abrirlo.
6. Seleccione Trusted Root CA (CA raíz de confianza) y, a continuación, haga clic en OK (Aceptar).
STEP 5 | Cree un perfil de certificado.

El portal y cada puerta de enlace de LSVPN de GlobalProtect requieren un perfil de certificado que
especifique qué certificado utilizar para autenticar los satélites.
Profile (Perfil de certificado) y haga clic en Add (Añadir) e introduzca un nombre de perfil en Name
(Nombre).
2. Asegúrese de establecer Username Field (Campo de nombre de usuario) como None (Ninguno).
3. En el campo CA Certificates (Certificados de CA), haga clic en Add (Añadir) y seleccione el certificado
de CA raíz de confianza que importó en el paso anterior.
4. (Recomendado) Habilite el uso de CRL y/o OCSP para habilitar la verificación del estado de
certificado.

Implementación de certificados cliente en los satélites de

GlobalProtect usando SCEP
Como método alternativo para la implementación de certificados cliente a dispositivos satélite, puede
configurar su portal de GlobalProtect para que actúe como cliente de protocolo de inscripción de
certificados simple (Simple Certificate Enrollment Protocol, SCEP) en un servidor SCEP de la PKI
empresarial. La operación de SCEP es dinámica ya que la PKI empresarial genera un certificado cuando el
portal lo solicita y envía el certificado al portal.
Cuando el dispositivo satélite solicita una conexión al portal o puerta de enlace, también incluye su número
de serie con la solicitud de conexión. El portal envía una CSR al servidor SCEP usando los ajustes del perfil
SCEP y automáticamente incluye el número de serie del dispositivo en el asunto del certificado cliente.
Después de recibir el certificado ciente de la PKI empresarial, el portal implementa de modo transparente
el certificado cliente en el dispositivo satélite. El dispositivo satélite luego presenta el certificado cliente al
portal o puerta de enlace para su autenticación.
STEP 1 | Cree un perfil SCEP.

1. Seleccione Device (Dispositivo) > Certificate Management (Gestión de certificados) > SCEP y luego
Add (Añadir) para añadir un nuevo perfil.
2. Introduzca un nombre Name (Nombre) para identificar el perfil SCEP.
3. Si este perfil es para un cortafuegos con capacidad para varios sistemas virtuales, seleccione un
sistema virtual o Shared (Compartido) como la Location (Ubicación) en la que el perfil está disponible.
STEP 2 | (Opcional) Para que la generación de certificados basada en SCEP sea más segura, configure
un mecanismo de respuesta de comprobación de SCEP entre la PKI y el portal de cada solicitud
de certificado.
Luego de configurar este mecanismo, su operación es invisible, y no requerirá que realice otras acciones.
Para cumplir con el Estándar federal de procesamiento de información (Federal Information Processing
Standard, FIPS) de EE. UU., utilice una comprobación SCEP dinámica y especifique una URL de servidor
que utilice HTTPS (consulte el paso 7).
Seleccione una de las siguientes opciones:
• None (Ninguna): (valor por defecto) el servidor SCEP no comprueba el portal antes de emitir un
certificado.
• Fixed (Fijo): obtenga la contraseña de comprobación de inscripción del servidor SCEP (por ejemplo,
http://10.200.101.1/CertSrv/mscep_admin/) en la infraestructura PKI y luego copie o
introduzca la contraseña en el campo Password.
• Dynamic (Dinámica): introduzca la Server URL (URL de servidor) de SCEP a la que el portal-cliente
envía estas credenciales (por ejemplo, http://10.200.101.1/CertSrv/mscep_admin/)
y un nombre de usuario y OTP que desee. El nombre de usuario y la contraseña pueden ser las
credenciales del administrador de PKI.
STEP 3 | Especifique los ajustes para la conexión entre el servidor SCEP y el portal, para habilitar el
portal a fin de que solicite y reciba certificados de cliente.
Para identificar el satélite, el portal incluye automáticamente el número de serie del dispositivo en la
solicitud CSR para el servidor SCEP. Debido a que el perfil SCEP requiere un valor en el campo Subject
(Asunto), puede dejar el símbolo $USERNAME por defecto aunque el valor no se use en los certificados
cliente para LSVPN.
1. Configure la Server URL (URL de servidor) que el portal utiliza para llegar al servidor SCEP en la PKI
(por ejemplo, http://10.200.101.1/certsrv/mscep/).
2. Introduzca una cadena (hasta 255 caracteres de extensión) en el campo CA-IDENT Name (Nombre
CA-IDENT) para identificar el servidor SCEP.
3. Seleccione el tipo de nombre de asunto alternativo en Subject Alternative Name Type (Tipo de
nombre de asunto alternativo):
• RFC 822 Name (Nombre RFC 822): introduzca el nombre del correo electrónico en la extensión
de nombre alternativo de asunto o en el asunto del certificado.
• DNS Name (Nombre de DNS): ingrese el nombre de DNS usado para evaluar los certificados.
• Uniform Resource Identifier (Identificador de recurso uniforme): introduzca el nombre del recurso
URI desde el cual el cliente obtendrá el certificado.
• None (Ninguno): no especifique atributos para el certificado.
STEP 4 | (Opcional) Configure ajustes criptográficos para el certificado.

• Seleccione la extensión de la clave (Number of Bits [Cantidad de bits]) del certificado. Si el
cortafuegos está en modo FIPS-CC y el algoritmo de generación de clave es RSA. Las claves RSA
deben incluir 2048 bits o más.
• Seleccione la opción Digest for CSR (Resumen para CSR) que indica el algoritmo de resumen para
la solicitud de firma de certificados (certificate signing request, CSR): SHA1, SHA256, SHA384 o
SHA512.
STEP 5 | (Opcional) Configure los usos permitidos del certificado, ya sea para firma o cifrado.
• Para usar este certificado para la firma, seleccione la casilla de verificación Use as digital signature
(Usar como firma digital). Esto permite que el endpoint use la clave privada en el certificado para
validar una firma digital.
• Para usar este certificado para el cifrado, seleccione la casilla de verificación Use for key
encipherment (Usar para el cifrado de la clave). Esto permite que el cliente use la clave privada en el
certificado para cifrar los datos intercambiados en la conexión HTTPS establecida con los certificados
emitidos por el servidor SCEP.
STEP 6 | (Opcional) Para garantizar que el portal se conecte al servidor SCEP correcto, introduzca la
huella digital de certificado CA en CA Certificate Fingerprint (Huella de certificado de CA).
Obtenga esta huella en la interfaz del servidor SCEP en el campo Thumbprint.
1. Introduzca la URL para la IU administrativa del servidor SCEP (por ejemplo, http://<hostname or
IP>/CertSrv/mscep_admin/).
2. Copie la huella digital e introdúzcala en el campo CA Certificate Fingerprint (Huella de certificado de
CA).
STEP 7 | Habilite la autenticación SSL mutua entre el servidor SCEP y el portal de GlobalProtect. Esto
es obligatorio para cumplir con el Estándar federal de procesamiento de información (FIPS) de
EE. UU.
La operación de FIPS-CC se indica en el inicio de sesión del cortafuegos y en su barra

de estado.
Seleccione el certificado de CA raíz del servidor SCEP en CA Certificate (Certificado de CA). De manera
opcional, puede habilitar la autenticación SSL mutua entre el servidor SCEP y el portal de GlobalProtect
seleccionado un Client Certificate (Certificado de cliente).
STEP 8 | Guarde y aplique la configuración.

1. Haga clic en OK (Aceptar) para guardar los ajustes y cerrar la configuración de SCEP.
El portal intenta solicitar un certificado de CA usando los ajustes del perfil SCEP y lo guarda en el
cortafuegos que aloja el portal. Si se obtiene correctamente, el certificado de CA se muestra en Device
(Dispositivo) > Certificate Management (Gestión de certificados) > Certificates (Certificados).
STEP 9 | (Opcional) Si después de guardar el perfil SCEP el portal no logra obtener el certificado, usted
puede generar manualmente una solicitud de firma de certificado (CSR) del portal.
(Certificados) > Device Certificates (Certificados de dispositivo) y luego haga clic en Generate
(Generar).
2. Introduzca un Certificate Name (Nombre de certificado). Este nombre no puede contener espacios.
3. Seleccione el SCEP Profile (Perfil SCEP) que se debe utilizar para enviar una CSR a la PKI de su
empresa.
4. Haga clic en OK (Aceptar) para enviar la solicitud y generar el certificado.
Configuración del portal para autenticar
satélites
Para registrarse en la LSVPN, cada satélite debe establecer una conexión SSL/TLS con el portal. Tras
establecer la conexión, el portal autentica el dispositivo satélite para asegurarse de que está autorizado
para unirse a la LSVPN. Después de autenticar correctamente el satélite, el portal emitirá un certificado
de servidor para el satélite y enviará la configuración de LSVPN que especifica los gateways a los que
puede conectarse el satélite y el certificado de CA raíz necesario para establecer una conexión SSL con los
gateways.
Hay dos formas en las que el satélite puede autenticar en el portal durante su conexión inicial:
• Número de serie: Puede configurar el portal con el número de serie de los cortafuegos satélite
autorizados para unirse a la LSVPN. Durante la conexión inicial del satélite al portal, el satélite presenta
su número de serie al portal y, si el portal tiene el número de serie en su configuración, el satélite se
autenticará correctamente. Los números de serie de los satélites autorizados se añaden al configurar el
portal. Consulte la Configuración del portal.
• Nombre de usuario y contraseña: si prefiere proporcionar sus dispositivos satélite sin introducir
manualmente los números de serie de los dispositivos satélite en la configuración del portal, puede
solicitar al administrador de los dispositivos satélite que los autentique al establecer la conexión inicial
con el portal. Aunque el portal siempre buscará el número de serie en la solicitud inicial del satélite, si
no puede identificar el número de serie, el administrador de satélites deberá proporcionar un nombre
de usuario y una contraseña para autenticarlo en el portal. Debido a que el portal siempre retrocederá
a esta forma de autenticación, debe crear un perfil de autenticación para confirmar la configuración del
portal. Esto requiere que configure un perfil de autenticación para la configuración de LSVPN del portal,
aunque tenga la intención de autenticar los satélites mediante el número de serie.
El siguiente flujo de trabajo describe el modo de configurar el portal para la autenticación de satélites
mediante un servicio de autenticación existente. LSVPN de GlobalProtect admite la autenticación externa
mediante una base de datos local, LDAP (incluido Active Directory), Kerberos o TACACS+ o RADIUS.
STEP 1 | (Autenticación externa únicamente) Cree un perfil de servidor en el portal.

El perfil de servidor define de qué manera el cortafuegos se conecta con un servicio de autenticación
externo para validar las credenciales de autenticación proporcionadas por el administrador de
dispositivos satélite.
Si utiliza la autenticación local, omita este paso y añada un usuario local para el
administrador de dispositivos satélite; consulte Añada la cuenta de usuario a la base de
datos local.
Configure un perfil de servidor para el tipo de servicio de autenticación:

Puede utilizar RADIUS para integrarlo a un servicio de autenticación multifactor.

• Añadir un perfil de servidor SAML IdP.
• Añada un perfil de servidor LDAP Si está usando LDAP para conectarse a Active Directory (AD), debe
crear un perfil de servidor LDAP diferente para cada dominio de AD.

El perfil de autenticación especifica qué perfil de servidor debe utilizarse para autenticar dispositivos
satélite.
1. Seleccione Device (Dispositivo) > Authentication Profile (Perfil de autenticación) y haga clic en Add
(Añadir).
2. Introduzca un Name (Nombre) para el perfil y, a continuación, seleccione el tipo de autenticación en
Type (Tipo). Si el Type (Tipo) es un servicio externo, seleccione el Server Profile (Perfil de servidor)
que creó en el paso anterior. Si en su lugar ha añadido un usuario local, defina el Type (Tipo) como
Local Database (Base de datos local).
Configuración de puertas de enlace de
GlobalProtect para LSVPN
Puesto que la configuración de GlobalProtect que el portal entrega a los satélites incluye la lista de puertas
de enlace a los que puede conectarse el satélite, es recomendable configurar las puertas de enlace antes de
configurar el portal.
Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
• Creación de interfaces y zonas para la LSVPN on page 766 en la interfaz donde pretende configurar cada
puerta de enlace. Debe configurar tanto la interfaz física como la interfaz de túnel virtual.
• Habilitación de SSL entre componentes de LSVPN de GlobalProtect on page 768 al configurar los
certificados de servidor de puerta de enlace, los perfiles de servicio SSL/TLS y el perfil de certificado
necesario para establecer una conexión SSL/TLS mutua desde los dispositivos satélite GlobalProtect con
la puerta de enlace.
Configure cada puerta de enlace de GlobalProtect para que participe en la LSVPN de la manera siguiente:
STEP 1 | Añada una puerta de enlace.

1. Seleccione Network (Red) > GlobalProtect > Gateways (Puertas de enlace) y haga clic en Add
(Añadir).
2. En la pestaña General, introduzca un nombre en Name (Nombre) para la puerta de enlace. El nombre
de la puerta de enlace no puede contener espacios y se recomienda que incluya la ubicación u otra
información descriptiva que ayude a los usuarios y a los administradores a identificar la puerta de
enlace.
3. (Opcional) Seleccione el sistema virtual al que pertenece esta puerta de enlace en el campo Location
(Ubicación).
STEP 2 | Especifique la información de red que permita a los satélites conectarse a la puerta de enlace.
Si aún no ha creado la interfaz de red para la puerta de enlace, consulte las instrucciones de Creación de
interfaces y zonas para la LSVPN on page 766.
1. Seleccione la Interfaz que utilizarán los satélites para acceder a la puerta de enlace.
2. Especifique el IP Address Type (Tipo de dirección IP) y la IP address (Dirección IP) para el acceso a la
puerta de enlace:
• El tipo de dirección IP puede ser IPv4 (únicamente), IPv6 (únicamente) o IPv4 e IPv6. Utilice
IPv4 e IPv6 si su red admite dos configuraciones de pila, donde IPv4 y IPv6 se ejecutan al mismo
tiempo.
• La dirección IP debe ser compatible con el tipo de dirección IP. Por ejemplo, 172.16.1/0 para las
direcciones IPv4 o 21DA:D3:0:2F3B para las direcciones IPv6. Para las configuraciones de pila
doble, introduzca una dirección IPv4 e IPv6.
STEP 3 | Especifique de qué manera la puerta de enlace autentica los dispositivos satélite al intentar
establecer túneles. Si aún no ha creado un certificado de servicio SSL/TLS para la puerta de
enlace, consulte Implementación de certificados de servidor en los componentes de LSVPN de
GlobalProtect on page 768.
Si no ha configurado aún los perfiles de autenticación o del certificado, consulte las instrucciones de
Configuración del portal para autenticar satélites on page 774.
Si no ha configurado aún el perfil de certificado, consulte las instrucciones de Habilitación de SSL entre
componentes de LSVPN de GlobalProtect on page 768.
En el cuadro de diálogo de configuración de la puerta de enlace de GlobalProtect, seleccione
Authentication y luego configure cualquiera de las siguientes opciones:
• Para proteger la comunicación entre la puerta de enlace y los dispositivos satélite, seleccione SSL/
TLS Service Profile (Perfil de servicio SSL/TLS) para la puerta de enlace.
• Para especificar el perfil de autenticación para usar en la autenticación de dispositivos satélite,
seleccione Add (Añadir) para añadir una autenticación de cliente. Luego, introduzca un nombre en
Name para identificar configuración y seleccione OS: Satellite (Satélite) para aplicar la configuración
a todos los dispositivos satélite y especifique el Authentication Profile (Perfil de autenticación) para
usar al autenticar el dispositivo satélite. También puede seleccionar un Certificate Profile (Perfil de
certificado) que debe utilizar la puerta de enlace para autenticar dispositivos satélite que intenten
establecer túneles.
STEP 4 | Configure los parámetros del túnel y habilite la tunelización.

1. En el cuadro de diálogo de configuración de puerta de enlace de GlobalProtect, seleccione Satellite
(Satélite) > Tunnel Settings (Configuraciones de túnel).
2. Seleccione la casilla de verificación Tunnel Configuration (Configuración de túnel) para habilitar la
tunelización.
3. Seleccione la Tunnel Interface (Interfaz de túnel) que definió para finalizar los túneles VPN
establecidos por los satélites de GlobalProtect cuando realizó la tarea para Creación de interfaces y
zonas para la LSVPN on page 766.
4. (Opcional) Si desea conservar la información de tipo de servicio (ToS) en los paquetes resumidos,
seleccione Copy TOS (Copiar tipo de servicio).
Si existen varias sesiones dentro del túnel (cada una con un valor TOS diferente),
el copiar el encabezado TOS puede hacer que los paquetes IPSec lleguen
desordenados.
STEP 5 | (Opcional) Habilite la supervisión de túnel.

La supervisión de túnel habilita los dispositivos satélite para que supervisen su conexión de túnel de
puerta de enlace, lo que permite realizar una conmutación por error a una puerta de enlace de reserva
si falla la conexión. La conmutación a otra puerta de enlace es el único tipo de perfil de supervisión de
túnel permitido con LSVPN.
1. Seleccione la casilla de verificación Tunnel Monitoring (Supervisión de túnel).
2. Especifique la Destination IP Address (Dirección IP de destino) que los satélites deberían utilizar para
determinar si la puerta de enlace está activa. Puede especificar una dirección IPv4 e IPv6, o ambas.
De forma alternativa, si ha configurado una dirección IP para la interfaz de túnel, puede dejar este
campo en blanco y, en su lugar, el monitor de túnel utilizará la interfaz de túnel para determinar si la
conexión está activa.
3. Seleccione Failover (Conmutación por error) en el menú desplegable Tunnel Monitor Profile (Perfil
de monitor de túnel) (este es el único perfil de monitor de túnel admitido para LSVPN).
STEP 6 | Seleccione el perfil criptográfico IPSec que debe utilizarse al establecer conexiones de túnel.
El perfil especifica el tipo de cifrado de IPSec y/o el método de autenticación para proteger los datos
que atraviesen el túnel. Dado que ambos extremos del túnel de una LSVPN son cortafuegos fiables de
su organización, por lo general puede utilizar el perfil predeterminado, que utiliza el protocolo ESP como
protocolo IPSec, el grupo DH 2, el cifrado AES-128-CBC y la autenticación SHA-1.
Seleccione default (predeterminado) en el menú desplegable IPSec Crypto Profile (Perfil criptográfico
IPSec) para usar el perfil por defecto o seleccione New IPSec Crypto Profile (Nuevo perfil criptográfico
IPSec) para definir un nuevo perfil. Si desea información detallada sobre las opciones de autenticación y
cifrado, consulte Definición de perfiles criptográficos IPSec on page 741.
STEP 7 | Configure los ajustes de red para asignar los satélites durante el establecimiento del túnel de
IPSec.
También puede configurar el dispositivo satélite para que envíe la configuración DNS
a sus clientes locales al configurar un servidor DHCP en el cortafuegos que aloja al
dispositivo satélite. En esta configuración, el satélite enviará la configuración DNS que
obtenga de la puerta de enlace a los clientes DHCP.
1. En el cuadro de diálogo de configuración de puerta de enlace de GlobalProtect, seleccione Satellite

(Satélite) > Network Settings (Configuración de red)
2. (Opcional) Si los clientes locales del dispositivo satélite necesitan resolver FQDN en la red
corporativa, configure la puerta de enlace para que envíe la configuración DNS a los dispositivos
satélite de una de las maneras siguientes:
• Si la puerta de enlace tiene una interfaz configurada como cliente DHCP, puede establecer el
Inheritance Source (Origen de herencia) en esa interfaz y asignar a los dispositivos satélite de
GlobalProtect los mismos ajustes recibidos por el cliente DHCP. También puede heredar los
sufijos de DNS del mismo origen.
• Defina manualmente los ajustes Primary DNS (DNS principal), Secondary DNS (DNS secundario)
y DNS Suffix (Sufijo DNS) para enviarlos a los satélites.
3. Para especificar el grupo de direcciones en IP Pool (Grupo de IP) para asignar la interfaz de túnel en
los dispositivos satélite cuando se establezca la VPN, haga clic en Add (Añadir) y, a continuación,
especifique los intervalos de direcciones IP que deben utilizarse.
4. Para definir a qué subredes de destino enrutar a través del túnel, haga clic en Add (Añadir) en el área
de Access Route (Ruta de acceso) y, a continuación, introduzca las rutas del siguiente modo:
• Si desea enrutar todo el tráfico desde los satélites a través del túnel, deje este campo en blanco.
Tenga en cuenta que, en este caso, todo el tráfico excepto el destinado a la subred
local se enviará a la puerta de enlace a través de túnel.
• Para enrutar únicamente parte del tráfico a través de la puerta de enlace (lo que se denomina
túneles divididos), especifique las subredes de destino que deberán tunelizarse. En este caso, el
satélite enrutará el tráfico no destinado a una ruta de acceso especificada mediante su propia
tabla de rutas. Por ejemplo, puede decidir tunelizar únicamente el tráfico destinado a su red
corporativa y utilizar el satélite local para permitir el acceso a Internet de forma segura.
• Si desea habilitar el enrutamiento entre satélites, introduzca la ruta de resumen para la red
protegida por cada satélite.
STEP 8 | (Opcional) Defina qué rutas, si las hubiera, aceptará la puerta de enlace de los satélites.
De manera predeterminada, la puerta de enlace no añadirá ninguna ruta que los satélites anuncien en su
tabla de rutas. Si no desea que la puerta de enlace acepte rutas de puerta de enlace, no necesita realizar
este paso.
1. Para habilitar la puerta de enlace para que acepte rutas anunciadas por dispositivos satélite,
seleccione Satellite (Satélite) > Route Filter (Filtro de ruta).
2. Seleccione la casilla de verificación Accept published routes (Aceptar rutas publicadas).
3. Para filtrar cuáles de las rutas anunciadas por los satélites deben añadirse a la tabla de rutas de la
puerta de enlace, haga clic en Add (Añadir) y, a continuación, defina las subredes que hay que incluir.
Por ejemplo, si todos los satélites están configurados con la subred 192.168.x.0/24 en el extremo de
la LAN, configurando una ruta permitida de 192.168.0.0/16 para habilitar la puerta de enlace con el
fin de que solamente acepte rutas del satélite si está en la subred 192.168.0.0/16.
STEP 9 | Guarde la configuración de la puerta de enlace.
1. Haga clic en OK (Aceptar) para guardar los ajustes y cierre el cuadro de diálogo GlobalProtect
Gateway Configuration (Configuración de la puerta de enlace de GlobalProtect).
Configuración del portal de GlobalProtect para
LSVPN
El portal de GlobalProtect proporciona las funciones de gestión para su LSVPN de GlobalProtect. Todos los
sistemas satélite que participan en la LSVPN reciben información de configuración desde el portal, incluida
información sobre los gateways disponibles, así como el certificado que necesitan para conectarse a los
gateways.
Las siguientes secciones describen los procedimientos para configurar el portal:
• Tareas previas del portal de GlobalProtect para LSVPN on page 780
• Configuración del portal on page 780
• Definición de las configuraciones de satélites on page 781
Tareas previas del portal de GlobalProtect para LSVPN

Antes de poder configurar el portal de GlobalProtect, debe haber realizado las tareas siguientes:
Creación de interfaces y zonas para la LSVPN on page 766 en la interfaz donde va a configurar el portal.
Habilitación de SSL entre componentes de LSVPN de GlobalProtect on page 768 creando un perfil de
servicio SSL/TLS para el certificado de servidor de portal, emitiendo certificados de servidor de puerta
de enlace y configurando el portal para emitir certificados de servidor para los dispositivos satélite de
GlobalProtect.
Configuración del portal para autenticar satélites on page 774 definiendo el perfil de autenticación que
utilizará el portal para autenticar dispositivos satélite si el número de serie no está disponible.
Configuración de puertas de enlace de GlobalProtect para LSVPN on page 776.
Configuración del portal

Tras completar las Tareas previas del portal de GlobalProtect para LSVPN, configure el portal de
GlobalProtect del siguiente modo:
STEP 1 | Añada el portal.

1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) y haga clic en Add (Añadir).
2. En la pestaña General, introduzca un nombre en Name (Nombre) para el portal. El nombre del portal
no debe contener espacios.
3. (Opcional) Seleccione el sistema virtual al que pertenece este portal en el campo Location
(Ubicación).
STEP 2 | Especifique la información de red que permita a los satélites conectarse al portal.
Si no ha creado la interfaz de red para el portal, consulte la Creación de interfaces y zonas para LSVPN
para obtener instrucciones.
1. Seleccione la Interfaz que utilizarán los satélites para acceder al portal.
2. Especifique el IP Address Type (Tipo de dirección IP) y la IP address (Dirección IP) para acceder por
satélite al portal:
• El tipo de dirección IP puede ser IPv4 (solo para tráfico IPv4), IPv6 (solo para tráfico IPv6, o IPv4
and IPv6 (IPv4 y IPv6). Utilice IPv4 e IPv6 si su red admite dos configuraciones de pila, donde
IPv4 y IPv6 se ejecutan al mismo tiempo.
• La dirección IP debe ser compatible con el tipo de dirección IP. Por ejemplo, 172.16.1/0 para
direcciones IPv4 o 21DA:D3:0:2F3B para direcciones IPv6. En las dos configuraciones de pila,
introduzca una dirección IPv4 y una dirección IPv6.
STEP 3 | Seleccione el perfil de servicio SSL/TLS que se debe usar para permitir que el dispositivo
satélite establezca una conexión SSL/TLS con el portal.
Si todavía no ha creado un perfil de servicio SSL/TLS para el portal y emitió certificados de puerta de
enlace, consulte la Implementación de certificados de servidores en los componentes de LSVPN de
GlobalProtect.
1. En el cuadro de diálogo de configuración del portal de GlobalProtect, seleccione Authentication.
2. Seleccione SSL/TLS Service Profile (Perfil de servicio SL/TLS).
STEP 4 | Especifique un perfil de autenticación y perfil de certificado opcional para la autenticación de

dispositivos satélite.
Si el portal no puede validar los números de serie de los dispositivos satélite en conexión,
volverá al perfil de autenticación. Por lo tanto, antes de guardar la configuración del
portal (al hacer clic en OK [Aceptar]), debe realizar la Configuración de un perfil de
autenticación.
Seleccione Add (Añadir) para añadir una autenticación de cliente y luego introduzca un nombre en
Name para identificar la configuración y seleccione OS: Satellite para aplicar la configuración a todos
los dispositivos satélite y especifique el Authentication Profile (Perfil de autenticación) para usar
al autenticar los dispositivos satélite. También puede especificar un Certificate Profile (Perfil de
certificado) que debe utilizar el portal para autenticar dispositivos satélite.
STEP 5 | Proceda a definir las configuraciones que deben enviarse a los dispositivos satélite o, si ya ha
creado las configuraciones de los dispositivos satélite, guarde la configuración del portal.
Haga clic en OK (Aceptar) para guardar la configuración del portal o continúe para llevar a cabo la
Definición de las configuraciones de satélites.
Definición de las configuraciones de satélites

Cuando un satélite de GlobalProtect se conecta y autentica correctamente en el portal de GlobalProtect,
el portal proporciona una configuración de satélite, que especifica a qué gateways puede conectarse el
satélite. Si todos sus satélites van a utilizar las mismas configuraciones de gateway y certificado, puede
crear una única configuración de satélite para proporcionarla a todos los satélites tras una autenticación
correcta. Sin embargo, si requiere diferentes configuraciones de satélites (por ejemplo, si desea que un
grupo de satélites se conecte a ungateway y otro grupo de satélite se conecte a un gateway diferente),
puede crear una configuración de satélite separada para cada uno. El portal utilizará entonces el nombre
de usuario/nombre de grupo de inscripción o el número de serie del dispositivo satélite para determinar
qué configuración de satélite debe implementarse. Como con la evaluación de reglas de seguridad, el portal
busca una coincidencia empezando por la parte superior de la lista. Cuando encuentra una coincidencia,
proporciona la configuración correspondiente al satélite.
Por ejemplo, la siguiente ilustración muestra una red en la que determinadas sucursales requieren un acceso
de tipo VPN a las aplicaciones corporativas protegidas por sus cortafuegos de perímetro y otra ubicación
necesita un acceso de tipo VPN al centro de datos.
Utilice el siguiente procedimiento para crear una o más configuraciones de satélites.
STEP 1 | Añada una configuración de satélite.

La configuración de satélite especifica los ajustes de configuración de LSVPN de GlobalProtect que
deberán implementarse en los satélites que se conecten. Debe definir al menos una configuración de
satélite.
1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) y seleccione la configuración de
portal para la que desee añadir una configuración de satélite y, a continuación, seleccione la pestaña
Satellite (Satélite).
2. En la sección Satellite, haga clic en Add (Añadir).
3. Introduzca un Name (Nombre) para la configuración.
Si pretende crear múltiples configuraciones, asegúrese de que el nombre que defina para cada una
sea suficientemente descriptivo para distinguirlas.
4. Para cambiar la frecuencia con la que un dispositivo satélite debería comprobar el portal para obtener
actualizaciones de configuración, especifique un valor en el campo Configuration Refresh Interval
(hours) (Intervalo de actualización de configuración [horas]) (el intervalo es 1-48; por defecto es 24).
STEP 2 | Especifique los dispositivos satélite en los cuales implementar esta configuración.
El portal utiliza los ajustes Enrollment User/User Group (Usuario de inscripción/Grupo de usuarios) y/
o los números de serie de Devices (Dispositivos) para hacer coincidir un satélite con una configuración.
Por lo tanto, si tiene múltiples configuraciones, asegúrese de ordenarlas correctamente. En cuanto el
portal encuentre una coincidencia, distribuirá la configuración. Así, las configuraciones más específicas
deberán preceder a las más generales. Consulte en el paso 5 para conocer las instrucciones sobre cómo
ordenar la lista de configuraciones de satélites.
Especifique los criterios de coincidencia para la configuración de satélite de la manera siguiente:
• Para restringir esta configuración a dispositivos satélite con números de serie específicos, seleccione
la pestaña Devices (Dispositivos), haga clic en Add (Añadir), e introduzca un número de serie (no
necesita introducir el nombre de host del dispositivo satélite; se añadirá automáticamente cuando el
satélite se conecte). Repita este paso para cada satélite que quiera que reciba esta configuración.
• Seleccione la pestaña Enrollment User/User Group (Usuario de inscripción/Grupo de usuarios),
haga clic en Add (Añadir) y, a continuación, seleccione el usuario o grupo que quiera que reciba esta
configuración. Los satélites que no coinciden en el número de serie deberán autenticarse como un
usuario especificado aquí (bien como un usuario individual, bien como un miembro de grupo).
Para poder restringir la configuración a grupos específicos, debe asignar usuarios a
grupos.
STEP 3 | Especifique los gateways con los que los satélites con esta configuración podrán establecer
túneles de VPN.
Las rutas publicadas por el gateway se instalan en el satélite como rutas estáticas. La
medida para la ruta estática es 10 veces la prioridad de enrutamiento. Si tiene más
de un gateway, asegúrese también de establecer la prioridad de enrutamiento para
garantizar que las rutas anunciadas por gateways de reserva tienen medidas más
altas en comparación con las mismas rutas anunciadas por gateways principales. Por
ejemplo, si establece la prioridad de enrutamiento para el gateway principal y el gateway
de reserva como 1 y 10 respectivamente, el satélite utilizará 10 como medida para el
gateway principal y 100 como medida para el gateway de reserva.
1. En la pestaña Gateways (Puertas de enlace), haga clic en Add (Añadir).

2. Introduzca un Name (Nombre) descriptivo para la puerta de enlace. El nombre que introduzca aquí
debería coincidir con el nombre que definió al configurar el gateway y debería ser lo suficientemente
descriptivo para identificar la ubicación del gateway.
3. Introduzca el FQDN o la dirección IP de la interfaz donde está configurada la puerta de enlace en el
campo Gateways (Puertas de enlace). La dirección que especifique debe coincidir exactamente con el
nombre común (common name, CN) en el certificado del servidor de la puerta de enlace.
4. (Opcional) Si está añadiendo dos o más puertas de enlace a la configuración, la Routing Priority
(Prioridad del enrutador) ayuda al satélite a seleccionar la puerta de enlace preferida. Introduzca
un valor de entre 1 y 25; cuanto menor sea el número, mayor será la prioridad (es decir, el gateway
al que se conectará el satélite si todos los gateways están disponibles). El satélite multiplicará la
prioridad de enrutamiento por 10 para determinar la medida de enrutamiento.
STEP 4 | Guarde la configuración de satélite.

1. Haga clic en OK (Aceptar) para guardar la configuración de satélite.
2. Si desea añadir otra configuración de satélite, repita los pasos anteriores.
STEP 5 | Prepare las configuraciones de satélites para que se implemente la configuración correcta en
cada satélite.
• Para subir una configuración de satélite en la lista de configuraciones, selecciónela y haga clic en
Move Up (Mover hacia arriba).
• Para bajar una configuración de satélite en la lista de configuraciones, selecciónela y haga clic en
Move Down (Mover hacia abajo).
STEP 6 | Especifique los certificados necesarios para permitir a los satélites participar en la LSVPN.
1. En el campo Trusted Root CA (CA raíz de confianza), haga clic en Add (Añadir) y, a continuación,
seleccione el certificado de CA utilizado para emitir los certificados de servidor de la puerta de enlace.
El portal implementará los certificados de CA raíz que añada aquí a todos los satélites como parte de
la configuración para habilitar el satélite con el fin de que pueda establecer una conexión SSL con los
gateways. Se recomienda usar el mismo emisor para todos los gateways.
2. Seleccione el método de distribución de Client Certificate (Certificado de cliente):
• Para almacenar los certificados de cliente en el portal: seleccione Local y seleccione el certificado
de CA raíz que el portal utilizará para emitir certificados cliente para satélites tras autenticarlos
correctamente desde el menú desplegable Issuing Certificate (Emisor del certificado).
Si el certificado de CA raíz utilizado para emitir sus certificados de servidor de la
puerta de enlace no está en el portal, haga clic en Import (Importar) para importarlo
ahora. Consulte Habilitación de SSL entre componentes de LSVPN de GlobalProtect
para obtener información detallada sobre cómo importar un certificado de CA raíz.
• Para habilitar el portal para que actúe como cliente SCEP para solicitar y emitir certificados
de cliente de forma dinámica: seleccione SCEP y luego seleccione el perfil SCEP utilizado para
generar CSR para su servidor SCEP.
Si aún no ha configurado el portal para que funcione como cliente SCEP, puede
añadir un nuevo perfil SCEP ahora haciendo clic en New (Nuevo). Consulte
Implementación de certificados de cliente en los satélites de GlobalProtect usando
SCEP para obtener detalles.
STEP 7 | Guarde la configuración del portal.

1. Haga clic en OK (Aceptar) para guardar los ajustes y cierre el cuadro de diálogo de configuración del
portal de GlobalProtect.
Preparación del satélite para unirse a la LSVPN
Para participar en la LSVPN, los dispositivos satélite necesitan una cantidad mínima de configuración.
Debido a que la configuración exigida es mínima, puede preconfigurar los dispositivos satélite antes de
enviarlos a sus sucursales para su instalación.
STEP 1 | Configure una interfaz de capa 3 (consulte Configuración de interfaces de capa 3).
Esta es la interfaz física que el satélite utilizará para conectarse al portal y a la puerta de enlace.
Esta interfaz debe estar en una zona que permita el acceso fuera de la red fiable local. La práctica
recomendada es crear una zona específica para conexiones de VPN con el fin de lograr visibilidad y
control sobre el tráfico destinado a las puertas de enlace corporativas.
STEP 2 | Configure la interfaz de túnel lógica para el túnel que deberá utilizarse para establecer túneles
de VPN con las puertas de enlace de GlobalProtect.
No se requieren direcciones IP en la interfaz de túnel a menos que tenga la intención de

utilizar el enrutamiento dinámico. Sin embargo, asignar una dirección IP a la interfaz de
túnel puede resultar útil para solucionar problemas de conexión.
3. En la pestaña Config (Configuración), amplíe el menú desplegable Security Zone (Zona de seguridad)
y seleccione una zona existente o cree una zona separada para el tráfico de túnel de VPN haciendo
clic en New Zone (Nueva zona) y definiendo un Name (Nombre) para la nueva zona (por ejemplo,
lsvpnsat).
4. En el menú desplegable Virtual Router (Enrutador virtual), seleccione default (predeterminado).
5. (Opcional) Para asignar una dirección IP a la interfaz de túnel:
por ejemplo, 2001:1890:12f2:11::10.1.8.160/80.
STEP 3 | Si generó el certificado de servidor del portal mediante una CA raíz que no es de confianza para
los satélites (por ejemplo, si utilizó certificados autofirmados), importe el certificado de CA raíz
utilizado para emitir el certificado de servidor del portal.
El certificado de CA raíz es obligatorio para habilitar el dispositivo satélite con el fin de que establezca la
conexión inicial con el portal para obtener la configuración de LSVPN.
1. Descargue el certificado de CA que se utilizó para generar los certificados de servidor del portal.
Si está utilizando certificados autofirmados, exporte el certificado de CA raíz desde el portal de la
manera siguiente:
2. Seleccione el certificado de CA y haga clic en Export (Exportar).
3. Seleccione Certificado codificado en Base64 (PEM) (Certificado codificado en Base64 ([PEM]) en
la lista desplegable File Format (Formato de archivo) y haga clic en OK (Aceptar) para descargar el
certificado. (No necesita exportar la clave privada.)
2. Importe el certificado de CA raíz que acaba de exportar en cada satélite de la manera siguiente.
2. Introduzca un Certificate Name (Nombre de certificado) que identifique al certificado como su
certificado de CA de cliente.
3. Seleccione Browse (Examinar) para buscar el archivo del certificado que descargó de la CA.
4. Seleccione Base64 Encoded Certificate (PEM) (Certificado con codificación Base64 [PEM]) como
File Format (Formato de archivo) y, a continuación, haga clic en OK (Aceptar).
5. Seleccione el certificado que acaba de importar en la pestaña Device Certificates (Certificados de
dispositivos) para abrirlo.
6. Seleccione Trusted Root CA (CA raíz de confianza) y, a continuación, haga clic en OK (Aceptar).
STEP 4 | Realice la configuración de túnel de IPSec.

1. Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec) y haga clic en Add (Añadir).
2. En la pestaña General, introduzca un Name (Nombre) para la configuración de IPSec.
3. Seleccione la Tunnel Interface (Interfaz de túnel) que creó para el satélite.
4. Seleccione GlobalProtect Satellite (Satélite de GlobalProtect) como el Type (Tipo).
5. Introduzca la dirección IP o el FQDN del portal como la Portal Address (Dirección del portal).
6. Seleccione la Interface (Interfaz) de capa 3 que configuró para el satélite.
7. Seleccione la IP Address (Dirección IP) que debe utilizarse en la interfaz seleccionada. Puede
seleccionar una dirección IPv4 o IPv6, o ambas. Especifique si desea IPv6 preferred for portal
registration (IPv6 preferida para el registro del portal).
STEP 5 | (Opcional) Configure el satélite para publicar rutas locales en la puerta de enlace.
Enviar rutas a la puerta de enlace permite el tráfico de las subredes locales al satélite a través de la
puerta de enlace. Sin embargo, también debe configurar la puerta de enlace para aceptar las rutas como
se detalla en Configuración de puertas de enlace de GlobalProtect para LSVPN
1. Para permitir que el satélite envíe rutas a la puerta de enlace, en la pestaña Advanced (Avanzado),
seleccione Publish all static and connected routes to Gateway (Publicar todas las rutas estáticas y
conectadas a la puerta de enlace).
Si selecciona esta casilla de verificación, el cortafuegos reenviará todas las rutas estáticas y
conectadas desde el satélite a la puerta de enlace. Sin embargo, para evitar la creación de bucles de
enrutamiento, el cortafuegos aplicará algunos filtros de ruta como los siguientes:
• Rutas predeterminadas
• Las rutas de un enrutador virtual distinto de los enrutadores virtuales asociados con la interfaz de
túnel.
• Rutas que usan la interfaz de túnel
• Rutas que usan la interfaz física asociada con la interfaz de túnel
2. (Opcional) Si solamente desea enviar rutas para subredes específicas en lugar de a todas las rutas,
haga clic en Add (Añadir) en la sección Subred y especifique qué rutas de subredes deben publicarse.
STEP 6 | Guarde la configuración de satélite.

1. Haga clic en OK (Aceptar) para guardar la configuración de túneles de IPSec.
STEP 7 | Si se le pide, proporcione las credenciales para permitir que el satélite se autentique en el
portal.
Este paso solamente es obligatorio si el portal no ha podido encontrar un número de serie coincidente en
su configuración o si el número de serie no ha funcionado. En este caso, el satélite no podrá establecer el
túnel con las puertas de enlace.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles de IPSec) y haga clic en el enlace Gateway Info
(Información de puerta de enlace) en la columna Status (Estado) de la configuración de túnel que creó
para la LSVPN.
2. Haga clic en el enlace enter credentials (introducir credenciales) del campo Portal Status (Estado del
portal) e introduzca el nombre de usuario y la contraseña necesarios para autenticar el satélite en el
portal.
Después de que el satélite se autentique correctamente en el portal, recibirá su certificado firmado
y su configuración, que deberá utilizar para conectarse a las puertas de enlace. Debería ver cómo se
establece el túnel y cómo cambia el Status (Estado) a Active (Activo).
Verificación de la configuración de LSVPN
Después de configurar el portal, las puertas de enlace y los dispositivos satélite, verifique que los
dispositivos satélite puedan conectarse al portal y a la puerta de enlace, y establecer túneles de VPN con las
puertas de enlace.
STEP 1 | Verifique la conectividad del satélite con el portal.

En el cortafuegos que aloja el portal, verifique que los satélites se conecten correctamente
seleccionando Network (Red) > GlobalProtect > Portal y haciendo clic en Satellite Info (Información de
satélite) en la columna Info (Información) de la entrada de configuración del portal.
STEP 2 | Verifique la conectividad del satélite con los gateways.

En cada cortafuegos que aloja una puerta de enlace, verifique que los satélites puedan establecer túneles
de VPN seleccionando Network (Red) > GlobalProtect > Gateways (Puertas de enlace) y haciendo clic
en Satellite Info (Información de satélite) en la columna Info (Información) de la entrada de configuración
de la puerta de enlace. Los satélites que hayan establecido túneles correctamente con la puerta de
enlace aparecerán en la pestaña Active Satellites (Satélites activos).
STEP 3 | Verifique el estado del túnel de LSVPN en el satélite.

En cada cortafuegos que aloja un satélite, verifique el estado del túnel seleccionando Network (Red) >
IPSec Tunnels (Túneles de IPsec) y verifique que tiene un estado activo, lo que se indica con un icono
verde.
Configuraciones rápidas de LSVPN
Las siguientes secciones proporcionan instrucciones detalladas para configurar algunas implementaciones
comunes de LSVPN de GlobalProtect:
• Configuración básica de LSVPN con rutas estáticas on page 789
• Configuración avanzada de LSVPN con enrutamiento dinámico on page 791
• Configuración avanzada de LSVPN con iBGP on page 793
Configuración básica de LSVPN con rutas estáticas

Esta configuración rápida muestra la forma más rápida de empezar a utilizar la LSVPN. En este ejemplo,
un único cortafuegos de la ubicación de la sede de la empresa se configura como portal y como puerta de
enlace. Los dispositivos satélite pueden implementarse rápida y fácilmente con una configuración mínima
para garantizar una escalabilidad optimizada.
El siguiente flujo de trabajo muestra los pasos para establecer esta configuración básica:

En este ejemplo, la interfaz de capa 3 del portal/puerta de enlace requiere la siguiente configuración:
• Security Zone (Zona de seguridad): lsvpn-tun
• IPv4: 203.0.113.11/24
STEP 2 | En los cortafuegos donde se alojen puertas de enlace de GlobalProtect, configure la interfaz de
túnel lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
Para permitir la visibilidad de los usuarios y grupos que se conecten a través de la VPN,
habilite User-ID en la zona donde finalicen los túneles de VPN.
En este ejemplo, la interfaz de túnel del portal/puerta de enlace requiere la siguiente configuración:
• Interface (Interfaz): túnel.1
• Security Zone (Zona de seguridad): lsvpn-tun
STEP 3 | Cree la regla de políticas de seguridad para habilitar el flujo de tráfico entre la zona de la VPN
donde finaliza el túnel (lsvpn-tun) y la zona fiable donde residen las aplicaciones corporativas
(L3-Trust).
Consulte Creación de una regla de política de seguridad.
STEP 4 | Asigne un perfil de servicio SSL/TLS al portal/puerta de enlace. El perfil debe hacer referencia a
un certificado de servidor autofirmado.
El nombre de asunto del certificado debe coincidir con el FQDN o la dirección IP de la interfaz de capa 3
que cree para el portal/puerta de enlace.
1. En el cortafuegos que aloja el portal GlobalProtect, cree el certificado de CA raíz para la emisión de
certificados autofirmados para los componentes de GlobalProtect. En este ejemplo, el certificado de
CA raíz, lsvpn-CA, se utilizará para emitir el certificado de servidor para el portal/puerta de enlace.
Además, el portal utilizará este certificado de CA raíz para firmar las CSR de los dispositivos satélite.
2. Cree perfiles de servicio SSL/TLS para el portal y las puertas de enlace de GlobalProtect.
Como el portal y la puerta de enlace estarán en la misma interfaz en este ejemplo, pueden compartir
un perfil de servicio SSL/TLS que usa el mismo certificado de servidor. En este ejemplo, el perfil se
denomina lsvpnserver.
STEP 5 | Cree un perfil de certificado.

En este ejemplo, el perfil del certificado lsvpn-profile hace referencia al certificado de CA raíz
lsvpn-CA. La puerta de enlace utilizará este perfil de certificado para autenticar satélites que intenten
establecer túneles de VPN.
STEP 6 | Configure un perfil de autenticación para que lo utilice el portal si el número de serie del
satélite no está disponible.
1. Cree un tipo de perfil de servidor en el portal:
Puede utilizar RADIUS para integrarlo en un servicio de autenticación multifactor.

• Añada un perfil de servidor LDAP Si está usando LDAP para conectarse a Active Directory (AD),
debe crear un perfil de servidor LDAP diferente para cada dominio de AD.
2. Configure un perfil de autenticación. En este ejemplo, el perfil lsvpn-sat se utiliza para autenticar
satélites.
STEP 7 | Configuración de puertas de enlace de GlobalProtect para LSVPN.

Seleccione Network (Red) > GlobalProtect > Gateways (Puertas de enlace) y haga clic en Add (Añadir)
para añadir una configuración. Este ejemplo requiere la siguiente configuración de puerta de enlace:
• IP Address (Dirección IP): 203.0.113.11/24
• SSL/TLS Server Profile (Perfil de servidor SSL/TLS): lsvpnserver
• Certificate Profile (Perfil del certificado): lsvpn-profile
• Tunnel Interface (Interfaz de túnel): túnel.1
• Primary DNS (DNS principal)/Secondary DNS (DNS secundario): 4.2.2.1/4.2.2.2
• IP Pool (Grupo de IP): 2.2.2.111-2.2.2.120
• Access Route (Ruta de acceso): 10.2.10.0/24
STEP 8 | Configuración del portal.

Seleccione Network (Red) > GlobalProtect > Portal y Add (Añadir) para añadir una configuración. Este
ejemplo requiere la siguiente configuración de portal:
• IP Address (Dirección IP): 203.0.113.11/24
• SSL/TLS Server Profile (Perfil de servidor SSL/TLS): lsvpnserver
• Authentication Profile (Perfil de autenticación): lsvpn-sat
STEP 9 | Definición de las configuraciones de satélites.

En la pestaña Satellite (Satélite) de la configuración del portal, haga clic en Add (Añadir) para añadir una
configuración de satélite y una CA raíz de confianza y especifique la CA que utilizará el portal para emitir
certificados para los satélites. En este ejemplo, los ajustes obligatorios son los siguientes:
• Gateway (Puerta de enlace): 203.0.113.11
• Issuing Certificate (Emisor del certificado): lsvpn-CA
• Trusted Root CA (CA raíz de confianza): lsvpn-CA
STEP 10 | Prepare el satélite para unirse a la LSVPN.

La configuración de satélite de este ejemplo requiere los siguientes ajustes:
Configuración de interfaz
• Interfaz de capa 3: ethernet1/1, 203.0.113.13/24
• Interfaz de túnel: túnel.2
• Zona: lsvpnsat
Certificado de CA raíz del portal
• lsvpn-CA
Configuración de túnel de IPSec
• Tunnel Interface (Interfaz de túnel): túnel.2
• Portal Address (Dirección IP del portal): 203.0.113.11
• Local IP Address (Dirección IP local): 203.0.113.13/24
• Publish all static and connected routes to Gateway (Publicar todas las rutas estáticas y conectadas a
puerta de enlace): habilitado
Configuración avanzada de LSVPN con enrutamiento dinámico

En implementaciones de LSVPN de mayor tamaño con varios gateways y varios satélites, invertir algo más
de tiempo en la configuración inicial para establecer el enrutamiento dinámico simplificará el mantenimiento
de las configuraciones de gateways, ya que las rutas de acceso se actualizarán dinámicamente. La siguiente
configuración de ejemplo muestra cómo ampliar la configuración básica de LSVPN para configurar OSPF
como el protocolo de enrutamiento dinámico.
El establecimiento de una LSVPN para utilizar OSPF para el enrutamiento dinámico requiere los siguientes
pasos adicionales en los gateways y los satélites:
• Asignación manual de direcciones IP a interfaces de túnel en todos los gateways y todos los satélites.
• Configuración de OSPF de punto a multipunto (P2MP) en el enrutador virtual en todos los gateways
y todos los satélites. Además, como parte de la configuración de OSPF de cada gateway, debe definir
manualmente la dirección IP de túnel de cada satélite como un vecino OSPF. Del mismo modo, en cada
satélite, debe definir manualmente la dirección IP de túnel de cada gateway como un vecino OSPF.
Aunque el enrutamiento dinámico requiere una configuración adicional durante la configuración inicial de
la LSVPN, reduce las tareas de mantenimiento asociadas a la actualización de las rutas a medida que se
producen cambios de topología en su red.
La siguiente ilustración muestra una configuración de enrutamiento dinámico de LSVPN. Este ejemplo
muestra cómo configurar OSPF como el protocolo de enrutamiento dinámico para la VPN.
Para realizar una configuración básica de una LSVPN, siga los pasos de Configuración básica de LSVPN con
enrutamiento estático. A continuación, podrá realizar los pasos del siguiente flujo de trabajo para ampliar la
configuración con el fin de utilizar el enrutamiento dinámico en lugar de rutas estáticas.
STEP 1 | Añada una dirección IP a la configuración de interfaz de túnel en cada gateway y cada satélite.
Realice los siguientes pasos en cada gateway y cada satélite:
1. Seleccione Network (Red) > Interfaces > Tunnel (Túnel) y seleccione la configuración de túnel que
creó para la LSVPN, para abrir el cuadro de diálogo Tunnel Interface (Interfaz de túnel).
Si aún no ha creado la interfaz de túnel, consulte el paso 2 en Creación de interfaces y zonas para la
LSVPN.
2. En la pestaña IPv4, haga clic en Añadir y, a continuación, introduzca una dirección IP y una máscara
de subred. Por ejemplo, para añadir una dirección IP para la interfaz de túnel de gateway, debería
introducir 2.2.2.100/24.
STEP 2 | Configure el protocolo de enrutamiento dinámico en el gateway.

Para configurar OSPF en el gateway:
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual
asociado a sus interfaces de VPN.
2. En la pestaña Áreas, haga clic en Añadir para crear el área troncal, o bien, si ya está configurada, haga
clic en el ID de área para editarlo.
3. Si está creando una nueva área, introduzca un Area ID (ID de área) en la pestaña Type (Tipo).
4. En la pestaña Interface (Interfaz), haga clic en Add (Añadir) y seleccione la Interfaz de túnel que creó
para la LSVPN.
5. Seleccione p2mp como Link Type (Tipo de enlace).
6. Haga clic en Add (Añadir) en la sección Neighbors e introduzca la dirección IP de la interfaz de túnel
de cada dispositivo satélite; por ejemplo, 2.2.2.111.
7. Haga clic en Ok (Aceptar) dos veces para guardar la configuración del enrutador virtual y, a
continuación, haga clic en Commit (Confirmar) para confirmar los cambios en la puerta de enlace.
8. Repita este paso cada vez que añada un nuevo satélite a la LSVPN.
STEP 3 | Configure el protocolo de enrutamiento dinámico en el satélite.

Para configurar OSPF en el satélite:
asociado a sus interfaces de VPN.
2. En la pestaña Areas (Áreas), haga clic en Add (Añadir) para crear el área troncal, o bien, si ya está
configurada, haga clic en el ID de área para editarlo.
3. Si está creando una nueva área, introduzca un Area ID (ID de área) en la pestaña Type (Tipo).
4. En la pestaña Interface (Interfaz), haga clic en Add (Añadir) y seleccione la Interfaz de túnel que creó
para la LSVPN.
5. Seleccione p2mp como Link Type (Tipo de enlace).
6. Haga clic en Add (Añadir) en la sección Vecinos e introduzca la dirección IP de la interfaz de túnel de
cada puerta de enlace de GlobalProtect, por ejemplo, 2.2.2.100.
7. Haga clic en OK (Aceptar) dos veces para guardar la configuración del enrutador virtual y, a
continuación, haga clic en Commit (Confirmar) para confirmar los cambios en la puerta de enlace.
8. Repita este paso cada vez que añada un nuevo gateway.
STEP 4 | Verifique que los gateways y los satélites pueden formar adyacencias de enrutador.
• En cada satélite y cada gateway, confirme que se han formado adyacencias de peer y que se han
creado entradas de tabla de rutas para los peers (es decir, que los satélites tienen rutas hacia los
gateways y los gateways tienen rutas hacia los satélites). Seleccione Network (Red) > Virtual Router
(Enrutador virtual) y luego haga clic en el enlace More Runtime Stats (Más estadísticas de tiempo de
ejecución) para el enrutador virtual que está utilizando para la LSVPN. En la pestaña Enrutamiento,
verifique que el peer de la LSVPN tiene una ruta.
• En la pestaña OSPF > Interface (Interfaz), verifique que el Type (Tipo) sea p2mp.
• En la pestaña OSPF > Neighbor (Vecino), verifique que los cortafuegos que alojan a sus puertas de
enlace hayan establecido adyacencias de enrutador con los cortafuegos que alojan a sus satélites
y viceversa. Verifique también que el Estado es Completo, lo que indica que se han establecido
adyacencias completas.
Configuración avanzada de LSVPN con iBGP

Este caso de uso ilustra de qué manera la LSVPN de GlobalProtect conecta de manera segura las
ubicaciones de oficina distribuidas con centros de datos primarios y de recuperación ante desastres que
alojan aplicaciones críticas para los usuarios, y de qué manera el protocolo de puerta de enlace de límite
interno (iBGP) facilita la implementación y el mantenimiento. Usando este método, puede extender hasta
500 oficinas satélites mediante la conexión a una sola puerta de enlace.
BGP es un protocolo de enrutamiento dinámico altamente escalable que es ideal para implementaciones en
forma de estrella, tales como LSVPN. Como protocolo de enrutamiento dinámico, elimina gran parte de la
sobrecarga asociada con las rutas de acceso (rutas estáticas), al permitir una implementación relativamente
fácil de cortafuegos satélites adicionales. Debido a sus prestaciones y características de filtro, tales como
varios temporizadores ajustables, amortiguación de ruta y actualización de ruta, escalas de BGP a una
cantidad mucho más grande de prefijos de enrutamiento con mayor estabilidad que otros protocolos de
enrutamiento, como RIP y OSPF. En el caso de iBGP, un grupo de peer que incluye todos los satélites y
puertas de enlace de la implementación LSVPN, establece adyacencias en los endpoints del túnel. Entonces,
el protocolo implícitamente toma el control de los anuncios, actualizaciones y convergencias de la ruta.
En este ejemplo de configuración, un par HA activo/pasivo de cortafuegos PA-5050 se implementa en
el centro de datos primarios (activo) y actúa como el portal y puerta de enlace primaria. El centro de
datos de recuperación ante desastres también posee dos PA-5050 en un par HA activo/pasivo que actúa
como la puerta de enlace LSVPN de respaldo. El portal y las puertas de enlace actúan como 500 PA-200
implementados como satélites LSVPN en las sucursales.
Ambos centros de datos anuncian las rutas, pero con diferentes métricas. Como resultado, los satélites
prefieren e instalan las rutas de centros de datos activos. Sin embargo, las rutas de respaldo también existen
en la base de información de enrutamiento (routing information base, RIB). Si el centro de datos activo
falla, las rutas anunciadas por el centro de datos se eliminan y reemplazan por rutas del centro de datos de
recuperación ante desastres. El tiempo de conmutación por error depende de la selección de los tiempos de
iBGP y la convergencia de enrutamiento asociada con iBGP.
El siguiente flujo de trabajo muestra los pasos para configurar esta implementación:
STEP 1 | Creación de interfaces y zonas para la LSVPN.

Portal y puerta de enlace primaria:
• Zona: LSVPN-Untrust-Primary
• Interfaz: ethernet1/21
• IPv4: 172.16.22.1/24
• Zona: L3-Trust
• IPv4: 200.99.0.1/16
Puerta de enlace de respaldo:
• Zona: LSVPN-Untrust-Primary
• IPv4: 172.16.22.25/24
• Zona: L3-Trust
• IPv4: 200.99.0.1/16
Satélite:
• Zona: LSVPN-Sat-Untrust
• IPv4: 172.16.13.1/22
• Zona: L3-Trust
• Interfaz: ethernet1/2,1
• IPv4: 200.101.1.1/24
Configure las zonas, interfaces y direcciones IP en cada satélite. La interfaz y dirección

IP local serán diferentes para cada satélite. Esta interfaz se utiliza para la conexión VON
al portal y la puerta de enlace.
STEP 2 | En los cortafuegos donde se alojen gateways de GlobalProtect, configure la interfaz de túnel
lógica que finalizará los túneles de VPN establecidos por los satélites de GlobalProtect.
Puerta de enlace primaria:
• Interfaz: tunnel.5
• IPv4: 10.11.15.254/22
• Zona: LSVPN-Tunnel-Primary
Puerta de enlace de respaldo:
• Interfaz: tunnel.1
• IPv4: 10.11.15.245/22
• Zona: LSVPN-Tunnel-Backup
STEP 3 | Habilitación de SSL entre componentes de LSVPN de GlobalProtect.

La puerta de enlace utiliza la autoridad de certificado (certificate authority, CA) de raíz autofirmado para
emitir certificados para los satélites en una LSVPN de GlobalProtect. Debido a que un cortafuegos aloja
el portal y la puerta de enlace primaria, se utiliza un mismo certificado para autenticar en los satélites.
El mismo CA se utiliza para generar un certificado para la puerta de enlace de respaldo. El CA genera
certificados que se envían a los satélites desde el portal y luego son utilizados por los satélites para la
autenticación en las puertas de enlace.
Usted debe generar también un certificado del mismo CA para la puerta de enlace de respaldo, que
permite autenticarse con los satélites.
1. En el cortafuegos que aloja el portal GlobalProtect, cree el certificado de CA raíz para la emisión de
certificados autofirmados para los componentes de GlobalProtect. En este ejemplo, el certificado CA
raíz se denomina CA-cert.
2. Cree perfiles de servicio SSL/TLS para el portal y los gateways GlobalProtect. Si el portal y la puerta
de enlace primaria de GlobalProtect se encuentran en la misma interfaz del cortafuegos, puede
utilizar el mismo certificado de servidor para ambos componentes.
• Certificado CA raíz: CA-Cert
• Nombre del certificado: Escala LSVPN
3. Implemente los certificados de servidor autofirmados en los gateways.
4. Importe el certificado de CA raíz utilizado para la emisión de certificados de servidor para los
componentes de LSVPN.
5. Cree un perfil de certificado.
6. Repita los pasos del 2 al 5 en la puerta de enlace de respaldo con los siguientes ajustes:
• Certificado CA raíz: CA-cert
• Nombre del certificado: LSVPN-back-GW-cert
STEP 4 | Configuración de puertas de enlace de GlobalProtect para LSVPN.
1. Seleccione Network (Red) > GlobalProtect > Gateways (Puertas de enlace) y haga clic en Add
(Añadir).
2. En la pestaña General, nombre la puerta de enlace primaria como LSVPN-Scale.
3. En Network Settings (Configuración de red), seleccione ethernet1/21 como la puerta de enlace
primaria e introduzca 172.16.22.1/24 como la dirección IP.
4. En la pestaña Authentication (Autenticación), seleccione el certificado de escala LSVPN creado en el
paso 3.
5. Seleccione Satellite (Satélite) > Tunnel Settings (Ajustes de túnel) y seleccione Tunnel Configuration
(Configuración de túnel). Configure la Tunnel Interface (Interfaz de túnel) en tunnel.5. Todos los
satélites en este caso de uso se conectan con una misma puerta de enlace, por lo que se necesita una
sola configuración de satélite. Los satélites son cotejados según el número de serie, por lo que no se
necesitarán satélites para autenticarse como usuario.
6. En Satellite (Satélite) > Network Settings (Configuración de red), defina el grupo de direcciones IP
para asignar a la interfaz de túnel en el satélite una vez que se establece la conexión VPN. Debido a
que este caso de uso utiliza un enrutamiento dinámico, el ajuste de las rutas de acceso permanece en
blanco.
7. Repita los pasos del 1 al 5 en la puerta de enlace de respaldo con los siguientes ajustes:
• Name (Nombre): LSVPN de respaldo
• Interfaz de puerta de enlace: ethernet1/5
• IP de puerta de enlace: 172.16.22.25/24
• Certificado de servidor: LSVPN-backup-GW-cert
• Interfaz de túnel: tunnel.1
STEP 5 | Configure iBGP en las puertas de enlace primaria y de respaldo, y añada un perfil de
redistribución para permitir que los satélites introduzcan rutas locales nuevamente en las
puertas de enlace.
Cada oficina satélite gestiona su propia red y cortafuegos, por lo que el perfil de redistribución
denominado ToAllSat se configura para redistribuir las rutas locales nuevamente a la puerta de enlace de
GlobalProtect.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y Add (Añadir) para añadir un
enrutador virtual.
2. En Router Settings (Configuración de enrutador), añada el Name (Nombre) y la Interface (Interfaz)
para el enrutador virtual.
3. En Redistribution Profile (Perfil de redistribución) y seleccione Add (Añadir).
1. Nombre el perfil de redistribución ToAllSat y configure la Priority (Prioridad) en 1.
2. Configure Redistribute (Redistribuir) en Redist (Redistribución).
3. Seleccione Add (Añadir) ethernet1/23 en la lista desplegable de la interfaz.
4. Seleccione BGP en el enrutador virtual para configurar BGP.
1. En BGP > General, seleccione Enable (Habilitar).
2. Ingrese la dirección IP de la puerta de enlace como la Router ID (ID de enrutador) (172.16.22.1)
y 1000 como el AS Number (Número AS).
3. En la sección Options (Opciones), seleccione Install Route (Instalar ruta).
4. En BGP > Peer Group (Grupo de peer), haga clic en Add (Añadir) para añadir un grupo de peer con
todos los satélites que se conectarán a la puerta de enlace.
5. En BGP > Redist Rules (Reglas de distribución), seleccione Add (Añadir) para añadir el perfil de
distribución ToAllSat que creó anteriormente.
6. Repita los pasos del 1 al 5 en la puerta de enlace de respaldo usando ethernet1/6 para el perfil de
distribución.
STEP 6 | Prepare el satélite para unirse a la LSVPN

La configuración que se muestra es un ejemplo de un solo satélite.
Repita esta configuración cada vez que añada un nuevo satélite a la implementación de LSVPN.
1. Configure una interfaz de túnel como el endpoint de túnel para la conexión VPN a las puertas de
enlace.
2. Configure el tipo de túnel IPSec en GlobalProtect Satellite (Satélite de GlobalProtect) e introduzca la
dirección IP del portal de GlobalProtect.
enrutador virtual.
4. En Router Settings (Configuración de enrutador), añada el Name (Nombre) y la Interface (Interfaz)
para el enrutador virtual.
5. Seleccione Virtual Router (Enrutador virtual) > Redistribution Profile (Perfil de redistribución) y
seleccione Add (Añadir) para añadir un perfil con los siguientes ajustes.
1. Nombre el perfil de redistribución ToLSVPNGW y configure la Priority (Prioridad) en 1.
2. Seleccione Add (Añadir) para añadir una Interface (Interfaz) ethernet1/2.1.
6. Seleccione BGP > General, Enable (Habilitar) BGP y configure el protocolo de la siguiente manera:
1. Ingrese la dirección IP de la puerta de enlace como la Router ID (ID de enrutador) (172.16.22.1)
y 1000 como el AS Number (Número AS).
2. En la sección Options (Opciones), seleccione Install Route (Instalar ruta).
3. En BGP > Peer Group (Grupo de peer), haga clic en Add (Añadir) para añadir un grupo de peer con
todos los satélites que se conectarán a la puerta de enlace.
4. En BGP > Redist Rules (Reglas de distribución), seleccione Add (Añadir) para añadir el perfil de
distribución ToLSVPNGW que creó anteriormente.
STEP 7 | Configure el portal de GlobalProtect para LSVPN.

Ambos centros de datos anuncian sus rutas, pero con diferentes prioridades de enrutamiento para
garantizar que el centro de datos activos sea la puerta de enlace preferida.
1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) y haga clic en Add (Añadir).
2. En General, introduzca LSVPN-Portal como el nombre del portal.
3. En Network Settings (Configuración de red), seleccione ethernet1/21 como la Interface (Interfaz)
y seleccione 172.16.22.1/24 como la IP Address (Dirección IP).
4. En la pestaña Authentication (Autenticación), seleccione el perfil SSL/TLS de la puerta de enlace
creada anteriormente LSVPN-Scale en el menú desplegable SSL/TLS Service Profile (Perfil de
servicio SSL/TLS).
5. En la pestaña Satellite (Satélite), seleccione Add (Añadir) para añadir un satélite y en Name (Nombre)
ingrese sat-config-1.
6. Configure el Configuration Refresh Interval (Intervalo de actualización de configuración) en 12.
7. En GlobalProtect Satellite (Satélite de GlobalProtect) > Devices (Dispositivos), añada el número de
serie y nombre de host de cada dispositivo satélite en la LSVPN.
8. En GlobalProtect Satellite (Satélite de GlobalProtect) > Gateways (Puertas de enlace), añada el
nombre y la dirección IP de cada puerta de enlace. Configure la prioridad de enrutamiento de la
puerta de enlace primaria en 1 y la puerta de enlace de respaldo en 10 para garantizar que el centro
de datos activo sea la puerta de enlace preferida.
STEP 8 | Verifique la configuración de LSVPN.
STEP 9 | (Opcional) Añada una nueva ubicación a la implementación LSVPN.

1. Seleccione Network (Red) > GlobalProtect > Portals (Portales) > GlobalProtect Portal (Portal de
GlobalProtect) > Satellite Configuration (Configuración del satélite) > GlobalProtect Satellite
(Satélite de GlobalProtect) > Devices (Dispositivos) para añadir el número de serie del nuevo satélite
al portal de GlobalProtect.
2. Configure el túnel IPSec en el satélite con la dirección IP el portal de GlobalProtect.
3. Seleccione Network (Red) > Virtual Router (Enrutador virtual) > BGP > Peer Group (Grupo de peer)
para añadir el satélite a la configuración de grupo de peer BGP en cada puerta de enlace.
4. Seleccione Network (Red) > Virtual Router (Enrutador virtual) > BGP > Peer Group (Grupo de peer)
para añadir las puertas de enlace a la configuración de grupo de peer BGP en el nuevo satélite.
Networking
Todos los cortafuegos de próxima generación de Palo Alto Networks® proporcionan una
arquitectura de red flexible que incluye la compatibilidad con el enrutamiento dinámico, la
conmutación y la conectividad de VPN, lo que le permite implementar el cortafuegos en
prácticamente cualquier entorno de red. Al configurar los puertos Ethernet en su cortafuegos,
podrá elegir entre una implementación de interfaz de Virtual Wire, capa 2 o capa 3. Además,
para permitirle integrar una variedad de segmentos de red, podrá configurar diferentes tipos de
interfaces en diferentes puertos.
Los siguientes temas describen conceptos de redes y cómo integrar cortafuegos de próxima
generación de Palo Alto Networks en su red.
> Configuración de interfaces

> Enrutadores virtuales
> Rutas de servicio
> Rutas estáticas
> RIP
> OSPF
> BGP
> Redistribución de ruta
> DHCP
> DNS
> NAT
> NPTv6
> NAT64
> ECMP
> LLDP
> BFD
> Configuración de sesión y tiempos de espera de sesión
> Inspección del contenido del túnel
799
800 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Networking
Configuración de interfaces
Un cortafuegos de última generación Palo Alto Networks puede funcionar en múltiples implementaciones
a la vez porque las implementaciones se producen en el nivel de la interfaz. Por ejemplo, puede configurar
algunas interfaces para que las interfaces de capa 3 integren el cortafuegos a su entorno de enrutamiento
dinámico y configurar otras interfaces de modo que se integren en su red de conmutación de capa 2.
Los siguientes temas describen cada tipo de implementación de interfaz y cómo configurar los tipos de
interfaces correspondientes:
• Interfaces de modo tap
• interfaces de cables virtuales
• Interfaces de capa 2
• Interfaces de capa 3
• Configuración de los grupos de interfaces de agregación
• Uso de los perfiles de gestión de interfaz para restringir el acceso
Interfaces de modo tap

Un tap de red es un dispositivo que proporciona acceso a los datos que atraviesan una red de equipos. La
implementación del modo tap permite supervisar de forma pasiva los flujos de tráfico a través de una red
mediante un conmutador SPAN o un puerto espejo.
El puerto SPAN o de espejo permite copiar el tráfico de otros puertos en el conmutador. Al configurar una
interfaz del cortafuegos como interfaz de modo tap y conectarla con un puerto SPAN de conmutación, este
puerto proporciona al cortafuegos un reflejo del tráfico. De esta forma es posible visualizar la aplicación en
la red sin necesidad de estar en el flujo del tráfico de red.
En una implementación de modo tap, el cortafuegos no puede realizar ninguna acción como
bloquear el tráfico o aplicar controles QoS.
interfaces de cables virtuales

En una implementación de cable virtual, debe instalar un cortafuegos de forma transparente en un
segmento de red uniendo dos puertos (interfaces) del cortafuegos. Evidentemente, el cable virtual conecta
dos interfaces; por lo tanto, el cable virtual es un componente interno del cortafuegos.
Utilice una implementación de cable virtual solo cuando desee integrar sin inconvenientes un cortafuegos
en una topología y las dos interfaces conectadas en el cortafuegos no deben llevar a cabo conmutación
o enrutamiento. En el caso de estas dos interfaces, el cortafuegos se considera como puesto en el cable
(bump-in-the-wire).
Una implementación de cable virtual simplifica la instalación y la configuración del cortafuegos debido a que
puede insertar el cortafuegos en una topología existente sin asignar direcciones MAC o IP a las interfaces,
rediseñar la red o reconfigurar los dispositivos de red alrededor. El cable virtual admite el bloqueo o el
permiso de tráfico en función de etiquetas de la LAN virtual (VLAN), además de admitir reglas de la política
de seguridad, App-ID, Content-ID, User-ID, cifrado, LLDP, HA activa/pasiva y activa/activa, QoS, protección
de zona (con algunas excepciones), protección de protocolo no IP, protección contra DoS, protección del
búfer de paquetes, inspección del contenido del túnel y NAT.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Networking 801

Cada interfaz de cable virtual está conectada directamente a un dispositivo o host de red de capa 2 o capa
3. Las interfaces de cable virtual no tienen direcciones de capa 2 o capa 3. Cuando una de las interfaces
de cable virtual recibe una trama o paquete, ignora cualquier dirección de capa 2 o de capa 3 con fines
de conmutación o enrutamiento, pero se aplica a sus reglas de la política de seguridad o de NAT antes de
pasar una trama o paquete permitida en el cable virtual a la segunda interfaz y hacia el dispositivo de red
conectado a ella.
No debe utilizar una implementación de cable virtual para las interfaces que deben admitir conmutación,
túneles VPN o enrutamiento debido a que requieren una dirección de capa 2 o capa 3. Una interfaz de cable
virtual no utiliza un perfil de gestión de interfaces, que controla servicios como HTTP y ping, y, por lo tanto,
requiere que la interfaz cuente con una dirección IP.
Todos los cortafuegos que se envían desde la fábrica cuentan con dos puertos Ethernet (puerto 1 y 2)
preconfigurados como interfaces de cable virtual, y estas interfaces permiten todo el tráfico sin etiquetas.
Si no desea utilizar el cable virtual preconfigurado, debe eliminar esta configuración para
evitar que interfiera con otra configuración del cortafuegos. Consulte el Establecimiento de
acceso a la red para servicios externos.
• Paquetes de capa 2 y capa 3 en un cable virtual

• Velocidad de puertos en las interfaces de cable virtual
• LLDP en un cable virtual
• Interfaces agregadas para un cable virtual
• Compatibilidad del cable virtual con la alta disponibilidad
• Protección de zona para una interfaz de cable virtual
• Tráfico con etiqueta de VLAN
• Subinterfaces de Virtual Wire
• Configuración de cables virtuales

Paquetes de capa 2 y capa 3 en un cable virtual
Una interfaz de cable virtual permitirá que los paquetes de capa 2 y capa 3 procedentes de dispositivos
conectados pasen de manera transparente siempre que las políticas que se aplican a la zona o a la interfaz
permitan el tráfico. Las interfaces de cable virtual no participan en el enrutamiento o la conmutación.
Por ejemplo, el cortafuegos no reduce el TTL en un paquete de traceroute hacia el enlace virtual debido
a que el enlace es transparente y no cuenta como un salto. Los paquetes como las unidades de datos de
protocolo (PDU) de operaciones, administración y mantenimiento (OAM), por ejemplo, no finalizan en el
cortafuegos. Por lo tanto, el cable virtual permite que el cortafuegos mantenga una presencia transparente
actuando como un enlace de paso, mientras que proporciona servicios de seguridad, NAT y QoS.
Con el fin de que las unidades de datos para protocolo puente (BPDU) y otros paquetes de control de capa
2 (que, por lo general, no se etiquetan) pasen por un cable virtual, las interfaces deben adjuntarse a un
objeto de cable virtual que permita el tráfico no etiquetado. Esta es la configuración predeterminada. Si
el campo Tag Allowed (Etiqueta permitida) del objeto de cable virtual está vacío, el cable virtual permite
tráfico no etiquetado. (Las reglas de la política de seguridad no se aplican a los paquetes de capa 2).
Para que los paquetes de control (de capa 3) de enrutamiento pasen por un cable virtual, debe aplicar una
regla de la política de seguridad que permita el paso de tráfico. Por ejemplo, aplique una regla de la política
de seguridad que permita una aplicación como BGP o OSPF.
Si desea poder aplicar reglas de la política de seguridad a una zona para el tráfico IPv6 que llega a una
interfaz de cable virtual en el cortafuegos, habilite el cortafuegos IPv6. De lo contrario, el tráfico IPv6 se
reenviará de manera transparente por el cable.
Si habilita el cortafuegos de multidifusión para un objeto de cable virtual y lo aplica a una interfaz de cable
virtual, el cortafuegos inspecciona el tráfico multidifusión y lo reenvía o no, en función de las reglas de la
política de seguridad. Si no habilita el cortafuegos de multidifusión, el cortafuegos reenviará el tráfico de
multidifusión de manera transparente.
La fragmentación en un cable virtual se produce de igual manera que en otros modos de implementación de
la interfaz.
Velocidad de puertos en las interfaces de cable virtual

Los diferentes modelos de cortafuegos proporcionan varios puertos de cobre y de fibra óptica, que
funcionan a diferente velocidad. Un cable virtual puede utilizar dos puertos Ethernet del mismo tipo (ambos
de cobre o ambos de fibra óptica) o utilizar un puerto de cobre y un puerto de fibra óptica. De manera
predeterminada, el cortafuegos configura los puertos de cobre en una velocidad de enlace automática, lo
que provoca que los puertos de cobre negocien automáticamente su velocidad de enlace y la capacidad
de dúplex completo o medio dúplex entre sí. El cortafuegos le permite seleccionar una velocidad de enlace
admitida si desea controlar la velocidad de enlace de un puerto.
Cuando configure un cable virtual, utilice dos puertos que funcionen a la misma velocidad de
enlace para que funcionen correctamente.
LLDP en un cable virtual

Las interfaces de cable virtual pueden utilizar LLDP para encontrar dispositivos vecinos y sus capacidades,
y el LLDP permite a los dispositivos vecinos detectar la presencia del cortafuegos en la red. LLDP facilita
la resolución de problemas, especialmente en el caso de implementaciones de cable virtual donde el
cortafuegos suele pasar desapercibido debido a un ping o traceroute que pasa por un cable virtual.
LLDP proporciona un método para que los dispositivos detecten el cortafuegos en la red. Sin el LLDP, es
prácticamente imposible que los sistemas de gestión de redes detecten la presencia de un cortafuegos
mediante el enlace virtual.

Interfaces agregadas para un cable virtual
Puede Configurar un grupo de interfaces agregadas de interfaces de cable virtual, pero los cables virtuales
no utilizan el LACP. Si configura el LACP en dispositivos que se conectan el cortafuegos a otras redes, el
cable virtual pasará paquetes del LACP de manera transparente sin realizar las funciones del LACP.
Para que los grupos de interfaces agregados funcionen correctamente, asegúrese de que
todos los enlaces del mismo grupo de LACP en el mismo lado del cable virtual se asignen a
la misma zona.
Compatibilidad del cable virtual con la alta disponibilidad

Si configura el cortafuegos para realizar la supervisión de rutas para la alta disponibilidad utilizando un grupo
de rutas de cable virtual, el cortafuegos intenta resolver el ARP de la dirección IP de destino configurada
enviando paquetes de ARP de ambas interfaces de cable virtual. La dirección IP de destino que supervisa
debe permanecer en la misma subred que uno de los dispositivos alrededor del cable virtual.
Las interfaces de cable virtual admiten HA activa/pasiva y activa/activa. En implementaciones de HA activa/
activa con un cable virtual, los paquetes examinados deben devolverse al cortafuegos de destino para
conservar la ruta de reenvío. Por lo tanto, si un cortafuegos recibe un paquete que pertenece a la sesión que
el cortafuegos de HA del peer posee, lo devuelve mediante el enlace HA3 al peer.
En PAN-OS 7.1 y versiones posteriores, puede configurar el cortafuegos pasivo en un par de HA para
permitir que los dispositivos del peer en ambos lados del cortafuegos negocien previamente los paquetes
LLDP y LACP mediante un cable virtual antes de que se produzca una conmutación de error de HA. Una
configuración que garantice la Negociación previa de LACP y LLDP para HA activa/pasiva acelera las
conmutaciones por error de HA.
Protección de zona para una interfaz de cable virtual

Puede aplicar una protección de zona a una interfaz de cable virtual pero, dado que las interfaces de cable
virtual no realizan el enrutamiento, no puede aplicar protección de ataques basados en paquetes a los
paquetes provenientes de una dirección IP falsa, ni suprimir los paquetes de error vencidos de TTL ICMP o
los paquetes que requieren fragmentación de ICMP.
De manera predeterminada, una interfaz de cable virtual reenvía todo el tráfico no IP que recibe. Sin
embargo, puede aplicar un perfil de protección de zona con protección de protocolos para bloquear o
permitir determinados paquetes de protocolo no IP entre las zonas de seguridad en un cable virtual.
Tráfico con etiqueta de VLAN

Las interfaces de cable virtual predeterminadas permiten todo el tráfico sin etiquetas. No obstante, puede
utilizar un cable virtual para conectar dos interfaces y configurarlas para que bloqueen o permitan el tráfico
basándose en las etiquetas de LAN virtual (VLAN). La etiqueta VLAN 0 indica el tráfico sin etiquetar.
También puede crear varias subinterfaces, añadirlas a diferentes zonas y, a continuación, clasificar el
tráfico de acuerdo con una etiqueta VLAN, o una combinación de una etiqueta VLAN con clasificadores
IP (dirección, intervalo o subred) para aplicar un control detallado de las políticas para etiquetas VLAN
específicas o para etiquetas VLAN de una dirección IP de origen, intervalo o subred en concreto.
Subinterfaces de Virtual Wire

Las implementaciones de cable virtual pueden usar subinterfaces de cable virtual para separar el tráfico en
zonas. Las subinterfaces de Virtual Wire ofrecen flexibilidad a la hora de aplicar distintas políticas cuando
necesita gestionar el tráfico de varias redes de clientes. Las subinterfaces le permiten separar y clasificar
el tráfico en diferentes zonas (las zonas pueden pertenecer a sistemas virtuales separados, si es necesario)
utilizando los siguientes criterios:

• Etiquetas de la VLAN: el ejemplo de Implementación de Virtual Wire con subinterfaces (únicamente
etiquetas VLAN) muestra un ISP que utiliza subinterfaces de Virtual Wire con etiquetas VLAN para
separar el tráfico para dos clientes diferentes.
• Etiquetas VLAN junto con clasificadores IP (dirección, intervalo o subred): el siguiente ejemplo muestra
un ISP con dos sistemas virtuales separados en un cortafuegos que gestiona el tráfico de dos clientes
diferentes. En cada sistema virtual, el ejemplo ilustra cómo se utilizan las subinterfaces de Virtual Wire
con etiquetas VLAN y clasificadores IP para clasificar el tráfico en zonas separadas y aplicar la política
relevante para los clientes de cada red.
Flujo de trabajo de subinterfaces de Virtual Wire
• Configure dos interfaces Ethernet con el tipo Virtual Wire y asigne estas interfaces a un Virtual Wire.
• Cree subinterfaces en el Virtual Wire principal para separar el tráfico del cliente A del cliente B.
Asegúrese de que las etiquetas VLAN definidas en cada par de subinterfaces configuradas como
Virtual Wire sean idénticas. Esto es esencial, porque un Virtual Wire no conmuta etiquetas VLAN.
• Cree nuevas subinterfaces y defina clasificadores IP. Esta tarea es opcional y solamente es necesaria
si desea añadir subinterfaces adicionales con clasificadores IP para gestionar de manera más
exhaustiva el tráfico de un cliente basándose en la combinación de etiquetas VLAN y una dirección IP
de origen, intervalo o subred en concreto.
También puede utilizar clasificadores IP para gestionar el tráfico sin etiquetar. Para ello, debe crear una
subinterfaz con la etiqueta VLAN “0” y definir subinterfaces con clasificadores IP para gestionar el tráfico
sin etiquetar mediante clasificadores IP.
La clasificación de IP solamente puede utilizarse en las subinterfaces asociadas con un

lado del Virtual Wire. Las subinterfaces definidas en el lado correspondiente del Virtual Wire
deben utilizar la misma etiqueta VLAN, pero no deben incluir un clasificador IP.
Figure 11: Implementación de Virtual Wire con subinterfaces (únicamente etiquetas VLAN)
Implementación de Virtual Wire con subinterfaces (únicamente etiquetas VLAN) muestra al cliente A y al
cliente B conectados al cortafuegos mediante una interfaz física, Ethernet 1/1, configurada como Virtual
Wire, que es la interfaz de entrada. Una segunda interfaz física, Ethernet1/2, también forma parte del
Virtual Wire y se utiliza como la interfaz de salida que proporciona acceso a Internet.
Para el cliente A, también tiene las subinterfaces Ethernet 1/1.1 (entrada) y Ethernet 1/2.1 (salida). Para el
cliente B, tiene las subinterfaces Ethernet 1/1.2 (entrada) y Ethernet 1/2.2 (salida). Cuando configure las
subinterfaces, debe asignar la etiqueta VLAN y la zona correctas para aplicar las políticas a cada uno de los
clientes. En este ejemplo, las políticas del cliente A se crean entre la zona 1 y la zona 2, y las políticas del
cliente B se crean entre la zona 3 y la zona 4.
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta VLAN del paquete
entrante primero deberá coincidir con la etiqueta VLAN definida en las subinterfaces de entrada. En
este ejemplo, solo una subinterfaz coincide con la etiqueta VLAN en el paquete entrante, por lo que se
seleccionará esa subinterfaz. Las políticas definidas para la zona se evalúan y aplican antes de que el
paquete salga de la subinterfaz correspondiente.
No debe definirse la misma etiqueta VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas VLAN definidas en la lista Tag Allowed (Etiquetas

permitidas) de la interfaz de Virtual Wire principal (Network [Red] > Virtual Wires [Cables
virtuales]) no se incluyan en una subinterfaz.
Implementación de Virtual Wire con subinterfaces (etiquetas VLAN y clasificadores IP) muestra al cliente A
y al cliente B conectados a un cortafuegos físico que tiene dos sistemas virtuales (vsys), además del sistema
virtual predeterminado (vsys1). Cada sistema virtual es un cortafuegos virtual independiente que se gestiona
por separado para cada cliente. Cada vsys tiene adjuntadas interfaces/subinterfaces y zonas de seguridad
que se gestionan de manera independiente.
Figure 12: Implementación de Virtual Wire con subinterfaces (etiquetas VLAN y clasificadores IP)
Vsys1 está configurado para utilizar las interfaces físicas Ethernet 1/1 y Ethernet 1/2 como Virtual Wire;
Ethernet 1/1 es la interfaz de entrada y Ethernet 1/2 es la interfaz de salida que proporciona el acceso
a Internet. Este Virtual Wire está configurado para aceptar todo el tráfico etiquetado y sin etiquetar a
excepción de las etiquetas VLAN 100 y 200, que están asignadas a las subinterfaces.
El cliente A se gestiona en vsys2 y el cliente B se gestiona en vsys3. En vsys2 y vsys3, se crean las siguientes
subinterfaces de Virtual Wire con las etiquetas VLAN y las zonas adecuadas para aplicar las medidas
incluidas en las políticas.
Cliente Vsys Subinterfaces de Vwire Zona Etiqueta VLAN Clasificador IP
A 2 e1/1.1 (entrada) Zona 3 100 None (Ninguno)

e1/2.1 (salida) Zona 4 100
2 e1/1.2 (entrada) Zona 5 100 Subred IP

Cliente Vsys Subinterfaces de Vwire Zona Etiqueta VLAN Clasificador IP
e1/2.2 (salida) Zona 6 100 192.1.0.0/16
2 e1/1.3 (entrada) Zona 7 100 Subred IP

e1/2.3 (salida) Zona 8 100 192.2.0.0/16
B 3 e1/1.4 (entrada) Zona 9 200 None (Ninguno)

e1/2.4 (salida) Zona 10 200
Cuando el tráfico entre en el cortafuegos desde el cliente A o el cliente B, la etiqueta VLAN del paquete
entrante primero deberá coincidir con la etiqueta VLAN definida en las subinterfaces de entrada. En este
caso, para el cliente A, hay varias subinterfaces que utilizan la misma etiqueta VLAN. De este modo, el
cortafuegos primero acota la clasificación a una subinterfaz basándose en la dirección IP de origen del
paquete. Las políticas definidas para la zona se evalúan y aplican antes de que el paquete salga de la
subinterfaz correspondiente.
Para el tráfico de ruta de retorno, el cortafuegos compara la dirección IP de destino del modo definido en
el clasificador IP en la subinterfaz del cliente y selecciona el Virtual Wire adecuado para enrutar el tráfico a
través de la subinterfaz precisa.
No debe definirse la misma etiqueta VLAN en la interfaz del Virtual Wire principal y la
subinterfaz. Verifique que las etiquetas VLAN definidas en la lista Tag Allowed (Etiquetas
permitidas) de la interfaz de Virtual Wire principal (Network [Red] > Virtual Wires [Cables
virtuales]) no se incluyan en una subinterfaz.
Configuración de cables virtuales

La siguiente tarea muestra cómo configurar dos interfaces de cable virtual para crear un cable virtual.
STEP 1 | Cree la primera interfaz de cable virtual.

Por ejemplo, cree un cable virtual entre los puertos Ethernet 1/3 y Ethernet 1/4.
1. Seleccione Network (Red) > Interfaces > Ethernet y seleccione un puerto que haya conectado por
cable; por ejemplo ethernet1/3.
2. Para Interface Type (Tipo de interfaz), seleccione Virtual Wire (Cable virtual).
STEP 2 | Conecte la interfaz a un objeto de cable virtual.

1. Mientras aún esté en la misma interfaz Ethernet, en la pestaña Config, seleccione Assign Interface To
(Asignar interfaz a) y Virtual Wire (Cable virtual), amplíe la lista desplegable y seleccione New Virtual
Wire (Nuevo cable virtual).
2. Ingrese un Name (Nombre) para el cable virtual, seleccione la interfaz que pertenece al cable virtual, y
3. Para Interface1, seleccione la interfaz que acaba de configurar (ethernet1/3) para que pertenezca al
cable virtual. (Solo las interfaces configuradas como interfaces de cable virtual aparecen en la lista
desplegable).
4. Para Tag Allowed (Etiqueta permitida), incluya 0 para indicar que el tráfico sin etiquetar (como
BPDU y otro tráfico de control de capa 2) está permitido. La ausencia de una etiqueta implica una
etiqueta de 0. Ingrese números enteros de etiquetas permitidas adicionales o intervalos de etiquetas,
separados por coma. El valor predeterminado es 0; el intervalo es de 0 a 4094.

5. Seleccione Multicast Firewalling (Cortafuegos de multidifusión) si desea poder aplicar reglas de
política de seguridad al tráfico de multidifusión que atraviesa el cable virtual. De lo contrario, el
tráfico de multidifusión se envía de manera transparente por el cable virtual.
6. Seleccione Link State Pass Through (Paso del estado del enlace), para que el cortafuegos pueda
funcionar de manera transparente. Cuando el cortafuegos detecta un estado inactivo para un enlace
de cable virtual, desactiva la otra interfaz en el par de cable virtual. Por lo tanto, los dispositivos en
ambos lados del cortafuegos ven un estado de enlace constante, como si no hubiera un cortafuegos
entre ellos. Si no selecciona esta opción, el estado del enlace no se propaga por el cable virtual.
7. Haga clic en OK (Aceptar) para guardar el objeto de cable.
STEP 3 | Determine la velocidad del enlace de la interfaz de cable virtual.

1. Mientras esté en la misma interfaz Ethernet, en la pestaña Advanced (Avanzado), registre o cambie
la Link Speed (Velocidad de enlace). El tipo de puerto determina los ajustes de velocidad disponibles
en la lista desplegable. De manera predeterminada, los puertos de cobre se configuran en auto
(automático) para negociar la velocidad del enlace.
2. Haga clic en OK (Aceptar) para guardar la interfaz de Ethernet.
STEP 4 | Configure la segunda interfaz de cable virtual.

1. Repita los pasos anteriores para configurar el segundo puerto; por ejemplo, ethernet1/4.
2. Cuando seleccione el objeto de cable virtual que creó, especifique ethernet1/4 como Interface2. Use
dos interfaces (puertos) con velocidades de enlace coincidentes. Por ejemplo, un puerto de cobre de
1000 Mbps se corresponde con un puerto de fibra óptica de 1 Gbps.
STEP 5 | Cree una zona de seguridad para cada una de las interfaces de cable virtual.
1. Seleccione Network (Red) > Zones (Zonas) y Add (Añadir) para añadir una zona.
2. Ingrese un nombre para la zona en Name, tal como Internet.
3. Para Location (Ubicación), seleccione el sistema virtual al que se aplica la zona.
4. Para Type (Tipo), seleccione Virtual Wire (Cable virtual).
5. Seleccione Add (Añadir) para añadir la Interface (Interfaz) que pertenece a la zona, Ethernet 1/3.
7. Repita estos pasos para añadir Ethernet 1/4 a otra zona.
STEP 6 | (Opcional) Cree reglas de política de seguridad para permitir el paso del tráfico de capa 3.
1. Para permitir el tráfico de capa 3 en el cable virtual, cree una regla de política de seguridad para
permitir el tráfico desde la zona de usuario a la zona de Internet, y otra para permitir el tráfico desde
la zona de Internet a la zona de usuario, al seleccionar las aplicaciones que desea permitir, tal como
BGP u OSPF.
STEP 7 | (Opcional) Habilite cortafuegos IPv6.

Si desea poder aplicar reglas de política de seguridad al tráfico IPv6 que llega a la interfaz de cable
virtual, habilite los cortafuegos IPv6. De lo contrario, el tráfico IPv6 se enviará de manera transparente.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y modifique la
2. Seleccione Enable IPv6 Firewalling (Habilitar cortafuegos IPv6).
STEP 8 | Seleccione Commit (Confirmar).

STEP 9 | (Opcional) Configure un perfil LLDP y aplíquelo a las interfaces de cable virtual.

Configuración de LLDP.
STEP 10 | (Opcional) Aplique control de protocolo no IP a las zonas de cable virtual. De lo contrario,
todo el tráfico no IP se reenviará por el cable virtual.
Configure la protección de protocolo.
Interfaces de capa 2
En una implementación de capa 2, el cortafuegos permite cambiar entre dos o más redes. Los dispositivos
se conectan a una trama de capa 2; el cortafuegos reenvía las tramas al puerto adecuado, que se asocia a la
dirección MAC que se identifica en la trama. Realice la Configuración de una interfaz de capa 2 cuando se
requiera la conmutación.
Figure 13: Implementación de capa 2
En una implementación de capa 2, el cortafuegos reescribe el número de ID de VLAN del puerto entrante
(PVID) en un árbol de conmutación por VLAN (PVST+) Cisco o una unidad de datos para protocolo puente
(BPDU) de PVST+ rápido con el número de ID de VLAN entrante adecuado y lo reenvía. El cortafuegos
reescribe dichas BPDU en las interfaces Ethernet de capa 2 y Ethernet de agregación (Aggregated Ethernet,
AE) únicamente.
El conmutador Cisco debe tener el loopguard deshabilitado para que PVST+ o la BPDU de
PVST+ rápido reescriba la función correctamente en el cortafuegos.
Los siguientes temas describen los diferentes tipos de interfaces de capa 2 que puede configurar para cada
tipo de implementación que necesita, lo que incluye los detalles sobre la utilización de LAN virtuales (VLAN)
para la separación del tráfico y la política en los grupos.
• Interfaces de capa 2 sin LAN
• Interfaces de capa 2 con LAN
• Configure la interfaz de capa 2
• Configuración de una interfaz de capa 2, una subinterfaz y una VLAN
Interfaces de capa 2 sin LAN

Realice la Configuración de una interfaz de capa 2 en el cortafuegos, de modo que pueda actuar como
un conmutador en su red de capa 2 (no en el borde de la red). Probablemente, los hosts de capa 2 se
encuentran cercanos geográficamente y pertenecen a un dominio de difusión único. El cortafuegos
proporciona seguridad entre los hosts de capa 2 cuando asigna las interfaces a las zonas de seguridad y
aplica las reglas de seguridad a las zonas.
Los hosts se comunican con el cortafuegos y entre sí en la capa 2 del modelo OSI intercambiando tramas.
Una trama contiene un encabezado Ethernet que incluye una dirección de control de acceso a los medios
(MAC), que es una dirección de hardware físico. Las direcciones MAC son números hexadecimales de 48
bits con formato de seis octetos separados por dos puntos o guiones (por ejemplo, 00-85-7E-46-F1-B2).
La siguiente figura tiene un cortafuegos con interfaces de capa 2 que se conectan a un host de capa 2 en
una asignación de uno a uno.

El cortafuegos comienza con una tabla MAC vacía. Cuando el host con dirección de origen 0A-76-
F2-60-EA-83 envía una trama al cortafuegos, el cortafuegos no cuenta con una dirección de destino
0B-68-2D-05-12-76 en su tabla MAC, de modo que no sabe a qué interfaz reenviar la trama y difunde la
trama a todas sus interfaces de capa 2. El cortafuegos introduce la dirección de origen 0A-76-F2-60-EA-83
y la dirección Eth1/1 asociada en su tabla MAC.
El host en 0C-71-D4-E6-13-44 recibe la difusión, pero la dirección MAC de destino no es su propia
dirección MAC y, por lo tanto, descarta la trama.
La interfaz de destino Ethernet 1/2 reenvía la trama a su host. Cuando el host 0B-68-2D-05-12-76
responde, utiliza la dirección de destino 0A-76-F2-60-EA-83 y el cortafuegos añade Ethernet 1/2 como la
interfaz en su tabla MAC para alcanzar la dirección 0B-68-2D-05-12-76.
Interfaces de capa 2 con LAN

Cuando su organización desea dividir una LAN en LAN virtuales (VLAN) separadas para que el tráfico y las
políticas de los diferentes departamentos permanezcan separados, puede agrupar los hosts de capa 2 en
VLAN y, por lo tanto, dividir un segmento de red de capa 2 en dominios de difusión. Por ejemplo, puede
crear VLAN para los departamentos de finanzas e ingeniería. Para ello, realice la Configuración de una
interfaz de capa 2, una subinterfaz y una VLAN.
El cortafuegos actúa como conmutador para reenviar una trama con un encabezado Ethernet que contiene
una ID de VLAN, y la interfaz de destino debe tener una subinterfaz con la ID de VLAN con el fin de recibir
la trama y reenviarla al host. Puede configurar una interfaz de capa 2 en el cortafuegos y configurar una o
más subinterfaces lógicas para el interfaz, cada una con una etiqueta (ID) de VLAN.
En la siguiente figura, el cortafuegos tiene cuatro interfaces de capa 2 que se conectan a hosts de capa
2 pertenecientes a diferentes departamentos dentro de una organización. La interfaz Ethernet 1/3
se configura con subinterfaz .1 (etiquetada con VLAN 10) y subinterfaz .2 (etiquetada con VLAN 20);
por lo tanto, existen dos dominios de difusión en ese segmento. Los hosts en VLAN 10 pertenecen al
departamento de finanzas; los hosts en VLAN 20 pertenecen al departamento de ingeniería.

En este ejemplo, el host en la dirección MAC 0A-76-F2-60-EA-83 envía una trama con VLAN ID 10 al
cortafuegos y el cortafuegos lo difunde a sus otras interfaces de capa 2. La interfaz Ethernet 1/3 acepta la
trama debido a que está conectada al host con la dirección de destino 0C-71-D4-E6-13-44 y se asigna la
VLAN 10 a su subinterfaz .1. La interfaz Ethernet 1/3 reenvía la trama a su host de finanzas.
Configure la interfaz de capa 2

Configure las interfaces de capa 2 sin VLAN cuando desee una conmutación de capa 2 y no necesite un
tráfico independiente en las VLAN.

1. Seleccione Network (Redes) > Interfaces (Interfaces) > Ethernet y seleccione una interfaz. El
Interface Name (Nombre de la interfaz) es fijo, como ethernet1/1.
2. En NAT Type (Tipo de NAT), seleccione Layer2.
3. Seleccione la pestaña Config (Configuración) y asigne la interfaz a una Security Zone (Zona de
seguridad) o cree una New Zone (Nueva zona).
4. Configure interfaces de capa 2 adicionales en el cortafuegos que se conecten a otros hosts de capa 2.
STEP 2 | Seleccione Commit (Confirmar).

Configuración de una interfaz de capa 2, una subinterfaz y una VLAN

Configure interfaces de capa 2 con VLAN cuando desee una conmutación de capa 2 y un tráfico
independiente en las VLAN. De manera opcional, puede controlar protocolos no IP entre zonas de seguridad
en una interfaz de capa 2 o entre interfaces dentro de una misma zona en una VLAN de capa 2.
STEP 1 | Configure una interfaz de capa 2 y una subinterfaz, y asigne una ID de VLAN.
1. Seleccione Network (Redes) > Interfaces (Interfaces) > Ethernet y seleccione una interfaz. El
Interface Name (Nombre de la interfaz) es fijo, como ethernet1/1.

2. En NAT Type (Tipo de NAT), seleccione Layer2.
3. Seleccione la pestaña Config (Configuración).
4. En VLAN, conserve la configuración None (Ninguno).
5. Asigne la interfaz a una Security Zone (Zona de seguridad) o cree una New Zone (Nueva zona).
7. Cuando la interfaz Ethernet esté resaltada, haga clic en Add Subinterface (Añadir subinterfaz).
8. El campo Interface Name (Nombre de interfaz) permanece fijo. Tras el punto, introduzca el número
de subinterfaz en el rango de 1 a 9999.
9. Introduzca una ID con una Tag (Etiqueta) de VLAN en el rango de 1 a 4094.
10.Asigne la interfaz a una Security Zone (Zona de seguridad).
STEP 2 | Seleccione Confirmar.

STEP 3 | (Opcional) Aplique un perfil de protección de zona con protección de protocolo para controlar
paquetes de protocolo no IP entre zonas de capa 2 (o entre interfaces dentro de una zona de
capa 2).
Configuración de la protección de protocolos.
Interfaces de capa 3
En una implementación de capa 3, el cortafuegos enruta el tráfico entre múltiples puertos. Antes de que
pueda realizar la Configuración de interfaces de capa 3, debe configurar los enrutadores virtuales que desea
que el cortafuegos utilice para enrutar el tráfico para cada interfaz de capa 3.
Figure 14: Implementación de capa 3
Los siguientes temas describen cómo configurar interfaces de capa 3, y cómo utilizar el protocolo de
detección de vecinos (NDP) para suministrar hosts IPv6 y visualizar las direcciones IPv6 de los dispositivos
en la red local del enlace para ubicar dispositivos con rapidez.
• Configuración de interfaces de capa 3
• Gestión de hosts IPv6 con NDP
Configuración de interfaces de capa 3

El siguiente procedimiento es necesario para configurar interfaces de capa 3 (Ethernet, VLAN, bucle
invertido e interfaces de túnel) con direcciones IPv4 o IPv6, de manera que el cortafuegos pueda realizar
el enrutamiento en estas interfaces. Si un túnel se utiliza para el enrutamiento o si la supervisión de túnel
está activada, el túnel necesita una dirección IP. Antes de realizar la siguiente tarea, defina uno o más
enrutadores virtuales.
Habitualmente usaría el siguiente procedimiento para configurar una interfaz externa que se conecte con
Internet y una interfaz para su red interna. Puede configurar ambas direcciones tanto IPv4 como IPv6 en
una misma interfaz.

Los modelos de cortafuegos PAN-OS admiten un máximo de 16.000 direcciones IP
asignadas a interfaces de capa 3 físicas o virtuales; este máximo incluye direcciones IPv4 e
IPv6.
Si está utilizando rutas IPv6, puede configurar el cortafuegos para que proporcione anuncios de enrutador
IPv6 para la configuración DNS. El cortafuegos proporciona a los clientes DNS IPv6 direcciones de servidor
DNS recursivas (RDNS) y una lista de búsqueda DNS para que el cliente pueda resolver sus solicitudes DNS
IPv6. Por lo tanto, el cortafuegos actúa como un servidor DHCPv6 para usted.
STEP 1 | Seleccione una interfaz y configúrela con una zona de seguridad.

1. Seleccione Network (Red) > Interfaces (Interfaces) y Ethernet, VLAN, loopback (bucle invertido) o
Tunnel (Túnel), según el tipo de interfaz que desee.
2. Seleccione la interfaz que desea configurar.
3. Seleccione Interface Type—Layer3 (Tipo de interfaz: capa 3).
4. En la pestaña Config, para Virtual Router (Enrutador virtual), seleccione el enrutador virtual que está
configurando, tal como default (predeterminado).
5. Para Virtual System (Sistema virtual), seleccione el sistema virtual que está configurando, en el caso
de un cortafuegos de sistema virtual múltiple.
6. Para Security Zone (Zona de seguridad), seleccione la zona a la cual pertenece la interfaz o cree una
New Zone (Zona nueva).
STEP 2 | Configure una interfaz con una dirección IPv4.

Existen tres maneras de asignar una dirección IPv4 a una interfaz de capa 3:
• Estático
• Cliente DHCP: la interfaz del cortafuegos funciona como un cliente DHCP y recibe una dirección IP
asignada dinámicamente. El cortafuegos también permite propagar los ajustes recibidos mediante
la interfaz del cliente DHCP a un servidor DHCP activo en el cortafuegos. Esta opción se suele
utilizar para propagar los ajustes del servidor DNS desde un proveedor de servicios de Internet a las
máquinas cliente de la red que están protegidas por el cortafuegos.
• PPPoE: configure la interfaz como un punto de finalización del protocolo punto a punto sobre
Ethernet (Point-to-Point Protocol over Ethernet, PPPoE) con el fin de permitir la conectividad en
un entorno de línea de suscripción digital (DSL) en el que existe un módem DSL, pero ningún otro
dispositivo PPPoE que finalice la conexión.
1. Seleccione Network (Red) > Interfaces (Interfaces) y Ethernet, VLAN, loopback (bucle invertido) o
Tunnel (Túnel), según el tipo de interfaz que desee.
3. Para configurar la interfaz con una dirección IPv4 estática, en la pestaña IPv4, configure Type (Tipo)
en Static (Estático).
4. Seleccione Add (Añadir) para añadir un nombre en Name y opcionalmente una descripción de la
dirección en Description.
5. Para Type (Tipo), seleccione una de las siguientes opciones:
• IP Netmask (Máscara de red IP): introduzca la dirección IP y la máscara de red para asignarla a la
interfaz; por ejemplo, 208.80.56.100/24.
• IP Range (Intervalo IP): introduzca un intervalo de dirección IP, tal como 192.168.2.1-192.168.2.4.
• FQDN: introduzca un nombre de dominio completo.
6. Seleccione Tags (Etiquetas) para aplicarlas a la dirección.

STEP 3 | Configure una interfaz con el protocolo punto a punto sobre Ethernet (PPPoE). Consulte
Interfaces de capa 3.
PPPoE no es compatible en modo HA activo/activo.
1. Seleccione Network (Red) > Interfaces y Ethernet, VLAN, loopback (bucle invertido) o Tunnel
(Túnel).
3. En la pestaña IPv4, configure el Type (Tipo) en PPPoE.
4. En la pestaña General, seleccione Enable (Habilitar) para activar la interfaz para la finalización de
PPPoE.
5. Introduzca el Username (Nombre de usuario) de la conexión de punto a punto.
6. Introduzca la Password (Contraseña) para el nombre de usuario y seleccione Confirm Password
(Confirmar contraseña).
STEP 4 | Configure una interfaz como cliente DHCP, para que reciba una dirección IPv4 asignada
dinámicamente.
El cliente DHCP no es compatible en modo HA activo/activo.
(Túnel).
3. En la pestaña IPv4, configure el Type (Tipo) en DHCP Client (Cliente DHCP).
4. Seleccione Enable (Habilitar) para activar el cliente DHCP en la interfaz.
5. Seleccione Automatically create default route pointing to default gateway provided by server
(Crear ruta predeterminada automáticamente que apunte a la puerta de enlace predeterminada
proporcionada por el servidor) para crear de manera automática una ruta predeterminada que apunte
a la puerta de enlace predeterminada que proporciona el servidor DHCP.
6. (Opcional) Introduzca una Default Route Metric (Métrica de ruta predeterminada) (nivel de prioridad)
para la ruta predeterminada que el cortafuegos utiliza para la selección de ruta (el intervalo es de 1 a
65.535; no hay valor predeterminado). Cuanto más bajo sea el valor, más alta será la prioridad.
STEP 5 | Configure una interfaz con una dirección IPv6 estática.

(Túnel).
3. En la pestaña IPv6, seleccione Enable IPv6 on the interface (Habilitar IPv6 en la interfaz) para
permitir el direccionamiento de IPv6 en la interfaz.
4. Para Interface ID (ID de interfaz), introduzca el identificador único ampliado de 64 bits (EUI-64)
en formato hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo en blanco, el
cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Si activa la
opción Use interface ID as host portion (Usar la ID de interfaz como parte de host) cuando se añade
una dirección, el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección.
5. Seleccione Add (Añadir) para añadir la Address (Dirección) IPv6 o seleccione un grupo de direcciones.
6. Seleccione Enable address on interface (Habilitar dirección en interfaz) para habilitar la dirección
IPv6 en la interfaz.

7. Seleccione Use interface ID as host portion (Usar ID de interfaz como parte de host) para utilizar el
ID de interfaz como la parte de host de la dirección IPv6.
8. (Opcional) Seleccione Anycast (Difusión por proximidad) para que la dirección (ruta) IPv6 sea una
dirección (ruta) de difusión por proximidad, lo que significa que varias ubicaciones pueden anunciar el
mismo prefijo, e IPv6 envía el tráfico de difusión por proximidad al nodo que considera más cercano,
según los costes del protocolo de enrutamiento y otros factores.
9. (Solo interfaz Ethernet) Seleccione Send Router Advertisement (Enviar anuncio de enrutador,
RA) para habilitar el cortafuegos para que envíe esta dirección en anuncios de enrutador, en cuyo
caso también debe habilitar la opción global Enable Router Advertisement (Habilitar anuncio de
enrutador) en la interfaz (paso siguiente).
10.(Solo interfaz Ethernet) Ingrese la Valid Lifetime (sec) (Duración válida [s]), en segundos, por la que
el cortafuegos considera la dirección como válida. La duración válida debe ser igual o superar la
Preferred Lifetime (sec) (Duración preferida [s]) (el valor predeterminado es 2 592 000).
11.(Solo interfaz Ethernet) Ingrese la Preferred Lifetime (sec) (Duración preferida [s]) por la que se
prefiere la dirección válida, lo que significa que el cortafuegos la puede utilizar para enviar y recibir
tráfico. Cuando caduca la duración preferida, el cortafuegos deja de poder utilizar la dirección para
establecer nuevas conexiones, pero cualquier conexión existente es válida hasta que caduque la Valid
Lifetime (Duración válida) (el valor predeterminado es 604 800).
12.(Solo interfaz Ethernet) Seleccione On-link (Enlace activo) si se puede establecer comunicación con
los sistemas con direcciones en el prefijo sin necesidad de un enrutador.
13.(Solo interfaz Ethernet) Seleccione Autonomous (Autónomo) si los sistemas pueden crear una
dirección IP de forma independiente combinando el prefijo publicado con un ID de interfaz.
STEP 6 | (Interfaz Ethernet o VLAN usando una dirección IPv6 únicamente) Habilite el cortafuegos para que
envíe los anuncios de enrutador IPv6 (RA) desde una interfaz y, opcionalmente, para que ajuste
los parámetros RA.
Ajuste los parámetros RA por cualquiera de estos motivos: Para interoperar con un
enrutador/host que utilice diferentes valores. Para lograr una convergencia más rápida
cuando haya varias puertas de enlace presentes. Por ejemplo, configure valores de Min
Interval (Intervalo mínimo), Max Interval (Intervalo máximo) y Router Lifetime (Duración
del enrutador) más bajos para que el cliente/host IPv6 pueda cambiar rápidamente
la puerta de enlace predeterminada después de que haya fallado la puerta de enlace
principal, e iniciar el envío a otra puerta de enlace predeterminada en la red.
1. Seleccione Network (Red) > Interfaces y Ethernet o VLAN.

3. Seleccione IPv6 (Capa3).
4. Seleccione Enable IPv6 on the interface (Habilitar IPv6 en la interfaz).
5. En la pestaña Router Advertisement (Anuncio de enrutador), seleccione Enable Router
Advertisement (Habilitar anuncio de enrutador) (por defecto está deshabilitado).
6. (Opcional) Especifique el Min Interval (sec) (Intervalo mínimo [s]); es decir, el intervalo mínimo (en
segundos) entre los distintos RA que el cortafuegos enviará (el intervalo es de 3 a 1350 y el valor
predeterminado, 200). El cortafuegos envía los RA en intervalos aleatorios entre los valores mínimo y
máximo que usted configure.
7. (Opcional) Especifique el Max Interval (sec) (Intervalo máximo [s]); es decir, el intervalo máximo (en
segundos) entre los distintos RA que el cortafuegos enviará (el intervalo es de 4 a 1800 y el valor
predeterminado, 600). El cortafuegos envía los RA en intervalos aleatorios entre los valores mínimo y
máximo que usted configure.
8. (Opcional) Configure el Hop Limit (Límite de salto) que se debe aplicar a los clientes en los paquetes
salientes (el intervalo es de 1 a 255, el valor predeterminado es 64). Introduzca 0 si no desea ningún
límite de salto.

9. (Opcional) Configure Link MTU (Unidad de transmisión máxima de enlace), la unidad de transmisión
máxima (maximum transmission unit, MTU) de enlace para aplicar a los clientes (el intervalo es de
1280 a 9192; el valor predeterminado es unspecified [no especificado]). Seleccione unspecified (no
especificado) para que no haya un MTU de enlace.
10.(Opcional) Configure el Reachable Time (ms) (Tiempo alcanzable [s]); es decir, el tiempo alcanzable
(en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir
un mensaje de confirmación de esta condición. Seleccione unspecified (no especificado) si no
desea establecer ningún valor de tiempo alcanzable (intervalo 0-3.600.000, predeterminado no
especificado).
11.(Opcional) Configure el Retrans Time (ms) (Tiempo de retransmisión [ms]); el temporizador de
retransmisión que determinará cuánto tiempo debe esperar el cliente, en milisegundos, antes de
retransmitir los mensajes de convocatoria de vecinos. Seleccione unspecified (no especificado) si no
desea ningún tiempo de retransmisión (intervalo 0-4.294.967.295, predeterminado no especificado).
12.(Opcional) Configure la Router Lifetime (sec) (Duración de enrutador [s]) para especificar cuánto
tiempo, en segundos, el cliente utilizará el cortafuegos como puerta de enlace predeterminada
(el intervalo es de 0 a 9000 y el valor predeterminado, 1800). Un valor cero especifica que el
cortafuegos no es la puerta de enlace predeterminada. Cuando acaba la duración, el cliente elimina
la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de
enlace predeterminada.
13.Configure la Router Preference (Preferencia de enrutador) que el cliente utiliza para seleccionar
un enrutador preferido si el segmento de red tiene varios enrutadores IPv6. High (Alta), Medium
(Intermedia) (valor predeterminado) o Low (Baja) es la prioridad que el RA anuncia para indicar
la prioridad relativa del enrutador virtual del cortafuegos en relación con otros enrutadores del
segmento.
14.Seleccione Managed Configuration (Configuración gestionada) para indicar al cliente que las
direcciones están disponibles a través de DHCPv6.
15.Seleccione Other Configuration (Otra configuración) para indicar al cliente que hay disponible otra
información de dirección (por ejemplo, ajustes relacionados con DNS) a través de DHCPv6.
16.Seleccione Consistency Check (Comprobación de consistencia) si desea que el cortafuegos verifique
que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. El
cortafuegos envía logs sobre cualquier incoherencia.
STEP 7 | (Interfaz Ethernet o VLAN usando una dirección IPv6 únicamente) Especifique las direcciones del
servidor DNS recursivo y la lista de búsqueda de DNS que el cortafuegos anunciará en los
anuncios de enrutador ND desde esta interfaz.
Los servidores RDNS y la lista de búsqueda DNS son parte de la configuración DNS para el cliente DNS,
de manera que el cliente pueda resolver las solicitudes DNS IPv6.
1. Seleccione Network (Red) > Interfaces y Ethernet o VLAN.
2. Seleccione la interfaz que está configurando.
3. Seleccione IPv6 > DNS Support (Soporte DNS).
4. Seleccione Include DNS information in Router Advertisement (Incluir información DNS en el anuncio
de enrutador) para habilitar el cortafuegos para que envíe información DNS IPv6.
5. Para el Server (Servidor) DNS, seleccione Add (Añadir) para añadir la dirección IPv6 de un servidor
DNS recursivo. Seleccione Add (Añadir) para añadir hasta ocho servidores DNS recursivos.
El cortafuegos envía direcciones de servidor en un anuncio de enrutador ICMPv6 en orden
descendente.
6. Especifique la Lifetime (Duración) en segundos, que es la extensión de tiempo máxima durante la que
el cliente puede usar el servidor RDNS específico para resolver nombres de dominio.
• El intervalo de la Lifetime (Duración) es cualquier valor igual o entre el Max Interval (Intervalo
máximo) (que configuró en la pestaña Router Advertisement [Anuncio de enrutador]) y dos veces

ese Max Interval (Intervalo máximo). Por ejemplo, si su intervalo máximo es de 600 segundos, el
intervalo de duración es de 600 a 1200 segundos.
• La Lifetime (Duración) predeterminada es de 1200 segundos.
7. Para el sufijo DNS, seleccione Add (Añadir) un DNS Suffix (Sufijo DNS) (nombre de dominio de un
máximo de 255 bytes). Seleccione Add (Añadir) para añadir hasta ocho sufijos DNS. El cortafuegos
envía sufijos en un anuncio de enrutador ICMPv6 en orden descendente.
8. Especifique la Lifetime (Duración) en segundos, que es la extensión de tiempo máxima durante la que
el cliente puede usar el sufijo. La duración posee el mismo intervalo y valor predeterminado que el
servidor.
STEP 8 | (Opcional) Habilite los servicios en la interfaz.

1. Para habilitar los servicios en la interfaz, seleccione Network (Red) > Interfaces y Ethernet o VLAN.
2. Seleccione la interfaz que está configurando.
3. Seleccione Advanced (Avanzado) > Other Info (Otra información).
4. Expanda la lista desplegable Management Profile (Perfil de gestión) y seleccione un perfil o un New
Management Profile (Nuevo perfil de gestión).
5. Introduzca un Name (Nombre) para el perfil.
6. Para Permitted Services (Servicios permitidos), seleccione servicios, tales como Ping, y haga clic en
OK (Aceptar).

Haga clic en OK (Aceptar) y Commit (Compilar).
STEP 10 | Conecte el cable de Internet.

Conecte cables directos desde las interfaces que ha configurado al conmutador o enrutador
correspondiente de cada segmento de red.
STEP 11 | Verifique que la interfaz esté activa.

Desde la interfaz web, seleccione Network (Red) > Interfaces y verifique que el icono de la columna Link
State (Estado de enlace) esté de color verde. También puede supervisar el estado de enlace desde el
widget Interfaces en el Dashboard (Panel).
STEP 12 | Configure rutas estáticas o un protocolo de enrutamiento dinámico (RIP, OSPF o BGP), para
que el enrutador virtual pueda enrutar el tráfico.
• Configuración de una ruta estática
• RIP
• OSPF
• BGP
STEP 13 | Configuración de una ruta predeterminada.

Configure una ruta estática y establézcala como predeterminada.
Gestión de hosts IPv6 con NDP

Este tema describe cómo puede utilizar NDP para suministrar hosts IPv6; por lo tanto, no necesita un
servidor DHCPv6 separado para este fin. Esto también explica cómo utilizar el NDP para supervisar
direcciones IPv6, lo que le permite rastrear con rapidez la dirección IPv6 y la dirección MAC de un
dispositivo y el usuario asociado que ha violado una regla de seguridad.
• Anuncios de enrutador IPv6 para la configuración del DNS

• Configuración de los servidores RDNS y la lista de búsqueda de DNS para los anuncios de enrutadores
IPv6
• Monitorización NDP
• Habilitar supervisión NDP
Anuncios de enrutador IPv6 para la configuración del DNS
Se mejora la implementación del cortafuegos de la detección de vecinos (ND) de modo que pueda ofrecerle
a los hosts IPv6 la opción de servidor DNS recursivo (RDNSS) y la opción de lista de búsqueda de DNS
(DNSSL) según RFC 6106, Opciones de anuncios de enrutador IPv6 para la configuración del DNS. Cuando
realiza la Configuración de interfaces de capa 3, configura estas opciones de DNS en el cortafuegos y el
cortafuegos puede suministrar a los hosts IPv6; por lo tanto, no es necesario que un servidor DHCPv6
independiente para suministrar a los hosts. El cortafuegos envía anuncios de enrutador (RA) IPv6 con estas
opciones a hosts IPv6 como parte de su configuración de DNS para suministrarlos completamente con el fin
de alcanzar los servicios de internet. Por lo tanto, sus hosts IPv6 se configuran con las siguientes variables:
• Las direcciones de los servidores RDNS que pueden resolver consultas de DNS.
• Una lista de nombres de dominio (sufijos) que el cliente DNS agrega (una a la vez) a un nombre de
dominio no calificado antes de introducir el nombre de dominio en una consulta DNS.
Los anuncios de enrutador IPv6 para la configuración del DNS son compatibles con los interfaces
Ethernet, los subinterfaces, los interfaces Ethernet agregados y los interfaces VLAN de capa 3 en todas las
plataformas PAN-OS.
La capacidad del cortafuegos de enviar RA IPv6 para la configuración del DNS le permite al
cortafuegos realizar una función similar al DHCP y no se relaciona con el cortafuegos como
proxy DNS, cliente DNS o servidor DNS.
Después de configurar el cortafuegos con las direcciones de los servidores RDNS, el cortafuegos suministra
un host IPv6 (el cliente DNS) con esas direcciones. El host IPv6 utiliza una o más de estas direcciones para
alcanzar un servidor RDNS. El DNS recursivo corresponde a una serie de solicitudes DNS de un servidor
RDNS, como se muestra con tres pares de consultas y respuestas en la siguiente figura. Por ejemplo, cuando
un usuario intenta acceder a www.paloaltonetworks.com, el explorador local detecta que esa dirección IP
para ese nombre de dominio no se encuentra en su almacenamiento en caché ni en el sistema operativo
del cliente. El sistema operativo del cliente inicia una consulta DNS para un servidor DNS recursivo
perteneciente al ISP local.
Un anuncio de enrutador IPv6 puede incluir varias opciones de dirección de servidor DNS recursivo y cada
opción posee una duración similar o diferente. Una opción única de dirección de servidor DNS recursivo

puede incluir varias direcciones de servidor DNS recursivo siempre que las direcciones compartan la misma
duración.
Una lista de búsqueda de DNS es una lista de los nombres de dominio (sufijos) que el cortafuegos anuncia
a un cliente DNS. Por lo tanto, el cortafuego suministra al cliente DNS para que utilice los sufijos en sus
consultas de DNS no calificadas. El cliente DNS agrega los sufijos, uno a uno, a un nombre de dominio
no calificado antes de introducir el nombre en una consulta DNS, y utilizar, de ese modo, un nombre de
dominio completo (FQDN) en la consulta DNS. Por ejemplo, si un usuario (del cliente DNS que se configura)
intenta enviar una consulta DNS con el nombre "calidad" sin un sufijo, el enrutador agrega un punto y el
primer sufijo DNS de la lista de búsqueda de DNS al nombre y transmite una consulta DNS. Si el primer
sufijo DNS de la lista es "empresa.com", la consulta DNS resultante del enrutador se realizará con el FQDN
"calidad.empresa.com".
Si la consulta DNS falla, el cliente agrega el segundo sufijo DNS de la lista al nombre no calificado y
transmite una nueva consulta DNS. El cliente utiliza los sufijos DNS en orden hasta que una búsqueda de
DNS sea correcta (se omiten los sufijos restantes) o hasta que el enrutador haya intentado todos los sufijos
de la lista.
Configure el cortafuegos con los sufijos que desea facilitar al enrutador de cliente DNS en una opción
DNSSL de ND; el cliente DNS que recibe la lista de búsqueda de DNS utiliza los sufijos en sus consultas
DNS no calificadas.
Para especificar los servidores RDNS y una lista de búsqueda de DNS, realice la Configuración de los
servidores RDNS y la lista de búsqueda de DNS para los anuncios de enrutadores IPv6.
Configuración de los servidores RDNS y la lista de búsqueda de DNS para los anuncios de
enrutadores IPv6
Realice esta tarea para llevar a cabo los Anuncios de enrutadores IPv6 para la configuración de DNS de
hosts IPv6.
STEP 1 | Permita que el cortafuegos envíe anuncios de enrutadores IPv6 desde una interfaz.
1. Seleccione Network (Red) > Interfaces (Interfaces) y Ethernet o VLAN.
3. En la pestaña IPv6, seleccione Enable IPv6 on the interface (Habilitar las direcciones IPv6 en la
interfaz).
4. En la pestaña Router Advertisement (Anuncios de enrutadores), seleccione Enable Router
Advertisement (Habilitar anuncios de enrutadores).
STEP 2 | Especifique las direcciones del servidor DNS recursivo y la lista de búsqueda de DNS que el
cortafuegos anunciará en los anuncios de enrutadores de ND de esta interfaz.
Los servidores de RDNS y la lista de búsqueda de DNS forman parte de la configuración del cliente de
DNS, lo que permite al cliente resolver las solicitudes de DNS IPv6.
3. Seleccione IPv6 > DNS Support (Asistencia de DNS).
4. Haga clic en Include DNS information in Router Advertisement (Incluir información de DNS en los
anuncios de enrutadores) para permitir que el cortafuegos envíe información de DNS IPv6.
5. En el Server (Servidor) DNS, haga clic en Add (Añadir) para añadir la dirección IPv6 de un servidor
DNS recursivo. Add (Añada) hasta ocho servidores DNS recursivos. El cortafuegos envía direcciones
de servidor en un anuncio de enrutadores ICMPv6 desde el principio al final.
6. Especifique la Lifetime (Duración) en segundos, que es el período de tiempo máximo durante el cual
el cliente puede utilizar un servidor RDNS específico para resolver los nombres del dominio.

• El rango Lifetime (Duración) corresponde a cualquier valor igual o dentro del Max Interval
(Intervalo máximo) (que configuró en la pestaña Router Advertisement [Anuncios de
enrutadores]) y el doble del Max Interval (Intervalo máximo). Por ejemplo, si el intervalo máximo
es de 600 segundos, el rango de duración será de 600 a 1200 segundos.
• La Lifetime (Duración) predeterminada es de 1200 segundos.
7. En DNS Suffix (Sufijo DNS), haga clic en Add (Añadir) para añadir un DNS Suffix (Sufijo DNS)
(nombre de dominio con un tamaño máximo de 255 bytes). Add (Añada) hasta ocho sufijos DNS. El
cortafuegos envía sufijos en un anuncio de enrutadores ICMPv6 desde el principio al final.
8. Especifique la Lifetime (Duración) en segundos, que es el período de tiempo máximo durante el
cual el cliente puede utilizar el sufijo. El campo Lifetime (Duración) tiene el mismo rango y valor
predeterminado que el campo Server (Servidor).

Monitorización NDP
El protocolo de detección de vecinos (NDP) para la dirección IPv6 (RFC 4861) lleva a cabo funciones
similares a las funciones de ARP para IPv4. El cortafuegos predeterminado ejecuta el NDP, que utiliza
paquetes ICMPv6 para encontrar y rastrear las direcciones de capa de enlace y el estado de los vecinos en
los enlaces conectados.
Habilitar supervisión NDP on page 820 de modo que pueda visualizar las direcciones IPv6 de los
dispositivos en la red local del enlace, sus direcciones MAC, el nombre de usuario asociado de User-ID (si
el usuario de ese dispositivo utilizó un servicio de directorio para iniciar sesión), el estado de alcance de la
dirección, y la última fecha y hora informada en la que el supervisor NDP recibió un anuncio de enrutador
de esta dirección IPv6. El nombre de usuario depende del mejor caso; pueden existir varios dispositivos IPv6
en una red sin nombre de usuario, como las impresoras, los equipos de fax, los servidores, etc.
Si desea rastrear con rapidez un dispositivo y un usuario que violó una regla de seguridad, es útil que la
dirección IPv6, la dirección MAC y el nombre de usuario se muestren en un lugar. Necesita la dirección
MAC que corresponde a la dirección IPv6 para rastrear la dirección MAC de vuelta a un conmutador físico o
punto de acceso.
No se garantiza que la supervisión de NDP descubra todos los dispositivos debido a que
podría haber otros dispositivos de red entre el cortafuegos y el cliente que filtra mensajes de
NDP o detección de direcciones duplicadas (DAD). El cortafuegos solo puede supervisar los
dispositivos que encuentra en la interfaz.
La supervisión de NDP también supervisa los paquetes de detección de direcciones duplicadas (DAD) de
clientes y vecinos. También puede supervisar los logs de ND IPv6 para facilitar la resolución de problemas.
La supervisión de NDP admite interfaces Ethernet, subinterfaces, interfaces Ethernet de agregación e
interfaces VLAN en todos los modelos PAN-OS.
Habilitar supervisión NDP
Realice esta tarea para habilitar la supervisión NDP en una interfaz.
STEP 1 | Habilite la supervisión NDP.

3. Seleccione IPv6.
4. Seleccione Address Resolution (Resolución de dirección).

5. Seleccione Enable NDP Monitoring (Habilitar supervisión NDP).
Tras habilitar o deshabilitar la supervisión NDP, debe hacer clic en Commit

(Confirmar) para confirmar el cambio antes de que la supervisión NDP se inicie o se
detenga.

STEP 3 | Supervise paquetes NDP y DAD de clientes y vecinos.

2. En la interfaz donde habilitó la supervisión NDP, en la columna Features (Características), mueva el
puntero sobre el icono de supervisión NDP:
request high-availability state functional
El resumen de supervisión NDP de la interfaz muestra la lista de prefijos IPv6 que la interfaz enviará
en el anuncio de enrutador (RA) si se encuentra habilitada esta opción (se trata de los prefijos IPv6 de
la interfaz misma).
Además, el resumen indica si las opciones DAD, anuncio de enrutador o asistencia de DNS están
habilitadas; si las direcciones IP de los servidores DNS recursivos están configurados y los sufijos
DNS configurados en la lista de búsqueda de DNS.
3. Haga clic en el icono de supervisión NDP para mostrar información detallada.
Cada fila de la tabla detallada de supervisión NDP de la interfaz muestra la dirección IPv6 de
un vecino que descubrió el cortafuegos, la dirección MAC correspondiente, la ID de usuario
correspondiente (basada en el mejor caso), estado de alcance de la dirección, y última fecha y hora
informada en la que este supervisor NDP recibió un RA de esta dirección IP. Una ID de usuario no se
mostrará en las impresoras u otros hosts no basados en un usuario. Si el estado de la dirección IP es
antiguo, se desconoce si el vecino es alcanzable, según RFC 4861.
En la esquina inferior derecha, se encuentra el contador de Total Devices Detected (Dispositivos
totales detectados) en la red local del enlace.
• Introduzca una dirección IPv6 en el campo de filtro para buscar la dirección que desea mostrar.
• Seleccione las casillas de verificación para mostrar o no mostrar las direcciones IPv6.
• Haga clic en los números, la flecha derecha o izquierda, o la barra de desplazamiento vertical para
avanzar a través de las entradas.
• Haga clic en Clear All NDP Entries (Borrar todas las entradas de NDP) para borrar toda la tabla.
STEP 4 | Supervise los logs de ND para crear informes.

1. Seleccione Monitor (Supervisar) > Logs > System (Sistema).
2. En la columna Type (Tipo), visualice los logs ipv6nd y las descripciones correspondientes.
Por ejemplo, inconsistent router advertisement received indica que el cortafuegos
recibió un RA diferente al RA que enviará.
Configuración de los grupos de interfaces de agregación

Un grupo de interfaz de agregación utiliza la agregación de enlaces IEEE 802.1AX para combinar varias
interfaces de Ethernet en una sola interfaz virtual que conecta el cortafuegos a otro dispositivo de red u
otro cortafuegos. Un grupo de agregación aumenta el ancho de banda entre peers al equilibrar la carga
de tráfico en las interfaces combinadas. También proporciona redundancia; cuando una interfaz falla, las
interfaces restantes continúan manteniendo el tráfico.
Por defecto, la detección de fallos de interfaz es automática solo en la capa física, entre peers conectados
directamente. Sin embargo, si habilita el protocolo de control de adición de enlaces (Link Aggregation
Control Protocol, LACP), la detección de fallos es automática en la capa física y de enlace de datos,
independientemente de si los peers están conectados directamente. LACP también permite la conmutación
por error automática a interfaces en espera si configura reservas activas. Todos los cortafuegos de Palo Alto
Networks, excepto los modelos de las series PA-200 y VM, admiten los grupos de agregación. Puede añadir
hasta ocho grupos de agregación por cortafuegos y cada grupo puede tener hasta ocho interfaces.
Los modelos de cortafuegos PAN-OS admiten un máximo de 16.000 direcciones IP

asignadas a interfaces de capa 3 físicas o virtuales; este máximo incluye direcciones IPv4 e
IPv6.
Antes de configurar un grupo de agregación, debe configurar sus interfaces. Entre las interfaces asignadas
a cualquier grupo de agregación particular, el soporte físico del hardware puede ser diferente (por ejemplo,
puede mezclar fibra óptica y cobre), pero el ancho de banda y el tipo de interfaz deben ser los mismos. Las
opciones de ancho de banda y tipo de interfaz son las siguientes:
• Ancho de banda: 1 Gbps, 10 Gbps, 40 Gbps o 100 Gbps
• Tipo de interfaz: HA3, Virtual Wire, capa 2 o capa 3. Puede agregar las interfaces HA3 (reenvío de
paquetes) en una configuración activa/activa de alta disponibilidad (high availability, HA), pero solo en
cortafuegos de la serie PA-500, serie PA-3000 y serie PA-5000.
Este procedimiento describe los pasos de configuración únicamente para el cortafuegos de

Palo Alto Networks. También debe configurar el grupo de agregación en el dispositivo peer.
Consulte la documentación de dicho dispositivo para obtener instrucciones.
STEP 1 | Configure los parámetros de grupo de interfaz generales.

1. Seleccione Network (Red) > Interfaces > Ethernet y Add Aggregate Group (Añadir grupo de
agregación).
2. En el campo adyacente a Interface Name (Nombre de interfaz) de solo lectura, introduzca un número
(1-8) para identificar el grupo de agregación.
3. Para el Interface Type (Tipo de interfaz), seleccione HA, Virtual Wire, Layer2 o Layer3.
4. Configure los parámetros restantes para el Interface Type (Tipo de interfaz) que seleccionó.
STEP 2 | Configure los ajustes de LACP.

Realice este paso únicamente si desea habilitar LACP para el grupo de agregación.

No puede habilitar LACP para interfaces de cable virtual.
1. Seleccione la pestaña LACP y luego Enable LACP (Habilitar LACP).

2. Configure el Mode (Modo) para las consultas de estado de LACP en Passive (Pasivo) (el valor por
defecto es que el cortafuegos solo responde) o Active (Activo) (el cortafuegos consulta a dispositivos
peer).
Se recomienda configurar un peer LACP como activo y el otro como pasivo. LACP
no puede funcionar si los dos peers son pasivos. El cortafuegos no puede detectar el
modo de su dispositivo peer.
3. Configure la Transmission Rate (Tasa de transmisión) para la consulta LACP e intercambios de
respuesta en Slow (Lenta) (cada 30 segundos, el valor por defecto) o Fast (Rápida) (cada segundo).
Base su selección en el nivel de procesamiento LACP que admite la red y con qué velocidad los peers
LACP deben detectar y resolver fallos de interfaz.
4. Seleccione Fast Failover (Conmutación por error rápida) si desea habilitar la conmutación por error
a una interfaz en espera en menos de un segundo. Por defecto, la opción está deshabilitada y el
cortafuegos utiliza el estándar IEEE 802.1ax para el procesamiento de conmutación por error, que
demora al menos tres segundos.
La práctica recomendada es usar Fast Failover (Conmutación por error rápida) en

implementaciones en las que pueda perder datos críticos durante el intervalo de
conmutación por error estándar.
5. Introduzca los Max Ports (Máximo de puertos) (cantidad de interfaces) que están activas (1–8) en el
grupo de agregación. Si el número de interfaces que asigna al grupo supera el Max Ports (Máximo de
puertos), el resto de las interfaces están en modo de espera. El cortafuegos usa la LACP Port Priority
(Prioridad de puerto LACP) de cada interfaz que usted asigna (Paso 3) para determinar qué interfaces
están activas inicialmente y el orden en que se activan las interfaces en espera tras la conmutación
por error. Si los peers de LACP no tienen valores de prioridad de puerto coincidentes, los valores del
peer con el número de System Priority (Prioridad del sistema) más bajo (por defecto es 32.768; el
intervalo es 1–65.535), cancelará el otro peer.
6. (Opcional) Para los cortafuegos activos/pasivos únicamente, seleccione Enable in HA Passive State
(Habilitar en estado pasivo HA) si desea habilitar la negociación previa de LACP para el cortafuegos
pasivo. La negociación previa de LACP permite una conmutación por error más rápida al cortafuegos
pasivo (para obtener detalles, consulte Negociación previa de LACP y LLDP para la HA activa/pasiva)
Si selecciona esta opción, no puede seleccionar Same System MAC Address for
Active-Passive HA (Misma dirección MAC del sistema para HA activo-pasivo); la
negociación previa requiere direcciones MAC de interfaz únicas en cada cortafuegos
HA.
7. (Opcional) Para los cortafuegos activos/pasivos únicamente, seleccione Same System MAC Address
for Active-Passive HA (Misma dirección MAC del sistema para HA activo-pasivo) y especifique una
sola MAC Address (Dirección MAC) para ambos cortafuegos HA. Esta opción minimiza la latencia
de conmutación por error si los peers LACP están virtualizados (aparecen en la red como un solo
dispositivo). Por defecto, esta opción está deshabilitada: cada cortafuegos de un par en HA tiene una
única dirección MAC.
Cuando los peers del LACP no se virtualizan, utilizar las direcciones MAC únicas
minimiza la latencia de la conmutación por error.
STEP 3 | Asignación de interfaces al grupo de agregación

Realice los siguientes pasos para cada interfaz (1-8) que pertenecerá al grupo de agregación.

1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en el nombre de la interfaz para
editarla.
2. Cambie el Interface Type (Tipo de interfaz) a Aggregate Ethernet (Ethernet de agregación).
3. Seleccione el Aggregate Group (Grupo de agregación) que acaba de definir.
4. Seleccione Link Speed (Velocidad de enlace), Link Duplex (Dúplex de enlace) y Link State (Estado de
enlace).
Se recomienda establecer la misma velocidad de enlace y valores duplicados para

cada interfaz del grupo. Para los valores que no coinciden, el cortafuegos activa por
defecto la velocidad más alta y dúplex completo.
5. (Opcional) Introduzca una LACP Port Priority (Prioridad del puerto LACP) (por defecto es 32 768;
el intervalo es 1–65 535) si habilitó LACP para el grupo de agregación. Si el número de interfaces
que asigna excede el valor de Max Ports (Máximo de puertos) del grupo, las prioridades de puerto
determinan qué interfaces están activas o en espera. Se activarán las interfaces con los valores
numéricos más bajos (prioridades más altas).
STEP 4 | Si los cortafuegos tienen una configuración activa/activa y usted está agregando interfaces
HA3, habilite el reenvío de paquetes para el grupo de agregación.
(Config. activa/activa), y edite la sección Packet Forwarding (Reenvío de paquetes).
2. Seleccione el grupo de agregación que configuró para HA3 Interface (Interfaz HA3) y haga clic en OK
(Aceptar).
STEP 5 | Confirme los cambios y verifique el estado del grupo de agregación.

2. Seleccione Network (Red) > Interfaces > Ethernet.
3. Compruebe que la columna Estado de enlace muestra un icono verde para el grupo de agregación,
indicando que todas las interfaces miembro están funcionando. Si el icono es amarillo, al menos un
miembro falla, pero no todos. Si el icono está en rojo, todos los miembros han fallado.
4.
Si configuró LACP, compruebe que la columna Features muestre el icono de LACP habilitado para
el grupo de agregación.
Uso de los perfiles de gestión de interfaz para restringir el acceso

Un perfil de gestión de interfaz protege al cortafuegos contra el acceso no autorizado mediante la definición
de los protocolos, servicios y direcciones IP que una interfaz de cortafuegos permite para el tráfico de
gestión. Por ejemplo, puede impedir que los usuarios accedan a la interfaz web del cortafuegos en la interfaz
Ethernet1/1, pero permitir que la interfaz reciba consultas SNMP de su sistema de supervisión de red.
En este caso, usted habilitaría SNMP y deshabilitaría HTTP/HTTPS en un perfil de gestión de interfaz y
asignaría el perfil a Ethernet1/1.
Puede asignar un perfil de gestión de interfaz a interfaces Ethernet capa 3 (incluidas las subinterfaces) y a
interfaces lógicas (interfaces de grupo de agregación, VLAN, loopback y de túnel) Si no asigna un perfil de
gestión de interfaz a una interfaz, esta denegará por defecto el acceso a todas las direcciones IP, protocolos
y servicios.
La interfaz de gestión (MGT) no requiere un perfil de gestión de interfaz. Usted restringe

los protocolos, servicios y direcciones IP para la interfaz MGT cuando lleva a cabo la
Realización de la configuración inicial del cortafuegos. En caso de que la interfaz MGT deje
de funcionar, permitir el acceso de gestión por otra interfaz le da la posibilidad de seguir

gestionando el cortafuegos. Sin embargo, se recomienda usar métodos adicionales además
de los perfiles de gestión de interfaz para prevenir el acceso no autorizado por esa interfaz.
Estos métodos incluyen control de acceso basado en funciones y restricciones de acceso
basadas en VLAN, enrutadores virtuales o sistemas virtuales.
STEP 1 | Configure el perfil de gestión de interfaz.

interfaz) y haga clic en Add (Añadir).
2. Seleccione los protocolos que la interfaz permitirá para el tráfico de gestión: Ping, Telnet, SSH, HTTP,
HTTP OCSP, HTTPS o SNMP.
3. Seleccione los servicios que la interfaz permitirá para el tráfico de gestión:
• Response Pages (Páginas de respuesta): utilícela para habilitar páginas de respuesta para lo
siguiente:
• Portal cautivo: para atender las páginas de respuesta del portal cautivo, el cortafuegos deja
los puertos abiertos en las interfaces de capa 3: puerto 6080 para NT LAN Manager (NTLM),
6081 para el portal cautivo en modo transparente y 6082 para el portal cautivo en el modo de
redirección. Para obtener información detallada, consulte Configuración del portal cautivo.
• Anulación de administrador de URL: para obtener información detallada, consulte Permiso de
acceso con contraseña a ciertos sitios.
• User-ID: utilice esta opción para la Redistribución de las asignaciones de usuario y la autenticación
de las marcas de tiempo.
• User-ID Syslog Listener-SSL (SSL de escucha de Syslog de User-ID) o User-ID Syslog Listener-
UDP (UDP de escucha de Syslog de User-ID): utilice esta opción para la Configuración de User-ID
para supervisar los remitentes de Syslog para la asignación de usuarios en SSL o UDP.
4. (Opcional) Seleccione Add (Añadir) para añadir las direcciones IP permitidas que pueden acceder a la
interfaz. Si no añade entradas a la lista, la interfaz no tendrá restricciones de direcciones IP.
STEP 2 | Asigne el perfil de gestión de interfaz a una interfaz.

1. Seleccione Network (Red) > Interfaces, seleccione el tipo de interfaz (Ethernet, VLAN, Loopback
[Bucle invertido] o Tunnel [Túnel]) y seleccione la interfaz.
2. Seleccione Advanced (Avanzado) > Other info (Otra información) y seleccione la interfaz
Management Profile (Perfil de gestión) que acaba de añadir.

Enrutadores virtuales
El cortafuegos utiliza enrutadores virtuales para obtener rutas a otras subredes definiendo manualmente
rutas estáticas o mediante la participación en uno o más protocolos de enrutamiento de capa 3 (rutas
dinámicas). Las rutas que obtiene el cortafuegos mediante estos métodos completan la base de información
de enrutamiento (RIB) IP del cortafuegos. Cuando un paquete esté destinado a una subred diferente, el
enrutador virtual obtendrá la mejor ruta de la RIB, la ubicará en la base de información de reenvío (FIB) y
reenviará el paquete al siguiente enrutador de salto definido en la FIB. El cortafuegos utiliza la conmutación
de Ethernet para llegar a otros dispositivos de la misma subred IP. (Una excepción para una mejor ruta en la
FIB se produce si utiliza ECMP, en cuyo caso todas las rutas a igual coste se encuentran en la FIB.)
Las interfaces Ethernet, VLAN y del túnel definidas en el cortafuegos reciben y reenvían paquetes de capa
3. La zona de destino se deriva de la interfaz de salida basada en los criterios de reenvío y el cortafuegos
consulta las reglas de la política para identificar las políticas de seguridad que se aplican a cada paquete.
Además de enrutar a otros dispositivos de red, los enrutadores virtuales pueden enrutar a otros enrutadores
virtuales en el mismo cortafuegos si se especifica un siguiente salto que señale a otro enrutador virtual.
Puede configurar interfaces de capa 3 en un enrutador virtual para participar con protocolos de
enrutamiento dinámico (BGP, OSPF, OSPFv3 o RIP), así como añadir rutas estáticas. También puede crear
varios enrutadores virtuales, cada uno de los cuales mantendrá un conjunto separado de rutas que no
se comparten entre enrutadores virtuales, lo que le permitirá configurar diferentes comportamientos de
enrutamiento para diferentes interfaces.
Todas las interfaces de capa 3, de bucle invertido, de VLAN y de túnel definidas en el cortafuegos se
deben asociar con un enrutador virtual. Si bien cada interfaz puede pertenecer a un único enrutador
virtual, puede configurar varios protocolos de enrutamiento y rutas estáticas para un enrutador virtual.
Independientemente de las rutas estáticas y los protocolos de enrutamiento dinámico que se configuran
para un enrutador virtual, es necesario contar con una configuración general:
STEP 1 | Obtenga la información necesaria de su administrador de red.

• Interfaces en el cortafuegos que desea para realizar el enrutamiento.
• Distancias administrativas para rutas estáticas, internas de OSFP, externas de OSPF, IBGP, EBGP y
RIP.
STEP 2 | Cree un enrutador virtual y aplique interfaces a él.

El cortafuegos incluye un enrutador virtual denominado default (predeterminado). Puede editar el
enrutador virtual default (predeterminado) o añadir un nuevo enrutador virtual.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales).
2. Seleccione un enrutador virtual (default [predeterminado] o un enrutador virtual diferente) o haga
clic en Add (Añadir) para añadir un nombre en Name (Nombre) para un nuevo enrutador virtual.
3. Seleccione Router Settings (Configuración de enrutador) > General.
4. Haga clic en Add (Añadir) en la casilla Interfaces y seleccione una interfaz definida previamente del
menú desplegable.
Repita este paso para todas las interfaces que desee añadir al enrutador virtual.
STEP 3 | Establezca las distancias administrativas para las rutas estáticas y el enrutamiento dinámico.
Establezca las distancias administrativas para los tipos de rutas como sea necesario para su red.
Cuando el enrutador virtual tiene dos o más rutas diferentes hacia el mismo destino, utiliza la distancia

administrativa para seleccionar la mejor ruta de diferentes protocolos de enrutamiento y rutas estáticas,
y prefiere una distancia menor.
• Static (Estático): el intervalo es 10-240 y el valor por defecto es 10.
• OSPF Internal (OSPF interno): el intervalo es 10-240 y el valor por defecto es 30.
• OSPF External (OSPF externo): el intervalo es 10-240 y el valor por defecto es 110.
• IBGP: intervalo 10-240; predeterminado 200.
• EBGP: intervalo 10-240; predeterminado 20.
• RIP: intervalo 10-240; predeterminado 120.
Consulte ECMP si desea aprovechar varias rutas a igual coste para el reenvío.
STEP 4 | Confirme la configuración general del enrutador virtual.

STEP 5 | Configure las interfaces Ethernet, VLAN, de bucle invertido y de túnel como sea necesario.
Configuración de interfaces de capa 3.

Rutas de servicio
El cortafuegos utiliza la interfaz de gestión (MGT) de manera predeterminada para acceder a servicios
externos, como los servidores DNS, los servidores de autenticación externa, los servicios de Palo Alto
Networks como software, URL actualizaciones, licencias y AutoFocus. Una alternativa al uso de la interfaz
MGT es la configuración de un puerto de datos (una interfaz regular) para acceder a estos servicios. La
ruta desde la interfaz al servicio en un servidor se conoce como ruta de servicio. Los paquetes de servicio
abandonan el cortafuegos en un puerto asignado al servicio externo y el servidor envía su respuesta a la
interfaz de origen configurada y a la dirección IP de origen.
Puede configurar las rutas de servicio de manera global para el cortafuegos (se muestra en la siguiente
tarea) o realizar la Personalización de rutas de servicio para un sistema virtual en un cortafuegos habilitado
para varios sistemas virtuales, de modo que pueda tener la flexibilidad para utilizar interfaces asociados a
un sistema virtual. Cualquier sistema virtual que no tenga una ruta de servicio configurada para un servicio
particular hereda una interfaz y dirección IP establecidas globalmente para ese servicio.
El siguiente procedimiento le permite cambiar la interfaz que utiliza el cortafuegos para enviar solicitudes a
los servicios externos.
STEP 1 | Personalice las rutas de servicio.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Global (omita la
opción Global en un cortafuegos sin capacidad para varios sistemas virtuales), y en la sección Services
Features (Funciones de servicio), haga clic en Service Route Configuration (Configuración de ruta de
servicio).
2. Seleccione Customize (Personalizar) y realice una de las siguientes tareas para crear una ruta de
servicio:
• Para un servicio predefinido:
• Seleccione IPv4 o IPv6 y haga clic en el enlace del servicio cuya ruta de servicio desea
personalizar.
Para utilizar la misma dirección de origen en varios servicios, seleccione

la casilla de verificación de los servicios, haga clic en Set Selected Routes
(Establecer rutas seleccionadas) y pase al siguiente paso.
• Para limitar la lista del menú desplegable Source Address (Dirección de origen), seleccione una
Source Interface (Interfaz de origen) y seleccione una Source Address (Dirección de origen)
(de esa interfaz) como la ruta de servicio. Si selecciona Any (Todos) como Source Interface
(Interfaz de origen), todas las direcciones IP en todas las interfaces estarán disponibles en
la lista del menú desplegable Source Address (Dirección de origen) en la que seleccionó una
dirección. Si selecciona Use default (Utilizar predeterminado), el cortafuegos utilizará la
interfaz de gestión para la ruta de servicio, a menos que la dirección IP de destino del paquete
coincida con la dirección IP de destino configurada, en cuyo caso, la dirección IP de origen
se establece como la Source Address (Dirección de origen) configurada para la dirección de
Destination (Destino). Si selecciona MGT (Gestión), el cortafuegos utilizará la interfaz MGT
(Gestión) en la ruta de servicio independientemente de la ruta de servicio de destino.
• Haga clic en OK (Aceptar) para guardar la configuración.
• Repita este paso si desea especificar las direcciones IPv4 e IPv6 de un servicio.
• Para una ruta de servicio de destino:

• Seleccione Destination (Destino) y Add (Añadir) para añadir una dirección IP de Destination
(Destino). En este caso, si el paquete llega con una dirección IP de destino que coincide con
esta dirección de Destination (Destino) configurada, la dirección IP de origen del paquete se
establecerá como la Source Address (Dirección de origen) configurada en el siguiente paso.
Source Interface (Interfaz de origen) y seleccione una Source Address (Dirección de origen)
(de esa interfaz) como la ruta de servicio. Si selecciona Any (Todos) como Source Interface
(Interfaz de origen), todas las direcciones IP en todas las interfaces estarán disponibles en
la lista del menú desplegable Source Address (Dirección de origen) en la que seleccionó una
dirección. Si selecciona MGT (Gestión), el cortafuegos utilizará la interfaz MGT (Gestión) en la
ruta de servicio.
• Haga clic en OK (Aceptar) para guardar la configuración.
3. Repita los pasos indicados anteriormente para cada ruta de servicio que desea personalizar.
4. Haga clic en OK (Aceptar) para guardar la configuración de la ruta de servicio.


Rutas estáticas
Por lo general, las rutas estáticas se utilizan junto con protocolos de enrutamiento dinámico. Puede
configurar una ruta estática para una ubicación que un protocolo de enrutamiento dinámico no puede
alcanzar. Las rutas estáticas requieren una configuración manual en cada enrutador de la red, en lugar del
cortafuegos que ingresa a las rutas dinámicas en sus tablas de rutas. A pesar de que las rutas estáticas
requieren esa configuración en todos los enrutadores, es posible que se la recomiende para redes pequeñas
en lugar de utilizarla para protocolo de enrutamiento.
• Descripción general de la ruta estática
• Eliminación de rutas estáticas basada en la supervisión de rutas
• Configuración de una ruta estática
• Configuración de la supervisión de rutas para una ruta estática
Descripción general de la ruta estática

Si decide que desea que el tráfico específico de capa 3 tome una ruta determinada sin participar de
protocolos de enrutamiento IP, puede realizar la Configuración de una ruta estática on page 833
utilizando rutas IPv4 e IPv6.
Una ruta predeterminada es una ruta estática específica. Si no utiliza el enrutamiento dinámico para obtener
una ruta predeterminada para su enrutador virtual, debe configurar una ruta estática predeterminada.
Cuando el enrutador virtual posee un paquete entrante y no encuentra coincidencias para el destino
del paquete en su tabla de rutas, el enrutador virtual envía el paquete a la ruta predeterminada. La
ruta IPv4 predeterminada es 0.0.0.0/0; la ruta IPv6 predeterminada es ::/0. Puede configurar las rutas
predeterminadas IPv4 e IPv6.
Las rutas estáticas no cambian ni se ajustan a los cambios en los entornos de red, de modo que por lo
general, el tráfico no se redirige si se produce una falla en la ruta hacia un extremo definido como estático.
Sin embargo, cuenta con opciones para respaldar las rutas estáticas si se produce un problema:
• Puede configurar una ruta estática con un perfil de detección de reenvío bidireccional (BFD on page
944), de modo que si una sesión BFD entre el cortafuegos y el peer BFD falla, el cortafuegos elimina la
ruta estática que falló de las tablas RIB y FIB, y utiliza una ruta alternativa con una prioridad menor.
• Puede realizar la Configuración del control de ruta para una ruta estática on page 834 para que el
cortafuegos pueda utilizar una ruta alternativa.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 10. Cuando
el cortafuegos tiene dos o más rutas hacia el mismo destino, utiliza la ruta con la menor distancia
administrativa. Si se aumenta la distancia administrativa de una ruta estática a un valor mayor que el de una
ruta dinámica, puede utilizar la ruta estática como una ruta de respaldo si la ruta dinámica no se encuentra
disponible.
Cuando configura una ruta estática, puede especificar si el cortafuegos instala una ruta estática IPv4 en la
tabla de rutas (RIB) de unidifusión o multidifusión, o en ambas tablas, o si no la instala. Por ejemplo, solo
puede instalar una ruta estática IPv4 en la tabla de rutas de multidifusión debido a que solo desea que el
tráfico multidifusión utilice esta ruta. Esta opción le proporciona más control sobre la ruta que toma el
tráfico. Puede especificar si el cortafuegos instala una ruta estática IPv6 en la tabla de rutas de unidifusión o
no.
Eliminación de ruta estática basada en el control de ruta

Cuando configura el control de red para una ruta estática, el cortafuegos utiliza el control de red para
detectar cuando una ruta a uno o más destinos se ha caído. Entonces, el cortafuegos puede redirigir el
tráfico usando rutas alternativas. El cortafuegos utiliza el control de rutas para las rutas estáticas de manera

similar al control de rutas para el reenvío HA o basado en políticas (policy-based forwarding, PBF), de la
siguiente manera:
El cortafuegos envía mensajes de ping ICMP (mensajes de heartbeat) a uno o más destinos controlados
que usted determine que son robustos y que reflejan la disponibilidad de la ruta estática.
Si los pings a cualquiera de los destinos, o a todos los destinos, fallan, el cortafuegos considera la
ruta estática como inactiva también y la elimina de la base de información de enrutamiento (Routing
Information Base, RIB) y la base de información de reenvío (Forwarding Information Base, FIB). La RIB es
la tabla de rutas estáticas con las que el cortafuegos está configurado y las rutas dinámicas que detectó
en los protocolos de enrutamiento. La FIB es la tabla de reenvío de rutas que el cortafuegos utiliza para
el reenvío de paquetes. El cortafuegos selecciona una ruta estática alternativa hacia el mismo destino
(según la ruta con la métrica más baja) desde la RIB y la coloca en la FIB.
El cortafuegos continúa controlando la ruta que falló. Cuando la ruta se reactiva (según la condición
de fallo Any [Cualquiera] o All [Todos]) y el control de ruta regresa al estado activo, se inicia el
temporizador de tiempo de espera preferente. El control de ruta debe permanecer activo por la duración
del temporizador de tiempo de espera; luego el cortafuegos considera la ruta estática como estable y la
restablece en la RIB. El cortafuegos luego compara las métricas de las rutas hacia el mismo destino para
decidir qué rutas corresponden a la FIB.
El control de ruta es un mecanismo recomendable para evitar el tráfico de bloqueo para lo siguiente.
• Una ruta estática o predeterminada.
• Una ruta estática o predeterminada redistribuida a un protocolo de enrutamiento.
• Una ruta estática o predeterminada cuando un peer no admite BFD. (La práctica recomendada es no
habilitar tanto BFD como el control de ruta en una misma interfaz).
• Una ruta estática o predeterminada en lugar de usar el control de ruta PBF, que no elimina una ruta
estática que falló de la RIB, FIB o política de redistribución.
El control de ruta no se aplica a las rutas estáticas configuradas entre enrutadores

virtuales.
En la siguiente figura, el cortafuegos está conectado a dos ISP para la redundancia de ruta a Internet. La ruta
predeterminada principal 0.0.0.0 (métrica 10) utiliza el próximo salto 192.0.2.10; la ruta predeterminada
secundaria 0.0.0.0 (métrica 50) utiliza el próximo salto 198.51.100.1. El equipo del cliente en las
instalaciones (customer premises equipment, CPE) para ISP A mantiene el enlace físico principal activo,
incluso después de que la conexión a Internet cae. Cuando el enlace está artificialmente activo, el
cortafuegos no puede detectar que el enlace está inactivo y que debe reemplazar la ruta que falló por la ruta
secundaria de la RIB.
Para evitar el tráfico de bloqueo hacia un enlace erróneo, configure el control de ruta de 192.0.2.20,
192.0.2.30 y 192.0.2.40 y si todas las rutas (o algunas de las rutas) a estos destinos fallan, el cortafuegos
asume que la ruta al próximo salto 192.0.2.10 también está inactiva, elimina la ruta estática 0.0.0.0 (que
utiliza el próximo salto 192.0.2.10) de su RIB y la reemplaza por la ruta secundaria al mismo destino 0.0.0.0
(que utiliza el próximo salto 198.51.100.1), que también accede a Internet.

Cuando Configura una ruta estática, uno de los siguientes campos es el próximo salto hacia ese destino. El
tipo de próximo salto que configure determinará la medida que tomará el cortafuegos durante el control de
ruta, de la siguiente manera:
Si Next Hop Type Acción del cortafuegos para el ping ICMP

(Tipo de próximo
salto) en Static
Route (Ruta estática)
es:
IP Address El cortafuegos utiliza la dirección IP de origen y la interfaz de salida de la ruta

(Dirección IP) estática como la dirección de origen e interfaz de salida en el ping ICMP. Utiliza la
dirección IP de destino configurada del destino controlado como la dirección de
destino del ping. Utiliza la dirección de próximo salto de la ruta como la dirección
de próximo salto del ping.
Next VR (Siguiente El cortafuegos utiliza la dirección IP de origen de la ruta estática como la dirección
VR) de origen en el ping ICMP. La interfaz de salida se basa en el resultado de
búsqueda del enrutador virtual de próximo salto. La dirección IP de destino
configurada del destino controlado como es la dirección de destino del ping.
None (Ninguno) El cortafuegos utiliza la dirección IP de destino del control de ruta como el
próximo salto y envía el ping de ICMP a la interfaz especificada en la ruta estática.
Cuando el control de ruta para una ruta estática o predeterminada falla, el cortafuegos registra un evento
crítico (ruta-control-fallo). Cuando la ruta estática o predeterminada se recupera, el cortafuegos registra
otro evento crítico (ruta-contro-recuperación).
El cortafuegos sincroniza las configuraciones de control de ruta para una implementación HA activa/pasiva,
pero el cortafuegos bloquea los paquetes de ping ICMP de salida en un peer HA pasivo, debido a que no
procesa activamente el tráfico. El cortafuegos no sincroniza las configuraciones de control de ruta para las
implementaciones HA activas/activas.

Configuración de una ruta estática
Realice la siguiente tarea para configurar las rutas estáticas o una ruta predeterminada para un enrutador
virtual en el cortafuegos.
STEP 1 | Configure una ruta estática.

1. Seleccione Network (Red) > Virtual Router (Enrutador virtuales) y seleccione el enrutador virtual que
desea configurar, como default (predeterminado).
2. Seleccione la pestaña Static Routes (Rutas estáticas).
3. Seleccione IPv4 o IPv6, según el tipo de ruta estática que desee configurar.
4. Add (Añada) un Name (Nombre) para la ruta.
5. En Destination (Destino), introduzca la ruta y la máscara de red (por ejemplo, 192.168.2.2/24 como
dirección IPv4 o 2001:db8:123:1::1/64 como dirección IPv6). Si crea una ruta predeterminada,
introduzca la ruta predeterminada (0.0.0.0/0 como dirección IPv4 o ::/0 como dirección IPv6).
6. (Opcional) En Interface (Interfaz), especifique la interfaz saliente que utilizarán los paquetes para ir al
próximo salto. Utilice este control más estricto en la interfaz que el cortafuegos utiliza en lugar de la
interfaz en la tabla de rutas para el próximo salto de esta ruta.
7. En Next Hop (Próximo salto), seleccione una de las siguientes opciones:
• IP Address (Dirección IP): introduzca la dirección IP (por ejemplo, 192.168.56.1 o
2001:db8:49e:1::1) cuando desee enrutarla a un próximo salto específico. Debe realizar la Enable
IPv6 on the interface (Habilitar direcciones IPv6 en la interfaz) (cuando realiza la Configuración
de interfaces de capa 3) para utilizar una dirección IPv6 de próximo salto. Si crea una ruta
predeterminada, en Next Hop (Próximo salto), debe seleccionar IP Address (Dirección IP)
e introducir la dirección IP de su puerta de enlace de internet (por ejemplo, 192.168.56.1 o
2001:db8:49e:1::1).
• Next VR (Próximo VR): seleccione esta opción y seleccione un enrutador virtual si desea enrutarlo
internamente a un enrutador virtual diferente en el cortafuegos.
• Discard (Descartar): seleccione esta opción para descartar los paquetes que se dirigen a este
destino.
• None (Ninguno): seleccione esta opción si no existe el siguiente salto en la ruta. Por ejemplo, una
conexión de punto a punto no requiere un próximo salto debido a que solo existe una dirección de
destino para los paquetes.
8. Introduzca una Admin Distance (Distancia administrativa) para que la ruta anule la distancia
administrativa predeterminada establecida para las rutas estáticas en este enrutador virtual (rango: 10
a 240; valor predeterminado: 10).
9. Introduzca una Metric (Métrica) para la ruta (rango: 1 a 65.535).
STEP 2 | Seleccione la ubicación donde se instalará la ruta.

Seleccione la Route Table (Tabla de rutas) (RIB) en la que desea que el cortafuegos instale la ruta
estática:
• Unicast (Unidifusión): instale la ruta en la tabla de rutas de unidifusión. Seleccione esta opción si
desea que la ruta se utilice únicamente para el tráfico de rutas de unidifusión.
• Multicast (Multidifusión): instale la ruta en la tabla de rutas de multidifusión (disponible solo en
el caso de las rutas IPv4). Seleccione esta opción si desea que la ruta se utilice únicamente para el
tráfico de rutas de multidifusión.
• Both (Ambas): instale la ruta en la tabla de rutas de unidifusión y multidifusión (disponible solo
en el caso de las rutas IPv4). Seleccione esta opción si desea que el tráfico de unidifusión o de
multidifusión utilice esta ruta.
• No Install (Sin instalación): no instale la ruta en ninguna de las tablas de rutas.

STEP 3 | (Opcional) Si su modelo de cortafuegos admite BFD, puede aplicar un BFD Profile (Perfil de
BFD) a la ruta estática, de modo que si la ruta estática falla, el cortafuegos elimine la ruta de la
RIB y la FIB, y utilice una ruta alternativa. El valor predeterminado es None (Ninguna).
STEP 4 | Haga clic en OK (Aceptar) dos veces.

Configuración del control de ruta para una ruta estática

Utilice el siguiente procedimiento para configurar la Eliminación de ruta estática basada en el control de
ruta.
STEP 1 | Habilite el control de ruta para una ruta estática.

1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione un enrutador virtual.
2. Seleccione Static Routes (Rutas estáticas), IPv4 o IPv6, y la ruta estática que desea controlar. Puede
controlar hasta 128 rutas estáticas.
3. Seleccione Path Monitoring (Control de ruta) para habilitar el control para la ruta.
STEP 2 | Configure los destinos controlados para la ruta estática.

1. Seleccione Add (Añadir) para añadir un destino controlado por Name (Nombre). Puede añadir hasta
ocho destinos controlados por ruta estática.
2. Seleccione Enable (Habilitar) para controlar el destino.
3. Para Source IP (IP de origen), seleccione la dirección IP que el cortafuegos utiliza en el ping ICMP
para el destino controlado:
• Si la interfaz tiene varias direcciones IP, seleccione una.
• Si selecciona una interfaz, el cortafuegos utilizará la primera dirección IP asignada a la interfaz de
forma predeterminada.
• Si selecciona DHCP (Use DHCP Client address) (DHCP [Usar la dirección del cliente DHCP]),
el cortafuegos utilizará la dirección que DHCP asignó a la interfaz. Para ver la dirección DHCP,
seleccione Network (Red) > Interfaces > Ethernet y, en la fila de la interfaz Ethernet, haga clic en
Dynamic DHCP Client (Cliente DHCP dinámico). La dirección IP aparecerá en la ventana Estado
de la interfaz IP dinámica.
4. Para Destination IP (IP de destino), ingrese una dirección IP o un objeto de dirección para el cual
el cortafuegos supervisará la ruta. El destino controlado y el destino de ruta estática deben usar la
misma familia de direcciones (IPv4 o IPv6).
La dirección IP de destino debe pertenecer a un endpoint confiable; no debería basar

el control de ruta en un dispostivio que es inestable o no confiable.
5. (Opcional) Especifique el Ping Interval (sec) (Intervalo de ping [s]) ICMP en segundos para
determinar con qué frecuencia el cortafuegos supervisará la ruta (el intervalo es de 1 a 60 y el valor
predeterminado es 3).
6. (Opcional) Especifique el Ping Count (Recuento de pings) ICMP de paquetes que no regresan del
destino para que el cortafuegos considere la ruta estática como inactiva y la elimine de RIB y FIB (el
intervalo es de 3 a 10; el valor predeterminado es 5).
STEP 3 | Determine si el control de ruta para la ruta estática se basa en uno o todos los destinos
controlados, y configure el tiempo de retención preferente.

1. Seleccione una Failure Condition (Condición de fallo), Any (Cualquiera) o All (Todas) de los destinos
controlados para la ruta estática deben estar al alcance del ICMP para que el cortafuegos elimine
la ruta estática de RIB y FIB, y añada la ruta estática que contenga la siguiente métrica más baja al
mismo destino en FIB.
Seleccione All (Todos) para evitar la posibilidad de que un solo destino controlado
designe un fallo de ruta cuando, por ejemplo, el destino esté simplemente fuera de
línea para el mantenimiento.
2. (Opcional) Especifique el Preemptive Hold Time (min) (Tiempo de espera preferente [s]), que es la
cantidad de minutos que un monitor de ruta inactivo debe permanecer en estado activo para que
el cortafuegos vuelva a instalar la ruta estática en RIB. El monitor de ruta evalúa todos sus destinos
controlados para la ruta estática y aparece según la condición de fallo de Any (Cualquiera) o All
(Todos). Si el enlace se desactiva o fluctúa durante el tiempo de espera, cuando el enlace vuelve
a estar activo, el monitor de ruta puede volver a activarse; el temporizador se reinicia cuando el
monitor de ruta regresa al estado activo.
Un Preemptive Hold Time (Tiempo de espera preferente) de cero hace que el cortafuegos vuelva a
instalar la ruta en el RIB inmediatamente después de que el monitor de ruta se activa. El intervalo es
de 0 a 1,440; el valor predeterminado es 2.

STEP 5 | Verifique el control de ruta en rutas estáticas.

1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la fila del enrutador virtual
en el que está interesado, seleccione More Runtime Stats (Más estadísticas de tiempo de ejecución).
2. En la pestaña Routing (Enrutamiento), seleccione Static Route Monitoring (Control de ruta estática).
3. Para una ruta estática (Destino), visualice si el control de ruta está habilitado o inhabilitado. La
columna Status (Estado) indica si la ruta está activa, inactiva o inhabilitada. Las marcas para la ruta
estática son las siguientes: A: activa, S: estática; E: ECMP.
4. Seleccione Refresh (Actualizar) periódicamente para ver el estado más reciente del control de ruta
(comprobación de estado).
5. Pase el ratón sobre el estado de una ruta para ver las direcciones IP controladas y los resultados
de los pings enviados a los destinos controlados para esa ruta. Por ejemplo, 3/5 significa que
un intervalo de ping de 3 segundos y un recuento de pings de 5 pings omitidos consecutivos (el
cortafuegos no recibe ningún ping en los últimos 15 segundos) indica que el control de rutas detecta
un fallo de enlace. Según la condición de fallo Any (Cualquiera) o All (Todos), si el control de ruta está
en modo de fallo y el cortafuegos recibe un ping después de 15 segundos, la ruta puede considerarse
activa y se inicia el Preemptive Hold Time (Tiempo de espera preferente).
El estado indica los resultados del último ping controlado: correcto o fallido. El fallo indica que la serie
de paquetes de ping (intervalo de pings multiplicado por el recuento de pings) no fue correcta. Un
solo fallo de paquete de ping no refleja un estado de fallo de ping.
STEP 6 | Visualice el RIB y FIB para verificar que la ruta estática se haya eliminado.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la fila del enrutador virtual
en el que está interesado, seleccione More Runtime Stats (Más estadísticas de tiempo de ejecución).
2. En la pestaña Routing (Enrutamiento), seleccione Route Table (Tabla de rutas) (RIB) y luego la
Forwarding Table (Tabla de reenvío) (FIB) para visualizar cada una, respectivamente.
3. Seleccione Unicast (Unidifusión) o Multicast (Multidifusión) para visualizar la tabla de rutas
correspondiente.

4. Para Display Address Family (Mostrar familia de direcciones), seleccione IPv4 and IPv6 (IPv4 e IPv6),
IPv4 Only (IPv4 únicamente) o IPv6 Only (IPv6 únicamente).
5. (Opcional) En el campo de filtros, ingrese la ruta que está buscando y seleccione la flecha o use la
barra de desplazamiento para moverse por las páginas de rutas.
6. Determine si la ruta se eliminó o está presente.
7. Seleccione Refresh (Actualizar) periódicamente para ver el estado más reciente del control de ruta
(comprobación de estado).
Para visualizar los eventos registrados para el control de ruta, seleccione Monitor
(Supervisar) > Logs > System (Sistema). Verifique la entrada para path-monitor-
failure (ruta-control-fallo), que indica el control de ruta para un destino de ruta estática
fallido, de tal forma que la ruta se eliminó. Verifique la entrada para path-monitor-
recovery (ruta-control-recuperación), que indica el control de ruta para un destino de
ruta estática recuperado, de tal forma que la ruta se restauró.

RIP
El protocolo de información de enrutamiento (RIP, Routing Information Protocol) es un protocolo de
gateway interior (IGP, interior gateway protocol) diseñado para redes IP pequeñas. RIP se basa en el
recuento de saltos para determinar las rutas; las mejores rutas tienen el menor número de saltos. RIP se
basa en UDP y utiliza el puerto 520 para las actualizaciones de rutas. Al limitar las rutas a un máximo de 15
saltos, el protocolo ayuda a evitar el desarrollo de bucles de enrutamiento, pero también limita el tamaño
de red admitido. Si se requieren más de 15 saltos, el tráfico no se enruta. RIP también puede tardar más en
converger que OSPF y otros protocolos de enrutamiento. El cortafuegos admite RIP v2.
Realice el siguiente procedimiento para configurar RIP:
STEP 1 | Configure los ajustes de configuración general de enrutador virtual.

Consulte Enrutadores virtuales para obtener información detallada.
STEP 2 | Configure los ajustes de configuración general de RIP.

1. Seleccione la pestaña RIP.
2. Seleccione Enable (Habilitar) para habilitar el protocolo RIP.
3. Seleccione Reject Default Route (Rechazar ruta predeterminada) si no desea conocer ninguna ruta
predeterminada a través de RIP. Esta es la configuración predeterminada recomendada.
Cancele la selección de Reject Default Route (Rechazar ruta predeterminada) si desea permitir la
redistribución de rutas predeterminadas mediante RIP.
STEP 3 | Configure interfaces para RIP.

1. En la pestaña Interfaces, seleccione una interfaz del menú desplegable en la sección de configuración
del interfaz.
2. Seleccione una interfaz ya definida.
3. Seleccione Enable (Habilitar).
4. Seleccione Advertise (Anunciar) si desea anunciar una ruta por defecto a peers RIP con el valor
métrico especificado.
5. (Opcional) Seleccione un perfil del menú desplegable Auth Profile (Perfil de autenticación).
6. En el menú desplegable Mode (Modo), seleccione normal, passive (pasivo) o send-only (enviar
únicamente).
STEP 4 | Configure los temporizadores de RIP.

1. En la pestaña Timers (Temporizadores), introduzca un valor para Interval Seconds (sec) (Segundos de
intervalo [s]). Este ajuste define la duración de los siguientes intervalos del temporizador en segundos
(el intervalo es 1-60; el valor por defecto es 1).
2. Especifique los Update Intervals (Intervalos de actualización) para definir el número de intervalos
entre los anuncios de actualización de ruta (el intervalo es 1-3.600; el valor por defecto es 30).
3. Especifique los Delete Intervals (Intervalos de eliminación) para definir el número de intervalos entre
el momento en el que caduca la ruta y su eliminación (el intervalo es 1-3.600; el valor por defecto es
180).
4. Especifique los intervalos de vencimiento en Expire Intervals (Intervalos de vencimiento) para definir
la cantidad de intervalos entre la última vez que se actualizó la ruta y su vencimiento (rango: 1 a
3600; valor predeterminado: 120).
STEP 5 | (Opcional) Configure perfiles de autenticación.

De manera predeterminada, el cortafuegos no utiliza autenticación de RIP para el intercambio entre
vecinos de RIP. Opcionalmente, puede configurar una autenticación de RIP entre vecinos de RIP con una
contraseña simple o la autenticación MD5. Se recomienda la autenticación MD5; es más segura que solo
una contraseña.
Autenticación de contraseña simple de RIP
1. Seleccione Auth Profiles (Perfiles de autenticación) y haga clic en Add (Añadir) para añadir un
nombre para el perfil de autenticación para autenticar los mensajes RIP.
2. Seleccione Simple Password (Contraseña simple) como Password Type (Tipo de contraseña).
3. Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de RIP
1. Seleccione Auth Profiles (Perfiles de autenticación) y haga clic en Add (Añadir) para añadir un
nombre para el perfil de autenticación para autenticar los mensajes RIP.
2. Seleccione MD5 como el Password Type (Tipo de contraseña).
3. Haga clic en Add (Añadir) para añadir una o más entradas de contraseña, que incluyan las siguientes:
• ID de clave (intervalo: 0-255)
• Clave
4. (Opcional) Seleccione el estado Preferred (Preferido).
5. Haga clic en OK (Aceptar) para especificar la clave que deberá utilizarse para autenticar el mensaje
saliente.
6. Vuelva a hacer clic en OK (Aceptar) en el cuadro de diálogo Enrutador virtual - RIP - Perfil de
autenticación.

OSPF
Open Shortest Path First (OSPF) es un protocolo de gateway interior (IGP) que suele utilizarse la mayoría
de las veces para gestionar dinámicamente rutas de red en redes de empresas de gran tamaño. Determina
las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando las rutas a otros
enrutadores mediante anuncios de estado de enlaces (LSA, Link State Advertisements). La información
recopilada de los LSA se utiliza para construir un mapa de topología de la red. Este mapa de topología se
comparte entre los enrutadores de la red y se utiliza para cumplimentar la tabla de enrutamiento de IP con
rutas disponibles.
Los cambios en la topología de la red se detectan dinámicamente y se utilizan para generar un nuevo mapa
de topología en cuestión de segundos. Se calcula un árbol con la ruta más corta de cada ruta. Se utilizan
las medidas asociadas a cada interfaz de enrutamiento para calcular la mejor ruta. Pueden incluir distancia,
rendimiento de red, disponibilidad de enlaces, etc. Además, estas medidas pueden configurarse de manera
estática para dirigir el resultado del mapa de topología de OSPF.
La implementación de Palo Alto Networks de OSPF admite por completo los siguientes RFC:
• RFC 2328 (para IPv4)
• RFC 5340 (para IPv6)
Los siguientes temas ofrecen más información sobre el OSPF y los procedimientos para configurar OSPF en
el cortafuegos:
• Conceptos de OSPF
• Configuración de OSPF
• Configuración de OSPFv3
• Configuración del reinicio correcto de OSPF
• Confirmación del funcionamiento de OSPF
Conceptos de OSPF
Los siguientes temas presentan los conceptos de OSPF que debe comprender para configurar el
cortafuegos con el fin de que participe en una red OSPF:
• OSPFv3
• Vecinos OSPF
• Áreas OSPF
• Tipos de enrutadores OSPF
OSPFv3
OSPFv3 permite la compatibilidad con el protocolo de enrutamiento OSPF dentro de una red IPv6. Como
tal, permite la compatibilidad con direcciones y prefijos IPv6. Conserva la mayor parte de la estructura y las
funciones de OSPFv2 (para IPv4) con algunos cambios menores. A continuación se indican algunas de las
adiciones y los cambios en OSPFv3:
• Compatibilidad con varias instancias por enlace: con OSPFv3, puede ejecutar varias instancias del
protocolo OSPF a través de un único enlace. Esto se consigue al asignar un número de ID de instancia de
OSPFv3. Una interfaz que esté asignada a un ID de instancia descartará paquetes que contengan un ID
diferente.
• Procesamiento de protocolos por enlace: OSPFv3 funciona según enlace en lugar de hacerlo según
subred IP como en OSPFv2.

• Cambios en las direcciones: las direcciones IPv6 no están presentes en paquetes OSPFv3, excepto en
el caso de cargas de LSA en paquetes de actualización de estado de enlace. Los enrutadores vecinos se
identifican mediante el ID de enrutador.
• Cambios de autenticación: OSPFv3 no incluye ninguna capacidad de autenticación. Para configurar
OSPFv3 en un cortafuegos, es necesario un perfil de autenticación que especifique una carga de
seguridad encapsulada (ESP) o un encabezado de autenticación (AH) de IPv6. El procedimiento de nueva
asignación de claves especificado en el RFC 4552 no se admite en esta versión.
• Compatibilidad con varias instancias por enlace: cada instancia se corresponde con un ID de instancia
incluido en el encabezado de paquete OSPFv3.
• Nuevos tipos de LSA: OSPFv3 admite dos nuevos tipos de LSA: LSA de enlace y LSA de prefijo intraárea.
Todos los cambios adicionales se describen de manera detallada en el RFC 5340.
Vecinos OSPF
Dos enrutadores con OSPF conectados por una red común y en la misma área OSPF que forman una
relación son vecinos OSPF. La conexión entre estos enrutadores puede ser a través de un dominio
de difusión común o mediante una conexión de punto a punto. Esta conexión se realiza a través del
intercambio de paquetes de saludo del protocolo OSPF. Estas relaciones de vecinos se utilizan para
intercambiar actualizaciones de enrutamiento entre enrutadores.
Áreas OSPF
OSPF funciona en un único sistema autónomo (AS). No obstante, las redes de dentro de este AS único
pueden dividirse en distintas áreas. De manera predeterminada, se crea el área 0. El área 0 puede funcionar
por sí sola o actuar como la red troncal de OSPF para un mayor número de áreas. Cada área OSPF recibe
un nombre que es un identificador de 32 bits, el cual, en la mayoría de los casos, se escribe en la misma
notación decimal con puntos que una dirección IP4. Por ejemplo, el área 0 suele escribirse como 0.0.0.0.
La topología de un área se mantiene en su propia base de datos de estados de enlaces y se oculta de otras
áreas, lo que reduce la cantidad de tráfico de enrutamiento que necesita OSPF. A continuación, la topología
se comparte de manera resumida entre áreas mediante un enrutador de conexión.
Tipos de áreas OSPF DESCRIPTION
Área troncal El área troncal (Área 0) es el núcleo de una red OSPF. El resto de las áreas
se conectan a ella y todo el tráfico entre las áreas debe atravesarla. Todo
el enrutamiento entre las áreas se distribuye a través del área troncal.
Si bien el resto de las áreas OSPF deben conectarse al área troncal, esta
conexión no tiene que ser directa y puede realizarse a través de un enlace
virtual.
Área OSPF normal En un área OSPF normal no hay restricciones; el área puede aceptar todo
tipo de rutas.
Área OSPF de código Un área de código auxiliar no recibe rutas de otros sistemas autónomos.
auxiliar El enrutamiento desde el área de código auxiliar se realiza a través de la
ruta predeterminada hasta el área troncal.
Área de NSSA El área de NSSA (Not So Stubby Area) es un tipo de área de código
auxiliar que puede importar rutas externas con algunas excepciones
limitadas.

Tipos de enrutadores OSPF
Dentro de un área OSPF, los enrutadores se dividen en las siguientes categorías.
• Enrutador interno: enrutador que solamente tiene relaciones de vecino OSPF con los dispositivos de la
misma área.
• Enrutador de borde de área (ABR): un enrutador que tiene relaciones de vecino OSPF con los
dispositivos de varias áreas OSPF. Los ABR recogen información de topología de sus áreas conectadas y
la distribuyen al área troncal.
• Enrutador de área troncal: un enrutador de área troncal es un enrutador que ejecuta OSPF y cuenta con,
al menos, una interfaz conectada al área troncal OSPF. Como los ABR siempre están conectados a la red
troncal, siempre se clasifican como enrutadores troncales.
• Enrutador de límite de sistema autónomo (ASBR): enrutador que se conecta a más de un protocolo de
enrutamiento e intercambia información de enrutamiento entre ellos.
Configuración de OSPF
OSPF determina las rutas de forma dinámica obteniendo la información de otros enrutadores y anunciando
las rutas a otros enrutadores mediante anuncios de estado de enlaces (LSA). El enrutador mantiene la
información sobre los enlaces entre él y el destino y puede realizar decisiones de enrutamiento con gran
eficiencia. Se asigna un coste a cada interfaz de enrutador y las mejores rutas son aquellas con menor coste,
después de sumar todas las interfaces de enrutador saliente detectadas y la interfaz que recibe los LSA.
Las técnicas jerárquicas se utilizan para limitar el número de rutas que se deben anunciar y los LSA
asociados. Como OSPF procesa dinámicamente una cantidad considerable de información de enrutamiento,
tiene mayores requisitos de procesador y memoria que RIP.

Consulte Enrutadores virtuales para obtener más información.
STEP 2 | Habilite OSPF.

1. Seleccione la pestaña OSPF.
2. Seleccione Enable (Habilitar) para habilitar el protocolo OSPF.
3. Ingrese el Router ID (Identificador de enrutador).
4. Seleccione Reject Default Route (Rechazar ruta predeterminada) si no desea conocer ninguna ruta
predeterminada a través de OSPF. Este es el ajuste predeterminado recomendado.
redistribución de rutas por defecto a través de OSPF.
STEP 3 | Configure el tipo de áreas para el protocolo OSPF.

1. En la pestaña Areas (Áreas), seleccione Add (Añadir) para añadir un Area ID (Identificador de área)
para el área, con formato x.x.x.x. Es el identificador que cada vecino debe aceptar para formar parte
de la misma área.
2. En la pestaña Type (Tipo), seleccione una de las siguientes opciones en el menú desplegable Type
(Tipo) del área:
• Normal: no hay restricciones; el área puede aceptar todos los tipos de rutas.
• Stub (Código auxiliar): no hay salida desde el área. Para acceder a un destino fuera del área,
es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción,
configure lo siguiente:
• Accept Summary (Aceptar resumen): los anuncios de estado de enlaces (LSA) se aceptan desde
otras áreas. Si esta opción de un área de código auxiliar de la interfaz de enrutador de borde de

área (ABR) está deshabilitada, el área OSPF se comportará como un área totalmente de código
auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen.
• Advertise Default Route (Anunciar ruta predeterminada): los LSA de ruta por defecto se
incluirán en los anuncios al área de código auxiliar junto con un valor de medida configurado
dentro del intervalo configurado 1-255.
• NSSA: el cortafuegos solamente puede salir del área por rutas que no sean rutas de OSPF. Si
selecciona NSSA, seleccione Accept Summary (Aceptar resumen) y Advertise Default Route
(Anunciar ruta predeterminada) como se describió para el Stub (Código auxiliar). Si selecciona
esta opción, configure lo siguiente:
• Type (Tipo): seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA predeterminado.
• Ext Ranges (Intervalos externos): seleccione Add (Añadir) para añadir intervalos de rutas
externas que desee en Advertise (Anunciar) o para los que desee Suppress (Suprimir) el
anuncio.
STEP 4 | Configure el intervalo de áreas para el protocolo OSPF.

1. En la pestaña Range (Intervalo), haga clic en Add (Añadir) para añadir direcciones de destino LSA
agrupadas en el área en subredes.
2. Seleccione Advertise (Anunciar) o Suprimir los anuncios de LSA que coincidan con la subred y haga
clic en OK (Aceptar). Repita esta acción para añadir intervalos adicionales.
STEP 5 | Configure las interfaces de áreas para el protocolo OSPF.

1. En la pestaña Interface (Interfaz), haga clic en Add (Añadir) e ingrese la siguiente información para
cada interfaz que se incluirá en el área:
• Interface: seleccione una interfaz en el menú desplegable.
• Enable (Habilitar): al seleccionar esta opción, la configuración de la interfaz OSPF surte efecto.
• Passive (Pasivo): seleccione esta opción si no desea que la interfaz OSPF envíe o reciba paquetes
OSPF. Aunque los paquetes OSPF no se envían ni reciben, si selecciona esta opción, la interfaz se
incluirá en la base de datos de LSA.
• Link type (Tipo de enlace): seleccione Broadcast (Difusión) si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo
multicast OSPF, como una interfaz Ethernet. Seleccione p2p (punto a punto) para descubrir al
vecino automáticamente. Elija p2mp (punto a multipunto) cuando los vecinos deban definirse
manualmente y seleccione Add (Añadir) para añadir las direcciones IP vecinas para todos los
vecinos cercanos a través de esta interfaz.
• Metric (Métrica): introduzca una métrica OSPF para esta interfaz (el intervalo es 0-65.535; el valor
por defecto es 10).
• Priority (Prioridad): Introduzca una prioridad de OSPF para esta interfaz. Esta es la prioridad del
enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF
(intervalo: 0-255; predeterminado: 1). Si el valor se configura como cero, el enrutador no se
designará como DR ni BDR.
• Auth Profile (Perfil de autenticación): seleccione un perfil de autenticación definido previamente.
• Timing (Sincronización): modifique los ajustes de sincronización si lo desea (no recomendado). Si
desea obtener información detallada sobre estos ajustes, consulte la ayuda en línea.
STEP 6 | Configure enlaces virtuales de áreas.

1. En la pestaña Virtual Link (Enlace virtual), haga clic en Add (Añadir) e ingrese la siguiente información
para cada enlace virtual que se incluirá en el área troncal:
• Name (Nombre): introduzca un nombre para el enlace virtual.
• Enable (Habilitar): seleccione para habilitar el enlace virtual.

• Neighbor ID (ID de vecino): introduzca el ID del enrutador (vecino) del otro lado del enlace virtual.
• Transit Area (Área de tránsito): introduzca el ID del área de tránsito que contiene físicamente al
enlace virtual.
• Timing (Sincronización): es recomendable que mantenga sincronizada su configuración temporal
predefinida.
• Auth Profile (Perfil de autenticación): seleccione un perfil de autenticación definido previamente.
2. Haga clic en OK (Aceptar) para guardar los enlaces virtuales.
3. Haga clic en OK (Aceptar) para guardar el área.
STEP 7 | (Opcional) Configure perfiles de autenticación.

De manera predeterminada, el cortafuegos no utiliza autenticación de OSPF para el intercambio entre
vecinos OSPF. Opcionalmente, puede configurar una autenticación de OSPF entre vecinos OSPF
mediante una contraseña simple o mediante la autenticación MD5. Se recomienda la autenticación MD5;
es más segura que una contraseña simple.
Autenticación de contraseña simple de OSPF
1. Seleccione la pestaña Auth Profiles (Perfiles de autenticación) y luego Add (Añadir) para añadir un
nombre para el perfil de autenticación, a fin de autenticar los mensajes OSPF.
2. Seleccione Contraseña simple como Tipo de contraseña.
3. Introduzca una contraseña simple y, a continuación, confírmela.
Autenticación MD5 de OSPF
1. Seleccione la pestaña Auth Profiles (Perfiles de autenticación) y luego Add (Añadir) para añadir un
nombre para el perfil de autenticación, a fin de autenticar los mensajes OSPF.
2. Seleccione MD5 como el Password Type (Tipo de contraseña) y luego Add (Añadir) para añadir una o
más entradas de contraseña, incluidas las siguientes:
• ID de clave (intervalo: 0-255)
• Clave
• Seleccione la opción Preferido para especificar que la clave debe utilizarse para autenticar
mensajes salientes.
STEP 8 | Configure las opciones avanzadas de OSPF.

1. En la pestaña Advanced (Avanzado), seleccione RFC 1583 Compatibility (Compatibilidad con RFC
1583) para garantizar la compatibilidad con RFC 1583.
2. Especifique un valor para el temporizador SPF Calculation Delay (sec) (Retardo de cálculo SPF [s]),
que le permite definir el retraso de tiempo (en segundos) entre la recepción de nueva información
de topología y la ejecución de un cálculo SPF. Los valores menores permiten una reconvergencia
OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos deben usar el mismo valor de
retardo para optimizar los tiempos de convergencia.
3. Especifique un valor para el temporizador LSA Interval (sec) (Intervalo LSA [s]), que es el tiempo
mínimo entre las transmisiones de dos instancias del mismo LSA (mismo enrutador, mismo tipo,
mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más bajos se pueden
utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología.
Configuración de OSPFv3
OSPFv3 admite IPv4 e IPv6. Usted debe usar OSPFv3 si está utilizando IPv6.

STEP 2 | Configure los ajustes de configuración general de OSPFv3.

1. Seleccione la pestaña OSPFv3.
2. Seleccione Enable (Habilitar) para habilitar el protocolo OSPF.
3. Ingrese el Router ID (Identificador de enrutador).
4. Seleccione la casilla Reject Default Route (Rechazar ruta predeterminada) si no desea conocer
ninguna ruta por defecto a través de OSPFv3. Este es el ajuste por defecto recomendado.
redistribución de rutas predeterminadas a través de OSPFv3.
STEP 3 | Configure el perfil de autenticación para el protocolo OSPFv3.

OSPFv3 no incluye ninguna capacidad de autenticación propia; se basa completamente en IPSec para
proteger las comunicaciones entre vecinos.
Al configurar un perfil de autenticación, debe utilizar una carga de seguridad encapsulada (Encapsulating
Security Payload, ESP) o un encabezado de autenticación (Authentication Header, AH) de IPv6.
Autenticación de ESP OSPFv3
1. En la pestaña Auth Profiles (Perfiles de autenticación), seleccione Add (Añadir) para añadir un
nombre para el perfil de autenticación, a fin de autenticar los mensajes OSPFv3.
2. Especifique un índice de política de seguridad (SPI) (valor hexadecimal en el intervalo de 00000000 a
FFFFFFFF). Los dos extremos de la adyacencia OSPFv3 debe incluir valores SPI coincidentes.
3. Seleccione ESP como Protocol (Protocolo).
4. Seleccione un Crypto Algorithm (Algoritmo criptográfico) en el menú desplegable.
Puede seleccionar None (Ninguno) o alguno de los siguientes algoritmos: SHA1, SHA256, SHA384,
SHA512 o MD5.
5. Si se seleccionó un Crypto Algorithm (Algoritmo criptográfico) en lugar de no seleccionar ningún
valor, ingrese un valor para Key (Clave) y, a continuación, confírmelo.
Autenticación de AH OSPFv3
1. En la pestaña Auth Profiles (Perfiles de autenticación), seleccione Add (Añadir) para añadir un
nombre para el perfil de autenticación, a fin de autenticar los mensajes OSPFv3.
2. Especifique un índice de política de seguridad (SPI). El SPI debe coincidir entre ambos extremos
de la adyacencia de OSPFv3. El número del SPI debe ser un valor hexadecimal entre 00000000 y
FFFFFFFF.
3. Seleccione AH como Protocolo.
4. Seleccione un Crypto Algorithm (Algoritmo criptográfico) en el menú desplegable.
Debe introducir uno de los siguientes algoritmos: SHA1, SHA256, SHA384, SHA512 o MD5.
5. Introduzca un valor para Key (Clave) y, a continuación, confírmelo.
7. Vuelva a hacer clic en OK (Aceptar) en el cuadro de diálogo Enrutador virtual - OSPF - Perfil de
autenticación.
STEP 4 | Configure Areas - Type (Áreas - Tipo) para el protocolo OSPFv3.

1. En la pestaña Areas (Áreas), seleccione Add (Añadir) para añadir un Area ID (Identificador de área). Es
el identificador que cada vecino debe aceptar para formar parte de la misma área.
2. En la pestaña General, seleccione una de las siguientes opciones en el menú desplegable Type (Tipo)
de área:

• Normal: no hay restricciones; el área puede aceptar todos los tipos de rutas.
• Stub (Código auxiliar): no hay salida desde el área. Para acceder a un destino fuera del área,
es necesario atravesar el límite, que conecta con el resto de áreas. Si selecciona esta opción,
configure lo siguiente:
• Accept Summary (Aceptar resumen): Los anuncios de estado de enlaces (LSA) se aceptan
desde otras áreas. Si esta opción de un área de código auxiliar de la interfaz de enrutador de
borde de área (ABR) está deshabilitada, el área OSPF se comportará como un área totalmente
de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen.
• Advertise Default Route (Anunciar ruta predeterminada): los LSA de ruta por defecto se
incluirán en los anuncios al área de código auxiliar junto con un valor de medida configurado
dentro del intervalo configurado 1-255.
• NSSA: el cortafuegos solamente puede salir del área por rutas que no sean rutas de OSPF. Si está
seleccionado, configure Aceptar resumen y Anunciar ruta predeterminada como se describe para
Código auxiliar. Si selecciona esta opción, configure lo siguiente:
• Type (Tipo): Seleccione el tipo de ruta Ext 1 o Ext 2 para anunciar el LSA predeterminado.
• Ext Ranges (Intervalos extendidos): haga clic en Add (Añadir) para añadir intervalos de rutas
externas para los que desee habilitar o suprimir los anuncios.
STEP 5 | Asocie un perfil de autenticación OSPFv3 a un área o una interfaz.

Para un área
1. En la pestaña Areas (Áreas), seleccione un área existente de la tabla.
2. En la pestaña General, seleccione un Authentication Profile (Perfil de autenticación) definido
previamente del menú desplegable Authentication (Autenticación).
Para una interfaz
1. En la pestaña Areas (Áreas), seleccione un área existente de la tabla.
2. Seleccione la pestaña Interface (Interfaz) y luego Add (Añadir) para añadir el perfil de autenticación
que desea asociar con la interfaz OSPF en la lista desplegable Auth Profile (Perfil de autenticación).
STEP 6 | Haga clic en OK (Aceptar) para guardar la configuración del área.
STEP 7 | (Opcional) Configure reglas de exportación.

1. En la pestaña Export Rules (Reglas de exportación), seleccione Allow Redistribute Default
Route (Permitir redistribución de ruta predeterminada) para permitir la redistribución de rutas
predeterminadas a través de OSPFv3.
2. Haga clic en Add (Añadir).
3. Ingrese un nombre en Name: el valor debe ser una subred IPv6 válida o un nombre de perfil de
redistribución válido.
4. Seleccione New Path Type (Nuevo tipo de ruta), Ext 1 o Ext 2.
5. Especifique una New Tag (Nueva etiqueta) para la ruta coincidente que tenga un valor de 32 bits en
notación decimal con punto.
6. Asigne una Metric (Métrica) para la nueva regla (el intervalo es 1 a 16,777,215).
STEP 8 | Configure las opciones avanzadas de OSPFv3.

1. En la pestaña Advanced (Avanzado) seleccione la casilla de verificación Disable Transit Routing for
SPF Calculation (Deshabilitar el enrutamiento de tránsito para el cálculo de SPF) si desea que el

cortafuegos participe en la distribución de la topología de OSPF sin ser utilizado para reenviar tráfico
de tránsito.
2. Especifique un valor para el temporizador SPF Calculation Delay (sec) (Retardo de cálculo SPF [s]),
que le permite definir el retraso de tiempo (en segundos) entre la recepción de nueva información
de topología y la ejecución de un cálculo SPF. Los valores menores permiten una reconvergencia
OSPF más rápida. Los enrutadores que se emparejan con el cortafuegos deben usar el mismo valor de
retardo para optimizar los tiempos de convergencia.
3. Especifique un valor para el temporizador LSA Interval (sec) (Intervalo LSA [s]), que es el tiempo
mínimo (en segundos) entre las transmisiones de dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en RFC 2328. Los valores más
bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en
la tipología.
4. (Opcional) Configuración del reinicio correcto de OSPF.
Configuración del reinicio correcto de OSPF

El reinicio correcto de OSPF dirige a los vecinos OSPF para que sigan utilizando rutas mediante un
cortafuegos durante una breve transición cuando esté fuera de servicio. Este comportamiento aumenta la
estabilidad de red reduciendo la frecuencia de reconfiguración de la tabla de enrutamiento y los flaps de
ruta relacionados que pueden producirse durante breves tiempos de inactividad periódicos.
Para un cortafuegos de Palo Alto Networks, el reinicio correcto de OSPF implica las siguientes operaciones:
• Cortafuegos como dispositivo de reinicio: si el cortafuegos estará inactivo durante un breve periodo
de tiempo o no estará disponible durante intervalos breves, enviará LSA de gracia a sus vecinos OSPF.
Los vecinos deben estar configurados para ejecutarse en el modo auxiliar de reinicio correcto. En el
modo auxiliar, los vecinos reciben los LSA de gracia que le informan de que el cortafuegos realizará un
reinicio correcto en un periodo de tiempo especificado definido como el Periodo de gracia. Durante
el periodo de gracia, el vecino sigue reenviando rutas a través del cortafuegos y enviando LSA que
anuncian rutas a través del cortafuegos. Si el cortafuegos reanuda su funcionamiento antes de que
venza el periodo de gracia, el reenvío de tráfico seguirá como antes sin ninguna interrupción de la red.
Si el cortafuegos no reanuda su funcionamiento después de que venza el periodo de gracia, los vecinos
saldrán del modo auxiliar y reanudarán el funcionamiento normal, lo que implicará la reconfiguración de
la tabla de enrutamiento para eludir el cortafuegos.
• Cortafuegos como auxiliar de reinicio correcto: si es posible que los enrutadores vecinos estén inactivos
durante breves períodos de tiempo, se puede configurar el cortafuegos para que funcione en el modo
auxiliar de reinicio correcto, en cuyo caso, el cortafuego emplea un Max Neighbor Restart Time (Tiempo
de reinicio máximo de vecinos). Cuando el cortafuegos reciba los LSA de gracia de su vecino OSPF,
seguirá enrutando tráfico hacia el vecino y anunciando rutas a través del vecino hasta que venza el
periodo de gracia o hasta alcanzar el tiempo máximo de reinicio del mismo nivel. Si ninguno de los dos
vence antes de que el vecino vuelva a estar en funcionamiento, el reenvío de tráfico continuará como
antes sin ninguna interrupción de la red. Si ninguno de los dos periodos vence antes de que el vecino
vuelva a estar en funcionamiento, el cortafuegos saldrá del modo auxiliar y reanudará el funcionamiento
normal, lo que implicará la reconfiguración de la tabla de enrutamiento para eludir el vecino.
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador
virtual que desea configurar.
STEP 2 | Seleccione OSPF > Advanced (Avanzado) o OSPFv3 > Advanced (Avanzado).

STEP 3 | Verifique que las siguientes casillas de verificación están seleccionadas (están habilitadas por
defecto):
• Enable Graceful Restart (Habilitar reinicio correcto)
• Enable Helper Mode (Habilitar modo auxiliar)
• Enable Strict LSA Checking (Habilitar comprobación de LSA estricta)
Las tres opciones deberían permanecer seleccionadas a menos que su topología requiera lo contrario.
STEP 4 | Configure un Grace Period (Período de gracia) en segundos.
STEP 5 | Configure un Max Neighbor Restart Time (Tiempo máx. de reinicio del mismo nivel) en
segundos.
Confirmación del funcionamiento de OSPF

Una vez se haya compilado una configuración de OSPF, podrá utilizar cualquiera de las operaciones
siguientes para confirmar que OSPF está funcionando:
• Visualización de la tabla de enrutamiento on page 847
• Confirmación de adyacencias OSPF on page 847
• Confirmación de que se han establecido conexiones OSPF on page 847
Visualización de la tabla de enrutamiento

Al visualizar la tabla de enrutamiento, puede ver si se han establecido rutas OSPF. Se puede acceder
a la tabla de enrutamiento desde la interfaz web o la CLI. Si está utilizando la CLI, utilice los siguientes
comandos:
• show routing route
• show routing fib
Si utiliza la interfaz web para ver la tabla de enrutamiento, utilice el siguiente flujo de trabajo:
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la misma fila del
enrutador virtual en el que está interesado, haga clic en el enlace More Runtime Stats (Más
estadísticas de tiempo de ejecución).
STEP 2 | Seleccione Routing (Enrutamiento) > Route Table (Tabla de rutas) y examine la columna Flags
(Marcas) de la tabla de enrutamiento para determinar qué rutas ha obtenido OSPF.
Confirmación de adyacencias OSPF

Utilice el siguiente flujo de trabajo para confirmar que se establezcan las adyacencias OSPF:
STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y en la misma fila del
enrutador virtual en el que está interesado, haga clic en el enlace More Runtime Stats (Más
estadísticas de tiempo de ejecución).
STEP 2 | Seleccione OSPF > Neighbor (Vecino) y examine la columna Status (Estado) para determinar si
se establecieron adyacencias OSPF.
Confirmación de que se han establecido conexiones OSPF

Visualice el log del sistema para confirmar que el cortafuegos haya establecido conexiones OSPF.

STEP 1 | Seleccione Monitor (Supervisar) > System (Sistema) y observe los mensajes para confirmar que
se establecieron adyacencias OSPF.
STEP 2 | Seleccione OSPF > Neighbor (Vecino) y examine la columna Status (Estado) para determinar si
se establecieron adyacencias OSPF (completas).

BGP
El protocolo de gateway de borde (BGP) es el principal protocolo de enrutamiento de Internet. BGP
determina el alcance de la red en función de los prefijos IP que están disponibles en sistemas autónomos
(AS), donde un sistema autónomo es un conjunto de prefijos IP que un proveedor de red ha designado para
formar parte de una política de enrutamiento simple.
• Descripción general del BGP on page 849
• MP-BGP on page 849
• Configuración de BGP on page 851
• Configuración de un peer BGP con MP-BGP para unidifusión IPv4 o IPv6 on page 856
• Configuración de un peer de BGP con MP-BGP para rutas de multidifusión IPv4 on page 858
Descripción general del BGP

El BGP funciona entre sistemas autónomos (BGP externo o eBGP) o dentro de un AS (BGP interno o
iBGP) para intercambiar información de enrutamiento y alcance con los emisores del BGP. El cortafuegos
proporciona una implementación completa de BGP que incluye las siguientes funciones:
• Especificación de una instancia de enrutamiento BGP por enrutador virtual.
• Configuración de BGP por enrutador virtual, que incluye parámetros básicos como ID de ruta local
y AS local, y opciones avanzadas como selección de ruta, reflector de ruta, confederación de AS,
amortiguación de flap de ruta y reinicio correcto.
• Configuración de vecino y grupos de peers, que incluye direcciones de vecino y AS remotos, y opciones
avanzadas como atributos y conexiones de vecino.
• Políticas de enrutamiento para controlar los procesos de importación, exportación y anuncios de rutas;
filtrado basado en prefijos; y agregación de direcciones.
• Interacción IGP-BGP para introducir rutas en BGP utilizando perfiles de redistribución.
• Perfiles de autenticación que especifican la clave de autenticación MD5 para conexiones BGP. La
autenticación permite prevenir fugas de rutas y ataques exitosos al DoS.
• El BGP multiprotocolo (MP-BGP), que permite a los peers de BGP transportar rutas de unidifusión IPv6
y rutas de multidifusión IPv4 en paquetes de actualización, y permite al cortafuegos y a un peer de BGP
comunicarse entre sí mediante direcciones IPv6.
MP-BGP
BGP admite prefijos de unidifusión IPv4, pero una red BGP que utiliza rutas multidifusión IPv4 o prefijos de
unidifusión IPv6 necesita BGP multiptotocolo (MP-BGP) a fin de intercambiar rutas de tipos de direcciones
que no sean unidifusión IPv4. MP-BGP permite a los peers BGP que transporten rutas multidifusión IPv4 y
rutas unidifusión IPv6 en paquetes de actualización, además de las rutas unidifusión IPv4 que los peers BGP
pueden transportar sin habilitar MP-BGP.
De esta manera, MP-BGP proporciona conectividad IPv6 para sus redes BGP que utilizan IPv6 nativa o
IPv4 e IPv6 de pila doble. Los proveedores de servicio pueden ofrecer servicio IPv6 a sus clientes y las
empresas pueden usar servicio IPv6 de los proveedores de servicio. El cortafuegos y un peer BGP pueden
comunicarse entre sí usando direcciones IPv6.
A fin de que BGP admita protocolos de capa de red múltiples (que no sea BGP para IPv4), extensiones
multiprotocolo para BGP-4 (RFC 4760), utilice la información de disponibilidad de capa de red (Network
Layer Reachability Information, NLRI) en un atributo NLRI alcanzable multiprotocolo que el cortafuegos
envía y recibe en paquetes de actualización BGP. El atributo contiene información sobre el prefijo de
destino, incluidos estos dos identificadores:

• El identificador de familia de direcciones (Address Family Identifier, AFI), según se define en IANA en
Números de familia de direcciones, indica que el prefijo de destino es una dirección IPv4 o IPv6. (PAN-
OS admite AFI IPv4 e IPv6).
• El identificador de familia de direcciones posterior (SAFI) en PAN-OS indica que el prefijo de destino es
una dirección de unidifusión o multidifusión (si AI es IPv4) o que el prefijo de destino es una dirección de
unidifusión (si el AFI es IPv6). PAN-OS no admite multidifusión IPv6.
Si usted habilita MP-BGP para la multidifusión IPV4 o si configura una ruta est´tica de multidifusión, el
cortafuegos admite tablas de ruta de unidifusión y multidifusión separadas para las rutas estáticas. Es
posible que desee separar el tráfico de unidifusión y multidifusión que va al mismo destino. El tráfico de
multidifusión puede tomar una ruta diferente del tráfico de unidifusión ya que, por ejemplo, su tráfico de
multidifusión es crítico, por lo que debe ser más eficiente, con menos saltos, o someterse a una menor
latencia.
También puede ejercer más control sobre el funcionamiento de BGP al configurar BGP para que utilice rutas
solo de la tabla de rutas de unidifusión o multidifusión (o ambas) cuando BGP importa o exporta rutas, envía
anuncios condicionales o realiza la redistribución o agregación de rutas.
Usted puede decidir usar un RIB de multidifusión (tabla de rutas) al habilitar MP-BGP y seleccionar la familia
de direcciones de IPv4 y la familia de direcciones posteriores de multidifusión, o al instalar una ruta estática
IPv4 en la tabla de rutas de multidifusión. Después de aplicar cualquiera de los métodos para usar el RIB
de multidifusión, el cortafuegos usa el RIB de multidifusión para todo el enrutamiento de multidifusión y
envío de rutas inverso (RPF). Si prefiere usar el RIB de unidifusión para todo el enrutamiento (unidifusión y
multidifusión) no debe habilitar el RIB de multidifusión por ninguno de los métodos.
En la siguiente figura, una ruta estática a 192.168.10.0/24 está instalada en la tabla de ruta de unidifusión,
y el siguiente salto es 198.51.100.2. Sin embargo, el tráfico de multidifusión puede tomar una ruta diferente
a una nube MPLS privada; la misma ruta estática está instalada en la tabla de rutas de multidifusión con un
salto siguiente diferente (198.51.100.4), por lo que la ruta es diferente.
El uso de tablas de rutas de unidifusión y multidifusión separadas le brinda mayor flexibilidad y control
cuando configura estas funciones BGP:
• Instale una ruta estática IPv4 en la tabla de rutas de unidifusión o multidifusión, o ambas, según se
describió en el ejemplo anterior. (Puede instalar una ruta estática IPv6 en la tabla de ruta de unidifusión
únicamente).
• Cree una regla de importación para que cualquier prefijo que coincida con los criterios se importen en la
tabla de rutas de unidifusión o multidifusión, o ambas.
• Cree una regla de exportación para que cualquier prefijo que coincida con los criterios se exporten
(envíen al peer) desde la tabla de rutas de unidifusión o multidifusión, o ambas.

• Configure un anuncio condicional con un filtro no existente, para que el cortafuegos busque la tabla
de ruta de unidifusión o multidifusión (o ambas) para garantizar que la ruta no exista en la tabla y el
cortafuegos anuncie una ruta diferente.
• Configure un anuncio condicional con un filtro de anuncio, de manera que el cortafuegos anuncie rutas
que coincidan con los criterios de la tabla de rutas de unidifusión o multidifusión, o ambas.
• Redistribuya una ruta que aparezca en la tabla de rutas de unidifusión o multidifusión, o ambas.
• Configure la agregación de rutas con un filtro de anuncio, de manera que las rutas agregadas que deben
anunciarse provengan de la tabla de rutas de unidifusión o multidifusión, o ambas.
• A la inversa, configure la agregación de rutas con un filtro de supresión, de manera que las rutas
agregadas que deben suprimirse (no anunciarse) provengan de la tabla de rutas de unidifusión o
multidifusión, o ambas.
Cuando configura un peer con MP_BGP utilizando una familia de direcciones de IPv6, puede usar
direcciones IPv6 en los campos de prefijo de dirección y próximo salto de una regla de importación, regla
de exportación, anuncio condicional (filtro de anuncio y filtro no existente), y regla de agregación (filtro de
anuncio, filtro de supresión y atributo de ruta de agregación).
Configuración de BGP
Realice la siguiente tarea para configurar BGP.

STEP 2 | Habilite BGP para el enrutador virtual, asigne una ID de enrutador y asigne el enrutador virtual
a un AS.
2. Seleccione BGP.
3. Seleccione Enable (Habilitar) para habilitar BGP para este enrutador virtual.
4. Asigne un Router ID (ID de enrutador) a BGP para el enrutador virtual, que generalmente es una
dirección IPv4, para garantizar que el ID de enrutador sea único.
5. Asigne el AS Number, el número AS al que pertenece el enrutador virtual, en función del ID del
enrutador. El intervalo es de 1-4.294.967.295.
STEP 3 | Configure los ajustes de configuración general de BGP.

2. Seleccione BGP > General.
3. Seleccione Reject Default Route (Rechazar ruta predeterminada) para ignorar todas las rutas por
defecto anunciadas por peers BGP.
4. Seleccione Install Route (Instalar ruta) para instalar rutas BGP en la tabla de enrutamiento global.
5. Seleccione Aggregate MED (Agrupar MED) para activar la agregación de rutas incluso si las rutas
tienen valores diferentes valores de discriminador de salida múltiple (Multi-Exit Discriminator, MED).
6. Especifique la Default Local Preference (Preferencia local predeterminada) que se puede utilizar para
determinar preferencias entre las diferentes rutas.
7. Seleccione el AS Format (Formato AS) para fines de interoperabilidad:
• 2 bytes (valor predeterminado)
• 4 bytes
8. Habilite o deshabilite cada uno de los siguientes ajustes de Path Selection (Selección de rutas):
• Always Compare MED (Comparar siempre MED): habilite esta comparación para elegir rutas de
vecinos en diferentes sistemas autónomos.

• Deterministic MED Comparison (Comparación determinista de MED): habilite esta comparación
para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo).
9. Para los Auth Profiles (Perfiles de autenticación), seleccione Add (Añadir) para añadir un perfil de
autenticación:
• Profile Name (Nombre del perfil): Introduzca un nombre para identificar el perfil.
• Secret/Confirm Secret (Secreto/Confirmar secreto): Introduzca y confirme la contraseña para
comunicaciones de peer BGP. El secreto se utiliza como clave en una autenticación MD5.
STEP 4 | (Opcional) Configure los ajustes de BGP.

2. Seleccione BGP > Advanced (Avanzado).
3. Seleccione ECMP Multiple AS Support (Compatibilidad AS múltiple de ECMP) si configuró ECMP y
desea ejecutar ECMP en varios sistemas BGP autónomos.
4. Seleccione Enforce First AS for EBGP (Aplicar primero AS para EBGP) para que el cortafuegos
descarte un paquete de actualización entrante de un peer de eBGP que no enumera el propio número
AS del peer de eBGP como el primer número de AS en el atributo AS_PATH. El valor predeterminado
está habilitado.
5. Seleccione Graceful Restart (Reinicio correcto) y configure los siguientes temporizadores:
• Stale Route Time (sec) (Tiempo de ruta obsoleto [s]): especifica la cantidad de tiempo en segundos
que una ruta puede permanecer en el estado obsoleto (el intervalo es de 1 a 3600; el valor
• Local Restart Time (sec) (Hora de reinicio local [seg]) : especifica la cantidad de tiempo en
segundos que el dispositivo local tarda en reiniciar. Este valor se les comunica a los peers
(intervalo 1-3.600; predefinido 120).
• Max Peer Restart Time (sec) (Tiempo de reinicio de peer máximo [s]): especifica el tiempo máximo
en segundos que el dispositivo local acepta como periodo de gracia para reiniciar los dispositivos
peer (intervalo: 1- 3600; por defecto: 120).
6. Especifique un identificador IPv4 que represente el clúster reflector en el cuadro ID de clúster
reflector.
7. Especifique el identificador de la confederación AS que se presentará como un AS único a los peers
BGP externos en el cuadro AS de miembro de confederación.
8. Haga clic en Add (Añadir)para introducir la siguiente información para cada perfil de amortiguación
que quiera configurar, seleccione Enable (Habilitar) y haga clic en OK (Aceptar):
• Profile Name (Nombre del perfil): Introduzca un nombre para identificar el perfil.
• Cutoff (Corte): especifique un umbral retirada de ruta por encima del cual, se suprime un anuncio
de ruta (intervalo 0,0-1.000,0; opción predefinida 1,25).
• Reuse (Reutilizar): especifique un umbral de retirada de ruta por debajo del cual una ruta
suprimida se vuelve a utilizar (intervalo 0,0-1.000,0; la opción por defecto es 5).
• Max Hold Time (sec) (Tiempo de espera máximo [s]): especifique el tiempo máximo en segundos
durante el que una ruta se puede suprimir, independientemente de su inestabilidad (intervalo:
0-3.600 segundos; por defecto: 900 segundos).
• Decay Half Life Reachable (sec) (Media vida de disminución alcanzable [s]): especifique el tiempo
en segundos después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se
considera alcanzable (intervalo: 0-3.600 segundos; por defecto: 300).
• Decay Half Life Reachable (sec) (Media vida de disminución no alcanzable [s]): especifique el
tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se
considera inalcanzable (intervalo: 0-3.600; por defecto: 300 segundos).

STEP 5 | Configure el grupo del peer BGP.

2. Seleccione BGP > Peer Group (Grupo de peers) y Add (Añadir) para añadir un Name (Nombre) para el
grupo de peers y seleccione Enable (Habilitar).
3. Seleccione Aggregated Confed AS Path (Ruta AS confederada agrupada) para incluir una ruta a la AS
de confederación agregada configurada.
4. Seleccione Soft Reset with Stored Info (Restablecimiento parcial con información almacenada) para
ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer.
5. Seleccione el Type (Tipo) de grupo de peers.
IBGP: Exportar siguiente salto: Seleccione Original o Use self (Utilizar automático).
•
EBGP confederado: Exportar siguiente salto: Seleccione Original o Use self (Utilizar automático).
•
EBGP confederado: Exportar siguiente salto: Seleccione Original o Use self (Utilizar automático).
•
EBGP: Importar siguiente salto: Seleccione Original o Use self (Usar automático), Export Next
•
Hop (Exportar siguiente salto): Especifique Resolve (Resolver) o Use self (Utilizar automático).
Seleccione Remove Private AS (Eliminar AS privado) si desea forzar que BGP elimine números AS
privados del atributo AS_PATH en las actualizaciones que el cortafuegos envía a un peer en otro
AS.
STEP 6 | Configure un peer BGP que pertenezca al grupo de peers y especifique su direccionamiento.
2. Seleccione BGP > Peer Group (Grupo de peers) y seleccione el grupo de peers que creó.
3. Para el peer, seleccione Add (Añadir) para añadir un peer por Name (Nombre).
4. Seleccione Enable (Habilitar) para activar el peer.
5. Introduzca el Peer AS al cual pertenece el peer.
6. Seleccione Addressing (Direccionamiento).
7. Para Local Address (Dirección local), seleccione la Interface (Interfaz) para la cual está configurando
BGP. Si la interfaz tiene más de una dirección IP, introduzca la dirección IP para que esa interfaz sea
el peer BGP.
8. Para la Peer Address (Dirección del peer), ingrese la dirección IP del peer BGP.
STEP 7 | Configure los ajustes de conexión para el peer BGP.

3. Seleccione el Peer que configuró.
4. Seleccione las Connection Options (Opciones de conexión).
5. Seleccione un Auth Profile (Perfil de autenticación) para el peer.
6. Keep Alive Interval (Mantener el intervalo activo): el intervalo (en segundos) después del cual las
rutas de un peer se suprimen según el parámetro de tiempo de espera (el intervalo es de 0 a 1200; la
opción predeterminada es 30).
7. Configure Multi Hop (Salto múltiple), el valor del tiempo de vida (time-to-live, TTL) en el encabezado
IP (el intervalo es de 1 a 255; la opción predeterminada es 0. El valor predeterminado de 0 significa
2 para el eBGP antes de PAN-OS 8.0.2; significa 1 comenzando con PAN-OS 8.0.2. El valor
predeterminado de 0 significa 255 para iBGP).
8. Configure Open Delay Time (sec) (Tiempo de retardo de apertura [s]), el retardo, en segundos, entre
un protocolo TCP y el envío del cortafuegos del primer mensaje de apertura de BGP para establecer
una conexión BGP (el intervalo es de 0 a 240; el valor predeterminado es 0).

9. Configure el Hold Time (sec) (Tiempo de espera [s]), el período, en segundos, que puede transcurrir
entre mensajes Keepalive o Update sucesivos de un peer antes de cerrar la conexión del peer (el
intervalo es de 3 a 3600; la opción predeterminada es 90).
10.Configure Idle Hold Time (sec) (Tiempo de espera inactivo [s]), el período de espera (en segundos)
antes de reintentar conectarse al peer (el intervalo es de 1 a 3600; el valor predeterminado es 15).
11.Para Incoming Connections (Conexiones entrantes), introduzca un Remote Port (Puerto remoto) y
seleccione Allow (Permitir) para permitir el tráfico entrante a este puerto.
12.Para Outgoing Connections (Conexiones salientes), introduzca un Local Port (Puerto local) y
seleccione Allow (Permitir) para permitir el tráfico saliente de este puerto.
STEP 8 | Configure el peer BGP con los ajustes para el cliente reflector de ruta, tipo de emparejamiento,
prefijos máximos y detección de reenvío bidireccional (BFD).
3. Seleccione el Peer que configuró.
4. Seleccione Advanced (Avanzado).
5. En Reflector Client (Cliente reflector), seleccione una de las opciones siguientes:
• non-client (no cliente): el peer no es un cliente reflector de ruta (valor predeterminado).
• client (cliente): el peer es un cliente reflector de ruta.
• meshed-client (cliente en malla)
6. Para Peering Type (Tipo de emparejamiento), seleccione una de las siguientes opciones:
• Bilateral: los dos peers BGP establecen una conexión de peer.
• Unspecified (No especificado): (valor predeterminado).
7. Para los Max Prefixes (Prefijos máximos), introduzca la cantidad máxima de prefijos IP admitidos (el
intervalo es de 1 a 100.000) o seleccione unlimited (ilimitado).
8. Para habilitar BFD para el peer (y por lo tanto, cancelar la configuración BFD por BGP, siempre que
BFD no esté deshabilitado para BGP a nivel del enrutador virtual), seleccione una de las siguientes
opciones:
• default (predeterminado): usa únicamente los ajustes BFD por defecto.
• Inherit-vr-global-setting (Heredar ajuste global para el enrutador virtual) (valor predeterminado):
el peer hereda el perfil BFD que usted seleccionó globalmente para BGP para el enrutador virtual.
• Un perfil BFD que haya configurado. Consulte Creación de un perfil BFD.
La selección de Disable BFD (Deshabilitar BFD) deshabilita BFD para el peer

BGP.
STEP 9 | Configure reglas de importación y exportación.

Las reglas de importación/exportación se utilizan para importar/exportar rutas desde/hacia otros
enrutadores. Por ejemplo, puede importar la ruta predeterminada desde su proveedor de servicios de
Internet.
1. Seleccione la pestaña Import (Importar) y, a continuación, haga clic en Add (Añadir) e introduzca un
nombre en el campo Rules (Reglas), y seleccione la casilla de verificación Enable (Habilitar).
2. Haga clic en Add (Añadir) y seleccione el Peer Group (Grupo del peer) desde el que se importarán las
rutas.
3. Haga clic en la pestaña Match (Coincidencia) y defina las opciones utilizadas para filtrar la
información de enrutamiento. También puede definir el valor de discriminador de salida múltiple
(MED) y un valor de siguiente salto como enrutadores o subredes para el filtrado de rutas. La opción

MED es una medida externa que permite que los vecinos sepan cuál es la ruta preferida de un AS. Se
prefiere un valor más bajo antes que un valor más alto.
4. Haga clic en la pestaña Action (Acción) y defina la acción que debería producirse (permitir/denegar)
basándose en las opciones de filtrado definidas en la pestaña Match (Coincidencia). Si se selecciona
Deny (Denegar), no será necesario definir más opciones. Si se selecciona la acción Allow (Permitir),
defina los otros atributos.
5. Haga clic en la pestaña Export (Exportar) y defina atributos de exportación, que son similares a los
ajustes de Importar, pero que se utilizan para controlar la información de rutas que se exporta desde
el cortafuegos a los vecinos.
STEP 10 | Configure los anuncios condicionales, que le permiten controlar la ruta que se anunciará en
caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB),
indicando un fallo de emparejamiento o alcance.
Esta función es muy útil si desea probar y forzar rutas de un AS a otro, por ejemplo, si tiene enlaces a
Internet con varios ISP y desea enrutar el tráfico a un único proveedor, en lugar de a los otros, salvo que
se produzca una pérdida de conectividad con el proveedor preferido.
1. Seleccione la pestaña Conditional Adv (Anuncio condicional), haga clic en Add (Añadir) e introduzca
un nombre en el campo Policy (Política).
3. Haga clic en Add (Añadir) para añadir en la sección Used By (Utilizado por) los grupos del peer que
utilizarán la política de anuncios condicionales.
4. Seleccione la pestaña Non Exist Filter (Filtro no existente) y defina los prefijos de red de la ruta
preferida. Especifica la ruta que desea anunciar, si está disponible en la tabla de ruta de BGP local. Si
un prefijo se va a anunciar y coincide con un filtro no existente, el anuncio se suprimirá.
5. Seleccione la pestaña Advertise Filters (Anunciar filtros) y defina los prefijos de la ruta de la tabla de
enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté
disponible en la tabla de enrutamiento local. Si un prefijo se va a anunciar y no coincide con un filtro
no existente, el anuncio se producirá.
STEP 11 | Configure opciones agregadas para resumir rutas en la configuración de BGP.

La agregación de rutas de BGP se utiliza para controlar el modo en que BGP agrega direcciones. Cada
entrada de la tabla da como resultado la creación de una dirección agregada. El resultado será una
entrada agregada en la tabla de enrutamiento cuando se obtiene al menos una o más rutas específicas
que coinciden con la dirección especificada.
1. Seleccione la pestaña Aggregate (Agregado) y haga clic en Add (Añadir) para añadir un nombre para
la dirección agregada.
2. En el campo Prefix (Prefijo), introduzca el prefijo de red que será el prefijo principal de los prefijos
agregados.
3. Seleccione la pestaña Suprimir filtros y defina los atributos que harán que las rutas coincidentes se
supriman.
4. Seleccione la pestaña Advertise Filters (Anunciar filtros) y defina los atributos que harán que las rutas
coincidentes se anuncien siempre a los peers.
STEP 12 | Configure las reglas de redistribución.

Esta regla se utiliza para redistribuir las rutas de host y las rutas desconocidas que no se encuentran en la
RIB local de los enrutadores de peers.
1. Seleccione la pestaña Redist Rules (Reglas de redistr.) y haga clic en Add (Añadir).

2. En el campo Name (Nombre), introduzca una subred IP o seleccione un perfil de redistribución.
También puede configurar un nuevo perfil de redistribución desde el menú desplegable si es
necesario.
3. Seleccione Enable (Habilitar) para habilitar la regla.
4. En el campo Metric (Métrica), introduzca la medida de la ruta que se utilizará para la regla.
5. En el menú desplegable Set Origin (Establecer origen), seleccione incomplete (incompleto), igp o egp.
6. (Opcional) Establezca MED, la preferencia local, el límite de ruta AS y los valores de comunidad.
Configuración de un peer BGP con MP-BGP para unidifusión IPv4

o IPv6
Después de configurar BGP, configure un peer BGP con MP-BGP para unidifusión IPv4 o IPv6 por
cualquiera de los siguientes motivos:
• Para que su peer BGP transporte rutas de unidifusión IPv6, configure MP-BGP con el tipo de familia
de dirección IPv6 y la familia de direccion posterior Unicast, de manera que el peer pueda enviar
actualizaciones BGP que incluyan rutas de unidifusión IPv6. Los peer BGP (dirección local y dirección de
peer) pueden ser las direcciones IPv4 o las direcciones IPv6.
• Para realizar el emparejamiento de BGP en direcciones IPv6 (Local Address [Dirección local] y Peer
Address [Dirección de peer] utilizan direcciones IPv6).
La siguiente tarea muestra cómo habilitar un peer BGP con MP-BGP para poder transportar rutas de
unidifusión IPv6, y así poder emparejarlo usando direcciones IPv6.
La tarea también muestra cómo ver las tablas de ruta unidifusión o multidifusión, y cómo ver la tabla de
reenvío, la RIB local de BGP y salida RIB de BGP (rutas enviada a vecinos) para ver las rutas de la tabla de
rutas de unidifusión o multidifusión, o una familia de direcciones específica (IPv4 o IPv6).
STEP 1 | Habilite la extensiones MP-BGP para un peer.

Configure lo siguiente para que un peer de BGP pueda transportar rutas unidifusión IPv4 o IPv6 en
paquetes de actualización y el cortafuegos pueda usar direcciones IPv4 o IPv6 para comunicarse con su
peer.
que está configurando.
2. Seleccione BGP.
3. Seleccione Peer Group (Grupo de peers) y seleccione un grupo de peers.
4. Seleccione un peer BGP (enrutador).
6. Seleccione Enable MP-BGP Extensions (Habilitar las extensiones MP-BGP) para el peer.
7. En Address Family Type (Tipo de familia de direcciones), haga clic en IPv4 o IPv6. Por ejemplo,
seleccione IPv6.
8. En Subsequent Address Family (Familia de direcciones posteriores), se selecciona Unicast
(Unidifusión). Si elige IPv4 para la familia de direcciones, puede seleccionar también Multicast
(Multidifusión).
9. En Local Address (Dirección local), seleccione una Interface (Interfaz) y, opcionalmente, seleccione
una dirección IP; por ejemplo, 2001:DB8:55::/32
10.En Peer Address (Dirección de peer), introduzca la dirección IP, utilizando la misma familia de
direcciones (IPv4 o IPv6) como la dirección local; por ejemplo, 2001:DB8:58::/32.
11.Seleccione Advanced (Avanzado).
12.(Opcional) Enable Sender Side Loop Detection (Habilitar detección de bucle en el lado del
remitente). Cuando habilita la detección de bucle en el lado del remitente, el cortafuegos comprobará

el atributo AS_PATH de una ruta en su FIB antes de enviar la ruta en una actualización, para
asegurarse de que el número de AS del peer no esté en la lista AS_PATH. Si está, el cortafuegos lo
elimina para evitar un bucle.
STEP 2 | (Opcional) Cree una ruta estática e instálela en la tabla de rutas de unidifusión, ya que desea que
la ruta se utilice solo para fines de unidifusión.
que está configurando.
2. Seleccione Static Routes (Rutas estáticas), seleccione IPv4 o IPv6, y luego Add (Añadir) para añadir
una ruta.
3. Introduzca un nombre en Name (Nombre) para la ruta estática.
4. Introduzca el prefijo y la máscara de red de Destination (Destino) IPv4 o IPv6, según si elige IPv4 o
IPv6.
5. Seleccione la salida Interface (Interfaz).
6. Seleccione Next Hop (Próximo salto) como IPv6 Address (Dirección IPv6) (o IP Address [Dirección
IP] si elige IPv4) e introduzca la dirección del siguiente salto al cual desea dirigir el tráfico de
unidifusión para esta ruta estática.
7. Ingrese una Admin Distance (Distancia de administrador).
8. Ingrese una Metric (Métrica).
9. Para la Route Table (Tabla de ruta), seleccione Unicast (Unidifusión).

STEP 4 | Visualice la tabla de ruta de unidifusión o multidifusión.

2. En la fila del enrutador virtual, haga clic en More Runtime Stats (Más estadísticas de tiempo de
ejecución).
3. Seleccione Routing (Enrutamiento) > Route Table (Tabla de rutas).
4. Para la Route Table (Tabla de rutas), seleccione Unicast (Unidifusión) o Multicast (Multidifusión) para
mostrar solo esas rutas.
5. En Display Address Family (Mostrar familia de direcciones), seleccione IPv4 Only (IPv4 únicamente),
IPv6 Only (IPv6 únicamente) o IPv4 and IPv6 (IPv4 e IPv6) para mostrar solo las rutas para esa
familia de direcciones.
La selección de Multicast (Multidifusión) con IPv6 Only (IPv6 únicamente) no es

compatible.
STEP 5 | Visualice la tabla de reenvío.

ejecución).
3. Seleccione Routing (Enrutamiento) > Forwarding Table (Tabla de reenvío).
4. En Display Address Family (Mostrar familia de direcciones), seleccione IPv4 Only (IPv4 únicamente),
IPv6 Only (IPv6 únicamente) o IPv4 and IPv6 (IPv4 e IPv6) para mostrar solo las rutas para esa
familia de direcciones.
STEP 6 | Visualice las tablas RIB de BGP.

1. Visualice la RIB local de BGP, que muestra las rutas BGP que el cortafuegos utiliza para enrutar
paquetes BGP.
ejecución).
3. Seleccione BGP > Local RIB.
4. Para la Route Table (Tabla de rutas), seleccione Unicast (Unidifusión) o Multicast (Multidifusión)
para mostrar solo esas rutas.
5. En Display Address Family (Mostrar familia de direcciones), seleccione IPv4 Only (IPv4
únicamente), IPv6 Only (IPv6 únicamente) o IPv4 and IPv6 (IPv4 e IPv6) para mostrar solo las
rutas para esa familia de direcciones.

compatible.
2. Visualice la tabla de salida RIB de BGP, que muestra las rutas que el cortafuegos envía a los vecinos
BGP.
ejecución).
3. Seleccione BGP > RIB Out (Salida RIB).
4. Para la Route Table (Tabla de rutas), seleccione Unicast (Unidifusión) o Multicast (Multidifusión)
para mostrar solo esas rutas.
5. En Display Address Family (Mostrar familia de direcciones), seleccione IPv4 Only (IPv4
únicamente), IPv6 Only (IPv6 únicamente) o IPv4 and IPv6 (IPv4 e IPv6) para mostrar solo las
rutas para esa familia de direcciones.

compatible.
Configuración de un peer de BGP con MP-BGP para rutas de

multidifusión IPv4
Tras la Configuración del BGP, configure un peer de BGP con MP-BGP para la ruta de multidifusión IPv4
si desea que su peer de BGP pueda aprender y pasar rutas de multidifusión IPv4 en las actualizaciones de
BGP. Podrá separar el tráfico de rutas de unidifusión del de rutas de multidifusión, o emplear las funciones
enumeradas en el MP-BGP para utilizar solo rutas de la tabla de rutas de unidifusión o de multidifusión, o
rutas de ambas tablas.
Si desea admitir solo tráfico de rutas de multidifusión, debe utilizar un filtro para eliminar el tráfico de rutas
de unidifusión.
El cortafuegos no es compatible con el ECMP de tráfico de rutas de multidifusión.
STEP 1 | Habilite las extensiones del MP-BGP para que un peer de BGP puede intercambiar rutas de
multidifusión IPv4.
que desea configurar.
2. Seleccione BGP.
3. Seleccione Peer Group (Grupo de peers), seleccione un grupo de peers y un peer de BGP.
5. Seleccione Enable MP-BGP Extensions (Habilitación de las extensiones del MP-BGP).

6. En el campo Address Family Type (Tipo de familia de dirección), seleccione IPv4.
7. En el campo Subsequent Address Family (Familia de la dirección siguiente), seleccione Unicast
(Unidifusión) y Multicast (Multidifusión).
STEP 2 | (Opcional) Cree una ruta estática IPv4 e instálela en la tabla de rutas de multidifusión
únicamente.
Estos pasos se realizan para dirigir el tráfico de rutas de multidifusión de un peer de BGP a un siguiente
salto específico, como se muestra en la topología en el MP-BGP.
que desea configurar.
2. Seleccione Static Routes (Rutas estáticas) > IPv4 y Add (Añadir) para añadir un nombre en el campo
Name (Nombre) para la ruta.
3. Introduzca el prefijo de Destination (Destino) IPv4 y la máscara de red.
4. Seleccione la Interface (Interfaz) de salida.
5. Seleccione el Next Hop (Siguiente salto) como la IP Address (Dirección IP) e introduzca la dirección
IP del siguiente salto al que desea dirigir el tráfico de rutas de multidifusión para esta ruta estática.
6. Introduzca una Admin Distance (Distancia administrativa).
7. Introduzca una Metric (Métrica).
8. En Route Table (Tabla de rutas), seleccione Multicast (Multidifusión).

STEP 4 | Vea la tabla de rutas.

2. En la fila de enrutadores virtuales, haga clic en More Runtime Stats (Más estadísticas de tiempo de
ejecución).
3. Seleccione Routing (Enrutamiento) > Route Table (Tabla de rutas).
4. En Route Table (Tabla de rutas), seleccione Unicast (Unidifusión) o Multicast (Multidifusión) para
mostrar solo estas rutas.
5. En Display Address Family (Mostrar familia de direcciones), seleccione IPv4 Only (Solo IPv4),
IPv6 Only (Solo IPv6), o IPv4 and IPv6 (IPv4 e IPv6) para mostrar solo las rutas de esa familia de
direcciones.
STEP 5 | Para ver la tabla de reenvío, la tabla de la RIB local del BGP o la tabla de salida de la RIB del
BGP, consulte la Configuración de un peer de BGP con MP-BGP para rutas de unidifusión IPv4
o IPv6.

Redistribución de ruta
La redistribución de rutas en el cortafuegos es el proceso de crear rutas que el cortafuegos obtuvo de un
protocolo de enrutamiento (o una ruta estática o conectada) disponible para un protocolo de enrutamiento
diferente, con lo cual se aumenta la accesibilidad del tráfico de red. Sin la redistribución de rutas, un
enrutador o enrutador virtual anuncia y comparte rutas solo con otros enrutadores que se ejecutan en el
mismo protocolo de enrutamiento. Puede redistribuir rutas BGP Ipv6, conectadas o estáticas en RIB OSPF y
redistribuir rutas OSPFv3, conectadas o estáticas en RIB BGP.
Esto significa, por ejemplo, que puede crear redes específicas que una vez estuvieron disponibles solo
mediante una configuración de ruta estática manual en enrutadores específicos para sistemas BGP
autónomos o áreas OSPF. También puede anunciar rutas conectadas a nivel local, tal como rutas a una red
de laboratorio privada, en sistemas BGP autónomos o en áreas OSPF.
Podría proporcionar a los usuarios de su red OSPFv3 interna acceso a BGP, para que puedan acceder a los
dispositivos en Internet. En este caso, puede redistribuir las rutas BGP en el RIB OPSFv3.
Por el contrario, puede brindar a sus usuarios externos acceso a algunas partes de su red interna, de modo
que puede poner sus redes OSPFv3 internas a disposición a través de BGP mediante la redistribución de las
rutas OSPFv3 en el RIB de BGP.
STEP 1 | Cree un perfil de redistribución IPv6.

2. Seleccione Redistribution Profile (Perfil de redistribución) > IPv6 y luego Add (Añadir) para añadir un
perfil.
4. Ingrese una Priority (Prioridad) para el perfil en el intervalo de 1 a 255. El cortafuegos compara las
rutas a los perfiles en orden y utiliza el perfil con la prioridad más alta (valor de prioridad más bajo) en
primer lugar. Las reglas de prioridad más altas tienen preferencia sobre las reglas con prioridades más
bajas.
5. Para Redistribute (Redistribuir), seleccione una de las siguientes opciones:
• Redist (Redistribuir): seleccione esta opción para la redistribución de las rutas que coincidan con
este filtro.
• No Redist (No redistribuir): seleccione las rutas de redistribución que coincidan con los perfiles
de redistribución, excepto las rutas que coincidan con este filtro. Esta selección trata el perfil
como una lista negra que especifica qué rutas no se deben seleccionar para la redistribución.
Por ejemplo, si tiene varios perfiles de redistribución para BGP, puede crear un perfil No Redist
(No redistribuir) para excluir varios prefijos y luego un perfil de redistribución general con una
prioridad más baja (valor de prioridad más alto) posterior a aquel. Los dos perfiles se combinan
y el perfil de prioridad más alta tiene preferencia. No puede tener solo perfiles No Redist (No
redistribuir); siempre necesita al menos un perfil Redist (Redistribuir) para redistribuir rutas.
6. En la pestaña General Filter (Filtro general), para Source Type (Tipo de origen), seleccione uno o más
tipos de rutas para redistribuir:
• bgp: redistribuya rutas BGP que coincidan con el perfil.
• connect: redistribuya rutas conectadas que coincidan con el perfil.
• ospfv3: redistribuya rutas OSPFv3 que coincidan con el perfil.
• static: redistribuya rutas estáticas que coincidan con el perfil.
7. (Opcional) Para Interface (Interfaz), seleccione Add (Añadir) y añada una o más interfaces de salida
de las rutas asociadas para que coincidan con la redistribución. Para eliminar una entrada, haga clic en
Delete (Eliminar).

8. (Opcional) Para Destination (Destino), seleccione Add (Añadir) y añada uno o más destinos IPv6
de las rutas para que coincidan con la redistribución. Para eliminar una entrada, haga clic en Delete
(Eliminar).
9. (Opcional) Para Next Hop (Próximo salto), seleccione Add (Añadir) y añada una o más direcciones
IPv6 de próximo salto de las rutas para que coincidan con la redistribución. Para eliminar una entrada,
haga clic en Delete (Eliminar).
STEP 2 | (Opcional: cuando el filtrado general incluye ospfv3) Cree un filtro OSPF para especificar en detalle
qué rutas OSPFv3 redistribuir.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales) y seleccione el enrutador virtual.
2. Seleccione Redistribution Profile (Perfil de redistribución) > IPv6 y seleccione el perfil que creó.
3. Seleccione OSPF Filter (Filtro OSPF).
4. Para Path Type (Tipo de ruta), seleccione uno o más de los siguientes tipos de ruta OSPF para
redistribuir ext-1, ext-2, inter-area o intra-area.
5. Para especificar un Area (Área) desde la cual redistribuir las rutas OSPFv3, seleccione Add (Añadir) y
añada un área en formato de dirección IP.
6. Para especificar una Tag (Etiqueta), seleccione Add (Añadir) para añadir una etiqueta en formato de
dirección IP.
STEP 3 | (Opcional: cuando el filtrado general incluye bgp) Cree un filtro BGP para especificar en detalle qué
rutas BGP redistribuir.
2. Seleccione Redistribution Profile (Perfil de redistribución) > IPv6 y seleccione el perfil que creó.
3. Seleccione BGP Filter (Filtro BGP).
4. Para Community (Comunidad), seleccione Add (Añadir) para seleccionar de la lista de comunidades,
tal como las comunidades reconocidas: local-as, no-advertise, no-export o nopeer. También puede
ingresar un valor de 32 bits en formato decimal o hexadecimal o formato AS:VAL en el que AS y VAL
estén dentro del intervalo 0 a 65 535. Ingrese un máximo de 10 entradas.
5. Para Extended Community (Comunidad extendida), seleccione Add (Añadir) para añadir una
comunidad extendida como un valor de 64 bits en formato hexadecimal o en formato TYPE:AS:VAL
o TYPE:IP:VAL. TYPE es de 16 bits; AS o IP es de 16 bits; VAL es de 32 bits. Ingrese un máximo de
cinco entradas.
STEP 4 | Seleccione el protocolo en el cual está redistribuyendo las rutas, y establezca los atributos para
esas rutas.
Esta tarea ilustra las rutas de redistribución en BGP.
2. Seleccione BGP > Redist Rules (Reglas de redistribución).
3. Seleccione Allow Redistribute Default Route (Permitir ruta predeterminada de redistribución) para
permitir que el cortafuegos redistribuya la ruta predeterminada.
4. Haga clic en Add (Añadir).
5. Seleccione Address Family Type (Tipo de familia de direcciones): IPv4 o IPv6 para especificar en qué
tabla de rutas se colocarán las rutas redistribuidas.
6. En Name (Nombre) seleccione el nombre del perfil de redistribución que creó, que selecciona las
rutas para redistribuir.
7. Seleccione Enable (Habilitar) para habilitar la regla de redistribución.

8. (Opcional) Ingrese cualquiera de los siguientes valores, que el cortafuegos aplica a las rutas que se
están redistribuyendo:
•Metric (Métrica) en el intervalo de 1 a 65 535.
•Set Origin (Establecer origen); el origen de la ruta: Igp, Egp, o incomplete (incompleto).
•Set MED (Configurar MED): valor MED en el intervalo de 0 a 4 294 967,295.
•Set Local Preference (Establecer preferencia local): valor de preferencia local en el intervalo de 0
a 4 294 967 295.
• Set AS Path Limit (Establecer límite de ruta AS): cantidad máxima de sistemas autónomos en
AS_PATH en el intervalo de 1 a 255.
• Set Community (Establecer comunidad): seleccione o ingrese un valor de 32 bits en formato
decimal o hexadecimal, o ingrese un valor en formato AS:VAL en el que AS y VAL estén dentro del
intervalo 0 a 65 535. Ingrese un máximo de 10 entradas.
• Set Extended Community (Establecer comunidad extendida): seleccione o ingrese una comunidad
extendida como un valor de 64 bits en formato hexadecimal o en formato TYPE:AS:VAL o
TYPE:IP:VAL. TYPE es de 16 bits; AS o IP es de 16 bits; VAL es de 32 bits. Ingrese un máximo de
cinco entradas.


DHCP
Esta sección describe el protocolo de configuración de host dinámico (DHCP) y las tareas necesarias para
configurar una interfaz en un cortafuegos de Palo Alto Networks para actuar como servidor, cliente o
agente de relé de DHCP. Al asignar esas funciones a distintas interfaces, el cortafuegos puede desempeñar
múltiples funciones.
• Descripción general de DHCP on page 863
• Cortafuegos como servidor y cliente DHCP on page 864
• Mensajes DHCP on page 864
• Direccionamiento DHCP on page 865
• Opciones de DHCP on page 867
• Configure una interfaz como servidor DHCP on page 869
• Configure una interfaz como cliente DHCP on page 872
• Configuración de la interfaz de gestión como cliente DHCP on page 873
• Configure una interfaz como agente de relé DHCP on page 875
• Supervisión y resolución de problemas de DHCP on page 876
Descripción general de DHCP

DHCP es un protocolo estandarizado definido en RFC 2131, Protocolo de configuración de host dinámico.
DHCP tiene dos objetivos principales: Proporcionar los parámetros de configuración de capa de enlace y
TCP/IP y proporcionar direcciones de red con hosts configurados dinámicamente en la red TCP/IP.
DHCP usa un modelo cliente-servidor de comunicación. Este modelo consta de tres funciones que puede
desempeñar el dispositivo: Cliente DHCP, servidor DHCP y agente de relé DHCP.
• Un dispositivo que funcione como cliente DHCP (host) puede solicitar una dirección IP y otros ajustes
de configuración al servidor DHCP. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo
de configuración, y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que
heredan del servidor DHCP.
• Un dispositivo que actúa como un servidor DHCP puede atender a los clientes. Si se usa alguno de esos
tres mecanismos de Direccionamiento DHCP on page 865, el administrador de red ahorra tiempo
y tiene la ventaja de reutilizar un número limitado de direcciones IP cuando un cliente ya no necesita
una conectividad de red. El servidor puede ofrecer direcciones IP y muchas opciones DHCP a muchos
clientes.
• Un dispositivo que actúa como un agente de relé DHCP transmite mensajes DHCP entre los clientes y
los servidores DHCP.
DHCP usa el protocolo de datagramas de usuario (UDP), RFC 768, como su protocolo de transporte. Los
mensajes DHCP que un cliente envía a un servidor se envían al puerto conocido 67 (UDP, protocolo de
arranque y DHCP). Mensajes DHCP on page 864 que un servidor envía a un cliente se envían al puerto
68.
Una interfaz de un cortafuegos de Palo Alto Networks puede realizar la función de un servidor, un cliente
o un agente de relé DHCP. La interfaz de un servidor o agente de relé DHCP debe ser una interfaz VLAN
de capa 3, Ethernet agregado o Ethernet de capa 3. Puede configurar las interfaces del cortafuegos con la
configuración adecuada para cualquier combinación de funciones. El comportamiento de cada función se
resume en Cortafuegos como servidor y cliente DHCP on page 864.
El cortafuegos admite el servidor DHCPv4 y el relé DHCPv6. Sin embargo, una única interfaz no admite el
servidor DHCPv4 y el relé DHCPv6.

Las implementaciones de Palo Alto Networks del servidor DHCP y el cliente DHCP solo admiten
direcciones IPv4. Su implementación del relé DHCP admite IPv4 e IPv6. El cliente DHCP no es compatible
en el modo HA activo/activo.
Cortafuegos como servidor y cliente DHCP

El cortafuegos puede funcionar como servidor DHCP y como cliente DHCP. El protocolo de configuración
de host dinámico, Dynamic Host Configuration Protocol, RFC 2131, se ha diseñado para admitir direcciones
IPv4 e IPv6. La implementaciones de Palo Alto Networks del servidor DHCP admite solo direcciones IPv4.
El servidor DHCP funciona del siguiente modo:
• Cuando el servidor DHCP recibe un mensaje DHCPDISCOVER de un cliente, responde con un mensaje
DHCPOFFER que contiene todas las opciones predefinidas y las opciones definidas por el usuario en el
orden que aparecen en la configuración. El cliente selecciona las opciones que necesita y responde con
un mensaje DHCPREQUEST.
• Cuando el servidor recibe un mensaje DHCPREQUEST de un cliente, el servidor responde con su
mensaje DHCPACK, que contiene solo las opciones especificadas en la solicitud.
El cliente DHCP del cortafuegos funciona del siguiente modo:
• Cuando el cliente DHCP recibe una DHCPOFFER del servidor, el cliente automáticamente almacena en
caché todas las opciones ofrecidas para futuros usos, independientemente de las opciones que enviara
en su DHCPREQUEST.
• De manera predeterminada, y para ocupar menos memoria, el cliente almacena en caché solo el primer
valor de cada código de opción si recibe varios valores para un código.
• No hay una longitud máxima para mensajes DHCP a menos que el cliente DHCP especifique un máximo
en la opción 57 en sus mensajes DHCPDISCOVER o DHCPREQUEST.
Mensajes DHCP
DHCP usa ocho tipos de mensajes estándar, que se identifican mediante un número de tipo de opción en
el mensaje DHCP. Por ejemplo, cuando un cliente quiere encontrar un servidor DHCP, difunde un mensaje
DHCPDISCOVER en su subred física local. Si no hay ningún servidor DHCP en su subred y si DHCP auxiliar
o un relé DHCP se configura adecuadamente, el mensaje se reenvía a los servidores DHCP en una subred
física diferente. De lo contrario, el mensaje no avanzará más allá de la subred en la que se origina. Uno o
más servidores DHCP responderán al mensaje DHCPOFFER que contienen una dirección de red disponible
y otros parámetros de configuración.
Cuando el cliente necesita una dirección IP, envía un DHCPREQUEST a uno o más servidores. Por supuesto,
si el cliente solicita una dirección IP, aún no tiene una, por lo que RFC 2131 requiere que el mensaje de
difusión que envía el cliente tenga una dirección de origen de 0 en su encabezado IP.
Cuando un cliente solicita parámetros de configuración desde un servidor, puede recibir respuestas de
más de un servidor. Cuando un cliente ha recibido su dirección IP, se dice que el cliente tiene al menos una
dirección IP y posiblemente otros parámetros de configuración vinculados a ella. Los servidores DHCP
gestionan esa vinculación de parámetros de configuración con los clientes.
La siguiente tabla enumera los mensajes de DHCP.
Mensaje DHCP DESCRIPTION
DHCPDISCOVER El cliente realiza una difusión para buscar los servidores DHCP
disponibles.

Mensaje DHCP DESCRIPTION
DHCPOFFER La respuesta del servidor al DHCPDISCOVER del cliente, ofreciendo

parámetros de configuración.
DHCPREQUEST Mensaje del cliente dirigido a uno o más servidores para hacer algo de lo
siguiente:
• Solicitar los parámetros a un servidor y rechazar implícitamente
ofertas de otros servidores.
• Confirmar que una dirección antes asignada es correcta, por ejemplo,
un reinicio del sistema.
• Extender la concesión de una dirección de red.
DHCPACK El mensaje de reconocimiento del servidor al cliente, que contiene los

parámetros de configuración, incluida una dirección de red confirmada.
DHCPNAK Reconocimiento negativo del servidor al cliente, que indica que el cliente
comprende que la dirección de red es incorrecta (por ejemplo, si el cliente
se mueve a una subred nueva) o que la concesión del cliente ha vencido.
DHCPDECLINE Mensaje de cliente a servidor que indica que la dirección de red ya se está
usando.
DHCPRELEASE Mensaje de cliente a servidor que da al usuario la dirección de red y

cancela el tiempo restante de la concesión.
DHCPINFORM Mensaje de cliente a servidor que solicita únicamente los parámetros

de configuración local; el cliente tiene una dirección de red configurada
externamente.
Direccionamiento DHCP
• Métodos de asignación de direcciones DHCP on page 865
• Concesiones DHCP on page 866
Métodos de asignación de direcciones DHCP

El servidor DHCP asigna o envía una dirección IP a un cliente de tres formas:
• Ubicación automática: El servidor DHCP asigna una dirección IP permanente a un cliente desde sus
IP Pools (Grupos de IP). En el cortafuegos, una Lease (Concesión) que se especifique como Unlimited
(Ilimitada) significa que la ubicación es permanente.
• Ubicación dinámica: El servidor DHCP asigna una dirección IP reutilizable desde IP Pools (Grupos de IP)
de direcciones a un cliente para un periodo máximo de tiempo, conocido como Concesión. Este método
de asignación de la dirección es útil cuando el cliente tiene un número limitado de direcciones IP; pueden
asignarse a los clientes que necesitan solo un acceso temporal a la red. Consulte la sección DHCP Leases
(Concesiones DHCP)
• Asignación estática: El administrador de red selecciona la dirección IP para asignarla al cliente y el
servidor DHCP se la envía. La asignación DHCP estática es permanente; se realiza configurando un
servidor DHCP y seleccionando una Reserved Address (Dirección reservada) para que corresponda
con la MAC Address (Dirección MAC) del dispositivo cliente. La asignación DHCP continúa en su lugar
aunque el cliente cierre sesión, reinicie, sufra un corte de alimentación, etc.

La asignación estática de una dirección IP es útil, por ejemplo, si tiene una impresora en una LAN y no
desea que su dirección IP siga cambiando porque se asocia con un nombre de impresora a través de
DNS. Otro ejemplo es si el dispositivo cliente se usa para una función crucial y debe mantener la misma
dirección IP aunque el dispositivo se apague, desconecte, reinicie o sufra un corte de alimentación, etc.
Tenga lo siguiente en cuenta cuando configure una Reserved Address (Dirección reservada):
• Es una dirección de IP Pools (Grupos de IP). Puede configurar múltiples direcciones reservadas.
• Si no configura ninguna Reserved Address (Dirección reservada), los clientes del servidor recibirán
nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se reinician, etc. (a no
ser que haya especificado que una Lease (Concesión) sea Unlimited (Ilimitada)).
• Si asigna todas las direcciones de IP Pools (Grupos IP) como una Reserved Address (Dirección
reservada), no hay direcciones dinámicas libres para asignar al siguiente cliente DHCP que solicite
una dirección.
• Puede configurar una Dirección reservada (Dirección reservada) sin configurar una Dirección
MAC (Dirección MAC). En este caso, el servidor DHCP no asignará la Reserved Address (Dirección
reservada) a ningún dispositivo. Puede reservar unas direcciones del grupo y asignarlas estáticamente
a un fax e impresora, por ejemplo, sin usar DHCP.
Concesiones DHCP
Una concesión se define como la duración durante la que el servidor DHCP asigna a una dirección IP
para un cliente. La concesión puede extenderse (renovarse) en las solicitudes posteriores. Si el cliente ya
no necesita la dirección, puede liberarla en el servidor antes de que la concesión termine. El servidor es
entonces libre de asignar esa dirección a un cliente distinto, si ya se le han agotado las direcciones sin
asignar.
El periodo de concesión configurado para un servidor DHCP se aplica a todas las direcciones que un
servidor DHCP único (interfaz) asigna dinámicamente a sus clientes. Es decir, todas las direcciones de
interfaz asignadas dinámicamente tienen una duración Unlimited (Ilimitada) o el mismo valor de Timeout
(Tiempo de espera). Un servidor DHCP diferente configurado en el cortafuegos puede tener un plazo de
concesión distinto para sus clientes. Una Reserved Address (Dirección reservada) es una asignación de
dirección estática y no está sometida a esas condiciones de concesión.
Según el estándar DHCP, RFC 2131, un cliente DHCP no espera a que la concesión venza, ya que se
arriesga a que se le asigne una nueva dirección. En su lugar, cuando un cliente DHCP alcanza el punto medio
de su periodo de concesión, intenta extenderla para conservar la misma dirección IP. Así, la duración de la
concesión es como una ventana corredera.
Por lo general, si se ha asignado una dirección IP a un dispositivo, y este se saca de la red sin prolongar su
concesión, el servidor DHCP dejará que esa concesión se agote. Como el cliente ha salido de la red y ya
no necesita la dirección, se alcanza la duración de la concesión del servidor y la concesión pasa al estado
“Expirado”.
El cortafuegos tiene un temporizador de espera que evita que la dirección IP expirada se reasigne
inmediatamente. Este sistema reserva temporalmente la dirección para el dispositivo en caso de que
vuelva a la red. Pero si el grupo de direcciones se queda sin direcciones, el servidor reubicará esta
dirección expirada antes de que se termine el temporizador de espera. Las direcciones expiradas se borran
automáticamente a medida que los sistemas necesitan más direcciones o cuando el temporizador de espera
las libera.
En la CLI, use el comando operativo show dhcp server lease para ver la información de
concesión de las direcciones IP asignadas. Si no desea esperar a que las concesiones vencidas se liberen
automáticamente, puede utilizar el comando clear dhcp lease interface <interface>
expired-only para borrar las concesiones vencidas y permitir que vuelvan a estar disponibles en el
grupo. Puede utilizar el comando clear dhcp lease interface <interface> ip <ip_address>
para liberar una dirección IP concreta. Puede utilizar el comando clear dhcp lease interface
<interface> mac <mac_address> para liberar una dirección MAC concreta.

Opciones de DHCP
La historia del DHCP y sus opciones DHCP se remonta al protocolo de arranque (BOOTP). Un host usó
BOOTP para configurarse dinámicamente durante su procedimiento de arranque. El host recibía una
dirección IP y un archivo desde el que descargaba un programa de arranque desde un servidor, junto con la
dirección del servidor y la dirección de la gateway de Internet.
En el BOOTP incluía un campo de información del proveedor, que contenía un número de campos
etiquetados con distintos tipos de información como la máscara de subred, el tamaño del archivo BOOTP y
muchos otros valores. RFC 1497 describe las extensiones de información de proveedor BOOTP. El DHCP
sustituye a BOOTP; no se admite BOOTP en el cortafuegos.
Estas extensiones llegan a expandirse con el uso de los parámetros de configuración de host DHCP y DHCP,
conocidos como opciones. Al igual que las extensiones de proveedor, las opciones de DHCP son elementos
de datos etiquetados que proporcionan información a un cliente DHCP. La opciones se envían en un campo
de longitud variable al final de un mensaje DHCP. Por ejemplo, el tipo de mensaje DHCP es la opción 53, y
un valor de 1 indica un mensaje DHCPDISCOVER. Las opciones DHCP se definen en RFC 2132, Opciones
DHCP y extensiones de proveedores de BOOTP.
Un cliente DHCP puede negociar con el servidor, limitándolo a enviar solo esas opciones que solicita el
cliente.
• Opciones de DHCP predefinidas on page 867
• Múltiples valores para una opción de DHCP on page 868
• Opciones de DHCP 43, 55 y 60 y otras opciones personalizadas on page 868
Opciones de DHCP predefinidas

Los cortafuegos de Palo Alto Networks admiten opciones de DHCP predefinidas y definidas por los usuarios
en la implementación del servidor DHCP. Dichas opciones se configuran en el servidor DHCP y se envían a
los clientes que envían una DHCPREQUEST al servidor. Se dice que los clientes heredan e implementan las
opciones que están programados para aceptar.
El cortafuegos admite las siguientes opciones predefinidas en sus servidores DHCP, que se muestran en el
orden en que aparecen en la pantalla de configuración del DHCP Server (Servidor DHCP):
Opción de DHCP Nombre de opción de DHCP
51 Duración de la concesión
3 Puerta de enlace
1 Subred de grupo de IP (máscara)
6 Dirección de servidor del sistema de nombres de dominio (DNS on page 878)

(principal y secundaria)
44 Dirección de servidor del Servicio de nombres Internet de Windows (WINS)

(primaria y secundaria)
41 Dirección de servidor del Servicio de información de la red (NIS) (primaria y

secundaria)
42 Dirección de servidor del protocolo de tiempo de redes(NTP) (primaria y

secundaria)

Opción de DHCP Nombre de opción de DHCP
70 Dirección de servidor del Protocolo de oficina de correo Versión 3 (POP3)
69 Dirección de servidor del Protocolo simple de transferencia de correo (SMTP)
15 Sufijo DNS
Como se menciona, también puede configurar opciones específicas del proveedor y personalizadas,
compatibles con una gran variedad de equipos de oficina, tales como teléfonos IP y dispositivos de
infraestructura inalámbrica. Cada código de opción admite múltiples valores, que pueden ser direcciones IP
o formato hexadecimal ASCII. Gracias a la compatibilidad con la opción de DCHP mejorada, las sucursales
no necesitan comprar y gestionar sus propios servidores de DHCP para ofrecer opciones personalizadas y
específicas de proveedores a los clientes de DHCP.
Múltiples valores para una opción de DHCP

Puede introducir varios valores de opciones para un Option Code (Código de opción) con el mismo Option
Name (Nombre de opción), pero todos los valores para un código particular y una combinación de nombre
deben ser del mismo tipo (dirección IP, ASCII o hexadecimal). Si se hereda o introduce un tipo, y después se
introduce un segundo tipo para la misma combinación de código y nombre, el segundo tipo sobrescribirá el
primero.
Puede introducir un Option Code (Código de opción) más de una vez usando un Option Name (Nombre de
opción) diferente. En este caso, el Option Type (Tipo de opción) del Código de opción puede variar entre los
múltiples nombres de opción. Por ejemplo, si la opción Coastal Server (código de opción 6) está configurada
con el tipo de dirección IP, también se admite la opción Server XYZ (código de opción 6) con ASCII.
El cortafuegos envía múltiples valores para una opción (vinculados) a un cliente en orden descendente (de
arriba abajo). Por lo tanto, al introducir múltiples valores para una opción, introduzca los valores en el orden
de preferencia, o si no, mueva las opciones para establecer el orden que prefiera en la lista. El orden de
las opciones en la configuración del cortafuegos determina el orden en que aparecen las opciones en los
mensajes DHCPOFFER y DHCPACK.
Puede introducir un código de opción que ya existe como código de opción predefinida, y el código de
opción personalizado sobrescribirá la opción de DHCP predefinida; el cortafuegos emitirá una advertencia.
Opciones de DHCP 43, 55 y 60 y otras opciones personalizadas

La siguiente tabla describe el comportamiento de las opciones para varias opciones descritas en RFC 2132.
Código Nombre de opción Descripción/Comportamiento de la opción

de
opción
43 Información Enviada desde el servidor al cliente. Información específica del

específica del proveedor que el servidor de DHCP ha configurado para ofrecerla al
proveedor cliente. La información se envía al cliente solo si el servidor tiene un
Identificador de clase de proveedor (VCI) en la tabla que coincide con
el VCO en la DHCPREQUEST del cliente.
Un paquete de opción 43 puede contener múltiples informaciones
específicas del proveedor. También puede incluir extensiones de
datos encapsuladas específicas del proveedor.

Código Nombre de opción Descripción/Comportamiento de la opción
de
opción
55 Lista de requisitos de Enviada desde el cliente al servidor. Lista de parámetros de

parámetros configuración (códigos de opción) que está solicitando un cliente
DHCP, probablemente en el orden de preferencia del cliente. El
servidor intenta responder con opciones en el mismo orden.
60 Identificador de clase Enviada desde el cliente al servidor. Configuración y tipo de

de proveedor (VCI) proveedor de un cliente DHCP. El cliente DHCP envía un código de
opción 60 en una DHCPREQUEST al servidor de DHCP. Cuando el
servidor recibe la opción 60, ve el VCI, busca el VCI correspondiente
en su propia tabla y regresa con una opción 43 con el valor (que se
corresponde con el VCI), por lo tanto, retransmitiendo información
específica del proveedor al cliente correcto. Tanto el cliente como el
servidor tienen conocimiento del VCI.
Puede enviar códigos específicos del proveedor personalizados que no están definidos en RFC 2132. Estos
códigos de opción pueden estar dentro del intervalo 1-254 y tener una longitud fija o variable.
El servidor DHCP no valida las opciones de DHCP personalizadas; debe asegurarse de

introducir los valores correctos para las opciones que cree.
Para tipos de opciones ASCII DHCP hexadecimal, el valor de opción puede ser de 255 octetos como
máximo.
Configure una interfaz como servidor DHCP

Los requisitos previos de esta tarea son:
• Configure una interfaz Ethernet de capa 3 o VLAN de capa 3.
• Asigne la interfaz a un enrutador virtual y a una zona.
• Determine un grupo válido de direcciones IP de su plan de red que pueda designar para que su servidor
DHCP las asigne a los clientes.
• Recopile los valores, identificadores de clase de proveedor y opciones de DHCP que tiene previsto
configurar.
Realice la siguiente tarea para configurar una interfaz en el cortafuegos para que actúe como servidor
DHCP. Puede configurar múltiples servidores DHCP.
STEP 1 | Seleccione una interfaz para que sea un servidor DHCP.

1. Seleccione Network (Red) > DHCP > DHCP Server (Servidor DHCP) y luego Add (Añadir) para añadir
un nombre de Interface (Interfaz), o añada uno de la lista desplegable.
2. En Mode (Modo), seleccione enabled (habilitado) o modo auto (automático). El modo automático
habilita el servidor y lo deshabilita si se detecta otro servidor DHCP en la red. El ajuste disabled
(deshabilitar) desactiva el servidor.
3. (Opcional) Seleccione Ping IP when allocating new IP (Hacer ping a la IP al asignar IP nuevas) si desea
que el servidor haga ping a la dirección IP antes de asignarla a su cliente.
Si el ping recibe una respuesta, significará que ya hay un dispositivo diferente con
esa dirección, por lo que no está disponible para su asignación. El servidor asigna

la siguiente dirección desde el grupo. Este comportamiento es similar a Duplicar
detección de dirección (DAD) para IPv6, RFC 4429.
Tras definir las opciones y volver a la pestaña del servidor DHCP, la columna Probe
IP (Rastrear IP) de la interfaz indicará si Ping IP when allocating new IP (Hacer ping a
la IP al asignar IP nuevas) estaba seleccionada.
STEP 2 | Configure las Opciones DHCP predefinidas que el servidor envía a sus clientes.
• En la sección Opciones, seleccione un tipo de Concesión.
• Unlimited (Ilimitada) provoca que el servidor seleccione dinámicamente direcciones IP desde los
Grupos IP y los asigne de forma permanente a los clientes.
• Timeout (Tiempo de espera) determina cuánto durará esa concesión. Introduzca el número de Days
(Días) y Hours (Horas) y, opcionalmente, el número de Minutes (Minutos).
• Inheritance Source (Origen de herencia): deje None (Ninguno) o seleccione una interfaz de cliente
DHCP de origen o una interfaz de cliente PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Inheritance Source (Origen de herencia), seleccione una o varias
opciones que desee como inherited (heredadas) desde este origen.
Especificar un origen de herencia permite al cortafuegos añadir rápidamente opciones de DHCP desde el
servidor previo recibidas por el cliente DHCP. También mantiene actualizadas las opciones de cliente si
el origen cambia una opción. Por ejemplo, si el origen sustituye a su servidor NTP (que se ha identificado
como el servidor Primary NTP [NTP principal]), el cliente heredará automáticamente la nueva dirección
como su nuevo servidor Primary NTP (NTP principal).
Al heredar opciones de DHCP que contienen múltiples direcciones IP, el cortafuegos usa
solo la primera dirección IP contenida en la opción para ocupar menos memoria caché.
Si necesita múltiples direcciones IP para una única opción, configure las opciones DHCP
directamente en el cortafuegos en lugar de configurar la herencia.
• Check inheritance source status (Verificar estado del origen de herencia): si ha seleccionado
Inheritance Source (Origen de herencia), al hacer clic en este enlace se abrirá la ventana Dynamic IP
Interface Status (Estado de interfaz de IP dinámica), que muestra las opciones que se han heredado
del cliente DHCP.
• Gateway (Puerta de enlace): la dirección IP de la puerta de enlace de la red (una interfaz en el
cortafuegos) que se usa para llegar a cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.
• Subnet Mask (Máscara de subred): máscara de red con las direcciones del campo IP Pools (Grupos de
IP).
En los siguientes campos, haga clic en la flecha hacia abajo y seleccione None (Ninguno) o inherited
(heredado), o introduzca una dirección IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado inherited (heredado), el servidor DHCP hereda
los valores desde el cliente DHCP de origen, especificado como Inheritance Source (Origen de herencia).
• Primary DNS (DNS primario), Secondary DNS (DNS secundario): dirección IP de los servidores del
sistema de nombres de dominio (DNS) preferidos y alternativos.
• Primary WINS (WINS primario), Secondary WINS (WINS secundario): dirección IP de los servidores
Windows Internet Naming Service (WINS) preferidos y alternativos.
• Primary NIS (NIS primario), Secondary NIS (NIS secundario): introduzca la dirección IP de los
servidores del Servicio de información de la red (NIS) preferidos y alternativos.
• Primary NTP (NTP primario), Secondary NTP (NTP secundario): dirección IP de los servidores del
protocolo de tiempo de redes disponibles.
• POP3 Server (Servidor POP3): dirección IP del servidor Post Office Protocol (POP3).

• SMTP Server (Servidor SMTP): introduzca la dirección IP del servidor del protocolo simple de
transferencia de correo (SMTP).
• DNS Suffix (Sufijo DNS): sufijo para que el cliente lo use localmente cuando se introduce un nombre
de host sin cualificar que no puede resolverse.
STEP 3 | (Opcional) Configure una opción DHCP personalizada o específica del proveedor que el
servidor DHCP enviará a los clientes.
1. En la sección opciones de DHCP personalizadas, haga clic en Add (Añadir) e introduzca un nombre
descriptivo en Name (Nombre) para identificar la opción DHCP.
2. Introduzca el Option Code (Código de opción) que desea configurar para ofrezca el servidor (el
intervalo es 1-254). (Consulte RFC 2132 para conocer códigos de opción).
3. Si el Option Code (Código de opción) es 43, aparecerá el campo Vendor Class Identifier
(Identificador de tipo de proveedor). Introduzca un VCI, que es una cadena o valor hexadecimal
(con prefijo 0x) usado como coincidencia frente a un valor procedente de la solicitud del cliente que
contiene una opción 60. El servidor busca el VCI entrante en esta tabla, lo encuentra, y devuelve la
opción 43 y el valor de opción correspondiente.
4. Inherit from DHCP server inheritance source (Heredar del origen de herencia del servidor DHCP):
seleccione esta opción si ha especificado un Inheritance Source (Origen de herencia) para las
opciones predeterminadas del servidor DHCP y desea heredar también de este origen.
5. Check inheritance source status (Verificar estado del origen de herencia): si ha seleccionado
Inheritance Source (Origen de herencia), al hacer clic en este enlace se abrirá la ventana Dynamic IP
Interface Status (Estado de interfaz de IP dinámica), que muestra las opciones que se han heredado
del cliente DHCP.
6. Si no ha seleccionado la casilla de verificación Inherit from DHCP server inheritance source (Heredar
del origen de herencia del servidor DHCP), seleccione un Option Type (Tipo de opción): IP Address
(Dirección IP), ASCII o Hexadecimal. Los valores hexadecimales deben empezar por el prefijo 0x.
7. Introduzca el Option Value (Valor de opción) que el servidor DHCP debe ofrecer para ese Option
Code (Código de opción). Puede introducir múltiples valores en líneas separadas.
STEP 4 | (Opcional) Añada otra opción DHCP personalizada o específica del cliente.
1. Repita el paso anterior para introducir otra opción DHCP personalizada.
• Puede introducir múltiples valores de opciones para un Option Code (Código de opción) con el
mismo Option Name (Nombre de opción), pero todos los valores para un Option Code deben ser
del mismo tipo (IP Address [Dirección IP], ASCII o Hexadecimal). Si se hereda o introduce un tipo
y se introduce un segundo tipo para el mismo Option Code (Código de opción) y Option Name
(Nombre de opción), el segundo tipo sobrescribirá al primero.
Al introducir múltiples valores para una opción, introduzca los valores en el orden de preferencia,
o si no, mueva las opciones de DHCP personalizadas para establecer el orden que prefiera en la
lista. Seleccione una opción y haga clic en Move Up (Mover arriba) o Move Down (Mover abajo).
• Puede introducir un Option Code (Código de opción) más de una vez usando un Option Name
(Nombre de opción) diferente. En este caso, el Option Type (Tipo de opción) del Código de opción
puede variar entre los múltiples nombres de opción.
STEP 5 | Identifique el grupo de direcciones IP de estado desde el que el servidor DHCP selecciona una
dirección y la asigna a un cliente DHCP.
Si no es el administrador de su red, pídale a él un grupo válido de direcciones IP de su

plan de red que puede designarse para que su servidor DHCP lo asigne.

1. En el campo IP pools (Grupos IP), haga clic en Add (Añadir) e introduzca el intervalo de direcciones
IP desde el cual este servidor asigna una dirección a un cliente. Introduzca una subred IP y una
máscara de subred (por ejemplo, 192.168.1.0/24) o un intervalo de direcciones IP (por ejemplo,
192.168.1.10-192.168.1.20).
• El grupo de IP o la Reserved Address (Dirección reservada) son obligatorios para la asignación de
dirección IP dinámica.
• El grupo IP es opcional para la asignación de dirección IP, siempre y cuando las direcciones IP
estáticas que asigne vayan a la subred que asiste la interfaz del cortafuegos.
2. (Opcional) Repita este paso para especificar otro grupo de direcciones IP.
STEP 6 | (Opcional) Especifique una dirección IP de los grupos IP que no se asignarán dinámicamente.
Si especifica también una MAC Address (Dirección MAC), la Reserved Address (Dirección
reservada) se asigna a ese dispositivo cuando el dispositivo solicita una dirección IP a través de
DHCP.
Consulte la sección DHCP Addressing (Direccionamiento DHCP) si desea una explicación

de la asignación de una Reserved Address (Dirección reservada).
1. En el campo Reserved Address (Dirección reservada), haga clic en Add (Añadir).

2. Introduzca una dirección IP desde Grupos IP (formato x.x.x.x) que no desea que se asigne
dinámicamente al servidor DHCP.
3. (Opcional) Especifique la MAC Adress (Dirección MAC) (formato xx:xx:xx:xx:xx:xx) del dispositivo al
que desea asignar de forma permanente la dirección IP que acaba de especificar.
4. (Opcional) Repita los dos pasos anteriores para reservar otra dirección.

Configure una interfaz como cliente DHCP

Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegúrese de configurar una
interfaz Ethernet de capa 3 o una interfaz VLAN de capa 3, y la interfaz se asigna a una zona y un enrutador
virtual. Realice esta tarea si quiere usar DHCP para solicitar una dirección IPv4 para una interfaz en un
cortafuegos.
También puede realizar la Configuración de la interfaz de gestión como cliente DHCP.
STEP 1 | Configure una interfaz como cliente DHCP.

2. En la pestaña Ethernet o VLAN, haga clic en Add (Añadir) para añadir una interfaz o seleccione una
interfaz configurada que desea que sea un cliente DHCP.
3. Seleccione la pestaña IPv4; en Type (Tipo), seleccione DHCP Client (Cliente DHCP).
5. (Opcional) Seleccione Automatically create default route pointing to default gateway provided
by server (Crear ruta predeterminada automáticamente que apunte a la puerta de enlace
predeterminada proporcionada por el servidor). Esto provoca que el cortafuegos cree una ruta
estática a una gateway predeterminada que será útil cuando los clientes intenten acceder a muchos
destinos que no necesitan mantener rutas en una tabla de enrutamiento en el cortafuegos.

6. (Opcional) Introduzca una Default Route Metric (Métrica de ruta predeterminada) (nivel de prioridad)
para la ruta entre el cortafuegos y el servidor DHCP (intervalo: 1-65535; no hay métrica por defecto).
Un ruta con un número más bajo tiene una prioridad alta durante la selección de la ruta. Por ejemplo,
una ruta con una métrica de 10 se usa antes que una ruta con una métrica de 100.
7. (Opcional) Seleccione Show DHCP Client Runtime Info (Mostrar información de tiempo de ejecución
de cliente DHCP) para ver todos los ajustes que el cliente ha heredado del servidor DHCP.

Ahora la interfaz Ethernet indica Dynamic-DHCP Client (Cliente DHCP dinámico) en su campo IP
Address (Dirección IP) en la pestaña Ethernet.
STEP 3 | (Opcional) Vea qué interfaces del cortafuegos se han configurado como clientes DHCP.
1. Seleccione Network (Red) > Interfaces > Ethernet y observe el campo IP Address (Dirección IP) para
verificar las interfaces que se indican como cliente DHCP.
2. Seleccione Network (Red) > Interfaces > VLAN y observe el campo IP Address (Dirección IP) para
verificar las interfaces que se indican como cliente DHCP.
Configuración de la interfaz de gestión como cliente DHCP

La interfaz de gestión en el cortafuegos admite el cliente DHCP para IPv4 que permite que la interfaz de
gestión reciba su dirección IPv4 de un servidor DHCP. La interfaz de gestión también admite la opción 12 y
la opción 61 de DHCP, que permite que el cortafuegos envíe su nombre de host e identificador de cliente,
respectivamente, a los servidores DHCP.
Por defecto, los cortafuegos de la serie VM implementados en AWS y Azure™ usan la interfaz de gestión
como cliente DHCP para obtener su dirección IP, en lugar de una dirección IP estática, debido a que
las implementaciones en la nube requieren la automatización que ofrece esta característica. DHCP en
la interfaz de gestión está desactivada por defecto para el cortafuegos de la serie VM, excepto para el
cortafuegos de la serie VM en AWS y Azure. Las interfaces de gestión en los modelos de WildFire y
Panorama no admiten esta funcionalidad DHCP.
• Para los modelos de cortafuegos basados en hardware (no la serie de VM), configure la
interfaz de gestión con una dirección IP estática cuando fuera posible.
• Si el cortafuegos adquiere una dirección de interfaz de gestión a través de DHCP, asigne
una reserva de dirección MAC en el servidor DHCP que se encarga de ese cortafuegos.
La reserva garantiza que el cortafuegos conserve su dirección IP de gestión después
de un reinicio. Si el servidor DHCP es un cortafuegos de Palo Alto Networks, consulte el
paso 6 de Configuración de una interfaz como servidor DHC para reservar una dirección.
Si configura la interfaz de gestión como un cliente DHCP, se aplican las siguientes restricciones:
• No puede usar la interfaz de gestión en una configuración HA para el enlace de control (copia de
seguridad de HA1 o HA1), enlace de datos (copia de seguridad de HA2 o HA2 o la comunicación de
reenvío de paquete (HA3).
• No puede seleccionar MGT como la interfaz de origen al personalizar las rutas de servicio (Device
[Dispositivo] > Setup [Configuración] > Services [Servicios] > Service Route Configuration
[Configuración de ruta de servicio] > Customize [Personalizar]). Sin embargo, puede seleccionar Use
default (Usar predeterminado) para enrutar los paquetes a través de la interfaz de gestión.
• No puede usar la dirección IP dinámica de la interfaz de gestión para conectarse con un módulo de
seguridad de hardware (Hardware Security Module, HSM). La dirección IP en el cortafuegos del cliente

HSM debe ser una dirección IP estática debido a que HSM autentica el cortafuegos usando la dirección
IP y las operaciones en HSM dejarían de funcionar si la dirección IP cambiara durante el tiempo de
ejecución.
Un requisito previo para esta tarea es que la interfaz de gestión debe ser capaz de conectarse a un servidor
DHCP.
STEP 1 | Configure la interfaz de gestión como cliente DHCP ara que pueda recibir su dirección IP
(IPv4), máscara de red (IPv4) y puerta de enlace por defecto de un servidor DHCP.
O bien, también puede enviar el nombre de host e identificador de cliente de la interfaz de gestión al
servidor DHCP si el sistema de orquestación que utiliza acepta esta información.
ajustes de interfaz de gestión.
2. Para IP Type (Tipo de IP), seleccione DHCP Client (Cliente DHCP).
3. (Opcional) Seleccione una de las opciones, o ambas, para que el cortafuegos envíe al servidor DHCP
en los mensajes de detección o solicitud de DHCP:
• Send Hostname (Enviar nombre de host): envía el Hostname (Nombre de host) (como se definió
en Device [Dispositivo] > Setup [Configuración] > Management [Gestión]) como parte de la
opción 12 de DHCP.
• Send Client ID (Enviar ID de cliente): envía su identificador de cliente como parte de la opción 61
de DHCP. Un identificador de cliente identifica de manera única un cliente DHCP, y el servidor
DHCP lo utiliza para indexar su base de datos de parámetro de configuración.
STEP 2 | (Opcional) Configure el cortafuegos para que acepte el nombre de host y dominio del servidor
DHCP.
ajustes generales.
2. Seleccione una opción o ambas:
• Accept DHCP server provided Hostname (Aceptar nombre de host proporcionado por el servidor
DHCP): permite que el cortafuegos acepte el nombre de host del servidor DHCP (si es válido).
Cuando está habilitada, el nombre de host del servidor DHCP sobrescribe cualquier Hostname
(Nombre de host) existente especificado en Device (Dispositivo) > Setup (Configuración) >
Management (Gestión). No seleccione esta opción si desea configurar manualmente un nombre
de host.
• Accept DHCP server provided Domain (Aceptar dominio proporcionado por el servidor DHCP):
permite que el cortafuegos acepte el dominio del servidor DHCP. El dominio (sufijo DNS) del
servidor DHCP sobrescribe cualquier dominio existente especificado en Device (Dispositivo) >
Setup (Configuración) > Management (Gestión). No seleccione esta opción si desea configurar
manualmente un dominio.

STEP 4 | Visualice información del cliente DHCP.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Management (Gestión) y Management
Interface Settings (Ajustes de la interfaz de gestión).
2. Haga clic en Show DHCP Client Runtime Info (Mostrar información de tiempo de ejecución de
cliente DHCP).

STEP 5 | (Opcional) Renueve la DHCP lease (Concesión DHCP) con el servidor DHCP,
independientemente del plazo de concesión.
Esta opción es práctica si está comprobando o resolviendo problemas de red.
ajustes de interfaz de gestión.
2. Haga clic en Show DHCP Client Runtime Info (Mostrar información de tiempo de ejecución de
cliente DHCP).
3. Haga clic en Renew (Renovar).
STEP 6 | (Opcional) Libere las siguientes opciones de DHCP provenientes del servidor DHCP:
• IP Address (Dirección IP)
• Máscara de red
• Puerta de enlace predeterminada
• Servidor DNS (primario y secundario)
• Servidor NTP (primario y secundario)
• Dominio (sufijo DNS)
Una liberación desbloquea la dirección IP, que desactiva la conexión de su red y hace
que el cortafuegos no pueda gestionarse si no hay otra interfaz configurada para el
acceso de gestión.
Use el comando operativo de CLI request dhcp client management-interface release.
Configure una interfaz como agente de relé DHCP

Para habilitar una interfaz de cortafuegos para que transmita mensajes DHCP entre clientes y servidores,
debe configurar el cortafuegos como agente de transmisión DHCP. La interfaz puede reenviar mensajes a
un máximo de ocho servidores DHCP IPv4 externos y ocho servidores DHCP IPv6 externos. Un mensaje
de DHCPDISCOVER del cliente se envía a todos los servidores configurados, y el mensaje DHCPOFFER
del primer servidor que responde se retransmite al cliente que originó la petición. Antes de configurar un
agente de retransmisión DHCP, asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN
de capa 3, y de que la interfaz se ha asignado a una zona y un enrutador virtual.
STEP 1 | Seleccione Retransmisión DHCP.

Seleccione Network (Red) > DHCP > DHCP Relay (Transmisión DHCP).
STEP 2 | Especifique la dirección IP del servidor DHCP con el que se comunicará el agente del relé
DHCP.
1. En el campo Interface (Interfaz), seleccione en la lista desplegable la interfaz que desea que sea el
agente de relé DHCP.
2. Seleccione IPv4 o IPv6, lo que indica el tipo de dirección del servidor DHCP que va a especificar.
3. Si seleccionó IPv4, en el campo DHCP Server IP Address (Dirección IP del servidor DHCP), haga clic
en Add (Añadir) e introduzca la dirección del servidor DHCP de origen y destino para la transmisión
de mensajes DHCP.
4. Si seleccionó IPv6, en el campo DHCP Server IPv6 Address (Dirección IPv6 del servidor DHCP),
haga clic en Add (Añadir) e introduzca la dirección del servidor DHCP de origen y destino para la
transmisión de mensajes DHCP. Si especifica una dirección multidifusión, especifique también una
Interface (Interfaz) saliente.
5. (Opcional) Repita los tres pasos anteriores para introducir un máximo de ocho direcciones de servidor
DHCP por cada familia de dirección IP.

Supervisión y resolución de problemas de DHCP

Puede visualizar el estado de las concesiones de dirección dinámica asignadas por su servidor DHCP o
a su cliente DHCP enviando comandos desde la CLI. También puede eliminar concesiones antes de que
caduquen y se liberen automáticamente.
• Ver información de servidor DHCP principal on page 876
• Borrado de concesiones DHCP on page 876
• Ver información de cliente DHCP on page 877
• Recopilación de resultados de depuración sobre DHCP on page 877
Ver información de servidor DHCP principal

Realice esta tarea para ver las estadísticas del grupo DHCP, las direcciones IP que ha asignado el servidor
DHCP, la dirección MAC correspondiente, el estado y la duración de la concesión, y la hora de inicio de
la concesión. Si la dirección se ha configurado como Reserved Address (Dirección reservada), la columna
state (estado) indica reserved (reservado) y no se indican duration (duración) ni
lease_time (tiempo de concesión). Si la concesión se configuró como Unlimited (Ilimitada), la
columna duration (duración) se mostrará con un valor de 0.
• Vea las estadísticas de grupo DHCP, la dirección IP que ha asignado el servidor DHCP, la
dirección MAC, el estado y la duración de la concesión, y la hora de inicio de la concesión.
admin@PA-200> show dhcp server lease all
interfaz: "ethernet1/2"
Allocated IPs: 1, Total number of IPs in pool: 5 20.0000% used
ip mac state duration lease_time
192.168.3.11 f0:2f:af:42:70:cf committed 0 Wed Jul 2
08:10:56 2014
admin@PA-200>
• Vea las opciones que un servidor DHCP ha asignado a los clientes.
admin@PA-200> show dhcp server settings all
Interface GW DNS1 DNS2 DNS-Suffix Inherit source

---------------------------------------------------------------------------
ethernet1/2 192.168.3.1 10.43.2.10 10.44.2.10 ethernet1/3
admin@PA-200>
Borrado de concesiones DHCP

Cuenta con varias opciones para borrar las concesiones DHCP.

• Libere las concesiones DHCP vencidas de una interfaz (servidor), como ethernet1/2, antes de
que el temporizador de espera las libere automáticamente. Estas direcciones volverán a estar
disponibles en el grupo IP.
admin@PA-200> clear dhcp lease interface ethernet1/2 expired-only
• Libere una concesión de una dirección IP particular, por ejemplo, 192.168.3.1.
admin@PA-200> clear dhcp lease interface ethernet1/2 ip 192.168.3.1
• Libere una concesión de una dirección MAC particular, por ejemplo, f0:2c:ae:29:71:34.
admin@PA-200> clear dhcp lease interface ethernet1/2 mac f0:2c:ae:29:71:34
Ver información de cliente DHCP

Para visualizar el estado de las concesiones de dirección IP enviadas al cortafuegos cuando actúa como
cliente DHCP, utilice cualquiera de estos comandos de la CLI.
• admin@PA-200>show dhcp client state <interface_name>
• admin@PA-200> show dhcp client state all
Interface State IP Gateway Leased-until

---------------------------------------------------------------------------
ethernet1/1 Bound 10.43.14.80 10.43.14.1 70315
admin@PA-200>
Recopilación de resultados de depuración sobre DHCP

Para reunir los resultados de la depuración sobre DHCP, utilice uno de los siguientes comandos:
• admin@PA-200> debug dhcpd
• admin@PA-200> debug management-server dhcpd

DNS
El sistema de nombres de dominio (Domain Name System, DNS) es un protocolo que traduce (resuelve)
un nombre de dominio sencillo, como www.paloaltonetworks.com, en una dirección IP, de modo que
los usuarios puedan acceder a ordenadores, sitios web, servicios u otros recursos en internet o en redes
privadas.
• Descripción general del DNS on page 878
• Objeto proxy DNS on page 879
• Perfil de servidor DNS on page 880
• Implementaciones de DNS multiusuario on page 880
• Configuración de un objeto proxy DNS on page 881
• Configuración de un perfil de servidor DNS on page 883
• Caso de uso 1: El cortafuegos requiere resolución DNS con fines de gestión on page 884
• Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la resolución DNS para políticas de
seguridad, informes y servicios dentro de su sistema virtual. on page 885
• Caso de uso 3: El cortafuegos hace de proxy DNS entre cliente y servidor on page 887
• Regla de proxy DNS y coincidencia FQDN on page 888
Descripción general del DNS

DNS realiza una función crucial en la habilitación del acceso de usuarios a los recursos de red, de modo que
los usuarios no deban recordar las direcciones IP y los ordenadores individuales no deban almacenar un
gran volumen de nombres de dominios asignados a las direcciones IP. DNS emplea un modelo de cliente/
servidor; un servidor DNS resuelve una consulta de un cliente DNS buscando el dominio en su caché y, de
ser necesario, enviando consultas a otros servidores hasta que puede responder al cliente con la dirección
IP correspondiente.
La estructura de DNS de los nombres de dominio es jerárquica; el dominio de nivel superior (TLD) en
un nombre de dominio puede ser un TLD genérico (gTLD): com, edu, gov, int, mil, net u org (gov y mil
corresponden solo a Estados Unidos) o un código de país (ccTLD), como au (Australia) o us (Estados Unidos).
Por lo general, los ccTLD se reservan para países y territorios independientes.
Un nombre de dominio completo (FQDN) incluye, como mínimo, un nombre de host, un dominio de
segundo nivel y un TLD para especificar completamente la ubicación del host en la estructura del DNS. Por
ejemplo, www.paloaltonetworks.com es un FQDN.
Siempre que un cortafuegos de Palo Alto Networks utiliza un FQDN en la interfaz de usuario o CLI, el
cortafuegos debe resolver el FQDN que utiliza DNS. En función de dónde se origina la consulta del FQDN,
el cortafuegos determina la configuración que se utilizará para resolver la consulta. Las siguientes tareas del
cortafuegos están relacionadas con el DNS:
• Configure su cortafuegos con, al menos, un servidor DNS para que resuelva los nombres de host.
Configure los servidores DNS principal y secundario o un objeto proxy DNS que especifique los
servidores, como se muestra en el Caso de uso 1: el cortafuegos requiere resolución DNS con fines de
gestión.
• Personalice cómo el cortafuegos gestiona la resolución de DNS iniciada por las reglas de la política de
seguridad, la creación de informes y los servicios de gestión (como correo electrónico, Kerberos, SNMP,
Syslog, etc.) de cada sistema virtual, como se muestra en Caso de uso 2: el usuario del ISP usa proxy DNS
para gestionar la resolución DNS para políticas de seguridad, creación de informes y servicios dentro de
su sistema virtual.
• Configure el cortafuegos para que actúe como un servidor DNS para un cliente, como se muestra en
Caso de uso 3: el cortafuegos actúa como proxy DNS entre cliente y servidor.

• Configure un perfil antispyware para garantizar el Uso de consultas de DNS para identificar hosts
infectados en la red.
• Habilite la Supervisión de DNS pasivo, lo que permite al cortafuegos compartir automáticamente
asignaciones de dominios a direcciones IP en función del tráfico de su red con Palo Alto Networks. El
equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor el
funcionamiento de la propagación de malware y las técnicas de evasión que se aprovechan del sistema
DNS.
• Realice la Habilitación de firmas de evasión y habilite las firmas de evasión para la prevención de
amenazas.
• Realice la Configuración de una interfaz como servidor DHCP. Esto permite que el cortafuegos actúe
como un servidor DHCP y envíe información de DNS a sus clientes DHCP, de modo que los clientes
DHCP asignados puedan alcanzar los servidores DNS correspondientes.
Objeto proxy DNS

Cuando se configura como proxy DNS, el cortafuegos actúa como intermediario entre los clientes y
servidores de DNS; actúa como un servidor DNS en sí mismo resolviendo consultas desde su caché de
proxy DNS. Si no encuentra el nombre de dominio en la caché de proxy DNS, el cortafuegos busca una
coincidencia del nombre de dominio entre las entradas en el objeto proxy DNS específico (en la interfaz en
la que se recibe la consulta DNS). El cortafuegos reenvía la consulta a un servidor DNS en función de los
resultados. Si no se encuentra una coincidencia, el cortafuegos utiliza los servidores DNS predeterminados.
Un objeto de proxy DNS es donde se configuran los ajustes que determinan el funcionamiento del
cortafuegos como proxy DNS. Puede asignar un objeto de proxy DNS a un único sistema virtual o
compartirlo entre todos los sistemas virtuales.
• Si el objeto de proxy DNS es para un sistema virtual, puede especificar un Perfil de servidor DNS on
page 880, que especifica las direcciones de servidores de DNS principales y secundarias, junto con
otra información. El perfil de servidor DNS simplifica la configuración.
• Si el objeto proxy de DNS es compartido, debe especificar al menos la dirección principal de un servidor
DNS.
Al configurar múltiples usuarios (abonados del ISP) con servicios DNS, se debe definir el
proxy DNS de cada usuario, lo que mantiene el servicio DNS separado de los servicios
de otros usuarios.
En el objeto de proxy, se especifican las interfaces en las que el cortafuegos actúa como proxy DNS. El
proxy DNS para la interfaz no usa la ruta de servicio; las respuestas a las solicitudes DNS se envían siempre
a la interfaz asignada al enrutador virtual donde se recibió la solicitud de DNS.
Cuando realiza la Configuración de un objeto proxy DNS on page 881, puede introducir en el proxy DNS
asignaciones estáticas de FQDN a dirección. Además, puede crear reglas de proxy DNS que controlen a qué
servidor DNS se dirigen las consultas de nombres de dominio especificado (que coinciden con las reglas de
proxy). Puede configurar un máximo de 256 objetos de proxy DNS en un cortafuegos.
Cuando un cortafuegos recibe una consulta de FQDN (y el nombre del dominio no se encuentra en el caché
de proxy DNS), el cortafuegos compara el nombre de dominio de la consulta de FQDN con los nombres de
dominio en las reglas de proxy DNS del objeto de proxy DNS. Si especifica múltiples nombres de dominio
en una regla de proxy DNS, una consulta que coincida con alguno de los nombres de dominio en la regla
indicará que la consulta coincide con la regla. Regla de proxy DNS y coincidencia FQDN on page 888
describe cómo el cortafuego determina si un FQDN coincide con un nombre de dominio en una regla de
proxy DNS. Una consulta de DNS que coincide con una regla se envía al servidor DNS principal configurado
para el objeto de proxy que debe resolverse.

Perfil de servidor DNS
Para simplificar la configuración de un sistema virtual, un perfil de servidor DNS le permite especificar el
sistema virtual que se está configurando, un origen de herencia o las direcciones IP principales y secundarias
para los servidores de DNS, así como una interfaz y la dirección de origen (ruta de servicio) que se usará
en los paquetes enviados al servidor DNS. La interfaz de origen determina el enrutador virtual, que tiene
una tabla de enrutamiento. Se busca la dirección IP de destino en la tabla de rutas del enrutador virtual
donde está asignada la interfaz de origen. Es posible que el resultado de la interfaz de salida de IP de destino
difiera de la interfaz de origen. El paquete saldría de la interfaz de salida de IP de destino determinada por
la búsqueda de la tabla de enrutamiento, pero la dirección IP de origen sería la dirección configurada. La
dirección de origen se usa como la dirección de destino en la respuesta del servidor DNS.
El informe del sistema virtual y el perfil del servidor del sistema virtual envían sus consultas al servidor DNS
especificado en el sistema virtual, de haberlo. (El servidor DNS utilizado se define en Device [Dispositivo] >
Virtual Systems [Sistemas virtuales] > General > DNS Proxy [Proxy DNS].) Si no hay ningún servidor DNS
especificado para el sistema virtual, se consulta al servidor DNS especificado para el cortafuegos.
La Configuración de un perfil de servidor DNS on page 883 se realiza solo para un sistema virtual; no
sirve para la ubicación compartida global.
Implementaciones de DNS multiusuario

El cortafuegos determina cómo gestionar solicitudes DNS basadas en el origen de la solicitud. Un entorno
donde un ISP tiene varios usuarios en un cortafuegos se conoce como multiusuario. Hay tres casos de uso
para implementaciones de DNS multiusuario:
• Resolución DNS de gestión global: el cortafuegos necesita resolución DNS para sus propios fines; por
ejemplo, la solicitud procede del plano de gestión para resolver un FQDN de un evento de gestión como
en un servicio de actualización de software. El cortafuegos utiliza la ruta de servicio para llegar a un
servidor DNS debido a que la solicitud DNS no proviene de un enrutador virtual específico.
• Resolución FQDN de políticas e informes para un sistema virtual: en el caso de las consultas DNS de
una política de seguridad, un informe o un servicio, puede especificar un conjunto de servidores DNS
específicos para el sistema virtual (usuario) o utilizar la opción predeterminada para los servidores DNS
globales. Si su caso de uso requiere un conjunto diferente de servidores DNS por sistema virtual, debe
configurar un objeto proxy DNS. La resolución es específica del sistema virtual al que se ha asignado
el proxy DNS. Si no tiene servidores DNS específicos que puedan aplicarse a este sistema virtual, el
cortafuegos utiliza la configuración de DNS global.
• Resolución DNS en el plano de datos para un sistema virtual: este método también se conoce como
solicitud de red para resolución DNS. El sistema virtual del usuario se puede configurar de modo que los
nombres de dominio especificados se resuelvan en el servidor DNS del usuario en su red. Este método es
compatible con DNS dividido, lo que significa que el usuario también puede usar sus propios servidores
DNS del ISP para las consultas de DNS restantes no resueltas en su propio servidor. Las reglas de objeto
proxy DNS controlan el DNS dividido; el dominio del usuario redirige las solicitudes DNS a sus servidores
DNS, que están configurados con un perfil de servidor DNS. El perfil de servidor DNS tiene servidores
DNS principales y secundarios designados, así como rutas de servicio DNS para IPv4 e IPv6, que anulan
la configuración DNS predeterminada.
La siguiente tabla resume los tipos de resolución de DNS. La ubicación de enlace determina qué objeto de
proxy DNS se usa para la resolución. Los casos de uso muestran, a modo de ejemplo, cómo un proveedor de
servicios puede configurar los ajustes DNS con el fin de ofrecer servicios de DNS para resolver consultas de
DNS requeridas en el cortafuegos y para los sistemas virtuales del usuario (abonado).

Tipo de resolución Lugar: Compartida Lugar: Vsys específico
Resolución de DNS del cortafuegos: Enlace: Global n/c

realizada por el plano de datos
Ilustrado en el Caso de uso 1
Perfil de seguridad, informes y Enlace: Global Enlace: Vsys específico

resolución de perfiles de servidor:
El mismo comportamiento que en Ilustrado en el Caso de uso 2
realizado por el plano de gestión
caso de uso 1
Resolución de proxy DNS para Enlace: Interface (Interfaz)

hosts de clientes DNS conectados
Ruta de servicio: Interfaz y dirección IP en las que se recibió la
a la interfaz en el cortafuegos, que
solicitud DNS.
atraviesan el cortafuegos hacia
un servidor DNS: realizado por el Ilustrado en el Caso de uso 3
plano de datos.
• Caso de uso 1: El cortafuegos requiere resolución DNS con fines de gestión

• Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la resolución DNS para políticas de
seguridad, informes y servicios dentro de su sistema virtual.
• Caso de uso 3: El cortafuegos hace de proxy DNS entre cliente y servidor
Configuración de un objeto proxy DNS

Si su cortafuegos va a funcionar como un proxy DNS, realice esta tarea para configurar un objeto proxy
DNS. El objeto de proxy puede ser tanto compartido entre todos los sistemas virtuales como aplicado a un
sistema virtual específico.
Cuando el cortafuegos está habilitado para funcionar como proxy DNS, las firmas de
evasión que detectan solicitudes HTTP o TLS manipuladas pueden alertar en instancias
en las que un cliente se conecta a un dominio que no sea el dominio especificado en la
solicitud DNS original. Como práctica recomendada, habilite las firmas de evasión después
de configurar el proxy DNS.
STEP 1 | Configure los ajustes básicos para un objeto de proxy DNS.

1. Seleccione Network (Red) > DNS Proxy y luego Add (Añadir) para añadir un nuevo objeto.
2. Verifique que Enable (Habilitar) esté seleccionado.
3. Introduzca un nombre para el objeto en Name.
4. Para Location (Ubicación), seleccione el sistema virtual al que se aplica el objeto. Si selecciona Shared
(Compartido), debe especificar al menos una dirección Primary (Primaria) de servidor DNS y, de
manera opcional, una dirección Secondary (Secundaria).
5. Si ha seleccionado un sistema virtual, para Server Profile (Perfil de servidor), seleccione un perfil de
servidor DNS o haga clic en DNS Server Profile (Perfil de servidor DNS) para configurar un nuevo
perfil. Consulte Configuración de un perfil de servidor DNS.
6. Para Inheritance Source (Origen de herencia), seleccione un origen del cual heredar las
configuraciones del servidor DNS predeterminadas. El valor predeterminado es None (Ninguno).
7. Para Interface (Interfaz), haga clic en Add (Añadir) y especifique las interfaces a las que se aplica el
objeto de proxy DNS.
• Si usa el objeto de proxy DNS para realizar búsquedas de DNS, necesita una interfaz. El
cortafuegos escuchará las solicitudes de DNS en esta interfaz, y después las transmitirá.
• Si usa el objeto de proxy DNS para una ruta de servicio, la interfaz es opcional.

STEP 2 | (Opcional) Especifique reglas de proxy DNS
1. En la pestaña DNS Proxy Rules (Reglas de proxy DNS), haga clic en Add (Añadir) e introduzca un
nombre para la regla en Name (Nombre).
2. Seleccione Turn on caching of domains resolved by this mapping (Activar el almacenamiento en
caché de dominios resueltos por esta asignación), si desea que el cortafuegos almacene en caché los
dominios resueltos.
3. En Domain Name (Nombre de dominio), seleccione Add (Añadir) para añadir una o más entradas por
fila, con las cuales el cortafuegos comparará las consultas FQDN. Si una consulta coincide con uno de
los dominios de la regla, la consulta se envía a uno de los siguientes servidores para resolverse (según
lo que configuró en el paso anterior):
• El servidor DNS Primary (Primario) o Secondary (Secundario) especificado directamente para este
objeto proxy.
• El servidor DNS Primary (Primario) o Secondary (Secundario) especificado directamente para este
objeto proxy.
DNS Proxy Rule and FQDN Matching (Regla de proxy DNS y coincidencia FQDN) describe de qué
manera el cortafuegos coteja los nombres de dominio en un FQDN con una regla proxy DNS. Si no se
encuentra coincidencia, los servidores DNS predeterminados resuelven la consulta.
4. Realice una de las siguientes acciones, según lo que configure en Location (Ubicación):
• Si ha elegido un sistema virtual, seleccione aquí un DNS Server profile (Perfil de servidor DNS).
• Si ha elegido Shared (Compartido), introduzca una dirección Primary (Primaria) y, opcionalmente,
una dirección Secondary (Secundaria).
STEP 3 | (Opcional) Indique las entradas estáticas FQDN a dirección en el proxy DNS. Las entradas DNS
estáticas permiten al cortafuegos resolver el FQDN a una dirección IP sin enviar una consulta al
servidor DNS.
1. En la pestaña Static Entries (Entradas estáticas), haga clic en Add (Añadir) e introduzca un nombre en
Name (Nombre).
2. Introduzca el nombre de dominio completo (FQDN).
3. Para Address (Dirección), haga clic en Add (Añadir) e introduzca la dirección IP a la que se debería
asignar el FQDN.
Puede proporcionar direcciones IP adicionales para una entrada. El cortafuegos proporcionará todas
las direcciones IP en su respuesta DNS y el cliente elige qué dirección usar.
STEP 4 | (Opcional) Habilite el almacenamiento en caché y configure otros ajustes avanzados para el
proxy DNS.
1. En la pestaña Advanced (Avanzada), seleccione TCP Queries (Consultas TCP) para habilitar las
consultas DNS mediante TCP.
• Max Pending Requests (Solicitudes pendientes máximas): introduzca el número máximo de
solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256, por
defecto: 64).
2. Para UDP Queries Retries (Reintentos de consultas UDP), introduzca lo siguiente:
• Interval (Intervalo): el tiempo (en segundos) después del cual se enviará otra solicitud si no se ha
recibido respuesta (el intervalo es de 1 a 30, la opción predeterminada es 2).
• Attempts (Intentos): el número máximo de intentos de consulta UDP (sin incluir el primer intento)
después de los cuales se intentará el siguiente servidor DNS (el intervalo es de 1 a 30, el valor

3. Seleccione Cache (Caché) para habilitar al cortafuegos para que almacene en caché las asignaciones
de FQDN a dirección que detecte.
• Enable TTL (Habilitar TTL): limite el tiempo que el cortafuegos almacena en caché las entradas
DNS del objeto proxy. De forma predeterminada, esta opción está deshabilitada.
• Introduzca Time to Live (sec) (Periodo de vida [s]), la cantidad de segundos después de los
cuales se eliminan todas las entradas de la memoria caché para el objeto proxy. Después de
eliminar las entradas, las nuevas solicitudes de DNS deben volver a resolverse y almacenarse
en caché. El intervalo es de 60-86.400. No hay TTL por defecto; las entradas permanecen
hasta que el cortafuegos se queda sin memoria caché.
• Cache EDNS Responses (Almacenar respuestas EDNS en la caché): seleccione esta opción si
desea que el cortafuegos coloque en el caché las respuestas parciales de DNS que superen los
512 bytes. Si un FQDN posterior para la entrada en caché llega, el cortafuegos envía la respuesta
DNS parcial. Si desea respuestas DNS completas (superiores a 512 bytes), no seleccione esta
opción.

Configuración de un perfil de servidor DNS

Configure un perfil de servidor DNS, lo que simplifica la configuración de un sistema virtual. La dirección
Primary DNS (DNS primaria) o Secondary DNS (DNS secundaria) se usa para crear la solicitud DNS que el
sistema virtual envía al servidor DNS.
STEP 1 | Nombre el perfil de servidor DNS, seleccione el sistema virtual al que se aplica y especifica las
direcciones de servidor DNS principal y secundaria.
1. Seleccione Device (Dispositivo) > Server Profiles (Perfiles de servidor) > DNS y Add (Añadir) para
añadir un Name (Nombre) para el perfil de servidor DNS.
2. Para Location (Ubicación), seleccione el sistema virtual al que se aplica el perfil.
3. Para Inheritance Source (Origen de herencia), en el menú desplegable, seleccione None (Ninguno) si
las direcciones de servidor DNS no son heredadas. De lo contrario, especifique el servidor de DNS
desde el que el perfil debería heredar la configuración. Si ha elegido un servidor DNS, haga clic en
Check inheritance source status (Verificar estado del origen de herencia) para ver esa información.
4. Especifique la dirección IP del servidor Primary DNS (DNS primario), o déjelo como inherited
(heredado) si ha elegido un Inheritance Source (Origen de herencia).
Tenga en cuenta que si especifica un FQDN en lugar de una dirección IP, el DNS
para ese FQDN se resuelve en Device (Dispositivo) > Virtual Systems (Sistema
virtual) > DNS Proxy (Proxy DNS).
5. Especifique la dirección IP del servidor Secondary DNS (DNS secundario), o déjelo como inherited
(heredado) si ha elegido un Inheritance Source (Origen de herencia).
STEP 2 | Configure la ruta de servicio que usa el cortafuegos automáticamente, basada en si el servidor
DNS de destino tiene un tipo de familia de dirección IP IPv4 o IPv6.
1. Haga clic en Service Route IPv6 (Ruta de servicio IPv4) para habilitar la siguiente interfaz y la
dirección IPv6 que se usará como ruta de servicio, si la dirección DNS de destino es una dirección
IPv6.
2. Especifique la Source Interface (Interfaz de origen) para seleccionar la dirección IP de origen del
servidor DNS que usará la ruta de servicio. El cortafuegos determina qué enrutador virtual se asigna
a esa interfaz, y después realiza una búsqueda de rutas en la tabla de enrutamiento del enrutador
virtual para llegar a la red de destino (en función de la dirección Primary DNS [DNS primario]).

3. Especifique la Source Address (Dirección de origen) IPv4 desde la que se originan los paquetes
dirigidos al servidor de DNS.
4. Haga clic en Service Route IPv6 (Ruta de servicio IPv6) para habilitar la siguiente interfaz y la
dirección IPv6 que se usará como ruta de servicio, si la dirección DNS de destino es una dirección
IPv6.
5. Especifique la Source Interface (Interfaz de origen) para seleccionar la dirección IP de origen del
servidor DNS que usará la ruta de servicio. El cortafuegos determina qué enrutador virtual se asigna
a esa interfaz, y después realiza una búsqueda de rutas en la tabla de enrutamiento del enrutador
virtual para llegar a la red de destino (en función de la dirección Primary DNS [DNS primario]).
6. Especifique la Source Address (Dirección de origen) IPv6 desde la que se originan los paquetes
dirigidos al servidor de DNS.

Caso de uso 1: El cortafuegos requiere resolución DNS con fines

de gestión
En este caso de uso, el cortafuegos es el cliente que solicita resoluciones DNS de FQDN para eventos
de gestión, tales como servicios de actualización de software, actualizaciones de software dinámicas o
WildFire. Los servicios DNS globales y compartidos realizan la resolución DNS para las funciones del plano
de gestión.
STEP 1 | Configure los servidores DNS principal y secundario que quiere que use el cortafuegos para sus
resoluciones de DNS de gestión.
Debe configurar manualmente al menos un servidor DNS en el cortafuegos o no podrá

resolver los nombres de host; no utilizará una configuración de servidor DNS de otra
fuente, como un ISP.
Edit (Editar). (Para dispositivos que no admiten múltiples sistemas virtuales, no hay pestaña Global;
solo tiene que editar los servicios).
2. En la pestaña Services (Servicios), en DNS, haga clic en Servers (Servidores) e introduzca la dirección
del Primary DNS Server (Servidor DNS principal) y la dirección del Secondary DNS Server (Servidor
DNS secundario).
STEP 2 | De manera alternativa, puede configurar un objeto Proxy DNS si desea configurar funciones
DNS avanzadas como DNS dividido, anulaciones de proxy DNS, reglas de proxy DNS, entradas
estáticas o herencia DNS.
Edit (Editar).

2. En la pestaña Services (Servicios), en DNS, seleccione DNS Proxy Object (Objeto Proxy DNS).
3. En el menú desplegable DNS Proxy (Proxy DNS), seleccione el Proxy DNS que desea utilizar para
configurar los servicios DNS globales, o haga clic en DNS Proxy (Proxy DNS) para configurar un
nuevo objeto proxy DNS de la siguiente manera:
1. Haga clic en Enable (Habilitar) e introduzca un nombre en Name (Nombre) para el objeto proxy
DNS.
2. En Location (Ubicación), seleccione Shared (Compartido) para servicios proxy DNS globales y para
todo el dispositivo.
Los objetos proxy DNS compartidos no utilizan perfiles de servidor DNS porque no
requieren una ruta de servicio específica que pertenezca a un sistema virtual del
usuario.
3. Introduzca la dirección IP del servidor DNS principal en Primary (Principal). También puede
introducir una dirección IP del servidor DNS Secondary (Secundario).
Caso de uso 2: El usuario del ISP usa proxy DNS para gestionar la
resolución DNS para políticas de seguridad, informes y servicios
dentro de su sistema virtual.
En este caso de uso, se definen varios usuarios (abonados del ISP) en el cortafuegos y a cada usuario se le
asigna un sistema virtual (vsys) y un enrutador virtual diferentes para segmentar sus servicios y dominios
administrativos. La siguiente figura ilustra varios sistemas virtuales dentro de un cortafuegos.
Cada usuario tiene sus propios perfiles de servidor para sus reglas de política de seguridad, informes y
servicios de gestión (como correo electrónico, Kerberos, SNMP, syslog, etc.) definidos en sus propias redes.
Para las resoluciones DNS iniciadas por estos servicios, cada sistema virtual está configurado con su propio
Objeto proxy DNS on page 879 para permitir que cada usuario personalice la gestión de la resolución
DNS dentro de su sistema virtual. Cualquier servicio con una Location (Ubicación) usará el objeto Proxy
DNS configurado para el sistema virtual para determinar el servidor DNS principal (o secundario) para
resolver FQDN, como se ilustra en la siguiente figura.

STEP 1 | Especifique el proxy DNS que se usará en cada sistema virtual.
1. Seleccione Device (Dispositivo) > Virtual Systems (Sistemas virtuales) y Add (Añadir) para añadir el
ID del sistema virtual (el intervalo es de 1 a 255), y luego un nombre opcional en Name (Nombre); en
este ejemplo, Corp1 Corporation.
2. En la pestaña General, seleccione un DNS Proxy (Proxy DNS) o cree uno nuevo. En este ejemplo, se
selecciona Corp1 DNS Proxy como el proxy para el sistema virtual de Corp1 Corporation.
3. En Interfaces, haga clic en Add (Añadir). En este ejemplo, Ethernet 1/20 se dedica a este usuario.
4. En Virtual Routers (Enrutadores virtuales), haga clic en Add (Añadir). Se asigna al sistema virtual un
enrutador virtual llamado Corp1 VR para separar las funciones de enrutamiento.
STEP 2 | Configure un proxy DNS y un perfil de servidor para permitir la resolución DNS para un sistema
virtual.
1. Seleccione Network (Red) > DNS Proxy y haga clic en Add (Añadir).
2. Haga clic en Enable (Habilitar) e introduzca un nombre en Name (Nombre) para el proxy DNS.
3. En Location (Ubicación), seleccione el sistema virtual del usuario, en este ejemplo, Corp1 Corporation
(vsys6). (Puede elegir el recurso proxy DNS Shared (Compartido) en su lugar).
4. En Server Profile (Perfil de servidor), seleccione o cree un perfil con el fin de personalizar servidores
DNS para usar resoluciones DNS para esta política de seguridad de usuarios, informe y servicios de
perfil de servidor.
Si el perfil aún no está configurado, en el campo Server Profile (Perfil de servidor), haga clic en DNS
Server Profile (Perfil de servidor DNS) para la Configuración de un perfil de servidor DNS on page
883.
El perfil de servidor DNS identifica las direcciones IP del servidor DNS principal y secundario para
usar las resoluciones de DNS de gestión para este sistema virtual.
5. También para este perfil de servidor, tiene la opción de configurar una Service Route IPv4 (IPv4 de
ruta de servicio) o una Service Route IPv6 (IPv6 de ruta de servicio) para indicar al cortafuegos qué
Source Interface (Interfaz de origen) usar en sus solicitudes DNS. Si esta interfaz tiene más de una
dirección IP, configure también la Source Address (Dirección de origen).

Se pueden configurar funciones avanzadas opcionales como DNS dividido usando
DNS Proxy Rules (Reglas de proxy DNS). Si es necesario, se puede usar un perfil
de servidor DNS separado para redirigir las resoluciones DNS que coinciden con el
Domain Name (Nombre de dominio) en una DNS Proxy Rule (Regla de proxy DNS)
para otro conjunto de servidores DNS. El Caso de uso 3 ilustra el DNS dividido.
Si usa dos perfiles de servidor DNS separados en el mismo objeto Proxy DNS, uno para el proxy DNS
y otro para la regla de proxy DNS, se produce lo siguiente:
• Si se define una ruta de servicio en el perfil de servidor DNS usado por el proxy DNS, tiene
prioridad y se usa.
• Si se define una ruta de servicio en el perfil de servidor DNS usado en las reglas del proxy DNS,
no se usa. Si la ruta de servicio difiere de la definida en el perfil de servidor DNS usado en el proxy
DNS, se muestra el siguiente mensaje de advertencia durante el proceso Commit (Confirmar):
Advertencia: La ruta de servicio DNS definida en el objeto proxy DNS es

diferente de la ruta de servicio de la regla proxy DNS. Se usará la ruta
de servicio del objeto proxy DNS.
• Si no se define ninguna ruta de servicio en ningún perfil de servidor DNS, se usa la ruta de servicio
global en caso necesario.
Caso de uso 3: El cortafuegos hace de proxy DNS entre cliente y

servidor
En este caso de uso, el cortafuegos se encuentra entre el cliente DNS y el servidor DNS. Se configura un
cortafuegos en el proxy DNS para que actúe como servidor DNS de los hosts que residen en la red del
usuario conectada a la interfaz del cortafuegos. En dicho escenario, el cortafuegos realiza una resolución
DNS en su plano de datos.
El escenario utiliza DNS dividido, una configuración donde las reglas de proxy DNS se configuran para
redirigir las solicitudes DNS a un conjunto de servidores DNS basados en una coincidencia de nombres de
dominio. Si no hay coincidencia, el perfil del servidor determina los servidores DNS a los que se envía la
solicitud; por eso, hay dos métodos de resolución de DNS dividido.
Para las resoluciones DNS de plano de datos, la dirección IP de origen desde el proxy
DNS en PAN-OS al servidor DNS externo sería la dirección del proxy (la IP de destino de la
solicitud original). No se usa ninguna ruta de servicio definida en el perfil de servidor DNS.
Por ejemplo, si la consulta se realiza desde el host 1.1.1.1 al proxy DNS 2.2.2.2, la solicitud
al servidor DNS (en 3.3.3.3) usaría un origen 2.2.2.2 y un destino 3.3.3.3.
STEP 1 | Seleccione Network (Red) > DNS Proxy (Proxy DNS) y haga clic en Add (Añadir).

STEP 2 | Haga clic en Enable (Habilitar) e introduzca un nombre en Name (Nombre) para el proxy DNS.
STEP 3 | En Location (Ubicación), seleccione el sistema virtual del usuario, en este ejemplo, Corp1
Corporation (vsys6).
STEP 4 | En Interface (Interfaz), seleccione la interfaz que recibirá las solicitudes DNS de los hosts del
usuario, en este ejemplo, Ethernet 1/20.
STEP 5 | Seleccione o cree un Server Profile (Perfil de servidor) para personalizar servidores DNS para
que resuelvan solicitudes DNS para este usuario.
STEP 6 | En la pestaña DNS Proxy Rules (Reglas de proxy DNS), haga clic en Add (Añadir) para
introducir un nombre para la regla en Name (Nombre).
STEP 7 | (Opcional) Seleccione Turn on caching of domains resolved by this mapping (Activar el
almacenamiento en caché de dominios resueltos por esta asignación).
STEP 8 | Haga clic en Add (Añadir) para añadir uno o más nombres de dominio en Domain Name
(Nombre de dominio), uno por fila. En Búsqueda de coincidencias de FQDN en la regla de
proxy DNS, se describe cómo el cortafuegos encuentra coincidencias entre los FQDN y los
nombres de dominio en una regla de proxy DNS.
STEP 9 | En DNS Server profile (Perfil de servidor DNS), seleccione un perfil del menú desplegable.
El cortafuegos compara el nombre de dominio en la solicitud DNS con el nombre de dominio
definido en DNS Proxy Rules (Reglas de proxy DNS). Si hay coincidencia, se usa el DNS Server
profile (Perfil de servidor DNS) definido en la regla para determinar el servidor DNS.
STEP 10 | En este ejemplo, si el dominio en la solicitud coincide con myweb.corp1.com, se usa el

servidor DNS definido en perfil de servidor myweb DNS Server Profile. Si no hay coincidencia,
se usa el servidor DNS definido en Server profile (Perfil de servidor) (perfil de servidor DNS
Corp1).
STEP 11 | Haga clic en OK (Aceptar) dos veces.
Regla de proxy DNS y coincidencia FQDN

Cuando configura el cortafuegos con un objeto proxy DNS que utiliza reglas de proxy DNS, el cortafuegos
compara un FQDN de una consulta DNS con el nombre de dominio de una regla de proxy DNS. La
comparación del cortafuegos funciona de la siguiente manera:
Comparación de FQDN con la regla de proxy Por ejemplo:

DNS
El cortafuegos primero divide en tokens *.boat.fish.com consta de cuatro tokens: [*]

los FQDN y los nombres de dominio en [boat][fish][com]
las reglas de proxy DNS. En un nombre de
dominio, un token es una cadena delimitada
por un punto (.).
El proceso de cotejo es una coincidencia de Regla: fishing

token exacta entre el FQDN y el nombre de
FQDN: fish: no hay coincidencia

DNS
dominio en la regla, las cadenas parciales no
se cotejan.
Una excepción al requisito de coincidencia Regla: *.boat.com

exacta es el uso del carácter comodín: un
FQDN: www.boat.com: coincidencia
asterisco (*). El * coincide con uno o más
tokens. FQDN: www.blue.boat.com: coincidencia
Esto significa que una regla que consta FQDN: boat.com: no hay coincidencia
únicamente de un carácter comodín (*)
compara cualquier FQDN con uno o más Regla: *
tokens.
FQDN: boat: coincidencia
FQDN: boat.com: coincidencia
Puede usar el * en cualquier posición: antes Regla: www.*.com

del token, entre tokens o al final de un
token (pero no con otros caracteres, como
un único token). FQDN: www.blue.boat.com: coincidencia
Regla: www.boat.*
FQDN: www.boat.fish.com: coincidencia
Regla: www.boat*.com: no válido
Pueden aparecer varios caracteres Regla: a.*.d.*.com

comodines (*) en cualquier posición del
FQDN: a.b.d.e.com: coincidencia
nombre de dominio: antes del token, entre
tokens o al final del token. Cada * no FQDN: a.b.c.d.e.f.com: coincidencia
consecutivo coincide con uno o más tokens.
FQDN: a.d.d.e.f.com: coincidencia (el primer *
coincide con d; el segundo * coincide con e y f).
FQDN: a.d.e.f.com: no hay coincidencia (el primer
* coincide con d; las d posteriores de la regla no se
cotejan).
Cuando se utilizan caracteres comodín en Caracteres comodín consecutivos antes de los tokens:
tokens consecutivos, el primer * coincide
Regla: *.*.boat.com
con uno o más tokens; el segundo * coincide
con un token. FQDN: www.blue.boat.com: coincidencia
Esto significa que una regla que consta FQDN: www.blue.sail.boat.com: coincidencia
únicamente de *.* compara cualquier FQDN
con dos o más tokens.
Caracteres comodín consecutivos entre tokens:

Regla: www.*.*.boat.com
FQDN: www.blue.sail.boat.com: coincidencia

DNS
FQDN: www.big.blue.sail.boat.com: coincidencia
Caracteres comodín consecutivos al final de los tokens:

Regla: www.boat.*.*
FQDN: www.boat.fish.ocean.com: coincidencia
Caracteres comodín consecutivos únicamente:

Regla: *.*
FQDN: boat: no hay coincidencia
FQDN: boat.com: coincidencia
Los caracteres comodín consecutivos y no Regla: a.*.d.*.*.com

consecutivos pueden aparecer en la misma
FQDN: a.b.c.d.e.f.com: coincidencia (el primer *
regla.
coincide con b y c; el segundo * coincide con e; el tercer
* coincide con f).
FQDN: a.b.c.d.e.com: no hay coincidencia (el primer
* coincide con b y c; el segundo * coincide con e; el
tercer * no se coteja).
El comportamiento de coincidencia final Regla: www.boat.fish

implícita ofrece una taquigrafía adicional:
Mientras el último token de la regla no sea
FQDN: www.boat.fish.ocean.com: coincidencia
un *, la comparación cotejará si todos los
tokens de la regla coinciden con el FQDN, FQDN: www.boat.fish: coincidencia
incluso si el FQDN posee tokens finales
adicionales que la regla no tiene.
Esta regla finaliza con *, por lo que la regla Regla: www.boat.fish.*

de coincidencia final implícita no se aplica. El
* actúa como se indica; coincide con uno o
más tokens. FQDN: www.boat.fish.ocean.com: coincidencia
FQDN: www.boat.fish: no hay coincidencia (este
FQDN no posee un token para coincidir con el * en la
regla).
En el caso en que un FQDN coincida Regla 1: *.fish.com: coincidencia

con más de una regla, un algoritmo de
Regla 2: *.com: coincidencia
separación selecciona la regla más específica
(extensa); es decir, el algoritmo favorece la Regla 3: boat.fish.com: coincidencia y división
regla con más tokens y menos caracteres
FQDN: boat.fish.com
comodines (*).
El FQDN coincide con las tres reglas; el cortafuegos
utiliza la regla 3 debido a que es la más específica.

DNS
Regla 1: *.fish.com: no hay coincidencia

Regla 3: boat.fish.com: no hay coincidencia
FQDN: fish.com
El FQDN no coincide con la Regla 1 debido a que el * no
tiene un token con el cual coincidir.
Regla 1: *.fish.com: coincidencia y división

Regla 3: boat.fish.com: no hay coincidencia
FQDN: blue.boat.fish.com
El FQDN coincide con la Regla 1 y la Regla 2 (debido a
que el * coincide con uno o más tokens). El cortafuegos
utiliza la regla 1 debido a que es la más específica.
Al trabajar con caracteres comodín (*) y Reemplace lo siguiente:

reglas de coincidencia final implícita, puede
Regla: www.boat
haber casos en los que el FQDN coincide
con más de una regla y el algoritmo de por lo siguiente:
separación pondera las reglas por igual.
Regla: www.boat.com
Para evitar ambigüedades, si las reglas
con coincidencia final implícita o un
carácter comodín (*) pueden superponerse,
reemplace una regla de coincidencia final
implícita al especificar el token final.
Prácticas recomendadas para crear reglas de proxy DNS a fin de evitar ambigüedad y resultados
inesperados
Evite invocar una coincidencia final implícita boat.com

al incluir un dominio de nivel superior en el
nombre de dominio.
Si utiliza un carácter comodín (*), utilícelo *.boat.com

únicamente como el token del extremo
izquierdo.
Esta práctica permite la comprensión
común de los registros DNS con caracteres
comodín y la naturaleza jerárquica del DNS.
No use más de un* en una regla.
Use el * para establecer una regla de Regla: *.corporation.com: servidor DNS A

base asociada con un servidor DNS, y
Regla: www.corporation.com: servidor DNS B
utilice reglas con más tokens para crear

DNS
excepciones a la regla, la cual asocia con Regla: *.internal.corporation.com: servidor DNS
diferentes servidores. C
El algoritmo de división seleccionará la Regla: www.internal.corporation.com: servidor
coincidencia más específica, en función de la DNS D
cantidad de tokens coincidentes.
FQDN: mail.internal.corporation.com: coincide
con el servidor DNS C
FQDN: mail.corporation.com: coincide con el
servidor DNS A

NAT
Esta sección describe la traducción de direcciones de red (Network Address Translation, NAT) y cómo
configurar el cortafuegos para NAT. El NAT le permite traducir la direcciones IPv4 privadas y no enrutables
a una o más direcciones IPv4 globalmente enrutables, con lo cual se conservan las direcciones IP enrutables
de la organización. El NAT le permite no tener que divulgar las direcciones IP reales de los hosts que deben
acceder a direcciones públicas y gestionar el tráfico al realizar el reenvío de puertos. Puede usar NAT para
resolver dificultades de diseño de la red y permitir que las redes con subredes IP idénticas se comuniquen
entre sí. El cortafuegos admite NAT en capa 3 e interfaces de Virtual Wire.
La opción NAT64 traduce entre direcciones IPv6 e IPv4, por lo que ofrece conectividad entre las redes con
esquemas de direcciones IP distintas y una ruta de migración hacia las direcciones IPv6. La traducción de
prefijo de red IPv6 a IPv6 (NPTv6) traduce un prefijo IPv6 a otro prefijo IPv6. PAN-OS es compatible con
todas estas funciones.
Cuando utilice direcciones IP privadas en sus redes internas, deberá utilizar NAT para traducir las
direcciones privadas en direcciones públicas que puedan enrutarse a redes externas. En PAN-OS, usted
crea reglas de políticas de NAT que indican al cortafuegos qué direcciones de paquetes y puertos necesitan
traducción y cuáles son las direcciones y puertos traducidos.
• Reglas de políticas NAT
• NAT de origen y destino
• Capacidades de regla NAT
• Sobresuscripción de NAT de IP dinámica y puerto
• Estadísticas de memoria NAT de plano de datos
• Configuración de NAT
• Ejemplos de configuración de NAT
Reglas de políticas NAT

• Descripción general de la política de NAT on page 893
• Grupos de direcciones NAT identificados como objetos de direcciones on page 894
• ARP proxy para grupos de direcciones NAT on page 895
Descripción general de la política de NAT

Puede configurar una regla NAT que coincida con una zona de origen del paquete y una zona de destino,
como mínimo. Además de las zonas, puede configurar criterios equivalentes basados en la interfaz de
destino del paquete, la dirección de origen y destino y servicio. Puede configurar múltiples reglas NAT. El
cortafuegos evalúa las reglas en orden descendente. Cuando un paquete compara los criterios de una única
regla NAT, el paquete no está sujeto a reglas NAT adicionales. Por ello, su lista de reglas NAT debe estar
en orden de más a menos específico, de modo que los paquetes estén sujetos a la regla más específica que
haya creado para ellos.
Las reglas NAT estáticas no tienen prioridad sobre otras formas de NAT. Por lo tanto, para que la NAT
estática funcione, las reglas NAT estática deben estar por encima del resto de reglas NAT en la lista del
cortafuegos.
Las reglas NAT ofrecen traducción de direcciones, y son distintas de las reglas de políticas de seguridad, que
permiten o deniegan paquetes. Es importante comprender la lógica del flujo del cortafuegos cuando aplica
las reglas NAT y las reglas de política de seguridad, de modo que pueda determinar qué reglas necesita en
función de las zonas que ha definido. Debe configurar reglas de política de seguridad para permitir el tráfico
de NAT.

En la entrada, el cortafuegos examina el paquete y enruta la búsqueda para determinar la interfaz de salida
y la zona. Entonces el cortafuegos determina si el paquete coincide con alguna de las reglas NAT que se han
definido, basándose en la zona de origen o destino. A continuación, evalúa y aplica las políticas de seguridad
que coincidan con el paquete basándose en las direcciones de origen y destino originales (anteriores a NAT),
pero en las zonas posteriores a NAT. Por último, en la salida cuando una de las reglas NAT coincide, el
cortafuegos traduce las direcciones y números de puerto de origen y de destino.
Tenga en cuenta que la traducción de la dirección IP y el puerto no se produce hasta que el paquete sale del
cortafuegos. Las reglas y políticas de seguridad NAT se aplican a la dirección IP original (la dirección anterior
a NAT). Una regla NAT se configura en función de la zona asociada con una dirección IP anterior a NAT.
Las políticas de seguridad difieren de las reglas NAT en que examinan las zonas anteriores a NAT para
determinar si se permite o no el paquete. Como la naturaleza de NAT es modificar las direcciones IP de
origen o destino, lo que puede provocar que se modifique la zona y la interfaz saliente del paquete, las
políticas de seguridad se aplican en la zona posterior a NAT.
Una llamada SIP en ocasiones experimenta un audio unidireccional cuando atraviesa

el cortafuegos, debido a que el administrador de llamadas envía un mensaje de SIP en
reemplazo del teléfono para establecer la conexión. Cuando el mensaje del administrador
de llamadas llega al cortafuegos, el SIP ALG debe colocar la dirección IP del teléfono a
través de NAT. Si el administrador de llamadas y los teléfonos no están en la misma zona
de seguridad, la búsqueda de NAT de la dirección IP del teléfono se realiza usando la zona
del administrador de llamadas. La política de NAT debe tener esto en cuenta.
Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo
de las reglas NAT definidas posteriormente en la política NAT. Para definir una política no NAT, especifique
todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen.
Puede verificar las reglas de NAT procesadas mediante el uso del comando CLI test nat-policy-match
en modo operativo. Por ejemplo:
user@device1> test nat-policy-match

?
+ destination Destination IP address
+ destination-port Destination port
+ from From zone
+ ha-device-id HA Active/Active device ID
+ protocol IP protocol value
+ source Source IP address
+ source-port Source port
+ to To Zone
+ to-interface Egress interface to use
| Pipe through a command
<Enter> Finish input
user@device1> test nat-policy-match from l3-untrust source
10.1.1.1 destination 66.151.149.20 destination-port 443 protocol
6
Destination-NAT: Rule matched: CA2-DEMO
66.151.149.20:443 => 192.168.100.15:443
Grupos de direcciones NAT identificados como objetos de direcciones

Al configurar un grupo de direcciones NAT de Dynamic IP (IP dinámica) o Dynamic IP and Port (IP y puerto
dinámicos) en una regla de políticas NAT, lo habitual es configurar el grupo de direcciones traducidas
con un objeto de dirección. Cada objeto de dirección puede ser una dirección IP de host, un intervalo de
direcciones IP o una subred de IP.

Debido a que tanto las reglas NAT como las reglas de política de seguridad usan objetos de
dirección, lo mejor es distinguirlas nombrando al objeto de dirección que se usa para NAT
con un prefijo, como por ejemplo “nombre NAT”.
ARP proxy para grupos de direcciones NAT

Los grupos de direcciones NAT no están vinculados a ninguna interfaz. La figura siguiente ilustra el
comportamiento del cortafuegos cuando realiza ARP proxy para una dirección en un grupo de direcciones
NAT.
El cortafuegos realiza NAT de origen para un cliente, traduciendo la dirección de origen 1.1.1.1 a la
dirección en el grupo NAT, 2.2.2.2. El paquete traducido se envía a un enrutador.
Para el tráfico de retorno, el enrutador no sabe cómo llegar a 2.2.2.2 (porque la dirección IP 2.2.2.2 solo
es una dirección en el grupo de direcciones NAT), de modo que envía un paquete de solicitud de ARP al
cortafuegos.
• Si el grupo de direcciones (2.2.2.2) está en la misma subred como la dirección IP de interfaz de entrada/
salida (2.2.2.3/24), el cortafuegos puede enviar una respuesta de ARP proxy al enrutador, que indica la
dirección MAC de capa 2 de la dirección IP, como muestra la figura anterior.
• Si el grupo de direcciones (2.2.2.2) no es una subred de una interfaz en el cortafuegos, el cortafuegos no
enviará una respuesta ARP proxy al enrutador. Esto significa que el enrutador debe estar configurado
con la ruta necesaria para saber a dónde enviar los paquetes destinados a 2.2.2.2, con el fin de garantizar
que el tráfico de retorno se enruta de vuelta al cortafuegos, como se muestra en la figura siguiente.
NAT de origen y destino

El cortafuegos admite tanto la traducción de puerto y/o dirección de origen como la traducción de puerto y/
o dirección de destino.
• NAT de origen on page 895
• NAT de destino on page 896
NAT de origen
Los usuarios internos suelen usar el NAT de origen para acceder a Internet; la dirección de origen de
traduce y se mantienen en privado. Hay tres tipos de NAT de origen:
• IP y puerto dinámico (DIPP): Permite que múltiples hosts traduzcan sus direcciones IP de origen a la
misma dirección IP pública con distintos números de puerto. La traducción dinámica es a la siguiente
dirección disponible en el grupo de direcciones NAT, que configura como un grupo de Dirección
traducida para dirección IP, intervalo de direcciones, subred o combinación de todas.

Como alternativa al uso de la siguiente dirección en el grupo de direcciones NAT, el DIPP le permite
especificar la dirección de la propia interfaz. La ventaja de especificar la interfaz de la regla NAT es que
la regla NAT se actualizará automáticamente para utilizar cualquier dirección que adquiera la interfaz
a continuación. DIPP también se conoce como NAT basada en interfaz o traducción de puertos de
direcciones de red (NAPT).
DIPP tiene una ratio predeterminada de sobresuscripción NAT, es decir, el número de ocasiones en
las que el mismo par de dirección IP y puerto traducido se pueden usar de forma simultánea. Para
obtener más información, consulte Sobresuscripción de NAT de IP dinámica y puerto on page 898 y
Modificación de la ratio de sobresuscripción para NAT DIPP on page 904.
• IP dinámica: Permite una traducción dinámica 1 a 1 de una dirección IP de origen únicamente (sin
número de puerto) a la siguiente traducción disponible en el grupo de direcciones NAT. El tamaño
del grupo de NAT debe ser igual al número de hosts internos que requieren traducciones de red. Por
defecto, si el grupo de direcciones de origen es mayor que el de direcciones NAT y en un momento dado
se asignan todas las direcciones NAT, se descartan las nuevas conexiones que necesiten una traducción
de la dirección. Para anular este comportamiento por defecto, use Advanced (Dynamic IP/Port Fallback)
(Avanzado [IP dinámico/reserva de puerto) para habilitar el uso de direcciones DIPP cuando sea
necesario. En cualquiera de los dos casos, a medida que las sesiones terminan y las direcciones en el
grupo están disponibles, pueden asignarse para traducir nuevas conexiones.
NAT de IP dinámica admite la opción de realizar una Reserva de direcciones NAT de IP dinámicas on
page 905.
• IP estática: Permite la traducción estática 1 a 1 de una dirección IP de origen, pero deja el puerto de
origen sin modificar. Una situación común en la que se traduce una IP estática es un servidor interno que
debe estar disponible en Internet.
NAT de destino
El NAT de destino se realiza en los paquetes entrantes, cuando el cortafuegos traduce una dirección de
destino pública a una privada. El NAT de destino también ofrece la opción para realizar reenvío o traducción
de puertos.
El NAT de destino es una traducción estática de uno a uno que se puede configurar en varios formatos.
Puede especificar que el paquete original tenga una dirección IP de destino única, un rango de direcciones
IP o una lista de direcciones IP únicas, siempre que el paquete traducido especifique la misma cantidad
de posibles direcciones IP (una dirección IP única, o una dirección IP y una longitud de prefijo que cubra
la misma cantidad de direcciones IP que el paquete original). El cortafuegos traduce estáticamente una
dirección de destino original a la misma dirección de destino traducida cada vez. Es decir, si hay más de una
dirección de destino, el cortafuegos traduce la primera dirección de destino configurada para el paquete
original a la primera dirección de destino configurada para el paquete traducido, y traduce la segunda
dirección de destino original configurada a la segunda dirección de destino traducida configurada, y así
sucesivamente, y siempre utiliza la misma traducción.
Por ejemplo, el cortafuegos permite las siguientes traducciones de NAT de destino:
Dirección de destino Se asigna a Notas

del paquete original la dirección
de destino
del paquete
traducido
192.168.1.1 2.2.2.2 El paquete original y el paquete traducido tienen una dirección

de destino posible.

Dirección de destino Se asigna a Notas
del paquete original la dirección
de destino
del paquete
traducido
192.168.1.1-192.168.1.4
2.2.2.0/30 El paquete original y el paquete traducido tienen cuatro
direcciones de destino posibles:
192.168.1.1 siempre se asigna a 2.2.2.0
192.168.1.7 2.2.2.0/30 El paquete original y el paquete traducido tienen cuatro

192.168.1.4
192.168.1.253
192.168.1.1
192.168.1.1/30 2.2.2.0/30 El paquete original y el paquete traducido tienen cuatro

Un uso común del NAT de destino es configurar varias reglas NAT que asignen una dirección de destino
pública única a varias direcciones de host de destino privadas a servidores o servicios. En este caso, los
números de puerto de destino se usan para identificar a los hosts de destino. Por ejemplo:
• Reenvío de puertos: Puede traducir una dirección de destino pública y un número de puerto a una
dirección de destino privada, pero mantener el mismo número de puerto.
• Traducción de puertos: Puede traducir una dirección de destino pública y un número de puerto a una
dirección de destino privada y un número de puerto distinto, con lo que el número de puerto real es
privado. Se configura introduciendo un puerto traducido en la pestaña Translated Packet (Paquete
traducido) de la regla de política de NAT. Consulte NAT de destino con ejemplo de traducción de puerto.
Capacidades de regla NAT

La cantidad de reglas NAT permitidas se basan en el modelo del cortafuegos. Los límites de reglas
individuales se definen para la NAT de IP dinámica (DIP) e IP dinámica y puerto (DIPP). La suma del número
de reglas usadas para estos tipos de NAT no puede superar la capacidad total de reglas NAT. Para DIPP,
el límite de reglas se basa en el ajuste de sobresuscripción (8, 4, 2 o 1) del cortafuegos y la suposición de
una dirección IP traducida por regla. Para ver los límites de las reglas NAT y los límites de direcciones IP
traducidas específicos de cada modelo, utilice la herramienta de Comparación de cortafuegos.
Considere lo siguiente cuando trabaje con reglas NAT:

• Si se queda sin recursos de grupo, no podrá crear más reglas NAT, aunque no se haya alcanzado el
recuento máximo de reglas del modelo.
• Si consolida las reglas NAT, el logging e informes se consolidarán también. Las estadísticas se
proporcionan por regla, no para todas las direcciones de la regla. Si necesita logging e informes
granulares, no combine las reglas.
Sobresuscripción de NAT de IP dinámica y puerto

El NAT de IP dinámica y puerto (DIPP) le permite usar cada par de dirección IP y puerto traducidos varias
veces (8, 4 o 2 veces) en sesiones simultáneas. Esta capacidad de reutilización de una dirección IP y puerto
(conocida como sobresuscripción) ofrece escalabilidad a los clientes que tengan muy pocas direcciones
IP públicas. El diseño se basa en el supuesto de que los hosts se conectan a distintos destinos, por lo que
las sesiones pueden identificarse de forma única, con pocas posibilidades de colisiones. En efecto, la ratio
de sobresuscripción multiplica el tamaño original del grupo de direcciones/puertos por 8, por 4 o por 2.
Por ejemplo, el límite predeterminado de 64 000 sesiones simultáneas, si se multiplica por una ratio de
sobresuscripción de 8, da lugar a 512 000 sesiones simultáneas.
Las tasas de sobresuscripción permitidas varían según el modelo. La tasa de sobresuscripción es global y
se aplica al cortafuegos. Esta ratio de sobresuscripción se define por defecto y consume memoria, aunque
tenga disponibles suficientes direcciones IP públicas para que la sobresuscripción sea innecesaria. Puede
reducir la ratio del ajuste predeterminado a uno inferior, o incluso a 1 (que significa sin sobresuscripción). Al
configurar una ratio reducida, está reduciendo el número de traducciones de dispositivo de origen posibles,
pero aumentando la capacidad de reglas NAT DIP y DIPP. Para cambiar la ratio predeterminada, consulte
Modificación de la ratio de sobresuscripción para NAT DIPP on page 904.
Si selecciona Platform Default (Valor predeterminado de plataforma), se desactivará su configuración
explícita de sobresuscripción y se aplicará el valor predeterminado para el modelo, tal y como se muestra en
la siguiente tabla. El ajuste Platform Default (Valor predeterminado de plataforma) le permite actualizar la
licencia de software o cambiar a una menor.
La siguiente tabla muestra la tasa predeterminada (más alta) de sobresuscripción para cada modelo.
Modelo Ratio de sobresuscripción

predeterminada
PA-200 2
PA-220 2
PA-500 2
PA-820 2
PA-850 2
PA-3020 2
PA-3050 2
PA-3060 2
PA-5020 4
PA-5050 8

Modelo Ratio de sobresuscripción
predeterminada
PA-5060 8
PA-5220 4
PA-5250 8
PA-5260 8
PA-7050 8
PA-7080 8
VM-50 2
VM-100 1
VM-200 1
VM-300 2
VM-500 8
VM-700 8
VM-1000-HV 2
El cortafuegos admite un máximo de 256 direcciones IP traducidas por regla NAT y cada modelo admite una
cantidad máxima de direcciones IP traducidas (para todas las reglas NAT combinadas). Si la sobresuscripción
provoca que se supere el máximo de direcciones traducidas por regla (256), el cortafuegos reducirá
automáticamente la tasa de sobresuscripción en un intento de que funcione la compilación. Sin embargo, si
sus reglas NAT generan traducciones que superan el máximo de direcciones traducidas para el modelo, la
confirmación fallará.
Estadísticas de memoria NAT de plano de datos

El comando show running global-ippool muestra estadísticas relacionadas con el consumo de
memoria NAT de un grupo. La columna Tamaño muestra el número de bytes de memoria que está usando el
grupo de recursos. La columna Tasa muestra la tasa de sobresuscripción (solo para grupos DIPP). Las líneas
de grupos y estadísticas de memoria se explican en los siguientes resultados de muestras:

Para las estadísticas de grupo NAT de un sistema virtual, el comando show running ippool tiene
comandos que indican el tamaño de memoria usado por la regla NAT y la tasa de sobresuscripción usada
(para reglas DIPP). La siguiente es una muestra de resultados del comando.
Un campo del resultado del comando show running nat-rule-ippool rule muestra la memoria
(bytes) usada por regla NAT. El siguiente es una ejemplo de resultados del comando con el uso de memoria
de la regla rodeado.
Configuración de NAT
Realice las siguientes tareas para configurar varios aspectos del NAT. Además de los ejemplos siguientes,
hay otros en la sección Ejemplos de configuración de NAT.
• Traducción de direcciones IP de clientes internos a su dirección IP pública (NAT DIPP de origen)
• Habilitación de clientes de la red interna para acceder a sus servidores públicos (NAT de ida y vuelta de
destino)
• Habilitación de la traducción de direcciones bidireccional para sus servidores públicos (NAT de origen
estática)
• Modificación de la ratio de sobresuscripción para NAT DIPP
• Deshabilitación de NAT para un host o interfaz específico
• Reserva de direcciones NAT de IP dinámicas
Los ejemplos de NAT en esta sección se basan en la siguiente topología:
En función de esta topología, se deben crear tres políticas de NAT de la siguiente manera:

• Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones
192.168.1.0 internas deberán traducirse a direcciones enrutables públicamente. En este caso,
configuraremos NAT de origen (el cuadro y la fecha púrpuras en la imagen anterior) utilizando la
dirección de interfaz de salida, 203.0.113.100, como la dirección de origen en todos los paquetes que
salgan del cortafuegos desde la zona interna. Consulte Traducción de direcciones IP de clientes internos
a su dirección IP pública (NAT DIPP de origen) para obtener las instrucciones.
• Para permitir que los clientes de la red interna accedan al servidor web público en la zona DMZ,
debemos configurar una regla NAT que redirija el paquete desde la red externa, donde la búsqueda
de tabla de enrutamiento original determinará que debe ir, basándose en la dirección de destino de
203.0.113.11 dentro del paquete, a la dirección real del servidor web de la red DMZ de 10.1.1.11. Para
ello, deberá crear una regla NAT desde la zona fiable (donde se encuentra la dirección de origen del
paquete) hasta la zona no fiable (donde se encuentra la dirección de destino) para traducir la dirección de
destino a una dirección de la zona DMZ. Este tipo de NAT de destino se denomina NAT de ida y vuelta
(el cuadro y la flecha amarillos en la imagen anterior). Consulte Habilitación de clientes de la red interna
para acceder a sus servidores públicos (NAT de ida y vuelta de destino) para obtener las instrucciones.
• Para permitir que el servidor web (que tiene tanto una dirección IP privada en la red DMZ como una
dirección pública para que accedan usuarios externos) envíe y reciba solicitudes, el firewall debe traducir
los paquetes entrantes desde la dirección IP pública hacia la dirección IP privada y los paquetes salientes
desde la dirección IP privada hacia la dirección IP pública. En el cortafuegos, puede lograr esto con una
única política NAT de origen estática bidireccional (el cuadro y la flecha verdes de la imagen anterior).
Consulte Habilitación de la traducción de direcciones bidireccional para sus servidores públicos (NAT de
origen estática).
Traducción de direcciones IP de clientes internos a su dirección IP pública

(NAT DIPP de origen)
Cuando un cliente de su red interna envía una solicitud, la dirección de origen del paquete contiene la
dirección IP del cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del
cliente no se podrán enrutar en Internet a menos que traduzca la dirección IP de origen de los paquetes que
salen de la red a una dirección enrutable públicamente.
En el cortafuegos, puede realizar esta acción configurando una política NAT de origen que traduzca la
dirección de origen (y opcionalmente el puerto) a una dirección pública. Un modo de hacerlo es traducir la

dirección de origen de todos los paquetes a la interfaz de salida de su cortafuegos, como se muestra en el
procedimiento siguiente.
STEP 1 | Cree un objeto de dirección para la dirección IP externa que tenga la intención de utilizar.
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y Add (Añadir) para añadir un nombre en
Name (Nombre) y una descripción opcional en Description (Descripción) para el objeto.
2. Seleccione IP Netmask (Máscara de red IP) en el menú desplegable Type (Tipo) y, a continuación,
introduzca la dirección IP de la interfaz externa en el cortafuegos, 203.0.113.100 en este ejemplo.
Aunque no tiene que utilizar objetos de dirección en sus políticas, es una práctica
recomendada porque simplifica la administración al permitirle realizar actualizaciones
en un lugar en vez de tener que actualizar cada política donde se hace referencia a la
dirección.
STEP 2 | Cree la política NAT.

2. En la pestaña General, introduzca un Name (Nombre) para la política.
3. (Opcional) Introduzca una etiqueta, que es una palabra clave o frase que le permite ordenar o filtrar
políticas.
5. En la pestaña Original Packet (Paquete original), seleccione la zona que creó para su red interna en la
sección Source Zone (Zona de origen) (haga clic en Añadir [Add] y, a continuación, seleccione la zona)
y la zona que creó para la red externa en el menú desplegable Destination Zone (Zona de destino).
6. En la pestaña Translated Packet (Paquete traducido), seleccione Dynamic IP And Port (IP y puerto
dinámicos) en el menú desplegable Translation Type (Tipo de traducción) en la sección Source
Address Translation (Traducción de la dirección de origen) de la pantalla.
7. Para Address Type (Tipo de dirección), hay dos opciones. Puede seleccionar Translated Address
(Dirección traducida) y luego hacer clic en Add (Añadir). Seleccione el objeto de dirección que acaba
de crear.
Un Address Type (Tipo de dirección) alternativo es una Interface Address (Dirección de interfaz)
en la que la dirección traducida será la dirección IP de la interfaz. Para esta opción, debe seleccionar
Interface (Interfaz) y opcionalmente una IP Address (Dirección IP) si la interfaz tiene más de una
dirección IP.

STEP 4 | (Opcional) Acceda a la CLI para verificar la traducción.

1. Use el comando show session all para ver la tabla de sesión, donde puede comprobar el puerto
y la dirección IP y el puerto y dirección IP traducidos correspondientes.
2. Use show session id <id_number> para ver más detalles acerca de una sesión.
3. Si ha configurado una NAT de IP dinámica, use el comando show counter global filter
aspect session severity drop | match nat para ver si falló alguna sesión debido a la
asignación IP NAT. Si todas las direcciones en el grupo NAT de IP dinámica están asignadas cuando
debería traducirse una conexión, el paquete será descartado.

Habilitación de clientes de la red interna para acceder a sus servidores
públicos (NAT de ida y vuelta de destino)
Cuando un usuario de la red interna envíe una solicitud para acceder al servidor web corporativo en DMZ,
el servidor DNS se resolverá en la dirección IP pública. Al procesar la solicitud, el firewall utilizará el destino
original del paquete (la dirección IP pública) y enrutará el paquete a la interfaz de salida para la zona no
fiable. Para que el firewall sepa que debe traducir la dirección IP pública del servidor web a una dirección de
la red DMZ cuando reciba solicitudes de usuarios en la zona fiable, deberá crear una regla NAT de destino
que permita al firewall enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
STEP 1 | Cree un objeto de dirección para el servidor web.

2. Seleccione IP Netmask (Máscara de red IP) en el menú desplegable Type (Tipo) y, a continuación,
introduzca la dirección IP pública del servidor web, 203.0.113.11 en este ejemplo.

2. En la pestaña General, introduzca un Name (Nombre) para la regla NAT.
sección Source Zone (Zona de origen) (haga clic en Add [Añadir] y, a continuación, seleccione la zona)
4. En la sección Destination Address (Dirección de destino), haga clic en Add (Añadir) y seleccione el
objeto de dirección que creó para su servidor web público.
5. En la pestaña Translated Packet (Paquete traducido), seleccione Destination Address Translation
(Traducción de la dirección de destino) e introduzca la dirección IP asignada a la interfaz del servidor
web de la red DMZ, 10.1.1.11 en este ejemplo.

Habilitación de la traducción de direcciones bidireccional para sus

servidores públicos (NAT de origen estática)
Cuando sus servidores públicos tengan direcciones IP privadas asignadas en el segmento de red en el que
se encuentran físicamente, necesitará una regla NAT de origen para traducir la dirección de origen del
servidor a la dirección externa en el momento de la salida. Puede crear una regla NAT estática para traducir
la dirección de origen interna, 10.1.1.11, a la dirección del servidor web externa, 203.0.113.11 en nuestro
ejemplo.
Sin embargo, un servidor orientado al público debe ser capaz de enviar y recibir paquetes. Necesita una
política recíproca que traduzca la dirección pública (la dirección IP de destino en paquetes entrantes de
usuarios de Internet) a la dirección privada para permitir que el cortafuegos enrute el paquete a su red DMZ.
Puede realizar una regla NAT estática bidireccional como se describe en el procedimiento siguiente. La
traducción bidireccional es una opción solo para NAT estática.
STEP 1 | Cree un objeto de dirección para la dirección IP interna del servidor web.

2. Seleccione IP Netmask (Máscara de red IP) en el menú desplegable Tipo (Type) y, a continuación,
introduzca la dirección IP del servidor web de la red DMZ, 10.1.1.11 en este ejemplo.
Si todavía no ha creado un objeto de dirección para la dirección pública de su servidor

web, también debería crear ese objeto ahora.

2. En la pestaña General, introduzca un Name (Nombre) para la regla NAT.
3. En la pestaña Original Packet (Paquete original), seleccione la zona que creó para su DMZ en la
4. En la sección Source Address (Dirección de origen), haga clic en Add (Añadir) y seleccione el objeto
de dirección que creó para su dirección de servidor web interno.
5. En la pestaña Translated Packet (Paquete traducido), seleccione Static IP (IP estática) en el menú
desplegable Translation Type (Tipo de traducción) de la sección Source Address Translation
(Traducción de dirección de origen) y, a continuación, seleccione el objeto de dirección que creó
para su dirección de servidor web externo en el menú desplegable Translated Address (Dirección
traducida).
6. En el campo Bi-directional (Bidireccional), seleccione Yes (Sí).

Modificación de la ratio de sobresuscripción para NAT DIPP

Si tiene suficientes direcciones IP públicas y no necesita usar una sobresuscripción de NAT DIPP, puede
reducir la ratio de sobresuscripción, consiguiendo así que se permitan más reglas NAT de DIP y DIPP.
STEP 1 | Consulte la ratio de sobresuscripción NAT DIPP.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) > Session Settings
(Configuración de sesión). Consulte el ajuste Ratio de sobresuscripción NAT.
STEP 2 | Defina la ratio de sobresuscripción NAT DIPP.

1. Modifique la sección Session Settings.
2. En la lista desplegable Ratio de sobresuscripción NAT, seleccione 1x, 2x, 4x o 8x, en función de la
tasa que desee.
La configuración Platform Default (Valor predeterminado de plataforma) se aplica a

la configuración de sobresuscripción predeterminada para el modelo. Si no desea
ninguna sobresuscripción, seleccione 1x.
3. Haga clic en ACEPTAR y seleccione Confirmar el cambio.
Deshabilitación de NAT para un host o interfaz específico

Tanto las reglas NAT de origen como las NAT de destino se pueden configurar para deshabilitar la
traducción de direcciones. Puede haber excepciones en las que no desee que se produzca el NAT para un
host una subred o para el tráfico que sale de una interfaz específica. El siguiente procedimiento muestra
cómo deshabilitar el NAT para un host.

1. Seleccione Policies (Políticas) > NAT y haga clic en Add (Añadir) para añadir un nombre descriptivo
en Name (Nombre) para la política.
3. En Source Address (Dirección de origen), haga clic en Add (Añadir) e introduzca la dirección del host.
Haga clic en OK (Aceptar).
4. En la pestaña Translated Packet (Paquete traducido), seleccione None (Ninguno) en el cuadro
desplegable Translation Type (Tipo de traducción) de la sección Traducción de dirección de origen de
la pantalla.

Las reglas de NAT se procesan en orden descendente; ponga la política de excepción

antes de otras políticas NAT para garantizar que se procesa antes de que se realice una
traducción de dirección de los orígenes que quiere excluir.
Reserva de direcciones NAT de IP dinámicas

Puede reservar direcciones NAT de IP dinámicas (durante un periodo de tiempo que se puede configurar)
para evitar que se asignen como direcciones traducidas a una dirección IP de origen diferente que necesita
traducción. Cuando se configura, la reserva se aplica a todas las direcciones IP dinámicas traducidas en
curso y a cualquier traducción nueva.
Tanto para traducciones en curso como para nuevas, cuando se traduce una dirección IP de origen a una
dirección IP traducida disponible, ese emparejamiento se conserva incluso después de que hayan caducado
todas las sesiones relacionadas con esa IP de origen específica. El temporizador de reservas para cada
dirección IP de origen se inicia una vez que han caducado todas las sesiones que usen esa traducción de
dirección IP de origen. La NAT de IP dinámica es una traducción de uno a uno; una dirección IP de origen
se traduce a una dirección IP traducida que se elige dinámicamente entre aquellas direcciones disponibles
en el grupo configurado. Por tanto, una dirección IP traducida que esté reservada no estará disponible para
ninguna otra dirección IP de origen hasta que caduque la reserva al no haber iniciado una nueva sesión.
El temporizador se reinicia cada vez que se inicia una nueva sesión para una asignación de IP de origen/IP
traducida, tras un periodo sin sesiones activas.
De manera predeterminada, no hay ninguna dirección reservada. Puede reservar direcciones NAT de IP
dinámicas para el cortafuegos o para un sistema virtual.
• Reserve direcciones NAT IP dinámicas para un cortafuegos.

Introduzca los siguientes comandos:
admin@PA-3020# set setting nat reserve-ip yes
admin@PA-3020# set setting nat reserve-time <1-604800 secs>
• Reserve direcciones NAT IP dinámicas para un sistema virtual.

Introduzca los siguientes comandos:

admin@PA-3020# set vsys <vsysid> setting nat reserve-ip yes
admin@PA-3020# set vsys <vsysid> setting nat reserve-time <1-604800 secs>
Por ejemplo, supongamos que hay un grupo NAT de IP dinámicas de 30 direcciones y que hay 20
traducciones en curso cuando nat reserve-time se establece en 28800 segundos (8 horas). Estas
20 traducciones ahora están reservadas, de modo que cuando expire la última sesión (de cualquier
aplicación) que use cada asignación de IP de origen /IP traducida, la dirección IP traducida estará
reservada solo para aquella dirección IP de origen durante 8 horas en caso de que la dirección IP de
origen necesite de nuevo una traducción. Asimismo, dado que las 10 direcciones traducidas restantes
están asignadas, cada una está reservada para su dirección IP de origen, cada una con un temporizador
que se inicia cuando expire la última sesión de esa dirección IP de origen.
De este modo, cada dirección IP de origen puede traducirse repetidas veces a la misma dirección NAT
del grupo; no se asignará la dirección IP traducida reservada del grupo a ningún otro host, incluso aunque
no haya sesiones activas para esa dirección traducida.
Supongamos que han caducado todas las sesiones de una asignación IP de origen/IP traducida y que se
pone en marcha su temporizador de 8 horas. Si se inicia una nueva sesión, el temporizador se detiene y
las sesiones continúan hasta su finalización, momento en el cual el temporizador de reservas se inicia de
nuevo para reservar las direcciones traducidas.
El temporizador de reservas permanece activo en el grupo NAT de IP dinámicas hasta que lo desactive al
introducir el comando set setting nat reserve-ip no o al cambiar el valor de nat reserve-
time por un valor diferente.
Los comandos de la CLI para reservas no afectan a los grupos de IP y puertos dinámicos (DIPP) o NAT de
IP estáticas.
Ejemplos de configuración de NAT

• Ejemplos de NAT de destino: asignación de uno a uno on page 906
• NAT de destino con ejemplo de traducción de puerto on page 907
• Ejemplo de NAT de destino: asignación de uno a uno on page 908
• Ejemplo de NAT de origen y destino on page 909
• Ejemplo de NAT de origen de Virtual Wire on page 910
• Ejemplo de NAT estática de Virtual Wire on page 911
• Ejemplo de NAT de destino de Virtual Wire on page 912
Ejemplos de NAT de destino: asignación de uno a uno

Los errores más frecuentes en la configuración de NAT y de reglas de seguridad se cometen en las
referencias a los objetos de direcciones y zonas. Las direcciones usadas en las reglas NAT de destino se
refieren siempre a la dirección IP original del paquete (es decir, la dirección pretraducida). La zona de
destino de la regla NAT se determina después de la búsqueda de rutas de la dirección IP de destino en el
paquete original (es decir, la dirección IP de destino pre-NAT).
Las direcciones en la política de seguridad también hacen referencia a las direcciones IP del paquete
origina (es decir, la dirección pre-NAT). Sin embargo, la zona de destino es la zona donde está conectado
físicamente el host de destino. Dicho de otro modo, la zona de destino en la regla de seguridad se determina
tras la búsqueda de ruta de la dirección IP de destino post-NAT.
En el siguiente ejemplo de una asignación uno a uno de NAT de destino, los usuarios de la zona denominada
Untrust-L3 acceden al servidor 10.1.1.100 en la zona denominada DMZ usando la dirección IP 1.1.1.100.

Antes de configurar las reglas NAT, tenga en cuenta la secuencia de eventos de esta situación.
El host 1.1.1.250 envía una solicitud de ARP para la dirección 1.1.1.100 (la dirección pública del servidor
de destino).
El cortafuegos recibe el paquete de solicitud de ARP para el destino 1.1.1.100 en la interfaz Ethernet 1/1
y procesa la solicitud. El cortafuegos responde a la solicitud de ARP con su propia dirección MAC debido
a la regla NAT de destino configurada.
Se evalúan las reglas NAT para buscar coincidencias. Para traducir la dirección IP de destino, debe
crearse una regla NAT de destino desde la zona Untrust-L3 a la zona Untrust-L3 para traducir la
dirección IP de destino de 1.1.1.100 a 10.1.1.100.
Tras determinar la dirección traducida, el cortafuegos realiza una búsqueda de ruta para el destino
10.1.1.100 con el fin de determinar la interfaz de salida. En este ejemplo, la interfaz de salida es Ethernet
1/2 en la zona DMZ.
El cortafuegos realiza una búsqueda de políticas de seguridad para comprobar si se permite el tráfico
desde la zona Untrust-L3 a DMZ.
La dirección de la política coincide con la zona de entrada y la zona donde está ubicado
físicamente el servidor.
La política de seguridad hace referencia a la dirección IP en el paquete original, que tiene

una dirección de destino de 1.1.1.100.
El cortafuegos reenvía el paquete al servidor que está fuera de la interfaz de salida Ethernet1/2. La
dirección de destino se cambia a 10.1.1.100 cuando el paquete abandona el cortafuegos.
Para este ejemplo, los objetos de dirección están configurados para servidor web-privado (10.1.1.100) y
servidor web-público (1.1.1.100). La regla NAT configurada sería como esta:
La dirección de las reglas NAT se basa en el resultado de la búsqueda de ruta.

La política de seguridad configurada para ofrecer acceso al servidor desde la zona Untrust-L3 sería parecida
a esta:
NAT de destino con ejemplo de traducción de puerto

En este ejemplo, el servidor web está configurado para escuchar el tráfico HTTP en el puerto 8080. Los
clientes acceden al servidor web usando la dirección IP 1.1.1.100 y el puerto TCP 80. La regla NAT de

destino está configurada para traducir tanto la dirección IP como el puerto a 10.1.1.100 y el puerto TCP
8080. Los objetos de dirección están configurados para servidor web-privado (10.1.1.100) y servidor web-
público (1.1.1.100).
Deben configurarse en el cortafuegos las siguientes reglas de seguridad y NAT:
Use el comando de la CLI show session all para verificar la traducción.
Ejemplo de NAT de destino: asignación de uno a uno

En este ejemplo, la dirección IP se asigna a dos hosts internos distintos. El cortafuegos usa la aplicación para
identificar el host interno al que el cortafuegos reenvía el tráfico.
Todo el tráfico HTTP se envía al host 10.1.1.100 y el tráfico SSH se envía al servidor 10.1.1.101. Se
requieren los siguientes tipos de perfil:
• Objeto de dirección para una dirección IP pretraducida del servidor
• Objeto de dirección para la dirección IP real del servidor SSH
• Objeto de dirección para la dirección IP real del servidor web
Se crean los objetos de dirección correspondientes:
• Servidores-públicos: 1.1.1.100
• Servidor-SSH: 10.1.1.101

• Servidor web-privado: 10.1.1.100
Las reglas NAT configuradas serían parecidas a esta:
Las reglas de seguridad serían parecidas a esta:
Ejemplo de NAT de origen y destino

En este ejemplo, las reglas NAT traducen la dirección IP tanto de origen como de destino de paquetes entre
los clientes y el servidor.
• NAT de origen: las direcciones de origen en los paquetes de los clientes en la zona Trust-L3 hacia el
servidor en la zona Untrust-L3 se traducen desde las direcciones privadas de la red 192.168.1.0/24 a
la dirección IP de la interfaz de salida en el cortafuegos (10.16.1.103). La traducción de puertos e IP
dinámicas hace que los números de puerto también se traduzcan.
• NAT de destino: Las direcciones de destino en los paquetes procedentes de los clientes y dirigidos al
servidor se traducen desde la dirección pública del servidor (80.80.80.80) a la dirección privada del
servidor (10.2.133.15).
Se crean los siguientes objetos de dirección para la NAT de destino.

• Server-Pre-NAT: 80.80.80.80
• Server-post-NAT: 10.2.133.15
Las capturas de pantalla siguientes ilustran el modo de configurar las políticas NAT de origen y destino del
ejemplo.

Para verificar las traducciones, use el comando de la CLI show session all filter destination
80.80.80.80. Una dirección de cliente 192.168.1.11 y su número de puerto se ha traducido a
10.16.1.103 y un número de puerto. La dirección de destino 80.80.80.80 se ha traducido a 10.2.133.15.
Ejemplo de NAT de origen de Virtual Wire

La implementación de Virtual Wire de un cortafuegos Palo Alto Networks cuenta con la ventaja de ofrecer
seguridad de forma transparente a los dispositivos de destino. Se puede configurar NAT para interfaces
configuradas en un Virtual Wire. Están permitidos todos los tipos de NAT: NAT de origen (IP dinámica, IP y
puerto dinámicos, estática) y NAT de destino.
Dado que las interfaces en un Virtual Wire no tienen una dirección IP asignada, no es posible traducir una
dirección IP a una dirección IP de interfaz. Debe configurar un grupo de direcciones IP.
Si ejecuta NAT en interfaces de cable virtual, es recomendable que traduzca las direcciones de origen a
una subred diferente de la subred con la que se comunican los dispositivos vecinos. El cortafuegos no
utilizará ARP proxy para direcciones NAT. Debe configurarse un enrutamiento correcto en los enrutadores
anteriores y posteriores para que los paquetes se traduzcan en el modo Virtual Wire. Los dispositivos
vecinos solamente podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del
dispositivo en el otro extremo del cable virtual. Consulte ARP proxy para grupos de direcciones NAT para
acceder a más explicaciones sobre el ARP proxy.
En los ejemplos de NAT de origen y NAT estática siguientes, las políticas de seguridad (no se muestran)
están configuradas desde la zona de Virtual Wire denominada vw-trust hasta la zona denominada vw-
untrust.
En el topología siguiente, hay dos enrutadores configurados para ofrecer conectividad entre las subredes
1.1.1.0/24 y 3.1.1.0/24. El enlace entre los enrutadores está configurado en la subred 2.1.1.0/30. El
enrutamiento estático está configurado en ambos enrutadores para establecer conexión entre las redes.
Antes de implementar el cortafuegos en el entorno, la topología y la tabla de enrutamiento para cada
enrutador son similares a esta:
Ruta en R1:
IP Destino siguiente salto
3.1.1.0/24 2.1.1.2
Ruta en R2:

1.1.1.0/24 2.1.1.1
Ahora el cortafuegos está implementado en modo Virtual Wire entre los dos dispositivos de Capa 3. Todas
las comunicaciones de clientes en la red 1.1.1.0/24 que acceden a servidores en la red 3.1.1.0/24 se
traducen a una dirección IP en el intervalo 2.1.1.9-2.1.1.14. Se configura en el cortafuegos un grupo de
direcciones IP de NAT con el intervalo 2.1.1.9-2.1.1.14.
Todas las conexiones de los clientes en la subred 1.1.1.0/24 llegarán al enrutador R2 con una dirección
de origen traducida en el intervalo 2.1.1.9-2.1.1.14. La respuesta de los servidores se dirigirá a esas
direcciones. Para que la NAT de origen funcione, debe configurar el enrutamiento adecuado en el enrutador
R2, de modo que los paquetes dirigidos a otras direcciones no sean descartados. La siguiente tabla de
enrutamiento muestra la tabla de enrutamiento modificada en el enrutador R2. La ruta garantiza que el
tráfico a los destinos 2.1.1.9-2.1.1.14 (es decir, hosts en la subred 2.1.1.8/29) serán enviados de vuelta al
enrutador R1 a través del cortafuegos.
Ruta en R2:
2.1.1.8/29 2.1.1.1
Ejemplo de NAT estática de Virtual Wire

En este ejemplo, las políticas de seguridad están configuradas desde la zona Virtual Wire denominada Trust
hasta la zona de Virtual Wire denominada Untrust. El host 1.1.1.100 se traduce estáticamente a la dirección
2.1.1.100. Con la opción Bi-directional (Bidireccional) habilitada, el cortafuegos genera una política NAT
desde la zona Untrust hasta la zona Trust. Los clientes en la zona Untrust acceden al servidor usando la
dirección IP 2.1.1.100, que el cortafuegos traduce a 1.1.1.100. Cualquier conexión iniciada por el servidor
en 1.1.1.100 se traduce a la dirección IP de origen 2.1.1.100.
Ruta en R2:
2.1.1.100/32 2.1.1.1

Ejemplo de NAT de destino de Virtual Wire
Los clientes de la zona Untrust acceden al servidor usando la dirección IP 2.1.1.100, que el cortafuegos
traduce a 1.1.1.100. Tanto la NAT como las políticas de seguridad deben estar configuradas desde la zona
Untrust hacia la zona Trust.
Ruta en R2:
2.1.1.100/32 2.1.1.1

NPTv6
La traducción de prefijos de red IPv6 a IPv6 (NPTv6) realiza una traducción estática y sin estado de
un prefijo IPv6 a otro prefijo IPv6 (los números de puerto no cambian). NPTv6 ofrece cuatro ventajas
principales:
• Puede impedir problemas de enrutamiento asimétrico que hacen que las direcciones que no dependen
del proveedor se anuncien a varios centros de datos.
• NPTv6 permite anunciar rutas más específicas, de modo que el tráfico de retorno llegue al mismo
cortafuegos que lo transmitió.
• Las direcciones privadas y públicas son independientes; puede cambiar una sin que las otras se vean
afectadas.
• Tiene la habilidad de traducir Direcciones locales exclusivas on page 914 a direcciones enrutables
globalmente.
Este tema se basa en conocimientos básicos de NAT. Debe estar familiarizado con los conceptos de NAT on
page 893 antes de configurar NPTv6.
• Descripción general de NPTv6 on page 913
• Funcionamiento de NPTv6 on page 914
• Proxy NDP on page 916
• Ejemplo de NPTv6 y Proxy NDP on page 917
• Creación de una política NPTv6 on page 918
Descripción general de NPTv6

Esta sección describe la traducción de prefijos de red IPv6 a IPv6 (NPTv6) y el modo de configurarla. NPTv6
se define en RFC 6296. Palo Alto Networks no implementa la funcionalidad completa definida en la RFC,
pero la funcionalidad que ha implementado cumple la RFC.
NPTv6 realiza una traducción sin estado de un prefijo IPv6 a otro prefijo IPv6. No tiene estado, lo que
implica que no guarda un registro de los puertos o sesiones de las direcciones traducidas. NPTv6 se
diferencia de NAT66, que sí tiene estado. Palo Alto Networks admite la traducción de prefijos NPTv6 RFC
6296; no admite NAT66.
Con la limitación de direcciones en el espacio IPv4, la NAT on page 893 se veía obligada a traducir
direcciones IPv4 privadas no enrutables a una o más direcciones IPv4 enrutables a nivel global.
Las organizaciones que usan el direccionamiento IPv6 no necesitan traducir las direcciones IPv6 a
direcciones IPv6 gracias a la abundancia de direcciones IPv6. Sin embargo, hay algunas Razones para usar
NPTv6 on page 914 con el fin de traducir prefijos de IPv6 en el cortafuegos.
NPTv6 traduce la parte del prefijo de una dirección IPv6 pero no la parte del host ni los números de puerto
de la aplicación. La parte del host simplemente se copia, por lo que permanece igual en ambos lados del
cortafuegos. La parte de host también permanece visible del encabezado del paquete.
• NPTv6 no aporta seguridad on page 913
• Compatibilidad del modelo con NPTv6 on page 914
• Direcciones locales exclusivas on page 914
• Razones para usar NPTv6 on page 914
NPTv6 no aporta seguridad

Es importante comprender que NPTv6 no aporta seguridad. En general, la traducción de direcciones de red
sin estado no aporta seguridad; solo aporta una función de traducción de direcciones. NPTv6 no oculta ni

traduce números de puerto. Debe configurar las políticas de seguridad del cortafuegos correctamente en
cada dirección para garantizar que el tráfico se controla del modo deseado.
Compatibilidad del modelo con NPTv6

NPTv6 es compatible con los siguientes modelos (NPTv6 con búsqueda de hardware, paquetes a través de
la CPU): cortafuegos serie PA-7000, PA-5200, PA-5000, PA-3060 y PA-3050, PA-800 y PA-220. Modelos
compatibles que no pueden hacer que el hardware realice una búsqueda de sesión: cortafuegos serie
PA-3020, PA 500, PA-200 y VM.
Direcciones locales exclusivas

RFC 4193, Direcciones IPv6 de unidifusión locales únicas, define direcciones locales únicas (ULA, Unique
Local Address), que son direcciones IPv6 de unidifusión. Se pueden considerar equivalentes IPv6 de las
direcciones IPv4 privadas identificadas en RFC 1918, Asignación de direcciones para Internet privadas, que
no se pueden enrutar globalmente.
Una ULA es única a nivel internacional, pero no es de esperar que se pueda enrutar globalmente. Su
uso está previsto para comunicaciones locales y para ser enrutable en un área limitada, como un sitio o
entre un número pequeño de sitios. Palo Alto Networks no recomienda asignar ULA, pero un cortafuegos
configurado con NPTv6 traducirá los prefijos que se le envíen, incluidas las ULA.
Razones para usar NPTv6

Aunque no hay escasez de direcciones IPv6 enrutables globalmente, hay varias razones para traducir las
direcciones IPv6. NPTv6:
• Evita el enrutamiento asimétrico: se puede producir enrutamiento asimétrico si varios centros de datos
anuncian en Internet global un espacio de dirección que no depende del proveedor (/48, por ejemplo). Al
usar NPTv6, puede anunciar rutas más específicas desde cortafuegos regionales, y el tráfico de retorno
llegará al mismo cortafuegos en el que se tradujo la dirección IP de origen.
• Proporciona independencia de direcciones: no es necesario que cambie los prefijos IPv6 usados dentro
de su red local tras un cambio de los prefijos globales (realizado, por ejemplo, por el proveedor de
servicios de Internet o como resultado de una fusión de organizaciones). Por el contrario, puede cambiar
las direcciones interiores discrecionalmente sin interrumpir las direcciones usadas para acceder a los
servicios en la red privada desde Internet. En cada caso, debe actualizar una regla NAT en lugar de
reasignar las direcciones de red.
• Traduce ULA para enrutamiento: tiene Direcciones locales exclusivas on page 914 asignadas dentro
de su red privada, y puede hacer que el cortafuegos las traduzca a direcciones enrutables globalmente.
Por lo tanto, puede disfrutar tanto de direccionamiento privado como de direcciones traducidas
enrutables.
• Reduce la exposición a prefijos IPv6: los prefijos IPv6 están menos expuestos que si no traduce los
prefijos de red; sin embargo, NPTv6 no es una medida de seguridad. La parte del identificador de interfaz
de cada dirección IPv6 no se traduce; permanece igual en cada lado del cortafuegos, y visible para
cualquiera que pueda ver el encabezado del paquete. Asimismo, los prefijos no son seguros; pueden ser
determinados por otros.
Funcionamiento de NPTv6
Cuando configura una política NPTv6, el cortafuegos de Palo Alto Networks realiza una traducción de IPv6
uno a uno estática en ambas direcciones. La traducción está basada en el algoritmo descrito en RFC 6296.
En un caso de uso, el cortafuegos que realiza NPTv6 se encuentra entre una red interna y una externa
(como Internet) que usa prefijos enrutables globalmente. Cuando los datagramas van en dirección de salida,
el prefijo de origen interno se sustituye por un prefijo externo, lo que se conoce como traducción de origen.

En otro caso de uso, cuando los datagramas van en dirección de entrada, se sustituye el prefijo se sustituye
por el prefijo interno, lo que se conoce como traducción de destino. La siguiente figura ilustra la traducción
de destino y una característica de NPTv6: solo se traduce la parte del prefijo de una dirección IPv6. La parte
del host de la traducción no se traduce y permanece en el mismo lado del cortafuegos. En la siguiente figura,
el identificador del host es 111::55 a ambos lados del cortafuegos.
Es importante comprender que NPTv6 no aporta seguridad. Al planificar sus políticas NAT NPTv6, recuerde
también configurar las políticas de seguridad en cada dirección.
Una regla de políticas NAT o NPTv6 no puede tener las dos direcciones (origen y destino) configuradas en
Cualquiera.
En un entorno en el que quiera traducción de prefijos IPv6, se combinan tres funciones del cortafuegos:
Políticas NAT NPTv6, políticas de seguridad y Proxy NDP.
El cortafuegos no traduce lo siguiente:
• Las direcciones que el cortafuegos tiene en su caché de Detección de vecinos (ND, Neighbor Discovery).
• La subred 0xFFFF (de acuerdo con RFC 6296, Apéndice B).
• Direcciones de multidifusión IP.
• Direcciones IPv6 con una longitud de prefijo de /31 o inferior.
• Direcciones locales de vínculo Si el cortafuegos está funcionando en el modo Virtual Wire, no hay
direcciones IP que traducir, y el cortafuegos no traduce direcciones locales de vínculo.
• Direcciones de sesiones para TCP que autentican peers usando la opción de autenticación TCP (RFC
5925).
Al usar NPTv6, el rendimiento del tráfico de método rápido se ve afectado porque NPTv6 se realiza en el
método lento.
NPTv6 funcionará con IPSec IPv6 solo si el cortafuegos se origina y termina en el túnel. El tráfico de tránsito
IPSec fallaría porque la dirección IPv6 de origen o destino se modificaría. Una técnica NAT transversal que
encapsulara el paquete permitiría a IPSec IPv6 trabajar con NPTv6.
• Asignación neutral de suma de comprobación
• Traducción bidireccional
• NPTv6 aplicada a un servicio específico
Asignación neutral de suma de comprobación

Las traducciones de asignaciones NPTv6 que realiza el cortafuegos son neutrales de suma de comprobación,
lo que significa que “... dan como resultado encabezados IP que generarán la misma suma de comprobación
de pseudoencabezado IPv6 cuando se calcule la suma de comprobación usando el algoritmo de suma
de comprobación de Internet estándar [RFC 1071].” Consulte RFC 6296, Sección 2.6, para obtener más
información acerca de la asignación neutral de suma de comprobación.
Si usa NPTv6 para realizar la NAT de destino, puede ofrecer la dirección de IPv6 interna y de la longitud
de prefijo/prefijo externa de la interfaz del cortafuegos en la sintaxis del comando test nptv6 de la CLI.
La CLI responde con una dirección de IPv6 pública neutral de suma de comprobación que se usa en su
configuración NPTv6 para alcanzar ese destino.

Traducción bidireccional
Con la Creación de una política NPTv6 on page 918, la opción Bi-directional (Bidireccional) en la pestaña
Translated Packet (Paquete traducido) le ofrece una forma cómoda de hacer que el cortafuegos cree
una NAT correspondiente o una traducción de NPTv6 en la dirección contraria a la traducción que ha
configurado. Por defecto, la traducción Bi- directional (Bidireccional) está deshabilitada.
Si habilita la traducción bidireccional, es extremadamente importante asegurarse de tener

establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. Sin
dichas políticas, la función bidireccional permitirá la traducción automática de paquetes en
ambas direcciones, algo que quizás no desee.
NPTv6 aplicada a un servicio específico

La implementación de Palo Alto Networks de NPTv6 ofrece la capacidad de filtrar paquetes para limitar
qué paquetes están sujetos a traducción. Recuerde que NPTv6 no realiza traducción de puertos. No existe
el concepto de traducción de IP y puertos dinámicos (DIPP) porque NPTv6 solo traduce prefijos IPv6. Sin
embargo, puede especificar que solo se realice traducción NPTv6 de los paquetes de un cierto puerto de
servicios. Para ello, realice la Creación de una política NPTv6 on page 918 que especifique un Service en
el paquete original.
Proxy NDP
El protocolo de detección de vecinos (NDP) para IPv6 realiza funciones similares a las que ofrece el
protocolo de resolución de direcciones (ARP) para IPv4. RFC 4861 define la detección de vecinos para IP
versión 6 (IPv6). Hosts, enrutadores y cortafuegos usan NDP para determinar las direcciones de capa de
enlace de los vecinos en enlaces conectados, llevar un seguimiento de los vecinos con los que se puede
contactar y actualizar las direcciones de capa de enlace de los vecinos que han cambiado. Los peers
anuncian sus propias direcciones MAC y su dirección IPv6, y solicitan además direcciones de los peers.
NDP también es compatible con el concepto de proxy, cuando un nodo tiene un dispositivo vecino que es
capaz de reenviar paquetes en nombre del nodo. El dispositivo (cortafuegos) actúa como Proxy NDP.
Los cortafuegos de Palo Alto Networks son compatibles con NDP y Proxy NDP en sus interfaces. Al
configurar el cortafuegos para que actúe como un Proxy NDP para direcciones, este puede enviar anuncios
de detección de vecinos (ND) y responder a solicitudes de ND de peers que están solicitando direcciones
MAC de prefijos IPv6 asignados a dispositivos tras el cortafuegos. También puede configurar direcciones
para las que el cortafuegos no responderá a solicitudes de proxy (direcciones negadas).
De hecho, NDP está habilitado de manera predeterminada, y necesita configurar Proxy NDP al configurar
NPTv6 por estos motivos:
• NPTv6 no tiene estado, por lo que necesita un modo de indicar al cortafuegos que responda a paquetes
de ND enviados a direcciones de Proxy NDP especificadas, y que no responda a direcciones Proxy NDP
negadas.
Se recomienda que niegue las direcciones de sus vecinos en la configuración de Proxy

NDP, ya que Proxy NDP indica que el cortafuegos contactará con esas direcciones tras
el cortafuegos, pero los vecinos no están tras el cortafuegos.
• NDP hace que el cortafuegos guarde las direcciones MAC y las direcciones IPv6 de los vecinos en su
caché de ND. (Consulte la figura en Ejemplo de NPTv6 y Proxy NDP on page 917). El cortafuegos
no realiza traducción NPTv6 de direcciones que encuentra en la caché de ND porque provocaría un
conflicto. Si la parte del host de una dirección en la memoria caché coincide con la parte del host de
la dirección de un vecino, y el prefijo en la caché se traduce al mismo prefijo que el del vecino (porque
la interfaz de salida del cortafuegos pertenece a la misma subred del vecino), tendrá una dirección
traducida exactamente igual que la dirección IPv6 legítima del vecino, lo que provoca un conflicto. (Si

se intenta realizar una traducción NPTv6 en una dirección en la memoria caché de ND, un mensaje de
syslog informativo registra el evento: NPTv6 Translation Failed).
Cuando una interfaz con proxy NDP habilitado recibe una solicitud de ND en la que le pide una dirección
MAC para una dirección IPv6, se produce la secuencia siguiente:
El cortafuegos busca en la memoria caché de ND para asegurarse de que no está ahí la dirección IPv6 de
la solicitud. Si la dirección está ahí, el cortafuegos ignora la solicitud ND.
Si la dirección IPv6 es 0, significa que el paquete es un paquete de detección de dirección duplicada, y el
cortafuegos ignora la solicitud de ND.
El cortafuegos realiza una búsqueda de la coincidencia de prefijo más larga de las direcciones de
Proxy NDP y encuentra la mejor coincidencia de la dirección en la solicitud. Si el campo Negar de la
coincidencia está marcado (en la lista Proxy NDP), el cortafuegos descarta la solicitud de ND.
Solo si la coincidencia de prefijo más larga busca coincidencias, y si la dirección coincidente no está
negada, el Proxy NDP responderá a la solicitud de ND. El cortafuegos responde con un paquete ND,
proporcionando su propia dirección MAC como dirección MAC del siguiente salto hacia el destino
consultado.
Para una correcta compatibilidad con NDP, el cortafuegos no realiza Proxy NDP para lo siguiente:
• Detección de direcciones duplicadas (DAD)
• Direcciones en la caché de ND (dado que tales direcciones no pertenecen al cortafuegos; pertenecen a
los vecinos detectados).
Ejemplo de NPTv6 y Proxy NDP

La siguiente figura ilustra cómo funcionan juntos NPTv6 y Proxy NDP.
• Caché de ND en el ejemplo de NPTv6

• Proxy ND en el ejemplo de NPTv6
• La traducción NPTv6 en el ejemplo de NPTv6
• Los vecinos en caché ND no se traducen
Caché de ND en el ejemplo de NPTv6

En el ejemplo anterior, varios peers conectan con el cortafuegos a través de un conmutador, y la ND se
produce entre los peers y el conmutador, entre el conmutador y el cortafuegos y el cortafuegos y los
dispositivos en el lado de confianza.
Cuando el cortafuegos detecta peers, guarda sus direcciones en su caché de ND. Los peers de confianza
FDDA:7A3E::1, FDDA:7A3E::2 y FDDA:7A3E::3 se conectan al cortafuegos por el lado de confianza.
FDDA:7A3E::99 es la dirección no traducida del propio cortafuegos; su dirección pública es 2001:DB8::99.
Las direcciones de los peers en el lado no fiable se han detectado y aparecen en la caché de ND:
2001:DB8::1, 2001:DB8::2 y 2001:DB8::3.

Proxy ND en el ejemplo de NPTv6
En nuestro escenario, queremos que el cortafuegos actué como un Proxy NDP para los prefijos tras el
cortafuegos. Cuando el cortafuegos es un Proxy NDP para un conjunto especificado de direcciones/
intervalos/prefijos y ve una dirección de este intervalo en un anuncio o solicitud de ND, el cortafuegos
responde siempre que no responda antes un dispositivo con esta dirección específica, la dirección no esté
negada en la configuración de Proxy NDP y la dirección no esté en la caché ND. El cortafuegos realiza la
traducción del prefijo (descrita más abajo) y envía el paquete al lado fiable, donde esa dirección puede estar
asignada o no a un dispositivo.
En este ejemplo, la tabla de Proxy ND contiene la dirección de red 2001:DB8::0. Cuando la interfaz ve
una ND para 2001:DB8::100, ningún otro dispositivo en el conmutador L2 reclama el paquete, de modo
que el intervalo de proxy hace que el cortafuegos no reclame, y tras la traducción a FDD4:7A3E::100, el
cortafuegos lo envía a la zona fiable.
La traducción NPTv6 en el ejemplo de NPTv6

En este ejemplo, el Original Packet (Paquete original) está configurado con una Source Address (Dirección
de origen) de FDD4:7A3E::0 y un Destination (Destino) de Any (Cualquiera). El Translated Packet (Paquete
traducido) está configurado con la Translated Address (Dirección traducida) de 2001:DB8::0.
Por lo tanto, los paquetes salientes con un origen FDD4:7A3E::0 se traducen a 2001:DB8::0. Los paquetes
entrantes con un prefijo de destino en la red 2001:DB8::0 se traducen a FDD4:7A3E::0.
Los vecinos en caché ND no se traducen

En nuestro ejemplo, hay hosts tras el cortafuegos con identificadores de host :1, :2 y :3. Si los prefijos de
aquellos hosts están traducidos a un prefijo que existe más allá del cortafuegos, y si esos dispositivos no
tienen identificadores de host :1, :2 y :3 (ya que la parte del identificador de host de la dirección permanece
inalterada), la dirección traducida resultante pertenecería al dispositivo existente, y se produciría un
conflicto de dirección. Para evitar un conflicto con identificadores de host coincidentes, NPTv6 no traduce
direcciones que encuentra en la caché de ND.
Creación de una política NPTv6

Realice esta tarea cuando quiera configurar una política NPTv6 de NAT para traducir un prefijo IPv6 a otro
prefijo IPv6. Los requisitos previos de esta tarea son:
• Habilite IPv6. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión). Haga clic en
Edit (Modificar) y seleccione IPv6 Firewalling (Cortafuegos IPv6).
• Configure una interfaz Ethernet de capa 3 con una dirección IPv6 válida y con IPv6 habilitado.
Seleccione Network (Red) > Interfaces > Ethernet, seleccione una interfaz y en la pestaña IPv6,
seleccione Enable IPv6 on the interface (Habilitar IPv6 en la interfaz).
• Cree políticas de seguridad de red, ya que NPTv6 no proporciona seguridad.
• Decida si quiere traducción de origen, de destino o ambas.
• Identifique las zonas a las que quiere aplicar la política NPTv6.
• Identifique sus prefijos IPv6 originales y traducidos.
STEP 1 | Cree una política NPTv6.

2. En la pestaña General, introduzca un nombre descriptivo en Name (Nombre) para la regla de política
de NPTv6.
3. (Opcional) Introduzca una Description (Descripción) y Tag (Etiqueta).
4. Para NAT Type (Tipo de NAT), seleccione NPTv6.

STEP 2 | Especifique los criterios de coincidencia para los paquetes entrantes; los paquetes que
coinciden en todos los criterios están sujetos a la traducción de NPTv6.
Las zonas son necesarias para ambos tipos de traducción.
1. En la pestaña Original Packet (Paquete original), para Source Zone (Zona de origen), deje Any
(Cualquiera) o haga clic en Add (Añadir) para introducir la zona de origen a la que se aplica la política.
2. Introduzca la Destination Zone (Zona de destino) a la que se aplica la política.
3. (Opcional) Seleccione una Destination Interface (Interfaz de destino).
4. (Opcional) Seleccione un Service (Servicio) para restringir los tipos de paquetes que se traducen.
5. Si está realizando una traducción de origen, introduzca una Source Address (Dirección de origen) o
seleccione Any (Cualquiera). Esta dirección puede ser un objeto de dirección. Se aplican las siguientes
restricciones a la Source Address (Dirección de origen) y Destination Address (Dirección de destino):
• Los prefijos de Source Address (Dirección de origen) y Destination Address (Dirección de destino)
para Original Packet (Paquete original) y Translated Packet (Paquete traducido) deben tener el
formato xxxx:xxxx::/yy, aunque los ceros de inicio en el prefijo se pueden omitir.
• La dirección IPv6 no puede tener definida una parte de identificador de interfaz (host).
• El intervalo admitido de longitudes de prefijo es de /32 a /64.
• No es posible definir tanto la Source Address (Dirección de origen) como la Destination Address
(Dirección de destino) en Any (Cualquiera).
6. Si está realizando la traducción de origen, tiene la opción de introducir una Destination Address
(Dirección de destino). Si está realizando una traducción de destino, la Destination Address
(Dirección de destino) es obligatoria. La dirección de destino (se permite un objeto de dirección) debe
ser una máscara de red, no solo una dirección IPv6 y no un intervalo. La extensión del prefijo debe ser
un valor desde /32 hasta /64, inclusive. Por ejemplo, 2001:db8::/32.
STEP 3 | Especifique el paquete traducido.

1. En la pestaña Translated Packet (Paquete traducido), si desea realizar la traducción de origen, en la
sección Source Address Translation, para el Translation Type (Tipo de traducción), seleccione Static
IP (IP estática). Si no desea realizar traducción de origen, seleccione None (Ninguna).
2. Si ha elegido Static IP (IP estática), se muestra el campo Translated Address (Dirección traducida).
Introduzca el objeto de dirección o el prefijo IPv6 traducido. Consulte las restricciones enumeradas
en el paso anterior.
Se recomienda configurar su Translated Address (Dirección traducida) para que

sea el prefijo de la dirección de interfaz no fiable de su cortafuegos. Por ejemplo, si
su interfaz no fiable tiene la dirección 2001:1a:1b:1::99/64, configure su Translated
Address (Dirección traducida) como 2001:1a:1b:1::0/64.
3. (Opcional) Seleccione Bi-directional (Bidireccional) si desea que el cortafuegos cree una traducción
NPTv6 correspondiente en la dirección opuesta de la traducción que configure.
Si habilita la traducción Bi-directional, es muy importante asegurarse de tener

establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. Sin
dichas reglas de política, la traducción Bi-directional permitirá la traducción automática
de paquetes en ambas direcciones, algo que quizás no desee.
4. Si desea realizar una traducción de destino, seleccione Destination Address Translation (Traducción
de dirección de destino). En el campo Translated Address (Dirección traducida), seleccione un objeto
de dirección del menú desplegable o introduzca su dirección de destino interna.
STEP 4 | Configuración del NDP Proxy.

Al configurar el cortafuegos para que actúe como un Proxy NDP para direcciones, este puede enviar
anuncios de detección de vecinos (ND) y responder a solicitudes de ND de peers que están solicitando
direcciones MAC de prefijos IPv6 asignados a dispositivos tras el cortafuegos.
1. Seleccione Network (Red) > Interfaces > Ethernet y seleccione una interfaz.
2. En la pestaña Advanced (Avanzado) > NDP Proxy, seleccione Enable NDP Proxy (Habilitar proxy de
NDP) y haga clic en Add (Añadir).
3. Introduzca las IP Address(es) (Direcciones IP) para las que está habilitado Proxy NDP. Puede ser una
dirección, un intervalo de direcciones o un prefijo y longitud de prefijo. El orden de las direcciones IP
es indiferente. Lo idóneo es que estas direcciones sean las mismas que las direcciones traducidas que
ha configurado en una política NPTv6.
Si la dirección es una subred, el Proxy NDP responderá a todas las direcciones en la

subred, de modo que deberá enumerar los vecinos en la subred con Negate (Negar)
seleccionado, como se describe en el siguiente paso.
4. (Opcional) Introduzca una o más direcciones para las que no desea habilitar Proxy NDP, y seleccione
Negate (Negar). Por ejemplo, desde un intervalo de dirección IP o intervalo de prefijos configurado
en el paso anterior, puede negar un subconjunto pequeño de direcciones. Se recomienda negar las
direcciones de los vecinos del cortafuegos.


NAT64
NAT64 proporciona una manera de pasar a IPv6 cuando sigue necesitando comunicarse con redes IPv4.
Cuando debe comunicarse desde una red solo IPv6 a una red IPv4, utiliza NAT64 para traducir direcciones
de origen y de destino desde IPv6 a IPv4 y viceversa. NAT64 permite que los clientes de IPv6 accedan a
servidores IPv4; y que los clientes de IPv4 accedan a servidores IPv6. Debe comprender NAT antes de
configurar NAT64.
• NAT64 Overview
• Dirección IPv6 integrada en la dirección IPv4
• Servidor DNS64
• Detección de MTU de ruta
• Comunicación de Pv6 iniciada
• Configuración de NAT64 para la comunicación de IPv6 iniciada
• Configuración de NAT64 para la comunicación de IPv4 iniciada
• Configuración de NAT64 para la comunicación de IPv4 iniciada con traducción de puerto
NAT64 Overview
Puede configurar dos tipos de traducción NAT64 en un cortafuegos Palo Alto Networks; cada uno realiza
una traducción bidireccional entre dos familias de direcciones IP:
• El cortafuegos admite NAT64 con estado para la Comunicación de Pv6 iniciada on page 923, que
asigna varias direcciones IPv6 a una dirección IPv4, además de conservar las direcciones IPv4. (No
admite NAT64 sin estado, que asigna una dirección IPv6 a una dirección IPv4, y, por lo tanto, no
conserva las direcciones IPv4). Configuración de NAT64 para la comunicación iniciada por IPv6 on page
924.
• El cortafuegos admite la comunicación de IPv4 iniciada con un enlace estático que asigna una dirección
IPv4 y un número de puerto a una dirección IPv6. Configuración de NAT64 para la comunicación de IPv4
iniciada on page 927. También admite la reescritura de puertos, lo que permite conservar incluso más
direcciones IPv4 traduciendo una dirección IPv4 y un número de puerto a una dirección IPv6 con varios
números de puerto. Configuración de NAT64 para la comunicación iniciada por IPv4 con traducción de
puerto on page 929.
Una dirección IPv4 puede utilizarse para NAT44 y NAT64; no reserva un grupo de direcciones IPv4 solo
para NAT64.
NAT64 opera en las interfaces, subinterfaces e interfaces de túnel de capa 3. Para utilizar NAT64 en el
cortafuegos de Palo Alto Networks para la comunicación de IPv6 iniciada, debe contar con un Servidor
DNS64 on page 922 externo o una solución para separar la función de consultas de DNS de la función
NAT. El servidor DNS64 traduce entre su host IPv6 y un servidor DNS IPv4 codificando la dirección IPv4
que recibe de un servidor DNS público en una dirección IPv6 para el host IPv6.
Palo Alto Networks admite las siguientes funciones de NAT64:
• Redirección (Giro en U de NAT); además, NAT64 previene los ataques de bucle de redirección
descartando todos los paquetes IPv6 entrantes que cuenten con un prefijo de origen 64::/n.
• Traducción de paquetes TCP/UDP/ICMP según RFC 6146 y el cortafuegos se esfuerza por traducir
otros protocolos que no utilizan una puerta de enlace de nivel de aplicación (application-level gateway,
ALG). Por ejemplo, el cortafuegos puede traducir un paquete GRE. Esta traducción tiene la misma
limitación que NAT44: si no cuenta con una ALG para un protocolo que pueda utilizar un canal de
control y datos separado, es posible que el cortafuegos no comprenda el flujo del tráfico de retorno.
• La traducción entre IPv4 y IPv6 del atributo de longitud de ICMP del campo de datagrama original, según
RFC 4884.

Dirección IPv6 integrada en la dirección IPv4
NAT64 utiliza una dirección IPv6 integrada en la dirección IPv4 como se describe en RFC 6052,
Direccionamiento de IPv6 para traductores de IPv4/IPv6. Una dirección IPv6 integrada en la dirección IPv4
es una dirección IPv6 con una dirección IPv4 decodificada en 32 bits. La longitud del prefijo (PL en la figura)
de IPv6 determina donde se decodifica la dirección IPv4 en la dirección IPv6, de la siguiente manera:
El cortafuegos admite la traducción de subredes /32, /40, /48, /56, /64 y /96 utilizando estos prefijos. Un
cortafuegos único admite múltiples prefijos; cada regla NAT64 utiliza un prefijo. El prefijo puede ser un
prefijo conocido (64:FF9B::/96) o un prefijo específico de la red (NSP) que es único en la organización que
controla el traductor de direcciones (el dispositivo DNS64). Por lo general, un NSP es una red dentro del
prefijo IPv6 de la organización. Normalmente, el dispositivo DNS64 configura el campo u y el sufijo en cero;
el cortafuegos ignora estos campos.
Servidor DNS64
Si desea realizar una traducción de NAT64 utilizando una Comunicación de Pv6 iniciada on page 923,
debe utilizar un servidor DNS64 externo u otra solución DNS64 que se configure con el prefijo conocido o
su NSP. Cuando un host IPv6 intenta acceder a un host ipV4 o un dominio en internet, el servidor DNS64
le solicita a un servidor DNS autorizado la dirección IPv4 asignada a ese nombre de host. El servidor DNS le
envía un registro de dirección (registro A) al servidor DNS64 con la dirección IPv4 del nombre de host.
El servidor DNS64 convierte la dirección IPv4 en formato hexadecimal y la cifra en los octetos adecuados
del prefijo IPv6 que su configuración le permite utilizar (el prefijo conocido o su NSP) en función de la
longitud del prefijo, lo que produce una Dirección IPv6 integrada en la dirección IPv4 on page 922. El
servidor DNS64 envía un registro AAAA al host IPv6 que asigna la dirección IPv6 integrada en la dirección
IPv4 al nombre de host IPv4.
Detección de MTU de ruta

IPv6 no fragmenta los paquetes, de modo que el cortafuegos utiliza dos métodos para reducir la necesidad
de fragmentación de paquetes:
• Cuando el cortafuegos traduce paquetes IPv4 con un bit de no fragmentar (don't fragment, DF) en cero,
esto indica que el remitente espera que el cortafuegos fragmente los paquetes que son demasiado
grandes, pero que el cortafuegos no fragmenta paquetes para la red IPv6 (tras la traducción) debido
a que IPv6 no fragmenta paquetes. En cambio, puede configurar el tamaño mínimo en el que el
cortafuegos fragmentará los paquetes IPv4 antes de traducirlos. El valor NAT64 IPv6 Minimum Network

MTU (MTU de red mínima de IPv6 de NAT64e) forma parte de la configuración, que cumple con RFC
6145, el algoritmo de traducción de IP/ICMP. Puede establecer la NAT64 IPv6 Minimum Network
MTU (MTU de red mínima de IPv6 de NAT64) en su valor máximo (Device [Dispositivo] > Setup
[Configuración] > Session [Sesión]), lo que provoca que el cortafuegos fragmente paquetes IPv4 en el
tamaño mínimo de IPv6 antes de traducirlos a IPv6. (La NAT64 IPv6 Minimum Network MTU [MTU de
red mínima de IPv6 de NAT64] no cambia la MTU de la interfaz).
• El otro método que utiliza el cortafuegos para reducir la fragmentación es la detección de MTU
de ruta (Path MTU Discovery, PMTUD). En una comunicación de IPv4 iniciada, si un paquete IPv4
que se traducirá tiene un conjunto de bits de DF y la MTU de la interfaz de salida es más pequeña
que el paquete, el cortafuegos utiliza la PMTUD para descartar el paquete y devolver un mensaje
de ICMP "Destination Unreachable - fragmentation needed" (Destino inalcanzable: se requiere la
fragmentación) al origen. El origen reduce la MTU de ruta para ese destino y reenvía el paquete hasta
que las reducciones sucesivas en la MTU de ruta permiten la entrega del paquete.
Comunicación de Pv6 iniciada

La comunicación de IPv6 iniciada con el cortafuegos es similar a una NAT de origen en una topología
IPv4. Realice la Configuración de NAT64 para la comunicación de IPv4 iniciada cuando su host IPv6 deba
comunicarse con un servidor IPv4.
En la regla de la política NAT64, configure el origen original como dirección host IPv6 o como todos.
Configure la dirección IPv6 de destino como prefijo conocido o el NSP que utiliza el servidor DNS64. (No
configure la dirección IPv6 de destino completa en la regla).
Como se muestra en el ejemplo de topología a continuación, la comunicación de IPv6 iniciada requiere
un servidor DNS64. El servidor DNS64 debe configurarse de modo que se utilice el prefijo conocido
64:FF9B::/96 o el prefijo específico de la red, que debe cumplir con RFC 6052 (/32, /40,/48,/56,/64 o /96).
En el lado traducido del cortafuegos, el tipo de traducción debe ser IP dinámica y puerto para implementar
NAT64 con estado. Configure la dirección de origen traducida para que sea la dirección IPv4 de la interfaz
de salida en el cortafuegos. No configure el campo de traducción de destino; el cortafuegos traduce la
dirección buscando la longitud del prefijo en la dirección original de destino de la regla y, luego, en función
del prefijo, extrayendo la dirección IPv4 codificada de la dirección IPv6 de destino original en el paquete
entrante.
Antes de que el cortafuegos observe la regla NAT64, el cortafuegos debe realizar una búsqueda de ruta
para encontrar la zona de seguridad de destino de un paquete entrante. Debe garantizar que el prefijo
NAT64 pueda alcanzarse mediante la asignación de zona de destino debido a que el cortafuegos no
debe poder enrutar el prefijo NAT64. Probablemente, el cortafuegos asignaría el prefijo NAT64 a la ruta
predeterminada o descartaría el prefijo NAT64 debido a que no existe una ruta para él. El cortafuegos no
encontrará una zona de destino debido a que el prefijo NAT64 no se encuentra en la tabla de enrutamiento,
asociado a la interfaz y la zona de salida.
Además, debe configurar una interfaz de túnel (sin punto de terminación). Aplique el prefijo NAT64 al túnel
y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de
destino correcta. El túnel también tiene la ventaja de descartar el tráfico IPv6 con el prefijo NAT64 si el
tráfico no coincide con la regla NAT64. El protocolo de enrutamiento que configuró en el cortafuegos busca
el prefijo IPv6 en su tabla de enrutamiento para encontrar la zona de destino y busca la regla NAT64.
La siguiente figura ilustra la función del servidor DNS64 en el proceso de resolución de nombres. En este
ejemplo, el servidor DNS64 se configura de modo que se utilice el prefijo conocido 64:FF9B::/96.
1. Un usuario en el host IPv6 ingresa a la URL www.abc.com, lo que genera una búsqueda en el servidor de
nombres (nslookup) para el servidor DNS64.
2 El servidor DNS64 envía una nslookup de www.abc.com en el servidor DNS público y solicita su dirección
IPv4.
3 El servidor DNS devuelve un registro A que proporciona la dirección IPv4 al servidor DNS64.

4 El servidor DNS64 envía un registro AAAA al usuario IPv6, lo que convierte la dirección IPv4 decimal
delimitada con puntos 198.51.100.1 en la dirección hexadecimal C633:6401 y la integra en su propio prefijo
IPv6 64:FF9B::/96. [198 = C6 hex; 51 = 33 hex; 100 = 64 hex; 1 = 01 hex.] El resultado es la dirección IPv6
integrada en la dirección IPv4 64:FF9B::C633:6401.
Tenga en cuenta que en un prefijo /96, la dirección IPv4 se compone de los últimos cuatro octetos
codificados en la dirección IPv6. Si el servidor DNS64 utiliza un prefijo /32, /40, /48, /56 o /64, la dirección
IPv4 se codifica como se muestra en RFC 6052.
Tras la resolución de nombres transparente, el host IPv6 envía un paquete al cortafuegos con su dirección
IPv6 de origen y su dirección IPv6 de destino 64:FF9B::C633:6401, como lo determina el servidor DNS64.
El cortafuegos realiza la traducción de NAT64 en función de su regla NAT64.
Configuración de NAT64 para la comunicación iniciada por IPv6

Esta tarea de configuración y sus direcciones corresponden a las figuras de Comunicación iniciada por IPv6.
STEP 1 | Habilite IPv6 para que opere en el cortafuegos.

2. Seleccione Enable IPv6 Firewalling (Habilitar cortafuegos de IPv6).
STEP 2 | Cree un objeto de dirección para la dirección de destino IPv6 (previo a la traducción).
1. Seleccione Objects (Objetos) > Addresses (Direcciones) y haga clic en Add (Añadir).
2. Introduzca un nombre para el objeto en Name; por ejemplo, servidor nat64-IPv4.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese el prefijo IPv6 con una
máscara de red que cumpla con RFC 6052 (/32, /40, /48, /56, /64 o /96). Este es el prefijo conocido
o su prefijo específico de red que está configurado en el servidor DNS64.
Para este ejemplo, ingrese 64:FF9B::/96.
El origen y el destino deben tener la misma máscara de red (extensión del prefijo).

(Usted no introduce una dirección de destino completa porque, según la extensión del prefijo, el
cortafuegos extrae la dirección IPv4 de la dirección IPv6 de destino original en el paquete entrante.
En este ejemplo, el prefijo del paquete entrante está codificado con C633:6401 en hexadecimal, que
es la dirección de destino IPv4 198.51.100.1).
STEP 3 | (Opcional) Cree un objeto de dirección para la dirección de origen IPv6 (previo a la
traducción).
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección del host IPv6; en
este ejemplo, 2001:DB8::5/96.
STEP 4 | (Opcional) Cree un objeto de dirección para la dirección de origen IPv4 (previo a la
traducción).
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección IPv4 de la interfaz
de salida del cortafuegos; en este ejemplo, 192.0.2.1.
STEP 5 | Cree la regla NAT64.

2. En la pestaña General, introduzca un Name (Nombre) para la regla NAT64; por ejemplo,
nat64_ipv4_init.
4. Para NAT Type (Tipo de NAT), seleccione nat64.
STEP 6 | Especifique la información de origen y destino original.

1. Para Original Packet (Paquete original), seleccione Add (Añadir) para añadir la Source Zone (Zona de
origen), posiblemente una zona fiable.
2. Seleccione la Destination Zone (Zona de destino); en este ejemplo, la zona no fiable.
3. (Opcional) Seleccione una Destination Interface (Interfaz de destino) o la opción predeterminada (any
[cualquiera]).
4. Para Source Address (Dirección de origen), seleccione Any (Cualquiera)o Add (Añadir) para añadir el
objeto de dirección que creó para el host IPv6.
5. Para Destination Address (Dirección de destino), seleccione Add (Añadir) para añadir el objeto de
dirección que creó para el destino IPv6; en este ejemplo, servidor nat64-IPv4.
6. (Opcional) Para Service (Servicio), seleccione any (cualquiera).
STEP 7 | Especifique la información de paquete traducido.

1. Para el Translated Packet (Paquete traducido), en Source Address Translation (Traducción de
dirección de origen), para Translation Type (Tipo de traducción), seleccione Dynamic IP and Port (IP
dinámica y puerto).
2. Para Address Type (Tipo de dirección), seleccione una de las siguientes opciones:
• Seleccione Translated Address (Dirección traducida) y luego Add (Añadir) para añadir el objeto
que creó para la dirección de origen IPv4.
• Seleccione Interface Address (Dirección de interfaz), en cuyo caso la dirección de origen traducida
es la dirección IP y la máscara de red de la interfaz de salida del cortafuegos. Para esta opción,

debe seleccionar Interface (Interfaz) y opcionalmente una IP Address (Dirección IP) si la interfaz
tiene más de una dirección IP.
3. Deje Destination Address Translation (Traducción de dirección de destino) sin seleccionar. (El
cortafuegos extrae la dirección IPv4 del prefijo IPv6 en el paquete entrante, según la extensión del
prefijo especificada en el destino original de la regla NAT64).
4. Haga clic en OK (Aceptar) para guardar la regla de política de NAT64.
STEP 8 | Configure una interfaz de túnel para emular una interfaz de bucle invertido con una máscara de
red que no sea 128.
1. Seleccione Network (Red) > IPSec Tunnels (Túneles IPSec) y luego Add (Añadir) para añadir un túnel.
2. En la pestaña General, introduzca en Name (Nombre) un nombre para el túnel.
3. Para Tunnel Interface (Interfaz de túnel), seleccione New Tunnel Interface (Nueva interfaz de túnel).
4. En el campo Interfaz Name (Nombre de interfaz), especifique un sufijo numérico, como .2.
5. En la pestaña Config, seleccione el Virtual Router (Enrutador virtual) donde configuró NAT64.
6. Para Security Zone (Zona de seguridad), seleccione la zona de destino asociada con el destino de
servidor IPv4 (zona fiable).
7. En la pestaña IPv6, seleccione Enable IPv6 on the interface (Habilitar IPv6 en la interfaz).
8. Haga clic en Add (Añadir) y para Address (Dirección), seleccione New Address (Nueva dirección).
9. Introduzca en Name (Nombre) un nombre para el perfil.
10.(Opcional) Introduzca una Description (Descripción) para la dirección de túnel.
11.Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese su prefijo IPv6 y la extensión
del prefijo; en este ejemplo, 64:FF9B::/96.
12.Haga clic en OK (Aceptar) para guardar la nueva dirección.
13.Seleccione Enable address on interface (Habilitar la dirección en la interfaz) y haga clic en OK
(Aceptar).
14.Haga clic en OK (Aceptar) para guardar la interfaz de túnel.
15.Haga clic en OK (Aceptar) para guardar el túnel.
STEP 9 | Cree una política de seguridad para permitir el tráfico NAT de la zona fiable.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir un Name
(Nombre) de regla.
2. Seleccione Source (Origen) y luego Add (Añadir) para añadir una Source Zone (Zona de origen);
seleccione Trust (Fiable).
3. Para Source Address (Dirección de origen), seleccione Any (Cualquiera).
4. Seleccione Destination (Destino) y Add (Añadir) para añadir una Destination Zone (Zona de destino);
y seleccione Untrust (No fiable).
5. Para Application (Aplicación), seleccione Any (Cualquiera).
6. Para Actions (Acciones), seleccione Allow (Permitir).

STEP 11 | Solucione los problemas o visualice una sesión NAT64.
> show session id <session-id>

Configuración de NAT64 para la comunicación de IPv4 iniciada
La comunicación de IPv4 iniciada con un servidor IPv6 es similar a una NAT de destino en una topología
IPv4. La dirección IPv4 de destino se asigna a la dirección IPv6 de destino mediante una traducción de IP
estática uno a uno (no una traducción de varios a uno).
El cortafuegos codifica la dirección IPv4 de origen en el prefijo conocido 64:FF9B::/96 como se define en
RFC 6052. La dirección de destino traducida no es la dirección IPv6 real. Por lo general, el caso de uso de la
comunicación de IPv4 iniciada se presenta cuando una organización proporciona acceso de la zona pública
Untrust a un servidor IPv6 en la zona DMZ de la organización. Esta topología no utiliza un servidor DNS64.
STEP 1 | Habilite la dirección IPv6 para operar el cortafuegos.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la configuración de
sesión.
2. Seleccione Enable IPv6 Firewalling (Habilitar cortafuegos IPv6).
STEP 2 | (Opcional) Cuando un paquete IPv4 tiene cada bit de DF definido en cero (y debido a que IPv6
no fragmenta paquetes), asegúrese de que los paquetes IPv6 traducidos no superen la MTU de
ruta para la red IPv6 de destino.
1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y edite la configuración de
la sesión.
2. En NAT64 IPv6 Minimum Network MTU (MTU de red mínima de IPv6 de NAT64), introduzca la
cantidad mínima de bytes en la que el cortafuegos fragmentará los paquetes IPv4 para la traducción a
IPv6 (rango: 1280 a 9216, valor predeterminado: 1280).
Si no desea que el cortafuegos fragmente un paquete IPv4 antes de la traducción,

configure la MTU en 9216. Si el paquete IPv6 traducido aún supera este valor, el
cortafuegos descarta el paquete y emite un paquete ICMP que indica que el destino
es inalcanzable y se requiere la fragmentación.
STEP 3 | Cree un objeto de dirección para la dirección IPv4 de destino (previa a la traducción).
2. Introduzca un Name (Nombre) para el objeto; por ejemplo, nat64_ip4server.
3. En Type (Tipo), seleccione la IP Netmask (Máscara de red IP) e introduzca la dirección IPv4 y la
máscara de red de la interfaz del cortafuegos en la zona Untrust. Este ejemplo utiliza 198.51.19.1/24.
STEP 4 | Cree un objeto de dirección para la dirección IPv6 de origen (traducida).

2. Introduzca un Name (Nombre) para el objeto; por ejemplo, nat64_ip6source.
3. En Type (Tipo), seleccione IP Netmask (Máscara de red IP) e introduzca la dirección IPv6 de NAT64
con una máscara de red que sea compatible con RFC 6052 (/32, /40, /48, /56, /64 o /96).

Para este ejemplo, introduzca 64:FF9B::/96.
(El cortafuegos codifica el prefijo con la dirección IPv4 de origen 192.1.2.8, que es C001:0208 en
hexadecimales).
STEP 5 | Cree un objeto de dirección para la dirección IPv6 de destino (traducida).

2. Introduzca un Name (Nombre) para el objeto; por ejemplo, nat64_server_2.
3. En Type (Tipo), seleccione IP Netmask (Máscara de red IP) e introduzca la dirección IPv6 del servidor
IPv6 (destino). En este ejemplo, se utiliza 2001:DB8::2/64.
El origen y el destino deben tener la misma máscara de red (longitud del prefijo).
STEP 6 | Cree la regla de NAT64.

2. En la pestaña General, introduzca un Name (Nombre) para la regla de NAT64, por ejemplo,
nat64_ipv4_init.
STEP 7 | Especifique la información de origen y de destino original.

1. En Original Packet (Paquete original), Add (Añada) la Source Zone (Zona de origen), probablemente,
una zona Untrust.
2. Seleccione la Destination Zone (Zona de destino), probablemente, una zona trust o DMZ.
3. En Source Address (Dirección de origen), seleccione Any (Todas)o Add (Añadir) para añadir el objeto
de dirección para el host IPv4.
4. En Destination Address (Dirección de destino), Add (Añada) el objeto de dirección para el destino
IPv4, en este ejemplo, nat64_ip4server.
5. En Service (Servicio), seleccione any (cualquiera).

1. En Translated Packet (Paquete traducido), en Source Address Translation (Traducción de la
dirección de origen), Translation Type (Tipo de traducción), seleccione Static IP (IP estática).
2. En Translated Address (Dirección traducida), seleccione el objeto de dirección traducida de origen
que creó, nat64_ip6source.
3. En Destination Address Translation (Traducción de dirección de destino), en Translated Address
(Dirección traducida), especifique una dirección IPv6 única (el objeto de dirección, en este ejemplo,
nat64_server_2, o la dirección IPv6 del servidor).
STEP 9 | Cree una política de seguridad para permitir el tráfico de NAT desde la zona Untrust.
1. Seleccione Policies (Políticas) > Security (Seguridad) y Add (Añadir) para añadir un Name (Nombre)
de regla.
2. Seleccione Source (Origen) y Add (Añadir) para añadir una Source Zone (Zona de origen); seleccione
Untrust.
3. En Source Address (Dirección de origen), seleccione Any (Cualquiera).
seleccione DMZ.
5. En Actions (Acciones), seleccione Allow (Permitir).


STEP 11 | Solucione los problemas o vea una sesión de NAT64.
Configuración de NAT64 para la comunicación iniciada por IPv4

con traducción de puerto
Esta tarea parte de la tarea de configuración de NAT64 para la comunicación iniciada por IPv4, pero la
organización que controla la red IPv6 prefiere traducir el número de puerto de destino público a un número
de puerto de destino interno y, por lo tanto, mantenerlo en privado para los usuarios del lado no fiable IPv4
del cortafuegos. En este ejemplo, el puerto 8080 se traduce en el puerto 80. Para hacer eso, en la regla de
política NAT64, cree un nuevo servicio que especifique que el puerto de destino es 8080. Para el paquete
traducido, el puerto traducido es 80.
STEP 1 | Habilite IPv6 para que opere en el cortafuegos.

2. Seleccione Enable IPv6 Firewalling (Habilitar cortafuegos de IPv6).
STEP 2 | (Opcional) Cuando un paquete IPv4 posee su bit DF configurado en cero (y debido a que IPv6
no fragmenta los paquetes), asegúrese de que el paquete IPv6 traducido no supera la ruta MTU
para la red IPv6 de destino.
2. Para NAT64 IPv6 Minimum Network MTU (MTU de red mínima IPv6 NAT64), ingrese el número
más bajo de bytes en los cuales el cortafuegos fragmentará los paquetes IPv4 para la traducción en
IPv6 (el intervalo es 1280 a 9216; el valor predeterminado es 1280).
Si no desea que el cortafuegos fragmente un paquete IPv4 antes de la traducción,

configure el MTU en 9216. Si el paquete IPv6 traducido supera este valor, el
cortafuegos descarta el paquete y emite un paquete ICMP que indica que el destino
es inalcanzable y que se necesita fragmentación.
STEP 3 | Cree un objeto de dirección para la dirección de destino IPv4 (previo a la traducción).
2. Introduzca un nombre para el objeto en Name; por ejemplo, nat64_ip4server.

3. Para Type (Tipo), seleccione IP Netmask (Máscara de red) e ingrese la dirección IPv4 y máscara de
red de la interfaz del cortafuegos en la zona no fiable. Este ejemplo utiliza 198.51.19.1/24.
STEP 4 | Cree un objeto de dirección para la dirección de origen IPv6 (traducido).

2. Introduzca un nombre para el objeto en Name; por ejemplo, nat64_ip4source.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección IPv6 NAT64 con
una máscara de red que cumpla con RFC 6052 (/32, /40, /48, /56, /64 o /96).
Para este ejemplo, ingrese 64:FF9B::/96.
(El cortafuegos codifica el prefijo con la dirección de origen IPv4 192.1.2.8, que es C001:0209 en
hexadecimal).
STEP 5 | Cree un objeto de dirección para la dirección de destino IPv6 (traducido).

2. Introduzca un nombre para el objeto en Name; por ejemplo, nat64_server_2.
3. Para Type (Tipo), seleccione IP Netmask (Máscara de red IP) e ingrese la dirección IPv6 del servidor
IPv6 (destino). Este ejemplo utiliza 2001:DB8::2/64.
El origen y el destino deben tener la misma máscara de red (extensión del prefijo).
STEP 6 | Cree la regla NAT64.

2. En la pestaña General, introduzca un Name (Nombre) para la regla NAT64; por ejemplo,
nat64_ipv4_init.
STEP 7 | Especifique la información de origen y destino original, y cree un servicio para limitar la
traducción a un solo número de puerto de ingreso.
1. Para Original Packet (Paquete original), seleccione Add (Añadir) para añadir la Source Zone (Zona de
origen), posiblemente una zona no fiable.
2. Seleccione la Destination Zone (Zona de destino), probablemente una zona fiable o DMZ.
3. Para Service (Servicio), seleccione New Service (Nuevo servicio).
4. Introduzca un nombre para el servicio en Name, tal como Port_8080.
5. Seleccione TCP como el Protocol (Protocolo).
6. Para Destination Port (Puerto de destino), ingrese 8080.
7. Haga clic en OK (Aceptar) para guardar el servicio.
8. Para Source Address (Dirección de origen), seleccione Any (Cualquiera)o Add (Añadir) para añadir el
objeto de dirección para el host IPv4.
9. Para Destination Address (Dirección de destino), seleccione Add (Añadir) el objeto de dirección para
el destino IPv4; en este ejemplo, nat64_ip4server.

1. Para el Translated Packet (Paquete traducido), en Source Address Translation (Traducción de
dirección de origen), Translation Type (Tipo de traducción), seleccione Static IP (IP estática).
2. Para Translated Address (Dirección traducida), seleccione el objeto de dirección traducida que creó,
nat64_ip6source.

3. En Destination Address Translation (Traducción de dirección de destino), para Translated Address
(Dirección traducida), especifique una unica dirección IPv6 (el objeto de dirección; en este ejemplo,
nat64_server_2 o la dirección IPv6 del servidor).
4. Especifique el número de Translated Port (Puerto traducido) de destino privado al cual el cortafuegos
traducirá el número de puerto de destino público; en este ejemplo, 80.
STEP 9 | Cree una política de seguridad para permitir el tráfico NAT de la zona no fiable.
1. Seleccione Policies (Políticas) > Security (Seguridad) y luego Add (Añadir) para añadir un Name
(Nombre) de regla.
2. Seleccione Source (Origen) y luego Add (Añadir) para añadir una Source Zone (Zona de origen);
seleccione Untrust (No fiable).
3. Para Source Address (Dirección de origen), seleccione Any (Cualquiera).
y seleccione DMZ.
5. Para Actions (Acciones), seleccione Allow (Permitir).

STEP 11 | Solucione los problemas o visualice una sesión NAT64.

ECMP
El procesamiento de trayectoria múltiple a igual coste (ECMP) es una función de red que permite al
cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino. Sin esta función, si hay múltiples
rutas del mismo coste al mismo destino, el enrutador virtual selecciona una de estas rutas de la tabla de
enrutamiento y la añade a su tabla de envío; no usará ninguna de las demás rutas a no ser que se interrumpa
la ruta seleccionada.
La habilitación de la funcionalidad ECMP en un enrutador virtual permite que el cortafuegos tenga hasta
cuatro rutas del mismo coste a un destino en esta tabla de reenvío, permitiendo que el cortafuegos:
• Equilibre la carga de los flujos (sesiones) al mismo destino en múltiples enlaces del mismo coste.
• Use de forma eficiente el ancho de banda disponible en enlaces hacia el mismo destino, en lugar de dejar
algunos enlaces sin usar.
• Cambie dinámicamente el tráfico a otro miembro de ECMP hacia el mismo destino si falla un enlace,
en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB seleccione una ruta
alternativa. Esto puede ayudar a reducir el tiempo de inactividad cuando falla el enlace.
Para obtener información sobre la selección de ruta ECMP cuando un peer HA falla, consulte ECMP en
modo HA activo/activo.
Las siguientes secciones describen ECMP y cómo configurarlo.
• Algoritmos de equilibrio de carga de ECMP
• Compatibilidad con modelo de ECMP, interfaz y enrutamiento de IP
• Configuración de ECMP en un enrutador virtual
• Habilitación de ECMP para varios sistemas BGP autónomos
• Verificación de ECMP
Algoritmos de equilibrio de carga de ECMP

Supongamos que la base de información de enrutamiento (RIB, Routing Information Base) del cortafuegos
tiene múltiples trayectorias a igual coste a un único destino. El número máximo de rutas a igual coste es
2 de manera predeterminada. ECMP elige las dos mejores rutas de igual coste de la RIB para copiarlas a
la base de información de reenvío (FIB, Forwarding Information Base). ECMP determina a continuación y
basándose en el método de equilibrio de carga, cuál de las dos rutas en la FIB usará el cortafuegos para la
designación durante esta sesión.
El equilibrio de carga de ECMP se realiza en este nivel de sesión, no en el nivel de paquete; el inicio de
una nueva sesión se produce cuando el cortafuegos (ECMP) elige una ruta a igual coste. Las rutas a igual
coste a un único destino se consideran miembros de la ruta de ECMP o miembros del grupo ECMP. ECMP
determina cuál de las múltiples rutas a un destino en la FIB se utiliza para un flujo de ECMP, en función del
algoritmo de equilibrio de carga que haya definido. Un enrutador virtual solo puede usar un algoritmo de
equilibrio de carga.
Habilitar, deshabilitar o cambiar ECMP en un enrutador virtual existente provoca que el

sistema reinicie el enrutador virtual, lo cual podría ocasionar que se cierren las sesiones
existentes.
Cada uno de los cuatro algoritmos posibles hace hincapié en una prioridad diferente, tal y como se indica a
continuación:
• Los algoritmos basados en hash dan prioridad a la permanencia de la sesión: los algoritmos IP Modulo
e IP Hash usan hashes basados en la información del encabezado de paquete, como las direcciones de
origen y destino. Dado que el encabezado de cada flujo en una sesión determinada contiene la misma
información de origen y destino, estas opciones conceden prioridad a la pegajosidad de la sesión. Si

elige el algoritmo IP Hash, el hash puede basarse en las direcciones de origen y destino, o el hash puede
basarse en la dirección de origen únicamente (en PAN-OS 8.0.3 y versiones posteriores). Al usar un hash
IP basado únicamente en la dirección de origen, todas las sesiones que pertenecen a la misma dirección
IP tomarán siempre la misma ruta de las diversas rutas disponibles. Por lo tanto, la ruta se considera
adhesiva y es más fácil detectar problemas en ella si fuera necesario. Puede definir opcionalmente un
valor de Hash Seed (Inicialización de hash) para aleatorizar aún más el equilibrio de carga si tiene un gran
número de sesiones hacia el mismo destino y no se están distribuyendo de manera uniforme entre los
enlaces ECMP.
• Los algoritmos equilibrados dan prioridad al equilibrio de carga: el algoritmo Balanced Round Robin
(Operación por turnos equilibrada) distribuye las sesiones entrantes equitativamente entre los enlaces,
dando prioridad al equilibrio de carga sobre la permanencia de la sesión. (La operación por turnos indica
una secuencia en la que se elige el elemento que hace más tiempo que no se escoge). Asimismo, si se
añaden nuevas rutas o se eliminan de un grupo ECMP (por ejemplo, si una ruta del grupo deja de estar
disponible), el enrutador virtual reequilibrará las sesiones en todos los enlaces del grupo. Además, si los
flujos en una sesión tienen que conmutar rutas debido a una caída del servicio, cuando la ruta original
asociada a la sesión vuelva a estar disponible, los flujos de la sesión se revertirán a la ruta original cuando
el enrutador virtual reequilibre de nuevo la carga.
• Los algoritmos ponderados dan prioridad a la capacidad o velocidad del enlace: como una extensión
del estándar del protocolo ECMP, la implementación de Palo Alto Networks ofrece una opción de
equilibrio de carga para Weighted Round Robin (Operación por turnos ponderada) que tiene en cuenta
las diferentes capacidades y velocidades de los enlaces en las interfaces de salida del cortafuegos. Con
esta opción, puede asignar ECMP Weights (Pesos de ECMP) (el intervalo es 1-255; el valor por defecto
es 100) a las interfaces basadas en el rendimiento de enlaces usando factores tales como la capacidad,
velocidad y latencia de los enlaces para garantizar que las cargas se equilibran con el fin de aprovechar
completamente los enlaces disponibles.
Por ejemplo, imaginemos que el cortafuegos tiene enlaces redundantes a un ISP: Ethernet 1/1 (100
Mbps) y Ethernet 1/8 (200 Mbps). Aunque son rutas a igual coste, el enlace a través de Ethernet 1/8
ofrece un mayor ancho de banda y por lo tanto puede gestionar una mayor carga que el enlace Ethernet
1/1. Por lo tanto, para garantizar que la funcionalidad de equilibrio de carga tiene en cuenta la capacidad
y velocidad de los enlaces, debe asignar a Ethernet 1/8 un peso de 200 y a Ethernet 1/1 un peso de
100. La relación de ponderación 2:1 hace que el enrutador virtual envíe el doble de sesiones a Ethernet
1/8 que a Ethernet 1/1. Sin embargo, dado que el protocolo ECMP se basa esencialmente en sesiones,
al usar el algoritmo Weighted Round Robin (Operación por turnos ponderada), el cortafuegos podrá
equilibrar la carga a todos los enlaces de ECMP basándose solo en la mejor opción.
Tenga en cuenta que los pesos de ECMP se asignan a las interfaces para determinar el equilibrio de carga
(para influir qué ruta a igual coste se elige), no para la selección de ruta (una elección de ruta entre rutas
que podrían tener diferentes costes).
Asigne enlaces de menor velocidad o capacidad con un peso menor. Asigne enlaces de
mayor velocidad o capacidad con un peso mayor. De este modo, el cortafuegos puede
distribuir sesiones basándose en estas relaciones, en lugar de saturar un enlace de baja
capacidad que es una de las rutas a igual coste.
Compatibilidad con modelo de ECMP, interfaz y enrutamiento de

IP
ECMP es compatible con todas las plataformas de cortafuegos de Palo Alto Networks, con compatibilidad
de reenvío mediante hardware en los cortafuegos de la serie PA-7000, PA-5000, PA-3060 y PA-3050. Los
cortafuegos de la serie PA-500, PA-200 y VM admiten ECMP solo mediante software. El rendimiento se ve
afectado para las sesiones que no se pueden descargar mediante hardware.
ECMP es compatible con Capa 3, subinterfaz de Capa 3, VLAN, túnel e interfaces de Ethernet de
agregación.

ECMP se puede configurar para rutas estáticas y cualquiera de los protocolos de enrutamiento dinámico
compatibles con el cortafuegos.
ECMP afecta a la capacidad de la tabla de enrutamiento porque la capacidad se basa en el número de
rutas, de modo que una ruta ECMP con cuatro rutas consumirá cuatro entradas de la capacidad de la
tabla de enrutamiento. La implementación de ECMP puede reducir ligeramente la capacidad de la tabla de
enrutamiento porque se utiliza más memoria para usar etiquetas basadas en sesiones para asignar los flujos
de tráfico a interfaces particulares.
El enrutamiento de enrutador a enrutador virtual mediante rutas estáticas no es compatible con ECMP.
Configuración de ECMP en un enrutador virtual

Utilice el siguiente procedimiento para habilitar ECMP en un enrutador virtual. Los requisitos previos son:
• Especifique las interfaces que pertenecen a un enrutador virtual (Network [Red] > Virtual Routers
[Enrutadores virtuales] > Router Settings [Configuración de enrutador] > General).
• Especifique el protocolo de enrutamiento de IP.
La habilitación, deshabilitación o cambio de ECMP para un enrutador virtual existente hace que el sistema
reinicie el enrutador virtual, que puede causar la terminación de las sesiones.
STEP 1 | Habilitación de ECMP para un enrutador virtual.

en el que se habilitará ECMP.
2. Seleccione Router Settings (Configuración de enrutador) > ECMP y seleccione Enable (Habilitar).
STEP 2 | (Opcional) Habilite el retorno simétrico de paquetes del servidor al cliente.

Seleccione Symmetric Return (Retorno simétrico) para que los paquetes de retorno salgan de la misma
interfaz a la que llegaron los paquetes de entrada asociados. Es decir, que el cortafuegos usará la interfaz
de entrada a la que enviar los paquetes de retorno, en lugar de usar la interfaz ECMP. El ajuste de
Symmetric Return (Retorno simétrico) anula el equilibrio de carga. Este comportamiento solo se produce
con flujos de tráfico del servidor al cliente.
STEP 3 | Especifique el número máximo de rutas a igual coste (a una red de destino) que se pueden
copiar desde la base de información de rutas (RIB) a la base de información de reenvío (FIB).
Para el valor máximo de rutas permitidas, en Max Path (Ruta máxima), introduzca 2, 3 o 4. Default: 2
STEP 4 | Seleccione el algoritmo de equilibrio de carga para el enrutador virtual. Para obtener más
información sobre los métodos de equilibrio de carga y sus diferencias, consulte Algoritmos de
equilibrio de carga ECMP .
En Load Balance (Equilibrio de carga), seleccione una de las siguientes opciones del menú desplegable
Method (Método):
• IP Modulo (predeterminado): usa un hash de las direcciones IP de origen y destino en el encabezado
del paquete para determinar qué ruta ECMP se usará.
• IP Hash: existen dos métodos de hash IP que determinan qué ruta ECMP se usará (seleccione las
opciones de hash en el paso 5):
• Use un hash de la dirección de origen (disponible en PAN-OS 8.0.3 y versiones posteriores).
• Utilice un hash de las direcciones IP de origen y destino (el método de hash IP predeterminado).
• Balanced Round Robin (Operación por turnos equilibrada): usa operación por turnos entre rutas
ECMP y reequilibra las rutas cuando cambia el número de rutas.
• Weighted Round Robin (Operación por turnos ponderada): usa operación por turnos y un peso
relativo para seleccionar entre las rutas ECMP. Especifique los pesos en el paso 6 a continuación.

STEP 5 | (IP Hash únicamente) Configure las opciones de hash de IP.
Si ha seleccionado IP Hash como el Method (Método):
1. Seleccione Use Source Address Only (Usar dirección de origen únicamente) (disponible en PAN-
OS 8.0.3 y versiones posteriores) si desea asegurarse de que todas las sesiones que pertenecen a la
misma dirección IP tomen siempre la misma ruta de las múltiples rutas disponibles. Esta opción de
hash de IP proporcionan permanencia de la ruta y facilita la resolución de problemas. Si no selecciona
esta opción o utiliza una versión anterior a PAN-OS 8.0.3, el hash de IP se basa en las direcciones IP
de origen y destino (el método de hash de IP predeterminado).
Si selecciona Use Source Address Only (Usar dirección de origen únicamente), no

debe enviar la configuración de Panorama a los cortafuegos que ejecutan PAN-OS
8.0.2, 8.0.1 o 8.0.0.
2. Seleccione Use Source/Destination Ports (Usar puertos de origen/destino) si desea usar los números
de puerto de origen y destino en el cálculo de IP Hash.
La habilitación de esta opción junto con Use Source Address Only (Usar la dirección
de origen únicamente) asignará aleatoriamente la selección de ruta incluso para las
sesiones que pertenecen a la misma dirección IP de origen.
3. Introduzca un valor Hash Seed (Inicialización de hash) (un valor entero con un máximo de nueve
dígitos). Especifique un valor Hash Seed (Inicialización de hash) para aleatorizar aún más el equilibrio
de carga. Especificar un valor de inicialización de hash resulta útil si tiene un gran número de sesiones
con la misma información de tupla.
STEP 6 | (Solo para Weighted Round Robin [Operación por turnos ponderada]) Defina un peso para
cada interfaz en el grupo ECMP.
Si ha seleccionado Weighted Round Robin (Operación por turnos ponderada) como Method (Método),
defina un peso para cada una de las interfaces que constituyen los puntos de salida para enrutar el
tráfico a los mismos destinos (es decir, interfaces que forman parte de un grupo ECMP, como las
interfaces que ofrecen enlaces redundantes a su ISP o interfaces a las aplicaciones empresariales
fundamentales de su red corporativa).
A mayor peso, con mayor frecuencia se seleccionará la ruta a igual coste para una nueva sesión.
Aporte a los enlaces de mayor velocidad un peso más alto que a los enlaces más lentos,
con el fin de que haya más tráfico ECMP que atraviese el enlace más rápido.
1. Cree un grupo ECMP haciendo clic en Add (Añadir) y seleccionando Interface (Interfaz) en el menú
desplegable.
2. Seleccione Add (Añadir) para añadir las otras interfaces en el grupo ECMP.
3. Haga clic en Weight (Peso) y especifique el peso relativo de cada interfaz (el intervalo es 1-255; el
valor por defecto es 100).

2. En el mensaje de cambio de configuración ECMP, haga clic en Yes (Sí) para reiniciar el enrutador
virtual. Al reiniciar el enrutador virtual, puede que se terminen las sesiones existentes.
Este mensaje se muestra solo si está modificando un enrutador virtual con ECMP.

Seleccione Commit (Confirmar) para confirmar la configuración.

Habilitación de ECMP para varios sistemas BGP autónomos
Realice la siguiente tarea si ha configurado BGP y quiere habilitar ECMP en varios sistemas autónomos. Para
esta tarea se da por hecho que ya ha configurado BGP. En la figura siguiente, dos rutas ECMP a un destino
atraviesan dos cortafuegos que pertenecen a un único ISP en un único sistema BGP autónomo.
En la figura siguiente, dos rutas ECMP a un destino atraviesan dos cortafuegos que pertenecen a dos ISP
diferentes en sistemas BGP autónomos distintos.
STEP 1 | Configurar ECMP.

Consulte Configuración de ECMP en un enrutador virtual.
STEP 2 | Para el enrutamiento de BGP, habilite ECMP en múltiples sistemas autónomos.

en el que se habilitará ECMP para múltiples sistemas BGP autónomos.
2. Seleccione BGP > Advanced (Avanzado) y seleccione ECMP Multiple AS Support (Soporte de AS de
múltiple ECMP).

Verificación de ECMP
Un enrutador virtual configurado para ECMP indica en la base de información de reenvío (FIB) qué rutas son
ECMP. Una marca ECMP (E) para una ruta indica que está participando en ECMP para la interfaz de salida al
siguiente salto para esa ruta. Para verificar el ECMP, utilice el siguiente procedimiento para observar la FIB y
confirmar que algunas rutas son rutas múltiples a igual coste.

STEP 1 | Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales).
STEP 2 | En la fila del enrutador virtual en el que ha habilitado ECMP, haga clic en More Runtime Stats
(Más estadísticas de tiempo de ejecución).
STEP 3 | Seleccione Routing (Enrutamiento) > Forwarding Table (Tabla de reenvío) para ver la FIB.
En la tabla, observe que varias rutas al mismo destino (excepto una interfaz diferente)
tienen la marca E. Un asterisco (*) indica la ruta preferida para el grupo ECMP.

LLDP
Los cortafuegos de Palo Alto Networks son compatibles con el protocolo de detección de nivel de enlace
(LLDP, Link Layer Discovery Protocol), que funciona como la capa de enlace para detectar dispositivos
vecinos y sus capacidades. LLDP permite al cortafuegos y a otros dispositivos de la red intercambiar
(enviar y recibir) unidades de datos LLDP (LLDPDU) con los vecinos. El dispositivo receptor almacena la
información en un MIB, a la que puede acceder el protocolo simple de administración de redes (SNMP).
LLDP facilita la solución de problemas, especialmente en el caso de implementaciones de virtual wire donde
el cortafuegos suele pasar desapercibido en una topología de red.
• Descripción general de LLDP
• TLV compatibles con LLDP
• Mensajes de Syslog LLDP y capturas de SNMP
• Configuración de LLDP
• Visualización de estados y configuración de LLDP
• Borrado de estadísticas de LLDP
Descripción general de LLDP

LLDP opera en la Capa 2 del modelo OSI, usando direcciones MAC. Una LLDPDU es una secuencia
de elementos de tipo-longitud-valor (TLV) encapsulados en una trama Ethernet. El estándar IEEE
802.1AB define tres direcciones MAC para LLDPDU: 01-80-C2-00-00-0E, 01-80-C2-00-00-03 y 01-80-
C2-00-00-00.
El cortafuegos Palo Alto Networks solo admite una dirección MAC para transmitir y recibir unidades de
datos LLDP: 01-80-C2-00-00-0E. Al transmitir, el cortafuegos usa 01-80-C2-00-00-0E como la dirección
MAC de destino. Al recibir, el cortafuegos procesa los datagramas con 01-80-C2-00-00-0E como dirección
MAC de destino. Si el cortafuegos recibe cualquiera de las otras dos direcciones MAC para LLDPDU en sus
interfaces, realiza la misma acción de reenvío que realizó antes de esta función, del siguiente modo:
• Si el tipo de interfaz es vwire, el cortafuegos reenvía el datagrama al otro puerto.
• Si el tipo de interfaz es L2, el cortafuegos proyecta el datagrama al resto de VLAN.
• Si el tipo de interfaz es L3, el cortafuegos descarta los datagramas.
Panorama, GlobalProtect Mobile Security Manager y el dispositivo WildFire no son compatibles.
Los tipos de interfaz que admiten LLDP son TAP, alta disponibilidad (HA), reflejo de descifrado,
subinterfaces virtual wire/vlan/L3 e interfaces de tarjeta de procesamiento de logs (LPC) de PA-7000
Series.
Una trama Ethernet LLDP tiene el siguiente formato:
Con la trama Ethernet LLDP, la estructura TLV tiene el siguiente formato:

TLV compatibles con LLDP
Las LLDPDU incluyen TLV obligatorios y opcionales. La siguiente tabla enumera los TLV obligatorios
compatibles con el cortafuegos:
TLV obligatorios Tipo de DESCRIPTION

TLV
TLV de ID de 1 Identifica el bastidor del cortafuegos. Cada cortafuegos debe tener

bastidor exactamente un único ID de bastidor. El subtipo de ID de bastidor es
4 (dirección MAC) y los modelos de Palo Alto Networks utilizarán la
dirección MAC de Eth0 para garantizar la exclusividad.
TLV de ID de 2 Identifica el puerto desde el que se envía la LLDPDU. Cada cortafuegos

puerto usa un ID de puerto para cada mensaje de LLDPDU transmitido. El
subtipo de ID de puerto es 5 (nombre de interfaz) e identifica de manera
exclusiva el puerto de transmisión. El cortafuegos usa ifname de la
interfaz como el ID de puerto.
TLV de tiempo 3 Especifica cuánto tiempo (en segundos) se retiene la información

de vida (TTL) de LLDPDU recibida del peer como válida en el cortafuegos local (el
intervalo es 0-65.535). El valor es un múltiplo del multiplicador de tiempo
de retención de LLDP. Cuando el valor de TTL es 0, la información
asociada al dispositivo deja de ser válida y el cortafuegos elimina esa
entrada de la MIB.
Fin de TLV de 0 Indica el fin de la TLV en la trama Ethernet de LLDP.

LLDPDU
La siguiente tabla enumera los TLV opcionales compatibles con el cortafuegos de Palo Alto Networks:
TLV opcionales Tipo de Finalidad y notas relacionadas con la implementación del cortafuegos
TLV
TLV de 4 Describe el puerto del cortafuegos en formato alfanumérico. Se utiliza el

descripción del objeto ifAlias.
puerto
TLV de nombre 5 Nombre configurado del cortafuegos en formato alfanumérico. Se utiliza

del sistema el objeto sysName.

TLV opcionales Tipo de Finalidad y notas relacionadas con la implementación del cortafuegos
TLV
TLV de 6 Describe el cortafuegos en formato alfanumérico. Se utiliza el objeto

descripción del sysDescr.
sistema
Capacidades del 7 Describe el modo de implementación de la interfaz del siguiente modo:

sistema
• Se anuncia una interfaz L3 con capacidad de enrutador (bit 6) y el
“otro” bit (bit 1).
• Se anuncia una interfaz L2 con capacidad de puente para MAC (bit 3)
y el “otro” bit (bit 1).
• Se anuncia una interfaz virtual wire con capacidad de repetidor (bit 2)
y el “otro” bit (bit 1).
Dirección de 8 Una o más direcciones IP usadas para la gestión del cortafuegos, del
gestión siguiente modo:
• Dirección IP de la interfaz de gestión (MGT)
• Dirección IPv4 o IPv6 de la interfaz
• Dirección de bucle invertido
• Dirección definida por el usuario en el campo de dirección de gestión
Si no se indica una dirección IP de gestión, la predeterminada es la
dirección MAC de la interfaz de transmisión.
Se incluye el número de interfaz de la dirección de gestión especificada.
También se incluye el OID de la interfaz de hardware con la dirección de
gestión especificada (si se aplica).
Si se ha especificado más de una dirección de gestión, se enviará en el
orden especificado, empezando por el principio de la lista. Se admite un
máximo de cuatro direcciones de gestión.
Es un parámetro opcional que puede dejarse deshabilitado.
Mensajes de Syslog LLDP y capturas de SNMP

El cortafuegos almacena información de LLDP en las MIB, que puede supervisar un Gestor SNMP. Si desea
que el cortafuegos envíe notificaciones de capturas de SNMP y mensajes de syslog acerca de eventos de
LLDP, debe habilitar SNMP Syslog Notification (Notificación Syslog SNMP) en un perfil LLDP.
Conforme a RFC 5424, el protocolo de Syslog, y RFC 1157, Un protocolo simple de gestión de redes, LLDP
envía mensajes de capturas de SNMP y syslog cuando hay un cambio en la MIB. Estos mensajes están
limitados por frecuencia según el Notification Interval (Intervalo de notificación), un ajuste global de LLDP
que se establece por defecto en 5 segundos y que se puede configurar.
Dado que los mensajes de captura de SNMP y syslog LLDP están limitados por frecuencia, es posible que
parte de la información de LLDP proporcionada a esos procesos no coincida con las estadísticas de LLDP
actuales cuando realice la Visualización de la información de estado del LLDP. Se trata del comportamiento
normal y esperado.
Puede recibir un máximo de 5 MIB por interfaz (Ethernet o AE). Cada origen diferente tiene una MIB. Si se
supera el límite, se lanza el mensaje de error tooManyNeighbors.

Configuración de LLDP
Para configurar el LLDP y crear un perfil de LLDP, debe ser superusuario o administrador del dispositivo
(deviceadmin). Una interfaz de un cortafuegos admite un máximo de cinco peers LLDP.
STEP 1 | Habilite LLDP en el cortafuegos.

Seleccione Network (Red) > LLDP y edite la sección General de LLDP; seleccione Enable (Habilitar).
STEP 2 | (Opcional) Cambie la configuración global de LLDP.

1. Para Transmit Interval (sec) (Intervalo de transmisión [s]), especifique el intervalo (en segundos) con
el que se transmiten las LLDPDU. Default: 30 segundos. Intervalo: 1-3600 segundos.
2. Para Transmit Delay (sec) (Retardo de transmisión [s]), especifique el tiempo de retraso (en segundos)
entre las transmisiones de LLDP enviadas después de hacer un cambio en un elemento de TLV. Este
intervalo impide la inundación del segmento con LLDPDU si muchos cambios de red aumentan el
número de cambios LLDP o si la interfaz provoca flaps. El Transmit Delay (Retardo de transmisión)
debe ser inferior al Transmit Interval (Intervalo de transmisión). Default: 2 segundos. Intervalo: 1-600
segundos.
3. Para Hold Time Multiple (Múltiplo del tiempo de espera), especifique un valor que se multiplicará
por el Transmit Interval (Intervalo de transmisión) para determinar el Tiempo de espera total
de TTL. Default: 4. Intervalo: 1-100. El tiempo de espera TTL máximo es 65535 segundos,
independientemente del valor de multiplicador.
4. En Notification Interval (Intervalo de notificaciones), especifique el intervalo (en segundos) con el
que se transmiten los Mensajes de Syslog LLDP y capturas de SNMP cuando se producen cambios en
la MIB. Default: 5 segundos. Intervalo: 1-3600 segundos.
STEP 3 | Cree un perfil de LLDP.

Para obtener descripciones de los TLV opcionales, consulte TLV compatibles con LLDP.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > LLDP Profile (Perfil de LLDP) y Add
(Añadir) para añadir un Name (Nombre) para el perfil de LLDP.
2. En Mode (Modo), seleccione transmit-receive (transmisión-recepción) (opción por defecto), transmit-
only (solo transmisión) o receive-only (solo recepción).
3. Seleccione SNMP Syslog Notification (Notificación Syslog SNMP) para habilitar notificaciones de
SNMP y mensajes de syslog. Si se habilita, se usa el Notification Interval (Intervalo de notificación).
El cortafuegos enviará ambos, una captura SNMP y un evento de syslog, como está configurado en
Device (Dispositivo) > Log Settings (Configuración de log) > System (Sistema) > SNMP Trap Profile
(Perfil de captura SNMP) y Syslog Profile (Perfil de Syslog).
4. En Optional TLVs (TLV opcionales), seleccione los TLV que desea transmitir:
• Descripción de puerto
• Nombre del sistema
• Descripción del sistema
• Capacidades del sistema
5. (Opcional) Seleccione Management Address (Dirección de gestión) para añadir una o más direcciones
de gestión y seleccione Add (Añadir) para añadir un nombre en Name (Nombre).
6. Seleccione la Interface (Interfaz) desde la cual obtener la dirección de gestión. Se requiere al menos
una dirección de gestión si se ha activado el TLV Management Address (Dirección de gestión). Si no
se configura la dirección IP de gestión, el sistema usa la dirección MAC de la interfaz de transmisión
como la dirección de gestión de TLV.
7. Seleccione IPv4 o IPv6 y, en el campo adyacente, seleccione una dirección IP del menú desplegable
(que enumera las direcciones configuradas para la interfaz seleccionada) o introduzca una.

9. Se permiten hasta cuatro direcciones de gestión. Si ha especificado más de una Management Address
(Dirección de gestión), se enviarán en el orden especificado, empezando por la parte superior de la
lista. Para cambiar el orden de las direcciones, seleccione una dirección y use los botones Move Up
(Mover hacia arriba) o Move Down (Mover hacia abajo).
STEP 4 | Asigne un perfil de LLDP a una interfaz.

1. Seleccione Network (Red) > Interfaces y seleccione la interfaz a la que asignará un perfil de LLDP.
2. Seleccione Advanced (Avanzado) > LLDP.
3. Seleccione Enable LLDP (Habilitar LLDP) para asignar un perfil de LLDP a la interfaz.
4. En Profile (Perfil), seleccione el perfil que ha creado. Si selecciona None (Ninguno), se habilita LLDP
con funcionalidades básicas: envía los tres TLV obligatorios y habilita el modo transmit-receive
(transmisión-recepción).
Si desea crear un nuevo perfil, haga clic en LLDP Profile (Perfil de LLDP) y siga las instrucciones de
los pasos a continuación.

Visualización de estados y configuración de LLDP

Realice el siguiente procedimiento para ver los estados y la configuración de LLDP.
STEP 1 | Vea la configuración global de LLDP.

Seleccione Network (Red) > LLDP.
En la pantalla General de LLDP, la casilla de verificación Enable (Habilitar) indica si LLDP está o no
habilitado.
• Si LLDP está habilitado, se muestran los ajustes globales configurados (Intervalo de transmisión,
Retraso de transmisión, Múltiple tiempo de espera e Intervalo de notificaciones).
• Si LLDP no está habilitado, se muestran los valores predeterminados de los ajustes globales.
Para acceder a las descripciones de estos valores, consulte el segundo paso de la Configuración de LLDP.
STEP 2 | Vea la información de estado de LLDP.

1. Seleccione la pestaña State (Estado).
2. (Opcional) Introduzca un filtro para restringir la información que se muestra.
Información de la interfaz:
• Interface (Interfaz): nombre de las interfaces que tienen asignados perfiles LLDP.
• LLDP: estado de LLDP (habilitado o deshabilitado).
• Mode (Modo): modo LLDP de la interfaz: Tx/Rx, Tx solo o Rx solo.
• Profile (Perfil): nombre del perfil asignado a la interfaz.
Información de transmisión:
• Total Transmitted (Total transmitido): recuento de las LLDPDU transmitidas fuera de la interfaz.
• Dropped Transmit (Transmisión descartada): número de LLDPDU que no se han transmitido
fuera de la interfaz por un error. Por ejemplo, un error de longitud cuando el sistema construye un
LLDPDU para la transmisión.
Información recibida:

• Total Received (Total recibido): número de tramas LLDP recibidas en la interfaz.
• Dropped TLV (TLV descartada): número de las tramas LLDP descartadas en la recepción.
• Errors (Errores): número de TLV que se recibieron en la interfaz y contenían errores. Entre los
tipos de errores de TLV se incluyen: falta de uno o más TLV obligatorios, mal funcionamiento,
información fuera de alcance o error de longitud.
• Unrecognized (No reconocido): número de TLV recibidos en la interfaz que no reconoce el agente
local de LLDP. Por ejemplo, el tipo TLV está en el intervalo de TLV reservado.
• Aged Out (Caducado): número de elementos eliminados desde Receive MIB por una caducidad
TTL adecuada.
STEP 3 | Ver resumen de información de LLDP para cada vecino visto en una interfaz.
1. Seleccione la pestaña Peers.
2. (Opcional) Si lo desea, puede incluir un filtro para restringir la información que se muestra.
Interfaz local: Interfaz en el cortafuegos que detectó el dispositivo vecino.
ID de bastidor remoto: ID de bastidor del peer. Se usará la dirección MAC.
ID de puerto: ID del puerto del peer.
Nombre: Nombre del peer.
Más información: Ofrece la siguiente información del peer remoto, que se basa en TLV obligatorios y
opcionales.
• Tipo de bastidor: Dirección MAC.
• Dirección MAC: La dirección MAC del peer.
• Nombre del sistema: Nombre del peer.
• Descripción del sistema: Descripción del peer.
• Descripción de puerto: Descripción del puerto del peer.
• Tipo de puerto: Nombre de interfaz.
• ID de puerto: El cortafuegos usa el ifname de la interfaz.
• Capacidades del sistema: Funcionalidades del sistema. O=Otro, P=Repetidor, B=Puente, W=LAN-
Inalámbrico, R=Enrutador, T=Teléfono
• Capacidades habilitadas: Funcionalidades habilitadas en el peer.
• Dirección de gestión: Dirección de gestión del peer.
Borrado de estadísticas de LLDP

Puede borrar las estadísticas de LLDP para interfaces específicas.
Borre las estadísticas de LLDP para interfaces específicas.

1. Seleccione Network (Red) > LLDP > Status (Estado) y en la columna izquierda, seleccione una o más
interfaces en las que desea borrar las estadísticas de LLDP.
2. Haga clic en Clear LLDP Statistics (Borrar estadísticas de LLDP) en la parte inferior de la pantalla.

BFD
El cortafuegos admite la detección de reenvío bidireccional (Bidirectional Forwarding Detection, BFD) (RFC
5880), un protocolo que reconoce un fallo en la ruta bidireccional entre dos peers de enrutamiento. La
detección del fallo de BFD es extremadamente rápida, lo que brinda una conmutación por error más rápida
que la alcanzada por la supervisión de enlaces o las comprobaciones de enrutamiento dinámico frecuentes,
como los paquetes de bienvenida o heartbeats. Los centro de datos y redes de misión crítica que requieren
alta disponibilidad y una conmutación por error sumamente rápida necesitan la detección de conmutación
por error sumamente rápida que ofrece BFD.
• Descripción general de BFD
• Configuración de BFD
• Referencia: Detalles de BFD
Descripción general de BFD

Al habilitar BFD, se establece una sesión desde un extremo (el cortafuegos) hacia su peer BFD en el
extremo de un enlace que utiliza un protocolo de enlace de tres pasos. Los paquetes de control realizan
el protocolo de enlace y negocian los parámetros configurados en el perfil BFD, incluidos los intervalos
mínimos en los que los peers pueden enviar y recibir paquetes de control. Los paquetes de control BFD
para IPv4 e IPv6 se transmiten por el puerto UDP 3784. Los paquetes de control BFD para compatibilidad
con salto entre redes se transmiten por el puerto UDP 4784. Los paquetes de control BFD transmitidos por
cualquiera de los puertos se encapsulan en los paquetes UDP.
Una vez que se establece la sesión BFD, la implementación de Palo Alto Networks de BFD opera en
modo asíncrono, lo que significa que ambos extremos se envían paquetes de control (que funcionan
como paquetes de saludo) en el intervalo negociado. Si un peer no recibe un paquete de control dentro
del período de detección (calculado como el intervalo de transmisión negociado multiplicado por un
multiplicador de tiempo de detección), el peer considera la sesión como inactiva. (El cortafuegos no admite
el modo de demanda, en el que los paquetes de control se envían únicamente si es necesario en lugar de
periódicamente).
Cuando usted habilita BFD para una ruta estática y una sesión BFD entre el cortafuegos y el peer BFD
falla, el cortafuegos elimina de las tablas RIB y FIB la ruta que falló, y permite que una ruta alternativa
con una prioridad menor tome el control. Cuando usted habilita BFD para un protocolo de enrutamiento,
BFD notifica al protocolo de enrutamiento que debe cambiar a una ruta alternativa al peer. Por lo tanto, el
cortafuegos y peer BFD vuelven a converger en una nueva ruta.
Un perfil BFD le permite realizar la Configuración de BFD y aplicar estos ajustes a uno o más protocolos de
enrutamiento o rutas estáticas en el cortafuegos. Si habilita BFD sin configurar un perfil, el cortafuegos usa
su perfil BFD por defecto (con todos los ajustes por defecto). No puede cambiar el perfil BFD por defecto.
Cuando una interfaz ejecuta varios protocolos que usan diferentes perfiles BFD, BFD usa el perfil que tiene
el Desired Minimum Tx Interval (Intervalo Tx mínimo deseado) más bajo. Consulte BFD para protocolos de
enrutamiento dinámico.
Los peers HA activos/pasivos sincronizan configuraciones y sesiones BFD; los peers HA activos/activos no.
BFD está estandarizado en RFC 5880. PAN-OS no admite todos los componentes de RFC 5880; consulte
Componentes RFC no compatibles de BFD.
PAN-OS también admite RFC 5881, Detección de reenvío bidireccional (BFD) para IPv4 e IPv6 (un solo
salto). En este caso, BFD realiza un seguimiento de un solo salto entre dos sistemas que usan IPv4 o IPv6,
de manera que los dos sistemas se conectan directamente entre sí. BFD también realiza el seguimiento de
varios saltos de peers conectados por BGP. PAN-OS sigue la encapsulación de BFD según se describe en
RFC 5883, Detección de reenvío bidireccional (BFD) para rutas de varios saltos. Sin embargo, PAN-OS no
admite la autenticación.

• Modelo, interfaz y soporte al cliente de BFD
• Componentes RFC no compatibles de BFD
• BFD para rutas estáticas
• BFD para protocolos de enrutamiento dinámico
Modelo, interfaz y soporte al cliente de BFD

PAN-OS admite BFD en cortafuegos de la serie PA-3000, PA-5000, PA-5200, PA-7000 y VM. Cada
modelo admite una cantidad máxima de sesiones de BFD, según se enumera en la herramienta Selección de
producto.
BFD se ejecuta en Ethernet física, Ethernet de agregación (Aggregated Ethernet, AE), VLAN e interfaces de
túnel (VPN de sitio a sitio y LSVPN) y en subinterfaces de capa 3.
Los clientes BFD compatibles son los siguientes:
• Rutas estáticas (IPv4 e IPv6), que constan de un solo salto.
• OSPFv2 y OSPFv3 (los tipos de interfaz incluyen difusión, punto a punto y punto a multipunto).
• BGP IPv4 (IBGP, EBGP) consta de un solo salto o múltiples saltos.
• RIP (único salto).
Componentes RFC no compatibles de BFD

• Modo de demanda
• Autenticación
• El envío o la recepción de paquetes Echo; sin embargo, el cortafuegos pasará los paquetes Echo que
lleguen en una interfaz de modo tap o por Virtual Wire. (Los paquetes Echo de BFD tienen la misma
dirección IP para el origen y el destino).
• Secuencias de sondeo
• Control de congestión
BFD para rutas estáticas

Para usar BFD en una ruta estática, tanto el cortafuegos como el peer en el otro extremo de la ruta estática
deben admitir las sesiones BFD. Una ruta estática puede tener un perfil BFD únicamente si el tipo Next Hop
(Próximo salto) es IP Address (Dirección IP).
Si una interfaz está configurada con más de una ruta estática a un peer (la sesión BFS tiene la misma
dirección IP de origen y la misma dirección IP de destino), una sola sesión BFD maneja automáticamente
las múltiples rutas estáticas. Este comportamiento reduce las sesiones BFD. Si las rutas estáticas tienen
diferentes perfiles BDF, el perfil con el Desired Minimum Tx Interval (Intervalo Tx mínimo deseado) se
activa.
En una implementación en la que desea configurar BFD para una ruta estática en una interfaz cliente DHCP
o PPPE, debe realizar dos confirmaciones. La habilitación de BFD para una ruta estática requiere que el
tipo Next Hop (Próximo salto) sea IP Address (Dirección IP). Pero al momento de una confirmación de
interfaz DHCP o PPPoE, la dirección IP de la interfaz y la dirección IP de siguiente salto (puerta de enlace
por defecto) son desconocidas.
Primero debe habilitar un cliente DHCP o PPPoE para la interfaz, realizar una confirmación y esperar
que el servidor DHCP o PPPoE envíen al cortafuegos la dirección IP del cliente y la dirección IP de la
puerta de enlace por defecto. Luego puede configurar la ruta estática (usando la dirección de la puerta de
enlace por defecto del cliente DHCP o PPPE como el siguiente salto), habilitar BFD y realizar una segunda
confirmación.

BFD para protocolos de enrutamiento dinámico
Además de BFD para rutas estáticas, el cortafuegos admite BFD para los protocolos de enrutamiento BGP,
OSPF y RIP.
La implementación de Palo Alto Networks de BFD de varios saltos sigue la parte de

encapsulación de RFC 5883, Detección de reenvío bidireccional (BFD) para rutas de varios
saltos, pero no admite la autenticación. Una solución alternativa es configurar BFD en un
túnel VPN para BGP. El túnel VPN puede brindar autenticación sin la duplicación de la
autenticación de BFD.
Cuando habilita BFD para las interfaces de difusión OSPFv2 o OSPFv3, OSPF establece una sesión BFD
únicamente con su enrutador designado (Designated Router, DR) y el enrutador designado de respaldo
(Backup Designated Router, BDR). En las interfaces de punto a punto, OSPF establece una sesión BFD con
el vecino directo. En las interfaces de punto a punto, OSPF establece una sesión BFD con cada peer.
El cortafuegos no admite BFD en un OSPF o enlace virtual OSPFv3.
Cada protocolo de enrutamiento puede tener sesiones BFD independientes en una interfaz. O bien, dos o
más protocolos de enrutamiento (BGP, OSPf y RIP) pueden compartir una sesión de BFD común para una
interfaz.
Cuando habilita BFD para múltiples protocolos en la misma interfaz, y la dirección IP de origen y la dirección
IP de destino para los protocolos también son las mismas, los protocolos comparten una sola sesión BFD,
con lo cual se reducen ambas cargas de trabajo del plano de datos (CPU) y carga de trabajo en la interfaz. Si
configura diferentes perfiles BFD para estos protocolos, solo se usa un perfil BFD: el que tiene el Desired
Minimum Tx Interval (Intervalo Tx mínimo deseado) más bajo. Si los perfiles tienen el mismo Desired
Minimum Tx Interval, se activa el perfil utilizado por la primera sesión creada. En el caso de que una ruta
estática y OSPF compartan la misma sesión, debido a que una sesión estática se crea inmediatamente
después de una confirmación, si bien el OSPF espera hasta que haya una adyacencia activa, el perfil de la
ruta estática tiene prevalencia.
El beneficio de usar una sola sesión de BFD en estos casos es que este comportamiento utiliza recursos de
manera más eficiente. El cortafuegos puede utilizar los recursos guardados para admitir más sesiones de
BFD en diferentes interfaces o admitir BFD para diferentes ares de dirección IP de origen y de destino.
IPv4 e IPv6 en la misma interfaz siempre crea diferentes sesiones BFD, incluso aunque usen el mismo perfil
BFD.
Si implementa la BFD en el BGP y la supervisión de la ruta de HA, Palo Alto Networks le

recomienda no implementar el reinicio correcto del BGP. Cuando la interfaz del peer de
BFD falla y la supervisión de la ruta falla, la BFD puede eliminar las rutas afectadas de la
tabla de enrutamiento y sincronizar este cambio con el cortafuegos de HA pasivo antes de
que se implemente el reinicio correcto. Si decide implementar la BFD del BGP, el reinicio
correcto del BGP y la supervisión de la ruta de HA, debe configurar la BFD con valores de
intervalo de Tx mínimo deseado y multiplicador de tiempo de detección superiores a los
valores predeterminados.
Configuración de BFD
Esta tarea supone que usted ha realizado los siguientes requisitos previos:
• Leyó la descripción general de BFD, que incluye los modelos de cortafuegos y las interfaces compatibles.
• Configuró uno o más enrutadores virtuales.
• Configuró una o más rutas estáticas si está aplicando BFD a rutas estáticas.
• Configuró un protocolo de enrutamiento (BGP, OSPF, OSPFv3 o RIP) si está aplicando BFD a un
protocolo de enrutamiento.

La eficacia de su implementación de BFD depende de diversos factores, tales como las
cargas de tráfico, las condiciones de la red, qué tan agresiva es su configuración de BFD y
qué tan ocupado está el plano de datos.
STEP 1 | Cree un perfil de BFD.
Si cambia un ajuste en un perfil de BFD que una sesión de BFD existente está utilizando
y confirma el cambio, antes de que el cortafuegos elimine esa sesión BFD y vuelva a
crearla con el nuevo ajuste, el cortafuegos envía un paquete BFD con el estado local
configurado con el administrador inactivo. El dispositivo del peer puede o no alternar
el protocolo de enrutamiento o ruta estática, según la implementación del peer de
RFC 5882, Sección 3.2.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > BFD Profile (Perfil BFD) y luego
Add (Añadir) para añadir un Name (Nombre) para el perfil BFD. El nombre distingue entre mayúsculas
y minúsculas y debe ser único en el cortafuegos. Utilice solamente letras, números, espacios, guiones
y guiones bajos.
2. Seleccione el Mode (Modo) en el que BFD operará:
• Active (Activo): BFD inicia el envío de los paquetes de control (por defecto). Al menos uno de los
peers de BFD debe estar activo; ambos pueden estar activos.
• Passive (Pasivo): BFD espera que el peer envíe los paquetes de control y responde según
corresponda.
STEP 2 | Configure los intervalos de BFD.

1. Introduzca el Desired Minimum Tx Interval (ms) (Intervalo de Tx mínimo deseado [ms]). Este es el
intervalo mínimo, en milisegundos, con el cual usted desea que el protocolo BFD (denominad BFD)
envíe paquetes de control BFD; con lo cual usted está negociando el intervalo de transmisión con
el peer. El mínimo en los cortafuegos de la serie PA-7000, PA-5200 y PA-5000 es 50; el mínimo en
el cortafuegos de la serie PA-3000 es 100; el mínimo en el cortafuegos de la serie VM es 200. El
máximo es 2.000; el valor por defecto es 1.000.
Si tiene múltiples protocolos de enrutamiento que usan diferentes perfiles BFD en la

misma interfaz, configure los perfiles BFD con el mismo valor de Desired Minimum Tx
Interval (Intervalo de Tx mínimo deseado).
2. Introduzca el Required Minimum Rx Interval (ms) (Intervalo Rx mínimo necesario [ms]). Este es el
intervalo mínimo, en milisegundos, en el cual BFD puede recibir paquetes de control BFD. El mínimo
en los cortafuegos de la serie PA-7000, PA-5200 y PA-5000 es 50; el mínimo en el cortafuegos de
la serie PA-3000 es 100; el mínimo en el cortafuegos de la serie VM es 200. El máximo es 2.000; el
valor por defecto es 1.000.
STEP 3 | Configure el multiplicador de tiempo de detección BFD.

Introduzca el Detection Time Multiplier (Multiplicador de tiempo de detección). El intervalo de
transmisión (negociado desde Desired Minimum Tx Interval (Intervalo Tx mínimo deseado)) multiplicado
por el valor en Detection Time Multiplier (Multiplicador de tiempo de detección) es igual al tiempo de
detección. Si BFD no recibe un paquete de control BFD desde su peer antes de que se agote el tiempo
de detección, se produjo un fallo. El intervalo es 2-50; el valor predeterminado es 3.
Por ejemplo, un intervalo de transmisión de 300 ms x 3 (multiplicador del tiempo de detección) = 900 ms
de tiempo de detección.
Al configurar un perfil BFD, tenga en cuenta que el cortafuegos es un dispositivo

basado en la sesión generalmente en el extremo de una red o centro de datos, y puede
tener enlaces más lentos que un enrutador dedicado. Por lo tanto, el cortafuegos

probablemente necesita un intervalo más prolongado y un multiplicador más alto de lo
que permiten los ajustes más rápidos. Un tiempo de detección demasiado breve puede
causar falsas detecciones de fallos cuando el problema es en realidad la congestión del
tráfico.
STEP 4 | Configure el tiempo de retención de BFD.

Introduzca el Hold Time (ms) (Tiempo de espera [ms]). Esta es la demora, en milisegundos, luego de que
un enlace se activa antes de que BFD transmita los paquetes de control de BFD. Hold Time (Tiempo de
espera) se aplica al modo activo de BFD únicamente. Si el BFD recibe paquetes de control BFD durante
el tiempo de espera, los ignora. El intervalo es de 0-120000. El valor por defecto de 0, que significa
que no se utiliza el tiempo de espera de transmisión; el BFD envía y recibe paquetes de control BFD de
inmediato después de que establece el enlace.
STEP 5 | (Opcional: para una implementación de IPv4 de BGP únicamente) configure ajustes
relacionados con el salto para el perfil BFD.
1. Seleccione Multihop (Múltiples pasos) para habilitar BFD en varios saltos de BGP.
2. Introduzca el Minimum Rx TTL (TTL Rx mínimo). Este es el valor mínimo de período de vida (cantidad
de saltos) que BFD aceptará (recibirá) en un paquete de control de BFD cuando BGP admite varios
saltos de BFD. (El intervalo es 1-254; no hay valor por defecto).
El cortafuegos descarta el paquete si recibe un TTL menor que el Minimum Rx TTL (TTL Rx mínimo)
configurado. Por ejemplo, si el peer está a 5 saltos de distancia y el peer transmite un paquete BFD
con un TTL de 100 al cortafuegos, y si el valor Minimum Rx TTL (TTL Rx mínimo) para el cortafuegos
está configurado en 96 o más, el cortafuegos descarta el paquete.
STEP 6 | Guarde el perfil BFD.

STEP 7 | (Opcional) Habilite BFD para una ruta estática.

el cortafuegos y el peer en el otro extremo de la ruta estática deben admitir las sesiones BFD.
donde esté configurada la ruta estática.
2. Seleccione la pestaña Static Routes (Rutas estáticas).
3. Seleccione la pestaña IPv4 o IPv6.
4. Seleccione la ruta estática donde desea aplicar el BFD.
5. Seleccione una Interface (Interfaz) (incluso aunque esté usando una dirección DHCP). El ajuste de
Interface (Interfaz) no puede ser None (Ninguna).
6. Para Next Hop (Próximo salto), seleccione IP Address (Dirección IP) e introduzca la dirección IP si
aún no la especificó.
7. En BFD Profile (Perfil BFD), seleccione una de las opciones siguientes:
• default (predeterminado): usa únicamente los ajustes por defecto.
• New BFD Profile (Nuevo perfil BFD): le permite crear un perfil BFD.
La selección de None (Disable BFD) (Ninguno [deshabilitar BFD]) deshabilita BFD

para la ruta estática.
Una columna BFD en la pestaña IPv4 o IPv6 indica el perfil BFD configurado para la ruta estática.
STEP 8 | (Opcional) Habilite BFD para todas las interfaces BGP o para un solo peer BGP.

Si habilita o deshabilita BFD de forma global, todas las interfaces que ejecutan BGP se
desactivan y se vuelven a activar con la función BFD. Esto puede interrumpir todo el
tráfico BGP. Cuando habilita BFD en la interfaz, el cortafuegos detendrá la conexión BGP
al peer para programar BFD en la interfaz. El dispositivo del peer notará la caída de la
conexión de BGP, lo cual podrá resultar en una nueva convergencia. Habilite BFD en las
interfaces BGP durante un horario de menor demanda, cuando la nueva convergencia no
afecte el tráfico de producción.
Si implementa ambos BFD para el control de ruta HA y BGP, Palo Alto Networks le
recomienda no implementar el BGP Graceful Restart (Reinicio correcto BGP). Cuando
la interfaz del peer de BFD falla y el control de ruta falla, BFD puede eliminar las rutas
afectadas de la tabla de rutas y sincronizar este cambio con el cortafuegos HA pasivo
antes de que el reinicio correcto surta efecto. Si decide implementar BFD para BGP, el
reinicio correcto para BGP y el control de ruta HA, debe configurar BFD con un intervalo
Tx mínimo deseado superior y un multiplicador de tiempo de detección superior a los
valores predeterminados.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales), y seleccione el enrutador virtual
donde está configurado BGP.
2. Seleccione la pestaña BGP.
3. (Opcional) Para aplicar BFD a todas las interfaces BGP en el enrutador virtual, en el menú desplegable
BFD seleccione una de las siguientes opciones y haga clic en OK (Aceptar):
La selección de None (Disable BFD) (Ninguno [Deshabilitar BFD]) deshabilita BFD

para todas las interfaces BGP en el enrutador virtual; usted no puede habilitar BFD
para una sola interfaz BGP.
4. (Opcional) Para habilitar BFD para una sola interfaz de peer BGP (con lo cual se cancela el ajuste de
BFD para BGP, siempre y cuando no esté deshabilitado), realice las siguientes tareas:
1. Seleccione la pestaña Peer Group (Grupo de peers).
2. Seleccione un grupo de peers.
3. Seleccione un peer.
4. En el menú desplegable BFD, seleccione una de las siguientes opciones:
default (predeterminado): usa únicamente los ajustes por defecto.
Inherit-vr-global-setting (heredar ajuste global para el enrutador virtual) (valor predeterminado):
el peer BGP hereda el perfil BFD que usted seleccionó globalmente para BGP para el enrutador
virtual.
Un perfil BFD que haya configurado. Consulte Creación de un perfil BFD.
La selección de Disable BFD (Deshabilitar BFD) deshabilita BFD para el peer

BGP.
Una columna BFD en BGP - Grupo de peers/Lista de peers indica el perfil BFD configurado para la
interfaz.
STEP 9 | (Opcional) Habilite BFD para OSPF u OSPFv3 globalmente para una interfaz OSPF.

donde OSPF u OSPFv3 están configurados.
2. Seleccione la pestaña OSPF u OSPFv3.
3. (Opcional) En el menú desplegable BFD, seleccione una de las siguientes opciones para habilitar BFD
para todas las interfaces OSPF u OSPFv3 y haga clic en OK (Aceptar):

para todas las interfaces OSPF en el enrutador virtual; usted no puede habilitar
BFD para una sola interfaz OSPF.
4. (Opcional) Para habilitar BFD para una sola interfaz de peer OSPF (con lo cual se cancela el ajuste de
BFD para OSPF, siempre y cuando no esté deshabilitado), realice las siguientes tareas:
1. Seleccione la pestaña Areas (Áreas) y seleccione un área.
2. En la pestaña Interface (Interfaz), seleccione una interfaz.
3. En el menú desplegable BFD, seleccione una de las siguientes opciones para configurar BFD para
el peer OSPF especificado:
Inherit-vr-global-setting (heredar ajuste global para el enrutador virtual) (valor por defecto): el
peer OSPF hereda el ajuste de BFD para OSPF u OSPFv3 para el enrutador virtual.
La selección de Disable BFD (Deshabilitar BFD) deshabilita BFD para la interfaz

OSPF u OSPFv3.
Una columna BFD en la pestaña de OSPF Interface indica el perfil BFD configurado para la interfaz.
STEP 10 | (Opcional) Habilite BFD para RIP globalmente o para una sola interfaz RIP.
1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales), y seleccione el enrutador virtual
donde está configurado RIP.
2. Seleccione la pestaña RIP.
3. (Opcional) En el menú desplegable BFD, seleccione una de las siguientes opciones para habilitar BFD
para todas las interfaces RIP en el enrutador virtual y haga clic en OK (Aceptar):

para todas las interfaces RIP en el enrutador virtual; usted no puede habilitar BFD
para una sola interfaz RIP.
4. (Opcional) Para habilitar BFD para una sola interfaz RIP (con lo cual se cancela el ajuste de BFD para
RIP, siempre y cuando no esté deshabilitado), realice las siguientes tareas:
1. Seleccione la pestaña Interfaces y seleccione una interfaz.
2. En el menú desplegable BFD, seleccione una de las siguientes opciones:

Inherit-vr-global-setting (heredar ajuste global para el enrutador virtual) (valor por defecto): la
interfaz RIP hereda el perfil BFD que usted seleccionó globalmente para RIP para el enrutador
virtual.
La selección de None (Disable BFD) (Ninguno [deshabilitar BFD]) deshabilita BFD

para la interfaz RIP.
La columna BFD en la pestaña Interface (Interfaz) indica el perfil BFD configurado para la interfaz.

STEP 12 | Visualización de resumen y detalles de BFD

1. Seleccione Network (Red) > Virtual Routers (Enrutadores virtuales), busque el enrutador virtual de su
interés y haga clic en More Runtime Stats (Más estadísticas de tiempo de ejecución).
2. Seleccione la pestaña BFD Summary Information (Información de resumen BFD) para ver la
información resumida, tal como el estado de BFD y las estadísticas del tiempo de ejecución.
3. (Opcional) Seleccione details (detalles) en la fila de la interfaz en la que está interesado para ver
Reference: BFD Details (Referencia: detalles de BFD).
STEP 13 | Supervise los perfiles de BFD a los que hace referencia una configuración de enrutamiento;
supervise las estadísticas de BFD, el estado y la condición.
Use los siguientes comandos operativos de CLI:
• show routing bfd active-profile [<name>]
• show routing bfd details [interface <name>][local-ip <ip>][multihop][peer-
ip <ip>][session-id][virtual-router <name>]
• show routing bfd drop-counters session-id <session-id>
• show counter global | match bfd
STEP 14 | (Opcional) Borre los contadores de transmisión, recepción y descarte de BFD.
clear routing bfd counters session-id all | <1-1024>
STEP 15 | (Opcional) Borre las sesiones de BFD para la depuración.
clear routing bfd session-state session-id all | <1-1024>
Referencia: Detalles de BFD

Para ver la siguiente información BFD de un enrutador virtual, puede consultar el paso Visualización de
resumen y detalles de BFD.
Nombre Valor (ejemplo) Descripción
ID de sesión 1 Número de ID de la sesión BFD.

Interface (Interfaz) ethernet1/12 Interfaz que seleccionó donde BFD se está ejecutando.
Protocolo STATIC(IPV4) Ruta estática (familia de dirección IP de ruta estática)

OSPF y/o protocolo de enrutamiento dinámico que está
ejecutando BFD en la interfaz.
Dirección IP local 10.55.55.2 Dirección IP de la interfaz.
Dirección IP vecina 10.55.55.1 Dirección IP del vecino BFD.
Perfil BFD valor por defecto Nombre del perfil BFD aplicado a la interfaz.
*(Esta sesión
Debido a que la interfaz de muestra tiene una ruta
BFD tiene varios
estática y OSPF que ejecuta BFD con diferentes perfiles,
perfiles BFD. El
el cortafuegos utiliza el perfil con el intervalo de Tx
“intervalo de Tx
deseado mínimo más bajo. En este ejemplo, el perfil
deseado mínimo
utilizado es el perfil por defecto.
[ms]” más bajo
se utiliza para
seleccionar el
perfil efectivo).
Estado (local/remoto) activo/activo Estados de BFD de los peers de BFD locales y remotos.
Los estados posibles son administrador inactivo, inactivo,
inicializado y activo.
Tiempo de activación 2 h 36 m 21 s Duración de tiempo en el que BFD ha estado activo

419 ms (horas, minutos, segundos y milisegundos).
Discriminador (local/ 1391591427/1 Discriminadores para peers BFD locales y remotos.

remoto)
Modo Activo Modo en el que BFD está configurado en la interfaz:

Activo o pasivo.
Modo de demanda Disabled PAN-OS no admite el modo de demanda BFD, por lo

(Deshabilitado) cual siempre está en estado deshabilitado.
Multihop Disabled Pasos múltiples de BFD: Habilitado o deshabilitado.

(Deshabilitado)
Multihop TTL TTL de múltiples pasos; el intervalo es 1-254. El campo

está vacío si Multihop está deshabilitado.
Local Diag Code 0 (sin diagnóstico) Los códigos de diagnóstico indican el motivo del último
cambio de estado del sistema local:
0: sin diagnóstico
1: vencimiento del tiempo de detección de control
2: error de la función Echo
3: sesión de señalización de vecino inactiva

4: restablecimiento del plano de reenvío
5: ruta inactiva
6: ruta concatenada inactiva
7: función administrativa inactiva
8: ruta concatenada inversa inactiva
Last Received Remote 0 (sin diagnóstico) Último código de diagnóstico recibido del peer BFD.
Diag Code
Tiempo de espera de 0 ms Tiempo de espera (en milisegundos) luego de que

transmisión un enlace se activa antes de que BFD transmita los
paquetes de control de BFD. Un tiempo de espera de
0 ms significa que se transmitirá inmediatamente. El
intervalo es de 0-120.000 ms.
Received Min Rx 1000 ms Intervalo de Rx mínimo recibido del peer; el intervalo en

Interval el cual el peer BFD puede recibir paquetes de control. El
valor máximo es de 2000 ms.
Negotiated Transmit 1000 ms El intervalo de transmisión (en milisegundos) que los

Interval peers de BFD han acordado para enviarse paquetes
de control BFD mutuamente. El valor máximo es de
2000 ms.
Received Multiplier 3 Valor de multiplicador de tiempo de detección recibido

del peer BFD. El tiempo de transmisión multiplicado
por el multiplicador es igual al tiempo de detección. Si
BFD no recibe un paquete de control BFD desde su peer
antes de que se agote el tiempo de detección, se produjo
un fallo. El intervalo es de 2-50.
Detect Time 3000ms (0) Tiempo de detección calculado (intervalo de transmisión

(exceeded) negociado multiplicado por el multiplicador) y la cantidad
de milisegundos que se excedió el tiempo de detección.
Tx Control Packets 9383 (420 ms Cantidad de paquetes de control BFD transmitidos (y

(last) atrás) tiempo desde que BFD transmitió el paquete de control
más reciente).
Rx Control Packets 9384 (407 ms Cantidad de paquetes de control BFD recibidos (y

(last) atrás) tiempo desde que BFD recibió el paquete de control más
reciente).
Agent Data Plane Ranura 1 - DP 0 En los cortafuegos de la serie PA-7000, el CPU del plano
de datos que se asignó para manejar los paquetes para
esta sesión BFD.
Errores 0 Número de errores de BFD.
Último paquete que causó el cambio de estado

versión 1 Versión de BFD.
Poll Bit 0 Bit de sondeo de BFD; 0 indica que no está configurado.
Desired Min Tx 1000 ms Intervalo de transmisión mínimo deseado del último

Interval paquete que causó un cambio de estado.
Required Min Rx 1000 ms Intervalo de recepción mínimo necesario del último

Interval paquete que causó un cambio de estado.
Detect Multiplier 3 Multiplicador de detección del último paquete que causó

un cambio de estado.
My Discriminator 1 Discriminador remoto. Un discriminador es un valor

único diferente a cero que los peers usan para
diferenciar varias sesiones de BFD entre ellas.
Your Discriminator 1391591427 Discriminador local. Un discriminador es un valor único

diferente a cero que los peers usan para diferenciar
varias sesiones de BFD entre ellas.
Diagnostic Code 0 (sin diagnóstico) Código de diagnóstico del último paquete que causó un
cambio de estado.
Length 24 Extensión del paquete de control de BFD en bytes.
Demand Bit 0 PAN-OS no admite el modo de demanda BFD, por lo

cual el bit de demanda siempre está configurado en 0
(deshabilitado).
Final Bit 0 PAN-OS no admite la secuencia de sondeo, por lo cual el

bit final siempre está configurado en 0 (deshabilitado).
Multipoint Bit 0 Este bit está reservado para futuras extensiones de

punto a multipunto para BFD. Debe ser cero en la
transmisión y la recepción.
Control Plane 1 • Si está configurado en 1, la implementación BFD del

Independent Bit sistema de transmisión no comparte el destino con
su plano de control (es decir, BFD se implementa en
el plano de reenvío y puede continuar funcionando
a pesar de las alteraciones del plano de control). En
PAN-OS, este bit siempre está configurado en 1.
• Si está configurado en 0, la implementación de BFD
del sistema de transmisión comparte el destino con su
plano de control.
Authentication Present 0 PAN-OS no admite la autenticación BFD, por lo cual

Bit el bit de presencia de autenticación siempre está
configurado en 0.

Required Min Echo Rx 0 ms PAN-OS no admite la función Echo de BFD, por lo cual
Interval este valor siempre será 0 ms.

Configuración de sesión y tiempos de espera
de sesión
Esta sección describe la configuración global que afecta a las sesiones TCP, UDP e ICMPv6, además de
IPv6, NAT64, sobresuscripción NAT, tamaño de trama gigante, MTU, vencimiento acelerado y autenticación
del portal cautivo. También hay un ajuste (Rematch Sessions [Reanalizar sesiones establecidas]) que le
permite aplicar las políticas de seguridad recién configuradas a las sesiones que ya están en curso.
El primero de los siguientes temas ofrece breves resúmenes de la capa de transporte del modelo OSI, TCP,
UDP e ICMP. Para obtener más información acerca de los protocolos, consulte sus RFC respectivos. El resto
de temas describen la configuración y los tiempos de espera de sesión.
• Sesiones de capa de transporte
• TCP
• UDP
• ICMP
• Control de tipos y códigos específicos de ICMP o ICMPv6
• Configuración de los tiempos de espera de sesión
• Política de distribución de sesiones
• Definición de la configuración de sesión
• Prohibición del establecimiento de sesión de protocolo de enlace dividido de TCP
Sesiones de capa de transporte

Una sesión de red es un intercambio de mensajes que se produce entre dos o más dispositivos de
comunicación, durante cierto periodo de tiempo. Cada sesión se establece, y luego se anula cuando termina.
En las tres capas del modelo OSI tienen lugar distintos tipos de sesiones: la capa de transporte, la capa de
sesión y la capa de aplicación.
La capa de transporte funciona en la capa 4 del modelo OSI y proporciona una entrega punto a punto, fiable
o no fiable, y un control del flujo de los datos. Los protocolos de Internet que implementan sesiones en la
capa de transporte incluyen el Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de
usuario (UDP).
TCP
El protocolo de control de transmisión (TCP) (RFC 793) es uno de los protocolos principales del conjunto de
protocolos de Internet (IP), y está tan extendido que a menudo se le hace referencia junto a IP como TCP/
IP. Se considera que el TCP es un protocolo de transporte fiable, ya que ofrece comprobación de errores
mientras transmite y recibe segmentos, reconoce los segmentos recibidos y reorganiza los segmentos
recibidos en un orden incorrecto. TCP también solicita y ofrece la retransmisión de segmentos que faltaban.
TCP se basa en el estado y conexión, lo que significa que la conexión entre el remitente y el receptor se
establece durante la duración de la sesión. TCP ofrece un control del flujo de paquetes para que pueda
gestionar la gestión de las redes.
TCP realiza un protocolo de enlace durante la configuración de la sesión para iniciar y reconocer una
sesión. Cuando se han transferido los datos, la sesión se cierra de manera ordenada: cada lado transmite
un paquete FIN y lo reconoce con un paquete ACK. El protocolo de enlace que inicia la sesión TCP suele
ser un protocolo de enlace en tres pasos (un intercambio de tres mensajes) entre el iniciador y el agente
de escucha, o puede ser una variación, como un protocolo de enlace en cuatro o cinco pasos o abierto
simultáneo. En Descarte de paquetes de protocolo de enlace dividido de TCP on page 959 se explica

el proceso de Prohibición del establecimiento de sesión de protocolo de enlace dividido de TCP on page
972.
Entre las aplicaciones que usan TCP como protocolo de transporte se incluyen el protocolo de transferencia
de hipertexto (HTTP), protocolo HTTP seguro (HTTPS), protocolo de transferencia de archivos (FTP),
protocolo simple de transferencia de correo (SMTP), Telnet, protocolo de oficina de correos versión 3
(POP3), protocolo de acceso a mensajes de Internet (IMAP) y shell seguro (SSH).
Los siguientes temas tienen información detallada sobre la implementación PAN-OS de TCP.
• Temporizadores de TCP semicerrado y de Tiempo de espera TCP on page 957
• Temporizador RST sin verificar on page 958
• Descarte de paquetes de protocolo de enlace dividido de TCP on page 959
• Tamaño de segmento máximo (MSS) on page 960
Puede utilizar los Perfiles de protección de zonas on page 1107 en el cortafuegos para configurar
la protección de ataque basado en paquetes y descartar paquetes IP, TCP y IPv6 con características
indeseables o descartar opciones indeseables de los paquetes antes de permitirlos en la zona. También
puede configurar la protección contra inundaciones especificando la tasa de conexiones por segundo de
UDP (que no coinciden con una sesión existente) que activan una alarma, provocan que el cortafuegos
descarte paquetes SYN o utilice cookies de SYN de manera aleatoria, y causan que el cortafuegos descarte
paquetes SYN que superan la tasa máxima.
Temporizadores de TCP semicerrado y de Tiempo de espera TCP

El procedimiento de terminación de la conexión TCP usa un temporizador semicerrado TCP, que se
activa con el primer FIN que detecta el cortafuegos para una sesión. El temporizador se denomina TCP
semicerrado porque solo una parte de la conexión ha enviado un FIN. Un segundo temporizador, el de
tiempo de espera TCP, se activa después de recibir el segundo FIN o RST.
Si en el cortafuegos solo se activara un temporizador con el primer FIN, un ajuste demasiado corto cerraría
prematuramente las sesiones semicerradas. Por otro lado, un ajuste demasiado alto haría crecer demasiado
la tabla de la sesión, y probablemente agotaría todas las sesiones. Dos temporizadores le permiten tener un
temporizador TCP semicerrado relativamente largo y un temporizador de tiempo de espera TCP corto, lo
que hace vencer rápidamente las sesiones totalmente cerradas y controla el tamaño de la tabla de sesión.
La siguiente ilustración muestra el momento en que dos temporizadores del cortafuegos se activan durante
el procedimiento de terminación de la conexión TCP.

El temporizador de tiempo de espera de TCP debe definirse con un valor inferior al temporizador
semicerrado TCP por los siguientes motivos:
• Mientras más tiempo se permita tras ver el primer FIN, más tiempo tiene la otra parte de la conexión
para cerrar por completo la sesión.
• El tiempo de espera más corto se debe a que no hay necesidad de que la sesión permanezca abierta
durante mucho tiempo tras ver el segundo FIN o RST. Un tiempo de espera más breve libera los recursos
antes, pero deja tiempo para que el cortafuegos vea la confirmación final y la posible retransmisión de
otros datagramas.
Si configura un temporizador de tiempo de espera TCP con un valor más alto que el del TCP semicerrado, se
aceptará la confirmación, pero en la práctica el temporizador de tiempo de espera TCP no superará el valor
de TCP semicerrado.
Los temporizadores pueden definirse globalmente o por aplicación. Los ajustes globales se utilizan para
todas las aplicaciones de forma predeterminada. Si configura las temporizadores de espera TCP en el nivel
de aplicación, estos ajustes sustituirán a los ajustes globales.
Temporizador RST sin verificar

Si el cortafuegos recibe un paquete a RST que no puede comprobarse (porque tiene un número de
secuencia inesperado con la ventana TCP o tiene una ruta asimétrica), el temporizador de RST sin verificar
controla el vencimiento de la sesión. Cambia de forma predeterminada a 30 segundos, el intervalo es de
1-600 segundos. El temporizador RST sin verificar ofrece una medida de seguridad adicional, que se explica
en el segundo párrafo que aparece a continuación.
Un paquete RST tendrá uno de las tres resultados posibles:
• El paquete RST queda fuera de la ventana TCP y se omite.

• El paquete RST queda dentro de la ventana TCP pero no tiene el número de secuencia esperado, por lo
que queda sin verificar y está sujeto al ajuste de temporizador RST sin verificar. Este comportamiento
evita los ataques de denegación de servicio (DoS), en los que se intenta interrumpir las sesiones
existentes enviando paquetes RST aleatorios al cortafuegos.
• El paquete RST queda dentro de la ventana TCP y tiene el número de secuencia exacto esperado, por lo
que queda sujeto al ajuste de temporizador de tiempo de espera RST.
Descarte de paquetes de protocolo de enlace dividido de TCP

La opción Split Handshake (Protocolo de enlace dividido) en un perfil de protección de zona evitará que se
establezca una sesión TCP si el procedimiento de establecimiento de sesión no utiliza el protocolo de enlace
de tres pasos reconocido, sino una variación, como un protocolo de enlace dividido en cuatro o cinco pasos,
o un procedimiento abierto simultáneo.
El cortafuegos del última generación de Palo Alto Networks gestiona correctamente sesiones y todos los
procesos de capa 7 para el protocolo de enlace dividido y un establecimiento de sesión abierta simultánea
sin habilitar la opción Split Handshake (Protocolo de enlace dividido). Sin embargo, la opción Split
Handshake (Protocolo de enlace dividido) (que origina un descarte del protocolo de enlace dividido de TCP)
pasa a estar disponible. Cuando se configura la opción de Split Handshake (Protocolo de enlace dividido)
para un perfil de protección de zona y el perfil se aplica a una zona, las sesiones TCP para las interfaces de
esa zona deben establecerse utilizando un protocolo de enlace estándar de tres direcciones; no se permiten
las variaciones.
La opción Split Handshake (Protocolo de enlace dividido) está deshabilitada de manera predeterminada.
A continuación se ilustra el protocolo de enlace en tres pasos estándar usado para establecer una sesión
TCP con un cortafuegos PAN-OS entre el iniciador (normalmente un cliente) y el agente de escucha
(normalmente un servidor).
La opción Split Handshake (Protocolo de enlace dividido) está configurada para un perfil de Protección de
zona que está asignado a una zona. Una interfaz que forme parte de la zona descarta cualquier paquete
de sincronización (SYN) enviado desde el servidor, evitando así las siguientes variaciones de protocolos
de enlace. La letra A en la figura representa al iniciador de la sesión y la B, al agente de escucha. Cada
segmento numerado del protocolo de enlace tiene una flecha que indica la dirección del segmento desde el
remitente hasta el destinatario, y cada segmento indica el ajuste de control de bits.

Puede garantizar la Prohibición del establecimiento de sesión de protocolo de enlace dividido de TCP.
Tamaño de segmento máximo (MSS)

La unidad de transmisión máxima (maximum transmission unit, MTU) es un valor que indica la cantidad
más grande de bytes que pueden transmitirse en un solo paquete TCP. La MTU incluye la extensión de los
encabezados, por lo que la MTU menos la cantidad de bytes de los encabezados es igual al tamaño máximo
del segmento (maximum segment size, MSS), que es la cantidad máxima de bytes de datos que pueden
transmitirse en un solo paquete.
Un tamaño de ajuste de MSS configurable (se muestra a continuación) permite a su cortafuegos pasar el
tráfico que tiene encabezados más extensos de lo que permite el ajuste por defecto. La encapsulación añade
longitud a los encabezados, por lo que puede aumentar el tamaño de ajuste MSS para habilitar bytes, por
ejemplo, para un encabezado MPLS o tráfico de túnel con una etiqueta VLAN.
Si el bit de no fragmentar (don't fragment, DF) se configura para un paquete, resulta especialmente útil
tener un tamaño de ajuste de MSS mayor y un MSS menor, a fin de que los encabezados más extensos no
generen una extensión de paquete que exceda la MTU permitida. Si se configuró el bit DF y se superó la
MTU, los paquetes más grandes de descartarán.
El cortafuegos admite un tamaño de ajuste de MSS configurable para direcciones IPv4 e IPv6 en los
siguientes tipos de interfaz de capa 3: Ethernet, subinterfaces, Ethernet de agregación (AE), VLAN y bucle
invertido. El tamaño de ajuste de MSS de IPv6 se aplica únicamente si IPv6 está habilitada en la interfaz.
Si IPv4 e IPv6 están habilitadas en una interfaz y el tamaño de ajuste de MSS difiere entre
los dos formatos de dirección IP, se usa el valor de MSS correspondiente al tipo de IP para
el tráfico TCP.
Para las direcciones IPv4 e IPv6, el cortafuegos permite extensiones de encabezado TCP mayores de lo
previsto. En el caso en que un paquete TCP tiene un encabezado más extenso de lo previsto, el cortafuegos
elige para el tamaño de ajuste de MSS el mayor de los siguientes dos valores:
• El tamaño de ajuste de MSS configurado.
• La suma de la extensión del encabezado TCP (20) + la extensión de los encabezados IP en TCP SYN.
Este comportamiento significa que el cortafuegos cancela el tamaño de ajuste de MSS configurado si es
necesario. Por ejemplo, si configura un tamaño de ajuste de MSS de 42, se prevé que el MSS sea igual a

1458 (el tamaño de MTU por defecto menos el tamaño de ajuste [1500 - 42]). Sin embargo, el paquete
TCP tiene 4 bytes adicionales de opciones IP en el encabezado, por lo que el tamaño de ajuste (20+20+4)
es igual a 44 que es mayor que el tamaño de ajuste de MSS configurado de 42. El MSS resultante es
1500-44=1456 bytes, menor de lo esperado.
Para configurar el tamaño de ajuste del MSS, consulte Ajuste de la configuración del tamaño máximo del
segmento (MSS) para una interfaz de capa 3 en la Configuración de los ajustes de sesión.
UDP
El protocolo de datagramas de usuario (UDP) (RFC 768) es otro de los principales protocolos del conjunto
IP, y ofrece una alternativa al TCP. El UDP es independiente del estado y la conexión en el sentido de
que no hay un protocolo para establecer sesión ni ninguna conexión entre el remitente y el receptor; los
paquetes pueden tomar distintas rutas para llegar a un único destino. UDP no se considera un protocolo
fiable porque no ofrece reconocimientos, comprobación de errores, retransmisión ni reorganización de
datagramas. Al no tener la carga de trabajo necesaria para ofrecer estas funciones, UDP tiene una latencia
reducida y es más rápido que TCP. UDP es conocido como el protocolo de menor esfuerzo, sin ningún
mecanismo o forma de garantizar que los datos llegarán a su destino.
Un datagrama UDP se encapsula en un paquete IP. Aunque UDP usa una suma de comprobación para saber
la integridad de los datos, no realizará ninguna comprobación de errores a nivel de la interfaz de red. Se
asume que la comprobación de errores no es necesaria o que la realiza la aplicación en lugar del propio
UDP. UDP no tiene ningún mecanismo para gestionar el control de flujo de paquetes.
UDP a menudo se usa con aplicaciones que requieren velocidades más altas y una entrega en tiempo real
sensible al tiempo, como voz sobre IP (VoIP), transmisión de audio y vídeo y los juegos en línea. UDP se
basa en las transacciones, por lo que también se usa para aplicaciones que responden a pequeñas consultas
de muchos clientes, como el sistema de nombres de dominio (DNS) y el protocolo trivial de transferencia de
archivos (TFTP).
Utilice los Perfiles de protección de zonas on page 1107 para configurar la protección contra inundaciones
y especificar la tasa de conexiones por segundo de UDP (que no coinciden con una sesión existente) que
activan una alarma, provocan que el cortafuegos descarte paquetes UDP de manera aleatoria y causan que
el cortafuegos descarte paquetes UDP que superan la tasa máxima. (A pesar de que el UDP es un protocolo
sin conexión, el cortafuegos rastrea los datagramas UDP en los paquetes IP en función de las sesiones; por
lo tanto, si el paquete UDP no coincide con una sesión existente, se considera una nueva sesión y se cuenta
como una conexión en los umbrales).
ICMP
El protocolo de mensajes de control de Internet (ICMP) (RFC 792) es otro de los protocolos principales
del conjunto de protocolos de Internet (IP), y opera en la capa de red del modelo OSI. El ICMP se usa para
diagnóstico y control; para enviar mensajes de error sobre operaciones de IP o mensajes sobre servicios
solicitados o el alcance de un host o enrutador. Hay utilidades de red como traceroute y ping que se
implementan mediante varios mensajes ICMP.
ICMP es un protocolo sin conexión que no abre ni mantiene sesiones reales. Sin embargo, los mensajes
ICMP entre dos dispositivos pueden considerarse una sesión.
Los cortafuegos de Palo Alto Networks admiten ICMPv4 e ICMPv6. Puede controlar los paquetes ICMPv4 e
ICMPv6 de varias maneras:
• Cree Reglas de la política de seguridad basadas en paquetes ICMP e ICMPv6 on page 962 y seleccione
la aplicación icmp o ipv6-icmp en la regla.
• Controle la Límite de tasa ICMPv6 on page 963 cuando realice la Definición de la configuración de
sesión on page 965.
• Utilice los Perfiles de protección de zonas on page 1107 para configurar la protección contra
inundaciones, especifique la tasa de conexiones por segundo de ICMP o ICMPv6 (que no coincidan con

una sesión existente) que activan una alarma, active el cortafuegos para que descarte paquetes ICMP
o ICMPv6 de manera aleatoria y provoque que el cortafuegos descarte paquetes ICMP o ICMPv6 que
superen la tasa máxima.
• Utilice los Perfiles de protección de zonas on page 1107 para configurar la protección de ataques
basada en paquetes:
• En el caso del ICMP, puede descartar determinados tipos de paquetes o suprimir el envío de
determinados paquetes.
• En el caso de los paquetes ICMPv6 (tipos 1, 2, 3, 4 y 137), puede especificar que el cortafuegos
utilice la clave de la sesión de ICMP para encontrar una coincidencia con la regla de la política de
seguridad, lo que determina si se permite o no el paquete ICMPv6. (El cortafuegos utiliza la regla de
la política de seguridad y anula el comportamiento predeterminado de utilizar el paquete integrado
para determinar una coincidencia con la sesión). Cuando el cortafuegos descarta paquetes ICMPv6
que coinciden con una regla de la política de seguridad, el cortafuegos registra los detalles en los logs
de tráfico.
Reglas de la política de seguridad basadas en paquetes ICMP e ICMPv6

El cortafuegos reenvía paquetes ICMP o ICMPv6 solo si una regla de la política de seguridad permite la
sesión (como en el caso de otros tipos de paquetes). El cortafuegos determina una coincidencia con la
sesión de dos maneras, en función de si el paquete es un paquete de error o un paquete de redirección
ICMP o ICMPv6 en lugar de un paquete de información ICMP o ICMPv6:
• ICMP tipos 3, 5, 11 y 12, e ICMPv6 tipos 1, 2, 3, 4 y 137: de manera predeterminada, el cortafuegos
busca los bytes de información del paquete IP integrado del datagrama que causó el error (el paquete de
invocación). Si el paquete integrado coincide con una sesión existente, el cortafuegos reenvía o descarta
el paquete ICMP o ICMPv6 según la acción definida en la regla de la política de seguridad que coincide
con esa sesión. (Puede utilizar los Perfiles de protección de zonas on page 1107 con la protección
contra ataques basados en paquetes para anular este comportamiento predeterminado para los tipos
ICMPv6).
• Tipos de paquetes ICMP o ICMPv6 restantes: el cortafuegos trata el paquete ICMP o ICMPv6 como
si perteneciera a una nueva sesión. Si una regla de la política de seguridad coincide con el paquete (y
el cortafuegos lo reconoce como una sesión icmp o ipv6-icmp), el cortafuegos reenvía o descarta el
paquete en función de la acción de la regla de la política de seguridad. Los contadores de la política de
seguridad y los logs de tráfico reflejan las acciones.
Si ninguna regla de la política de seguridad coincide con el paquete, el cortafuegos aplica sus reglas
predeterminadas de la política de seguridad, lo que permite tráfico intrazona y bloquea tráfico intrazona
(la creación de logs está deshabilitada de manera predeterminada para estas reglas).
A pesar de que puede anular las reglas predeterminadas para habilitar la creación
de logs o cambiar la acción predeterminada, no recomendamos que modifique el
comportamiento predeterminado para un caso específico dado que impactará en todo el
tráfico que esas reglas predeterminadas afectan. En cambio, cree reglas de la política de
seguridad para controlar y registrar paquetes ICMP o ICMPv6 explícitamente.
Existen dos maneras de crear reglas explícitas de la política de seguridad para manejar paquetes ICMP o
ICMPv6 que no son paquetes de error o redirigidos:
• Cree una regla de la política de seguridad para permitir (o denegar) todos los paquetes ICMP o
ICMPv6: en esta regla de la política de seguridad, especifique el icmp o ipv6-icmp de la aplicación;
el cortafuegos permite (o deniega) todos los paquetes IP que coincidan con el número de protocolo
ICMP (1) o el número de protocolos ICMPv6 (58), respectivamente, mediante el cortafuegos.
• Cree una aplicación personalizada y una regla de la política de seguridad para permitir (o denegar)
paquetes desde o hacia esa aplicación: este enfoque más detallado le permite llevar a cabo el Control
de tipos y códigos específicos de ICMP o ICMPv6 on page 963.

Límite de tasa ICMPv6
La limitación de tasa ICMPv6 es un mecanismo de limitación que evita las inundaciones y los intentos de
DDoS. La implementación utiliza una tasa de paquetes de error y un depósito de tokens, que colaboran para
permitir la limitación y garantizar que los paquetes de ICMP no inundan los segmentos de red protegidos
por el cortafuegos.
Primero, la tasa de paquetes de errores ICMPv6 globales (por segundo) controla la tasa a la cual se permite
pasar los paquetes de errores ICMP por el cortafuegos; el valor predeterminado es de 100 paquetes por
segundo, el rango es de 10 a 65535 paquetes por segundo. Si el cortafuegos alcanza la tasa de paquetes de
error de ICMPv6, el depósito de tokens se utiliza para activar la limitación, del siguiente modo.
El concepto de depósito de tokens lógico controla la velocidad a la que se pueden transmitir los mensajes
ICMP. La cantidad de tokens en el depósito puede configurarse, y cada token representa un mensaje
ICMPv6 que puede enviarse. El recuento de tokens se reduce cada vez que se envía un mensaje ICMPv6;
cuando el depósito llega a cero tokens, ya no es posible enviar más mensajes ICMPv6 hasta que se añada
otro token al depósito. El tamaño predeterminado del depósito de tokens es de 100 tokens (paquetes), y el
intervalo es de 10 a 65535 tokens.
Para cambiar el tamaño predeterminado de tokens o la tasa de paquetes de errores, consulte la sección
Definición de la configuración de sesión on page 965.
Control de tipos y códigos específicos de ICMP o ICMPv6

Utilice esta tarea para crear una aplicación ICMP o ICMPv6 personalizada y crear una regla en la política de
seguridad que permita o deniegue la aplicación.
STEP 1 | Cree una aplicación personalizada para tipos y códigos de mensajes ICMP o ICMPv6.
1. Seleccione Object (Objeto) > Applications (Aplicaciones) y Add (Añadir) para añadir una aplicación
personalizada.
2. En la pestaña Configuration (Configuración), introduzca un nombre en Name (Nombre) para la
aplicación personalizada y una descripción en Description (Descripción). Por ejemplo, introduzca el
nombre ping6.
3. En Category (Categoría), seleccione networking (redes).
4. En Subcategory (Subcategoría), seleccione ip-protocol (Protocolo IP).
5. En Technology (Tecnología), seleccione network-protocol (Protocolo de red).
7. En la pestaña Advanced (Avanzado), seleccione ICMP Type (Tipo ICMP) o ICMPv6 Type (Tipo
ICMPv6).
8. En Type (Tipo), introduzca un número (rango: 0 a 255) que designe el tipo de mensaje ICMP o
ICMPv6 que desea permitir o denegar. Por ejemplo, 128 corresponde al mensaje Echo Request
(Solicitud de Echo) (ping).
9. Si el campo Type (Tipo) incluye los códigos, introduzca el número de Code (Código) (rango: 0 a 255)
que aplique al valor de Type (Tipo) que desea permitir o denegar. Algunos valores de Type (Tipo)
tienen solo un código 0.
STEP 2 | Cree una regla en la política de seguridad que permita o deniegue la aplicación personalizada
que creó.
Creación de una regla de política de seguridad. En la pestaña Application (Aplicación), especifique el
nombre de la aplicación personalizada que acaba de crear.


Configuración de los tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una sesión en el
cortafuegos después de la inactividad en esa sesión. De forma predeterminada, cuando la sesión agota su
tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e ICMP por
separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de sesión. Todos estos
tiempos de espera son globales, lo que significa que se aplican a todas la sesiones de ese tipo en el
cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada aplicación en la
pestaña Objects (Objetos) > Applications (Aplicaciones). El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos de espera
para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.
Volviendo a los ajustes globales, realice las siguientes tareas opcionales si necesita cambiar los valores
predeterminados de los ajustes de tiempos de espera de sesión globales para TCP, UDP, ICMP,
autenticación del portal cautivo u otros tipos de sesiones. Todos los valores se indican en segundos.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se
detecten retrasos mínimos en la red, lo que podría producir errores a la hora de establecer
conexiones con el cortafuegos. Si configura un valor demasiado alto, entonces podría
retrasarse la detección de errores.
STEP 1 | Acceda a los ajustes de sesión.

Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y modifique los tiempos de
espera de la sesión.
STEP 2 | (Opcional) Cambio de los tiempos de espera mixtos.

• Default (Predeterminado): tiempo máximo que una sesión que no es TCP/UDP ni ICMP puede estar
abierta sin una respuesta (intervalo: 1-15.999.999; por defecto: 30).
• Discard Default (Descartar valor predeterminado): tiempo máximo que una sesión no TCP/
UDP permanece abierta cuando PAN-OS deniega una sesión debido a las políticas de seguridad
configuradas en el cortafuegos (intervalo: 1-15.999.999; por defecto: 60).
• Scan (Explorar): tiempo máximo de espera en el que una sesión seguirá abierta después de
considerarse inactiva; se considera que una aplicación está inactiva cuando supera el umbral de
generación de aplicaciones que tiene definido (intervalo: 5-30; por defecto: 10).
• Captive Portal (Portal cautivo): Tiempo de espera de la sesión de autenticación para el formato
web del portal cautivo. Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticación en este formato y autenticarse correctamente (intervalo: 1-15.999.999;
predeterminado: 30).
Para definir otros tiempos de espera del portal cautivo, como el temporizador de inactividad y el
tiempo que debe transcurrir para volver a autenticar al usuario, seleccione Device (Dispositivo) > User
Identification (Identificador de usuario) > Captive Portal Settings (Configuración del portal cautivo).
Consulte Configuración de portal cautivo.
STEP 3 | (Opcional) Cambio de los tiempos de espera TCP.

• Discard TCP (Descartar TCP): La longitud máxima de tiempo que una sesión TCP permanece abierta
cuando se deniega una sesión debido a las políticas de seguridad configuradas en el cortafuegos.
Default: 90. Intervalo: 1-15.999.999.

• TCP: tiempo máximo que una sesión TCP permanece abierta sin una respuesta después de que una
sesión TCP active el estado Establecido (después de que se complete el protocolo o la transmisión de
datos haya comenzado). Default: 3.600. Intervalo: 1-15.999.999.
• TCP Handshake (Protocolo de enlace TCP): tiempo máximo entre la recepción de SYN-ACK y la
siguiente ACK para establecer completamente la sesión. Default: 10. Intervalo: 1-60.
• TCP init (Inicialización de TCP): tiempo máximo permitido entre la recepción de SYN y SYN-ACK
antes de iniciar el temporizador del protocolo de enlace TCP. Default: 5. Intervalo: 1-60.
• TCP Half Closed (TCP semicerrado): Tiempo máximo entre la recepción del primer FIN y la recepción
del segundo FIN o RST. Default: 120. Intervalo: 1-604.800.
• TCP Time Wait (Tiempo de espera TCP): Tiempo máximo después de recibir el segundo FIN o RST.
Default: 15. Intervalo: 1-600.
• Unverified RST (RST sin verificar): Tiempo máximo después de recibir un RST que no se puede
verificar (el RST está dentro de la ventana TCP pero tiene un número de secuencia inesperado o el
RST procede de una ruta asimétrica). Default: 30. Intervalo: 1-600.
• Consulte también el tiempo de espera de Scan (Exploración) en la sección (Opcional) Cambio de
diversos tiempos de espera.
STEP 4 | (Opcional) Cambio de los tiempos de espera UDP.

• Discard UDP (Descartar UDP): la longitud máxima de tiempo que una sesión UDP permanece abierta
cuando se deniega una sesión debido a las políticas de seguridad configuradas en el cortafuegos.
• UDP: Tiempo máximo que una sesión UDP permanece abierta sin una respuesta de UDP. Default: 30.
Intervalo: 1-15.999.999.
• Consulte también el tiempo de espera de Scan (Explorar) en la sección (Opcional) Cambio de tiempos
de espera mixtos.
STEP 5 | (Opcional) Cambio de los tiempos de espera ICMP.

• ICMP: Tiempo máximo que una sesión ICMP puede permanecer abierta sin una respuesta de ICMP.
• Consulte también el tiempo de espera de Discard Default (Descartar valor predeterminado) y Scan
(Explorar) en la sección (Opcional) Cambio de tiempos de espera mixtos.

Definición de la configuración de sesión

Este tema describe varios ajustes para sesiones distintas de los valores de tiempos de espera. Realice esas
tareas si necesita cambiar los ajustes por defecto.
STEP 1 | Cambie los ajustes de sesión.

Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión) y modifique la configuración
de la sesión.
STEP 2 | Especifique si aplicará las reglas de política de seguridad recientemente configuradas a las
sesiones que están en curso.
Seleccione Rematch all sessions on config policy change (Volver a cotejar todas las sesiones tras
el cambio a la política configurada) para aplicar las reglas de política de seguridad recientemente
configurada a las sesiones que están en curso. Esta capacidad está habilitada de manera predeterminada.
Si desmarca esta casilla de verificación, los cambios de la regla de política que realice se aplicarán
únicamente a las sesiones iniciadas después de que confirmó el cambio de la política.

Por ejemplo, si se ha iniciado una sesión de Telnet mientras estaba configurada una política que permitía
Telnet y usted posteriormente compiló un cambio de política para denegar Telnet, el cortafuegos aplica
la política modificada a la sesión actual y la bloquea.
STEP 3 | Configure los ajustes de IPv6.

• ICMPv6 Token Bucket Size (Tamaño de depósito de testigo de ICMPv6): predeterminado 100
tokens. Consulte la sección Límite de tasa de ICMPv6.
• ICMPv6 Error Packet Rate (per sec) (Tasa de paquetes [por segundo] de errores de ICMPv6): valor
predeterminado: 100. Consulte la sección Límite de tasa de ICMPv6.
• Enable IPv6 Firewalling (Habilitar cortafuegos IPv6): permite funciones de cortafuegos para IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se habilita. Incluso si IPv6 está
activado para una interfaz, el ajuste IPv6 Firewalling (Cortafuegos IPv6) también debe estar activado
para que IPv6 funcione.
STEP 4 | Habilite las tramas gigantes y establezca la MTU.

1. Seleccione Enable Jumbo Frame (Habilitar tramas gigantes) para habilitar la compatibilidad con
tramas gigantes en interfaces de Ethernet. Las tramas gigantes tienen una unidad de transmisión
máxima (MTU) de 9.216 bytes y están disponibles en determinados modelos.
2. Configure la Global MTU, dependiendo de si habilitó o no tramas gigantes:
• Si no habilitó las tramas gigantes, la Global MTU vuelve al valor por defecto de 1.500 bytes; el
intervalo es de 576 a 1.500 bytes.
• Si habilitó tramas gigantes, la Global MTU vuelve al valor por defecto de 9.192 bytes; el intervalo
es de 9192 a 9.216 bytes.
Si habilita las tramas gigantes y tiene interfaces donde la MTU no está

específicamente configurada, estas interfaces heredarán automáticamente el tamaño
de la traga gigante. Por lo tanto, antes de que active las tramas gigantes, si no
desea que alguna interfaz las adopte, debe establecer la MTU para esa interfaz en
1500 bytes u otro valor.
STEP 5 | Establezca los ajustes detallados de la sesión NAT.

• NAT64 IPv6 Minimum Network MTU (Tamaño mínimo de MTU para NAT64 en IPv6): introduzca la
MTU global para el tráfico IPv6 traducido. El valor predeterminado de 1.280 bytes se basa en la MTU
mínima estándar para el tráfico IPv6.
• NAT Oversubscription Rate (Ratio de sobresuscripción NAT): si NAT se configura como traducción
de IP dinámica y puerto (DIPP), es posible configurar una ratio de sobresuscripción para multiplicar
el número de veces que se puede usar simultáneamente el mismo par de puertos y direcciones IP
traducidas. El ratio es de 1, 2, 4 u 8. El ajuste predeterminado se basa en el modelo del cortafuegos.
• Una ratio de 1 significa que no existe ninguna sobresuscripción; cada par de dirección IP y puerto
traducido se puede utilizar solo una vez en cada ocasión.
• Si el ajuste es Platform Default (Valor predeterminado de plataforma), la configuración del usuario de
la tasa está inhabilitada y se aplica la tasa de sobresuscripción predeterminada para el modelo.
La reducción de la ratio de sobresuscripción disminuye el número de traducciones de dispositivo de
origen, pero proporciona más capacidades de regla de NAT.
STEP 6 | Establezca los ajustes detallados del vencimiento acelerado.

Seleccione Accelerated Aging (Vencimiento acelerado) para habilitar el vencimiento más rápido de las
sesiones inactivas. También puede cambiar el umbral (%) y el factor de escala:
• Accelerated Aging Threshold (Umbral de vencimiento acelerado): porcentaje de la tabla de sesión
que se llena cuando comienza el vencimiento acelerado. El valor predeterminado es del 80%. Cuando

la tabla de sesión alcanza este umbral (% lleno), PAN-OS aplica el factor de escala de vencimiento
acelerado a los cálculos de vencimiento de todas las sesiones.
• Accelerated Aging Scaling Factor (Factor de escala de vencimiento acelerado): factor de escala usado
en los cálculos de vencimiento acelerado. El factor de escala predeterminado es 2, lo que significa que
el vencimiento acelerado se produce a una velocidad dos veces más alta que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado dividido entre 2 tiene como
resultado un tiempo de espera más rápido (la mitad). Para calcular el vencimiento acelerado de la
sesión, PAN-OS divide el tiempo de inactividad configurado (para ese tipo de sesión) entre el factor
de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo general vencería después de
3600 segundos lo hará 10 veces más rápido (en 1/10 del tiempo), es decir, 360 segundos.
STEP 7 | Habilitar protección de búfer de paquetes

1. Seleccione Packet Buffer Protection (Protección de búfer de paquetes) para habilitar el cortafuegos
para que tome medidas contra las sesiones que pueden inundar el búfer de paquetes y hacer que el
tráfico no legítimo sea descartado.
2. Si usted habilita la protección de búfer de paquetes, puede ajustar los umbrales y temporizadores que
indican de qué manera el cortafuegos responde al uso indebido del búfer de paquetes.
• Alert (%) (Alerta): Cuando la utilización del búfer de paquetes supera este umbral, el cortafuegos
crea un evento de logs. El umbral se configura en el 50 % de manera predeterminada y el intervalo
es del 0 % al 99 %. Si el valor se configura en 0 %, el cortafuegos no crea un evento de log.
• Activate (%) (Activar): Cuando la utilización de un búfer de paquetes supera este umbral, el
cortafuegos aplica el descarte aleatorio temprano (random early drop, RED) a las sesiones
negativas. El umbral se configura en el 50 % de manera predeterminada y el intervalo es del 0 % al
99 %. Si el valor se configura en 0 %, el cortafuegos no aplica el RED.
Los eventos de alerta se registran en el log del sistema. Los eventos para el tráfico
descartado, las sesiones descartadas y la dirección IP bloqueada se registran en el
log de amenazas.
• Block Hold Time (sec) (Tiempo de espera de bloqueo [s]): el tiempo que se permite continuar a la
sesión mitigada con RED antes de que se descarte. Por defecto, el tiempo de espera del bloqueo
es de 60 segundos. El intervalo es de 0 a 65.535. Si el valor se configura en 0, el cortafuegos no
descarta las sesiones en función de la protección de búfer de paquetes.
• Block Duration (sec) (Duración del bloqueo [s]): Este ajuste define por cuánto tiempo se descarta
una sesión o se bloquea una dirección IP. El valor predeterminado es 3600 segundos con un
intervalo de 0 segundos a 15.999.999 segundos. Si este valor se configura en 0, el cortafuegos
no descarta las sesiones ni bloquea las direcciones IP en función de la protección de búfer de
paquetes.
STEP 8 | Habilite el almacenamiento en búfer de los paquetes de configuración de ruta de multidifusión.

1. Seleccione Multicast Route Setup Buffering (Configuración de almacenamiento en búfer de
ruta multidifusión)para habilitar al cortafuegos para preservar el primer paquete en una sesión
de multidifusión cuando la ruta multidifusión o la entrada de la base de información de reenvío
(forwarding information base, FIB) todavía no existe para el grupo de multidifusión correspondiente.
De manera predeterminada, el cortafuegos no almacena en búfer el primer paquete multicast en
una sesión nueva, en cambio, usa el primer paquete para configurar la ruta multicast. Este es un
funcionamiento esperado para el tráfico multicast. Solo debe habilitar la configuración de buffering
de ruta multicast si los servidores de contenido están directamente conectados con el cortafuegos y
su aplicación personalizada no puede resistir que el primer paquete de la sesión se omita. Esta opción
está deshabilitada de manera predeterminada.

2. Si habilita el almacenamiento en búfer, también puede ajustar el Buffer Size (Tamaño de búfer), que
especifica el tamaño del búfer según el flujo. El cortafuegos puede almacenar en búfer un máximo de
5000 paquetes.
También puede ajustar la duración, en segundos, durante la cual una ruta de

multidifusión permanece en la tabla de enrutamiento en el cortafuegos después
de que la sesión finaliza al configurar los ajustes de multidifusión en el enrutador
virtual que maneja su enrutador virtual (configure Multicast Route Age Out Time
[sec] [Tiempo de vencimiento de ruta de multidifusión [s]] en la pestaña Multicast
[Multidifusión] > Advanced [Avanzado] en la configuración de enrutador virtual).
STEP 9 | Guarde los ajustes de sesión.

STEP 10 | Configure los ajustes detallados de Maximum Segment Size (MSS) (Tamaño máximo del
segmento) para una interfaz de capa 3.
1. Seleccione Network (Red) > Interfaces, seleccione Ethernet, VLAN o Loopback (Bucle invertido), y
seleccione la interfaz de capa 3.
2. Seleccione Advanced (Avanzado) > Other Info (Otra información).
3. Seleccione Adjust TCP MSS (Ajustar tamaño máximo del segmento de TCP) e introduzca un valor
para una de las dos opciones siguientes, o ambas:
• IPv4 MSS Adjustment Size (Tamaño de ajuste de MSS Ipv4) (el intervalo es de 40 a 300 bytes; el
valor predeterminado es 40 bytes).
• IPv6 MSS Adjustment Size (Tamaño de ajuste MSS de IPv6)(el intervalo es 60-300 bytes; el valor
por defecto es 60 bytes).

STEP 12 | Reinicie el cortafuegos después de cambiar la configuración de tramas gigantes.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Operations (Operaciones).
2. Haga clic en Reboot Device (Reiniciar dispositivo).
Política de distribución de sesiones

Las políticas de distribución de sesiones definen cómo los cortafuegos serie PA-5200 y PA-7000 distribuyen
el procesamiento de seguridad (App-ID, Content-ID, filtrado de URL, cifrado SSL e IPSec) entre los
procesadores de plano de datos (DP) en el cortafuegos. Cada política se diseña específicamente para un tipo
determinado de entorno de red y configuración de cortafuegos para garantizar que el cortafuegos distribuya
sesiones con máxima eficacia. Por ejemplo, la política de distribución de sesiones de hash es la mejor opción
en los entornos que utilizan NAT de origen a gran escala.
La cantidad de DP en un cortafuegos varía según el modelo del cortafuegos:
Modelo de cortafuegos Procesadores de planos de datos
PA-7000 Series Depende de la cantidad de tarjetas de procesamiento de red (Network

Processing Card, NPC). Cada NPC tiene varios procesadores de plano de
datos (DP) y puede instalar varios NPC en el cortafuegos.

Modelo de cortafuegos Procesadores de planos de datos
Cortafuegos PA-5220 1
El cortafuegos PA-5220 solo tiene un DP, de modo que

las políticas de distribución de sesiones no causan efecto.
Conserve la política establecida en el modo predeterminado
(round-robin).
Los siguientes temas proporcionan información sobre las políticas de distribución de sesiones disponibles,
cómo cambiar una política activa y cómo ver las estadísticas de distribución de sesiones.
• Descripciones de las políticas de distribución de sesiones
• Cambio de la política de distribución de sesiones y visualización de las estadísticas
Descripciones de las políticas de distribución de sesiones

La siguiente tabla proporciona información sobre las Políticas de distribución de sesiones para ayudarle a
decidir cuál es la política que se adapta mejor a su entorno y su configuración de cortafuegos.
Política de distribución de sesiones Descripción
Fija Le permite especificar el procesador de plano de datos (DP) que

utilizará el cortafuegos para el procesamiento de seguridad.
Utilice esta política para la depuración.
Hash El cortafuegos distribuye las sesiones basándose en un hash de

la dirección de origen o destino. La distribución basada en hash
mejora la eficiencia de la gestión de recursos de direcciones
NAT y reduce la latencia de la configuración de sesiones NAT
evitando posibles conflictos de puertos o direcciones IP.
Utilice esta política en entornos que utilizan NAT de origen
a gran escala con traducción de IP dinámicas, traducción de
puertos e IP dinámicas o ambas. Cuando utilice la traducción
de IP dinámicas, seleccione la opción de dirección de origen.
Cuando utilice la traducción de puertos e IP dinámicas,
seleccione la opción de dirección de destino.
Ingres-slot (predeterminado en (Solo cortafuegos serie PA-7000) Las sesiones nuevas se

cortafuegos serie PA-7000) asignan a un DP en la misma NPC a la que llegó el primer
paquete de la sesión. La selección de DP se basa en el algoritmo
session-load, pero, en este caso, las sesiones se limitan a los DP
en la NPC de ingreso.
Según el tráfico y la topología de red, esta política generalmente
reduce las posibilidades que necesitará el tráfico para atravesar
la matriz de conmutación.

Utilice esta política para reducir la latencia si la NPC de ingreso
y la NPC de salida se encuentran en la misma NPC. Si el
cortafuegos cuenta con una combinación de NPC (por ejemplo,
PA-7000 20G y PA-7000 20GXM), esta política puede aislar
la capacidad aumentada a la NPC correspondiente y ayudar a
aislar el impacto de los fallos de la NPC.
Aleatoria De manera aleatoria, el cortafuegos selecciona un DP para el

procesamiento de sesiones.
Round-robin (predeterminado en El cortafuegos selecciona el procesador del plano de datos en

cortafuegos serie PA-5200) función de un algoritmo round-robin entre planos de datos
activos de modo que la entrada, la salida y las funciones de
procesamiento de seguridad se compartan entre todos los
planos de datos.
Utilice esta política en entornos de baja a media exigencia
donde alcanzará un algoritmo de equilibrio de carga simple y
predecible.
En entornos de alta exigencia, recomendamos que utilice el
algoritmo session-load.
Carga de sesión Esta política es similar a la política round-robin, pero utiliza un

algoritmo basado en el peso para determinar cómo distribuir
sesiones para lograr un equilibrio entre los DP. Debido a la
variedad en la duración de una sesión, es probable que el DP
no experimente siempre una carga uniforme. Por ejemplo, si
el cortafuegos tiene tres DP y DP0 se encuentra al 25 % de
la capacidad; DP1, al 25 % de la capacidad; y DP2, al 50 % de
capacidad, se preferirá que la asignación de la nueva sesión se
incline por la DP con menor capacidad. Esto permite mejorar el
equilibrio de carga con el tiempo.
Utilice esta política en entornos donde las sesiones se
distribuyen a través de varias ranuras NPC, tales como un grupo
de interfaces agregadas de varias ranuras o en entornos con
reenvío asimétrico. También puede utilizar esta política o la
política ingress-slot si el cortafuegos tiene una combinación de
NPC con diferentes capacidades para las sesiones (como una
combinación de NPC PA-7000 20G y PA-7000 20GXM).
Hash simétrico (Cortafuegos serie PA-5200 y PA-7000 que funcionan en PAN-

OS 8.0 o posterior) El cortafuegos selecciona el DP con un hash
de direcciones IP de origen y de destino ordenadas. Esta política
ofrece los mismos resultados para el tráfico server-to-client
(s2c) y client-to-server (c2s) (suponiendo que el cortafuegos no
utiliza NAT).
Utilice esta política en implementaciones de IPSec o GTP de alta
exigencia.
Con estos protocolos, cada dirección se trata como un flujo
unidireccional donde las tuplas de flujo no se pueden dividir.
Esta política mejora el rendimiento y reduce la latencia

garantizando que ambas direcciones se asignen al mismo DP, lo
que elimina la necesidad de una comunicación entre DP.
Cambio de la política de distribución de sesiones y visualización de las

estadísticas
La siguiente tabla describe cómo ver y cambiar las Políticas de distribución de sesiones activas y describe
cómo ver las estadísticas de las sesiones de cada procesador del plano de datos (DP) en el cortafuegos.
Tarea Comando
Mostrar la política Utilice el comando show session distribution policy para ver la
activa de distribución de política activa de distribución de sesiones.
sesiones.
El siguiente resultado muestra un cortafuegos PA-7080 con cuatro NPC
instaladas en las ranuras 2, 10, 11 y 12 con la política de distribución ingress-
slot habilitada:
> show session distribution policy
Ownership Distribution Policy: ingress-slot
Flow Enabled Line Cards: [2, 10, 11, 12]Packet

Processing Enabled Line Cards: [2, 10, 11, 12]
Cambiar la política Utilice el comando set session distribution-policy <policy>

activa de distribución de para cambiar la política activa de distribución de sesiones.
sesiones.
Por ejemplo, para seleccionar la política session-load, introduzca el siguiente
comando:
> set session distribution-policy session-load
Ver estadísticas de Utilice el comando show session distribution statistics para

distribución de sesiones. ver los procesadores del plano de datos (DP) en el cortafuegos y la cantidad
de sesiones en cada DP activo.
El siguiente resultado es de un cortafuegos PA-7080:
> show session distribution statistics

DP Active Dispatched Dispatched/sec
------------------------------------------
s1dp0 78698 7829818 1473
s1dp1 78775 7831384 1535
s3dp0 7796 736639 1488
s3dp1 7707 737026 1442

Tarea Comando
La columna Active DP (DP activos) enumera cada plano de datos
en las NPC instaladas. Los primeros dos caracteres indican el número de
ranura y los últimos tres caracteres indican el número de plano de datos. Por
ejemplo, s1dp0 indica que el plano de datos es 0 en la NPC instalada en la
ranura 1 y s1dp1 indica que el plano de datos es 1 en la NPC instalada en la
ranura 1.
La columna Dispatched (Enviados) muestra el número total de
sesiones que ha procesado el plano de datos desde la última vez que se
reinició el cortafuegos.
La columna Dispatched/sec (Enviados/s) indica la tasa de envío. Si
se suman los números en la columna Dispatched (Enviados), el total
equivale al número de sesiones activas en el cortafuegos. También podrá ver
el número total de sesiones activas al ver el resultado del comando de la CLI
show session info.
El resultado del cortafuegos serie PA-5200 será similar,

excepto porque el número de los DP depende del modelo y
que solo hay una ranura de NPC (s1).
Prohibición del establecimiento de sesión de protocolo de enlace

dividido de TCP
Puede configurar un descarte del protocolo de enlace dividido de TCP en un perfil de protección de zona
para evitar que se establezcan sesiones de TCP a menos que se utilice el protocolo de enlace en tres pasos
estándar. Esta tarea supone que usted asigne una zona de seguridad para la interfaz en la que desea evitar
que los protocolos de enlace divididos de TCP establezcan una sesión.
STEP 1 | Configure un perfil de Zona de protección para impedir que las sesiones de TCP establezcan
una sesión si no es mediante un protocolo de enlace en tres pasos.
1. Seleccione Network (Red) > Network Profiles (Perfiles de red) > Zone Protection (Protección de
zona) y haga clic en Add (Añadir) para añadir un nuevo perfil (o seleccione un perfil existente).
2. Si está creando un nuevo perfil, introduzca un nombre en Name (Nombre) para el perfil y una
descripción opcional en Description (Descripción).
3. Seleccione Packet Based Attack Protection (Protección contra ataques basados en paquetes) > TCP
Drop (Descarte de TCP) y seleccione Split Handshake (Protocolo de enlace dividido).
STEP 2 | Aplique el perfil a una o más zonas de seguridad.

1. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona a la que desea asignar el perfil de
2. En la ventana Zone (Zona), en el menú desplegable Zone Protection Profile (Perfil de protección de
zona), seleccione el perfil que configuró en el paso anterior.
O bien, puede iniciar la creación de un nuevo perfil al hacer clic en Zone Protection Profile (Perfil de
protección de zona), en cuyo caso debe continuar según corresponda.
4. (Opcional) Repita los pasos 1-3 para aplicar el perfil a zonas adicionales.


Inspección del contenido del túnel
El cortafuegos puede inspeccionar el contenido de protocolos de túnel de texto normal del tráfico:
• Encapsulación de enrutamiento genérico (Generic Routing Encapsulation, GRE) (RFC 2784)
• Tráfico IPSec no cifrado (NULL Encryption Algorithm for IPSec [Algoritmo de cifrado nulo para IPSec]
[RFC 2410] y modo de transporte AH IPSec)
• Protocolo de túnel de servicio general de paquetes vía radio (General Packet Radio Service, GPRS) para
datos de usuario (GTP-U)
Puede utilizar la inspección del contenido del túnel para aplicar las políticas de seguridad, las políticas de
protección contra DoS y las políticas de QoS en el tráfico en estos tipos de túneles y en el tráfico anidado
dentro de otro túnel de texto normal (por ejemplo, un túnel IPSec con cifrado nulo dentro de un túnel GRE).
Puede consultar los logs de inspección del túnel y la actividad del túnel en el ACC para verificar que el
tráfico de túnel cumple con sus políticas corporativas de seguridad y uso.
Todos los modelos de cortafuegos admiten la inspección de contenido de túnel GRE y IPSec no cifrado. La
inspección de contenido de túnel de GTP-U es compatible solo con los cortafuegos serie PA-5200 y VM.
Los cortafuegos no finalizan la GRE, IPSec no cifrado o túneles de GTP-U.
La inspección de contenido de túnel es para los túneles de texto normal, no para túneles de VPN o LSVPN,
que transportan tráfico cifrado.
• Descripción general de la inspección del contenido del túnel
• Configuración de la inspección del contenido del túnel
• Visualización de actividad de túneles inspeccionados
• Visualización de información del túnel en logs
• Creación de un informe personalizado basado en el tráfico de túnel etiquetado
Descripción general de la inspección del contenido del túnel

Su cortafuegos puede inspeccionar el contenido del túnel en cualquier parte de la red donde no tenga la
oportunidad de finalizar el túnel en primer lugar. Siempre que el cortafuegos esté en la ruta de un GRE,
IPSec no cifrado o túnel GTP-U, el cortafuegos puede inspeccionar el contenido del túnel.
• Los clientes corporativos que deseen la inspección del contenido de túnel pueden tener parte o la
totalidad del tráfico en el cortafuegos tunelizado por medio de GRE o IPSec no cifrado. Por motivos de
seguridad, QoS y presentación de informes, debe inspeccionar el tráfico dentro del túnel.
• Los clientes de proveedores de servicio usan GTP-U para tunelizar el tráfico de datos desde dispositivos
móviles. Debe inspeccionar el contenido interno sin finalizar el protocolo de túnel y debe registrar los
datos de usuario desde sus usuarios.
El cortafuegos admite la inspección de contenido de túnel en interfaces y subinterfaces Ethernet, interfaces
AE, interfaces VLAN y túneles VPN y LSVPN. (El túnel de texto no cifrado que el cortafuegos inspecciona
puede estar dentro de un túnel VPN o LSVPN que finalice en el cortafuegos; por lo tanto, una interfaz de
túnel VPN o LSVPN. En otras palabras, cuando el cortafuegos es un endpoint VPN o LSVPN, el cortafuegos
puede inspeccionar el tráfico de cualquier protocolo de túnel no cifrado que la inspección del contenido de
túnel admita).
La inspección del contenido de túnel se admite en las implementaciones de capa 3, capa 2, cable virtual y
tap. La inspección del contenido de túnel funciona en puertas de enlace compartidas y en comunicaciones
de sistema virtual a sistema virtual.

La figura anterior ilustra los dos niveles de inspección de túnel que el cortafuegos pueda realizar. Cuando un
cortafuegos configurado con las reglas de política de inspección de túnel recibe un paquete:
• El cortafuegos primero realiza una comprobación de política de seguridad para determinar si el protocolo
de túnel (aplicación) en el paquete está permitido o denegado. (Los paquetes IPv4 e IPv6 son protocolos
compatibles dentro del túnel).
• Si la política de seguridad permite el paquete, el cortafuegos compara el paquete con una regla de
política de inspección de túnel basada en la zona de origen, la dirección de origen, el usuario de origen,
la zona de destino y la dirección de destino. La regla de política de inspección de túnel determina los
protocolos de túnel que el cortafuegos inspecciona, el nivel máximo de encapsulación permitida (un solo
túnel o un túnel dentro de un túnel), si permitir paquetes que contengan un protocolo de túnel que no
aprueba la inspección de encabezado estricto según RFC 2780, y si permitir paquetes que contengan
protocolos desconocidos.
• Si el paquete supera los criterios de coincidencia de la regla de política de inspección de túnel, el
cortafuegos inspecciona el contenido interno, que está sujeto a su política de seguridad (obligatorio) y
las políticas opcionales que pueda especificar. (Los tipos de política admitidos para la sesión original se
enumeran en la tabla siguiente).
• Si, por el contrario, el cortafuegos encuentra otro túnel, el cortafuegos recursivamente analiza el paquete
para el segundo encabezado y ahora está al nivel dos de encapsulación, de manera que la segunda regla
de política de inspección de túnel, que coincide con una zona de túnel, debe permitir un nivel un máximo
de inspección de túnel de dos niveles para que el cortafuegos continúe procesando el paquete.
• Si su regla permite dos niveles de inspección, el cortafuegos realiza una comprobación de política
de seguridad en este túnel interno y luego la comprobación de política de inspección de túnel. El
protocolo de túnel que usted utiliza en un túnel interno puede ser diferente al protocolo de túnel que
utiliza en el túnel externo.
• Si su regla no permite dos niveles de inspección, el cortafuegos basa su acción según si usted lo
configuró para que descarte paquetes que tienen más niveles de encapsulación que el nivel de
inspección de túnel máximo que usted configuró.

De manera predeterminada, el contenido encapsulado en un túnel pertenece a la misma zona de seguridad
que el túnel, y está sujeto a las reglas de política de seguridad que protegen esa zona. Sin embargo, puede
configurar una zona de túnel, que le da flexibilidad para configurar las reglas de política de seguridad
para el contenido interno que difiere de las reglas de política de seguridad para el túnel. Si utiliza una
política de inspección de túnel diferente para la zona de túnel, siempre debe tener un nivel de inspección
de túnel máximo de dos niveles, debido a que, por definición, el cortafuegos busca el segundo nivel de
encapsulación.
Si bien la inspección de contenido de túnel funciona en puertas de enlace compartidas

en comunicaciones de sistema virtual a sistema virtual, no puede asignar zonas de túnel
a puertas de enlace compartidas o comunicaciones de sistema virtual a sistema virtual;
estas están sujetas a las mismas reglas de política de seguridad que las zonas a las cuales
pertenecen.
La siguiente tabla indica con una marca de verificación qué tipos de política puede aplicar a una sesión de
túnel externa, una sesión de túnel interna y la sesión original interna:
Tipo de política Sesión de túnel Sesión de túnel Sesión original interna

externa interna
Cancelación de aplicación — —
Protección DoS
NAT — —
Reenvío basado en políticas — —

(PBF) y retorno simétrico
Políticas de calidad del servicio — —

(QoS)
Seguridad (obligatorio)
User-ID
Protección de zonas
Las sesiones de túnel internas y las sesiones de túnel externas cuentan para la capacidad de sesión máxima
del modelo de cortafuegos.
Cuando usted habilita o edita una política de inspección de túnel (para añadir un protocolo, aumentar los
niveles máximos de inspección o habilitar opciones de seguridad), afecta las sesiones de túnel existentes.
El cortafuegos trata las sesiones TCP existentes dentro del túnel como flujos TCP no SYN. Para evitar que
el cortafuegos descarte todas las sesiones existentes cuando habilita o edita una política de inspección de
túnel, puede crear un perfil de protección de zona que deshabilite Reject Non-SYN TCP (Rechazar TCP
no SYN) y aplique el perfil a las zonas que controlan las políticas de seguridad de su túnel. La tarea de
Configuración de la inspección del contenido del túnel incluye estos pasos.
El cortafuegos no admite una regla de política de inspección de túnel que compare el tráfico de un túnel que
finalice en el cortafuegos, el cortafuegos descarta los paquetes que coinciden con la sesión de túnel interno.
Por ejemplo, cuando un túnel IPSec finaliza en el cortafuegos, no cree una regla de política de inspección de

túnel que coincida con el túnel que usted finaliza. El cortafuegos ya inspecciona el tráfico del túnel interno,
por lo que no se necesita una regla de política de inspección de túnel.
Puede Visualizar la actividad de túnel inspeccionado en el ACC o Visualizar la información de túnel en
logs. Para facilitar una visualización rápida, configure una etiqueta de supervisión para poder supervisar la
actividad del túnel y filtrar los resultados de log según esa etiqueta.
La actividad de túnel ACC proporciona datos en diferentes vistas. Para el uso de ID de túnel, etiqueta
de supervisión de túnel y uso de aplicación de túnel, los datos de bytes, sessions (sesiones), threats
(amenazas), content (contenido) y URL provienen de la base de datos de resumen de tráfico. Para el usuario
del túnel, la IP de origen tunelizada y la actividad de IP de destino tunelizada, los datos de bytes y sessions
(sesiones) provienen de la base de datos de resumen de tráfico, los datos de threats (amenazas) provienen
del resumen de amenazas, los datos de URL provienen del resumen de URL y los datos de contents
(contenido) provienen de la base de datos Data (Datos), que es un subconjunto de los logs de amenazas.
Si usted habilita NetFlow en la interfaz, NetFlow capturará las estadísticas del túnel externo únicamente,
para evitar el recuento doble (recuento de bytes en los flujos interno y externo).
Para obtener información sobre la regla de política de inspección de túnel y las prestaciones de zona de
túnel para su modelo de cortafuegos, consulte la Herramienta de selección de producto.
La siguiente figura ilustra una corporación que incluye varias divisiones y utiliza diferentes políticas de
seguridad y una política de inspección de túnel. Un equipo de TI central se encarga de la conectividad entre
las regiones. Un túnel conecta la ubicación A con la ubicación C; otro túnel conecta la ubicación A con la
ubicación D. TI Central coloca un cortafuegos en la ruta de cada túnel; el cortafuegos en el túnel entre las
ubicaciones A y C realiza la inspección de túnel; el cortafuegos en el túnel entre las ubicaciones A y D no
posee una política de inspección de túnel debido a que el tráfico es muy delicado.
Configuración de la inspección del contenido del túnel

Realice esta tarea para configurar la inspección del contenido del túnel para un protocolo de túnel que usted
permita en un túnel.
STEP 1 | Cree una política de seguridad que permita paquetes a través del túnel desde la zona de origen
hasta la zona de destino y que utilice una aplicación específica, tal como la aplicación GRE.
Creación de una regla de política de seguridad
El cortafuegos puede crear logs de inspección de túnel al inicio o al final de la sesión.

Cuando usted especifica Actions (Acciones) para la regla de política de seguridad,

seleccione Log at Session Start (Registrarse al inicio de la sesión) para las sesiones de
túnel de larga duración, tal como las sesiones GRE.
STEP 2 | Cree una regla de política de inspección de túnel.

1. Seleccione Policies (Políticas) > Tunnel Inspection (Inspección de túnel) y luego Add (Añadir) para
añadir una regla de política.
2. En la pestaña General, introduzca en Name un nombre para la regla de política de inspección de
túneles que comience con un carácter alfanumérico y que contenga caracteres como cero u otros
alfanuméricos, guion bajo (_), guion (-), punto (.) y espacio.
4. (Opcional) Especifique una Tag (Etiqueta) que identifique los paquetes que están sujetos a la regla de
política de inspección de túnel, para fines de informes y registro.
STEP 3 | Especifique los criterios que determinan el origen de los paquetes a los cuales se aplica la regla
de política de inspección de túneles.
1. Seleccione la pestaña Source (Origen).
2. Seleccione Add (Añadir) para añadir una Source Zone (Zona de origen) en la lista de zonas. El valor
predeterminado es Any (Cualquier) zona.
3. (Opcional) Seleccione Add (Añadir) para añadir una Source Address (Dirección de origen). Puede
introducir una dirección IPv4 o IPv6, un grupo de direcciones o un objeto de dirección de región
geográfica. El valor predeterminado es Any (Cualquier) dirección de origen.
4. (Opcional) Seleccione Negate (Negar) para seleccionar cualquier dirección excepto las configuradas.
5. (Opcional) Seleccione Add (Añadir) para añadir un Source User (Usuario de origen). El valor
predeterminado es any (cualquier) usuario de origen. Known-user (Usuario conocido) es un usuario
que se ha autenticado; un usuario Unknown (Desconocido), no se ha autenticado.
STEP 4 | Especifique los criterios que determinan el destino de los paquetes a los cuales se aplica la
regla de política de inspección de túneles.
1. Seleccione la pestaña Destination (Destino).
2. Seleccione Add (Añadir) para añadir una Destination Zone (Zona de destino) de la lista de zonas. El
valor predeterminado es Any (Cualquier) zona.
3. (Opcional) Seleccione Add (Añadir) para añadir una Destination Address (Dirección de destino).
Puede introducir una dirección IPv4 o IPv6, un grupo de direcciones o un objeto de dirección de
región geográfica. El valor predeterminado es Any (Cualquier) dirección de destino.
También puede configurar una nueva dirección o grupo de direcciones.
4. (Opcional) Seleccione Negate (Negar) para seleccionar cualquier dirección excepto las configuradas.
STEP 5 | Especifique los protocolos de túnel que el cortafuegos inspeccionará para esta regla.
1. Seleccione la pestaña Inspection (Inspección).
2. Add (Añadir) uno o más Protocols (Protocolos) de túnel que desea que el cortafuegos inspeccione:
• GRE: El cortafuegos inspecciona los paquetes que utilizan Generic Route Encapsulation en el
túnel.
• GTP-U: el cortafuegos inspecciona los paquetes que utilizan el protocolo de túnel General Packet
Radio Service (GPRS) para datos de usuario (GTP-U) en el túnel.
• Non-encrypted IPSec (IPSec no cifrado): El cortafuegos inspecciona los paquetes que usan IPSec
no cifrado (Null Encrypted IPSec o IPSec AH en modo Transporte) en el túnel.
STEP 6 | Especifique cuántos niveles de encapsulación inspeccionará el cortafuegos y las condiciones en

las que el cortafuegos descartará un paquete.
1. Seleccione Inspect Options (Opciones de inspección).

2. Seleccione los Maximum Tunnel Inspection Levels (Niveles máximos de inspección de túnel) que el
cortafuegos inspeccionará:
• One Level (Un nivel): el cortafuegos inspecciona el contenido que está en túnel externo
únicamente (opción predeterminada).
• Two Levels (Tunnel In Tunnel) (Dos niveles [túnel en túnel): el cortafuegs inspecciona el
contenido que está en el túnel externo y el contenido que está en el túnel interno.
3. Seleccione lo siguiente para especificar si el cortafuegos descartará un paquete en esta condición:
1. Drop packet if over maximum tunnel inspection level (Descartar paquete si se supera el nivel
máximo de inspección de túnel): el cortafuegos descartará el paquete que contenga más niveles
de encapsulación de los que están configurados para Maximum Tunnel Inspection Levels (Niveles
máximos de inspección de túnel).
2. Drop packet if tunnel protocol fails strict header check (Descartar paquete si el protocolo del
túnel falla en la comprobación estricta de encabezado): el cortafuegos descarta un paquete que
contiene un protocolo de túnel que utiliza un encabezado que no cumple con el RFC para el
protocolo. Los encabezados no compatibles pueden indicar paquetes sospechosos. Esta opción
hace que el cortafuegos verifique los encabezados GRE contra RFC 2890.
Si su cortafuegos tuneliza GRE con un dispositivo que implementa una versión

de GRE anterior a RFC 2890, no debe habilitar la opción de Drop packet if tunnel
protocol fails strict header check (Descartar paquete si el protocolo de túnel falla en
la comprobación estricta de encabezado).
3. Drop packet if unknown protocol inside tunnel (Descartar paquete si hay un protocolo
desconocido dentro del túnel): el cortafuegos descartará el paquete que contenga un protocolo
dentro del túnel que el cortafuegos no pueda identificar.
Por ejemplo, si esta opción está seleccionada, el cortafuegos descartará los paquetes IPSec
cifrados que coincidan con la regla de política de inspección de túnel debido a que el cortafuegos
no podrá leerlos. Por lo tanto, puede permitir los paquetes IPSec y el cortafuegos permitirá solo
los paquetes AH IPsec e IPSec con cifrado Null.
STEP 7 | Gestione las reglas de política de inspección de túnel.

Utilice lo siguiente para gestionar las reglas de política de inspección de túnel:
• (Campo de filtro): muestra solo las reglas de política de túnel nombradas en el campo de filtro.
• Delete (Eliminar): elimina las reglas de política de túnel seleccionadas.
• Clone (Clonar): una alternativa al botón Add (Añadir), que duplica la regla seleccionada con un nuevo
nombre, que luego puede modificar.
• Enable (Habilitar): habilita las reglas de política de túnel seleccionadas.
• Disable (Deshabilitar): deshabilita las reglas de política de túnel seleccionadas.
• Move (Mover): desplaza las reglas de política de túnel seleccionadas hacia arriba o hacia abajo en la
lista; los paquetes son evaluados según las reglas en orden descendente.
• Highlight Unused Rules (Destacar reglas no utilizadas): resalta las reglas de política de túnel que no
coinciden con ningún paquete desde la última vez que el cortafuegos se ha reiniciado.
STEP 8 | (Opcional) Cree una zona de origen de túnel y una zona de destino de túnel para el contenido de
túnel y configure una regla de política de seguridad para cada zona.
La práctica recomendada es crear zonas de túnel para su tráfico de túnel. Por lo tanto, el
cortafuegos crea sesiones separadas para los paquetes tunelizados y no tunelizados que
tienen la misma tupla de cinco (dirección IP y puerto de origen, dirección IP y puerto de
destino, y protocolo).

La asignación de zonas de túnel al tráfico de túnel en un cortafuegos de la serie PA-5200
hace que el cortafuegos realice la inspección de túnel en el software; la inspección de
túnel no se descarga en el hardware.
1. Si desea que el contenido del túnel esté sujeto a diferentes reglas de política de seguridad de las
reglas de política de seguridad para la zona del túnel externo (configurado anteriormente), seleccione
Network (Red) > Zones (Zonas) y Add (Añadir) para añadir un nombre para la zona de origen de túnel
en Name (Nombre).
2. Para Location (Ubicación), seleccione el sistema virtual.
3. En Tipo, seleccione Tunnel (Túnel).
5. Repita estos pasos secundarios para crear la zona de destino de túnel.
6. Configure una regla de política de seguridad para la zona de origen de túnel.
Debido a que quizás no conozca al originador del tráfico de túnel o la dirección del
flujo del tráfico y no desea prohibir accidentalmente el tráfico para una aplicación
a través del túnel, especifique ambas zonas de túnel como la Source Zone (Zona
de origen) y especifique ambas zonas de túnel como la Destination Zone (Zona de
destino) en su regla de política de seguridad, o seleccione Any (Cuaquiera) para las
zonas de origen y destino; y luego especifique las Applications (Aplicaciones).
7. Configure una regla de política de seguridad para la zona de destino de túnel. El consejo para
configurar una regla de política de seguridad para la zona de origen de túnel se aplica también a la
zona de destino de túnel.
STEP 9 | (Opcional) Especifique la zona de origen de túnel y la zona de destino de túnel para el contenido
interno.
1. Especifique la zona de origen de túnel y la zona de destino de túnel que acaba de añadir como las
zonas para el contenido interno. Seleccione Policies (Políticas) > Tunnel Inspection (Inspección de
túnel) y en la pestaña General, seleccione en Name el nombre de la regla de política de inspección
que ha creado.
2. Seleccione Inspection (Inspección).
3. Seleccione Security Options (Opciones de seguridad).
4. Seleccione Enable Security Options (Habilitar opciones de seguridad) para hacer que el origen del
contenido interno pertenezca a la Tunnel Source Zone (Zona de origen de túnel) que especifique y
que el destino de contenido interno pertenezca a la Tunnel Destination Zone (Zona de destino del
túnel) que especifique. (Está deshabilitado de forma predeterminada).
Si no elige Enable Security Options (Habilitar opciones de seguridad), el origen del contenido interno
pertenecerá a la misma zona de origen que el origen de túnel externo y el destino de contenido
interno pertenecerá a la misma zona de destino que el destino del túnel externo, y por lo tanto
estarán sujetos a las mismas reglas de política de seguridad que se aplican a esas zonas externas.
5. En Tunnel Source Zone (Zona de origen de túnel), seleccione una de las opciones siguientes:
• Default (el ajuste predeterminado). El contenido interno utilizará la misma zona que se utiliza en el
túnel externo para la aplicación de políticas.
• La zona de túnel correspondiente que creó en el paso anterior, para que las reglas de políticas de
seguridad asociadas con esa zona se apliquen a la zona de origen del túnel.
6. En Tunnel Destination Zone (Zona de destino de túnel), seleccione una de las opciones siguientes:
• Default (el ajuste predeterminado). El contenido interno utilizará la misma zona que se utiliza en el
túnel externo para la aplicación de políticas.
• La zona de túnel correspondiente que creó en el paso anterior, para que las reglas de políticas de
seguridad asociadas con esa zona se apliquen a la zona de destino del túnel.

Si configura una Tunnel Source Zone (Zona de origen de túnel) y Tunnel Destination
Zone (Zona de destino de túnel) para la regla de política de inspección, debe
configurar una Source Zone (Zona de origen) específica (en el paso 3) y una
Destination Zone (Zona de destino) específica (en el paso 4) en los criterios de
coincidencia de la regla de política de inspección de túnel, en lugar de especificar
una Source Zone (Zona de origen) con el valor Any (Cualquiera) y una Destination
Zone (Zona de destino) con el valor Any (Cualquiera). Este consejo garantiza que la
dirección de la reasignación de zona corresponda a las zonas principales.
STEP 10 | (Opcional) Si habilitó Rematch Sessions (Volver a cotejar sesiones) (Device [Dispositivo] >
Setup [Configuración] > Session [Sesión]), asegúrese de que el cortafuegos no descarte las
sesiones existentes cuando cree o revise una política de inspección de túnel, al deshabilitar
Reject Non-SYN TCP (Rechazar TCP Non-SYN) para las zonas que controlen sus políticas de
seguridad de túnel.
El cortafuegos muestra la siguiente advertencia cuando usted:
• Crea una regla de política de inspección de túnel.
• Modifica una regla de política de inspección de túnel al añadir un Protocol (Protocolo) o al aumentar
los Maximum Tunnel Inspection Levels (Niveles máximos de inspección de túnel) de One Level (Un
nivel) a Two Levels (Dos niveles).
• Seleccione Enable Security Options (Habilitar las opciones de seguridad) en la pestaña Security
Options (Opciones de seguridad) al añadir nuevas zonas o cambiar una zona por otra.
Advertencia: La habilitación de políticas de inspección de túnel en las sesiones de túnel

existentes harán que las sesiones TCP existentes dentro del túnel sean tratadas como
flujos non-syn-tcp. Para garantizar que las sesiones existentes no se descarten cuando
la política de inspección de túnel esté habilitada, configure el ajuste Reject Non-SYN TCP
(Rechazar TCP Non-SYN) para las zonas en no, usando un perfil de protección de zona
y aplíquelo a las zonas que controlan las políticas de seguridad del túnel. Una vez que
las sesiones existentes han sido reconocidas por el cortafuegos, puede volver a habilitar
el ajuste Reject Non-SYN TCP (Rechazar TCP Non-SYN) al configurarlo en yes (sí) o
global.
zona) y Add (Añadir) para añadir un perfil.
3. Seleccione Packet Based Attack Protection (Protección contra ataques basados en paquetes) > TCP
Drop (Descarte de TCP).
4. Para Reject Non-SYN TCP (Rechazar TCP Non-SYN), seleccione no.
6. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona que controla sus políticas de
seguridad de túnel.
7. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil de protección de zona
que acaba de crear.
9. Repita los tres pasos anteriores de esta sección para aplicar el perfil de protección de zona a zonas
adicionales que controlan sus políticas de seguridad de túnel.
10.Una vez que las sesiones existentes han sido reconocidas por el cortafuegos, puede volver a habilitar
el ajuste Reject Non-SYN TCP (Rechazar TCP Non-SYN) al configurarlo en yes (sí) o global.

STEP 11 | Marque el tráfico de túnel para el registro y la presentación de informes agregados en los
cortafuegos o fuera del cortafuegos.
Si marca el tráfico de túnel, posteriormente puede filtrar la etiqueta de supervisión en

el log de inspección de túnel y usar el ACC para ver la actividad del túnel basada en la
etiqueta de supervisión.
1. Seleccione Policies (Políticas) > Tunnel Inspection (Inspección de túnel) y seleccione el nombre de la
regla de política de inspección de túnel que ha creado.
2. Seleccione Inspection (Inspección) > Monitor Options (Opciones de supervisión).
3. Ingrese un Monitor Name (Nombre de supervisor) para agrupar el tráfico similar para fines de
registro y elaboración de informes.
4. Ingrese una Monitor Tag (number) (Etiqueta de supervisión [número]) para agrupar tráfico similar
para fines de registro y elaboración de informes (el intervalo es de 1 a 16.777.215). El número de
etiqueta se define globalmente.
STEP 12 | (Opcional) Limite la fragmentación del tráfico en un túnel.

zona) y Add (Añadir) para añadir un perfil por Name (Nombre).
2. Introduzca una Description (Descripción).
3. Seleccione una Packet Based Attack Protection (Protección contra ataques basados en paquetes) >
IP Drop (Descarte de IP) > Fragmented traffic (Tráfico de fragmentación).
5. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona de túnel en la que desea limitar la
fragmentación.
6. Para Zone Protection Profile (Perfil de protección de zona), seleccione el perfil que acaba de crear
para aplicar el perfil de protección de zona a la zona de túnel.

Visualización de actividad de túneles inspeccionados

Realice la siguiente tarea para ver la actividad de los túneles inspeccionados.
STEP 1 | Seleccione ACC y seleccione un Virtual System (Sistema virtual) o All (Todos) los sistemas
virtuales.
STEP 2 | Seleccione Tunnel Activity (Actividad del túnel).
STEP 3 | Seleccione un Time period (Período) para ver, como Last 24 Hrs (Últimas 24 horas) o Last 30
Days (Últimos 30 días).
STEP 4 | En Global Filters (Filtros globales), haga clic en los botones + o - para utilizar los filtros de ACC
en la actividad del túnel.
STEP 5 | Vea la actividad del túnel inspeccionado; puede mostrar u ordenar los datos en cada ventana
por bytes, sessions (sesiones), threats (amenazas), content (contenido) o URLs. Cada ventana
muestra un aspecto diferente de los datos del túnel en un gráfico o una tabla:

• Tunnel ID Usage (Uso de ID de túnel): cada protocolo de túnel enumera los ID de túnel de los túneles
que utilizan este protocolo. Las tablas brindan la cantidad total de bytes, las sesiones, las amenazas,
el contenido y las URL del protocolo. Coloque el cursor sobre el ID de túnel para obtener un desglose
de cada ID de túnel.
• Tunnel Monitor Tag (Etiqueta de supervisión de túnel): cada protocolo de túnel enumera las
etiquetas de supervisión de túnel de los túneles que utilizan esta etiqueta. Las tablas brindan
la cantidad total de bytes, las sesiones, las amenazas, el contenido y las URL de la etiqueta y el
protocolo. Coloque el cursor sobre la etiqueta de supervisión de túnel para obtener un desglose de
cada etiqueta.
• Tunneled Application Usage (Uso de aplicaciones de transmisión mediante túneles): las categorías
de aplicaciones muestran mediante gráficos los tipos de aplicaciones agrupados por medios, interés
general, colaboración y redes, y códigos de color según su riesgo. Las tablas de las aplicaciones
también incluyen un recuento de los usuarios por aplicación.
• Tunneled User Activity (Actividad de usuarios de transmisión mediante túneles): muestra un gráfico
de los bytes enviados y recibidos, por ejemplo, en un eje x de fecha y hora. Coloque el cursor sobre
un punto del gráfico para ver los datos de ese punto. La tabla de usuario de origen y de usuario de
destino brinda datos por usuario.
• Tunneled Source IP Activity (Actividad IP de origen de transmisión mediante túneles):muestra
gráficos y tablas de bytes, sesiones, y amenazas, por ejemplo, de un atacante en una dirección IP.
Coloque el cursor sobre un punto del gráfico para ver los datos de ese punto.
• Tunneled Destination IP Activity (Actividad IP de destino de transmisión mediante túneles): muestra
gráficos y tablas basadas en las direcciones IP de destino. Vea las amenazas de cada víctima en una
dirección IP, por ejemplo. Coloque el cursor sobre un punto del gráfico para ver los datos de ese
punto.
Visualización de información del túnel en logs

Puede ver logs de inspección del túnel o ver información de inspección del túnel en otros tipos de logs.
• Ver logs de inspección del túnel.

1. Seleccione Monitor (Supervisar) > Logs > Tunnel Inspection (Inspección del túnel) y visualice los
datos del log, y considere las Applications (Aplicaciones) del túnel que se utilizan en su tráfico y los
recuentos elevados de paquetes que fallan la comprobación estricta de encabezados por ejemplo.
2.
Haga clic en el icono de vista detallada de log para obtener información detallada sobre un log.
• Visualice otros logs para obtener información sobre la inspección del túnel.
1. Seleccione Monitor (Supervisar) > Logs.
2. Seleccione Traffic (Tráfico), Threat (Amenaza), URL Filtering (Filtrado de URL), WildFire Submissions
(Envíos de WildFire), Data Filtering (Filtrado de datos) o Unified (Unificado).
3.
En una entrada de log, haga clic en el icono de vista detallada de log .
4. En la ventana Flags (Marcas), consulte si se ha seleccionado la marca Tunnel Inspected (Túnel
inspeccionado). Una marca Tunnel Inspected (Túnel inspeccionado) indica que el cortafuegos utilizó
una regla de la política Tunnel Inspection (Inspección del túnel) para inspeccionar el contenido interno
o túnel interno. La información de Parent Session (Sesión principal) corresponde a un túnel exterior
(en relación a un túnel interior) o un túnel interno (en relación al contenido interno).
En los logs Traffic (Tráfico), Threat (Amenaza), URL Filtering (Filtrado de URL), WildFire Submissions
(Envíos de WildFire), Data Filtering (Filtrado de datos), solo la información principal directa aparece
en la vista detallada del log de sesión interna, no la información del log del túnel. Si configuró dos
niveles de inspección de túnel, puede seleccionar la sesión principal de la información principal

directa para ver el segundo log principal. (Debe supervisar el log Tunnel Inspection [Inspección de
túnel] como se muestra en el paso anterior para ver la información de log de túnel).
5. Si observa el log de una sesión interna a la que se le realiza una inspección de túnel, haga clic en el
enlace View Parent Session (Ver sesión principal) en la sección General para ver la información de la
sesión externa.
Creación de un informe personalizado basado en el tráfico de túnel

etiquetado
Puede crear un informe para recoger información en función de la etiqueta que aplicó al tráfico de túnel.
STEP 1 | Seleccione Monitor (Supervisar) > Manage Custom Reports (Gestionar informes
personalizados) y haga clic en Add (Añadir).
STEP 2 | En Database (Base de datos), seleccione el log de Tráfico, Amenaza, URL, Filtrado de datos o
envíos de WildFire.
STEP 3 | En Available Columns (Columnas disponibles), seleccione Flags (Marcas) y Monitor Tag
(Etiqueta de supervisión), además de otros datos que desee incluir en el informe.
Consulte Generación de informes personalizados para obtener información detallada sobre la creación
de un informe personalizado.

Política
Las políticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de
políticas que puede crear en el cortafuegos son: las políticas de seguridad, NAT, calidad de
servicio (QoS), reenvío basado en políticas (PBF), descifrado, cancelación de aplicaciones,
autenticación, denegación de servicio (DoS) y protección de zonas. Todas estas diferentes
políticas funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar, descifrar,
realizar excepciones, autenticar el acceso y restablecer conexiones según sea necesario para
ayudar a proteger su red. Los siguientes temas describen cómo trabajar con políticas:
> Tipos de políticas

> Política de seguridad
> Objetos de políticas
> perfiles de seguridad
> Práctica recomendada de política de seguridad de puerta de enlace de Internet
> Enumeración de reglas dentro de una base de reglas
> Duplicación o traslado de una regla de políticas u objeto a un sistema virtual diferente
> Uso de etiquetas para agrupar objetos y distinguirlos visualmente
> Uso de una lista dinámica externa en políticas
> Registro de direcciones IP y etiquetas dinámicamente
> Supervisión de cambios en el entorno virtual
> Comandos de la CLI para etiquetas y direcciones IP
> Identificación de usuarios conectados a través de un servidor proxy
> Reenvío basado en políticas
985
986 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Política
Tipos de políticas
El cortafuegos de nueva generación de Palo Alto Networks admite diversos tipos de políticas que se
complementan mutuamente para habilitar aplicaciones en su red.
de su red Determina si una sesión se bloqueará o se permitirá basándose en atributos

del tráfico, como la zona de seguridad de origen y destino, la dirección
IP de origen y destino, la aplicación, el usuario y el servicio. Para obtener
información detallada, consulte Política de seguridad.
NAT Indica al cortafuegos qué paquetes necesitan traducción y cómo realizarla. El

firewall admite tanto la traducción de puerto y/o dirección de origen como
la traducción de puerto y/o dirección de destino. Para obtener información
detallada, consulte NAT.
Políticas de calidad del Identifica el tráfico que requiere un tratamiento de QoS (ya sea un
servicio (QoS) tratamiento preferente o una limitación del ancho de banda) mediante un
parámetro definido o varios parámetros y le asigna una clase. Para obtener
información detallada, consulte Calidad de servicio.
Reenvío basado en Identifica el tráfico que debería usar una interfaz de salida diferente a la
políticas que debería usar según la tabla de enrutamiento. Para obtener información
detallada, consulte Reenvío basado en políticas.
Descifrado Identifica el tráfico que quiere inspeccionar para ganar visibilidad, control y
seguridad granular. Para obtener información detallada, consulte Decifrado.
Cancelación de Identifica sesiones que no quiere que procese el motor de App-ID, lo cual
aplicación es una inspección de capa 7. El tráfico que coincida con una política de
cancelación de aplicación obliga a que el cortafuegos gestione la sesión como
un cortafuegos de inspección de estado normal en la capa 4. Para obtener
información detallada, consulte Gestión de aplicaciones personalizadas o
desconocidas.
Autenticación Identifica el tráfico que requiere que los usuarios se autentiquen. Para
obtener información detallada, consulte Política de autenticación.
Protección DoS Identifica ataques de políticas de denegación de servicio (DoS) y toma

medidas de protección que responden a las coincidencias de reglas. Perfiles
de protección contra DoS.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Política 987

Política de seguridad
La política de seguridad protege los activos de red frente a amenazas e interrupciones, y ayuda a asignar de
manera óptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales.
En el cortafuegos de Palo Alto Networks, las reglas de política de seguridad determinan si una sesión se
bloqueará o se permitirá, en función de atributos del tráfico, tales como la zona de seguridad de origen y
destino, la dirección IP de origen y destino, la aplicación, el usuario y el servicio.
Para garantizar que los usuarios finales se autentican cuando intentan acceder a los
recursos de red, el cortafuegos evalúa la política de autenticación antes que la de seguridad.
Se buscan coincidencias entre todo el tráfico que atraviesa el cortafuegos y una sesión, y entre cada sesión
y una regla de la política de seguridad. Cuando se encuentra una coincidencia, el cortafuegos aplica la regla
de la política de seguridad al tráfico bidireccional (cliente a servidor y servidor a cliente) de esa sesión.
Para el tráfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas
predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para
permitir todo el tráfico de intrazona (en la zona) y denegar el tráfico interzona (entre zonas). Aunque estas
reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada, puede
cancelarlas y cambiar un número limitado de ajustes, incluidas las etiquetas, acción (permitir o bloquear)
configuración de log y perfiles de seguridad.
Las reglas de la política de seguridad se evalúan de izquierda a derecha y de arriba a abajo. Un paquete
coincide con la primera regla que cumpla los criterios definidos; después de activar una coincidencia, las
reglas posteriores no se evalúan. Por lo tanto, las reglas más específicas deben preceder a las más genéricas
para aplicar los mejores criterios de coincidencia. El tráfico que coincide con una regla genera una entrada
de log al final de la sesión en el log de tráfico, si se permite el logging para esa regla. Las opciones de logs
pueden configurarse para cada regla. Por ejemplo, se pueden configurar para registrarse al inicio de una
sesión en lugar o además del logging al final de una sesión.
• Componentes de una regla de política de seguridad
• Acciones de la política de seguridad
• Creación de una regla de política de seguridad
Componentes de una regla de política de seguridad

La construcción de la regla de política de seguridad permite una combinación de los cambios obligatorios y
opcionales como se detalla en la tabla siguiente:
Campo
Obligatorio/ Descripción
Opcional
ObligatorioName (Nombre) Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Rule Type (Tipo Especifica si la regla se aplica al tráfico en una zona, entre zonas o ambas.
de regla)
• universal (predeterminado): aplica la regla a todo el tráfico
coincidente de interzona e intrazona en las zonas de origen y destino
especificadas. Por ejemplo, si crea una regla universal con las zonas
de origen A y B y las zonas de destino A y B, esta se aplicará a todo
el tráfico dentro de la zona A, a todo el tráfico de la zona B, a todo el
tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la
A.

Campo
Opcional
• intrazone (intrazona): aplica la regla a todo el tráfico coincidente
dentro de las zonas de origen especificadas (no puede especificar una
zona de destino para las reglas de intrazona). Por ejemplo, si establece
la zona de origen en A y B, la regla se aplicará a todo el tráfico dentro
de la zona A y a todo el tráfico dentro de la zona B, pero no al tráfico
entre las zonas A y B.
• interzone (interzona): aplica la regla a todo el tráfico coincidente entre
la zona de origen especificada y las zonas de destino. Por ejemplo, si
establece la zona de origen en A, B y C y la zona de destino en A y B,
la regla se aplicará al tráfico que va de la zona A a la B, de la zona B a
la A, de la zona C a la A y de la zona C a la B, pero no al tráfico dentro
de las zonas A, B o C.
Source Zone Zona en la que se origina el tráfico.

(Zona de origen)
Destination Zone Zona en la que termina el tráfico. Si utiliza NAT, asegúrese de hacer
(Zona de destino) referencia siempre a la zona posterior a NAT.
Application La aplicación que desea controlar. El firewall utiliza la tecnología de

(Aplicación) clasificación de tráfico App-ID para identificar el tráfico de su red. App-ID
permite controlar las aplicaciones y ofrece visibilidad al crear políticas de
seguridad que bloquean las aplicaciones desconocidas, al tiempo que se
habilitan, inspeccionan y moldean las que están permitidas.
Action (Acción) Especifica una acción de Allw (Permitir) o Block (Bloquear) para el tráfico
basándose en los criterios que defina en la regla. Cuando configure
el cortafuegos para bloquear el tráfico, este restablecerá la conexión
o descartará los paquetes en segundo plano. Para proporcionar una
mejor experiencia al usuario, puede configurar opciones granulares para
bloquear el tráfico en lugar de descartar paquetes en segundo plano,
lo que puede provocar que algunas aplicaciones fallen y no respondan
al usuario. Para obtener más detalles, consulte Acciones de política de
seguridad.
Opcional Tag (Etiqueta) Palabra clave o frase que le permite filtrar las reglas de seguridad. Esto
es de utilidad cuando ha definido muchas reglas y desea revisar las que
están etiquetadas con una palabra clave específica, como por ejemplo,
aplicaciones aprobadas por TI o aplicaciones de alto riesgo.
Description Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
(Descripción)
Source IP Define la dirección IP o FQDN de host, la subred, los grupos nombrados

Address o el cumplimiento basado en el país. Si utiliza NAT, asegúrese de hacer
(Dirección IP de siempre referencia a las direcciones IP originales del paquete (es decir, la
origen) dirección IP anterior a NAT).
Destination Ubicación o destino del tráfico. Si utiliza NAT, asegúrese de hacer

IP Address siempre referencia a las direcciones IP originales del paquete (es decir, la
dirección IP anterior a NAT).

Campo
Opcional
(Dirección IP de
destino)
User (Usuario) Usuario o grupo de usuarios a los que se aplica la política. Debe tener
habilitado User-ID en la zona. Para habilitar User-ID, consulte Descripción
general de la ID de usuario.
URL Category El uso de la categoría de URL como criterios de coincidencia le

(Categoría de permite personalizar perfiles de seguridad (antivirus, antispyware,
URL) vulnerabilidades, bloqueo de archivos, filtrado de datos y DoS) según
la categoría de URL. Por ejemplo, puede impedir la descarga/carga de
archivos .exe para las categorías de URL que representen un riesgo más
alto mientras que sí lo permite para otras categorías. Esta funcionalidad
también le permite adjuntar programaciones a categorías de URL
específicas (permitir sitios web de redes sociales durante el almuerzo
y después de las horas de trabajo), marcar determinadas categorías de
URL con QoS (financiera, médica y empresarial) y seleccionar diferentes
perfiles de reenvío de logs según la categoría de URL.
Aunque puede configurar categorías de URL manualmente en su
cortafuegos, para aprovechar las actualizaciones dinámicas de
categorización de URL disponibles en los cortafuegos de Palo Alto
Networks, deberá adquirir una licencia de filtrado de URL.
Para bloquear o permitir el tráfico basado en la categoría

de URL, deberá aplicar un perfil de filtrado de URL a las
reglas de políticas de seguridad. Defina la categoría de
URL como Cualquiera y adjunte un perfil de filtrado de
URL a la política de seguridad. Consulte Configuración
de una política de seguridad básica para obtener
información sobre el uso de los perfiles predeterminados
de su política de seguridad y consulte Controle el
acceso al contenido web para obtener información más
detallada.
Service (Servicio) Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la

aplicación. Puede seleccionar any (cualquiera), especificar un puerto o
usar un application-default (valor predeterminado de aplicación) para
permitir el uso del puerto basado en estándares de la aplicación. Por
ejemplo, en el caso de aplicaciones con números de puerto conocidos,
como DNS, la opción application-default (valor predeterminado de
aplicación) coincidirá con el tráfico DNS únicamente en el puerto 53 de
TCP. También puede añadir una aplicación personalizada y definir los
puertos que puede utilizar la aplicación.
Para reglas de permiso entrante (por ejemplo, de no

fiable a fiable), el uso de Valor predeterminado de
aplicación impide que las aplicaciones se ejecuten en
puertos y protocolos inusuales. El valor por defecto de
aplicación es la opción por defecto; si bien el cortafuegos
sigue comprobando todas las aplicaciones en todos

Campo
Opcional
los puertos, con esta configuración, las aplicaciones
solamente están permitidas en sus puertos/protocolos
estándar.
Security Profiles Proporciona una protección adicional frente a amenazas, vulnerabilidades

(Perfiles de y fugas de datos. Los perfiles de seguridad únicamente se evalúan en el
seguridad) caso de reglas que tengan una acción de permiso.
HIP Profile Le permite identificar a clientes con el perfil de información de host (Host
(Perfil HIP) (para Information Profile, HIP) y, a continuación, aplicar privilegios de acceso.
GlobalProtect)
Options Le permite definir logging para la sesión, registrar ajustes de reenvío,

(Opciones) cambiar marcas de calidad de servicio (Quality of Service, QoS) de
paquetes que coincidan con la regla y planificar cuándo (día y hora)
debería ser efectiva la regla de seguridad.
Acciones de la política de seguridad

Para el tráfico que coincida con los atributos definidos en una política de seguridad, seleccione una de las
acciones siguientes:
Allow (Permitir) Permite el tráfico.

(acción
predeterminada)
Deny (Denegar) Bloquea el tráfico y aplica la acción por defecto Denegar definida
para la aplicación que se está denegando. Para ver la acción de
denegación definida de manera predeterminada para una aplicación,
vea la información detallada de la aplicación en Objects (Objetos) >
Applications (Aplicaciones) o consulte los detalles de las aplicaciones en
Applipedia.
Drop (Descartar) Descarta en segundo plano el tráfico; para una aplicación, sobrescribe la
acción de cancelación predeterminada. No se envía un restablecimiento
de TCP al host o la aplicación.
Para las interfaces de Capa 3, para enviar opcionalmente una respuesta
ICMP inalcanzable al cliente, defina la acción: Seleccione Drop (Descartar)
y habilite la casilla de verificación Send ICMP Unreachable (Enviar
ICMP inalcanzable). Cuando está habilitado, el cortafuegos envía
el código ICMP que indica que la comunicación con el destino está
administrativamente prohibida; ICMPv4: Tipo 3, Código 13; ICMPv6: Tipo
1, Código 1.
Reset client Envía un restablecimiento de TCP al dispositivo de la parte del cliente.

(Restablecer cliente)

Reset server Envía un restablecimiento de TCP al dispositivo de la parte del servidor.

(Restablecer servidor)
Reset both Envía un restablecimiento de TCP tanto al dispositivo de la parte del

(Restablecer ambos) cliente como al de la parte del servidor.
Un restablecimiento solo se envía después de que se forme una sesión. Si la

sesión se bloquea antes de completar el protocolo de enlace en tres direcciones,
el cortafuegos no enviará un restablecimiento.
Para una sesión TCP con una acción de restablecimiento, el cortafuegos no envía una respuesta de
ICMP inalcanzable.
Para una sesión UDP con una acción de restablecimiento o descarte, si la casilla de verificación
ICMP Unreachable (ICMP inalcanzable) está seleccionada, el cortafuegos envía un mensaje de
ICMP al cliente.
Creación de una regla de política de seguridad

STEP 1 | (Opcional) Elimine la regla de política de seguridad predeterminada.
De manera predeterminada, el cortafuegos incluye una regla de seguridad denominada regla1 que
permite todo el tráfico desde la zona Fiable a la zona No fiable. Puede eliminar la regla o modificarla para
reflejar su convención de denominación de zonas.
STEP 2 | Añada una regla

3. Seleccione un Rule Type (Tipo de regla).
STEP 3 | Defina los criterios de coincidencia para los campos de origen en el paquete.
1. En la pestaña Source (Origen), seleccione la Source Zone (Zona de origen).
2. Especifique una Source IP Address (Dirección IP de origen) o deje el valor configurado en any
(cualquiera).
3. Especifique un User (Usuario) de origen o deje el valor configurado en any (cualquiera).
STEP 4 | Defina los criterios de coincidencia para los campos de destino en el paquete.
1. En la pestaña Destination (Destino), seleccione la Destination Zone (Zona de destino).
2. Especifique una Destination IP Address (Dirección IP de destino) o deje el valor configurado en any
(cualquiera).
Se recomienda que considere usar objetos de dirección en el campo Destination

Address (Dirección de destino) para habilitar el acceso únicamente a servidores o
grupos de servidores específicos, particularmente para servicios tales como DNS
y SMTP que habitualmente sufren vulnerabilidades de seguridad. Al restringir a
los usuarios a direcciones de servidor de destino específicas, puede prevenir la
exfiltración de datos y que los comandos y el tráfico de control establezcan una
comunicación a través de técnicas tales como la tunelización de DNS.
STEP 5 | Especifique la aplicación que la regla permitirá o bloqueará.

Se recomienda usar siempre reglas de política de seguridad basadas en la aplicación en
lugar de reglas basadas en el puerto y configurar siempre el servicio en aplicación-por
defecto, a menos que esté utilizando una lista más restrictiva de puertos que los puertos
estándar para una aplicación.
1. En la pestaña Applications (Aplicaciones), seleccione Add (Añadir) para añadir la Application

(Aplicación) para habilitar de modo seguro. Puede seleccionar varias aplicaciones o usar grupos de
aplicaciones o filtros de aplicación.
2. En la pestaña Service/URL Category (Categoría de URL/servicio), mantenga Service (Servicio)
configurado en application-default (aplicación-predeterminado) para garantizar que todas las
aplicaciones que la regla permite se permitan únicamente en los puertos estándar.
STEP 6 | (Opcional) Especifique una categoría de URL como criterio de coincidencia para la regla.
En la pestaña Service/URL Category (Categoría de URL/servicio), seleccione la URL Category (Categoría
de URL).
Si selecciona una categoría de URL, solo el tráfico web coincidirá con la regla y solo si el tráfico es de la
categoría especificada.
STEP 7 | Defina qué acción desea que el cortafuegos realice para el tráfico que coincide con la regla.
En la pestaña Actions (Acciones), seleccione una Action (Acción). Consulte Acciones de política de
seguridad para obtener una descripción de cada acción.
STEP 8 | Configure los ajustes de log.

• Por defecto, la regla está configurada en Log at Session End (Log al finalizar la sesión). Puede borrar
este ajuste si no desea que se generen logs cuando el tráfico coincide con esta regla o seleccione Log
at Session Start (Log al iniciar sesión) para una generación de logs más detallada.
• Seleccione un perfil de Log Forwarding (Reenvío de logs).
STEP 9 | Adjunte perfiles de seguridad para habilitar el cortafuegos para que explore todo el tráfico
permitido en busca de amenazas.
Consulte Creación de perfiles de seguridad de práctica recomendada para obtener

información sobre cómo crear perfiles de seguridad que protejan su red contra amenazas
conocidas y desconocidas.
En la pestaña Actions (Acciones), seleccione Profiles (Perfiles) en el menú desplegable Profile Type (Tipo
de perfil) y luego seleccione los perfiles de seguridad individuales para adjuntar la regla.
O bien, seleccione Group (Grupo) en el menú desplegable Profile Type (Tipo de perfil) y seleccione un
Group Profile (Perfil de grupo) de seguridad para adjuntar.
STEP 10 | Guarde la regla de política en la configuración que se esté ejecutando en el cortafuegos.

STEP 11 | Para verificar que ha configurado sus políticas básicas de manera eficaz, compruebe si sus
reglas de política de seguridad se están evaluando y determine qué regla de política de
seguridad se aplica a un flujo de tráfico.
Para verificar la regla de políticas que coincide con un flujo, utilice el siguiente comando de la CLI:

destination port <port_number> protocol <protocol_number>
El resultado muestra la regla que coincide mejor con la dirección IP de origen y destino especificada en el
comando de la CLI.
Por ejemplo, para verificar la regla de política que se aplicará a un servidor en el centro de datos con la
dirección IP 208.90.56.11 cuando accede al servidor de actualización de Microsoft:
test security-policy-match source 208.80.56.11 destination 176.9.45.70

destination-port 80 protocol 6
"Updates-DC to Internet" {
from data_center_applications;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[dns/tcp/any/53 dns/udp/any/53 dns/udp/any/5353 ms-
update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;

Objetos de políticas
Un objeto de política es un objeto único o una unidad colectiva que agrupa identidades discretas, como
direcciones IP, URL, aplicaciones o usuarios. Con objetos de políticas que sean unidades colectivas, podrá
hacer referencia al objeto en la política de seguridad en lugar de seleccionar manualmente varios objetos
de uno en uno. Por lo general, al crear un objeto de política, se agrupan objetos que requieran permisos
similares en la política. Por ejemplo, si su organización utiliza un conjunto de direcciones IP de servidor
para autenticar usuarios, podrá agrupar el conjunto de direcciones IP de servidor como objeto de política
de grupo de direcciones y hacer referencia al grupo de direcciones en la política de seguridad. Al agrupar
objetos, podrá reducir significativamente la carga administrativa al crear políticas.
Puede crear los siguientes objetos de políticas en el cortafuegos:
Objeto de política DESCRIPTION
Dirección/Grupo de Le permite agrupar direcciones de origen o destino específicas que

direcciones, Región requieren el mismo cumplimiento de política. El objeto de dirección puede
incluir una dirección IPv4 o IPv6 (dirección IP simple, intervalo, subred) o
FQDN. También puede definir una región por las coordenadas de latitud y
longitud o seleccionar un país y definir la dirección IP o el intervalo de IP.
A continuación puede agrupar un conjunto de objetos de dirección para
crear un objeto de grupo de direcciones.
También puede utilizar grupos de direcciones dinámicas para actualizar
dinámicamente direcciones IP en entornos donde las direcciones IP de
host cambian frecuentemente.
Usuario/grupo de Le permite crear una lista de usuarios desde la base de datos local o una
usuarios base de datos externa y agruparlos.
Grupo de aplicaciones Un Filtro de aplicación le permite filtrar aplicaciones dinámicamente. Le

y Filtro de aplicación permite filtrar y guardar un grupo de aplicaciones mediante los atributos
definidos en la base de datos de la aplicación en el cortafuegos. Por
ejemplo, puede realizar la Creación de un filtro de aplicaciones on page
586 según uno o más atributos (categoría, subcategoría, tecnología, riesgo
y características). Con un filtro de aplicaciones, cuando se produce una
actualización de contenido, las nuevas aplicaciones que coincidan con sus
criterios de filtro se añadirán automáticamente a su filtro de aplicación
guardado.
Un grupo de aplicaciones le permite crear un grupo estático de
aplicaciones específicas que desee agrupar para un grupo de usuarios,
para un servicio en concreto o para lograr un objetivo de políticas
concreto. Consulte Creación de un grupo de aplicaciones on page 585.
Servicio/Grupos de Le permite especificar los puertos de origen y destino y el protocolo

servicios que puede utilizar un servicio. El cortafuegos incluye dos servicios
predefinidos (servicio-http y servicio-https) que utilizan los puertos 80
y 8080 de TCP para HTTP y el puerto 443 de TCP para HTTPS. Sin
embargo, puede crear cualquier servicio personalizado en cualquier
puerto TCP/UDP de su elección para restringir el uso de la aplicación
a puertos específicos de su red (dicho de otro modo, puede definir el
puerto predeterminado para la aplicación).

Objeto de política DESCRIPTION
Para ver los puertos estándar utilizados por una
aplicación, en Objects (Objetos) > Applications
(Aplicaciones), busque la aplicación y haga clic en el
enlace. Aparecerá una descripción concisa.

Perfiles de seguridad
Si bien con las reglas de política de seguridad puede permitir o bloquear el tráfico en su red, los perfiles
de seguridad le ayudan a definir una regla de permitir pero inspeccionar, que explora las aplicaciones
permitidas en busca de amenazas, tales como virus, software malintencionado, spyware y ataques DDOS.
Cuando el tráfico coincida con la regla de permiso definida en la política de seguridad, los perfiles de
seguridad vinculados a la regla se aplicarán para reglas de inspección de contenido adicionales, como
comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de

tráfico. El perfil de seguridad se aplica para explorar el tráfico después de que la política de
seguridad permita la aplicación o categoría.
El cortafuegos proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para
empezar a proteger su red frente a amenazas. Consulte Configuración de una política de seguridad básica
para obtener información sobre el uso de los perfiles predeterminados de su política de seguridad. Cuando
comprenda mejor las necesidades de seguridad de su red, podrá crear perfiles personalizados. Consulte
Perfiles de seguridad para obtener más información.
Para obtener recomendaciones sobre los ajustes recomendados para perfiles de seguridad,
consulte Creación de perfiles de seguridad de práctica recomendada.
Puede añadir perfiles de seguridad que se aplican habitualmente juntos para crear un grupo de perfiles de
seguridad; este conjunto de perfiles se puede tratar como una unidad y añadirlo a las políticas de seguridad
en un solo paso (o incluirlo en políticas de seguridad de manera predeterminada, si opta por configurar un
grupo de perfiles de seguridad predeterminado).
Tipo de perfil Descripción
Perfiles de antivirus Los perfiles de antivirus protegen contra virus, gusanos, troyanos y descargas
de spyware. Al usar un motor de prevención contra software malintencionado
basado en secuencias, que analiza el tráfico nada más recibir el primer
paquete, la solución antivirus Palo Alto Networks puede ofrecer protección
para clientes sin que esto tenga un impacto significativo en el rendimiento
del cortafuegos. Este perfil analizará una gran variedad de software
malintencionado en archivos ejecutables, PDF, HTML y virus JavaScript,
incluida la compatibilidad con el análisis dentro de archivos comprimidos y
esquemas de codificación de datos. Si ha habilitado el Decryption (Descifrado)
en el cortafuegos, el perfil también habilita el análisis de contenido descifrado.
El perfil predeterminado inspecciona todos los decodificadores de protocolos
enumerados para virus y genera alertas para protocolos SMTP, IMAP y
POP3 al tiempo que bloquea protocolos FTP, HTTP y SMB. Puede configurar
la acción para una firma de decodificador o antivirus, y especificar cómo
responde el cortafuegos ante un evento de amenaza:
• Default (Predeterminado): para cada firma de amenazas y firma de
antivirus que define Palo Alto Networks, se especifica internamente una
acción predeterminada. Por lo general, la acción predeterminada es una
alerta o un restablecimiento de ambos. La acción predeterminada se
muestra entre paréntesis, por ejemplo predeterminado (alertar) en la firma
de amenazas o antivirus.
• Allow (Permitir): permite el tráfico de la aplicación.

• Alert (Alerta): genera una alerta para el flujo de tráfico de cada aplicación.
La alerta se guarda en el log de amenazas.
• Drop (Descartar): cancela el tráfico de la aplicación.
• Reset Client (Restablecer cliente): para TCP, restablece la conexión de la
parte del cliente. Para UDP, cancela la conexión.
• Reset Server (Restablecer servidor): para TCP, restablece la conexión de la
parte del servidor. Para UDP, cancela la conexión.
• Reset Both (Restablecer ambos): para TCP, restablece la conexión tanto
en el extremo del cliente como en el del servidor. Para UDP, cancela la
conexión.
Los perfiles personalizados se pueden utilizar para minimizar la exploración
antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la
inspección o el tráfico recibido de zonas no fiables, como Internet, así como el
tráfico enviado a destinos altamente sensibles, como granjas de servidores.
El sistema WildFire de Palo Alto Networks también ofrece firmas para
amenazas persistentes más evasivas y que todavía no han sido descubiertas
por otras soluciones de antivirus. A medida que WildFire detecta amenazas,
se van creando las firmas rápidamente y después se integran en las firmas de
antivirus estándar que los suscriptores de prevención de amenazas pueden
descargar todos los días (o cada menos de una hora en el caso de suscriptores
de WildFire).
Perfiles de antispyware Los perfiles de antispyware impiden que el spyware intente realizar llamadas
a casa o balizamiento a servidores externos de comando y control (C2) en
hosts comprometidos, lo que le permite detectar el tráfico malintencionado
que sale de la red desde clientes infectados. Puede aplicar diversos niveles de
protección entre zonas. Por ejemplo, tal vez desee tener perfiles antispyware
personalizados que reduzcan al mínimo la inspección entre zonas fiables y
amplíen al máximo la inspección del tráfico procedente de una zona no fiable,
como zonas de Internet.
Puede definir sus propios perfiles antispyware, o bien elegir uno de los
siguientes perfiles predefinidos al aplicar antispyware a una regla de política
de seguridad:
• Default (Predeterminado): usa la acción predeterminada para cada firma,
tal como especifica Palo Alto Networks al crear la firma.
• Strict (Estricto): Anula la acción predeterminada de amenazas de gravedad
crítica, alta y media para la acción de bloqueo, independientemente de la
acción definida en el archivo de firma. Este perfil sigue usando la acción
predeterminada para firmas de gravedad baja o informativa.
Cuando el cortafuegos detecte un evento de amenazas, puede configurar las
siguientes acciones en un perfil antispyware:
• Default (Predeterminado): para cada firma de amenazas y firma de
antispyware que define Palo Alto Networks, se especifica internamente
una acción por defecto. Por lo general, la acción predeterminada es una
alerta o un restablecimiento de ambos. La acción predeterminada se
muestra entre paréntesis, por ejemplo predeterminado (alertar) en la firma
de amenazas o antivirus.
• Allow (Permitir): permite el tráfico de la aplicación.

• Alert (Alerta): genera una alerta para el flujo de tráfico de cada aplicación.
La alerta se guarda en el log de amenazas.
• Drop (Descartar): cancela el tráfico de la aplicación.
• Reset Client (Restablecer cliente): para TCP, restablece la conexión de la
parte del cliente. Para UDP, cancela la conexión.
• Reset Server (Restablecer servidor): para TCP, restablece la conexión de la
parte del servidor. Para UDP, cancela la conexión.
• Reset Both (Restablecer ambos): para TCP, restablece la conexión tanto
en el extremo del cliente como en el del servidor. Para UDP, cancela la
conexión.
• Block IP (Bloquear IP): esta acción bloquea el tráfico de un par de
origen u origen-destino. Es configurable durante un periodo de tiempo
especificado.
Asimismo, puede habilitar la acción de sinkholing de DNS en perfiles de
antispyware para que el cortafuegos genere una respuesta errónea a una
consulta DNS para un dominio malintencionado conocido, lo que hace que
el nombre de dominio malintencionado se resuelva en una dirección IP que
usted defina. Esta característica ayuda a identificar los hosts infectados en la
red protegida usando tráfico DNS. Los hosts infectados pueden identificarse
fácilmente en los logs de tráfico y amenaza porque cualquier host que intente
conectarse a la dirección IP sinkhole está infectado casi con toda seguridad
con software malintencionado.
Los perfiles de protección contra vulnerabilidades y antispyware se
configuran de forma similar.
Perfiles de protección Los perfiles de protección de vulnerabilidades detienen los intentos

de vulnerabilidades de explotación de fallos del sistema y de acceso no autorizado a los
sistemas. Mientras que los perfiles antispyware ayudan a identificar hosts
infectados como tráfico que abandona la red, los perfiles de protección de
vulnerabilidades protegen contra las amenazas que acceden a la red. Por
ejemplo, los perfiles de protección de vulnerabilidades ayudan a proteger
contra desbordamiento de búfer, ejecución de código ilegal y otros intentos
de explotar las vulnerabilidades del sistema. El perfil predeterminado de
protección contra vulnerabilidades protege a clientes y servidores de todas las
amenazas conocidas de gravedad crítica, alta y media. También puede crear
excepciones, que le permiten cambiar la respuesta a una firma concreta.
Para configurar el modo en que el cortafuegos responde a una amenaza,
consulte Perfiles de antispyware para obtener una lista de acciones admitidas.
Perfiles de filtrado de Los perfiles de filtrado de URL le permiten supervisar y controlar el modo en
URL que los usuarios acceden a la web a través de HTTP y HTTPS. El cortafuegos
incluye un perfil predeterminado que está configurado para bloquear sitios
web tales como sitios conocidos de software malintencionado, de phishing
y con contenido para adultos. Puede utilizar el perfil predeterminado en
una política de seguridad, duplicarlo para utilizarlo como punto de partida
para nuevos perfiles de filtrado de URL o añadir un nuevo perfil de URL que
tenga todas las categorías establecidas como permitidas para lograr visibilidad
del tráfico de su red. A continuación, podrá personalizar los perfiles de URL
recién añadidos y añadir listas de sitios web específicos que siempre deberían

bloquearse o permitirse, lo que proporciona un control más detallado de las
categorías de URL.
Perfiles de filtrado de Los perfiles de filtrado de datos evitan que la información confidencial, como
datos los números de tarjeta de crédito o seguridad social, salga de la red protegida.
El perfil de filtrado de datos también le permite filtrar por palabras clave,
como el nombre de un proyecto confidencial o la palabra confidencial. Es
importante centrar su perfil en el tipo de archivos deseado para reducir los
falsos positivos. Por ejemplo, puede que solo quiera buscar documentos de
Word o Excel. O tal vez solo quiera analizar el tráfico de navegación web, o
FTP.
Puede crear objetos de patrón de datos personalizados y adjuntarlos a un
perfil de filtrado de datos para definir el tipo de información que desea filtrar.
Cree objetos de patrón de datos basados en lo siguiente:
• Predefined Patterns (Patrones predefinidos): filtre números de tarjeta
de crédito y seguridad social (con o sin guiones) usando patrones
predefinidos.
• Regular Expressions (Expresiones regulares): filtre por cadena de
caracteres.
• File Properties (Propiedades de archivo): filtre por propiedades de archivo
y valores basados en el tipo de archivo.
Si utiliza soluciones de prevención de pérdida de datos (data

loss prevention, DLP) de endpoint de terceros para completar
las propiedades de archivo a fin de indicar contenido
delicado, esta opción permite que el cortafuegos aplique su
política DLP.
Para comenzar, realice la Configuración del filtrado de datos.
Perfiles de bloqueo de El cortafuegos usa los perfiles de bloqueo de archivos para bloquear tipos
archivo de archivos especificados y en la dirección de flujo de sesión especificada
(entrante/saliente/ambas). Puede establecer el perfil para emitir alertas o
realizar bloqueos en cargas y descargas y puede especificar qué aplicaciones
quedarán sujetas al perfil de bloqueo de archivos. También puede configurar
páginas de bloqueo personalizadas que aparecerán cuando un usuario intente
descargar el tipo de archivo especificado. Esto permite al usuario dedicar unos
instantes a considerar si desea o no descargar el archivo.
Puede definir sus propios perfiles de bloqueo de archivo, o bien elegir uno
de los siguientes perfiles predefinidos al aplicar bloqueo de archivos a una
regla de política de seguridad: Los perfiles predefinidos, que están disponibles
con la versión de actualización de contenido 653 y posteriores, le permiten
habilitar rápidamente los ajustes recomendados de bloqueo de archivos:
• basic file blocking (bloqueo de archivo básico): adjunte este perfil para las
reglas de política de seguridad que permiten el tráfico hacia y desde las
aplicaciones menos sensibles para bloquear archivos que habitualmente
se incluyen en campañas de ataques de malware o que no tienen un
caso de uso real para la carga/descarga. Este perfil bloquea la carga y
descarga de archivos PE ( .scr, .cpl, .dll, .ocx, .pif, .exe), archivos Java
(.class, .jar), archivos de ayuda (.chm, .hlp) y otros archivos posiblemente

malintencionados, incluidos .vbe, .hta, .wsf, .torrent, .7z, .rar, .bat. Además,
solicita a los usuarios una confirmación al intentar descargar archivos rar
o zip cifrados. Esta regla alerta sobre todos los otros tipos de archivo, a fin
de brindarle visibilidad completa de todos los tipos de archivo que entran a
la red y que salen de ella.
• strict file blocking (bloqueo de archivo estricto): use este perfil más
estricto en las reglas de política de seguridad que permiten el acceso a
sus aplicaciones más delicadas. Este perfil bloquea los mismos tipos de
archivo que el otro perfil, y además bloquea archiso flash, .tar, codificación
multinivel, .cab, .msi, y archivos rar y zip cifrados.
Configure un perfil de bloqueo de archivos con las siguientes acciones:
• Alert (Alertar): cuando se detecta el tipo de archivo especificado, se
genera un log en el log de filtrado de datos.
• Block (Bloquear): cuando se detecta el tipo de archivo especificado,
se bloquea el archivo y se presenta al usuario una página de bloqueo
personalizable. También se genera un log en el log de filtrado de datos.
• Continue (Continuar): cuando se detecta el tipo de archivo especificado,
se presenta al usuario una página de respuesta personalizable. El usuario
puede hacer clic en la página para descargar el archivo. También se genera
un log en el log de filtrado de datos. Dado que este tipo de acción de
reenvío requiere la interacción del usuario, solo se aplica al tráfico web.
Para comenzar, realice la Configuración del filtrado de datos.
Perfiles de análisis de Use un perfil de análisis de WildFire para habilitar al cortafuegos para reenviar
WildFire los archivos o enlaces de correo electrónico desconocidos para el análisis
de WildFire. Especifique los archivos que se enviarán para el análisis basado
en aplicaciones, el tipo de archivo y la dirección de la transmisión (carga o
descarga). Los archivos o enlaces de correo electrónico comparados con la
regla de perfil se reenvían a la nube pública de WildFire o la nube privada de
WildFire (alojadas con un dispositivo WF-500), en función de la ubicación
del análisis definido para la regla. Si una regla de perfil está configurada para
reenviar archivos a la nube pública de WildFIre, el cortafuegos también debe
reenviar los archivos que coincidan con las firmas de antivirus existentes,
además de los archivos desconocidos.
También puede usar perfiles de análisis de WildFire para definir una
implementación de nube híbrida de Wildfire. Si está usando un dispositivo
WildFire para analizar archivos sensibles localmente (como PDF), puede
especificar tipos de archivos menos sensibles (como archivos PE) o tipos
de archivo no compatibles con el análisis de dispositivos WildFire (como
APK) para que se analicen mediante la nube pública de WildFire. El uso del
dispositivo WildFire y la nube WildFire para el análisis le permite disfrutar de
un rápido veredicto de los archivos que ya hayan sido procesados por la nube
y de los archivos que no admiten el análisis del dispositivo; además, libera la
capacidad del dispositivo para procesar el contenido sensible.
Perfiles de protección Los perfiles de protección DoS ofrecen un control detallado de las políticas de
DoS protección contra ataques por denegación de servicio (DoS). Las políticas DoS
permiten controlar el número de sesiones entre interfaces, zonas, direcciones
y países, basadas en sesiones agregadas o direcciones IP de origen o destino.

Hay dos mecanismos de protección DoS compatibles con los cortafuegos de
Palo Alto Networks.
• Flood Protection (Protección contra congestión): detecta y evita los
ataques en los en que la red está congestionada con paquetes y esto
provoca que haya muchas sesiones a medio abrir o servicios que no
pueden responder a cada solicitud. En este caso la dirección de origen
del ataque suele estar falsificada. Consulte Protección DoS contra
inundaciones de nuevas sesiones.
• Resource Protection (Protección de recursos): detecta y previene los
ataques de agotamiento por sesiones. En este tipo de ataque, se usa un
gran número de hosts (bots) para establecer el mayor número posible de
sesiones completas para consumir todos los recursos del sistema.
Puede habilitar ambos tipos de mecanismos de protección en un único perfil
de protección DoS.
El perfil DoS se usa para especificar el tipo de acción que se llevará a
cabo y los detalles de los criterios de coincidencia para la política DoS. El
perfil DoS define ajustes para inundaciones de ICMP, SYN y UDP, puede
habilitar la protección de recursos y define el número máximo de conexiones
simultáneas. Una vez configurado el perfil de protección DoS, agréguelo a una
política DoS.
Al configurar protección DoS, es importante analizar su entorno para
establecer los umbrales correctos y, debido a algunas de las complejidades
para definir las políticas de protección DoS, esta guía no ofrece ejemplos
detallados.
Perfiles de protección Los perfiles de protección de zona ofrecen protección adicional entre zonas
de zonas de red específicas para protegerlas de los ataques. El perfil debe aplicarse a
toda la zona, así que es importante probar cuidadosamente los perfiles para
evitar que surjan problemas cuando el tráfico normal cruce la zona. Si define
límites de umbral de paquetes por segundo (pps) de perfiles de protección de
zonas, el umbral se basa en los paquetes por segundo que no coinciden con
ninguna sesión establecida previamente.
Grupo de perfiles de Un grupo de perfiles de seguridad es un conjunto de perfiles de seguridad

seguridad que se puede tratar como una unidad y añadirse después fácilmente a las
políticas de seguridad. Los perfiles que se suelen asignar juntos se pueden
combinar en grupos de perfiles para simplificar la creación de políticas de
seguridad. También puede configurar un grupo de perfiles de seguridad
predeterminado: las nuevas políticas de seguridad usarán los ajustes definidos
en el grupo de perfiles de seguridad predeterminado para comprobar y
controlar el tráfico coincidente con la política de seguridad. Asigne un nombre
al grupo de perfiles de seguridad predeterminado para permitir que los
perfiles de ese grupo se añadan a las nuevas políticas de seguridad de manera
predeterminada. Esto le permite incluir consistente y automáticamente los
ajustes de perfiles preferidos de su organización en nuevas políticas, sin
necesidad de añadir manualmente perfiles de seguridad cada vez que crea
nuevas reglas.
Consulte Creación de un grupo de perfil de seguridad y Configuración o
cancelación de un grupo de perfil de seguridad predeterminado.

Para obtener recomendaciones sobre los ajustes
recomendados para perfiles de seguridad, consulte Creación
de perfiles de seguridad de práctica recomendada.
Creación de un grupo de perfiles de seguridad

Siga estos pasos para crear un grupo de perfiles de seguridad y añadirlo a una política de seguridad.
STEP 1 | Cree un grupo de perfiles de seguridad.
Si nombra el grupo como default, el cortafuegos automáticamente lo adjuntará a las

reglas nuevas que cree. Esto permite ahorrar tiempo si tiene un conjunto preferido de
perfiles de seguridad que desea asegurarse de adjuntar a cada nueva regla.
1. Seleccione Objects (Objetos) > Security Profile Groups (Grupos de perfiles de seguridad) y haga clic
en Add (Añadir) un nuevo grupo de perfil de seguridad.
2. Asígnele un Name (Nombre) descriptivo al grupo de perfiles, p. ej., Amenazas.
3. Si el cortafuegos está en modo de Sistema virtual múltiple, habilite el perfil para que sea Shared
(Compartido) entre todos los sistemas virtuales.
4. Añada perfiles existentes al grupo.
5. Haga clic en OK (Aceptar) para guardar el grupo de perfiles.
STEP 2 | Añada un grupo de perfiles de seguridad a una política de seguridad.

1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir) para añadir, o
modifique una regla de la política de seguridad.
2. Seleccione la pestaña Actions (Acciones).
3. En la sección Profile Setting (Configuración de perfil), seleccione Group (Grupo) para el Profile Type
(Tipo de perfil).
4. En el menú desplegable Group Profile (Perfil de grupo), seleccione el grupo que ha creado (por
ejemplo, seleccione el grupo recomendado):
5. Haga clic en OK (Aceptar) para guardar la política y en Commit (Confirmar) para confirmar sus
cambios.
STEP 3 | Guarde sus cambios.


Configuración o cancelación de un grupo de perfiles de seguridad
predeterminado
Use las siguientes opciones para configurar un grupo de perfiles de seguridad predeterminado y usarlo
en las nuevas políticas de seguridad, o bien para cancelar un grupo predeterminado existente. Cuando
un administrador crea una nueva política de seguridad, el grupo de perfiles predeterminado se selecciona
automáticamente como los ajustes de perfil de la política, y el tráfico que coincida con la política se
comprobará siguiendo los ajustes definidos en el grupo de perfiles (el administrador puede optar por
seleccionar manualmente los distintos ajustes de perfil si lo desea). Use las siguientes opciones para
configurar un grupo de perfiles de seguridad predeterminado o cancelar sus ajustes predeterminados.
Si no hay ningún perfil de seguridad predeterminado, la configuración del perfil para la

nueva política de seguridad se establece en None (Ninguno) de forma predeterminada.
• Cree un grupo de perfiles de seguridad.

1. Seleccione Objects (Objetos) > Security Profile Groups (Grupos de perfiles de seguridad) y haga clic
en Add (Añadir) un nuevo grupo de perfil de seguridad.
2. Asígnele un Name (Nombre) descriptivo al grupo de perfiles, p. ej., Amenazas.
3. Si el cortafuegos está en Multiple Virtual System Mode (Modo de Sistema multivirtual), habilite el
perfil para que sea Shared (Compartido) entre todos los sistemas virtuales.
4. Añada perfiles existentes al grupo. Para obtener información detallada sobre la creación de perfiles,
consulte Perfiles de seguridad.
5. Haga clic en OK (Aceptar) para guardar el grupo de perfiles.

6. Añada el grupo de perfiles de seguridad a una política de seguridad.
7. Seleccione Add (Añada) para añadir o modifique una regla de política de seguridad y seleccione la
pestaña Actions (Acciones).
8. Seleccione Group (Grupo) para el Profile Type (Tipo de perfil).
9. En el menú desplegable Group Profile (Perfil de grupo), seleccione el grupo que ha creado (por
ejemplo, seleccione el grupo Threats [Amenazas]):
10.Haga clic en OK (Aceptar) para guardar la política y en Commit (Confirmar) para confirmar sus
cambios.
• Configurar un grupo de perfil de seguridad predeterminado

1. Seleccione Objects (Objetos) > Security Profile Groups (Grupos de perfiles de seguridad) y añada un
nuevo grupo de perfil de seguridad o modifique un grupo de perfiles de seguridad existente.
2. Asigne al grupo de perfiles de seguridad el Nombre predeterminado:

4. Confirme que el grupo de perfiles de seguridad predeterminado está incluido en las nuevas políticas
de seguridad de manera predeterminada:
1. Seleccione Policies (Políticas) > Security (Seguridad) y haga clic en Add (Añadir) para añadir una
nueva política de seguridad.
2. Seleccione la pestaña Actions (Acciones) y mire los campos Profile Setting (Ajuste de perfil):
De manera predeterminada, la nueva política de seguridad muestra correctamente el Profile Type

(Tipo de perfil) definido en Group (Grupo) y el Group Profile (Perfil de grupo) predeterminado está
seleccionado.
• Cancele un grupo de perfiles de seguridad predeterminado.

Si ya tiene un grupo de perfiles de seguridad predeterminado y no quiere que el conjunto de perfiles se
añada a una nueva política de seguridad, puede continuar para modificar los campos de Ajuste de perfil
según sus preferencias. Comience por seleccionar un tipo de perfil diferente para su política (Policies
[Políticas] > Security [Seguridad] > Security Policy Rule [Regla de la política de seguridad] > Actions
[Acciones]).

Práctica recomendada de política de seguridad
de puerta de enlace de Internet
Una de las maneras más económicas y simples en las que un atacante obtiene acceso a su red es a través de
usuarios que acceden a internet. Al vulnerar con éxito un extremo, el atacante puede afianzarse en la red y
comenzar a moverse lateralmente hacia el objetivo final, sea robar su código fuente, extrafiltrar sus datos de
clientes o desmontar su infraestructura. Para proteger su red contra el ciberataque y mejorar su postura de
seguridad general, implemente una política de seguridad de puerta de enlace de internet recomendada. Una
política recomendada le permite habilitar de manera segura aplicaciones, usuarios y contenido al clasificar
todo el tráfico, en todos los puertos y en todo momento.
Los siguientes temas describen el proceso general para implementar una política de seguridad de puerta de
enlace de internet recomendada y proporciona instrucciones detalladas para crearla.
• ¿Cuál es la práctica recomendada de política de seguridad de puerta de enlace de Internet?
• ¿Por qué necesito una práctica recomendada de política de seguridad de puerta de enlace de Internet?
• ¿Cómo implemento la práctica recomendada de política de seguridad de puerta de enlace de Internet?
• Identificación de aplicaciones de la lista de permitidos
• Creación de grupos de usuario para el acceso a las aplicaciones de la lista de permitidos
• Descifrado del tráfico para la visibilidad total y la inspección de amenazas
• Creación de perfiles de seguridad de práctica recomendada
• Definición de la política de seguridad de puerta de enlace de Internet inicial
• Supervisión y ajuste preciso de la base de reglas de la política
• Eliminación de las reglas temporales
• Mantenimiento de la base de reglas
¿Cuál es la práctica recomendada de política de seguridad de

puerta de enlace de Internet?
Una práctica recomendada de política de seguridad de puerta de enlace de Internet tiene dos objetivos
principales de seguridad:
• Minimizar la posibilidad de una intrusión: a diferencia de las políticas de seguridad basadas en el puerto
heredadas que bloquean todo en pos de la seguridad de la red o habilitan todo en pos del interés
comercial, una práctica recomendada de política de seguridad aprovecha App-ID, User-ID y Content-ID
para garantizar la habilitación segura de las aplicaciones en todos los puertos, para todos los usuarios, en
todo momento, a la vez que simultáneamente analiza todo el tráfico para detectar amenazas conocidas y
desconocidas.
• Identificar la presencia de un atacante: una práctica recomendada de política de seguridad de puerta de
enlace de Internet brinda mecanismos integrados para ayudar a identificar brechas en la base de reglas y
detectar actividad alarmante y posibles amenazas en la red.
Para lograr estos objetivos, la práctica recomendada de política de seguridad de puerta de enlace de
Internet utiliza reglas basadas en la aplicación para permitir el acceso a aplicaciones de la lista de permitidos
por parte del usuario, a la vez que se analiza todo el tráfico para detectar y bloquear todas las amenazas
conocidas, y enviar los archivos desconocidos a WildFire para identificar nuevas amenazas y generar firmas
para bloquearlos:

La política recomendada se basa en las siguientes metodologías. Las metodologías recomendadas garantizan
la detección y prevención en varias etapas del ciclo de vida del ataque.
Metodología recomendada ¿Por qué es importante?
Inspección de todo Debido a que no puede protegerse contra amenazas que no puede ver,
el tráfico para lograr debe asegurarse de tener una visibilidad total de todo el tráfico de todos
visibilidad los usuarios y aplicaciones en todo momento. Para lograr esto:
• Implemente GlobalProtect para extender la plataforma de seguridad de
última generación a los usuarios y dispositivos, independientemente de
su ubicación.
• Habilite el cifrado SSL para que el cortafuegos pueda inspeccionar el
tráfico cifrado (los flujos de tráfico SSL/TLS representan el 40 % o más
del tráfico total en una red típica actual).
• Habilite User-ID para asignar el tráfico de una aplicación y las amenazas
asociadas a usuarios y dispositivos.
El cortafuego podrá entonces inspeccionar todo el tráfico (incluidas
aplicaciones, amenazas y contenido) y asociarlo al usuario,
independientemente de la ubicación o tipo de dispositivo, puerto, cifrado o
técnicas evasivas empleadas usando las tecnologías App-ID, Content-ID y
User-ID nativas.
La visibilidad completa de las aplicaciones, el contenido y los usuarios de la
red es el primer paso hacia un control de política informado.
Reducción de la superficie Una vez que tiene el contexto del tráfico de la red (aplicaciones, su
de ataque contenido asociado y los usuarios que acceden a ellas), cree reglas de
política de seguridad basadas en la aplicación para permitir las aplicaciones
que son críticas para su empresa y reglas adicionales para bloquear todas
las aplicaciones de alto riesgo que no tienen un caso de uso legítimo.
Para reducir aún más la superficie de ataque, adjunte perfiles de bloqueo
de archivos y filtrado de URL a todas las reglas que permiten el tráfico
de aplicaciones, para impedir que los usuarios ingresen en sitios web

Metodología recomendada ¿Por qué es importante?
propensos a amenazas y evitar que carguen o descarguen tipos de archivos
peligrosos (ya sea accidentalmente o a sabiendas). Para evitar que los
atacantes logren llevar a cabo eventos de suplantación de identidad o
phishing (la manera más económica y fácil para lograr acceso a su red),
configure la prevención de phishing de credenciales.
Prevención de amenazas Habilite el cortafuegos para que analice todo el tráfico permitido para
conocidas detectar amenazas conocidas al adjuntar perfiles de seguridad a todas las
reglas de permiso para detectar y bloquear exploits de vulnerabilidades
de la capa de aplicación y red, desbordamiento de búfer, ataques DoS
y análisis de puerto, variantes de malware conocidas (incluidas aquellas
ocultas en archivos comprimidos o tráfico HTTP/HTTPS comprimido). Para
habilitar la inspección de tráfico cifrado, habilite el descifrado SSL.
Además de las reglas de política de seguridad basadas en aplicaciones, cree
reglas para bloquear direcciones IP malintencionadas conocidas sobre la
base de la inteligencia contra amenazas de Palo Alto Networks y fuentes
externas reconocidas.
Detección de amenazas Reenvíe todos los archivos desconocidos a WildFire para su análisis.
desconocidas WildFire identifica software malintencionado desconocido o dirigido
(también denominado amenazas avanzadas persistentes o APT
[advanced persistent threats]) oculto en archivos al observar directamente
y ejecutar archivos desconocidos en un entorno de espacio aislado
virtualizado en la nube o en el dispositivo WildFire. WildFire supervisa
más de 250 comportamientos malintencionados y, si se detecta malware,
automáticamente desarrolla una firma y se la envía en tan solo 5 minutos
(y ahora que la amenaza desconocida es una amenaza conocida).
¿Por qué necesito una práctica recomendada de política de

seguridad de puerta de enlace de Internet?
A diferencia de las políticas de seguridad basadas en puerto heredadas que bloquean todo en pos de la
seguridad de la red o habilitan todo en pos del interés comercial, una práctica recomendada de política
de seguridad le permite habilitar de manera segura las aplicaciones al clasificar el tráfico en todos los
puertos, en todo momento, incluido el tráfico cifrado. Al determinar el caso de uso comercial para
cada aplicación, usted puede crear reglas de política de seguridad para permitir y proteger el acceso a
aplicaciones relevantes. En términos simples, una práctica recomendada de política de seguridad es una
política que aproveche las tecnologías de última generación (App-ID, Content-ID y User-ID) en la plataforma
de seguridad empresarial de Palo Alto Networks para:
• Identificar las aplicaciones independientemente del puerto, el protocolo, la táctica evasiva o el cifrado.
• Identificar y controlar a los usuarios independientemente de la dirección IP, la ubicación o el dispositivo.
• Protegerse frente a amenazas conocidas y desconocidas transmitidas a través de las aplicaciones.
• Proporcionar visibilidad detallada y control de política sobre el acceso a las aplicaciones y la
funcionalidad.
Una práctica recomendada de política de seguridad utiliza un enfoque en capaz para garantizar que no solo
habilite las aplicaciones aprobadas, sino que también bloquee las aplicaciones que no tienen un caso de uso
legítimo. Para mitigar el riesgo de interrumpir las aplicaciones al pasar de una política basada en el puerto
a una política basada en la aplicación, la práctica recomendada brinda mecanismos integrados para ayudar
a identificar las brechas en la base de reglas y detectar actividad alarmante y posibles amenazas en la red.

Estas reglas recomendadas temporales garantizan que las aplicaciones de las que dependen los usuarios
no se interrumpan, a la vez que puede supervisar el uso de la aplicación y elaborar las reglas apropiadas.
Es posible que descubra que algunas de las aplicaciones permitidas con las reglas de política existente
basada en el puerto no son necesariamente son aplicaciones que desea que se sigan permitiendo o que son
aplicaciones que desea limitar a un conjunto más específico de usuarios.
A diferencia de la política basada en puertos, una política de seguridad recomendada es fácil de administrar
y mantener, debido a que cada regla cumple un objetivo específico de permitir una aplicación o grupo de
aplicaciones a un grupo de usuarios específicos en función de sus necesidades comerciales. Por lo tanto,
puede comprender fácilmente qué tráfico aplica la regla al observar los criterios coincidentes. Además, una
práctica recomendada de base de regla de política de seguridad aprovecha las etiquetas y objetos para que
la base de reglas sea más fácil de analizar y mantener sincronizada con su entorno cambiante.
¿Cómo implemento la práctica recomendada de política de

seguridad de puerta de enlace de Internet?
El pasar de una política de seguridad basada en el puerto a una política de seguridad basada en la aplicación
puede parecer una tarea desalentadora. Sin embargo, los riesgos de seguridad de adherir a una política
basada en el puerto exceden el esfuerzo necesario para implementar una política basada en la aplicación. Y,
si bien las políticas de seguridad basadas en el puerto pueden tener cientos, si no miles de reglas (muchas de
las cuales nadie de la organización conoce el fin), una práctica recomendada de política incluye un conjunto
simplificado de reglas que se alinean con sus objetivos comerciales, lo que simplifica la administración y
reduce la posibilidad de error. Debido a que las reglas de una política basada en la aplicación se alinean
con sus objetivos comerciales y políticas de uso aceptable, puede analizar rápidamente la política para
comprender el motivo de cada regla.
Al igual que con la tecnología, generalmente existe un enfoque gradual hacia una implementación completa,
que consiste en fases de implementación cuidadosamente planificadas para que la transición sea lo
más fluida posible, con un mínimo impacto en los usuarios finales. En general, el flujo de trabajo para la
implementación de una práctica recomendada de política de seguridad de puerta de enlace de Internet es:
Evaluar su empresa e identificar qué necesita proteger: el primer paso en la implementación de una
arquitectura de seguridad es evaluar su empresa e identificar cuáles son sus activos más valiosos,
además de cuáles son las amenazas más importantes para esos activos. Por ejemplo, si se trata de una
empresa de tecnología, la propiedad intelectual es el activo más valioso. En este caso, una de las mayores
amenazas sería el robo de código fuente.
Segmentar su red con interfaces y zonas on page 34: el tráfico no puede fluir entre las zonas, a menos
que exista una regla de política de seguridad que lo permita. Una de las defensas más sencillas contra
el movimiento lateral de un atacante que logró llegar a su red es definir zonas pormenorizadas y solo
permitir el acceso a grupos de usuarios específicos que necesitan acceder a una aplicación o recurso en
cada zona. Al segmentar su red en zonas pormenorizadas, puede impedir que un atacante establezca un
canal de comunicación con la red (ya sea a través de software malintencionado o al vulnerar aplicaciones
legítimas), con lo cual se reduce la posibilidad de un ataque exitoso en la red.
Identificación de aplicaciones de la lista de permitidos on page 1010: antes de que pueda crear una
política de seguridad recomendada de puerta de enlace de Internet, debe tener un inventario de las
aplicaciones que desea permitir en la red, y distinguir entre esas aplicaciones que administra y aprueba
oficialmente, y aquellas que simplemente desea que los usuarios puedan usar de manera segura. Una vez
que identifica las aplicaciones (incluidos los tipos de aplicaciones generales) que desea permitir, puede
asignarlas a reglas recomendadas específicas.
Creación de grupos de usuario para el acceso a las aplicaciones de la lista de permitidos on page 1013:
una vez que identifica las aplicaciones que prevé permitir, debe identificar los grupos de usuarios que
necesitan el acceso a cada una. Debido a que vulnerar el sistema del usuario final es una de las maneras
más económicas y simples en que un atacante puede acceder a su red, puede reducir en gran medida la
superficie de ataque el permitir el acceso a las aplicaciones únicamente para los grupos de usuarios que
tienen una necesidad comercial legítima.

Descifrado del tráfico para la visibilidad total y la inspección de amenazas on page 1014: no puede
inspeccionar el tráfico para detectar amenazas si no puede verlo. Y los flujos de tráfico SSL/TLS actuales
representan el 40 % o más del tráfico total en una red típica. Este es precisamente el motivo por el
cual el tráfico cifrado es una manera común de los atacantes para enviar amenazas. Por ejemplo, un
atacante puede usar una aplicación web como Gmail, que utiliza cifrado SSL, para enviar por correo
electrónico un exploit o software malintencionado para que los empleados accedan a esa aplicación en
la red corporativa. O bien, un atacante puede alterar un sitio web que utiliza cifrado SSL para descargar
sigilosamente un exploit o software malintencionado a los visitantes del sitio. Si no está descifrando el
tráfico para la visibilidad e inspección de amenazas, está dejando una superficie muy amplia abierta a los
ataques.
Creación de perfiles de seguridad de práctica recomendada on page 1015: el tráfico de comando
y de control, CVE, las descargas ocultas de contenido malintencionado y APT se envían a través de
aplicaciones legítimas. Para proteger contra las amenazas conocidas y desconocidas, debe adjuntar
perfiles de seguridad estrictos a todas las reglas de permiso de la política de seguridad.
Definición de la política de seguridad de puerta de enlace de Internet inicial on page 1020: usando
el inventario de aplicaciones y grupos de usuarios que elaboró, puede definir una política inicial que
permita el acceso a todas las aplicaciones que desea incluir en la lista de permitidos para el usuario
o grupo de usuarios. La base de regla de política inicial que cree también debe incluir reglas para
bloquear direcciones IP malintencionadas conocidas, así como reglas temporales para impedir que
otras aplicaciones que quizás desconozca se interrumpan y para identificar brechas de la política y
vulnerabilidades de seguridad en el diseño existente.
Supervisión y ajuste preciso de la base de reglas de la política on page 1031: una vez aplicadas las reglas
temporales, puede comenzar a supervisar el tráfico que coincide con ellas para poder ajustar la política.
Debido a que las reglas temporales están diseñadas para revelar el tráfico imprevisto de la red, tal como
el tráfico que se ejecuta en puertos que no son por defecto o tráfico de usuarios desconocidos, debe
evaluar el tráfico que coincide con estas reglas y ajustar las reglas de permiso de aplicaciones según
corresponda.
Eliminación de las reglas temporales on page 1032: después de un período de supervisión de varios
meses, debería ver cada vez menos tráfico coincidente con las reglas temporales. Cuando llega al punto
en que el tráfico ya no coincide con las reglas temporales, puede eliminarlas para completar la práctica
recomendada de política de seguridad de puerta de enlace de Internet.
Mantenimiento de la base de reglas on page 1033: debido a la naturaleza dinámica de las aplicaciones,
debe supervisar constantemente su lista de aplicaciones permitidas y adaptar las reglas para incluir
nuevas aplicaciones que decida aprobar, y también determinar de que manera los App-ID nuevos o
modificados afectan la política. Debido a que las reglas de una base de reglas recomendada se alinean
con los objetivos comerciales y aprovechan los objetos de política para una administración simplificada,
la inclusión de la compatibilidad para una nueva aplicación aprobada o App-ID nuevos o modificados es
tan simple como añadir o eliminar una aplicación de un grupo de aplicaciones, o modificar un filtro de
aplicaciones.
Identificación de aplicaciones de la lista de permitidos

La lista de aplicaciones permitidas incluye no solo las aplicaciones que usted suministra y administra para
fines comerciales y de infraestructura, sino también otras aplicaciones que los usuarios pueden necesitar
a fin de desempeñar sus funciones, y las aplicaciones que usted puede elegir autorizar para uso personal.
Antes de que comience a crear su política de seguridad recomendada de puerta de enlace de Internet, debe
crear un inventario de las aplicaciones que desea permitir.
• Asignación de aplicaciones a objetivos comerciales para una base de reglas simplificada on page 1011
• Uso de reglas temporales para el ajuste preciso de la lista de permitidos on page 1011
• Ejemplo de lista blanca de aplicaciones on page 1012

Asignación de aplicaciones a objetivos comerciales para una base de
reglas simplificada
A medida que elabora el inventario de las aplicaciones de la red, tenga en cuenta los objetivos comerciales y
las políticas de uso aceptable, e identifique las aplicaciones que corresponden a cada uno. Esto le permitirá
crear una base de reglas impulsada por objetivos. Por ejemplo, un objetivo podría ser permitir a todos los
usuarios de la red para acceder a las aplicaciones de centro de datos. Otro objetivo podría ser permitir que
los grupos de ventas y soporte accedan a la base de datos de clientes. Luego puede crear una regla de lista
de permitidos que corresponda a cada objetivo que identificó y agrupar todas las aplicaciones que se alinean
con el objetivo en una sola regla. Este enfoque le permite crear una base de reglas con una cantidad menor
de reglas individuales, cada una con un fin claro.
Además, debido a que las reglas individuales que crea se alinean con sus objetivos comerciales, puede usar
objetos de aplicación para agrupar la lista de permitidos y simplificar aún más la administración de la base de
regla recomendada:
• Crear grupos de aplicaciones para aplicaciones aprobadas: debido a que usted sabrá exactamente
qué aplicaciones necesita y aprueba para el uso oficial, cree grupos de aplicaciones que incluyan
explícitamente solo esas aplicaciones. El uso de grupos de aplicaciones también simplifica la
administración de su política, debido a que le permite añadir y eliminar aplicaciones aprobadas sin
necesidad de modificar las reglas de políticas individuales. En general, si las aplicaciones que se asignan
al mismo objetivo tienen los mismos requisitos para habilitar el acceso (por ejemplo, todas tienen una
dirección de destino que apunta a su grupo de direcciones de centro de datos, todas permiten el acceso
a cualquier usuario conocido y usted desea habilitarlas en los puertos por defecto únicamente), las
añadirá al mismo grupo de aplicaciones.
• Crear filtros de aplicaciones para permitir los tipos de aplicaciones generales: además de las aplicaciones
que aprobó oficialmente, también debe decidir qué aplicaciones adicionales desea permitir para el acceso
de sus usuarios. Los filtros de aplicaciones le permiten habilitar de manera segura ciertas categorías de
aplicaciones al usar filtros de aplicación (según la categoría, subcategoría, tecnología, factor de riesgo o
característica). Separe los diferentes tipos de aplicaciones en función del uso comercial y personal. Cree
filtros separados para cada tipo de aplicación para facilitar la comprensión de cada regla de política de un
vistazo.
Uso de reglas temporales para el ajuste preciso de la lista de permitidos

A pesar de que el objetivo final de una política recomendada basada en aplicaciones es utilizar la aplicación
positiva para habilitar de manera segura la lista de aplicaciones permitidas, la base de reglas inicial requiere
algunas reglas adicionales diseñadas para garantizar que usted tenga visibilidad total de las aplicaciones en
uso en su red, con el fin de que pueda realizar un ajuste preciso adecuado. La base de reglas inicial que cree
tendrá los siguientes tipos de reglas:
• Reglas de lista de permitidos para las aplicaciones que apruebe e implemente oficialmente.
• Reglas de lista de permitidos para habilitar de manera segura el acceso a los tipos de aplicaciones
generales que desea permitir de acuerdo con su política de uso aceptable.
• Reglas de lista de no permitidos para bloquear aplicaciones que no tienen un caso de uso legítimo. Usted
necesita estas reglas a fin de que las reglas temporales que “atrapan” las aplicaciones que aún no están
representadas en la política no introduzcan ninguna amenaza en la red.
• Las reglas de permiso temporales le brindan visibilidad a todas las aplicaciones que se ejecutan en su red,
para que pueda realizar el ajuste preciso de la base de reglas.
Las reglas temporales son una parte muy importante de la base de reglas recomendada inicial. No solo
le brindan visibilidad sobre las aplicaciones que desconocía que se ejecutaban en su red (e impiden la
interrupción de aplicaciones legítimas que no conocía), sino que también lo ayudan a identificar aspectos
tales como usuarios desconocidos y aplicaciones que se ejecutan en puertos que no son los estándar.
Debido a que los atacantes habitualmente utilizan aplicaciones estándar en puertos no estándar como
una técnica de evasión, el permitir aplicaciones en cualquier puerto despeja el camino a contenido

malintencionado. Por lo tanto, debe identificar las aplicaciones legítimas que se ejecutan en puertos no
estándar (por ejemplo, aplicaciones desarrolladas internamente) para que pueda modificar lo puertos
utilizados o crear aplicaciones personalizadas para habilitarlos.
Ejemplo de lista blanca de aplicaciones

Tenga en cuenta que no es necesario capturar todas las aplicaciones que se encuentren en uso en su red
en el inventario inicial. En cambio, debe centrarse en las aplicaciones (y tipos generales de aplicaciones)
que desea habilitar. Las reglas temporales en la base de reglas recomendadas captarán las aplicaciones
adicionales que quizás se encuentren en uso en su red, de modo que no reciba demasiadas reclamaciones
de aplicaciones dañadas durante su transición hacia una política basada en las aplicaciones. A continuación,
se muestra un ejemplo de lista blanca de aplicaciones para una implementación de puerta de enlace
empresarial.
Tipo de aplicación Práctica recomendada de seguridad
Aplicaciones Estas son aplicaciones que su departamento de TI gestiona específicamente

sancionadas con fines empresariales dentro de su organización, o para proporcionar
infraestructura a su red y aplicaciones. Por ejemplo, en una implementación
de puerta de enlace de internet, estas aplicaciones se dividen en las siguientes
categorías:
• Aplicaciones de infraestructura: son las aplicaciones que debe habilitar para
permitir las redes y la seguridad, como ping, NTP, SMTP y DNS.
• Aplicaciones de TI sancionadas: son las aplicaciones que proporciona y
gestiona para sus usuarios. Se dividen en dos categorías:
• Aplicaciones de TI instaladas y sancionadas: son las aplicaciones que
instala y aloja en su centro de datos con fines empresariales. Con las
aplicaciones de TI instaladas y sancionadas, la infraestructura de la
aplicación y los datos se alojan en el equipo de la empresa. Entre ellas
se incluyen Microsoft Exchange y la sincronización activa, además de las
herramientas de autenticación como Kerberos y LDAP.
• Aplicaciones de TI de SaaS sancionadas: las aplicaciones de SaaS
cuentan con software e infraestructura que son propiedad y gestiona
el proveedor de servicios de aplicaciones, pero en las que conserva el
control completo sobre los datos, lo que incluye quién puede crear,
acceder, compartir y transferir los datos (por ejemplo, Salesforce, Box y
GitHub).
• Aplicaciones administrativas: son aplicaciones a las que solo debe poder
acceder un grupo específico de usuarios administrativos para gestionar
las aplicaciones y proporcionar soporte a los usuarios (por ejemplo,
aplicaciones en escritorios remotos).
Tipos generales de Además de las aplicaciones que sanciona e implementa oficialmente, también
aplicaciones deberá permitir a sus usuarios utilizar de manera segura otros tipos de
aplicaciones:
• Aplicaciones empresariales generales: por ejemplo, permita acceso a las
actualizaciones de software y a los servicios web, como WebEx, servicios en
línea de Adobe y Evernote.
• Aplicaciones personales: por ejemplo, es posible que desee permitir a
sus usuarios navegar por Internet o utilizar de manera segura un correo
electrónico basado en la web, mensajería instantánea o aplicaciones de
redes sociales.

Tipo de aplicación Práctica recomendada de seguridad
En este caso, se recomienda comenzar con filtros amplios de aplicaciones, de
modo que pueda obtener una compresión de las aplicaciones en uso en su
red. A continuación, puede decidir cuánto riesgo está dispuesto a asumir y
comenzar a reducir la lista blanca de aplicaciones. Por ejemplo, supongamos
que descubre que las aplicaciones de intercambio de archivos Box, Dropbox
y Office 365 se encuentran en uso en su red. Cada una de estas aplicaciones
posee un riesgo inherente, desde fuga de datos a riesgos asociados con la
transferencia de archivos infectados con malware. El mejor enfoque consistiría
en sancionar oficialmente una aplicación única de intercambio de archivos y
comenzar a disminuir gradualmente las otras realizando una transición lenta
desde una política de permisos a una política de alertas, y finalmente, tras
proporcionar a los usuarios una amplia advertencia, una política de bloqueo
para todas las aplicaciones de intercambio de archivos, excepto por las que
desee sancionar. En este caso, es posible que también desee permitir que un
grupo reducido de usuario continúe utilizando una aplicación de intercambio
de archivos adicional según sea necesario para realizar las funciones de la tarea
con los socios.
Aplicaciones Si tiene aplicaciones exclusivas en su red o aplicaciones que ejecuta en puertos

personalizadas no estándar, se recomienda crear aplicaciones personalizadas para ellas. De
específicas para su esta manera, puede permitir la aplicación como una aplicación sancionada y
entorno bloquearla en su puerto predeterminado. De lo contrario, debería abrir puertos
adicionales (para las aplicaciones que se ejecutan en puertos no estándar) o
permitir un tráfico desconocido (para las aplicaciones exclusivas), pero ninguna
opción implica una práctica recomendada de política de seguridad.
Creación de grupos de usuario para el acceso a las aplicaciones de

la lista de permitidos
Habilitar aplicaciones de manera segura significa no solo definir la lista de aplicaciones que desea permitir,
sino también habilitar el acceso solo a aquellos usuarios que tengan una necesidad comercial legítima. Por
ejemplo, algunas aplicaciones, tales como las aplicaciones SaaS que habilitan el acceso a los servicios de
Recursos Humanos (tales como Workday o Service Now) deben estar disponibles para todos los usuarios
conocidos de la red. Sin embargo, para las aplicaciones más delicadas puede reducir la superficie de ataque
al garantizar que solo los usuarios que las necesitan tengan acceso a ellas. Por ejemplo, si bien el personal
de asistencia técnica de TI puede necesitar legítimamente el acceso a aplicaciones de escritorio remoto,
la mayoría de sus usuarios no lo necesitan. El limitar el acceso a los usuarios a las aplicaciones previene
las posibles vulnerabilidades de seguridad que habilitan a un atacante a acceder a los sistemas de su red y
controlarlos.
Para habilitar el acceso a las aplicaciones basado en los usuarios:
Habilite User-ID en las zonas desde las que sus usuarios inician el tráfico.
Para cada regla de lista de aplicaciones permitidas que define, identifique los grupos de usuarios que
tienen una necesidad comercial legítima de las aplicaciones permitidas por la regla. Tenga en cuenta
que debido a que el enfoque recomendado es asignar las reglas de lista de aplicaciones permitidas a sus
objetivos comerciales (lo que incluye considerar qué usuarios tienen una necesidad comercial de un tipo
particular de aplicación), tendrá una cantidad mucho menor de reglas para gestionar que si intentara
asignar reglas individuales basadas en puertos a los usuarios.
Si no tiene un grupo existente en su servidor AD, tiene la opción de crear grupos LDAP personalizados
para que coincidan con la lista de usuarios que necesitan acceso a una aplicación particular.

Solo es necesario que un usuario final haga clic en un enlace de phishing y proporcione sus credenciales
para permitir a un atacante obtener acceso a su red. Para defenderse de esta técnica de ataque simple
y eficaz, realice la Configuración de la prevención de suplantación de identidad de credenciales on
page 542 en todas las reglas de la política de seguridad que permiten el acceso de usuarios a internet.
Configuración de la detección de credenciales con el agente de ID de usuario basado en Windows on
page 540 para garantizar que pueda detectar cuándo sus usuarios envían sus credenciales corporativas a
un sitio en una categoría no autorizada.
Descifrado del tráfico para la visibilidad total y la inspección de

amenazas
La política de seguridad recomendada exige que descifre todo el tráfico, excepto las categorías delicadas,
que incluyen salud, finanzas, gobierno, ejército y compras.
Use las excepciones de descifrado únicamente donde fuera necesario, y sea preciso para garantizar que la
excepción se limite a una aplicación o usuario específico en función de la necesidad:
• Si el descifrado interrumpe una aplicación importante, cree una excepción para la dirección IP, dominio o
nombre común específico en el certificado asociado a la aplicación.
• Si un usuario específico debe excluirse por motivos reglamentarios o legales, cree una excepción solo
para ese usuario.
Para garantizar que los certificados presentados durante el descifrado SSL sean válidos, configure el
cortafuegos para realizar comprobaciones CRL/OCSP.
La práctica recomendada de reglas de política de descifrado incluyen un perfil de descifrado estricto. Antes
de configurar el proxy de reenvío SSL, cree un perfil de descifrado recomendado (Objects [Objetos] >
Decryption Profile [Perfil de descifrado]) para adjuntarlo a las reglas de su política de descifrado:
STEP 1 | Realice la configuración de SSL Decryption (Descifrado SSL) > SSL Forward Proxy (Proxy de
reenvío SSL) para bloquear las excepciones durante la negociación SSL y bloquear las sesiones
que no pueden descifrarse:
STEP 2 | Realice la configuración de SSL Decryption (Descifrado SSL) > SSL Protocol Settings
(Configuración del protocolo SSL) para bloquear el uso de versiones vulnerables SSL/TLS (TLS
1.0 y SSLv3) y para evitar los algoritmos débiles (MD5, RC4 y 3DES):

STEP 3 | En el caso del tráfico que no está descifrando, realice la configuración No Decryption (Sin
descifrado) para bloquear las sesiones cifradas en los sitios con certificados vencidos o
emisores que no sean de confianza:
Creación de perfiles de seguridad de práctica recomendada

La mayoría del software malintencionado ingresan furtivamente en la red en aplicaciones o servicios
legítimos. Por lo tanto, para habilitar de manera segura las aplicaciones, debe analizar todo el tráfico
permitido en la red en busca de amenazas. Para esto, adjunte perfiles de seguridad a todas las reglas de
política de seguridad para permitir el tráfico, a fin de que pueda detectar amenazas (tanto conocidas como
desconocidas) en el tráfico de su red. Los siguientes son los ajustes de la práctica recomendada para cada
uno de los perfiles de seguridad que debería adjuntar a cada regla de política de seguridad.
Considere añadir los perfiles de seguridad recomendados a un grupo de perfil de seguridad

por defecto para que se adjunte automáticamente a cualquier regla de política de seguridad
que cree.

Perfil de Configuración recomendada
seguridad
Bloqueo de Cree un perfil de bloqueo de archivos estricto predefinido que bloquee los archivos
archivo que se incluyen comúnmente en las campañas de ataque de software malintencionado
o que no tienen un caso de uso real para carga/descarga. El perfil estricto predefinido
bloquea archivos por lotes, DLL, archivos tipo Java, archivos de ayuda, accesos directos
de Windows (.lnk) y archivos BitTorrent, además de archivos portables ejecutables
(PE) de Windows, que incluyen archivos .exe, .cpl, .dll, .ocx, .sys, .scr, .drv, .efi, .fon
y .pif. El perfil permite la carga/descarga de archivos ejecutables y comprimidos (.zip
y .rar), pero fuerza a los usuarios a hacer clic en continuar antes de transferir un archivo
para establecer una pausa. El perfil predefinido alerta sobre todos los demás tipos
de archivos para brindar visibilidad en las otras transferencias de archivo que están
ocurriendo, para poder determinar si necesita introducir cambios en la política.
¿Por qué necesito este perfil?

Existen muchas maneras en que los atacantes envían archivos malintencionados: como
documentos adjuntos o enlaces en mensajes de correo electrónico corporativos o en
webmail, enlaces o IM en redes sociales, Exploit Kits, a través de aplicaciones de uso
compartido de archivos (tales como FTP, Google Drive o Dropbox), o en unidades USB.
El adjuntar el perfil de bloqueo de archivos estricto reduce la superficie de ataque al
prevenir estos tipos de ataques.
¿Qué sucede si no puedo bloquear todos los tipos de archivo cubiertos en el perfil
estricto predefinido?
Si tiene aplicaciones de misión crítica que le impiden bloquear todos los tipos de
archivos incluidos en el perfil estricto predefinido, puede clonar el perfil y modificarlo
para aquellos usuarios que deben transferir un tipo de archivo cubierto por el
perfil predefinido. Si elige no bloquear todos los archivos PE de acuerdo con la
recomendación, asegúrese de enviar todos los archivos desconocidos a WildFire para
su análisis. Además, configure la acción en continue (continuar) para evitar descargas
inadvertidas, que se producen cuando un usuario final descarga contenido que instala
archivos malintencionados, tales como applets Java o archivos ejecutables, sin saber
que lo están haciendo. Las descargas inadvertidas pueden producirse cuando los
usuarios ingresan en sitios web, ven mensajes de correo electrónico o hacen clic en
ventanas emergentes diseñadas para engañarlos. Informe a sus usuarios que si les
aparece un mensaje que les indica continuar con la transferencia de un archivo que no
iniciaron intencionadamente, pueden quedar sujetos a una descarga malintencionada.
Además, el uso del bloqueo de archivos junto con el filtrado de URL para limitar las
categorías a las cuales los usuarios pueden transferir archivos es otra buena manera
de reducir la superficie de ataque cuando lo considere necesario para permitir tipos de
archivos que pueden transportar amenazas.

seguridad
antivirus Adjunte un perfil de antivirus a todo el tráfico permitido para detectar y prevenir que
los virus y el software malintencionado se transfieran a través de los protocolos HTTP,
SMTP, IMAP, POP3, FTP y SMB. El perfil de antivirus recomendado utiliza la acción por
defecto cuando detecta tráfico que coincide con una firma de antivirus o una firma de
WildFire. La acción por defecto difiere para cada protocolo y sigue la recomendación
más actualizada de Palo Alto Networks sobre cómo evitar mejor la propagación del
software malintencionado en cada tipo de protocolo.
Por defecto, el cortafuegos alerta sobre los virus detectados en el tráfico SMTP.
Sin embargo, si no tiene una solución de puerta de enlace de antivirus dedicada
vigente para su tráfico SMTP, defina una acción más estricta para este protocolo,
para protegerlo contra el contenido de correo electrónico infectado. Utilice la acción
restablecer-ambos para devolver una respuesta 541 al servidor SMTP de envío para
evitar que vuelva a enviar el mensaje bloqueado.

Al adjuntar perfiles de antivirus a todas las reglas de seguridad, puede bloquear archivos
malintencionados conocidos (software malintencionado, bots de ransomware y virus)
a medida que ingresan en la red. Las maneras habituales en que los usuarios reciben
archivos malintencionados incluyen documentos adjuntos malintencionados en correo
electrónico, enlaces para descargar archivos malintencionados o amenazas silenciosas
con Exploit Kits que aprovechan una vulnerabilidad y luego envían automáticamente
cargas útiles malintencionadas al usuario final.
Protección Adjunte un perfil de protección de vulnerabilidad a todo el tráfico permitido para

contra proteger contra los desbordamientos de búfer, ejecución de código ilegal y otros
vulnerabilidades intentos de aprovechar vulnerabilidades del lado del cliente y del lado del servidor. El
perfil recomendado es una duplicación del perfil estricto predefinido, con ajustes de
captura de paquete habilitados para ayudarlo a rastrear el origen de cualquier posible
ataque.

Sin protección estricta contra las vulnerabilidades, los atacantes pueden aprovechar las
vulnerabilidades del lado del cliente y del lado del servidor para afectar a los usuarios
finales. Por ejemplo, un atacante podría aprovechar una vulnerabilidad para instalar
código malintencionado en sistemas cliente o usar un Exploit Kit (Angler, Nuclear,
Fiesta, KaiXin) para suministrar automáticamente cargas útiles malintencionadas
al usuario final. Los perfiles de protección de vulnerabilidad también evitan que un

seguridad
atacante utilice las vulnerabilidades en hosts internos para moverse lateralmente por la
red.
Antispyware Adjunte un perfil antispyware a todo el tráfico permitido para detectar tráfico de
comando y de control (C2) iniciado desde spyware instalado en un servidor o extremo,
y evitar que los sistemas afectados establezcan una conexión saliente desde su red. El
perfil antispyware recomendado restablece la conexión cuando el cortafuegos detecta
una amenaza de gravedad intermedia, alta o crítica, y bloquea o filtra las consultas DNS
para dominios malintencionados conocidos.
Para crear este perfil, duplique el perfil estricto predefinido y asegúrese de habilitar el
sinkhole DNS y la captura de paquetes para facilitar el rastreo del extremo que intentó
resolver el dominio malintencionado.
Filtrado de Como práctica recomendada, use el filtrado de URL de PAN-DB para prevenir el acceso
URL al contenido web que tiene alto riesgo de ser malintencionado. Adjunte un perfil de
filtrado URL para todas las reglas que permiten el acceso a las aplicaciones basadas en
la Web, para proteger contra URL que se observó que alojan software malintencionado
o contenido de exploits.
El perfil de filtrado de URL recomendado configura todas las categorías peligrosas
de URL como bloqueadas. Estas incluyen software malintencionado, phishing,
DNS dinámicas, desconocidas, proxy-avoidance-and-anonymizers, cuestionables,
extremistas, infractoras de derechos de autor y estacionadas. El no bloquear estas
categorías peligrosas lo pone en riesgo de infiltración de exploits, descarga de malware,
actividad de comando y control, y exfiltración de datos.
Además de bloquear categorías de riesgo conocidas, también debe alertar sobre
todas las demás categorías para tener visibilidad en los sitios que sus usuarios están
visitando. Si necesita introducir gradualmente una política de bloqueo, configure las
categorías para continuar y cree una página de respuesta personalizada para informar
a los usuarios sobre sus políticas de uso aceptable y alertarlos sobre el hecho de que
están ingresando en un sitio que puede suponer una amenaza. Esto preparará el camino
para que bloquee completamente las categorías después de un período de supervisión.

seguridad
¿Qué sucede si no puedo bloquear todas las categorías recomendadas?

Si descubre que los usuarios necesitan acceder a sitios en las categorías bloqueadas,
considere crear una lista de permitidos solo para sitios específicos, si considera que
el riesgo lo justifica. En las categorías que decida permitir, asegúrese de configurar la
prevención del phishing de credenciales, para garantizar que los usuarios no envíen sus
credenciales corporativas a un sitio que pueda alojar un ataque de phishing.
El permitir el tráfico a una categoría de bloqueo recomendada supone los siguientes
riesgos:
• malware: sitios conocidos por alojar software malintencionado o usados para el
tráfico de comando y control (C2). También puede exhibir Exploit Kits.
• phishing: conocidos por alojar paginas de suplantación de identidad o phishing para
identificación personal.
• dynamic-dns: hosts y nombres de dominio para sistemas que asignan direcciones IP
dinámicamente y que a menudo se usan para enviar cargas de malware o tráfico C2.
Además, los dominios DNS dinámicos no atraviesan el mismo proceso de examen
que los dominios que están registrados por una empresa de registro de dominios
reconocida, por lo cual son menos fiables.
• unknown: sitios que aún no fueron identificados por PAN-DB, quizás debido a
que acaban de registrarse. Sin embargo, a menudo estos son sitios que se generan
mediante algoritmos de generación de dominios y que más tarde se descubre que
exhiben comportamiento malintencionado.
• proxy-avoidance-and-questionable: URL y servicios a menudo utilizados para
desviar productos de filtrado de contenido.
• questionable (cuestionables): dominios con contenido ilegal, tal como el contenido
que permite la descarga ilegal de software u otra propiedad intelectual.
• parked (estadcionados): dominios registrados por personas, que a menudo más
tarde se descubre que se usan para el phishing de credenciales. Estos dominios
pueden ser similares a dominios legítimos; por ejemplo, pal0alto0netw0rks.com, con
la intención del phishing de credenciales o información de identificación personal. O
bien, pueden ser dominios para los cuales una persona compra los derechos con la
esperanza de que un día pueda ser valioso, como por ejemplo, panw.net.
Análisis de Si bien el resto de los perfiles de seguridad recomendados reducen en gran medida
WildFire la superficie de ataque en la red al detectar y bloquear las amenazas conocidas, el
panorama de amenazas cambia constantemente y el riesgo de amenazas desconocidas
que acechan los archivos que usamos a diario (PDF, documentos de Microsoft Office
[.doc y .xls] cada vez es más alto. Y, debido a que estas amenazas desconocidas son
cada vez más sofisticadas y específicas, a menudo no son detectadas hasta mucho
tiempo después del ataque. Para proteger su red contra amenazas desconocidas, debe
configurar el cortafuegos para que reenvíe archivos a WildFire para su análisis. Sin esta
protección, los atacantes tienen total libertad para infiltrarse en la red y aprovechar
las vulnerabilidades en las aplicaciones que sus empleados usan a diario. Debido a
que WildFire protege contra las amenazas desconocidas, es su mejor defensa contra
amenazas avanzadas persistentes (advanced persistent threats, APT).

seguridad
El perfil de análisis de WildFire recomendado envía todos los archivos en ambas
direcciones (carga y descarga) a WildFire para su análisis. Específicamente, asegúrese
de enviar todos los archivos PE (si no los está bloqueando de acuerdo con la práctica
recomendada de bloqueo), archivos Adobe Flash y Reader (PDF, SWF), archivos
Microsoft Office (PowerPoint, Excel, Word, RTF), archivos Java (Java, CLASS) y archivos
Android (.APK).
Definición de la política de seguridad de puerta de enlace de

Internet inicial
El objetivo general de la práctica recomendada de la política de seguridad de la puerta de enlace de
internet es usar la aplicación positiva de aplicaciones dentro de la lista blanca. Sin embargo, lleva un tiempo
identificar exactamente qué aplicaciones se están ejecutando en la red, cuáles de estas aplicaciones son
críticas para su empresa y quiénes son los usuarios que necesitan acceder a cada una. La mejor manera
de lograr el objetivo final de una base de reglas de política que incluya solamente las reglas de permiso
de aplicaciones es crear una base de reglas de política inicial que permita ampliamente las aplicaciones
que usted aprueba oficialmente para sus usuarios, además de otras actividades comerciales generales
y, si corresponde, las aplicaciones personales. Esta política inicial también incluye reglas adicionales que
bloquean explícitamente direcciones IP maliciosas conocidas, aplicaciones de riesgo, además de algunas
reglas de permiso temporal que están diseñadas para ayudarle a ajustar la política y prevenir la interrupción
de aplicaciones que sus usuarios posiblemente necesiten mientras realiza la transición a la práctica
recomendada.
Los siguientes temas describen cómo crear la base de reglas inicial y describen por qué cada regla es
necesaria y cuáles son los riesgos de no seguir las prácticas recomendadas:
• PASO 1: Creación de reglas basadas en las fuentes fiables de inteligencia de amenazas on page 1021
• Paso 2: Creación de las reglas de la lista de aplicaciones permitidas on page 1023
• Paso 3: Creación de las reglas de bloqueo de aplicaciones on page 1027
• Paso 4: Creación de reglas de ajuste temporales on page 1028
• PASO 5: Habilitación de la creación de logs para el tráfico que no coincide con ninguna regla on page
1030

PASO 1: Creación de reglas basadas en las fuentes fiables de inteligencia
de amenazas
Antes de permitir y bloquear el tráfico por aplicación, se recomienda bloquear el tráfico de direcciones
IP que Palo Alto Networks y las fuentes fiables externas comprobadas como maliciosas. Las reglas a
continuación garantizan que su red siempre se encuentre protegida contra las direcciones IP de las fuentes
de direcciones IP maliciosas de Palo Alto Networks y otras fuentes, que se confirman y se actualizan
dinámicamente en función de la inteligencia de amenazas más reciente.
STEP 1 | Bloquee el tráfico desde y hacia las direcciones IP que Palo Alto Networks ha identificado
como maliciosas.
¿Por qué necesito estas reglas? Aspectos destacados de las reglas
Esta regla lo protege contra direcciones IP • Una regla bloquea el tráfico saliente hacia
que Palo Alto Networks comprobó que se direcciones IP maliciosas conocidas, mientras
utilizan casi exclusivamente para distribuir que otra regla bloquea el tráfico entrante de
malware, iniciar actividades de comando y esas direcciones.
control, e iniciar ataques. • Establezca la lista dinámica externa Palo
Alto Networks - Known malicious IP
addresses (Palo Alto Networks: direcciones
IP malintencionadas conocidas) como la
dirección de destino de la regla para tráfico
saliente y como la dirección de origen de la
regla para el tráfico entrante.
• Deniegue el tráfico que coincida con estas
reglas.
• Habilite la creación de logs para el tráfico que
coincide con esta regla, para poder investigar
las posibles amenazas en su red.
• Debido a que estas reglas tienen como fin
capturar el tráfico malintencionado, coincide
con el tráfico de cualquier usuario que se
ejecuta en cualquier puerto.
STEP 2 | Registre el tráfico desde y hacia las direcciones IP de alto riesgo de asesores de confianza sobre
amenazas.
A pesar de que Palo Alto Networks • Una regla registra el tráfico saliente hacia
no cuenta con evidencia directa de la direcciones IP de alto riesgo, mientras que
maldad de las direcciones IP en la fuente otra regla registra el tráfico entrante de esas
de direcciones IP de alto riesgo, debe direcciones.
supervisar estas direcciones IP dado que los • Establezca la lista dinámica externa Palo Alto
asesores de amenazas las vincularon con Networks - High risk IP addresses (Palo Alto
comportamientos maliciosos. Networks: direcciones IP de alto riesgo)

Puede utilizar estas reglas para filtrar sus como la dirección de destino de la regla para
logs de tráfico y decidir si desea bloquear las tráfico saliente y como la dirección de origen
direcciones IP de alto riesgo en función de la de la regla para el tráfico entrante.
actividad del log. • Permita el acceso del tráfico que coincide con
esta regla, pero permita la creación de logs,
de modo que pueda investigar una posible
amenaza en su red.
• Debido a que esta regla tiene como fin
capturar el tráfico malintencionado, busca el
tráfico de cualquier usuario que se ejecuta en
cualquier puerto.
STEP 3 | (Solo usuarios MineMeld) Bloquee el tráfico de las direcciones IP entrantes que las fuentes
externas de confianza identificaron como maliciosas.
¿Por qué necesito esta regla? Aspectos destacados de las reglas
Bloquee el tráfico de direcciones IP maliciosas • Para aplicar esta regla:

basado en las listas de bloqueo que compila
1. Utilice MineMeld para reenviar
Spamhaus y el centro de tormentas de
las direcciones IP de los siguientes
internet, una rama del Instituto SANS. Las
orígenes (conocidos como extractores
listas contienen las direcciones IP que los
en MineMeld), spamhaus.DROP,
atacantes utilizan para divulgar el malware,
spamhaus.EDROP y dshield.block, a una
los troyanos y los botnets, y para llevar a cabo
lista dinámica externa
ataques a gran escala a la infraestructura.
2. Realice la Configuración del cortafuegos
para acceder a la lista dinámica externa,
utilizando la URL que proporciona
MineMeld para la lista.
3. Establezca la lista dinámica externa como
la dirección de origen para la regla.
• Use la acción Drop (Descartar) para descartar
silenciosamente el tráfico sin enviar una señal
al cliente o al servidor.
el uso indebido de aplicaciones y las posibles
amenazas en su red.
• Debido a que esta regla tiene como fin
capturar el tráfico malintencionado, busca el
tráfico de cualquier usuario que se ejecuta en
cualquier puerto.

Paso 2: Creación de las reglas de la lista de aplicaciones permitidas
Después de la Identificación de aplicaciones de la lista de permitidos, ya está listo para crear la siguiente
parte de la base de reglas de la política de seguridad de puerta de enlace de Internet recomendada: las
reglas de lista de aplicaciones permitidas. Cada regla de lista de permitidos que crea debe permitir el
tráfico en función de la aplicación (no del puerto) y, a excepción de ciertas aplicaciones de infraestructura
que requieren el acceso de usuarios antes de que el cortafuegos pueda identificar al usuario, solo deben
permitir el acceso a usuarios conocidos. Siempre que sea posible, cree grupos de usuario para el acceso
a las aplicaciones de la lista de permitidos, para poder limitar el acceso a usuarios o grupos de usuarios
específicos que tengan una necesidad comercial de acceder a la aplicación.
Al crear las reglas de listas de aplicaciones permitidas, asegúrese de incluir las reglas más específicas
por encima de las reglas más generales. Por ejemplo, las reglas para todas sus aplicaciones aprobadas y
de infraestructura deberían estar antes que las reglas que permiten el acceso general a ciertos tipos de
aplicaciones comerciales y personales. La primera parte de la base de reglas incluye las reglas de permiso
para las aplicaciones que identificó como parte de su lista de aplicaciones permitidas:
• Las aplicaciones aprobadas que usted aprovisiona y administra para fines comerciales y de
infraestructura.
• Las aplicaciones comerciales generales que sus usuarios pueden necesitar a fin de desempeñar sus
tareas.
• Las aplicaciones generales que puede elegir permitir para uso personal.
Cada regla de lista de aplicaciones permitidas también exige que usted adjunte los perfiles de seguridad
recomendados para garantizar que está analizando todo el tráfico permitido para detectar amenazas
conocidas y desconocidas. Si todavía no ha creado estos perfiles, consulte Creación de perfiles de seguridad
de práctica recomendada. Y, debido a que no puede inspeccionar lo que no puede ver, también debe
asegurarse de haber configurado el cortafuegos en el Descifrado de tráfico para visibilidad completa e
inspección de amenazas.
STEP 1 | Permita el acceso a sus servidores DNS corporativos.
El acceso a DNS es necesario para brindar • Debido a que la regla es muy específica,
servicios de infraestructura de red, pero colóquela en la parte superior de la base de
habitualmente es vulnerado por atacantes. reglas.
El permitir el acceso únicamente a su servidor • Cree un objeto de dirección para usar para la
DNS interno reduce la superficie de ataque. dirección de destino, a fin de garantizar que
los usuarios solo accedan al servidor DNS de
su centro de datos.
• Debido a que los usuarios necesitarán acceder
a estos servicios antes de iniciar sesión, debe
permitir al acceso a todos los usuarios.

STEP 2 | Permita el acceso a otros recursos de infraestructura de TI necesarios.
Habilite las aplicaciones que proporcionan la • Debido a que estas aplicaciones se ejecutan
infraestructura y funciones de gestión de su en el puerto por defecto, permiten el acceso
red, tales como NTP, OCSP, STUN y ping. de cualquier usuario (es posible que los
Si bien el tráfico DNS permitido en la regla usuarios aún no sean usuarios conocidos
anterior se limita a la dirección de destino debido al momento en que se necesitan estos
en el centro de datos, es posible que estas servicios) y todas tiene una dirección de
aplicaciones no residan en su centro de datos destino de cualquiera, inclúyalas en un solo
y, por lo tanto, requieran una regla separada. grupo de aplicaciones y cree una sola regla
para habilitar el acceso a todas.
• Es posible que los usuarios aún no hayan
iniciado sesión al momento en que necesiten
el acceso a las aplicaciones de infraestructura,
por lo que debe asegurarse de que esta regla
permita el acceso a todos los usuarios.
STEP 3 | Permita el acceso a aplicaciones SaaS aprobadas de TI.
Con las aplicaciones SaaS, sus datos de • Agrupe todas las aplicaciones SaaS aprobadas
propiedad exclusiva están en la nube. en un grupo de aplicaciones.
Esta regla garantiza que solo sus usuarios • Las aplicaciones SaaS siempre deben
conocidos tendrán acceso a estas aplicaciones ejecutarse en el puerto por defecto de
(y a los datos subyacentes). aplicaciones.
Analice el tráfico SaaS permitido en busca de • Restrinja el acceso a sus usuarios conocidos.
amenazas. Consulte Creación de grupos de usuario
para el acceso a las aplicaciones de la lista de
permitidos.
STEP 4 | Permita el acceso a aplicaciones aprovisionadas de TI locales.
Las aplicaciones de centro de datos críticas • Agrupe todas las aplicaciones de centro de
para la actividad comercial a menudo son datos en un grupo de aplicaciones.

aprovechadas en ataques durante la etapa de • Cree un grupo de direcciones para sus
exfiltración, usando aplicaciones tales como direcciones de servidor de centro de datos.
FTP, o en la etapa de movimiento lateral • Restrinja el acceso a sus usuarios conocidos.
haciendo uso de las vulnerabilidades de la Consulte Creación de grupos de usuario
aplicación. para el acceso a las aplicaciones de la lista de
Muchas aplicaciones de centro de datos permitidos.
usan varios puertos; la configuración del
servicio en aplicación-por defecto habilita de
manera segura las aplicaciones en sus puertos
estándar. No debe permitir aplicaciones en
puertos no estándar, debido a que esto a
menudo se asocia con un comportamiento
evasivo.
STEP 5 | Permita el acceso a las aplicaciones que necesitan sus usuarios administrativos.
Para reducir la superficie de ataque, cree • Esta regla limita el acceso a los usuarios del
grupos de usuario para el acceso a las grupo IT_admins.
aplicaciones de la lista de permitidos. • Cree aplicaciones personalizadas para las
Debido a que los administradores a menudo aplicaciones internas o aplicaciones que se
necesitan acceder a datos de cuenta delicados ejecutan en puertos no estándar, para que
y el acceso remoto a otros sistemas (por pueda exigirlas en los puertos por defecto en
ejemplo, RDP), puede reducir en gran medida lugar de abrir puertos adicionales en la red.
la superficie de ataque al permitir el acceso • Si tiene diferentes grupos de usuarios para
únicamente a los administradores que tienen diferentes aplicaciones, cree reglas separadas
una necesidad comercial. para un control pormenorizado.
STEP 6 | Habilite el acceso a las aplicaciones comerciales generales.
Más allá de las aplicaciones que aprueba para • Restrinja el acceso a sus usuarios conocidos.
el uso y que administra para sus usuarios, Consulte Creación de grupos de usuario
existe una variedad de aplicaciones que para el acceso a las aplicaciones de la lista de
los usuarios pueden usar habitualmente permitidos.
para fines comerciales, por ejemplo, para • Para mayor visibilidad, cree filtros de
interactuar con socios, tales como WebEx, aplicaciones separados para cada tipo de
servicios en línea de Adobe o Evernote, aplicación que desee permitir.
pero que posiblemente usted no apruebe
oficialmente.

Debido a que el malware a menudo ingresa • Adjunte los perfiles de seguridad
sorpresivamente con aplicaciones basadas recomendados para garantizar que todo el
en la Web legítimas, esta regla le permite tráfico esté libre de amenazas conocidas y
habilitar la navegación web de manera segura, desconocidas. Consulte Creación de perfiles
a la vez que analiza en busca de amenazas. de seguridad de práctica recomendada.
Consulte Creación de perfiles de seguridad de
práctica recomendada.
STEP 7 | (Opcional) Permita el acceso a aplicaciones personales.
Debido a que la línea que divide los • Restrinja el acceso a sus usuarios conocidos.
dispositivos de trabajo y personales es Consulte Creación de grupos de usuario
borrosa, le recomendamos asegurarse de para el acceso a las aplicaciones de la lista de
que todas las aplicaciones a las que acceden permitidos.
sus usuarios se habiliten de manera segura y • Para mayor visibilidad, cree filtros de
estén libres de amenazas. aplicaciones separados para cada tipo de
Al usar filtros de aplicaciones, puede habilitar aplicación que desee permitir.
de manera segura el acceso a aplicaciones • Analice todo el tráfico en busca de amenazas
personales cuando crea esta base de reglas al adjuntar su grupo de perfiles de seguridad
inicial. Una vez que evalúa qué aplicaciones recomendados. Consulte Creación de perfiles
están en uso, puede usar la información de seguridad de práctica recomendada.
para decidir si eliminará el filtro y permitirá
un subconjunto menor de aplicaciones
personales apropiadas para sus políticas de
uso aceptable.
STEP 8 | Permita la navegación web general.
Si bien la regla anterior permitía el acceso • Esta regla usa los mismos perfiles de
a aplicaciones personales (muchas de ellas seguridad recomendados que el resto de las
basadas en la Web), esta regla permite la reglas, excepto por el perfil de bloqueo de
navegación web en general. archivos, que es más estricto debido a que el
La navegación web general presenta tráfico de navegación web general es mucho
más riesgos que otros tipos de tráfico de más vulnerable a las amenazas.

aplicaciones. Debe realizar el procedimiento • Esta regla admite solo a usuarios conocidos
de Creación de perfiles de seguridad de para prevenir que dispositivos con malware o
práctica recomendada y adjuntarlos a esta dispositivos incrustados lleguen a Internet.
regla a fin de habilitar la navegación web de • Use filtros de aplicación para permitir el
manera segura. acceso a tipos de aplicaciones generales.
Debido a que las amenazas a menudo se • Asegúrese de permitir también explícitamente
ocultan en el tráfico cifrado, debe realizar SSL como aplicación aquí si desea permitir
el Descifrado de tráfico para visibilidad que los usuarios puedan ingresar en sitios
completa e inspección de amenazas si desea HTTPS que se excluyen del descifrado.
habilitar la navegación web de forma segura.
Paso 3: Creación de las reglas de bloqueo de aplicaciones

Si bien el objetivo general de su política de seguridad es habilitar de manera segura las aplicaciones
mediante reglas de lista de permitidos (lo que también se conoce como ejecución positiva), la base de
reglas inicial recomendada también debe incluir reglas para ayudarle a detectar las brechas en la política e
identificar posibles ataques. Debido a que estas reglas están diseñadas para capturar elementos que usted
no sabía que se estaban ejecutando en su red, permiten el tráfico que también podría suponer riesgos para
la seguridad en la red. Por lo tanto, antes de crear las reglas temporales, debe crear reglas que prohíban
explícitamente aplicaciones diseñadas para evadir u omitir la seguridad, o que sean el blanco habitual
de atacantes, tales como DNS público y SMTP, túneles cifrados, acceso remoto y aplicaciones de uso
compartido de archivos no aprobadas.
Cada una de las reglas de ajuste que definirá en Paso 4: creación de reglas de ajuste
temporales está diseñada para identificar una brecha específica de su política inicial. Por
lo tanto, algunas de estas reglas deberán estar por encima de las reglas de bloqueo de
aplicación y otras deberán ir después.
STEP 1 | Bloquee las aplicaciones que no tengan un caso de uso legítimo.
Bloquee las aplicaciones maliciosas, tales • Use la acción Drop (Descartar) para descartar
como túneles cifrados y uso compartido silenciosamente el tráfico sin enviar una señal
de archivos punto a punto, además de al cliente o al servidor.
aplicaciones de uso compartido de archivos • Habilite la creación de logs para el tráfico que
basadas en la Web que no están aprobadas coincide con esta regla, para poder investigar
por TI. el uso indebido de aplicaciones y las posibles
Debido a que las reglas de ajuste que siguen amenazas en su red.
están diseñadas para permitir el tráfico • Debido a que esta regla tiene como fin
con contenido malintencionado o tráfico capturar el tráfico malintencionado, busca el
legítimo que no coincide con sus reglas tráfico de cualquier usuario que se ejecuta en
de política según lo previsto, estas reglas cualquier puerto.
también podrían permitir el tráfico de riesgo
o malintencionado en su red. Esta regla evita

esto al bloquear el tráfico que no tiene un
caso de uso legítimo y que podría ser usado
por un atacante o un usuario descuidado.
STEP 2 | Bloquee las aplicaciones de DNS público y SMTP.
Bloquee las aplicaciones DNS/SMTP para • Use la acción Reset both client and server
evitar la tunelización de DNS, el tráfico (Restablecer cliente y servidor) para enviar
de comando y control, y la administración un mensaje de restablecimiento de TCP a los
remota. dispositivos del lado del cliente y del lado del
servidor.
una posible amenaza en su red.
Paso 4: Creación de reglas de ajuste temporales

Las reglas de ajuste temporales están diseñadas explícitamente con el fin de ayudarle a supervisar la base
de reglas recomendada inicial para detectar brechas y obtener alertas de comportamiento alarmante. Por
ejemplo, usted creará reglas temporales para identificar el tráfico proveniente de usuarios desconocidos
o aplicaciones que se ejecutan en puertos imprevistos. Al supervisar el tráfico coincidente en las reglas
temporales, también puede obtener un panorama completo de todas las aplicaciones que están en uso en la
red (y evitar que las aplicaciones se alteren mientras realiza la transición a una base de reglas recomendada).
Puede usar esta información para facilitar el ajuste preciso de su lista de permitidos, ya sea al añadir nuevas
reglas de lista de permitidos para habilitar aplicaciones que no sabía que eran necesarias o para reducir
las reglas de lista de permitidos a fin de eliminar los filtros de aplicaciones y, en lugar de ello, permitir solo
aplicaciones específicas en una categoría particular. Cuando el tráfico ya no coincide con estas reglas, puede
proceder con la eliminación de las reglas temporales.
Algunas de las reglas de ajuste temporales deben ir por encima de las reglas para bloquear
las aplicaciones nocivas y algunas deben ir después, para garantizar que el tráfico
específico coincida con la regla correspondiente, a la vez que se garantiza que el tráfico
malintencionado no ingrese en la red.
STEP 1 | Permita la navegación web y SSL en puertos no estándar para usuarios conocidos para
determinar si existen aplicaciones legítimas que se ejecutan en puertos no estándar.

Esta regla lo ayuda a determinar la presencia • A diferencia de las reglas de lista de

de brechas en la política, en las que los permitidos que admiten aplicaciones en el
usuarios no pueden acceder a aplicaciones puerto por defecto únicamente esta regla
legítimas debido a que se ejecutan en puertos permite la navegación web y el tráfico SSL
no estándar. en cualquier puerto, para que pueda detectar
Debe supervisar todo el tráfico que coincida brechas en la lista de permitidos.
con esta regla. En el caso del tráfico que sea • Debido a que esta regla tiene como fin la
legítimo, debe ajustar la regla de permiso detección de brechas en la política, limítela
correspondiente para incluir la aplicación, a usuarios conocidos de la red. Consulte
quizás mediante la creación de una aplicación Creación de grupos de usuario para el acceso
personalizada donde corresponda. a las aplicaciones de la lista de permitidos.
• Asegúrese de permitir también explícitamente
SSL como aplicación aquí si desea permitir
que los usuarios puedan ingresar en sitios
HTTPS que no están descifrados (tales como
sitios de servicios financieros o de salud).
• Debe añadir esta regla por encima de las
reglas de bloqueo de aplicaciones o, de lo
contrario, no habrá tráfico que coincida con
ella.
STEP 2 | Permita la navegación web y el tráfico SSL en puertos no estándar de usuarios desconocidos
para destacar a todos los usuarios desconocidos, independientemente del puerto.
Esta regla lo ayuda a determinar si existen • Si bien la mayoría de las reglas de lista
brechas en su cobertura de User-ID. de aplicaciones permitidas se aplican a
Esta regla también lo ayuda a identificar usuarios conocidos o a grupos de usuarios
dispositivos afectados o incrustados que específicos, esta regla explícitamente busca
están intentando acceder a Internet. la coincidencia con el tráfico de usuarios
Es importante bloquear el uso de puertos no desconocidos.
estándar, incluso para el tráfico de navegación • Esta regla debe ir por encima de las reglas de
web, debido a que generalmente es una bloqueo de aplicaciones o, de lo contrario, el
técnica de evasión. tráfico nunca coincidirá con ella.
• Debido a que es una regla de permiso,
debe adjuntar los perfiles de seguridad
recomendados para analizar en busca de
amenazas.

STEP 3 | Permita todas las aplicaciones en el puerto de aplicación-por defecto para identificar
aplicaciones imprevistas.
Esta regla aporta visibilidad sobre aplicaciones • Debido a que esta regla permite todas las
que usted no sabía que se estaban ejecutando aplicaciones, debe añadirla después de las
en su red, a fin de que pueda ajustar de reglas de bloqueo de aplicación para prevenir
manera precisa la lista de aplicaciones que las aplicaciones nocivas se ejecuten en la
permitidas. red.
Supervise todo el tráfico que coincide con • Si está ejecutando PAN-OS 7.0.x o
esta regla, para determinar si representa una una versión anterior, para identificar
posible amenaza o si necesita modificar sus adecuadamente las aplicaciones imprevistas
reglas de lista de permitidos para admitir el debe usar un filtro de aplicaciones que incluya
tráfico. todas las aplicaciones, en lugar de configurar
la regla para permitir cualquier aplicación.
STEP 4 | Permita cualquier aplicación en cualquier puerto para identificar las aplicaciones que se
ejecutan en ubicaciones donde no deberían hacerlo.
Esta regla lo ayuda a identificar aplicaciones • Debido a que esta es una regla muy general
legítimas conocidas que se ejecutan en que permite cualquier aplicación de cualquier
puertos desconocidos. usuario en cualquier puerto, debe aparecer al
Esta regla también lo ayuda a identificar final de su base de reglas.
aplicaciones desconocidas para las cuales • Habilite la creación de logs para el tráfico
debe crear una aplicación personalizada para que coincide con esta regla, para poder
añadir a la lista de aplicaciones permitidas. investigar el uso indebido de aplicaciones y
Todo el tráfico que coincide con esta regla las posibles amenazas en su red, o identificar
puede ejecutarse y requiere que usted rastree aplicaciones legítimas que requieren una
el origen y se asegure de no permitir tráfico aplicación personalizada.
tcp, udp o non-syn-tcp desconocido.
PASO 5: Habilitación de la creación de logs para el tráfico que no coincide

con ninguna regla
El tráfico que no coincide con ninguna de estas reglas que usted definió coincidirá con la regla predefinida
de interzona-por defecto en la parte inferior de la base de reglas y será rechazado. Para obtener visibilidad
sobre el tráfico que no coincide con ninguna de las reglas que creó, habilite la creación de logs en la regla de
interzona-por defecto:

STEP 1 | Seleccione a fila de interzone-default en la base de reglas y haga clic en Override (Cancelar)
para habilitar la edición en esta regla.
STEP 2 | Seleccione el nombre de la regla interzone-default (interzona-predeterminada) para abrir la

regla para su edición.
STEP 3 | En la pestaña Actions (Acciones), seleccione Log at session end (Log al finalizar la sesión) y
STEP 4 | Cree un informe personalizado para supervisar el tráfico que coincida con esta regla.
2. Seleccione Add (Añadir) para añadir un informe y Name (Nombre) para asignarle un nombre
descriptivo.
3. Configure la Database (Base de datos) en Traffic Summary (Resumen de tráfico).
4. Seleccione la casilla de verificación Scheduled (Programado).
5. Añada lo siguiente a la lista de columnas seleccionadas: Rule (Regla), Application (Aplicación), Bytes,
Sessions (Sesiones).
6. Configure los campos Time Frame (Periodo), Sort By (Ordenar por) y Group By (Agrupar por) con los
valores que desee.
7. Defina la consulta para que coincida con el tráfico que corresponda a la regla de interzona-por
defecto:
(rule eq 'interzone-default')
STEP 5 | Seleccione Commit (Confirmar) para confirmar los cambios que realizó en la base de reglas.
Supervisión y ajuste preciso de la base de reglas de la política

La política de seguridad recomendada es iterativa. Es una herramienta para habilitar de manera segura
aplicaciones, usuarios y contenido al clasificar todo el tráfico, en todos los puertos y en todo momento.
Después de la Definición de la política de seguridad de puerta de enlace de internet inicial, debe comenzar
a supervisar el tráfico que coincide con las reglas temporales diseñadas para identificar las brechas de la
política y el comportamiento alarmante, y ajustar la política según corresponda. Al supervisar el tráfico que
coincide con estas reglas, puede realizar los ajustes apropiados para asegurarse de que las reglas garanticen
que todo el tráfico coincida con las reglas de permiso de lista de aplicaciones permitidas o evaluar si se
deben permitir aplicaciones particulares. A medida que ajusta su base de reglas, debe ver cada vez menos
tráfico que coincida con estas reglas. Cuando ya no vea tráfico que coincida con estas reglas, significará
que sus reglas de lista de permitidos de ejecución positiva están completas y ahora puede proceder con la
Eliminación de las reglas temporales.
Debido a que los nuevos App-ID se añaden en publicaciones de contenido semanal, revise
el impacto que los cambios de los App-ID tienen en su política.
STEP 1 | Cree informes personalizados que le permitan supervisar el tráfico que coincide con las reglas
diseñadas para identificar brechas en la política.
2. Seleccione Add para añadir un informe y luego Name para asignarle un nombre descriptivo
que indique la brecha de política particular que está investigando, tal como Ajuste de política
recomendada
3. Configure la Database en Traffic Summary.
4. Seleccione la casilla de verificación Scheduled (Programado).

5. Añada lo siguiente a la lista de columnas seleccionadas: Rule, Application, Bytes, Sessions.
6. Configure los campos Time Frame, Sort By y Group By con los valores que desee.
7. Defina la consulta para buscar el tráfico que coincida con las reglas diseñadas para detectar brechas
de la política y comportamiento alarmante. Puede crear un solo informe que detalle el tráfico que
coincide con cualquiera de las reglas (usando el operador or) o puede crear informes individuales para
supervisar cada regla. Usando los nombres de regla definidos en la política de ejemplo, introduzca las
consultas correspondientes:
• (rule eq 'Unexpected Port SSL and Web')
• (rule eq 'Unknown User SSL and Web')
• (rule eq 'Unexpected Traffic')
• (rule eq 'Unexpected Port Usage')
STEP 2 | Revise el informe periódicamente para asegurarse de que comprende por qué el tráfico
coincide con cada una de las reglas de ajuste de política recomendadas y actualice la política
para incluir aplicaciones y usuarios legítimos, o use la información del informe para evaluar el
riesgo de uso de la aplicación e implementar reformas a la política.
Eliminación de las reglas temporales

Después de varios meses de supervisar su política de seguridad recomendada inicial de puerta de enlace
de Internet, debería ver menos tráfico que coincida con las reglas temporales a medida que realiza ajustes
a la base de reglas. Cuando ya no vea tráfico que coincida con estas reglas, habrá alcanzado su objetivo

de lograr la transición a una base de reglas de política de seguridad basadas en la aplicación. Aquí puede
finalizar su base de reglas de política al eliminar las reglas temporales, que incluyen las reglas que creó para
bloquear las aplicaciones nocivas y las reglas que creó para ajustar la base de reglas.
STEP 1 | Seleccione Policies (Políticas) > Security (Seguridad).
STEP 2 | Seleccione la regla y haga clic en Delete (Eliminar).

O bien, seleccione Disable (Deshabilitar) para deshabilitar las reglas durante cierto período antes de
eliminarlas. Esto le permitirá seleccionar luego Enable (Habilitar) para habilitarlas nuevamente si los logs
de tráfico muestran la presencia de tráfico que coincide con la regla de interzona-por defecto.
STEP 3 | Seleccione Commit (Confirmar) para confirmar los cambios.
Mantenimiento de la base de reglas

Debido a que las aplicaciones evolucionan constantemente, su lista de aplicaciones permitidas también
debe evolucionar. Cada vez que realice un cambio en las aplicaciones que autoriza, debe hacer el cambio
correspondiente en la política. A medida que hace esto, en lugar de simplemente añadir una nueva regla
como lo haría con una política basada en puertos, identifique y modifique la regla que se alinea con el caso
de uso comercial para la aplicación. Debido a que las reglas recomendadas hacen uso de objetos de política
para simplificar la administración, el incluir la compatibilidad para una nueva aplicación o la eliminación de
una aplicación de la lista de permitidos en general implica modificar el grupo de aplicaciones o el filtro de
aplicaciones correspondiente.
Además, la instalación de un nuevo App-ID incluido en una versión de lanzamiento de contenido a veces
puede provocar un cambio de ejecución de políticas para aplicaciones con App-ID nuevos o modificados.
Por lo tanto, antes de instalar una nueva versión de lanzamiento de contenido, revise cómo afectará la
política a los nuevos App-ID y planifique cualquier actualización de política que fuera necesaria. Evalúe
el tratamiento que se ofrecerá a una aplicación tanto antes como después de que se instale el nuevo
contenido. Después podrá modificar las reglas de política de seguridad existentes usando los nuevos App-
ID contenidos en una versión de contenido descargada (antes de instalar los App-ID). Esto le permitirá
actualizar simultáneamente sus reglas de política de seguridad e instalar nuevo contenido, y permitir un
cambio sin problemas en la ejecución de políticas. O bien, puede optar por deshabilitar los nuevos App-ID al
instalar una nueva versión de lanzamiento de contenido; esto permite protegerse contra las amenazas más
recientes, a la vez que le ofrece flexibilidad para habilitar los nuevos App-ID después de que haya tenido la
posibilidad de preparar cualquier cambio de política.
STEP 1 | Antes de instalar una nueva versión de lanzamiento de contenido, revise los nuevos App-ID
para determinar si habrá un impacto en la política.
STEP 2 | Deshabilite los nuevos App-ID introducidos en una versión de contenido para obtener al
instante el beneficio de protección contra las amenazas más recientes sin perder la flexibilidad
para habilitar posteriormente los App-ID después de preparar las actualizaciones de políticas
necesarias. Puede deshabilitar todos los App-ID introducidos en una versión de contenido,
definir actualizaciones de contenido programadas para deshabilitar automáticamente nuevos
App-ID o deshabilitar App-ID para aplicaciones específicas.
STEP 3 | Ajuste las reglas de política de seguridad para representar los cambios de App-ID incluidas en
una versión de contenido o para añadir nuevas aplicaciones aprobadas o eliminar aplicaciones
de las reglas de lista de aplicaciones permitidas.

Enumeración de reglas dentro de una base de
reglas
Cada regla dentro de una base de reglas se numera automáticamente y el orden se ajusta conforme
las reglas se mueven o reordenan. Al filtrar reglas para encontrar reglas que coincidan con los filtros
especificados, cada regla se enumera con su número en el contexto del conjunto de reglas completo de la
base de reglas y su puesto en el orden de evaluación.
En Panorama, las reglas previas, las posteriores y las predeterminadas se numeran de forma independiente.
Cuando Panorama envía las reglas a un cortafuegos, la numeración de la regla refleja la jerarquía y el
orden de evaluación de las reglas compartidas, las reglas previas de grupos de dispositivos, las reglas de
cortafuegos, las reglas posteriores de grupo de dispositivos y las reglas por defecto. La opción Preview
Rules (Vista previa de reglas) en Panorama ofrece una vista de lista ordenada del número total de reglas de
un cortafuegos.
• Consulte la lista numerada de reglas en el cortafuegos.

Seleccione Policies (Políticas) y cualquier base de reglas dentro de la misma. Por ejemplo, Policies
(Políticas) > Security (Seguridad). La columna más a la izquierda de la tabla muestra el número de regla.
• Consulte la lista numerada de reglas en Panorama.

Seleccione Policies (Políticas) y cualquier base de reglas dentro de la misma. Por ejemplo, Policies
(Políticas) > Security (Seguridad) > Pre-rules (Reglas previas).
• Tras enviar las reglas desde Panorama, consulte la lista completa de reglas con números en el
dispositivo gestionado.
Desde la interfaz web del cortafuegos, seleccione Policies (Políticas) y elija cualquier base de reglas
debajo de ella. Por ejemplo, seleccione Policies (Políticas) > Security (Seguridad) y visualice el conjunto
completo de las reglas numeradas que evaluará el cortafuegos.

Duplicación o traslado de una regla de políticas
u objeto a un sistema virtual diferente
En un cortafuegos que tiene más de un sistema virtual (vsys), puede trasladar los objetos y reglas de
políticas a una ubicación compartida o vsys diferente o duplicarlos. La duplicación y traslado le ahorra los
esfuerzos de eliminar, recrear o cambiar el nombre de reglas y objetos. Si el objeto o la regla de política
que duplica o traslada desde un vsys tiene referencias a objetos de ese vsys, duplique o mueva también los
objetos a los que se hace referencia. Si las referencias son hacia objetos compartidos, no tiene que incluirlos
cuando los duplique o mueva. Puede implementar el Uso de Global Find para buscar el cortafuegos o
servidor de gestión de Panorama para acceder a las referencias.
Cuando clona varias reglas de la política, el orden en el que selecciona las reglas
determinará el orden en el que se copian al grupo de dispositivos. Por ejemplo, si tiene
las reglas de 1 a 4 y su orden de selección es 2-1-4-3, el grupo de dispositivos donde se
clonarán estas reglas mostrará las reglas en el mismo orden en el que las seleccionó. Sin
embargo, puede reorganizar las reglas como lo desee cuando se copien correctamente.
STEP 1 | Seleccione el tipo de política (por ejemplo, Policy [Política] > Security [Seguridad]) o el tipo de
objeto (por ejemplo, Objects [Objetos] > Addresses [Direcciones]).
STEP 2 | Seleccione el Virtual System (Sistema virtual) y seleccione uno o más objetos o reglas de
política.
STEP 3 | Seleccione uno de los siguientes pasos:

• Seleccione Move (Mover) > Move to other vsys (Mover a otro vsys) (para reglas de la política).
• Haga clic en Move (Mover) (para objetos).
• Haga clic en Clone (Duplicar) (para objetos o reglas de política).
STEP 4 | En el menú desplegable Destination (Destino), seleccione el nuevo sistema virtual o Shared
(Compartido).
STEP 5 | (Solo reglas de política) Seleccione el Rule order (Orden de reglas):

• Move top (Mover a la parte superior) (predeterminado): La regla precederá al resto de las reglas.
• Move bottom (Mover a la parte inferior): La regla seguirá al resto de las reglas.
• Before rule (Regla anterior): En el menú desplegable adyacente, seleccione la regla que viene después
de las reglas seleccionadas.
• After rule (Regla posterior): En el menú desplegable adyacente, seleccione la regla que precede a las
reglas seleccionadas.
STEP 6 | La casilla de verificación Error out on first detected error in validation (Detener tras el primer
error detectado en la validación) está seleccionada por defecto. El cortafuegos deja de realizar
las comprobaciones para la acción de traslado y duplicación cuando encuentra el primer error,
y solo muestra este error. Por ejemplo, si se produce un error cuando el vsys de Destination
(Destino) no tiene un objeto al que haga referencia la regla de política que está moviendo, el
cortafuegos mostrará el error y detendrá cualquier otra validación. Cuando mueva o duplique
múltiples elementos a la vez, seleccione esta casilla de verificación para ver los errores uno a
uno y solucionarlos. Si cancela la selección de la casilla de verificación, el cortafuegos recoge y

muestra una lista de errores. Si hay errores en la validación, el objeto no se traslada o duplica
hasta que solucione todos los errores.
STEP 7 | Haga clic en OK (Aceptar) para iniciar la validación de errores. Si el cortafuegos muestra
errores, soluciónelos y vuelva intentar la operación de traslado o duplicación. Si el cortafuegos
no muestra errores, el objeto se traslada o duplica con éxito. Cuando finalice la operación, haga
clic en Commit (Confirmar).

Uso de etiquetas para agrupar objetos y
distinguirlos visualmente
Puede etiquetar objetos para agrupar elementos relacionados y añadir un color a la etiqueta para
distinguirlos y facilitar el análisis. Puede crear etiquetas para los siguientes objetos: objetos de dirección,
grupos de direcciones, zonas, grupos de servicios y reglas de política.
El cortafuegos y Panorama admiten etiquetas estáticas y etiquetas dinámicas. Las etiquetas dinámicas
se registran desde diversas fuentes y no se muestran con las etiquetas estáticas, ya que las etiquetas
dinámicas no forman parte de la configuración del cortafuegos/Panorama. Consulte Registro de direcciones
IP y etiquetas dinámicamente on page 1055 para obtener información sobre cómo registrar etiquetas
dinámicamente. Las etiquetas descritas en esta sección se añaden estáticamente y forman parte de la
configuración.
Usted puede aplicar una o más etiquetas a objetos y reglas de política, hasta un máximo de 64 etiquetas por
objeto. Panorama admite un máximo de 10.000 etiquetas que se pueden distribuir a través de Panorama
(grupos de dispositivos y compartidos) y los cortafuegos gestionados (incluidos los cortafuegos con sistemas
virtuales múltiples).
• Creación y aplicación de etiquetas on page 1038
• Modificación de etiquetas on page 1039
• Uso del explorador de etiquetas on page 1039
Creación y aplicación de etiquetas

STEP 1 | Crear etiquetas
Para etiquetar una zona, debe crear una etiqueta con el mismo nombre que la zona.
Cuando la zona está incluida en las reglas de política, el color de la etiqueta se muestra
automáticamente como el color de fondo en contraste con el nombre de la zona.
1. Seleccione Objects (Objetos) > Tags (Etiquetas).

2. En Panorama o un cortafuegos de sistema virtual múltiple, seleccione el Device Group (Grupo de
dispositivos) o el Virtual System (Sistema virtual) para el cual la etiqueta estará disponible.
3. Haga clic en Add (Añadir) e introduzca un nombre en Name (Nombre) para identificar la etiqueta,
o seleccione un nombre de zona en el menú desplegable para crear una etiqueta para una zona. La
longitud máxima es de 127 caracteres.
4. (Opcional) Seleccione Compartido (Shared) para crear el objeto en una ubicación compartida para
el acceso como un objeto compartido en Panorama para el uso en todos los sistemas virtuales en un
cortafuegos de sistema virtual múltiple.
5. (Opcional) Asigne uno de los 17 colores predefinidos a la etiqueta. Por defecto, Color está
configurado en None (Ninguno).
6. Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) para guardar los cambios.
STEP 2 | Aplique etiquetas a una política.

1. Seleccione Policies (Políticas) y cualquier base de reglas dentro de la misma.
2. Haga clic en Add (Añadir) para crear una regla de política y use los objetos etiquetados que ha creado
en el Paso 1.
3. Verifique que las etiquetas estén en uso.
STEP 3 | Aplique etiquetas a un objeto de dirección, grupo de direcciones, servicio o grupo de servicios.
1. Cree el objeto.
Por ejemplo, para crear un grupo de servicios, seleccione Objects (Objetos) > Service Groups (Grupos
de servicio) > Add (Añadir).
2. Seleccione una etiqueta en el menú desplegable Tags (Etiquetas) para introducir un nombre en el
campo y crear una nueva etiqueta
Para editar una etiqueta o añadirle color, consulte seleccione Modificación de etiquetas.
Modificación de etiquetas
• Seleccione Objects (Objetos) > Tags (Etiquetas) para realizar cualquiera de las siguientes
operaciones con etiquetas:
• Haga clic en el enlace de la columna Nombre para ver las propiedades de una etiqueta.
• Seleccione una etiqueta de la tabla y haga clic en Eliminar para eliminar la etiqueta del cortafuegos.
• Haga clic en Clone (Duplicar) para crear una etiqueta duplicada con las mismas propiedades. Se añade
un sufijo numérico al nombre de etiqueta. Por ejemplo, FTP-1.
Para ver información sobre cómo se crean etiquetas, consulte Creación y aplicación de etiquetas on page
1038. Si desea más información sobre cómo trabajar con etiquetas, consulte Uso del explorador de
etiquetas on page 1039.
Uso del explorador de etiquetas

El explorador de etiquetas permite ver todas las etiquetas utilizadas dentro de un fundamento de la regla.
En fundamento de reglas con un gran número de reglas, el explorador de etiquetas simplifica la pantalla
presentando las etiquetas, el código de color y los números de reglas en las que se usan las etiquetas.
También le permite agrupar reglas usando la primera etiqueta aplicada a la regla. Se recomienda usar la
primera etiqueta para identificar el objetivo principal de una regla. Por ejemplo, la primera etiqueta puede
identificar una regla mediante una función de alto nivel, como una práctica recomendada, un acceso a
Internet, aplicaciones aprobadas por TI o aplicaciones de alto riesgo. En el explorador de etiquetas, cuando
selecciona Filter by first tag in rule (Filtrar por primera etiqueta de la regla), puede identificar fácilmente
brechas de cobertura y mover reglas o añadir nuevas reglas en la base de reglas. Todos los cambios se
guardan en la configuración candidata hasta que compile los cambios en el cortafuegos y pasen a formar
parte de la configuración activa.
Para los cortafuegos que se gestionan con Panorama, las etiquetas aplicadas a la reglas previas y posteriores
que se han enviado desde Panorama aparecen con un fondo verde y están delimitadas con líneas verdes de
modo que pueda distinguir esas etiquetas de las etiquetas locales en el cortafuegos.

• Explore el explorador de etiquetas.
1. Acceda al Tag Browser (Explorador de etiquetas) en el panel izquierdo de la pestaña Policies
(Políticas). El explorador de etiquetas muestra las etiquetas que se han usado en las reglas para la
base de reglas seleccionada, por ejemplo Policies (Políticas) > Security (Seguridad).
2. Tag (#) (Etiqueta [n.º]): muestra la etiqueta y el número de regla o intervalo de números en los que la
etiqueta se utiliza de manera contigua. Pase el ratón por la etiqueta para ver la ubicación en la que se
definió la regla; puede haber sido heredada desde una ubicación compartida, un grupo de dispositivos
o un sistema virtual.
3. Rule (Regla): enumera el número de regla o intervalo de números asociados a las etiquetas.
4. Ordene las etiquetas.
• Filter by first tag in rule (Filtrar por primera etiqueta de la regla): ordena las reglas usando la
primera etiqueta aplicada a cada regla de la base de reglas. Esta vista es de especial utilidad si
desea acotar la lista y ver reglas relacionadas que podrían estar extendidas en la base de reglas.
Por ejemplo, si la primera etiqueta de cada regla indica su función (prácticas recomendadas,
administración, acceso web, acceso al centro de datos, proxy), puede acotar el resultado y
examinar las reglas basándose en su función.
• Rule Order (Orden de regla): clasifica las etiquetas por orden de aparición en la base de reglas
seleccionada. Cuando se muestran por orden de aparición, las etiquetas utilizadas en reglas
contiguas se muestran agrupadas. El número de regla al que se asocia la etiqueta se muestra junto
con el nombre de la etiqueta.

• Alphabetical (Alfabético): Clasifica las etiquetas por orden alfabético en la base de reglas
seleccionada. La pantalla muestra el nombre de etiqueta, el color (si hay un color asignado) y el
número de veces que se utiliza en la base de reglas.
La etiqueta None (Ninguno) representa las reglas que no tienen ninguna etiqueta; no muestra los
números de reglas de aquellas reglas no etiquetadas. Cuando selecciona None (Ninguno), el panel
derecho se filtra para mostrar las reglas que no tienen ninguna etiqueta asignada.
5. Clear (Borrar): borra el filtro de las etiquetas seleccionadas actualmente en la barra de búsquedas.
6. Search bar (Barra de búsqueda): le permite buscar una etiqueta, introducir el término y hacer clic en
el icono de flecha verde para aplicar el filtro. También muestra el número total de etiquetas de la base
de reglas y el número de etiquetas seleccionadas.
7. Expanda o contraiga el explorador de etiquetas.
• Etiquete una regla.

1. Seleccione una regla en el panel derecho.
2. Realice una de las siguientes acciones:
• Seleccione una etiqueta en el explorador de etiquetas y, en la lista desplegable, seleccione Apply
the Tag to the Selection(s) (Aplicar etiqueta a las selecciones).
• Arrastre y suelte etiquetas desde el explorador de etiquetas a la columna de etiquetas de la regla.

Cuando suelte una etiqueta, aparecerá un cuadro de diálogo de confirmación.
• Visualice reglas que coincidan con las etiquetas seleccionadas.

Puede filtrar reglas en función de etiquetas con un operador AND u OR.
• Filtro OR: Para ver reglas que tengan etiquetas específicas, seleccione una o más etiquetas en el
explorador de etiquetas; el panel derecho solo muestra las reglas que incluyen cualquiera de las
etiquetas seleccionadas actualmente.
• Filtro AND: Para ver reglas que tengan todas las etiquetas seleccionadas, pase el ratón por encima del
número asociado con la etiqueta en la columna Rule (Regla) del explorador de etiquetas y seleccione
Filter (Filtro). Repita esta acción para añadir más etiquetas.
Haga clic en el icono de aplicar filtro en la barra de búsquedas del panel derecho. Los resultados se
muestran con un operador AND.

• Visualice las etiquetas seleccionadas actualmente.
Para ver las etiquetas seleccionadas actualmente, pase el ratón por encima de la etiqueta Clear (Borrar)
del explorador de etiquetas.
• Elimine la etiqueta de una regla.

Pase el ratón por encima del número de la regla asociado con una etiqueta en la columna Rule (Regla) del
explorador de etiquetas y seleccione Untag Rule(s) (Quitar etiquetas). Confirme que quiere eliminar la
etiqueta seleccionada de la regla. Seleccione Commit (Confirmar) para confirmar los cambios.
• Reordene las reglas utilizando etiquetas.

Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Rule del
explorador de etiquetas y seleccione Move Rule(s) (Mover etiquetas).
Seleccione una etiqueta de la lista desplegable en la ventana para mover reglas y seleccione si desea
aplicar la opción Move Before (Mover antes de) o Move After (Mover después de) con respecto a la
etiqueta seleccionada en la lista desplegable. Seleccione Commit (Confirmar) para confirmar los cambios.
• Añada una nueva regla que aplique las etiquetas seleccionadas.

Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Rule
(Regla) del explorador de etiquetas y seleccione Add New Rule (Añadir nueva regla). Defina la regla y
seleccione Commit (Confirmar) para confirmar los cambios.
El orden numérico de la nueva regla varía dependiendo de si seleccionó una regla en el panel derecho. Si
no se ha seleccionado ninguna regla en el panel derecho, la nueva regla se añadirá después de la regla a
la que pertenezcan las etiquetas seleccionadas. De lo contrario, la nueva regla se añadirá después de la
regla seleccionada.
• Busque una etiqueta.

En el explorador de etiquetas, introduzca las primeras letras del nombre de la etiqueta que quiera
buscar y haga clic en el icono Aplicar filtro. Aparecerán las etiquetas que coincidan con el texto que ha
introducido.

Uso de una lista dinámica externa en políticas
Una lista dinámica externa (anteriormente denominada lista de bloqueo dinámico) es un archivo de texto
que usted u otra fuente aloja en un servidor web externo de manera que el cortafuegos pueda importar
objetos (direcciones IP, URL, dominios) para aplicar la política en las entradas de la lista. A medida que
actualiza la lista, el cortafuegos importa dinámicamente la lista con el intervalo configurado y aplica la
política sin necesidad de realizar un cambio o confirmación de la configuración en el cortafuegos.
• Lista dinámica externa on page 1044
• Directrices de formato para listas dinámicas externas on page 1045
• Fuentes de direcciones IP malintencionadas de Palo Alto Networks on page 1046
• Configuración del cortafuegos para acceder a una lista dinámica externa on page 1047
• Recuperación de una lista dinámica externa del servidor web on page 1049
• Visualización de entradas de lista dinámica externa on page 1049
• Exclusión de entradas de una lista dinámica externa on page 1050
• Aplicación de la política en una lista dinámica externa on page 1051
• Búsqueda de listas dinámicas externas con autenticación fallida on page 1052
• Deshabilitación de autenticación para una lista dinámica externa on page 1053
Lista dinámica externa

Una lista dinámica externa es un archivo de texto que está alojado en un servidor web externo de manera
que el cortafuegos pueda importar objetos (direcciones IP, URL, dominios) incluidos en la lista y aplicar la
política. Para aplicar la política en las entradas incluidas en la lista dinámica externa, debe hacer referencia
a la lista en una regla o perfil de política compatible. A medida que modifica la lista, el cortafuegos importa
dinámicamente la lista con el intervalo configurado y aplica la política sin necesidad de realizar un cambio
o confirmación de la configuración en el cortafuegos. Si no se puede establecer la conexión con el servidor
web, el cortafuegos usará la última lista recuperada correctamente para la aplicación de la política hasta que
se recupere la conexión con el servidor web, pero solo si la lista no está protegida con SSL. Para recuperar
la lista dinámica externa, el cortafuegos utiliza la interfaz configurada con la ruta de servicio Palo Alto
Networks Services.
El cortafuegos admite cuatro tipos de listas dinámicas externas:
• Dirección IP: el cortafuegos en general aplica la política para una dirección de origen o destino que
esté definida como objeto estático en el cortafuegos (consulte Uso de una lista dinámica externa de
IP por tipo o IP predefinidas como objeto de dirección de origen o destino en una regla de política de
seguridad). Si necesita agilidad en la aplicación de la política para una lista de direcciones IP de origen
y destino que emergen ad hoc, puede usar una lista dinámica externa de direcciones IP como objeto
de dirección de origen o destino en reglas de política, y configurar el cortafuegos para que deniegue
o permita el acceso a las direcciones IP (dirección IPv4 e IPv6, intervalo IP y subredes IP) incluidas en
la lista. El cortafuegos considera la lista dinámica externa de tipo de dirección IP como un objeto de
dirección; todas las direcciones IP incluidas en una lista se manejan como un objeto de dirección.
• Dirección IP predefinida: una lista de direcciones IP predefinidas es un tipo de lista de direcciones IP
que hace referencia a cualquiera de las dos fuentes de direcciones IP malintencionadas de Palo Alto
Networks que incluyen contenido fijo o "predefinido". Estas fuentes se añaden automáticamente a
su cortafuegos si tiene una licencia de prevención de amenazas activa. Una dirección IP predefinida
también puede hacer referencia a cualquier lista dinámica externa creada que utiliza una fuente de
dirección IP de Palo Alto Networks como origen.
• URL: una lista dinámica de tipo URL le brinda la agilidad para proteger su red contra nuevas fuentes de
amenazas o malware. El cortafuegos maneja una lista dinámica externa con URL como una categoría de
URL personalizada y usted puede usar la lista de dos maneras:

• Como criterio de coincidencia en reglas de política de seguridad, reglas de política de descifrado y
reglas de política QoS para permitir, denegar, descifrar, no descifrar o asignar ancho de banda para las
URL en la categoría personalizada.
• En un perfil de filtrado de URL en el que puede definir acciones más pormenorizadas, tales como
continuar, alertar o cancelar, antes de adjuntar el perfil a una regla de política de seguridad (consulte
Uso de una lista dinámica externa en un perfil de filtrado URL).
• Dominio: una lista dinámica externa de tipo dominio le permite importar nombres de dominio
personalizados en el cortafuegos para aplicar la política usando un perfil antispyware. Esta capacidad
es muy útil si se suscribe a inteligencia de amenazas de terceros y desea proteger su red contra nuevas
fuentes de amenazas o malware, tan pronto como toma conocimiento de un dominio malintencionado.
Para cada dominio que incluye en la lista dinámica externa, el cortafuegos crea una firma de spyware
basado en DNS de manera que usted puede habilitar el sinkholing de DNS. La firma de spyware basada
en DNS es de tipo spyware con gravedad intermedia y cada firma se denomina Custom Malicious
DNS Query <domain name>. Para obtener detalles, consulte Configuración del sinkholing de DNS
para una lista de dominios personalizados.
En cada modelo de cortafuegos, puede usar un máximo de 30 listas dinámicas externas con orígenes únicos
para aplicar la política; las fuentes de dirección IP predefinidas no cuentan para este límite. La lista dinámica
externa no se aplica a Panorama. Al usar Panorama para gestionar un cortafuegos que está habilitado para
múltiples sistemas virtuales, si supera el límite del cortafuegos, Panorama muestra un error de confirmación.
Un origen es una URL que incluye la dirección IP o nombre de host, la ruta y el nombre del archivo para la
lista dinámica externa. El cortafuegos busca la coincidencia con la URL (cadena completa) para determinar si
un origen es único.
Si bien el cortafuegos no impone un límite en el número de listas para un tipo específico, se aplican los
siguientes límites:
• Dirección IP: los cortafuegos serie PA-5000, PA-5200 y PA-7000 admiten un máximo de 150 000
direcciones IP en total; todos laos demás modelos admiten un máximo de 50 000 direcciones IP en total.
No se aplican límites para el número de direcciones IP por lista. Cuando se alcanza el límite máximo de
direcciones IP admitidas en el cortafuegos, el cortafuegos genera un mensaje de syslog. Las direcciones
IP en las listas de direcciones IP predefinidas no cuentan para este límite.
• URL y dominio: se admite un máximo de 50 000 URL y 50 000 dominios en cada modelo, sin límites en el
número de entradas por lista.
Las entradas de lista solo cuentan para los límites del cortafuegos si pertenecen a una lista dinámica externa
mencionada en la política.
Al analizar la lista, el cortafuegos omite las entradas que no coinciden con el tipo de lista
e ignora las entradas que superan la cantidad máxima admitida para el modelo. Para
garantizar que las entradas no superen el límite, verifique la cantidad de entradas que se
utilizan actualmente en la política. Seleccione Objects (Objetos) > External Dynamic Lists
(Listas dinámicas externas) y haga clic en List Capacities (Capacidades de la lista).
Directrices de formato para listas dinámicas externas

Una lista dinámica externa de un tipo (dirección IP, URL o dominio) debe incluir entradas de ese tipo
únicamente. Las entradas en una lista de direcciones IP predefinida cumplen con las directrices de formato
para listas de direcciones IP.
• Lista de direcciones IP on page 1046
• Lista de dominios on page 1046
• Lista de URL on page 1046

Lista de direcciones IP
La lista dinámica externa puede incluir direcciones IP individuales, direcciones de subred (dirección/
máscara) o un intervalo de direcciones IP. Además, la lista de bloque puede incluir comentarios y caracteres
especiales tales como * , : , ; , # o /. La sintaxis para cada línea de la lista es [dirección IP, IP/
máscara o intervalo inicial IP-intervalo final IP] [espacio] [comentario]
Introduzca cada dirección/intervalo/subred IP en una nueva línea; la lista no admite URL ni dominios. Una
subred o un intervalo de direcciones IP, como 92.168.20.0/24 o 192.168.20.40-192.168.20.50, cuentan
como una entrada de dirección IP y no como varias direcciones. Si añade comentarios, deben incluirse en la
misma línea que la dirección/intervalo/subred IP. El espacio al final de la dirección IP es el delimitador que
separa un comentario de la dirección IP.
Ejemplo de lista de direcciones IP:
192.168.20.10/32
2001:db8:123:1::1 #test IPv6 address
192.168.20.0/24 ; test internal subnet
2001:db8:123:1::/64 test internal IPv6 range
192.168.20.40-192.168.20.50
Para una dirección IP bloqueada, puede mostrar una página de notificación solo si el
protocolo es HTTP.
Lista de dominios
Introduzca cada nombre de dominio en una nueva línea; la lista no admite URL ni direcciones IP. No añada
el prefijo del protocolo al nombre de dominio, http:// or https://. No se admiten comodines.
Ejemplo de lista de dominios:
www.example.com
baddomain.com
qqq.abcedfg.au
Lista de URL
Consulte Listas de bloqueadas y permitidas on page 637.
Fuentes de direcciones IP malintencionadas de Palo Alto Networks

Con una licencia de prevención de amenazas activa, Palo Alto Networks proporciona dos fuentes con
direcciones IP malintencionadas que puede utilizar para proteger su red de hosts malintencionados.
• Direcciones IP malintencionadas conocidas de Palo Alto Networks: contiene direcciones IP que se
comprueban como malintencionadas en función de un análisis de WildFire, una investigación de Unit
42 (Unidad 42) y los datos que se recopilan mediante la telemetría (Uso compartido de inteligencia de
amenazas con Palo Alto Networks on page 546). Los atacantes utilizan estas direcciones IP de manera
casi exclusiva para distribuir malware, iniciar actividades de comando y control, e iniciar ataques.
• Direcciones IP de alto riesgo de Palo Alto Networks: contiene direcciones IP malintencionadas de
asesores de amenazas emitidos por organizaciones externas de confianza. Palo Alto Networks compila
la lista de asesores de amenazas, pero no cuenta con evidencia directa de que las direcciones IP sean
malintencionadas.
El cortafuegos recibe actualizaciones de esas fuentes mediante actualizaciones diarias de contenido de
antivirus, lo que le permite aplicar políticas de seguridad en el cortafuegos en función de la inteligencia de

amenazas más reciente de Palo Alto Networks. Las fuentes de direcciones IP de Palo Alto Networks son
predefinidas, lo que significa que no puede modificar su contenido. Puede utilizarlas como son (consulte
Aplicación de la política en una lista dinámica externa on page 1051), o crear una lista dinámica externa
personalizada que utilice las fuentes como un origen (consulte Configuración del cortafuegos para acceder a
una lista dinámica externa on page 1047) y excluya entradas de la lista como sea necesario.
Configuración del cortafuegos para acceder a una lista dinámica

externa
Debe establecer la conexión entre el cortafuegos y el origen que aloja la lista dinámica externa para poder
aplicar la política a una lista dinámica externa.
STEP 1 | (Opcional) Personalice la ruta de servicio que el cortafuegos utiliza para recuperar listas
dinámicas externas.
Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Service Route
Configuration (Configuración de ruta de servicio) > Customize (Personalizar) y modifique la ruta de
servicio de listas dinámicas externas.
El cortafuegos no utiliza la ruta de servicio de listas dinámicas externas para recuperar

las fuentes de direcciones IP malintencionadas de Palo Alto Networks; recibe
actualizaciones dinámicas de estas fuentes a través de actualizaciones diarias de
contenido de antivirus (se necesita una licencia activa de prevención de amenazas).
STEP 2 | Busque una lista dinámica externa para usar con el cortafuegos.
• Cree una lista dinámica externa y alójela en un servidor web. Ingrese las direcciones IP, dominios o
URL en un archivo de texto en blanco. Cada entrada de la lista debe estar en una línea separada. Por
ejemplo:
financialtimes.co.in
www.wallaby.au/joey
www.exyang.com/auto-tutorials/How-to-enter-Data-for-Success.aspx
*.example.com/*
abc?*/abc.com
*&*.net
Consulte las Directrices de formato para una lista dinámica externa, a fin de asegurarse de que el
cortafuegos no omita entradas de la lista. Para evitar errores de confirmación y entradas no válidas,
no incluya el prefijo http:// o https:// en ninguna de las entradas.
• Utilice una lista dinámica externa alojada por otro origen y verifique que siga las Directrices de
formato para una lista dinámica externa.
STEP 3 | Seleccione Objects (Objetos) > External Dynamic Lists (Listas dinámicas externas).
STEP 4 | Haga clic en Add (Añadir) e introduzca un Name (Nombre) descriptivo para la lista.
STEP 5 | (Opcional) Seleccione Shared (Compartida) para compartir la lista con todos los sistemas
virtuales en un dispositivo que esté habilitado para varios sistemas virtuales. De manera
predeterminada, el objeto se crea en el sistema virtual que esté seleccionado actualmente en el
menú desplegable Virtual Systems (Sistemas virtuales).

STEP 6 | (Panorama únicamente) Seleccione Disable override (Deshabilitar cancelación) para garantizar
que un administrador de cortafuegos no pueda invalidar los ajustes en un cortafuegos que
hereda esta configuración a través de una confirmación de grupo de dispositivos de Panorama.
STEP 7 | Seleccione el Type (Tipo) para la lista (por ejemplo, URL List [Lista de URL]).
Asegúrese de que la lista solo incluya entradas para el tipo de lista. Consulte Verificar si las entradas en la
lista dinámica externa se ignoraron u omitieron.
STEP 8 | Introduzca el Source (Origen) de la lista que acaba de crear en el servidor web. El origen deben
incluir la ruta completa para acceder a la lista. Por ejemplo, https://1.2.3.4/EDL_IP_2015.
Si esta creando una lista de tipo IP predefinida, seleccione una fuente de dirección IP malintencionada de
Palo Alto Networks para usar como origen.
STEP 9 | Si el origen de la lista está asegurado con SSL (es decir, listas con URL HTTPS), habilite la
autenticación de servidor. Seleccione un Certificate Profile (Perfil de certificado) o cree un
New Certificate Profile (Perfil de certificado nuevo) para autenticar el servidor que aloja
la lista. El perfil de certificado que seleccione debe tener certificados de CA (autoridad de
certificado) raíz y certificados CA intermedios que coincidan con los certificados instalados en
el servidor que usted está autenticando.
Maximice la cantidad de listas dinámicas externas que puede usar para aplicar la política.
Utilice el mismo perfil de certificado para autenticar las listas dinámicas externas de
la misma URL de origen. Si asigna diferentes perfiles de certificado a listas dinámicas
externas de la misma URL de origen, el cortafuegos cuenta cada lista como lista
dinámica externa única.
STEP 10 | Habilite la autenticación del cliente si el origen de la lista posee una URL HTTPS y requiere
una autenticación HTTP para el acceso a la lista.
1. Seleccione Client Authentication (Autenticación de cliente).
2. Ingrese un nombre de usuario válido en Username (Nombre de usuario) para acceder a la lista.
3. Especifique el valor de Password (Contraseña) y seleccione Confirm Password (Confirmar
contraseña).

STEP 11 | (No disponible en Panorama) Haga clic en Test Source URL (Comprobar URL de origen) para
comprobar que el cortafuegos pueda conectarse al servidor web.
STEP 12 | (Opcional) Especifique la frecuencia de Repeat (Repetir) con la que el cortafuegos debe
recuperar la lista. Por defecto, el cortafuegos recupera la lista una vez por hora y confirma los
cambios.
El intervalo es relativo a la última confirmación. Entonces, para el intervalo de cinco

minutos , la confirmación se produce en 5 minutos si la última confirmación fue una hora
atrás. Para recuperar la lista inmediatamente, consulte Recuperar una lista dinámica
externa del servidor web.
STEP 14 | Aplique la política en una lista dinámica externa.
Si la autenticación del servidor o cliente falla, el cortafuegos deja de aplicar la política

en función de la última lista dinámica externa recuperada correctamente. Busque las
listas dinámicas externas que fallaron en la autenticación y vea los motivos del fallo de la
autenticación.
Recuperación de una lista dinámica externa del servidor web

Cuando realiza la Configuración del cortafuegos para acceder a la lista dinámica externa, configura el
cortafuegos para recuperar la lista del servidor web cada hora (valor predeterminado), cada cinco minutos,
cada día, cada semana o cada mes. Si ha añadido o eliminado direcciones IP de la lista y necesita realizar una
actualización inmediata, utilice el siguiente proceso para recuperar la lista actualizada.
STEP 1 | Para recuperar la lista a demanda, seleccione Objects (Objetos) > External Dynamic Lists
(Listas dinámicas externas).
STEP 2 | Seleccione la lista que desea actualizar y haga clic en Import Now (Importar ahora). La tarea de
importar la lista se añadirá a la cola.
STEP 3 | Para ver el estado de la tarea en el gestor de tareas, consulte Gestión y supervisión de tareas
administrativas.
STEP 4 | (Opcional) Una vez que el cortafuegos recupere la lista, lleve a cabo la Visualización de entradas
de lista dinámica externa.
Visualización de entradas de lista dinámica externa

Antes de realizar la Aplicación de la política en una lista dinámica externa, puede ver el contenido de una
lista dinámica externa directamente en el cortafuegos para comprobar que contiene las direcciones IP, los
dominios o las URL. Las entradas que se muestran se basan en la versión de la lista dinámica externa que el
cortafuegos recuperó más recientemente.
STEP 1 | Seleccione Objects (Objetos) > External Dynamic Lists (Listas dinámicas externas).
STEP 2 | Haga clic en la lista dinámica externa que desea ver.

STEP 3 | Haga clic en List Entries and Exceptions (Entradas y excepciones de la lista) y vea los objetos
que el cortafuegos recuperó de la lista.
Es posible que la lista esté vacía si se producen las siguientes condiciones:

• El cortafuegos aún no recuperó la lista dinámica externa. Para obligar al cortafuegos a recuperar una
lista dinámica externa de inmediato, lleve a cabo la Recuperación de una lista dinámica externa del
servidor web.
• El cortafuegos es incapaz de acceder al servidor que aloja la lista dinámica externa. Haga clic en Test
Source URL (Probar URL de origen) para comprobar que el cortafuegos puede conectarse al servidor.
STEP 4 | Introduzca una dirección IP, un dominio o una URL (según el tipo de lista) en el campo de filtro
y haga clic en Apply Filter (Aplicar filtro) ( ) para comprobar que se encuentre en la lista.
Realice la Exclusión de entradas de una lista dinámica externa en función de las direcciones IP,
los dominios y las URL que desea bloquear o permitir.
STEP 5 | (Opcional) Vea el resumen de inteligencia de AutoFocus para obtener información sobre una
entrada de la lista. Coloque el cursor sobre una entrada para abrir el menú desplegable y haga
clic en Autofocus.
Exclusión de entradas de una lista dinámica externa

Cuando visualiza las entradas de una lista dinámica externa, puede excluir hasta 100 entradas de la lista.
La capacidad de excluir entradas de una lista dinámica externa le ofrece la opción de aplicar la política a
algunas de las entradas (no a todas) en una lista. Esto es útil si no puede editar el contenido de una lista
dinámica externa (como la fuente de direcciones IP de alto riesgo de Palo Alto Networks) debido a que
proviene de un origen externo.
STEP 1 | Visualización de entradas de lista dinámica externa.
STEP 2 | Seleccione hasta 100 entradas para excluir de la lista y haga clic en Submit (Enviar) ( ) o Add
(Añadir) para añadir manualmente una excepción de la lista.
• No puede guardar los cambios de la lista dinámica externa si tiene entradas duplicadas en la lista de
excepciones manuales. Para identificar las entradas duplicadas, busque entradas con un subrayado
rojo.
• Una excepción manual debe coincidir con una entrada en la lista con exactitud. Por ejemplo, si el
rango de la dirección IP 1.1.1.1-3.3.3.3 es una entrada de la lista e introduce manualmente una

dirección IP dentro de este rango como excepción de la lista, el cortafuegos aplicará la política en
todas las direcciones IP en este rango.
STEP 3 | Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) para guardar los cambios.
STEP 4 | (Opcional) Aplicación de la política en una lista dinámica externa.
Aplicación de la política en una lista dinámica externa

Bloquee o permita el tráfico en función de las direcciones IP o URL en una lista dinámica externa, o utilice
una lista de dominios dinámicos con un sinkhole de DNS para prevenir el acceso a dominios maliciosos.
Consulte la tabla a continuación para acceder a las maneras en que puede utilizar las listas dinámicas
externas para aplicar la política en el cortafuegos.
• Configuración del sinkholing de DNS para una lista de dominios personalizados.
• Uso de una lista dinámica externa en un perfil de filtro de URL.
• Utilice una lista dinámica externa de tipo URL como criterio de coincidencia en una regla de
2. Haga clic en Add (Añadir) e introduzca un nombre descriptivo en Name (Nombre) para la lista.
3. En la pestaña Source (Origen), seleccione la Source Zone (Zona de origen).
4. En la pestaña Destination (Destino), seleccione la Destination Zone (Zona de destino).
5. En la pestaña Service/URL Category (Categoría de URL/servicio), haga clic en Add (Añadir) para
seleccionar la lista dinámica externa de la lista de categorías URL.
6. En la pestaña Actions (Acciones), configure Action Setting (Configuración de acción) en Allow
(Permitir) o Deny (Denegar)
8. Verifique si las entradas en la lista dinámica externa se ignoraron u omitieron.
Use el siguiente comando CLI en un cortafuegos para revisar los detalles de una lista.
request system external-list show type <domain | ip | url> name_of_list
Por ejemplo:
request system external-list show type url EBL_ISAC_Alert_List

9. Compruebe que la acción de política esté forzada.
1. Realice la Visualización de las entradas de la lista dinámica externa para la lista de URL e intente
acceder a la URL desde la lista.
2. Verifique que la acción que definió se haya aplicado.
• Seleccione ACC y añada un dominio de URL como filtro global para ver la actividad de la red y
la actividad bloqueada para la URL a la cual accedió.
• Seleccione Monitor (Supervisar) > Logs > URL Filtering (Filtrado de URL) para acceder a la
vista detallada del log.

• Utilice una lista dinámica externa de tipo IP o IP predefinido como un objeto de dirección de
origen o destino en una regla de la política de seguridad.
Esta capacidad resulta útil si implementa nuevos servidores y desea permitir el acceso a dichos
servidores sin requerir una confirmación de cortafuegos.
2. Haga clic en Añadir y use un nombre descriptivo para la regla en la pestaña General.
3. En la pestaña Source (Origen), seleccione la Source Zone (Zona de origen) y seleccione opcionalmente
la lista dinámica externa como dirección de origen.
4. En la pestaña Destination (Destino), seleccione la Destination Zone (Zona de destino) y seleccione
opcionalmente la lista dinámica externa como dirección de destino.
5. En la pestaña Service/ URL Category (Categoría de URL/servicio), asegúrese de que Service (Servicio)
esté definido en application-default (predeterminado de aplicación).
6. En la pestaña Actions (Acciones), configure Action Setting (Configuración de acción) en Allow
(Permtir) o Deny (Denegar).
Cree listas dinámicas externas separadas si desea especificar acciones de permiso y

denegación para direcciones IP concretas.
7. Deje el resto de opciones con los valores predeterminados.
10.Compruebe que la acción de política esté forzada.
1. Realice la Visualización de las entradas de la lista dinámica externa para la lista dinámica externa e
intente acceder a una dirección IP desde la lista.
2. Verifique que la acción que definió se haya aplicado.
3. Seleccione Monitor (Supervisar) > Logs > Traffic (Tráfico) y visualice la entrada del log de la
sesión.
4. Para verificar la regla de políticas que coincide con un flujo, utilice el siguiente comando de la CLI:

destination port <port_number> protocol <protocol_number>
Consejos sobre la aplicación de la política en el cortafuegos con listas dinámicas

externas:
• Cuando se visualizan listas dinámicas externas en el cortafuegos (Objects
[Objetos] > External Dynamic Lists [Listas dinámicas externas]), haga clic en
List Capacities (Capacidades de la lista) para comparar cuántas direcciones IP,
dominios y URL se utilizan actualmente en la política con la cantidad total de
entradas que admite el cortafuegos en cada tipo de lista.
• Lleve a cabo el Uso de Global Find para buscar el cortafuegos o servidor de gestión
de Panorama para un dominio, dirección IP o URL que pertenece a una o más
listas dinámicas externas y se utiliza en la política. Esto es útil para determinar
la lista dinámica externa (se menciona en una regla de la política de seguridad)
que causa que el cortafuegos bloquee o permita un dominio, dirección IP o URL
determinado.
Búsqueda de listas dinámicas externas con autenticación fallida

Cuando una lista dinámica externa que requiere SSL falla la autenticación de cliente o servidor, el
cortafuegos genera un log de sistema de gravedad crítica. El log es crítico debido a que el cortafuegos

interrumpe la aplicación de la política basada en la lista dinámica externa una vez falla la autenticación.
Utilice el siguiente proceso para visualizar los mensajes del log del sistema crítico que le informan del fallo
de autenticación relacionado con las listas dinámicas externas.
STEP 1 | Seleccione Monitor (Supervisar) > Logs > System (Sistema).
STEP 2 | Construya los siguientes filtros para visualizar todos los mensajes relacionados con fallos de
autenticación y aplique los filtros. Para obtener más información, revise el flujo de trabajo
completo para realizar el Filtrado de logs.
• Fallo de autenticación de servidor: (eventid eq tls-edl-auth-failure)
• Fallo de autenticación de cliente: (eventid eq edl-cli-auth-failure)
STEP 3 | Revise los mensajes del log del sistema. La descripción del mensaje incluye el nombre de la lista
dinámica externa, la URL de origen de la lista y el motivo del fallo de autenticación.
El servidor que aloja la lista dinámica externa falla la autenticación si el certificado ha vencido. Si ha
configurado el perfil del certificado para comprobar el estado de revocación de certificados mediante
la lista de revocación de certificados (CRL) o el protocolo de estado de certificado en línea (OCSP), es
posible que es servidor también falle la autenticación si se cumple alguna de las siguientes condiciones:
• El certificado se ha revocado.
• El estado de revocación del certificado es desconocido.
• Se acaba el tiempo de espera de la conexión mientras el cortafuegos intenta conectarse al servicio de
CRL/OCSP.
Para obtener más información sobre la configuración del perfil de certificados, consulte los pasos para
realizar la Configuración de un perfil de certificado.
Compruebe que añadió la CA de raíz y la CA intermedia del servidor para el perfil de

certificados que configuró con la lista dinámica externa. De lo contrario, el cortafuegos no
autenticará la lista adecuadamente.
La autenticación de cliente falla si introdujo la combinación de nombre de usuario y contraseña

incorrecta para la lista dinámica externa.
STEP 4 | (Opcional) Realice la Deshabilitación de autenticación para una lista dinámica externa que falló
la autenticación como una medida provisional hasta que el propietario de la lista renueve el
certificado del servidor que aloja la lista.
Deshabilitación de autenticación para una lista dinámica externa

Palo Alto Networks recomienda que habilite la autenticación en los servidores que alojan las listas dinámicas
externas configuradas en su cortafuegos. Sin embargo, si realiza la Búsqueda de listas dinámicas externas
con autenticación fallida y prefiere deshabilitar la autenticación de servidor en estas listas, puede realizarlo

mediante la CLI. El procedimiento a continuación solo se aplica a las listas dinámicas externas protegidas
con SSL (es decir, las listas con URL de HTTPS); el cortafuegos no aplica la autenticación de servidor en las
listas con una URL de HTTP.
Si deshabilita la autenticación de servidor en una lista dinámica externa, también se

deshabilitará la autenticación de cliente. Si la autenticación de cliente está deshabilitada, el
cortafuegos no podrá conectarse a una lista dinámica externa que requiera un nombre de
usuario y una contraseña para el acceso.
STEP 1 | Ejecute la CLI y cámbiela a modo de configuración de la siguiente manera:
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#
El cambio del símbolo > al símbolo # indica que se encuentra en modo de configuración.
STEP 2 | Introduzca el comando de la CLI adecuado para el tipo de lista:

• IP Address (Dirección IP)
set external-list <external dynamic list name> type ip certificate-profile

None
• Dominio
set external-list <external dynamic list name> type domain certificate-

profile None
• URL
set external-list <external dynamic list name> type url certificate-

profile None
STEP 3 | Compruebe que la autenticación se encuentre deshabilitada para la lista dinámica externa.
Actualice la lista (consulte Recuperación de una lista dinámica externa del servidor web). Si el
cortafuegos recupera la lista correctamente, la autenticación de servidor está deshabilitada.

Registro de direcciones IP y etiquetas
dinámicamente
Para reducir los desafíos de diversidad de tamaños, falta de flexibilidad y rendimiento, la arquitectura de
las redes de hoy día permite asignar, cambiar y eliminar clientes, servidores y aplicaciones bajo demanda.
Esta agilidad plantea un desafío a los administradores de seguridad, ya que tienen una visibilidad limitada de
las direcciones IP de los clientes, servidores y numerosas aplicaciones con asignación dinámica que pueden
habilitarse en estos recursos virtuales.
El cortafuegos (modelos basados en hardware y la serie VM) es compatible con la capacidad de registrar
direcciones IP y etiquetas de forma dinámica. Las direcciones IP y las etiquetas se pueden registrar en el
cortafuegos directamente o mediante Panorama. Además, puede eliminar etiquetas automáticamente de las
direcciones IP de origen o destino que se incluyen en un log del cortafuegos.
Este proceso de registro dinámico se puede habilitar con cualquiera de las siguientes opciones:
• Agente User-ID para Windows: en un entorno donde ha implementado el agente User-ID, puede
habilitar el agente User-ID para supervisar 100 servidores VMware ESXi o vCenter. Al asignar o
modificar máquinas virtuales en estos servidores VMware, el agente puede recuperar los cambios de
direcciones IP y compartirlos con el cortafuegos.
• Orígenes de información de VM: le permite supervisar los servidores VMware ESXi y vCenter, así como
AWS-VPC para recuperar las direcciones IP cuando asigna o modifica máquinas virtuales en estos
orígenes. Orígenes de información de VM sondea en busca de un conjunto predefinido de atributos y
no requiere secuencias de comandos externas para registrar las direcciones IP a través de la API XML.
Consulte Supervisión de cambios en el entorno virtual.
• VMware Service Manager (disponible solo para la solución NSX integrada): la solución NSX
integrada está diseñada para la asignación y distribución automáticas de servicios de Palo Alto Networks
de nueva generación y ofrecer políticas de seguridad dinámicas basadas en contexto mediante
Panorama. NSX Manager actualiza Panorama con la información más reciente de las etiquetas y
direcciones IP asociadas a las máquinas virtuales implementadas en esta solución integrada. Para obtener
información sobre esta solución, consulte Configuración de un cortafuegos VM-Series NSX Edition.
• API XML: el cortafuegos y Panorama admiten una API XML que use solicitudes HTTP estándar para
enviar y recibir datos. Puede usar esta API para registrar direcciones IP y etiquetas en el cortafuegos o
Panorama. Las llamadas de la API se pueden realizar directamente desde utilidades de líneas de comando
como cURL o usando cualquier marco de secuencias de comandos o aplicaciones compatible con
servicios basados en REST. Consulte la Guía de uso de PAN-OS XML API para obtener más información.
• Etiquetado automático: etiquete la dirección IP de origen o de destino automáticamente cuando se
genere un log en el cortafuegos, y registre la dirección IP y la asignación de etiquetas a un usuario
de User-ID en el cortafuegos o Panorama, o a un agente de User-ID remoto que utilice un perfil de
servidor HTTP. Por ejemplo, siempre que el cortafuegos genere un log de amenaza, puede configurar
el cortafuegos de modo que etiquete la dirección IP de origen en el log de amenaza con un nombre de
etiqueta. Consulte Reenvío de logs a un destino HTTP(S).
Para obtener información sobre cómo crear y utilizar grupos de direcciones dinámicas, consulte Uso de
grupos de direcciones dinámicas en la política.
Para acceder a los comandos de la CLI para registrar etiquetas dinámicamente, consulte Comandos de la CLI
para etiquetas y direcciones IP dinámicas.

Supervisión de cambios en el entorno virtual
Para proteger las aplicaciones y evitar amenazas en un entorno en el que aparecen constantemente nuevos
usuarios y servidores, su política de seguridad ha de ser ágil. Para que sea ágil, el cortafuegos debe ser
capaz de aprender las direcciones IP nuevas o modificadas y aplicar las políticas de manera consistente sin
necesidad de realizar cambios de configuración en el cortafuegos.
Esta capacidad se proporciona mediante la coordinación entre las funciones de VM Information Sources
(Orígenes de información de VM) y Dynamic Address Groups (Grupos de direcciones dinámicas) en el
cortafuegos. El cortafuegos y Panorama ofrecen un modo automatizado de recopilar información en el
inventario de máquinas virtuales (o invitadas) en cada origen supervisado y crear objetos de políticas que
permanecen sincronizadas con los cambios dinámicos de la red.
• Habilitación de supervisión de VM para el registro de cambios en la red virtual on page 1056
• Atributos supervisados en los entornos AWS y VMware on page 1058
• Uso de grupos de direcciones dinámicas en políticas on page 1059
Habilitación de supervisión de VM para el registro de cambios en

la red virtual
Orígenes de información de VM ofrece un modo automatizado de recopilar información en el inventario
de la máquina virtual (VM) en cada origen supervisado (host); el cortafuegos puede supervisar VMware
ESXi y el servidor vCenter, así como AWS-VPC. Al implementar o mover equipos virtuales (invitados),
el cortafuegos recopila una serie de atributos predefinidos (o elementos de metadatos) como etiquetas;
estas etiquetas se pueden usar para definir grupos de direcciones dinámicas (consulte Uso de grupos de
direcciones dinámicas en políticas) y buscar coincidencias en la política.
Hasta 10 orígenes de información VM se pueden configurar en el cortafuegos o enviar usando plantillas de
Panorama. De manera predeterminada, el tráfico entre el cortafuegos y los orígenes supervisados usa el
puerto de gestión (MGT) en el cortafuegos.
VM Information Sources (Orígenes de información de VM) ofrece una configuración sencilla

y le permite supervisar un conjunto de 16 elementos o atributos de metadatos. Consulte
Atributos supervisados en los entornos AWS y VMware para obtener la lista.
Cuando supervisa los hosts ESXi que son parte de la solución VM-Series edición NSX,
use los grupos de direcciones dinámicas en lugar de usar los orígenes de información
de VM para obtener información sobre los cambios en el entorno virtual. Para la solución
VM-Series edición NSX, NSX Manager le brinda a Panorama la información sobre el
grupo de seguridad de NSX al cual pertenece una dirección IP. La información de NSX
Manager brinda el contexto completo para definir los criterios de coincidencia en un grupo
de direcciones dinámicas porque usa el ID de perfil de servicio como un atributo distintivo y
le permite aplicar políticas de forma adecuada cuando tiene direcciones IP superpuestas en
los diferentes grupos de seguridad. Se pueden registrar hasta un máximo de 32 etiquetas
(del servidor vCenter y NSX Manager) en una dirección IP.
STEP 1 | Habilitar el agente de supervisión de VM
Puede configurar hasta 10 orígenes de información de VM en cada cortafuegos o para

cada sistema virtual en cortafuegos con capacidad para varios sistemas virtuales.
Si sus cortafuegos están configurados con alta disponibilidad:

• En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes VM.
• En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad principal supervisa
los orígenes de VM.
1. Seleccione Device (Dispositivo) > VM Information Sources (Fuentes de información de equipo
virtual).
2. Haga clic en Add (Añadir) y especifique la siguiente información:
• Un Name (Nombre) para identificar el servidor VMware ESX(i) o vCenter Server que desea
supervisar.
• Ingrese la Host information for the server (Información de host para el servidor): nombre de host
o dirección IP y el puerto en el que escucha.
• Seleccione el Type (Tipo) para indicar si el origen es un servidor VMware ESX(i) o VMware
vCenter.
• Añada las credenciales (Username [Nombre de usuario] y Password [Contraseña]) para autenticar
el servidor especificado más arriba.
• Use las credenciales de un usuario administrativo para permitir el acceso.
• (Opcional) Modifique el Update interval (Intervalo de actualización) a un valor entre 5-600
segundos. De manera predeterminada, el cortafuegos sondea cada 5 segundos. Las llamadas de
API se ponen en cola y recuperan cada 60 segundos, de modo que las actualizaciones pueden
tardar hasta 60 segundos, más el intervalo de sondeo configurado.
• (Opcional) Introduzca el intervalo en horas cuando la conexión con el origen supervisado esté
cerrada, si el host no responde. (El intervalo es de 2 a 10; el valor predeterminado es 2).
Para cambiar el valor predeterminado, seleccione la casilla de verificación Enable timeout when
the source is disconnected (Habilitar el tiempo de espera cuando el origen esté desconectado)
y especifique el valor. Cuando se alcanza el límite especificado o si no se puede acceder al host o
este no responde, el cortafuegos cerrará la conexión al origen.
• Haga clic en OK (Aceptar) y seleccione Commit (Confirmar) los cambios.
• Compruebe que el Status (Estado) de conexión aparezca como conectado.
STEP 2 | Comprobar el estado de conexión

Compruebe que el Status (Estado) de conexión aparezca como conectado.

Si el estado de conexión está pendiente o desconectado, compruebe que el origen está operativo y que
el cortafuegos puede acceder al origen. Si usa un puerto diferente a MGT para la comunicación con el
origen supervisado, debe cambiar la ruta de servicios (Device [Dispositivo] > Setup [Configuración] >
Services [Servicios], hacer clic en el enlace Service Route Configuration [Configuración de ruta de
servicios] y modificar la Source Interface [Interfaz de origen] para el servicio VM Monitor [Supervisor de
VM]).
Atributos supervisados en los entornos AWS y VMware

Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.
Para recopilar valores asignados a las VM supervisadas, el cortafuegos supervisa el siguiente conjunto de
atributos predefinidos:
Atributos supervisados en un origen de VMware Atributos supervisados en el AWS-VPC
UUID Arquitectura
Nombre Sistema operativo invitado
Sistema operativo invitado ID de imagen
Estado de máquina virtual: el estado de ID de instancia

alimentación es apagado, encendido, en espera y
desconocido.
Anotación Estado de instancia
versión Tipo de instancia
Red: nombre del conmutador virtual, nombre del Nombre de clave

grupo de puerto e ID de VLAN
Nombre del contenedor: nombre de vCenter, • Colocación: arrendamiento, nombre de grupo,

nombre del objeto del centro de datos, nombre zona de disponibilidad
del grupo de recursos, nombre del clúster, host, • Nombre DNS privado
dirección IP del host. • Nombre DNS público
• ID de subred
• Etiqueta (clave, valor) (se admiten hasta 18
etiquetas por instancia)
• ID de VPC

Uso de grupos de direcciones dinámicas en políticas
En las políticas se usan grupos de direcciones dinámicas. Estos permiten crear políticas que se adaptan
a los cambios automáticamente, añadiendo, moviendo o eliminando servidores. También permite aplicar
diferentes reglas al mismo servidor en función de las etiquetas que definen su función en la red, el sistema
operativo o los diferentes tipos de tráfico que procesa.
Un grupo de direcciones dinámicas usa etiquetas como criterios de filtrado para determinar a sus miembros.
El filtro usa los operadores lógicos y y o. Todas las direcciones o grupos de direcciones IP que coincidan
con los criterios de filtrado se hacen miembros del grupo de direcciones dinámicas. Las etiquetas se pueden
definir estáticamente en el cortafuegos o registrarse (dinámicamente) en el cortafuegos. La diferencia
entre etiquetas estáticas y las dinámicas es que las etiquetas estáticas forman parte de la configuración del
cortafuegos y las dinámicas forman parte de la configuración del tiempo de ejecución. Esto significa que
no se requiere una confirmación para actualizar etiquetas dinámicas; no obstante, las etiquetas deben ser
usadas por grupos de direcciones dinámicas a las que se haga referencia en la política, y la política debe
estar confirmada en el cortafuegos.
Para registrar etiquetas dinámicamente, puede usar la API XML o el agente de supervisión VM en el
cortafuegos o usar el agente User-ID. Cada etiqueta es un elemento de metadatos o par de atributo y valor
registrado en el cortafuegos o Panorama. Por ejemplo, IP1 {tag1, tag2,.....tag32}, donde la dirección IP y
las etiquetas asociadas se mantienen como una lista; cada dirección IP registrada puede tener hasta 32
etiquetas como el sistema operativo, el centro de datos o el conmutador virtual al que pertenece. Durante
los primeros 60 segundos desde la llamada de API, el cortafuegos registra la dirección IP y las etiquetas
asociadas, y actualiza automáticamente la información de pertenencia a los grupos de direcciones dinámicas.
El número máximo de direcciones IP que se puede registrar para cada modelo es diferente. Use la siguiente
tabla para conocer la información específica de su modelo:
Modelo Número máximo de direcciones IP registradas

dinámicamente
Serie PA-7000, PA-5060, serie PA-5200, 100.000

VM-300, VM-500, VM-700, VM-1000-HV
PA-5050 50 000
PA-5020 25.000
Serie PA-3000 5.000
PA-850, VM-100 2.500
PA-820, PA-500, PA-220, PA-200 1000

VM-200, VM-50
El siguiente ejemplo muestra cómo los grupos de direcciones dinámicas pueden simplificar la aplicación
forzada de seguridad de la red. El flujo de trabajo de ejemplo muestra cómo:
• Habilitar el agente de supervisión VM en el cortafuegos para supervisar el host VMware ESX(i) o el
servidor vCenter y registrar las direcciones IP de la VM y las etiquetas asociadas.

• Crear grupos de direcciones dinámicas y definir etiquetas para el filtro. En este ejemplo se han creado
dos grupos de direcciones. Uno que solo filtra por etiquetas dinámicas y otro que filtra por etiquetas
tanto estáticas como dinámicas para añadir los miembros del grupo.
• Comprobar que los miembros del grupo de direcciones dinámicas se han añadido al cortafuegos.
• Usar grupos de direcciones dinámicas en la política. Este ejemplo usa dos políticas de seguridad
diferentes:
• Una política de seguridad para todos los servidores Linux que se implementan como servidores FTP;
esta regla busca coincidencias con las etiquetas registradas dinámicamente.
• Una política de seguridad para todos los servidores Linux que se implementan como servidores;
esta regla busca coincidencias con el grupo de direcciones dinámicas que usa etiquetas estáticas y
dinámicas.
• Comprobar que los miembros de los grupos de direcciones dinámicas están actualizados como nuevos
servidores FTP o que se implementan servidores web. De este modo se garantiza que se fuercen las
reglas de seguridad también en estas nuevas máquinas virtuales.
STEP 1 | Habilite la supervisión de orígenes VM.

Consulte Habilitación de la supervisión de VM para el registro de cambios en la red virtual.
STEP 2 | Cree grupos de direcciones dinámicas en el cortafuegos.
Vea el tutorial para obtener información detallada de la función.
1. Inicie sesión en la interfaz web del cortafuegos.

2. Seleccione Object (Objeto) > Address Groups (Grupos de direcciones).
3. Haga clic en Add (Añadir) e introduzca un Name (Nombre) y una Description (Descripción) para el
grupo de direcciones.
4. Defina el Type (Tipo) como Dynamic (Dinámico).
5. Defina los criterios de coincidencia. Puede seleccionar etiquetas dinámicas y estáticas como los
criterios de coincidencia para añadir miembros del grupo. Haga clic en Add Match Criteria (Añadir
criterios de coincidencia) y seleccione el operador And (Y) u Or (O) ; seleccione además los atributos
por los que le gustaría filtrar o buscar coincidencias y haga clic en OK (ACEPTAR).
STEP 3 | Los criterios de coincidencia para cada grupo de direcciones dinámicas en este ejemplo son los
siguientes:

ftp_server: coincidencias en el sistema operativo invitado “Linux 64-bit” y anotado como
“ftp” ('guestos.Ubuntu Linux 64-bit' y 'annotation.ftp').
web-servers: coincidencias en dos criterios: la etiqueta negra o si el sistema operativo invitado
es Linux 64 bits y el nombre del servidor es Web_server_Corp. ('guestos.Ubuntu Linux 64-bit' y
'vmname.WebServer_Corp' o 'black')
STEP 4 | Usar grupos de direcciones dinámicas en la política.
Consulte el tutorial.

2. Haga clic en Add (Añadir) y escriba un Name (Nombre) y una Description (Descripción) para la
política.
3. Añada la Source Zone (Zona de origen) para especificar la zona desde la que se origina el tráfico.
4. Añada la Destination Zone (Zona de destino) donde finaliza el tráfico.
5. Para la Destination Address (Dirección de destino), seleccione el grupo de direcciones dinámicas que
ha creado anteriormente.
6. Especifique la acción (Permitir o Denegar) para el tráfico y, de manera opcional, incluya los perfiles de
políticas de seguridad en la regla.
7. Repita los pasos del 1 al 6 para crear otra regla de política.
STEP 5 | Este ejemplo muestra cómo crear dos políticas: una para todo el acceso a los servidores FTP y
otro para el acceso a los servidores web.
STEP 6 | Comprobar que los miembros del grupo de direcciones dinámicas se han añadido al
cortafuegos.
1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la regla.
2. Seleccione la flecha desplegable junto al vínculo del grupo de direcciones y elija Inspect
(Inspeccionar). También puede comprobar si los criterios de coincidencia son precisos.

3. Haga clic en el vínculo more (más) y compruebe que se muestra la lista de direcciones IP registradas.
La política entra en vigor para todas las direcciones IP que pertenecen a este grupo de direcciones y
se muestra aquí.

Comandos de la CLI para etiquetas y
direcciones IP
La interfaz de línea de comandos del cortafuegos y Panorama le ofrecen una vista detallada de los
diferentes orígenes desde los que se registran las etiquetas y direcciones IP dinámicamente. También
le permite auditar las etiquetas registradas y no registradas. Los siguientes ejemplos ilustran las
funcionalidades de la CLI.
Ejemplo Comando de la CLI
Ver todas las direcciones IP registradas

que coincidan con la etiqueta show log iptag tag_name equal
state.poweredOn o que no estén state.poweredOn
etiquetadas como vSwitch0. show log iptag tag_name not-equal
switch.vSwitch0
Ver todas las direcciones IP registradas

dinámicamente con origen en Orígenes show vm-monitor source source-name vmware1
de información de VM con el nombre tag state.poweredOn registered-ip all
vmware1 y etiquetadas como poweredOn. registered IP Tags
---------------------- ---------------
fe80::20c:29ff:fe69:2f76 "state.poweredOn"
10.1.22.100 "state.poweredOn"
2001:1890:12f2:11:20c:29ff:fe69:2f76"state.poweredOn"
fe80::20c:29ff:fe69:2f80 "state.poweredOn"
2001:1890:12f2:11:2cf8:77a9:5435:c0d"state.poweredOn"
fe80::2cf8:77a9:5435:c0d "state.poweredOn"
Borrar todas las direcciones IP y etiquetas

obtenidas desde un origen de supervisión debug vm-monitor clear source-name <name>
de VM sin desconectar el origen
Mostrar direcciones IP registradas desde

todos los orígenes show object registered-ip all
Mostrar el recuento de direcciones IP

registradas desde todos los orígenes show object registered-ip all option count
Borrar direcciones IP registradas desde

todos los orígenes debug object registered-ip clear all
Añadir o eliminar etiquetas para una

dirección IP dada que se ha registrado debug object registered-ip test
usando la API XML [<register/unregister>] <ip/netmask><tag>

Ver todas las etiquetas registradas desde

un origen de información específico show vm-monitor source source-name vmware1
tag all
vlanId.4095
vswitch.vSwitch1
host-ip.10.1.5.22
portgroup.TOBEUSED
hostname.panserver22
portgroup.VM Network 2
datacenter.ha-datacenter
vlanId.0
state.poweredOn
vswitch.vSwitch0
vmname.Ubuntu22-100
vmname.win2k8-22-105
resource-pool.Resources
vswitch.vSwitch2
guestos.Ubuntu Linux 32-bit
guestos.Microsoft Windows Server 2008 32-
bit
annotation.
version.vmx-08
portgroup.VM Network
vm-info-source.vmware1
uuid.564d362c-11cd-b27f-271f-c361604dfad7
uuid.564dd337-677a-eb8d-47db-293bd6692f76
Total: 22
Ver todas las etiquetas registradas desde • Para ver etiquetas registradas desde la CLI:
un origen de datos específico, por ejemplo,
desde el agente de supervisión de VM en show log iptag datasource_type equal
el cortafuegos, la API XML, el agente de unknown
User-ID de Windows o la CLI.
• Para ver etiquetas registradas desde la API XML:
show log iptag datasource_type equal

xml-api
• Para ver etiquetas registradas desde orígenes de

información de VM:
show log iptag datasource_type equal vm-

monitor
• Para ver etiquetas registradas desde el agente User-ID

de Windows:
show log iptag datasource_type equal

xml-api datasource_subtype equal user-
id-agent

Ver todas las etiquetas registradas para una

dirección IP específica (en todos orígenes). debug object registered-ip show tag-source
ip ip_address tag all

Identificación de usuarios conectados a través
de un servidor proxy
Si tiene un servidor proxy implementado entre los usuarios en su red y el cortafuegos, en las solicitudes
HTTP/HTTPS el cortafuegos puede ver la dirección IP del servidor proxy como la dirección IP de origen
en el tráfico que el proxy reenvía en lugar de la dirección IP del cliente que ha solicitado el contenido. En
muchos casos, el servidor proxy añade un encabezado X-Forwarded-For (XFF) a los paquetes de tráfico,
que incluye la dirección IPv4 o IPv6 real del cliente que solicitó el contenido desde o hacia el que se
origina la solicitud. En esos casos, puede configurar el cortafuegos para leer los valores de encabezado
XFF y determinar las direcciones IP del cliente que ha solicitado el contenido. El cortafuegos compara las
direcciones XFF IP con nombres de usuario a los que hacen referencia sus reglas de políticas, de modo que
esas reglas puedan controlar y registrar el acceso a los usuarios y grupos asociados. El cortafuegos también
usa los nombres de usuario derivados XFF para cumplimentar los campos de usuario de origen de los logs
para que pueda supervisar el acceso del usuario a los servicios web.
También puede configurar el cortafuegos para agregar valores XFF para los logs de filtrado URL. En estos
logs, un valor XFF puede ser la dirección IP cliente, el número de usuario de cliente (si está disponible), la
dirección IP del último servidor proxy atravesado en una cadena de proxys o cualquier cadena de hasta 128
caracteres que almacena el encabezado XFF.
La identificación del usuario XFF se aplica únicamente al tráfico HTTP o HTTPS, y solo si el servidor
proxy admite el encabezado XFF. Si el encabezado tiene una dirección IP no válida, el cortafuegos usa esa
dirección IP como un nombre de usuario para las referencias de asignación de grupos en las políticas. Si el
encabezado XFF tiene varias direcciones IP, el cortafuegos usa la primera entrada de la izquierda.
• Uso de los valores XFF para usuarios de orígenes de logging y políticas on page 1066
• Adición de valores XFF a logs de filtrado de URL on page 1067
Uso de los valores XFF para usuarios de orígenes de logging y

políticas
Puede configurar el cortafuegos para que use los valores de XFF en las políticas basadas en usuario y en los
campos de usuario de origen de los logs. Para utilizar valores XFF en las políticas, también debe realizar la
Habilitación de User-ID on page 457.
El logging de valores XFF no rellena los valores de dirección IP de origen de los logs.
Cuando visualice los logs, el campo de origen muestra la dirección IP del servidor proxy si
hay uno implementado entre los clientes de usuario y el cortafuegos. Sin embargo, puede
configurar el cortafuegos para la Adición de valores XFF a logs de filtrado de URL on page
1067 de modo que pueda ver las direcciones IP del usuario en esos logs.
Para garantizar que los atacantes no puedan leer ni aprovechar los valores XFF en paquetes de solicitud
web que salen del cortafuegos para recuperar el contenido desde un servidor externo, también puede
configurar el cortafuegos para quitar los valores XFF desde paquetes salientes.
Estas opciones no son mutuamente excluyentes: si configura ambas, el cortafuegos pone a cero los valores
de XFF solo después de usarlos en las políticas y logs.
STEP 1 | Habilite el cortafuegos para que use los valores de XFF en las políticas y en los campos de
usuario de origen de los logs.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Content-ID y edite la configuración del
encabezado X-Forwarded-For.
2. Seleccione Use X-Forwarded-For Header in User-ID (Utilizar el encabezado X-Forwarded-For en
User-ID).
STEP 2 | Quite los valores XFF de las solicitudes web salientes.

1. Seleccione Strip X-Forwarded-For Header (Quitar el encabezado X-Forwarded-For).
STEP 3 | Compruebe que el cortafuegos rellena los campos de logs del usuario de origen.
1. Seleccione un tipo de log que tenga un campo de usuario de origen (por ejemplo, Monitor
[Supervisar] > Logs > Traffic [Tráfico]).
2. Compruebe que la columna Usuario de origen muestra los nombres de usuario de los usuarios que
acceden a la web.
Adición de valores XFF a logs de filtrado de URL

Puede configurar el cortafuegos para agregar valores XFF desde solicitudes web a logs de filtrado URL. Los
XFF que muestran los logs pueden ser direcciones IP de clientes, nombres de usuario, si hay disponibles, o
cualquier valor de hasta 128 caracteres que los campos XFF almacenen.
Este método de hacer logging de valores XFF no añade nombres de usuario a los campos
de usuario de origen en logs de filtrado de URL. Para rellenar los campos de usuario de
origen, consulte Uso de los valores XFF en las políticas y en el registro de usuarios de origen.
STEP 1 | Configure un perfil de filtrado de URL.

1. Seleccione Objets (Objetos) > Security Profiles (Perfiles de seguridad) > URL Filtering (Filtrado de
URL).
2. Seleccione un perfil existente o seleccione Add (Añadir) para añadir un perfil nuevo e introduzca un
nombre descriptivo en Name (Nombre).
No puede habilitar el logging XFF en el perfil de filtrado de URL.
3. En la pestaña Categories (Categorías), Defina el acceso al sitio para cada categoría de URL.
4. Seleccione la pestaña Settings (Configuración) y seleccione X-Forwarded-For.
STEP 2 | Adjunte el perfil de filtrado de URL a una regla de políticas.

1. Seleccione Policies (Políticas) > Security (Seguridad) y seleccione la regla.
2. Seleccione la pestaña Actions (Acciones), defina el Profile Type (Tipo de perfil) como Profiles
(Perfiles) y seleccione el perfil URL Filtering (Filtrado de URL) que acaba de crear.
3. Haga clic en OK (Aceptar) y Commit (Compilar).
STEP 3 | Compruebe que el cortafuegos está haciendo el logging de los valores XFF.
1. Seleccione Monitor (Supervisar) > Logs (Logs) > URL Filtering (Filtrado de URL).
2. Muestre los valores XFF de uno de estos modos:
• Para mostrar el valor XFF en un único log, haga clic en el icono de lupa para que el log muestre los
detalles. La sección Encabezados HTTP muestra el valor de X-Forwarded-For.

• Para mostrar los valores XFF para todos los logs: abra la lista desplegable en cualquier encabezado
de columna, seleccione Columns (Columnas), y seleccione X-Forwarded-For. La sección
Encabezados HTTP mostrará una columna X-Forwarded-For.

Reenvío basado en políticas
Normalmente, el cortafuegos usa la dirección IP de destino en un paquete para determinar la interfaz
de salida. El cortafuegos usa la tabla de enrutamiento asociada al enrutador virtual al que la interfaz está
conectada para realizar la búsqueda de rutas. El reenvío basado en políticas (PBF) le permite anular la tabla
de enrutamiento y especificar la interfaz saliente o de salida basándose en parámetros específicos como la
dirección IP de origen o destino o el tipo de tráfico.
• PBF on page 1069
• Creación de una regla de reenvío basada en políticas on page 1071
• Caso de uso: PBF para acceso saliente con ISP duales on page 1072
PBF
Las reglas PBF permiten al tráfico tomar una ruta alternativa desde el siguiente salto especificado en la
tabla de enrutamiento, y se suelen usar para especificar una interfaz de salida por razones de seguridad o
rendimiento. Imaginemos que su empresa tiene dos enlaces entre la oficina corporativa y la sucursal: un
enlace de internet de bajo coste y una línea alquilada de mayor coste. La línea alquilada es un enlace de gran
ancho de banda y baja latencia. Para una mayor seguridad, puede utilizar la PBF para enviar aplicaciones que
no son de tráfico cifrado, como el tráfico FTP, a través de la línea de alquiler privada y el resto del tráfico a
través del enlace de internet. O bien, si se da prioridad al rendimiento, puede elegir enrutar las aplicaciones
críticas para la empresa a través de la línea alquilada y enviar el resto del tráfico, como la navegación web, a
través del enlace de bajo coste.
• Ruta de salida y retorno simétrico on page 1069
• Supervisión de rutas para PBF on page 1070
• Servicio frente a aplicaciones en PBF on page 1070
Ruta de salida y retorno simétrico

Mediante PBF, puede dirigir el tráfico a una interfaz específica en el cortafuegos, descartar el tráfico o
dirigirlo a otro sistema virtual (en sistemas habilitados para múltiples sistemas virtuales).
En las redes con rutas asimétricas, como un entorno de proveedor de servicios de Internet (ISP) dual, los
problemas de productividad se producen cuando el tráfico llega a una interfaz en el cortafuegos y sale
desde otra interfaz. Si la ruta es asimétrica, en la que los paquetes de salida (paquetes SYN) y de retorno
(SYN/ACK) son diferentes, el cortafuegos no puede seguir el estado del tráfico de toda la sesión, y esto
ocasiona un fallo de conexión. Para garantizar que el tráfico usa una ruta simétrica, lo que significa que el
tráfico llega y sale desde la misma interfaz en la que se creó la sesión, puede habilitar la opción Symmetric
Return (Retorno simétrico).
Con el retorno simétrico, el enrutador virtual anula una búsqueda de rutas para el tráfico de retorno y en
su lugar dirige el flujo de vuelta a la dirección MAC desde la que recibió el paquete SYN (o primer paquete).
Sin embargo, si la dirección IP de destino está en la misma subred que la dirección IP de las interfaces de
entrada/salida, se realiza una búsqueda de rutas y no se fuerza el retorno simétrico. Este comportamiento
evita el bloqueo del tráfico.
Para determinar el siguiente salto para retornos simétricos, el cortafuegos usa una tabla
de protocolo de resolución de direcciones (ARP). El número máximo de entradas que
admite esta tabla ARP está limitado por el modelo de cortafuegos, y el usuario no puede
configurar el valor. Para conocer el límite de su modelo, use el comando de la CLI: show
pbf return-mac all.

Supervisión de rutas para PBF
La supervisión de rutas le permite verificar la conectividad a una dirección IP, de modo que el cortafuegos
pueda dirigir el tráfico a través de una ruta alternativa en caso necesario. El cortafuegos usa pings ICMP
como latidos para comprobar que se puede alcanzar la dirección IP especificada.
Un perfil de supervisión permite especificar el número de latidos (umbral) para determinar si se puede
alcanzar la dirección IP. Si no se puede alcanzar la dirección IP supervisada, puede deshabilitar la regla PBF
o especificar una acción de conmutación por error o esperar recuperación. Deshabilitar la regla PBF permite
al enrutador virtual tomar el control de las decisiones de enrutamiento. Cuando se realiza la acción de
conmutación por error o esperar recuperación, el perfil de supervisión sigue supervisando si la dirección IP
de destino puede alcanzarse y, cuando vuelve a estar disponible, el cortafuegos vuelve a usar la ruta original.
La siguiente tabla enumera las diferencias de comportamiento ante un fallo de supervisión de ruta en una
nueva sesión frente a una sesión establecida.
Comportamiento de una Si la regla permanece habilitada Si la regla está deshabilitada cuando no

sesión en un fallo de cuando no se alcanza la dirección se alcanza la dirección IP
supervisión IP
Para una sesión wait-recover (esperar wait-recover (esperar recuperación):

establecida recuperación): continúa usando la continúa usando la interfaz de salida
interfaz de salida especificada en especificada en la regla PBF
la regla PBF
fail-over (conmutación por error): fail-over (conmutación por error): usa

usa la ruta determinada por la la ruta determinada por la tabla de
tabla de enrutamiento (no PBF) enrutamiento (no PBF)
Para una sesión nueva wait-recover (esperar wait-recover (esperar recuperación):

recuperación): usa la ruta comprueba las reglas PBF restantes.
determinada por la tabla de Si no hay coincidencia, usa la tabla de
enrutamiento (no PBF) enrutamiento
fail-over (conmutación por error): fail-over (conmutación por error):

usa la ruta determinada por la comprueba las reglas PBF restantes.
tabla de enrutamiento (no PBF) Si no hay coincidencia, usa la tabla de
enrutamiento
Servicio frente a aplicaciones en PBF

Las reglas PBF se aplican tanto al primer paquete (SYN) o a la respuesta al primer paquete (SYN/ACK).
Esto significa que se puede aplicar una regla PBF antes de que el cortafuegos tenga suficiente información
para determinar la aplicación. Por lo tanto, no se recomienda usar las reglas específicas de aplicación con
PBF. Cuando sea posible, use un objeto de servicio, que es el puerto de capa 4 (TCP o UDP) usado por el
protocolo o la aplicación.
Sin embargo, si especifica una aplicación en una regla PBF, el cortafuegos realiza un almacenamiento
en caché de App-ID. Cuando una aplicación atraviesa un cortafuegos por primera vez, el cortafuegos no
tiene suficiente información para identificarla y, por tanto, no puede forzar la regla PBF. Conforme van
llegando más paquetes, el cortafuegos determina la aplicación y crea una entrada en la caché de App-ID
y retiene este App-ID durante la sesión. Cuando se crea una nueva sesión con la misma IP de destino, el
puerto de destino, el ID de protocolo y el cortafuegos pueden identificar la aplicación como la misma de la
sesión inicial (basada en la caché de App-ID) y aplicar la regla PBF. Por lo tanto, una sesión que no es una
coincidencia exacta y no es la misma aplicación puede reenviarse basándose en la regla PBF.

Más aún, las aplicaciones tienen dependencias y la identidad de la aplicación puede cambiar a medida
que el cortafuegos va recibiendo más paquetes. Puesto que PBF toma una decisión de ruta al inicio de la
sesión, el cortafuegos no puede forzar un cambio en la identidad de la aplicación. YouTube, por ejemplo,
comienza como navegación web pero cambia a Flash, RTSP o YouTube en función de los diferentes enlaces
y vídeos incluidos en la página. No obstante, con PBF, dado que el cortafuegos identifica la aplicación como
navegación web al inicio de la sesión, el cambio de la aplicación no se reconoce a partir de ese momento.
No puede utilizar aplicaciones personalizadas, filtros de aplicaciones o grupos de

aplicaciones en las reglas PBF.
Creación de una regla de reenvío basada en políticas

Use una regla PBF para dirigir el tráfico a una interfaz de salida específica en el cortafuegos y anule la ruta
predeterminada para el tráfico.
STEP 1 | Crear una regla PBF

Al crear una regla PBF, debe especificar un nombre para la misma, una interfaz o zona de origen y una
interfaz de salida. El resto de componentes son opcionales o tienen asignado un valor predeterminado.
Puede especificar las direcciones de origen y destino usando una dirección IP, un objeto
de dirección o un FQDN. Sin embargo, para el próximo salto, debe especificar una
dirección IP.
1. Seleccione Policies (Políticas) > Policy Based Forwarding (Reenvío basado en políticas) y haga clic en
Add (Añadir).
2. Asigne a la regla un nombre descriptivo en la ficha General.
3. En la pestaña Source (Origen), seleccione lo siguiente:
1. Seleccione el Type (Tipo) (Zone [Zona] o Interface [Interfaz]) al que se aplicará la política de
reenvío y la zona o interfaz relevante. Si desea aplicar el retorno simétrico, debe seleccionar una
interfaz de origen.
El PBF solo es compatible con las interfaces de capa 3; las interfaces de bucle
invertido no admiten PBGF.
2. (Opcional) Especifique una Source Addres (Dirección de origen) a la que se aplicará el PBF. Por
ejemplo, una dirección IP específica o dirección IP de subred desde la que quiere reenviar el
tráfico a la zona o interfaz especificada en esta regla.
Use la opción Negate (Negar) para excluir una o más direcciones desde la regla
PBF. Por ejemplo, si la regla PBF dirige todo el tráfico desde la zona especificada
a Internet, Negate (Negar) le permite excluir las direcciones IP internas de la regla
PBF.
El orden de evaluación es de arriba abajo. Un paquete coincide con la primera regla que cumpla los
criterios definidos; después de activar una coincidencia, las reglas posteriores no se evalúan.
3. (Opcional) Add (Añada) y seleccione el Source User (Usuario de origen) o los grupos de usuarios a
los que se aplican las políticas.
4. En la pestaña Destination/Application/Service (Destino/Aplicación/Servicio), seleccione lo siguiente:
1. Destination Address (Dirección de destino). De manera predeterminada, esta regla se aplica a Any
(Cualquiera) dirección IP. Use la opción Negate (Negar) para excluir una o más direcciones IP de
destino desde la regla PBF.
2. Seleccione las aplicaciones o servicios que quiere controlar usando PBF.

No se recomienda usar las reglas específicas de aplicación con PBF. Cuando sea
posible, use un objeto de servicio, que es el puerto de capa 4 (TCP o UDP) usado
por el protocolo o la aplicación. Para obtener más detalles, consulte Service Versus
Applications in PBF (Servicio frente a aplicaciones en PBF).
STEP 2 | Especifique cómo enviar tráfico que coincida con la regla.
Si está configurando PBF en un entorno multi-VSYS, debe crear reglas PBF separadas
para cada sistema virtual (y crear las reglas de política de seguridad apropiadas para
habilitar el tráfico).
1. En la pestaña Forwarding (Reenvío), seleccione lo siguiente:

1. Defina la Action (Acción). Las opciones son las siguientes:
• Forward (Reenviar): dirige el paquete a una interfaz de salida específica. Ingrese la dirección
IP de Next Hop (Próximo salto) para el paquete (no puede usar un nombre de dominio para el
próximo salto).
• Forward To VSYS (Enviar a VSYS): (en un cortafuegos habilitado para múltiples sistemas
virtuales) Seleccione un sistema virtual al cual reenviar el paquete.
• Discard (Descartar): descarta el paquete.
• No PBF (No hay ningún PBF): excluye los paquetes que coincidan con los criterios de origen/
destino/aplicación/servicio definidos en la regla. Los paquetes coincidentes usan la tabla de
enrutamiento en lugar de PBF; el cortafuegos usa la tabla de enrutamiento para excluir el
tráfico coincidente del puerto redirigido.
Para activar la acción especificada con una frecuencia diaria, semanal o sin
repetición, cree y añada una programación.
• (Opcional) Habilite la supervisión para comprobar la conectividad con una dirección IP de
destino o con la dirección IP de siguiente salto. Seleccione Monitor (Supervisar) y añada un
Profile (Perfil) de monitorización (predeterminado o personalizado) que especifique la acción
cuando no se pueda alcanzar la dirección IP.
2. (Requerido para entornos de enrutamiento asimétrico; de lo contrario, opcional) Seleccione
Enforce Symmetric Return (Aplicar retorno simétrico) e introduzca una o más direcciones IP en
la lista Next Hop Address List (Lista de direcciones de próximo salto) (no puede usar un FQDN
como próximo salto). Puede añadir hasta 8 direcciones IP de próximo salto; las interfaces PPoE y
de túnel no están disponibles como direcciones IP de próximo salto.
Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (por ejemplo, desde la zona
fiable en la LAN a Internet) se reenvíe a través de la misma interfaz por la cual el tráfico accede a
Internet.
STEP 3 | Guarde las políticas en la configuración que se esté ejecutando en el cortafuegos.

Haga clic en Commit (Confirmar). La regla PBF está en vigor.
Caso de uso: PBF para acceso saliente con ISP duales

En este caso de uso, la sucursal tiene una configuración de ISP dual e implementa PBF para el acceso
redundante a Internet. El ISP de reserva es la ruta predeterminada para el tráfico desde el cliente a los
servidores web. Para habilitar el acceso redundante a Internet sin usar un protocolo de Internet como

BGP, usamos PBF con NAT de origen basada en interfaz de destino y rutas estáticas, y configuramos el
cortafuegos del siguiente modo:
• Habilite una regla PBF que enrute el tráfico a través del ISP principal y añada un perfil de supervisión a
la regla. El perfil de supervisión activa el cortafuegos para que use la ruta predeterminada a través de un
ISP de reserva cuando el principal no está disponible.
• Defina las reglas NAT de origen tanto para el ISP principal como el de reserva que indican al cortafuegos
que use la dirección IP de origen asociada con la interfaz de salida para el ISP correspondiente. De este
modo se garantiza que el tráfico saliente tiene la dirección IP de salida correcta.
• Añada una ruta estática al ISP de reserva, de modo que cuando el ISP principal no esté disponible, entre
en vigor la ruta predeterminada y el tráfico se dirija a través del ISP de reserva.
STEP 1 | Configurar las interfaces de entrada y salida en el cortafuegos

Las interfaces de salida pueden estar en la misma zona. En este ejemplo, asignamos las interfaces de
salida a zonas diferentes.
1. Seleccione Network (Red) > Interfaces y seleccione la interfaz que desea configurar; por ejemplo,
Ethernet1/1 y Ethernet1/3.
La configuración de la interfaz del cortafuegos usada en este ejemplo es la siguiente:
• Ethernet 1/1 conectada al ISP principal:
• Zona: ISP-East
• Dirección IP: 1.1.1.2/30
• Enrutador virtual: predeterminado
• Ethernet 1/3 conectada al ISP de reserva:
• Zona: ISP-West
• Dirección IP: 2.2.2.2/30
• Ethernet 1/2 es la interfaz de entrada que los clientes de la red usan para conectarse a Internet:
• Zona: Fiable
• Dirección IP: 192,168 54,1/24

STEP 2 | En el enrutador virtual, añadir una ruta estática al ISP de reserva
1. Seleccione Network (Red) > Virtual Router (Enrutador virtual) y luego seleccione el enlace default
(predeterminado) para que se abra el cuadro de diálogo Virtual Router (Enrutador virtual).
2. Seleccione la pestaña Static Routes (Rutas estáticas) y haga clic en Add (Añadir). Introduzca un
Name (Nombre) para la ruta y especifique la dirección IP de Destination (Destino) para la que está
definiendo la ruta estática. En este ejemplo, usamos 0.0.0.0/0 para todo el tráfico.
3. Seleccione el botón de opción IP Address (Dirección IP) y defina la dirección IP de Next Hop
(Siguiente salto) para su enrutador que se conecta con la puerta de enlace de Internet alternativa (no
puede usar un nombre de dominio para el siguiente salto). En este ejemplo, 2.2.2.1.
4. Especifique una métrica de coste para la ruta. En este ejemplo, usamos 10.
5. Haga clic en OK (Aceptar) dos veces para guardar la configuración de enrutador virtual.
STEP 3 | Crear una regla PBF que redirija el tráfico a la interfaz que está conectada al ISP principal
Asegúrese de excluir el tráfico destinado a direcciones IP/servidores internos desde PBF. Defina una
regla de negación para que el tráfico destinado a direcciones IP internas no se enrute a través de la
interfaz de salida definida en la regla PBF.
1. Seleccione Policies (Políticas) > Policy Based Forwarding (Reenvío basado en políticas) y haga clic en
Add (Añadir).
3. En la pestaña Source (Origen), configure Source Zone (Zona de origen) en Trust (Confiable).
4. En la pestaña Destination/Application/Service (Destino/aplicación/servicio), defina lo siguiente:
1. En la sección Dirección de destino, Add (Añadir) las direcciones IP o el intervalo de direcciones
para los servidores en la red interna o cree un objeto de dirección para sus servidores internos.
Seleccione Negate (Negar) para excluir de usar esta regla a las direcciones IP u objetos de
direcciones enumerados anteriormente.
2. En la sección Servicio, Add (Añadir) los servicios service-http y service-https para permitir que el
tráfico HTTP y HTTPS use estos puertos predeterminados. Para el resto de tráfico permitido por
una política de seguridad, se usa la ruta predeterminada.
Para reenviar todo el tráfico usando PBF, defina el Servicio en Any (Cualquiera).

STEP 4 | Especifique adónde reenviar el tráfico.
1. En la pestaña Forwarding (Reenvío), especifique la interfaz a la que quiere reenviar el tráfico y
habilite la supervisión de rutas.
2. Para reenviar el tráfico, defina la Action (Acción) en Forward (Reenviar) y seleccione la Egress
Interface (Interfaz de salida) y especifique el Next Hop (Siguiente salto). En este ejemplo, la interfaz
de salida es ethernet1/1, y la dirección IP de siguiente salto es 1.1.1.1 (no puede usar un FQDN para
el siguiente salto).
3. Habilitar Monitor (Supervisar) y añada el perfil de supervisión predeterminado para activar una
conmutación por error al ISP de reserva. En este ejemplo no especificamos una dirección IP de
destino para la supervisión. El cortafuegos supervisa la dirección IP de siguiente salto; si no se puede
alcanzar esta dirección IP, el cortafuegos dirigirá el tráfico a la ruta predeterminada especificada en el
enrutador virtual.
4. (Necesario si tiene rutas asimétricas). Seleccione Enforce Symmetric Return (Aplicar vuelta simétrica)
para garantizar que el tráfico de retorno desde la zona de confianza a Internet se reenvíe por la misma
interfaz a través de la que el tráfico accedió desde Internet.
5. NAT garantiza que el tráfico desde Internet regrese a la dirección IP/interfaz correcta en el
cortafuegos.
STEP 5 | Crear reglas NAT basadas en la interfaz de salida e ISP. Estas reglas garantizar que se use la
dirección IP de origen correcta para conexiones salientes.
2. En este ejemplo, la regla NAT que creamos para cada ISP es la siguiente:

NAT para ISP principal
En la pestaña Original Packet (Paquete original),
Source Zone (Zona de origen): fiable
Destination Zone (Zona de destino) : ISP-West
En la pestaña Translated Packet (Paquete traducido), en Traducción de dirección de origen
Translation Type (Tipo de traducción): IP dinámica y puerto
Address Type (Tipo de dirección): Interface Address
Interface (Interfaz): ethernet1/1
IP Address (Dirección IP): 1.1.1.2/30
NAT para ISP de reserva
En la pestaña Original Packet (Paquete original),
Source Zone (Zona de origen): fiable
Destination Zone (Zona de destino) : ISP-East
En la pestaña Translated Packet (Paquete traducido), en Traducción de dirección de origen
Translation Type (Tipo de traducción): IP dinámica y puerto
Address Type (Tipo de dirección): Interface Address
Inteface (Interfaz): ethernet1/2
IP Address (Dirección IP): 2.2.2.2/30
STEP 6 | Cree una política de seguridad para permitir el acceso saliente a Internet.
Para habilitar aplicaciones de forma segura, cree una regla que permita acceder a Internet y añada los
perfiles de seguridad disponibles en el cortafuegos.
3. En la pestaña Source (Origen), configure Source Zone (Zona de origen) en Trust (Confiable).
4. En la pestaña Destination (Destino), defina la Destination Zone (Zona de destino) como ISP-East e
ISP-West.
5. En la pestaña Service/ URL Category (Categoría de URL/servicio), deje la opción por defecto de
application-default (valor predeterminado de aplicación).
6. En la ficha Actions (Acciones) , realice estas tareas:
1. Establezca Action Setting (Configuración de acción) como Allow (Permitir).
2. Adjunte los perfiles por defecto para la protección antivirus, antispyware y contra
vulnerabilidades, y para el filtrado de URL, en Profile Setting (Ajuste de perfil).
7. En Options (Opciones), compruebe que el registro está activado al final de una sesión. Solo se
registra el tráfico que coincida con una regla de seguridad.

STEP 7 | Guarde las políticas en la configuración que se esté ejecutando en el cortafuegos.
STEP 8 | Compruebe que la regla PBF está activa y que se usa el ISP principal para el acceso de Internet.
1. Inicie un explorador web y acceda al servidor web En el cortafuegos, compruebe el log de tráfico para
la actividad de navegación web.
2. Desde un cliente de la red, use la utilidad ping para comprobar la conectividad a un servidor web en
Internet y compruebe el tráfico en el cortafuegos.
C:\Users\pm-user1>ping 4.2.2.1
Pinging 4.2.2.1 with 32 bytes of data:
Reply from 4.2.2.1: bytes=32 time=34ms TTL=117
Ping statistics for 4.2.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 34ms, Average = 18ms
3. Para confirmar que la regla PBF está activa, use el siguiente comando CLI:
admin@PA-NGFW> show pbf rule all

Rule ID Rule State Action Egress IF/VSYS NextHop
========== === ========== ====== ==============
Use ISP-Pr 1 Active Forward ethernet1/1 1.1.1.1
STEP 9 | Compruebe que se produce la conmutación por error al ISP de reserva y que la NAT de origen
se aplica correctamente.
1. Desactive la conexión al ISP principal.
2. Confirme que la regla PBF esté inactiva mediante el siguiente comando CLI:
admin@PA-NGFW> show pbf rule all

Rule ID Rule State Action Egress IF/VSYS NextHop
========== === ========== ====== ============== ===
Use ISP-Pr 1 Disabled Forward ethernet1/1 1.1.1.1
3. Acceda al servidor web y compruebe que el log de tráfico se reenvía a través del ISP de reserva.
4. Consulte los detalles de la sesión para confirmar que la regla NAT funciona correctamente.
admin@PA-NGFW> show session all

---------------------------------------------------------

ID Application State Type Flag Src[Sport]/Zone/Proto (translated
IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port])
---------------------------------------------------------
87212 ssl ACTIVE FLOW NS 192.168.54.56[53236]/Trust/6
(2.2.2.2[12896]) vsys1 204.79.197.200[443]/ISP-East
(204.79.197.200[443])
5. Obtenga el número de identificación de sesión de la salida y consulte los detalles de la sesión.
La regla PBF no se usa y, por lo tanto, no se incluye en la salida.
admin@PA-NGFW> show session id 87212

Session 87212
c2s flow:
source: 192.168.54.56 [Trust]
dst: 204.79.197.200
proto: 6
sport: 53236 dport: 443
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 204.79.197.200 [ISP-East]
dst: 2.2.2.2
proto: 6
sport: 443 dport: 12896
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Wed Nov5 11:16:10 2014
timeout : 1800 sec
time to live : 1757 sec
total byte count(c2s) : 1918
total byte count(s2c) : 4333
layer7 packet count(c2s) : 10
layer7 packet count(s2c) : 7
vsys : vsys1
application : ssl
rule : Trust2ISP
session to be logged at end : True
session in session ager : True
session synced from HA peer : False
address/port translation : source
nat-rule : NAT-Backup ISP(vsys1)
layer7 processing : enabled
URL filtering enabled : True
URL category : search-engines
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/2
egress interface : ethernet1/3
session QoS rule : N/A (class 4)

Virtual Systems
Este tema describe los sistemas virtuales, sus ventajas, los casos de uso típicos y cómo
configurarlos. También proporciona enlaces a los otros temas donde se documentan los
sistemas virtuales cuando actúan con otras funciones.
> Descripción general de los sistemas virtuales

> Comunicación entre sistemas virtuales
> Puerta de enlace compartida
> Configuración de sistemas virtuales
> Configuración de la comunicación entre sistemas virtuales dentro del cortafuegos
> Configuración de un gateway compartido
> Personalización de rutas de servicio para un sistema virtual
> Funcionalidad de sistema virtual con otras funciones
1079
1080 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Virtual Systems
Descripción general de los sistemas virtuales
Los sistemas virtuales son instancias de cortafuegos separados y lógicos en un único cortafuegos físico
de Palo Alto Networks. En lugar de usar múltiples cortafuegos, las empresas y proveedores de servicios
gestionados pueden usar un único par de cortafuegos (para una alta disponibilidad) y habilitar en ellos
sistemas virtuales. Cada sistema virtual (vsys) es un cortafuegos independiente y gestionado de forma
separada cuyo tráfico está separado del de otros sistemas virtuales.
• Componentes y segmentación de los sistemas virtuales
• Ventajas de los sistemas virtuales
• Casos de uso de sistemas virtuales
• Compatibilidad con plataformas y licencias de sistemas virtuales
• Funciones de administrador para sistemas virtuales
• Objetos compartidos para sistemas virtuales
Componentes y segmentación de los sistemas virtuales

Un sistema virtual es un objeto que crea un límite administrativo, tal y como se muestra en la siguiente
ilustración.
Un sistema virtual se compone de un conjunto de interfaces y subinterfaces físicas y lógicas (que

incluyen VLAN y virtual wires), enrutadores virtuales y zonas de seguridad. Puede seleccionar el modo de
implementación (cualquier combinación de Virtual Wire, capa 2 o capa 3) de cada sistema virtual. Puede
usar los sistemas virtuales para segmentar cualquiera de los siguientes elementos:
• Acceso administrativo
• La gestión de todas las políticas (seguridad, NAT, QoS, reenvío según políticas, descifrado, anulación de
aplicaciones, autenticación y protección contra DoS)
• Todos los objetos (como objetos de direcciones, grupos y filtros de aplicaciones, listas de bloques
dinámicos, perfiles de seguridad, perfiles de descripción, objetos personalizados, etc.)
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Virtual Systems 1081

• User-ID
• Gestión de certificados
• Perfiles de servidor
• Funciones de logging, informes y visibilidad
Los sistemas virtuales afectan a las funciones de seguridad del cortafuegos, pero por sí solos no afectan a
las funciones de red como el enrutamiento estático y dinámico. Puede segmentar el enrutamiento de cada
sistema virtual creando uno o más enrutadores virtuales para cada sistema virtual, como en los siguientes
casos de uso:
• Si tiene sistemas virtuales para los departamentos de una organización y el tráfico de red de todos los
departamentos está en una red común, puede crear un único enrutador virtual para múltiples sistemas
virtuales.
• Si desea segmentar el enrutamiento y el tráfico de cada sistema virtual debe aislarse de los demás
sistemas, puede crear uno o más enrutadores virtuales para cada sistema virtual.
Ventajas de los sistemas virtuales

Los sistemas virtuales ofrecen las mismas funciones básicas que un cortafuegos físico, junto con las
siguientes ventajas:
• Administración segmentada: las diferentes organizaciones (o clientes o unidades de negocio) pueden
controlar (y supervisar) una instancia de cortafuegos separada, de modo que tienen control sobre su
propio tráfico sin interferir en el tráfico o las políticas de otra instancia de cortafuegos en el mismo
dispositivo físico.
• Flexibilidad: Una vez configurado el cortafuegos físico, la adición o eliminación de clientes o unidades
comerciales puede realizarse con eficiencia. Un ISP, un proveedor de servicios de seguridad gestionados
o una empresa pueden ofrecer distintos servicios de seguridad a cada cliente.
• Reducción del capital y los gastos operativos: Los sistemas virtuales eliminan la necesidad de tener
múltiples cortafuegos físicos en una misma ubicación, ya que los sistemas virtuales coexisten en el
mismo cortafuegos. Al no tener que adquirir múltiples cortafuegos, una organización puede ahorrar en
gastos de hardware, consumo eléctrico y espacio en los racks, y puede reducir los gastos de gestión y
mantenimiento.
Casos de uso de sistemas virtuales

Hay muchas formas de usar los sistemas virtuales en una red. Un caso de uso común es que un ISP o un
proveedor de servicios de seguridad gestionados (MSSP) ofrezca servicios a múltiples clientes con un
único cortafuegos. Los clientes pueden elegir entre una amplia gama de servicios que pueden habilitarse
o deshabilitarse fácilmente. La administración basada en funciones del cortafuegos permite que el ISP o el
MSSP controle el acceso de cada cliente a la funcionalidad (como el logging y creación de informes) a la vez
que oculta o muestra funcionalidades de solo lectura para las demás funciones.
Otro caso de uso común es en una gran empresa que requiera distintas instancias de cortafuegos por
cuestiones técnicas o de confidencialidad entre múltiples departamentos. Como en el caso anterior,
diferentes grupos pueden tener distintos niveles de acceso, siendo el personal de TI quien gestiona el
propio cortafuegos. Los servicios pueden supervisarse o facturarse a los departamentos y crear una
contabilidad financiera distinta en una organización.
Compatibilidad con plataformas y licencias de sistemas virtuales

Los sistemas virtuales son compatibles con los cortafuegos series PA-3000, PA-5000, PA-5200 y PA-7000.
Cada serie de cortafuegos admite un número base de sistemas virtuales, que variará según la plataforma.
Se requiere una licencia de sistemas virtuales para admitir varios sistemas virtuales en el cortafuegos serie
PA-3000 y para crear más de la cantidad base de sistemas virtuales que admite una plataforma.

Para obtener información de licencias, consulte Activación de la licencia y suscripciones. Para ver el número
base y máximo de sistemas virtuales admitidos, consulte la herramienta Comparar cortafuegos.
Los múltiples sistemas virtuales no son compatibles con los cortafuegos serie PA-200, PA-220, PA-500,
PA-800 o VM.
Funciones de administrador para sistemas virtuales

Un administrador Superusuario puede crear sistemas virtuales y añadir un Administrador de dispositivo,
Vsysadmin o Vsysreader. Un Administrador de dispositivo puede acceder a todos los sistemas virtuales,
pero no puede añadir administradores. Los dos tipos de funciones administrativas de un sistema virtual son:
• vsysadmin: Otorga acceso completo a un sistema virtual.
• vsysreader: Otorga un acceso completo de solo lectura a un sistema virtual.
Un administrador de sistema virtual puede ver los logs únicamente de los sistemas virtuales que se le han
asignado. Alguien con un permiso de superusuario o Administrador de dispositivo puede visualizar todos
los logs o seleccionar un sistema virtual para visualizarlo.
Las personas con el permiso vsysadmin pueden compilar configuraciones únicamente para los sistemas
virtuales que se les han asignado.
Objetos compartidos para sistemas virtuales

Si su cuenta de administrador abarca múltiples sistemas virtuales, puede optar por configurar objetos (como
un objeto de dirección) y políticas para un sistema virtual específico o bien crear objetos compartidos que se
aplicarán a todos los sistemas virtuales del cortafuegos. Si intenta crear un objeto compartido con el mismo
nombre y tipo que un objeto existente de un sistema virtual, se usará el objeto del sistema virtual.

Comunicación entre sistemas virtuales
Hay dos situaciones típicas en las que es deseable que haya comunicación entre sistemas virtuales (tráfico
inter-vsys). En un entorno multiempresa, la comunicación entre sistemas virtuales puede producirse
haciendo que el tráfico salga del cortafuegos, salga a Internet y vuelva a entrar en el cortafuegos. En un
entorno de organización única, la comunicación entre los sistemas virtuales puede permanecer dentro del
cortafuegos. Esta sección describe ambas situaciones.
• Tráfico entre VSYS que debe abandonar el cortafuegos on page 1084
• Tráfico entre VSYS que permanece en el cortafuegos on page 1084
• La comunicación entre VSYS usa dos sesiones on page 1086
Tráfico entre VSYS que debe abandonar el cortafuegos

Un ISP que tiene múltiples clientes en un cortafuegos (conocido como multiempresa) puede usar un sistema
virtual para cada cliente, dando así a cada cliente control sobre la configuración de su sistema virtual. El ISP
concede permisos de vsysadmin a los clientes. El tráfico y la gestión de cada cliente están aislados de los
de los otros. Cada sistema virtual debe configurarse con su propia dirección IP y uno o más enrutadores
virtuales para gestionar el tráfico y su propia conexión a Internet.
Si los sistemas virtuales tienen que comunicarse entre sí, ese tráfico sale del cortafuegos a otro dispositivo
de enrutamiento de capa 3 y vuelve al cortafuegos, aunque los sistemas virtuales existen en el mismo
cortafuegos físicos, tal y como se muestra en la siguiente ilustración.
Tráfico entre VSYS que permanece en el cortafuegos

A diferencia del caso multiempresa anterior, los sistemas virtuales de un cortafuegos pueden estar bajo el
control de una única organización. La organización quiere tanto aislar el tráfico entre los sistemas virtuales
como permitir las comunicaciones entre ellos. Este caso de uso común surge cuando la organización

desea proporcionar la separación entre departamentos pero también permitir que los departamentos se
comuniquen entre sí o se conecten con la misma red. En esta situación, el tráfico inter-vsys sigue dentro del
cortafuegos, tal y como se describe en los siguientes temas:
• Zona externa on page 1085
• Zonas externas y políticas de seguridad para el tráfico dentro de un cortafuegos on page 1085
Zona externa
La comunicación en el caso de uso anterior se consigue configurando políticas de seguridad que señalan
hacia o desde una zona externa. Una zona externa es un objeto de seguridad que se asocia con un sistema
virtual que puede alcanzar, la zona es externa al sistema virtual. Un sistema virtual solo puede tener una
zona externa, independientemente del número de zonas de seguridad que contenga. Las zonas externas
deben permitir el tráfico entre zonas en distintos sistemas virtuales, sin que llegue a salir del cortafuegos.
El administrador del sistema virtual configura las políticas de seguridad necesarias para permitir el tráfico
entre dos sistemas virtuales. A diferencia de las zonas de seguridad, una zona externa no se asocia con una
interfaz, se asocia con un sistema virtual. La política de seguridad permite o deniega el tráfico entre la zona
de seguridad (interna) y la zona externa.
Como las zonas externas no tienen interfaces o direcciones IP asociadas, algunos perfiles de protección de
zonas no se admiten en las zonas externas.
Recuerde que cada sistema virtual es una instancia diferente de un cortafuegos, lo que significa que cada
paquete que se mueve entre sistemas virtuales se inspeccionará para una evaluación de App-ID y política de
seguridad.
Zonas externas y políticas de seguridad para el tráfico dentro de un

cortafuegos
En el siguiente ejemplo, una empresa tiene dos grupos administrativos: los sistemas virtuales del
departamentoA y del departamentoB. La siguiente ilustración muestra la zona externa asociada con cada
sistema virtual, y el tráfico que fluye desde una zona de confianza a la zona externa, sale de ahí hacia la zona
externa de otro sistema virtual, y de ahí a su zona de confianza.
Para crear zonas externas, el administrador del cortafuegos debe configurar sistemas virtuales para que
sean visibles entre sí. Las zonas externas no tienen políticas de seguridad entre ellas porque sus sistemas
virtuales son visibles entre sí.
Para una comunicación entre sistemas virtuales, las interfaces de entrada y salida del cortafuegos se asignan
a un único enrutador virtual o se conectan usando rutas estáticas entre enrutadores virtuales. El más
sencillo de estos dos enfoques es asignar todos los sistemas virtuales que deben comunicarse entre sí a un
único enrutador virtual.

Puede haber un motivo por el que los sistemas virtuales deben tener su propio enrutador virtual; por
ejemplo, si los sistemas virtuales usan intervalos de direcciones IP superpuestos. El tráfico puede enrutarse
entre los sistemas virtuales, pero cada enrutador virtual debe tener rutas estáticas que señalen al otro
enrutador virtual como el siguiente salto.
En la situación anterior, debe haber una empresa con dos grupos administrativos: departamentoA y
departamentoB. El grupo del departamentoA gestiona la red local y los recursos DMZ. El grupo del
departamentoB gestiona el tráfico de salida o entrada del segmento de ventas de la red. Todo el tráfico se
encuentra en la red local, por lo que solo se usa un enrutador virtual. Hay dos zonas externas configuradas
para la comunicación entre los dos sistemas virtuales. El sistema virtual del departamentoA tiene tres zonas
que se usan en políticas de seguridad: deptA-DMZ, deptA-confianza y deptA-Externa. El sistema virtual del
departamentoB también tiene tres zonas: deptB-DMZ, deptB-confianza y deptB-Externa. Ambos grupos
pueden controlar el tráfico que atraviesa sus sistemas virtuales.
Para permitir el tráfico entre el deptA-confianza al deptB-confianza, es obligatorio contar con dos políticas
de seguridad. En la siguiente ilustración las dos flechas verticales indican dónde controlan el tráfico las
políticas de seguridad (que se describe bajo la ilustración).
• Política de seguridad 1: En la ilustración anterior, el tráfico tiene como destino la zona deptB-confianza.
El tráfico abandona la zona deptA-confianza y va a la zona deptA-Externa. Una política de seguridad
debe permitir el tráfico de la zona de origen (deptA-confianza) a la zona de destino (deptA-Externa). Un
sistema virtual permite que se use cualquier tipo de política para este tráfico, incluido el NAT.
No hay necesidad de ninguna política entre las zonas externas porque el tráfico enviado a una zona
externa aparece en las otras zonas externas y tiene acceso automático a las mismas si son visibles desde
la zona externa original.
• Política de seguridad 2: En la ilustración anterior, el tráfico desde deptB-Externa sigue estando destinado
a la zona deptB-confianza y es necesario configurar una política de seguridad para permitirlo. La política
de seguridad debe permitir el tráfico de la zona de origen (deptB-Externa) a la zona de destino (deptB-
confianza).
El sistema virtual del departamentoB podría configurarse para bloquear el tráfico desde el sistema virtual
del departamentoA y viceversa. Al igual que con el tráfico de cualquier otra zona, la política debe permitir
explícitamente que el tráfico de las zonas externas llegue a otras zonas de un sistema virtual.
Además de las zonas externas necesarias para el tráfico entre sistemas virtuales que no
abandona el cortafuegos, también se necesitan zonas externas si configura una puerta de
enlace compartida, en cuyo caso el tráfico debe abandonar el cortafuegos.
La comunicación entre VSYS usa dos sesiones

Resulta útil comprender que la comunicación entre dos sistemas virtuales usa dos sesiones, en lugar de la
única sesión que se usa con un único sistema virtual. Comparemos las situaciones.
Situación 1: Vsys1 tiene dos zonas: confianza1 y nofiable1. Un host de la zona confianza1 inicia el tráfico
cuando lo necesita para comunicarse con un dispositivo de la zona nofiable1. El host envía el tráfico al
cortafuegos, y este crea una nueva sesión para la zona de origen confianza1 en la zona de destino nofiable1.
Solo se necesita una sesión para este tráfico.

Situación 2: Un host de vsys1 necesita acceder a un servidor en vsys2. El host de la zona confianza1 inicia
el tráfico al cortafuegos, y este crea una primera sesión: zona de origen confianza1 a zona de destino
nofiable1. El tráfico se dirige a vsys2, ya sea interna o externamente. A continuación el cortafuegos crea
una segunda sesión: zona de origen nofiable2 a zona de destino confianza2. En este tráfico entre vsys son
necesarias dos sesiones.

Puerta de enlace compartida
Este tema incluye la siguiente información sobre los gateways compartidos:
• Zonas externas y puerta de enlace compartida on page 1088
• Consideraciones de red para una puerta de enlace compartida on page 1089
Zonas externas y puerta de enlace compartida

Una puerta de enlace compartida es una interfaz que comparten múltiples sistemas virtuales para poder
comunicarse a través de Internet. Cada sistema virtual necesita una zona externa, que actúa como
intermediaria, para configurar políticas de seguridad que permitan o denieguen el tráfico de la zona interna
del sistema virtual a la puerta de enlace compartida.
La puerta de enlace compartida usa un único enrutador virtual para enrutar el tráfico para todos los sistemas
virtuales. Una puerta de enlace compartida se usa en casos en los que una interfaz no necesita un límite
administrativo completo o cuando múltiples sistemas virtuales deben compartir una única conexión a
Internet. Este segundo caso surge si un ISP ofrece a una organización una única dirección IP (interfaz), pero
hay múltiples sistemas virtuales que necesitan comunicación externa.
A diferencia del comportamiento entre sistemas virtuales, las evaluaciones de App-ID y política de
seguridad no se realizan entre un sistema virtual y una puerta de enlace compartida. Por eso el uso de una
puerta de enlace compartida para acceder a Internet implica una menor carga de trabajo que crear otro
sistema virtual para lo mismo.
En la siguiente ilustración, tres clientes comparten un cortafuegos, pero solo hay una interfaz con acceso
a Internet. La creación de otro sistema virtual añadiría la carga de una evaluación de política de seguridad
y App-ID para el tráfico que se envía a la interfaz a través del sistema virtual añadido. Para evitar añadir
otro sistema virtual, la solución es configurar una puerta de enlace compartida, tal y como se muestra en el
siguiente diagrama.
La puerta de enlace compartida tiene una dirección IP enrutada globalmente que se usa para comunicarse
con el mundo exterior. Las interfaces de los sistemas virtuales también tienen direcciones IP, pero puede
tratarse de direcciones IP privadas y no enrutables.
Como recordará, el administrador debe especificar si un sistema virtual es visible para otros. A diferencia de
los sistemas virtuales, una puerta de enlace compartida siempre es visible para todos los sistemas virtuales
del cortafuegos.

Un número de ID de puerta de enlace compartida aparece como sg<ID en la interfaz web. Se recomienda
que asigne a su puerta de enlace compartida un nombre que incluya su número de ID.
Cuando añada objetos como zonas o interfaces a una puerta de enlace compartida, esta aparecerá como un
sistema virtual disponible en el menú desplegable de vsys.
Una puerta de enlace compartida es una versión limitada de un sistema virtual; admite NAT y el reenvío
basado en políticas (PBF), pero no admite la seguridad, las políticas DoS, el QoS, el descifrado, la anulación
de aplicaciones o las políticas de autenticación.
Consideraciones de red para una puerta de enlace compartida

Tenga en cuenta lo siguiente cuando configure un gateway compartido.
• Los sistemas virtuales de un caso de puerta de enlace compartida acceden a Internet a través de la
interfaz física de la puerta de enlace usando una única dirección IP. Si las direcciones IP de los sistemas
virtuales no pueden enrutarse globalmente, configure el NAT de origen para traducir esas direcciones a
direcciones IP que sí puedan enrutarse globalmente.
• Un enrutador virtual enruta el tráfico de todos los sistemas virtuales a través de la puerta de enlaca
compartida.
• La ruta predeterminada para los sistemas virtuales debe señalar la puerta de enlace compartida.
• Es necesario configurar políticas de seguridad para cada sistema virtual con el fin de permitir el tráfico
entre la zona interna y la externa, que es visible para la puerta de enlace compartida.
• Un administrador de cortafuegos debe controlar el enrutador virtual, de modo que ningún miembro del
sistema virtual pueda afectar al tráfico de los demás sistemas virtuales.
• En un cortafuegos de Palo Alto Networks, un paquete puede cambiar de un sistema virtual a otro o a una
puerta de enlace compartida. Un paquete no puede atravesar más de dos sistemas virtuales o puertas de
enlace compartidas. Por ejemplo, un paquete no puede ir de un sistema virtual a una puerta de enlace
compartida y de ahí a otro sistema virtual del cortafuegos.
Para ahorrar tiempo y esfuerzos de configuración, considere las siguientes ventajas de una puerta de enlace
compartida:
• En vez de configurar el NAT para múltiples sistemas virtuales asociados con una puerta de enlace
compartida, puede configurar NAT para la puerta de enlace compartida.
• En vez de configurar el enrutamiento basado en políticas (PBR) para múltiples sistemas virtuales
asociados con una puerta de enlace compartida, puede configurar PBR para la puerta de enlace
compartida.

Configuración de sistemas virtuales
Para crear un sistema virtual necesita lo siguiente:
• Una función administrativa de superusuario.
• Una interfaz configurada.
• Una licencia de sistemas virtuales si va a configurar un cortafuegos de la serie PA-3000 o si va a crear
más sistemas virtuales que el número base admitido en la plataforma. Consulte Compatibilidad con
plataformas y licencias de sistemas virtuales.
STEP 1 | Habilite sistemas virtuales.

2. Seleccione la casilla de verificación Multi Virtual System Capability (Capacidad de cortafuegos
virtuales) y haga clic en OK (Aceptar). Esta acción activa la confirmación si la aprueba.
Solo después de habilitar los sistemas virtuales, la pestaña Device (Dispositivo) mostrará las opciones
Virtual Systems (Sistemas virtuales) y Shared Gateways (Puertas de enlace compartidas).
STEP 2 | Cree un sistema virtual.

1. Seleccione Device (Dispositivo) > Virtual Systems (Sistemas virtuales), haga clic en Add (Añadir) e
introduzca un ID de sistema virtual, que se añade a “vsys” (el intervalo es 1 a 255).
El ID predeterminado es 1, lo que convierte el sistema virtual predeterminad en vsys1.

Este valor predeterminado aparece incluso en plataformas que no admiten múltiples
sistemas virtuales.
2. Seleccione Allow forwarding of decrypted content (Permitir reenvío de contenido descifrado) si
desea permitir que el cortafuegos reenvíe el contenido descifrado a un servicio exterior. Por ejemplo,
debe habilitar esta opción para que el cortafuegos pueda enviar contenido descifrado a WildFire para
su análisis.
3. Introduzca un Name (Nombre) descriptivo para el sistema virtual. Solo se permite un máximo de 31
caracteres alfanuméricos, espacios y guiones bajos.
STEP 3 | Asigne interfaces al sistema virtual.

Los enrutadores virtuales, cables virtuales o VLAN pueden estar configurados o configurarse después,
momento en el cual usted especificará el sistema virtual que tiene asociado cada uno.
1. En la pestaña General, seleccione un objeto DNS Proxy si desea aplicar las reglas de proxy DNS a la
interfaz.
2. En el campo Interfaces, haga clic en Add (Añadir) para introducir las interfaces o subinterfaces para
asignarlas al sistema virtual. Una interfaz no puede pertenecer únicamente a un sistema virtual.
3. Realice cualquiera de las siguientes acciones, según el tipo de implementación que necesite en el
sistema virtual:
• En el campo VLAN, haga clic en Add (Añadir) para introducir las VLAN que se van a asignar al
vsys.
• En el campo Virtual Wires (Cables virtuales), haga clic en Add (Añadir) para introducir los cables
virtuales que se van a asignar al vsys.
• En el campo Virtual Routers (Enrutadores virtuales), haga clic en Add (Añadir) para introducir los
enrutadores virtuales que se van a asignar al vsys.

4. En el campo Visible Virtual System (Sistema virtual visible), seleccione todos los sistemas virtuales
que deben ser visibles para el sistema virtual que está configurando. Esto es necesario para los
sistemas virtuales que necesitan comunicarse entre sí.
En un escenario multiusuario que requiera límites administrativos estrictos, no se deben seleccionar
sistemas virtuales.
STEP 4 | (Opcional) Limite las asignaciones de recursos por sesiones, reglas y túneles VPN permitidos
para el sistema virtual. La flexibilidad de poder asignar límites por sistema virtual le permite
controlar de forma eficaz los recursos de cortafuegos.
1. En la pestaña Resource (Recurso), defina si desea los límites de un sistema virtual. Cada campo
muestra el intervalo válido de valores; no hay valores predeterminados.
• Límite de sesiones
Si utiliza el comando CLI show session meter, se mostrará la cantidad máxima

de sesiones permitidas por plano de datos, la cantidad actual de sesiones que
está utilizando el sistema virtual y la cantidad acelerada de sesiones por sistema
virtual. En un cortafuegos de la serie PA-5200 o PA-7000, la cantidad actual de
sesiones que se está utilizando puede ser mayor que el máximo configurado para
el límite de sesiones, ya que existen varios planos de datos por cada sistemas
virtual. El límite de sesiones que usted configura en un cortafuegos de la serie
PA-5200 o PA-7000 es por plano de datos y derivará en un máximo más alto por
cada sistema virtual.
• Reglas de seguridad
• Reglas NAT
• Reglas de descifrado
• Reglas de QoS
• Reglas de cancelación de aplicación
• Reglas de reenvío basado en políticas
• Reglas de autenticación
• Reglas de protección contra ataques por denegación de servicio
• Túneles VPN de sitio a sitio
• Túneles de SSL-VPN simultáneos

Haga clic en Commit (Confirmar). El sistema virtual es ahora un objeto accesible desde la pestaña
Objects (Objetos).
STEP 6 | Cree al menos un enrutador virtual para el sistema virtual para que este sea capaz de realizar
funciones de red, como el enrutamiento estático y dinámico.
Otra opción es que su sistema virtual use una VLAN o un Virtual Wire, dependiendo de su
implementación.
enrutador virtual por Name (Nombre).
2. Para Interfaces, haga clic en Add (Añadir) y en el menú desplegable seleccione las interfaces que
pertenecen al enrutador virtual.
STEP 7 | Configure una zona de seguridad para cada interfaz del sistema virtual.

Cree una zona de seguridad de capa 3 para al menos una interfaz. Consulte Configuración de interfaces y
zonas.
STEP 8 | Configure las reglas de políticas de seguridad que permitan o denieguen el tráfico hacia y desde
las zonas del sistema virtual.
Consulte Creación de una regla de política de seguridad.

Una vez creado un sistema virtual, puede usar la CLI para confirmar una configuración
para un sistema virtual específico únicamente:
commit partial vsys <vsys-id>
STEP 10 | (Opcional) Vea las políticas de seguridad configuradas para un sistema virtual.
Abra una sesión SSH para usar la CLI. Para ver las políticas de seguridad para un sistema virtual, en el
modo operativo, use los siguientes comandos:
set system setting target-vsys <vsys-id>
show running security-policy

Configuración de la comunicación entre
sistemas virtuales dentro del cortafuegos
Realice esta tarea si tiene un caso de uso, quizás en una única empresa, donde desee que los sistemas
virtuales puedan comunicarse entre sí en el cortafuegos. Este escenario se describe en Tráfico entre VSYS
que permanece dentro del cortafuegos. Para realizar esta tarea, se da por hecho que:
• Ha completado la tarea, la Configuración de sistemas virtuales.
• Durante la configuración de los sistemas virtuales, en el campo Visible Virtual System (Sistema virtual
visible), ha seleccionado las casillas de todos los sistemas virtuales que deben comunicarse entre sí para
que sean visibles.
STEP 1 | Configure una zona externa para cada sistema virtual.

1. Seleccione Network (Red) > Zones (Zonas) y Add (Añadir) para añadir una nueva zona por Name
(Nombre).
2. En Location (Ubicación), seleccione el sistema virtual para el que está creando una zona externa.
3. En Type (Tipo), seleccione External (Externa).
4. En Virtual Systems (Sistemas virtuales), haga clic en Add (Añadir) e introduzca el sistema virtual al
que puede llegar la zona externa.
5. (Opcional) Seleccione un Zone Protection Profile (Perfil de protección de zona) (o configure uno más
tarde) que proporcione protección contra desbordamiento, reconocimiento o ataques basados en
paquetes.
6. (Opcional) En Log Setting (Configuración de logs), seleccionar un perfil de reenvío de logs para
reenviar los logs de protección de zona a un sistema externo.
7. (Opcional) Seleccione Enable User Identification (Habilitar identificación de usuarios) para habilitar el
User-ID para la zona externa.
STEP 2 | Configure las reglas de la política de seguridad para permitir o denegar el tráfico desde las
zonas internas a las externas del sistema virtual, y viceversa.
• Consulte la Creación de una regla de política de seguridad.
• Consulte Tráfico entre VSYS que permanece en el cortafuegos.


Configuración de un gateway compartido
Realice esta tarea si necesita que múltiples sistemas virtuales compartan una interfaz (una puerta de enlace
compartida) para internet. Para realizar esta tarea, se da por hecho que:
• Ha configurado una interfaz con una dirección IP enrutable globalmente, que será el gateway
compartido.
• Ha completado el paso anterior, la Configuración de sistemas virtuales. Para la interfaz, ha seleccionado
la interfaz externa con la dirección IP enrutable globalmente.
• Durante la configuración de los sistemas virtuales, en el campo Visible Virtual System (Sistema virtual
visible), ha seleccionado las casillas de todos los sistemas virtuales que deben comunicarse entre sí para
que sean visibles.
STEP 1 | Configure una puerta de enlace compartida.

1. Seleccione Device (Dispositivo) > Shared Gateway (Puerta de enlace compartida), y haga clic en Add
(Añadir) e introduzca una ID.
2. Introduzca un Name (Nombre) útil, preferiblemente uno que incluya la ID de la puerta de enlace.
3. En el campo DNS Proxy, seleccione el objeto de proxy DNS si desea aplicar las reglas de proxy DNS a
la interfaz.
4. Seleccione Add (Añadir) para añadir una Interface (Interfaz) que conecte con el mundo exterior.
STEP 2 | Configure la zona para el gateway compartido.
Cuando añada objetos como zonas o interfaces a una puerta de enlace compartida, esta
aparecerá como un vsys disponible en el menú desplegable VSYS.
1. Seleccione Network (Red) > Zones (Zonas) y Add (Añadir) para añadir una nueva zona por Name
(Nombre).
2. En Location (Ubicación), seleccione la puerta de enlace compartida para la que está creando una
zona.
3. En Type (Tipo), seleccione Layer3.
4. (Opcional) Seleccione un Zone Protection Profile (Perfil de protección de zona) (o configure uno más
tarde) que proporcione protección contra desbordamiento, reconocimiento o ataques basados en
paquetes.
5. (Opcional) En Log Setting (Configuración de logs), seleccionar un perfil de reenvío de logs para
reenviar los logs de protección de zona a un sistema externo.
6. (Opcional) Seleccione Enable User Identification (Habilitar identificación de usuarios) para habilitar el
User-ID para la puerta de enlace compartida.


Personalización de rutas de servicio para un
sistema virtual
Cuando se habilita un cortafuegos para múltiples sistemas virtuales, los sistemas virtuales heredan la
configuración de servicio global y de ruta de servicio. Por ejemplo, el cortafuegos puede utilizar un servidor
de correo electrónico compartido para originar alertas de correo electrónico en sus sistemas virtuales. En
algunos casos, es posible que desee crear diferentes rutas de servicio para cada sistema virtual.
Un caso de uso para configurar rutas de servicio en el nivel de los sistemas virtuales es el de un ISP que
necesita atender a múltiples empresas individuales en un único cortafuegos de Palo Alto Networks. Cada
empresa requiere rutas de servicio personalizadas para el servicio de acceso como DNS, Kerberos, LDAP,
NetFlow, RADIUS, TACACS+, autenticación multifactor, correo electrónico, captura de SNMP, Syslog,
HTTP, agente de User-ID, supervisor de VM y Panorama (implementación de actualizaciones de contenido
y software). Otro caso de uso es el de una organización de TI que quiere ofrecer autonomía completa a
grupos que establecen servidores para servicios. Cada grupo puede contar con un sistema virtual y definir
sus propias rutas de servicio.
Puede seleccionar un enrutador virtual para una ruta de servicio en un sistema virtual; no
puede seleccionar la interfaz de salida. Después de seleccionar el enrutador virtual y de
que el cortafuegos envíe el paquete desde el enrutador virtual, el cortafuegos selecciona
la interfaz de salida basándose en la dirección IP de destino. Por lo tanto, si un sistema
virtual tiene múltiples enrutadores virtuales, los paquetes dirigidos a todos los servidores
para un servicio deben salir de un único enrutador virtual. Un paquete con una dirección de
origen de interfaz puede salir de una interfaz diferente, pero el tráfico de retorno estaría en
la interfaz que tiene la dirección IP de origen, creando así tráfico asimétrico.
• Personalización de rutas de servicio a servicios para un sistema virtual

• Configure un cortafuegos PA-7000 Series para logging por sistema virtual
• Configuración de acceso administrativo por sistema virtual o cortafuegos
Personalización de rutas de servicio a servicios para un sistema

virtual
Cuando habilita la capacidad para múltiples sistemas virtuales, cualquier sistema virtual que no tenga rutas
de servicio específicas configuradas hereda la configuración de las rutas de servicio y el servicio global
para el cortafuegos. En cambio, puede configurar un sistema virtual para que utilice una ruta de servicio
diferente, como se describe en el siguiente flujo de trabajo.
Un cortafuegos con múltiples sistemas virtuales debe tener interfaces y subinterfaces con direcciones IP
no superpuestas. Una ruta de servicios por sistema virtual para las capturas SNMP o para Kerberos solo es
compatible con IPv4.
El cortafuegos admite reenvío de syslog en sistemas virtuales. Cuando hay más de

un sistema virtual en un cortafuegos conectándose a un servidor de syslog mediante
transporte SSL, el cortafuegos puede generar solo un certificado de comunicación segura.
El cortafuegos no admite que cada sistema virtual tenga su propio certificado.
STEP 1 | Personalice rutas de servicio para un sistema virtual.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Services (Servicios) > Virtual Systems
(Sistemas virtuales), y seleccione el sistema virtual que desea configurar.

2. Haga clic en Service Route Configuration (Configuración de ruta de servicio).
3. Seleccione una opción:
• Inherit Global Service Route Configuration (Heredar configuración de ruta de servicio): hace que
el sistema virtual herede la configuración de la ruta de servicio global pertinente para un sistema
virtual. Si selecciona esta opción, puede omitir el paso de personalización.
• Customize (Personalizar): le permite especificar una dirección de origen para cada servicio.
4. Si ha elegido Customize (Personalizar), seleccione la pestaña IPv4 o IPv6, dependiendo del tipo de
direccionamiento que use el servidor que ofrece el servicio. Puede especificar direcciones tanto IPv4
como IPv6 para un servicio. Haga clic en un servicio. (Solo están disponibles los servicios relevantes
para un sistema virtual).
Para utilizar la misma dirección de origen en varios servicios, seleccione la casilla

de verificación de los servicios, haga clic en Set Selected Routes (Establecer rutas
seleccionadas) y continúe.
Source Interface (Interfaz de origen) y elija una dirección de origen (de esa interfaz) como la
ruta de servicio. Si selecciona Any (Todos) como Source Interface (Interfaz de origen), todas las
direcciones IP en todas las interfaces del sistema virtual estarán disponibles en la lista del menú
desplegable Source Address (Dirección de origen) en la que seleccionó una dirección. Puede
seleccionar Inherit Global Setting (Heredar configuración global).
• En Source Address (Dirección de origen), se indicará Inherited (Heredada) si ha seleccionado
Inherit Global Setting (Heredar configuración global) para la Source Interface (Interfaz de origen)
o indicará la dirección de origen que seleccionó. Si ha seleccionado Any (Cualquiera) para Source
Interface (Interfaz de origen), seleccione una dirección IP del menú desplegable o introduzca
una dirección IP (usando el formato IPv4 o IPv6 que coincide con la pestaña que ha elegido) para
especificar la dirección de origen que se usará en los paquetes enviados al servicio externo.
• Si modifica un objeto de dirección y el tipo de familia IP (IPv4/IPv6) cambia, es necesaria una
confirmación para actualizar la familia de ruta de servicio que se usará.
6. Repita los pasos anteriores para configurar direcciones de origen para otros servicios externos.

Haga clic en Commit (Confirmar) y en OK (Aceptar).
Si está configurando rutas de servicio por sistema virtual para servicios de creación de logs de un
cortafuegos serie PA-7000, continúe con la tarea Configuración de un cortafuegos serie PA-7000 para la
creación de logs por sistema virtual.
Configure un cortafuegos PA-7000 Series para logging por sistema

virtual
Para los tipos de logs Tráfico, Coincidencias HIP, Amenazas y Wildfire, el cortafuegos serie PA-7000 no
utiliza rutas de servicio para captura de SNMP, syslog y servicios de correo electrónico. En su lugar, la
tarjeta de procesamiento de logs (LPC) del cortafuegos PA-7000 Series admite rutas específicas del sistema
virtual desde las subinterfaces LPC hasta un conmutador in situ al servicio correspondiente en un servidor.
Para los logs de Sistema y Configuración, el cortafuegos PA-7000 Series usa rutas de servicio globales, no la
LPC.
En otros modelos de Palo Alto Networks, el plano de datos envía tráfico de rutas de servicio de creación de
logs al plano de gestión, que envía el tráfico a los servidores de creación de logs. En el cortafuegos PA-7000

Series, cada LPC tiene solo una interfaz, y los planos de datos para múltiples sistemas virtuales envían
tráfico de servidores de logging (los tipos mencionados antes) a la LPC del cortafuegos PA-7000 Series.
La LPC está configurada con múltiples subinterfaces, a través de las cuales la plataforma envía el tráfico
de servicio de logging hacia el conmutador de un cliente, que se puede conectar a múltiples servidores de
logging.
Cada subinterfaz LPC puede configurarse con un nombre de subinterfaz y un número de subinterfaz
delimitado por puntos. La subinterfaz se asigna a un sistema virtual, que se configura para servicios de
logging. Las otras rutas de servicio en un cortafuegos PA-7000 Series funcionan de modo similar a las rutas
de servicio en otras plataformas de Palo Alto Networks. Para obtener información sobre la propia LPC,
consulte la Guía de referencia de hardware serie PA-7000.
Si habilitó la capacidad para múltiples sistemas virtuales en su cortafuegos serie PA-7000, puede configurar
la creación de logs para diferentes sistemas virtuales como se describe en el siguiente flujo de trabajo.
STEP 1 | Cree una subinterfaz de Tarjeta de logs.

1. Seleccione Network (Red) > Interfaces > Ethernet y seleccione la interfaz que será la interfaz de
tarjeta de logs.
2. Introduzca el Interface Name (Nombre de interfaz).
3. Para Interface Type (Tipo de interfaz), seleccione Log Card (Tarjeta de log) en el menú desplegable.
STEP 2 | Añada una subinterfaz para cada usuario en la interfaz física de LPC.
1. Resalte la interfaz Ethernet que es un tipo de interfaz de tarjeta de logs y haga clic en Add
Subinterface (Añadir subinterfaz).
2. Para Interface Name (Nombre de interfaz), introduzca la subinterfaz asignada al sistema virtual del
usuario.
3. Para Tag (Etiqueta), introduzca un valor de etiqueta VLAN.
Se recomienda que la etiqueta coincida con el número de subinterfaz para facilitar su

uso, aunque pueden tener números diferentes.
4. (Opcional) Introduzca un Comment (Comentario).

5. En la pestaña Config (Configuración), en el campo Assign Interface to Virtual System (Asignar
interfaz a sistema virtual), seleccione el sistema virtual al que se asigna la subinterfaz LPC (del menú
desplegable). O bien, puede hacer clic en Virtual Systems (Sistemas virtuales) para añadir un nuevo
sistema virtual.
STEP 3 | Introduzca la dirección asignada a la subinterfaz y configure la gateway predeterminada.

1. Seleccione la pestaña Log Card Forwarding (Envío de tarjeta de log) y realice uno de estos dos pasos,
o ambos:
• Para la sección IPv4, introduzca la IP Address (Dirección IP) y la Netmask (Máscara de red)
asignada a la subinterfaz. Introduzca la Default Gateway (Puerta de enlace predeterminada)
(el siguiente salto al que se enviarán los paquetes que no tengan dirección de siguiente salto
conocida en la base de información de enrutamiento [RIB]).
• Para la sección IPv6, introduzca la IPv6 Address (Dirección IPv6) asignada a la subinterfaz.
Introduzca la IPv6 Default Gateway (Puerta de enlace predeterminada IPv6).


STEP 5 | Si aún no lo ha hecho, configure las rutas de servicio restantes para el sistema virtual.
Personalización de rutas de servicio para un sistema virtual.
Configuración de acceso administrativo por sistema virtual o

cortafuegos
Si tiene una cuenta de administración de superusuario, puede crear y configurar permisos granulares para
una función de administración de dispositivo o vsysadmin.
STEP 1 | Cree un perfil de función de administrador que conceda o deniegue el permiso de un

administrador para configurar o tener acceso de solo lectura a diversas áreas de la interfaz web.
1. Seleccione Device (Dispositivo) > Admin Roles (Funciones de administración) y Add (Añadir) para
añadir un Admin Role Profile (Perfil de función de administración).
2. Introduzca un nombre en Name y una Description (Descripción) opcional del perfil.
3. Para Role (Función), especifique el nivel de control al que afecta el perfil:
• Device (Dispositivo): el perfil permite gestionar la configuración global y cualquier sistema virtual.
• Virtual System (Sistema virtual): el perfil permite gestionar solo los sistemas virtuales asignados al
administrador que tiene este perfil. (El administrador podrá acceder a Device [Dispositivo] > Setup
[Configuració] > Services [Servicios] > Virtual Systems [Sistemas virtuales], pero no a la pestaña
Global).
4. En la pestaña Web UI del perfil Admin Role Profile, desplácese hacia abajo hasta Device (Dispositivo)
y deje la marca de verificación verde.
• En Device (Dispositivo), habilite Setup (Configuración). En Setup (Configuración), habilite las áreas
a las que este perfil concederá acceso para el administrador, como se muestra a continuación. (El
icono de solo lectura aparece en la rotación Enable/Disable [Habilitar/Deshabilitar] si Read Only
[Solo lectura] está habilitado para esa configuración).
• Management (Gestión): permite a un administrador con este perfil configurar ajustes en la
pestaña Management.
• Operations (Operaciones): permite a un administrador con este perfil configurar ajustes en la
pestaña Operations.
• Services (Servicios): permite a un administrador con este perfil configurar ajustes en la pestaña
Services. Un administrador debe haber habilitado los Services (Servicios) para acceder a la
pestaña Device (Dispositivo) > Setup Services (Servicios de configuración) > Virtual Systems
(Sistemas virtuales). Si el campo Role (Función) se especificó como Virtual System (Sistema
virtual) en el paso anterior, el campo Services (Servicios) es el único ajuste que se puede
habilitar en Device (Dispositivo) > Setup (Ajustes).
• Content-ID: permite a un administrador con este perfil configurar ajustes en la pestaña
Content-ID.
• WildFire: permite a un administrador con este perfil configurar ajustes en la pestaña WildFire.
• Session (Sesión): permite a un administrador con este perfil configurar ajustes en la pestaña
Session.
• HSM: permite a un administrador con este perfil configurar ajustes en la pestaña HSM.
6. (Opcional) Repite el paso completo para completar otro perfil de Función de administrador con
diferentes permisos, según sea necesario.
STEP 2 | Aplique el perfil de función de administrador a un administrador.

1. Seleccione Device (Dispositivo) > Administrators (Administradores), haga clic en Add (Añadir) e
introduzca un nombre en Name (Nombre) para añadir un administrador.
2. (Opcional) Seleccione un Authentication Profile (Perfil de autenticación).

3. (Opcional) Seleccione Use only client certificate authentication (Utilizar solo la autenticación de
certificado de cliente) (Web) para autenticación bidireccional; para que el servidor autentique al
cliente.
4. Introduzca una Password (Contraseña) y seleccione Confirm Password (Confirmar contraseña).
5. (Opcional) Seleccione Use Public Key Authentication (Utilizar autenticación de clave pública) (SSH)
si desea utilizar un método de autenticación mucho más fuerte basado en clave con una clave pública
SSH en lugar de solo una contraseña.
6. Para Administrator Type (Tipo de administrador), seleccione Role Based (Basado en la función).
7. En Profile (Perfil), seleccione el perfil que acaba de crear.
8. (Opcional) Seleccione un Password Profile (Perfil de contraseña).


Funcionalidad de sistema virtual con otras
funciones
Muchas de las características y funcionalidades del cortafuegos pueden configurarse, verse, registrarse en
logs o incluirse en informes por sistema virtual. Así, los sistemas virtuales se mencionan en otras ubicaciones
relevantes de la documentación, y esa información no se repite aquí. Algunos de los capítulos específicos
son los siguientes:
• Si está configurando la HA activa/pasiva, los dos cortafuegos deben tener la misma funcionalidad del
sistema virtual (funcionalidad de sistema virtual múltiple o único). Consulte Alta disponibilidad on page
241.
• Para configurar QoS para sistemas virtuales, consulte Configuración de QoS para un sistema virtual on
page 708.
• Si desea información sobre la configuración de un cortafuegos con sistemas virtuales en una
implementación de cable virtual que utiliza subinterfaces (y etiquetas VLAN), consulte las interfaces de
cables virtuales on page 801.

Protección de zona y protección contra
DoS
Los ataques contra su red pueden ser de origen externo o interno. Debido a que las diferentes
partes de una red realizan funciones que requieren diferentes tipos y niveles de protección,
una política de seguridad global o la seguridad basada en los puertos no es suficientemente
detallada para asegurar cada parte de la red de manera adecuada.
La solución es la segmentación de la red en zonas funcionales y organizativas para reducir la
superficie de ataque de la red (la porción de la red y su tráfico expuestos a posibles atacantes
externos e internos). Puede proteger cada zona utilizando la protección de zona para proteger
los bordes de la zona y protección contra denegación de servicio (denial-of-service, DoS) para
defender los extremos y los recursos en cada zona de seguridad.
> Segmentación de la red con zonas on page 1103

> ¿Cómo las zonas protegen la red? on page 1104
> Defensa de zona on page 1105
> Configuración de la protección de la zona para aumentar la seguridad de la red on page
1113
> Protección DoS contra inundaciones de nuevas sesiones on page 1120
1101
1102 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS
Segmentación de la red con zonas
Cuanto mayor es la red, más difícil es protegerla. Una red extensa y sin segmentar presenta una gran
superficie de ataque con mayores debilidades y vulnerabilidades. Dado que el tráfico y las aplicaciones
tienen acceso a toda la red, cuando un atacante accede a una red, este puede moverse lateralmente en
una red para acceder a datos críticos. Además, una red extensa es más difícil de supervisar y controlar. La
segmentación de la red limita la capacidad de un atacante de moverse por la red evitando el movimiento
lateral entre las zonas.
Una zona de seguridad es un grupo de uno o más cortafuegos físicos o virtuales, y los segmentos de red
conectados a las interfaces de la red. Puede controlar la protección de cada zona de manera individual, de
modo que cada zona reciba la protección específica que necesita. Por ejemplo, es posible que una zona del
departamento de finanzas no deba permitir todas las aplicaciones que permite una zona para TI.
Para proteger su red completamente, todo el tráfico debe fluir por el cortafuegos. Realice la Configuración
de interfaces y zonas para crear zonas separadas para las diferentes áreas funcionales como la puerta de
enlace de internet, el almacenamiento de datos confidenciales y las aplicaciones empresariales, y para
los diferentes grupos de las organizaciones, como finanzas, TI, marketing e ingeniería. Siempre que exista
una división lógica de la funcionalidad, el uso de la aplicación o los privilegios de acceso de los usuarios,
podrá crear una zona separada para aislar y proteger el área, y aplicar las reglas adecuadas de la política
de seguridad para evitar el acceso innecesario a los datos y las aplicaciones a los que solo deben acceder
uno o algunos grupos. Cuanto más detalladas sean las zonas, mayores serán la visibilidad y el control que
posee del tráfico de la red. La división de su red en zonas ayuda a crear una arquitectura de Zero Trust
(confianza cero) que ejecuta una filosofía de seguridad basada en la ausencia de confianza en los usuarios,
los dispositivos, las aplicaciones o los paquetes, donde se comprueba todo. El objetivo final es crear una
red que permita el acceso solo a los usuarios, los dispositivos y las aplicaciones que posean necesidades
empresariales legítimas, y denegar el resto del tráfico.
La restricción y el permiso de acceso adecuados a las zonas dependen del entorno de la red. Por ejemplo,
es posible que los entornos como las plantas de producción de semiconductores o las plantas de montaje
robótico, donde las estaciones de trabajo controlan equipo industrial delicado, o áreas con acceso muy
restringido, requieran una segmentación física que no permita que los dispositivos externos accedan (sin
acceso desde dispositivos móviles).
En los entornos donde los usuarios pueden acceder a la red con dispositivos móviles, la habilitación de User-
ID y App-ID, además de la segmentación de red en zonas garantiza que los usuarios recibirán los privilegios
de acceso adecuados independientemente de desde dónde accedan a la red, dado que los privilegios de
acceso se encuentran vinculados a un usuario o a un grupo de usuarios, en lugar de a un dispositivo en una
zona particular.
Es posible que los requisitos de protección de las diferentes áreas y grupos funcionales varíen. Por ejemplo,
es posible que una zona que maneja una gran cantidad de tráfico requiera umbrales de protección contra
inundaciones diferentes a los de una zona que, por lo general, gestiona menos tráfico. La capacidad de
definir la protección adecuada para cada zona es otro motivo para segmentar la red. La protección adecuada
depende de su arquitectura de red, lo que desea proteger y el tráfico que desea permitir y denegar.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Protección de zona y protección contra DoS 1103
¿Cómo las zonas protegen la red?
Las zonas no solo protegen su red segmentándola en áreas más pequeñas que se controlan con mayor
facilidad; las zonas también protegen la red debido a que puede controlar el acceso a las zonas y el
movimiento de tráfico entre zonas.
Las zonas evitan que el tráfico no controlado fluya por las interfaces del cortafuegos hacia su red debido
a que las interfaces del cortafuegos no pueden procesar tráfico hasta que las asigne a las zonas. El
cortafuegos aplica la protección de zona a las interfaces de ingreso, donde el tráfico ingresa al cortafuegos
en dirección del flujo desde el cliente de origen al servidor que responde (c2s) para filtrar el tráfico antes de
que ingrese a una zona.
El tipo de interfaz y el tipo de zona del cortafuegos (de modo tap, cable virtual, L2, L3, túnel o externo)
deben coincidir, lo que permite proteger la red contra el tráfico admitido que no pertenece a la zona. Por
ejemplo, puede asignar una interfaz L2 a una zona L2 o una interfaz L3 a una zona L3, pero no puede
asignar una interfaz L2 a una zona L3.
Además, una interfaz del cortafuegos puede pertenecer solo a una zona. El tráfico destinado a diferentes
zonas no puede utilizar la misma interfaz, lo que permite evitar que el tráfico inadecuado ingrese a una
zona y le permite configurar la protección adecuada para cada zona individual. Puede conectar más de una
interfaz del cortafuegos a una zona para aumentar el ancho de banda, pero cada interfaz se puede conectar
solo a una zona.
Una vez que el cortafuegos permita tráfico en una zona, el tráfico fluye libremente dentro de la zona y no
se registra. Cuanto más pequeña es una zona, mayor será el control que tendrá sobre el tráfico que accede
a cada zona, y mayor será la dificultad para que el malware se mueva lateralmente dentro de la red entre las
zonas. El tráfico no puede fluir entre las zonas a menos que una regla de la política de seguridad lo permita y
las zonas sean del mismo tipo (de modo tap, cable virtual, L2, L3, túnel o externa). Por ejemplo, una regla de
la política de seguridad puede permitir el tráfico entre dos zonas L3, pero no entre una zona L3 y una zona
L2. El cortafuegos registra el tráfico que fluye entre las zonas cuando una regla de la política de seguridad
permite el tráfico entre las zonas.
De manera predeterminada, las reglas de la política de seguridad evitan el movimiento lateral del tráfico
entre las zonas, de modo que el malware no pueda acceder a una zona y moverse libremente dentro de la
red hacia otros destinos.
Las zonas del túnel son para túneles no cifrados. Puede aplicar diferentes reglas de la
política de seguridad al contenido del túnel y a la zona del túnel externo, como se describe
en Descripción general de la inspección del contenido del túnel.
Defensa de zona
La protección de zona defiende las zonas contra los ataques de inundación, reconocimiento, basados en
paquetes y basados en protocolos con perfiles de protección de zona, y las defiende contra los ataques de
inundación y recursos dirigidos con perfiles de protección contra denegación de servicio (denial-of-service,
DoS) y las reglas de la política de protección contra DoS para complementar las funciones del cortafuegos
de última generación como App-ID y User-ID. Un ataque de DoS sobrecarga la red con grandes cantidades
de tráfico no deseado con el fin de interrumpir los servicios de la red.
A diferencia de las reglas de la política de seguridad, no existen perfiles de protección de zona o perfiles de
protección contra DoS y reglas de la política de protección contra DoS predeterminados. Puede configurar y
aplicar la protección de zona en función de la manera en la que segmenta su red en zonas y en función de lo
que desea proteger en cada zona.
• Herramientas de defensa de zona on page 1105
• ¿Cómo funcionan las herramientas de defensa de zona? on page 1106
• Perfiles de protección de zonas on page 1107
• Protección de búfer de paquetes on page 1110
• Perfiles de protección y reglas de la política del DoS on page 1110
Herramientas de defensa de zona

Los cortafuegos de Palo Alto Networks ofrecen tres herramientas complementarias para proteger las zonas
de su red:
• Los perfiles de protección de zona protegen la zona en el borde de ingreso contra los ataques de barrido
de host y análisis de puerto de reconocimiento, los ataques basados en paquetes de IP, los ataques
de protocolo no IP y los ataques de congestión al limitar la cantidad de conexiones por segundo de
los diferentes tipos de paquete. La zona de ingreso es donde el tráfico ingresa en el cortafuegos en
la dirección del flujo desde el cliente hacia el servidor (client-to-server, c2s), donde el cliente es el
originador del flujo y el servidor es el respondedor. La zona de salida es donde el tráfico ingresa en el
cortafuegos en la dirección del flujo desde el servidor hacia el cliente (server-to-client, s2c).
Los perfiles de protección de zona brindan amplia seguridad para la zona completa en función del tráfico
agregado que ingresa en la zona y protege contra ataques de congestión y tipos y opciones de paquetes
indeseados. Los perfiles de protección de zona no controlan el tráfico entre las zonas; controlan el
tráfico solo en la zona de ingreso. Los perfiles de protección de zona no tienen en cuenta las direcciones
IP individuales, ya que se aplican al tráfico agregado que ingresa en la zona (las reglas de política de
protección DoS protegen las direcciones IP individuales en una zona).
Use los perfiles de protección de zona como primer paso para detectar y eliminar el tráfico infractor.
Los perfiles de protección de zona protegen la red a medida que se forma la sesión, antes de que el
cortafuegos realice búsquedas de regla de política de seguridad y política de protección DoS, y consume
menos ciclos de CPU que una búsqueda de regla de política de seguridad o política de protección DoS.
Si un perfil de protección de zona deniega el tráfico, el cortafuegos no emplea ciclos de CPU en las
búsquedas de regla de política.
• Los perfiles de protección DoS y las reglas de política de protección DoS brindan seguridad contra los
ataques de congestión y protegen recursos y endpoints individuales específicos. La diferencia entre la
protección contra congestión usando un perfil de protección de zona y usando un perfil de protección
DoS es que un perfil de protección de zona brinda seguridad para una zona de entrada completa en
función del tráfico agregado que fluye hacia la zona, mientras que una regla de política de protección
DoS aplica un perfil de protección DoS que puede proteger direcciones IP y grupos de direcciones,
usuarios, zonas e interfaces específicos, por lo que la protección DoS es más pormenorizada y dirigida
que un perfil de protección de zona.
Un perfil de protección DoS establece umbrales de protección contra congestión (límites de conexiones
por segundo), umbrales de protección de recursos (límites de sesión para endpoints y recursos
especificados) y si el perfil se aplica al tráfico agregado o clasificado.
Una regla de política de protección DoS especifica lo siguiente:
• Criterios de coincidencia de origen, destino y servicios.
• La acción que se debe realizar cuando el tráfico coincide con la regla.
• Opciones de creación de logs y programación.
• El perfil de protección DoS agregado o clasificado que la regla aplica al tráfico coincidente al proteger
los recursos.
Los perfiles de protección DoS agregados y las reglas de políticas se aplican a todo el tráfico que
coincide con el origen, el destino y los servicios especificados. Los perfiles de protección DoS y las reglas
de política clasificados protegen únicamente el tráfico que coincide con la dirección IP de origen, la
dirección IP de destino o el par de direcciones IP de origen y destino, y los servicios especificados en la
regla de política de protección DoS.
• Las reglas de política de seguridad influyen tanto en el flujo de ingreso (c2s) como en el salida (s2c)
de una sesión. Para establecer una sesión, el tráfico entrante debe coincidir con una regla de política
de seguridad (incluidas las reglas predeterminadas). Si no hay coincidencia, el cortafuegos descarta el
paquete.
Una política de seguridad puede proteger las zonas al controlar el tráfico entre zonas (interzona) y dentro
de las zonas (intrazona) usando criterios que incluyen zonas, direcciones IP, usuarios, aplicaciones,
servicios y categorías URL.
Las reglas de política de seguridad predeterminadas no permiten que el tráfico se desplace entre zonas,
por lo que necesita configurar una regla de seguridad si desea permitir el tráfico interzona. Todo el
tráfico intrazona está permitido de manera predeterminada. Puede configurar reglas de política de
seguridad para cotejar y controlar el tráfico intrazona, interzona o universal (intrazona e interzona).
Los perfiles de protección de zona, los perfiles de protección DoS y las reglas de política,
y las reglas de política de seguridad solo afectan al tráfico del plano de datos en el
cortafuegos. El tráfico que se origina en la interfaz de gestión del cortafuegos no cruza el
plano de datos, por lo que el cortafuegos no coteja el tráfico de gestión con estos perfiles
o reglas de política.
¿Cómo funcionan las herramientas de defensa de zona?

Cuando un paquete llega al cortafuegos, este intenta que el paquete coincida con una sesión existente, en
función de una zona de ingreso, una zona de salida, una dirección IP de origen, una dirección IP de destino,
un protocolo y una aplicación que se obtiene del encabezado del paquete. Si el cortafuegos encuentra una
coincidencia, el paquete utiliza las reglas de la política de seguridad que ya controlan la sesión.
Si el paquete no coincide con una sesión existente, el cortafuegos utiliza perfiles de protección zona, perfiles
de protección contra DoS y reglas de la política, y reglas de la política de seguridad para determinar si
establecer una sesión o descartar el paquete, y el nivel de acceso que recibe el paquete.
La primera protección que aplica el cortafuegos es la defensa de límite amplio del perfil de protección de
zona, si existe una para la zona. El cortafuegos determina la zona de la interfaz donde llega el paquete (cada
interfaz se asigna solo a una zona y todas las interfaces que transfieren tráfico deben permanecer en una
zona). Si el perfil de protección de zona deniega el paquete, este se descarta y no se produce una búsqueda
de las reglas de la política de protección contra DoS o de la política de seguridad. El cortafuegos aplica
perfiles de protección de zona solo a los paquetes que no coinciden con una sesión existente. Una vez que
el cortafuegos establece una sesión, este elude la búsqueda de los paquetes correctos en los perfiles de
protección de zona en esa sesión.
La segunda protección que aplica el cortafuegos es una búsqueda de reglas de la política de protección
contra DoS. Incluso si un perfil de protección de zona permite un paquete en función de la cantidad total
de tráfico hacia la zona, es posible que una regla de la política de protección contra DoS y un perfil de
protección denieguen el paquete si se dirige a un destino particular o si proviene de un origen particular
que superó la configuración de protección contra inundaciones o de protección de recursos en el perfil
de protección contra DoS de la regla. Si el paquete coincide con una regla de la política de protección
contra DoS, el cortafuegos aplica la regla al paquete. Si la regla deniega el acceso, el cortafuegos descarta
el paquete y no realiza la búsqueda en la política de seguridad. Si la regla permite el acceso, el cortafuegos
realiza la búsqueda en la política de seguridad. La regla de la política de protección contra DoS se aplica solo
en las sesiones nuevas.
La tercera protección que aplica el cortafuegos es una búsqueda en la política de seguridad, que sucede solo
si el perfil de protección de zona y las reglas de la política de protección contra DoS permiten el paquete.
Si el cortafuegos no encuentra una coincidencia con el paquete en la regla de la política de seguridad, el
cortafuegos descarta el paquete. Si el cortafuegos encuentra una coincidencia en la regla de la política de
seguridad, el cortafuegos aplica la regla al paquete. El cortafuegos aplica la regla de la política de seguridad
en el tráfico en ambas direcciones (c2s y s2c) por la duración de la sesión.
Perfiles de protección de zonas

Aplique un perfil de protección de zona a una zona para defender toda la zona en función del tráfico
agregado que ingresa a la zona de ingreso:
• Protección contra inundaciones on page 1107
• Protección de reconocimiento on page 1108
• Protección de ataques basados en paquetes on page 1109
• Protección de protocolo on page 1109
Protección contra inundaciones

Un perfil de protección de zona con una protección contra inundaciones configurada defiende una zona de
ingreso completa contra las inundaciones de SYN, ICMP, ICMPv6, UDP y otros tipos de inundaciones IP.
El cortafuegos mide la cantidad total de cada tipo de inundación que ingresa a la zona en conexiones por
segundo y compara el total con los umbrales configurados en el perfil de protección de zona.
En cada tipo de inundación, podrá configurar tres umbrales:
• Tasa de alarma: la cantidad de conexiones por segundo necesarias para activar una alarma.
• Activación: la cantidad de conexiones por segundo necesarias para activar el mecanismo de protección
contra inundaciones. En el caso de las inundaciones de ICMP, ICMPv6, UDP y otros tipos de
inundaciones IP, el mecanismo de protección es Random Early Drop (Descarte aleatorio temprano)
(RED, también conocido como Random Early Detection [Detección aleatoria temprana]), y los paquetes
comienzan a descartarse cuando la cantidad de conexiones por segundo alcanza el umbral Activate
(Activación). En el caso de las inundaciones SYN, el mecanismo de protección puede ser el RED o las
cookies de SYN. Las cookies de SYN no descartan paquetes. Dado que la cantidad de conexiones por
segundo aumenta cuando supera el umbral Activate (Activación), el cortafuegos descarta más paquetes
cuando el RED es el mecanismo de protección.
• Máximo: la cantidad de conexiones por segundo necesarias para descartar los paquetes entrantes
cuando el RED es el mecanismo de protección.
Si la cantidad de conexiones por segundo supera un umbral, el cortafuegos genera una alarma, activa el
mecanismo de descarte o descarta todos los paquetes cuando el RED es el mecanismo de protección.
Solo en el caso de los paquetes de SYN, puede seleccionar SYN Cookies (cookies de SYN) en lugar de
descartar los paquetes con el RED. Cuando utilizan las cookies de SYN, el cortafuegos actúa como un proxy
para el servidor de destino y responde a la consulta de SYN generando un paquete de SYN-ACK y la cookie
correspondientes en nombre del servidor de destino. Cuando el cortafuegos recibe un paquete de ACK del
iniciador con las cookies correctas, el cortafuegos reenvía el paquete de SYN al servidor de destino.
La ventaja de utilizar cookies de SYN en lugar del RED es que el cortafuegos descarta los paquetes ilícitos
y trata las conexiones legítimas de manera equitativa. Dado que el RED descarta conexiones de manera
aleatoria, el RED afecta a parte del tráfico legítimo. Sin embargo, si utiliza cookies de SYN en lugar del RED,
se utilizan más recursos del cortafuegos debido a que el cortafuegos gestion el protocolo de enlace de SYN
de tres pasos del servidor de destino. Esta opción utiliza más recursos del cortafuegos en comparación a la
ausencia del descarte de tráfico legítimo con el RED y la descarga del protocolo de enlace de SYN desde el
servidor de destino.
Ajuste los valores del umbral predeterminado en un perfil de protección de zona a los niveles adecuados
para su red. Los valores predeterminados son altos, de modo que si se activa un perfil de protección, no se
descarte tráfico legítimo inesperadamente.
Ajuste los umbrales de su entorno tomando una medición de referencia de la carga máxima de tráfico para
cada tipo de inundación para determinar la carga normal de tráfico para la zona. Establezca un valor para
los umbrales de Alarm Rate (Tasa de alarma) de un 15 a 20 por ciento mayor a la cantidad de conexiones
por segundo de referencia y supervise las alarmas para observar si el umbral es razonable para la carga de
tráfico legítimo. Dado que la carga normal de tráfico varía, se recomienda no descartar paquetes de manera
muy agresiva.
Además de determinar un valor de referencia y probar el umbral de Alarm Rate (Tasa de alarma), establezca
umbrales altos de Activate (Activación) y Maximum (Máximo) para evitar que se descarten paquetes
legítimos si los umbrales son demasiados agresivos. Tras determinar un umbral de Alarm Rate (Tasa de
alarma) razonable, establezca umbrales altos de Activate (Activación) y Maximum (Máximo) para que se
descarten paquetes cuando el tráfico aumente suficiente sobre el valor normal, lo que indica un ataque de
inundación. Continúe supervisando el tráfico y ajuste los umbrales para cumplir sus objetivos de seguridad y
garantizar que los umbrales no permitan que se descarte tráfico legítimo, pero evite picos indeseados en el
volumen de tráfico.
Una gran diferencia entre la protección contra inundaciones con un perfil de protección de zona y un perfil
de protección contra DoS es dónde el cortafuego aplica la protección contra inundación. Los perfiles de
protección de zona se aplican a toda una zona, mientras que los perfiles de protección contra DoS aplican
solo a las direcciones IP, las zonas y los usuarios especificados en la regla de la política de protección contra
DoS asociada al perfil.
Protección de reconocimiento
De manera similar a la definición del ejército del reconocimiento, la definición de seguridad de la red del
reconocimiento se produce cuando los atacantes intentan obtener información sobre las vulnerabilidades
de su red sondeando de manera secreta su red en busca de debilidades. Por lo general, las actividades de
reconocimiento se producen antes de un ataque de red.
Los perfiles de protección de zona con protección de reconocimiento habilitada se defienden de los análisis
de puertos y las limpiezas de host:
• Los análisis de puertos descubren los puertos abiertos de una red. Una herramienta de análisis de
puertos envía solicitudes de cliente a distintos puertos en un host para ubicar un puerto activo que
pueda aprovecharse en un ataque. Los perfiles de protección de zona defienden de los análisis de
puertos con TCP y UDP.
• Las limpiezas de hosts examinan varios hosts para determinar si un puerto específico está abierto y
vulnerable.
Puede utilizar herramientas de reconocimiento con fines legítimos como la prueba de sombrero blanco
de la seguridad de la red o la fortaleza de un cortafuegos. Puede especificar hasta 20 direcciones IP u
objetos de dirección de máscara de red que excluirá de la protección de reconocimiento, de modo que su
departamento de TI interno pueda llevar a cabo pruebas de sombrero blanco para buscar y resolver las
vulnerabilidades de la red.
Puede establecer la acción que se llevará a cabo cuando el tráfico de reconocimiento (excepto el tráfico
de sombrero blanco) supere el umbral que configuró cuando realizó la Configuración de la protección de
reconocimiento on page 1113.
Protección de ataques basados en paquetes

Los ataques basados en paquetes se presentan en diversas formas. Los perfiles de protección de zona
comprueban los parámetros de encabezado de paquetes IP, TCP, ICMP, IPv6 e ICMPv6 y protegen una
zona de la siguiente manera:
• Descartando paquetes con características indeseables.
• Quitando las opciones indeseables de los paquetes antes de admitirlos en la zona.
Puede seleccionar las características de descarte para cada tipo de paquete cuando realiza la Configuración
de la protección de ataques basada en paquetes.
Por ejemplo, puede descartar paquetes IP malformados, paquetes TCP SYN y SYN-ACK con datos,
paquetes ICMP fragmentados, etc. Cada tipo de paquete cuenta con un conjunto de características
y opciones que puede seleccionar para controlar si el cortafuegos descarta un paquete. Las prácticas
recomendadas para proteger su red ante evasiones de capa 4 y capa 7 incluyen algunas recomendaciones
específicas para configurar la protección de ataques basados en paquetes.
Protección de protocolo
Mientras que la protección contra ataques basados en paquetes defiende contra ataques basados en
paquetes de capa 3, la protección de protocolos defiende contra paquetes de protocolo no IP. La sección
de protección de protocolos de un perfil de protección de zona bloquea o permite paquetes de protocolo
no IP entre las zonas de seguridad en una VLAN de capa 2 o en un cable virtual o entre interfaces dentro de
una zona en una VLAN de capa 2. Realice la Configuración de la protección de protocolos para reducir los
riesgos de seguridad y facilitar el cumplimiento de las normativas evitando que los paquetes de protocolos
menos seguros ingresen a una zona, o una interfaz en una zona, donde no pertenecen.
Ejemplos de protocolos no IP que puede bloquear (excluir) o permitir (incluir) incluyen los sistemas
AppleTalk, Banyan VINES, LLDP, NetBEUI, de árbol de conmutación, y el sistema de control y adquisición
de datos (Supervisory Control And Data Acquisition, SCADA ), como los eventos de subestaciones
orientados a objetos genéricos (Generic Object Oriented Substation Event, GOOSE).
Puede ejecutar informes de App-ID para determinar si alguno de los paquetes de protocolo no IP llegan a
las interfaces de capa 2 del cortafuegos. Aplique el perfil de protección a una zona de seguridad de ingreso
para interfaces físicas o interfaces AE, y controle el tráfico interzona (donde los paquetes de protocolo
intentan ingresar a una zona desde otra) o el tráfico intrazona (donde los paquetes de protocolo atraviesan
una zona única, VLAN, entre sus interfaces).
Cada lista de inclusión y lista de exclusión que configura admite hasta 64 entradas Ethertype; cada
una se identifica por su código Ethertype hexadecimal IEEE. Otras fuentes de códigos Ethertype son
standards.ieee.org/develop/regauth/ethertype/eth.txt y http://www.cavebear.com/archive/cavebear/
Ethernet/type.html.
La protección de protocolos no le permite bloquear IPv4 (Ethertype 0x0800), IPv6 (0x86DD), ARP (0x0806)
o tramas con etiquetas VLAN (0x8100). Estos cuatro códigos Ethertype siempre se permiten implícitamente
en una lista de inclusión sin necesidad de que se incluyan. También se permiten implícitamente incluso si
configura una lista de exclusión; no puede excluirlos.
Cuando configura una protección de zona para protocolos no IP en zonas que cuentan con interfaces de
Ethernet agregado (Aggregated Ethernet, AE), no puede bloquear o permitir un protocolo no IP en solo una
interfaz de AE debido a que las interfaces de AE se consideran un grupo.
Protección de búfer de paquetes
La protección de búfer de paquetes le permite proteger su cortafuegos y su red de ataques contra DoS
de sesión única que pueden superar el búfer de paquetes del cortafuegos y provocar que se descarte
tráfico legítimo. A pesar de que no realiza la Configuración de la protección de búfer de paquetes on page
1119 en un perfil de protección de zona, o en un perfil o regla de la política de protección contra DoS, la
protección de búfer de paquetes defiende las zonas y puede habilitarla cuando configura o edita una zona
(Network [Red] > Zones [Zonas]).
Cuando habilita la protección de búfer de paquetes, el cortafuegos supervisa las sesiones de todas las
zonas y cómo cada sesión utiliza el búfer de paquetes. Si una sesión supera un porcentaje configurado de
utilización del búfer de paquetes y atraviesa una zona de ingreso con la protección de búfer de paquetes
habilitada, el cortafuegos realiza acciones contra la sesión. El cortafuegos inicia con la creación de un log
de alerta en el log del sistema cuando una sesión alcanza el primer umbral. Si una sesión alcanza el segundo
umbral, el cortafuegos mitiga el abuso implementando el descarte aleatorio temprano (Random Early
Drop, RED) para limitar la sesión. Si el cortafuegos no puede reducir la utilización del búfer de paquetes
con el RED, el temporizador de tiempo de espera del bloqueo comienza la cuenta regresiva. Cuando el
temporizador vence, el cortafuegos realiza pasos de mitigación adicionales (descarte de sesión o bloqueo de
IP). La duración del bloqueo define por cuánto tiempo una sesión permanece descartada o una dirección IP
permanece bloqueada después de alcanzar el tiempo de espera del bloqueo.
Además de supervisar la utilización del búfer de sesiones individuales, la protección de búfer de paquetes
puede bloquear una dirección IP si se cumplen determinados criterios. Cuando el cortafuegos supervisa
el búfer de paquetes, si detecta una dirección IP de origen que crea sesiones rápidamente (lo que no se
consideraría de manera individual un ataque), bloquea esa dirección IP.
Perfiles de protección y reglas de la política del DoS

Los perfiles de protección contra DoS y las reglas de la política de protección contra DoS se combinan para
proteger áreas específicas de su red contra ataques de inundación de paquetes y para proteger los recursos
individuales de inundaciones de sesiones.
Los perfiles de protección contra DoS establecen los umbrales de protección para proporcionar Protección
DoS contra inundaciones de nuevas sesiones on page 1120 para las inundaciones de direcciones IP (límites
de conexiones por segundo), para ofrecer protección de recursos (límites de cantidad máxima de sesiones
simultáneas en extremos y recursos determinados) y para configurar si el perfil se aplica al tráfico agregado
o clasificado. Las reglas de la política de protección contra DoS controlan dónde se aplica la protección
contra DoS y qué acciones se realizan cuando el tráfico coincide con los criterios que se definen en la regla.
A diferencia del perfil de protección de zona, que protege solo la zona de ingreso, los perfiles de protección
contra DoS y las reglas de la política de protección contra DoS pueden proteger recursos específicos
dentro de una zona y tráfico que fluya entre diferentes extremos y áreas. Además, a diferencia del perfil de
protección de zona, que admite solo tráfico agregado, puede configurar perfiles de protección contra DoS y
reglas de la política de protección contra DoS para tráfico agregado o clasificado.
• Reglas de política de protección contra DoS on page 1110
• Perfiles de protección DoS on page 1111
Reglas de política de protección contra DoS

Las reglas de la política de protección contra DoS proporcionan criterios de coincidencia más detallados, de
modo que obtenga flexibilidad cuando define lo que desea proteger:
• Zona o interfaz de origen
• Zona o interfaz de destino
• Las direcciones IP de origen y los rangos de direcciones, los objetos de grupos de direcciones y los países
• Las direcciones IP de destino y los rangos de direcciones, los objetos de grupos de direcciones y los
países
• Servicios (por puerto o protocolo)
• Usuarios
Los criterios de coincidencia flexibles le permiten proteger zonas o subredes completas, un servidor único o
elementos intermedios. Cuando el tráfico coincide con una regla de la política de protección contra DoS, el
cortafuegos realiza una de las tres acciones:
• Denegar: el cortafuegos deniega el acceso y no aplica un perfil de protección contra DoS. La denegación
implica la prohibición del tráfico que coincide con esa regla.
• Permitir: el cortafuegos permite el acceso y no aplica un perfil de protección contra DoS. Esto implica el
permiso del tráfico que coincide con esa regla.
• Proteger: el cortafuegos aplica el perfil o los perfiles de protección contra DoS especificados. Una regla
de la política de protección contra DoS puede tener un perfil de protección contra DoS agregado y un
perfil de protección contra DoS clasificado. Los paquetes entrantes se consideran frente a ambos perfiles
de protección contra DoS si coinciden con la regla. La acción de Protect (Proteger) protege contra
inundaciones aplicando los umbrales que se establecen en el perfil o los perfiles de protección contra
DoS para el tráfico que coincide con la regla.
El cortafuegos solo se aplica los perfiles de protección contra DoS si la Action (Acción) es Protect
(Proteger). Si la Action (Acción) de la regla de la política de protección contra DoS es Protect (Proteger),
especifique el perfil de protección contra DoS agregado o clasificado correspondiente en la regla, de modo
que el cortafuegos aplique el perfil de protección contra DoS al tráfico que coincida con la regla.
Puede adjuntar un perfil de protección contra DoS agregado y un perfil de protección

contra DoS clasificado a una regla de la política de protección contra DoS. El cortafuegos
comprueba y aplica los límites del perfil agregado antes de comprobar los límites del perfil
clasificado, de modo que si los criterios de coincidencia coinciden con ambos perfiles, los
umbrales en el perfil agregado se utilicen en primer lugar.
Perfiles de protección DoS

Cuando crea reglas de la política de protección contra DoS, aplica perfiles de protección contra DoS a las
reglas de la política si la acción es Protect (Proteger) (si la acción es Deny [Denegar] o Allow [Permitir], no
se utilizan perfiles de protección contra DoS).
La configuración de los umbrales de protección contra inundaciones en un perfil de protección contra DoS
es similar a la configuración de la Protección contra inundaciones on page 1107 en un perfil de protección
de zona. La diferencia reside en dónde se aplica la protección contra inundaciones. Si se aplica la protección
contra inundaciones con un perfil de protección de zona, se protege la zona de ingreso, mientras que si se
aplica con un perfil de protección contra DoS y una regla de la política de protección contra DoS, esta es
más detallada y dirigida, e incluso puede clasificarse para una dirección IP única.
En el caso de los perfiles de protección contra DoS agregados y clasificados, además de los perfiles de
protección de zona, puede realizar lo siguiente:
• Configure SYN, UDP, ICMP, ICMPv6 y otra protección contra inundaciones IP.
• Configure los umbrales de conexiones por segundo de alarma, activación y valor máximo. Cuando el
valor de conexiones por segundo entrantes supera el umbral de activación, el cortafuegos comienza a
descartar paquetes. Cuando el valor de conexiones por segundo entrantes supera el umbral máximo, el
cortafuegos descarta las conexiones entrantes adicionales.
• Utilice cookies SYN, en lugar de las cookies RED para los paquetes de inundación SYN.
El consejo relacionado con la Protección contra inundaciones on page 1107 del perfil de protección de
zona sobre el ajuste de los valores predeterminados de los umbrales para el tráfico de su red es válido para
la configuración de los umbrales de protección contra inundaciones del perfil de protección contra DoS.
Tome una medida de referencia de las cargas máximas de tráfico durante un período de tiempo y ajuste los
umbrales de inundación para permitir la carga de tráfico legítima esperada y limitar o descartar el tráfico
cuando la carga indique un ataque de inundación. Supervise el tráfico y continúe ajustando los umbrales
hasta que cumplan sus objetivos de protección.
Durante la configuración de los umbrales de protección de los recursos en un perfil de protección contra
DoS, se establece la cantidad máxima de sesiones simultáneas que admite un recurso. Cuando la cantidad
de sesiones simultáneas alcanza su límite máximo, se descartan las sesiones nuevas. Puede definir el recurso
que protege en una regla de la política de protección contra DoS por la dirección IP de origen, la dirección IP
de destino o el par de direcciones IP de origen y destino del recurso.
Un perfil de protección contra DoS agregado se aplica a todo el tráfico que coincide con la regla de la
política de protección contra DoS asociada para todos los orígenes, destinos y servicios que permite esa
regla. Un perfil de protección contra DoS clasificado puede aplicar diferentes límites de sesión en diferentes
grupos de host de destino o, incluso, en un host de destino particular.
A continuación, se presentan algunos ejemplos de lo que puede realizar con un perfil de protección contra
DoS clasificado:
• Para evitar que los hosts en su red inicien un ataque contra el DoS, puede supervisar la tasa de tráfico
que inicia cada host en un grupo de direcciones de origen. Para ello, establezca un umbral de alarma
adecuado en un perfil de protección contra DoS que le notifique si un host inicia una cantidad de tráfico
inusualmente considerable y cree una regla en la política de protección contra DoS que aplique el perfil
al grupo de direcciones de origen. Investigue los hosts que inicien suficiente tráfico para activar la
alarma.
• Para proteger los servidores web o DNS críticos de su red, proteja los servidores individuales. Para ello,
establezca los umbrales de protección contra inundaciones y de recursos adecuados en un perfil de
protección contra DoS, y cree una regla en la política de protección contra DoS que aplique el perfil a la
dirección IP de cada servidor añadiendo las direcciones IP como los criterios de destino de la regla.
• Rastree el flujo entre un par de extremos estableciendo umbrales adecuados en el perfil de protección
contra DoS y creando una regla en la política de protección contra DoS que especifique las direcciones
IP de origen y de destino de los extremos como criterios de coincidencia.
No utilice la clasificación IP de origen para las zonas orientadas a internet en las reglas
de la política de protección contra DoS clasificada. El cortafuegos no puede almacenar
contadores para todas las direcciones IP posibles en internet.
Configuración de la protección de la zona para
aumentar la seguridad de la red
Los siguientes temas proporcionan ejemplos de configuración de la protección de la zona:
• Configuración de la protección de reconocimiento on page 1113
• Configuración de la protección de ataques basada en paquetes on page 1114
• Configuración de la protección de protocolos on page 1114
• Configuración de la protección de búfer de paquetes on page 1119
Configuración de la protección de reconocimiento

Configure una de las siguientes medidas de Protección de reconocimiento on page 1108 para que el
cortafuegos responda al intento de reconocimiento correspondiente:
• Allow (Permiso): el cortafuegos permite el reconocimiento de la exploración de puertos o la limpieza de
host para continuar.
• Alert (Alerta): el cortafuegos genera una alerta para cada exploración de puertos o limpieza de host que
coincida con el umbral configurado dentro del intervalo de tiempo especificado. La alerta es la medida
predeterminada.
• Block (Bloqueo): el cortafuegos descarta los siguientes paquetes enviados desde el origen al destino
durante el resto del intervalo de tiempo especificado.
• Block IP (IP de bloqueo): el cortafuegos descarta los siguientes paquetes para la Duration (Duración)
especificada, en segundos (rango: 1 a 3600). Track By (Rastrear por) determina si el cortafuegos bloquea
el tráfico de origen o el de origen y destino.
STEP 1 | Configure la protección de reconocimiento.

zona).
2. Seleccione un perfil de protección de zona o seleccione Add (Añadir) para añadir un perfil nuevo e
introduzca un nombre en Name (Nombre).
3. En la pestaña Reconnaissance Protection (Protección de reconocimiento), seleccione los tipos de
exploración de los que debe protegerse.
4. Seleccione una Action (Medida) para cada exploración. Si selecciona Block IP (IP de bloqueo), también
debe configurar Track By (Rastrear por) (tráfico de origen o el de origen y destino) y Duration
(Duración).
5. Configure el Interval (Intervalo) en segundos. Estas opciones definen el intervalo de tiempo para la
detección de la exploración de puertos y la limpieza de host.
6. Configure el Threshold (Umbral). El umbral define la cantidad de eventos de exploración de puertos o
limpieza de host que suceden dentro del intervalo configurado previamente que activa una medida.
STEP 2 | (Opcional) Configure una exclusión de dirección de origen.

1. En la pestaña Reconnaissance Protection (Protección de reconocimiento), haga clic en Add (Añadir)
para añadir una exclusión de dirección de origen.
1. Introduzca un nombre descriptivo en Name (Nombre) para la dirección de la lista blanca.
2. Configure IPv4 o IPv6 como Address Type (Tipo de dirección), y seleccione un objeto de dirección
o introduzca una dirección IP.
2. Haga clic en OK (Aceptar) para guardar el perfil de protección de zona.
Configuración de la protección de ataques basada en paquetes

Para mejorar la seguridad de una zona, Protección de ataques basados en paquetes on page 1109 le
permite especificar si el cortafuegos debe descartar paquetes IP, IPv6, TCP, ICMP o ICMPv6 con ciertas
características o quitar determinadas opciones de los paquetes.
Por ejemplo, puede descartar paquetes TCP SYN y SYN-ACK con datos en la carga durante un protocolo de
enlace de tres pasos. Un perfil de protección de zona se configura de manera predeterminada para descartar
paquetes SYN y SYN-ACK con datos (debe aplicar el perfil a la zona).
La opción TCP Fast Open (Apertura rápida de TCP) (RFC 7413) conserva la velocidad de una configuración
de conexión incluyendo datos en la carga de los paquetes SYN y SYN-ACK. Un perfil de protección de
zona trata a los protocolos de enlace que utilizan la opción de apertura rápida de TCP independientemente
de otros paquetes SYN y SYN-ACK. De manera predeterminada, el perfil se configura para permitir los
paquetes de protocolo de enlace si contienen cookies válidas de apertura rápida.
Si ya implementó perfiles de protección de zona cuando actualizó PAN-OS 8.0, las tres
configuraciones predeterminadas se aplicarán a cada perfil y el cortafuegos actuará en
consecuencia.
STEP 1 | Cree un perfil de protección de zona para la protección de ataques basada en paquetes.
zona) y Add (Añadir) para añadir un nuevo perfil.
2. En Name (Nombre), introduzca un nombre para el perfil y, opcionalmente, una Description
(Descripción).
3. Seleccione Packet Based Attack Protection (Protección de ataques basada en paquetes).
4. En cada pestaña (IP Drop [Descarte de IP], TCP Drop [Descarte de TCP], ICMP Drop [Descarte de
ICMP], IPv6 Drop [Descarte de IPv6] y ICMPv6 Drop [Descarte de ICMPv6]), seleccione los ajustes
que desee aplicar para proteger una zona.
STEP 2 | Aplique el perfil de protección de zona a una zona de seguridad que se asigna a las interfaces
que desea proteger.
1. Seleccione Network (Red) > Zones (Zonas) y seleccione la zona a la que desea asignar el perfil de
2. Add (Añada) las Interfaces (Interfaces) de la zona.
3. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil que acaba de crear.

Configuración de la protección de protocolos

Proteja el cable virtual o las zonas de seguridad de capa 2 de los paquetes de protocolo no IP utilizando
Protección de protocolo on page 1109.
• Caso de uso: Protección de protocolo no IP entre zonas de seguridad en interfaces de capa 2 on page
1115
• Caso de uso: Protección de protocolo no IP dentro de una zona de seguridad en interfaces de capa 2 on
page 1117
Caso de uso: Protección de protocolo no IP entre zonas de seguridad en

interfaces de capa 2
En este caso de uso, el cortafuegos se encuentra en una VLAN de capa 2 dividida en dos subinterfaces.
VLAN 100 es 192.168.100.1/24, subinterfaz .6. VLAN 200 es 192.168.100.1/24, subinterfaz .7. La
protección de protocolo no IP se aplica a zonas de ingreso. En este caso de uso, si la zona de internet es
la zona de ingreso, el cortafuegos bloquea el protocolo de eventos de subestaciones orientados a objetos
genéricos (Generic Object Oriented Substation Event, GOOSE). Si la zona de usuario es la zona de ingreso,
el cortafuegos permite el protocolo GOOSE. El cortafuegos permite implícitamente IPv4, IPv6, ARP y
tramas con etiqueta de VLAN en ambas zonas.
STEP 1 | Configure dos subinterfaces VLAN.

1. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en Add (Añadir) para añadir una
interfaz.
2. El valor predeterminado de Interface Name (Nombre de interfaz) es vlan. Luego del punto, introduzca
7.
3. En la pestaña Config (Configuración), configure Assign Interface To (Asignar la interfaz a) de la VLAN
en 200.
5. Seleccione Network (Red) > Interfaces > Ethernet y haga clic en Add (Añadir) para añadir una
interfaz.
6. El valor predeterminado de Interface Name (Nombre de interfaz) es vlan. Luego del punto, introduzca
6.
7. En la pestaña Config (Configuración), configure Assign Interface To (Asignar la interfaz a) de la VLAN
en 100.
STEP 2 | Configure la protección de protocolo en un perfil de protección de zona para bloquear los
paquetes de protocolo GOOSE.
zona) y haga clic en Add (Añadir) para añadir un perfil.
2. Introduzca en Name (Nombre) el nombre Block GOOSE.
3. Seleccione Protocol Protection (Protección de protocolo).
4. Seleccione Rule Type (Tipo de regla) para la Exclude List (Lista de exclusión).
5. Introduzca el nombre de protocolo GOOSE en Protocol Name (Nombre de protocolo) para identificar
con facilidad el Ethertype en la lista. El cortafuegos no comprueba que el nombre que introduce
coincida con el código Ethertype; solo utiliza el código Ethertype para el filtrado.
6. Introduzca el código Ethertype 0x88B8. Se debe introducir 0x antes del código Ethertype para indicar
un valor hexadecimal. El rango es 0x0000 a 0xFFFF.
7. Seleccione Enable (Habilitar) para habilitar la protección del protocolo. Puede deshabilitar un
protocolo de la lista, por ejemplo, para una prueba.
STEP 3 | Aplique el perfil de protección de zona a la zona de internet.

1. Seleccione Network (Red) > Zones (Zonas) y haga clic en Add (Añadir) para añadir una zona.
2. Introduzca en Name (Nombre) el nombre de la zona, Internet.
3. En Location (Ubicación), seleccione el sistema virtual al que se aplica la zona.
4. En Type (Tipo), seleccione Layer2 (Capa 2).
5. Haga clic en Add (Añadir) para añadir la interfaz que pertenezca a la zona, vlan.7 en Interfaces.
6. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil de bloqueo GOOSE.
STEP 4 | Configure la protección de protocolos para permitir los paquetes de protocolo GOOSE.
Cree otro perfil de protección de zona denominado Allow GOOSE (Permitir GOOSE) y seleccione el Rule
Type (Tipo de regla) de la Include List (Lista de inclusión).
Cuando configure la lista de inclusión, incluya todos los protocolos no IP necesarios; una
lista incompleta puede provocar que se bloquee tráfico no IP legítimo.
STEP 5 | Aplique un perfil de protección de zona a la zona User (Usuario):

1. Seleccione Network (Red) > Zones (Zonas) y haga clic en Add (Añadir) para añadir una zona.
2. Introduzca el Name (Nombre) de la zona User (Usuario).
5. Haga clic en Add (Añadir) para anadir la interfaz que pertenezca a la zona, vlan.6 en Interfaces.
6. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil Allow GOOSE (Permitir
GOOSE).

STEP 7 | Vea la cantidad de paquetes no IP que el cortafuegos ha descartado en función de la

protección de protocolos.
Acceso a la CLI.
> show counter global name pkt_nonip_pkt_drop
> show counter global name pkt_nonip_pkt_drop delta yes
Caso de uso: Protección de protocolo no IP dentro de una zona de

seguridad en interfaces de capa 2
Si no implementa un perfil de protección de zona con protección de protocolo no IP, el cortafuegos permite
que los protocolos no IP en una zona se transporten de una interfaz de capa 2 a otra. En este caso de uso,
prohibir los paquetes de LLDP garantiza que el LLDP de una red no descubra una red alcanzable desde otro
interfaz en la zona.
En la siguiente figura, la VLAN de capa 2 denominada Datacenter (Centro de datos) se divide en dos
subinterfaces: 192.168.1.1/24, subinterfaz .7 y 192.168.1.2/24, subinterfaz .8. La VLAN pertenece a la
zona de usuario. Si se aplica un perfil de protección de zona que bloquee el LLDP a la zona de usuario:
• La subinterfaz .7 bloquea el LLDP de su conmutador al cortafuegos en la red X de la izquierda, lo que
evita que el tráfico llegue a la subinterfaz .8.
• La subinterfaz .8 bloquea el LLDP de su conmutador al cortafuegos en la red X de la izquierda, lo que
evita que el tráfico llegue a la subinterfaz .7.
STEP 1 | Cree una subinterfaz para una interfaz Ethernet.

1. Seleccione Network (Red) > Interfaces > Ethernet y seleccione una interfaz de capa 2, en este
ejemplo, ethernet1/1.
2. Seleccione Add Subinterfaces (Añadir subinterfaces).
3. El valor de Interface Name (Nombre de interfaz) vuelve al valor predeterminado de la interfaz
(ethernet 1/1). Luego del punto, introduzca 7.
4. En Tag (Etiqueta), introduzca 300.
5. En Security Zone (Zona de seguridad), seleccione User (Usuario).
STEP 2 | Cree una segunda subinterfaz para la interfaz Ethernet.

1. Seleccione Network (Red) > Interfaces > Ethernet y seleccione la interfaz de capa 2: ethernet1/1.
2. Seleccione Add Subinterfaces (Añadir subinterfaces).
3. El valor de Interface Name (Nombre de interfaz) vuelve al valor predeterminado de la interfaz
(ethernet 1/1). Luego del punto, introduzca 8.
4. En Tag (Etiqueta), introduzca 400.
5. En Security Zone (Zona de seguridad), seleccione User (Usuario).
STEP 3 | Cree una VLAN para la interfaz Layer2 y dos subinterfaces.

1. Seleccione Network (Red) > VLANs (VLAN) y haga clic en Add (Añadir) para añadir una VLAN.
2. Introduzca un nombre en Name (Nombre) de la VLAN; para este ejemplo, introduzca Datacenter
(Centro de datos).
3. En VLAN Interface (Interfaz de VLAN), seleccione None (Ninguno).
4. En Interfaces, haga clic en Add (Añadir) y seleccione la interfaz de capa 2: ethernet1/1 y dos
interfaces: ethernet1/1.7 y ethernet1/1.8.
STEP 4 | Bloquee los paquetes de protocolo no IP en un perfil de protección de zona.

zona) y haga clic en Add (Añadir) para añadir un perfil.
2. Introduzca un nombre en Name (Nombre), en este ejemplo, Block LLDP (LLDP de bloqueo).
3. Introduzca una descripción del perfil en Description (Descripción): bloquee los paquetes LLDP
provenientes de una red LLDP hacia otras interfaces de la zona (intrazona).
4. Seleccione Protocol Protection (Protección de protocolo).
5. Seleccione Rule Type (Tipo de regla) para la Exclude List (Lista de exclusión).
6. Introduzca el Protocol Name (Nombre de protocolo) LLDP.
7. Introduzca el código Ethertype 0x88cc. Se debe introducir 0x antes del código Ethertype para indicar
un valor hexadecimal.
8. Seleccione Enabled (Habilitado).
STEP 5 | Aplique el perfil de protección de zona a la zona de seguridad a la que pertenece la VLAN de
capa 2.
1. SeleccioneNetwork (Red) > Zones (Zonas).
2. Haga clic en Add (Añadir) para añadir una zona.
3. Introduzca el Name (Nombre) de la zona User (Usuario).
6. Haga clic en Add (Añadir) para añadir una Interface (Interfaz) que pertenezca a la zona, ethernet1/1.7
7. Haga clic en Add (Añadir) para añadir una Interface (Interfaz) que pertenezca a la zona, ethernet1/1.8
8. En Zone Protection Profile (Perfil de protección de zona), seleccione el perfil Block LLDP (LLDP de
bloqueo).

STEP 7 | Vea la cantidad de paquetes no IP que el cortafuegos ha descartado en función de la

protección de protocolos.
Acceso a la CLI.
> show counter global name pkt_nonip_pkt_drop
> show counter global name pkt_nonip_pkt_drop delta yes
Configuración de la protección de búfer de paquetes

Configure la Protección de búfer de paquetes globalmente y aplique esta configuración por zona de ingreso.
Cuando el cortafuegos detecta una alta utilización del búfer, el cortafuegos solo supervisa y toma medidas
contra las sesiones de las zonas con la protección de búfer de paquetes habilitada. Por lo tanto, si la sesión
abusiva proviene de una zona sin protección de búfer de paquetes, la alta utilización del búfer de paquetes
continúa. La protección de búfer de paquetes puede aplicarse a una zona, pero no está activa hasta que la
configuración global se configure y habilite.
STEP 1 | Configure los umbrales de las sesiones globales.

1. Seleccione Device (Dispositivo) > Setup (Configuración) > Session (Sesión).
2. Edit (Edite) la configuración de la sesión.
3. Seleccione la casilla de verificación Packet Buffer Protection (Protección de búfer de paquetes) para
habilitar y configurar los umbrales de la protección de búfer de paquetes.
4. Introduzca un valor para cada umbral y temporizador para definir el comportamiento de la protección
de búfer de paquetes.
• Alert (%) [Alerta (%)]: cuando la utilización del búfer de paquetes supera este umbral durante
más de 10 segundos, el cortafuegos crea un evento de log cada minuto. El cortafuegos genera
eventos de log cuando la protección de búfer de paquetes se habilita globalmente. El umbral
predeterminado es 50% y el intervalo es de 0% a 99%. Si el valor es 0%, el cortafuegos no crea un
evento de log.
• Activate (Activación) (%): cuando la utilización del búfer de paquetes supera este umbral, el
cortafuegos aplica RED a las sesiones abusivas. El umbral predeterminado es 50% y el intervalo es
de 0% a 99%. Si el valor es 0%, el cortafuegos no aplica Random Early Drop (RED).
El cortafuegos registra eventos de alerta en el log del sistema y eventos de tráfico

descartados, sesiones descartadas y direcciones IP bloqueadas en el log de
amenazas.
• Block Hold Time (sec) (Tiempo de espera del bloqueo [s]): el tiempo, en segundos, que se permite
a la sesión con mitigación de RED continuar antes de que el cortafuegos la descarte. Por defecto,
el tiempo de espera del bloqueo es de 60 segundos. El intervalo es de 0 a 65.535. Si el valor es 0,
el cortafuegos no descarta sesiones basadas en la protección de búfer de paquetes.
• Block Duration (sec) (Duración del bloqueo [s]): esta configuración define cuánto tiempo una
sesión permanece descartada o una dirección IP permanece bloqueada. El valor predeterminado
es 3.600 segundos con un intervalo de 1 segundos a 15.999.999 segundos.
STEP 2 | Habilite la protección de búfer de paquetes en una zona de ingreso.

1. SeleccioneNetwork (Red) > Zones (Zonas).
2. Seleccione una zona de ingreso y haga clic en su nombre.
3. Seleccione la casilla de verificación Enable Packet Buffer Protection (Habilitar protección de búfer de
paquetes) en la sección Zone Protection (Protección de zona).
Protección DoS contra inundaciones de nuevas
sesiones
La protección DoS contra la inundación de nuevas sesiones es útil contra los ataques de una sesión y
múltiples sesiones de gran volumen. En un ataque de una única sesión, un atacante usa una única sesión
para dirigirse contra un dispositivo situado tras el cortafuegos. Si una regla de seguridad admite el tráfico, la
sesión se establece y el atacante inicia un ataque enviando paquetes a una tasa muy elevada con la misma
dirección IP y número de puerto de origen, dirección IP y número de puerto de destino y protocolo para
intentar sobrecargar al objetivo. En un ataque de múltiples sesiones, un atacante emplea múltiples sesiones
(o conexiones por segundo [cps]) desde un único host para iniciar un ataque DoS.
Esta función solo protege contra los ataques DoS de nuevas sesiones, es decir, el
tráfico que no se ha descargado en el hardware. Esta función no protege contra ataques
descargados. Sin embargo, este tema describe cómo crear una regla de políticas de
seguridad para restablecer el cliente; el atacante reinicia el ataque con numerosas
conexiones por segundo y es bloqueado por las defensas que se indican en este tema.
Perfiles de protección y reglas de la política del DoS on page 1110 funcionan en conjunto para ofrecer
protección contra inundaciones de diversos paquetes SYN, UDP, ICMP e ICMPv6 entrantes y otros tipos
de paquetes IP. Puede determinar los umbrales que constituyen una inundación. Por lo general, el perfil de
protección DoS establece los umbrales en los que el cortafuego genera una alarma DoS, realiza una acción
como Random Early Drop (Descarte aleatorio temprano) y descarta conexiones entrantes adicionales. La
regla de la política de protección DoS que se establece como protect (proteger) (en lugar de permitir o
denegar paquetes) determina los criterios de coincidencia de los paquetes (como dirección de origen) que
se tendrán en cuenta para el umbral. Esta flexibilidad le permite prohibir determinado tráfico o permitir
determinado tráfico y tratar otro tráfico como tráfico DoS. Cuando la tasa entrante supera el umbral
máximo, el cortafuegos bloquea el tráfico entrante de la dirección de origen.
• Ataque DoS multisesión on page 1120
• Ataque DoS de una sesión on page 1123
• Configuración de protección DoS contra inundaciones de nuevas sesiones on page 1123
• Finalización de un ataque DoS de una sesión on page 1126
• Identificación de sesiones que utilizan un porcentaje excesivo del búfer de paquete on page 1127
• Eliminación de una sesión sin confirmación on page 1129
Ataque DoS multisesión

Realice la configuración de protección DoS contra inundaciones de nuevas sesiones configurando una regla
de políticas de protección DoS, que determina los criterios que activan la acción Protect (Proteger) cuando
coinciden con paquetes entrantes. El perfil de protección cuenta cada nueva conexión en los umbrales Tasa
de alarma, Tasa de activación y Tasa máxima. Cuando las conexiones nuevas entrantes por segundo superan
la Tasa máxima, el cortafuegos toma la medida especificada en el perfil de protección DoS.
La siguiente figura y tabla describen cómo funcionan juntas las reglas de políticas de seguridad, las reglas de
política de protección DoS y el perfil en un ejemplo.
Secuencia de eventos cuando un cortafuegos pone una dirección IP en cuarentena
En este ejemplo, un atacante inicia un ataque DoS a una tasa de 10 000

conexiones nuevas por segundo al puerto 53 de UDP. El atacante
también envía 10 conexiones nuevas por segundo al puerto 80 de HTTP.
Las nuevas conexiones coinciden con los criterios de la regla de política

de protección DoS, como una interfaz o zona de origen, dirección IP de
origen, zona o interfaz de destino, dirección IP de destino o servicio,
entre otros ajustes. En este ejemplo, la regla de política especifica UDP.
La regla de política de protección DoS también especifica la acción
Protect (Proteger) y Classified (Clasificado), dos ajustes que
dinámicamente poner en vigor los ajustes de perfil de protección DoS. El
perfil de protección DoS especifica que se permite una tasa máxima de
3000 paquetes por segundo. Cuando los paquetes entrantes coinciden
con la regla de política de protección DoS, las nuevas conexiones por
segundo se incluyen en los umbrales de Alert (Alerta), Activate (Activar)
y Max Rate (Tasa máxima).
También puede usar una regla de políticas de

seguridad para bloquear todo el tráfico desde la
dirección IP de origen si considera que esa dirección es
malintencionada siempre.
Las 10 000 conexiones nuevas por segundo superan el umbral de Tasa

máxima. Cuando se produce todo lo siguiente:
• el umbral se supera,
• se especifica una duración de bloque y
• Classified (Clasificado) se define para incluir una dirección IP de
origen,
el cortafuegos incluye la dirección IP de origen infractora en la lista de
bloqueados.
Una dirección IP en la lista de bloqueados está en cuarentena, lo que

significa que todo el tráfico procedente de esa dirección IP queda
bloqueado. El cortafuegos bloquea la dirección IP de origen antes de que
los paquetes de ataque adicionales lleguen a la política de seguridad.
La siguiente figura describe más detalladamente lo que ocurre cuando una dirección IP que coincide
con la regla de política de protección de DoS se incluye en la lista de bloqueados. También describe el
temporizador de duración del bloqueo.
Cada segundo, el cortafuegos permite que la dirección IP salga de la lista de bloqueados para poder probar
los patrones de tráfico y determinar si el ataque sigue activo. El cortafuegos realiza la siguiente acción:
• Durante este periodo de prueba de un segundo, el cortafuegos permite que los paquetes que no
coinciden con los criterios de la política de protección DoS (tráfico HTTP en este ejemplo) atraviesen las
reglas de políticas de protección DoS en la política de seguridad para la validación. Muy pocos paquetes,
o ninguno, tienen tiempo para llegar, porque el primer paquete de ataque que recibe el cortafuegos
después de dejar que la dirección IP salga de la lista de bloqueados coincidirá con los criterios de la
política de protección DoS, lo que rápidamente hará que la dirección IP se devuelva rápidamente a la
lista de bloqueados durante otro segundo. El cortafuegos repite esta prueba cada segundo hasta que el
ataque se detiene.
• El cortafuegos evita que todo el tráfico de ataque pase las reglas de política de protección DoS (la
dirección se mantiene en la lista de bloqueados) hasta que vence la duración de bloqueo.
Cuando el ataque se detiene, el cortafuegos no devuelve la dirección IP a la lista de bloqueados. El
cortafuegos permite que el tráfico que no sea de ataque atraviese las reglas de políticas de protección DoS
a las reglas de política de seguridad para su evaluación. Debe configurar una regla de política de seguridad
para permitir o denegar el tráfico porque, sin una, una regla de denegación implícita deniega todo el tráfico.
La lista de bloqueados se basa en una combinación de zona de origen y dirección de origen. Este
comportamiento permite que las direcciones IP duplicadas existan siempre y cuando estén en distintas
zonas que pertenecen a enrutadores virtuales separados.
El ajuste de duración de bloqueo en un perfil de protección DoS especifica durante cuánto tiempo el
cortafuegos bloquea los paquetes (infractores) que coinciden exactamente con una regla de política de
protección DoS. El tráfico del ataque sigue bloqueado hasta que vence la duración del bloqueo, después
de lo cual el tráfico del ataque debe superar de nuevo el umbral de tasa máxima para que pueda volver a
bloquearse.
Si el atacante usa múltiples sesiones o bots que inician múltiples sesiones de ataque,
las sesiones cuentan hacia los umbrales del perfil de protección DoS sin una regla de
denegación de política de seguridad vigente. Por lo tanto, un ataque de sesión única
requiere una regla de denegación o descarte de política de seguridad para que cada
paquete cuente en los umbrales; en cambio, un ataque de sesión múltiple no la necesita.
Por ello, la protección DoS contra la inundación de nuevas sesiones permite que el cortafuegos proteja
eficientemente contra una dirección IP de origen mientras haya tráfico de ataque en curso, y permite que
el tráfico que no sea de ataque pase en cuanto se detenga el ataque. El colocar la dirección IP infractora
en la lista de bloqueados permite que la funcionalidad de protección DoS aproveche la lista de bloqueados,
lo cual está diseñado para poner en cuarentena toda la actividad de esa dirección IP de origen, tal como
paquetes con una aplicación diferente. Poner la dirección IP en cuarentena de toda actividad protege contra
atacantes modernos que intentan un ataque de aplicación rotatorio, en el que el atacante simplemente
cambia de aplicación para iniciar un nuevo ataque o usa una combinación de diferentes ataques en un
ataque DoS híbrido. Puede Supervisar direcciones IP bloqueadas para visualizar la lista de bloqueo, eliminar
entradas de dicha lista y obtener información adicional sobre una dirección IP de la lista de bloqueo.
A partir de PAN-OS 7.0.2, hay un cambio de comportamiento que hace que el cortafuegos
sitúe la dirección IP de origen de ataque en la lista de bloqueo. Cuando el ataque se
detiene, el tráfico de no ataque puede continuar con el cumplimiento de la política de
seguridad. El tráfico de ataque que coincidía con el perfil de protección DoS y las reglas de
política de protección DoS continúa bloqueado hasta que vence la duración de bloqueo.
Ataque DoS de una sesión

Un ataque DoS de una sesión no suele desactivar los perfiles de zona o protección DoS porque eran
ataques que se formaban después de crear la sesión. La política de seguridad permite estos ataques porque
se permite crear una sesión y, una vez que la sesión se ha creado, el ataque incrementa el volumen del
paquete y anula el dispositivo de destino.
Configuración de protección DoS contra inundaciones de nuevas sesiones on page 1123 para proteger
contra la inundación de nuevas sesiones (inundación de una sesión y múltiples sesiones). En caso de que
haya un ataque de única sesión en curso, también puede realizar el Finalización de un ataque DoS de una
sesión on page 1126.
Configuración de protección DoS contra inundaciones de nuevas

sesiones
STEP 1 | Configure las reglas de política de seguridad para denegar el tráfico desde la dirección IP
del atacante y permitir otro tráfico basado en sus necesidades de red. Puede especificar
cualquier criterio de coincidencia en una regla de política de seguridad como la dirección IP de
origen. (Obligatorio para la mitigación de ataques de una sesión o los ataques que no
han activado el umbral de política de protección DoS; opcional para la mitigación de
ataques de sesión múltiple)
Este paso es uno de los pasos que suele realizarse para detener un ataque existente.
Consulte Finalización de un ataque DoS de una sesión on page 1126.
• Creación de una regla de política de seguridad on page 992
STEP 2 | Configure un perfil de protección DoS para la protección de inundación.
Como los ataques de inundación pueden ocurrir en múltiples protocolos, se recomienda

activar la protección para todos los tipos de inundaciones en el perfil de protección DoS.
1. Seleccione Objects (Objetos) > Security Profiles (Perfiles de seguridad) > DoS Protection (Protección
DoS) y Add (Añadir) para añadir un nombre de perfil en Name (Nombre).
2. Seleccione Classified (Clasificado) como el Type (Tipo).
3. Para Flood Protection (Protección contra congestión), seleccione todos los tipos de protección
contra congestión.
• Congestión SYN
• Congestión UDP
• Congestión ICMP
• Congestión de ICMPv6
• Otra congestión IP
4. Cuando habilite SYN Flood (Congestión SYN), seleccione la Action (Acción) que ocurre cuando las
conexiones por segundo (cps) superan el umbral de la Activate Rate (Tasa de activación):
1. Random Early Drop (Descarte aleatorio temprano): el cortafuegos utiliza un algoritmo para iniciar
el descarte progresivo de ese tipo de paquete. Si el ataque continúa, cuanto más alta sea la tasa
de cps entrantes (por encima de la tasa de activación), más paquetes descartará el cortafuegos.
El cortafuegos descarta los paquetes hasta que la tasa de cps entrantes alcanza la Max Rate
(Tasa máxima), en cuyo punto el cortafuegos descarta todas las conexiones entrantes. Random
Early Drop (Descarte aleatorio temprano) (RED) es la acción predeterminada para SYN Flood
(Congestión SYN) y la única acción para UDP Flood (Congestión UDP), ICMP Flood (Congestión
ICMP), ICMPv6 Flood (Congestión ICMPv6) y Other IP Flood (Otra congestión IP). RED es más
eficiente que las cookies SYN y puede manejar ataques mayores, pero no diferencia entre tráfico
positivo y negativo.
2. SYN Cookies: en lugar de enviar inmediatamente SYN al servidor, el cortafuegos genera una
cookie (en nombre del servidor) para enviar en el SYN-ACK al cliente. El cliente responde con su
ACK y la cookie, tras esta validación, el cortafuegos luego envía el SYN al servidor. La acción SYN
Cookies requiere de más recursos del cortafuegos que Random Early Drop (Descarte aleatorio
temprano); permite diferenciar mejor, ya que afecta al tráfico negativo.
5. (Opcional) En cada una de las pestañas de inundación, cambie los siguientes umbrales para ajustarlos
a su entorno:
• Alarm Rate (connections/s) (Tasa de alarma [conexiones/s]): especifique la tasa de umbral
(cps) por encima de la cual se activa una alarma DoS. (El intervalo es 0-2.000.000; el valor
predeterminado es 10.000).
• Activate Rate (connections/s) (Tasa de activación [conexiones/s]): especifique la tasa de umbral
(cps) por encima de la cual se activa una respuesta DoS. Cuando se alcanza el umbral de Activate
Rate (Tasa de activación), se produce un Random Early Drop (Descarte aleatorio temprano).
El intervalo es 0-2.000.000; el valor predeterminado es 10.000. (Para la congesión SYN, puede
seleccionar la acción que ocurre).
• Max Rate (packets/s) (Tasa máxima [paquetes/s]): especifique la tasa de umbral de conexiones
entrantes por segundo que permite el cortafuegos. Cuando se supera el umbral, se descartan las
nuevas conexiones que llegan. (El intervalo es 2-2.000.000; el valor predeterminado es 40.000).
Los valores de umbral predeterminados de este paso solo son puntos de inicio y
pueden no ser adecuados para su red. Debe analizar el comportamiento de su red
para definir adecuadamente valores de umbral iniciales.
6. En cada pestaña de congestión, especifique la Block Duration (en segundos), que es el período
durante el cual el cortafuegos bloquea paquetes que coinciden con la regla de política de protección
DoS que hace referencia a este perfil. Especifique un valor mayor que cero. (El intervalo es 1-21.600;
el valor predeterminado es 300).
Configure un valor de Block Duration (Duración de bloqueo) bajo si le preocupa que

los paquetes que identificó incorrectamente como tráfico de ataque se bloqueen de
manera innecesaria.
Defina un valor de Block Duration (Duración de bloqueo) alto si está más preocupado por bloquear
ataques volumétricos que por bloquear incorrectamente paquetes que no sean parte de un ataque.
STEP 3 | Configure una regla de política de protección DoS que especifique los criterios para comparar
el tráfico entrante.
Los recursos de cortafuegos son limitados, por lo cual no debería clasificar el uso de
direcciones de origen en una zona accesible desde internet, debido a que puede haber
una gran cantidad de direcciones IP únicas que coincidan con la regla de política de
protección DoS. Eso requeriría numerosos contadores y el cortafuegos se quedaría sin
recursos de rastreo. En su lugar, defina una regla de política de protección DoS que se
clasifique usando la dirección de destino (del servidor que está protegiendo).
1. Seleccione Policies (Políticas) > DoS Protection (Protección DoS) y luego Add (Añadir) para añadir un
Name (Nombre) en la pestaña General. El nombre distingue entre mayúsculas y minúsculas y puede
tener un máximo de 31 caracteres, incluidas letras, números, espacios, guiones y guiones bajos.
2. En la pestaña Source (Origen), seleccione el Type (Tipo) para que sea una Zone (Zona) o Interface
(Interfaz), y después seleccione Add (Añadir) para añadir las zonas o interfaces. Elija la zona o interfaz
según su implementación y lo que desea proteger. Por ejemplo, si tiene solo una interfaz que ingresa
en el cortafuegos, elija una interfaz.
3. (Opcional) En Source Address (Dirección de origen), seleccione Any (Cualquiera) para que cualquier
dirección IP entrante coincida con la regla o seleccione Add (Añadir) para añadir un objeto de
dirección como una región geográfica.
4. (Opcional) Para Source User (Usuario de origen), seleccione any (cualquiera) o especifique un usuario.
5. (Opcional) Seleccione Negate (Negar) para que coincida con cualquier origen excepto los que
especifique.
6. (Opcional) En la pestaña Destination (Destino), seleccione el Type (Tipo) para que sea una Zone
(Zona) o Interface (Interfaz), y después seleccione Add (Añadir) para añadir las zonas o interfaces. Por
ejemplo, escriba la zona de seguridad que desee proteger.
7. (Opcional) En Destination Address (Dirección de destino), seleccione Any (Cualquiera) o introduzca la
dirección IP del dispositivo que desee proteger.
8. (Opcional) En la pestaña Option/Protection (Opción/Protección), seleccione Add (Añadir) para
añadir un Service (Servicio). Seleccione un servicio o haga clic en Service (Servicio) e introduzca un
nombre en Name. Seleccione TCP o UDP. Introduzca un Destination Port (Puerto de destino). Si
no especifica un servicio concreto, la regla comparará la inundación de cualquier tipo de protocolo
indistintamente del puerto específico de la aplicación.
9. En la pestaña Option/Protection (Opción/Protección), para Action (Acción), seleccione Protect
(Proteger).
10.Seleccione Classified (Clasificado).
11.En Profile (Perfil), seleccione el nombre del perfil de DoS Protection (Protección DoS) que creó.
12.En Address (Dirección), seleccione source-ip-only o src-dest-ip-both, lo que determina el tipo
de dirección IP al que se aplica la regla. Seleccione el ajuste en función de cómo desea que el
cortafuegos identifique el tráfico infractor:
• Especifique source-ip-only si desea que el cortafuegos clasifique únicamente la dirección IP de
origen. Debido a que los atacantes a menudo prueban toda la red en busca de hosts a los cuales
atacar, source-ip-only es el ajuste típico para un examen más amplio.
• Especifique src-dest-ip-both si desea proteger únicamente contra ataques DoS en el servidor
que tiene una dirección de destino específica y asegurarse de que ninguna dirección IP de origen
sobrepase un umbral específico de cps con ese servidor.

Finalización de un ataque DoS de una sesión

Para mitigar un ataque DoS de una sesión, debe realizar la Configuración de protección DoS contra
inundaciones de nuevas sesiones por adelantado. En algún momento después de configurar la funcionalidad,
es posible que se establezca una sesión antes de observar que hay en curso un ataque DoS (desde la
dirección IP de esa sesión). Si detecta un ataque DoS de sesión única, realice la siguiente tarea para finalizar
la sesión, de modo que los siguientes intentos de conexión desde esa dirección IP activen la protección DoS
contra la inundación de nuevas sesiones.
STEP 1 | Identifique la dirección IP de origen que está causando el ataque.

Por ejemplo, use la función de captura de paquetes del cortafuegos con un filtro de destino para
recopilar una muestra de todo el tráfico que va a la dirección IP de destino. De manera alternativa, utilice
ACC para filtrar según la dirección de destino para ver la actividad en el host de destino que está siendo
atacado.
STEP 2 | Cree una regla de política de protección DoS que bloqueará la dirección IP del atacante cuando
se hayan superado los umbrales de ataque.
STEP 3 | Cree una regla de política de seguridad para denegar la dirección IP de origen y su tráfico de
ataque.
STEP 4 | Finalice cualquier ataque existente desde la dirección IP de origen del ataque ejecutando el
comando operativo clear session all filter source <ip-address>.
De manera alternativa, si conoce el ID de sesión, puede ejecutar el comando clear session id
<value> para finalizar únicamente esa sesión.
Si utiliza el comando clear session all filter source <ip-address>, todas

las sesiones que coincidan con la dirección IP de origen se descartarán, lo que puede
incluir tanto las sesiones correctas como las incorrectas.
Cuando haya finalizado la sesión de ataque existente, cualquier intento posterior de formar una sesión
de ataque será bloqueado por la política de seguridad. La política de protección DoS cuenta todos los
intentos de conexión y los incluye en los umbrales. Cuando se alcanza el umbral máximo de la tasa, la
dirección IP de origen se bloquea durante la duración del bloqueo, como se describe en Multiple-Session
DoS Attack (Ataque de DoS de múltiples sesiones).
Identificación de sesiones que utilizan un porcentaje excesivo del

búfer de paquete
Cuando un cortafuegos exhibe signos de vaciado de recursos, puede estar experimentando un ataque que
envía una cantidad abrumadora de paquetes. En tales casos, el cortafuegos comienza a almacenar en búfer
los paquetes entrantes. Puede identificar rápidamente las sesiones que están usando un porcentaje excesivo
de almacenamiento en búfer de paquetes y mitigar el impacto al descartarlos.
Realice la siguiente tarea en cualquier modelo de cortafuegos basado en hardware (no un cortafuegos de la
serie VM) para identificar, para cada ranura y plano de datos, el porcentaje utilizado de almacenamiento en
búfer de paquetes, las cinco sesiones principales que usan más del dos por ciento del almacenamiento en
búfer de paquetes y las direcciones IP de origen asociadas con dichas sesiones. El tener más información le
permite tomar las medidas apropiadas.
STEP 1 | Visualice del uso de recursos del cortafuegos, las sesiones principales y los detalles de sesión
Ejecute el siguiente comando operativo en la CLI (a continuación un ejemplo de resultado del
comando):
admin@PA-7050> show running resource-monitor ingress-backlogs

-- SLOT:s1, DP:dp1 -- USAGE - ATOMIC: 92% TOTAL: 93%
TOP SESSIONS:SESS-ID PCT GRP-ID COUNT
6 92% 1 156 7 1732
SESSION DETAILS SESS-ID PROTO SZONESRC SPORT DST DPORT IGR-
IF EGR-IF APP
6 6 trust 192.168.2.35 55653 10.1.8.89 80 ethernet1/21 ethernet1/22
undecided
El comando muestra un máximo de las cinco sesiones principales que usan el 2 % cada una o más del
almacenamiento en búfer de paquetes.
El ejemplo de resultado anterior indica que la sesión 6 está utilizando el 92 % del almacenamiento en
búfer de paquetes con paquetes TCP (protocolo 6) provenientes de la dirección IP 192.168.2.35.
• SESS-ID: indica el ID de sesión global que se utiliza en todos los demás comandos show session.
El ID de sesión global es único dentro del cortafuegos.
• GRP-ID: indica una fase interna del procesamiento de paquetes.
• COUNT: indica cuántos paquetes hay en ese GRP-ID para esa sesión.
• APP: indica el App-ID extraído de la información de sesión que puede ayudarlo a determinar si el
tráfico es legítimo. Por ejemplo, si los paquetes usan un puerto TCP o UDP común, pero el resultado
de CLI indica una APP de undecided, los paquetes posiblemente sean tráfico de ataque. La APP es
undecided cuando los decodificadores IP de la aplicación no pueden obtener suficiente información
para determinar la aplicación. Una APP unknown indica que los decodificadores de IP de aplicación
no pueden determinar la aplicación; una sesión de APP unknown que utiliza un alto porcentaje del
almacenamiento en búfer de paquetes también es sospechosa.
Para restringir el resultado que se muestra:
En un modelo de la serie PA-7000, puede limitar el resultado a una ranura, un plano de datos o ambos.
Por ejemplo:
admin@PA-7050> show running resource-monitor ingress-backlogs slot s1
admin@PA-7050> show running resource-monitor ingress-backlogs slot s1 dp
dp1
En la serie PA-5000, PA-5200 y PA-7000 únicamente, puede limitar el resultado a un plano de datos.
Por ejemplo:
admin@PA-5060> show running resource-monitor ingress-backlogs dp dp1
STEP 2 | Utilice el resultado de comando para determinar si el origen de la dirección IP de origen que
usa un alto porcentaje del almacenamiento en búfer de paquetes está enviando tráfico legítimo
o de ataque.
En el ejemplo de resultado anterior, probablemente se esté produciendo el ataque de una sola sesión.
Una sola sesión (ID de sesión 6) está usando el 92 % del almacenamiento en búfer de paquetes para la
ranura 1, DP1 y la aplicación en ese punto es undecided.
• Si determina que un solo usuario está enviando un ataque y el tráfico no es descargado, puede
finalizar un ataque DoS de sesión única. Como mínimo, puede configurar protección DoS contra
inundaciones de nuevas sesiones.
• En un modelo de hardware que tiene una matriz de puertas de campo programable (field-
programmable gate array, FPGA), el cortafuegos descarga el tráfico en la FPGA cuando es posible
para aumentar el rendimiento. Si el tráfico se descarga en el hardware, el borrar la sesión no ayuda,
ya que luego es el software el que debe manejar el bombardeo de paquetes. En lugar de ello, debe
eliminar una sesión sin confirmación.
Para ver si una sesión está descargada o no, use el comando operativo show session id
<session-id> en la CLI como se muestra en el siguiente ejemplo. El valor layer7 processing
(procesamiento de capa7) indica completed (completo) para las sesiones descargadas o
enabled (habilitado) para las sesiones no descargadas.
Eliminación de una sesión sin confirmación
Realice esta tarea para descartar de manera permanente una sesión, tal como una sesión que está
sobrecargando el almacenamiento en búfer de paquetes. No se necesita confirmación; la sesión se elimina
inmediatamente después de ejecutar el comando. Los comandos se aplican a las sesiones descargadas y no
descargadas.
STEP 1 | En la CLI, ejecute el siguiente comando operativo en cualquier modelo de hardware:
admin@PA-7050> request session-discard [timeout <seconds>] [reason <reason-

string>] id <session-id>
El tiempo de espera por defecto es de 3.600 segundos.
STEP 2 | Verifique que las sesiones se hayan eliminado.
admin@PA-7050> show session all filter state discard
Certificaciones
Los siguientes temas describen cómo configurar los cortafuegos y los dispositivos de Palo
Alto Networks® para que admitan los criterios comunes y los estándares federales de
procesamiento de la información 140-2 (FIPS 140-2), que son certificados de seguridad que
garantizan un conjunto estándar de garantías y funciones de seguridad. Estos certificados
suelen solicitarlos las agencias civiles del gobierno de EE. UU. y contratistas gubernamentales.
Si desea información detallada sobre las certificaciones de los productos y la validación
externa, consulte la página de Certificaciones.
> Habilitación de FIPS y compatibilidad con criterios comunes

> Funciones de seguridad de FIPS-CC
1131
1132 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Certificaciones
Habilitación de FIPS y compatibilidad con
criterios comunes
Utilice el siguiente procedimiento para habilitar el modo FIPS-CC en una versión de software que admita
los criterios comunes y los estándares federales de procesamiento de la información 140-2 (FIPS 140-2).
Cuando habilita el modo FIPS-CC, se incluye toda la funcionalidad FIPS y CC.
El modo FIPS-CC es compatible con todos los cortafuegos y todos los dispositivos de última generación
de Palo Alto Networks, incluso los cortafuegos serie VM. Para habilitar el modo FIPS-CC, arranque el
cortafuegos en la Maintenance Recovery Tool (Herramienta de recuperación de mantenimiento, MRT) y
cambie el modo operativo de modo normal a modo FIPS-CC. El procedimiento necesario para cambiar el
modo operativo es el mismo en todos los cortafuegos y dispositivos, pero el procedimiento necesario para
acceder a la MRT varía.
Cuando habilita el modo FIPS-CC, el cortafuegos restablecerá la configuración

predeterminada de fábrica; se eliminará toda la configuración.
• Acceda a la Maintenance Recovery Tool (Herramienta de recuperación de mantenimiento, MRT)

• Cambio del modo operativo a modo FIPS-CC
Acceda a la Maintenance Recovery Tool (Herramienta de

recuperación de mantenimiento, MRT)
La MRT le permite realizar varias tareas en los cortafuegos y los dispositivos de Palo Alto Networks. Por
ejemplo, puede revertir el cortafuegos o el dispositivo a la configuración predeterminada de fábrica, revertir
el PAN-OS o una actualización de contenido a una versión previa, realizar el diagnóstico en el sistema de
archivos, reunir información del sistema y extraer logs. Además, puede utilizar la MRT para llevar a cabo el
Cambio de modo operativo a modo FIPS-CC o de modo FIPS-CC a modo normal.
Los siguientes procedimientos describen cómo acceder a la MRT en varios productos de Palo Alto
Networks.
• Acceda a la MRT en los cortafuegos y los dispositivos del hardware (como los cortafuegos
PA-200, los cortafuegos PA-7000 o los dispositivos serie M).
1. Establezca una sesión de consola serie hacia el cortafuegos o el dispositivo.
1. Conecte un cable serie desde el puerto serie de su ordenador hasta el puerto de consola del
cortafuegos o dispositivo.
Si su ordenador no tiene un puerto serie de 9 clavijas, pero tiene un puerto USB,

utilice el conversor de serie a USB para establecer la conexión. Si el cortafuegos
tiene un puerto de consola micro USB, conéctelo al puerto con un cable estándar
USB tipo A a micro USB.
2. Abra el software de emulación de terminal en su ordenador y establézcalo como 9600-8-N-1, y
conéctese al puerto COM correspondiente.
En un sistema Windows, puede dirigirse al panel de control para ver la

configuración del puerto COM de los dispositivos e impresoras y determinar el
puerto COM que se asigna a la consola.
3. Inicie sesión con una cuenta de administrador. (El nombre de usuario y la contraseña
predeterminados son admin/admin).
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Certificaciones 1133

2. Introduzca el siguiente comando de CLI y pulse y para confirmar:

3. Después de que el cortafuegos o el dispositivo arranque con la pantalla de bienvenida de la MRT (en
aproximadamente 2 a 3 minutos), pulse Intro en Continue (Continuar) para acceder al menú
principal de la MRT.
También puede acceder a la MRT reiniciando el cortafuegos o dispositivo, y

escribiendo maint en el mensaje del modo de mantenimiento. Se requiere una
conexión directa de consola serie.
Después de que el cortafuegos o el dispositivo arranque con la MRT, puede acceder a la MRT de
manera remota estableciendo una conexión SSH a la dirección IP del interfaz de administración
(MGT). En el mensaje de inicio de sesión, introduzca maint como nombre de usuario y el número de
serie del cortafuegos o el dispositivo como contraseña.
• Acceda a la MRT en los cortafuegos serie VM que se implementan en una nube privada (como
en un hipervisor VMware ESXi o KVM).
1. Establezca una sesión SSH para la dirección IP de administración del cortafuegos e inicie sesión con
una cuenta de administrador.
El cortafuegos tardará aproximadamente 2 a 3 minutos en arrancar con la MRT.

Durante este período, su sesión SSH se desconectará.
3. Después de que el cortafuegos arranque en la pantalla de bienvenida de la MRT, inicie sesión en
función del modo operativo:
• Modo normal: Establezca una sesión SSH para la dirección IP de administración del cortafuegos e
inicie sesión utilizando maint como nombre de usuario y el número de serie del cortafuegos o el
dispositivo como contraseña.
• Modo FIPS-CC: Acceda al dispositivo de administración de máquinas virtuales (como el cliente
vSphere) y conéctese a la consola de máquinas virtuales.
4. En la pantalla de bienvenida de la MRT, pulse Intro en Continue (Continuar) para acceder al
menú principal de la MRT.
• Acceda a la MRT en los cortafuegos serie VM que se implementan en la nube privada (como
AWS o Azure).
1. Establezca una sesión SSH para la dirección IP de administración del cortafuegos e inicie sesión con
una cuenta de administrador.
El cortafuegos tardará aproximadamente 2 a 3 minutos en arrancar con la MRT.

Durante este período, su sesión SSH se desconectará.
3. Después de que el cortafuegos arranque en la pantalla de bienvenida de la MRT, inicie sesión en
función del tipo de máquina virtual:

• AWS: Inicie sesión como ec2-user y seleccione la clave pública de SSH asociada a la máquina
virtual cuando la implementó.
• Azure: Introduzca las credenciales que creó cuando implementó el cortafuegos VM-Series.
4. En la pantalla de bienvenida de la MRT, pulse Intro en Continue (Continuar) para acceder al
menú principal de la MRT.
Cambio del modo operativo a modo FIPS-CC

El siguiente procedimiento describe cómo cambiar el modo operativo de un producto de Palo Alto
Networks de modo normal a modo FIPS-CC.
STEP 1 | Conéctese al cortafuegos o dispositivo, y realice el Acceso a la Maintenance Recovery Tool

(Herramienta de recuperación de mantenimiento, MRT).
STEP 2 | Seleccione Set FIPS-CC Mode en el menú.
STEP 3 | Seleccione Enable FIPS-CC Mode (Habilitación del modo FIPS-CC). Se inicia la
operación de cambio de modo y un indicador de estado muestra el progreso. Una vez
completado el cambio de modo, el estado es Success (Correcto).
STEP 4 | Cuando se le solicite, seleccione Reboot para reiniciar.
Si cambia el modo operativo en un cortafuegos serie VM implementado en una nube

pública (AWS o Azure) y pierde la conexión SSH a la MRT antes de poder reiniciar,
debe esperar entre 10 y 15 minutos para que se complete el cambio de modo. Vuelva a
iniciar sesión en la MRT y reinicie el cortafuegos para completar la operación.
Tras cambiar al modo FIPS-CC, observará el siguiente estado: FIPS-CC mode enabled
successfully.
Además, permanecen vigentes los siguientes cambios:
• FIPS-CC aparece siempre en la barra de estado de la parte inferior de la interfaz web.
• Las credenciales predeterminadas de inicio de sesión del administrador cambiarán a admin/paloalto.
Consulte las Funciones de seguridad de FIPS-CC para obtener información detallada de las funciones de
seguridad que se aplican en el modo FIPS-CC.
GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Certificaciones 1135

Funciones de seguridad de FIPS-CC
Cuando el modo FIPS-CC está habilitado, se aplican las siguientes funciones de seguridad en todos los
cortafuegos y los dispositivos:
Para iniciar sesión, el explorador debe ser compatible con TLS 1.1 (o superior); en un dispositivo
WF-500, solo podrá gestionar el dispositivo mediante la CLI y debe conectarse utilizando una aplicación
de cliente compatible con SSHv2.
Todas las contraseñas deben contener al menos seis caracteres.
Debe aplicar un valor de Failed Attempts (Intentos erróneos) y Lockout Time (Tiempo de bloqueo)
(min) que sea mayor a 0 en entornos de autenticación. Si un administrador alcanza el umbral del valor de
Failed Attempts (Intentos erróneos), el administrador queda bloqueado durante el tiempo definido en el
campo Lockout Time (Tiempo de bloqueo) (min).
Debe aplicar un valor Idle Timeout (Tiempo de espera de inactividad) superior a 0 en entornos de
autenticación. Si una sesión iniciada está inactiva más tiempo del valor especificado, la cuenta del
administrador cierra sesión automáticamente.
El cortafuegos o dispositivo determina automáticamente el nivel adecuado de prueba automática y aplica
el nivel de potencia apropiado en algoritmos de cifrado y conjuntos de cifrado.
Los algoritmos FIPS-CC no aprobados no se descifran y, por lo tanto, se ignoran durante el descifrado.
Cuando configure una VPN IPSec, el administrador debe seleccionar una opción de cifrado seguro que se
le presenta durante la configuración de IPSec.
Los certificados autogenerados e importados deben contener claves públicas que son RSA de 2.048 bits
(o más) o ECDSA de 256 bits (o más); debe utilizar un resumen de SHA256 o superior.
No puede utilizar un módulo de seguridad de hardware (hardware security module, HSM)

para guardar claves ECDSA privadas utilizadas para el descifrado de SSL Forward Proxy
(Proxy SSL de reenvío) o SSL Inbound Inspection (Inspección entrante de SSL).
Las conexiones de gestión de Telnet, TFTP y HTTP no están disponibles.
Se requiere cifrado en el puerto de alta disponibilidad (HA).
El puerto de la consola serie en el modo FIPS-CC funciona solo como un puerto de resultado de estado
limitado; el acceso a la CLI no se encuentra disponible.
El puerto de la consola serie en el hardware y en los cortafuegos de la nube privada serie VM que
arrancan en la MRT proporciona acceso interactivo a la MRT.
Los cortafuegos de la nube privada serie VM en el entorno del hipervisor que se arrancan en la MRT no
admiten el acceso interactivo a la consola; solo puede acceder a la MRT utilizando SSH.

Pan Os 80 Admin Guide Es Es PDF

Cargado por

Copyright:

Formatos disponibles

Pan Os 80 Admin Guide Es Es PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pan Os 80 Admin Guide Es Es PDF

Cargado por

Copyright:

Formatos disponibles

Guía del Administrador de PAN-OS 8.

About the Documentation

2 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 |

Administración del cortafuegos.....................................................................53

TABLE OF CONTENTS iii

Gestión de certificados................................................................................. 207

Alta disponibilidad.......................................................................................... 241

Prevención de amenazas.............................................................................. 515

TABLE OF CONTENTS vii

viii TABLE OF CONTENTS

Calidad de servicio......................................................................................... 695

VPN a gran escala (LSVPN)......................................................................... 763

xii TABLE OF CONTENTS

TABLE OF CONTENTS xiii

Protección de zona y protección contra DoS....................................... 1101

xiv TABLE OF CONTENTS

> Integración del firewall en la red de gestión

Determinación de la estrategia de gestión

Realización de la configuración inicial

GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos 19

STEP 2 | Conecte su ordenador al firewall.

STEP 3 | Cuando se le indique, inicie sesión en el firewall.

STEP 4 | Configure la interfaz MGT.

Para evitar el acceso no autorizado a la interfaz de gestión, se recomienda que

Asegúrese de que ni Telnet ni HTTP estén seleccionados, ya que estos servicios

STEP 5 | Configure los ajustes de DNS, servidor de actualización y servidor proxy.

Debe configurar manualmente al menos un servidor DNS en el firewall o no podrá

20 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos

STEP 6 | Configure los ajustes de fecha y hora (NTP).

Se recomienda no utilizar mensaje de bienvenida. Además, debe pedir a su

STEP 8 | Establezca una contraseña segura para la cuenta de administrador.

GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos 21

1. Seleccione Device (Dispositivo) > Administrators (Administradores).

STEP 9 | Compile los cambios.

Al guardar los cambios de configuración, perderá la conectividad con la interfaz web, ya

STEP 10 | Conecte el firewall a su red.

STEP 11 | Abra una sesión de gestión SSH en el firewall.

admin@PA-200 > ping host updates.paloaltonetworks.com

22 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos

Si tiene conectividad, el servidor de actualizaciones responde con el estado de asistencia para el

Comuníquese con nosotros

Establecimiento de acceso a la red para servicios externos

STEP 2 | Inicie sesión en la interfaz web.

GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos 23

STEP 5 | Configure las Service Routes (Rutas de servicio).

Para activar sus licencias y obtener el contenido y las actualizaciones de software

24 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos

Se recomienda que al crear reglas de política de seguridad use reglas basadas

STEP 7 | Cree una regla de política NAT.

GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos 25

admin@PA-200 > ping host updates.paloaltonetworks.com

request support check

Si tiene conectividad, el servidor de actualizaciones responde con el estado de asistencia para el

Comuníquese con nosotros

26 GUÍA DEL ADMINISTRADOR DE PAN-OS 8.0 | Primeros pasos

Si está registrando un cortafuegos serie VM, consulte la Guía de implementación de la serie

STEP 1 | Inicie sesión en la interfaz web.

STEP 2 | Busque el número de serie y cópielo en el portapapeles.

STEP 4 | Registre el cortafuegos.