VM-Series Deployment Guide
Contents
1. 2 Haga clic en Registrar y cumplimente los detalles en el formulario de registro de usuarios Debe usar el c digo de autenticaci n de capacidad y el n mero de pedido de compra o venta para registrar y crear una cuenta en el portal de asistencia t cnica 3 Env e el formulario Recibir un correo electr nico con un v nculo para activar la cuenta de usuario complete los pasos para activar la cuenta Una vez se verifique su cuenta y finalice el registro podr iniciar sesi n y descargar el paquete de software necesario para instalar el cortafuegos de la serie VM 4 Gu a de implementaci n de la serie VM Acerca del cortafuegos de la serie VM Obtenci n de licencia del Cortafuegos de la serie VM Registro del cortafuegos de la serie VM Siga las instrucciones de esta secci n para registrar su c digo de autenticaci n de capacidad con su cuenta de asistencia t cnica Registro del cortafuegos de la serie VM 1 Inicie sesi n en https support paloaltonetworks com con sus credenciales de cuenta 2 Seleccione Activos y haga clic en A adir c digos de autenticaci n de la serie VM HOME ACCOUNT MEMBERS ASSETS GROUPS Devices Spares name 3 En el campo A adir c digos de autenticaci n de la serie VM introduzca el c digo de autenticaci n de capacidad que recibi por correo electr nico y haga clic en la marca de verificaci n para guardar lo que ha introducido La p gina mostrar la lista2. Agrupaci n de invitados en grupos de seguridad de un cl ster Grupo de seguridad de la base de datos z gt A w n En el caso del tr fico que el cortafuegos de la serie VM debe examinar y asegurar las pol ticas del compositor de servicios NSX redirigen el tr fico al servicio Palo Alto Networks NGFW Este tr fico se dirige al cortafuegos de la serie VM que lo procesa antes de pasarlo al conmutador virtual Gu a de implementaci n de la serie VM 51 Presentaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM El tr fico entre grupos de seguridad se redirige al servicio Palo Alto NGFW lo w 3 w ad z ES Controlador de dominios Web Front End Aplicaci n Base de datos El tr fico no se redirige al servicio Palo Alto NGFW El tr fico que el cortafuegos VM no tiene que inspeccionar por ejemplo la copia de seguridad de datos de red de ejemplo o el tr fico hacia un controlador de dominio interno no tiene que redirigirse al cortafuegos de la serie VM y puede enviarse al conmutador virtual para continuar su procesamiento e Reglas gestionadas centralmente en Panorama y que aplica el cortafuegos de la serie VM el cortafuegos de la serie VM aplica reglas de cortafuegos de ltima generaci n Estas reglas se definen y gestionan centralmente en Panorama mediante grupos de dispositivos y plantillas y se env an a los cortafuegos de la serie VM A continuaci n
3. Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n del cortafuegos de la serie VM antes de la NetScaler VPX con interfaces de cable virtual Paso 4 Cree una regla de pol tica b sica que 1 permita el tr fico a trav s del cortafuegos gt En este ejemplo se muestra c mo permitir el tr fico entre la NetScaler VPX y los servidores web 1 Aow Al if Clent fih Server orade 3 application o B web browsng 5 6 Te Seleccione Pol ticas gt Seguridad y haga clic en A adir Asigne a la regla un nombre descriptivo en la pesta a General En la ficha Origen establezca la zona de origen para la zona de la parte del cliente que ha definido En este ejemplo seleccione el cliente En la ficha Destino establezca la zona de destino para la zona de la parte del servidor que ha definido En este ejemplo seleccione el servidor En la ficha Aplicaci n haga clic en A adir para seleccionar las aplicaciones a las que debe permitir el acceso En la pesta a Acciones realice estas tareas a Establezca Configuraci n de acci n como Permitir b Adjunte los perfiles predeterminados para la protecci n antivirus antispyware y contra vulnerabilidades y para el filtrado de URL en Ajuste de perfil Verifique que los logs est n habilitados al final de una sesi n bajo Opciones nicamente se registrar el tr fico que coin
4. Preparaci n de los hosts ESXi para el cortafuegos de la serie VM 1 En el administrador NSX seleccione Red y seguridad gt Instalaci n gt Preparaci n del host vmware vSphere Web Client Y F A S gt gd Home 4 Installation Networking amp Security Management Host Preparation Logical Network Preparation Service Deployments ER NSX Home aan NSK Manager 77 Jr T Logical Switches NSX Edges installation of network virtualization components on vSphere hosts FI Firewall Clusters amp Hosts FA SpoofGuard Bl AutomationHosts Install l Service Definitions EJ Service Composer Frewall VXLAN Not Enabled onfigur 6 Data Security EZ Cinu Alrritrcrim 2 Haga clic en Instalar y verifique que el estado de instalaci n es correcto Installation Management Host Preparation Logical Network Preparation Service Deployments NSX Manager a Installation of network virtualization components on vSphere hosts Clusters amp Hosts Installati Firewall VXLAN BhAutomationHosts 6 0 Uninstall Y Enabled Configure Nota Este proceso se automatiza a medida que se a aden m s hosts ESXi a un cl ster y los componentes NSX necesarios se instalan autom ticamente en el host ESXi 3 Si el estado de instalaci n no est listo o aparece una advertencia en la pantalla haga clic en el v nculo Resolver Para supervisar el progreso del intento de reinstalaci n haga
5. cese hasta Dispositivo gt Licencias 7 Haga clic en Clave de licencia de carga manual e introduzca la clave de licencia Cuando la licencia de capacidad se haya activado en el cortafuegos se producir el reinicio 8 Inicie sesi n en el dispositivo y confirme que el Panel muestra un n mero de serie v lido y que la licencia muestra PA VM en la ficha Dispositivo gt Licencias 6 Gu a de implementaci n de la serie VM Acerca del cortafuegos de la serie VM Obtenci n de licencia del Cortafuegos de la serie VM Actualizaci n de la versi n de software de PAN OS Ahora que el cortafuegos de la serie VM tiene conectividad de red y el software PAN OS b sico est instalado deber actualizarlo a la versi n m s reciente de PAN OS se requiere una licencia de asistencia t cnica Actualizaci n de la versi n de PAN OS 1 Desde la interfaz web despl cese hasta Dispositivo gt Licencias y aseg rese de que tiene la licencia correcta para el cortafuegos de la serie VM y que la licencia est activada 2 Para actualizar el software PAN OS del cortafuegos de la serie VM despl cese hasta Dispositivo gt Software 3 Haga clic en Actualizar para ver la versi n de software m s reciente asimismo revise Notas de versi n para ver una descripci n de los cambios de una versi n y la ruta de migraci n para instalar el software 4 Haga clic en Descargar para recuperar el software y a continuaci n haga clic
6. n de un Cortafuegos de la serie VM Instalaci n de un cortafuegos de la serie VM en un servidor ESX Aprovisionamiento del cortafuegos de la serie VM Continuaci n 8 Seleccione las redes que se utilizar n para las dos vmNIC iniciales La primera vmNIC se utilizar para la interfaz de gesti n y la segunda vmNIC para el primer puerto de datos Aseg rese de que las Redes de origen se asignan a las Redes de destino correctas Source OVF Template Details Map the networks used in this OVF tempiate to networks in your inventory Name and Location Host Ouster Source Networks Destination Networks pepa VMNetwork VM Network isk Forma gt n a o VMNetwork2 WM network Reni a Ends WM Network Ready to Complete dvPG302 dvPG300 Description The VM Netnork 2 network 9 Revise la ventana de informaci n detallada haga clic en la casilla de verificaci n Activaci n tras implementaci n y a continuaci n haga clic en Siguiente Source OVF Template Details Vihen you dick Finish the deployment task will be started Name and Location tsel a Host Cluster OVF file C UsersiDesktopiPA VM 6 0 0 b394 Storage Download size 1 0 GB hisk rerna Size ondisk 40 0 GB Network Mapping Ready to Complete Name VM Series Host 12 Folder FWs Host Cluster 10 0 0 12 Datastore vDisk1 Disk provisioning Thick Provision Lazy Zeroed Network Mapping VM Network to VM Network Network Mappng VM Network 2
7. n del cortafuegos de la edici n NSX de la serie VM Los grupos de puertos se definen en el perfil de servicio de Palo Alto Networks NGEW El perfil del servicio Palo Alto Networks NGFW simplifica el proceso de implementaci n del cortafuegos de la serie VM una vez configurado el tr fico de datos del grupo de puertos seleccionado contra las pol ticas de seguridad NSX Si las pol ticas de seguridad NSX se definen y se produce una comparaci n de pol ticas del tr fico el tr fico se redirige al cortafuegos de la serie VM Seleccione los grupos de puertos desde desde los que se redirigir el tr fico a Palo Alto Networks NGFW 1 Seleccione Red y seguridad gt Definiciones de servicio y haga doble clic en el servicio Palo Alto Networks NGFW 2 Haga clic en el enlace Palo Alto NetworksNGFW Globalinstance para ver el perfil de la instancia de servicio 24 Networking amp Security Lej D A a Palo Alto Networks NGFW Globallnstance Actions v Palo Alto Networks NGFW Summary Manage Related Objects a1 Service Profiles 1 3 X GjAcions Name Description Profile Configura Status Service Instances Palo Alto Networks NGFW Globalinstance 3 Haga clic en el v nculo Palo Alto Networks perfil 1 y seleccione la opci n Objetos aplicados Edite el perfil para a adir una o m s Redes l gicas o Grupos de puertos virtuales distribuidos desde los que el cortafuegos recibir el tr fico de dat
8. subred que los servidores En este ejemplo las direcciones IP asignadas a las interfaces de datos son 192 168 1 2 y 192 168 2 1 Como solo se utiliza una interfaz de datos en el cortafuegos de la serie VM todo el tr fico pertenece a una nica zona y todo el tr fico interno de la zona se permite impl citamente en la pol tica Por lo tanto cuando se definen las reglas de la pol tica debe especificar la direcci n IP subredes de origen y destino en las que aplicar las reglas de seguridad Incluso despu s de que haya a adido el cortafuegos de la serie VM al servidor SDX la direcci n IP a la que contin an conect ndose los clientes es la VIP de la NetScaler VPX 192 168 1 10 Sin embargo para dirigir todo el tr fico a trav s del cortafuegos debe definir una ruta a la subred 192 168 2 x en la NetScaler VPX En este ejemplo para acceder a los servidores esta ruta debe hacer referencia a la direcci n IP 192 168 1 2 asignada a la interfaz de datos del cortafuegos de la serie VM Ahora todo el tr fico destinado a los servidores se dirige desde la NetScaler VPX al cortafuegos y a continuaci n a los servidores El tr fico de retorno utiliza la interfaz 192 168 2 1 en la serie VM y utiliza la SNIP 192 168 1 1 como su siguiente salto Gu a de implementaci n de la serie VM 27 Implementaciones compatibles Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX habilitada en la NetScaler VPX entonces el cortafuegos de
9. to VM Network e on after deployment 10 Para ver el progreso de la instalaci n supervise la lista Tareas recientes Cuando haya finalizado la implementaci n haga clic en la ficha Resumen para revisar el estado actual Gu a de implementaci n de la serie VM 15 Instalaci n de un cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en un servidor ESX Realizaci n de la configuraci n inicial Utilice la consola del dispositivo virtual en el servidor ESXi para configurar el acceso de red al cortafuegos de la serie VM Primero debe configurar la interfaz de gesti n y despu s acceder a la interfaz web para completar m s tareas de configuraci n Si usa Panorama para la gesti n central consulte la Gu a del administrador de Panorama para saber m s sobre la gesti n del dispositivo mediante Panorama Configuraci n de la interfaz de gesti n Paso 1 Obtenga la informaci n necesaria de su administrador de red e Direcci n IP para el puerto MGT e M scara de ted e Puerta de enlace predeterminada e Direcci n IP de servidor DNS Paso 2 Acceda a la consola del cortafuegos de la serie VM 1 Seleccione la ficha Consola en el servidor ESXi para el cortafuegos de la serie VM o haga clic en el bot n derecho del cortafuegos de la serie VM y seleccione Abrir consola 2 Pulse Intro para acceder a la pantalla de inicio de sesi n 3 Introduzca el nombre de usuario contrase a predeterm
10. A Service Definitions Y X Actions Name SAM Data Collection Service NSX Manager 10 2 133 179_ Updated at 11 57 AM _ root ocalos a Version Functions Deployment Mechanism Service Manager Services oT OSTDaSEd SET TE emita Manager GenericFastPath IDS IPS NSX Manager o g Port Profile Port Profile Manager 0 8 VMware Data Security 6 0 Data security Host based endpoint Data Security Service 0 VMware Endpoint 5 5 Host based endpoint InternalServiceManager 0 o 0 Data Collection Management plane only InternalServiceManager 2 Compruebe que Palo Alto Networks NGFW aparece en la lista de servicios disponibles para la instalaci n Gu a de implementaci n de la serie VM 59 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la serie VM Cuando haya registrado el cortafuegos de la serie VM como un servicio Palo Alto Networks NGFW en el administrador de NSX complete las siguientes tareas en el administrador de NSX A Definici n de un grupo de direcciones IP A Especificaci n de los grupos de puertos desde donde redirigir el tr fico A Preparaci n del host ESXi para el cortafuegos de la serie VM A Implementaci n del servicio Palo Alto Networks NGFW Definici n de un grupo de direcciones IP El grupo de IP es un rango de direcciones IP est ticas que se reservan para
11. Desconocido significa que el dispositivo no tiene licencia 4 En Dispositivo gt Licencias compruebe que se a ade la licencia PA VM al dispositivo h e Si su cortafuegos de la serie VM tiene acceso directo Despl cese hasta Dispositivo gt Licencias y haga clic en el v nculo a Internet Activar funci n usando el c digo de autenticaci n 2 Haga clic en Descargar archivo de autorizaci n y descargue authorizationfale txt en la m quina cliente 3 Copie authorizationfale txt en un ordenador que tenga acceso a Internet e inicie sesi n en el portal de asistencia t cnica Haga clic en el v nculo Mis c digos de autenticaci n de la serie VM y seleccione el c digo de autenticaci n aplicable en la lista y haga clic en el v nculo Registrar VM REGISTER VIRTUAL MACHINE 4 Cargue el archivo de autorizaci n en la ficha Registrar m quina virtual Esto completar el proceso de registro y el n mero de serie Upload File for UUID amp CPUID VUI cru y el cortafuegos de la serie VM se a adir a sus registros de cuenta Authorization Code 13113463 5 Despl cese hasta Activos gt Mis dispositivos busque el dispositivo de la serie VM que acaba de registrar y haga clic en el v nculo Required Submit PA VM Esto descargar la clave de licencia de la serie VM en la m quina cliente 6 Copie la clave de licencia en la m quina que puede acceder a la interfaz web del cortafuegos de la serie VM y despl
12. Panorama mediante grupos de dispositivos y plantillas La integraci n de la API XML basada en REST de esta soluci n permite a Panorama sincronizarse con el administrador NSX y los cortafuegos de la edici n NSX de la serie VM para permitir el uso de grupos de direcciones din micas y compartir el contexto entre el entorno virtualizado y la aplicaci n de seguridad Para obtener m s informaci n consulte Instauraci n de pol ticas mediante grupos de direcciones din micas Edici n NSX de la serie VM La edici n NSX de la serie VM es el cortafuegos de la serie VM que se implementa en el hipervisor ESXi La integraci n con la API NetX posibilita automatizat el proceso de instalar el cortafuegos de la serie VM directamente en el hipervisor ESXi y permite al hipervisor reenviar el tr fico al cortafuegos de la serie VM sin usar la configuraci n vSwitch por ello no requiere ning n cambio a la topolog a de red virtual gt T o o S La edici n NSX de la serie VM solo admite interfaces cableadas virtuales En esta edici n Ethernet 1 1 y Ethernet 1 2 est n vinculados mediante un cableado virtual y usa la API del plano de datos NetX para comunicarse con el hipervisor Las interfaces de la capa 2 o la capa 3 no son obligatorias ni compatibles con la edici n NSX de la serie VM y por ello el cortafuegos no podr realizar acciones de conmutaci n ni enrutamiento Inserci n del servicio de red NXSX La nica licencia dispo
13. Tr fico norte sur seguro con el cortafuegos de la serie VM en el servidor Citrix SDX Topolog a despu s de a adir el cortafuegos de la serie VM gt 2 Oficina remota Usuario remoto VIP 192 168 1 10 8 m pa SE SNIP 192 168 1 1 Ruta 192 168 2 0 24 use 192 168 1 2 Servidores 192 168 2 0 24 En la siguiente tabla se incluyen las tareas que debe realizar para implementar el cortafuegos de la serie VM Para obtener instrucciones de configuraci n del cortafuegos consulte la Gu a de inicio de PAN OS El flujo de trabajo y la configuraci n de la NetScaler VPX no se explican en este documento para obtener m s informaci n sobre c mo configurar la NetScaler VPX consulte la documentaci n de Citrix Gu a de implementaci n de la serie VM 33 Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Configuraci n del cortafuegos de la serie VM para procesar tr fico norte sur usando las interfaces de la capa 3 Paso 1 Instalaci n del Cortafuegos de la serie VM Cuando aprovisiona el cortafuegos de la serie VM en el servidor SDX debe asegurarse de seleccionar la interfaz de datos con precisi n para que el cortafuegos pueda acceder a los servidores Paso 2 Configure la interfaz de datos en el cortafuegos 1 Seleccione Red gt Enrutador virtual y a continuaci n seleccione el enlace predeterminado para abrir el cuadro de
14. VM en una implementaci n de capa 2 o de cable virtual El cortafuegos de la serie VM asegura el tr fico destinado a los servidores La solicitud llega a la direcci n VIP de la NetScaler VPX y la procesa el cortafuegos de la serie VM antes de que alcance los servidores En la ruta de retorno el tr fico se dirige a la SNIP en la NetScaler VPX y el cortafuegos de la serie VM lo procesa antes de que el cliente lo reciba de vuelta Para conocer la topolog a antes de a adir el cortafuegos de la serie VM consulte Topolog a antes de a adir el cortafuegos de la serie VM Topolog a despu s de a adir el cortafuegos de la serie VM p gt E Oficina remota Usuario remoto I VIP 192 168 110 A 0 SNIP 192 168 1 1 00 IN EN E Servidores 192 168 2 0 24 Citrix SDX En la siguiente tabla se incluyen las tareas b sicas de configuraci n que debe realizar para implementar el cortafuegos de la serie VM Para obtener instrucciones de configuraci n del cortafuegos consulte la Gu a de inicio de PAN OS El flujo de trabajo y la configuraci n de la NetScaler VPX no se explican en este documento para obtener m s informaci n sobre c mo configurar la NetScaler VPX consulte la documentaci n de Citrix Configuraci n del cortafuegos de la serie VM para procesar tr fico norte sur usando la interfaces de la capa 2 o cable virtual Paso 1 Instalaci n del Cortafuegos de la En el servidor SDX aseg rese d
15. acceder al enlace C digo de autenticaci n de la serie VM de la p gina de software de asistencia t cnica para gestionar sus licencias del cortafuegos de la serie VM y descargar el software Si tiene una copia de evaluaci n del cortafuegos de la serie VM y desea convertirlo en RA una copia con licencia completa adquirida clone su cortafuegos de la serie VM y use ME Las instrucciones para registrar y asignar una licencia a la copia adquirida de su cortafuegos de la serie VM Para obtener instrucciones consulte Actualizaci n del modelo de la serie VM Para adquirir una licencia para su cortafuegos de la serie VM consulte las siguientes secciones Creaci n de una cuenta de asistencia t cnica Registro del cortafuegos de la serie VM A A A Activaci n de la licencia A Actualizaci n de la versi n de software de PAN OS A Actualizaci n del modelo de la serie VM Si desea instrucciones sobre la instalaci n de su cortafuegos de la serie VM consulte Implementaciones de la serie VM Creaci n de una cuenta de asistencia t cnica Se necesita una cuenta de asistencia t cnica para gestionar sus licencias del cortafuegos de la serie VM y descargar el paquete de software necesario para instalar el cortafuegos de la serie VM Si ya tiene una cuenta de asistencia t cnica contin e con Registro del cortafuegos de la serie VM Creaci n de una cuenta de asistencia t cnica 1 Inicie sesi n en https support paloaltonetworks com
16. clic en el v nculo M s tareas y consulte que las siguientes tareas se hayan completado correctamente Target Initiate hostreboot E 10 512432 Y Completed com vmware vim eam 3ms 12 26 2013 4 02 AM 34 02AM vcenters5 plm Initiate nost reboot B 105 Y Completed commwareim eam Gms 12 26 20134 02AM 12 26 2013 4 02AM vcenters5 plm Enter maintenance mode B wo Y Completed commware mm eam ams 12 26 20134 02 AM 12 26 2013 4 02AM vcenter55 pim Enter maintenance mode B wo Y Completed comvmware dm eam Gms 12 26 20134 02AM 12 26 20134 02AM vcenters5 pim DRS recommends hosts to evacuate EY Ns Y Completed commware im eam Sms 12 26 2013402AM 12 26 20134 02AM vcenter55 pim Install Bs Y Completed commwarevim eam ams 12 26 20134 00 AM 12 26 2013 4 01AM vcenters5 plm Install Bs Y Completed commware vim eam ams 12 26 20134 00 AM 12 26 2013 4 02AM vcenters5 plm Scan Y Completed comwmwarem eam Oms 12 26 20134 00AM 12 26 20134 00AM vcenter55 pim Scan Y Completed comwmwareim eam ams 12 26 2013 4 00AM 12 26 2013 4 00AM vcenters5 plm Enable agent E TOS TASO TSOL eener pl Enable agent 9 Cannotcompletet com vmware vim eam 29ms 12 26 20134 00AM 12 26 20134 01AM vcentersS plm Implementaci n del servicio Palo Alto Networks NGFW Realice los siguientes pasos para automatizar el proceso de implementaci n de una instancia del cortafuegos de la edici n NSX de la serie VM en cada host ESXi del cl ster especificado 62 Gu a de implementaci
17. de la edici n NSX de la serie VM con su cuenta de asistencia t cnica del portal de asistencia Para obtener m s informaci n consulte Obtenci n de licencia del Cortafuegos de la serie VM C Paso 2 Registro configure Panorama para que se registre con el cortafuegos de la serie VM como servicio en el administrador NSX Una vez registrado el cortafuegos de la serie VM se a ade a la lista de servicios de red que el administrador NSX puede implementar de forma transparente como servicio Tambi n es necesaria una conexi n entre Panorama y el administrador NSX para obtener licencia y configurar el cortafuegos C Paso 3 Implementaci n de los cortafuegos y Creaci n de pol ticas instale el cortafuegos de la serie VM y cree pol ticas para redirigir el tr fico al cortafuegos de la serie VM y asegurarlo En el administrador NSX Defina el grupo de direcciones IP Una direcci n IP del rango definido se asigna a la interfaz de gesti n de cada instancia del cortafuegos de la serie VM En el administrador NSX Implemente el cortafuegos de la serie VM El administrador NSX implementa autom ticamente una instancia del VM 1000 HV en cada host ESXi del cl ster En el administrador NSX Configure el compositor de servicios y cree grupos de seguridad Un grupo de seguridad re ne los invitados y aplicaciones especificados para que pueda aplicar la pol tica al grupo En Panorama Aplique pol ticas al cortafuegos de la serie VM En Panora
18. de tr fico que se aplican al tr fico de cada host ESXi El primer conjunto de reglas se define en el cortafuegos NSX estas reglas determinan el tr fico desde el que se dirigen los invitados del cl ster al cortafuegos de la serie VM El segundo conjunto de reglas reglas de cortafuegos de pr xima generaci n de Palo Alto Networks se define en Panorama y se env a a los cortafuegos de la serie VM Estas son reglas de reforzamiento de seguridad para el tr fico que se dirige al servicio Palo Alto Networks NGFW Estas reglas determinan c mo debe procesar el cortafuegos de la serie VM admitir denegar inspeccionar y restringir la aplicaci n para activarla con seguridad en su red e Reglas definidas en el cortafuegos NSX las reglas para dirigir el tr fico desde los invitados de cada host ESXi se configuran en el administrador NSX El compositor de servicios en el administrador NSX le permite definir el tipo de protecci n de seguridad como por ejemplo las reglas de cortafuegos que se aplicar n a los invitados del cl ster ESXi Para definir las reglas del cortafuegos NSX deber agregar en primer lugar los invitados a grupos de seguridad y despu s crear pol ticas de composici n del servicio NSX para redirigir el tr fico de estos grupos de seguridad al servicio Palo Alto Networks NGEW y el cortafuegos NSX El siguiente diagrama ilustra la forma en que los grupos de seguridad pueden componerse de invitados en distintos hosts ESXi de un cl ster
19. di logo Enrutador virtual y a ada la interfaz al enrutador virtual 2 Solo es necesario si la opci n USIP est habilitada en la NetScaler VPX En la ficha Rutas est ticas del enrutador virtual seleccione la interfaz y a ada la NetScaler SNIP 192 68 1 1 en este ejemplo como Siguiente salto La ruta est tica definida aqu se utilizar para dirigir el tr fico desde el cortafuegos hasta la NetScaler VPX 3 Seleccione Red gt Interfaces gt Ethernet y a continuaci n seleccione la interfaz que quiera configurar 4 Seleccione el Tipo de interfaz Aunque su decisi n aqu depende de la topolog a de su red este ejemplo utiliza Capa3 5 En la ficha Configuraci n en el men desplegable Enrutador virtual seleccione predeterminado 6 Seleccione Nueva zona en el men desplegable Zona de seguridad En el cuadro de di logo Zona defina un Nombre para una nueva zona por ejemplo Predeterminado y a continuaci n haga clic en Aceptar 7 Seleccione la ficha IPv 4 o IPv6 haga clic en A adir en la secci n IP e introduzca las dos direcciones IP y la m scara de red para la interfaz una para cada subred a la que se est dando servicio Por ejemplo 192 168 1 2 y 192 168 2 1 8 Optativo Para permitirle hacer ping o usar SSH en la interfaz seleccione Avanzada gt Otra informaci n abra el men desplegable Perfil de gesti n y seleccione el Nuevo perfil de gesti n Introduzca un nombre para el perfil sel
20. el acceso para ese tr fico Para obtener m s informaci n consulte Tr fico este oeste con el cortafuegos de la serie VM 5 gt aa Oficina remota Usuario remoto Servidores DMZ Elie see Centro de datos corporativo Gu a de implementaci n de la serie VM 29 Instalaci n del Cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Instalaci n del Cortafuegos de la serie VM Se necesita una cuenta de asistencia y una licencia de la serie VM v lida para obtener el archivo xva de imagen base necesario para instalar el cortafuegos de la serie VM en el servidor SDX Si no ha registrado todav a el c digo de autenticaci n de capacidad que ha recibido con el correo electr nico de cumplimiento del pedido con su cuenta de asistencia consulte Registro del cortafuegos de la serie VM Despu s de completar el registro contin e realizando las siguientes tareas A Carga de la imagen en el servidor SDX A Aprovisionamiento del cortafuegos de la serie VM Carga de la imagen en el servidor SDX Para aprovisionar el cortafuegos de la serie VM debe obtener el archivo de imagen xva y cargarlo al servidor SDX Carga de la imagen XVA en el servidor SDX Paso 1 Descargue y extraiga el archivo zip de 1 Vaya a https support paloaltonetworks com y descargue el imagen base en un ordenador local archivo zip de imagen base de Citrix SDX de la serie VM 2 Descomprima el archivo z
21. en Instalar Actualizaci n del modelo de la serie VM El proceso de licencia del cortafuegos de la serie usa la UUID y la Id de CPU para generar un n mero de serie nico para cada cortafuegos de la serie VM As cuando genera una licencia esta se asigna a una instancia espec fica del cortafuegos de la serie VM y no puede modificarse Para aplicar una nueva licencia de capacidad a un cortafuegos que se haya licenciado anteriormente deber clonar el cortafuegos existente totalmente configurado de la serie VM y aplicar una nueva licencia a la instancia clonada del cortafuegos Use las instrucciones de la secci n si est e Migrando desde una licencia de evaluaci n a otra de producci n e Actualizando el modelo para permitir una mayor capacidad Por ejemplo si desea actualizar del VM 200 a la licencia de VM 1000 HV Migraci n de la licencia del cortafuegos de la serie VM Paso 1 Desactive el cortafuegos de la serie VM Paso 2 Clone el cortafuegos de la serie VM Si est clonando de forma manual cuando se le pregunte indique que est copiando el cortafuegos no movi ndolo Paso 3 Encienda la nueva instancia del 1 Inicie la consola de n mero de serie del cortafuegos en la cortafuegos de la serie VM interfaz web de vSphere SDX e introduzca el siguiente comando show system info 2 Compruebe que el n mero de serie es desconocido el cortafuegos no tiene licencias e la configuraci n est inta
22. establecer el acceso de gesti n a los cortafuegos de la serie VM Cuando el administrador NSX implementa un nuevo cortafuegos de la serie VM la primera direcci n IP disponible de este rango se asigna a la interfaz de gesti n del cortafuegos Definici n de un grupo de IP 4 NsX Managers gt p 10 5 1246 Actions v 10 5 124 6 Summary Monitor Manage Settings Exclusion List Security Tags Domains Users Grouping Objects Q Security Group Name IP Range Prefix Length Gateway Used Total IP Sets MAC Sets Service Service Groups i Para a adir o verificar que el grupo de IP est definido 1 En Inventario de red y seguridad seleccione el Administrador NSX y haga doble clic para abrir los detalles de configuraci n del administrador NSX Seleccione Gestionar gt Objetos de agrupaci n gt Grupos de IP Haga clic en A adir grupo de IP y especifique los detalles de acceso de red solicitados en la pantalla que incluye el rango de direcciones IP est ticas que quiera usar para Palo Alto Networks NGFW Especificaci n de los grupos de puertos desde donde redirigir el tr fico Para que el administrador de NSX pueda redirigir el tr fico al cortafuegos de la serie VM deber seleccionar los grupos de puertos o las redes l gicas cuyo tr fico debe asegurar el cortafuegos VM 60 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci
23. estad sticas de puerto Gu a de implementaci n de la serie VM 21 Soluci n de problemas de implementaciones de ESXi Configuraci n de un Cortafuegos de la serie VM en un servidor ESX 22 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Para reducir el impacto ecol gico y consolidar funciones clave en un nico servidor puede implementar una o varias instancias del cortafuegos de la serie VM en el servidor Citrix SDX La implementaci n del cortafuegos de la serie VM junto con la NetScaler VPX garantiza el suministro de aplicaciones adem s de la seguridad de red disponibilidad rendimiento y visibilidad Acerca del cortafuegos de la serie VM en el servidor SDX gt Requisitos y limitaciones del sistema Implementaciones compatibles Instalaci n del Cortafuegos de la serie VM Tr fico norte sur seguro con el cortafuegos de la serie VM gt gt gt gt p gt Tr fico este oeste con el cortafuegos de la serie VM Gu a de implementaci n de la serie VM 23 Acerca del cortafuegos de la serie VM en el servidor SDX Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Acerca del cortafuegos de la serie VM en el servidor SDX Se pueden implementar una o varias instancias del cortafuegos de la serie VM para garantizar el tr fico este oeste o norte sur en la red son compatibles las interfaces de cable virtual interfaces de la capa 2 y de
24. externa y otros a la DMZ puede implementar un cortafuegos de la serie XM para salvaguardar los servidores de cada grupo Si un grupo o red virtual no comparte un conmutador virtual o grupo de puertos con otra red virtual estar totalmente aislado de las dem s redes virtuales del host Como no hay otra ruta f sica o virtual a ninguna otra ted los servidores de cada red virtual deben usar el cortafuegos para comunicarse con cualquier otra red Esto ofrece al cortafuegos visibilidad y control sobre todo el tr fico que abandona el conmutador virtual est ndar o distribuido adjunto a cada red virtual Entorno h brido se usan tanto host f sicos como virtuales el cortafuegos de la serie VM puede implementarse en una ubicaci n de agregaci n tradicional en lugar de un dispositivo de cortafuegos f sico para conseguir los beneficios de una plataforma de servidor com n para todos los dispositivos y para desvincular las dependencias de actualizaci n de hardware y software Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Requisitos y limitaciones del sistema en un servidor ESX Requisitos y limitaciones del sistema Esta secci n enumera los requisitos y las limitaciones del cortafuegos de la serie VM Requisitos Puede crear e implementar una o varias instancias del cortafuegos de la serie VM en el servidor ESXi Como todas las instancias del cortafuegos necesitan una asignaci n de recursos m nima c
25. la serie VM necesita una ruta predeterminada que apunte a la SNIP 192 168 1 1 en este ejemplo Si se utiliza una direcci n IP de NAT predeterminada asignada SNIP no tendr que definir una ruta predeterminada en el cortafuegos de la serie VM Para cumplir con los requisitos de seguridad si la opci n USIP Usar IP de origen de cliente est ri Para obtener instrucciones consulte Implementaci n del cortafuegos de la serie VM con interfaces de capa 3 Cortafuegos de la serie VM con interfaces de capa 2 o cable virtual La implementaci n del cortafuegos de la serie VM con interfaces de capa 2 o de cable virtual necesita que reconfigure la NetScaler VPX para eliminar la conexi n directa a los servidores En ese momento el cortafuegos de la serie VM ya se puede cablear y configurar para interceptar de forma transparente y aplicar la pol tica al tr fico destinado a los servidores En este m todo se crean dos interfaces de datos en el cortafuegos cada una perteneciente a una zona distinta La pol tica de seguridad se define para permitir el tr fico entre las zonas de origen y destino Para obtener m s informaci n consulte Implementaci n del cortafuegos de la serie VM con interfaces de capa 2 L2 o de cable virtual Topolog a despu s de a adir el cortafuegos de la serie VM con interfaces de capa 2 o cable virtual a 4 Oficina remota Usuario remoto VIP 192 168 1 10 Pn SNIP 192 16811 del E E E Servid
26. n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Implementaci n del servicio Palo Alto Networks NGFW 1 Seleccione Red y seguridad gt Instalaci n gt Implementaciones de servicio 2 Haga clic en Nueva implementaci n de servicio icono de signo m s verde y seleccione el servicio Palo Alto Networks NGFW Haga clic en Siguiente h Deploy Network 8 Security Services 2 Er Select services amp schedule Select one or more Network amp Security services to deploy You can also specify the schedule for deployment gt t clusters 1 storage Select services Configure management a z network 5 Ready to complete Name ategory O h VMware Data Security Di of sensitive data atrest O h VMware Endpoint Base service for all solutions based O h Palo Alto Networks NGFW Palo Alto Networks Next Gen Security mM 3items 7 Specify schedule Deploy now O Schedule the deployment Next Cancel 3 Seleccione el Centro de datos y los cl steres en los que se implementar el servicio Una instancia del cortafuegos se implementar en cada host del cl ster seleccionado 4 Seleccione el almac n de datos en el que asignar espacio de disco para el cortafuegos Seleccione una de las siguientes opciones seg n su implementaci n e Si ha asignado un almacenamiento compartido al cl ster seleccione un almac n de datos compartido qu
27. o traslado los grupos de direcciones din micas se adaptan autom ticamente a los cambios Todos los grupos de seguridad que se definen en el administrador NSX se proporcionan autom ticamente como actualizaciones de Panorama mediante la integraci n del plano de gesti n de la API de NetX y puede usarse como criterio de filtro para crear grupos de direcciones din micas el cortafuegos filtra seg n el nombre del grupo de seguridad que es una etiqueta para encontrar todos los miembros que pertenecen a un grupo de seguridad 52 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Presentaci n del cortafuegos de la edici n NSX de la serie VM Por ejemplo si tiene una arquitectura multinivel para aplicaciones web en el administrador NSX puede crear tres grupos de seguridad para los servidores WebFrontEnd servidores de aplicaciones y servidores de bases de datos El administrador NSX actualiza Panorama con el nombre de los grupos de seguridad y la direcci n IP de los invitados que se incluyen en cada grupo de seguridad Coincidencia de grupos de direcciones din micas en nombres de grupos de seguridad WebFrontEnd Aplicaci n Base de datos etiqueta IP TIHA Base de datos 12 12 12 12 WebFrontEnd 22 22 22 22 WebFrontEnd 33 33 33 33 Aplicaci n 44 44 44 44 Aplicaci n 55 55 55 55 Pol ticas En Panorama puede crear tres grupos de direcciones din micas para los objetos etiquetados como de
28. rnrn 42 Cortafuegos de la edici n NSX de la serie VM o o ooo o o o 45 Presentaci n del cortafuegos de la edici n NSX de la serie VM oooooccococccccccnooo ro 46 Cu les son los componentes de la sOluci N oooooooooooooccccco roo 46 Funcionamiento de los componentes sesers sss suseni n ta PEE EEE DA EERE ER S 49 Ventajas de la SOLUCI N corras cos irast noai e E AEE PESA EPEE EEEE EEA AR 54 Implementaci n del cortafuegos de la edici n NSX de la serie VM oooocoooooooccccccco 55 Creaci n de un grupo de dispositivos y plantillas en Panorama o oooooooccccccconncocccoo 56 Registro del cortafuegos de la serie VM como servicio en el administrador NSX oooomo o 57 Implementaci n del cortafuegos de la serie VM oooooccocccoccccccnoro ro 60 Creaci n de pol ticas eiii is a a A a a 66 Gu a de implementaci n de la serie VM Acerca del cortafuegos de la serie VM El cortafuegos de la serie VM de Palo Alto Networks es la versi n virtualizada de cortafuegos de ltima generaci n de Palo Alto Networks Es ideal para su uso en un entorno de centro de datos virtualizado donde puede proteger y asegurar el tr fico para implementaciones de la nube p blica y privada A Modelos de la serie VM A Implementaciones de la serie VM A Obtenci n de licencia del Cortafuegos de la serie VM Gu a de implementaci n de la serie VM 1 Modelos de la serie VM Acerca del cortafuegos de la serie VM Modelos d
29. serie VM reasigne a los adaptadores en el servidor SDX Cada interfaz de datos asigna secuencialmente al adaptador el valor num rico m s bajo y puede por tanto producir un fallo de coincidencia en la configuraci n del cortafuegos CPU Usage Memory Usage g 102133122 E 73 OO 2 1 Seleccione Configuraci n gt Serie VM de Palo Alto gt Instancias 2 Haga clic en A adir 3 Introduzca un nombre para el cortafuegos de la serie VM 4 Seleccione la imagen xva que hab a cargado anteriormente Esta imagen es necesaria para abastecer el cortafuegos 5 Asigne memoria espacio en disco adicional y CPU virtuales para el cortafuegos de la serie VM Para verificar las recomendaciones de asignaci n de recursos consulte Requisitos 6 Seleccione las interfaces de red a Utilice las interfaces de gesti n 0 1 o 0 2 y asigne una direcci n IP una m scara de red y una direcci n IP de puerta de enlace Nota Si es necesario puede utilizar una interfaz de datos en el servidor SDX para gestionar el cortafuegos b Seleccione las interfaces de datos que se utilizar n para gestionar el tr fico hacia y desde el cortafuegos Nota Si planea implementar las interfaces como capa 2 o de cable virtual seleccione la opci n Permitir modo de capa 2 de forma que el cortafuegos pueda recibir y reenviar los paquetes para direcciones MAC que no sean las propias 7 Revise el resumen y haga clic en Finalizar para comenz
30. y el Explorador de registros en el administrador NSX para ver los detalles del fallo y consultar la documentaci n de VMware para conocer los pasos de resoluci n de problemas Compruebe que el cortafuegos se ha implementado con xito y est conectado a Panorama En el servidor vCenter seleccione Hosts y cl steres para comprobar que todos los hosts del cl ster tienen una instancia del cortafuegos y 4 vCenter DAI a a 8 a localhost E vw EP AutomationHosts B 10 2 133 175 p 10 2 133 176 B 10 2 133 177 Bj Palo Alto Networks NGFW 7 Biz Palo Alto Networks NGFW 8 Big Palo Alto Networks NGFW 9 Ep SP1 Ep saL1 ER WFF1 64 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Implementaci n del servicio Palo Alto Networks NGFW 10 Acceda a la interfaz web de Panorama para asegurarse de que los cortafuegos de la serie VM est n conectados y sincronizados con Panorama a Seleccione Panorama gt Dispositivos gestionados para comprobar que los cortafuegos est n conectados y sincronizados m aloalto DEVICE GROUPS TEMPLATES paraa basmboard ace monitor Policies objects network Device HOT G Setup 8 Templates Ex Config Audit Managed Collectors Collector Groups Lo Admin Roles E pam 007200001670 10 2 133 183 NSX Template Y NSX Device Group 3 3 Devices Connected Y ins O ins
31. y seguridad 54 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Para implementar el cortafuegos de la edici n NSX de la serie VM debe usar el siguiente flujo de trabajo C Paso 1 Configuraci n de componentes para implementar la edici n NSX de la serie VM configure los siguientes componentes Configure el servidor vCenter instale y registre el administrador NSX con el servidor vCenter Si aun no ha configurado el conmutador virtual y ha agrupado los hosts ESXi en los cl steres consulte la documentaci n de VMware para ver instrucciones sobre la configuraci n del entorno vSphere Este documento no le lleva por el proceso de configuraci n de los componentes VMware de esta soluci n Actualice Panorama a la versi n 6 0 Creaci n de un grupo de dispositivos y plantillas en Panorama Si no conoce Panorama consulte la Gu a del administrador de Panorama para ver instrucciones sobre la configuraci n de Panorama Descargue y guarde la plantilla ovf para la edici n NSX del cortafuegos VM en un servidor web El administrador NSX debe tener acceso de red a este servidor web de modo que pueda implementar el cortafuegos de la serie VM seg n sea necesario No puede alojar la plantilla ovf en Panorama Registre el c digo de autenticaci n de capacidad del cortafuegos
32. Busque o filtre el cortafuegos y en la columna C digo de autenticaci n introduzca el c digo de autorizaci n de la licencia a activar Solo es posible introducir un c digo de autorizaci n una vez para cada cortafuegos Activate License Deployment sm al ojo Y C Connection al C Connected 4 Doete Remarks y O Platforms El PAMEK CUBA O m Pame 3 Haga clic en Activar y compruebe que la activaci n de la licencia se realiz con xito Gu a de implementaci n de la serie VM 65 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Creaci n de pol ticas Los siguientes temas describen c mo crear pol ticas en el administrador NSX para redirigir el tr fico al cortafuegos de la serie VM y c mo crear pol ticas en Panorama y aplicarlas en el cortafuegos de la serie VM para que este pueda instaurar la pol tica en el tr fico que se le redirige A Definici n de pol ticas en el administrador NSX A Aplicaci n de pol ticas al cortafuegos de la serie VM Definici n de pol ticas en el administrador NSX Para que el cortafuegos de la serie VM asegure el tr fico primero debe crear grupos de seguridad en el administrador NSX y asignar m quinas virtuales invitadas a los grupos Despu s defina y aplique reglas para redirigir el tr fico desde los hosts ESXi de estos grupos al cortafuegos de la serie VM Un grupo de seguridad es un contenedor l gico q
33. Edge FW ES PA VM ESX1 ES PA VM ESXIZ O Pam a o PA VM ESXIS Device Group NSX Device Group Eee C Device Groups Template NSX Template Tin O DC Edge FWs 1 O NSX Device Group 3 y C Templates DO Edge Fws 1 ags Serial Number 007200001675 None Model PA VM Connected yes 2 En el cortafuegos de la serie VM seleccione Pol ticas gt Seguridad y seleccione una regla 3 Seleccione la flecha desplegable junto al v nculo del grupo de direcciones y seleccione Inspeccionar Tambi n puede comprobar si los criterios de coincidencia son precisos s any E Domain Cont any r R SharePointServ Q WFEServers Y SharePointServ any any any 9 SharePointse ES Edit any o r y WFEServers Q WrEServers f Fiter Q SharePointServ any any any Ez MsSQLServel 3 WFEServers i Name SharePointServers 8 Managementse any Type orak Ss Match securitygroup more Q ActiveDirectory 3 MS5QLServers maras 4 Haga clic en el v nculo m s y compruebe que se muestra la lista de direcciones IP registradas Address Groups SharePointServers Type registeredp registered p registeredup La pol tica entra en vigor para todas las direcciones IP que pertenecen a este grupo de direcciones y se muestra aqu Gu a de implementaci n de la serie VM 71 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de l
34. En el cortafuegos de la serie VM se realiza de nuevo una b squeda de pol tica y el tr fico se dirige al servidor de la DMZ 192 168 10 10 FLA Para filtrar e informar sobre la actividad de los usuarios en la red debido a que todas las solicitudes se inician desde la NetScaler VPX debe activar la inserci n de encabezado de HTTP o la opci n TCP para inserci n de IP en la primera instancia de la NetScaler VPX Configuraci n del cortafuegos de la serie VM para asegurar el tr fico este oeste Paso 1 Instalaci n del Cortafuegos de la Si planea implementar el cortafuegos de la serie VM usando serie VM interfaces de cable virtual o de capa 2 aseg rese de habilitar el modo de capa 2 en todas las interfaces de datos en el servidor de SDX Paso 2 Vuelva a conectar el cable a las interfaces asignadas a la NetScaler VPX Como la NetScaler VPX se reiniciar cuando vuelva a conectarse el cable eval e si desea realizar esta tarea durante una ventana de mantenimiento Paso 3 Configure las interfaces de datos 1 Seleccione Red gt Interfaces y asigne las interfaces como tipo de capa 3 consulte el Paso 2 capa 2 consulte el Paso 3 o cable virtual consulte el Paso 3 Paso 4 Cree la pol tica de seguridad para permitir Haga clic en A adir en la secci n Pol ticas gt Seguridad el tr fico de aplicaci n entre la DMZ yel 2 Asigne a la regla un nombre descriptivo en la pesta a General nde a USniaNO En la ficha O
35. Para el contenido que reside en el centro de datos corporativo el cortafuegos de la serie VM procesa la solicitud de forma transparente si se implementa usando las interfaces de capa 2 o de cable virtual o la entuta usando las interfaces de capa 3 Entonces se facilita a la segunda instancia de la NetScaler VPX Esta instancia de la NetScaler VPX equilibra las cargas de la solicitud en los servidores del centro de datos corporativo d ndole as servicio El tr fico de retorno utiliza la misma ruta que la solicitud entrante Gu a de implementaci n de la serie VM 43 Tr fico este oeste con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Por ejemplo cuando un servidor de la DMZ p ej 192 168 10 10 necesita contenido de un servidor del centro de datos corporativo p ej 172 16 10 20 la direcci n IP de destino es 172 168 10 3 la VIP de la segunda NetScaler La solicitud se env a al cortafuegos de la serie VM en 192 168 10 2 donde el cortafuegos realiza una b squeda de pol tica y dirige la solicitud a 172 168 10 3 Entonces la NetScaler VPX sustituye la direcci n IP de destino basada en el protocolo por la direcci n IP del servidor interno 172 16 10 20 El tr fico de retorno procedente de 172 168 10 20 se env a entonces a la NetScaler VPX en 172 168 10 3 y la direcci n IP de origen se establece como 172 168 10 3 y se dirige al cortafuegos de la serie VM en 172 168 10 2
36. a para administrar centralmente pol ticas en los cortafuegos de la serie VM Para gestionar una pol tica centralizada primero debe crear un grupo de direcciones din micas que coincida con el nombre de los grupos de direcciones din micas que coincidan con los grupos de seguridad que defina en el administrador NSX Despu s adjuntar el grupo de direcciones din micas como una direcci n de origen o destino en la pol tica de seguridad y lo enviar a los cortafuegos los cortafuegos puede recuperar din micamente las direcciones IP de las m quinas virtuales que se incluyen en cada grupo de seguridad para garantizar que el tr fico que se origina o se dirige a las m quinas virtuales del grupo especificado cumple los requisitos 68 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Definici n de pol ticas en Panorama Paso 1 Creaci n de grupos de direcciones din micas Name AlSharePointTiers Description Type Dynamic Match SharePointEnvironment securitygroup 14 or SQL securitygroup 11 or WFE securitygroup 10 or AD securitygroup 12 or SP securitygroup 13 E add Match Criteria Nota BIOZXADOOSDE e gt Inicie sesi n en la interfaz web de Panorama Seleccione Objeto gt Grupos de direcciones Seleccione el Grupo de dispositivos peve coo ETA e que cre para gestionar los
37. a serie VM Definici n de pol ticas en Panorama Paso 5 Opcional Use la plantilla para enviar una Si desea m s informaci n sobre el uso de plantillas consulte la Gu a configuraci n base para la configuraci n del administrador de Panorama de ted y dispositivo como por ejemplo servidor DNS servidor NTP servidor Syslog y pancarta de inicio de sesi n C El ltimo paso del proceso de implementaci n del cortafuegos de la edici n NSX de la serie VM es aplicar las pol ticas de redireccionamiento a los grupos de seguridad del administrador NSX Aplicaci n de pol ticas de seguridad en el administrador NSX 1 Seleccione Red y seguridad gt Compositor de servicios gt Pol ticas de seguridad 4 ForwardEastWest O Service Composer Networking amp Security Canvas Security Groups Security Policies ESO NSX Manager 10 5 124 6 7 49 Installation a Logical Switches 53 G t E Actions NSX Edges j Rank Name Description Applied to Endpoint Servi Firewall Rules EN Firewall pa ForwardEastWest 4 0 0 2 Seleccione la pol tica de seguridad haga clic en Aplicar pol tica de seguridad y seleccione los grupos de seguridad a los que se enviar n las reglas Las reglas se aplican a cada host ESXi que se incluye en los grupos de seguridad seleccionados 72 Gu a de implementaci n de la serie VM
38. a vSphere Administrador 6 0 La plataforma Networking and Security de VMware debe instalarse y NSX registrarse con el servidor vCenter El administrador NSX es necesario para implementar el cortafuegos de la edici n NSX de la serie VM en los hosts ESXi dentro de un cl ster ESXi Servidor ESXi 5 5 ESXi es un hipervisor que permite la virtualizaci n inform tica 46 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Presentaci n del cortafuegos de la edici n NSX de la serie VM Palo Alto PAN OS Networks 6 0 La imagen base de la serie VM PA VM NSX 6 0 0 zip que se usa para implementar el cortafuegos de la edici n NSX de la serie VM es PAN OS versi n 6 0 Los requisitos m nimos de sistema para implementar el cortafuegos de la edici n NSX de la serie VM en el servidor ESXi son los siguientes e Dos vCPU una para el plano de gesti n y la otra para el plano de datos Puede asignar 2 o 6 vCPU adicionales para asignar un total de 2 4 u 8 vCPU al cortafuegos el plano de gesti n solo usa una vCPU y puede asignar las vCPU adicionales al plano de datos e 5 GB de memoria Cualquier memoria adicional se utilizar nicamente en el plano de gesti n Un m nimo de 40 GB de espacio de disco virtual Panorama 6 0 Panorama es la herramienta de gesti n centralizada de los cortafuegos de ltima generaci n de Palo Alto Networks En esta soluci n Panorama tra
39. abajo automatizado le permite estar al d a con las implementaciones de m quinas virtuales de su centro de datos El modo de hipervisor del cortafuegos elimina la necesidad de reconfigurar los puertos vSwitch topolog a de red como cada host ESXi tiene una instancia del cortafuegos el tr fico no debe atravesar la red ni pasar por la red de retorno para su inspecci n y una instauraci n coherente de pol ticas e Integraci n m s estrecha entre el entorno virtual y la instauraci n de la seguridad din mica los grupos de direcciones din micas est n al d a de los cambios en las m quinas aplicaciones virtuales y garantizan que la pol tica de seguridad est sincronizada con los cambios en la red Esta capacidad de estar al d a ofrece visibilidad y protecci n de las aplicaciones en un entorno gil e Gesti n centralizada m s s lida los cortafuegos implementados con esta soluci n se licencian y gestionan con Panorama la herramienta de gesti n centralizada de Palo Alto Networks Si usa Panorama para gestionar los cortafuegos de centros de datos y per metros cortafuegos virtuales y basados en hardware podr centralizar la gesti n de pol ticas y mantener la agilidad y coherencia en la instauraci n de pol ticas en toda la red En resumen esta soluci n garantiza que la naturaleza din mica de la red virtual se asegure con una carga administrativa m nima Puede implementar con xito aplicaciones con una mayor velocidad eficiencia
40. abilitados al final de una sesi n bajo Opciones Unicamente se registrar el tr fico que coincida con una regla de seguridad Implementaci n del cortafuegos de la serie VM antes de la NetScaler VPX En el siguiente ejemplo se muestra c mo implementar el cortafuegos de la serie VM para procesar y asegurar el tr fico antes de que alcance la NetScaler VPX En este ejemplo el cortafuegos de la serie VM se implementa con las interfaces de cable virtual y las solicitudes de conexi n del cliente se destinan a la VIP de la NetScaler VPX Observe que puede implementar el cortafuegos de la serie VM usando las interfaces de capa 2 o capa 3 basadas en necesidades espec ficas 38 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Tr fico norte sur seguro con el cortafuegos de la serie VM en el servidor Citrix SDX Topolog a antes de a adir el cortafuegos de la serie VM al t 2 Oficina remota Usuario remoto VIP 192 168 1 10 SNIP 192 168 2 1 Servidores 192 168 2 0 24 Topolog a despu s de a adir el cortafuegos de la serie VM a gt de a Oficina remota Usuario remoto ss COCO loo 1 VIP 192 168 1 10 a gt 192 168 2 1 IES UE m r a 1 Servidores 192 168 2 0 24 En la siguiente tabla se incluyen las tareas b sicas de configuraci n que debe realizar en el cortafuegos de la serie VM Para obtener instrucciones de configur
41. aci n del cortafuegos consulte la Gu a de inicio de PAN OS El flujo de trabajo y la configuraci n de la NetScaler VPX no se explican en este documento para obtener m s informaci n sobre c mo configurar la NetScaler VPX consulte la documentaci n de Citrix Configuraci n del cortafuegos de la serie VM antes de la NetScaler VPX con interfaces de cable virtual Paso 1 Instalaci n del Cortafuegos de la En el servidor SDX aseg rese de habilitar Permitir modo de capa serie VM 2 en la interfaz de datos Este ajuste permite al cortafuegos sortear paquetes destinados a la VIP de NetScaler VPX Gu a de implementaci n de la serie VM 39 Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Configuraci n del cortafuegos de la serie VM antes de la NetScaler VPX con interfaces de cable virtual Paso 2 Vuelva a conectar el cable a la interfaz de la Si ya ha implementado una NetScaler VPX y ahora est a adiendo el parte del cliente asignada a la cortafuegos de la serie VM al servidor SDX tendr dos puertos NetScaler VPX asignados a la VPX Cuando implementa el cortafuegos de la serie a VM la NetScaler VPX solo necesitar un puerto que lo conecte a la Como la NetScaler VPX se reiniciar P q granja de servidores cuando vuelva a conectarse el cable eval e si desea realizar esta tarea durante Por lo tanto a
42. antidad de CPU memoria y espacio en disco en el servidor ESXi aseg rese de cumplir las especificaciones que aparecen a continuaci n para garantizar un rendimiento ptimo El cortafuegos de la serie VM tiene los siguientes requisitos VMware ESXi con vSphere 4 1 y 5 0 para la serie VM que ejecute PAN OS 5 0 VMware ESXi con vSphere 5 5 para la serie VM que ejecute PAN OS 6 0 Un m nimo de dos vCPU por cada cortafuegos de la serie VM Una para el plano de gesti n y la otra para el plano de datos Puede asignar 2 o 6 vCPU adicionales para asignar un total de 2 4 u 8 vCPU al cortafuegos el plano de gesti n solo usa una vCPU y puede asignar las vCPU adicionales al plano de datos Un m nimo de dos interfaces de red vmNIC Una ser una vmNIC espec fica para la interfaz de gesti n y la otra para la interfaz de datos A continuaci n podr a adir hasta ocho vmNIC m s para el tr fico de datos El cortafuegos de la serie VM requiere que el modo promiscuo se defina como aceptar en el grupo de puertos del conmutador virtual en el que se adjuntan las interfaces de datos del cortafuegos Un m nimo de 4 GB de memoria para todos los modelos excepto el VM 1000 HV que necesita 5 GB Cualquier memoria adicional se utilizar nicamente en el plano de gesti n Si est aplicando la licencia VM 1000 HV consulte C mo puedo modificar el archivo de imagen base de la licencia de VM 1000 HV Un m nimo de 40 GB de espacio de disco vir
43. ar el proceso de instalaci n Lleva 5 8 minutos aprovisionar el cortafuegos Cuando termine utilice la direcci n IP de gesti n para iniciar la interfaz web del cortafuegos Contin e con la Activaci n de la licencia Gu a de implementaci n de la serie VM 31 Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Tr fico norte sur seguro con el cortafuegos de la serie VM Esta secci n incluye informaci n sobre las siguientes implementaciones A Implementaci n del cortafuegos de la serie VM con interfaces de capa 3 A Implementaci n del cortafuegos de la serie VM con interfaces de capa 2 L2 o de cable virtual A Implementaci n del cortafuegos de la serie VM antes de la NetScaler VPX con interfaces de cable virtual Implementaci n del cortafuegos de la serie VM con interfaces de capa 3 Para asegurar el tr fico norte sur esta situaci n le muestra c mo implementar el cortafuegos de la serie VM con capa 3 el cortafuegos de la serie VM se coloca para asegurar el tr fico entre la NetScaler VPX y los servidores de la red Topolog a antes de a adir el cortafuegos de la serie VM ia gt lt aa Oficina remota Usuario remoto VIP 192 168 1 10 SNIP 192 168 1 1 gt fe SNIP 192 168 2 1 i Citrix SDX Servidores 192 168 2 x 32 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM
44. as otras licencias en el cortafuegos de la serie VM Por qu mi cortafuegos de la serie VM clonado no tiene una licencia v lida VMware asigna una UUID a cada m quina virtual que incluye el cortafuegos de la serie VM As cuando un cortafuegos de la serie VM se clona se le asigna una nueva UUID Como el n mero de serie y la licencia de cada instancia del cortafuegos de la serie est vinculada a la UUID si clona el cortafuegos de la serie VM con licencia el cortafuegos resultante no tendr una licencia v lida Necesitar un nuevo c digo de autenticaci n para activar la licencia en el cortafuegos que acaba de implementar Debe aplicar el c digo de autenticaci n de capacidad y una nueva licencia de asistencia t cnica para obtener actualizaciones de funcionalidad asistencia t cnica y software en el cortafuegos de la serie VM Problemas de conectividad Por qu el cortafuegos de la serie VM no recibe tr fico de la red En el cortafuegos de la serie VM compruebe los registros de tr fico Supervisar gt Logs Si los logs est n vac os use el siguiente comando CLI para ver los paquetes de las interfaces del cortafuegos de la serie VM show counter global filter delta yes Global counters Elapsed time since last sampling 594 544 seconds En el entorno vSphere compruebe lo siguiente e Compruebe los grupos de puertos y confirme que el cortafuegos y las m quinas virtuales est n en el grupo de puertos correcto Ase
45. baja con el administrador NSX para implementar licenciar y administrar de forma centralizada configuraci n y pol ticas del cortafuegos de la edici n NSX de la serie VM Panorama debe poder conectarse con el administrador NSX el servidor vCenter los cortafuegos de la serie VM y el servidor de actualizaciones de Palo Alto Networks Los requisitos m nimos de sistema de Panorama son los siguientes e Dos vCPU de ocho n cleos 2 2 GHz utilice 3 GHz si tiene 10 o m s cortafuegos e 4 GB de RAM se recomiendan 16 GB si tiene 10 cortafuegos o m s e 40 GB de espacio en disco Para ampliar la capacidad de registro debe a adir un disco virtual o configurar el acceso a un almac n de datos NES Si desea informaci n detallada consulte la Gu a del administrador de Panorama Edici n NSX de la serie VM 6 0 La nica licencia de VM disponible en esta soluci n es VM 1000 en modo de hipervisor VM 1000 HV Servidor vCenter El servidor vCenter es necesario para gestionar el administrador NSX y los hosts ESXi en su centro de datos Esta soluci n conjunta requiere que los hosts ESXi se organicen uno o m s cl steres en el servidor vCenter y deben conectarse con un conmutador virtual distribuido Si desea informaci n sobre cl steres conmutadores virtuales distribuidos DRS y el servidor vCenter consulte su documentaci n de VMware http www vmware com support vcenter server html Gu a de implementaci n de
46. base de datos aplicaci n y WebFrontEnd continuaci n en la pol tica de seguridad puede usar los grupos de direcciones din micas como objeto de origen o destino definir las aplicaciones que pueden atravesar estos servidores y enviar las reglas a los cortafuegos VM Cada vez que se a ade o modifica un invitado en el cl ster ESXi o se actualiza o crea un grupo de seguridad el administrador NSX usa la API XML basada en REST de PAN OS para actualizar Panorama con la direcci n IP y el grupo de seguridad al que pertenece el invitado Actualizar en un grupo de direcciones din micas Nueva IP 20 24 48 96 Base de datos Etiqueta IP 20 24 48 96 12121212 Base de datos WebFrontEnd Aplicaci n Pol ticas Para asegurar que el nombre de cada grupo de seguridad es nico el servidor LA yCenter asigna una Id de referencia de objeto gestionado MOB al nombre que defina para el grupo de seguridad La sintaxis empleada para mostrar el nombre de un grupo de seguridad en Panorama es LI A por ejemplo WebFrontEnd securitygronp47 Gu a de implementaci n de la serie VM 53 Presentaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Cuando Panorama recibe la notificaci n de la API verifica o actualiza la direcci n IP de cada invitado y el grupo de seguridad al que pertenece ese invitado A continuaci n Panorama env a esas actualizaciones en tiempo real a t
47. btener informaci n detallada 6 Reciba actualizaciones en tiempo real desde el administrador NSX El administrador NSX env a actualizaciones en tiempo real de los cambios en el entorno virtual a Panorama Estas actualizaciones incluyen informaci n sobre los grupos de seguridad y direcciones IP de invitados que forman parte del grupo de seguridad cuyo el tr fico se redirige al cortafuegos de la serie VM Consulte Reglas de pol ticas integradas para obtener informaci n detallada 7 Uso de grupos de direcciones din micas en actualizaciones din micas de env o y pol ticas desde Panorama a los cortafuegos de la serie VM En Panorama puede usar las actualizaciones en tiempo real de grupos de seguridad para crear grupos de direcciones din micas vincularlas a pol ticas de seguridad y enviar esas pol ticas a los cortafuegos de la serie VM Todos los cortafuegos de la serie VM del grupo de dispositivos tendr n el mismo conjunto de pol ticas y ahora est n completamente controlados para asegurar el SDDC Consulte Instauraci n de pol ticas mediante grupos de direcciones din micas para obtener informaci n detallada 50 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Presentaci n del cortafuegos de la edici n NSX de la serie VM Reglas de pol ticas integradas El cortafuegos NSX y el cortafuegos de la serie VM colaboran para reforzar la seguridad cada una proporciona un conjunto de reglas de gesti n
48. bytes desde 67 192 236 252 icmp seq 1 ttl 243 tiempo 53 6 ms 64 bytes desde 67 192 236 252 icmp seq 1 ttl 243 tiempo 79 5 ms Nota Cuando haya comprobado la conectividad pulse Ctrl C para detener los pines Un cortafuegos de la serie VM sin licencia puede procesar hasta 200 sesiones aW simult neas En funci n del entorno el l mite de sesiones se puede alcanzar muy r pidamente Por ello aplique el c digo de autenticaci n de capacidad y recupere una licencia antes de comenzar a probar el cortafuegos de la serie VM de lo contrario puede obtener resultados impredecibles si hay otro tr fico en el grupo de puertos 16 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Soluci n de problemas de implementaciones de ESXi en un servidor ESX Soluci n de problemas de implementaciones de ESXi Muchos de los pasos de soluci n de problemas para el cortafuegos de la serie VM son muy parecidos a los de las versiones de hardware de PAN OS Si se produce alg n problema deber a comprobar los contadores de la interfaz y archivos de log de sistema y si es necesario utilizar la depuraci n para crear capturas Si desea m s informaci n sobre la soluci n de problemas de PAN OS consulte el art culo de soluci n de problemas basados en paquetes La siguientes secciones describen c mo solucionar algunos problemas comunes A Soluci n de problemas b sicos A Problemas de instalaci n A Problemas de
49. cida con una regla de seguridad Gu a de implementaci n de la serie VM 41 Tr fico este oeste con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Tr fico este oeste con el cortafuegos de la serie VM En el siguiente ejemplo se muestra c mo implementar el cortafuegos de la serie VM para asegurar la aplicaci n o los servidores de la base de datos en su red Esta situaci n se le aplica si dispone de dos instancias de la NetScaler VPX una que autentica a los usuarios termina las conexiones SSL y a continuaci n equilibra las cargas de las solicitudes en los servidores DMZ y otra que equilibra las cargas de las conexiones con los servidores corporativos que albergan la aplicaci n y los servidores de bases de datos en su red Topolog a antes de a adir el cortafuegos de la serie VM an a Oficina remota Usuario remoto I EZ a UU Oloo u Servidores de DMZ Centro de datos corporativo Ambas instancias de la NetScaler VPX procesan la comunicaci n entre los servidores de DMZ y los del centro de datos corporativo Se proporciona una nueva solicitud a la otra instancia de la NetScaler VPX que env a la solicitud al servidor correspondiente para el contenido que reside en el centro de datos corporativo 42 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Tr fico este oeste con el cortafuegos de la serie VM en el s
50. cortafuegos de la edici n NSX de la serie VM en Creaci n de un grupo de dispositivos y plantillas en Panorama Haga clic en A adir e introduzca un Nombre y una Descripci n para el grupo de direcciones Defina el Tipo como Din mico Haga clic en A adir criterios de coincidencia Seleccione el operador Y u O y seleccione junto al nombre del grupo de seguridad que desea comparar Los grupos de seguridad que aparecen en los criterios de coincidencia derivan de los grupos que defini en el compositor de servicios en el administrador de NSX Aqu solo est n disponibles los grupos de seguridad a los que se hace referencia en las pol ticas de seguridad y desde los que se redirige el tr fico al cortafuegos de la serie VM Members Count Addresses Name WFEServers Description 00008 curitygroup 13 Type Dynamic Match WFE securitygroup 10 Add Match Criteria Tags Haga clic en ACEPTAR Repita los pasos 4 7 para crear el n mero adecuado de Grupos de direcciones din micas para su red Haga clic en Confirmar Gu a de implementaci n de la serie VM 69 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Definici n de pol ticas en Panorama Paso 2 Cree pol ticas de seguridad ET NSX Device Group v Activ 3 SharePointServ WFE SP any Q wreservers es EjMssQL any XR appl
51. cta Gu a de implementaci n de la serie VM 7 Obtenci n de licencia del Cortafuegos de la serie VM Acerca del cortafuegos de la serie VM Migraci n de la licencia del cortafuegos de la serie VM Paso 4 Registre el nuevo c digo de autenticaci n Consulte Registro del cortafuegos de la serie VM en el portal de asistencia Paso 5 Aplique la nueva licencia Consulte Activaci n de la licencia Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de g g la serie VM en un servidor ESXi El cortafuegos de la serie VM se distribuye mediante el formato abierto de virtualizaci n OVF que es un m todo est ndar de empaquetar e implementar m quinas virtuales Puede instalar esta soluci n en cualquier dispositivo x86 capaz de ejecutar VMware ESXi Para implementar un cortafuegos de la serie VM debe estar familiarizado con VMware y vSphere incluidas las redes vSphere la instalaci n y configuraci n de host ESXi y la implementaci n de m quinas virtuales invitadas Si desea automatizar el proceso de implementaci n de un cortafuegos de la serie VM puede crear una plantilla est ndar de referencia con la configuraci n y pol ticas ptimas y usar la API de vSphere y la API XML de PAN OS para implementar r pidamente nuevos cortafuegos de la serie VM en su red Para obtener detalles consulte el art culo Automatizaci n del centro de datos de la serie VM Consulte los siguientes temas si
52. dEastWest gt Dg Networking amp Security NSX Home 9 Installation Canvas Security Groups Security Policies NSX Manager 10 5 1246 7 S F B t W gAcions Rank Name Desaription Applied to Endpoint Servi Firewall Rules 1 F ForwardEastWest 2 0 0 a Logical Switches NSX Edges FY Firewall Gu a de implementaci n de la serie VM 67 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM No aplique las pol ticas de redireccionamiento de tr fico que cre anteriormente a no ser que comprenda el funcionamiento de las reglas en el administrador NSX as como en el cortafuegos de la serie VM y Panorama La pol tica predeterminada en el cortafuegos de la serie VM se define como denegar todo el tr fico lo que significa que todo el tr fico que se redirija al cortafuegos de la serie VM ser descartado Para crear pol ticas en Panorama y enviarlas al cortafuegos de la serie VM consulte Aplicaci n de pol ticas al cortafuegos de la serie VM Para aplicar las pol ticas de redireccionamiento consulte Aplicaci n de pol ticas de seguridad en el administrador NSX Aplicaci n de pol ticas al cortafuegos de la serie VM Ahora que ha creado las pol ticas de seguridad en el administrador NSX los nombres de los grupos de seguridad a los que se hace referencia en la pol tica de seguridad estar n disponibles en Panorama Ahora puede usar Panoram
53. de XenApp XenDesktop de Citrix Si desea informaci n detallada consulte Configuraci n de un Cortafuegos de la serie VM M VM en el servidor Citrix SDX Hypervisor Citrix Netscaler SDX Gu a de implementaci n de la serie VM 3 Obtenci n de licencia del Cortafuegos de la serie VM Acerca del cortafuegos de la serie VM Obtenci n de licencia del Cortafuegos de la serie VM Cuando adquiere un cortafuegos de la serie VM recibe un conjunto de c digos de autenticaci n por correo electr nico Por lo general en el correo se incluye un c digo de autenticaci n de capacidad para el modelo adquirido VM 100 VM 200 VM300 VM 1000 HV un c digo de autenticaci n de asistencia t cnica y software por ejemplo el c digo de autenticaci n del SKU PAN SVC PREM VM 100 que proporciona acceso a las actualizaciones de softwate contenido y a la asistencia t cnica Si adquiere suscripciones adicionales para la prevenci n de amenazas el filtrado URL GlobalProtect o WildFire se incluye una lista de los otros c digos de autenticaci n adquiridos con el pedido Si a n no dispone de una cuenta de asistencia t cnica deber usar el c digo de autenticaci n de capacidad para registrar y crear una cuenta en el portal de asistencia Una vez se verifique su cuenta y finalice el registro podr iniciar sesi n y descargar el paquete de software necesario para instalar el cortafuegos de la serie VM Si ya tiene una cuenta de asistencia t cnica puede
54. de c digos de autenticaci n registrados en su cuenta de asistencia t cnica Puede hacer un seguimiento del n mero de cortafuegos de la serie VM que se han implementado y el n mero de licencias que siguen disponibles con cada c digo de autenticaci n Cuando se hayan usado todas las licencias disponibles el c digo de autenticaci n dejar de aparecer en la p gina C digos de autenticaci n de la serie VM Para ver todos los activos que se han implementado seleccione Activos gt Dispositivos Support gt Palo Alto Networks Inc gt Assets Welcome M _ or a 7 PALO ALTO NETWORKS INC Devices Spares VM Series Auth Codes Add VM Series Auth Code e Auth Code Search Auth Code Quantity Remaining Part Desription Actions 15388075 1 Palo Alto Networks VM 109 Y Register VM 17262499 732 Palo Alto Networks VM 10 Enterprise quantity 25 x Register VM V2331308 1 Palo Alto Networks VM 109 x Register VM V8325262 1 Palo Alto Networks VM 309 x Register VM 15111353 19 Palo Alto Networks VM 300 HV quantity 25 Y Register VM 15958671 1 Palo Alto Networks VM 30 quantity 25 Y Register VM Activaci n de la licencia Para activar la licencia en su cortafuegos de la serie VM deber haber implementado el cortafuegos de la serie VM y haber completado la configuraci n inicial Si desea instrucciones sobre la implementaci n del cortafuegos de la serie VM consulte Implementaciones de la serie VM Gu a de implementaci n de la s
55. desea informaci n sobre a Implementaciones compatibles A Requisitos y limitaciones del sistema A Instalaci n de un cortafuegos de la serie VM A Soluci n de problemas de implementaciones de ESXi Gu a de implementaci n de la serie VM 9 Implementaciones compatibles Configuraci n de un Cortafuegos de la serie VM en un servidor ESX Implementaciones compatibles Puede implementar una o varias instancias del cortafuegos de la serie VM en el servidor ESXi La ubicaci n del cortafuegos de la serie VM en la red depender de su topolog a Seleccione una de las siguientes opciones 10 Un cortafuegos de la serie VM por host ESXi todos los servidores VM del host ESXi atraviesan el cortafuegos antes de salir del host por la red f sica Los servidores VM se adjuntan al cortafuegos a trav s de los conmutadores est ndar virtuales Los servidores invitados no tienen ninguna otra conectividad de ted por lo que el cortafuegos visualiza y controla todo el tr fico que sale del host ESXi Una variaci n de este caso de uso es tambi n exigir que todo el tr fico fluya por el cortafuegos incluyendo el tr fico de servidor a servidor tr fico horizontal en el mismo host ESXi Un cortafuegos de la serie VM por red virtual implemente un cortafuegos de la serie VM para cada red virtual Si ha dise ado su red de modo que uno o m s hosts ESXi tengan un grupo de m quinas virtuales que pertenezcan a la red interna un grupo que pertenezca a la red
56. distintos Si desea que los entornos virtual y de seguridad est n al d a para grupos de dispositivos a medida que que las pol ticas se apliquen de forma coherente a todo el tr fico aprovisione nuevas m quinas virtuales que se dirige a los cortafuegos deber seleccionar el grupo de o se produzcan cambios en la red dispositivos al que hay que notificar Seleccione los grupos de dispositivos aplicables en Notificar grupos de dispositivos Los cortafuegos incluidos en los grupos de dispositivos especificados reciben una actualizaci n en tiempo real de los grupos de dispositivos especificados reciben una actualizaci n en tiempo real de grupos de seguridad y direcciones IP Los cortafuegos usan esta actualizaci n para determinar la lista m s actual que constituye los grupos de direcciones din micas a los que se hace referencia en la pol tica Paso 7 Compile los cambios realizados en Seleccione Compilar y Compilar tipo Panorama Panorama 58 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Use Panorama para registrar el cortafuegos de la serie VM como servicio Paso 8 Verificaci n del estado de conexi n en Panorama XL https 10 2 133 179 1 root L http 10 5 124 3 PA VM 6 0 0 c153 0vf ode 18881865 e NSX Template up NSX Device Group Status Registered Last Dynamic Update Oct 22 2013 01 17 50 PM Mue
57. e est disponible e Si no ha asignado un almacenamiento compartido al cl ster seleccione la opci n Especificado en el host Aseg rese de seleccionar el almacenamiento cada host ESXi del cl ster Seleccione adem s la red que se usar para el tr fico de gesti n en el cortafuegos de la serie VM y EIA INERTES OA El 10 2 133 175 Actions 4 Home y E B e Summary Monitor Manage Related Objects v 2 localhost y h Automationt Setings Networking Storage Alarm Definitions Tags Permissions v EJ AutomationHosts gt e 10 2 133 175 gt MES Agent VM Settings Edf 102 133 176 y Virtual Machines z 3 E 102 133 177 Dataene A Jjefaul ompa Default VM Compatibility Y SADI Network Ss 7 psp VM Startup Shutdown g gt k z Bsa savenn Ep WFE1 Swap file location Datastore datastore1 EpWFE2 y System Network y 3 Infrastructure Loma E 10 2 133 174 Gp ESxn Host profile Ep ESx2 Time Configuration dp ESXI3 Authentication Services p nsxmgr Power Management Advanced System Setting oK Cancel Gu a de implementaci n de la serie VM 63 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del servicio Palo Alto Networks NGFW 8 Seleccione el grupo de puertos que proporciona acceso de tr fico de red de gesti n al cortafuegos Seleccione el grupo de direcciones IP desde el que asignar
58. e habilitar Permitir modo de capa 2 serie VM en todas las interfaces de datos Este ajuste permite al cortafuegos sortear paquetes destinados a la VIP de NetScaler VPX 36 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n del cortafuegos de la serie VM para procesar tr fico norte sur usando la interfaces de la capa 2 o cable virtual Continuaci n Paso 2 Vuelva a conectar el cable a la interfaz de Si ya ha implementado una NetScaler VPX y ahora est a adiendo el la parte del servidor asignada a la cortafuegos de la serie VM al servidor SDX tendr dos puertos NetScaler VPX asignados a la VPX Cuando implemente el cortafuegos de la serie OE VM la NetScaler VPX solo necesitar un puerto para gestionar el Como la NetScaler VPX se reiniciar 0 a P para E tr fico de la parte del cliente cuando vuelva a conectarse el cable eval e si desea realizar esta tarea durante Por lo tanto antes de configurar las interfaces de datos de la serie una ventana de mantenimiento VM debe retirar el cable de la interfaz que conecta la VPX a la granja de servidores y conectarlo al cortafuegos para que este procese todo el tr fico dirigido a la granja de servidores Paso 3 Configure las interfaces de datos 1 Inicie la interfaz web del cortafuegos En este ejemplo se muestra la 2 Selecc
59. e la serie VM Configuraci n de un Cortafuegos de la serie VM Soluci n de problemas de implementaciones de ESXi en un servidor ESX Modificaci n del archivo de imagen base solo si se usa la licencia VM 1000 HV en el modo independiente Paso 2 Busque 4096 y cambie la asignaci n de memoria a 5012 es decir 5 GB aqu lt Item gt lt rasd AllocationUnits gt byte 2 20 lt rasd AllocationUnits gt lt rasd Description gt Memory Size lt rasd Description gt lt rasd ElementName gt 4096MB of memory lt rasd ElementName gt lt rasd InstancelD gt 2 lt rasd InstanceID gt lt rasd ResourceType gt 4 lt rasd ResourceType gt lt rasd VirtualQuantity gt 4096 lt rasd VirtualQuantity gt lt Item gt lt rasd AllocationUnits gt byte 2 20 lt rasd AllocationUnits gt lt rasd Description gt Memory Size lt rasd Description gt lt rasd ElementName gt 5102MB of memory lt rasd ElementName gt lt rasd InstancelD gt 2 lt rasd InstanceID gt lt rasd ResourceType gt 5 lt rasd ResourceType gt lt rasd VirtualQuantity gt 5012 lt rasd VirtualQuantity gt Paso 3 Cambie el n mero de n cleos de CPU virtuales que se asignan de 2 a 4 u 8 como desee para su implementaci n lt Item gt lt rasd AllocationUnits gt hertz 10 6 lt rasd AllocationUnits gt lt rasd Description gt Number of Virtual CPUs lt rasd Description gt lt rasd ElementName gt 2 virtual CPU s lt rasd ElementName gt lt rasd InstancelD gt 1 lt rasd InstanceID g
60. e la serie VM El cortafuegos de la serie VM est disponible en cuatro modelos VM 100 VM 200 VM 300 y VM 1000 HV Los cuatro modelos pueden implementarse como m quinas virtuales invitadas en ESXi de VMware y NetScaler SDX de Citrix en NSX de VMWare solo se admite VM 1000 HV El paquete de software archivo xva o 00f que se usa para implementar el cortafuegos de la serie VM es com n en todos los modelos El modelo de la serie VM funciona con licencia cuando aplica la licencia en el cortafuegos de la serie VM el n mero de modelo y las capacidades asociadas se implementan en el cortafuegos Cada modelo puede adquirirse en versi n Individual o Enterprise La versi n Individual se vende por unidades El SKU que solicite por ejemplo PA VM 300 incluye un c digo de autenticaci n para obtener licencia de una instancia del cortafuegos de la serie VM La versi n Enterprise est disponible en bloques de 25 unidades Por ejemplo el SKU de pedido PAN VM 100 ENT tiene un nico c digo de autenticaci n que le permite registrar 100 instancias del VM 100 Cada modelo de cortafuegos de la serie VM tiene licencia para una capacidad m xima La capacidad se define por el n mero de sesiones reglas zonas de seguridad objetos de direcci n t neles VPN de IPSec y t neles VPN SSL que el cortafuegos de la serie VM est optimizado para gestionar Al adquirir una licencia aseg rese de que adquiere la licencia correcta bas ndose en sus requisitos d
61. e red La siguiente tabla describe algunas de las diferencias de capacidad por modelo VM 100 50000 250 1000 10 25 25 VM 200 100000 2000 1000 20 500 200 VM 300 250000 5000 1000 40 2000 500 VM 1000 HV 250000 10000 100000 40 2000 500 2 Gu a de implementaci n de la serie VM Acerca del cortafuegos de la serie VM Implementaciones de la serie VM Implementaciones de la serie VM El cortafuegos de la serie VM puede implementarse en las siguientes plataformas O Serie VM para el hipervisor vSphere de VMware ESXi VM 100 VM 200 VM 300 o VM 1000 HV se implementan como m quina virtual invitada en ESXi de VMware ideal para redes o nubes en las que es necesaria una versi n virtual gt Para obtener m s informaci n consulte Configuraci n de un Cortafuegos de la serie VM en un servidor ESXi SERIE VM C Serie VM para NSX de VMware El modelo VM 1000 HV se implementa como un servicio de introspecci n de red con NSX de VMware y Panorama Esta implementaci n es ideal para la inspecci n del tr fico horizontal Si desea informaci n detallada consulte Cortafuegos de la edici n NSX de la serie VM Inserci n del servicio de red NXSX VMware ESXi C Serie VM para SDX de Citrix VM 100 VM 200 VM 300 o VM 1000 HV se implementan como m quina virtual invitada en NetScaler SDX de Citrix consolida los servicios de seguridad y ADC y las implementaciones
62. eccione Ping y SSH y a continuaci n haga clic en Aceptar 9 Para guardar la configuraci n de la interfaz haga clic en Aceptar 10 Haga clic en Compilar para guardar sus cambios en el cortafuegos 34 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n del cortafuegos de la serie VM para procesar tr fico norte sur usando las interfaces de la capa 3 Paso 3 Cree una pol tica b sica que permita el tr fico entre la NetScaler VPX y los servidores web En este ejemplo debido a que solo hemos configurado una interfaz de datos especificamos la direcci n IP de destino y de origen para permitir el tr fico entre la NetScaler VPX y los servidores Gu a de implementaci n de la serie VM 10 Seleccione Pol ticas gt Seguridad y haga clic en A adir Asigne a la regla un nombre descriptivo en la pesta a General En la ficha Origen seleccione A adir en la secci n Direcci n de origen y seleccione el enlace de nueva direcci n Cree un objeto de nueva direcci n que especifique la SNIP en la NetScaler VPX En este ejemplo esta direcci n IP es el origen de todas las solicitudes para los servidores Name vPx Description Type IP Netmask viis En la ficha Destino seleccione A adir en la secci n Direcci n de destino y seleccione el enlace de nueva d
63. el cortafuegos de la serie VM refuerza la pol tica de seguridad comparando la direcci n IP de origen o destino el uso de grupos de direcciones din micas para cumplimentar los miembros del grupo en tiempo real y env a el tr fico a los filtros del cortafuegos NSX Para entender la forma en que el administrador NSX y Panorama se sincronizan con los cambios en SDDC y garantizar que el cortafuegos de la serie VM instaura constantemente la pol tica consulte Instauraci n de pol ticas mediante grupos de direcciones din micas Instauraci n de pol ticas mediante grupos de direcciones din micas A diferencia de otras versiones del cortafuegos de la serie VM la edici n NSX no usa zonas de seguridad como mecanismo principal de segmentaci n del tr fico porque ambas interfaces de cableado virtual pertenecen a la misma zona En su lugar la edici n NSX usa grupos de direcciones din micas para segmentar el tr fico Un grupo de direcciones din micas se usa como objeto de recurso o destino en una pol tica de seguridad Como las direcciones IP cambian constantemente en un entorno de centro de datos los grupos de direcciones din micas ofrecen una forma de automatizar el proceso de referencia a las direcciones de origen o destino dentro de las pol ticas de seguridad A diferencia de los objetos de direcciones est ticas que deben actualizarse manualmente en la configuraci n y asignarse siempre que hay un cambio de direcci n adici n eliminaci n
64. el vSwitch Gu a de implementaci n de la serie VM 49 Presentaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Flujo de tr fico en la edici n NSX de la serie VM 3 Establecimiento de comunicaci n entre el cortafuegos de la serie VM y Panorama El cortafuegos de la serie VM inicia una conexi n con Panorama para obtener su licencia Panorama recupera la licencia del servidor de actualizaci n y la env a al cortafuegos El cortafuegos de la serie VM recibe la licencia VM 1000 HV y se reinicia con un n mero de serie v lido 4 Instale la configuraci n pol tica desde Panorama en el cortafuegos de la serie VM El cortafuegos de la serie VM se vuelve a conectar con Panorama y proporciona su n mero de serie Panorama ahora a ade el cortafuegos al grupo de dispositivos que se defini en el proceso de registro y env a la pol tica predeterminada al cortafuegos El cortafuegos de la serie VM ahora est disponible como m quina virtual de seguridad que puede configurarse m s detalladamente para activar con seguridad las aplicaciones en la red 5 Env o de las reglas de redireccionamiento de tr fico desde el cortafuegos NSX En el compositor de servicios del cortafuegos NSX puede crear grupos de seguridad y definir reglas de introspecci n de red que especifiquen qu invitados de qu tr fico se enviar n al cortafuegos de la serie VM Consulte Reglas de pol ticas integradas para o
65. electr nico de cumplimentaci n del pedido para registrar su cortafuegos de la serie VM y recuperar el acceso a la plantilla de OVE El OVF se descarga como archivo comprimido zip que se expande en tres archivos la extensi n ovf es para el archivo descriptor OVF que contiene todos los metadatos del paquete y su contenido la extensi n mf es para el archivo de manifiesto OVF que contiene los res menes SHA 1 de los archivos individuales del paquete y la extensi n vmdk se aplica al archivo de imagen de disco virtual que contiene la versi n virtualizada del cortafuegos A Aprovisionamiento del cortafuegos de la serie VM A Realizaci n de la configuraci n inicial Aprovisionamiento del cortafuegos de la serie VM Aprovisionamiento del cortafuegos de la serie VM Paso 1 Descargue el archivo zip que contiene la Registre su cortafuegos de la serie VM y obtenga la plantilla de OVF plantilla de OVE de https support paloaltonetworks com Nota Los archivos anteriores contienen la instalaci n b sica Cuando la instalaci n b sica haya finalizado deber descargar e instalar la versi n m s reciente de PAN OS desde el sitio web de asistencia t cnica Con ello garantizar que cuenta con los ajustes m s recientes implementados desde la creaci n de la imagen b sica Para obtener instrucciones consulte Actualizaci n de la versi n de software de PAN OS Paso 2 Antes de implementar la plantilla de OVF Para configurar un co
66. erie VM 5 Obtenci n de licencia del Cortafuegos de la serie VM Acerca del cortafuegos de la serie VM Hasta que haya activado la licencia en el cortafuegos de la serie VM el cortafuegos no tendr un n mero de serie la direcci n MAC de las interfaces del plano de datos no ser n nicas y solo se admitir un n mero m nimo de sesiones Como las direcciones MAC no son nicas hasta que el cortafuegos recibe licencia para evitar problemas por superposici n de direcciones MAC aseg rese de no tener m ltiples cortafuegos de la serie VM sin licencia Cuando activa la licencia el servidor de licencias usa la UUID y la Id de la CPU de la m quina virtual para generar un n mero de serie nico para el cortafuegos de la serie VM El c digo de autenticaci n de capacidad junto con el n mero de serie se usa para validar su autorizaci n Activaci n de la licencia hb e Sisu cortafuegos de la serie VM tiene acceso directo Seleccione Dispositivo gt Licencias y seleccione el v nculo Activar a Internet funci n usando el c digo de autenticaci n 2 Introduzca el c digo de autenticaci n de capacidad que registr en el portal de asistencia t cnica El cortafuegos se conectar con el servidor de actualizaci n updates paloaltonetworks com descargar la licencia y se reiniciar autom ticamente 3 Vuelva a iniciar sesi n en la interfaz web y confirme que el Panel muestra un n mero de serie v lido Si aparece el t rmino
67. ervidor Citrix SDX Topolog a despu s de a adir el cortafuegos de la serie VM a t e Oficina remota C gt Usuario remoto z 1 1 1 1 VLAN 100 VLAN 200 Servidores DMS 192 168 10 0 24 VIP 20 5 5 1 SNIP 20 5 5 10 SNIP 192 168 10 10 lali Centro de datos corporativo SNIP 20 5 5 20 SNIP 172 168 10 10 Cuando el cortafuegos de a serie VM se implementa este ejemplo utiliza las interfaces de capa 3 el flujo de tr fico es el siguiente e Todas las solicitudes entrantes se autentican y la conexi n SSL se termina en la primera instancia de la NetScaler VPX Para obtener el contenido solicitado si reside en la DMZ la NetScaler VPX inicia una nueva conexi n al servidor Observe que el tr fico norte sur destinado al centro de datos corporativo o a los servidores de la DMZ lo gestiona el cortafuegos perimetral y no el cortafuegos de la serie VM Por ejemplo cuando un usuario IP de origen 1 1 1 1 solicita contenido desde un servidor de la DMZ la IP de destino es 20 5 5 1 VIP de la NetScaler VPX Entonces la NetScaler VPX sustituye la direcci n IP de destino basada en el protocolo a la direcci n IP del servidor interno p ej 192 168 10 10 El tr fico de retorno desde el servidor se env a de vuelta a la NetScaler VPX en 20 5 5 1 y se env a al usuario con la direcci n IP 1 1 1 1 e Elcortafuegos de la serie VM procesa todas las solicitudes entre los servidores de DMZ y el centro de datos corporativo
68. ervidor SDX aseg rese de cumplir las especificaciones que aparecen a continuaci n para garantizar un rendimiento ptimo Plataformas SDX e 11500 13500 14500 16500 18500 20500 e 17550 19550 20550 21550 Versi n de SDX 10 1 10 1 no es compatible se necesita una versi n de software superior a 10 1 Versi n de Citrix XenServer 6 0 2 o superior Recursos m nimos del sistema e Dos vCPU por cortafuegos de la serie VM Una se utilizar para el plano de gesti n y la otra para el plano de datos Puede a adir cualquier vCPU en las siguientes combinaciones 2 4 u 8 vCPU se asignan vCPU adicionales al plano de datos Nota Planee y asigne el n mero total de interfaces de datos que podr a necesitar en el cortafuegos de la serie VM Esta tarea es b sica durante la implementaci n inicial e Dos interfaces de red una dedicada al tr fico de gesti n y otra para porque a adir o eliminar interfaces del el tr fico de datos Con el tr fico de gesti n puede utilizar las cortafuegos de la serie VM despu s de la interfaces 0 x en el plano de gesti n o las interfaces 10 x en el implementaci n inicial har que las plano de datos Asigne interfaces de red adicionales para el tr fico interfaces de datos Eth 1 1 y Eth 1 2 de datos seg n lo necesite su topolog a de red del cortafuegos de la serie VM reasigne a los adaptadores en el servidor SDX Todas las interfaces de datos se asignan secuencialmente al adaptado
69. es desde los que el cortafuegos recibe tr fico de datos Ejecutar servicios de introspecci n de redes en el puerto especificado en el perfil 6 Use el v nculo Cambiar bajo Origen y Destino para especificar la direcci n del flujo de tr fico que requiere la introspecci n de la red La selecci n de destino o de origen o ambos debe ser Grupos de seguridad de la pol tica donde podr seleccionar los grupos de seguridad que defini antes Name Inbound Description Action Redirect to service D Do not redirect Service Name Palo Alto Networks NGFW Profile Palo Alto Networks profile 1 Source WFE SQL AD SP 4 selected Change Negate source Destination Policys Security Groups 4 selected Change Negate destination Si por ejemplo desea inspeccionar todo el tr fico entrante desde los grupos de seguridad a los servidores front end web y todo el tr fico saliente de los servidores a los grupos de seguridad la regla ser a como sigue ForwardEastWest Network Introspection Services Q No Name Source Destination Protocol Action WebFrontEn 9 Sharepoint 1 Inbound Ba Policys S E msesaL Any Redirect to PAN firewall Palo Alto Networks DomainCont WebFrontEn Sharepoint lt z q 2 Outbound S mssaL aj Policy s S Any Redirectto PAN firewall Palo Alto Networks MOD DomainCont La pol tica de seguridad completa ser a as EJ Service Composer 4 Forwar
70. g rese de que las interfaces se asignan correctamente Adaptador de red 1 gesti n Adaptador de red 2 Ethernet1 1 Adaptador de red 3 Ethernet1 2 20 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Soluci n de problemas de implementaciones de ESXi en un servidor ESX Para cada m quina virtual compruebe los ajustes para verificar que la interfaz se asigna al grupo de puertos correcto e Compruebe que se ha habilitado el modo promiscuo para cada grupo de puertos o para todo el conmutador Como las direcciones MAC de PAN OS del plano de datos son distintas de las direcciones MAC de VMNIC asignadas por vSphere el grupo de puertos o todo el vSwitch debe estar en modo promiscuo e Compruebe la configuraci n de VLAN en vSphere El uso de la configuraci n VLAN en el grupo de puertos vSphere tiene dos objetivos determina qu grupos de puertos comparten un dominio de 2 niveles y determina si se etiquetan los puertos de v nculo superior 802 10 e Compruebe los ajustes de puerto de conmutador f sico Si se especifica una Id de VLAN en un grupo de puertos con puertos de v nculo superior vSphere usar 802 10 para etiquetar las tramas salientes La etiqueta debe coincidir con la configuraci n del conmutador f sico de lo contrario el tr fico no pasar Compruebe las estad sticas del puerto si usa conmutadores distribuidos virtuales vDS los conmutadores est ndar no proporcionan
71. gos deben pertenecer a un grupo de dispositivos la adici n de un cortafuegos a una plantilla es opcional Los grupos de dispositivos le permiten reunir los cortafuegos que necesitan objetos y pol ticas similares como una unidad l gica la configuraci n se define usando las fichas Objetos y Pol ticas en Panorama Las plantillas se usan para configurar los ajustes necesarios para que los cortafuegos de la serie V operen en la red la configuraci n se define usando las fichas Dispositivo y Red en Panorama Por ejemplo puede usar plantillas para definir un acceso administrativo al cortafuegos o definir ajustes de registro o perfiles de servidor en los cortafuegos gestionados Si no conoce Panorama consulte la Gu a del administrador de Panorama para ver instrucciones sobre la configuraci n de Panorama Creaci n de un grupo de dispositivos y plantillas en Panorama Paso 1 Inicie sesi n en la interfaz web de Si usa una conexi n segura https desde un navegador web inicie Panorama sesi n usando la direcci n IP y la contrase a que asign durante la configuraci n inicial https lt direcci n 1P gt Paso 2 A ada un grupo de dispositivos 1 Seleccione Panorama gt Grupos de dispositivos y haga clic en A adir 2 Introduzca un Nombre y una Descripci n para identificar el grupo de dispositivos 3 Haga clic en ACEPTAR Cuando los cortafuegos se hayan implementado y abastecido se mostrar n en Panorama gt Dispositivo
72. guardar los cambios en el cortafuegos Gu a de implementaci n de la serie VM 37 Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Configuraci n del cortafuegos de la serie VM para procesar tr fico norte sur usando la interfaces de la capa 2 o cable virtual Continuaci n Paso 4 Cree una regla de pol tica b sica que permita el tr fico a trav s del cortafuegos En este ejemplo se muestra c mo permitir el tr fico entre la NetScaler VPX y los servidores web 1 AlonAl Mit mee goe alami O B EE veb browsing Seleccione Pol ticas gt Seguridad y haga clic en A adir Asigne a la regla un nombre descriptivo en la pesta a General En la ficha Origen establezca la zona de origen para la zona de la parte del cliente que ha definido En este ejemplo seleccione el cliente En la ficha Destino establezca la zona de destino para la zona de la parte del servidor que ha definido En este ejemplo seleccione el servidor En la ficha Aplicaci n haga clic en A adir para seleccionar las aplicaciones a las que debe permitir el acceso En la pesta a Acciones realice estas tareas a Establezca Configuraci n de acci n como Permitir b Adjunte los perfiles predeterminados para la protecci n antivirus antispyware y contra vulnerabilidades y para el filtrado de URL en Ajuste de perfil Verifique que los logs est n h
73. hos reservados Palo Alto Networks PAN OS y Panorama son marcas comerciales de Palo Alto Networks Inc Todas las dem s marcas comerciales son propiedad de sus respectivos propietarios 28 de marzo de 2014 Contenido Acerca del cortafuegos de la serie VM o o ooooooooooono o 1 Modelos dela serie VM vsrisriis cansino rro a Ad 2 Implementaci nes de la setie VM A 3 Obtenci n de licencia del Cortafuegos de la serie VM ooooccccccococcccccroo rr 4 Creaci n de una cuenta de asistencia t CNICA p iis cras poani esap ponid grottan i atai pind iois 4 Registro del cortafuegos de la serte VMisesvoroiar rosso ippo Pier PEUS TEE RE EENE 5 Activaci n de la licencia lss ii a a os 5 Actualizaci n de la versi n de software de PAN OS oocccoocccccccccoo rr 7 Actualizaci n del m delo de lastre VMiiisiticaa ii paid ac E Aa E 7 Configuraci n de un Cortafuegos de la serie VM en un servidor ESXi 9 Implementaci nes compatibles scott ad dida E E NEAR A dai 10 Requisitos y limitaciones delsisteMa 000 A A 11 Requisitos aiosddia irritar osa as 11 Limitaciones tcs a a A As 11 Instalaci n de un cortafuegos de la serie VM ooococcccoccoonnccccccr dintra noriet 13 Aprovisionamiento del cortafuegos de la serie VM oooocooocccccccccno coro 13 Realizaci n de la configuraci n inicial oooooooooococcrcnnonrrcc r ETENEE RISE ENES 16 Soluci n de problemas de implementaciones de ESXL oooooococoococcccccr o 17 Soluci n de
74. ication Seleccione Pol ticas gt Seguridad Seleccione el Grupo de dispositivos que cre para gestionar los cortafuegos de la edici n NSX de la serie VM en Creaci n de un grupo de dispositivos y plantillas en Panorama Haga clic en A adir e introduzca un Nombre y una Descripci n para la regla En este ejemplo la regla de seguridad permite todo el tr fico entre los servidores WebFrontEnd y de aplicaciones En Direcci n de origen y Direcci n de destino seleccione o escriba una direcci n grupo de direcciones o regi n En este ejemplo seleccionamos un grupo de direcciones el grupo de direcciones din mico que cre en el Paso 1 anterior Jany H Source Address a Seleccione la Aplicaci n a permitir En este ejemplo hemos creado un Grupo de aplicaciones que incluye un grupo est tico de aplicaciones espec ficas que se agrupan juntas a Haga clic en A adir y seleccione Nuevo grupo de aplicaciones b Haga clic en A adir para seleccionar la aplicaci n que desea a adir al grupo En este ejemplo seleccionamos lo siguiente Application Group Name WFE SP c Haga clic en ACEPTAR para crear el grupo de aplicaciones Especifique la acci n Permitir o Denegar para el tr fico y opcionalmente adjunte los perfiles de seguridad predeterminados para los antivirus anti spyware y protecci n contra vulnerabilidades en Perfiles Repita los pasos 3 6 anterior para crear las reglas de p
75. inados admin admin para iniciar sesi n 4 Introduzca configurar para pasar al modo de configuraci n Paso 3 Defina la configuraci n de acceso a la red para la interfaz de gesti n Introduzca el siguiente comando set deviceconfig system ip address lt IP cortafuegos gt netmask lt m scara de red gt default gateway lt IP puerta de enlace gt dns setting servers primary lt IP DNS gt donde lt IP cortafuegos gt es la direcci n IP que quiere asignar a la interfaz de gesti n m scara de red gt es la m scara de subred lt IP puerta de enlace gt es la direcci n IP de la puerta de enlace de la red y lt IP DNS gt es la direcci n IP del servidor DNS Paso 4 Confirme los cambios y salga del modo de configuraci n Introduzca commit Introduzca exit Paso 5 Verifique el acceso a la red para los servicios externos requeridos para la gesti n del cortafuegos como el servidor de actualizaciones de Palo Alto Networks Para verificar que el cortafuegos tiene acceso de red externa utilice la utilidad ping utility Compruebe la conectividad a la puerta de enlace predeterminada servidor DNS y el servidor de actualizaci n de Palo Alto Networks como se muestra en el siguiente ejemplo adminevM_200 Corp gt ping host updates paloaltonetworks com Haciendo ping a updates paloaltonetworks com 67 192 236 252 con 56 84 bytes de datos 64 bytes desde 67 192 236 252 icmp seq 1 ttl 243 tiempo 40 5 ms 64
76. io la implementaci n del OVF puede tardar horas o agotar el tiempo de espera y fallar Por qu el cortafuegos se inicia en modo de mantenimiento Si ha adquirido la licencia del VM 1000 HV y est implementando el cortafuegos de la serie VM en modo independiente en un servidor ESXi de VMware o un servidor SDX de Citrix debe asignar un m nimo de 5 GB de memoria en el cortafuegos de la serie VM Para solucionar este problema debe modificar el archivo de imagen base consulte C mo puedo modificar el archivo de imagen base de la licencia de VM 1000 HV o edite los ajustes del host ESXi o el servidor vCenter antes de encender el cortafuegos de la serie VM C mo puedo modificar el archivo de imagen base de la licencia de VM 1000 HV Si ha adquirido la licencia del VM 1000 HV y est implementando el cortafuegos de la serie VM en modo independiente en un servidor ESXi de VMware o en un servidor SDX de Citrix siga estas instrucciones para modificar los siguientes atributos que se definen en el archivo de imagen base ovf o xva del cortafuegos de la serie VM Importante La modificaci n de valores distintos de los enumerados aqu invalidar el archivo de imagen base Modificaci n del archivo de imagen base solo si se usa la licencia VM 1000 HV en el modo independiente Paso 1 Abra el archivo de imagen base por ejemplo 6 0 0 con una herramienta de edici n de texto como el bloc de notas 18 Gu a de implementaci n d
77. ione Red gt Interfaces gt Ethernet configuraci n para las interfaces de cable 3 Haga clic en el enlace de una interfaz por ejemplo virtual ethernet 1 1 y seleccione el tipo de interfaz como de PUE EE n E E ei capa 2 o cable virtual y PAN Configuraci n de cable virtual themeti 1 Virtual Wi A 1 Cent E A i si se E Si Todas las interfaces de cable virtual ethernet 1 1 y ethernet 1 2 aaethernet1 2 Virtual Wire none deben conectarse a una zona de seguridad y un cable virtual Para configurar estos ajustes seleccione la ficha Configuraci n y complete las siguientes tareas a En el men desplegable Cable virtual haga clic en Nuevo cable virtual defina un nombre as gnele las dos interfaces de datos ethernet 1 1 y ethernet 1 2 y a continuaci n haga clic en Aceptar Cuando configure ethernet 1 2 seleccione este cable virtual b Seleccione Nueva zona en el men desplegable Zona de seguridad defina un nombre para la nueva zona por ejemplo cliente y a continuaci n haga clic en Aceptar Configuraci n de capa 2 Necesita una zona de seguridad en cada interfaz de capa 2 Seleccione la ficha Configuraci n y complete las siguientes tareas a Seleccione Nueva zona en el men desplegable Zona de seguridad defina un nombre para la nueva zona por ejemplo cliente y a continuaci n haga clic en Aceptar 4 Repita los pasos 2 y 3 que aparecen anteriormente para la otra interfaz 5 Haga clic en Compilar para
78. ip de la imagen base y extraiga el archivo XVa Este archivo xva es necesario para instalar el cortafuegos de la serie VM Paso 2 Cargue la imagen del ordenador local al 1 servidor Citrix SDX 2 NetScaler SDX 20500 Inicie el navegador web e inicie sesi n en el servidor SDX Seleccione Configuraci n gt Serie VM de Palo Alto gt Im genes de software home Monitornno Configuration Name Last Modified Size Upload PaloAlto VM Series XVA File Upload En el men desplegable Acci n seleccione Cargar y navegue hasta la ubicaci n del archivo de imagen xva guardado Seleccione la imagen y haga clic en Abrir Cargue la imagen en el servidor SDX 30 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Instalaci n del Cortafuegos de la serie VM Aprovisionamiento del cortafuegos de la serie VM Aprovisionamiento del cortafuegos de la serie VM en el servidor SDX Paso 1 Acceda al servidor SDX Inicie el navegador web y conecte al servidor SDX Paso 2 Cree el cortafuegos de la serie VM Nota Asigne el n mero total de interfaces de datos que podr a necesitar en el cortafuegos de la serie VM durante la implementaci n inicial A adir o eliminar interfaces al cortafuegos de la serie VM despu s de la implementaci n inicial har que las interfaces de datos Eth 1 1 y Eth 1 2 del cortafuegos de la
79. irecci n Cree un objeto de nueva direcci n que especifique la subred de los servidores web En este ejemplo esta subred alberga todos los servidores web que atienden las solicitudes Name web_farm Description Type IP Netmask i92 En la ficha Aplicaci n seleccione la navegaci n web En la pesta a Acciones realice estas tareas a Establezca Configuraci n de acci n como Permitir b Adjunte los perfiles predeterminados para la protecci n antivirus y contra vulnerabilidades dentro de Ajuste de perfil Verifique que los logs est n habilitados al final de una sesi n bajo Opciones Unicamente se registrar el tr fico que coincida con una regla de seguridad 1 AlonAl ga Sgvebfam E mebbronsng any o YY a 2 DenyAl any an Cree otra regla para denegar cualquier otro tr fico de cualquier direcci n IP de origen y de destino de la red Como todo el tr fico interno de la zona est permitido de forma predeterminada para poder denegar tr fico no relacionado con la navegaci n web debe crear una regla de denegaci n que bloquee expl citamente el resto del tr fico 35 Tr fico norte sur seguro con el cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Implementaci n del cortafuegos de la serie VM con interfaces de capa 2 L2 o de cable virtual Para asegurar el tr fico norte sur esta situaci n le muestra c mo implementar el cortafuegos de la serie
80. l App Datacenter IP Sets Directory Group MAC Sets Security Tag vNIC Virtual Machine Resource Pool y a z 3h DevStack 1 PM DC Eh Win7Client Automation O 8 os b controller node 1 PM DC Y 51 IIS WFE1 Automation O E DomainControllert Automation C Eh openstack network node 1 PM DC O mssaL1 Automation Eh SharePointi Automation 4 o0s b network node PM DC Eh PA VM 6 0 0 PM DC Y Eh NS WFE2 Automation w 14items B4 Back Next Cancel 4 Revise la informaci n y haga clic en Aceptar para crear el grupo de seguridad 66 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Definici n de las pol ticas para redirigir el tr fico al cortafuegos de la serie VM U Cree pol ticas de seguridad para dirigir el tr fico desde el administrador NSX al cortafuegos de la serie VM 1 Seleccione Redes y seguridad gt Compositor de servicios gt Pol ticas de seguridad y haga clic en Crear pol tica de seguridad N A ada un Nombre y una Descripci n W En Servicios de introspecci n de redes haga clic en A adir e introduzca un Nombre para el servicio Defina la Acci n como Redirigir al servicio y defina el Nombre de servicio como Palo Alto NFGW an Seleccione el perfil de servicio que cre anteriormente Palo Alto Networks perfil 1 en este flujo de trabajo Este perfil especifica los grupos de puertos y red
81. l historial de recursos haga clic en la ficha Rendimiento y supervise el consumo de recursos a lo largo del tiempo Problemas de instalaci n Problemas con la implementaci n del OVF La serie VM se proporciona como un archivo descargable de formato abierto de virtualizaci n OVF El OVF se descarga como un archivo zip que se extrae en tres carpetas Si tiene problemas para implementar el OVF aseg rese de que los tres archivos se extraen y muestran y si es necesario vuelva a descargar y extraer el OVF de nuevo Gu a de implementaci n de la serie VM 17 Soluci n de problemas de implementaciones de ESXi Configuraci n de un Cortafuegos de la serie VM en un servidor ESX e lLaextensi n OVF es el archivo descriptivo de OVF que contiene todos los metadatos sobre el paquete y su contenido e Laextensi n MF es el archivo de manifiesto de OVF que contiene los res menes de SHA 1 de los archivos individuales del paquete e La extensi n vmdk es para el archivo de imagen de disco virtual e El disco virtual del OVF es mayor para la serie VM este archivo tiene 900 MB y debe estar presente en el equipo que ejecuta el cliente vSphere Aseg rese de que la conexi n de red es suficiente entre el ordenador cliente de vSphere y el host ESXi de destino Los cortafuegos de la ruta deben admitir los puertos TCP 902 y 443 del cliente vSphere al host ESXi Debe haber suficiente ancho de banda y una baja latencia en la conexi n ya que de lo contrar
82. la capa 3 Para implementar el cortafuegos consulte Instalaci n del Cortafuegos de la serie VM Una vez implementado el cortafuegos de la serie VM funciona de forma sincronizada con la NetScaler VPX si es necesario un dispositivo virtual de NetScaler implementado en el servidor SDX La NetScaler VPX proporciona equilibro de carga y una funci n de gesti n de tr fico y suele implementarse frente a una granja de servidores para facilitar un acceso eficaz a los servidores Para obtener una visi n general completa de las funciones de NetScaler consulte http www citrix com netscaler Cuando la serie VM se utiliza conjuntamente para trabajar con la NetScaler VPX las funciones complementarias mejoran su gesti n del tr fico el equilibro de la carga y las necesidades de seguridad de la aplicaci n red Este documento asume su familiaridad con la red y la configuraci n en la NetScaler VPX Con el fin de proporcionar contexto para los t rminos utilizados en esta secci n a continuaci n presentamos una breve actualizaci n sobre las direcciones de IP propiedad de NetScaler a las que se se hace referencia en este documento e Direcciones IP de NetScaler NSIP NSIP es la direcci n IP para el acceso de gesti n y sistema general al propio NetScaler y para la comunicaci n de alta disponibilidad e Direcci n IP asignada MIP Una MIP se utiliza para las conexiones en la parte del servidor No es la direcci n IP de NetScaler En la mayor a de l
83. la serie VM 47 Presentaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Administrador NSX NSX es una plataforma de virtualizaci n de red de VMware que se integra completamente con vSphere El cortafuegos NSX y el compositor de servicios son funciones clave del administrador NSX El cortafuegos NSX es un cortafuegos l gico que le permite vincular los servicios de red y seguridad a las m quinas virtuales y el compositor de servicios le permite agrupar m quinas virtuales y crear pol ticas para redirigir el tr fico al cortafuegos de la serie VM llamado servicio Palo Alto Networks NGFW en el administrador NSX Panorama Panorama se usa para registrar la edici n NSX del cortafuegos de la serie VM como servicio Palo Alto Networks NGFW en el administrador NSX El registro del servicio Palo Alto Networks NGFW en el administrador NSX permite al administrador NSX implementar la edici n NSX del cortafuegos de la serie VM en cada host ESXi del cl ster ESXi Panorama sirve como punto central de administraci n de los cortafuegos de la edici n NSX de la serie VM Cuando se implementa un nuevo cortafuegos de la edici n NSX de la serie VM se comunica con Panorama para obtener la licencia y recibe su configuraci n pol ticas de Panorama Todos los elementos de configuraci n pol ticas y grupos de direcciones din micas de los cortafuegos gestionados pueden gestionarse de forma centralizada en
84. licencia A Problemas de conectividad Soluci n de problemas b sicos FA Recomendaci n de herramientas de soluci n de problemas de red Resulta til tener una estaci n de soluci n de problemas a para capturar el tr fico o inyectar paquetes de prueba en el entorno virtualizado Puede ser til crear un SO nuevo desde cero con las herramientas de soluci n de los problemas m s comunes instaladas como tcpdump a hping traceroute iperf tcpedit netcat etc continuaci n esta m quina puede apagarse y convertirse en una plantilla Cada vez que se necesiten herramientas el cliente de soluci n de problemas m quina virtual puede implementarse r pidamente en el conmutador virtual en cuesti n y usarse para aislar problemas de redes Cuando la prueba est completa la instancia podr simplemente descartarse y la plantilla se volver a usar la siguiente vez que sea necesaria Para problemas relacionados con el rendimiento en el cortafuegos primero compruebe el Panel en la interfaz web del cortafuegos Para ver alertas o crear un archivo de asistencia t cnica o de volcado de estad sticas despl cese a Dispositivo gt Asistencia t cnica Para obtener informaci n del cliente vSphere vaya a Inicio gt Inventario gt VM y plantillas seleccione la instancia del cortafuegos de la serie VM y haga clic en la ficha Resumen Bajo Recursos compruebe las estad sticas de la memoria consumida la CPU y el almacenamiento Para conocer e
85. m commit succeeded 6 E Password Profiles E Pa vm 007200001671 10 2 133 184 NSX Template v insm insm commit succeeded 6 8 Administrators E pam 007200001672 102 133 182 NSX Template A O sync O nsnc commit succeeded 6 High Availability y A Certificate Management fl Certificates El Certificate Profile V E Log Settings b Haga clic en Compilar y seleccione Compilar tipo como Panorama Nota Es necesario compilar Panorama peri dicamente para garantizar que Panorama guarda los n meros de serie de dispositivos en la configuraci n Si reinicia Panorama sin compilar los cambios los dispositivos gestionados no se conectar n de nuevo con Panorama aunque el grupo de dispositivos aparecer en la lista de dispositivos los dispositivos no aparecer n en Panorama gt Dispositivos gestionados 11 Compruebe que se ha aplicado la licencia de capacidad y cualquier licencia adicional que haya adquirido Como m nimo debe activar la licencia de asistencia t cnica en cada cortafuegos a Seleccione Panorama gt Implementaciones de servicio gt Licencias para comprobar que la licencia de capacidad de la serie VM se aplique PA VM ESXI1 ires Never PA VM ESXI2 ires Never DC Edge FW E 8 o Ex yo go Jo Jo ires Never pires 10 30 2018 12 00 00 AM b Para aplicar licencias adicionales a los cortafuegos de la serie VM 1 Haga clic en Activar en Panorama gt Implementaci n de dispositivos gt Licencias 2
86. ma puede definir enviar y administrar pol ticas centralmente en todos los cortafuegos de la serie VM En Panorama cree grupos de acceso din mico para cada grupo de seguridad y haga referencia a los grupos de acceso din mico de la pol tica despu s env e las pol ticas a los cortafuegos gestionados Este mecanismo de administraci n centralizada le permite asegurar los invitados y aplicaciones con una intervenci n administrativa m nima En el administrador NSX Defina las reglas de introspecci n de red que redirigen el tr fico al cortafuegos de la serie VM Gu a de implementaci n de la serie VM 55 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM C Paso 4 Supervisi n y mantenimiento de la seguridad de red Panorama ofrece una completa vista gr fica del tr fico de la red Utilizando las herramientas de visibilidad en Panorama el Centro de comando de aplicaci n ACC logs y las funciones de generaci n de informes puede analizar investigar y elaborar informes de manera central sobre toda la actividad de red identificar reas con un posible impacto en la seguridad y traducirlas a pol ticas de activaci n de aplicaciones seguras Si desea m s informaci n consulte la Gu a del administrador de Panorama Creaci n de un grupo de dispositivos y plantillas en Panorama Para poder gestionar los cortafuegos de la edici n NSX y la serie VM en Panorama los cortafue
87. n Paso 3 Implemente la plantilla de OVE 1 Inicie sesi n en vCenter mediante el cliente vSphere Tambi n puede ir directamente al host ESXi de destino si es necesario 2 Desde el cliente vSphere seleccione Archivo gt Implementar plantilla de OVF 3 Despl cese hasta la plantilla de OVF que descarg en el Paso 1 seleccione el archivo y a continuaci n haga clic en Siguiente Revise la ventana de informaci n detallada de las plantillas y a continuaci n vuelva a hacer clic en Siguiente 4 Asigne un nombre a la instancia del cortafuegos de la serie VM y en la ventana Ubicaci n de inventario seleccione un centro de datos y carpeta y haga clic en Siguiente 5 Seleccione un host ESXi para el cortafuegos de la serie VM y haga clic en Siguiente 6 Seleccione el almac n de datos que se utilizar para el cortafuegos de la serie VM y haga clic en Siguiente 7 Deje la configuraci n predeterminada para el suministro del almac n de datos y haga clic en Siguiente El valor predeterminado es Thick Provision Lazy Zeroed 2 Deploy OVF Template Disk Format In which format do you want to store the virtual disks pr Datastore datastore1 OVF Template Details Name and Location Host Cluster Available space GB 105 8 Storage i Disk Format RARA Thick Provision Lazy Zeroed Thick Provision Eager Zeroed C Thin Provision 14 Gu a de implementaci n de la serie VM Configuraci
88. na de la NetScaler VPX y se configura en el cortafuegos de la serie VM Con este m todo solo se utiliza una interfaz de datos en el cortafuegos de la serie VM por lo que solo se puede definir una zona Como resultado cuando se definen las reglas de la pol tica debe especificar la direcci n IP subredes de origen y destino en las que aplicar las reglas de seguridad Para obtener m s informaci n consulte Implementaci n del cortafuegos de la serie VM con interfaces de capa 3 Topolog a despu s de a adir el cortafuegos de la serie VM con interfaces de capa 3 ad y 4 2 Oficina remota Usuario remoto phie I VIP 192 168 1 10 00 m ta 7 7 7 CT TT SNIP 192 168 1 1 CON Mino La l 192 168 Ruta 192 168 2 0 24 use 192 168 1 2 Wa N gt nN Po CitrixSDX SDX Servidores 192 168 2 0 24 En este ejemplo la direcci n IP p blica a la que se conecta el cliente VIP en la NetScaler VPX es 192 168 1 10 Para proporcionar acceso a los servidores de la subred 192 168 2 x la configuraci n de la VPX hace referencia a las subredes SNIP 192 168 1 1 y 192 168 2 1 Seg n su configuraci n de red y rutas predeterminadas es posible que deba modificar la ruta de los servidores Cuando configura el cortafuegos de la serie VM debe a adir una interfaz de datos por ejemplo eth1 1 y asignar dos direcciones IP a la interfaz Una direcci n IP debe estar en la misma subred que la VIP y la otra debe estar en la misma
89. nible para esta versi n del cortafuegos de la serie VM es la VM 1000 HV Si desea un breve resumen de la capacidad consulte Modelos de la serie VM si desea informaci n completa sobre las capacidades m xima admitidas en la licencia VM 1000 HV consulte la Hoja de datos de la serie VM 48 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Presentaci n del cortafuegos de la edici n NSX de la serie VM Funcionamiento de los componentes Para estar a la altura de los desaf os de seguridad del centro de datos definido por software el administrador NSX los servidores ESXi y Panorama trabajan en perfecta sincron a para automatizar la implementaci n del cortafuegos de la serie VM 1 Registre Palo Alto NGFW Panorama como un servidor qM VMware NSX 6 Actualice con el contexto en tiempo real de las m quinas virtuales direcci n IP y grupos de seguridad Panorama SERIE VM 5 Env e las reglas de introspecci n de en todos los hosts del cl ster 3 VM 1000 HV se conecta con red para redirigir el tr fico en cada host 4 Env e la licencia e instale la pol tica de 2 Implementa autom ticamente VM 1000 HV configuraci n seguridad en VM 1000 HV 7 Env e las actualizaciones din micas a los cortafuegos direcci n IP y grupos de seguridad a los que se hace referencia en la pol tica 1 Registre el servicio Palo Alto Networks NGFW El primer pas
90. nmutador est ndar virtual para el modo configure los conmutadores est ndar promiscuo virtuales y conmutadores distribuidos 1 Configure un conmutador est ndar virtual desde el cliente virtuales que necesitar para el vSphere desplaz ndose hasta Inicio gt Inventario gt Hosts y cortafuegos de la serie VM cl steres Nota El cortafuegos de la serie VM requiere 2 Haga clic en la ficha Configuraci n y bajo Hardware haga clic que todos los conmutadores virtuales en Redes Para cada conmutador virtual conectado al conectados tengan habilitado el modo cortafuegos de la serie VM haga clic en Propiedades promiscuo 3 Resalte el conmutador virtual y haga clic en Editar En las propiedades de vSwitch haga clic en la ficha Seguridad defina el Modo promiscuo como Aceptar y haga clic en Aceptar Este cambio se propagar a todos los grupos de puertos del conmutador virtual Para configurar un conmutador virtual distribuido para el modo promiscuo 1 Seleccione Inicio gt Inventario gt Red Resalte el Grupo de puertos distribuido que desee editar y seleccione la ficha Resumen 2 Haga clic en Editar ajustes y seleccione Pol ticas gt Seguridad defina el Modo promiscuo como Aceptar y haga clic en Aceptar Gu a de implementaci n de la serie VM 13 Instalaci n de un cortafuegos de la serie VM Configuraci n de un Cortafuegos de la serie VM en un servidor ESX Aprovisionamiento del cortafuegos de la serie VM Continuaci
91. ntaci n del cortafuegos de la edici n NSX de la serie VM Gu a de implementaci n de la serie VM 45 Presentaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Presentaci n del cortafuegos de la edici n NSX de la serie VM NSX la plataforma de redes y seguridad de VMwate dise ada para el centro de datos definido por software SDDO ofrece la capacidad de implementar el cortafuegos de Palo Alto Networks como un servicio en los servidores ESXi El t rmino SDDC es un t rmino de VMware que hace referencia a un centro de datos en el que una infraestructura recursos inform ticos red y almacenamiento se virtualizan mediante NSX de VMware Para mantenerse al d a con los cambios del gil SDDC la edici n NSX del cortafuegos de la serie VM simplifica el proceso de implementaci n de un cortafuegos de ltima generaci n de Palo Alto Networks y refuerza de forma cont nua la seguridad y conformidad normativa con el tr fico horizontal del SDDC Si desea informaci n detallada sobre la edici n NSX de la serie VM consulte los siguientes temas A Cu les son los componentes de la soluci n A Funcionamiento de los componentes A Ventajas de la soluci n Cu les son los componentes de la soluci n Los componentes de esta soluci n conjunta de Palo Alto Networks y VMware son VMwate Servidor 5 5 El servidor vCenter es la herramienta de gesti n centralizada de la vCenter gam
92. ntes de configurar las interfaces de datos de la serie una ventana de mantenimiento VM debe retirar el cable de la interfaz que conecta la VPX al tr fico de la parte del cliente y conectarlo al cortafuegos para que este procese todo el tr fico entrante Paso 3 Configure las interfaces de datos 1 Inicie la interfaz web del cortafuegos Bey m ps EXE 2 Seleccione Red gt Interfaces gt Ethernet T Haga clic en el enlace de una interfaz por ejemplo A a za PER ethernet 1 1 y seleccione el tipo de interfaz como mmetenet Virtual Wre E me de cable virtual 4 Haga clic en el enlace de la otra interfaz y seleccione el tipo de interfaz como de cable virtual 5 Todas las interfaces de cable virtual deben conectarse a una zona de seguridad y un cable virtual Para configurar estos ajustes seleccione la ficha Configuraci n y complete las siguientes tareas a En el men desplegable Cable virtual haga clic en Nuevo cable virtual defina un nombre as gnele las dos interfaces de datos ethernet 1 1 y ethernet 1 2 y a continuaci n haga clic en Aceptar Cuando configure ethernet 1 2 seleccione este cable virtual b Seleccione Nueva zona en el men desplegable Zona de seguridad defina un nombre para la nueva zona por ejemplo cliente y a continuaci n haga clic en Aceptar 6 Repita el paso 5 para la otra interfaz 7 Haga clic en Compilar para guardar los cambios en el cortafuegos 40 Gu a de implementaci n de la serie VM
93. o es registrar Palo Alto Networks NGFW como servicio en el administrador NSX El proceso de registro usa la API del plano de gesti n de NetX para activar la comunicaci n bidireccional entre Panorama y el administrador NSX Panorama se configura con la direcci n IP y las credenciales de acceso para iniciar la conexi n y registrar el servicio Palo Alto Networks NGFW en el administrador NSX La configuraci n incluye la URL de acceso de la imagen base de la serie VM que es obligatoria para implementar el cortafuegos de la edici n NSX de la serie VM el c digo de autorizaci n para recuperar la licencia y el grupo de dispositivos al que pertenecer n los cortafuegos de la serie VM El administrador NSX usa esta conexi n con el plano de gesti n para compartir actualizaciones sobre los cambios en el entorno virtual con Panorama 2 Implemente la serie VM autom ticamente desde NSX El administrador NSX recopila la imagen base de la serie VM de la URL especificada durante el registro e instala una instancia del cortafuegos de la serie VM en cada host ESXi del cl ster ESXi A partir de un grupo de IP de gesti n est ticas que define en el administrador NSX se asigna una direcci n IP de gesti n al cortafuegos de la serie VM y la direcci n IP de Panorama se proporciona al cortafuegos Cuando el cortafuegos se inicia la API de integraci n del plano de datos NetX conecta el cortafuegos de la serie VM al hipervisor para que pueda recibir el tr fico desde
94. odos los cortafuegos que se incluyen en el grupo de dispositivos y notifica a los grupos de dispositivos de la configuraci n del gestor de servicios de Panorama En cada cortafuegos todas las reglas de pol ticas que hacen referencia a esos grupos de direcciones din micas se actualizan en el momento de la ejecuci n Como el cortafuegos compara la etiqueta del grupo de seguridad para determinar los miembros de un grupo de direcciones din micas no tiene que modificar ni actualizar la pol tica cuando aplique cambios en el entorno virtual El cortafuegos compara las etiquetas para buscar los miembros actuales de cada grupo de direcciones din micas y aplica la pol tica de seguridad a la direcci n IP de origen destino que se incluye en el grupo Ventajas de la soluci n La edici n NSX del cortafuegos de la serie VM se centra en asegurar las comunicaciones horizontales en el centro de datos definido por software La implementaci n del cortafuegos tiene las siguientes ventajas e Implementaci n automatizada el administrador NSX automatiza el proceso de distribuci n de los servicios de seguridad de cortafuegos de ltima generaci n y el cortafuegos VM permite una instauraci n transparente de la seguridad Cuando se a ade un host ESXi a un cl ster se implementa autom ticamente un nuevo cortafuegos de la serie VM que se provisionen y est disponible para la instauraci n inmediata de pol ticas sin ninguna intervenci n manual El flujo de tr
95. ol ticas pertinentes Haga clic en Compilar y seleccione Compilar tipo como Panorama Haga clic en ACEPTAR 70 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Definici n de pol ticas en Panorama Paso 3 Aplique las pol ticas a los cortafuegos de la edici n NSX de la serie VM 1 Haga clic en Compilar y seleccione Compilar tipo como Grupos de dispositivos 2 Seleccione el grupo de dispositivos que en este ejemplo es Grupo de dispositivos NSX y haga clic en Aceptar 3 Verifique que la compilaci n se realiza correctamente Job Status Commit to device group NSX Device Group Filters v Status C Commit Succeeded 3 y O Platforms O Pam 3 Y C Device Groups O NSX Device Group 3 Summary progress E Result Succeeded 3 Result Pending 0 Result Failed 0 Paso 4 Valide que los miembros del grupo de direcciones din micas se cumplimentan en el cortafuegos de la serie VM Nota No puede verificar los miembros direcciones IP registradas del grupo de direcciones din micas en Panorama Esta informaci n solo puede verse en el cortafuegos de la serie VM que instaura la pol tica En Panorama cambie el contexto del dispositivo para iniciar la interfaz web del cortafuegos al que envi las pol ticas Asia NSX Template y Context Filters Q 4items V Platforms 3 DC
96. ores 192 168 2 0 24 i Citrix SDX 28 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Implementaciones compatibles en el servidor Citrix SDX Cortafuegos de la serie VM antes de la NetScaler VPX En esta situaci n al cortafuegos del per metro lo sustituye el cortafuegos de la serie VM que se puede implementar usando las interfaces de cable virtual de capa 3 o de capa 2 El cortafuegos de la serie VM asegura todo el tr fico de la red antes de que la solicitud alcance la NetScaler VPX y se env e a los servidores Para obtener m s informaci n consulte Implementaci n del cortafuegos de la serie VM antes de la NetScaler VPX end gt lt qua Oficina remota Usuario remoto Citrix SDX Servidores Situaci n 2 Tr fico este oeste seguro El cortafuegos de la serie VM se implementa junto con dos sistemas de la NetScaler VPX que prestan servicio a distintos segmentos del servidor de su red o que funcionan como puntos de terminaci n para los t neles SSL En esta situaci n el cortafuegos del per metro garantiza el tr fico entrante Entonces el tr fico destinado a los servidores de DMZ fluye a una NetScaler VPX que equilibra las cargas de la solicitud Para a adir una capa adicional de seguridad a la red interna todo el tr fico este oeste entre DMZ y la red corporativa se enruta a trav s del cortafuegos de la serie VM El cortafuegos puede aplicar la seguridad de red y validar
97. os Nota Para que el cortafuegos de la serie VM reciba tr fico del grupo de puertos seleccionado tambi n es necesario definir las pol ticas de seguridad NSX que dirigen el tr fico al servicio Palo Alto NGFW Para obtener m s informaci n consulte Definici n de pol ticas en el administrador NSX f Palo Alto Networks profile 1 Apply to Network Objects Dr Name Palo Alto Networks profile 1 Description Palo Alto Networks profile Service Palo Alto Networks NGFW Service Instance Palo Alto Networks NGFW Globalln Profile Configuration Select one or more objects to associate with this service profile Logical Networks Distributed Virtual Port Groups 2 ProductionDPG 2 ProductionintraHostDPG 2 ExtemalDPG dh ManagementintraHostDPG 2 ManagementDPG 5 Haga clic en ACEPTAR para guardar los cambios Preparaci n del host ESXi para el cortafuegos de la serie VM Antes de implementar el cortafuegos de la serie VM cada invitado del cl ster debe tener los componentes de NSX necesarios que permitan que el cortafuegos NSX y el de la serie VM funcionen juntos El administrador NSX instalar los componentes el m dulo de adaptador de Ethernet eam y el SDK necesarios para implementar el cortafuegos de la serie VM Gu a de implementaci n de la serie VM 61 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM
98. os casos cuando NetScaler recibe un paquete sustituye la direcci n IP de origen por una MIP antes de enviar el paquete al servidor Con los servidores abstra dos de los clientes NetScaler gestiona las conexiones con mayor eficacia e Direcci n IP del servidor virtual VIP Una VIP es la direcci n IP asociada con un servidor Es la direcci n IP p blica a la que se conectan los clientes Puede que una instancia de NetScaler que gestiona una amplia variedad de tr fico tenga muchas VIP configuradas e Direcci n IP de subred SNIP Cuando NetScaler se adjunta a varias subredes las SNIP se pueden configurar para utilizarse como MIP que proporcionan acceso a estas subredes Las SNIP pueden estar vinculadas a VLAN e interfaces espec ficas Para obtener ejemplos sobre c mo implementar de forma conjunta el cortafuegos de la serie VM y la NetScaler VPX consulte Implementaciones compatibles 24 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Requisitos y limitaciones del sistema en el servidor Citrix SDX Requisitos y limitaciones del sistema Esta secci n enumera los requisitos y las limitaciones del cortafuegos de la serie VM en el servidor Citrix SDX Requisitos Puede implementar varias instancias del cortafuegos de la serie VM en el servidor Citrix SDX Como todas las instancias del cortafuegos necesitan una asignaci n de recursos m nima cantidad de CPU memoria y espacio en disco en el s
99. paloalto NETWORKS the network security company Palo Alto Networks9 Gu a de implementaci n de la serie VM PAN OS 6 0 Informaci n de contacto Sede de la empresa Palo Alto Networks 4401 Great America Parkway Santa Clara CA 95054 http www paloaltonetworks com contact contact Acerca de esta gu a Esta gu a describe c mo configurar y obtener una licencia para el cortafuegos de la serie VM y est dirigida a administradores que deseen implementar el cortafuegos de la serie VM Para obtener m s informaci n consulte las siguientes fuentes A Gu a del administrador de PAN OS para obtener instrucciones sobre c mo configurar las funciones del cortafuegos A https paloaltonetworks com documentation para acceder a bases de conocimientos a un completo conjunto de documentaci n foros de discusi n y v deos A https support paloaltonetworks com para ponerse en contacto con el equipo de asistencia t cnica obtener informaci n sobre los programas de asistencia t cnica o gestionar la cuenta o los dispositivos A Si desea las notas de versi n m s recientes vaya a la p gina de descargas de software en https support paloaltonetworks com Updates SoftwareUpdates Para enviar sus comentarios sobre la documentaci n dir jase a documentation Opaloaltonetworks com Palo Alto Networks Inc www paloaltonetworks com O 2014 Palo Alto Networks Todos los derec
100. problemas DASICOS 20 ropita A ada as 17 Problemas de Instalaci n ne reann jad as a a to da da a e E e A A 17 Problemas de licencia Vincci a A EEE AAA 20 Problemas de conectividad ivocnicniaic ada de ie dia 20 Configuraci n de un Cortafuegos de la serie VM en el e 0 A NU 23 Acerca del cortafuegos de la serie VM en el servidor SDX oooocccccccoooccccccoo 24 Requisitos y limitaci nes del sist ma miii oca od tia a di dd e dada di 25 REQUISICOS ets da pdas ll or 25 Limitacio hes il A A A ii Ti 25 Implementaciones compatibles 0 comerse a A E ER GS 26 Situaci n 1 Tr fico norte sur SEULO via id dd 26 Situaci n 2 Tr fico este oeste SEQUTO oorisosrado aora rar rra ra rada ao 29 Instalaci n del Cortafuegos de la serie VM oooooocccccccncooccc rnrn rnrn errenneren 30 Carga de la imagen en el servidor SDX comun orcca ra a a PERERIN R ES 30 Aprovisionamiento del cortafuegos de la serie VM oooocooocccccccccoonco ra 31 Tr fico norte sur seguro con el cortafuegos de la serie VM ooooooooococcccccoooc cr 32 Implementaci n del cortafuegos de la serie VM con interfaces de Capa 3 oooocoooooommmmo 32 Gu a de implementaci n de la serie VM iii Implementaci n del cortafuegos de la serie VM con interfaces de capa 2 L2 o de cable virtual 36 Implementaci n del cortafuegos de la serie VM antes de la NetScaler VPX ooooomm oo o 38 Tr fico este oeste con el cortafuegos de la serie VM oooocccccccoocccrcco ren
101. r con el valor Un m nimo de 40 GB de espacio de disco virtual Puede a adir num rico m s bajo Esta reasignaci n hasta 2 TB de espacio en disco cualquier espacio por encima del puede producir un fallo de coincidencia en requisito m nimo de 40 GB solo se utilizar para creaci n de logs 4 GB de memoria Cualquier memoria adicional que asigne se utilizar nicamente en el plano de gesti n la configuraci n del cortafuegos Limitaciones El cortafuegos de la serie VM implementado en el servidor Citrix SDX tiene las siguientes limitaciones e Se puede configurar un m ximo de 24 puertos Se utilizar uno para el tr fico de gesti n y hasta 23 para el tr fico de datos e No se admiten tramas gigantes e No se admite la agregaci n de enlaces Gu a de implementaci n de la serie VM 25 Implementaciones compatibles Configuraci n de un Cortafuegos de la serie VM en el servidor Citrix SDX Implementaciones compatibles En las siguientes situaciones el cortafuegos de la serie VM asegura el tr fico destinado a los servidores de la red Funciona junto con la NetScaler VPX para gestionar el tr fico antes o despu s de que alcance a la NetScaler VPX A Situaci n 1 Tr fico norte sur seguro A Situaci n 2 Tr fico este oeste seguro Situaci n 1 Tr fico norte sur seguro Para garantizar el tr fico norte sur tiene las siguientes opciones A Cortafuegos de la serie VM entre la NetScaler VPX y los servidore
102. rigen establezca la zona de origen como DMZ y Zona De DMZ a Corporativa la direcci n de origen como 192 168 10 0 24 Observe que la regla de denegaci n 4 Enla ficha Destino establezca la zona de destino como impl cita denegar todo el io inteiho Corporativa y la direcci n de destino como 172 168 10 0 24 de la zona excepto el que permita 5 En la ficha Aplicaci n seleccione las aplicaciones que desea expl citamente la pol tica de seguridad permitir Por ejemplo Oracle 6 Establezca Servicio como Valor predeterminado de aplicaci n 7 En la pesta a Acciones establezca Configuraci n de acci n como Permitir Deje el resto de opciones con los valores predeterminados Haga clic en Compilar para guardar los cambios 44 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la 7 serie VM El cortafuegos de la edici n NSX de la serie VM se ha desarrollado conjuntamente entre Palo Alto Networks y VMware Esta soluci n emplea la API de NetX para integrar los cortafuegos de ltima generaci n de Palo Alto Networks y Panorama con los servidores ESXi de VMware para proporcionar una amplia visibilidad y una activaci n segura de aplicaciones de todo el tr fico de centros de datos incluyendo comunicaciones con m quinas virtuales en el host Los siguientes temas ofrecen informaci n sobre el cortafuegos de la edici n NSX de la serie VM A Presentaci n del cortafuegos de la edici n NSX de la serie VM A Impleme
103. rotocolos admitidos Este archivo se usa para implementar cada instancia del cortafuegos Paso 4 Adici n del c digo de autorizaci n Introduzca el c digo de autorizaci n que recibi con su correo Nota El c digo de autorizaci n debe electronico de cumplimentaci n de pedidos El c digo de l aplicarse a la versi n Enterprise del autorizaci n se usa para asignar una licencia a cada instancia de modelo VM 1000 HV de la serie VM la serie VM En el administrador NSX puede visualizar el n mero total de Compruebe que la cortafuegos que est autorizado a implementar y la proporci n cantidad capacidad del pedido es del n mero de licencias que se han usado del n mero total de adecuada para admitir las necesidades licencias que le ofrece su c digo de autorizaci n de su ted Paso 5 Especifique el grupo de dispositivos al Como los cortafuegos implementados en esta soluci n se que pertenecen los cortafuegos y administran centralmente desde Panorama debe especificar el opcionalmente la plantilla Grupo de dispositivos al que pertenecen los cortafuegos Todos los cortafuegos que se implementan con el c digo de autorizaci n definido en el Paso 4 pertenecen a la plantilla y el grupo de dispositivos especificados durante la implementaci n inicial Si quiere reasignar los cortafuegos debe mover manualmente el cortafuegos a una plantilla o grupo de dispositivos distinto despu s de su implementaci n Paso 6 Configure la notificaci n en
104. rtafuegos de la serie VM como servicio Paso 1 Inicie sesi n en la interfaz web de Use una conexi n segura https desde un navegador web para Panorama iniciar sesi n usando la direcci n IP y la contrase a que asign durante la configuraci n inicial https lt direcci n IP gt Paso 2 Configure el acceso al LL administrador NSX Seleccione Panorama gt Administrador de servicios VMware Introduzca el Nombre de dominio del servidor En el administrador NSX este nombre aparece en la columna Administrador de servicios en Red y seguridad gt Definiciones de servicio Consulte la captura de pantalla de Paso 9 Opcional A ada una Descripci n que identifique el cortafuegos de la serie VM como servicio Introduzca la URL de administrador NSX direcci n IP o FQDN a la que acceder el administrador de NSX Introduzca las credenciales de Inicio de sesi n del administrador NSX nombre de usuario y contrase a de modo que Panorama pueda autenticarse en el administrador de NSX Gu a de implementaci n de la serie VM 57 Implementaci n del cortafuegos de la edici n NSX de la serie VM Cortafuegos de la edici n NSX de la serie VM Use Panorama para registrar el cortafuegos de la serie VM como servicio Paso 3 Especifique la ubicaci n del archivo En URL de OVF de serie VM a ada la ubicaci n del servidor OVE web que aloja el archivo ovf Tanto http como https son y i p
105. s A Cortafuegos de la serie VM antes de la NetScaler VPX Cortafuegos de la serie VM entre la NetScaler VPX y los servidores El cortafuegos del per metro acota todo el tr fico en la red Todo el tr fico permitido en la red fluye a trav s de la NetScaler VPX y a continuaci n a trav s del cortafuegos de la serie VM antes de que la solicitud se env e a los servidotes y gt 4 2 Oficina remota Usuario remoto Servidores En esta situaci n el cortafuegos de la serie VM asegura el tr fico norte sur y se puede implementar usando las interfaces de cable virtual de la capa 2 y la capa 3 A Cortafuegos de la serie VM con interfaces de capa 3 A Cortafuegos de la serie VM con interfaces de capa 2 o cable virtual 26 Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Implementaciones compatibles en el servidor Citrix SDX Cortafuegos de la serie VM con interfaces de capa 3 La implementaci n del cortafuegos con interfaces de capa 3 le permite ampliar capacidad m s f cilmente conforme implemente nuevos servidores y subredes Puede implementar varias instancias del cortafuegos para gestionar el tr fico a cada nueva subred y a continuaci n configurar los cortafuegos como par de alta disponibilidad si es necesario El uso de una interfaz de L3 le permite realizar cambios m nimos en la configuraci n de servidor red de SDC porque la SNIP para alcanzar los servidores se elimi
106. s gestionados y se mostrar en el grupo de dispositivos 4 Haga clic en Compilar y seleccione Panorama como Compilar tipo para guardar los cambios en la configuraci n en ejecuci n en Panorama 56 Gu a de implementaci n de la serie VM Cortafuegos de la edici n NSX de la serie VM Implementaci n del cortafuegos de la edici n NSX de la serie VM Creaci n de un grupo de dispositivos y plantillas en Panorama Paso 3 Opcional A ada una plantilla 1 Seleccione Panorama gt Plantillas y haga clic en A adir 2 Introduzca un Nombre y una Descripci n para identificar la plantilla Nota Las opciones de Modo de operaci n la casilla de verificaci n Sistemas virtuales y la casilla de verificaci n Modo de deshabilitaci n de VPN no se aplican al cortafuegos de la serie VM Haga clic en ACEPTAR 4 Haga clic en Compilar y seleccione Panorama como Compilar tipo para guardar los cambios en la configuraci n en ejecuci n en Panorama Registro del cortafuegos de la serie VM como servicio en el administrador NSX Para automatizar el abastecimiento del cortafuegos de la edici n NSX de la serie VM habilite la comunicaci n entre el administrador NSX y Panorama Esta configuraci n se realiza una vez y solo debe modificarse si la direcci n IP del administrador NSX cambia o se supera la licencia de capacidad de implementaci n del cortafuegos de la serie VM Use Panorama para registrar el co
107. stra el estado de conexi n entre Panorama y el administrador NSX Cuando la conexi n es correcta el estado se muestra como Registrado Esto indica que Panorama y el administrador NSX est n sincronizados y el cortafuegos de la serie VM est registrado como servicio en el administrador NSX Los mensajes de estados de error son e No conectado No se ha podido alcanzar establecer una conexi n de ted con el administrador NSX No autorizado Las credenciales de acceso nombre de usuario y o contrase a son incorrectas e Noregistrado El servicio administrador del servicio o perfil del servicio no est disponible o se ha eliminado en el administrador NSX e Sin sincronizaci n Los ajustes de configuraci n definidos en panorama son distintos a lo que se ha definido en el administrador NSX e Sin servicio Sin perfil de servicio Indica una configuraci n incompleta en el administrador NSX Paso 9 Verifique el el cortafuegos se ha registrado como un servicio en el administrador de NSX 1 En el cliente web de vSphere seleccione Red y seguridad gt Definiciones de servicio a Help 4 Home NSX Home G Installation 1 Logical Switches E NSX Edges EN Firewall KK SpoofGuard Service Definitions Service Composer 8 Data Security H Flow Monitoring EA Activity Monitoring vmware vSphere Web Client Networking 8 Security Networking 8 Security Inventory O
108. t lt rasd ResourceType gt 3 lt rasd ResourceType gt lt rasd VirtualQuantity gt 2 lt rasd VirtualQuantity gt lt vmw CoresPerSocket ovf required false gt 2 lt vmw CoresPerSocket gt lt Item gt lt Item gt lt rasd AllocationUnits gt hertz 10 6 lt rasd AllocationUnits gt lt rasd Description gt Number of Virtual CPUs lt rasd Description gt lt rasd ElementName gt 4 virtual CPU s lt rasd ElementName gt lt rasd InstancelD gt 1 lt rasd InstanceID gt lt rasd ResourceType gt 3 lt rasd ResourceType gt lt rasd VirtualQuantity gt 4 lt rasd VirtualQuantity gt lt vmw CoresPerSocket ovf required false gt 2 lt vmw CoresPerSocket gt lt Item gt Tambi n puede implementar el cortafuegos y antes de activar el cortafuegos de la serie VM editar la asignaci n de la CPU virtual y la memoria directamente en el host ESXi o el servidor vCenter Gu a de implementaci n de la serie VM 19 Soluci n de problemas de implementaciones de ESXi Configuraci n de un Cortafuegos de la serie VM en un servidor ESX Problemas de licencia Por qu no puedo aplicar la licencia de funciones o asistencia t cnica Ha aplicado el c digo de autenticaci n de capacidad en el cortafuegos de la serie VM Antes de que pueda activar la licencia de funciones o asistencia t cnica debe aplicar el c digo de autenticaci n de capacidad para que el dispositivo pueda obtener un n mero de serie Este n mero de serie es necesario para activar l
109. tual Puede a adir un disco adicional de hasta 2 TB para su registro Limitaciones Las prestaciones del cortafuegos de la serie VM son muy parecidas a las de los cortafuegos de hardware de Palo Alto Networks pero con las siguientes limitaciones Se requieren n cleos CPU dedicados nicamente se admite la versi n lite de alta disponibilidad HA activo pasivo sin conmutaci n por error con estado La supervisi n de enlaces de alta disponibilidad HA nicamente se admite en instalaciones de VMware ESXi que admitan E S de DirectPath Es posible configurar hasta 10 puertos en total esta es una limitaci n de VMware Se utilizar uno para el tr fico de gesti n y hasta 9 para el tr fico de datos Gu a de implementaci n de la serie VM 11 Requisitos y limitaciones del sistema e nicamente se admite el controlador vmxnet3 e Los sistemas virtuales no son compatibles e No se admite vMotion e No se admiten tramas gigantes e No se admite la agregaci n de enlaces 12 Configuraci n de un Cortafuegos de la serie VM en un servidor ESX Gu a de implementaci n de la serie VM Configuraci n de un Cortafuegos de la serie VM Instalaci n de un cortafuegos de la serie VM en un servidor ESX Instalaci n de un cortafuegos de la serie VM Para instalar un cortafuegos de la serie VM debe tener acceso a la plantilla de formato abierto de virtualizaci n OVF Use el c digo de autenticaci n que recibi con el correo
110. ue re ne invitados en m ltiples hosts ESXi del cl ster La creaci n de los grupos de seguridad facilita la gesti n de los invitados y su seguridad para comprender c mo los grupos de seguridad permiten la instauraci n de pol ticas consulte Instauraci n de pol ticas mediante grupos de direcciones din micas Configuraci n de grupos de seguridad en el administrador NSX O Asigne los invitados a grupos de seguridad en NSX 1 Seleccione Redes y seguridad gt Compositor de servicios gt Grupos de seguridad y agregue un Nuevo grupo de seguridad 2 A ada un nombre y una descripci n Este nombre aparecer en la lista de criterios de coincidencia cuando defina los grupos de direcciones din micas en Panorama 3 Seleccione los invitados que constituyen el grupo de seguridad Puede a adir miembros din micamente usando Definir afiliaci n din mica o est ticamente mediante Seleccionar los objetos a incluir En la siguiente captura de pantalla los invitados que pertenecen al grupo de seguridad se seleccionan con las opciones Seleccionar los objetos a incluir gt M quina virtual E7 New Security Group 2 1 Name and description Select objects to include Select objects that should always be included in this group regardless of whether they meet the membership criteria w 2 Define dynamic membership Y gt Select objects to include Filter Includi bjects 2 Y 4 Select objects to exclude m Y 5 Ready to complete 4 irtua
111. una direcci n IP de gesti n a cada cortafuegos cuando se implementa Revise su configuraci n y haga clic en Finalizar H Deploy Network amp Security Services gt Y 1 Select services amp schedule Fact to completa Review settings before finishing the wizard Y 2 Select clusters Y 3 Select storage Schedule at Now Y 4 Configure management a Cluster Detastore Network E nenak ES Palo Alto Networks NGFW gfh AutomationHosts E Specified on host 2 ManagementDPG VM Series Manage 1items Back Finish Cancel Compruebe que el administrador NSX comunica que el Estado de instalaci n es Correcto Este proceso puede tardar un tiempo haga clic en el v nculo M s tareas en vCenter para supervisar el progreso de la instalaci n Installation Management HostPreparation Logical Network Preparation Service Deployments NSX Manager 40 2 133 179 7 Network amp Security Service Deployments Network amp security services are deployed on a set of clusters Manage service deployments here by adding new services or deleting existing ones x Service 1v Ver Installatio tatus Senice Status Cluster Datastore Port Group IP Address Range 3 Palo Alto Networks NGFW Y Succeede Unknown fh Automati E Specifiedon host 2 ManagementDPG VM Series Management IP Pool Nota Si la instalaci n de una serie VM falla el mensaje de error se mostrar en la columna Estado de instalaci n Tambi n puede usar la ficha Tareas
Download Pdf Manuals
Related Search