You are on page 1of 280

Concepts & Examples

ScreenOS Reference Guide

Volumen 2:
Fundamentos

Versin 5.3.0, Rev. B

Juniper Networks, Inc.


1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000

www.juniper.net
Nmero de pieza: 093-1660-000-SP, Revisin B

Copyright Notice
Copyright 2005 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:

Reorient or relocate the receiving antenna.

Increase the separation between the equipment and receiver.

Consult the dealer or an experienced radio/TV technician for help.

Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

Writers: Anita Davey, Carrie Nowocin, Jozef Wroblewski


Editor: Lisa Eldridge

ii

Contenido
Acerca de este volumen

ix

Convenciones del documento .......................................................................... x


Convenciones de la interfaz de lnea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz grfica (WebUI) .......................................... xiii
Documentacin de Juniper Networks ............................................................ xiv
Captulo 1

Arquitectura de ScreenOS

Zonas de seguridad .......................................................................................... 2


Interfaces de zonas de seguridad ..................................................................... 3
Interfaces fsicas ........................................................................................ 3
Subinterfaces............................................................................................. 4
Enrutadores virtuales ....................................................................................... 4
Directivas......................................................................................................... 5
Redes privadas virtuales................................................................................... 7
Sistemas virtuales .......................................................................................... 10
Secuencia de flujo de paquetes ...................................................................... 11
Ejemplo: (Parte 1) Empresa con seis zonas.............................................. 14
Ejemplo: (Parte 2) Interfaces para seis zonas........................................... 16
Ejemplo: (Parte 3) Dos dominios de enrutamiento .................................. 18
Ejemplo: (Parte 4) Directivas ................................................................... 20
Captulo 2

Zonas

25

Visualizar las zonas preconfiguradas .............................................................. 26


Zonas de seguridad ........................................................................................ 28
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Enlazar una interfaz de tnel a una zona de tnel.......................................... 28
Configuracin de zonas de seguridad y zonas de tnel .................................. 30
Crear una zona ........................................................................................ 30
Modificar una zona.................................................................................. 31
Eliminar una zona ................................................................................... 32
Zonas de funcin ........................................................................................... 32
Zona Null................................................................................................. 32
Zona MGT................................................................................................ 32
Zona HA .................................................................................................. 33
Zona de registro propio ........................................................................... 33
Zona VLAN ..............................................................................................33
Modos de puerto ............................................................................................ 33
Modo Trust-Untrust.................................................................................. 34
Modo Home-Work ................................................................................... 35
Modo Dual Untrust .................................................................................. 36
Contenido

iii

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Modo combinado .................................................................................... 37


Modo Trust/Untrust/DMZ (extendido) ...................................................... 38
Modo DMZ/Dual Untrust .......................................................................... 38
Modo Dual DMZ ...................................................................................... 39
Establecer los modos de puertos .................................................................... 40
Ejemplo: Modo de puerto Home-Work.............................................. 40
Zonas en los modos Home-Work y Combined Port ................................. 41
Ejemplo: Zonas Home-Work ............................................................. 42
Captulo 3

Interfaces

45

Tipos de interfaces......................................................................................... 45
Interfaces de la zona de seguridad........................................................... 45
Interfaces fsicas ............................................................................... 45
Subinterfaces .................................................................................... 46
Interfaces agregadas ......................................................................... 46
Interfaces redundantes...................................................................... 46
Interfaces de seguridad virtuales ....................................................... 47
Interfaces de zonas de funcin ................................................................ 47
Interfaces de administracin ............................................................. 47
Interfaces de alta disponibilidad........................................................ 47
Interfaces de tnel................................................................................... 48
Eliminar interfaces de tnel .............................................................. 51
Visualizacin de interfaces ............................................................................. 52
Configuracin de interfaces de la zona de seguridad...................................... 53
Asociacin de una interfaz a una zona de seguridad................................ 54
Separar una interfaz de una zona de seguridad ....................................... 54
Direccionar una interfaz de la zona de seguridad L3 ............................... 54
Direcciones IP pblicas ..................................................................... 55
Direcciones IP privadas..................................................................... 56
Direccionar una interfaz.................................................................... 56
Modificar los ajustes de la interfaz........................................................... 56
Crear una subinterfaz en el sistema raz .................................................. 57
Eliminar una subinterfaz ......................................................................... 58
Crear una direccin IP secundaria.................................................................. 59
Interfaces de bucle invertido (loopback)......................................................... 60
Crear una interfaz de bucle invertido....................................................... 60
Ajustar la interfaz de bucle invertido para Administracin.......................61
Ajustar BGP en una interfaz de bucle invertido ........................................ 61
Ajustar VSI en una interfaz de bucle invertido ......................................... 62
Ajustar la interfaz de bucle invertido como interfaz de origen ................. 62
Cambios de estado de la interfaz ................................................................... 62
Supervisin de la conexin fsica ............................................................. 64
Dar seguimiento a direcciones IP ............................................................ 65
Supervisin de interfaces......................................................................... 70
Supervisin de dos interfaces............................................................ 71
Supervisar un bucle de interfaz ......................................................... 72
Supervisin de zonas de seguridad .......................................................... 75
Interfaces inactivas y flujo de trfico ....................................................... 75
Fallo en la interfaz de salida.............................................................. 76
Fallo en la interfaz de entrada........................................................... 78

iv

Contenido

Contenido

Captulo 4

Modos de las interfaces

81

Modo transparente......................................................................................... 82
Ajustes de zona ....................................................................................... 83
Zona VLAN........................................................................................ 83
Zonas de capa 2 predefinidas............................................................ 83
Reenvo de trfico ................................................................................... 83
Opciones unicast desconocidas ............................................................ 84
Mtodo de inundacin ...................................................................... 85
Mtodo ARP/Trace-Route .................................................................. 86
Configuracin de la interfaz VLAN1 para administracin .................. 89
Configuracin del modo transparente ............................................... 91
Modo NAT...................................................................................................... 94
Trfico NAT entrante y saliente ............................................................... 96
Ajustes de interfaz ................................................................................... 97
Configuracin del modo NAT................................................................... 97
Modo de ruta ...............................................................................................100
Ajustes de interfaz .................................................................................101
Configuracin del modo de ruta ............................................................101
Captulo 5

Bloques para la construccin de directivas

105

Direcciones ..................................................................................................106
Entradas de direcciones.........................................................................106
Modificar una direccin...................................................................107
Eliminar una direccin ....................................................................107
Grupos de direcciones ...........................................................................108
Editar una entrada de grupo de direcciones ....................................110
Eliminar un miembro y un grupo ....................................................110
Servicios ......................................................................................................111
Servicios predefinidos............................................................................111
Protocolo de mensajes de control de Internet .................................112
Servicios de llamadas de procedimiento remoto de Microsoft.........117
Protocolo de enrutamiento dinmico ..............................................119
Vdeo de secuencia .........................................................................119
Servicios de llamadas de procedimiento remoto de Sun .................120
Servicios de tnel y seguridad .........................................................121
Servicios relacionados con IP ..........................................................121
Servicios de administracin: ...........................................................122
Servicios de correo..........................................................................123
Servicios miscelneos .....................................................................124
Servicios personalizados........................................................................125
Agregar un servicio personalizado...................................................126
Modificar un servicio personalizado ................................................126
Eliminar un servicio personalizado..................................................127
Establecer el tiempo de espera de un servicio .......................................127
Bsqueda y configuracin de tiempo de espera de servicio.............127
Ejemplo...........................................................................................130
Definir un Servicio de protocolo de mensaje de control de Internet
personalizado..................................................................................130
Puerta de enlace "Remote Shell" en la capa de aplicacin ....................131
Sun Remote Procedure Call Application Layer Gateway.........................131
Situacin tpica de llamadas RPC ....................................................131
Personalizar los Servicios Sun RPC..................................................132

Contenido

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Personalizar Microsoft Remote Procedure Call


Application Layer Gateway..............................................................133
La Puerta de enlace de la capa de aplicacin del Protocolo
de secuencia en tiempo real............................................................134
Mtodos de peticin RTSP...............................................................135
Cdigos de estado de RTSP .............................................................137
Configurar un servidor de medios en un dominio pblico...............140
Grupos de servicios................................................................................142
Modificar un grupo de servicios ......................................................143
Eliminar un grupo de servicios ........................................................144
Grupo de IP dinmico ..................................................................................144
Traduccin de direcciones de puertos....................................................145
Crear un rango DIP con PAT..................................................................146
Modificar un conjunto de DIP ................................................................147
Direcciones DIP sticky........................................................................147
Usar DIP en otra subred ........................................................................148
Utilizar un DIP en una Interfaz Loopback ..............................................153
Crear un grupo de DIP ...........................................................................157
Configurar una programacin recurrente .....................................................160
Captulo 6

Directivas

163

Elementos bsicos .......................................................................................164


Tres tipos de directivas ................................................................................165
Directivas entre zonas ...........................................................................165
Directivas dentro de zonas ....................................................................165
Directivas globales.................................................................................166
Listas de conjuntos de directivas ..................................................................167
Definicin de directivas................................................................................168
Directivas y reglas .................................................................................168
Anatoma de una directiva.....................................................................169
ID....................................................................................................170
Zonas ..............................................................................................170
Direcciones .....................................................................................170
Servicios .........................................................................................170
Nombre...........................................................................................172
Encapsulamiento VPN.....................................................................172
Encapsulamiento L2TP....................................................................173
Deep Inspection ..............................................................................173
Colocacin al principio de la lista de directivas ...............................173
Traduccin de direcciones de origen ...............................................174
Traduccin de direcciones de destino .............................................174
Autenticacin de usuarios ...............................................................174
Copia de seguridad de la sesin HA ................................................176
Filtrado de Web ..............................................................................176
Registro...........................................................................................176
Recuento.........................................................................................177
Umbral de alarma de trfico ...........................................................177
Tareas programadas........................................................................177
Anlisis antivirus .............................................................................177
Asignacin de trfico.......................................................................178
Directivas aplicadas .....................................................................................179
Visualizacin de directivas.....................................................................179

vi

Contenido

Contenido

Creacin de directivas ...........................................................................179


Crear servicio de correo de directivas entre zonas ..........................179
Crear un conjunto de directivas entre zonas ...................................182
Crear directivas dentro de zonas .....................................................187
Crear una directiva global ...............................................................188
Entrada al contexto de una directiva .....................................................189
Varios elementos por componente de directiva .....................................190
Ajustar la negacin de direcciones.........................................................191
Modificacin y desactivacin de directivas ............................................194
Verificacin de directivas.......................................................................194
Reordenar directivas..............................................................................195
Eliminar una directiva ...........................................................................196
Captulo 7

Asignacin de trfico

197

Administracin del ancho de banda a nivel de directivas .............................197


Ajuste de la asignacin de trfico .................................................................198
Establecimiento de las prioridades del servicio ............................................202
Ajuste de las colas de prioridades.................................................................203
Directivas de ingreso....................................................................................206
Asignacin de trfico en interfaces virtuales ................................................207
Asignacin del trfico a nivel de interfaz ...............................................207
Asignacin del trfico a nivel de directiva..............................................209
Flujo de paquetes ..................................................................................210
Ejemplo: VPN basada en rutas con directivas de ingreso .......................210
Ejemplo: VPN basada en directivas con directivas de ingreso................214
Asignacin de trfico utilizando una interfaz Loopback................................217
Asignacin y marcado DSCP ........................................................................217
Captulo 8

Parmetros del sistema

221

Compatibilidad con DNS (sistema de nombres de dominio) ........................221


Consulta DNS ........................................................................................222
Tabla de estado de DNS.........................................................................223
Ajuste del servidor DNS y programacin de actualizaciones............224
Establecer un intervalo de actualizacin de DNS .............................224
Sistema de nombres de dominio dinmico............................................224
Configuracin del DDNS para un servidor DynDNS.........................225
Configuracin del DDNS para un servidor DDO ..............................226
Divisin de direcciones DNS del proxy ..................................................227
Protocolo de configuracin dinmica de hosts .............................................229
Configurar un servidor DHCP ................................................................230
Personalizar opciones de servidor DHCP.........................................234
Colocacin del servidor DHCP en un clster de NSRP .....................236
Deteccin del servidor DHCP ..........................................................236
Activacin de deteccin del servidor DHCP.....................................236
Desactivacin de deteccin del servidor DHCP ...............................237
Asignacin de un dispositivo de seguridad como agente
de retransmisin de DHCP..............................................................237
Utilizar un dispositivo de seguridad como un cliente DHCP...................241
Transmisin de ajustes TCP/IP...............................................................243
Protocolo punto a punto sobre Ethernet.......................................................245
Configurar PPPoE ..................................................................................246
Configurar PPPoE en las interfaces principal y de respaldo de la
zona Untrust ...................................................................................249

Contenido

vii

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Configuracin de mltiples sesiones PPPoE a travs


de una sola interfaz.........................................................................250
PPPoE y alta disponibilidad ...................................................................252
Claves de licencia.........................................................................................253
Registro y activacin de los servicios de suscripcin ....................................254
Servicio de prueba.................................................................................254
Actualizacin de claves de suscripcin...................................................255
Agregar un antivirus, filtrado web, anti-Spam
(contra bombardeo de publicidad) y ID
(Deep Inspection) a un dispositivo nuevo o existente......................255
Reloj del sistema ..........................................................................................256
Fecha y hora..........................................................................................256
Huso horario..........................................................................................256
Protocolo de hora de la red....................................................................257
Configuracin de mltiples servidores NTP .....................................257
Configurar un servidor de respaldo del protocolo de hora
de la red ...................................................................................257
Desfase temporal mximo ..............................................................258
Protocolos NTP y NSRP ...................................................................259
Ajuste de un valor de desfase horario mximo
en un servidor NTP...................................................................259
Asegurar los servidores NTP............................................................260
ndice ........................................................................................................................IX-I

viii

Contenido

Acerca de este volumen


Volumen 2: Fundamentos describe la arquitectura de ScreenOS y sus elementos,
incluyendo ejemplos de configuracin de algunos de ellos. Este volumen contiene
los siguientes captulos:

Captulo 1, En Arquitectura de ScreenOS, se describen los elementos


fundamentales de la arquitectura de ScreenOS y se incluye con un ejemplo de
cuatro partes con el que se ilustra una configuracin empresarial que incorpora
la mayor parte de dichos elementos. En ste y en todos los captulos siguientes,
cada concepto va acompaado de ejemplos ilustrativos.

Captulo 2, En Zonas, se explican las zonas de seguridad, las zonas de tnel y


las zonas de funcin.

Captulo 3, Interfaces, describe las diferentes interfaces fsicas, lgicas y


virtuales de los dispositivos de seguridad.

Captulo 4, En Modos de las interfaces, se explican los conceptos


relacionados con los modos de funcionamiento de interfaz transparente, NAT
(Network Address Translation) y de rutas.

Captulo 5, En Bloques para la construccin de directivas, se explican los


elementos utilizados para crear directivas y redes privadas virtuales (Virtual
Private Network o VPN): direcciones (incluyendo direcciones VIP), servicios y
conjuntos de DIP. Tambin se incluyen diversos ejemplos de configuracin
compatibles con el protocolo H.323.

Captulo 6, En Directivas, se examinan los componentes y las funciones de


las directivas y se ofrecen instrucciones para su creacin y aplicacin.

Captulo 7, Asignacin de trfico, En se explica cmo gestionar el ancho de


banda en los niveles de interfaz y directivas y cmo priorizar servicios.

Captulo 8, En Parmetros del sistema, se describen los conceptos


relacionados con el direccionamiento de sistemas de nombres de dominio
(Domain Name System o DNS), el uso del protocolo dinmico de
configuracin de host (Dynamic Host Configuration Protocol o DHCP) para
asignar o retransmitir ajustes TCP/IP, la carga y descarga de configuraciones del
sistema y software y el ajuste del reloj del sistema.

ix

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Convenciones del documento


Este documento utiliza distintos tipos de convenciones, que se explican en las
siguientes secciones:

Convenciones de la interfaz de lnea de comandos (CLI) en esta pgina

Convenciones para las ilustraciones en la pgina xi

Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii

Convenciones de la interfaz grfica (WebUI) en la pgina xiii

Convenciones de la interfaz de lnea de comandos (CLI)


Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de CLI en ejemplos y en texto.
En ejemplos:

Los elementos entre corchetes [ ] son opcionales.

Los elementos entre llaves { } son obligatorios.

Si existen dos o ms opciones alternativas, aparecern separadas entre s por


barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage

significa establecer las opciones de administracin de la interfaz ethernet1,


ethernet2 o ethernet3.

Las variables aparecen en cursiva:


set admin user nombre1 contrasea xyz

En texto:

NOTA:

Convenciones del documento

Los comandos aparecen en negrita.

Las variables aparecen en cursiva.

Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequvoca la palabra que se est
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este mtodo se puede utilizar para introducir comandos, en la presente
documentacin todos ellos se representan con sus palabras completas.

Acerca de este volumen

Convenciones para las ilustraciones


Las siguientes figuras conforman el conjunto bsico de imgenes utilizado en las
ilustraciones de este manual.
Figura 1: Imgenes en las ilustraciones del manual
Sistema autnomo

Red de rea local (LAN) con


una nica subred (ejemplo:
10.1.1.0/24)

Dispositivo de seguridad general


Internet

Dominio de enrutamiento virtual


Rango de direcciones IP
dinmicas (DIP)

Zona de seguridad

Interfaz de la zona de seguridad


Blanca = Interfaz de zona protegida
(ejemplo = zona Trust)
Negro = interfaz de zona externa
(ejemplo = zona Untrust)

Interfaz de tnel

Equipo de escritorio

Equipo porttil

Dispositivo de red genrico


(ejemplos: servidor NAT,
concentrador de acceso)

Servidor

Tnel VPN
Concentrador (hub)
Enrutador
Telfono IP

Conmutador

Convenciones del documento

xi

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Convenciones de nomenclatura y conjuntos de caracteres


ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos
(como direcciones, usuarios administradores, servidores de autenticacin, puertas
de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las
configuraciones de ScreenOS:

Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber


estar entre comillas dobles ( ); por ejemplo:
set address trust local LAN 10.1.1.0/24

Cualquier espacio al comienzo o al final de una cadena entrecomillada se


elimina; por ejemplo, local LAN se transformar en local LAN.

Los espacios consecutivos mltiples se tratan como uno solo.

En las cadenas de nombres se distingue entre maysculas y minsculas; por el


contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.
Por ejemplo, local LAN es distinto de local lan.

ScreenOS admite los siguientes conjuntos de caracteres:

NOTA:

xii

Convenciones del documento

Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de


mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres
ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como
conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el
coreano y el japons.

Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin


de las comillas dobles ( ), que tienen un significado especial como
delimitadores de cadenas de nombres que contengan espacios.

Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.

Acerca de este volumen

Convenciones de la interfaz grfica (WebUI)


Una comilla angular ( > ) muestra la secuencia de navegacin a travs de WebUI, a
la que puede llegar mediante un clic en las opciones de men y vnculos. La
siguiente figura indica la siguiente ruta al cuadro de dilogo de configuracin de
direccionesObjects > Addresses > List > New:
Figura 2: Navegacin de WebUI

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegacin y
establecimientos de configuracin:
La siguiente figura muestra la ruta al cuadro de dilogo de configuracin de
direcciones con los siguientes ajustes de configuracin de muestra:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zona: Untrust
Figura 3: Ruta de navegacin y ajustes de configuracin

Convenciones del documento

xiii

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Documentacin de Juniper Networks


Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks,
visite www.juniper.net/techpubs/.
Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo
Case Manager en la pgina web http://www.juniper.net/support/ o llame al
telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama
desde fuera de los EE.UU.).
Si encuentra algn error u omisin en este documento, pngase en contacto con
nosotros a travs de la siguiente direccin de correo electrnico:
techpubs-comments@juniper.net

xiv

Documentacin de Juniper Networks

Captulo 1

Arquitectura de ScreenOS
La arquitectura del sistema ScreenOS de Juniper Networks ofrece una gran
flexibilidad a la hora de disear la estructura de seguridad de una red. En los
dispositivos de seguridad de Juniper Networks con ms de dos interfaces es posible
crear numerosas zonas de seguridad y configurar directivas para regular el trfico
dentro de una zona (trfico intrazonal) y entre zonas distintas (trfico interzonal).
Puede enlazar una o varias interfaces a cada zona y habilitar en cada zona un
conjunto distinto de opciones de administracin y de vigilancia de ataques a la
pared de fuego. Bsicamente, ScreenOS permite crear el nmero de zonas que cada
entorno de red necesita, asignar el nmero de interfaces que cada zona necesita y
disear cada interfaz segn las necesidades especficas.
En este captulo se presenta ScreenOS, describiendo los siguientes componentes
principales:

Zonas de seguridad en la pgina 2

Interfaces de zonas de seguridad en la pgina 3

Enrutadores virtuales en la pgina 4

Directivas en la pgina 5

Redes privadas virtuales en la pgina 7

Sistemas virtuales en la pgina 10

Adems, para ayudarle a comprender mejor el mecanismo que utiliza ScreenOS


para procesar el trfico, en la seccin Secuencia de flujo de paquetes en la
pgina 11 ver la secuencia de flujo de un paquete entrante.
El captulo concluye con un ejemplo en cuatro partes que ilustra la configuracin
bsica de un dispositivo de seguridad utilizando ScreenOS:

Ejemplo: (Parte 1) Empresa con seis zonas en la pgina 14

Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16

Ejemplo: (Parte 3) Dos dominios de enrutamiento en la pgina 18

Ejemplo: (Parte 4) Directivas en la pgina 20

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Zonas de seguridad
Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que
requiere regular el trfico entrante y saliente por medio de directivas (consulte
Directivas en la pgina 5). Las zonas de seguridad son entidades lgicas que
tienen asociadas una o varias interfaces. Si dispone de distintos tipos de
dispositivos de seguridad de Juniper Networks, podr definir mltiples zonas de
seguridad, dependiendo su nmero exacto de las necesidades de su red. Adems de
las zonas definidas por el usuario, tambin puede utilizar las zonas predefinidas:
Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1-Untrust y
V1-DMZ (para el funcionamiento de la capa 2). Si lo desea, puede seguir utilizando
slo las zonas predefinidas. Tambin puede ignorar las zonas predefinidas y utilizar
exclusivamente las zonas definidas por el usuario. Tambin es posible utilizar los
dos tipos de zonas (predefinidas y definidas por el usuario) simultneamente. Esta
flexibilidad en la configuracin de las zonas permite disear la red que mejor
responda a sus necesidades especficas. Consulte Figura 4.

NOTA:

La nica zona de seguridad que no necesita ningn segmento de red es la zona


global. (Para obtener ms informacin, consulte Zona Global en la pgina 28). A
efectos prcticos, se considera que una zona sin interfaces asociadas y sin
entradas de libreta de direcciones no contiene segmentos de red.
Si actualiza una antigua versin de ScreenOS, todas las configuraciones de las
zonas correspondientes permanecern intactas.
No es posible eliminar las zonas de seguridad predefinidas. Por el contrario, s se
pueden eliminar las zonas definidas por el usuario. Cuando se elimina una zona
de seguridad, se eliminan automticamente todas las direcciones configuradas
para esa zona.

Figura 4: Zonas de seguridad predefinidas


Una red configurada con cinco zonas
de seguridad, tres zonas
predeterminadas (Trust, Untrust, DMZ)
y dos zonas definidas por el usuario.
(Finance, Eng).
El trfico pasa de una zona de
seguridad a otra nicamente si
lo permite una directiva.

Finance
Untrust

Trust

Motor de la
directiva

Eng

Zonas de seguridad

Dispositivo
de seguridad

DMZ

Captulo 1: Arquitectura de ScreenOS

Interfaces de zonas de seguridad


Cada interfaz de una zona de seguridad es como una puerta que el trfico TCP/IP
debe cruzar para pasar de una zona a otra.
Mediante las directivas que usted defina, podr permitir que el trfico entre zonas
fluya en un solo sentido o en ambos. Al definir las rutas, estar especificando las
interfaces que el trfico tendr que utilizar para pasar de una zona a otra. Como es
posible asociar mltiples interfaces a una zona, las rutas diseadas tienen una gran
importancia a la hora de dirigir el trfico a las interfaces deseadas.

NOTA:

Para intercambiar trfico entre dos interfaces asociadas a una misma zona no se
requiere ninguna directiva, ya que ambas tendrn el mismo nivel de seguridad.
ScreenOS necesita directivas para controlar el trfico entre zonas, no dentro de
ellas.
Para permitir que el trfico pase de una zona a otra, debe asociar una interfaz a la
zona y, en el caso de una interfaz en modo de ruta o en modo NAT (consulte
Modos de las interfaces en la pgina 81), asignar una direccin IP a la interfaz.
Dos tipos de interfaz comnmente utilizados son las interfaces fsicas y, en
dispositivos que admitan sistemas virtuales, las subinterfaces (es decir, la
realizacin de una interfaz fsica en la capa 2). Para obtener ms informacin,
consulte Interfaces en la pgina 45.

Interfaces fsicas
Una interfaz fsica se refiere a los componentes fsicamente presentes en el
dispositivo de seguridad. Las convenciones de nomenclatura de interfaces difieren
de un dispositivo a otro. En el dispositivo NetScreen-500, por ejemplo, una interfaz
fsica se identifica por la posicin de un mdulo de interfaz y un puerto Ethernet en
ese mdulo. Por ejemplo, la interfaz ethernet1/2 designa el mdulo de interfaz
situado en el primer bastidor (ethernet1/2) y en el segundo puerto (ethernet1/2).
Consulte Figura 5.
Figura 5: Asignaciones de las interfaces fsicas

NOTA:

1/1

1/2

3/1

3/2

2/1

2/2

4/1

4/2

Para conocer la convencin de nomenclatura de un dispositivo de seguridad


determinado, consulte el manual de usuario de dicho dispositivo.

Interfaces de zonas de seguridad

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Subinterfaces
En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz fsica se
puede dividir lgicamente en varias subinterfaces virtuales, que ocupan el ancho de
banda que precisan en cada momento de la interfaz fsica de la que proceden. Una
subinterfaz es un elemento abstracto con funciones idnticas a las de una interfaz
fsica, de la que se diferencia por el etiquetado VLAN 802.1Q. El dispositivo de
seguridad dirige el trfico desde o hacia una zona con subinterfaz a travs de su
direccin IP y su etiqueta VLAN. Por razones prcticas, los administradores
normalmente utilizan el mismo nmero para la etiqueta VLAN y para la subinterfaz.
Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamar ethernet1/2.3.
As se identifica el mdulo de interfaz que se encuentra en el primer bastidor, el
segundo puerto del mdulo y la subinterfaz nmero 3 (ethernet1/2.3).

NOTA:

802.1Q es una norma IEEE que define los mecanismos para implementar redes
LAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la
pertenencia a una VLAN mediante etiquetas VLAN.
Observe que aunque una subinterfaz comparte parte de su identidad con una
interfaz fsica, la zona a la que se asocia es independiente de la zona a la que se
asocia la interfaz fsica. Puede asociar la subinterfaz ethernet1/2.3 a una zona
distinta de la utilizada para la interfaz fsica ethernet1/2 o a la que desee asociar
ethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignacin de
direcciones IP. El trmino subinterfaz no implica que su direccin se encuentre en
una subred dentro del espacio de direcciones de la interfaz fsica. Consulte Figura 6.

Figura 6: Asignaciones de subinterfaces


1/1.1
1/1.2

1/2.1
1/2.2

3/1.1
3/1.2
3/1.3

3/2.1
3/2.2
3/2.3

1/1

1/2

3/1

3/2

2/1

2/2

4/1

4/2

2/1.1
2/1.2

2/2.1
2/2.2

4/1.1
4/1.2

4/2.1
4/2.2

Enrutadores virtuales
Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias
interfaces y de sus propias tablas de enrutamiento unicast y multicast. En
ScreenOS, un dispositivo de seguridad admite dos enrutadores virtuales
predefinidos. Esto permite al dispositivo de seguridad mantener dos tablas de
enrutamiento unicast y multicast independientes y ocultar la informacin de
enrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar para
la comunicacin con interlocutores sin confianza, por lo que no contiene
informacin de enrutamiento para las zonas protegidas. La informacin de
enrutamiento de las zonas protegidas se actualiza por medio de trust-vr. Por lo
tanto, no es posible recopilar informacin interna de la red mediante la extraccin
encubierta de rutas de untrust-vr. Consulte Figura 7 en la pgina 5.
4

Enrutadores virtuales

Captulo 1: Arquitectura de ScreenOS

Figura 7: Zonas de seguridad del enrutador virtual

Dominio de enrutamiento trust-vr

Dominio de enrutamiento untrust-vr

Finance
Untrust

Trust

Eng

DMZ

Nota: El icono del castillo


representa una interfaz en una
zona de seguridad.

Reenvo de rutas

Cuando hay dos enrutadores virtuales en un dispositivo de seguridad, el trfico no


se reenva automticamente entre las zonas que se encuentran en distintos VR,
incluso aunque existan directivas que permitan el trfico. Si desea intercambiar
trfico de datos entre enrutadores virtuales, tendr que exportar las rutas entre los
VR o configurar una ruta esttica en un VR que defina el otro VR como siguiente
salto ("next-hop"). Para ms informacin sobre el uso de enrutadores virtuales,
consulte Volumen 7: Enrutamiento.

Directivas
Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,
y luego permitiendo o denegando, todo intento de conexin que necesite pasar de
una zona de seguridad a otra.
De forma predeterminada, un dispositivo de seguridad denegar todo el trfico de
datos en todos los sentidos. La creacin de directivas permite controlar el flujo de
trfico entre zonas definiendo qu tipo de trfico puede pasar de los orgenes a los
destinos especificados y cundo. En el nivel ms permisivo, es posible permitir que
todo tipo de trfico pase de cualquier origen en una zona a cualquier destino en el
resto de zonas sin ninguna restriccin en el tiempo. En el nivel ms restrictivo, se
puede crear una directiva que slo permita un tipo de trfico entre un host
determinado en una zona y otro en otra zona durante un periodo programado.
Consulte Figura 8 en la pgina 6.

NOTA:

Ciertos dispositivos de seguridad se suministran con una directiva predeterminada


que permite cualquier trfico saliente de la zona Trust a la zona Untrust, pero
rechaza todo el trfico procedente de la zona Untrust y dirigido a la zona Trust.

Directivas

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 8: Directiva predeterminada


Acceso a Internet permisivo: cualquier servicio desde
cualquier punto de la zona Trust hacia cualquier punto
de la zona Untrust en cualquier momento

Acceso a Internet restrictivo: Servicio SMTP desde un servidor de


correo en la zona Trust a un servidor de correo en la zona Untrust
de 5:00 a.m. a 7:00 p.m.

Zona
Untrust

Zona
Untrust

Zona
Trust

Zona
Trust

Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces
enlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista de
directivas existe alguna que permita ese tipo de trfico (consulte Listas de
conjuntos de directivas en la pgina 167). Para que el trfico pueda pasar de una
zona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configurar
una directiva que permita que la zona A enve trfico a la zona B. Para que el trfico
pueda pasar en sentido inverso, se debe configurar otra directiva que permita el
trfico de la zona B a la zona A. Para que cualquier tipo de trfico pase de una zona
a otra, debe haber una directiva que lo permita. Asimismo, cuando est habilitado
el bloqueo intrazonal (bloqueo del interior de una zona), deber existir una directiva
que permita que el trfico pase de una interfaz a otra dentro de esa misma zona.
Consulte Figura 9 en la pgina 7.

Directivas

Captulo 1: Arquitectura de ScreenOS

Figura 9: Arquitectura de las directivas


Dominio de enrutamiento trust-vr

Dominio de enrutamiento untrust-vr

Finance
Untrust

Motor de
directivas

Trust

DMZ

Eng

Nota: El icono del castillo


representa una interfaz en una
zona de seguridad.

Reenvo de rutas

NOTA:

Para obtener ms informacin sobre las directivas, consulte Directivas en la


pgina 163.
Si configura el enrutamiento multicast en un dispositivo de seguridad, puede que
tenga que configurar directivas multicast. De forma predeterminada, los
dispositivos de seguridad no permiten trfico de control multicast entre zonas. Por
trfico de control multicast se entienden los mensajes transmitidos por protocolos
multicast, tales como el multicast independiente del protocolo (Protocol
Independent Multicast o PIM). Las directivas multicast solamente controlan el flujo
del trfico de control multicast. Para permitir el trfico de datos (tanto unicast como
multicast) entre zonas, debe configurar directivas de la pared de fuego. (Para
obtener ms informacin sobre directivas multicast, consulte Directivas multicast
en la pgina 7-143).

Redes privadas virtuales


ScreenOS dispone de varias opciones para la configuracin de redes privadas
virtuales (VPN). Los dos tipos ms importantes son:

VPN basada en rutas: mediante una consulta de rutas se determina qu trfico


encapsular el dispositivo de seguridad. Las directivas permiten o deniegan el
trfico hacia el destino especificado en la ruta. Si la directiva permite el trfico y
la ruta hace referencia a una interfaz de tnel asociada a un tnel VPN, el
dispositivo de seguridad tambin encapsular dicho trfico. Esta configuracin
gestiona por separado la aplicacin de directivas de la aplicacin de tneles
VPN. Una vez configurados, estos tneles estarn disponibles como recursos
para asegurar el trfico que circula entre una zona de seguridad y otra.

Redes privadas virtuales

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

VPN basada en directivas: mediante una consulta de directivas se determina


qu trfico encapsular el dispositivo de seguridad cuando la directiva haga
referencia a un tnel VPN determinado y se especifique tunnel como accin.

Una VPN basada en rutas es la opcin adecuada para configuraciones VPN punto a
punto, ya que es posible aplicar mltiples directivas al trfico que pasa a travs de
un nico tnel VPN. La VPN basada en directivas resulta adecuada para
configuraciones VPN de acceso telefnico, ya que el cliente de acceso telefnico
probablemente no dispone de una direccin IP interna hacia la que establecer una
ruta. Consulte Figura 10.
En las siguientes instrucciones se muestran los principales pasos a seguir para
configurar una VPN basada en rutas:
1. Cuando configure el tnel VPN (p. ej., vpn-to-SF, donde SF es el destino o
entidad final), especifique una interfaz fsica o una subinterfaz en el dispositivo
local como interfaz de salida. (El interlocutor remoto deber utilizar la direccin
IP de esta interfaz para configurar su puerta de enlace remota.)
2. Cree una interfaz de tnel (por ejemplo, tunnel.1) y asciela a una zona de
seguridad.

NOTA:

No es necesario asociar la interfaz de tnel a la misma zona a la que est


destinado el trfico de VPN. El trfico hacia cualquier zona puede acceder a una
interfaz de tnel siempre que haya alguna ruta que apunte a esa interfaz.
3. Asocie la interfaz de tnel tunnel.1 al tnel VPN vpn-to-SF.
4. Para dirigir el trfico a travs de este tnel, configure una ruta indicando que el
trfico hacia SF debe utilizar tunnel.1.

Figura 10: Trfico VPN

Zona de origen

Paquete enviado

Motor de
directivas

Interfaz
de tnel

Tnel VPN

tunnel.1

vpn a SF

Zona de destino

Tabla de
enrutamiento

Paquete entrando

Llegados a este punto, el tnel est listo para el trfico dirigido a SF. Ahora puede
crear entradas en la libreta de direcciones, como Trust LAN (10.1.1.0/24) y SF
LAN (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tipos
de trfico desde un origen especificado, como Trust LAN, y hacia un destino
especificado, como SF LAN. Consulte Figura 11 en la pgina 9.

Redes privadas virtuales

Captulo 1: Arquitectura de ScreenOS

Figura 11: Trfico VPN de la zona de seguridad Untrust


El dispositivo de seguridad local enruta el trfico desde la zona Trust a SF LAN, que se
encuentra en la zona Untrust, a travs de la interfaz tunnel.1. Como la interfaz tunnel.1 est
asociada al tnel VPN vpn-to-SF, el dispositivo encripta el trfico y lo enva a travs de ese tnel
al interlocutor remoto.

Dominio de enrutamiento untrust-vr


Para llegar a
1.1.1.0/24

SF LAN
10.2.2.0/24

utilice
eth1/2

Zona Untrust
Interfaz de salida
eth1/2, 1.1.1.1/24

10.2.2.0/24

tunnel.1

0.0.0.0/0

1.1.1.250
Tunnel.1
de la
interfaz

Dispositivo local

Dominio de enrutamiento
Para llegar a

utilice

10.1.1.0/24

eth3/2

0.0.0.0/0

untrust-vr

NOTA:

Puerta de enlace
predeterminada:
1.1.1.250

Tnel VPN
vpn a SF

Zona Trust
eth3/210.1.1.1/24

Para obtener informacin detallada sobre las VPN, consulte Volume 5:


Redes privadas virtuales.

Redes privadas virtuales

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Sistemas virtuales
Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales
(vsys). Un sistema virtual es una subdivisin del sistema principal que para el
usuario aparece como una entidad independiente. Los sistemas virtuales se
encuentran separados del sistema raz y entre s dentro de un mismo dispositivo de
seguridad. La aplicacin de ScreenOS a los sistemas virtuales implica la
coordinacin de tres componentes principales: zonas, interfaces y rutas virtuales.
La Figura 12 en la pgina 10 presenta una vista conceptual de cmo ScreenOS
integra estos componentes en los niveles raz y de sistema virtual.
Figura 12: Arquitectura de sistemas virtuales
Nota: El icono del castillo representa una
interfaz de una zona de seguridad.

trust-vr

untrust-vr

Finance
DMZ

Trust

Mail
Interfaz compartida
por vsys1 y raz
sistema raz
Untrust
Subinterfaz
dedicada para
vsys2

Eng

vsys1-vr
Trust-vsys1

vsys1
vsys2

vsys2-vr
Trust-vsys2

vsys3
interfaz fsica
dedicada para vsys3

vsys3-vr
Trust-vsys3

NOTA:

10

Sistemas virtuales

Para obtener ms informacin sobre sistemas virtuales y la aplicacin de zonas,


interfaces y enrutadores virtuales en el contexto de sistemas virtuales, consulte el
Volumen 10: Sistemas virtuales.

Captulo 1: Arquitectura de ScreenOS

Secuencia de flujo de paquetes


En ScreenOS, la secuencia de flujo de un paquete entrante ocurre segn se muestra
en la Figura 13.
Figura 13: Flujo de paquetes a travs de las zonas de seguridad
Paquete
entrante
SCREEN
Filtro

Sesin
Bsqueda

MIP/VIP
IP de host

Interfaz
Interfaz

Si el paquete no coincide
con una sesin existente,
lleve a cabo los pasos 4 a 9.

Origen
Zona

Si lo hace, vaya
directamente al paso 9.

Zonas de
seguridad

Si hay trfico de red,


zona de origen = zona
de seguridad a la que
est asociada la
interfaz o subinterfaz.

Directiva
Bsqueda

Tabla de reenvos

Lista de directivas

10.10.10.0/24 eth1/1
0.0.0.0/0 untrust-vr

src dst service action

Interfaz de destino
y
Zona de destino

NAT-Dst y
luego/o NAT-Src

Permit = reenviar paquete


Deny = descartar paquete
Reject = descartar el paquete y enviar
TCP RST al origen
Tunnel = Utilizar el tnel especificado
para la encriptacin de VPN

Crear
sesin

Realizar
operacin

Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6,
002be0c0066b,
subif 0, tun 0

Si zona de destino = zona de seguridad,


utilizar esa zona para la consulta de
directivas.

Si hay trfico VPN a la


interfaz de tnel
asociada al tnel VPN,
zona de origen = zona
de seguridad donde
est configurado el
tnel
Si hay trfico VPN a la
interfaz de tnel en una
zona de tnel, zona de
origen = zona portadora

Ruta
Bsqueda

Si zona de destino = zona del tnel, utilizar


su zona portadora para la consulta de
directivas.
Tunnel
Zona

1. El mdulo de interfaz identifica la interfaz entrante y, en consecuencia la zona


de origen a la que est asociada.
La determinacin de la zona de origen se basa en los criterios siguientes:

Si el paquete no est encapsulado, la zona de origen es la zona de


seguridad a la que la interfaz o subinterfaz entrante est asociada.

Si el paquete est encapsulado y la interfaz de tnel est asociada a un


tnel VPN, la zona de origen es la zona de seguridad en la que est
configurada la interfaz de tnel.

Si el paquete est encapsulado y la interfaz de tnel se encuentra en una


zona de tnel, la zona de origen es la zona portadora (zona de seguridad
que porta el tnel) correspondiente a esa zona de tnel.

Secuencia de flujo de paquetes

11

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2. Si las opciones de SCREEN estn habilitadas para la zona de origen, el


dispositivo de seguridad activa el mdulo SCREEN en este momento. La
comprobacin de SCREEN puede producir uno de los tres resultados siguientes:

Si un mecanismo SCREEN detecta un comportamiento anmalo y est


configurado para bloquear el paquete correspondiente, el dispositivo de
seguridad descarta el paquete y genera una entrada en el registro de
eventos.

Si un mecanismo SCREEN detecta un comportamiento anmalo y est


configurado para registrar el evento pero no bloquear el paquete, el
dispositivo de seguridad registra el evento en la lista de contadores SCREEN
para la interfaz de entrada y procede al paso siguiente.

Si el mecanismo SCREEN no detecta ningn comportamiento anmalo, el


dispositivo de seguridad procede al paso siguiente.

3. El mdulo de sesiones realiza una consulta de sesin para comprobar si el


paquete coincide con una sesin existente.
Si el paquete no coincide con ninguna sesin existente, el dispositivo de
seguridad ejecuta First Packet Processing, un procedimiento que implica los
pasos 4 a 9 que se presentan a continuacin.
Si el paquete coincide con una sesin existente, el dispositivo de seguridad
ejecuta Fast Processing, utilizando la informacin disponible en la entrada de
sesiones existente para procesar el paquete. El procesamiento rpido (Fast
Processing) omite los pasos 4 a 8 porque la informacin que generan ya se
obtuvo durante el procesamiento del primer paquete de la sesin.
4. Si se utiliza una direccin IP asignada (MIP) o direccin IP virtual (VIP), el
mdulo de asignacin de direcciones resuelve la direccin MIP o VIP de modo
que la tabla de enrutamiento pueda buscar la direccin real del host.
5. La operacin de consulta de la tabla de rutas averigua qu interfaz conduce a la
direccin de destino. Al hacerlo, el mdulo de interfaz identifica la zona de
destino a la que est asociada esa interfaz.
La determinacin de la zona de destino se basa en los siguientes criterios:

12

Secuencia de flujo de paquetes

Si la zona de destino es una zona de seguridad, esa zona se utiliza para la


consulta de directivas.

Si la zona de destino es una zona de tnel, se utiliza la zona portadora


correspondiente para la consulta de directivas.

Si la zona de destino es igual a la zona de origen y el bloqueo intrazonal


est inhabilitado para esa zona, el dispositivo de seguridad omite los pasos
6 y 7 y crea una sesin (paso 8). Si el bloqueo intrazonal est activado, el
dispositivo de seguridad descarta el paquete.

Captulo 1: Arquitectura de ScreenOS

6. El motor de directivas busca en las listas de conjuntos de directivas una


directiva entre las direcciones de las zonas de origen y de destino identificadas.
La accin configurada en la directiva determina lo que debe hacer la pared de
fuego de ScreenOS con el paquete:

Si la accin es permit, el dispositivo de seguridad decide remitir el paquete


a su destino.

Si la accin es deny, el dispositivo de seguridad determina descartar el


paquete.

Si la accin es reject, el dispositivo de seguridad decide descartar el


paquete y, si el protocolo es TCP, enviar una seal de restablecimiento
(RST) a la direccin IP de origen.

Si la accin es tunnel, el dispositivo de seguridad decide remitir el paquete


al mdulo VPN, que encapsula el paquete y lo transmite utilizando los
ajustes especificados del tnel VPN.

7. Si en la directiva est especificado que se traduzcan las direcciones de destino


(NAT-dst), el mdulo NAT traduce la direccin de destino original del
encabezado del paquete IP a otra direccin.
Si est especificada la traduccin de direcciones de origen (NAT basada en
interfaz o NAT-src basada en directivas), el mdulo NAT traduce la direccin de
origen del encabezado del paquete IP antes de reenviarlo a su destino o al
mdulo VPN.
(Si en la misma directiva estn especificados tanto NAT-dst como NAT-src, el
dispositivo de seguridad realiza primero NAT-dst y luego NAT-src).
8. El mdulo de sesiones crea una nueva entrada en la tabla de sesiones que
contiene los resultados de los pasos 1 a 7.
Para procesar los paquetes subsiguientes de la misma sesin, el dispositivo de
seguridad utiliza la informacin mantenida en la entrada de la sesin.
9. El dispositivo de seguridad realiza la operacin especificada en la sesin.
Algunas operaciones tpicas son la traduccin de direcciones de origen, la
seleccin y encriptacin del tnel VPN, la desencriptacin y el reenvo de
paquetes.

Secuencia de flujo de paquetes

13

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ejemplo: (Parte 1) Empresa con seis zonas


sta es la primera de las cuatro partes de un ejemplo cuya finalidad es aclarar
algunos de los conceptos expuestos en las secciones anteriores. Si desea
informacin sobre esta segunda parte, en la que las interfaces de cada zona estn
ya establecidas, consulte Ejemplo: (Parte 2) Interfaces para seis zonas en la
pgina 16. Aqu se configuran las seis zonas siguientes de una empresa:

Finance

Trust

Eng

Mail

Untrust

DMZ

Las zonas Trust, Untrust y DMZ estn preconfiguradas. Usted definir las zonas
Finance, Eng y Mail. De forma predeterminada, las zonas definidas por el usuario
se ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es necesario
especificar un enrutador virtual para las zonas Finance y Eng. Sin embargo, adems
de configurar la zona Mail, tambin deber especificar que se encuentre en el
dominio de enrutamiento untrust-vr. Tambin se deben transferir los enlaces de los
enrutadores virtuales de las zonas DMZ y Untrust de trust-vr a untrust-vr . Consulte
Figura 14 en la pgina 14.

NOTA:

Para obtener ms informacin sobre enrutadores virtuales y sus dominios de


enrutamiento, consulte el Volumen 7: Enrutamiento.

Figura 14: Enlaces de enrutador de zona a virtual


Dominio de enrutamiento trust-vr

14

Secuencia de flujo de paquetes

Dominio de enrutamiento untrust-vr

Finance

Mail

Trust

Untrust

Eng

DMZ

Captulo 1: Arquitectura de ScreenOS

WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Finance
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)

Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Eng
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)

Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Mail
Virtual Router Name: untrust-vr
Zone Type: Layer 3: (seleccione)

Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
CLI
set zone name finance
set zone name eng
set zone name mail
set zone mail vrouter untrust-vr
set zone untrust vrouter untrust-vr
set zone dmz vrouter untrust-vr
save

Secuencia de flujo de paquetes

15

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ejemplo: (Parte 2) Interfaces para seis zonas


sta es la segunda parte de un ejemplo fragmentado. Si desea ver la primera
parte, en la que se configuran las zonas, consulte Ejemplo: (Parte 1) Empresa
con seis zonas en la pgina 14. Si desea ver la siguiente parte, en la que se
configuran enrutadores virtuales, consulte Ejemplo: (Parte 3) Dos dominios de
enrutamiento en la pgina 18. Esta parte del ejemplo demuestra cmo asociar
interfaces a las zonas y configurarlas con una direccin IP y diversas opciones
de administracin. Consulte Figura 15.
Figura 15: Enlaces de interfaz a zona
1.3.3.1/24
eth1/1

Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1

Trust
10.1.1.1/24
eth3/2

Mail
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2

1/1

1/2

3/1

3/2

2/1

2/2

4/1

4/2

Eng
10.1.3.1/24
eth3/1

Untrust
1.1.1.1/24
eth1/2

DMZ
1.2.2.1/24
eth2/2

WebUI
1.

Interfaz ethernet3/2

Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manageable: (seleccione)
Management Services: WebUI, Telnet, SNMP, SSH (seleccione)
Other Services: Ping (seleccione)
2.

Interfaz ethernet3/2.1

Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet3/2.1
Zone Name: Finance
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.2.1/24
VLAN Tag: 1
Other Services: Ping (seleccione)

16

Secuencia de flujo de paquetes

Captulo 1: Arquitectura de ScreenOS

3.

Interfaz ethernet3/1

Network > Interfaces > Edit (para ethernet3/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Eng
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.3.1/24
Other Services: Ping (seleccione)
4.

Interfaz ethernet1/1

Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Mail
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.3.3.1/24
5.

Interfaz ethernet1/1.2

Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet1/1.2
Zone Name: Mail
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.4.4.1/24
VLAN Tag: 2
6.

Interfaz ethernet1/2

Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manageable: (seleccione)
Management Services: SNMP (seleccione)
7.

Interfaz ethernet2/2

Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione)
IP Address/Netmask: 1.2.2.1/24

CLI
1.

Interfaz ethernet3/2

set
set
set
set
set
set
set

interface ethernet3/2 zone trust


interface ethernet3/2 ip 10.1.1.1/24
interface ethernet3/2 manage ping
interface ethernet3/2 manage webui
interface ethernet3/2 manage telnet
interface ethernet3/2 manage snmp
interface ethernet3/2 manage ssh

Secuencia de flujo de paquetes

17

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2.

Interfaz ethernet3/2.1

set interface ethernet3/2.1 tag 1 zone finance


set interface ethernet3/2.1 ip 10.1.2.1/24
set interface ethernet3/2.1 manage ping
3.

Interfaz ethernet3/1

set interface ethernet3/1 zone eng


set interface ethernet3/1 ip 10.1.3.1/24
set interface ethernet3/1 manage ping
4.

Interfaz ethernet1/1

set interface ethernet1/1 zone mail


set interface ethernet1/1 ip 1.3.3.1/24
5.

Interfaz ethernet1/1.2

set interface ethernet1/1.2 tag 2 zone mail


set interface ethernet1/1.2 ip 1.4.4.1 /24
6.

Interfaz ethernet1/2

set interface ethernet1/2 zone untrust


set interface ethernet1/2 ip 1.1.1.1/24
set interface ethernet1/2 manage snmp
7.

Interfaz ethernet2/2

set interface ethernet2/2 zone dmz


set interface ethernet2/2 ip 1.2.2.1/24
save

Ejemplo: (Parte 3) Dos dominios de enrutamiento


sta es la tercera parte de un ejemplo fragmentado. Si desea ver la parte anterior,
en la que se definen las interfaces para las diferentes zonas de seguridad, consulte
Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16. Si desea ver la parte
siguiente, en la que se establecen las directivas, consulte el Ejemplo: (Parte 4)
Directivas en la pgina 20. En este ejemplo solamente se configura una ruta para
la puerta de enlace predeterminada a Internet. Las otras rutas son creadas
automticamente por el dispositivo de seguridad al generar las direcciones IP de las
interfaces. Consulte Figura 16 en la pgina 19.

18

Secuencia de flujo de paquetes

Captulo 1: Arquitectura de ScreenOS

Figura 16: Dominios de enrutamiento


untrust-vr
dominio de enrutamiento

trust-vr
dominio de enrutamiento
Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1, NAT

1.3.3.1/24
eth1/1, ruta

Mail

1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2, ruta
Trust
10.1.1.1/24
eth3/2, NAT

Untrust
1.1.1.1/24
eth1/2, ruta

Eng
10.1.3.1/24
eth3/1, NAT

DMZ
1.2.2.1/24
eth2/2, ruta
Reenvo de rutas

WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr

Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 1.1.1.254

CLI
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254
save

El dispositivo de seguridad crea automticamente las rutas que se muestran en


Tabla 1 y Tabla 2 en la pgina 20 (con excepcin de lo que se indica).

Secuencia de flujo de paquetes

19

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Tabla 1: Tabla de rutas para trust-vr


Para llegar a:

Utilizar interfaz: Utilizar puerta de enlace/Vrouter: Creado por:

0.0.0.0/0

n/a

untrust-vr

Configurado por el
usuario

10.1.3.0/24

eth3/1

0.0.0.0

Dispositivo de
seguridad

10.1.1.0/24

eth3/2

0.0.0.0

Dispositivo de
seguridad

10.1.2.0/24

eth3/2.1

0.0.0.0

Dispositivo de
seguridad

Tabla 2: Tabla de rutas para untrust-vr


Para llegar a:

Utilizar interfaz:

Utilizar puerta de enlace/Vrouter: Creado por:

1.2.2.0/24

eth2/2

0.0.0.0

Dispositivo de
seguridad

1.1.1.0/24

eth1/2

0.0.0.0

Dispositivo de
seguridad

1.4.4.0/24

eth1/1.2

0.0.0.0

Dispositivo de
seguridad

1.3.3.0/24

eth1/1

0.0.0.0

Dispositivo de
seguridad

0.0.0.0/0

eth1/2

1.1.1.254

Configurado por el
usuario

Ejemplo: (Parte 4) Directivas


sta es la ltima parte de un ejemplo fragmentado. La parte anterior es Ejemplo:
(Parte 3) Dos dominios de enrutamiento en la pgina 18. En esta parte del ejemplo
se muestra cmo configurar nuevas directivas. Consulte Figura 17.
Figura 17: Directivas
trust-vr
dominio de

trust-vr
dominio de

Finance

Trust

Mail

Motor de
directivas

Eng

DMZ
Reenvo de rutas

20

Secuencia de flujo de paquetes

Untrust

Captulo 1: Arquitectura de ScreenOS

Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas
es necesario crear nuevos grupos de servicios.

NOTA:

Cuando se crea una zona, el dispositivo de seguridad crea automticamente la


direccin Any para todos los hosts existentes en esa zona. Este ejemplo utiliza la
direccin Any para los hosts.
WebUI
1.

Grupos de servicios

Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Group Name: Mail-Pop3

Seleccione Mail y utilice el botn << para mover el servicio de la columna


Available Members a la columna Group Members.
Seleccione Pop3 y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Group Name: HTTP-FTPGet

Seleccione HTTP y utilice el botn << para mover el servicio de la


columna Available Members a la columna Group Members.
Seleccione FTP-Get y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
2.

Directivas

Directivas > (From: Finance, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit

Directivas > (From: Trust, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit

Secuencia de flujo de paquetes

21

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Directivas > (From: Eng, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit

Directivas > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail
Action: Permit

Directivas > (From: Finance, To: Untrust) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit

Directivas > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit

Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit

Directivas > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
22

Secuencia de flujo de paquetes

Captulo 1: Arquitectura de ScreenOS

Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit

Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP-Put
Action: Permit

Directivas > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit

CLI
1.

Grupos de servicios

set
set
set
set
2.

group
group
group
group

service mail-pop3 add mail


service mail-pop3 add pop3
service http-ftpget add http
service http-ftpget add ftp-get

Directivas

set policy from finance to mail any any mail-pop3 permit


set policy from trust to mail any any mail-pop3 permit
set policy from eng to mail any any mail-pop3 permit
set policy from untrust to mail any any mail permit
set policy from finance to untrust any any http-ftpget permit
set policy from finance to dmz any any http-ftpget permit
set policy from trust to untrust any any http-ftpget permit
set policy from trust to dmz any any http-ftpget permit
set policy from eng to untrust any any http-ftpget permit
set policy from eng to dmz any any http-ftpget permit
set policy from eng to dmz any any ftp-put permit
set policy from untrust to dmz any any http-ftpget permit
save

Secuencia de flujo de paquetes

23

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

24

Secuencia de flujo de paquetes

Captulo 2

Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin).
Este captulo examina cada uno de los tipos de zonas, poniendo un especial nfasis
en la zona de seguridad, y describe los modos de puerto. El captulo incluye las
siguientes secciones:

Visualizar las zonas preconfiguradas en la pgina 26

Zonas de seguridad en la pgina 28

Zona Global en la pgina 28

Opciones SCREEN en la pgina 28

Enlazar una interfaz de tnel a una zona de tnel en la pgina 28

Configuracin de zonas de seguridad y zonas de tnel en la pgina 30

Crear una zona en la pgina 30

Modificar una zona en la pgina 31

Eliminar una zona en la pgina 32

Zonas de funcin en la pgina 32

Zona Null en la pgina 32

Zona MGT en la pgina 32

Zona HA en la pgina 33

Zona de registro propio en la pgina 33

Zona VLAN en la pgina 33

25

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Modos de puerto en la pgina 33

Modo Trust-Untrust en la pgina 34

Modo Home-Work en la pgina 35

Modo Dual Untrust en la pgina 36

Modo combinado en la pgina 37

Modo Trust/Untrust/DMZ (extendido) en la pgina 38

Modo DMZ/Dual Untrust en la pgina 38

Modo Dual DMZ en la pgina 39

Establecer los modos de puertos en la pgina 40

Zonas en los modos Home-Work y Combined Port en la pgina 41

Visualizar las zonas preconfiguradas


La primera vez que se inicia un dispositivo de seguridad pueden verse una serie de
zonas preconfiguradas. Para visualizar estas zonas utilizando la WebUI, haga clic en
Network > Zones en la columna de men de la izquierda. Consulte Figura 18.
Para visualizar estas zonas utilizando la CLI, utilice el comando get zone. Consulte
Figura 19 en la pgina 27.
Figura 18: PginaNetwork > Zones en la WebUI

26

Visualizar las zonas preconfiguradas

Captulo 2: Zonas

La Figura 19 muestra el resultado del comando get zone.


Figura 19: Resultado del comando get zone
ns500> get zone
Total of 13 zones in vsys root

Los sistemas raz y virtual comparten estas zonas.

ID
Name)
Type)
Attr)
VR)
0)
Null)
Null)
Shared) untrust-vr)
1)
Untrust) Sec(L3))
Shared) trust-vr)
2)
Trust)
Sec(L3))
)
trust-vr)
3)
DMZ)
Sec(L3))
)
trust-vr)
4)
Self)
Func)
)
trust-vr)
5)
MGT)
Func)
)
trust-vr)
6)
HA)
Func)
)
trust-vr)
10)
Global)
Sec(L3))
)
trust-vr)
11)
V1-Untrust) Sec(L2))) trust-vr) v1-untrust)
12)
V1-Trust) Sec(L2))
)
trust-vr)
13)
V1-DMZ) Sec(L2))
)
trust-vr)
14)
VLAN)
Func)
)
trust-vr
16)
Untrust-Tun) Tun))
trust-vr) null)
-----------------------------------------------------------------------

Los nmeros de zona 7 a 9 y 15 estn reservados para


uso futuro.

Default-IF) VSYS)
null)
Root)
ethernet1/2) Root)
ethernet3/2) Root)
ethernet2/2) Root)
self)
Root)
mgt)
Root)
ha)
Root)
null)
Root)
Root)
v1-trust)
Root)
v1-dmz)
Root)
vlan)
Root)
Root)

Estas zonas (ID 0 y 10) no tienen ni


pueden tener una interfaz.

Estas zonas (ID 1-3 y 11-14) proporcionan


compatibilidad con versiones anteriores al actualizar
de una versin anterior a ScreenOS 3.1.0. Las 3
superiores para dispositivos en modo NAT o Route,
las 3 inferiores para dispositivos en modo
transparente.

De forma predeterminada, las interfaces de tnel VPN estn asociadas a la zona


Untrust-Tun, cuya zona portadora es la zona Untrust. (Durante la actualizacin, los tneles
existentes se asocian a la zona Untrust-Tun).

Las zonas preconfiguradas que se muestran en la Figura 18 y Figura 19 se pueden


agrupar en tres tipos diferentes:

Zonas de seguridad: Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-DMZ

Zona de tnel: Untrust-Tun

Zonas de funcin: Null, Self, MGT, HA, VLAN

Visualizar las zonas preconfiguradas

27

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Zonas de seguridad
En un solo dispositivo de seguridad se pueden configurar varias zonas de seguridad,
dividiendo la red en segmentos a los que se pueden aplicar diversas opciones de
seguridad para satisfacer las necesidades de cada segmento. Deben definirse como
mnimo dos zonas de seguridad, bsicamente para proteger un rea de la red de la
otra. En algunas plataformas de seguridad se pueden definir muchas zonas de
seguridad, lo que refina an ms la granularidad del diseo de seguridad de la red,
evitando la necesidad de distribuir mltiples dispositivos de seguridad para
conseguir el mismo fin.

Zona Global
Puede identificar una zona de seguridad porque tiene una libreta de direcciones y
se puede hacer referencia a ella en directivas. La zona Global satisface estos
criterios. Sin embargo, le falta un elemento del que s disponen las dems zonas de
seguridad: una interfaz. La zona Global sirve como rea de almacenamiento de
direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La direccin
predefinida Any de la zona Global puede aplicarse a todas las MIP, VIP y a otras
direcciones definidas por el usuario establecidas en la zona Global. Dado que el
trfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no
requiere una interfaz para que el trfico fluya a travs de ella.
La zona Global tambin contiene direcciones para su utilizacin en directivas
globales. Para obtener ms informacin acerca de directivas globales, consulte
Directivas globales en la pgina 166).

NOTA:

Cualquier directiva que utilice la zona Global como su destino no puede admitir
NAT ni asignacin de trfico.

Opciones SCREEN
Una pared de fuego de Juniper Networks asegura una red inspeccionando, y luego
permitiendo o denegando, todo intento de conexin que necesite pasar de una
zona de seguridad a otra. Por cada zona de seguridad y zona MGT, puede habilitar
un conjunto de opciones SCREEN predefinidas que detecten y bloqueen los
diversos tipos de trfico que el dispositivo de seguridad identifica como
potencialmente dainos.
Para obtener ms informacin sobre las opciones SCREEN disponibles, consulte el
Volume 4: Attack Detection and Defense Mechanisms.

Enlazar una interfaz de tnel a una zona de tnel


Una zona del tnel es un segmento lgico que contiene al menos una interfaz de
tnel. Las zonas de tnel estn conceptualmente relacionadas con zonas de
seguridad en una relacin padre-hijo. Las zonas de seguridad que actan como el
padre, que tambin pueden imaginarse como zonas portadoras, proporcionan
proteccin de pared de fuego al trfico encapsulado. La zona del tnel proporciona

28

Zonas de seguridad

Captulo 2: Zonas

el encapsulado y desencapsulado de paquetes, y tambin puede proporcionar


servicios NAT basados en directivas, ya que admiten interfaces de tnel con
direcciones IP y mscaras de red que pueden contener direcciones IP asignadas
(MIP) y dinmicas (DIP).
El dispositivo de seguridad utiliza la informacin de enrutamiento de la zona
portadora para dirigir el trfico al punto final del tnel. La zona del tnel
predeterminada es Untrust-Tun, asociada a la zona Untrust. Puede crear otras zonas
de tnel y asociarlas a otras zonas de seguridad, con un mximo de una zona de
tnel por zona portadora y por sistema virtual.

NOTA:

El sistema raz y todos los sistemas virtuales pueden compartir la zona Untrust.
Sin embargo, cada sistema tiene su propia zona Untrust-Tun separada.
De forma predeterminada, una zona de tnel se encuentra en el dominio de
enrutamiento trust-vr, pero tambin puede mover una zona de tnel a otro dominio
de enrutamiento. Consulte Figura 20 en la pgina 29.

Figura 20: Dominio de enrutamiento de la zona Tunnel

Zona de seguridad
Zona de tnel
Trfico hacia o desde un tnel
VPN
La interfaz de tnel, que cuando est
asociada a una zona de tnel debe
tener una direccin IP y una mscara
de red, admite NAT basada en
directivas para el trfico VPN
pre-encapsulado y
post-desencapsulado.

Interfaz de
tnel

La interfaz de la zona de seguridad que


contiene la zona de tnel proporciona la
proteccin de pared de fuego para el
trfico encapsulado.
Interfaz de la zona
de seguridad

Tnel VPN

El trfico saliente penetra en la zona de tnel a travs de la interfaz de tnel, es encapsulado y sale a travs de la interfaz de la zona de seguridad.
El trfico entrante accede a travs de la interfaz de la zona de seguridad, es desencapsulado en la zona de tnel, y sale a travs de la interfaz de tnel.

Al actualizar una versin de ScreenOS anterior a 3.1.0, las interfaces de tnel


existentes se asocian de forma predeterminada a la zona Tunnel preconfigurada
Untrust-Tun, que es un hijo de la zona de seguridad preconfigurada de Untrust.
Puede asociar mltiples zonas de tnel a la misma zona de seguridad; sin embargo,
no puede enlazar una zona de tnel a otra zona de tnel.
En este ejemplo crear una interfaz de tnel y la llamar tunnel.3. La asociar a la
zona Untrust-Tun y le asignar la direccin IP 3.3.3.3/24. Seguidamente definir
una direccin IP asignada (MIP) en tunnel.3, traduciendo 3.3.3.5 a 10.1.1.5, que es
la direccin de un servidor en la zona Trust. Tanto la zona Untrust, que es la zona
portadora de la zona Untrust-Tun, como la zona Trust estn en el dominio de
enrutamiento trust-vr.

Enlazar una interfaz de tnel a una zona de tnel

29

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
1.

Interfaz de tnel

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.3
Zone (VR): Untrust-Tun (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask 3.3.3.3/24
2.

MIP

Network > Interfaces > Edit (para tunnel.3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
IP asignada: 3.3.3.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr

CLI
1.

Interfaz de tnel

set interface tunnel.3 zone Untrust-Tun


set interface tunnel.3 ip 3.3.3.3/24
2.

MIP

set interface tunnel.3 mip 3.3.3.5 host 10.1.1.5


save

Configuracin de zonas de seguridad y zonas de tnel


El proceso para la creacin, modificacin y eliminacin de zonas de seguridad y
zonas del tnel de la capa 3 o capa 2 son bastante similares.

NOTA:

No se pueden eliminar zonas de seguridad predefinidas ni la zona de tnel


predefinida, aunque s se pueden editar.

Crear una zona


Para crear zonas de seguridad de capa 3 ("Layer 3") o capa 2 ("Layer 2") o una zona
de tnel, utilice WebUI o CLI:
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Escriba un nombre para la zona.
Virtual Router Name: Seleccione el enrutador virtual en cuyo dominio de
enrutamiento desea ubicar la zona.
Zone Type:

30

Configuracin de zonas de seguridad y zonas de tnel

Captulo 2: Zonas

Seleccione Layer 3 para crear una zona a la que podr asociar


interfaces en el modo NAT o Route.
Seleccione Layer 2 para crear una zona a la que pueda asociar
interfaces en modo transparente.
Seleccione Tunnel Out Zone cuando cree una zona Tunnel y la asocie a
una zona portadora, luego seleccione una zona portadora especfica en
la lista desplegable.
Block Intra-Zone Traffic: Seleccione esta opcin para bloquear el trfico
entre hosts de la misma zona de seguridad. De forma predeterminada, los
bloqueos intrazonales estn inhabilitados.

NOTA:

El nombre de una zona de seguridad de capa 2 ("Layer 2") debe comenzar con
L2-; por ejemplo, L2-Corp o L2-XNet.
CLI
set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
set zone zone block
set zone zone vrouter name_str

NOTA:

Al crear una zona de seguridad de capa 2 ("Layer 2"), el nmero de identificacin


VLAN-ID debe ser 1 (para el VLAN1).

Modificar una zona


Para modificar el nombre de una zona de seguridad o zona de tnel, o para cambiar
la zona portadora de una zona de tnel, primero debe eliminar la zona y luego
crearla de nuevo con los cambios. Puede cambiar la opcin de bloqueo intrazonal y
el enrutador virtual en una zona existente.

NOTA:

Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella.
Antes de poder cambiar el enrutador virtual por una zona, primero debe eliminar
todas las interfaces asociadas a ella.
WebUI
1.

Modificacin del nombre de una zona

Network > Zones: Haga clic en Remove (para la zona de seguridad o zona de
tnel cuyo nombre desea cambiar, o para la zona de tnel cuya zona portadora
desea cambiar).
Cuando aparezca la peticin de confirmacin para eliminar, haga clic en
Yes.
Network > Zones > New: Introduzca los ajustes de zona con sus cambios,
despus haga clic en OK.

Configuracin de zonas de seguridad y zonas de tnel 31

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2.

Cambiar la opcin de bloqueo intrazonal o el enrutador virtual

Network > Zones > Edit (para las zonas que desea modificar): Introduzca los
siguientes datos y haga clic en OK:
Virtual Router Name: En la lista desplegable, seleccione el enrutador virtual
a cuyo dominio de enrutamiento desea mover la zona.
Block Intra-Zone Traffic: Para activar, seleccione la casilla de verificacin.
Para desactivar la opcin, desactive la casilla.
CLI
1.

Modificacin del nombre de una zona

unset zone zone


set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
2.

Cambiar la opcin de bloqueo intrazonal o el enrutador virtual

{ set | unset } zone zone block


set zone zone vrouter name_str

Eliminar una zona


Para eliminar una zona de seguridad o zona de tnel, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Network > Zones: Haga clic en Remove (para la zona que desee eliminar).
Cuando aparezca la peticin de confirmacin para eliminar, haga clic en Yes.
CLI
unset zone zone
NOTA:

Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella. Para desasociar una interfaz de una zona, consulte Asociacin de
una interfaz a una zona de seguridad en la pgina 54.

Zonas de funcin
Las cinco zonas de funcin son Null, MGT, HA, Self y VLAN. Cada zona existe con un
solo propsito, segn se explica en la subseccin siguiente.

Zona Null
Esta zona sirve como almacenamiento temporal para cualquier interfaz que no est
asociada a ninguna otra zona.

Zona MGT
Esta zona contiene la interfaz de administracin de fuera de banda, MGT. Puede
establecer opciones de la pared de fuego en esta zona para proteger la interfaz de
administracin contra diversos tipos de ataques. Para obtener ms informacin
sobre opciones de la pared de fuego, consulte el Volume 4:
Attack Detection and Defense Mechanisms.
32

Zonas de funcin

Captulo 2: Zonas

Zona HA
Esta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puede
configurar interfaces para la zona HA, la zona propiamente dicha no es
configurable.

Zona de registro propio


Esta zona contiene la interfaz para las conexiones de administracin remotas.
Cuando usted se conecta al dispositivo de seguridad a travs de HTTP, SCS o Telnet,
se conecta a la zona de registro propio.

Zona VLAN
Esta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo y
terminar el trfico VPN cuando el dispositivo est en modo transparente. Tambin
puede establecer opciones de la pared de fuego en esta zona para proteger la
interfaz VLAN1 de diversos ataques.

Modos de puerto
Puede seleccionar un modo de puerto para ciertos dispositivos de seguridad de
Juniper Networks. El modo de puerto establece automticamente diversas
asociaciones de puertos, interfaces y zonas para el dispositivo.
En el contexto de modos de puertos, puerto se refiere a una interfaz fsica en la
parte posterior del dispositivo. Para hacer referencia a un puerto se utiliza su
etiqueta:

Untrusted

1-4

Console

Modem

El trmino interfaz se refiere a una interfaz lgica que se puede configurar con
WebUI o CLI. Cada puerto se puede asociar a una sola interfaz, pero a cada interfaz
se le pueden asociar mltiples puertos.

ADVERTENCIA: Cambiar el modo de puerto elimina cualquier configuracin


existente en el dispositivo de seguridad y requiere reiniciar el sistema.

La Tabla 3 muestra los modos disponibles en los dos dispositivos de seguridad. Para
visualizar las asociaciones de interfaz inalmbrica a zona, consulte Red de rea
local inalmbrica en la pgina 12 -33.

Modos de puerto

33

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Tabla 3: Disponibilidad del Modo de puerto


Modo de puerto

Disponibles en dispositivos

Trust-Untrust (Predeterminado)

NetScreen-5GT, NetScreen-5GT ADSL,


NetScreen-5GT Wireless, NetScreen-5GT Wireless
ADSL y NetScreen-5XT

Home-Work

NetScreen-5GT, NetScreen-5GT ADSL,


NetScreen-5GT Wireless, NetScreen-5GT Wireless
ADSL y NetScreen-5XT

Dual Untrust

NetScreen-5GT, NetScreen-5GT Wireless y


NetScreen-5XT

Combined

NetScreen-5GT, NetScreen-5GT Wireless y


NetScreen-5XT

Trust/Untrust/DMZ (extendido)
(Debe contar con la clave de
licencia extendida)

NetScreen-5GT, NetScreen-5GT ADSL,


NetScreen-5GT Wireless y NetScreen-5GT Wireless
ADSL

Modo DMZ/Dual Untrust


(Debe contar con la clave de
licencia extendida)

NetScreen-5GT y NetScreen-5GT Wireless

Dual DMZ
(Debe contar con la clave de
licencia extendida)

NetScreen-5GT y NetScreen-5GT Wireless

Modo Trust-Untrust
El modo Trust-Untrust es el modo de puerto predeterminado. Consulte Figura 21.
Figura 21: Enlaces de interfaz a zona del modo de puerto Trust-Untrust

Interfaces Untrust

Zona Untrust

34

Modos de puerto

Interfaz Trust

Zona Trust

Captulo 2: Zonas

La Tabla 4proporciona los enlaces de interfaz a zona del modo Trust-Untrust.


Tabla 4: Enlaces Trust-Untrust
Puerto

Interfaz

Zona

Untrusted

Untrust

Untrust

Trust

Trust

Trust

Trust

Trust

Trust

Trust

Trust

Modem

serial

Null

Modo Home-Work
El modo Home-Work asocia interfaces a la zona de seguridad Untrust y a las zonas
de seguridad Home y Work. Las zonas Work y Home permiten segregar
usuarios y recursos en cada zona. En este modo, las directivas predeterminadas
permiten el flujo de trfico y conexiones entre las zonas Work y Home pero no
permiten trfico de la zona Home a la zona Work. Es posible personalizar las
directivas que aplican al trfico transmitido de la zona Home a la zona Work.
Consulte Figura 22. De forma predeterminada, no hay ninguna restriccin para el
trfico de la zona Home a la zona Untrust. La zona Home responde a los comandos
ping.
Figura 22: Enlaces de interfaz a zona del modo de puerto Home-Work

ethernet3

Zona Untrust

ethernet1
ethernet2

Zona Home

Zona Work

La Tabla 5proporciona los enlaces de interfaz a zona del modo Home-Work.


Tabla 5: Enlaces Home-Work
Puerto

Interfaz

Zona

Untrusted

Untrust

Untrust

ethernet1

Work

ethernet1

Work

ethernet2

Home

ethernet2

Home

Mdem

ethernet3

Untrust

Consulte Zonas en los modos Home-Work y Combined Port en la


pgina 41para obtener informacin adicional sobre cmo configurar y utilizar el
modo Home-Work.
Modos de puerto

35

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Modo Dual Untrust


El modo Dual Untrust asocia dos interfaces a la zona de seguridad Untrust, que
permite al trfico atravesarse simultneamente a travs de la red interna. Consulte
Figura 23.
Figura 23: Enlaces de interfaz a zona del modo de puerto Dual Untrust

ethernet1

ethernet2

ethernet3

Zona Untrust

Zona Trust

La Tabla 6proporciona los enlaces de interfaz a zona del modo Dual Untrust.
Tabla 6: Enlaces del Modo Dual Untrust

NOTA:

Puerto

Interfaz

Zona

Untrusted

ethernet3

Untrust

ethernet1

Trust

ethernet1

Trust

ethernet1

Trust

ethernet2

Untrust

Modem

N/D

N/D

La interfaz serie no est disponible en el modo de puerto Dual Untrust.


Para habilitar la conmutacin por fallo, en lugar de entregar trfico
simultneamente, utilice el comando set failover enable.
Para obtener informacin adicional sobre cmo configurar y utilizar el modo Dual
Untrust, consulte Volumen 11: Alta disponibilidad.

36

Modos de puerto

Captulo 2: Zonas

Modo combinado
El modo combinado asocia una interfaz principal y una de respaldo a Internet y
permite la segregacin de usuarios y recursos en las zonas Work y Home. Consulte
Figura 24.
Figura 24: Enlaces de interfaz a zona del modo de puerto combinado

ethernet4

ethernet3

ethernet2
ethernet1
Zona Home

Zona Untrust

NOTA:

Zona Work

Para el dispositivo NetScreen-5XT, el modo combinado nicamente funciona en la


plataforma NetScreen-5XT Elite (usuarios sin restriccin). El modo combinado
(Combined) no se puede configurar con el asistente de configuracin inicial
(Initial Configuration Wizard). Este modo slo se puede configurar mediante
WebUI o CLI.
Tabla 7proporciona los enlaces de interfaz a zona del modo combinado.
Tabla 7: Enlaces combinados
Puerto

NOTA:

Interfaz

Zona

Untrusted

ethernet4

Untrust

ethernet1

Work

ethernet2

Home

ethernet2

Home

ethernet3

Untrust

Modem

N/D

N/D

La interfaz serie no est disponible en el modo de puerto Combined.


Para obtener ms informacin sobre cmo configurar y utilizar el modo Combined,
consulte el Volumen 11: Alta disponibilidad y Zonas en los modos Home-Work y
Combined Port en la pgina 41.

Modos de puerto

37

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Modo Trust/Untrust/DMZ (extendido)


El modo Trust/Untrust/DMZ (extendido) asocia interfaces a las zonas de seguridad
Untrust, Trust y DMZ, permitiendo segregar de la red interna los servidores internos
de web, correo electrnico y otros servidores de aplicaciones. Consulte Figura 25.
Figura 25: Enlaces de interfaz de modo de puerto extendido a zona

Serie

ethernet2

Untrust

Zona Untrust

Zona DMZ

ethernet1

Zona Trust

La Tabla 8proporciona los enlaces de interfaz de modo extendido a zona.


Tabla 8: Enlaces extendidos
Puerto

Interfaz

Zona

Untrusted

Untrust

Untrust

ethernet1

Trust

ethernet1

Trust

ethernet2

DMZ

ethernet2

DMZ

Modem

serie

Untrust

Modo DMZ/Dual Untrust


El modo DMZ/Dual Untrust asocia interfaces a las zonas de seguridad Untrust, Trust
y DMZ, permitiendo entregar trfico simultneamente desde la red interna.
Consulte Figura 26 en la pgina 38.
Figura 26: Enlaces de interfaz a zona del modo de puerto DMZ/Dual Untrust

ethernet4

Zona Untrust

38

Modos de puerto

ethernet2

ethernet3

Zona DMZ

ethernet1

Zona Trust

Captulo 2: Zonas

NOTA:

El modo DMZ/Dual Untrust nicamente funciona en las plataformas


NetScreen-5GT y NetScreen-5GT Wireless con una clave de licencia extendida.
La Tabla 9proporciona los enlaces de interfaz a zona del modo DMZ/Dual Untrust.
Tabla 9: Enlaces DMZ/Dual Untrust

NOTA:

Puerto

Interfaz

Zona

Untrusted

ethernet4

Untrust

ethernet1

Trust

ethernet1

Trust

ethernet2

DMZ

ethernet3

Untrust

Modem

N/D

N/D

La interfaz serie no est disponible en el modo de puerto DMZ/Dual Untrust. Para


habilitar la conmutacin por fallo, en lugar de entregar trfico simultneamente,
utilice el comando set failover enable.

Modo Dual DMZ


El modo Dual DMZ asocia interfaces a las zonas de seguridad Untrust, Trust, DMZ y
DMZ2, permitiendo entregar trfico simultneamente desde la red interna.
Consulte Figura 27 en la pgina 39.
Figura 27: Enlaces de interfaz a zona del modo de puerto Dual DMZ

ethernet1
ethernet4

Zona Untrust

NOTA:

Zona DMZ2

Zona DMZ

ethernet3

ethernet2

Zona Trust

El modo Dual DMZ nicamente funciona en las plataformas NetScreen-5GT y


NetScreen-5GT Wireless con una clave de licencia extendida.

Modos de puerto

39

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Tabla 10proporciona los enlaces de interfaz a zona del modo Dual DMZ.
Tabla 10: Enlaces Dual DMZ
Puerto

Interfaz

Zona

Untrusted

ethernet5

Untrust

ethernet1

Trust

ethernet2

DMZ

ethernet3

DMZ2

ethernet4

Untrust

Modem

N/D

N/D

Establecer los modos de puertos


El ajuste del modo de puerto del dispositivo de seguridad se puede modificar
mediante WebUI o CLI. Antes de establecer el modo de puerto, observe lo siguiente:

Al cambiar el modo de puerto, se elimina cualquier configuracin existente en


el dispositivo y es necesario reiniciar el sistema.

Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto del
dispositivo. Por ejemplo, si desea cambiar el modo de puerto de Combined al
modo predeterminado Trust-Untrust, ejecutar el comando unset all eliminar
la configuracin existente, pero no pondr el dispositivo en el modo
Trust-Untrust.

Ejemplo: Modo de puerto Home-Work


En este ejemplo establecer el modo de puerto del dispositivo NetScreen-5XT en
Home-Work.
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK:
Operational mode change will erase current configuration and reset the
device, continue?

CLI
exec port-mode home-work

Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa):


Change port mode from <trust-untrust> to <home-work> will erase system
configuration and reboot box
Are you sure y/[n] ?

40

Establecer los modos de puertos

Captulo 2: Zonas

Para ver el modo de puerto actual en el dispositivo, ejecute cualquiera de los


siguientes procedimientos:
WebUI
Configuration > Port Mode
CLI
get system

Zonas en los modos Home-Work y Combined Port


Pueden presentarse conflictos de seguridad cuando el teletrabajo de los empleados
y las redes domsticas se hagan ms comunes. Una red domstica utilizada tanto
por teletrabajadores como por miembros de sus familias puede crear un peligroso
agujero de seguridad para una red corporativa, por el que se introducen amenazas
(como virus o gusanos) y se permite el acceso a los recursos corporativos (como
servidores y redes), a terceros ajenos a la empresa.
Los modos de puertos Home-Work y Combined asocian las interfaces de ScreenOS
a las zonas especiales Work y Home. Esto permite la segregacin de usuarios y
recursos corporativos de los domsticos, permitiendo al mismo tiempo que los
usuarios de las zonas Home y Work puedan acceder a la zona Untrust. Consulte
Figura 28 en la pgina 41.
Figura 28: Enlaces de zona de los modos de puerto combinados y Home-Work
Home-Work

Zona Untrust

Zona Home

Zona Untrust

Zona Home

Zona Work

Combined

Zona Work

El modo de puerto Home-Work tambin asocia el puerto Modem a una interfaz


serie, que se puede asociar como interfaz de respaldo a la zona de seguridad
Untrust. Para obtener ms informacin sobre cmo utilizar la interfaz serie como
interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen 11:
Alta disponibilidad.
Zonas en los modos Home-Work y Combined Port

41

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

El modo de puertos combinados (Combined Port) tambin asocia el puerto


Ethernet 4 a la zona Untrust para hacer una copia de seguridad el puerto de
seguridad Untrust. La interfaz de respaldo solamente se utiliza cuando se produce
algn fallo en la interfaz principal a la zona Untrust. Para obtener ms informacin
sobre cmo utilizar la interfaz ethernet3 como interfaz de respaldo a la zona de
seguridad Untrust, consulte el Volumen 11: Alta disponibilidad.
De forma predeterminada, el dispositivo NetScreen-5XT acta como un servidor del
protocolo de configuracin dinmica de hosts (Dynamic Host Configuration
Protocol o DHCP), asignando direcciones IP dinmicas a los clientes DHCP en la
zona Work. (Para obtener ms informacin, consulte Asignacin de un dispositivo
de seguridad como agente de retransmisin de DHCP en la pgina 237).
Puede configurar el dispositivo utilizando una conexin de Telnet o WebUI
solamente desde la zona Work. El dispositivo no se puede configurar desde la zona
Home. No se puede utilizar ningn servicio de administracin, incluyendo el
comando ping, en la interfaz de la zona Home. La direccin IP predeterminada de
la interfaz de la zona Work (ethernet1) es 192.168.1.1/24.
Las directivas predeterminadas en los modos de puertos del Home-Work y
Combined proporcionan el siguiente control del trfico entre zonas:

Permitir todo el trfico desde la zona Work a la zona Untrust.

Permitir todo el trfico desde la zona Home a la zona Untrust.

Permitir todo el trfico desde la zona Work a la zona Home.

Bloquear todo el trfico desde la zona Home a la zona Work (esta directiva no
se puede eliminar)

Puede crear nuevas directivas para el trfico de la zona Work a la zona Untrust, de
la zona Home a la zona Untrust y de la zona Work a la zona Home. Tambin puede
eliminar las directivas predeterminadas que permiten todo el trfico desde la zona
Work a la zona Untrust, desde la zona Home a la zona Untrust y desde la zona Work
a la zona Home.

Ejemplo: Zonas Home-Work


En este ejemplo realizar el siguiente procedimiento:
1. Configurar el modo de puerto home-work.
2. Configurar una directiva que permita nicamente el trfico FTP de la zona
Home a la zona Untrust.
3. Borrar la directiva predeterminada que permite todo el trfico desde la zona
Home a la zona Untrust.
4. Desactivar la directiva ID 2, que permite el trfico de cualquier direccin de
origen a cualquier direccin de destino para cualquier servicio.

ADVERTENCIA: Cambiar el modo de puerto elimina cualquier configuracin


existente en el dispositivo y requiere reiniciar el sistema.

42

Zonas en los modos Home-Work y Combined Port

Captulo 2: Zonas

WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK:
Operational mode change will erase current configuration and reset the
device, continue?

En este momento, el sistema se reinicia. Inicie una sesin, despus ejecute el


siguiente procedimiento:
Directivas > (From: Home, To: Untrust) > New: Introduzca los siguientes datos
y haga clic en OK.
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP
Action: Permit

Policies: En la lista de directivas From Home to Untrust, haga clic en Remove


en la columna Configure para la directiva con la ID 2.
CLI
exec port-mode home-work

Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa):


Change port mode from trust-untrust to
configuration and reboot box

home-work

will erase system

Are you sure y/[n] ?


set policy from home to untrust any any ftp permit
unset policy 2
save

Zonas en los modos Home-Work y Combined Port

43

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

44

Zonas en los modos Home-Work y Combined Port

Captulo 3

Interfaces
Las interfaces y subinterfaces fsicas permiten que entre y salga trfico de una zona
de seguridad. Para permitir que el trfico de una red fluya dentro y fuera de una
zona de seguridad, sta debe tener asociada una interfaz y, si se trata de una zona
de capa 3, deber asignrsele una direccin IP. A continuacin se debern
configurar directivas para permitir que el trfico pase de interfaz en interfaz entre
las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una
misma interfaz no se puede asignar a varias zonas.
Este captulo contiene las siguientes secciones:

Tipos de interfaces en esta pgina

Visualizacin de interfaces en la pgina 52

Configuracin de interfaces de la zona de seguridad en la pgina 53

Crear una direccin IP secundaria en la pgina 59

Interfaces de bucle invertido (loopback) en la pgina 60

Cambios de estado de la interfaz en la pgina 62

Tipos de interfaces
En esta seccin se describen la zona de seguridad, la zona de funcin y las
interfaces de tnel. Para obtener ms informacin sobre cmo visualizar una tabla
de todas estas interfaces, consulte Visualizacin de interfaces en la pgina 52.

Interfaces de la zona de seguridad


La finalidad de las interfaces y subinterfaces fsicas es proporcionar una abertura
por la que el trfico de red pueda pasar de una zona a otra.

Interfaces fsicas
Cada puerto de su dispositivo de seguridad representa una interfaz fsica, estando el
nombre de la interfaz predefinido. El nombre de una interfaz fsica se compone del
tipo de medio, nmero de la ranura (en algunos dispositivos de seguridad) y
nmero de puerto, por ejemplo, ethernet3/2 o ethernet2 (consulte tambin

Tipos de interfaces

45

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Interfaces de zonas de seguridad en la pgina 3). Puede asociar una interfaz fsica
a cualquier zona de seguridad en la que acte como entrada a travs de la que el
trfico entre y salga de la zona. Sin una interfaz, ningn trfico puede entrar ni salir
de la zona.
En los dispositivos de seguridad que admiten cambios en las asociaciones
interfaz-a-zona, tres de las interfaces fsicas Ethernet estn pre-asociadas a zonas de
seguridad especficas de capa 2: V1-Trust, V1-Untrust y V1-DMZ. La interfaz que se
asocia a cada zona depende de la plataforma en cuestin. (Para obtener ms
informacin sobre zonas de seguridad, consulte Zonas de seguridad en la
pgina 2).

Subinterfaces
Una subinterfaz, como una interfaz fsica, acta como puerta por la que entra y sale
el trfico de una zona de seguridad. Una interfaz fsica se puede dividir lgicamente
en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho
de banda que necesita de la interfaz fsica de la que procede, por lo que su nombre
es una extensin del nombre de la interfaz fsica, por ejemplo, ethernet3/2.1 o
ethernet2.1. (Consulte Interfaces de zonas de seguridad en la pgina 3).
Una subinterfaz se puede asociar a cualquier zona. Una subinterfaz se puede
asociar a la misma zona que su interfaz fsica, o bien a otra zona. (Para obtener ms
informacin, consulte Asociacin de una interfaz a una zona de seguridad en la
pgina 54).

Interfaces agregadas
Los dispositivos de la serie NetScreen-5000 admiten interfaces agregadas. Una
interfaz agregada es la acumulacin de dos o ms interfaces fsicas, entre las que se
reparte equitativamente la carga de trfico dirigida a la direccin IP de la interfaz
agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda
disponible para una direccin IP determinada. Asimismo, si falla algn miembro de
una interfaz agregada, los otros miembros pueden seguir procesando trfico,
aunque con menos ancho de banda que el disponible anteriormente.

NOTA:

Para obtener ms informacin sobre interfaces agregadas, consulte Redundancia


de interfaces en la pgina 11-43.

Interfaces redundantes
Dos interfaces fsicas se pueden asociar para crear una interfaz redundante, que
entonces se puede asociar a una zona de seguridad. Una de las dos interfaces
fsicas acta como interfaz principal y gestiona todo el trfico dirigido a la interfaz
redundante. La otra interfaz fsica acta como interfaz secundaria y permanece en
estado de espera por si la interfaz activa experimenta algn fallo. En ese caso, el
trfico dirigido a la interfaz redundante se desva a la interfaz secundaria, que se
convierte en la nueva interfaz principal. El uso de interfaces redundantes
proporciona un primer frente de redundancia antes de que el fallo sea comunicado
como error al nivel de dispositivo.

NOTA:

46

Tipos de interfaces

Para obtener ms informacin sobre interfaces redundantes, consulte


Redundancia de interfaces en la pgina 11-43.

Captulo 3: Interfaces

Interfaces de seguridad virtuales


Las interfaces de seguridad virtuales (VSI) son las interfaces virtuales compartidas
por dos dispositivos de seguridad que forman un dispositivo de seguridad virtual
(VSD) cuando funcionan en el modo HA. Tanto el trfico de una red como el trfico
VPN utilizan la direccin IP y la direccin virtual MAC de un VSI. A continuacin,
VSD asigna el trfico a la interfaz, subinterfaz o interfaz redundante a la que
anteriormente haba asociado el VSI. Cuando dos dispositivos de seguridad estn
funcionando en el modo HA, es necesario asociar las interfaces de la zona de
seguridad a las que desee proporcionar un servicio ininterrumpido, por si se
produce alguna conmutacin por error en uno o ms dispositivos de seguridad
virtuales (VSD). Cuando se asocia una interfaz a un VSD, el resultado es una interfaz
de seguridad virtual (VSI).

NOTA:

Para obtener ms informacin sobre VSI y cmo funcionan con VSD en un clster
HA, consulte Volumen 11: Alta disponibilidad.

Interfaces de zonas de funcin


Las interfaces de las zonas de funcin, como la de administracin y la de HA, tienen
una finalidad especial.

Interfaces de administracin
En algunos dispositivos de seguridad, el dispositivo se puede administrar a travs
de una interfaz fsica separada (la interfaz de administracin o MGT) sacando el
trfico administrativo fuera del trfico de usuario de red habitual. Separando el
trfico administrativo del trfico de los usuarios de red se aumenta
significativamente la seguridad y se garantiza un ancho de banda de administracin
constante.
NOTA:

Para obtener ms informacin sobre cmo configurar el dispositivo para la


administracin, consulte Administration on page 3-1.

Interfaces de alta disponibilidad


La interfaz de alta disponibilidad (HA) es un puerto fsico utilizado exclusivamente
para las funciones de HA. Con dispositivos de seguridad equipados con interfaces
especializadas para HA (alta disponibilidad) se pueden asociar dos dispositivos para
formar un grupo redundante o clster. En un grupo redundante, una unidad acta
como la principal, realizando las funciones de cortafuegos de la red, VPN y
asignacin de trfico, mientras que la otra unidad acta como respaldo, esperando
a asumir el control de las funciones de cortafuegos en caso de fallar la unidad
principal. Se trata de una configuracin activa/pasiva. Tambin se pueden
configurar ambos miembros del clster para actuar mutuamente como principales
y respaldos. Esta configuracin se denomina activa/activa. Ambas configuraciones
se explican en detalle en el Volumen 11: Alta disponibilidad.
Interfaces de HA virtual
En dispositivos de seguridad carentes de una interfaz de HA especializada, una
interfaz de HA virtual proporciona la misma funcionalidad. Al no haber ningn
puerto fsico dedicado exclusivamente al trfico de HA, la interfaz de HA virtual se
debe asociar a uno de los puertos fsicos de Ethernet. Para asociar una interfaz de

Tipos de interfaces

47

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

red a la zona de HA se utiliza el mismo procedimiento que para asociar una interfaz
de red a una zona de seguridad (consulte Asociacin de una interfaz a una zona de
seguridad en la pgina 54).
NOTA:

Para obtener ms informacin sobre interfaces de HA, consulte Interfaces de alta


disponibilidad dobles en la pgina 11-28.

Interfaces de tnel
Una interfaz de tnel acta como entrada a un tnel VPN. El trfico entra y sale por
el tnel VPN a travs de una interfaz de tnel.
Cuando se asocia una interfaz de tnel a un tnel VPN, se puede establecer una
referencia a esa interfaz de tnel en una ruta hacia un destino determinado y
despus hacer referencia a ese destino en una o ms directivas. Este mtodo
permite un control muy detallado del flujo de trfico a travs del tnel. Tambin
permite el enrutamiento dinmico para el trfico VPN. Cuando no hay ninguna
interfaz de tnel asociada a un tnel VPN, se debe especificar el tnel mismo en la
directiva y elegir tunnel como accin. Dado que la accin tunnel lleva implcito un
permiso, no se puede rechazar especficamente el trfico procedente de un tnel
VPN.
Se puede aplicar NAT basada en directivas al trfico entrante o saliente usando un
conjunto de direcciones IP dinmicas (DIP) en la misma subred que la interfaz de
tnel. Un motivo tpico para utilizar NAT basada en directivas en una interfaz de
tnel es evitar conflictos de direcciones IP entre los sitios de ambos extremos de un
tnel VPN.
Un tnel VPN basado en rutas debe asociarse a una interfaz de tnel para que el
dispositivo de seguridad pueda enrutar el trfico entrante y saliente. Un tnel VPN
basado en rutas se puede asociar a una interfaz de tnel numerada (con direccin
IP y mscara de red) o no numerada (sin direccin IP y mscara de red). Si la
interfaz de tnel no est numerada, debe especificar una interfaz que preste a la
interfaz de tnel una direccin IP. El dispositivo de seguridad solamente utiliza la
direccin IP prestada como direccin de origen cuando el dispositivo de seguridad
mismo genera trfico (como el de los mensajes OSPF) a travs del tnel. La interfaz
de tnel puede tomar prestada la direccin IP de otra interfaz en la misma zona de
seguridad, o bien de una interfaz en otra zona, siempre que ambas zonas se
encuentren en el mismo dominio de enrutamiento.
Se puede alcanzar un control muy fiable del enrutamiento del trfico VPN
asociando todas las interfaces de tnel no numeradas a una zona, que se encuentra
en su propio dominio de enrutamiento virtual, y tomando la direccin IP de una
interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociar todas
las interfaces de tnel no numeradas a una zona definida por el usuario llamada
VPN y configurarlas para que tomen su direccin IP de la interfaz loopback.1,
tambin asociada a la zona VPN. La zona VPN se encuentra en un dominio de
enrutamiento definido por el usuario llamado vpn-vr. Usted pondr todas las
direcciones de destino a las que conducen los tneles en la zona VPN. Sus rutas a
estas direcciones apuntan a las interfaces de tnel, y sus directivas controlan el
trfico VPN entre otras zonas y la zona VPN. Consulte Figura 29 en la pgina 49.

48

Tipos de interfaces

Captulo 3: Interfaces

Figura 29: Asociaciones de interfaz de tnel sin numerar


set vrouter name vpn-vr
set zone name vpn vrouter vpn-vr
set interface loopback.1 zone vpn
set interface loopback.1 ip 172.16.1.1/24
set interface tunnel.1 zone vpn
set interface tunnel.1 ip unnumbered loopback.1
Configure las direcciones para src-1 y dst-1.
Configure un tnel VPN y ascielo a tunnel.1.

ethernet3
1.1.1.1/24

ethernet1
10.1.1.1/24
Zona Trust

trust-vr

Zona Untrust
externos
enrutador
1.1.1.250

src- 10.1.1.5

set vrouter trust-vr route 10.2.2.5/32 vrouter vpn-vr


set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
gateway 1.1.1.250
set vrouter vpn-vr route 10.2.2.5 interface tunnel.1
set policy from trust to vpn scr-1 dst-1 any permit
El dispositivo de seguridad enva el trfico destinado a 10.2.2.5/32 del
trust-vr al vpn-vr. Si tunnel.1 se inhabilita por cualquier causa, el
dispositivo descarta el paquete. Dado que la ruta predeterminada (a
0.0.0.0/0) solamente se encuentra en trust-vr, el dispositivo no intenta
enviar el paquete en texto puro sin formato a travs de ethernet3.

loopback.1
tunnel.1 sin 172.16.1.1/24
numerar
Zona VPN

dst-1
10.2.2.5

vpn-vr

Poner todas las interfaces de tnel en una zona de estas caractersticas es muy
seguro porque no hay posibilidad de que, por un fallo de la VPN (que provocara la
desactivacin de la ruta hacia la interfaz de tnel asociada), el trfico destinado al
tnel sea desviado hacia una ruta sin tnel, como la ruta predeterminada. (Para ver
varias sugerencias sobre cmo evitar este problema, consulte Consideraciones
sobre seguridad en redes privadas virtuales basadas en rutas en la pgina 5-72).
Tambin puede asociar una interfaz de tnel a una zona de tnel. En tal caso, debe
tener una direccin IP. La finalidad de asociar una interfaz de tnel a una zona de
tnel es que los servicios de NAT estn disponibles para los tneles VPN basados en
directivas. Consulte la Figura 30 en la pgina 50.

NOTA:

Los servicios de traduccin de direcciones de red (NAT) incluyen conjuntos de


direcciones IP dinmicas (DIP) y direcciones IP asignadas (MIP) definidas en la
misma subred que una interfaz.

Tipos de interfaces

49

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 30: Enlaces de interfaz de tnel a zona


Interfaces
de tnel

Numerado o
No numerado

Zona de seguridad
Interfaces
Tnel VPN

Zona

Cuando una interfaz de tnel se encuentra en una zona de seguridad, debe asociarse un tnel
VPN a la interfaz de tnel. Esto permite crear una configuracin de VPN basada en rutas. La
interfaz de tnel puede estar numerada o no numerada. Si no est numerada, la interfaz de tnel
toma prestada la direccin IP de la interfaz predeterminada de la zona de seguridad en la que fue
creada.
Nota: Slo una interfaz de tnel con una direccin IP y una mscara de red puede admitir NAT
basada en directivas.

Seguridad
Numerada

Tnel VPN

Zona

Numerada

Tnel
Zona

Tnel VPN

Cuando una interfaz de tnel numerada se encuentra en una zona de seguridad y es la nica
interfaz en esa zona, no es necesario crear una interfaz de zona de seguridad. En este caso, la
zona de seguridad admite trfico de VPN a travs de la interfaz de tnel, pero ningn otro tipo de
trfico.

Cuando una interfaz de tnel est asociada a una zona de tnel, la interfaz de tnel debe tener
una direccin IP y una mscara de red. Esto permite definir conjuntos de DIP y direcciones MIP
en esa interfaz. Si usted asocia un tnel VPN a una zona de tnel, no puede asociarlo tambin a
una interfaz de tnel. En tales casos, debe crear una configuracin de VPN basada en directivas.

Conceptualmente, los tneles VPN pueden imaginarse como tuberas tendidas.


Abarcan desde el dispositivo local hasta las puertas de enlace remotas, siendo las
interfaces de tnel los orificios en los extremos de esas tuberas. Las tuberas
siempre estn disponibles, listas para cuando el motor de enrutamiento enve
trfico a una de sus interfaces.
Generalmente, se asigna una direccin IP a una interfaz de tnel cuando se desea
que sta admita uno o ms conjuntos de direcciones IP dinmicas (DIP) para la
traduccin de direcciones de origen (NAT-src) y conjuntos de direcciones IP
asignadas (MIP) para la traduccin de direcciones de destino (NAT-dst). Para obtener
ms informacin sobre VPN y la traduccin de direcciones, consulte Sitios VPN
con direcciones superpuestas en la pgina 5-141). Puede crear una interfaz de
tnel con una direccin IP y una mscara de red ya sea en una zona de seguridad o
de tnel.
Si la interfaz de tnel no necesita trabajar con traduccin de direcciones y su
configuracin no requiere que la interfaz de tnel est asociada a una zona de tnel,
puede especificar la interfaz como no numerada. Una interfaz de tnel no
numerada debe asociarse a una zona de seguridad; no se puede asociar a una zona
de tnel. Tambin debe especificar una interfaz con una direccin IP que
pertenezca al mismo dominio de enrutamiento virtual que la zona de seguridad a la
que est asociada la interfaz no numerada. La interfaz de tnel no numerada toma
prestada la direccin IP de esa interfaz.

NOTA:

Para ver cmo asociar una interfaz de tnel a un tnel, consulte los ejemplos de
VPN basada en rutas en Redes privadas virtuales de punto a punto en la
pgina 5-81 y Redes privadas virtuales de acceso telefnico en la pgina 5-159.
Si est transmitiendo paquetes multicast a travs de un tnel VPN, puede habilitar
la encapsulacin de enrutamiento genrica (Generic Routing Encapsulation o
GRE) en las interfaces de tnel para encapsular los paquetes multicast en paquetes

50

Tipos de interfaces

Captulo 3: Interfaces

unicast. Los dispositivos de seguridad de Juniper Networks admiten GREv1 para


encapsular paquetes IP en paquetes unicast IPv4. Para obtener ms informacin
sobre GRE, consulte Configurar el encapsulado genrico de enrutamiento en
interfaces de tnel en la pgina 7-141.

Eliminar interfaces de tnel


No se puede eliminar inmediatamente una interfaz de tnel que contenga
direcciones IP asignadas (MIP) o conjuntos de direcciones IP dinmicas (DIP). Antes
de eliminar una interfaz de tnel que contenga cualquiera de estas caractersticas,
primero debe eliminar cualquier directiva que contenga referencias a ellas. A
continuacin debe eliminar las MIP y los conjuntos de DIP en la interfaz de tnel.
Asimismo, si una configuracin de VPN basada en rutas contiene referencias a una
interfaz de tnel, antes de poder eliminar la interfaz de tnel, debe eliminar la
configuracin de VPN.
En este ejemplo, la interfaz de tnel tunnel.2 est vinculada al conjunto de DIP 8.
Existen referencias al conjunto de DIP 8 en una directiva (ID 10) para el trfico VPN
procedente de la zona Trust y destinado a la zona Untrust a travs de un tnel VPN
llamado vpn1. Para eliminar la interfaz de tnel, primero debe eliminar la directiva
(o eliminar las referencias al conjunto de DIP 8 de la directiva) y a continuacin el
conjunto de DIP. Despus debe desasociar tunnel.2 de vpn1. Despus de eliminar
todas las configuraciones que dependen de la interfaz de tnel, puede eliminar sta.
WebUI
1.

Eliminar la directiva 10, con referencias al conjunto de DIP 8

Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva con ID
10.
2.

Eliminar el conjunto de DIP 8, vinculado a tunnel.2

Network > Interfaces > Edit (para tunnel.2) > DIP: Haga clic en Remove para
la DIP con ID 8.
3.

Desasociar tunnel.2 de vpn1

VPN > AutoKey IKE > Edit (para vpn1) > Advanced: Seleccione None en la
lista desplegable Bind to: Tunnel Interface, haga clic en Return y despus en
OK.
4.

Eliminar tunnel.2

Network > Interfaces: Haga clic en Remove para tunnel.2.


CLI
1.

Eliminar la directiva 10, con referencias al conjunto de DIP 8

unset policy 10
2.

Eliminar el conjunto de DIP 8, vinculado a tunnel.2

unset interface tunnel.2 dip 8


3.

Desasociar tunnel.2 de vpn1

unset vpn vpn1 bind interface


4.

Eliminar tunnel.2

unset interface tunnel.2


save

Tipos de interfaces

51

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Visualizacin de interfaces
Puede visualizar una tabla que muestre todas las interfaces existentes en su
dispositivo de seguridad. Al estar predefinidas, las interfaces fsicas aparecen en la
lista tanto si se configuran como si no. Las subinterfaces e interfaces de tnel
solamente aparecen despus de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces.
Puede especificar los tipos de interfaces a mostrar en la lista desplegable List
Interfaces.
Para ver la tabla de interfaces en CLI, utilice el comando get interface.
La tabla de interfaces muestra la informacin siguiente sobre cada interfaz:

Name: Este campo identifica el nombre de la interfaz.

IP/Netmask: Este campo identifica la direccin IP y la direccin de la mscara


de red de la interfaz.

Zone: Este campo identifica las zonas a las que est asociada la interfaz.

Type: Este campo indica el tipo de interfaz: capa 2 (Layer 2), capa 3 (Layer
3), tnel (tunnel), redundante (redundant), agregada (aggregate), VSI.

Link: Este campo identifica si la interfaz est activa (up) o inactiva (down).

Configure: Este campo permite modificar o eliminar interfaces.

Figura 31: Tabla de interfaces de WebUI

52

Visualizacin de interfaces

Captulo 3: Interfaces

Figura 32: Tabla de interfaces de CLI

Configuracin de interfaces de la zona de seguridad


Esta seccin describe cmo configurar los siguientes aspectos de las interfaces de la
zona de seguridad:

NOTA:

Asociar y separar una interfaz a una zona de seguridad

Asignar una direccin a una interfaz de la zona de seguridad de capa 3 (Layer


3 o L3)

Modificar interfaces y subinterfaces fsicas

Crear subinterfaces

Eliminar subinterfaces

Para obtener ms informacin sobre cmo establecer el ancho de banda para el


trfico de una interfaz, consulte Asignacin de trfico en la pgina 197. Para
obtener ms informacin sobre las opciones de administracin y otras opciones
de servicios disponibles para cada interfaz, consulte Controlling Administrative
Traffic on page 3-25.

Configuracin de interfaces de la zona de seguridad

53

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Asociacin de una interfaz a una zona de seguridad


Cualquier interfaz fsica se puede asociar ya sea a una zona de seguridad L2 o L3.
Una subinterfaz slo se puede asociar a una zona de seguridad L3, porque las
subinterfaces requieren una direccin IP. Solamente se puede asignar una direccin
IP a una interfaz despus de haberla asociado a una zona de seguridad L3.
En este ejemplo asociar ethernet5 a la zona Trust.
WebUI
Network > Interfaces > Edit (para ethernet5): Seleccione Trust en la lista
desplegable Zone Name, luego haga clic en OK.
CLI
set interface ethernet5 zone trust
save

Separar una interfaz de una zona de seguridad


Si una interfaz no est numerada, puede separarla de una zona de seguridad y
asociarla a otra. Si una interfaz est numerada, primero debe establecer su
direccin IP y mscara de red en 0.0.0.0. A continuacin, puede desasociarla de
una zona de seguridad y asociarla a otra, y (opcionalmente) reasignarle una
direccin IP y mscara de red.
En este ejemplo, ethernet3 tiene la direccin IP 210.1.1.1/24 y est asociada a la
zona Untrust. Establecer su direccin IP y mscara de red en 0.0.0.0/0 y la
asociar a la zona Null.
WebUI
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0

CLI
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone null
save

Direccionar una interfaz de la zona de seguridad L3


Al definir una interfaz o subinterfaz de la zona de seguridad de capa 3 (Layer 3 o
L3), debe asignarle una direccin IP y una mscara de red. Si se asocia la interfaz
a una zona en trust-vr, tambin se puede especificar el modo de la interfaz como
NAT o Route. (Si la zona a la que se asocia la interfaz se encuentra en untrust-vr, la
interfaz siempre estar en el modo de ruta).

NOTA:

54

Para ver ejemplos de configuracin de los modos NAT y Route, consulte el Modos
de las interfaces en la pgina 81.

Configuracin de interfaces de la zona de seguridad

Captulo 3: Interfaces

Los dos tipos bsicos de direcciones IP que pueden considerarse para asignar
direcciones de interfaces son:

NOTA:

Direcciones pblicas, proporcionadas por los proveedores de servicios de


Internet (ISP) para su utilizacin en una red pblica como Internet y que deben
ser nicas

Direcciones privadas, que un administrador de red local asigna para su


utilizacin en una red privada y que pueden ser asignadas por otros
administradores para su utilizacin tambin en otras redes privadas

Cuando se agrega una direccin IP a una interfaz, el dispositivo de seguridad


comprueba mediante una peticin de ARP si la direccin IP no existe ya en la red
local. (El enlace fsico debe estar activo en ese momento). Si la direccin IP ya
existe, se genera un aviso.

Direcciones IP pblicas
Si una interfaz se conecta a una red pblica, debe tener una direccin IP pblica.
Asimismo, si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y
las interfaces de las zonas en trust-vr estn en modo de ruta, todas las direcciones
de las zonas en trust-vr (para las interfaces y para los hosts) tambin deben ser
direcciones pblicas. Las direcciones IP pblicas se dividen en tres clases: A, B, y C,
segn se muestra en la Tabla 11.
Tabla 11: Rangos de direcciones pblicas
Clase de direccin Rango de direcciones

Rango de direcciones excluidas

0.0.0.0 127.255.255.255

10.0.0.0 10.255.255.255, 127.0.0.0 127.255.255.255

128.0.0.0 191.255.255.255

172.16.0.0 172.31.255.255

192.0.0.0 223.255.255.255

192.168.0.0 192.168.255.255

NOTA:

Tambin existen direcciones de las clases D y E, reservadas para fines especiales.


Una direccin IP se compone de cuatro octetos, cada uno compuesto por 8 bits. En
una direccin de clase A, los primeros 8 bits indican la identificacin de la red y los
24 bits finales indican la identificacin del host (nnn.hhh.hhh.hhh). En una
direccin de clase B, los primeros 16 bits indican la identificacin de la red y los 16
bits finales indican la identificacin del host (nnn.nnn.hhh.hhh). En una direccin
de clase C, los primeros 24 bits indican la identificacin de la red y los 8 bits finales
indican la identificacin del host (nnn.nnn.nnn.hhh).
Aplicando mscaras de subred (o mscaras de red), las redes se pueden subdividir
ms an. En esencia, una mscara de red enmascara parte de la identificacin del
host, convirtiendo la parte enmascarada en una subred de la identificacin de la
red. Por ejemplo, la mscara de 24 bits de la direccin 10.2.3.4/24 indica que los
primeros 8 bits (es decir, el primer octeto, 010) identifican la porcin de la red de
esta direccin privada de clase A, los 16 bits siguientes (es decir, los octetos
segundo y tercero, 002.003) identifican la porcin de subred de la direccin y los
ltimos 8 bits (el ltimo octeto, 004) identifican la porcin de host de la direccin.
Utilizando subredes para reducir los espacios de direcciones de grandes redes en
subdivisiones ms pequeas, aumenta significativamente la eficacia en la entrega
de datagramas IP.
Configuracin de interfaces de la zona de seguridad

55

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

El equivalente decimal con puntos de una mscara de 24 bits es 255.255.255.0.

Direcciones IP privadas
Si una interfaz se conecta a una red privada, un administrador de la red local puede
asignarle cualquier direccin, aunque segn la convencin se suele utilizar una
direccin del rango de direcciones reservado para uso privado (10.0.0.0/8,
172.16.0.0 172.31.255.255, 192.168.0.0/16) segn se define en RFC 1918,
Address Allocation for Private Internets.
Si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y las
interfaces asociadas a las zonas en trust-vr estn en el modo NAT, todas las
direcciones de las zonas en trust-vr (para interfaces y para hosts) pueden ser
privadas.

Direccionar una interfaz


En este ejemplo asignar a ethernet5 la direccin IP 210.1.1.1/24 y le dar la
direccin IP de administracin 210.1.1.5. (Recuerde que la direccin IP de
administracin debe encontrarse en la misma subred que la direccin IP de la
interfaz de la zona de seguridad). Por ltimo, pondr la interfaz en modo NAT, que
traduce todas las direcciones IP internas a las interfaces predeterminadas asociadas
a las otras zonas de seguridad.

NOTA:

La interfaz predeterminada en una zona de seguridad es la primera interfaz


asociada a la zona. Para averiguar cul es la interfaz predeterminada de una zona,
consulte la columna Default IF en la pgina Network > Zones de WebUI, o la
columna Default-If en el resultado del comando CLI get zone.
WebUI
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 210.1.1.1/24
Manage IP: 210.1.1.5

CLI
set interface ethernet5 ip 210.1.1.1/24
set interface ethernet5 manage-ip 210.1.1.5
save

Modificar los ajustes de la interfaz


Una vez haya configurado una interfaz fsica, una subinterfaz, una interfaz
redundante, una interfaz agregada o una interfaz de seguridad virtual (VSI), puede
cambiar posteriormente cualquiera de los ajustes siguientes si surge la necesidad:

56

Direccin IP y mscara de red.

Administrar la direccin IP.

(Interfaces de la zona L3) Servicios de administracin y de red.

Configuracin de interfaces de la zona de seguridad

Captulo 3: Interfaces

(Subinterfaz) Nmero de identificacin de la subinterfaz y nmero de etiqueta


VLAN.

(Interfaces asociadas a las zonas de seguridad L3 en el trust-vr) Modo de la


interfaz: NAT o Route.

(Interfaz fsica) Ajustes del ancho de banda del trfico (consulte Asignacin de
trfico en la pgina 197).

(Interfaces fsicas, redundantes y agregadas) Tamao de la unidad de


transmisin mxima (MTU).

(Interfaces L3) Impedir que el trfico entre y salga por la misma interfaz,
incluyendo el trfico entre una subred principal y una secundaria o entre
subredes secundarias (esto se realiza mediante el comando CLI set interface
con la opcin route-deny).

En las interfaces fsicas de algunos dispositivos de seguridad se puede forzar el


estado fsico del vnculo como activo (up) o inactivo (down). Forzando el estado
fsico del vnculo como inactivo, se puede simular una desconexin del cable del
puerto de la interfaz. (Esto se consigue mediante el comando CLI set interface con
la opcin phy link-down).
En este ejemplo har algunas modificaciones a ethernet1, una interfaz asociada a la
zona Trust. Cambiar la direccin IP de administracin de 10.1.1.2 a 10.1.1.12.
Para aumentar el nivel de seguridad del trfico administrativo, tambin cambiar
las opciones de los servicios de administracin, habilitando SCS y SSL y
desactivando Telnet y WebUI.
WebUI
Network > Interfaces > Edit (para ethernet1): Realice las modificaciones
siguientes; a continuacin, haga clic en OK:
Manage IP: 10.1.1.12
Management Services: (seleccione) SSH, SSL; (borre) Telnet, WebUI

CLI
set interface ethernet1 manage-ip 10.1.1.12
set interface ethernet1 manage ssh
set interface ethernet1 manage ssl
unset interface ethernet1 manage telnet
unset interface ethernet1 manage web
save

Crear una subinterfaz en el sistema raz


Puede crear una subinterfaz en cualquier interfaz fsica del sistema raz o sistema
virtual. Una subinterfaz hace uso del etiquetado de VLAN para distinguir el trfico
asociado a ella del trfico asociado a otras interfaces. Observe que aunque una
subinterfaz tiene su origen en una interfaz fsica, de la cual toma prestado el ancho
de banda que necesita, una subinterfaz se puede asociar a cualquier zona, no
necesariamente la misma a la que est asociada su interfaz padre. Adems, la
direccin IP de una subinterfaz debe encontrarse en una subred diferente que las
direcciones IP de todas las dems interfaces y subinterfaces fsicas.

Configuracin de interfaces de la zona de seguridad

57

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

Tambin puede configurar subinterfaces en interfaces redundantes y VSI. Para ver


un ejemplo que contenga la configuracin de una subinterfaz en una interfaz
redundante, consulte Conmutacin por error del sistema virtual en la
pgina 11-93.
En este ejemplo crear una subinterfaz para la zona Trust en el sistema raz.
Configurar la subinterfaz en ethernet1, que est asociada a la zona Trust. Asociar
la subinterfaz a una zona definida por el usuario llamada accounting, que se
encuentra en el trust-vr. Le asignar la identificacin de subinterfaz 3, direccin IP
10.2.1.1/24 e identificacin 3 de etiqueta VLAN. El modo de la interfaz es NAT.
WebUI
Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet1.3
Zone Name: accounting
IP Address/Netmask: 10.2.1.1/24
VLAN Tag: 3

CLI
set interface ethernet1.3 zone accounting
set interface ethernet1.3 ip 10.2.1.1/24 tag 3
save

Eliminar una subinterfaz


No se puede eliminar inmediatamente una subinterfaz que contenga direcciones IP
asignadas (MIP), direcciones IP virtuales (VIP) o conjuntos de direcciones IP
dinmicas (DIP). Antes de eliminar una subinterfaz que contenga cualquiera de
estas caractersticas, primero debe eliminar todas las directivas o puertas de enlace
IKE que contengan referencias a ellas. Seguidamente, deber eliminar las MIP, VIP y
los conjuntos de DIP de la subinterfaz.
En este ejemplo eliminar la subinterfaz ethernet1:1.
WebUI
Network > Interfaces: Haga clic en Remove para ethernet1:1.
Un mensaje del sistema le pedir que confirme la eliminacin.
Haga clic en Yes para eliminar la subinterfaz.
CLI
unset interface ethernet1:1
save

58

Configuracin de interfaces de la zona de seguridad

Captulo 3: Interfaces

Crear una direccin IP secundaria


Cada interfaz de ScreenOS tiene una sola direccin IP nica y principal . Sin
embargo, algunas situaciones exigen que una interfaz tenga varias direcciones IP.
Por ejemplo, una organizacin puede tener asignaciones de direcciones IP
adicionales y puede no desear agregar un enrutador para gestionarlas. Adems, una
organizacin puede tener ms dispositivos de red de los que su subred puede
manejar, como cuando hay ms de 254 hosts conectados a una LAN. Para
solucionar tales problemas, puede agregar direcciones IP secundarias a una interfaz
en la zona Trust, DMZ o definida por el usuario.

NOTA:

No se pueden crear direcciones IP secundarias mltiples para interfaces en la zona


Untrust.
Las direcciones secundarias tienen ciertas propiedades que afectan a cmo se
pueden implementar tales direcciones. Estas propiedades son las siguientes:

Entre dos direcciones IP secundarias cualesquiera no puede haber


superposiciones en las direcciones de subred. Tampoco puede haber
superposiciones en las direcciones de subred entre una IP secundaria y
cualquier subred existente en el dispositivo de seguridad.

Cuando se administra un dispositivo de seguridad a travs de una direccin IP


secundaria, la direccin siempre tiene las mismas propiedades de
administracin que la direccin IP principal. Por lo tanto, no se puede
especificar una configuracin de administracin separada para la direccin IP
secundaria.

Tampoco se puede configurar una puerta de enlace para una direccin IP


secundaria.

Siempre que se cree una nueva direccin IP secundaria, el dispositivo de


seguridad crear automticamente la correspondiente entrada en la tabla de
enrutamiento. Cuando se elimina una direccin IP secundaria, el dispositivo
elimina automticamente la entrada correspondiente en la tabla de
enrutamiento.

Habilitar o inhabilitar el enrutamiento entre dos direcciones IP secundarias no


causa ningn cambio en la tabla de enrutamiento. Por ejemplo, si inhabilita el
enrutamiento entre dos direcciones de ese tipo, el dispositivo de seguridad descarta
cualquier paquete dirigido de una interfaz a otra, pero no se producir ningn
cambio en la tabla de enrutamiento.
En este ejemplo configurar una direccin IP secundaria (192.168.2.1/24) para
ethernet1, una interfaz con la direccin IP 10.1.1.1/24 asociada a la zona Trust.
WebUI
Network > Interfaces > Edit (para ethernet1) > Secondary IP: Introduzca los
siguientes datos y haga clic en Add:
IP Address/Netmask: 192.168.2.1/24

CLI
set interface ethernet1 ip 192.168.2.1/24 secondary
save
Crear una direccin IP secundaria 59

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Interfaces de bucle invertido (loopback)


Una interfaz de bucle invertido es una interfaz lgica que emula una interfaz fsica
en el dispositivo de seguridad. Sin embargo, a diferencia de una interfaz fsica, una
interfaz de bucle invertido est siempre en estado activo mientras el dispositivo en
el que reside est activo. Las interfaces de bucle invertido se denominan
loopback.id_num, en donde id_num es un nmero superior o igual a 1 y denota una
interfaz de bucle invertido nica en el dispositivo. Como en una interfaz fsica, se
debe asignar una direccin IP a una interfaz de bucle invertido y asociarla a una
zona de seguridad.

NOTA:

El valor mximo de id_num que se puede especificar depende de cada


plataforma.
Despus de definir una interfaz de bucle invertido, puede definir otras interfaces
como miembros de su grupo. El trfico puede alcanzar una interfaz de bucle
invertido si llega a travs de una de las interfaces de su grupo. Cualquier tipo de
interfaz puede ser miembro de un grupo de interfaces de bucle invertido: interfaz
fsica, subinterfaz, interfaz de tnel, interfaz redundante o VSI.
Despus de crear una interfaz de bucle invertido, puede utilizarla en muchas de las
maneras de una interfaz fsica:

NOTA:

Ajustar la interfaz de bucle invertido para Administracin en la pgina 61

Ajustar BGP en una interfaz de bucle invertido en la pgina 61

Ajustar VSI en una interfaz de bucle invertido en la pgina 62

Ajustar la interfaz de bucle invertido como interfaz de origen en la pgina 62

No se puede asociar una interfaz de bucle invertido a una zona HA ni configurar


una interfaz de bucle invertido para el funcionamiento de la capa 2, ni como
interfaz redundante/agregada. En interfaces de bucle invertido no se pueden
configurar las siguientes caractersticas: NTP, DNS, VIP, IP secundaria, seguimiento
de IP o WebAuth.
Puede definir una MIP en una interfaz de bucle invertido. Esto permite que la MIP
sea accesible por un grupo de interfaces; esta capacidad es exclusiva de las
interfaces de bucle invertido. Para obtener ms informacin sobre cmo usar la
interfaz de bucle invertido con MIP, consulte MIP y la interfaz de bucle invertido
(loopback) en la pgina 8-75.
Puede administrar el dispositivo de seguridad utilizando la direccin IP de una
interfaz de bucle invertido o la direccin IP de administracin asignada a una
interfaz de bucle invertido.

Crear una interfaz de bucle invertido


En el ejemplo siguiente crear la interfaz loopback.1, la asociar a la zona Untrust y
le asignar la direccin IP 1.1.1.27/24.

60

Interfaces de bucle invertido (loopback)

Captulo 3: Interfaces

WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zona: Untrust (seleccione)
IP Address/Netmask: 1.1.1.27./24

CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
save
NOTA:

La interfaz de bucle invertido no es directamente accesible desde redes o hosts


que residen en otras zonas. Debe definir una directiva para permitir trfico desde
y hacia la interfaz.

Ajustar la interfaz de bucle invertido para Administracin


En el ejemplo siguiente configurar la interfaz loopback.1, definida anteriormente,
como interfaz de administracin para el dispositivo.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de
administracin; a continuacin, haga clic en OK.
CLI
set interface loopback.1 manage
save

Ajustar BGP en una interfaz de bucle invertido


La interfaz de bucle invertido admite el protocolo de enrutamiento dinmico BGP
en el dispositivo de seguridad. En el ejemplo siguiente habilitar BGP en la interfaz
loopback.1.

NOTA:

Para habilitar BGP en la interfaz loopback, primero debe crear una instancia de
BGP para el enrutador virtual al que planea asociar la interfaz. Para obtener ms
informacin sobre cmo configurar BGP en dispositivos de seguridad de Juniper
Networks, consulte Volumen 7: Enrutamiento.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP; a
continuacin, haga clic en OK.
CLI
set interface loopback.1 protocol bgp
save

Interfaces de bucle invertido (loopback)

61

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ajustar VSI en una interfaz de bucle invertido


Puede configurar las interfaces de seguridad virtuales (VSI) para NSRP en una
interfaz de bucle invertido. El estado fsico del VSI en la interfaz de bucle invertido
est siempre activo. La interfaz puede ser activa o no, dependiendo del estado del
grupo VSD al que pertenece.
WebUI
Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: VSI Base: loopback.1
Grupo VSD: 1
IP Address/Netmask: 1.1.1.1/24

CLI
set interface loopback.1:1 ip 1.1.1.1/24
save

Ajustar la interfaz de bucle invertido como interfaz de origen


Puede utilizar una interfaz de bucle invertido como interfaz de origen para
determinado trfico originado en el dispositivo de seguridad. (Cuando se define una
interfaz de origen para una aplicacin, se utiliza la direccin de la interfaz de origen
especificada en lugar de la direccin de la interfaz saliente para comunicarse con un
dispositivo externo). En el ejemplo siguiente especificar que el dispositivo de
seguridad utilice la interfaz anteriormente definida loopback.1 para enviar paquetes
de syslog.
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y
haga clic en Apply:
Enable Syslog Messages: (seleccione)
Source interface: loopback.1 (seleccione)
Syslog Servers:
No.: 1 (seleccione)
IP/Hostname: 10.1.1.1
Traffic Log: (seleccione)
Event Log: (seleccione)

CLI
set syslog config 10.1.1.1 log all
set syslog src-interface loopback.1
set syslog enable
save

Cambios de estado de la interfaz


Una interfaz puede estar en uno de los estados siguientes:

62

Cambios de estado de la interfaz

Fsicamente activa:Para interfaces Ethernet fsicas que operan en la capa 2


(modo transparente) o en la capa 3 (modo de ruta) en el modelo de
interconexin de sistemas abiertos (Open Systems Interconnection u OSI). Una
interfaz est fsicamente activa cuando est cableada a otro dispositivo de red y
puede establecer un enlace a ese dispositivo.

Captulo 3: Interfaces

Lgicamente activas: Tanto para interfaces fsicas como para interfaces lgicas
(subinterfaces, interfaces redundantes e interfaces agregadas). Una interfaz
est lgicamente activa cuando el trfico que la atraviesa puede alcanzar los
dispositivos especificados (en las direcciones IP supervisadas) de una red.

Fsicamente inactivas: Una interfaz est fsicamente inactiva cuando no est


cableada a otro dispositivo de la red o cuando, an estando cableada, no puede
establecer un enlace. Tambin puede forzar que una interfaz est fsicamente
inactiva ejecutando el comando CLI siguiente: set interface interface phy
link-down.

Lgicamente inactiva: Una interfaz est lgicamente inactiva cuando el trfico


que la atraviesa no puede alcanzar los dispositivos especificados (en las
direcciones IP que estn sujetas a seguimiento) de una red.

El estado fsico de una interfaz tiene prioridad sobre su estado lgico. Una interfaz
puede estar fsicamente activa y, al mismo tiempo, lgicamente activa o inactiva.
Cuando una interfaz est fsicamente inactiva, su estado lgico es irrelevante.
Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz
permanecen activas y utilizables. Cuando el estado de una interfaz es inactivo, el
dispositivo de seguridad desactiva todas las rutas que utilizan esa interfaz aunque,
dependiendo de si la interfaz est fsicamente o lgicamente inactiva, el trfico
podra seguir atravesando una interfaz en estado inactivo (consulte Interfaces
inactivas y flujo de trfico en la pgina 75). Para compensar la prdida de rutas
que implica la prdida de una interfaz, puede configurar rutas alternativas
utilizando una interfaz alternativa.
Dependiendo de la accin configurada para ejecutarse al detectar un cambio de
estado en una interfaz supervisada, el cambio del estado activo al inactivo en una
interfaz supervisada puede hacer que la interfaz supervisora cambie su estado de
inactivo a activo. Para configurar este comportamiento, puede utilizar el siguiente
comando CLI:
set interface interface monitor threshold number action up { logically | physically }

Al introducir este comando, el dispositivo de seguridad fuerza automticamente la


interfaz supervisora al estado inactivo. Si el objeto supervisado (direccin IP,
interfaz o zona supervisada) falla, el estado de la interfaz supervisora se activa
(lgica o fsicamente, dependiendo de su configuracin).
Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos
siguientes. Consulte la Figura 33 en la pgina 64. Cada uno de estos eventos,
individual o combinado, puede provocar que el estado de la interfaz supervisora
cambie de activo a inactivo o viceversa:

Desconexin/reconexin fsica

Fallo/xito del seguimiento de IP

Fallo/xito de una interfaz supervisada

Fallo/xito de una zona de seguridad supervisada

Cambios de estado de la interfaz

63

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 33: Supervisin del estado de interfaces


...y el peso para ese objeto
el umbral de falla de
supervisin

Si un objeto supervisado falla

Desconexin
fsica
La interfaz se desconecta.

...y la accin se establece como


desactivar

Fallo del
seguimiento de IP
entonces la interfaz
supervisora se desactiva.

Falla de la Interfaz
supervisada

Ninguna respuesta a las peticiones de eco


ICMP.

Supervisin
de Interfaz

Falla de la zona
supervisada

Los fallos de seguimiento de IP exceden


el umbral.
Zona de seguridad

Todas las interfaces en la misma zona se


desactivan.

Si, despus de fallar, un objeto supervisado tiene xito (la interfaz se reconecta o el
seguimiento de IP vuelve a tener xito), la interfaz supervisora vuelve a activarse.
Existe un retardo de aproximadamente un segundo entre el momento en que el
objeto supervisado tiene xito y la reactivacin de la interfaz supervisora.
Cada uno de los eventos antes indicados se presenta en las secciones siguientes.

Supervisin de la conexin fsica


Las interfaces fsicas de un dispositivo de seguridad supervisan el estado de su
conexin fsica a otros dispositivos de la red. Cuando una interfaz est conectada a
otro dispositivo de la red y ha establecido un enlace con l, su estado es fsicamente
activo y todas las rutas que utilizan esa interfaz estn activas.
Puede consultar el estado de una interfaz en la columna State del resultado del
comando get interface y en la columna Link de la pgina Network > Interfaces
de WebUI. Puede estar activo (up) o inactivo (down).
Puede consultar el estado de una ruta en el campo de estado del comando get
route id number y en la pgina Network > Routing > Routing Entries de WebUI.
Un asterisco indica que la ruta est activa. Si no hay asterisco, est inactiva.

64

Cambios de estado de la interfaz

Captulo 3: Interfaces

Dar seguimiento a direcciones IP


El dispositivo de seguridad puede realizar un seguimiento de direcciones IP
especficas a travs de una interfaz, de forma que cuando una o varias de ellas
queden inaccesibles, el dispositivo de seguridad pueda desactivar todas las rutas
asociadas a esa interfaz, incluso si la conexin fsica sigue activa. Una ruta
desactivada vuelve a activarse cuando el dispositivo de seguridad retoma el
contacto con esas direcciones IP.

NOTA:

En ciertos dispositivos con ScreenOS, esta accin tambin hace que se conmute
por error a la interfaz de respaldo asociada a la misma zona que la interfaz en la
que se configur el seguimiento de IP (consulte Definir la conmutacin por error
de interfaces en la pgina 11-52).
ScreenOS utiliza una supervisin de rutas de capa 3, o seguimiento de IP, similar a la
utilizada con NSRP para supervisar la accesibilidad de direcciones IP especficas a
travs de una interfaz. Por ejemplo, si una interfaz se conecta directamente a un
enrutador, es posible hacer un seguimiento de la direccin de salto siguiente en la
interfaz para determinar si el enrutador sigue estando accesible. Al configurar el
seguimiento de IP en una interfaz, el dispositivo de seguridad enva peticiones de
eco ICMP (ping) en la interfaz a un mximo de cuatro direcciones IP de destino a
intervalos definidos por el usuario. El dispositivo de seguridad supervisa estos
objetivos para comprobar si se recibe una respuesta. Si no se recibe respuesta de un
destino durante un nmero especfico de veces, dicha direccin IP se considera
inaccesible. Si no se obtiene respuesta de uno o ms destinos, es posible que el
dispositivo de seguridad desactive las rutas asociadas a dicha interfaz. Si hay
disponible otra ruta que conduzca al mismo destino, el dispositivo de seguridad
redirige el trfico para utilizar la nueva ruta.
Puede definir el seguimiento de IP en las siguientes interfaces para las que haya
configurado una direccin IP de administracin:

NOTA:

NOTA:

Interfaz fsica asociada a una zona de seguridad (no las zonas funcionales HA o
MGT)

La interfaz puede operar en la capa 2 (modo transparente) o en la capa 3 (modo


de ruta).

Subinterfaz

Interfaz redundante

Interfaz agregada

Aunque la interfaz puede ser una interfaz redundante o una interfaz agregada, no
puede ser un miembro de una interfaz redundante o agregada.
En los dispositivos que admiten sistemas virtuales, la interfaz en la que se
establezca el seguimiento de IP puede pertenecer al sistema raz o a un sistema
virtual (vsys). Sin embargo, en una interfaz compartida el seguimiento de IP slo se
puede establecer en el nivel raz.
Cambios de estado de la interfaz

65

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

Desde un vsys, puede establecer la supervisin de una interfaz compartida desde


una interfaz que pertenezca al vsys. Sin embargo, desde dentro del vsys no se
puede establecer la supervisin de interfaces desde una interfaz compartida. Para
obtener ms informacin, consulte Supervisin de interfaces en la pgina 70.
Para cada interfaz se puede configurar el seguimiento de hasta cuatro direcciones IP
por parte del dispositivo de seguridad. En un nico dispositivo, se pueden
configurar hasta 64 direcciones IP de seguimiento. En esta suma se incluyen todas
las direcciones IP de seguimiento, independientemente de si se utilizan para el
seguimiento de IP basado en interfaz, para el seguimiento de IP basado en NSRP, en
el nivel raz o en el nivel vsys.
Las direcciones IP de seguimiento no tienen por qu estar en la misma subred que
la interfaz. Por cada direccin IP que desee someter a un seguimiento, se puede
especificar lo siguiente:

Intervalo, en segundos, transcurrido el cual se enviarn las peticiones de eco a


la direccin IP especificada.

Nmero de intentos de peticin de eco consecutivos sin xito antes de que se


considere que la conexin con la direccin IP ha fallado.

Peso de la conexin IP fallida (una vez que la suma de pesos de todas las
conexiones IP fallidas supera un umbral determinado, se desactivan las rutas
asociadas a la interfaz).

Tambin puede configurar el dispositivo de seguridad para darle seguimiento a la


puerta de enlace predeterminada de una interfaz que sea un cliente PPPoE o DHCP.
Para ello, utilice la opcin Dynamic: (CLI) set interface interface monitor
dynamic o bien (WebUI) Network > Interfaces > Edit (para la interfaz cliente
DHCP o PPPoE) > Monitor > Track IP > Add: Seleccione Dynamic.
NOTA:

Cuando se configura el dispositivo de seguridad para que realice un seguimiento


de una direccin IP, el dispositivo de seguridad no agrega ninguna ruta de host
para dicha direccin IP en la tabla de enrutamiento.
Pueden establecerse dos tipos de umbrales en la configuracin del seguimiento de
direcciones IP:

66

Umbral de fallos de una determinada direccin IP supervisada: Nmero de


intentos fallidos consecutivos por obtener respuesta a una peticin de eco
(ping) de una determinada direccin IP que deben producirse para que se
considere un fallo de acceso a esa direccin. Si no se supera el umbral, el nivel
de conectividad con la direccin ser aceptable; si se supera, el nivel de
conectividad ser inaceptable. Este umbral se establece para cada direccin IP
con un valor entre 1 y 200. El valor predeterminado es 3.

Umbral de fallos de seguimiento de IP en la interfaz: Peso total de los intentos


fallidos acumulados por acceder a direcciones IP de la interfaz que causa la
desactivacin de las rutas asociadas a dicha interfaz. Este umbral se puede
ajustar en cualquier valor entre 1 y 255. El valor predeterminado es 1, lo que
significa que cualquier fallo producido al intentar acceder a una direccin IP
configurada y supervisada provoca la desactivacin de las rutas asociadas a la
interfaz.

Cambios de estado de la interfaz

Captulo 3: Interfaces

Si se aplica un peso (o valor) a una direccin IP supervisada, se puede ajustar la


importancia de la conectividad de esa direccin en relacin con el acceso a otras
direcciones supervisadas. Puede asignar pesos relativamente mayores a direcciones
relativamente ms importantes, y pesos menores a direcciones menos importantes.
Observe que los pesos asignados slo tienen relevancia cuando se alcanza el
umbral de fallos de una direccin IP especfica supervisada. Por ejemplo, si el
umbral de fallos para el seguimiento de IP en una interfaz es 3, el fallo de una nica
direccin IP sometida a seguimiento con un peso de 3 completa el umbral de fallos
para el seguimiento de IP en la interfaz, lo que hace que se desactiven las rutas
asociadas a la interfaz. El fallo de una nica direccin IP sometida a seguimiento
con un peso de 1 no completara el umbral de fallos para el seguimiento de IP en la
interfaz, por lo que las rutas asociadas a la interfaz seguiran activas.
En el ejemplo siguiente, la interfaz ethernet1 est asociada a la zona Trust y tiene
asignada la direccin de red 10.1.1.1/24. Las interfaces ethernet3 y ethernet4 estn
asociadas a la zona Untrust. La interfaz ethernet3 tiene asignada la direccin de red
1.1.1.1/24 y est conectada al enrutador en 1.1.1.250. La interfaz ethernet4 tiene
asignada la direccin de red 2.2.2.1/24 y est conectada al enrutador en 2.2.2.250.
Consulte la Figura 34.
Figura 34: Seguimiento de IP de interfaz

ethernet1
10.1.1.1/24

ethernet3
1.1.1.1/24

Enrutador
1.1.1.250

Zona Trust

Zona Untrust

Internet

10.1.1.0/24

ethernet4
2.2.2.1/24

Enrutador
2.2.2.250

Hay dos rutas predeterminadas configuradas: en una se utiliza ethernet3 como


interfaz de salida con la direccin de enrutador 1.1.1.250 como puerta de enlace;
en la otra (configurada con un valor mtrico de 10) se utiliza ethernet4 como
interfaz de salida con la direccin de enrutador 2.2.2.250 como puerta de enlace. La
ruta predeterminada en la que se utiliza ethernet3 es la ruta preferente, puesto que
tiene un valor mtrico inferior (el valor mtrico predeterminado para rutas estticas
es 1). El siguiente resultado del comando get route indica cuatro rutas activas para
trust-vr (las rutas activas se sealan con un asterisco). La ruta predeterminada que
pasa por ethernet3 est activa; la ruta predeterminada que pasa por ethernet4 no
est activa, puesto que tiene menos prioridad.

Cambios de estado de la interfaz

67

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 35: Salida del comando get route

ns-> get route


untrust-vr (0 entries)
---------------------------------------------------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported, R - RIP
iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1
E2 - OSPF external type 2
trust-vr (4 entries)
----------------------------------------------------------------------------------------------------ID

IP-Prefix

Interface

Gateway P Pref

Mtr

Vsys

----------------------------------------------------------------------------------------------------* 4

0.0.0.0/0

eth3

* 2

1.1.1.0/24

eth3

0.0.0.0/0

eth4

1.1.1.250 S 20
0.0.0.0 C

2.2.2.250 S 20

* 6

2.2.2.0/24

eth4

0.0.0.0 C

* 5

10.1.1.0/24

eth1

0.0.0.0 C 20

1
0
10
1
1

Root
Root
Root
Root
Root

Si la ruta que atraviesa ethernet3 deja de estar disponible, la ruta predeterminada


que pasa por ethernet4 se convertir en ruta activa. Active y configure el
seguimiento de IP en la interfaz ethernet3 para supervisar la direccin de enrutador
1.1.1.250. Si el seguimiento de IP falla al acceder a 1.1.1.250, todas las rutas
asociadas a la interfaz ethernet3 pasan a ser inactivas en el dispositivo de
seguridad. En consecuencia, la ruta predeterminada que atraviesa ethernet4 se
convierte en activa. Cuando el seguimiento IP pueda acceder a 1.1.1.250 de nuevo,
la ruta predeterminada que pasa por ethernet3 se convertir en la ruta activa y, al
mismo tiempo, la ruta predeterminada que atraviesa ethernet4 pasar a estado
inactivo, ya que tiene un nivel de prioridad menor que la ruta que pasa por
ethernet3.
Con los siguientes ajustes se activa el seguimiento de IP con un umbral de fallos de
interfaz de 5 y se configura el seguimiento de IP en la interfaz ethernet3 para
supervisar la direccin IP de enrutador 1.1.1.250, que tiene asignado un peso de
10.
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply:
Enable Track IP: (seleccione)
Threshold: 5
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 10

68

Cambios de estado de la interfaz

Captulo 3: Interfaces

CLI
set interface ethernet3 monitor track-ip ip 1.1.1.250 weight 10
set interface ethernet3 monitor track-ip threshold 5
set interface ethernet3 monitor track-ip
save

En este ejemplo, el umbral de fallos para la direccin de destino est ajustado al


valor predeterminado (3). Es decir, si el destino no devuelve una respuesta a tres
peticiones de eco consecutivas, se aplica un peso de 10 al umbral de fallos para el
seguimiento de IP en la interfaz. Como el umbral de fallos para el seguimiento de IP
en la interfaz es 5, un peso de 10 hace que se desactiven las rutas asociadas a la
interfaz en el dispositivo de seguridad.
Puede verificar el estado del seguimiento de IP en la interfaz introduciendo el
comando CLI get interface ethernet3 track-ip tal como se indica en la Figura 36.
Figura 36: Salida del comando get interface

ns-> get interface ethernet3 track-ip


ip addressintervalthreshold wei gatewayfail-countsuccess-rate
1.1.1.250 11100.0.0.034346%
threshold: 5, failed: 1 ip(s) failed, weighted sum = 10
El comando get route indica que la ruta predeterminada que atraviesa ethernet4
est activa en estos momentos; todas las rutas que pasan por ethernet3 han dejado
de estar activas.
Figura 37: Salida del comando get route
ns-> get route
untrust-vr (0 entries)
---------------------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported, R - RIP
iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1
E2 - OSPF external type 2
trust-vr (4 entries)
---------------------------------------------------------------------ID IP-PrefixInterfaceGateway PPref MtrVsys
---------------------------------------------------------------------40.0.0.0/0eth31.1.1.250S201Root
21.1.1.0/24eth30.0.0.0C00Root
*

30.0.0.0/0eth42.2.2.250S2010Root

62.2.2.0/24eth40.0.0.0C01Root

510.1.1.0/24eth10.0.0.0C201Root

Recuerde que aunque las rutas que pasan por ethernet3 no estn activas, el
seguimiento de IP utiliza las rutas asociadas a ethernet3 para continuar enviando
peticiones de eco a la direccin IP de destino. Cuando el seguimiento de IP puede
acceder de nuevo a 1.1.1.250, la ruta predeterminada que atraviesa ethernet3 se
vuelve a convertir en la ruta activa del dispositivo de seguridad. Al mismo tiempo,
la ruta predeterminada que pasa por ethernet4 se convierte en ruta inactiva, ya que
su nivel de prioridad es inferior al de la ruta predeterminada que pasa por
ethernet3.
Cambios de estado de la interfaz

69

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Supervisin de interfaces
Un dispositivo de seguridad puede supervisar el estado fsico y lgico de las
interfaces y ejecutar una determinada accin en funcin de los cambios
observados. Consulte la Figura 38. Por ejemplo, si el estado de una interfaz
supervisada cambia de activo a inactivo, puede ocurrir lo siguiente, segn se
muestra en la Tabla 12.
Tabla 12: Interfaz supervisada
Si:

Despus:

El estado fsico de una


El cambio de estado puede provocar que otra interfaz que est
interfaz cambia de activo supervisando a la que acaba de desactivarse tambin se desactive.
a inactivo
Puede especificar si la segunda interfaz debe quedar fsica o
lgicamente desactivada.
El cambio de estado de la interfaz que se est desactivando
fsicamente, o el peso combinado de ambas interfaces desactivndose
fsicamente juntas, puede desencadenar un fallo de NSRP. Un fallo del
dispositivo NSRP o de un grupo VSD slo puede producirse como
resultado de un cambio en el estado fsico de una interfaz.
El estado lgico de una
interfaz cambia de activo
a inactivo como
resultado de un fallo de
seguimiento de IP

El cambio de estado puede provocar que otra interfaz que est


supervisando a la que acaba de desactivarse tambin se desactive.
Aunque la primera interfaz est lgicamente inactiva, puede
especificar si el estado inactivo de la segunda interfaz debe ser lgico
o fsico.

Figura 38: Supervisin de interfaces de Ethernet1 and Ethernet2


Una interfaz supervisando a otra interfaz
Utilizando el seguimiento de IP,
ethernet3 supervisa al enrutador
en 1.1.1.250.
Utilizando la supervisin de
interfaces, ethernet2 supervisa a
ethernet3.

ethernet3
IP 1.1.1.1

ethernet2
IP 2.1.1.1

Para establecer la supervisin de interfaces, ejecute cualquiera de los siguientes


procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Interface: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: Seleccione la interfaz que desea que sea supervisada.
Weight: Indique un peso entre 1 y 255.

CLI
set interface interface1 monitor interface interface2 [ weight number ]

Si no indica un peso, el dispositivo de seguridad aplica el valor predeterminado,


255

70

Cambios de estado de la interfaz

Captulo 3: Interfaces

Cuando dos interfaces se supervisan mutuamente, forman un bucle. En este caso, si


cualquiera de las interfaces cambia de estado, la otra interfaz del bucle tambin lo
hace. Consulte la Figura 39.
NOTA:

Una interfaz slo puede pertenecer a un bucle a la vez. No admitimos


configuraciones en las que una interfaz pertenezca a varios bucles.

Figura 39: Supervisin de bucles


Primer cambio de
estado, si:

Bucle - Dos interfaces supervisndose


mutuamente
Utilizando el seguimiento de IP,
ambas interfaces supervisan
enrutadores.
Utilizando la supervisin de
interfaces, tambin se
supervisan mutuamente.

ethernet3
IP 1.1.1.1

Segundo cambio de
estado, si:

El nmero de intentos fracasados


de ejecutar un "ping" a cualquiera de
los enrutadores excede el umbral de
fallos de esa direccin IP
supervisada
El peso del IP de seguimiento de
falla es mayor que o igual al umbral
de falla del objeto de seguimiento
El peso del objeto de seguimiento
es mayor que o igual que el umbral
de falla de supervisin
La accin en caso de fallo es
cambiar de activo a inactivo
Despus:
La segunda interfaz tambin cambia
su estado de activo a inactivo.

ethernet2
IP 2.1.1.1

El peso de la falla de la
primera interfaz es mayor que o
igual al umbral de la falla de
supervisin de la segunda
interfaz
La accin en caso de fallo es
cambiar de activo a inactivo

Despus:
La segunda interfaz tambin cambia
su estado de activo a inactivo.

Supervisin de dos interfaces


En este ejemplo, configurar ethernet3 para supervisar dos interfaces: ethernet1 y
ethernet2. Dado que el peso de cada interfaz supervisada (8 + 8) es igual al umbral
de fallos de supervisin (16), tanto ethernet1 como ethernet deben fallar (y cambiar
su estado de activo a inactivo) simultneamente para provocar el fallo de ethernet3
(y cambiar su estado de activo a inactivo). Consulte la Figura 40.
NOTA:

Este ejemplo omite la configuracin del seguimiento de IP en las interfaces ethernet1 y


ethernet2 (consulte Dar seguimiento a direcciones IP en la pgina 65). Sin
seguimiento de IP, la nica manera de que ethernet1 y ethernet2 puedan fallar es que
sean desconectadas fsicamente de otros dispositivos de la red o que no puedan
mantener enlaces con esos dispositivos.
Si establece el umbral de fallos de supervisin en 8, o lo deja en 16 y establece el peso
de cada interfaz supervisada en 16, el fallo de ethernet1 o de ethernet2 puede hacer
fallar a ethernet3.

Figura 40: Supervisin de interfaz de dos bucles


ethernet3 supervisa a ethernet1 y a ethernet2. Dado que el umbral de fallos
de supervisin (F-T) = los pesos (W) de ambas interfaces combinadas, para
hacer fallar a ethernet3 deben fallar las dos interfaces supervisadas.
Interfaces de dispositivo de
seguridad
ethernet1 ethernet8

W=8

W=8

F-T: 16

Interfaces supervisadas:
ethernet1, peso 8
ethernet2, peso 8
Umbral de fallos de supervisin: 16

Cambios de estado de la interfaz

71

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet1: (seleccione), Weight: 8
ethernet2: (seleccione), Weight: 8

Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el
campo Monitor Threshold; a continuacin, haga clic en Apply.
CLI
set interface ethernet3 monitor interface ethernet1 weight 8
set interface ethernet3 monitor interface ethernet2 weight 8
set interface ethernet3 monitor threshold 16
save

Supervisar un bucle de interfaz


En este ejemplo, primero configurar el seguimiento de IP para dos interfaces,
ethernet1 y ethernet3. A continuacin, configurar estas interfaces para
supervisarse mutuamente de modo que, si una cambia de estado, la otra acte de
igual modo. Por ltimo, definir dos conjuntos de rutas. El primer conjunto reenva
trfico a travs de ethernet1 y ethernet3. El segundo conjunto tiene las mismas
direcciones de destino, pero estas rutas tienen mtricas de menor rango y utilizan
otras interfaces de salida (ethernet2 y ethernet4) y otras puertas de enlace que el
primer conjunto. Con esta configuracin, si el primer conjunto de interfaces falla, el
dispositivo de seguridad puede redirigir todo el trfico a travs del segundo
conjunto. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
Figura 41: Supervisin de cuatro bucles de interfaz
A los hosts de la
zona Trust
Enrutador
interno
10.1.1.250
10.1.2.250
10.1.1.1/24
Zona Trust
Interfaces de
dispositivo de
seguridad
ethernet1 ethernet8
ethernet1 y ethernet3 se
supervisan mutuamente.
Dado que el peso de la
interfaz supervisada es
igual al umbral de fallos de
supervisin, el fallo de
cualquier interfaz hace
que la otra falle tambin.

72

Enrutador
externo
1.1.1.250
1.1.2.250
1.1.1.1/24
10.1.2.1/24 Zona Untrust
Zona Trust

Bucle de interfaz supervisora:


ethernet1 y ethernet3
Peso de la interfaz supervisada: 8
Umbral de fallos de supervisin: 8

Cambios de estado de la interfaz

ethernet1 y ethernet3 realizan el seguimiento de


IP. ethernet1 supervisa al enrutador interno en
10.1.1.250. ethernet3 supervisa al enrutador
externo en 1.1.1.250.

A Internet

Umbral de fallos de la IP supervisada: 10


Peso de la IP supervisada: 8
Peso del objeto supervisado: 8
Umbral de fallos de supervisin: 8

1.1.2.1/24
Zona Untrust

Si ethernet1 y ethernet3 se desactivan, las rutas que se refieren a esas


interfaces tambin quedan inactivas. Entonces, el dispositivo de
seguridad redirige el trfico a travs de ethernet2 y ethernet4.
Rutas
set route
set route
set route
set route

10.1.0.0/16 interface ethernet1 gateway 10.1.1.250 metric


10.1.0.0/16 interface ethernet2 gateway 10.1.2.250 metric
0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric 10
0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric 12

Captulo 3: Interfaces

WebUI
1.

IP Tracking (Seguimiento de IP)

Network > Interfaces > Edit (para ethernet1) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
Enable Track IP: (seleccione)
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
NOTA:

Para controlar si el estado de una interfaz se vuelve lgica o fsicamente inactivo (o


activo), debe utilizar el comando CLI set interface interface monitor threshold
number action { down | up } { logically | physically }. Slo se pueden activar o
desactivar interfaces fsicas asociadas a cualquier zona de seguridad distinta de la
zona Null.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Static: (seleccione)
Track IP: 10.1.1.250
Weight: 8
Interval: 3 segundos
Threshold: 10

Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
Enable Track IP: (seleccione)
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8

> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 8
Interval: 3 segundos
Threshold: 10
2.

Supervisin de interfaces

Network > Interfaces > Edit (para ethernet1) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet3: (seleccione), Weight: 8

Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet1: (seleccione), Weight: 8

Cambios de estado de la interfaz

73

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

Rutas

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250
Metric: 10

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 10.1.2.250
Metric: 12

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Metric: 10

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet4
Gateway IP Address: 1.1.2.250
Metric: 12

CLI
1.

IP Tracking (Seguimiento de IP)

set interface ethernet1 track-ip ip 10.1.1.250 weight 8


set interface ethernet1 track-ip threshold 8
set interface ethernet1 track-ip weight 8
set interface ethernet1 track-ip
set interface ethernet3 track-ip ip 1.1.1.250 weight 8
set interface ethernet3 track-ip threshold 8
set interface ethernet3 track-ip weight 8
set interface ethernet3 track-ip
2.

Supervisin de interfaces

set
set
set
set

74

Cambios de estado de la interfaz

interface ethernet1 monitor interface ethernet3 weight 8


interface ethernet1 monitor threshold 8 action down physically
interface ethernet3 monitor interface ethernet1 weight 8
interface ethernet3 monitor threshold 8 action down physically

Captulo 3: Interfaces

3.

Rutas

set vrouter trust-vr route 10.1.0.0/16 interface ethernet1 gateway 10.1.1.250


metric 10
set vrouter trust-vr route 10.1.0.0/16 interface ethernet2 gateway 10.1.2.250
metric 12
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric
10
set vrouter trust-vr route 0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric
12
save

Supervisin de zonas de seguridad


Adems de supervisar interfaces individuales, una interfaz puede supervisar todas
las interfaces de una zona de seguridad (cualquier zona de seguridad salvo la suya
propia). Para que falle toda una zona de seguridad, debe fallar cada una de las
interfaces asociadas a esa zona. Mientras permanezca activa una sola interfaz
asociada a una zona supervisada, el dispositivo de seguridad considerar que toda
la zona est activa.
Para configurar una interfaz de modo que supervise una zona de seguridad, ejecute
cualquiera de los siguientes procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Zone: Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Seleccione la zona que desee que sea supervisada.
Weight: Indique un peso entre 1 y 255.

CLI
set interface interface monitor zone zone [ weight number ]

Si no indica un peso, el dispositivo de seguridad aplica el valor predeterminado,


255

Interfaces inactivas y flujo de trfico


La configuracin del seguimiento de IP en una interfaz permite al dispositivo de
seguridad redireccionar el trfico saliente a travs de una interfaz distinta cuando
determinadas direcciones IP dejan de ser accesibles a travs de la primera interfaz.
Sin embargo, aunque es posible que el dispositivo de seguridad desactive las rutas
asociadas a una interfaz debido a un fallo de seguimiento de IP, la interfaz puede
continuar fsicamente activa y seguir enviando y recibiendo trfico. Por ejemplo, el
dispositivo de seguridad sigue procesando el trfico entrante de una sesin
existente que puede llegar a la interfaz original en la que se haya producido el fallo
de seguimiento de IP. Asimismo, el dispositivo de seguridad contina utilizando la
interfaz para enviar peticiones de comando ping a las direcciones IP de destino
para determinar si los destinos son accesibles de nuevo. En estos casos, el trfico
sigue atravesando una interfaz en la que ha fallado el seguimiento de IP y para la
que el dispositivo de seguridad ha desactivado las rutas.

Cambios de estado de la interfaz

75

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

El modo en el que el dispositivo de seguridad gestiona el trfico de sesin en dicha


interfaz depende de los siguientes factores:

Si la interfaz en la que se configura el seguimiento de IP acta como interfaz de


salida para una sesin, es posible que las respuestas de la sesin sigan llegando
a la interfaz y que el dispositivo de seguridad contine procesndolas.

Si la interfaz en la que se configura el seguimiento de IP acta como interfaz de


entrada para una sesin, la aplicacin del comando set arp always-on-dest
hace que el dispositivo de seguridad redirija las respuestas de la sesin a otra
interfaz. Si no activa este comando, el dispositivo de seguridad reenviar las
respuestas de la sesin a travs de la interfaz en la que ha fallado el
seguimiento de IP aunque el dispositivo de seguridad haya desactivado las rutas
que utilizan dicha interfaz. (De forma predeterminada, este comando est
desactivado).
De forma predeterminada, un dispositivo de seguridad guarda en cach la
direccin MAC del iniciador de una sesin cuando recibe el paquete inicial de
una sesin nueva. Si introduce el comando CLI set arp always-on-dest, el
dispositivo de seguridad no guardar en cach la direccin MAC del iniciador de
una sesin. En su lugar, el dispositivo de seguridad realizar una consulta ARP
cuando procese la respuesta correspondiente a dicho paquete inicial. Si la
direccin MAC del iniciador se encuentra en la tabla ARP, el dispositivo de
seguridad la utilizar. Si la direccin MAC no se encuentra en la tabla ARP, el
dispositivo de seguridad enva una peticin ARP para la direccin MAC de
destino y agrega la direccin MAC recibida a su tabla ARP. El dispositivo de
seguridad realiza otra consulta ARP cada vez que se produce un cambio de ruta.

En Fallo en la interfaz de salida se describen los diversos contextos en los que


falla el seguimiento de IP en la interfaz de salida y en la interfaz de entrada; y, en el
caso de la ltima, qu ocurre cuando se utiliza el comando set arp always-on-dest.

NOTA:

En Fallo en la interfaz de salida se describe cmo el seguimiento de IP dispara


los cambios de rutas y cmo pueden afectar estos cambios al flujo de paquetes de
todos los dispositivos de seguridad de Juniper Networks distintos a NetScreen-5XT
y NetScreen-5GT. En el caso de estos dispositivos, un fallo de seguimiento de IP
dispara una conmutacin por error de interfaz. Para obtener ms informacin,
consulte Interfaces Dual Untrust en la pgina 11-50.

Fallo en la interfaz de salida


En el siguiente contexto, vamos a configurar el seguimiento de IP en ethernet2, que
es la interfaz de salida para las sesiones del host A al host B. El host A inicia la
sesin enviando un paquete al host B, tal como se indica a continuacin en la
Figura 42.

NOTA:

76

Primero hay que crear dos rutas que conduzcan al host B y ambas interfaces de
salida deben encontrarse en la misma zona para que se aplique la misma directiva
al trfico antes y despus del redireccionamiento.

Cambios de estado de la interfaz

Captulo 3: Interfaces

Figura 42: Seguimiento de IP del host A y del host B


Flujo de trfico del host A al host B: peticin (inicio de sesin)
Primera interfaz de salida
ethernet2
1.1.1.1/24

Interfaz de entrada
ethernet1
10.1.1.1/24

Seguimiento de IP
activado desde ethernet2

2
Bsqueda
de sesin

Zona Trust

10.1.1.1/24
10.1.1.0/24

Bsqueda
de rutas

Zona Untrust
Bsqueda de
directivas

Host B
2.2.2.2

4
1
Host A
10.1.1.5

Respondedor

Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24

Puertas de enlace:
1.1.1.254
1.1.2.254

Cuando el host B responde al host A, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 43.
Figura 43: Flujo de trfico de salida del host B al host A
Flujo de trfico del host A al host B: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24

Primera interfaz de salida


ethernet2
1.1.1.1/24

3
Actualiz
acin de

Zona Trust

10.1.1.1/24
10.1.1.0/24

Seguimiento de IP desde
ethernet2 correcto

Zona Untrust

2
1

Host B
2.2.2.2

4
Host A
10.1.1.5

Respondedor

Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24

Puertas de enlace:
1.1.1.254
1.1.2.254

Si falla el seguimiento de IP en ethernet2, el dispositivo de seguridad desactiva las


rutas que utilicen ethernet2 y utiliza ethernet3 para el trfico saliente destinado al
host B. Sin embargo, las respuestas del host B al host A pueden llegar tanto a travs
de ethernet2 como a travs de ethernet3 y el dispositivo de seguridad las reenva a
travs de ethernet1 al host A. Consulte la Figura 44.

Cambios de estado de la interfaz

77

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 44: Fallo del seguimiento de IP de salida


Flujo de trfico del host B al host A: el fallo de seguimiento de IP dispara el redireccionamiento
Primera interfaz de salida
Interfaz de entrada
ethernet2
ethernet1
1.1.1.1/24
10.1.1.1/24

1
Zona Trust

Cambio
de ruta

10.1.1.1/24
10.1.1.0/24

Seguimiento de IP desde
ethernet2 incorrecto

Zona Untrust

Actualizacin
de sesin

Host B
2.2.2.2

2
Host A
10.1.1.5

Respondedor

Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24

Puertas de
enlace:
1.1.1.254
1.1.2.254

Fallo en la interfaz de entrada


En el siguiente contexto, configurar de nuevo el seguimiento de IP en ethernet2,
pero esta vez ethernet2 ser la interfaz de entrada en el dispositivo de seguridad
para las sesiones del host B al host A. El host B iniciar la sesin enviando un
paquete al host A, tal como se indica en la Figura 45.
Figura 45: Flujo de trfico de entrada del host B al host A
Flujo de trfico del host B al host A: peticin (inicio de sesin)
Interfaz de entrada
ethernet1
10.1.1.1/24

Primera interfaz de salida


ethernet2
1.1.1.1/24

Seguimiento de IP activado
desde ethernet2

2
Bsqueda de
directivas

Zona Trust

Bsqueda
de rutas

Bsqueda
de sesin

Zona Untrust

10.1.1.1/24
10.1.1.0/24

1
3

Host A
10.1.1.5
Respondedor

Segunda interfaz de salida


ethernet3
1.1.2.1/24

78

Host B
2.2.2.2

Cambios de estado de la interfaz

Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254

Captulo 3: Interfaces

Cuando el host A responde al host B, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 46.
Figura 46: Flujo de trfico de entrada del host A al host B
Flujo de trfico del host B al host A: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24

Primera interfaz de salida


ethernet2
1.1.1.1/24

Zona Untrust

Bsqueda
de sesin

Zona Trust

Seguimiento de IP desde
ethernet2 correcto

10.1.1.1/24
10.1.1.0/24

Host B
2.2.2.2

4
1
Host A
10.1.1.5

Iniciador

Respondedor
Segunda interfaz de salida
ethernet3
1.1.2.1/24

Puertas de enlace:
1.1.1.254
1.1.2.254

1. El host A en 10.1.1.5 enva un paquete de respuesta a ethernet1 en 10.1.1.1 destinado al host B (2.2.2.2).
2. El dispositivo de seguridad realiza una bsqueda de sesin. Como se trata de una respuesta, el dispositivo la relaciona con una
sesin existente y actualiza
la entrada en la tabla de la sesin.
3. Utilizando la direccin MAC de la puerta de enlace en 1.1.1.254 guardada en cach o realizando una bsqueda ARP para averiguar
la direccin MAC, el dispositivo

Si falla el seguimiento de IP en ethernet2, el dispositivo de seguridad desactiva las


rutas que utilicen ethernet2 y utiliza ethernet3 para el trfico saliente destinado al
host B. Sin embargo, las peticiones del host B al host A todava pueden llegar tanto
a travs de ethernet2 y el dispositivo de seguridad las reenva a travs de ethernet1
al host A. El flujo de datos para las peticiones del host B al host A sigue teniendo el
mismo aspecto despus de que se produzca un fallo de seguimiento de IP. Sin
embargo, las respuestas del host A pueden tomar una de dos rutas distintas, en
funcin de la aplicacin del comando set arp always-on-dest.
Si activa el comando set arp always-on-dest, el dispositivo de seguridad enviar
una peticin ARP para la direccin MAC de destino cuando procese la respuesta al
primer paquete de una sesin o cuando se produzca un cambio de ruta. (Cuando
este comando est desactivado, el dispositivo de seguridad guarda el cach la
direccin MAC del iniciador de la sesin y la utiliza para procesar las respuestas. De
forma predeterminada, este comando est desactivado).
Cuando falla el seguimiento de IP en ethernet2, el dispositivo de seguridad
desactiva primero todas las rutas que utilicen ethernet2 y realiza una bsqueda de
rutas. Encuentra otra ruta para acceder al host B a travs de ethernet3 y la puerta de
enlace en 1.1.2.254. A continuacin, analiza la tabla de sesiones y redirige todas las
sesiones a la nueva ruta. Si est activado el comando set arp always-on-dest, el
dispositivo de seguridad realizar una bsqueda ARP cuando reciba el siguiente
paquete del host A porque el paquete pertenece a una sesin afectada por el

Cambios de estado de la interfaz

79

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

cambio de ruta. Independientemente de la interfaz de entrada a la que lleguen los


paquetes del host B, el dispositivo de seguridad enva todas las respuestas
posteriores del host A a travs de ethernet3 a la puerta de enlace en 1.1.2.254.
Consulte la Figura 47.
Figura 47: Fallo de seguimiento de IP de entrada con redireccionamiento de trfico
Flujo de trfico del host B al host A: el fallo de seguimiento de IP dispara el
redireccionamiento
Primera interfaz de salida
ethernet2
1.1.1.1/24

Interfaz de entrada
ethernet1
10.1.1.1/24

1
Zona Trust

Cambio Actualizacin
de ruta de sesin

Seguimiento de IP desde
ethernet2 incorrecto

Zona Untrust

10.1.1.1/24
10.1.1.0/24

Host A
10.1.1.5

Host B
2.2.2.2

3
Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254
Segunda interfaz de salida
ethernet3
1.1.2.1/24

Respondedor

Si est activado el comando unset arp always-on-dest (que es la configuracin


predeterminada), el dispositivo de seguridad utiliza la direccin MAC para la puerta
de enlace en 1.1.1.1 que guard en cach cuando el host B envi el paquete de
sesin inicial. El dispositivo de seguridad contina enviando las respuestas de
sesin a travs de ethernet2. En este caso, el fallo de seguimiento de IP no afecta al
flujo de datos a travs del dispositivo de seguridad.
Figura 48: Fallo de seguimiento de IP de entrada sin redireccionamiento
Flujo de trfico del host B al host A: el fallo de seguimiento de IP no dispara el
redireccionamiento
Primera interfaz de salida
ethernet2
1.1.1.1/24

Interfaz de entrada
ethernet1
10.1.1.1/24

2
Zona Trust

Bsqueda
de sesin

10.1.1.1/24
10.1.1.0/24

Seguimiento de IP desde
ethernet2 incorrecto

Zona Untrust

Host B
2.2.2.2

1
Host A
10.1.1.5

Iniciador

Respondedor
Segunda interfaz de salida
ethernet3
1.1.2.1/24

80

Cambios de estado de la interfaz

Puertas de enlace:
1.1.1.254
1.1.2.254

Captulo 4

Modos de las interfaces


Las interfaces pueden funcionar en tres modos diferentes: Traduccin de
direcciones de red (NAT), modo de ruta (Route) y modo transparente
(Transparent). Si una interfaz asociada a una zona de capa 3 (Layer 3) tiene una
direccin IP, el modo de funcionamiento de esa interfaz se puede definir como NAT
o Route. Una interfaz asociada a una zona de capa 2 (Layer 2) (como las zonas
predefinidas v1-trust, v1-untrust y v1-dmz, o una zona de capa 2 definida por el
usuario) debe estar en modo Transparent. El modo de funcionamiento se selecciona
al configurar la interfaz.

NOTA:

Aunque se puede definir el modo de funcionamiento de una interfaz asociada a


cualquier zona de capa 3 como NAT, el dispositivo de seguridad solamente
aplicar NAT al trfico que pase por esa interfaz en direccin hacia la zona
Untrust. ScreenOS no aplica NAT al trfico destinado a ninguna zona que no sea la
zona Untrust. Asimismo, observe que aunque ScreenOS permite poner una
interfaz de la zona Untrust en modo NAT, esto no activa ninguna operacin de
NAT.
Este captulo contiene las siguientes secciones:

Modo transparente en la pgina 82

Ajustes de zona en la pgina 83

Reenvo de trfico en la pgina 83

Opciones unicast desconocidas en la pgina 84

Modo NAT en la pgina 94

Trfico NAT entrante y saliente en la pgina 96

Ajustes de interfaz en la pgina 97

Modo de ruta en la pgina 100

Ajustes de interfaz en la pgina 101

81

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Modo transparente
Cuando una interfaz est en modo transparente, el dispositivo de seguridad filtra
los paquetes que atraviesan la pared de fuego sin modificar ninguna informacin de
origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se
comportan como si fuesen parte de la misma red, con el dispositivo de seguridad
actuando en gran medida como conmutador o puente de capa 2 (Layer 2). En el
modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0,
haciendo que el dispositivo de seguridad parezca transparente (o invisible) a los
usuarios. Consulte Figura 49.
Figura 49: Modo transparente
209.122.30.3
209.122.30.2
209.122.30.2

209.122.30.4

209.122.30.1
209.122.30.5
Zona Trust

Conmutador
Espacio de
direcciones
pblico

Zona Untrust

Enrutador externo

A Internet

El modo transparente es un medio muy prctico para proteger servidores web o


cualquier otra clase de servidor que reciba principalmente trfico de fuentes no
fiables. Utilizar el modo transparente tiene las siguientes ventajas:

82

Modo transparente

Elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y


servidores protegidos.

Elimina la necesidad de crear direcciones IP asignadas o virtuales para que el


trfico entrante llegue a los servidores protegidos.

Captulo 4: Modos de las interfaces

Ajustes de zona
De forma predeterminada, ScreenOS crea una zona de funcin, la zona VLAN, y
tres zonas de seguridad L2: V1-Trust, V1-Untrust y V1-DMZ.

Zona VLAN
La zona VLAN contiene la interfaz VLAN1, que tiene la misma configuracin y las
mismas posibilidades de administracin que una interfaz fsica. Cuando el
dispositivo de seguridad est en modo transparente, utiliza la interfaz VLAN1 para
administrar el dispositivo y terminar el trfico VPN. Puede configurar la interfaz
VLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan administrar
el dispositivo. Para ello, debe establecer la direccin IP de la interfaz VLAN1 en la
misma subred que los hosts de las zonas de seguridad L2.
Para el trfico administrativo, la IP de administracin de VLAN1 tiene preferencia
sobre la IP de la interfaz VLAN1. Puede reservar la IP de administracin de VLAN1
para el trfico administrativo y dedicar la IP de la interfaz VLAN1 solamente a la
terminacin del tnel VPN.

Zonas de capa 2 predefinidas


ScreenOS proporciona tres zonas de seguridad L2 predeterminadas: V1-Trust,
V1-Untrust y V1-DMZ. Estas tres zonas comparten el mismo dominio L2. Cuando se
configura una interfaz en una de las zonas, se agrega al dominio L2 compartido por
todas las interfaces en todas las zonas L2. Para poder comunicarse, todos los hosts
en las zonas L2 deben pertenecer a la misma subred.
De acuerdo con lo descrito en la seccin anterior, cuando el dispositivo est en
modo transparente se utiliza la interfaz VLAN1 para administrar el dispositivo. Para
que el trfico administrativo pueda alcanzar la interfaz VLAN1, es necesario
habilitar las opciones de administracin en la interfaz VLAN1 y en la(s) zona(s) que
atravesar dicho trfico. De forma predeterminada, todas las opciones de
administracin estn habilitadas en la zona V1-Trust. Para que los hosts de otras
zonas puedan administrar el dispositivo, debe establecer esas mismas opciones en
las zonas a las que pertenezcan.

NOTA:

Para ver qu interfaces fsicas estn preasociadas a las zonas L2 de cada


plataforma de seguridad de Juniper Networks, consulte el manual del instalador de
cada plataforma.

Reenvo de trfico
Un dispositivo de seguridad que operan en la capa 2 (Layer 2 o L2) no permiten
ningn trfico interzonal ni intrazonal a menos que haya una directiva configurada
en el dispositivo. Para obtener ms informacin sobre cmo establecer directivas,
consulte Directivas en la pgina 2-163. Una vez configurada una directiva en el
dispositivo de seguridad, hace lo siguiente:

Permite o deniega el trfico especificado en la directiva.

Permite el trfico ARP y L2 no IP multicast (de un emisor a mltiples


destinatarios) y broadcast (de mltiples emisores a mltiples destinatarios).
Desde ese momento, el dispositivo de seguridad puede recibir y transmitir
trfico broadcast L2 para el protocolo en rbol.
Modo transparente 83

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Contina bloqueando todo el trfico unicast no IP y no ARP, as como el


trfico IPSec.

El comportamiento de reenvo del dispositivo se puede modificar de la siguiente


forma:

Para bloquear todo el trfico L2 no IP y no ARP, incluyendo el trfico


multicast y broadcast, ejecute el comando unset interface vlan1
bypass-non-ip-all.

Para permitir que todo el trfico L2 no IP pueda pasar por el dispositivo, ejecute
el comando set interface vlan1 bypass-non-ip .

Para restablecer el comportamiento predeterminado del dispositivo,


consistente en bloquear todo el trfico unicast no IP y no ARP, ejecute el
comando unset interface vlan1-bypass-non-ip.
Observe que el comando unset interface vlan1 bypass-non-ip-all siempre
sobrescribe al comando unset interface vlan1 bypass-non-ip cuando ambos
se encuentran en el archivo de configuracin. Por lo tanto, si anteriormente
ejecut el comando unset interface vlan1 bypass-non-ip-all y ahora desea
que el dispositivo recupere su comportamiento predeterminado, que consiste
en bloquear nicamente el trfico unicast no IP y no ARP, deber ejecutar
primero el comando set interface vlan1 bypass-non-ip para permitir que todo
el trfico no IP y no ARP, incluyendo el trfico multicast, unicast y
broadcast pase por el dispositivo. A continuacin, deber ejecutar el
comando unset interface vlan1 bypass-non-ip para bloquear nicamente el
trfico unicast no IP y no ARP.

NOTA:

Para permitir que un dispositivo de seguridad transmita trfico IPSec sin


intentar terminarlo, utilice el comando set interface vlan1
bypass-others-ipsec. El dispositivo de seguridad permitir entonces que el
trfico IPSec pase a travs de otros puntos terminales de la VPN.

Un dispositivo de seguridad con interfaces en modo transparente requiere rutas


para dos fines: dirigir el trfico autogenerado, como las capturas SNMP, y reenviar
trfico VPN despus de encapsularlo o desencapsularlo.

Opciones unicast desconocidas


Cuando un host o cualquier clase de dispositivo de red desconoce la direccin MAC
asociada a la direccin IP de otro dispositivo, utiliza el protocolo de resolucin de
direcciones (Address Resolution Protocol o ARP) para obtenerla. El solicitante
difunde mediante broadcast una consulta ARP (arp-q) al resto de dispositivos de
la misma subred. La consulta arp-q solicita al dispositivo con la direccin IP de
destino especificada que devuelva una respuesta ARP (arp-r), lo que proporcionar
al solicitante la direccin MAC del dispositivo que responde. Cuando los dems
dispositivos de la subred reciben la consulta arp-q, comprueban la direccin IP de
destino y, al no ser la suya, descartan el paquete. Slo el dispositivo que tenga la
direccin IP especificada devolver un mensaje arp-r. Cuando un dispositivo ha
establecido una correspondencia entre una direccin IP y una direccin MAC,
almacena la informacin en su cache de ARP.

84

Modo transparente

Captulo 4: Modos de las interfaces

A medida que el trfico ARP atraviesa un dispositivo de seguridad en modo


transparente, el dispositivo analiza la direccin MAC de origen en cada paquete y
memoriza qu interfaz conduce a esa direccin MAC. De hecho, el dispositivo de
seguridad aprende qu interfaz conduce a qu direccin MAC observando las
direcciones MAC de origen en todos los paquetes que recibe. A continuacin,
almacena esta informacin en su tabla de reenvos.

NOTA:

Un dispositivo de seguridad en modo transparente no permite ningn trfico


entre zonas a menos que haya una directiva configurada en el dispositivo. Para
obtener ms informacin sobre cmo el dispositivo reenva trfico cuando est en
modo transparente, consulte Reenvo de trfico en la pgina 83.
Puede ocurrir que un dispositivo enve un paquete unicast con una direccin MAC
de destino tomada de su cache ARP, pero que el dispositivo de seguridad no tenga
registrada en su tabla de reenvos. Por ejemplo, el dispositivo de seguridad borra su
tabla de reenvos cada vez que se reinicia. (Tambin el usuario podra haber
borrado la tabla de reenvos con el comando CLI clear arp.) Cuando un dispositivo
de seguridad en modo transparente recibe un paquete unicast para el cual no
contiene ninguna entrada en su tabla de reenvos, puede tomar una de estas dos
decisiones:

NOTA:

Despus de realizar una consulta de directivas para determinar a qu zonas


est permitido enviar el trfico procedente de la direccin de origen, inundar el
paquete inicial saliendo por las interfaces asociadas a esas zonas y seguir
utilizando la interfaz que reciba una respuesta. Se trata de la opcin Flood,
que est habilitada de forma predeterminada.

Descartar el paquete inicial, inundar con consultas ARP (y, opcionalmente,


paquetes trace-route, que son peticiones de eco ICMP con el valor time-to-live
en 1) saliendo por todas las interfaces (excepto por la interfaz por la que entr
el paquete) y enviar los paquetes subsiguientes por cualquier interfaz que
reciba una respuesta ARP (o trace-route) del enrutador o del host cuya direccin
MAC coincida con la direccin MAC de destino en el paquete inicial. La opcin
trace-route permite al dispositivo de seguridad descubrir la direccin MAC de
destino cuando sta se encuentre en una subred no adyacente.

De los dos mtodos (flood y ARP/trace-route), ARP es ms seguro porque el


dispositivo de seguridad inunda con preguntas ARP y paquetes trace-route (no el
paquete inicial) saliendo por todas las interfaces.

Mtodo de inundacin
El mtodo de inundacin reenva paquetes del mismo modo que la mayora de
conmutadores (switches) de la capa 2. Un conmutador mantiene una tabla de
reenvos que contiene direcciones MAC y sus puertos asociados para cada dominio
de capa 2. La tabla tambin contiene la interfaz correspondiente a travs de la cual
el conmutador puede reenviar trfico a cada dispositivo. Cada vez que un paquete
llega con una nueva direccin MAC de origen en su encabezado de trama, el
conmutador agrega la direccin MAC a su tabla de reenvos. Tambin detecta a
travs de qu interfaz lleg el paquete. Si la direccin MAC de destino es
desconocida para el conmutador, ste duplica el paquete y lo inunda saliendo por

Modo transparente 85

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

todas las interfaces (a excepcin de la interfaz por la que lleg el paquete).


Memoriza la direccin MAC (desconocida hasta ese momento) y la interfaz
correspondiente cuando recibe una respuesta con esa direccin MAC en una de sus
interfaces.
Cuando se habilita el mtodo de inundacin y el dispositivo de seguridad recibe una
trama de Ethernet con una direccin MAC de destino que no figura en la tabla de
direcciones MAC del dispositivo de seguridad, inunda el paquete saliendo por todas
las interfaces.
Figura 50: Mtodo de inundacin
ethernet1
IP 0.0.0.0/0

ethernet4
IP 0.0.0.0/0

El paquete llega a
ethernet1.
Enrutador

Zona V1-Trust

V1-DMZ
Zona

Espacio de direcciones comn


ethernet2
IP 0.0.0.0/0
L2-Finance
Zona

ethernet3
IP 0.0.0.0/0
Zona V1-Untrust

Enrutador
Enrutador
El dispositivo de seguridad inunda el paquete saliendo por ethernet2, sin embargo
no recibe ninguna respuesta.

Se encontr Untrust

Para habilitar el mtodo de inundacin para el tratamiento de paquetes unicast


desconocidos, ejecute cualquiera de los siguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione Flood, despus haga clic en OK.
CLI
set interface vlan1 broadcast flood
save

Mtodo ARP/Trace-Route
Cuando se habilita el mtodo ARP con la opcin trace-route y el dispositivo de
seguridad recibe una trama de Ethernet con una direccin MAC de destino que no
consta en su tabla de MAC, el dispositivo de seguridad realiza la siguiente serie de
acciones:

86

Modo transparente

Captulo 4: Modos de las interfaces

NOTA:

Cuando se habilita el mtodo ARP, la opcin trace-route se habilita de forma


predeterminada. Tambin puede habilitar el mtodo ARP sin la opcin
trace-route. Sin embargo, este mtodo solamente permite al dispositivo de
seguridad descubrir la direccin MAC de destino para un paquete unicast si dicha
direccin se encuentra en la misma subred que la direccin IP de entrada. (Para
obtener ms informacin sobre la direccin IP de entrada, consulte la nota de la
pgina siguiente).
1. El dispositivo de seguridad detecta la direccin MAC de destino en el paquete
inicial (y, si an no est, agrega la direccin MAC de origen y su interfaz
correspondiente a la tabla de reenvos).
2. El dispositivo de seguridad descarta el paquete inicial.
3. El dispositivo de seguridad genera dos paquetes: la consulta ARP (arp-q) y un
trace-route (una peticin de eco ICMP o PING) con un valor 1 en el campo
time-to-live (TTL), e inunda esos paquetes saliendo por todas las interfaces
excepto por la que lleg el paquete inicial. Para los paquetes arp-q y las
peticiones de eco ICMP, el dispositivo de seguridad utiliza las direcciones IP de
origen y de destino del paquete inicial. Para los paquetes arp-q, el dispositivo
de seguridad reemplaza la direccin MAC de origen del paquete inicial con la
direccin MAC para VLAN1, y reemplaza la direccin MAC de destino del
paquete inicial con ffff.ffff.ffff. Para la opcin trace-route, el dispositivo de
seguridad utiliza las direcciones MAC de origen y de destino del paquete inicial
en las peticiones de eco ICMP que difunde mediante broadcasts.
Si la direccin IP de destino pertenece a un dispositivo en la misma subred que
la direccin IP de entrada, el host devuelve una respuesta ARP (arp-r) con su
direccin MAC, indicando as la interfaz a travs de la cual el dispositivo de
seguridad debe reenviar el trfico destinado a esa direccin. (Consulte
Figura 51, Mtodo ARP, en la pgina 88).

NOTA:

La direccin IP de entrada hace referencia a la direccin IP del ltimo dispositivo


que envi el paquete al dispositivo de seguridad. Este dispositivo puede ser el
origen que envi el paquete o un enrutador que lo reenvi.
Si la direccin IP de destino pertenece a un dispositivo en una subred situada
ms all de la subred de la direccin IP de entrada, trace-route devuelve las
direcciones IP y MAC del enrutador que conduce al destino y, an ms
importante, indica la interfaz a travs de la cual el dispositivo de seguridad
debe reenviar el trfico destinado a esa direccin MAC. (Consulte Figura 52,
Trace-Route, en la pgina 89).

NOTA:

De hecho, trace-route devuelve las direcciones IP y MAC de todos los enrutadores


en la subred. A continuacin, el dispositivo de seguridad compara la direccin
MAC de destino del paquete inicial con la direccin MAC de origen en los paquetes
arp-r para determinar a qu enrutador apuntar, y por lo tanto, qu interfaz utilizar
para alcanzar ese destino.

Modo transparente 87

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

4. Combinando la direccin MAC de destino obtenida del paquete inicial con la


interfaz que conduce a esa direccin MAC, el dispositivo de seguridad agrega
una nueva entrada a su tabla de reenvos.
5. El dispositivo de seguridad reenva a su destino a travs de la interfaz correcta
todos los paquetes que reciba posteriormente.
Para habilitar el mtodo ARP/trace-route para tratar los paquetes unicast
desconocidos, ejecute cualquiera de los siguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione ARP, despus haga clic en OK.
CLI
set interface vlan1 broadcast arp
save
NOTA: De forma predeterminada, la opcin trace-route est habilitada. Si desea utilizar ARP

sin la opcin trace-route, introduzca el comando siguiente: unset interface vlan1


broadcast arp trace-route. Este comando desactiva la opcin trace-route, pero no ARP
como mtodo seleccionado para tratar los paquetes de unidifusin desconocidos.
La Figura 51 muestra cmo el mtodo ARP puede localizar la direccin MAC de
destino cuando la direccin IP de destino se encuentra en una subred adyacente.
Figura 51: Mtodo ARP
Nota:A continuacin solamente se muestran los
elementos relevantes del encabezado del paquete y
los ltimos cuatro dgitos en las direcciones MAC.
Si el paquete siguiente:
Datagrama IP

Trama Ethernet
dst

src

type

11bb

11aa

0800 210.1.1.5 210.1.1.75

src

src

ffff

39ce 0806 210.1.1.5 210.1.1.75

type src

src

Mensaje ARM

type src

Podr asociar la direccin MAC a la interfaz que


conduce hacia ella.

Modo transparente

ethernet4
0.0.0.0/0
0010.db15.39ce

Enrutador A
210.1.1.100
00cc.11cc.11cc

V1-DMZ
Zona

Enrutador

Comn
Direccin
Espacio
ethernet2
0.0.0.0/0
0010.db15.39ce
Zona
L2-Finance

ethernet3
0.0.0.0/0
0010.db15.39ce
Zona
V1-Untrust

dst

39ce 11bb 0806 210.1.1.75 210.1.1.5

88

Zona V1-Trust

dst

Cuando el dispositivo recibe el siguiente arp-r


a ethernet2:

dst

ethernet1
0.0.0.0/0
0010.db15.39ce

Mensaje ARM

dst

Trama Ethernet

PC A
210.1.1.5
00aa.11aa.11aa

dst

llega a ethernet1 y la tabla de reenvos no tiene


una entrada para la direccin MAC
00bb.11bb.11bb, el dispositivo de seguridad
inunda el siguiente paquete arp-q:
Trama Ethernet

VLAN1
210.1.1.1/24
0010.db15.39ce

PC B encontrado
PC B
210.1.1.75
00bb.11bb.11bb

Enrutador B
210.1.1.200
00dd.11dd.11dd

Captulo 4: Modos de las interfaces

La Figura 52 muestra cmo la opcin trace-route puede localizar la direccin MAC


de destino cuando la direccin IP de destino se encuentra en una subred no
adyacente.
Figura 52: Trace-Route
VLAN1
210.1.1.1/24
0010.db15.39ce

Nota:A continuacin solamente se muestran los


elementos relevantes del encabezado del paquete y
los ltimos cuatro dgitos en las direcciones MAC.
PC A
210.1.1.5
00aa.11aa.11aa

Si el paquete siguiente:
Trama Ethernet

Datagrama IP

dst

src

type

src

dst

11dd

11aa

0800

210.1.1.5

195.1.1.5

dst

src

type

11dd 11aa 0800

dst

210.1.1.5

195.1.1.5

Comn
Direccin
Espacio

dst

src

type

11aa 11dd 0800

ethernet3
0.0.0.0/0
0010.db15.39ce

Zona
V1-Untrust

Zona
L2-Finance

Mensaje ICMP
src

ethernet2
0.0.0.0/0
0010.db15.39ce

TTL

Cuando el dispositivo recibe la siguiente


respuesta en ethernet3:
Trama Ethernet

dst

msg

210.1.1.200 210.1.1.5

Enrutador A
210.1.1.100
00cc.11cc.11cc

Zona V1-Trust

Mensaje ICMP
src

ethernet4
0.0.0.0/0
0010.db15.39ce

V1-DMZ
Zona

llega a ethernet1 y la tabla de reenvos no tiene una


entrada para la direccin MAC 00dd.11dd.11dd, el
dispositivo de seguridad inunda el siguiente paquete
trace-route saliendo de ethernet2, 3 y 4:

Trama Ethernet

ethernet1
0.0.0.0/0
0010.db15.39ce

PC B
210.1.1.75
00bb.11bb.11bb

Enrutador B
210.1.1.200
00dd.11dd.11dd

Tiempo
excedido

Se encontr
Untrust

Servidor C
195.1.1.5
00dd.22dd.22dd

Ahora se puede asociar la direccin MAC


con la interfaz que conduce hacia ella.

Configuracin de la interfaz VLAN1 para administracin


En este ejemplo configurar el dispositivo de seguridad para la administracin a su
interfaz VLAN1 como se presenta a continuacin:

NOTA:

Asignar a la interfaz VLAN1 la direccin IP 1.1.1.1/24.

Habilitar Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la zona
de seguridad V1-Trust.

De forma predeterminada, ScreenOS habilita las opciones de administracin para la


interfaz VLAN1 y la zona de seguridad V1-Trust. En este ejemplo se muestran estas
opciones habilitadas slo con fines ilustrativos. A menos que las haya inhabilitado
previamente, realmente no es necesario habilitarlas manualmente.
Para administrar el dispositivo desde una zona de seguridad de capa 2 (Layer 2), debe
establecer las mismas opciones de administracin para la interfaz VLAN1 que para la zona
de seguridad de capa 2.
Modo transparente 89

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Agregar una ruta en el enrutador virtual trust (todas las zonas de seguridad de
capa 2 estn en el dominio de enrutamiento trust-vr) para permitir que el
trfico administrativo fluya entre el dispositivo de seguridad y una estacin de
trabajo administrativa situada ms all de la subred inmediata del dispositivo
de seguridad. Todas las zonas de seguridad se encuentran en el dominio de
enrutamiento trust-vr.

Figura 53: VLAN transparente


1.1.2.0/24
Subred

Internal Router
1.1.1.251
1.1.2.250

1.1.1.0/24
Subred

Enrutador externo
1.1.1.250

Internet
IP de VLAN1
1.1.1.1/24

Zona V1-Trust
Interfaz V1-Trust
ethernet1
0.0.0.0/0

Estacin de trabajo
admin
1.1.2.5

Zona V1-Untrust
Interfaz V1-Untrust
ethernet3
0.0.0.0/0

WebUI
1.

Interfaz VLAN1

Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet, SSH (seleccione)
Other Services: Ping (seleccione)
2.

Zona V1-Trust

Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet, SSH
Other Services: Ping
3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 1.1.2.0/24
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.251
Metric: 1

CLI
1.

Interfaz VLAN1

set interface vlan1 ip 1.1.1.1/24


set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ssh
set interface vlan1 manage ping
90

Modo transparente

Captulo 4: Modos de las interfaces

2.

Zona V1-Trust

set
set
set
set
3.

zone
zone
zone
zone

v1-trust manage web


v1-trust manage telnet
v1-trust manage ssh
v1-trust manage ping

Ruta

set vrouter trust-vr route 1.1.2.0/24 interface vlan1 gateway 1.1.1.251 metric 1
save

Configuracin del modo transparente


El ejemplo siguiente ilustra una configuracin bsica con una sola LAN protegida
por un dispositivo de seguridad en modo transparente. Las directivas permiten el
trfico saliente para todos los hosts de la zona V1-Trust, servicios SMTP entrantes
para el servidor de correo y servicios entrante FTP-GET para el servidor FTP.
Para aumentar la seguridad del trfico administrativo, cambiar el nmero del
puerto HTTP para la administracin de WebUI de 80 a 5555, y el nmero de puerto
Telnet para la administracin de CLI de 23 a 4646. Utilizar la direccin IP de
VLAN1 (1.1.1.1/24) para administrar el dispositivo de seguridad desde la zona de
seguridad V1-Trust. Definir direcciones para los servidores FTP y de correo.
Tambin configurar una ruta predeterminada al enrutador externo en 1.1.1.250,
para que el dispositivo de seguridad le pueda enviar trfico VPN saliente. (La puerta
de enlace predeterminada en todos los hosts de la zona V1-Trust tambin ser
1.1.1.250).

NOTA:

Para ver un ejemplo de configuracin de un tnel VPN para un dispositivo de


seguridad con las interfaces en modo transparente, consulte VPN en modo
transparente en la pgina 5-152.

Figura 54: Modo transparente bsico


FTP_Server
1.1.1.5

Mail_Server
1.1.1.10

Enrutador externo
1.1.1.250
1.1.1.0/24
Espacio de direcciones
Internet
IP de VLAN1
1.1.1.1/24

Zona V1-Trust

Interfaz V1-Trust
ethernet1
0.0.0.0/0

Zona V1-Untrust

Interfaz V1-Untrust
ethernet3
0.0.0.0/0

Modo transparente 91

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
1.

Interfaz VLAN1

Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet (seleccione)
Other Services: Ping (seleccione)
2.

Puerto HTTP

Configuration > Admin > Management: En el campo HTTP Port, escriba 5555
y despus haga clic en Apply.

NOTA:

El nmero de puerto predeterminado es 80. Se recomienda cambiarlo a cualquier


nmero entre 1024 y 32.767 para evitar cualquier acceso no autorizado a la
configuracin. Cuando se conecte posteriormente para administrar el dispositivo,
introduzca lo siguiente en el campo URL de su explorador: http://1.1.1.1:5555.
3.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
4.

Zona V1-Trust

Network > Zones > Edit (para v1-trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet
Other Services: Ping
5.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: FTP_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/32
Zona: V1-Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: Mail_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.10/32
Zona: V1-Trust

92

Modo transparente

Captulo 4: Modos de las interfaces

6.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.250
Metric: 1
7.

Directivas

Directivas > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit

Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Mail
Action: Permit

Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), FTP_Server
Service: FTP-GET
Action: Permit

CLI
1.

VLAN1

set interface vlan1 ip 1.1.1.1/24


set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
2.

Telnet

set admin telnet port 4646


NOTA:

El nmero de puerto predeterminado para Telnet es 23. Se recomienda cambiarlo


a cualquier nmero entre 1024 y 32.767 para evitar cualquier acceso
no autorizado a la configuracin. Cuando se conecte posteriormente para
administrar el dispositivo a travs de Telnet, introduzca la siguiente direccin:
1.1.1.1 4646.

Modo transparente 93

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

Interfaces

set interface ethernet1 ip 0.0.0.0/0


set interface ethernet1 zone v1-trust
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone v1-untrust
4.

Zona V1-Trust

set zone v1-trust manage web


set zone v1-trust manage telnet
set zone v1-trust manage ping
5.

Direcciones

set address v1-trust FTP_Server 1.1.1.5/32


set address v1-trust Mail_Server 1.1.1.10/32
6.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
7.

Directivas

set policy from v1-trust to v1-untrust any any any permit


set policy from v1-untrust to v1-trust any Mail_Server mail permit
set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
save

Modo NAT
Cuando una interfaz de entrada est en el modo de traduccin de direcciones de
red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de
capa 3, traduce dos componentes del encabezado de un paquete IP saliente
destinado a la zona Untrust: su direccin IP de origen y el nmero del puerto de
origen. El dispositivo de seguridad reemplaza la direccin IP de origen del host de
origen con la direccin IP de la interfaz de la zona Untrust. Tambin reemplaza el
nmero del puerto de origen con otro nmero de puerto generado aleatoriamente
por el dispositivo de seguridad.

94

Modo NAT

Captulo 4: Modos de las interfaces

Figura 55: Topologa de NAT


10.1.1.15
10.1.1.10

10.1.1.20

10.1.1.5

10.1.1.25
Zona Trust

Espacio de
direcciones privado

Espacio de
direcciones pblico

Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24
Enrutador
externo
Zona Untrust

Internet

Cuando el paquete de respuesta llega al dispositivo de seguridad, ste traduce dos


componentes del encabezado IP del paquete entrante: la direccin y el nmero de
puerto del destino, que se traducen inversamente para obtener los nmeros
originales. El dispositivo de seguridad reenva el paquete a su destino.
NAT agrega un nivel de seguridad no disponible con el modo transparente: Las
direcciones de los hosts que envan trfico a travs de una interfaz de entrada en
modo NAT (como una interfaz de la zona Trust) nunca quedan expuestas a los hosts
de la zona de salida (como la zona Untrust), salvo que ambas zonas se encuentren
en el mismo dominio de enrutamiento virtual y el dispositivo de seguridad publique
rutas a interlocutores mediante un protocolo de enrutamiento dinmico (DRP).
Incluso entonces, las direcciones de la zona Trust son solamente accesibles si
alguna directiva les permite recibir trfico entrante. (Si desea mantener ocultas las
direcciones de la zona Trust mientras utilice un DRP, ponga la zona Untrust en
untrust-vr y la zona Trust en trust-vr, y no exporte rutas de direcciones internas de
trust-vr a untrust-vr).
Si el dispositivo de seguridad utiliza el enrutamiento esttico y slo un enrutador
virtual, las direcciones internas siguen ocultas cuando el trfico es saliente, debido a
NAT basada en interfaces. Las directivas que configure controlarn el trfico
entrante. Si solamente utiliza direcciones IP asignadas (MIP) y direcciones IP
virtuales (VIP) como destinos en sus directivas de trfico entrante, las direcciones
internas permanecern ocultas.

Modo NAT

95

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Asimismo, NAT preserva el uso de direcciones IP pblicas. En muchos entornos, no


hay recursos disponibles para proporcionar direcciones IP pblicas para todos los
dispositivos en la red. Los servicios NAT permiten que muchas direcciones IP
privadas tengan acceso a los recursos de Internet a travs de una, o de unas pocas,
direcciones IP pblicas. Los siguientes rangos de direcciones IP estn reservados
para redes IP privadas y no deben enrutarse hacia Internet:

10.0.0.0 10.255.255.255

172.16.0.0 172.31.255.255

192.168.0.0 192.168.255.255

Trfico NAT entrante y saliente


Un host en una zona que enve trfico a travs de una interfaz en modo NAT puede
iniciar trfico hacia la zona Untrust (asumiendo que alguna directiva lo permita). En
versiones anteriores a ScreenOS 5.0.0, un host detrs de una interfaz en modo NAT
no poda recibir trfico de la zona Untrust a menos que se configurara para l una
direccin IP asignada (MIP), IP virtual (VIP) o un tnel VPN. Sin embargo, en
ScreenOS 5.0.0, el trfico hacia una zona con una interfaz habilitada para NAT
desde cualquier zona (incluyendo la zona Untrust) no necesita utilizar una MIP, VIP
o VPN. Si desea proteger la privacidad de las direcciones o si est utilizando
direcciones privadas inexistentes en una red pblica como Internet, puede definir
una MIP, VIP o VPN para que el trfico pueda alcanzarlas. Sin embargo, si los
posibles problemas de privacidad y las direcciones IP privadas no son una cuestin
relevante, el trfico procedente de la zona Untrust puede llegar directamente a los
hosts que se encuentren detrs de una interfaz en modo NAT, sin necesidad de
utilizar una MIP, VIP ni VPN.
NOTA:

Slo se puede definir una direccin IP virtual (VIP) en una interfaz asociada a la
zona Untrust.

Figura 56: Flujo de trfico NAT


1. NAT basada en interfaces aplicada al trfico de
la zona Trust a la zona Untrust.

ethernet3
1.1.1.1/24
Modo de ruta
MIP 1.1.1.10 a 10.1.1.10
MIP 1.1.1.20 a 10.1.2.20

Zona Untrust

2. NAT basada en interfaces aplicada al trfico de


la zona definida por el usuario a la zona Untrust.

(Nota: Esto slo es posible si las zonas definida


por el usuario y Untrust se encuentran en
diferentes dominios de enrutamiento virtuales).
3. Sin NAT basada en interfaces aplicada al trfico
entre las zonas Trust y definida por el usuario.
4 y 5. Puede utilizar MIP, VIP o VPN para que el
trfico de la zona Untrust llegue a la zona Trust
o zona definida por el usuario, pero no es
necesario.

NAT

ethernet1
10.1.1.1/24
Modo NAT
Zona Trust

NOTA:

96

Modo NAT

2
NAT

Las MIP son opcionales

4
Sin NAT
Las MIP
6
son
opcionales

ethernet2
10.1.2.1/24
Modo NAT
Zona definida
por el usuario

Para obtener ms informacin sobre MIP, consulte Direcciones IP asignadas en


la pgina 8-65. Para obtener ms informacin sobre VIP, consulte Direcciones IP
virtuales en la pgina 8-83.

Captulo 4: Modos de las interfaces

Ajustes de interfaz
Para el modo NAT, defina los siguientes ajustes de interfaz, donde dir_ip1 y dir_ip2
representan los nmeros de una direccin IP, mscara representa los nmeros de
una mscara de red, nm_id_vlan representa el nmero de una etiqueta VLAN, zona
representa el nombre de una zona y nmero representa el tamao del ancho de
banda en kbps:
Interfaces de zona

Ajustes

Subinterfaces de zona

Zonas Trust, DMZ y definida


IP: ip_addr1
por el usuario que utilizan NAT Mscara de red: mask
IP de administracin1: ip_addr2
Ancho de banda del trfico2:
number
NAT3: (seleccione)

IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
NAT: (seleccione)

Untrust4

IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone

IP: ip_addr1
Mscara de red: mask
IP de administracin*: ip_addr2
Ancho de banda del trfico:
number

1.Puede establecer una direccin IP de administracin en cada interfaz. Su finalidad principal es


proporcionar una direccin IP para el trfico administrativo separada del trfico de red. Tambin
puede utilizar la direccin IP de administracin para tener acceso a un dispositivo especfico
cuando se encuentre en una configuracin de alta disponibilidad.
2.Ajuste opcional para la asignacin de trfico.
3.Al seleccionar NAT, el modo de interfaz se define como NAT. Al seleccionar Route, el modo de la
interfaz es Ruta.
4.Aunque se puede seleccionar NAT como modo de interfaz en una interfaz asociada a la zona
Untrust, el dispositivo de seguridad no realizar ninguna operacin NAT en esa interfaz.

NOTA:

En el modo NAT, es posible administrar un dispositivo de seguridad de cualquier


interfazy de varias interfacesutilizando la direccin IP del sistema, direcciones
IP de la interfaz, direcciones IP de administracin o la direccin IP MGT.

Configuracin del modo NAT


El siguiente ejemplo ilustra una configuracin simple de una LAN con una sola
subred en la zona Trust. La LAN est protegida por un dispositivo de seguridad en
modo NAT. Las directivas permiten el trfico saliente para todos los hosts de la zona
Trust y correo entrante para el servidor de correo. El correo entrante se enruta al
servidor de correo a travs de una direccin IP virtual. Las dos zonas Trust y Untrust
se encuentran en el dominio de enrutamiento trust-vr.

NOTA:

Compare la Figura 57 con el del modo ruta en la Figura 59, Dispositivo en modo
de ruta, en la pgina 102.

Modo NAT

97

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 57: Dispositivo en modo NAT


Enrutador externo
1.1.1.250

Internet

Servidor de correo electrnico


VIP 1.1.1.5 ->
10.1.1.5
Zona Trust

ethernet1
10.1.1.1/24
Modo NAT

ethernet3
1.1.1.1/24
Modo de ruta

Zona Untrust

WebUI
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
NOTA:

De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar


en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address / Netmask: 1.1.1.1/24
Interface Mode: Ruta

NOTA:

Si la direccin IP de la zona Untrust del dispositivo de seguridad es asignada


dinmicamente por un ISP, deje los campos de direccin IP y mscara de red
vacos y seleccione Obtain IP using DHCP. Si el ISP utiliza el protocolo
Point-to-Point Protocol over Ethernet, seleccione Obtain IP using PPPoE, haga
clic en el vnculo Create new PPPoE settings e introduzca su nombre y
contrasea.
2.

VIP

Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes
datos y haga clic en Add:
Virtual IP Address (direccin IP virtual o VIP): 1.1.1.5

Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service:
Introduzca los siguientes datos y haga clic en OK:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5

98

Modo NAT

Captulo 4: Modos de las interfaces

NOTA:

Para obtener ms informacin sobre direcciones IP virtuales (VIP), consulte


Direcciones IP virtuales en la pgina 8-83.
3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
4.

Directivas

Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

Directivas > (From: Untrust, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.5)
Service: MAIL
Action: Permit

CLI
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
NOTA:

El comando set interface ethernetn nat determina si el dispositivo de seguridad


est funcionando en modo NAT.
Si la direccin IP de la zona Untrust d el dispositivo de seguridad es asignada
dinmicamente por un ISP, utilice el comando siguiente: set interface untrust
dhcp. Si el ISP utiliza el protocolo Point-to-Point Protocol over Ethernet, utilice
los comandos set pppoe y exec pppoe. Para obtener informacin adicional,
consulte Descripciones de comandos IPv4 del Manual de referencia de CLI de
ScreenOS.

Modo NAT

99

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2.

VIP

set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5


3.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250


4.

Directivas

set policy from trust to untrust any any any permit


set policy from untrust to global any vip(1.1.1.5) mail permit
save

Modo de ruta
Cuando una interfaz est en modo de ruta (Route), el dispositivo de seguridad
enruta el trfico entre diferentes zonas sin ejecutar NAT de origen (NAT-src); es
decir, la direccin de origen y el nmero de puerto en el encabezado del paquete IP
permanecen invariables mientras atraviesan el dispositivo de seguridad. A
diferencia de NAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP
virtuales (VIP) para permitir que trfico entrante llegue a los hosts cuando la
interfaz de la zona de destino est en modo de ruta. A diferencia del modo
transparente, las interfaces de cada zona se encuentran en subredes diferentes.
Figura 58: Topologa de NAT
10.1.1.15
10.1.1.10

10.1.1.20

10.1.1.5

10.1.1.25
Zona Trust

Espacio de
direcciones privado

Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24

Espacio de
direcciones pblico
Enrutador
externo

Zona Untrust

Internet

100

Modo de ruta

Captulo 4: Modos de las interfaces

No es necesario aplicar la Traduccin de direcciones de red de origen (NAT-src) en


el nivel de interfaz para que todas las direcciones de origen que inician trfico
saliente sean traducidas a la direccin IP de la interfaz de la zona de destino. En
lugar de ello, puede aplicar NAT-src selectivamente a nivel de directivas. Puede
determinar qu trfico enrutar y a qu trfico aplicar NAT-src creando las directivas
que habilitan NAT-src para las direcciones de origen especificadas tanto en trfico
entrante como saliente. Para el trfico de red, NAT puede utilizar la direccin IP o
direcciones IP de la interfaz de la zona de destino de un conjunto de IP dinmicas
(DIP), que se encuentra en la misma subred que la interfaz de la zona de destino.
Para el trfico VPN, NAT puede utilizar la direccin IP de una interfaz de tnel o una
direccin de su conjunto de DIP asociado.

NOTA:

Para obtener ms informacin sobre cmo configurar NAT-src basada en


directivas, consulte Traduccin de direcciones de red de origen en la
pgina 8-15.

Ajustes de interfaz
Para el modo Route, defina los siguientes ajustes de interfaz, donde dir_ip1 y
dir_ip2 representan los nmeros de una direccin IP, mscara representa los
nmeros de una mscara de red, nm_id_vlan representa el nmero de una
etiqueta VLAN, zona representa el nombre de una zona y nmero representa el
tamao del ancho de banda en kbps:
Tabla 13: Ajustes de interfaz
I

Interfaces de zona

Ajustes

Subinterfaces de zona

Trust, Untrust, DMZ y zonas


definidas por el usuario

IP: ip_addr1
Netmask: mscara
IP de administracin1: ip_addr2
Ancho de banda del trfico2:
nmero
Route3: (seleccione)

IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
Ruta: (seleccione)

1.Puede establecer una direccin IP de administracin en cada interfaz. Su finalidad principal es


proporcionar una direccin IP para el trfico administrativo separada del trfico de red. Tambin
puede utilizar la direccin IP de administracin para tener acceso a un dispositivo especfico
cuando se encuentre en una configuracin de alta disponibilidad.
2.Ajuste opcional para la asignacin de trfico.
3.Al seleccionar la ruta, el modo de la interfaz queda definido como Route. Al seleccionar NAT, el
modo de la interfaz queda definido como NAT.

Configuracin del modo de ruta


En Configuracin del modo NAT en la pgina 97, los hosts en la LAN de la zona
Trust tienen direcciones IP privadas y una direccin IP asignada para el servidor de
correo. En el ejemplo siguiente, la misma red est protegida por un dispositivo de
seguridad que funciona en modo de ruta; observe que los hosts tienen direcciones
IP pblicas y que no se requiere una MIP para el servidor de correo. Ambas zonas
de seguridad se encuentran en el dominio de enrutamiento trust-vr.

Modo de ruta 101

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 59: Dispositivo en modo de ruta


Enrutador externo
1.1.1.250

Servidor de correo electrnico


1.2.2.5

Internet

ethernet1
1.2.2.1/24
Modo de ruta

Zona Trust

ethernet3
1.1.1.1/24
Modo de ruta

Zona Untrust

WebUI
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: Ruta

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
NOTA:

Seleccionando Route se determina que el dispositivo de seguridad funcione en el


modo de ruta, sin aplicar NAT al trfico entrante o saliente de la zona Trust.
Si la direccin IP de la zona Untrust del dispositivo de seguridad es asignada
dinmicamente por un ISP, deje los campos de direccin IP y mscara de red
vacos y seleccione Obtain IP using DHCP. Si el ISP utiliza el protocolo
Point-to-Point Protocol over Ethernet, seleccione Obtain IP using PPPoE, haga
clic en el vnculo Create new PPPoE settings e introduzca su nombre y
contrasea.
2.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: Trust

102

Modo de ruta

Captulo 4: Modos de las interfaces

3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
4.

Policies

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

Directivas > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: MAIL
Action: Permit

CLI
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 1.2.2.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
NOTA:

El comando set interface ethernetnmero route establece que el dispositivo de


seguridad funcione en modo de ruta.
2.

Direccin

set address trust mail_server 1.2.2.5/24


3.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250


4.

Directivas

set policy from trust to untrust any any any permit


set policy from untrust to trust any mail_server mail permit
save

Modo de ruta 103

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

104

Modo de ruta

Captulo 5

Bloques para la construccin de


directivas
Este captulo explica los componentes, o bloques de construccin, a los que puede
hacerse referencia en las directivas. Contiene las siguientes secciones:

Direcciones en la pgina 106

Entradas de direcciones en la pgina 106

Grupos de direcciones en la pgina 108

Servicios en la pgina 111

Servicios predefinidos en la pgina 111

Servicios personalizados en la pgina 125

Establecer el tiempo de espera de un servicio en la pgina 127

Definir un Servicio de protocolo de mensaje de control de Internet


personalizado en la pgina 130

Puerta de enlace "Remote Shell" en la capa de aplicacin en la


pgina 131

Sun Remote Procedure Call Application Layer Gateway en la pgina 131

Personalizar Microsoft Remote Procedure Call Application Layer Gateway


en la pgina 133

La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en


tiempo real en la pgina 134

Grupos de servicios en la pgina 142

Grupo de IP dinmico en la pgina 144

Direcciones DIP sticky en la pgina 147

Usar DIP en otra subred en la pgina 148

Utilizar un DIP en una Interfaz Loopback en la pgina 153

105

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

Crear un grupo de DIP en la pgina 157

Configurar una programacin recurrente en la pgina 160

Para obtener ms informacin sobre la autenticacin de usuario, consulte el


Volumen 9: Autenticacin de usuarios.

Direcciones
ScreenOS clasifica las direcciones de todos los dems dispositivos segn su
ubicacin y mscara de red. Cada zona posee su propia lista de direcciones y sus
grupos de direcciones.
Los hosts individuales solamente tienen definida una direccin IP, por lo que su
mscara de red debe tener el valor 255.255.255.255 (que enmascara todos los
hosts salvo el propio).
Las subredes tienen una direccin IP y una mscara de red (por ejemplo,
255.255.255.0 o 255.255.0.0).
Para poder configurar directivas que permitan, rechacen o canalicen el trfico a
travs de un tnel desde y hacia determinados hosts y subredes, es necesario crear
las correspondientes entradas en las listas de direcciones de ScreenOS, que estn
organizadas por zonas.

NOTA:

Para Any no es necesario crear entradas de direcciones. Este trmino se aplica


automticamente a todos los dispositivos situados fsicamente dentro de sus
zonas respectivas.

Entradas de direcciones
Para poder establecer muchas de las opciones de configuracin de la pared de
fuego de Juniper, de VPN y de asignacin del trfico, es necesario definir
direcciones en unas o varias listas de direcciones. La lista de direcciones de una
zona de seguridad contiene las direcciones IP o nombres de dominios de los hosts o
subredes cuyo trfico est permitido, bloqueado, encriptado o autenticado por el
usuario.

NOTA:

Para poder utilizar nombres de dominios para las entradas de direcciones, es


necesario configurar el dispositivo de seguridad para los servicios del sistema de
nombres de dominios (Domain Name System o DNS). Para obtener ms
informacin sobre la configuracin de DNS, consulte Compatibilidad con DNS
(sistema de nombres de dominio) en la pgina 221.
Para obtener ms informacin sobre las convenciones de nomenclatura de
ScreenOS (aplicables a los nombres creados para las direcciones), consulte
Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii.

106

Direcciones

Captulo 5: Bloques para la construccin de directivas

Agregar una direccin


En este ejemplo agregar la subred Sunnyvale_Eng con la direccin IP
10.1.10.0/24 como direccin en la zona Trust, y la direccin www.juniper.net
como direccin en la zona Untrust.
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Sunnyvale_Eng
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.10.0/24
Zona: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Juniper
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.net
Zona: Untrust

CLI
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save

Modificar una direccin


En este ejemplo cambiar la entrada de la direccin Sunnyvale_Eng para reflejar
que este departamento est dedicado especficamente a la ingeniera de software y
tiene otra direccin IP (10.1.40.0/24).
WebUI
Objects > Addresses > List > Edit (para Sunnyvale_Eng): Cambie el nombre y
la direccin IP por los siguientes datos y haga clic en OK:
Address Name: Sunnyvale_SW_Eng
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.40.0/24
Zona: Trust

CLI
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_SW_Eng 10.1.40.0/24
save
NOTA:

Despus de definir una direccin, o un grupo de direcciones, y asociarla a una


directiva, no podr cambiar la ubicacin de la direccin a otra zona (como de
Trust a Untrust). Para cambiar su ubicacin, primero debe desvincularla de la
directiva subyacente.

Eliminar una direccin


En este ejemplo eliminar la entrada de la direccin Sunnyvale_SW_Eng.
Direcciones

107

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
Objects > Addresses > List: Haga clic en Remove en la columna Configure
para Sunnyvale_SW_Eng.
CLI
unset address trust Sunnyvale_SW_Eng
save

Grupos de direcciones
En Entradas de direcciones en la pgina 106 se explica cmo crear, modificar y
eliminar las entradas en la libreta de direcciones correspondientes a los diferentes
hosts y subredes. Segn se vayan agregando direcciones a una lista de direcciones,
se har ms difcil controlar cmo las directivas afectan a cada entrada de
direccin. ScreenOS permite crear a grupos de direcciones. En lugar de administrar
un gran nmero de entradas de direcciones, puede administrar un pequeo
nmero de grupos. Los cambios que efecte al grupo se aplicarn a todas las
entradas de direcciones que lo componen.
Figura 60: Grupos de direcciones
1 directiva por direccin
Nombre
Direccin

1 directiva por grupo de direcciones

Directiva
de
acceso

Nombre
Direccin

Directiva
de
acceso

Nombre
Direccin

Directiva
de
acceso

Name
Name
Address
Name
Address
Address

Directiva
de
acceso

La opcin de grupo de direcciones tiene las siguientes caractersticas:

108

Direcciones

Puede crear grupos de direcciones en cualquier zona.

Puede crear grupos de direcciones con los usuarios existentes, o bien crear
grupos de direcciones vacos e introducir posteriormente los usuarios.

Un grupo de direcciones puede ser un miembro de otro grupo de direcciones.

Captulo 5: Bloques para la construccin de directivas

NOTA:

NOTA:

Para asegurarse de que un grupo no est autocontenido accidentalmente como


miembro en su propio grupo, el dispositivo de seguridad realiza una
comprobacin de coherencia cada vez que se incluye un grupo en otro. Por
ejemplo, si agrega el grupo A como miembro al grupo B, el dispositivo de
seguridad se asegura automticamente de que A no contenga ya a B como
miembro.

En una directiva se puede hacer referencia a una entrada de grupo de


direcciones igual que a una entrada individual en la libreta de direcciones.

ScreenOS aplica las directivas a cada miembro del grupo creando internamente
directivas individuales para cada miembro del grupo. Aunque usted solamente
tiene que crear una directiva para un grupo, en realidad ScreenOS crea una
directiva interna para cada miembro del grupo (as como para cada servicio
configurado para cada usuario).

La forma automtica en la que el dispositivo de seguridad aplica directivas a cada


miembro del grupo de direcciones ahorra al usuario tener que crearlas una por
una para cada direccin. ScreenOS incluso escribe estas directivas en ASIC, lo cual
acelera considerablemente la ejecucin de las consultas.

Cuando se elimina una entrada individual en la libreta de direcciones, el


dispositivo de seguridad la elimina automticamente de todos los grupos a los
que perteneci.

Los grupos de direcciones tienen las siguientes limitaciones:

Los grupos de direcciones solamente pueden contener direcciones que


pertenezcan a la misma zona.

Los nombres de direcciones no pueden coincidir con nombres de grupos. Si se


utiliza el nombre Paris para una entrada de direccin individual, no se puede
utilizar para un nombre de grupo.

No se pueden eliminar los grupos a los que se haga referencia en directivas. No


obstante, estos grupos pueden ser editados.

Cuando se asigna una directiva individual a un grupo de direcciones, se aplica


de forma individual a cada miembro del grupo, y el dispositivo de seguridad
genera una entrada por cada miembro en la lista de control de accesos (ACL). Si
el usuario no est pendiente, se puede exceder el nmero de recursos de
directivas disponibles, especialmente si tanto la direccin de origen como la de
destino son grupos de direcciones y el servicio especificado es un grupo de
servicios.

No se pueden agregar las direcciones predefinidas: Any, All Virtual IP ni


Dial-Up VPN a grupos.

Direcciones

109

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Crear un grupo de direcciones


En el ejemplo siguiente crear un grupo denominado HQ 2nd Floor que
contendr las dos direcciones Santa Clara Eng y Tech Pubs, que ya habr
introducido en la libreta de direcciones para la zona Trust.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) New: Introduzca el
siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK:
Group Name: HQ 2nd Floor

Seleccione Santa Clara Eng y utilice el botn << para trasladar la


direccin de la columna Available Members a la columna Group
Members.
Seleccione Tech Pubs y utilice el botn << para trasladar la direccin de
la columna Available Members a la columna Group Members.
CLI
set group address trust HQ 2nd Floor add Santa Clara Eng
set group address trust HQ 2nd Floor add Tech Pubs
save

Editar una entrada de grupo de direcciones


En este ejemplo agregar Support (una direccin que ya habr introducido en la
libreta de direcciones) al grupo de direcciones HQ 2nd Floor.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (para HQ 2nd
Floor): Mueva la siguiente direccin, luego haga clic en OK:
Seleccione Support y utilice el botn << para trasladar la direccin de la
columna Available Members a la columna Group Members.
CLI
set group address trust HQ 2nd Floor add Support
save

Eliminar un miembro y un grupo


En este ejemplo eliminar el miembro Support del grupo de direcciones HQ 2nd
Floor y eliminar Sales, un grupo de direcciones que previamente habr creado.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (HQ 2nd Floor):
Mueva la siguiente direccin, luego haga clic en OK:
Seleccione Support y utilice el botn >> para trasladar la direccin de la
columna Group Members a la columna Available Members.
Objects > Addresses > Groups > (para la zona: Trust): Haga clic en Remove
en la columna Configure para Sales.

110

Direcciones

Captulo 5: Bloques para la construccin de directivas

CLI
unset group address trust HQ 2nd Floor remove Support
unset group address trust Sales
save
NOTA:

El dispositivo de seguridad no elimina automticamente un grupo del que se


hayan eliminado todos los nombres.

Servicios
Los servicios son tipos de trfico para los que existen estndares de protocolos.
Cada servicio tiene asociados un protocolo de transporte y uno o varios nmeros de
puertos de destino, como el puerto TCP n 21 para FTP y el puerto TCP n 23 para
Telnet. Al crear una directiva se debe especificar un servicio para ella. Puede
seleccionar uno de los servicios predefinidos del libro de servicios, o bien un
servicio personalizado o grupo de servicios que haya creado. Para consultar qu
servicio puede utilizar en una directiva, visualice la lista desplegable Service de la
pgina Policy Configuration (WebUI) o ejecute el comando get service (CLI).

Servicios predefinidos
Puede visualizar la lista de servicios predefinidos o personalizados, o bien los
grupos de servicios en el dispositivo de seguridad mediante WebUI o CLI.

Mediante WebUI:

Objects > Services > Predefined

Objects > Services > Custom

Objects > Services > Groups

Mediante CLI:
get service [ group | predefined | user ]

NOTA:

Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 65535,


que abarca todo el conjunto de nmeros de puerto vlidos. Esto evita que posibles
atacantes obtengan acceso a travs de un puerto de origen que se encuentre fuera
del rango. Si necesita utilizar un rango de puertos de origen distinto para cualquier
servicio predefinido, cree un servicio personalizado. Para obtener informacin,
consulte Servicios personalizados en la pgina 125.
Esta seccin contiene informacin sobre los siguientes servicios predefinidos:

Protocolo de mensajes de control de Internet en la pgina 112

Servicios predefinidos relacionados con Internet en la pgina 115

Servicios de llamadas de procedimiento remoto de Microsoft en la pgina 117

Protocolo de enrutamiento dinmico en la pgina 119


Servicios

111

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Vdeo de secuencia en la pgina 119

Servicios de llamadas de procedimiento remoto de Sun en la pgina 120

Servicios de tnel y seguridad en la pgina 121

Servicios relacionados con IP en la pgina 121

Servicios de mensajes instantneos en la pgina 122

Servicios de administracin: en la pgina 122

Servicios de correo en la pgina 123

Servicios de UNIX en la pgina 124

Servicios miscelneos en la pgina 124

Puede encontrar informacin ms detalladas sobre algunos de los enumerados en


las siguientes pginas:

Definir un Servicio de protocolo de mensaje de control de Internet


personalizado en la pgina 130

Puerta de enlace "Remote Shell" en la capa de aplicacin en la pgina 131

Sun Remote Procedure Call Application Layer Gateway en la pgina 131

Personalizar Microsoft Remote Procedure Call Application Layer Gateway en


la pgina 133

La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en


tiempo real en la pgina 134

Protocolo de mensajes de control de Internet


El protocolo de mensajes de control de Internet (ICMP) es una parte de IP y
proporciona una manera de consultar una red (Mensajes de consulta de ICMP) y
recibir retroalimentacin de la red para obtener los patrones de errores (Mensajes
de error de ICMP). Sin embargo, ICMP no garantiza el informe o entrega de
mensajes de error de todos los datagramas perdidos y no es un protocolo confiable.
El cdigo de ICMP y los cdigos de tipo describen los Mensajes de error de ICMP y
los Mensajes de consultas de ICMP.
Puede seleccionar permitir o rechazar cualquiera o tipos especficos de los
mensajes de ICMP para mejorar la seguridad de la red. Algunos de los tipos de
mensajes de ICMP pueden aprovechar el obtener informacin sobre su red que
puede comprometer la seguridad. Por ejemplo, los paquetes ICMP, TCP o UDP se
pueden construir para regresar los mensajes de error de ICMP que contienen
informacin sobre una red, como su topologa y las caractersticas de filtrado de la
lista de accesos. La siguiente tabla enumera los nombres de mensajes de ICMP, la
descripcin, el tipo y el cdigo correspondiente.

112

Servicios

Captulo 5: Bloques para la construccin de directivas

Nombre de mensaje de ICMP

Cdigo Tipo

ICMP-ANY

todos

Descripcin

todos ICMP-ANY afecta cualquier protocolo que utilice ICMP.


Al denegar ICMP-ANY perjudica cualquier intento de ejecutar
el comando ping o supervisar una red utilizando ICMP.
Al permitir ICMP-ANY permite todos los mensajes de ICMP.

ICMP-ADDRESS-MASK
Request (peticin)

17

Reply (respuesta)

18

La Consulta de mscara de la direccin de ICMP se utiliza


para los sistemas que necesitan la mscara de subred local
de un servidor bootstrap.
Al denegar los mensajes de peticin de mscara de direccin
de ICMP puede afectar de manera desfavorable a los
sistemas sin discos.
Al permitir los mensajes de peticin de mscara de direccin
de ICMP puede permitir que otros coloquen su huella dactilar
en el sistema operativo de un host en su red.

ICMP-DEST-UNREACH

El mensaje de error de destino inalcanzable de ICMP indica


que el host de destino est configurado para rechazar los
paquetes.
Los cdigos 0, 1, 4 o 5 pueden ser de una puerta de enlace.
Los cdigos 2 o 3 de un host (RFC 792).
Al denegar los mensajes de error de destino inalcanzable de
ICMP se puede eliminar el supuesto que un host est activo y
ejecutndose detrs de un dispositivo de seguridad.
Al permitir los mensajes de error de destino inalcanzable de
ICMP puede permitir que se realicen algunos supuestos,
como el filtrado de seguridad, sobre la red.

ICMP Fragment Needed

El mensaje de error de fragmentacin de ICMP indica que


esa fragmentacin es necesaria pero no est establecido el
flag de fragmentos.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.

ICMP Fragment Reassembly

11

El error de tiempo excedido de reensamblaje de fragmentos


de ICMP indica que un host reensambla un mensaje
fragmentado que agot el tiempo y descart el paquete. Este
mensaje se enva algunas veces.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.

ICMP-HOST-UNREACH

Los mensajes de error de host inalcanzable de ICMP indican


que las entradas de la tabla de enrutamiento no enumera o
enumeran como infinito un host determinado. Algunas
veces este error se enva por puertas de enlace que no se
pueden fragmentar cuando se recibe un paquete que
requiere de fragmentacin.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.
El permitir estos mensajes proporciona a otros la capacidad
para determinar sus direcciones de IP de hosts internos por
medio de un proceso de eliminacin o al realizar supuestos
sobre las puertas de enlace y la fragmentacin.

Servicios

113

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Nombre de mensaje de ICMP

Cdigo Tipo

Descripcin

Request (peticin)

15

Reply (respuesta)

Los mensajes de consultas de ICMP-INFO permiten a los


sistemas de host sin discos consultar la red y configurarse a
s mismo.

16

ICMP-INFO

Al denegar los mensajes de peticin de mscara de direccin


de ICMP puede afectar de manera desfavorable a los
sistemas sin discos.
El permitir los mensajes de peticin de mscara de direccin
de ICMP puede permitir que otros transmitan consultas
sobre informacin a un segmento de red para determinar el
tipo de computadora.

ICMP-PARAMETER-PROBLEM

12

Los mensajes de error de problemas de parmetros de ICMP


le notifican cuando se presentan parmetros de encabezado
incorrectos y ocasionan que se deseche un paquete
Se recomienda denegar estos mensajes de Internet (untrust)
a una red confiable.
El permitir los mensajes de error de problemas de
parmetros de ICMP permite a otros tomar supuestos sobre
su red.

ICMP-PORT-UNREACH

Los mensajes de error de puerto inalcanzable de ICMP


indican que los datagramas de procesamiento de puertas de
enlace solicitan que determinados puertos no estn
disponibles o sean incompatibles en la red.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.
El permitir los mensajes de error de puerto inalcanzable de
ICMP puede permitir a otros determinar qu puertos utiliza
para determinados protocolos.

ICMP-PROTOCOL-UNREACH

Los mensajes de error de protocolo inalcanzable de ICMP


indican que los datagramas de procesamiento de puertas de
enlace solicitan que determinados protocolos no estn
disponibles o sean incompatibles en la red.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.
El permitir los mensajes de error de protocolo inalcanzable
de ICMP puede permitir a otros determinar qu protocolos
est ejecutando su red.

ICMP-REDIRECT

Los mensajes de error de red de desvo de ICMP se envan


por medio de los enrutadores.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.

114

ICMP-REDIRECT-HOST

Los mensajes de desvo de ICMP indican los datagramas


destinados para que se enve el host especificado junto con
otra ruta.

ICMP-REDIRECT-TOS-HOST

El error de host y tipo de servicio (TOS) de desvi de ICMP es


un tipo de mensaje.

ICMP-REDIRECT-TOS-NET

El error de red y TOS de desvo de ICMP es un tipo de


mensaje.

Servicios

Captulo 5: Bloques para la construccin de directivas

Nombre de mensaje de ICMP

Cdigo Tipo

Descripcin

ICMP-SOURCE-QUENCH

El mensaje de error de desconexin de origen de ICMP


indica que un enrutador no tiene el espacio en bfer
disponible para aceptar colocar en cola y enviar los paquetes
en el siguiente salto.

Al denegar estos mensajes no ayudar ni perjudicar el


rendimiento de red interna.
Al permitir estos mensajes puede permitir que otros
conozcan que un enrutador est congestionado hacindolo
un objetivo de ataque posible.
ICMP-SOURCE-ROUTE-FAIL

Mensaje de error de ruta de origen con fallo de ICMP


Se recomienda denegar estos mensajes de Internet (untrust).

ICMP-TIME-EXCEEDED

11

El mensaje de error de tiempo de vida (TTL) excedido de


ICMP indica que un ajuste de TTL de un paquete llegue a
cero antes de que el paquete llegue a su destino. Esto
asegura que los paquetes anteriores se descarten antes de
que se procesen los reenviados.
Se recomienda denegar estos mensajes de una red confiable
fuera de Internet.

ICMP-TIMESTAMP
Request (peticin)

13

Reply (respuesta)

14

Ping (ICMP ECHO)

El mensaje de consulta de ICMP-TIMESTAMP proporciona el


mecanismo para sincronizar el tiempo y coordinar la
distribucin de tiempo en una red grande y diversa.
El Agrupador de Internet de paquetes es una utilidad para
determinar si el host especfico est accesible por su
respuesta de eco de direccin IP .0/0.
Al denegar la funcionalidad de ejecucin del comando ping
elimina su posibilidad de revisar para ver si un host est
activo.
Al permitir la ejecucin del comando ping puede permitir a
otros ejecutar el rechazo de servicio (DoS) o ataque Smurf.

ICMP-ECHO-FRAGMENTASSEMBLY-EXPIRE

11

El mensaje de error de tiempo expirado de reensamblaje de


eco de fragmento de ICMP indica que el tiempo de
reensamblaje se excedi.
Se recomienda denegar estos mensajes.

Traceroute
Forward (reenvo)

30

Discard (descartar)

30

Traceroute es una utilidad para indicar la ruta para acceder a


un host especfico.
Se recomienda denegar esta utilidad de Internet (untrust) a
su red interna (trust).

Servicios predefinidos relacionados con Internet


La tabla siguiente enumera los servicios predefinidos relacionados con Internet.
Dependiendo de los requerimientos de su red, puede seleccionar permitir o
denegar alguno o todos estos servicios. Cada entrada enumera el nombre de
servicio, puerto de recepcin predeterminado y descripcin del servicio.

Servicios

115

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Nombre del servicio

Puertos

Descripcin del servicio

AOL

5190-5193

El proveedor de servicio de Internet (ISP)


America Online proporciona Internet, chat y
servicios de mensajes instantneos.

DHCP-Relay

67
(predetermin
ado)

Configuracin de host dinmico.

DHCP

68 cliente

El Protocolo de configuracin de host dinmico


asigna direcciones de red y entrega los
parmetros de configuracin del servidor a los
hosts.

67 servidor

DNS

53

FTP
FTP-Get

20 datos

FTP-Put

21 control

El sistema de nombres de dominio convierte los


nombres de dominio en direcciones IP.
El Protocolo de transferencia de archivos (FTP)
permite el envo y recepcin de archivos entre
las mquinas. Puede seleccionar denegar o
permitir ANY (GET o PUT) o permitir o denegar
selectivamente ya sea GET o PUT. GET recibe los
archivos de otra mquina y PUT enva archivos a
otra mquina.
Le recomendamos denegar los servicios de FTP
de las fuentes no fiables (Internet).

Gopher

70

Gopher organiza y muestra los contenidos de los


servidores de Internet como una lista de
archivos estructurada jerrquicamente.
Le recomendamos denegar el acceso de Gopher
para evitar la exposicin de la estructura de su
red.

HTTP

8080

El protocolo de transferencia de hipertexto es el


protocolo subyacente que utiliza World Wide
Web (WWW).
Al denegar el servicio de HTTP desactiva sus
usuarios de ver Internet.
Al permitir el servicio de HTTP permite a sus
hosts confiables ver Internet.

HTTP-EXT

El protocolo de transferencia de hipertexto con


puertos extendidos no estndar

HTTPS

443

El Protocolo de transferencia de hipertexto con


Nivel de sockets seguro (SSL) es un protocolo
para transmitir documentos privados a travs de
Internet.
El denegar HTTPS desactiva a sus usuarios de
realizar compras en Internet y de acceder a
determinados recursos en lnea que requieren
del intercambio de contraseas de seguridad.
Al permitir HTTPS permite a sus hosts
confiables participar en el intercambio de
contraseas, compras en lnea y visitar varios
recursos en lnea protegidos que requieren el
inicio de sesin del usuario.

Internet Locator Service

116

Servicios

El Servicio de localizador de Internet incluye


LDAP, Servicio de localizador de usuario y LDAP
sobre TSL/SSL.

Captulo 5: Bloques para la construccin de directivas

Nombre del servicio

Puertos

Descripcin del servicio

IRC

6665-6669

El Chat de retransmisin de Internet (IRC)


permite a las personas conectadas al Internet
unirse a discusiones activas.

LDAP

389

El Protocolo ligero de acceso a directorios es un


grupo de protocolos que se utiliza para acceder a
directorios de informacin.

PC-Anywhere

PC-Anywhere es un software de transferencia de


archivos y control remoto.

TFTP

69

TFTP es un protocolo para la transferencia


sencilla de archivos.

WAIS

El servidor de informacin de rea extensa es un


programa que encuentra documentos en
Internet.

Servicios de llamadas de procedimiento remoto de Microsoft


Las siguientes tablas enumeran los servicios de Microsoft predefinidos, los
parmetros asociados con cada servicio y una breve descripcin de cada servicio.
Los parmetros incluyen los Identificadores nicos universales (UUID) y los puertos
de destino y origen de TCP/UDP. Un UUID es un nmero nico de 128 bit generado
de una direccin de hardware, una marca de hora y valores de inicializacin.
Servicio

Parmetro/UUID

Descripcin

MS-RPC-EPM

135

Protocolo Remote Procedure Call (RPC) Endpoint


Mapper (EPM) de Microsoft

e1af8308-5d1f-11c9-91a4-08002b14a0fa
MS-RPC-ANY

Cualesquiera servicios Remote Procedure Call


(RPC) de Microsoft

MS-AD

4 miembros

Active Directory Service Group de Microsoft


incluye:
MS-AD-BR
MS-AD-DRSUAPI
MS-AD-DSROLE
MS-AD-DSSETUP

MS-EXCHANGE

6 miembros

Exchange Service Group de Microsoft incluye:


MS-EXCHANGE-DATABASE
MS-EXCHANGE-DIRECTORY
MS-EXCHANGE-INFO-STORE
MS-EXCHANGE-MTA
MS-EXCHANGE-STORE
MS-EXCHANGE-SYSATD

Servicios

117

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Servicio

Parmetro/UUID

Descripcin

MS-IIS

6 miembros

IIS Server Service Group de Microsoft incluye:


MS-IIS-COM
MS-IIS-IMAP4
MS-IIS-INETINFO
MS-IIS-NNTP
MS-IIS-POP3
MS-IIS-SMTP

MS-AD-BR

16e0cf3a-a604-11d0-96b1-00a0c91ece30

Servicios de copia de seguridad y restauracin de


Active Directory de Microsoft

MS-AD-DRSUAPI

e3514235-4b06-11d1-ab04-00c04fc2dcd2

Active Directory Replication Service de Microsoft

MS-AD-DSROLE

1cbcad78-df0b-4934-b558-87839ea501c9

Active Directory DSROLE Service de Microsoft

MS-AD-DSSETUP

3919286a-b10c-11d0-9ba8-00c04fd92ef5

Active Directory Setup Service de Microsoft

MS-DTC

906b0ce0-c70b-1067-b317-00dd010662da

Distributed Transaction Coordinator Service de


Microsoft

MS-EXCHANGE-DATABASE

1a190310-bb9c-11cd-90f8-00aa00466520

Servicio de base de datos de Microsoft Exchange

f5cc5a18-4264-101a-8c59-08002b2f8426

Servicio de directorios de Microsoft Exchange

MS-EXCHANGE-DIRECTORY

ecec0d70-a603-11d0-96b1-00a0c91ece30

f5cc5a7c-4264-101a-8c59-08002b2f8426
f5cc59b4-4264-101a-8c59-08002b2f8426
MS-EXCHANGE-INFO-STORE 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde

Exchange Information Store Service de Microsoft

1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
MS-EXCHANGE-MTA

9e8ee830-4459-11ce-979b-00aa005ffebe

Exchange MTA Service de Microsoft

38a94e72-a9bc-11d2-8faf-00c04fa378ff
MS-EXCHANGE-STORE

99e66040-b032-11d0-97a4-00c04fd6551d

Servicio de almacn de Microsoft Exchange

89742ace-a9ed-11cf-9c0c-08002be7ae86
a4f1db00-ca47-1067-b31e-00dd010662da
a4f1db00-ca47-1067-b31f-00dd010662da
MS-EXCHANGE-SYSATD

67df7c70-0f04-11ce-b13f-00aa003bac6c

Servicio System Attendant de Microsoft Exchange

f930c514-1215-11d3-99a5-00a0c9b61b04
83d72bf0-0d89-11ce-b13f-00aa003bac6c
469d6ec0-0d87-11ce-b13f-00aa003bac6c
06ed1d30-d3d3-11cd-b80e-00aa004b9c30
MS-FRS

f5cc59b4-4264-101a-8c59-08002b2f8426

Servicio de replicacin de archivos de Microsoft

d049b186-814f-11d1-9a3c-00c04fc9b232
a00c021c-2be2-11d2-b678-0000f87a8f8e
MS-IIS-COM

70b51430-b6ca-11d0-b9b9-00a0c922e750
a9e69612-b80d-11d0-b9b9-00a0c922e70

118

Servicio COM GUID/UUID de Microsoft Internet


Information Server

MS-IIS-IMAP4

2465e9e0-a873-11d0-930b-00a0c90ab17c

Servicio IMAP4 de Microsoft Internet Information


Server

MS-IIS-INETINFO

82ad4280-036b-11cf-972c-00aa006887b0

Internet Information Server Administration Service


de Microsoft

Servicios

Captulo 5: Bloques para la construccin de directivas

Servicio

Parmetro/UUID

Descripcin

MS-IIS-NNTP

4f82f460-0e21-11cf-909e-00805f48a135

Internet Information Server NNTP Service de


Microsoft

MS-IIS-POP3

1be617c0-31a5-11cf-a7d8-00805f48a135

Internet Information Server POP3 Service de


Microsoft

MS-IIS-SMTP

8cfb5d70-31a4-11cf-a7d8-00805f48a135

Internet Information Server STMP Service de


Microsoft

MS-ISMSERV

68dcd486-669e-11d1-ab0c-00c04fc2dcd2

Inter-site Messaging Service de Microsoft

130ceefb-e466-11d1-b78b-00c04fa32883
MS-MESSENGER

17fdd703-1827-4e34-79d4-24a55c53bb37

Servicio Microsoft Messenger

5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc
MS-MQQM

fdb3a030-065f-11d1-bb9b-00a024ea5525
76d12b80-3467-11d3-91ff-0090272f9ea3

Windows Message Queue Management Service de


Microsoft

1088a980-eae5-11d0-8d9b-00a02453c33
5b5b3580-b0e0-11d1-b92d-0060081e87f0
41208ee0-e970-11d1-9b9e-00e02c064c39
MS-NETLOGON
MS-SCHEDULER

12345678-1234-abcd-ef00-01234567cffb

Servicio Microsoft Netlogon

1ff70682-0a51-30e8-076d-740be8cee98b

Servicio Microsoft Scheduler

378e52b0-c0a9-11cf-822d-00aa0051e40f
0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53
MS-WIN-DNS

50abc2a4-574d-40b3-9d66-ee4fd5fba076

Servidor DNS de Microsoft Windows

MS-WINS

45f52c28-7f9f-101a-b52b-08002b2efabe

Servicio WINS de Microsoft

811109bf-a4e1-11d1-ab54-00a0c91e9b45

Protocolo de enrutamiento dinmico


Dependiendo de los requerimientos de su red, puede seleccionar permitir o
denegar los mensajes generados de y los paquetes de estos protocolos de
enrutamiento dinmico. La siguiente tabla enumera cada protocolo de
enrutamiento dinmico compatible por nombre, puerto y descripcin.
Protocolo de enrutamiento
dinmico

Puerto Descripcin

RIP

520

RIP es un protocolo de enrutamiento de vector de


distancia comn.

OSPF

89

OSPF es un protocolo de enrutamiento de conexiones


de estado comn.

BGP

179

BGP es un protocolo de enrutamiento entre


dominios/exterior.

Vdeo de secuencia
La siguiente tabla enumera cada servicio de vdeo de secuencia compatible por
nombre e incluye el puerto predeterminado y la descripcin. Dependiendo de los
requerimientos de su red, puede seleccionar permitir o denegar alguno o todos
estos servicios.

Servicios

119

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Servicio

Puerto

Descripcin

H.323

TCP origen
1-65535; TCP
destino
1720, 1503,
389, 522,
1731

H.323 es un estndar aprobado por la Unin de


telecomunicaciones internacional (ITU) que define la
manera en la cual se transmiten los datos de
conferencia audiovisual a travs de las redes.

UDP origen
1-65535;
UDP origen
1719
NetMeeting

TCP origen
Microsoft NetMeeting utiliza TCP para proporcionar
1-65535; TCP servicios de teleconferencias (vdeo y audio) en el
destino
Internet.
1720, 1503,
389, 522
UDP origen
1719

Real media

TCP origen
Real Media es un vdeo de secuencia y tecnologa de
1-65535; TCP audio.
destino 7070

RTSP

554

El protocolo de secuencia de tiempo real (RTSP) para


las aplicaciones de medios en secuencia

SIP

5056

El Protocolo de inicio de sesin (SIP) es un protocolo


de control de nivel de aplicacin para crear, modificar
y terminar las sesiones.

VDO Live

VDOLive es una tecnologa de secuencia de vdeo


TCP origen
1-65535; TCP modificable.
destino
7000-7010

Servicios de llamadas de procedimiento remoto de Sun


La siguiente tabla enumera cada nombre completo, parmetros y nombre del
servicio de Sun Remote Procedure Call Application Layer Gateway (RPC ALG).
Nmeros del
programa

Nombre completo

SUN-RPC-PORTMAPPER

111
100000

Protocolo de asignacin de puertos Sun


RPC

SUN-RPC-ANY

ANY

Cualquier servicio Sun RPC

SUN-RPC-PROGRAM-MOUNTD

100005

Demonio de montaje Sun RPC Mount


Daemon

100003

Sistema de archivos en red Sun RPC


Network File System

Servicio

SUN-RPC-PROGRAM-NFS

100227

120

Servicios

SUN-RPC-PROGRAM-NLOCKMGR 100021

Administrador de bloqueos de red Sun RPC


Network Lock Manager

SUN-RPC-PROGRAM-RQUOTAD

100011

Demonio de cuotas remotas Sun RPC


Remote Quota Daemon

SUN-RPC-PROGRAM-RSTATD

100001

Demonio de estado remoto Sun RPC


Remote Status Daemon

Captulo 5: Bloques para la construccin de directivas

Servicio

Nmeros del
programa

SUN-RPC-PROGRAM-RUSERD

100002

Demonio de usuarios remotos Sun RPC


Remote User Daemon

SUN-RPC-PROGRAM-SADMIND

100232

Demonio de administracin del sistema


Sun RPC System Administration Daemon

SUN-RPC-PROGRAM-SPRAYD

100012

Demonio Sun RPC SPRAY Daemon

SUN-RPC-PROGRAM-STATUS

100024

Sun RPC STATUS

SUN-RPC-PROGRAM-WALLD

100008

Demonio Sun RPC WALL Daemon

SUN-RPC-PROGRAM-YPBIND

100007

Servicio de asignacin de pgina amarilla


SUN RPC Yellow Page Bind Service

Nombre completo

Servicios de tnel y seguridad


La siguiente tabla enumera cada servicio compatible y proporciona los puertos y
una descripcin de cada entrada.
Servicio

Puerto

Descripcin

IKE

UDP origen
1-65535; UDP
destino 500

IKE es un protocolo para obtener el material


clave autenticado para el uso con ISAKMP.

4500 (se utiliza


para NAT
trasversal)

Cuando configura IKE automtico, puede


seleccionar de tres propuestas predefinidas
Fase 1 o Fase 2:
Estndar: AES y 3DES
Bsicas: DES y dos tipos diferentes de

algoritmos de autenticacin
Compatible: cuatro algoritmos de

encriptacin y autenticacin que se utilizan


comnmente
L2TP

1723

L2TP combina el Protocolo de encapsulamiento


de punto a punto (PPTP) con la capa dos de
reenvo (L2F) para el acceso remoto.

PPTP

El Protocolo de encapsulamiento de punto a


punto permite a las corporaciones ampliar sus
propias redes privadas a travs de los tneles
privados en Internet pblico.

Servicios relacionados con IP


La siguiente tabla enumera los servicios predefinidos relacionados con IP. Cada
entrada incluye el puerto predeterminado y una descripcin del servicio.
Servicio

Puerto

Descripcin

Any

Cualquier servicio

TCP-ANY

1-65535

Cualquier protocolo que utilice el Protocolo de


control de transporte
TCPMUX puerto 1

UDP-ANY

137

Cualquier protocolo que utilice el Protocolo de


datagrama de usuario

Servicios

121

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Servicios de mensajes instantneos


La siguiente tabla enumera los servicios de mensajes predefinidos de Internet. Cada
entrada incluye el nombre del servicio, los puertos asignados o predeterminados y
una descripcin del servicio.
Servicio

Puerto

Descripcin

Gnutella

6346
(predeterminad
o)

El Protocolo de distribucin de archivos Gnutella es


un protocolo de distribucin de archivos de dominio
pblico que opera sobre una red distribuida. Puede
asignar cualquier puerto, pero el puerto
predeterminado es 6346.

MSN

1863

Network Messenger de Microsoft es una utilidad que


permite que enve mensajes instantneos y hablar
en lnea.

NNTP

119

El Protocolo de transporte de noticias de red es un


protocolo que se utiliza para colocar, distribuir y
recuperar mensajes de USENET.

SMB

445

El Protocolo de bloqueo de mensajes del servidor


(SMB) sobre IP le permite leer y escribir archivos a
un servidor en una red.

YMSG

5010

Yahoo! Messenger es una utilidad que le permite


verificar cuando otros estn en lnea, enviar
mensajes instantneos y hablar en lnea.

Servicios de administracin:
La siguiente tabla enumera los servicios predefinidos de administracin. Cada
entrada incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.

122

Servicios

Servicio

Puerto

Descripcin

NBNAME

137

El Servicio de nombres NetBIOS muestra todos los


paquetes de nombre de NetBIOS enviados en UDP
puerto 137.

NDBDS

138

El Servicio de datagrama de NetBIOS, publicado por


IBM, proporciona servicios sin conexin (datagrama)
a las PC conectados con un medio de difusin para
localizar los recursos, iniciar sesiones y terminar
sesiones. No es confiable y los paquetes no tienen
secuencia.

NFS

El sistema de archivos de red utiliza UDP para


permitir a los usuarios de red acceder a los archivos
compartidos almacenados en las computadoras de
diferentes tipos. SUN RPC es un bloque de
construccin de NFS.

NS Global

NS-Global es el protocolo de administracin central


para los dispositivos de VPN/pared de fuego de
Juniper Networks.

NS Global PRO

NS Global-PRO es el sistema de supervisin en escala


para la familia de dispositivos de VPN/pared de fuego
de Juniper Networks.

NSM

Administracin de seguridad de NetScreen

Captulo 5: Bloques para la construccin de directivas

Servicio

Puerto

Descripcin

NTP

123

El protocolo de tiempo de red proporciona una


manera para que las computadoras se sincronicen a
un tiempo referente.

RLOGIN

513

RLOGIN inicia una sesin de terminal en un host


remoto.

RSH

514

RSH ejecuta un comando shell en un host remoto.

SNMP

161

El Protocolo de administracin de red sencillo es un


conjunto de protocolos para administrar las redes
complejas.

SQL*Net V1

66

SQL*Net Versin 1 es un lenguaje de base de datos


que permite la creacin, acceso, modificacin y
proteccin de datos.

SQL*Net V2

66

SQL*Net Versin 2 es un lenguaje de base de datos


que permite la creacin, acceso, modificacin y
proteccin de datos.

MSSQL

1433 (caso
predetermin
ado)

Microsoft SQL es una herramienta del servidor de


base de datos de propiedad que permite la creacin,
acceso, modificacin y proteccin de datos.

SSH

22

Shell seguro es un programa para registrarse en otra


computadora sobre una red a travs de la
autenticacin slida y las comunicaciones seguras en
un canal inseguro.

SYSLOG

514

Syslog es un programa de UNIX que enva mensajes


al registrador del sistema.

Talk

517-518

Talk es un programa de comunicacin visual que


copia lneas de su terminal a una determinada de
otro usuario.

Telnet

23

Telnet es un programa de UNIX que proporciona un


mtodo estndar de realizacin de interfaces de
dispositivos de terminal y procesos orientados a
terminales entre s.

WinFrame

WinFrame es una tecnologa que permite a los


usuarios que se encuentran en mquinas que no
cuentan con Windows ejecutar aplicaciones de
Windows.

X-Windows

X-Windows es el sistema de grficas y ventanas en el


que se basan Motif y OpenLook.

Servicios de correo
La siguiente tabla enumera los servicios predefinidos de correo. Cada uno incluye el
nombre del servicio, el nmero de puerto asignado o predeterminado y una
descripcin del servicio.

Servicios

123

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Servicio

Puerto

Descripcin

IMAP

143

El protocolo de acceso de mensajes de Internet es


un protocolo que se utiliza para recuperar los
mensajes.

Mail (SMTP)

25

El Protocolo de transferencia de correo sencillo es


un protocolo para el envo de mensajes entre
servidores.

POP3

110

El protocolo de oficina postal es un protocolo que


se utilizar para recuperar correo electrnico.

Servicios de UNIX
La siguiente tabla enumera los servicios predefinidos de UNIX. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
Servicio

Puerto

Descripcin

FINGER

79

Finger es un programa de UNIX que proporciona


informacin sobre los usuarios.

UUCP

117

El protocolo de copia de Unix a Unix (UUCP) es


una utilidad de UNIX que permite la transferencia
de archivos entre dos computadoras sobre una
conexin de mdem o serial directa.

Servicios miscelneos
La siguiente tabla enumera los servicios miscelneos predefinidos. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
Servicio

Puerto

Descripcin

CHARGEN

19

El Protocolo del generador de caracteres es


una herramienta de medida y depuracin con
base en TCP o UDP.

DISCARD

El Protocolo de descarte es un protocolo de


capas de aplicacin que describe un proceso
para descartar los datos de TCP o UDP
enviados al puerto 9.

IDENT

113

El Protocolo de identificacin es un protocolo


de capa de aplicacin de TCP/IP que se utiliza
para la autenticacin de clientes de TCP.

LPR

515 listen;

El Protocolo de demonio de impresora de


lnea es un protocolo con base en TCP que se
utiliza para los servicios de impresin.

721-731 rango
de origen
(inclusive)
RADIUS

124

Servicios

1812

El Servicio remoto de autentificacin de


usuarios de acceso telefnico es un programa
del servidor que se utiliza para propsitos de
autenticacin y contabilidad.

Captulo 5: Bloques para la construccin de directivas

Servicio

Puerto

Descripcin

SQLMON

1434 (Puerto de
supervisin de
SQL)

Supervisor de SQL (Microsoft)

VNC

5800

La Computacin de red virtual facilita la


visualizacin e interaccin con otra
computadora en el dispositivo mvil
conectada a Internet.

WHOIS

43

El Protocolo de servicio de directorio de red es


una manera de buscar los nombres de
dominio.

IPSEC-NAT

IPSEC-NAT permite la Traduccin de


direcciones de red para los paquetes de
ISAKMP y ESP.

SCCP

2000

El Protocolo de control de llamadas de


estacin de Cisco utiliza el puerto de control
de conexin de sealizacin (SCCP) para
proporcionar alta disponibilidad y control de
flujo.

VOIP

El Grupo de servicio de voz sobre IP


proporciona los servicios de voz sobre
Internet e incluye el protocolo de inicio de
sesin (SIP) y H.323.

Servicios personalizados
En lugar de utilizar servicios predefinidos, puede crear fcilmente servicios
personalizados. Puede asignar a cada servicio personalizado los atributos
siguientes:

Nombre

Protocolo de transporte

Nmeros de los puertos de origen y de destino para los servicios que utilizan
TCP o UDP

Valores de tipos y cdigos para los servicios que utilizan ICMP

Valor del tiempo de espera

Si crea un servicio personalizado en un sistema virtual (vsys) que tiene el mismo


nombre que un servicio personalizado previamente definido en el sistema raz, el
servicio en el vsys asume el tiempo de espera predeterminado para el protocolo de
transporte especificado (TCP, UDP o ICMP). Para definir el tiempo de espera
personalizado para un servicio en un vsys distinto del predeterminado cuando un
servicio personalizado con el mismo nombre en el sistema raz ya disponga de su
propio tiempo de espera, cree el servicio personalizado en el vsys y en el sistema
raz en el orden siguiente:
1. Primero, cree un servicio personalizado con un tiempo de espera personalizado
en vsys.

Servicios

125

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2. A continuacin, cree otro servicio personalizado con el mismo nombre pero


con otro tiempo de espera en el sistema raz.
Los ejemplos siguientes describen cmo agregar, modificar y eliminar un servicio
personalizado.

NOTA:

Para obtener ms informacin sobre las convenciones de nomenclatura de


ScreenOS (aplicables a los nombres creados para los servicios personalizados),
consulte Convenciones de nomenclatura y conjuntos de caracteres en la
pgina xii.

Agregar un servicio personalizado


Para agregar un servicio personalizado al libro de servicios se necesita la
informacin siguiente:

Un nombre para el servicio: en este ejemplo cust-telnet.

Un rango de nmeros de puertos de origen: 1 65535.

Un rango de nmeros de puertos de destino para recibir la peticin del servicio:


Por ejemplo: 23000 23000.

Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible con las
especificaciones de Internet. En este ejemplo, el protocolo es TCP.

WebUI
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
Service Name: cust-telnet
Service Timeout: Custom (seleccione), 30 (escriba)
Transport Protocol: TCP (seleccione)
Source Port Low: 1
Source Port High: 65535
Destination Port Low: 23000
Destination Port High: 23000

CLI
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
NOTA:

El valor del tiempo de espera se expresa en minutos. Si no se establece


expresamente, el valor del tiempo de espera de un servicio personalizado es de
180 minutos. Si no desea que un servicio caduque al cumplirse su tiempo de
espera, introduzca never.

Modificar un servicio personalizado


En este ejemplo modificar el servicio personalizado cust-telnet cambiando el
rango de puertos de destino a 23230-23230.

126

Servicios

Captulo 5: Bloques para la construccin de directivas

Utilice el comando set service nombre_del_servicio clear para eliminar la definicin


de un servicio personalizado sin eliminar el servicio del libro de servicios:
WebUI
Objects > Services > Custom > Edit (para cust-telnet): Introduzca los
siguientes datos y haga clic en OK:
Destination Port Low: 23230
Destination Port High: 23230

CLI
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save

Eliminar un servicio personalizado


En este ejemplo eliminar el servicio personalizado cust-telnet.
WebUI
Objects > Services > Custom: Haga clic en Remove en la columna Configure
para cust-telnet.
CLI
unset service cust-telnet
save

Establecer el tiempo de espera de un servicio


El valor de tiempo de espera de servicio que establece para un servicio determina el
tiempo de sesin. Puede establecer el umbral de tiempo de espera para un servicio
personalizado o predefinido, puede utilizar el tiempo de espera predeterminado de
servicio, especificar un tiempo de espera personalizado o no utilizar tiempo de
espera del todo. El comportamiento de tiempo de espera de servicio est en los
dominios de seguridad (vsys)de los sistemas virtuales como el nivel de raz.

Bsqueda y configuracin de tiempo de espera de servicio


Los valores de tiempo de espera de servicio se almacenan en la base de datos de
entrada de servicio y en las tablas de tiempo de espera con base en el puerto de
UDP y TCP vsys correspondientes. Cuando establece un valor de tiempo de espera
de servicio, el dispositivo de seguridad actualiza estas tablas con el nuevo valor.
Tambin existen valores de tiempo de espera predeterminados en la base de datos
de entrada de servicio, los cuales se toman de los servicios predefinidos, puede
establecer un tiempo de espera pero no puede alterar los valores predeterminados.
Los servicios con entradas de reglas mltiples comparten el mismo valor de tiempo
de espera. Si los servicios mltiples comparten el mismo rango de de puerto de
destino y protocolo, todos los servicios comparten el ltimo valor de tiempo de
espera configurado.
Para las entradas de servicio individuales, la bsqueda de tiempo de espera de
servicio se realiza como se muestra a continuacin:

Servicios

127

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

1. El tiempo de espera especificado en la base de datos de entrada de servicio, si


est configurado.
2. El tiempo de espera predeterminado en la base de datos de entrada de servicio,
si est especificado en el servicio predefinido.
3. La tabla de tiempo de espera predeterminada con base en el protocolo
Figura 61: Tabla de tiempo de espera predeterminado con base en el protocolo

Protocolo

Tiempo de espera
predeterminado (minutos)

TCP

30

UDP

ICMP

OSPF

Otros

30

Para los grupos de servicio, incluso los grupos ocultos creados en configuraciones
de directivas de varias celdas y para el servicio predefinido ANY (si no est
establecido el tiempo de espera), la bsqueda de tiempo de espera de servicio se
realiza como se muestra a continuacin:
1. La tabla de tiempo de espera con base en puerto UDP y TCP de vsys, si est
establecido el tiempo de espera.
2. La tabla de tiempo de espera predeterminada con base en el protocolo

Contingencias
Cuando se establecen los tiempos de espera, est al tanto de lo siguiente:

Si un servicio contiene varias entradas de regla de servicio, todas las entradas


de reglas comparten el mismo tiempo de espera. La tabla de tiempo de espera
se actualice para cada entrada de regla que concuerda con el protocolo (para
UDP y TCP, otros protocolos utilizan el predeterminado). Necesita definir el
tiempo de espera de servicio nicamente una vez. Por ejemplo, si crea un
servicio con dos reglas, los siguientes comandos establecern el tiempo de
espera a 20 minutos para ambas reglas:
set service test protocol tcp dst-port 1035-1035 timeout 20
set service test + udp src-port 1-65535 dst-port 1111-1111

Si se configuran varios servicios con el mismo protocolo y se superposicionan


los puertos de destino, el tiempo de espera de servicio ms recientemente
configurado sobrescribe los otros en la tabla con base en puertos. Por ejemplo:
set service ftp-1 protocol tcp src 0-65535 dst 2121-2121 timeout 10
set service telnet-1 protocol tcp src 0-65535 dst 2100-2148 timeout 20

Con esta configuracin, el dispositivo de seguridad aplica el tiempo de espera


de 20 minutos para el puerto de destino 2121 en un grupo de servicio, ya que
los nmeros de puerto de destino para telnet-1 (2100-2148) superponen
aquellos para ftp-1 (2121) y usted defini telnet-1 despus de definir ftp-1.

128

Servicios

Captulo 5: Bloques para la construccin de directivas

Para modificar un tiempo de espera de servicio cuando varios servicios utilizan


el mismo protocolo y un rango de puerto de destino superpuesto, debe
desactivar el servicio y restablecerlo con el nuevo valor de tiempo de espera.
Esto se debe a que, durante el reinicio, los servicios se cargaron de acuerdo con
el tiempo de creacin, no con el tiempo de modificacin.
Para evitar la aplicacin no intencionada del tiempo de espera incorrecto a un
servicio, no cree servicios con nmeros de puerto de destino superpuestos.

Si desactiva un tiempo de espera de servicio, se utiliza el tiempo de espera con


base en el protocolo predeterminado en la base de datos de entradas de
servicio y los valores de tiempo de espera tanto en las tablas de tiempo de
espera con base en puerto y de entrada de servicio se actualizan con el valor
predeterminado.
Si el servicio modificado tiene puertos de destino superpuestos con otros
servicios, es posible que el tiempo de espera con base en el protocolo
predeterminado no sea el valor deseado. En ese caso, reinicie el dispositivo de
seguridad o establezca el tiempo de entrega de servicio de nuevo para que el
tiempo de espera deseado tenga vigencia.

Cuando modifica un servicio predefinido y lo reinicia, es posible que el servicio


modificado no sea el ltimo en la configuracin. Esto se debe a que los
servicios predefinidos se cargaron antes que los servicios personalizados y
cualquier cambio realizado a un servicio personalizado, incluso si se hubiera
realizado anteriormente, mostrar como ltimo el cambio de servicio
predefinido cuando reinicialice.
Por ejemplo, si crea el siguiente servicio:
set service my_service protocol tcp dst-port 179-179 timeout 60

y posteriormente modifica el tiempo de espera del servicio predefinido BGP


como se muestra a continuacin:
set service bgp timeout 75

el servicio BGP utilizar el valor de tiempo de espera de 75 minutos, ya que


ahora est escrito en la base de datos de la entrada de servicio. Pero el tiempo
de espera para el puerto 179, el puerto que utiliza BGP, tambin se cambi a 75
en la tabla de tiempo de espera con base en el puerto de TCP. Despus de
reiniciar, el servicio de BGP continuar con el uso del tiempo de espera de 75
minutos, como un servicio individual, lo obtiene de la base de datos de entrada
de servicio. Pero el tiempo de espera en la tabla con base en el puerto TCP para
el puerto 179 ser ahora de 60. Puede verificar esto al ingresar el comando get
service bgp.
Esto no tiene efecto en los servicios individuales. Pero si agrega BGP o
my_service a un grupo de servicios, el valor del tiempo de espera de 60
minutos se utilizar para el puerto de destino 179. Esto se debe a que el
tiempo de espera del grupo de servicio se toma de la tabla del tiempo de espera
con base en el puerto, si uno est establecido.
Para asegurar la prediccin, cuando modifica un tiempo de espera de servicio
predefinido, puede crear un servicio similar, por ejemplo:
set service my-bgp protocol tcp dst-port 179-179 timeout 75
Servicios

129

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ejemplo
En el siguiente ejemplo cambiar el umbral del tiempo de espera para el
servicio predefinido FTP a 75 minutos:
WebUI
Objects > Services > Predefined > Edit (FTP): Introduzca los siguientes datos
y haga clic en OK:
Service Timeout: Custom (seleccione), 75 (escriba)

CLI
set service FTP timeout 75
save

Definir un Servicio de protocolo de mensaje de control de Internet personalizado


ScreenOS es compatible con el protocolo de mensajes de control de Internet (ICMP)
y admite diversos mensajes ICMP, como los servicios predefinidos o personalizados.
Al configurar un servicio ICMP personalizado, deber definir su tipo y cdigo.
Existen diversos tipos de mensajes ICMP. Por ejemplo:
tipo 0 = mensaje de peticin de eco (Echo Request)
tipo 3 = mensaje de destino inalcanzable (Destination Unreachable)

NOTA:

Para obtener ms informacin sobre los tipos y cdigos de ICMP, consulte


RFC 792, Internet Control Message Protocol.
Los tipos de mensajes ICMP tambin pueden tener un cdigo de mensaje. El cdigo
proporciona informacin ms especfica sobre el mensaje, como se muestra en
Tabla 14.
Tabla 14: Descripciones de mensaje
Tipo de mensaje

Cdigo de mensaje

5 = Reenviar (Redirect)

0 = Reenva el datagrama de la red (o subred)


1 = Reenva el datagrama del host
2 = Reenva el datagrama del tipo de servicio y red
3 = Reenva el datagrama del tipo de servicio y host

11 = Cdigos de tiempo
excedido (Time Exceeded)

0 = Tiempo de vida excedido en trnsito (Time to Live


exceeded in Transit)
1 = Tiempo de reensamblaje de fragmentos excedido
(Fragment Reassembly Time Exceeded)

ScreenOS admite cualquier tipo o cdigo dentro del rango 0-255.

130

Servicios

Captulo 5: Bloques para la construccin de directivas

En este ejemplo definir un servicio personalizado denominado host-unreachable


que utilizar ICMP como protocolo de transporte. El tipo es 3 (correspondiente a
Destination Unreachable) y el cdigo es 1 (Host Unreachable). Establecer el
valor del tiempo de espera en 2 minutos.
WebUI
Objects > Services > Custom: Introduzca los siguientes datos y haga clic en
OK:
Service Name: host-unreachable
Service Timeout: Custom (seleccione), 2 (escriba)
Transport Protocol: ICMP (seleccione)
ICMP Type: 3
ICMP Code: 1

CLI
set service host-unreachable protocol icmp type 5 code 0
set service host-unreachable timeout 2
save

Puerta de enlace "Remote Shell" en la capa de aplicacin


La puerta de enlace Remote Shell en la capa de aplicacin (RSH ALG) permite a
los usuarios autenticados ejecutar comandos shell en hosts remotos. Los
dispositivos Juniper Networks admiten el servicio RSH en los modos Transparent
(L2), Route (L3) y NAT, pero los dispositivos no admiten la traduccin de puertos en
el trfico RSH.

Sun Remote Procedure Call Application Layer Gateway


La llamada de procedimiento remoto de Sun, tambin conocido como Open
Network Computing Remote Procedure (ONC RPC), permite que un programa que
se est ejecutando en un equipo ejecutar procedimientos de un programa que se
est ejecutando en otro equipo. Debido al gran nmero de servicios RPC y a la
necesidad de realizar difusiones broadcast, la direccin de transporte de un
servicio RPC se negocia dinmicamente basndose en el nmero de programa y
nmero de versin del servicio. Hay definidos varios protocolos para asignar el
nmero de programa y el nmero de versin de RPC a una direccin de transporte.
Los dispositivos de seguridad de Juniper Networks admiten Sun RPC como servicio
predefinido, permitiendo y denegando el trfico basndose en una directiva que
usted configure. La puerta de enlace de la capa de aplicacin (ALG) proporciona la
funcionalidad necesaria para que los dispositivos de seguridad puedan manejar el
mecanismo dinmico de negociacin de direcciones de transporte de Sun RPC y
para asegurar el cumplimiento de las directivas de pared de fuego basadas en el
nmero de programa. Se puede definir una directiva de cortafuegos para permitir o
denegar todas las peticiones RPC, o bien para permitir o denegar determinados
nmeros de programa. ALG tambin admite el modo Route y NAT para las
peticiones entrantes y salientes.

Situacin tpica de llamadas RPC


Cuando un cliente llama a un servicio remoto, necesita encontrar la direccin de
transporte del servicio, que en el caso de TCP/UDP es un nmero de puerto. Un
procedimiento tpico para este caso es el siguiente:
Servicios

131

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

1. El cliente enva el mensaje GETPORT al servicio RPCBIND del equipo remoto. El


mensaje GETPORT contiene los nmeros de programa, versin y
procedimiento del servicio remoto que desea ejecutar.
2. El servicio RPCBIND responde con un nmero de puerto.
3. El cliente llama al servicio remoto usando el nmero de puerto devuelto.
4. El servicio remoto responde al cliente.
Un cliente tambin puede utilizar el mensaje CALLIT para llamar al servicio remoto
directamente sin conocer el nmero de puerto del servicio. En este caso, el
procedimiento es el siguiente:
1. El cliente enva el mensaje CALLIT al servicio RPCBIND del equipo remoto. El
mensaje CALLIT contiene los nmeros de programa, versin y procedimiento
del servicio remoto que desea ejecutar.
2. RPCBIND llama al servicio para el cliente.
3. RCPBIND responde al cliente si la llamada se ha realizado con xito. La
respuesta contiene el resultado de la llamada y el nmero de puerto del
servicio.

Personalizar los Servicios Sun RPC


Dado que los servicios Sun RPC utilizan puertos negociados dinmicamente, no se
pueden utilizar objetos de servicios convencionales basndose en puertos TCP/UDP
fijos para autorizarlos en la directiva de seguridad. Para ello es necesario crear
objetos sun rpc service utilizando nmeros de programa. Por ejemplo, NFS utiliza
dos nmeros de programa: 100003 y 100227. Los puertos TCP/UDP
correspondientes son dinmicos. Para permitir los nmeros de programa, cree un
objeto de servicio sun-rpc-nfs que contenga estos dos nmeros. El ALG asignar los
nmeros de programa a puertos TCP/UDP negociados dinmicamente y permitir o
denegar el servicio basndose en una directiva que usted configure.
En este ejemplo, crear un objeto de servicio denominado my-sunrpc-nfs para
utilizar Sun RPC Network File System, identificado por dos identificadores de
programa: 100003 y 100227.
WebUI
Objects > Services > Sun RPC Services > New: Introduzca los siguientes
datos y haga clic en Apply:
Service Name: my-sunrpc-nfs
Service Timeout: (seleccione)
Program ID Low: 100003
Program ID High: 100003
Program ID Low: 100227
Program ID High: 100227

CLI
set service my-sunrpc-nfs protocol sun-rpc program 100003-100003
set service my-sunrpc-nfs + sun-rpc program 100227-100227
save

132

Servicios

Captulo 5: Bloques para la construccin de directivas

Personalizar Microsoft Remote Procedure Call Application Layer Gateway


Microsoft Remote Procedure Call (MS RPC) es la implementacin de Microsoft del
RPC del entorno de computacin distribuida (DCE). Como Sun RPC (consulte Sun
Remote Procedure Call Application Layer Gateway en la pgina 131), MS RPC
permite que un programa que se est ejecutando en un equipo pueda ejecutar
procedimientos de un programa que se est ejecutando en otro equipo. Debido al
gran nmero de servicios RPC y a la necesidad de realizar difusiones broadcast, la
direccin de transporte de un servicio RPC se negocia dinmicamente basndose
en el identificador universal nico (Universal Unique IDentifier o UUID). En
ScreenOS, el protocolo de asignacin Endpoint Mapper est definido para asignar el
UUID especfico a una direccin de transporte.
Los dispositivos de seguridad de Juniper Networks admiten MS RPC como servicio
predefinido, permitiendo y denegando el trfico basndose en una directiva que
usted configure. ALG proporciona la funcionalidad necesaria para que los
dispositivos de seguridad puedan manejar el mecanismo de negociacin dinmica
de direcciones de transporte de MS RPC y garantizar el cumplimiento de las
directivas de cortafuegos basadas en UUID. Se puede definir una directiva de pared
de fuego para permitir o denegar todas las peticiones RPC, o bien para permitir o
denegar determinados nmeros de UUID. ALG tambin admite el modo Route y
NAT para las peticiones entrantes y salientes.
Dado que los servicios MS RPC utilizan puertos negociados dinmicamente, no se
pueden utilizar objetos de servicios convencionales basndose en puertos TCP/UDP
fijos para autorizarlos en la directiva de seguridad. En lugar de ello, deben crearse
objetos de servicios MS RPC utilizando UUID. El servicio MS Exchange Info Store,
por ejemplo, utiliza los cuatro UUID siguientes:

0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde

1453c42c-0fa6-11d2-a910-00c04f990f3b

10f24e8e-0fa6-11d2-a910-00c04f990f3b

1544f5e0-613c-11d1-93df-00c04fd7bd09

Los puertos TCP/UDP correspondientes son dinmicos. Para permitirlos, cree un


objeto de servicio ms-exchange-info-store del servicio que contenga estos cuatro
UUIDs. Basndose en estos cuatro UUID, el ALG asignar los nmeros de programa
a puertos TCP/UDP negociados dinmicamente y permitir o denegar el servicio
basndose en una directiva que usted configure.
En este ejemplo, crear un objeto de servicio denominado my-ex-info-store que
incluir los UUIDs del servicio Info Store de MS Exchange.
WebUI
Objects > Services > MS RPC: Introduzca los siguientes datos y haga clic en
Apply:
Service Name: my-ex-info-store
UUID: 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
UUID: 1453c42c-0fa6-11d2-a910-00c04f990f3b
UUID: 10f24e8e-0fa6-11d2-a910-00c04f990f3b
UUID: 1544f5e0-613c-11d1-93df-00c04fd7bd09

Servicios

133

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

CLI
set service my-ex-info-store protocol ms-rpc uuid
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid
1453c42c-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
10f24e8e-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
1544f5e0-613c-11d1-93df-00c04fd7bd09
save

La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en tiempo real


El Protocolo de secuencia en tiempo real (RTSP) es un protocolo a nivel de
aplicacin que permite controlar la entrega de una o varias secuencias multimedia
sincronizadas, tales como audio y vdeo. Aunque RTSP es capaz de suministrar
secuencias de datos por s mismo interpolando las secuencias de medios continuos
con la secuencia de control, se suele utilizar ms como control remoto de red para
servidores multimedia. El protocolo fue diseado como medio para seleccionar
canales de entrega, como UDP, multicast UDP y TCP, as como para seleccionar el
mecanismo de entrega basndose en el protocolo RTP (Real Time Protocol). RTSP
tambin puede utilizar el protocolo de descripcin de sesin (SDP) como medios
para proporcionar informacin al cliente para el control agregado de una
presentacin compuesta por secuencias de unos o varios servidores y el control no
agregado de una presentacin compuesta por mltiples secuencias procedentes de
un solo servidor. Los orgenes de datos pueden ser suministrados en directo o clips
almacenados.
Los dispositivos de seguridad de Juniper Networks admiten RTSP como servicio y
permiten o deniegan el trfico RTSP basndose en una directiva que usted
configure. ALG es necesario porque RTSP utiliza nmeros de puerto asignados
dinmicamente que se incluyan en los datos del paquete durante el establecimiento
de la conexin de control. ALG realiza el seguimiento de los nmeros de puerto
asignados dinmicamente y abre los correspondientes ojos de aguja. En el modo
NAT, ALG traduce los puertos y direcciones IP si fuera necesario. Los dispositivos de
seguridad RTSP en el modo de ruta, modo transparente y tanto en el modo NAT con
base en directivas como en interfaces.
La Figura 62 en la pgina 135 diagrama una sesin de RTSP tpica. El cliente inicia
una sesin (por ejemplo, cuando el usuario hace clic en el botn de reproduccin de
RealPlayer), establece una conexin TCP al servidor RTSP en el puerto 554 y enva
el mensaje OPTIONS (los mensajes tambin se denominan mtodos) para descubrir
qu funciones de audio y vdeo soporta el servidor. El servidor responde al mensaje
OPTIONS especificando el nombre y la versin del servidor, as como un
identificador de sesin, por ejemplo 24256-1. (Para obtener ms informacin sobre
mtodos, consulte SIP Request Methods on page 14 y RFC 2326, seccin 11).
A continuacin, el cliente enva el mensaje DESCRIBE con la URL del archivo
multimedia que desea. El servidor responde al mensaje DESCRIBE con una
descripcin del medio utilizando el formato SDP. Seguidamente, el cliente enva el
mensaje SETUP, que especifica los mecanismos de transporte de secuencias de
medios aceptables para el cliente, por ejemplo RTP/RTCP o RDT, y los puertos en los
que recibir los medios. Con NAT, el ALG RTSP supervisa estos puertos y los traduce
cuando sea necesario. El servidor responde al mtodo SETUP seleccionando uno de

134

Servicios

Captulo 5: Bloques para la construccin de directivas

los protocolos de transporte, lo que pone de acuerdo al cliente y al servidor en


cuanto al mecanismo para el transporte de los medios. A continuacin, el cliente
enva el mtodo PLAY y el servidor comienza a enviar la secuencia multimedia al
cliente.
Figura 62: Sesin de RTSP tpica

Cliente de RealPlayer
Puerto 3408

Dispositivo de seguridad

Servidor RealMedia
Puerto 554

Mtodos de peticin RTSP


La tabla siguiente enumera los mtodos que se pueden aplicar a un recurso (objeto
multimedia), la direccin o direcciones de flujo de la informacin y si el mtodo es
requerido, recomendado u opcional. Por presentacin se entiende informacin tal
como las direcciones de red, la codificacin y el contenido de un conjunto
compuesto por una o varias secuencias presentadas al cliente como provisin de
medios completa. Una secuencia es una instancia de medios nica, por ejemplo de
audio o de vdeo, as como todos los paquetes creados por un origen durante la
sesin.

Servicios

135

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Tabla 15: Mtodos de peticin RTSP


Mtodo

Sentido

Objeto

Requisito

OPTIONS

Cliente a servidor

Presentacin, secuencia

Cliente a servidor
requerido

Servidor a cliente

Presentacin, secuencia

Servidor a cliente
opcional

DESCRIBE

Cliente a servidor

Presentacin, secuencia

Recomendado

ANNOUNCE

Cliente a servidor

Presentacin, secuencia

Opcional

Servidor a cliente

Presentacin, secuencia

SETUP

Cliente a servidor

Secuencia

Requerido

GET_PARAMETER

Cliente a servidor

Presentacin, secuencia

Opcional

Presentacin, secuencia

Opcional

Servidor a cliente
SET_PARAMETER

Cliente a servidor
Servidor a cliente

PLAY

Cliente a servidor

Presentacin, secuencia

Requerido

PAUSE

Cliente a servidor

Presentacin, secuencia

Recomendado

RECORD

Cliente a servidor

Presentacin, secuencia

Opcional

REDIRECT

Servidor a cliente

Presentacin, secuencia

Opcional

TEARDOWN

Cliente a servidor

Presentacin, secuencia

Requerido

Definicin de los mtodos:

136

Servicios

OPTIONS: El cliente consulta al servidor qu caractersticas de audio o vdeo


admite y otros datos como el nombre y la versin del servidor y la
identificacin de la sesin.

DESCRIBE: Para el intercambio de los datos de inicializacin de medios, como


velocidad del reloj, tablas de colores y cualquier informacin independiente del
transporte que el cliente pueda necesitar para reproducir la secuencia de
medios. Generalmente, el cliente enva la URL del archivo que est solicitando y
el servidor responde con una descripcin del medio en formato SDP.

ANNOUNCE: El cliente utiliza este mtodo para publicar una descripcin de la


presentacin o del objeto multimedia identificado por la URL solicitada. El
servidor utiliza este mtodo para actualizar la descripcin de la sesin en
tiempo real.

SETUP: El cliente especifica los mecanismos de transporte aceptables, como los


puertos en los que recibir la secuencia de medios y el protocolo de transporte.

GET_PARAMETER: Consulta el valor de una presentacin o el parmetro de la


secuencia especificado en URL. Este mtodo se puede utilizar sin cuerpo de
entidad para verificar la presencia del cliente o del servidor. Para verificar si el
cliente o servidor est vivo tambin se puede utilizar el comando ping.

SET_PARAMETER: El cliente utiliza este mtodo para establecer el valor de un


parmetro de la presentacin o secuencia especificado por el URI. Por
cuestiones relacionadas con la pared de fuego, este mtodo no se puede utilizar
para establecer parmetros de transporte.

Captulo 5: Bloques para la construccin de directivas

PLAY: Ordena al servidor que comience a enviar datos usando el mecanismo


especificado en SETUP. El cliente no enviar peticiones PLAY hasta que todas
las peticiones SETUP sean correctas. El servidor encola las peticiones PLAY por
orden y retrasan la ejecucin de nuevas peticiones PLAY hasta que se haya
completado una peticin PLAY activa. Las peticiones PLAY pueden o no
contener un rango especificado. El rango puede contener un parmetro de
tiempo, expresado en UTC (hora universal coordinada), para comenzar la
reproduccin, que tambin se puede utilizar para sincronizar secuencias
procedentes de diversos orgenes.

PAUSE: Detiene temporalmente la transmisin de una presentacin activa. Si la


URL solicitada especifica una secuencia particular, por ejemplo de audio, esto
equivale a silenciarla. La sincronizacin de pistas se mantiene cuando al
reanudar la reproduccin o grabacin, aunque los servidores pueden cerrar la
sesin si PAUSE corresponde a la duracin especificada en el parmetro de
tiempo de espera en SETUP. Una peticin PAUSA descarta todas las peticiones
PLAY existentes en la cola.

RECORD: Comienza a grabar el rango de medios definido en la descripcin de


la presentacin. Con una marca de hora UTC se indican las horas de comienzo
y de final, de lo contrario el servidor utilizar las horas de comienzo y de final
de la descripcin de la presentacin.

REDIRECT: Informa al cliente que debe conectarse a otro servidor; tambin


contiene tanto su informacin de ubicacin como, posiblemente, un parmetro
de rango de esa nueva URL. Para seguir recibiendo medios para este URI, el
cliente debe generar una peticin TEARDOWN para la sesin actual y un SETUP
para la nueva sesin.

TEARDOWN: Detiene la entrega de la secuencia del URI dado y libera los


recursos asociados a la misma. Salvo que todos los parmetros de transporte
sean definidos por la descripcin de la sesin, debe publicarse una peticin
SETUP para que la sesin pueda volver a reproducirse.

Cdigos de estado de RTSP


RTSP utiliza cdigos de estado para proporcionar informacin sobre peticiones del
cliente y del servidor. Los cdigos de estado incluyen un cdigo de resultado de tres
cifras interpretable por la mquina, as como una frase descriptiva del motivo. El
cliente puede elegir si desea visualizar la frase del motivo. Los cdigos de estado
estn clasificados de la siguiente manera:

Informativo (100 a 199): peticin recibida y en proceso

xito (200 a 299): accin recibida correctamente, comprendida y aceptada

Redireccin (300 a 399): se requiere una accin adicional para completar la


peticin

Error del cliente (400 a 499): la peticin es sintcticamente incorrecta y no se


puede llevar a cabo

Error del servidor (500 a 599): el servidor no pudo cumplir una peticin
aparentemente vlida

Servicios

137

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

La tabla siguiente enumera todos los cdigos de estado definidos para RTSP 1.0 y
las frases de motivo recomendadas. Las frases de motivo se pueden revisar o
redefinir sin que ello afecte al funcionamiento del protocolo.
Tabla 16: Cdigos de estado de RTSP 1.0
Cdigo de
estado

NOTA:

138

Servicios

Frase del motivo

Cdigo de
estado

Frase del motivo

100

Continue

414

Request-URI Too Large

200

OK

415

Unsupported Media Type

201

Created

451

Unsupported Media Type

250

Low on Storage Space

452

Conference Not Found

300

Multiple Choices

453

Not Enough Bandwidth

301

Moved Permanently

454

Session Not Found

303

See Other

455

Method Not Valid in This State

304

Not Modified

456

Header Field Not Valid for Resource

305

Use Proxy

457

Invalid Range

400

Bad Request

458

Parameter is Read-Only

401

Unauthorized

459

Aggregate operation not allowed

402

Payment Required

460

Only aggregate operation allowed

403

Forbidden

461

Unsupported transport

404

Not Found

462

Destination unreachable

405

Method Not Allowed

500

Internal Server Error

406

Not Acceptable

501

Not Implemented

407

Proxy Authentication
Required

502

Bad Gateway

408

Request Time-out

503

Service Unavailable

410

Gone

504

Gateway Time-out

411

Length Required

505

RTSP Version not supported

412

Precondition Failed

551

Option not supported

413

Request Entity Too Large

Para ver las definiciones completas de los cdigos de estado, consulte RFC 2326,
Real Time Streaming Protocol (RTSP).

Captulo 5: Bloques para la construccin de directivas

Configurar un servidor de medios en un dominio privado


En este ejemplo, el servidor de medios se encuentra en la zona Trust y el cliente en
la zona Untrust. Usted decide colocar una MIP en la interfaz ethernet3 hacia el
servidor de medios en la zona Trust y luego crear una directiva para permitir que el
trfico de RTSP pase desde el cliente en la zona Untrust al servidor de medios en la
zona Trust.
Figura 63: Dominio privado RTSP
ethernet1
10.1.1.1

ethernet3
1.1.1.1

Zona Trust

Zona Untrust
Dispositivo de seguridad

LAN

Dispositivo virtual
MIP en ethernet3
1.1.1.3 -> 10.1.1.3

Servidor de medios
10.1.1.3

LAN

Client1.1.1.5

WebUI
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
2.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/24
Zone: Untrust
Servicios

139

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

MIP

Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.3
Host IP Address: 10.1.1.5
4.

Directiva

Directivas > (De: Untrust, A: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), cliente
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: RTSP
Action: Permit

CLI
1.

Interfaces

set
set
set
set
2.

interface ethernet1 trust


interface ethernet1 ip 10.1.1.1
interface ethernet3 untrust
interface ethernet3 ip 1.1.1.1

Direcciones

set address trust media_server 10.1.1.3/24


set address untrust client 1.1.1.5
3.

MIP

set interface ethernet3 mip (1.1.1.3) host 10.1.1.3


4.

Directiva

set policy from untrust to trust client mip(1.1.1.3) rtsp permit


save

Configurar un servidor de medios en un dominio pblico


En este ejemplo, el servidor de medios se encuentra en la zona Untrust y el cliente
en la zona Trust. Usted colocar un conjunto de DIP en la interfaz ethernet3 para
ejecutar NAT cuando el servidor de medios responda al cliente desde la zona
Untrust y luego crear una directiva para permitir que el trfico RTSP fluya desde la
zona Trust a la zona Untrust.
Figura 64: Dominio pblico RTSP

Zona Trust
LAN

Cliente
10.1.1.3

140

Servicios

ethernet3
1.1.1.1

ethernet1
10.1.1.1
Dispositivo de seguridad

Rango DIP
en ethernet3
1.1.1.5 a 1.1.1.50

Zona Untrust
LAN

Servidor de medios
1.1.1.3

Captulo 5: Bloques para la construccin de directivas

WebUI
1.

Interface

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
2.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
3.

Rango DIP

Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1.1.50
Port Translation: (seleccione)
4.

Directiva

Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry (seleccione): client
Destination Address:
Address Book Entry (seleccione): media_server
Service: RTSP
Action: Permit

> Advanced: Introduzca los siguientes datos y haga clic en OK:

Servicios

141

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.5-1.1.1.50)/port-xlate

CLI
1.

Interface

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2.

Direcciones

set address trust client ip 10.1.1.3/24


set address untrust media_server ip 1.1.1.3/24
3.

Rango DIP

set interface ethernet3 dip 5 1.1.5 1.1.1.50


4.

Directiva

set policy from trust to untrust client media_server rtsp nat dip 5 permit
save

Grupos de servicios
Un grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una
vez creado un grupo que contenga varios servicios, se pueden aplicar servicios a las
directivas a nivel de grupo, simplificando la administracin.
La opcin de grupo de servicios de ScreenOS tiene las siguientes caractersticas:

Se puede hacer referencia a cada entrada del libro de servicios en uno o ms


grupos de servicios.

Cada grupo de servicios puede contener entradas predefinidas y entradas


definidas por el usuario en el libro de servicios.

Los grupos de servicios estn sujetos a las siguientes limitaciones:

142

Servicios

Los grupos de servicios no pueden llamarse igual que los servicios; por ejemplo,
si existe un servicio llamado FTP, no puede existir un grupo de servicios con
el mismo nombre.

Si en una directiva se hace referencia a un grupo de servicios, ste se puede


editar, pero para eliminarlo ser necesario eliminar primero la referencia en la
directiva.

Si se elimina una entrada personalizada del libro de servicios, la entrada


tambin ser eliminada en todos los grupos que contengan referencias a la
misma.

Un grupo de servicios no puede contener a otro grupo de servicios como


miembro.

El trmino ANY de servicio integral no se puede agregar a grupos.

Un servicio slo puede pertenecer a un grupo a la vez.

Captulo 5: Bloques para la construccin de directivas

Crear un Grupo de servicios


En este ejemplo crear un grupo de servicios llamado grp1 que incluir los
servicios IKE, FTP y LDAP.
WebUI
Objects > Services > Groups > New: Introduzca el siguiente nombre de
grupo, mueva los siguientes servicios y haga clic en OK:
Group Name: grp1

Seleccione IKE y utilice el botn << para mover el servicio de la columna


Available Members a la columna Group Members.
Seleccione FTP y utilice el botn << para mover el servicio de la columna
Available Members a la columna Group Members.
Seleccione LDAP y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
CLI
set group service
set group service
set group service
set group service
save
NOTA:

grp1
grp1 add ike
grp1 add ftp
grp1 add ldap

Si intenta agregar un servicio a un grupo de servicios inexistente, el dispositivo de


seguridad crear ese grupo. Asegrese tambin de que los grupos que contengan
referencias a otros grupos no estn autoincluidos en la lista de referencias.

Modificar un grupo de servicios


En este ejemplo cambiar los miembros del grupo de servicios llamado grp1 que
cre en el Crear un Grupo de servicios en la pgina 143. Eliminar los servicios
IKE, FTP y LDAP, y agregar HTTP, FINGER e IMAP.
WebUI
Objects > Services > Groups > Edit (para grp1): Mueva los siguientes
servicios, luego haga clic en OK:
Seleccione IKE y utilice el botn >> para mover el servicio de la columna
Group Members a la columna Available Members.
Seleccione FTP y utilice el botn >> para mover el servicio de la columna
Group Members a la columna Available Members.
Seleccione LDAP y utilice el botn >> para mover el servicio de la
columna Group Members a la columna Available Members.
Seleccione HTTP y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
Seleccione Finger y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
Servicios

143

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Seleccione IMAP y utilice el botn << para mover el servicio de la


columna Available Members a la columna Group Members.
CLI
unset group service grp1 clear
set group service grp1 add http
set group service grp1 add finger
set group service grp1 add imap
save

Eliminar un grupo de servicios


En este ejemplo eliminar un grupo de servicios denominado grp1.
WebUI
Objects > Services > Groups: Haga clic en Remove (para grp1).
CLI
unset group service grp1
save
NOTA:

El dispositivo de seguridad no elimina automticamente un grupo del que se


hayan eliminado todos los miembros.

Grupo de IP dinmico
Un grupo de IP dinmico (DIP) es un rango de direcciones IP del cual el dispositivo
de seguridad toma direcciones de forma dinmica o determinista para aplicar la
traduccin de direcciones de red a la direccin IP de origen (NAT-src) en los
encabezados de paquetes IP. (Para obtener ms informacin sobre la traduccin
determinista de direcciones de origen, consulte NAT-Src desde un conjunto de DIP
con desplazamiento de direcciones en la pgina 8-22). Si el rango de direcciones
de un rango DIP pertenece a la misma subred que la direccin IP de la interfaz, el
conjunto debe excluir la direccin IP de la interfaz, las direcciones IP del enrutador
y cualquier direccin IP asignada (MIP) o virtual (VIP) que pueda haber en esa
misma subred. Si el rango de direcciones se encuentra en la subred de una interfaz
extendida, el conjunto debe excluir la direccin IP extendida de la interfaz.
Existen tres clases de interfaces que se pueden enlazar a rangos de IP dinmico
(DIP): interfaces fsicas y subinterfaces para el trfico de red y VPN, e interfaces de
tnel slo para tneles VPN.

144

Grupo de IP dinmico

Captulo 5: Bloques para la construccin de directivas

Figura 65: Interfaces de DIP


A la zona DMZ

A la zona Untrust
Tneles VPN
A la zona Trust

Pared de fuego
10.10.1.2

210.10.1.2

220.10.1.2

10.20.1.2

10.30.1.2

10.10.1.20

210.10.1.20

220.10.1.20

10.20.1.20

10.30.1.20

ethernet1

ethernet2

ethernet3

Tunnel

Tunnel

10.10.1.1/24

210.10.1.1/24

220.10.1.1/24

10.20.1.1/24

10.30.1.1/24

Rango DIP

Interfaces

Las interfaces fsicas


conduce a redes o tneles
VPN.

Las interfaces de tnel


solamente conducen a tneles
VPN.

Traduccin de direcciones de puertos


Utilizando la traduccin de direcciones de puertos (PAT), varios hosts pueden
compartir la misma direccin IP, para lo cual el dispositivo de seguridad mantiene
una lista de los nmeros de puerto asignados con el fin de distinguir qu sesin
pertenece a qu host. Con PAT habilitada, puede haber hasta unos 64.500 hosts
compartiendo una misma direccin IP.
Algunas aplicaciones, como la interfaz de usuario extendida para la Interfaz de
usuario extendido NetBIOS (NetBEUI) y el servicio de nombres de Internet de
Windows (WINS), requieren nmeros de puerto especficos y no funcionan
correctamente si se les aplica PAT. Se puede especificar que PAT no se ejecute para
tales aplicaciones (es decir, que se utilice un puerto fijo) al aplicar DIP. Para DIP de
puerto fijo, el dispositivo de seguridad guarda en su tabla de hash la direccin IP
del host original, permitiendo as al dispositivo de seguridad asociar la sesin
correcta a cada host.

Grupo de IP dinmico

145

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Crear un rango DIP con PAT


En este ejemplo crear un tnel VPN para que los usuarios locales puedan alcanzar
un servidor FTP en un sitio remoto. Sin embargo, las redes internas de ambos sitios
utilizan el mismo espacio de direcciones privado 10.1.1.0/24. Para solucionar este
problema de solapamiento de direcciones, crear una interfaz de tnel en la zona
Untrust del dispositivo de seguridad local, le asignar la direccin IP 10.10.1.1/24 y
le asociar un conjunto de DIP que contendr un rango de una sola direccin
(10.10.1.2-10.10.1.2) y tendr habilitada la traduccin de direcciones de puertos.
Los administradores del sitio remoto tambin debern crear una interfaz de tnel
con una direccin IP en un espacio de direcciones neutral, tal como 10.20.2.1/24, y
configurar una direccin IP asignada (MIP) a su servidor FTP, como 10.20.2.5 hacia
el host 10.1.1.5.

NOTA:

Este ejemplo incluye solamente la configuracin de la interfaz de tnel y del


conjunto de DIP que la acompaa. Por ver un ejemplo completo con todos los
pasos de configuracin necesarios para este supuesto, consulte Sitios VPN con
direcciones superpuestas en la pgina 5-141.
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.1/24

Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
NOTA:

Puede utilizar el nmero de identificacin mostrado, que es el siguiente nmero


correlativo disponible, o bien escribir otro nmero.
CLI
set interface tunnel.1 zone untrust-tun
set interface tunnel.1 ip 10.10.1.1/24
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
save

146

Grupo de IP dinmico

Captulo 5: Bloques para la construccin de directivas

NOTA:

Dado que PAT est habilitada de forma predeterminada, no existe ningn


argumento para habilitarla. Para crear el mismo conjunto de DIP segn lo definido
anteriormente, pero sin PAT (es decir, con nmeros de puerto fijos), haga lo
siguiente:
(WebUI) Network > Interfaces > Edit (for tunnel.1) > DIP > New: Elimine la
seleccin de la casilla de verificacin de la Traduccin de puerto, luego haga clic
en OK.
(CLI) set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2 fix-port

Modificar un conjunto de DIP


En este ejemplo cambiar el rango de direcciones de un conjunto de DIP existente
(ID 5) de 10.20.1.2 10.20.1.2 a 10.20.1.2 10.20.1.10. Este conjunto est
asociado a tunnel.1. Observe que para cambiar el rango del conjunto de DIP
mediante la interfaz de lnea de comandos (CLI), primero debe eliminar (o
desactivar) el conjunto de DIP existente y crear un nuevo conjunto.

NOTA:

No hay directivas que utilicen este conjunto de DIP en particular. Para que una
directiva utilice un conjunto de DIP, primero debe eliminar la directiva o
modificarla para que no pueda utilizar el conjunto de DIP antes de que usted lo
haya modificado.
WebUI
Network > Interfaces > Edit (for tunnel.1) > DIP > Edit (for ID 5): Introduzca
los siguientes datos y haga clic en OK:
IP Address Range: 10.20.1.2 ~ 10.20.1.10

CLI
unset interface tunnel.1 dip 5
set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10
save

Direcciones DIP sticky


Cuando un host inicia varias sesiones que satisfacen las condiciones de una
directiva que requiere la traduccin de direcciones de red (NAT) y se le asigna una
direccin de un conjunto de DIP con la traduccin de puertos habilitada, el
dispositivo de seguridad asigna una direccin IP de origen distinta a cada sesin. Tal
asignacin de direcciones aleatoria puede resultar problemtica para los servicios
que generan mltiples sesiones que requieren la misma direccin IP de origen para
cada sesin.

NOTA:

Para los rangos DIP que no realizan la traduccin de puertos, el dispositivo de


seguridad asigna una direccin IP a todas las sesiones simultneas del mismo
host.

Grupo de IP dinmico

147

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Por ejemplo, es importante tener la misma direccin IP para varias sesiones cuando
se utiliza el cliente AOL Instant Messaging (AIM). Crear una sesin durante el inicio
de su sesin y otra por cada chat. Para que el servidor AIM pueda verificar que un
nuevo chat pertenece a un usuario autenticado, debe comparar la direccin IP de
origen del inicio de sesin con la direccin de la sesin de chat. Si son diferentes
(posiblemente porque hubiesen sido asignadas aleatoriamente desde un conjunto
de DIP durante el proceso NAT), el servidor AIM rechazar la sesin de chat.
Para garantizar que el dispositivo de seguridad asigna la misma direccin IP de un
conjunto de DIP a las diferentes sesiones simultneas de un host, puede habilitar la
caracterstica sticky de la direccin DIP ejecutando el comando CLI set dip sticky.

Usar DIP en otra subred


Si las circunstancias requieren que la direccin IP de origen del trfico saliente por
la pared de fuego sea traducida a una direccin de una subred diferente de la
subred en la que se encuentra la interfaz de salida, puede utilizar la opcin
extendida de la interfaz. Esta opcin permite implantar una segunda direccin IP y
un conjunto de DIP auxiliar en una interfaz de otra subred. Despus se puede
habilitar NAT sobre una base de directivas y especificar para la traduccin el
conjunto de DIP creado en la interfaz extendida.
En este ejemplo, dos sucursales tienen lneas punto a punto con la sede central. La
oficina central les exige utilizar solamente las direcciones IP autorizadas que les ha
asignado. Sin embargo, las oficinas reciben de su proveedor de servicios (ISP)
otras direcciones IP para el trfico de Internet. Para la comunicacin con la oficina
central, utilizar la opcin de interfaz extendida para configurar el dispositivo de
seguridad en cada sucursal de modo que traduzca la direccin IP de origen a la
direccin autorizada en todos los paquetes enviados a la oficina central. Las
direcciones IP autorizadas y asignadas para las sucursales A y B son las siguientes:
Tabla 17: Direcciones IP oficiales autorizadas
Direccin IP asignada (de
ISP)Utilizada para la interfaz
fsica de la zona Untrust

Direccin IP autorizada (de la sede central)


Utilizada para la DIP de la interfaz extendida
de la zona Untrust

Oficina A 195.1.1.1/24

211.10.1.1/24

Oficina B 201.1.1.1/24

211.20.1.1/24

En ambos sitios, los dispositivos de seguridad tienen una zona Trust y una zona
Untrust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr. Enlazar ethernet1 a la zona Trust y le asignar la direccin IP 10.1.1.1/24.
Enlazar ethernet3 a la zona Untrust y le asignar la direccin IP generada por los
correspondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina
B. A continuacin, crear una interfaz extendida con un conjunto de DIP que
contendr la direccin IP autorizada en ethernet3:

148

Grupo de IP dinmico

Oficina A: IP de la interfaz extendida 211.10.1.10/24; rango DIP 211.10.1.1


211.10.1.1; PAT habilitada

Oficina B: IP de la interfaz extendida 211.20.1.10/24; rango DIP 211.20.1.1


211.20.1.1; PAT habilitada

Captulo 5: Bloques para la construccin de directivas

Establecer la interfaz de la zona Trust en modo NAT. Utilizar la direccin IP de la


interfaz de la zona Untrust como direccin de origen en todo el trfico saliente,
salvo en el trfico enviado a la sede central. Configurar una directiva para la sede
central que traducir la direccin de origen a una direccin del conjunto de DIP en
la interfaz extendida. (El nmero de identificacin del conjunto de DIP es 5.
Contiene una direccin IP que, mediante la traduccin de direcciones de puertos,
permite gestionar las sesiones de unos 64.500 hosts). La direccin MIP utilizada por
la sede central para el trfico entrante ser 200.1.1.1, que deber introducir como
HQ (oficina central) en la libreta de direcciones de la zona Untrust de cada
dispositivo de seguridad.
Figura 66: DIP bajo otra subred
Sede central
(HQ)
Nota: Las lneas arrendadas conectan las
sucursales A y B directamente a la sede central.
Zona Untrust

200.1.1.1

Zona Untrust

ISP
Lnea punto
a punto

Lnea punto
a punto
Internet
Zona Untrust, ethernet3
El ISP asigna 195.1.1.1/24
(interfaz fsica)
HQ autoriza 211.10.1.1/24
(interfaz extendida)
Puerta de enlace
predeterminada 195.1.1.254
Zona Trust, ethernet1
10.1.1.1/24

NOTA:

ISP

ISP

Oficina A
Zona Trust

Oficina B
Zona Untrust

Zona Untrust, ethernet3


El ISP asigna 201.1.1.1/24
(interfaz fsica)
HQ autoriza 211.20.1.1/24
(interfaz extendida)
Puerta de enlace
predeterminada 201.1.1.254
Zona Trust, ethernet1
10.1.1.1/24

Para poder utilizar una lnea punto a punto, cada ISP debe establecer una ruta para
el trfico destinado al sitio que se encuentra en el extremo de esa lnea. Los ISP
desviarn a Internet cualquier otro trfico que reciban de un dispositivo de
seguridad local.
WebUI (Sucursal A)
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 195.1.1.1/24
Interface Mode: Ruta

Grupo de IP dinmico

149

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.10.1.10/255.255.255.0
2.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 195.1.1.254
4.

Directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (211.10.1.1-211.10.1.1)/X-late

150

Grupo de IP dinmico

Captulo 5: Bloques para la construccin de directivas

WebUI (Sucursal B)
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 201.1.1.1/24
Interface Mode: Ruta

Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.20.1.10/255.255.255.0
2.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 201.1.1.254
4.

Directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Grupo de IP dinmico

151

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 5 (211.20.1.1-211.20.1.1)/X-late

CLI (Sucursal A)
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 195.1.1.1/24
set interface ethernet3 rout
set interface ethernet3 ext ip 211.10.1.10 255.255.255.0 dip 5 211.10.1.1
2.

Direccin

set address untrust hq 200.1.1.1/32


3.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 195.1.1.254


4.

Directivas

set policy from trust to untrust any any any permit


set policy top from trust to untrust any hq any nat src dip 5 permit
save

CLI (Sucursal B)
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 201.1.1.1/24
set interface ethernet3 route
set interface ethernet3 ext ip 211.20.1.10 255.255.255.0 dip 5 211.20.1.1
2.

Direccin

set address untrust hq 200.1.1.1/32


3.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 201.1.1.254


4.

Directivas

set policy from trust to untrust any any any permit


set policy top from trust to untrust any hq any nat src dip 5 permit
save

152

Grupo de IP dinmico

Captulo 5: Bloques para la construccin de directivas

Utilizar un DIP en una Interfaz Loopback


Una interfaz loopback es una interfaz lgica que siempre se encuentra en estado
activo mientras el dispositivo en el que reside permanezca encendido. En una
interfaz loopback se puede crear un conjunto de direcciones IP dinmicas (DIP)
accesible por el grupo de interfaces perteneciente al grupo asociado de interfaces
loopback al realizar la traduccin de direcciones de origen. Las direcciones que el
dispositivo de seguridad toma de ese conjunto de DIP se encuentran en la misma
subred que la direccin IP de la interfaz loopback, no en la subred de ninguna de las
interfaces miembro. (Observe que las direcciones del conjunto de DIP no deben
solaparse con la direccin IP de la interfaz ni con ninguna direccin MIP que
tambin se haya definido en la interfaz loopback).

Para obtener ms informacin sobre interfaces loopback, consulte Interfaces de


bucle invertido (loopback) en la pgina 60.

NOTA:

La principal aplicacin de ubicar un conjunto de DIP en una interfaz loopback es


traducir direcciones de origen a la misma direccin o rango de direcciones aunque
diferentes paquetes utilicen diferentes interfaces de salida.
Figura 67: DIP Loopback
Traduccin de direcciones de origen utilizando
un conjunto DIP en una interfaz loopback
IP de origen
1.3.3.2

IP de destino
2.2.2.2

DATOS
ethernet2
1.1.1.1/24
Interfaz loopback
loopback 1
1.3.3.1/30

Sea cual sea la interfaz de


salida, el dispositivo de
seguridad traduce las
direcciones IP de origen a la
direccin del conjunto de DIP
definido en la interfaz
loopback.1.

IP de origen
10.1.1.5

IP de destino
2.2.2.2

ethernet3
1.2.2.1/24

IP de origen
1.3.3.2

IP de destino
2.2.2.2

DATOS

IP de origen
10.1.1.6

IP de destino
2.2.2.2

DATOS

Rango DIP
1.3.3.2 - 1.3.3.2

Dispositivo de seguridad
ethernet1
10.1.1.1/24

DATOS

Host A
10.1.1.5

Host B
10.1.1.6

En este ejemplo, el dispositivo de seguridad recibe las direcciones IP siguientes de


dos interfaces de la zona Untrust desde diferentes proveedores de servicios de
Internet (ISP): ISP-1 e ISP-2:

ethernet2, 1.1.1.1/24, ISP-1

ethernet3, 1.2.2.1/24, ISP-2

Asociar estas interfaces a la zona Untrust y despus les asignar las direcciones IP
indicadas anteriormente. Tambin asociar ethernet1 a la zona Trust y le asignar la
direccin IP 10.1.1.1/24.

Grupo de IP dinmico

153

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Desea que el dispositivo de seguridad traduzca la direccin de origen del trfico


saliente de la zona Trust a una oficina remota en la zona Untrust. La direccin
traducida debe ser la misma direccin IP (1.3.3.2), porque la oficina remota tiene
una directiva que permite el trfico entrante solamente de esa direccin IP.
Previamente habr obtenido las direcciones IP pblicas 1.3.3.1 y 1.3.3.2 y habr
notificado a ambos ISP que estar utilizando estas direcciones adems de las
direcciones que ellos asignen al dispositivo.
Configurar una interfaz loopback.1 con la direccin IP 1.3.3.1/30 y un conjunto de
DIP de 1.3.3.2 1.3.3.2 en esa interfaz. El rango DIP tendr la identificacin
nmero 10. Despus har a ethernet1 y ethernet2 miembros del grupo loopback
correspondiente a loopback.1.
Definir una direccin r-office con la direccin IP 2.2.2.2/32 para la oficina
remota. Tambin definir rutas predeterminadas para las interfaces ethernet1 y
ethernet2, que apuntarn a los enrutadores de los proveedores ISP-1 e ISP-2,
respectivamente.
Definir rutas a dos puertas de enlace para que el trfico saliente las utilice. Dado
que no tiene ninguna preferencia por una ruta u otra, no incluir ninguna mtrica
en ninguna de ellas. El trfico saliente podr seguir cualquier ruta.

NOTA:

Para indicar una ruta preferente, incluya mtricas en ambas rutas y asigne a su
ruta preferida una mtrica ms alta, es decir, un valor ms cercano a 1.
Por ltimo, crear una directiva que aplicar la traduccin de direcciones de red de
origen (NAT-src) al trfico saliente hacia la oficina remota. La directiva har
referencia al rango DIP con la identificacin 10.

Figura 68: Directiva de DIP loopback

IP de origen
1.3.3.2

IP de destino
2.2.2.2

r-office
2.2.2.2

DATOS
ISP-1

154

ISP-2
ethernet3, 1.2.2.1/24
puerta de enlace 1.2.2.250

ethernet2, 1.1.1.1/24
gateway 1.1.1.250

El dispositivo de
seguridad traduce
todas las direcciones
IP de origen de los
paquetes destinados
a 2.2.2.2 de 10.1.1.X
a 1.3.3.2,
independientemente
de la interfaz de
salida utilizada.

IP de origen
10.1.1.X

Zona
Untrust

Rango DIP con ID 10


(en Loopback.1)
1.3.3.2 1.3.3.2
ethernet110.1.1.1/24
Modo NAT

Loopback.1
Zona Untrust
1.3.3.1/30
10.1.1.0/24

IP de destino
2.2.2.2

Grupo de IP dinmico

DATOS

Zona
Trust

Captulo 5: Bloques para la construccin de directivas

WebUI
1.

Interfaces

Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zone: Untrust (trust-vr)
IP Address/Netmask: 1.3.3.1/30

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Ruta

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Interface Mode: Ruta
2.

Rango DIP

Network > Interfaces > Edit (para loopback.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
Port Translation: (seleccione)
3.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: r-office
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.2/32
Zone: Untrust

Grupo de IP dinmico

155

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

4.

Rutas

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet2
Gateway IP address: 1.1.1.250

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 1.2.2.250
5.

Directiva

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), r-office
Service: ANY
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 10 (1.3.3.2-1.3.3.2)/port-xlate

CLI
1.

Interfaces

set interface loopback.1 zone untrust


set interface loopback.1 ip 1.3.3.1/30
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
set interface ethernet2 loopback-group loopback.1
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.2.2.1/24
set interface ethernet3 loopback-group loopback.1

156

Grupo de IP dinmico

Captulo 5: Bloques para la construccin de directivas

2.

Rango DIP

set interface loopback.1 dip 10 1.3.3.2 1.3.3.2


3.

Direccin

set address untrust r-office 2.2.2.2/32


4.

Rutas

set vrouter trust-vr route 0.0.0.0/0 interface ethernet2 gateway 1.1.1.250


set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.2.2.250
5.

Directiva

set policy from trust to untrust any r-office any nat src dip-id 10 permit
save

Crear un grupo de DIP


Cuando usted agrupa dos dispositivos de seguridad en un clster redundante para
proporcionar alta disponibilidad (HA) en una configuracin activa/activa, ambos
dispositivos comparten la misma configuracin y ambos procesan el trfico
simultneamente. Puede presentarse un problema al definir una directiva para
realizar la traduccin de direcciones de red (NAT) si se utiliza un rango de IP
dinmico (DIP) situado en una VSI. Debido a que esa VSI solamente est activa en el
dispositivo de seguridad que acta como maestro (master) del grupo VSD al que
est asociada, ningn trfico enviado al otro dispositivo de seguridad (el que acta
como respaldo de dicho grupo VSD) puede utilizar ese rango DIP y se descarta.
Figura 69: Problemas de DIP con NAT con una VSI
Utilizacin problemtica de un rango DIP en una directiva en un clster NSRP:
set policy name out-nat from trust to untrust any any any nat src dip-id 7 permit

Zona Untrust
VSI de la zona Untrust

ethernet2
1.1.1.1/24

VSD
maestro 0

ethernet3:1
1.1.1.2/24

Dispositivo A

TX/RX

LINK

TX/RX

VSD de
respaldo 0

VSI de la zona Trust

Debido a que el rango DIP se encuentra en la VSI de


la zona Untrust del grupo VSD 1 (cuyo maestro es el
Dispositivo B), el Dispositivo A (respaldo del grupo
VSD 1) descarta el trfico recibido en ethernet1
(10.1.1.1/24) que cumple la directiva out-nat.

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

VSD de
respaldo 1

LINK

Grupo VSD: 1

Grupo VSD: 0

Clster NSRP

LINK

ID de rango DIP
1.1.1.101 1.1.1.150

Dispositivo B

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

VSD
maestro 1

ethernet1:1
10.1.1.2/24

ethernet1
10.1.1.1/24

Zona Trust

Grupo de IP dinmico

157

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Para solucionar este problema, cree dos rangos DIP (uno en la VSI de la zona
Untrust por cada grupo VSD) y combine ambos rangos DIP en un grupo de DIP, al
que luego har referencia en la directiva. Cada VSI utiliza su propio conjunto de VSD
incluso aunque en la directiva se especifique el grupo de DIP.
Figura 70: Crear dos rangos DIP en un grupo de DIP
Utilizacin recomendada de un grupo de DIP en una directiva cuando se
encuentra en un clster NSRP:
set policy name out-nat from trust to untrust any any any nat dip-id 9 permit
Zona Untrust
Rango DIP con ID 8
1.1.1.151 210.1.1.200

VSI de la zona Untrust

ID de rango DIP
1.1.1.101 1.1.1.150
ethernet3
1.1.1.1/24

VSD
maestro 0
Clster NSRP

ethernet3:1
1.1.1.2/24

Grupo de DIP 9

Dispositivo A

TX/RX

LINK

TX/RX

LINK

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

VSD de
respaldo 1

Grupo VSD: 1

Grupo VSD: 0
VSD de
respaldo 0

TX/RX

Dispositivo B

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

TX/RX

LINK

VSD
maestro 1

VSI de la zona Trust


ethernet1:1
10.1.1.2/24

ethernet1
10.1.1.1/24
Combinando los rangos DIP situados en ambas VSI
de la zona Untrust (para los grupos VSD 0 y 1) en un
grupo de DIP, ambos Dispositivos A y B pueden
procesar el trfico que cumpla la directiva out-nat, en
la que no se hace referencia a un rango DIP especfico
de interfaz, sino al grupo de DIP compartido.

NOTA:

Zona Trust

Para obtener ms informacin sobre la configuracin de dispositivos de seguridad


para HA, consulte Volumen 11: Alta disponibilidad.
En este ejemplo proporcionar servicios NAT en dos dispositivos de seguridad
(Dispositivos A y B) en un par HA activo/activo.
Crear dos rangos DIP, DIP 5 (1.1.1.20 1.1.1.29) en ethernet3 y DIP 6 (1.1.1.30
1.1.1.39) en ethernet3:1. Despus los combinar en un grupo de DIP identificado
como DIP 7, al que har referencia en una directiva.
Las VSI de los grupos VSD 0 y 1 son:

158

Grupo de IP dinmico

VSI de la zona Untrust ethernet3 1.1.1.1/24 (grupo VSD 0)

VSI de la zona Untrust ethernet3:1 1.1.1.2/24 (grupo VSD 1)

VSI de la zona Trust ethernet1 10.1.1.1/24 (grupo VSD 0)

VSI de la zona Trust ethernet1:1 10.1.1.1/24 (grupo VSD 1)

Captulo 5: Bloques para la construccin de directivas

Asumamos que ya configur previamente los Dispositivos A y B en un clster NSRP,


cre el grupo VSD 1 (ScreenOS crea automticamente el grupo VSD 0 cuando se
coloca un dispositivo en un clster NSRP), y configur las interfaces mencionadas.
(Para obtener ms informacin sobre la configuracin de dispositivos de seguridad
para NSRP, consulte Volumen 11: Alta disponibilidad).
WebUI
1.

Rango DIP

Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.1.1.20 1.1.1.29
Port Translation: (seleccione)

Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: 1.1.1.30 1.1.1.39
Port Translation: (seleccione)

NOTA:

En el momento de publicar esta versin, con CLI solamente se puede definir un


grupo de DIP.
2.

Directiva

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 7

CLI
1.

Rango DIP

set interface ethernet3 dip 5 1.1.1.20 1.1.1.29


set interface ethernet3:1 dip 6 1.1.1.30 1.1.1.39
2.

Grupos de DIP

set dip group 7 member 5


set dip group 7 member 6
3.

Directivas

set policy from trust to untrust any any any nat src dip-id 7 permit
save
Grupo de IP dinmico

159

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Configurar una programacin recurrente


Una programacin es un objeto configurable que se puede asociar a una o varias
directivas para definir cundo deben entrar en vigor. Las tareas programadas
permiten controlar el flujo de trfico en la red y hacer cumplir las normas de
seguridad de la red.
Para definir una programacin, introduzca los valores de los parmetros siguientes:

Schedule Name: El nombre que aparece en la lista desplegable Schedule del


cuadro de dilogo Policy Configuration. Elija un nombre descriptivo que le
permita identificar la programacin. El nombre debe ser exclusivo y est
limitado a 19 caracteres.

Comment: Cualquier informacin adicional que desee agregar.

Recurring: Habilite esta opcin cuando desee que el programa se repita con
una periodicidad semanal.
Start and End Times: Debe configurar tanto la hora de comienzo como de fin.
Puede especificar hasta dos periodos de un mismo da.

Once: Habilite esta opcin cuando desee que la programacin se ejecute y


termine una sola vez.
mm/dd/aaaa hh:mm: Debe introducir tanto la fecha y hora de inicio como la
de fin.

En este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el
acceso a Internet de la empresa para asuntos personales despus del trabajo. Usted
crear una programacin para el horario no comercial que asociar a una directiva
para denegar el trfico TCP/IP saliente generado por el equipo de ese trabajador
(10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1.

Programacin

Objects > Schedules > New: Introduzca los siguientes datos y haga clic en OK:
Schedule Name: After Hours
Comment: For non-business hours
Recurring: (seleccione)
Periodo 1:

160

Da de la semana Hora comienzo

Hora final

Domingo

23:59

00:00

Lunes

00:00

06:00

Martes

00:00

06:00

Mircoles

00:00

06:00

Jueves

00:00

06:00

Viernes

00:00

06:00

Sbado

00:00

23:59

Configurar una programacin recurrente

Captulo 5: Bloques para la construccin de directivas

Periodo 2:
Da de la semana Hora comienzo

Hora final

Domingo

17:00

23:59

Lunes

17:00

23:59

Martes

17:00

23:59

Mircoles

17:00

23:59

Jueves

17:00

23:59

Viernes

17:00

23:59

Sbado

17:00

23:59

2.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Tom
Comment: Temp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.

Directiva

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Deny
Schedule: After Hours

Configurar una programacin recurrente

161

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

CLI
1.

Programacin

set schedule after hours recurrent sunday start 00:00 stop 23:59
set schedule after hours recurrent monday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent tuesday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent wednesday start 00:00 stop 06:00 start
17:00 stop 23:59
set schedule after hours recurrent thursday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent friday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent saturday start 00:00 stop 23:59 comment
for non-business hours
2.

Direccin

set address trust tom 10.1.1.5/32 temp


3.

Directiva

set policy from trust to untrust tom any http deny schedule after hours
save

162

Configurar una programacin recurrente

Captulo 6

Directivas
El comportamiento predeterminado de un dispositivo de seguridad es rechazar
todo el trfico entre zonas de seguridad (trfico entre zonas) y, con excepcin del
trfico dentro de la zona Untrust, permitir todo el trfico entre interfaces asociadas
a una misma zona (trfico dentro de zonas). Para permitir que determinado trfico
entre zonas pase por un dispositivo de seguridad, debe crear directivas entre zonas
que tengan preferencia sobre el comportamiento predeterminado. De forma
anloga, para impedir que determinado trfico dentro de zonas pueda pasar por un
dispositivo de seguridad, debe crear las correspondientes directivas dentro de
zonas.

NOTA:

De forma predeterminada, los dispositivos NetScreen-5XP y NetScreen-5XT


permiten el trfico desde la zona Trust a la zona Untrust.
En este captulo se describe en qu consisten las directivas y cmo se relacionan
entre s los diversos elementos que componen una directiva. Contiene las siguientes
secciones:

NOTA:

Elementos bsicos en la pgina 164

Tres tipos de directivas en la pgina 165

Listas de conjuntos de directivas en la pgina 167

Definicin de directivas en la pgina 168

Directivas aplicadas en la pgina 179

Si configura el enrutamiento multicast en un dispositivo de seguridad, puede que


tenga que configurar directivas multicast. Para obtener informacin sobre
directivas multicast, consulte Directivas multicast en la pgina 7-143.

163

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Elementos bsicos
Una directiva permite, deniega o canaliza por un tnel los tipos de trfico
especificados de forma unidireccional entre dos puntos. El tipo de trfico (o
servicio), la ubicacin de los dos puntos finales y la accin invocada componen
los elementos bsicos de una directiva. Aunque puede haber otros componentes,
los elementos requeridos, que juntos constituyen el ncleo de una directiva, son los
siguientes:

NOTA:

La accin tunnel (tnel VPN o L2TP) contiene implcitamente el concepto


permit.

Sentido: La direccin del trfico entre dos zonas de seguridad (desde una zona
de origen a una zona de destino)

Direccin de origen: La direccin desde la que se inicia el trfico

Destino: La zona a la que se enva el trfico

Servicio: El tipo de trfico transmitido

Accin: La accin realizada por el dispositivo de seguridad cuando recibe


trfico que cumple los cuatro primeros criterios: denegar, permitir, rechazar o
encapsular

Por ejemplo, la directiva indicada en el comando CLI siguiente permite el trfico


FTP desde cualquier direccin de la zona Trust a un servidor FTP llamado server1
en la zona DMZ:
set policy from trust to untrust any server1 ftp permit

164

Elementos bsicos

Sentido: from trust to untrust (es decir, de la zona Trust a la zona Untrust)

Direccin de origen: any (es decir, cualquier direccin en la zona Trust. El


trmino any significa una direccin predefinida aplicable a cualquier
direccin de una zona)

Direccin de destino: server1 (una direccin definida por el usuario en la


libreta de direcciones de la zona Untrust)

Servicio: ftp (protocolo de transferencia de archivos o File Transfer Protocol)

Accin: permitir (el dispositivo de seguridad permite a este trfico atravesar su


pared de fuego)

Captulo 6: Directivas

Tres tipos de directivas


Puede controlar el flujo de trfico mediante las tres clases de directivas siguientes:

Mediante la creacin de directivas dentro de zonas puede regular el tipo de


trfico que desee permitir desde una zona de seguridad a otra.

Mediante directivas dentro de zonas tambin puede controlar el tipo de trfico


al que desea permitir cruzar interfaces asociadas a la misma zona.

Creando directivas globales puede regular el trfico entre direcciones, sin


importar sus zonas de seguridad.

Directivas entre zonas


Las directivas entre zonas permiten controlar el trfico entre zonas de seguridad.
Puede establecer directivas entre zonas para denegar, permitir, rechazar o tunelizar
el trfico desde una zona a otra. Aplicando tcnicas de inspeccin de estado, un
dispositivo de seguridad mantiene una tabla de sesiones TCP activas y de
pseudosesiones UDP activas para poder permitir respuestas a las peticiones de
servicio. Por ejemplo, si tiene una directiva que permite enviar peticiones HTTP del
host A de la zona Trust al servidor B de la zona Untrust, cuando el dispositivo de
seguridad recibe respuestas HTTP del servidor B para el host A, el dispositivo de
seguridad comprueba el paquete recibido con el contenido de su tabla. Si detecta
que el paquete es una respuesta a una peticin HTTP aprobada, el dispositivo de
seguridad permite al paquete del servidor B de la zona Untrust cruzar la pared de
fuego hacia host A en la zona Trust. Para permitir el trfico iniciado por el servidor B
hacia el host A (no slo respuestas al trfico iniciado por el host A), debe crear una
segunda directiva del servidor B en la zona Untrust al host A en la zona Trust.
Figura 71: Directiva entre zonas
set policy from trust to untrust host A server B http permit
Servidor B

Host A
Zona Trust

Zona Untrust
Dispositivo de seguridad

Peticin HTTP
Respuesta HTTP
Peticin HTTP

Nota: El dispositivo de seguridad deniega la peticin HTTP del servidor B porque no hay ninguna directiva que lo p

Directivas dentro de zonas


Las directivas dentro de zonas permiten controlar el trfico entre interfaces
asociadas a la misma zona de seguridad. Las direcciones de origen y de destino se
encuentran en la misma zona de seguridad, pero se llega a ellas a travs de
diferentes interfaces del dispositivo de seguridad. Igual que las directivas entre
zonas, las directivas dentro de zonas controlan el trfico que fluye
unidireccionalmente. Para permitir el trfico iniciado en cualquier extremo de una
ruta de datos, debe crear dos directivas, una para cada sentido.

Tres tipos de directivas

165

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 72: Directiva dentro de zonas


set policy from trust to trust host A server B any permit
set policy from trust to trust server B host A any permit

ethernet1
10.1.1.1/24

ethernet4
10.1.2.1/24

Conmutadores de capa 2
Host A
10.1.1.5

LAN 1
10.1.1.0/24

LAN
10.1.2.0/24

Servidor B
10.1.2.30

Zona Trust

Las directivas dentro de zonas no admiten tneles VPN ni la traduccin de


direcciones de la red de origen (NAT-src) a nivel de interfaz (set interface interface
nat). Sin embargo, las directivas dentro de zonas admiten NAT-src y NAT-dst basada
en directivas. Tambin admiten la traduccin de direcciones de destino cuando la
directiva hace referencia a una direccin IP asignada (MIP) como direccin de
destino. (Para obtener ms informacin sobre NAT-src, NAT-dst y MIP, consulte
Volumen 8: Traduccin de direcciones.)

Directivas globales
A diferencia de las directivas entre zonas y dentro de zonas, las directivas globales
no hacen referencia a zonas de origen y de destino especficas. Las directivas
globales hacen referencia a direcciones de la zona Global definidas por el usuario o
a la direccin any de la zona predefinida Global. Estas direcciones pueden pasar
por varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso hacia o
desde varias zonas, puede crear una directiva global con la direccin any de la
zona Global, que abarca todas las direcciones de todas las zonas.

NOTA:

166

Tres tipos de directivas

En el momento de publicar esta versin, las directivas globales no admiten la


traduccin de direcciones de red de origen (NAT-src), tneles VPN ni el modo
transparente. Puede, sin embargo, especificar una MIP o VIP como direccin de
destino en una directiva global.

Captulo 6: Directivas

Listas de conjuntos de directivas


Un dispositivo de seguridad mantiene tres diferentes listas de conjuntos de
directivas, una por cada una de las siguientes clases de directivas:

Directivas entre zonas

Directivas dentro de zonas

Directivas globales

Cuando el dispositivo de seguridad recibe un paquete de inicio de una nueva


sesin, detecta la interfaz de entrada y averigua a qu zona de origen est asociada
esa interfaz. A continuacin, el dispositivo de seguridad realiza una bsqueda de
rutas para determinar la interfaz de salida y determina a qu zona de destino est
asociada esa interfaz. Utilizando las zonas de origen y de destino, el dispositivo de
seguridad puede realizar una bsqueda de directivas, consultando las listas de
conjuntos de directivas en el orden siguiente:
1. Si las zonas de origen y de destino son diferentes, el dispositivo de seguridad
realiza una bsqueda de directivas en la lista de conjuntos de directivas entre
zonas.
(o bien)
Si las zonas de origen y de destino son iguales, el dispositivo de seguridad
realiza una bsqueda de directivas en la lista de conjuntos de directivas dentro
de zonas.
2. Si el dispositivo de seguridad realiza la consulta de directivas entre zonas o
dentro de zonas y no encuentra coincidencias, consulta la lista de conjuntos de
directivas global.
3. Si el dispositivo de seguridad realiza las bsquedas de directivas entre zonas y
globales y no encuentra coincidencias, aplica al paquete la directiva
permitir/denegar predeterminada: unset/set policy default-permit-all.
(o bien)
Si el dispositivo de seguridad realiza las bsquedas de directivas dentro de
zonas y globales y no encuentra coincidencias, aplica al paquete el ajuste de
bloqueo dentro de zonas de esa zona: unset/set zone zona block.
El dispositivo de seguridad consulta cada lista de conjuntos de directivas de arriba
abajo. Por lo tanto, las directivas ms especficas deben ubicarse en la lista por
encima de las menos especficas. (Para obtener ms informacin sobre el orden de
directivas, consulte Reordenar directivas en la pgina 195).

Listas de conjuntos de directivas

167

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Definicin de directivas
Una pared de fuego representa el lmite de una red con un solo punto de entrada y
de salida. Como todo el trfico debe pasar a travs de este punto, puede
supervisarlo y dirigirlo implementando listas de conjuntos de directivas (para
directivas entre zonas, directivas dentro de zonas y directivas globales).
Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje
de puerto inalcanzable TCP RST o ICMP al host de origen), encriptar y desencriptar,
autenticar, priorizar, programar, filtrar y supervisar el trfico que intente pasar de
una zona de seguridad a otra. Usted decide qu usuarios y qu datos pueden entrar
y salir, as como cundo y a dnde pueden ir.

NOTA:

Para los dispositivos de seguridad que admiten sistemas virtuales, las directivas
establecidas en el sistema raz no afectan a las directivas establecidas en sistemas
virtuales.

Directivas y reglas
Una sola directiva definida por el usuario produce internamente una o ms reglas
lgicas, y cada regla lgica consta de un conjunto de componentes: la direccin de
origen, la direccin de destino y el servicio. Los componentes consumen recursos
de memoria. Las reglas lgicas que se refieren a los componentes no.
Dependiendo de si en una directiva se utilizan mltiples entradas o grupos para la
direccin de origen, la direccin de destino y los componentes del servicio, el
nmero de reglas lgicas puede ser mucho mayor de lo que puede parecer al crear
la directiva nica. Por ejemplo, la directiva siguiente produce 125 reglas lgicas:
1 directiva: 5 direcciones de origen x 5 direcciones de destino x 5 servicios =
125 reglas lgicas
Sin embargo, el dispositivo de seguridad no duplica componentes para cada regla
lgica. Las reglas utilizan el mismo conjunto de componentes en diferentes
combinaciones. Por ejemplo, la directiva antedicha que produce 125 reglas lgicas
solamente contiene 15 componentes:
5 direcciones de origen + 5 direcciones de destino + 5 servicios = 15
componentes
Estos 15 componentes se combinan de varias maneras para producir las 125 reglas
lgicas generadas por la directiva nica. Permitiendo que mltiples reglas lgicas
utilicen el mismo conjunto de componentes en diferentes combinaciones, el
dispositivo de seguridad consume muchos menos recursos que si cada regla lgica
tuviera una relacin uno a uno con sus componentes.
Dado que el tiempo de instalacin de una nueva directiva es proporcional al
nmero de componentes que el dispositivo de seguridad agrega, elimina o
modifica, la instalacin de directivas es ms rpida cuantos menos componentes
haya. Asimismo, al permitir que un gran nmero de reglas lgicas comparta un
pequeo conjunto de componentes, ScreenOS permite crear ms directivas (y el
dispositivo de seguridad permite crear ms reglas), que lo que sera posible si cada
regla requiriese componentes dedicados.

168

Definicin de directivas

Captulo 6: Directivas

Anatoma de una directiva


Una directiva debe contener los elementos siguientes:

ID (generada automticamente, aunque puede ser definida por el usuario


mediante CLI)

Zonas (de origen y de destino)

Direcciones (de origen y de destino)

Servicios

Accin(permitir, denegar, rechazar, tunelizar)

Una directiva tambin puede contener los elementos siguientes:

Aplicacin

Nombre

Encapsulamiento VPN

Encapsulamiento L2TP

Deep Inspection

Colocacin al principio de la lista de directivas

Traduccin de direcciones de origen

Traduccin de direcciones de destino

Autenticacin de usuarios

Copia de seguridad de la sesin HA

Filtrado de Web

Registro

Recuento

Umbral de alarma de trfico

Tareas programadas

Anlisis antivirus

Asignacin de trfico

El resto de esta seccin examina cada uno de los elementos antedichos.

Definicin de directivas

169

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

ID
Cada directiva tiene un nmero de identificacin, tanto si el usuario define uno
como si el dispositivo de seguridad lo asigna automticamente. Solamente se puede
definir un nmero de identificacin para una directiva ejecutando el comando set
policy de CLI: set policy id number Una vez conocido el nmero de
identificacin, puede entrar en el contexto de la directiva para ejecutar otros
comandos con el fin de modificarla. (Para obtener ms informacin sobre
contextos de directivas, consulte Entrada al contexto de una directiva en la
pgina 189).

Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin). Una directiva permite que el trfico fluya entre dos
zonas de seguridad (directiva entre zonas) o entre dos interfaces asociadas a la
misma zona (directiva dentro de zonas). (Para obtener ms informacin, consulte
Zonas en la pgina 25, Directivas entre zonas en la pgina 165 y Directivas
dentro de zonas en la pgina 165).

Direcciones
Las direcciones son objetos que identifican dispositivos de red tales como hosts y
redes por su ubicacin en relacin a la pared de fuego (en una de las zonas de
seguridad). Los hosts individuales se especifican utilizando la mscara
255.255.255.255, que indica que los 32 bits de la direccin son significativos. Las
redes se especifican utilizando su mscara de subred para indicar qu bits son
significativos. Para crear una directiva para direcciones especficas, primero debe
crear entradas para los hosts y redes correspondientes en la libreta de direcciones.
Tambin puede crear grupos de direcciones y aplicarles directivas como hara con
otras entradas en la libreta de direcciones. Cuando utilice grupos de direcciones
como elementos de directivas, tenga presente que, debido a que el dispositivo de
seguridad aplica la directiva a cada direccin en el grupo, el nmero disponibles de
reglas lgicas internas y de componentes que componen esas reglas se puede
agotar ms rpidamente de lo esperado. Esto supone un peligro, especialmente
cuando se utilizan grupos de direcciones tanto para el origen como para el destino.
(Para obtener ms informacin, consulte Directivas y reglas en la pgina 168).

Servicios
Los servicios son objetos que identifican los protocolos de aplicacin usando
informacin de la capa 4, como los nmeros de puerto TCP y UDP estndar y
universalmente aceptados para los servicios de aplicaciones como Telnet, FTP,
SMTP y HTTP. ScreenOS incluye servicios bsicos de Internet predefinidos. Tambin
se pueden definir servicios personalizados.
Puede definir directivas que especifiquen qu servicios deben permitirse,
denegarse, encriptarse, autenticarse, registrarse o contabilizarse.

170

Definicin de directivas

Captulo 6: Directivas

Accin
Una accin es un objeto que describe el tratamiento que la pared de fuego debe dar
al trfico que recibe.

NOTA:

Deny bloquea el paquete y le impide atravesar el cortafuegos.

Permit permite que el paquete atraviese el cortafuegos.

Reject bloquea el paquete y le impide atravesar el cortafuegos. El dispositivo de


seguridad descarta el paquete y enva un segmento de restablecimiento (RST)
de TCP al host de origen para el trfico TCP y un mensaje de destino
inalcanzable, puerto inalcanzable ICMP (tipo 3, cdigo 3) para el trfico UDP.
Para los tipos de trfico distintos de TCP y UDP, el dispositivo de seguridad
descarta el paquete sin notificar al host de origen, lo cual tambin ocurre
cuando la accin es deny.

El dispositivo de seguridad enva un TCP RST despus de recibir (y descartar) un


segmento TCP con cualquier bit de cdigo activado salvo otro RST.
Cuando la interfaz de entrada est operando en la capa
2 o 3 y el protocolo es TCP, la direccin IP de origen en el TCP RST es la direccin
IP de destino en el paquete original (descartado). Cuando la interfaz de entrada
est operando en la capa 2 y el protocolo es UDP, la direccin IP de origen en el
mensaje ICMP coincide con la direccin IP de destino en el paquete original. Sin
embargo, si la interfaz de entrada est operando en la capa 3 y el protocolo es
UDP, la direccin IP de origen en el mensaje ICMP es la de la interfaz de entrada.

NOTA:

Tunnel encapsula los paquetes IP salientes y desencapsula los entrantes. Para


un tnel VPN IPSec, especifique qu tnel VPN utilizar. Para un tnel L2TP,
especifique qu tnel L2TP debe utilizarse. Para L2TP sobre IPSec
(L2TP-over-IPSec), especifique un tnel VPN de IPSec y un tnel L2TP.

Para L2TP sobre IPSec, las direcciones de origen y de destino del tnel VPN IPSec
deben ser iguales que las del tnel L2TP.
El dispositivo de seguridad aplica la accin especificada al trfico que cumple los
criterios presentados anteriormente: zonas (origen y destino), direcciones (origen y
destino) y servicio.

Definicin de directivas

171

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Aplicacin
La opcin de la aplicacin especifica la aplicacin de la capa 7 que apunta al
servicio de capa 4 al que se hace referencia en una directiva. Los servicios
predefinidos ya disponen de una asignacin a una aplicacin de capa 7. Sin
embargo, para los servicios personalizados es necesario vincular explcitamente el
servicio a una aplicacin, especialmente si se desea que la directiva aplique una
Puerta de enlace de la capa de aplicacin (ALG) o Deep Inspection al servicio
personalizado.
NOTA:

ScreenOS admite ALG para numerosos servicios, a saber: DNS, FTP, H.323, HTTP,
RSH, SIP, Telnet y TFTP.
La aplicacin de un ALG a un servicio personalizado implica los dos pasos
siguientes:

Definir un servicio personalizado con un nombre, un tiempo de espera, un


protocolo de transporte y los puertos de origen y de destino.

Al configurar una directiva, hacer referencia a ese servicio y al tipo de


aplicacin para el ALG que se desea aplicar.

Para obtener ms informacin sobre cmo aplicar Deep Inspection a un servicio


personalizado, consulte Mapping Custom Services to Applications on page 4-132.

Nombre
Puede dar a una directiva un nombre descriptivo para permitir identificar
fcilmente su finalidad.

NOTA:

Para obtener ms informacin sobre las convenciones de nomenclatura de


ScreenOS (aplicables a los nombres creados para las directivas), consulte
Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii.

Encapsulamiento VPN
Puede aplicar una sola o varias directivas a cualquier tnel VPN que tenga
configurado. En WebUI, la opcin VPN Tunnel abre una lista desplegable de todos
esos tneles. En CLI puede consultar todos los tneles disponibles ejecutando el
comando get vpn. (Para obtener ms informacin, consulte Redes privadas
virtuales de punto a punto en la pgina 5-81 y Redes privadas virtuales de acceso
telefnico en la pgina 5-159).
Cuando las configuraciones VPN de ambos extremos de un tnel VPN utilizan NAT
basada en directivas, los administradores de ambos dispositivos de puerta de
enlace necesitan crear una directiva de trfico saliente y otra de trfico entrante
(cuatro directivas en total). Cuando las directivas de VPN constituyen un par
coincidente (es decir, las configuraciones de las directivas de trfico entrante y de
trfico saliente son iguales, salvo que las direcciones de origen y de destino estn
invertidas), puede configurar una directiva y seleccionar la casilla de verificacin
Modify matching bidirectional VPN policypara crear automticamente una
segunda directiva para el sentido opuesto. Para la configuracin de una nueva
directiva, la casilla de verificacin Matching VPN Policy est desactivada de forma
predeterminada. Para la modificacin de una directiva existente que sea un

172

Definicin de directivas

Captulo 6: Directivas

miembro de un par coincidente, la casilla de verificacin est activada de forma


predeterminada, y cualquier cambio realizado en una directiva se propagar a la
otra.

NOTA:

Esta opcin solamente est disponible a travs de WebUI. No puede haber


mltiples entradas para ninguno de los componentes de directiva siguientes:
direccin de origen, direccin de destino o servicio.

Encapsulamiento L2TP
Puede aplicar una sola directiva o varias a cualquier tnel del protocolo de
encapsulamiento de capa 2 (L2TP) que haya configurado. En WebUI, la opcin de
L2TP proporciona una lista desplegable de todos esos tneles. En la interfaz CLI,
puede visualizar el estado de los tneles L2TP activos mediante el comando get
l2tp tunn_str active y ver todos los tneles disponibles mediante el comando get
l2tp all. Tambin puede combinar un tnel VPN con un tnel L2TP (si ambos tienen
el mismo punto final) para crear un tnel que combine las caractersticas de cada
uno. Esto se llama L2TP-over-IPSec (L2TP sobre IPSec).

NOTA:

Un dispositivo de seguridad en modo transparente no admite L2TP.

Deep Inspection
Deep Inspection (DI) es un mecanismo para filtrar el trfico permitido en las capas
Network y Transport, al examinar no solamente estas capas, sino las caractersticas
de contenido y protocolo en la capa de aplicacin. El objetivo de DI es detectar y
prevenir cualquier ataque o comportamiento anmalo que pudiera existir en el
trfico permitido por el cortafuegos de Juniper Networks.

NOTA:

En el modelo OSI (Open Systems Interconnection), la capa Network es la 3


(Layer 3), la capa Transport es la 4 (Layer 4) y la capa Application es la 7
(Layer 7). El modelo OSI es un modelo estndar en el sector de la industria de
redes de una arquitectura de protocolos de red. El modelo OSI se compone de
siete capas.
Para configurar una directiva para la proteccin frente a ataques, debe elegir dos
opciones: qu grupo (o grupos) de ataque utilizar y qu accin tomar si se detecta
un ataque. (Para obtener ms informacin, consulte Deep Inspection on
page 4-97).

Colocacin al principio de la lista de directivas


De forma predeterminada, ScreenOS coloca las directivas recin creadas al final de
la lista de conjuntos de directivas. Si necesita reubicar la directiva, puede utilizar
cualquiera de los mtodos de reordenacin de directivas explicados en Reordenar
directivas en la pgina 195. Para evitar el paso adicional de reubicar una directiva
recin creada en la parte superior de una lista de conjuntos de directivas, puede
seleccionar la opcin Position at Top de WebUI, o bien utilizar la palabra clave top
en el comando set policy
(set policy top ) de CLI.

Definicin de directivas

173

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Traduccin de direcciones de origen


Puede aplicar la traduccin de direcciones de origen (NAT-src) al nivel de directivas.
Con NAT-src puede traducir la direccin de origen en la red entrante o saliente y en
el trfico VPN. La nueva direccin de origen puede proceder de un conjunto de IP
dinmicas (DIP) o de la interfaz de salida. NAT-src tambin admite la traduccin de
direcciones de los puertos de origen (PAT). Para obtener ms informacin sobre
todas las opciones de NAT-src disponibles, consulte Traduccin de direcciones de
red de origen en la pgina 8-15.

NOTA:

Tambin puede realizar la traduccin de direcciones de origen a nivel de la


interfaz, conocida como traduccin de direcciones de red (NAT). Para obtener ms
informacin sobre el nivel de interfaz NAT-src, o simplemente NAT, consulte
Modo NAT en la pgina 94.

Traduccin de direcciones de destino


Puede aplicar la traduccin de direcciones de destino (NAT-dst) a nivel de directiva.
Con NAT-dst puede traducir la direccin de origen en la red entrante o saliente y en
el trfico VPN. NAT-dst tambin admite la asignacin de puertos de destino. Para
obtener ms informacin sobre todas las opciones de NAT-dst disponibles, consulte
Traduccin de direcciones de red de destino en la pgina 8-29.

Autenticacin de usuarios
Seleccionar esta opcin requiere que el usuario de autenticacin en la direccin de
origen autentique su identidad proporcionando un nombre de usuario y la
contrasea antes de permitir al trfico atravesar el cortafuegos o introducirse en el
tnel VPN. El dispositivo de seguridad puede utilizar la base de datos local o un
servidor RADIUS, SecurID o LDAP autenticado externo para realizar la
comprobacin de la autenticacin.

NOTA:

Si una directiva que requiere autenticacin puede aplicarse a una subred de


direcciones IP, se requerir autenticacin para cada direccin IP de esa subred.
Si un host admite mltiples cuentas de usuarios de autenticacin (como ocurre
con un host Unix que ejecuta Telnet), una vez que el dispositivo de seguridad ha
autenticado al primer usuario, el resto de usuarios de ese host pueden enviar
trfico a travs del dispositivo de seguridad sin necesidad de autenticacin, al
haber heredado los privilegios del primer usuario.
ScreenOS proporciona dos esquemas de autenticacin:

174

Definicin de directivas

Autenticacin en tiempo de ejecucin, en la cual el dispositivo de seguridad


solicita al usuario de autenticacin que inicie una sesin al recibir trfico HTTP,
FTP o Telnet que cumpla una directiva en la que est habilitada la
autenticacin.

WebAuth, en la cual el usuario debe autenticarse para poder enviar trfico a


travs del dispositivo de seguridad.

Captulo 6: Directivas

Autenticacin en tiempo de ejecucin

El proceso de autenticacin en tiempo de ejecucin ocurre como sigue:


1. Cuando el usuario de autenticacin enva una peticin de conexin HTTP, FTP
o Telnet a la direccin de destino, el dispositivo de seguridad intercepta el
paquete y lo almacena en un bfer.
2. El dispositivo de seguridad enva al usuario de autenticacin un mensaje de
peticin de inicio de sesin.
3. El usuario de autenticacin responde a esta peticin con su nombre de usuario
y contrasea.
4. El dispositivo de seguridad autentica la informacin de inicio de sesin de
usuario de autenticacin.
Si la autenticacin es correcta, se establece una conexin entre el usuario de
autenticacin y la direccin de destino.
Para la peticin de conexin inicial, la directiva debe incluir uno o todos los
servicios siguientes: Telnet, HTTP o FTP. Slo una directiva con uno o todos estos
servicios puede iniciar el proceso de autenticacin. En una directiva que implique
autenticacin de usuario se puede utilizar cualquiera de los siguientes servicios:

Any (porque any (cualquiera) incluye los tres servicios requeridos)

Telnet, FTP o HTTP.

Un grupo de servicios que incluye el servicio o los servicios que desea, ms


como mnimo uno de los tres servicios requeridos para iniciar el proceso de
autenticacin (Telnet, FTP o HTTP). Por ejemplo, puede crear un grupo de
servicios personalizado llamado Login que proporcione los servicios FTP,
NetMeeting y H.323. Luego, cuando cree la directiva, especifique Login como
el servicio.

Para cualquier conexin que sigue a una autenticacin correcta, todos los servicios
especificados en la directiva son vlidos.

NOTA:

Una directiva con la autenticacin habilitada no admite DNS (puerto 53) como
servicio.
Autenticacin de comprobacin previa a la directiva (WebAuth)

El proceso de autenticacin de WebAuth es como sigue:


1. El usuario de autenticacin establece una conexin HTTP a la direccin IP del
servidor de WebAuth.
2. El dispositivo de seguridad enva al usuario de autenticacin un mensaje de
peticin de inicio de sesin.
3. El usuario de autenticacin responde a esta peticin con su nombre de usuario
y contrasea.

Definicin de directivas

175

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

4. El dispositivo de seguridad o un servidor de autenticacin externo autentica la


informacin de inicio de sesin del usuario de autenticacin.
Si el intento de autenticacin tiene xito, el dispositivo de seguridad permite al
usuario de autenticacin iniciar trfico a los destinos especificados en las
directivas que obligan a la autenticacin por el mtodo de WebAuth.

NOTA:

Para obtener ms informacin sobre estos dos mtodos de autenticacin de


usuarios, consulte Referencias a usuarios autenticados en directivas en la
pgina 9-38.
Puede restringir o ampliar el rango de los usuarios de autenticacin a quienes deba
aplicarse la directiva seleccionando un determinado grupo de usuarios, usuario
local o externo o una expresin de grupo. (Para obtener ms informacin sobre
expresiones de grupos, consulte Expresiones de grupos en la pgina 9-5). Si en
una directiva no se hace referencia a un usuario de autenticacin o a un grupo de
usuarios (en WebUI, seleccionando la opcin Allow Any), la directiva se aplicar a
todos los usuarios de autenticacin del servidor especificado.

NOTA:

ScreenOS vincula los privilegios de autenticacin a la direccin IP del host desde


el que se conecta el usuario de autenticacin. Si el dispositivo de seguridad
autentica a un usuario de un host situado detrs de un dispositivo NAT que utilice
una sola direccin IP para todas las asignaciones NAT, los usuarios de otros hosts
situados detrs de ese dispositivo NAT recibirn automticamente los mismos
privilegios.

Copia de seguridad de la sesin HA


Cuando dos dispositivos de seguridad se encuentran en un clster NSRP para alta
disponibilidad (HA), puede especificar qu sesiones salvaguardar y cules no. Para
el trfico cuyas sesiones no desee salvaguardar, aplique una directiva con la opcin
HA session backup desactivada. En WebUI, desactive la casilla de verificacin HA
Session Backup. En CLI, utilice el argumento no-session-backup en el comando
set policy. De forma predeterminada, los dispositivos de seguridad de un clster
NSRP salvaguardan las sesiones.

Filtrado de Web
El filtrado de URL, denominado tambin filtrado de URL, permite administrar los
accesos a Internet e impedir el acceso a contenidos no apropiados. Para obtener
ms informacin, consulte Web Filtering on page 4-80.

Registro
Cuando se habilita el registro en una directiva, el dispositivo de seguridad registra
todas las conexiones a las que esa directiva en particular sea aplicable. Los registros
se pueden visualizar con WebUI o CLI. En la WebUI, haga clic en Reports > Policies
> Logging (para la directiva cuyo registro desee consultar). En CLI, utilice el
comando get log traffic policy id_num.

176

Definicin de directivas

Captulo 6: Directivas

NOTA:

Para obtener ms informacin sobre cmo visualizar registros y grficos, consulte


Monitoring Security Devices on page 3-51.

Recuento
Cuando se habilita el recuento en una directiva, el dispositivo de seguridad cuenta
el nmero total de bytes de trfico para los que esa directiva es aplicable y registra
la informacin en grficos de historial. Para visualizar los grficos de historial de
una directiva en la WebUI, haga clic en Reports >Counting (para la directiva cuyo
recuento de trfico desea consultar).

Umbral de alarma de trfico


Puede establecer un umbral que dispare una alarma cuando el trfico permitido por
la directiva exceda un nmero especificado de bytes por segundo, bytes por
minuto, o ambos. Debido a que la alarma de trfico requiere que el dispositivo de
seguridad supervise el nmero total de bytes, tambin debe habilitar la funcin de
recuento.

NOTA:

Para obtener ms informacin sobre alarmas de trfico, consulte Traffic Alarms


on page 3-61.

Tareas programadas
Asociando una programacin a una directiva, se puede determinar cundo debe
activarse esa directiva. Puede configurar programaciones repetitivas y como evento
nico. Las programaciones proporcionan una potente herramienta para controlar el
flujo de trfico de la red e implementar seguridad en sta. Como ejemplo de esto
ltimo, si le preocupa que algunos empleados puedan transmitir datos importantes
fuera de la empresa, puede establecer una directiva que bloquee los tipos de trfico
saliente FTP-Put y MAIL despus del horario de oficina normal.
En WebUI, defina tareas programadas en la seccin Objects > Schedules. En CLI,
ejecute el comando set schedule.

NOTA:

En WebUI, las directivas programadas aparecen con un fondo gris para indicar que
la hora actual no est dentro de la programacin definida. Cuando una directiva
programada se activa, aparece con un fondo blanco.

Anlisis antivirus
Algunos dispositivos de Juniper Networks admiten un analizador antivirus interno
que se puede configurar para filtrar trfico FTP, HTTP, IMAP, POP3 y SMTP. Si el
analizador AV incorporado detecta un virus, descarta el paquete y enva un mensaje
al cliente que inici el trfico para informarle sobre dicho virus.

NOTA:

Para obtener ms informacin sobre el anlisis antivirus, consulte Anlisis


antivirus en la pgina 2-177.

Definicin de directivas

177

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Asignacin de trfico
Puede establecer los parmetros de control y asignacin del trfico para cada
directiva. Los parmetros de asignacin de trfico son:

NOTA:

NOTA:

Guaranteed Bandwidth: Tasa de transferencia garantizada en kilobits por


segundo (kbps). El trfico que no alcanza este umbral pasa con la prioridad ms
alta sin ser sometido a ningn mecanismo de administracin o asignacin del
trfico.

Maximum Bandwidth: Ancho de banda garantizado disponible para el tipo de


conexin en kilobits por segundo (kbps). El trfico ms all de este umbral se
regula y descarta.

Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferiores a este umbral
conducen al descarte de paquetes y a un nmero excesivo de reintentos que
contravienen el objetivo de la administracin del trfico.

Traffic Priority: Cuando el ancho de banda del trfico se encuentra entre los
ajustes garantizado y mximo, el dispositivo de seguridad permite pasar
primero el trfico de mayor prioridad, y el trfico de menor prioridad slo
cuando no hay otro trfico de prioridad superior. Existen ocho niveles de
prioridad.

DiffServ Codepoint Marking:Differentiated Services (DiffServ) es un


sistema para etiquetar (o marcar) el trfico de una posicin dentro de una
jerarqua de prioridades. Puede asignar los ocho niveles de prioridad de
ScreenOS al sistema DiffServ. De forma predeterminada, la prioridad ms alta
(prioridad 0) del sistema ScreenOS corresponde a los tres primeros bits (111)
del campo DiffServ (consulte la RFC 2474), o al campo de precedencia de IP
del byte TOS (consulte la RFC 1349), en el encabezado de paquetes de IP. La
prioridad ms baja (prioridad 7) en ScreenOS se asigna a (000) en el sistema
TOS DiffServ. Cuando habilita el DSCP, ScreenOS sobrescribe los primeros 3
bits en el byte ToS con la prioridad de precedencia de IP. Cuando se habilita el
DSCP y establece un valordscp-byte, ScreenOS sobrescribe los primeros 6 bits
del byte ToS con el valor del DSCP.

Para averiguar ms sobre la administracin y asignacin del trfico, consulte


Asignacin de trfico en la pgina 197.
Para cambiar la asignacin entre los niveles de prioridad de ScreenOS y el
sistema DiffServ, utilice el siguiente comando CLI:
set traffic-shaping ip_precedence number0 number1 number2 number3
number4 number5 number6 number7

donde number0 corresponde a la prioridad 0 (la prioridad ms alta del


sistema TOS DiffServ), number1 corresponde a la prioridad 1, y as
sucesivamente.

178

Definicin de directivas

Captulo 6: Directivas

Para incluir prioridades de IP en puntos de cdigo selectores de clase (class


selector codepoints), es decir, poner a cero el segundo grupo de tres bits del
campo DiffServ para asegurar que los niveles de prioridad establecidos con
ip_precedence se conserven y sean correctamente tratados por los enrutadores
de bajada, utilice el comando CLI siguiente:
set traffic-shaping dscp-class-selector

Directivas aplicadas
Esta seccin describe la administracin de directivas: visualizacin, creacin,
modificacin, ordenacin y reordenacin y eliminacin de directivas.

Visualizacin de directivas
Para visualizar directivas a travs de WebUI, haga clic en Policies. Puede clasificar
las directivas mostradas por zonas de origen y de destino, eligiendo nombres de
zonas en las listas desplegables From y To, y haciendo clic en Go. En CLI, utilice el
comando get policy [ all | from zone to zone | global | id number ] .

Creacin de directivas
Para permitir el flujo de trfico entre dos zonas, debe crear directivas para permitir,
denegar, rechazar o tunelizar el trfico entre esas zonas. Tambin puede crear
directivas para controlar el trfico dentro de la misma zona si el dispositivo de
seguridad es el nico dispositivo de red capaz de enrutar el trfico intrazonal entre
las direcciones de origen y de destino referidas en la directiva. Tambin puede crear
directivas globales que utilizan direcciones de origen y de destino en la libreta de
direcciones de la zona Global.
Para permitir trfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust
y la zona Untrust) se necesita crear una directiva para el trfico de Trust a Untrust y
otra para el trfico de Untrust a Trust. Dependiendo de sus necesidades, las
directivas pueden utilizar la misma direccin IP o bien direcciones diferentes,
invirtiendo las direcciones de origen y destino.
Se pueden definir directivas entre cualesquiera zonas situadas dentro del mismo
sistema, ya sea raz o virtual. Para definir una directiva entre el sistema raz y un
sistema virtual (vsys), una de las zonas debe ser compartida. (Para obtener ms
informacin sobre zonas compartidas en lo referente a sistemas virtuales, consulte
el Volumen 10: Sistemas virtuales.)

Crear servicio de correo de directivas entre zonas


En este ejemplo, crear tres directivas para controlar el flujo de trfico de correo
electrnico.
La primera directiva permitir a los usuarios internos de la zona Trust enviar y
recibir correo electrnico de un servidor de correo local situado en la zona DMZ.
Esta directiva permitir a los servicios MAIL (es decir, SMTP) y POP3 generados por
los usuarios internos atravesar el cortafuegos de Juniper Networks para alcanzar el
servidor de correo local.

Directivas aplicadas

179

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Las directivas segunda y tercera permitirn al servicio MAIL atravesar el cortafuegos


existente entre el servidor de correo local de la zona DMZ y un servidor de correo
remoto de la zona Untrust.
Sin embargo, antes de crear directivas para controlar trfico entre diferentes zonas
de seguridad, debe disear el entorno en el que aplicar esas directivas. Primero
asociar interfaces a zonas y les asignar direcciones IP de interfaces:

Asocie ethernet1 a la zona Trust y asgnele la direccin IP 10.1.1.1/24.

Asocie ethernet2 a la zona DMZ y asgnele la direccin IP 1.2.2.1/24.

Asocie ethernet3 a la zona Untrust y asgnele la direccin IP 1.1.1.1/24.


Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr.

En segundo lugar, crear las direcciones que se utilizarn en las directivas:

Defina una direccin en la zona Trust llamada corp_net y asgnele la direccin


IP 10.1.1.0/24.

Defina una direccin en la zona DMZ llamada mail_svr y asgnele la direccin


IP 1.2.2.5/32.

Defina una direccin en la zona Untrust llamada r-mail_svr y asgnele la


direccin IP 2.2.2.5/32.

En tercer lugar, crear un grupo de servicios llamado MAIL-POP3 que contendr


los dos servicios predefinidos MAIL y POP3.
En cuarto lugar, configurar una ruta predeterminada en el dominio de
enrutamiento trust-vr que sealar al enrutador externo en 1.1.1.250 a travs de
ethernet3.
Una vez completados los pasos 1 a 4, podr crear las directivas necesarias para
permitir la transmisin, recuperacin y entrega de correo electrnico dentro y fuera
de su red protegida.
WebUI
1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
180

Directivas aplicadas

Captulo 6: Directivas

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: corp_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zona: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zona: DMZ

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: r-mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zona: Untrust
3.

Grupo de servicios

Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva
los siguientes servicios y haga clic en OK:
Group Name: MAIL-POP3

Seleccione MAILy utilice el botn << para mover el servicio de la columna


Available Members a la columna Group Members.
Seleccione POP3y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
4.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5.

Directivas

Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:

Directivas aplicadas

181

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Source Address:
Address Book Entry: (seleccione), corp_net
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit

Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), mail_svr
Destination Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit

Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: MAIL
Action: Permit

CLI
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2.

Direcciones

set address trust corp_net 10.1.1.0/24


set address dmz mail_svr 1.2.2.5/32
set address untrust r-mail_svr 2.2.2.5/32
3.

Grupo de servicios

set group service MAIL-POP3


set group service MAIL-POP3 add mail
set group service MAIL-POP3 add pop3
4.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250


5.

Directivas

set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit


set policy from dmz to untrust mail_svr r-mail_svr MAIL permit
set policy from untrust to dmz r-mail_svr mail_svr MAIL permit
save

Crear un conjunto de directivas entre zonas


Una pequea empresa de software, ABC Design, ha dividido su red interna en dos
subredes, y ambas estn en la zona Trust. Estas dos subredes son:
182

Directivas aplicadas

Captulo 6: Directivas

Engineering (con la direccin definida como Eng)

Resto de la empresa (con la direccin definida como Office)

Tambin tiene una zona DMZ para sus servidores de web y correo electrnico.
El ejemplo siguiente presenta un conjunto tpico de directivas para los siguientes
usuarios:

Eng puede utilizar todos los servicios de trfico saliente salvo FTP-Put, IMAP,
MAIL y POP3.

Los usuarios de Office pueden utilizar el correo electrnico y el acceso a


Internet, siempre que se autentiquen a travs de WebAuth. (Para obtener ms
informacin sobre la autenticacin de usuarios mediante WebAuth, consulte
Usuarios de autenticacin en la pgina 9-37).

Cada usuario de la zona Trust puede acceder a los servidores de web y correo
electrnico en la zona DMZ.

Un servidor de correo remoto de la zona Untrust puede acceder al servidor de


correo local de la zona DMZ.

Tambin hay un grupo de administradores de sistemas (con la direccin


definida por el usuario sys-admins), que disponen de permisos completos de
acceso de usuario y acceso administrativo a los servidores de la zona DMZ.

Figura 73: Conjunto de directivas entre zonas


Zona Untrust
Internet

www.abc.com
mail.abc.com

Enrutador externo
Dispositivo de seguridad
Enrutador interno

Zona DMZ

LAN de Eng

LAN de Office

Zona Trust

Se parte de la base de que ya tiene configuradas las interfaces, direcciones, grupos


de servicios y rutas necesarias. Para obtener ms informacin sobre la
configuracin de los elementos anteriores, consulte Interfaces en la pgina 45,
Direcciones en la pgina 106, Grupos de servicios en la pgina 142 y
Volumen 7: Enrutamiento.

Directivas aplicadas

183

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Tabla 18: Directivas configuradas


De la zona - Dir origen

A la zona - Dir destino

Servicio

Accin

Trust - Any

Untrust - Any

Com (grupo de servicios:


FTP-Put, IMAP, MAIL, POP3)

Rechazo

Trust - Eng

Untrust - Any

Any

Permit

Trust - Office

Untrust - Any

Internet (grupo de servicios:


FTP-Get, HTTP, HTTPS)

Permit (+ WebAuth)

Untrust - Any

DMZ - mail.abc.com

MAIL

Permit

Untrust - Any

DMZ - www.abc.com

Web (grupo de servicios:


HTTP, HTTPS)

Permit

Trust - Any

DMZ - mail.abc.com

Email (grupo de servicios:


IMAP, MAIL, POP3)

Permit

Trust - Any

DMZ - www.abc.com

Internet (grupo de servicios:


FTP-Get, HTTP, HTTPS)

Permit

Trust - sys-admins

DMZ - Any

Any

Permit

DMZ - mail.abc.com

Untrust - Any

MAIL

Permit

NOTA:

La directiva predeterminada es denegar todo.


WebUI
1.

De Trust a Untrust

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Eng
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Office
Destination Address:
Address Book Entry: (seleccione), Any
Service: Internet
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione)
WebAuth: (seleccione)
NOTA:

184

Directivas aplicadas

Internet es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y


HTTPS.

Captulo 6: Directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Com
Action: Reject
Position at Top: (seleccione)
NOTA:

Com es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,


IMAP y POP3.
Para el trfico de la zona Untrust a la zona Trust, la directiva de denegacin
predeterminada deniega todo.

2.

De Untrust a DMZ

Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: MAIL
Action: Permit

Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Web
Action: Permit

NOTA:

Web es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.


3.

De Trust a DMZ

Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: correo electrnico
Action: Permit

Directivas aplicadas

185

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

e-mail es un grupo de servicios con los siguientes miembros: MAIL, IMAP y


POP3.
Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Internet
Action: Permit

Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), sys-admins
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
4.

De DMZ a Untrust

Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), mail.abc.com
Destination Address:
Address Book Entry: (seleccione), Any
Service: MAIL
Action: Permit

CLI
1.

De Trust a Untrust

set policy from trust to untrust eng any any permit


set policy from trust to untrust office any Internet permit webauth
set policy top from trust to untrust any any Com reject
NOTA:

Internet es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y


HTTPS.
Com es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,
IMAP y POP3.
2.

De Untrust a DMZ

set policy from untrust to dmz any mail.abc.com mail permit


set policy from untrust to dmz any www.abc.com Web permit
NOTA:

186

Directivas aplicadas

Web es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.

Captulo 6: Directivas

3.

De Trust a DMZ

set policy from trust to dmz any mail.abc.com e-mail permit


set policy from trust to dmz any www.abc.com Internet permit
set policy from trust to dmz sys-admins any any permit
NOTA:

e-mail es un grupo de servicios con los siguientes miembros: MAIL, IMAP y


POP3.
Internet es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y
HTTPS.
4.

De DMZ a Untrust

set policy from dmz to untrust mail.abc.com any mail permit


save

Crear directivas dentro de zonas


En este ejemplo crear una directiva intrazonal para permitir a un grupo de
contables acceder a un servidor confidencial de la LAN corporativa en la zona Trust.
Primero asociar ethernet1 a la zona Trust y le dar la direccin IP 10.1.1.1/24.
Despus asociar ethernet2 a la zona Trust y le asignar la direccin IP 10.1.5.1/24.
Habilitar el bloqueo intrazonal en la zona Trust. A continuacin, definir dos
direcciones, una para un servidor en el que la empresa almacena sus registros
financieros (10.1.1.100/32) y otra para la subred que contiene los hosts del
departamento de contabilidad (10.1.5.0/24). Seguidamente crear una directiva
intrazonal para permitir el acceso al servidor desde esos hosts.
WebUI
1.

Zona Trust: Interfaces y bloqueo

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.5.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT

Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Block Intra-Zone Traffic: (seleccione)
2.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:

Directivas aplicadas

187

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Address Name: Hamilton


IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.100/32
Zone: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: accounting
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.5.0/24
Zone: Trust
3.

Directiva

Directivas > (De: Trust, A: Trust) > New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), accounting
Destination Address:
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit

CLI
1.

Zona Trust: Interfaces y bloqueo

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone trust
set interface ethernet2 ip 10.1.5.1/24
set interface ethernet2 nat
set zone trust block
2.

Direcciones

set address trust Hamilton 10.1.1.100/32


set address trust accounting 10.1.5.0/24
3.

Directiva

set policy from trust to trust accounting Hamilton any permit


save

Crear una directiva global


En este ejemplo, usted crea una directiva global, de modo que cada host en todas
las zonas pueda tener acceso al sitio web de la compaa: www.juniper.net. El uso
de una directiva global constituye un mtodo abreviado muy prctico cuando
existen muchas zonas de seguridad. En este ejemplo, una directiva global lograr lo
mismo que n directivas entre zonas (donde n = nmero de zonas).

NOTA:

188

Directivas aplicadas

Para utilizar un nombre de dominio en lugar de una direccin IP, asegrese de


tener configurado el servicio DNS en el dispositivo de seguridad.

Captulo 6: Directivas

WebUI
1.

Direccin global

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: server1
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.net
Zona: Global
2.

Directiva

Directivas > (De: Global, A: Global) > New : Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP
Action: Permit

CLI
1.

Direccin global

set address global server1 www.juniper.net


2.

Directiva

set policy global any server1 http permit


save

Entrada al contexto de una directiva


Al configurar una directiva mediante CLI, una vez creada una directiva, puede
introducirse en el contexto de sta para agregar o modificar datos. Por ejemplo,
suponga que primero crea la directiva siguiente:
set policy id 1 from trust to untrust host1 server1 HTTP permit attack
HIGH:HTTP:SIGS action close

Si desea efectuar algunos cambios en una directiva, como la inclusin de otra


direccin de origen o de destino, otro servicio u otro grupo de ataque, puede
introducirse en el contexto de la directiva 1 y luego ejecutar los comandos
pertinentes:
set policy id 1
ns(policy:1)-> set src-address host2
ns(policy:1)-> set dst-address server2
ns(policy:1)-> set service FTP
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS

Tambin puede eliminar varios elementos de un componente de directiva nico,


siempre que no elimine todos. Por ejemplo, puede eliminar server2 de la
configuracin anterior, pero no server2 y server1 a la vez, porque no quedara
ninguna direccin de destino.

Directivas aplicadas

189

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Varios elementos por componente de directiva


ScreenOS permite agregar mltiples elementos a los siguientes componentes de
una directiva:

Direccin de origen

Direccin de destino

Servicio

Grupo de ataque

En versiones anteriores a ScreenOS 5.0.0, la nica manera de tener mltiples


direcciones de origen y destino o mltiples servicios era crear primero un grupo de
direcciones o de servicios con mltiples miembros y luego hacer referencia al
mismo en una directiva. En las directivas de ScreenOS 5.0.0 todava se pueden
utilizar grupos de direcciones y de servicios. Adems, puede simplemente agregar
elementos adicionales directamente a un componente de la directiva.

NOTA:

Si la primera direccin o servicio al que se hace referencia en una directiva es


Any, no se le podr agregar lgicamente nada ms. ScreenOS impide este tipo
de errores de configuracin mostrando un mensaje de error cuando ocurren.
Para agregar mltiples elementos a un componente de directiva, ejecute cualquiera
de los siguientes procedimientos:
WebUI
Para agregar ms direcciones y servicios, haga clic en el botn Multiple
contiguo al componente al cual desea agregar ms elementos. Para agregar
ms grupos de ataque, haga clic en el botn Attack Protection. Seleccione un
elemento en la columna Available Members y utilice la tecla << para
moverlo a la columna Active Members. Puede repetir esta accin con otros
elementos. Cuando haya terminado, haga clic en OK para regresar a la pgina
de configuracin de directivas.
CLI
Entre al contexto de la directiva con el comando siguiente:
set policy id number

Ahora utilice uno de los comandos siguientes segn convenga:


ns(policy:number)-> set src-address string
ns(policy:number)-> set dst-address string
ns(policy:number)-> set service string
ns(policy:number)-> set attack string

190

Directivas aplicadas

Captulo 6: Directivas

Ajustar la negacin de direcciones


Puede configurar una directiva de modo que sea aplicable a todas las direcciones
salvo a la especificada como origen o destino. Por ejemplo, suponga que desea
crear una directiva que permita el acceso a Internet a todos salvo al grupo de
direcciones P-T_contractors. Para lograrlo, puede utilizar la opcin de negacin de
direcciones.
En WebUI, esta opcin est disponible en la ventana emergente que aparece al
hacer clic en el botn Multiple junto a Source Address o a Destination Address
en la pgina de configuracin de directivas.
En CLI, inserte un signo de exclamacin ( ! ) inmediatamente antes de la direccin
de origen o de destino.

NOTA:

La negacin de direcciones ocurre en el nivel de componentes de directivas,


aplicndose a todos los elementos del componente negado.
En este ejemplo crear una directiva intrazonal que permitir a todas las
direcciones de la zona Trust acceder a todos los servidores FTP salvo a un
determinado servidor FTP llamado vulcan, que los miembros del departamento
de ingeniera utilizan para intercambiar especificaciones funcionales entre s.
Sin embargo, antes de crear la directiva deber disear el entorno en el cual desea
aplicarlo. Primero habilitar el bloqueo dentro de zonas para la zona Trust. El
bloqueo dentro de zonas requiere efectuar una bsqueda de directivas antes de que
el dispositivo de seguridad pueda pasar trfico entre dos interfaces asociadas a la
misma zona.
En segundo lugar, asociar dos interfaces a la zona Trust y les asignar direcciones
IP:

Asociar ethernet1 a la zona Trust y le asignar la direccin IP 10.1.1.1/24.

Asociar ethernet4 a la zona Trust y le asignar la direccin IP 10.1.2.1/24.

Tercero, crear una direccin (10.1.2.5/32) para el servidor FTP llamado vulcan
en la zona Trust.
Despus de completar estos dos pasos, podr crear las directivas dentro de zonas.

NOTA:

No es necesario crear una directiva para que el departamento de ingeniera pueda


alcanzar su servidor FTP, ya que los ingenieros tambin se encuentran en la
subred 10.1.2.0/24 y no necesitan traspasar el cortafuegos de Juniper Networks
para alcanzar su propio servidor.

Directivas aplicadas

191

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 74: Negacin de directivas dentro de zonas


ethernet1
10.1.1.1/24

ethernet4
10.1.2.1/24

Conmutadores internos
10.1.1.0/24
(Resto de
Corporate)

10.1.2.0/24
(Ingeniera)

Zona Trust
Bloqueo dentro de zonas habilitado

Servidor FTP
vulcan
10.1.2.5

WebUI
1.

Bloqueo dentro de zonas

Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2.

Interfaces de la zona Trust

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT

192

Directivas aplicadas

Captulo 6: Directivas

Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
3.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: vulcan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.2.5/32
Zona: Trust
4.

Directiva

Directivas > (De: Trust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), vulcan

> Haga clic en Multiple, seleccione la casilla de verificacin Negate


Following; a continuacin, haga clic en OK para regresar a la pgina de
configuracin bsica Policy.
Service: FTP
Action: Permit

CLI
1.

Bloqueo dentro de zonas

set zone trust block


2.

Interfaces de la zona Trust

set interface ethernet1 zone trust


set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet4 zone trust
set interface ethernet4 ip 10.1.2.1/24
set interface ethernet1 nat
3.

Direccin

set address trust vulcan 10.1.2.5/32


4.

Directiva

set policy from trust to trust any !vulcan ftp permit


save

Directivas aplicadas

193

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Modificacin y desactivacin de directivas


Una vez creada una directiva, puede volver a ella en cualquier momento para
efectuar modificaciones. En WebUI, haga clic en el vnculo Edit de la columna
Configure para elegir la directiva que desea cambiar. En la pgina de
configuracin Policy correspondiente a esa directiva, realice sus cambios y haga clic
en OK. En CLI, ejecute el comando set policy.
ScreenOS tambin proporciona un medio para habilitar e inhabilitar directivas. De
forma predeterminada, las directivas estn habilitadas. Para desactivarlas, haga lo
siguiente:
WebUI
Policies: Desactive la casilla de verificacin Enable de la columna Configure
para la directiva que desee desactivar.
La fila de texto de una directiva inhabilitada aparece en color gris.
CLI
set policy id id_num disable
save
NOTA:

Para volver a habilitar la directiva, seleccione Enable en la columna Configure


de la directiva que desee habilitar (WebUI), o escriba en el teclado unset policy
idid_num disable (CLI).

Verificacin de directivas
ScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro
de la lista de directivas es vlido. Una directiva puede eclipsar (ocultar), otra
directiva. Considere el ejemplo siguiente:
set policy id 1 from trust to untrust any any HTTP permit
set policy id 2 from trust to untrust any dst-A HTTP deny

Como el dispositivo de seguridad consulta la lista de directivas comenzando por el


principio, deja de buscar tan pronto como encuentra una coincidencia de trfico
recibido. En el ejemplo antedicho, el dispositivo de seguridad nunca alcanza la
directiva 2 porque la direccin de destino any de la directiva 1 ya incluye la
direccin dst-A ms especfica de la directiva 2. Cuando un paquete HTTP llega al
dispositivo de seguridad desde una direccin en la zona Trust asociada a dst-A en la
zona Untrust, el dispositivo de seguridad siempre encontrar una coincidencia en la
directiva 1.
Para corregir el ejemplo antedicho, basta con invertir el orden de las directivas,
poniendo la ms especfica en primer lugar:
set policy id 2 from trust to untrust any dst-A HTTP deny
set policy id 1 from trust to untrust any any HTTP permit

194

Directivas aplicadas

Captulo 6: Directivas

Por supuesto, este ejemplo tan simple slo pretende ilustrar el concepto bsico. En
casos donde hay docenas o incluso centenares de directivas, la deteccin de
directivas eclipsadas por otras directivas puede no resultar tan sencilla. Para
comprobar si hay alguna directiva oculta en su lista de directivas, ejecute el
comando CLI siguiente:
exec policy verify

Este comando informa sobre las directivas ocultadas y sobre la ocultacin en


general. Es responsabilidad del administrador corregir la situacin.

NOTA:

El concepto de ocultacin de directivas se refiere al hecho de que una directiva


situada ms arriba en la lista de directivas siempre se encuentra antes que una
directiva situada ms abajo. Debido a que la consulta de directivas utiliza siempre
la primera directiva en la que detecta una coincidencia con el registro de cinco
elementos de las zonas de origen y de destino, con las direcciones de origen y
destino y con el tipo de servicio, si hay otra directiva aplicable al mismo registro (o
a un subconjunto de registros), la consulta de directivas utilizar la primera
directiva de la lista y nunca alcanzar la segunda.
La herramienta de verificacin de directivas no puede detectar los casos en los que
una combinacin de directivas oculta otra directiva. En el ejemplo siguiente,
ninguna directiva oculta la directiva 3; sin embargo, las directivas 1 y 2 juntas s la
ocultan:
set
set
set
set
set

group address trust grp1 add host1


group address trust grp1 add host2
policy id 1 from trust to untrust host1 server1 HTTP permit
policy id 2 from trust to untrust host2 server1 HTTP permit
policy id 3 from trust to untrust grp1 server1 HTTP deny

Reordenar directivas
El dispositivo de seguridad compara todos los intentos de atravesar el cortafuegos
con las directivas, comenzando por la primera que aparece en el conjunto de
directivas de la lista correspondiente (consulte Listas de conjuntos de directivas
en la pgina 167) y avanzando en la lista. Debido a que el dispositivo de seguridad
aplica la accin especificada en la directiva a la primera directiva que coincide en la
lista, es necesario reordenar las directivas desde la ms especfica a la ms general.
(Aunque una directiva especfica no impide la aplicacin de una directiva ms
general situada ms abajo en la lista, una directiva general situada ms arriba en la
lista que una especfica s lo impide).
De forma predeterminada, una directiva recin creada aparece al final de la lista de
conjuntos de directivas. Existe una opcin que permite colocar una directiva al
principio de la lista. En la pgina de configuracin Policy de WebUI, active la casilla
de verificacin Position at Top. En CLI, agregue la palabra clave top al comando set
policy: set policy top
Para mover una directiva a otra posicin dentro de la lista, ejecute cualquiera de los
siguientes procedimientos:

Directivas aplicadas

195

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las flechas
circulares o haciendo clic en la flecha nica de la columna Configure
correspondiente a la directiva que desee mover.
Si hace clic en las flechas circulares:
aparecer un cuadro de dilogo con un mensaje para el usuario.
Para mover la directiva al final de la lista, introduzca <-1>. Para moverla
hacia arriba en la lista, introduzca el nmero de identificacin de la
directiva que desea mover.
Haga clic en OK para ejecutar el movimiento.
Si hace clic en la flecha nica:
Aparecer la pgina Policy Move mostrando la directiva que desea mover
y una tabla mostrando las otras directivas.
En la tabla que muestra las otras directivas, la primera columna, Move
Location, contiene flechas sealando hacia las diversas ubicaciones a las
que puede mover la directiva. Haga clic en la flecha que apunte a la
ubicacin en la lista a la que desea mover la directiva.
La pgina Policy List reaparecer con la directiva movida en su nueva
ubicacin.
CLI
set policy move id_num { before | after } number
save

Eliminar una directiva


Adems de modificar y reubicar una directiva, tambin puede eliminarla. En
WebUI, haga clic en Remove en la columna Configure correspondiente a la
directiva que desea eliminar. Cuando el sistema le pida confirmacin para proceder
con la eliminacin, haga clic en Yes. En CLI, utilice el comando unset policy
id_num.

196

Directivas aplicadas

Captulo 7

Asignacin de trfico
Este captulo presenta las mltiples formas de utilizar un dispositivo de seguridad
de Juniper Networks para administrar el ancho de banda limitado sin comprometer
la calidad y disponibilidad de la red de cara a todos los usuarios. Contiene las
siguientes secciones:

Administracin del ancho de banda a nivel de directivas en esta pgina

Ajuste de la asignacin de trfico en la pgina 198

Establecimiento de las prioridades del servicio en la pgina 202

Ajuste de las colas de prioridades en la pgina 203

Directivas de ingreso en la pgina 206

Asignacin de trfico en interfaces virtuales en la pgina 207

Asignacin y marcado DSCP en la pgina 217

Por asignacin de trfico se entiende la asignacin de la porcin apropiada del


ancho de banda disponible en la red a cada usuario y aplicacin en una
determinada interfaz. Por porcin de ancho de banda apropiada se entiende la
combinacin ptima entre capacidad de transmisin rentable y calidad de servicio
(Quality of Service o QoS) garantizada. Los dispositivos de seguridad permiten
configurar el trfico creando directivas y aplicando los controles de tasa de
transmisin apropiados a cada clase de trfico que pasa por ellos.

Administracin del ancho de banda a nivel de directivas


Para clasificar el trfico, cree una directiva y especifique el ancho de banda
garantizado, el ancho de banda mximo y la prioridad de cada clase de trfico. El
ancho de banda garantizado y el ancho de banda mximo no se basan
estrictamente en directivas sino, con mltiples interfaces fsicas en la zona de
salida, s se basan en el ancho de banda de la interfaz fsica de salida total y
directiva disponible. El ancho de banda fsico de cada interfaz se asigna al
parmetro de ancho de banda garantizado para todas las directivas. Cualquier
porcin de ancho de banda sobrante es compartible por cualquier otro trfico. Es
decir, cada directiva obtiene su ancho de banda garantizado y comparte la porcin
sobrante (no utilizada) basndose en la prioridad (hasta el lmite de la
especificacin de su ajuste de ancho de banda mximo), con todas las otras
directivas.
Administracin del ancho de banda a nivel de directivas

197

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

La funcin de asignacin de trfico es aplicable al trfico de todas las directivas. Si


desactiva la asignacin de trfico para una directiva especfica, pero mantiene
activada la asignacin de trfico para otras directivas, el sistema aplica una directiva
de asignacin de trfico predeterminada a esa directiva en particular, con los
parmetros siguientes:

NOTA:

Ancho de banda garantizado 0

Ancho de banda mximo ilimitado

Prioridad de 7 (el ajuste de prioridad ms bajo)

Puede habilitar una correspondencia de los niveles de prioridad al sistema


DiffServ Codepoint Marking. Para obtener ms informacin sobre DS Codepoint
Marking, consulte Asignacin de trfico en la pgina 178.
Si no desea que el sistema aplique esta directiva predeterminada a las directivas
para las que haya desactivado la asignacin de trfico, puede desactivar el sistema
de asignacin de trfico ejecutando el comando CLI: set traffic-shaping mode off.
Utilice el comando CLI: set traffic-shaping mode on para encender la opcin de
asignacin en una interfaz. O puede poner la asignacin de trfico en modo
automtico en la WebUI: Configuration > Advanced > Traffic Shaping. Esto
permite al sistema activar la asignacin de trfico cuando una directiva la requiera y
desactivarla cuando no la requiera.

Ajuste de la asignacin de trfico


En este ejemplo distribuir los 45 Mbps de ancho de banda de una interfaz T3 entre
tres departamentos de la misma subred. La interfaz ethernet1 est asociada a la
zona Trust y ethernet3 a la zona Untrust.
Figura 75: Asignar trfico

Zona Untrust

Zona Trust
T345 Mbps
Mercadeo: 10 Mbps de entrada, 10
Mbps de salida

Internet
Ventas: 5 Mbps de entrada, 10 Mbps
de salida

Support: 5 Mbps de entrada, 5 Mbps


de salida

198

Ajuste de la asignacin de trfico

Enrutador

Enrutador

DMZ para
servidores

Zona DMZ

Captulo 7: Asignacin de trfico

WebUI
1.

Ancho de banda en interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth: 45000
NOTA:

Si no especifica los ajustes de ancho de banda de una interfaz, el dispositivo de


seguridad utilizar el ancho de banda fsico disponible.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth: 45000
2.

Ancho de banda en directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Marketing Traffic Shaping
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
VPN Tunnel: Ninguna
NOTA:

Tambin puede habilitar la asignacin de trfico en directivas que hagan


referencia a tneles VPN.
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 15000

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sales Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 10000

Ajuste de la asignacin de trfico

199

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Support Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Allow Incoming Access to Marketing
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 10000

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Nombre: Allow Incoming Access to Sales
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Asignacin de trfico: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000

200

Ajuste de la asignacin de trfico

Captulo 7: Asignacin de trfico

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Allow Incoming Access to Support
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 5000

CLI
Para habilitar la asignacin de trfico por cada directiva, haga lo siguiente:
1.

Ancho de banda en interfaces

set interface ethernet1 bandwidth 45000


set interface ethernet3 bandwidth 45000
NOTA:

Si no especifica los ajustes de ancho de banda de una interfaz, el dispositivo de


seguridad utilizar el ancho de banda fsico disponible.
2.

Ancho de banda en directivas

set policy name Marketing Traffic Shaping from trust to untrust marketing any
any permit traffic gbw 10000 priority 0 mbw 15000
set policy name Sales Traffic Shaping Policy from trust to untrust sales any any
permit traffic gbw 10000 priority 0 mbw 10000
set policy name Support Traffic Shaping Policy from trust to untrust support any
any permit traffic gbw 5000 priority 0 mbw 10000
set policy name Allow Incoming Access to Marketing from untrust to trust any
marketing any permit traffic gbw 10000 priority 0 mbw 10000
set policy name Allow Incoming Access to Sales from untrust to trust any sales
any permit traffic gbw 5000 priority 0 mbw 10000
set policy name Allow Incoming Access to Support from untrust to trust any
support any permit traffic gbw 5000 priority 0 mbw 5000
save

Ajuste de la asignacin de trfico

201

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Establecimiento de las prioridades del servicio


La funcin de asignacin de trfico de los dispositivos de seguridad de Juniper
Networks permite gestionar mediante colas de prioridades el ancho de banda no
asignado al ancho de banda garantizado o ancho de banda garantizado no utilizado.
La gestin mediante colas de prioridades es una caracterstica que permite a todos
los usuarios y aplicaciones tener acceso al ancho de banda disponible cuando lo
necesiten, asegurando al mismo tiempo que el trfico importante pueda
transmitirse, incluso a expensas del trfico menos importante, si fuese necesario. La
gestin mediante colas permite al dispositivo de seguridad canalizar el trfico por
hasta ocho colas de prioridad diferentes. Estas ocho colas son:

High priority (alta prioridad)

2nd priority (2 prioridad)

3rd priority (3 prioridad)

4th Priority (4 prioridad)

5th Priority (5 prioridad)

6th Priority (6 prioridad)

7th priority (7 prioridad)

Low priority (baja prioridad, predeterminada)

El ajuste de prioridad de una directiva significa que el ancho de banda an no


garantizado a otras directivas se introduce en las colas dando preferencia a la alta
prioridad y luego a la baja. Las directivas que tengan el mismo ajuste de prioridad
competirn por el ancho de banda segn el mtodo denominado (round robin o
ronda recproca). El dispositivo de seguridad procesa primero todo el trfico de
todas las directivas de alta prioridad, para luego procesar el trfico del ajuste de
prioridad inmediatamente inferior, etctera, hasta haber procesado todas las
peticiones de trfico. Si las peticiones de trfico superan el ancho de banda
disponible, se descarta el trfico de menor prioridad.

PRECAUCIN: Tenga cuidado de no asignar un ancho de banda superior al

admitido por la interfaz. El proceso de configuracin de directivas no impide crear


configuraciones incompatibles de directivas. Podra llegar a perder datos si el
ancho de banda garantizado de directivas con la misma prioridad sobrepasa el
ancho de banda establecido en la interfaz.
Si no asigna ningn ancho de banda garantizado, puede utilizar la gestin de colas
de prioridades para administrar todo el trfico de su red. Es decir, todo el trfico de
alta prioridad se enva antes que cualquier trfico de 2 prioridad, etctera. El
dispositivo de seguridad procesa el trfico de baja prioridad nicamente despus de
haber procesado el resto del trfico.

202

Establecimiento de las prioridades del servicio

Captulo 7: Asignacin de trfico

Ajuste de las colas de prioridades


En este ejemplo configurar el ancho de banda garantizado y mximo (en Mbps)
para tres departamentos: Support, Sales y Marketing, como se indica en Tabla 19:
Tabla 19: Configuracin del ancho de banda mximo

Trfico saliente
garantizado

Trfico
Trfico entrante combinado
garantizado
garantizado

Prioridad

Soporte

10

Alta

Ventas

2.5

3.5

Mercadeo

2.5

1.5

Total

10

10

20

Si los tres departamentos envan y reciben trfico simultneamente a travs de la


pared de fuego, el dispositivo de seguridad debe asignar 20 Mbps de ancho de
banda para satisfacer los requisitos de directivas garantizados. La interfaz ethernet1
est asociada a la zona Trust y ethernet3 a la zona Untrust.
Figura 76: Gestionar colas de prioridades

Zona Untrust

Zona Trust
T345 Mbps
Soporte: 5 Mbps de salida, 5 Mbps de entrada,
High Priority

Internet
Enrutador

Enrutador
Ventas: 2,5 Mbps de salida, 3,5 Mbps de
entrada, 2nd Priority

DMZ para
servidores

Zona DMZ

Mercadeo: 2,5 Mbps de salida, 1,5 Mbps de entrada, 3rd


Priority

WebUI
1.

Ancho de banda en interfaces

Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en OK:
Traffic Bandwidth: 40000

Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Traffic Bandwidth: 40000

Ajuste de las colas de prioridades

203

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2.

Ancho de banda en directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sup-out
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority (alta prioridad)
DiffServ Codepoint Marking: (seleccione)
NOTA:

Differentiated Services (DS) es un sistema para etiquetar (o marcar) trfico


en una posicin dentro de una jerarqua de prioridades. DS Codepoint Marking
establece una correspondencia entre el nivel de prioridad de ScreenOS en la
directiva y los tres primeros bits de codepoint en el campo DS del encabezado de
paquetes IP. Para obtener ms informacin sobre DS Codepoint Marking, consulte
Asignacin de trfico en la pgina 178.
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sal-out
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority (2 prioridad)
DiffServ Codepoint Marking: Enable

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Mar-out
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
204

Ajuste de las colas de prioridades

Captulo 7: Asignacin de trfico

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority (3 prioridad)
DiffServ Codepoint Marking: (seleccione)

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Nombre: Sup-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority (alta prioridad)
DiffServ Codepoint Marking: (seleccione)

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sal-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 3500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority (2 prioridad)
DiffServ Codepoint Marking: (seleccione)

Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Mar-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit

Ajuste de las colas de prioridades

205

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 1500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority (3 prioridad)
DiffServ Codepoint Marking: (seleccione)

CLI
1.

Ancho de banda en interfaces

set interface ethernet1 bandwidth 40000


set interface ethernet3 bandwidth 40000
2.

Ancho de banda en directivas

set policy name sup-out from trust to untrust support any any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-out from trust to untrust sales any any permit traffic gbw 2500
priority 2 mbw 40000 dscp enable
set policy name mar-out from trust to untrust marketing any any permit traffic gbw
2500 priority 3 mbw 40000 dscp enable
set policy name sup-in from untrust to trust any support any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-in from untrust to trust any sales any permit traffic gbw 3500
priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw
1500 priority 3 mbw 40000 dscp enable
save

Directivas de ingreso
Las directivas de ingreso controlan el trfico en el lado de entrada del dispositivo de
seguridad. Al restringir el flujo de trfico en el punto de ingreso, el trfico supera el
ajuste del ancho de banda se descarta mediante un procesamiento mnimo,
conservando los recursos del sistema. Las directivas de ingreso se pueden
configurar en el nivel de la interfaz y en las directivas de seguridad.
Las directivas de ingreso se configuran en una interfaz al ajustar el ancho de banda
mximo (la palabra clavembw ). El siguiente comando, por ejemplo, limita el ancho
de banda en Ethernet1 y la interfaz de entrada a 22 Mbps:
set interface ethernet1 bandwidth ingress mbw 22000

El trfico entrante en ethernet1 que supera este ancho de banda se descarta. Si


ajusta la asignacin de trfico en la interfaz, tambin debe activar el comando set
traffic-shaping mode (set traffic-shaping mode on).
Para aplicar las directivas de ingreso en una aplicacin especfica, sin embargo, se
requiere una directiva. El siguiente comando crea una directiva llamada my_ftp que
establece el lmite del ancho de banda FTP en el lado de entrada del dispositivo de
seguridad a 10 Mbps:
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000

206

Directivas de ingreso

Captulo 7: Asignacin de trfico

Se descarta el trfico FTP entrante que supera el ancho de banda de las directivas
configuradas (la palabra clave es pbw). Tambin puede ajustar el mbw en la
directiva, pero el nivel de directiva mbw se aplica nicamente en el lado de entrada
de flujo de trficoel trfico que supera la tasa configurada tambin se procesa y se
descarta nicamente en el lado de salida (consulte Figura 78, Flujo de paquetes de
asignacin de trfico, en la pgina 210). En una directiva se puede configurar mbw
o pbw, pero no las dos.
La configuracin y el refuerzo de las directivas de ingreso en interfaces virtuales es
la misma que se utiliza en las interfaces fsicas, con la nica excepcin que tambin
puede configurar el ancho de banda garantizado (la palabra clave es gbw) en
interfaces virtuales (consulte Asignacin del trfico a nivel de directiva en la
pgina 209). En interfaces fsicas, el ancho de banda garantizado es el mismo que
el ancho de banda mximo.

NOTA:

Las directivas de ingreso en interfaces de tnel se refuerza despus que el motor


VPN desencripta los paquetes encriptados.

Asignacin de trfico en interfaces virtuales


En el contexto de la asignacin de trfico, el trmino interfaces virtuales se refiere
nicamente a las subinterfaces y a las interfaces de tnelno a otra clase de
interfaces virtuales, como interfaces de seguridad virtual (VSI) o interfaces
redundantes o agregadas. No se pueden configurar los parmetros de asignacin en
directivas que se crearon en un vsys. De forma similar, el ancho de banda no se
puede asignar en las interfaces que son propiedad (que hered) de un usuario de
vsys creado. Para obtener ms informacin, consulte Volumen 10:
Sistemas virtuales.
La asignacin de trfico (a diferencia de las polticas de ingreso) se relaciona con la
administracin de trfico en el lado de entrada del dispositivo de seguridad. De
igual forma que con las interfaces fsicas, el trfico en interfaces se configura al
ajustar los valores del ancho de banda en el nivel de la interfaz y en las directivas.

Asignacin del trfico a nivel de interfaz


La configuracin al nivel de interfaz es el control de la tasa mnima y mxima del
flujo de trfico en una interfaz especfica. El ancho de banda mnimo se controla al
especificar un ancho de banda garantizado (gbw). Lo que significa que lo dems
que suceda en el dispositivo no tiene importancia, esta tasa mnima se garantiza
segn el trfico apropiado. El ancho de banda mximo (mbw) que se ajust,
establece la tasa de trfico que nunca se puede exceder. De forma predeterminada,
el ancho de banda mximo en una interfaz fsica es la capacidad de transmisin de
la interfaz, por lo tanto, no es posible ajustar el ancho de banda garantizado en la
interfaz fsica.

Asignacin de trfico en interfaces virtuales

207

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

En el contexto de la asignacin de trfico, una interfaz identifica subinterfaces


asociadas a interfaces fsicas y, por extensin, las interfaces de tnel asociadas a
esas subinterfacescreando de esta forma una jerarqua de interfaces. Una
subinterfaz asociada a una interfaz fsica se dice que es la hija de la interfaz fsica,
su padre. En consecuencia, una interfaz de tnel asociada a una interfaz es la hija de
una subinterfaz, la interfaz fsica como su abuela. Figura 77 ilustra estas
dependencias.
Figura 77: Jerarqua de interfaces
Ethernet1
mbw 10000

Interfaces virtuales

Ethernet1.1
gbw 5000 - mbw 7000

Ethernet 1.2
gbw 2000 - mbw 5000

Tunnel.1

Tunnel.2

Tunnel.1
gbw 2000 - mbw 3000

Tunnel.2
gbw 2000 - mbw 3000

Tunnel.3

Tunnel.4

Cuando se trabaja con interfaces virtuales, hay que tener presentes las siguientes
reglas sobre jerarquas de interfaces:

208

El ancho de banda que se asign a las subinterfaces no puede ser mayor que la
capacidad de transmisin de la interfaz fsica a la que est asociado. En la
Figura 77, por ejemplo, la combinacin de gbw de ethernet1.1 y ethernet 1.2
es 9000 Kbps, 1000 Kbps por abajo del mbw de ethernet1. Observe que, sin
embargo, el ancho de banda mximo combinado de estas dos subinterfaces
supera la capacidad de transmisin de la interfaz fsica a la que se asocian por
2000 Kbps. Lo que es aceptable, ya que la palabra clave mbw se utiliza
nicamente para limitar el trfico a una taza mxima. Si el trfico se encuentra
abajo del ajuste mximo en una subinterfaz, dicho ancho de banda est
disponible para cualquier otra subintefaz asociada a la misma interfaz fsica.

El ancho de banda que se asign a las interfaces de tnel no puede ser mayor
que el ancho de banda garantizado de la subinterfaz a la que est asociado.

Si el ancho de banda garantizado no se configura para el padre inmediato, el


ancho de banda se toma de la interfaz que acta como abuelo

El ancho de banda garantizado total de las interfaces que actan como hijas
no pueden superar el ancho de banda garantizado del padre.

El ancho de banda mximo del hijo no puede superar el ancho de banda


mximo del padre.

Asignacin de trfico en interfaces virtuales

Captulo 7: Asignacin de trfico

Como ya se indic, no es posible configurar el ancho de banda garantizado en


interfaces fsicas debido a que el ancho de banda garantizado es el mismo ancho de
banda mximo, que es la velocidad de los enlaces de la interfaz. En interfaces
virtuales, sin embargo, es posible configurar la salida de gbw y mbw. Tambin es
posible configurar la entrada de mbw, que es la directiva de entrada en el nivel de la
interfaz. El siguiente comando garantiza una tasa saliente mnima de bit de 2000
Kbps en Ethernet4.1 y una tasa mxima, las dos de entrada y salida, de 2000 Kbps:
set interface ethernet4.1 bandwidth egress gbw 1000 mbw 2000 ingress mbw
2000

Se ajusta el ancho de banda en la WebUI en la pgina de > edicin de >


interfaces de red.
Despus de ajustar el ancho de banda, se puede utilizar el comando get
traffic-shaping interface para observar el ancho de banda actual que fluye a travs
del dispositivo de seguridad. Por ejemplo, es posible que el trfico entre en
ethernet1 y salga en ethernet3. Si se ajust el ancho de banda de entrada en
ethernet1, el comando get traffic-shaping interface ethernet3 mostrar el
rendimiento real en el dispositivo.
Si ajusta la asignacin de trfico en la interfaz, tambin debe activar el comando set
traffic-shaping mode (set traffic-shaping mode on).

Asignacin del trfico a nivel de directiva


Se asigna el trfico al nivel de directiva para asignar el ancho de banda para tipos
determinados de trfico. El siguiente comando garantiza un ancho de banda
mnimo de 1Mbps para el trfico FTP y descarta todo el trfico que supera los 2
Mbps:
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 1000

Observe que este comando utiliza la palabra clave del ancho de banda de las
directivas (pbw). En una directiva se puede utilizar pbw o mbw, pero no las dos. El
beneficio de utilizar pbw es que el trfico se descarta en el lado de entrada del
dispositivo de seguridad, reduciendo el procesamiento de rendimiento y
conservando los recursos del sistema. (Consulte Directivas de ingreso en la
pgina 206).
En la WebUI, despus de crear una directiva, haga clic en el botn Advanced para
configurar los parmetros de asignacin de trfico.
Aunque debe ajustar el modo de asignacin de trfico a encendido para asignar el
trfico en las interfaces, no es necesario encender la asignacin del trfico cuando
se asigna el trfico en las directivas. Esto se debe a que el modo de asignacin de
trfico se ajusta a auto predeterminadamente. Cuando una sesin se activa y una
consulta de directivas descubre la asignacin de trfico, ScreenOS activa la
asignacin de trfico para dicha sesin. Se puede ajustar o no el modo de
asignacin de trfico a auto nicamente en la WebUI: Configuration > Advanced
> Traffic Shaping.

Asignacin de trfico en interfaces virtuales

209

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Flujo de paquetes
La Figura 78 ilustra la parte del flujo de paquetes a travs del dispositivo de
seguridad que afecta la asignacin del trfico y las directivas. (Consulte Secuencia
de flujo de paquetes en la pgina 11 para obtener una ilustracin completa del flujo
de paquetes). Los paquetes que superan el pbw (o el mbw configurado en la
interfaz) se descartan en el paso 9; la asignacin y marcado de DSCP se lleva a cabo
en el paso 10 y los paquetes que superan el mbw (configurado en una directiva) se
descarta en el paso 11.
Figura 78: Flujo de paquetes de asignacin de trfico
Paquete
entrante

Crear
sesin

Directivas
(si est habilitado)

10

11
Tareas programadas

Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6, 002be0c0066b,
subif 0, tun 0

Interfaz de entrada La forma y DSCP marcan


el paquete, luego lo
coloca en cola en la
Directiva
interfaz de salida

Contine con todas las interfaces de


salida en el dispositivo y los paquetes
de transmisin en la configuracin

Ejemplo: VPN basada en rutas con directivas de ingreso


Este ejemplo ilustra cmo reforzar las directivas de ingreso en el nivel de interfaz
para el trfico encriptado. Las directivas de ingreso se configuran en la subinterfaz
(e2.1, ancho de banda mximo:1200 Kbps) y en la interfaz de tnel (t.1, ancho de
banda mximo:1000 Kbps). La tasa de directivas en la subinterfaz que se ajust
debe ser mayor que en la interfaz de tnel asociada a la misma para permitir el
nivel mximo de encriptacin (asumiendo, en este ejemplo, que todo el trfico que
se recibe en la subinterfaz est destinado a la interfaz de tnel). Las directivas en la
subinterfaz se aplican a los paquetes encriptados, mientas las directivas en la
interfaz de tnel se aplican a los paquetes internos desencriptados. Todo el trfico
encriptado sobre 1200 Kbps en e2.1 se descarta. Y todo el trfico (texto no cifrado)
desencriptado sobre 1000 Kbps. en la interfaz t.1 se descarta.
Figura 79: VPN basadas en rutas:

San Francisco
Dispositivo1

e2

e2
e2.1, 2.2.2.1/24

e1, 10.1.1.1/24

e2.1, 2.2.2.2/24
Subinterfaces

t.1

Interfaces de tnel

New York
Dispositivo2
e1, 10.2.0.2/24

t.1

Clientes
Servidor
Zona Trust

210

Asignacin de trfico en interfaces virtuales

Zona Trust

Captulo 7: Asignacin de trfico

WebUI (Configuracin para el Device1)


1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Zona: Trust

Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
IP Address/Netmask: 2.2.2.1/24
VLAN Tag: 128

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Tunnel Interface Name: 1
Zone: Untrust
Unnumbered (seleccione) ethernet2.1
Interface: e2.1
2.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.2.0.0/24
Interface (seleccione): Tunnel.1
3.

IKE

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device1_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida

Preshared Key: Secreto


Outgoing Interface: e2.1

VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device1_vpn
Gateway Name: device1_ike

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en


Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Bind to: (Seleccione) Interfaz de tnel, (seleccione) tunnel.1

Asignacin de trfico en interfaces virtuales

211

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

CLI (Configuracin para el Device1)


1.

Interfaces

set interface e1 zone trust


set interface e1 ip 10.1.1.1/24
set interface e2.1 tag 128 zone untrust
set interface t.1 zone trust
set interface e2.1 ip 2.2.2.1/24
set interface t.1 ip unnumbered interface e2.1
set route 10.2.0.0/24 int t.1
2.

IKE

set ike gateway device1_ike address 2.2.2.2 outgoing-interface e2.1 preshare


sec-level standard
set vpn device1_vpn gateway 208a_ike sec-level standard
set vpn device1_vpn bind interface t.1

WebUI (Configuracin para el Device1)


1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.2.0.2/24
Zona: Trust

Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
IP Address/Netmask: 2.2.2.2/24
VLAN Tag: 128

Network > Interfaces > Tunnel IF > New: Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Sin numerar (seleccione) ethernet2.1
Interfaz: e2.1
2.

Ancho de banda en interfaces

Network > Interfaces > Edit (para ethernet2.1): Introduzca los siguientes
datos y haga clic en OK:
Traffic Bandwidth, Ingress: 1200

Network > Interfaces > Edit (para tunnel.1): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth, Ingress: 1000
3.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0/24
Interface (seleccione): Tunnel.1

212

Asignacin de trfico en interfaces virtuales

Captulo 7: Asignacin de trfico

4.

IKE

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device2_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida

Preshared Key: Secreto


Outgoing Interface: e2.1

VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device2_vpn
Gateway Name: device2_ike

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en


Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Bind to: (Seleccione) Interfaz de tnel, (seleccione) tunnel.1
5.

Directivas

Directivas > (From: Trust, A: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit

Directivas > (From: Untrust, A: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit

CLI (Configuracin para el Device2)


1.

Interfaces

set interface e1 zone trust


set interface e1 ip 10.2.0.2/24
set interface e2.1 tag 128 zone untrust
set interface e2.1 ip 2.2.2.2/24
set interface t.1 zone untrust
set interface t.1 ip unnumbered interface e2.1
set route 10.1.1.0/24
2.

Ancho de banda en interfaces

set interface e2.1 bandwidth ingress mbw 1200


set interface t.1 bandwidth ingress mbw 1000
3.

IKE

set ike gateway device2_ike address 2.2.2.1 preshare secret sec-level standard
set vpn device2_vpn gateway 208b_ike sec-level standard
set vpn device2_vpn bind interface t.1
4.

Directiva

set policy from trust to untrust any any any permit


set policy from untrust to trust any any any permit
Asignacin de trfico en interfaces virtuales

213

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ejemplo: VPN basada en directivas con directivas de ingreso


En este ejemplo se ilustra cmo reforzar las directivas de ingreso en el nivel de
interfaz y en las directivas. En la interfaz ethernet1 en el Device1, se ajust el ancho
de banda mximo a 20000 Kbps. Con este ajuste, todo el trfico sobre 20000 Kbps
de los clientes conectados al Device1 en la interfaz ethernet1, se descarta. Las
directivas de ingreso en la interfaz se aplican a todo el trfico que llega a dicha
interfaz. Para obtener una granularidad ms fina, se pueden aplicar las directivas de
ingreso en el nivel de directivas. En este ejemplo, se pueden crear directivas para
restringir todo el trfico de ingreso de protocolo FTP en el Device1 al crear directivas
entre las zonas Trust y Untrust y al ajustar el ancho de banda de las directivas a
5000 Kbps. Todo el trfico FTP sobre 5000 Kbps de la zona Trust a la zona Untrust
se descarta.
Figura 80: VPN basadas en directivas

San Francisco

New York

Dispositivo1

Dispositivo2
e2, 2.1.1.1

e1, 10.1.1.1.1

e2, 10.2.2.1

e1, 1.1.1.2

Clientes
Servidor
Zona Trust

Zona Trust

WebUI (Configuracin para el Device1)


1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Zone: Trust
Interface mode: (seleccione) NAT

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 2.1.1.1/24
Zone: Untrust
Modo de interfaz: (seleccione) Route
2.

VPN IKE

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device2_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2

214

Asignacin de trfico en interfaces virtuales

Captulo 7: Asignacin de trfico

Clave previamente compartida

Preshared Key: Secreto


Outgoing Interface: ethernet2
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK
para regresar a la pgina de configuracin bsica de Gateway:
Phase 1 Proposal: pre-g2-3des-sha

VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device2_vpn
Gateway Name: device2_ike
3.

Directivas basadas en interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Ancho de Bandwidth de ingreso: 20000
4.

Enrutamiento

Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Network IP Address/Netmask: 10.2.1.0/24
Interface: (seleccione) ethernet2
Gateway IP Address: 2.2.2.2
5.

Directivas

Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device2_vpn
Modify matching bidirectional VPN policy: (seleccione)

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en


Return para regresar a la pgina de configuracin bsica de directiva:
Asignacin de trfico (seleccione) ancho de banda de directivas: 5000

CLI (Configuracin para el Device1)


1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet2 zone untrust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 ip 2.1.1.1/24
set interface ethernet1 route
2.

VPN IKE

set ike gateway device2_ike address 2.2.2.2 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device2_vpn gateway device2_ike no-replay tunnel idletime 0 sec-level
standard

Asignacin de trfico en interfaces virtuales

215

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

Enrutamiento

set route 10.2.1.0/24 interface ethernet2 gateway 2.2.2.2


4.

Directivas

set policy from trust to untrust any any ftp tunnel vpn device2_vpn pair-policy 2
traffic pbw 5000
set policy from untrust to trust any any ftp tunnel vpn netscreeen2_vpn pair-policy
1 traffic pbw 5000
5.

Directivas basadas en interfaces

set interface ethernet1 bandwidth ingress mbw 20000

WebUI (Configuracin para el Device1)


1.

Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Zone: Trust
Interface mode: (seleccione) Route

Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.2.2.1/24
Zone: Untrust
Modo de interfaz: (seleccione) NAT
2.

VPN IKE

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device1_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.1.1.1
Clave previamente compartida

Preshared Key: Secreto


Outgoing Interface: ethernet2

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK


para regresar a la pgina de configuracin bsica de Gateway:
Phase 1 Proposal: pre-g2-3des-sha

VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device1_vpn
Gateway Name: device1_ike
3.

Enrutamiento

Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:

216

Asignacin de trfico en interfaces virtuales

Captulo 7: Asignacin de trfico

Network IP Address/Netmask: 10.1.1.0/24


Interfaz: (seleccione) ethernet2
Gateway IP Address: 1.1.1.1
4.

Directivas

Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device1_vpn
Modify matching bidirectional VPN policy: (seleccione)

CLI (Configuracin para el Device2)


1.

Interfaces

set
set
set
set
2.

interface ethernet1 1.1.1.2/24


interface ethernet1 route
interface ethernet2 ip 10.2.2.1/24
interface ethernet2 nat

VPN IKE

set ike gateway device1_ike address 2.1.1.1 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device1_vpn gateway device1_ike no-replay tunnel idletime 0 sec-level
standard
3.

Enrutamiento

set route 10.1.1.0/24 interface ethernet1 gateway 1.1.1.1


4.

Directivas

set policy id 1 from trust to untrust any any ftp tunnel vpn device1_vpn pair-policy 2
set policy id 2 from untrust to trust any any ftp tunnel vpn device1_vpn pair-policy 1

Asignacin de trfico utilizando una interfaz Loopback


La asignacin de trfico no se admite en las interfaces loopback, debido a que en
realidad no se transmite ningn trfico en una interfaz loopback. Sin embargo, una
interfaz loopback se utiliza con frecuencia como un punto de anclaje (por ejemplo
en el caso de una VPN, para derivar la direccin IP de origen), mientras los datos se
transmiten en una interfaz de salida real. Cuando se utiliza una interfaz loopback en
una VPN, por consiguiente, configura la asignacin de trfico en la interfaz de
salida. Entonces, ScreenOS asocia la sesin con la interfaz de salida real, que sta
deduce de la tabla de enrutamiento, actualizando de forma dinmica la asociacin
como los cambios de la tabla de enrutamiento.

Asignacin y marcado DSCP


Es posible asignar el trfico en una directiva que utilice el marcado DSCP o se
puede utilizar el marcado DSCP independiente de la asignacin del trfico. La
asignacin del trfico controla la forma en que el trfico se procesa en el dispositivo
de seguridad y se puede configurar en el nivel de interfaz o en las directivas. El
marcado DSCP, que se ajust en el nivel de directivas, controla cmo los
enrutadores descendentes procesan el trfico.
Asignacin de trfico utilizando una interfaz Loopback

217

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Si activa el marcado DSCP pero no se ajusta un valor, ScreenOS asigna la prioridad


de directivas a una prioridad de preferencia de IP equivalente en el sistema DSCP.
Lo que se realiza al volver a escribir los primeros tres bits en el byte ToS con la
prioridad de preferencia de IP. Por ejemplo, si se cre una directiva que proporciona
a todo el trfico una prioridad de, por ejemplo, 2 (0 es la prioridad ms alta) y se
activa el marcado DSCP, ScreenOS encola el trfico para dicha directiva con una
prioridad de nivel 2 en la interfaz de salida y la marca con una prioridad de
preferencia de IP equivalente. El siguiente comando crea una directiva que
proporciona una prioridad 2 a todo el trfico y activa el marcado DSCP:
set policy from trust to untrust any any any permit traffic priority 2 dscp enable

Pero si a DSCP se le proporciona un dscp-byte de valor de, por ejemplo, 46 (la


prioridad ms alta), el dispositivo de seguridad an encola el trfico en la interfaz
de salida en la prioridad 2 pero sobrescribe los primeros 6 bits del byte ToS con el
valor DSCP.
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
value 46

El marcado DSCP se admite en todas las plataformas y se pueden configurar por


medio de la asignacin de trfico o de forma independiente. Las tablas que se
presentan a continuacin muestran cmo funciona el marcado DSCP con las
diferentes plataformas.
Tabla 20: Marcado DSCP para el trfico de texto no cifrado
Hardware Security Client
NetScreen-5XT,
NetScreen-5GT, NetScreen
25/50,
NetScreen-204/208,
NetScreen 500

Serie NetScreen-5000, ISG


1000, ISG 2000

Desactive el paquete sin


ningn marcado en las
directivas.

Sin marcado.

Sin marcado.

Borre el paquete con marcado


en las directivas.

El paquete se marc con base


en las directivas.

El paquete se marc con base


en las directivas.

Descripcin

218

Asignacin y marcado DSCP

Paquete marcado previamente Mantenga el marcado en el


sin ningn marcado en las
paquete.
directivas.

Mantenga el marcado en el
paquete.

Paquete marcado previamente Sobrescriba el marcado en el


con marcado en las directivas. paquete con base en las
directivas.

Sobrescriba el marcado en el
paquete con base en las
directivas.

Captulo 7: Asignacin de trfico

Tabla 21: Marcado DSCP para VPN basadas en directivas


Hardware Security Client
NetScreen-5XT,
NetScreen-5GT, NetScreen
25/50,
NetScreen-204/208,
NetScreen 500

Serie NetScreen-5000, ISG


1000, ISG 2000

Borre el paquete de la VPN


basada en directivas sin
ningn marcado en las
directivas.

Sin marcado.

Sin marcado.

Borre el paquete de la VPN


basada en directivas con
marcado en las directivas.

nicamente el encabezado
ESP se marc, con base en las
directivas.

nicamente el encabezado
ESP se marc, con base en las
directivas.

Marque previamente el
paquete de la VPN basada en
directivas sin ningn marcado
en las directivas.

El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.

El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.

Marque previamente el
paquete de la VPN basada en
directivas con marcado en las
directivas.

El encabezado ESP se marc,


con base en las directivas,
mantenga el marcado en el
paquete interno.

El encabezado ESP se marc,


con base en las directivas,
mantenga el marcado en el
espacio interno.

Descripcin

Tabla 22: Marcado DSCP para VPN basadas en rutas


Hardware Security Client
NetScreen-5XT,
NetScreen-5GT, NetScreen
-25/50,
NetScreen-204/208,
NetScreen -500

Serie NetScreen-5000, ISG


1000, ISG 2000

Borre el paquete de la VPN


basada en rutas sin ningn
marcado en las directivas.

Sin marcado.

Sin marcado.

Borre el paquete de la VPN


basada en rutas con marcado
en las directivas.

El paquete interno y el
encabezado ESP se marcaron,
con base en las directivas.

El paquete interno se marca,


con base en las directivas. El
encabezado ESP no se marc.

Marque previamente el
paquete de la VPN basada en
rutas sin ningn marcado en
las directivas.

Copie el marcado del paquete


interno en el encabezado ESP,
mantenga el marcado en el
paquete interno.

El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.

Marque previamente el
paquete de la VPN basada en
rutas con marcado en las
directivas.

Sobrescriba el marcado en el
paquete interno con base en
las directivas y copie el
marcado del paquete interno
en el encabezado ESP.

Sobrescriba el marcado en el
paquete interno, con base en
las directivas. El encabezado
ESP no se marc.

Descripcin

Asignacin y marcado DSCP

219

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

220

Asignacin y marcado DSCP

Captulo 8

Parmetros del sistema


Este captulo se centra en los conceptos relativos a la configuracin de los
parmetros del sistema que afectan a las siguientes reas de un dispositivo de
seguridad. Contiene las siguientes secciones:

Compatibilidad con DNS (sistema de nombres de dominio) en esta pgina

Protocolo de configuracin dinmica de hosts en la pgina 229

Protocolo punto a punto sobre Ethernet en la pgina 245

Claves de licencia en la pgina 253

Registro y activacin de los servicios de suscripcin en la pgina 254

Reloj del sistema en la pgina 256

Compatibilidad con DNS (sistema de nombres de dominio)


El dispositivo de seguridad de Juniper Networks es compatible con el sistema de
nombres de dominio (Domain Name System o DNS), que le permite utilizar
tanto nombres de dominios como direcciones IP para identificar las ubicaciones de
una red. Un servidor DNS mantiene una tabla de direcciones IP asociadas a los
correspondientes nombres de dominio. DNS permite referirse a una ubicacin por
medio de su nombre de dominio (como www.juniper.net), adems de utilizar la
correspondiente direccin IP enrutable, que en el caso de www.juniper.net es
207.17.137.68. Todos los programas siguientes pueden realizar traduccin de DNS:

Address Book (libreta de direcciones)

Syslog

Correo electrnico

WebTrends

Websense

LDAP

SecurID

Compatibilidad con DNS (sistema de nombres de dominio) 221

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

RADIUS

NetScreen-Security Manager

Antes de poder utilizar DNS para la resolucin de nombres de dominio y


direcciones, deben introducirse las direcciones de los servidores DNS (principal,
secundario y terciario) en el dispositivo de seguridad.

NOTA:

Para habilitar el dispositivo de seguridad como servidor del protocolo de


configuracin dinmica de hosts (Dynamic Host Configuration Protocol o
DHCP) (consulte Protocolo de configuracin dinmica de hosts en la
pgina 229), tambin deber introducir las direcciones IP de los servidores DNS
en la pgina DHCP de WebUI o mediante el comando CLI set interface interface
dhcp.

Consulta DNS
El dispositivo de seguridad actualiza todas las entradas de su tabla DNS
comprobndolas en un servidor DNS especificado en los momentos siguientes:

Al producirse una conmutacin por error de HA (alta disponibilidad)

A una hora determinada y a intervalos regulares programados a lo largo del da

Cuando se ordena manualmente al dispositivo realizar una consulta DNS

WebUI: Network > DNS: Haga clic en Refresh DNS cache.

CLI: exec dns refresh

Adems del mtodo existente de establecer una hora para la actualizacin diaria y
automtica de la tabla DNS, tambin puede definir un intervalo de tiempo entre 4 y
24 horas.

NOTA:

Cuando se agrega un nombre de dominio completo (Fully-Qualified Domain


Name o FQDN), como una direccin o una puerta de enlace IKE, mediante
WebUI, el dispositivo de seguridad lo resuelve al hacer clic en Apply o en OK.
Cuando se escribe un comando CLI que hace referencia a un FQDN, el dispositivo
de seguridad intenta resolverlo en el momento de introducirlo.
Cuando el dispositivo de seguridad se conecta al servidor DNS para resolver una
asignacin de nombre de dominio o direccin IP, almacena esa entrada en su tabla
de estado de DNS. La lista siguiente contiene algunos de los detalles implicados en
una consulta DNS:

222

Cuando una consulta DNS devuelve varias entradas, la libreta de direcciones


acepta todas. Los otros programas enumerados en la pgina 221 solamente
aceptan la primera.

El dispositivo de seguridad vuelve a instalar todas las directivas si detecta


cualquier cambio en la tabla de nombres de dominios en el momento en que el

Compatibilidad con DNS (sistema de nombres de dominio)

Captulo 8: Parmetros del sistema

usuario actualiza una consulta con el botn Refresh de WebUI o ejecuta el


comando CLI exec dns refresh.

Cuando falla un servidor DNS, el dispositivo de seguridad vuelve a consultar la


tabla entera.

Cuando falla una consulta, el dispositivo de seguridad la elimina de la tabla


cach.

Si la consulta del nombre de dominio falla al agregar direcciones a la libreta de


direcciones, el dispositivo de seguridad muestra un mensaje de error indicando
que la direccin fue agregada con xito, pero la consulta del nombre DNS fall.

El dispositivo de seguridad debe realizar una nueva consulta cada da, que se puede
programar en el mismo para que la realice a una hora determinada:
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Actualizacin de DNS cada da a las: Seleccione la casilla de verificacin e
introduzca la hora <hh:mm>

CLI
set dns host schedule time_str

Tabla de estado de DNS


La tabla de estado de DNS comunica todos los nombres de dominios consultados,
sus correspondientes direcciones IP, si la consulta se efectu con xito y cundo se
resolvi por ltima vez cada nombre de dominio o direccin IP.
Figura 81: Tabla de estado de DNS
Nombre

Direccin IP

Estado

ltima bsqueda

www.yahoo.com

204.71.200.74
204.71.200.75
204.71.200.67
204.71.200.68
209.185.151.28
209.185.151.210
216.32.228.18

xito

8/13/2000 16:45:33

xito

8/13/2000 16:45:38

www.hotbot.com

Para visualizar la tabla de estado de DNS, ejecute cualquiera de los siguientes


procedimientos:
WebUI
Network > DNS > Show DNS Table
CLI
get dns host report

Compatibilidad con DNS (sistema de nombres de dominio) 223

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ajuste del servidor DNS y programacin de actualizaciones


Para implementar la funcionalidad de DNS, se introducen en el dispositivo de
seguridad las direcciones IP de los servidores DNS en 24.1.64.38 y 24.0.0.3,
protegiendo un host nico de una oficina domstica. El dispositivo de seguridad se
programa para actualizar los ajustes de DNS almacenados en su tabla de estado de
DNS diariamente a las 23:00 horas.
Figura 82: Actualizacin de DNS

Zona Trust

Zona Untrust

Servidor DNS
secundario 24.1.64.38
Servidor DNS
principal 24.0.0.3

Internet

WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Primary DNS Server: 24.0.0.3
Secondary DNS Server: 24.1.64.38
DNS Refresh: (seleccione)
Every Day at: 23:00

CLI
set dns host dns1 24.0.0.3
set dns host dns2 24.1.64.38
set dns host schedule 23:00
save

Establecer un intervalo de actualizacin de DNS


En este ejemplo configurar el dispositivo de seguridad para actualizar su tabla DNS
cada 4 horas, comenzando a las 00:01 de cada da.
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
DNS Refresh: (seleccione)
Every Day at: 00:01
Interval: 4

CLI
set dns host schedule 00:01:00 interval 4
save

Sistema de nombres de dominio dinmico


El sistema de nombres de dominio dinmico (DDNS) es un mecanismo que permite
a los clientes actualizar dinmicamente las direcciones IP correspondientes a
nombres de dominio registrados. Esta actualizacin es til cuando un ISP utiliza
PPP, DHCP o XAuth para modificar dinmicamente la direccin IP de un enrutador
224

Compatibilidad con DNS (sistema de nombres de dominio)

Captulo 8: Parmetros del sistema

CPE (como un dispositivo de seguridad) que proteja un servidor web. Los clientes
procedentes de Internet pueden acceder el servidor web usando un nombre de
dominio, aunque la direccin IP del enrutador CPE haya cambiado previamente.
Este cambio es posible gracias a un servidor DDNS como dyndns.org o ddo.jp, que
contienen las direcciones cambiadas dinmicamente y sus nombres de dominio
asociados. El CPE actualiza los servidores DDNS con esta informacin,
peridicamente o en respuesta a cambios de direcciones IP.
Para utilizar DDNS, cree una cuenta (nombre de usuario y contrasea) en el
servidor DDNS. El servidor utiliza esta informacin de cuenta para configurar el
dispositivo cliente.
Figura 83: DNS dinmico
Servidor web
www.my_host.com

Cliente

Dispositivo de
seguridad
Zona Trust

Internet
Servidor DDNS
ethernet7

dyndns.org or ddo.jp

En la Figura 83, la direccin IP de la interfaz ethernet7 puede haber cambiado.


Cuando se produce algn cambio, el cliente todava puede acceder al servidor web
protegido indicando el nombre de host (www.my_host.com), a travs del servidor
de dyndns.org o del servidor de ddo.jp. Cada uno de estos servidores requiere
configuraciones diferentes en el dispositivo de seguridad.

Configuracin del DDNS para un servidor DynDNS


En el ejemplo siguiente configurar un dispositivo de seguridad para operar con
DDNS. El dispositivo utiliza el servidor dyndns.org para resolver direcciones
cambiantes. Para este servidor, especificar el host protegido utilizando el ajuste
Host Name, asociado explcitamente a la interfaz DNS (ethernet7). Cuando el
dispositivo enva una actualizacin al servidor de ddo.jp, asocia el Host Name a la
direccin IP de la interfaz.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 12
Server Settings
Server Type: dyndns
Server Name: dyndns.org
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: swordfish
Password: ad93lvb

Compatibilidad con DNS (sistema de nombres de dominio) 225

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Bind to Interface: ethernet7


Host Name: www.my_host.com
NOTA:

El intervalo de actualizacin mnimo especifica el intervalo mnimo de tiempo


(expresado en minutos) entre sucesivas actualizaciones de DDNS. El valor
predeterminado es de 10 minutos y el rango admisible es 1-1440. En algunos
casos, el dispositivo puede no actualizar el intervalo porque primero el servidor
DNS necesita esperar a que el tiempo de espera de la entrada de DDNS caduque
en su cach. Adems, si establece el intervalo de actualizacin mnimo a un valor
muy bajo, puede que el dispositivo de seguridad le bloquee el acceso Se
recomienda utilizar un valor de al menos 10 minutos.
CLI
set dns ddns
set dns ddns enable
set dns ddns id 12 server dyndns.org server-type dyndns refresh-interval 24
minimum-update-interval 15
set dns ddns id 12 src-interface ethernet7 host-name www.my_host.com
set dns ddns id 12 username swordfish password ad93lvb
save

Configuracin del DDNS para un servidor DDO


En el ejemplo siguiente configurar un dispositivo de seguridad para DDNS. El
dispositivo utiliza el servidor ddo.jp para resolver direcciones. Para el servidor
ddo.jp, especificar el FQDN del host protegido como nombre de usuario para la
entrada de DDNS, en lugar de especificar el host protegido usando el ajuste Host
Name. El servicio deducir automticamente el nombre de host del valor de
Username. Por ejemplo, el servidor ddo.jp traduce un nombre de usuario de
my_host a my_host.ddo.jp. Es necesario cerciorarse de que el nombre de dominio
registrado en ddo.jp coincida con el DNS deducido.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 25
Server Settings
Server Type: ddo
Server Name: juniper.net
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: my_host
Password: ad93lvb
Bind to Interface: ethernet7

CLI
set dns ddns
set dns ddns enable
set dns ddns id 25 server ddo.jp server-type ddo refresh-interval 24
minimum-update-interval 15
set dns ddns id 25 src-interface ethernet7
set dns ddns id 25 username my_host password ad93lvb
save
226

Compatibilidad con DNS (sistema de nombres de dominio)

Captulo 8: Parmetros del sistema

Divisin de direcciones DNS del proxy


La caracterstica DNS proxy proporciona un mecanismo transparente que permite a
los clientes dividir consultas DNS. Con esta tcnica, el proxy redirige selectivamente
las consultas de DNS a servidores DNS especficos, siguiendo nombres de dominio
parciales o completos. Esto resulta til cuando tneles VPN mltiples o los enlaces
virtuales PPPoE proporcionan conectividad a redes y es necesario dirigir algunas
consultas DNS a una red y otras a otra red.
Las ventajas de un proxy de DNS son las siguientes:

Las operaciones de bsqueda de dominios son generalmente ms eficientes.


Por ejemplo, las consultas de DNS destinadas al dominio corporativo (como
acme.com) podran dirigirse al servidor DNS corporativo, mientras que todas
las dems iran al servidor DNS del ISP, que reduce la carga en el servidor
corporativo. Esto tambin evita la filtracin de informacin del dominio
corporativo a Internet.

El proxy de DNS permite transmitir consultas DNS seleccionadas a travs de


una interfaz Tunnel, impidiendo as que usuarios malvolos puedan acceder a
la configuracin interna de la red. Por ejemplo, las consultas de DNS dirigidas al
servidor corporativo pueden atravesar una interfaz Tunnel para utilizar
caractersticas de seguridad tales como la autenticacin, codificacin y
anti-replay (anti-reprocesamiento).

Los comandos siguientes crean dos entradas DNS por proxy que reenvan
selectivamente las consultas DNS a diferentes servidores.
Figura 84: Dividir peticiones de DNS
Servidores DNS del ISP

juniper.net => 63.126.135.170

juniper.net

1.1.1.23

Internet

63.126.135.170
acme.com =>
3.1.1.2

ethernet3

acme_eng.com =>
3.1.1.5

tunnel.1

acme.com

Empresa
Servidores DNS
2.1.1.21
2.1.1.34

acme_eng.com

Toda consulta de DNS con un FQDN que contenga el nombre de dominio


acme.com saldr a travs de la interfaz Tunnel tunnel.1 al servidor DNS
corporativo en la direccin IP 2.1.1.21.
Por ejemplo, si un host enva una consulta DNS para resolver www.acme.com,
el dispositivo dirige automticamente la consulta a este servidor. (Asuma que el
servidor resuelve la consulta devolviendo la direccin IP 3.1.1.2).

Compatibilidad con DNS (sistema de nombres de dominio) 227

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Cualquier consulta DNS con un FQDN que contenga el nombre de dominio


acme_engineering.com sale a travs de interfaz de tnel tunnel.1 al servidor
DNS en la direccin IP 2.1.1.34.
Por ejemplo, si un host enva una consulta DNS para resolver
intranet.acme_eng.com, el dispositivo dirige la consulta a este servidor. (Asuma
que el servidor resuelve la consulta devolviendo la direccin IP 3.1.1.5).

Todas las dems consultas DNS (marcadas con un asterisco) evitan a los
servidores corporativos y salen a travs de la interfaz ethernet3 al servidor DNS
en la direccin IP 1.1.1.23.
Por ejemplo, si el host y el nombre de dominio son www.juniper.net, el
dispositivo evita automticamente los servidores corporativos y dirige la
consulta a este servidor, que resuelve la consulta obteniendo la direccin IP
207.17.137.68.

WebUI
1.

Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Apply:

Initialize DNS Proxy: Enable


Enable DNS Proxy: Enable
2.

Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:

Domain Name: acme.com


Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.21
3.

Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:

Domain Name: acme_eng.com


Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.34
4.

Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:

Domain Name: *
Outgoing Interface: ethernet3
Primary DNS Server: 1.1.1.23

CLI
set dns proxy
set dns proxy enable
set interface ethernet3 proxy dns
set dns server-select domain acme.com outgoing-interface tunnel.1 primary-server
2.1.1.21
set dns server-select domain acme_eng.com outgoing-interface tunnel.1
primary-server 2.1.1.34
set dns server-select domain * outgoing-interface ethernet3 primary-server
1.1.1.23
save

228

Compatibilidad con DNS (sistema de nombres de dominio)

Captulo 8: Parmetros del sistema

Protocolo de configuracin dinmica de hosts


El protocolo de configuracin dinmica de hosts (DHCP: Dynamic Host
Configuracion Protocol) fue diseado para aliviar el trabajo de los administradores
de red asignando automticamente ajustes TCP/IP a los hosts de una red. En lugar
de obligar a los administradores a asignar, configurar, supervisar y modificar
(cuando sea necesario) todos los ajustes TCP/IP de cada equipo de una red, DHCP
hace todo automticamente. Adems, DHCP garantiza que no se utilicen
direcciones duplicadas, vuelve a asignar las direcciones que han dejado de utilizarse
y asigna automticamente direcciones IP apropiadas para la subred a la que est
conectado un host.
Diferentes dispositivos de seguridad asumen diferentes papeles DHCP:

NOTA:

Cliente DHCP: Algunos dispositivos de seguridad pueden actuar como clientes


de DHCP, recibiendo una direccin IP asignada dinmicamente para cualquier
interfaz fsica en cualquier zona.

Servidor DHCP: Algunos dispositivos de seguridad tambin pueden actuar


como servidores de DHCP, asignando direcciones IP dinmicas a hosts (que
actan como clientes de DHCP) en cualquier interfaz fsica o VLAN de cualquier
zona.

Aunque utilice el mdulo del servidor DHCP para asignar direcciones a hosts tales
como las estaciones de trabajo de una zona, tambin puede utilizar direcciones IP
fijas para otros equipos, como servidores de correo y servidores WINS.

Agente de retransmisin de DHCP: Algunos dispositivos de seguridad tambin


pueden actuar como agentes de retransmisin de DHCP, recibiendo
informacin de un servidor DHCP y retransmitindola a los hosts de cualquier
interfaz fsica o VLAN en cualquiera zona.

Cliente/servidor/agente de retransmisin DHCP: Algunos dispositivos de


seguridad pueden actuar simultneamente como cliente, servidor y agente de
retransmisin de DHCP. En una sola interfaz solamente se puede configurar un
papel de DHCP. Por ejemplo, en la misma interfaz no se pueden configurar el
cliente y el servidor DHCP. Opcionalmente, se puede configurar el mdulo de
cliente DHCP para que reenve los ajustes TCP/IP que recibe al mdulo de
servidor DHCP, que los utilizar para proporcionar ajustes TCP a los hosts de la
zona Trust que acten como clientes DHCP.

DHCP consta de dos componentes: un protocolo para suministrar ajustes de


configuracin TCP/IP especficos de cada host y un mecanismo para asignar
direcciones IP. Cuando el dispositivo de seguridad acta como servidor DHCP,
proporciona los siguientes ajustes TCP/IP a cada host cuando ste se inicia:

Direccin IP y mscara de red predeterminadas de la puerta de enlace. Si deja


estos ajustes como 0.0.0.0/0, el mdulo del servidor DHCP utiliza
automticamente la direccin IP y la mscara de red de la interfaz
predeterminada de la zona Trust.

Protocolo de configuracin dinmica de hosts

229

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

NOTA:

En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la
interfaz predeterminada es la primera interfaz asociada a esa zona a la que se
haya asignado una direccin IP.

NOTA:

Las direcciones IP de los servidores siguientes:

Servidores WINS (2): Los servidores del servicio de nombres de Internet de


Windows (Windows Internet Naming Service o WINS) asignan un
nombre NetBIOS utilizado en un entorno de red Windows NT a una
direccin IP utilizada en una red basada en IP. El nmero en parntesis
indica el nmero de servidores admitidos.

Servidores NetInfo (2): NetInfo es un servicio de red de Apple utilizado


para la distribucin de datos administrativos dentro de una LAN.

Etiqueta de NetInfo (1): La etiqueta identificativa utilizada por la base de


datos de Apple NetInfo.

Servidores DNS (3): Los servidores del sistema de nombres de dominio


(DNS) asignan un localizador de recurso uniforme (Uniform Resource
Locator o URL) a una direccin IP.

Servidor SMTP (1): Los servidores del protocolo simple de transferencia de


correo (Simple Mail Transfer Protocol o SMTP) entregan mensajes
SMTP a un servidor de correo, por ejemplo un servidor POP3, que
almacena el correo entrante.

Servidor POP3 (1): Los servidores del protocolo de oficina de correo,


versin 3 (Post Office Protocol o POP3) almacenan el correo entrante.
Cada servidor POP3 debe trabajar conjuntamente con un servidor SMTP.

Servidor News (1): Los servidores de noticias reciben y almacenan avisos


de los grupos de noticias.

Si un cliente DHCP al que el dispositivo de seguridad los parmetros antedichos


dispone de una direccin IP especificada, sta tiene preferencia sobre toda la
informacin dinmica recibida del servidor DHCP.

Configurar un servidor DHCP


Un dispositivo de seguridad puede admitir hasta ocho servidores DHCP en
cualquier interfaz fsica o VLAN de cualquier zona. Cuando acta como servidor
DHCP, el dispositivo de seguridad asigna direcciones IP y mscaras de subred de
dos modos:

230

En el modo Dynamic, el dispositivo de seguridad, actuando como servidor


DHCP, asigna (o arrienda) a un cliente DHCP del host una direccin IP
tomada de un conjunto de direcciones. La direccin IP se arrienda por un
tiempo determinado o hasta que el cliente renuncia a ella. (Para definir un
periodo de arrendamiento ilimitado, introduzca 0).

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

NOTA:

En el modo Reserved, el dispositivo de seguridad asigna una direccin IP


tomada de un conjunto de direcciones exclusivamente para un cliente
especfico cada vez que ste establece una conexin.

Un conjunto de direcciones es un rango de direcciones IP definido en la misma


subred de la que el dispositivo de seguridad puede tomar direcciones DHCP para
asignar. Puede agrupar hasta 255 direcciones IP.
El servidor DHCP admite hasta 64 entradas, entre las que se pueden incluir los
rangos de direcciones de IP y direcciones IP a una sola direccin, para las
direcciones IP dinmicas y reservadas.
El dispositivo de seguridad guarda cada direccin IP asignada mediante DHCP en
su memoria flash. Por lo tanto, reiniciar el dispositivo de seguridad no afecta a las
asignaciones de direcciones.
En este ejemplo, utilizando DHCP, se seccionar la red 172.16.10.0/24 de la zona
Trust en tres conjuntos de direcciones IP.

172.16.10.10 a 172.16.10.19

172.16.10.120 a 172.16.10.129

172.16.10.210 a 172.16.10.219

El servidor DHCP asigna todas las direcciones IP dinmicamente, salvo a dos


estaciones de trabajo con direcciones IP reservadas y a cuatro servidores que tienen
direcciones IP estticas. La interfaz ethernet1 est asociada a la zona Trust, tiene la
direccin IP 172.16.10.1/24 y se encuentra en modo NAT. El nombre del dominio es
dynamic.com.
Figura 85: Dispositivo como servidor DHCP

Zona Trust

ethernet1
172.16.10.1/24 (NAT)
Conjunto de
direcciones
172-16.10.10
172.16.10.19

IP reservada
172.16.10.11
MAC: 12:34:ab:cd:56:78

Servidores DNS
Direcciones IP fijas
172.16.10.240
172.16.10.241

172.16.10.1/24
LAN

Conjunto de
direcciones
172-16.10.210
172.16.10.219

Conjunto de
direcciones
172-16.10.120
172.16.10.129

IP reservada
172.16.10.112
MAC: ab:cd:12:34:ef:gh

Servidores SMTP y POP3


Direcciones IP fijas
172.16.10.25 y 172.16.10.10

Protocolo de configuracin dinmica de hosts

231

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
1.

Direcciones

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: DNS#1
Comment: Servidor DNS principal
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.240/32
Zona: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: DNS#2
Comment: Servidor DNS secundario
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.241/32
Zone: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: SMTP
Comment: Servidor SMTP
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.25/32
Zona: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: POP3
Comment: Servidor POP3
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.110/32
Zone: Trust
2.

Servidor DHCP

Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en Apply:
Lase: Unlimited (seleccione)
WINS#1: 0.0.0.0
DNS#1: 172.16.10.240
NOTA:

232

Si deja los campos Gateway y Netmask como 0.0.0.0, el mdulo de servidor


DHCP enva la direccin IP y mscara de red establecida para ethernet1 a sus
clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el
mdulo de cliente DHCP para que reenve ajustes de TCP/IP al mdulo del
servidor DHCP (consulte Transmisin de ajustes TCP/IP en la pgina 243),
deber introducir manualmente 172.16.10.1 y 255.255.255.0 en los campos
Gateway y Netmask.

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vaco)
Domain Name: dynamic.com

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.120
IP Address End: 172.16.10.129

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.210
IP Address End: 172.16.10.219

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
IP Address: 172.16.10.11
Ethernet Address: 1234 abcd 5678

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
Direccin IP: 172.16.10.112
Ethernet Address: abcd 1234 efgh

CLI
1.

Direcciones

set
set
set
set
2.

address
address
address
address

trust dns1 172.16.10.240/32 primary dns server


trust dns2 172.16.10.241/32 secondary dns server
trust snmp 172.16.10.25/32 snmp server
trust pop3 172.16.10.110/32 pop3 server

Servidor DHCP

set
set
set
set
set
set

interface ethernet1 dhcp server option


interface ethernet1 dhcp server option
interface ethernet1 dhcp server option
interface ethernet1 dhcp server option
interface ethernet1 dhcp server option
interface ethernet1 dhcp server option

domainname dynamic.com
lease 0
dns1 172.16.10.240
dns2 172.16.10.241
smtp 172.16.10.25
pop3 172.16.10.110
Protocolo de configuracin dinmica de hosts

233

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

set interface ethernet1 dhcp server ip 172.16.10.10 to 172.16.10.19


set interface ethernet1 dhcp server ip 172.16.10.120 to 172.16.10.129
set interface ethernet1 dhcp server ip 172.16.10.210 to 172.16.10.219
set interface ethernet1 dhcp server ip 172.16.10.11 mac 1234abcd5678
set interface ethernet1 dhcp server ip 172.16.10.112 mac abcd1234efgh
set interface ethernet1 dhcp server service
save
NOTA:

Si no establece una direccin IP para la puerta de enlace o una mscara de red, el


mdulo del servidor DHCP enva a sus clientes la direccin IP y mscara de red
para ethernet1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si
habilita el mdulo de cliente DHCP para reenviar ajustes TCP/IP al mdulo del
servidor DHCP (consulte Transmisin de ajustes TCP/IP en la pgina 243),
deber establecer manualmente estas opciones: set interface ethernet1 dhcp
server option gateway 172.16.10.1 y set interface ethernet1 dhcp server option
netmask 255.255.255.0.

Personalizar opciones de servidor DHCP


Al especificar servidores DHCP para una interfaz, posiblemente sea necesario
especificar las opciones que identifiquen a los servidores o proporcionen la
informacin utilizada por stos. Por ejemplo, puede especificar la direccin IP de
los servidores DNS primario y secundario, o bien establecer el tiempo de
asignacin (lease time) de la direccin IP.
Los siguientes son servicios DHCP predefinidos, segn se describe en RFC 2132,
DHCP Options and BOOTP Vendor Extensions (Extensiones del proveedor BOOTP y
opciones DHCP).

234

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

Tabla 23: Servicios predefinidos DHCP

Terminologa

Terminologa de la CLI de
ScreenOS

Cdigo de opcin

Mscara de subred

netmask

Opcin del enrutador

gateway

Servidor del sistema de


nombre de dominio (DNS)

dns1, dns2, dns3

Nombre de dominio

domainname

15

Opcin de NetBIOS a travs


de TCP/IP en el servidor de
nombres

wins1, wins2

44

Tiempo de arrendamiento de
la direccin IP

lease

51

Opcin del servidor SMTP

smtp

69

Opcin del servidor POP3

pop3

70

Opcin del servidor NNTP

news

71

(N/D)

nis1, nis2

112

(N/D)

nistag

113

En situaciones en la que las opciones predefinidas del servidor no son las


adecuadas, puede definir las opciones de servidor DHCP personalizadas. Por
ejemplo, para ciertas configuraciones de voz sobre IP (VoIP), es necesario enviar
informacin adicional de configuracin que no es reconocida por las opciones
predefinidas del servidor. En tales casos, debe definir opciones personalizadas
apropiadas.
En el ejemplo siguiente crear definiciones de servidor DHCP para telfonos IP que
actan como clientes DHCP. Los telfonos utilizan las opciones personalizadas
siguientes:

Cdigo de opcin 444, conteniendo la cadena Server 4

Cdigo de opcin 66, conteniendo la direccin IP 1.1.1.1

Cdigo de opcin 160, conteniendo el nmero entero 2004

CLI
1.

Direcciones

set address trust dns1 172.16.10.240/32 primary dns server


set address trust dns2 172.16.10.241/32 secondary dns server
2.

Servidor DHCP

set
set
set
set
set
set
set
set

interface ethernet1 dhcp server option domainname dynamic.com


interface ethernet1 dhcp server option lease 0
interface ethernet1 dhcp server option dns1 172.16.10.240
interface ethernet1 dhcp server option dns2 172.16.10.241
interface ethernet1 dhcp server option custom 444 string Server 4
interface ethernet1 dhcp server option custom 66 ip 1.1.1.1
interface ethernet1 dhcp server option custom 160 integer 2004
interface ethernet1 dhcp server ip 172.16.10.10 to 172.16.10.19

Protocolo de configuracin dinmica de hosts

235

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Colocacin del servidor DHCP en un clster de NSRP


Cuando la unidad principal de un clster NSRP redundante acta como servidor
DHCP, todos los miembros del clster mantienen todas las configuraciones DHCP y
asignaciones de direcciones IP. En caso de una conmutacin por error, la nueva
unidad principal mantiene todas las asignaciones de DHCP. Sin embargo, la
finalizacin de la comunicacin HA interrumpe la sincronizacin de las
asignaciones DHCP existentes entre miembros del clster. Una vez restablecida la
comunicacin de HA, puede resincronizar las asignaciones de DHCP mediante el
siguiente comando CLI en ambas unidades del clster: set nsrp rto-mirror sync.

Deteccin del servidor DHCP


Cuando se inicia un servidor DHCP de un dispositivo de seguridad, el sistema
puede comprobar primero si la interfaz ya tiene un servidor DHCP. ScreenOS
impide automticamente que se inicie el proceso del servidor DHCP local si detecta
la presencia de otro servidor DHCP en la red. Para detectar otro servidor DHCP, el
dispositivo enva peticiones de arranque DHCP en intervalos de 2 segundos. Si el
dispositivo no recibe ninguna respuesta a sus peticiones de arranque, inicia su
proceso local de servidor DHCP.
Si el dispositivo de seguridad recibe una respuesta de otro servidor DHCP, el
sistema genera un mensaje indicando que el servicio DHCP est habilitado en el
dispositivo de seguridad, pero no se ha iniciado porque hay otro servidor DHCP
presente en la red. El mensaje del registro incluye la direccin IP del servidor DHCP
existente.
Para detectar la presencia de un servidor DHCP en una interfaz, puede utilizarse
uno de los tres modos de funcionamiento siguientes: Auto, Enable o Disable. En el
modo Auto, el dispositivo de seguridad comprueba si hay algn servidor DHCP
presente siempre que arranca. Puede configurar el dispositivo para que no intente
detectar otro servidor DHCP en una interfaz activando el modo Enable o Disable del
servidor DHCP de seguridad. En el modo Enable, el servidor DHCP est siempre
encendido y el dispositivo no comprueba si hay algn servidor DHCP en la red. En
el modo Disable, el servidor DHCP est siempre apagado.

NOTA:

Auto es el modo predeterminado de deteccin de servidores DHCP en


dispositivos NetScreen-5XP y NetScreen-5XT. En otros dispositivos de seguridad
de Juniper Networks que admitan el servidor DHCP, el modo Enable es el modo
predeterminado de deteccin de servidores DHCP.

Activacin de deteccin del servidor DHCP


En este ejemplo configurar el servidor DHCP de la interfaz ethernet1 para que,
antes de iniciarse, compruebe si hay algn servidor DHCP en la interfaz.
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
Server Mode: Auto (seleccione)

CLI
set interface ethernet1 dhcp server auto
save
236

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

Desactivacin de deteccin del servidor DHCP


En este ejemplo configurar el servidor DHCP de la interfaz ethernet1 para que se
inicie sin comprobar si hay algn servidor DHCP existente en la red.
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
Server Mode: Enable (seleccione)

CLI
set interface ethernet1 dhcp server enable
save
NOTA:

El servidor DHCP se puede activar ejecutando el comando CLI set interface


interfacedhcp server service. Si el modo de deteccin del servidor DHCP
establecido para la interfaz es Auto, el servidor DHCP del dispositivo de
seguridad solamente se inicia si no encuentra un servidor existente en la red. Con
el comando unset interface interfaz dhcp server service se desactiva el servidor
DHCP en el dispositivo NetScreen y tambin se elimina cualquier configuracin
DHCP.

Asignacin de un dispositivo de seguridad como agente de retransmisin de DHCP


Cuando acta como agente de retransmisin de DHCP, el dispositivo de seguridad
reenva peticiones y asignaciones DHCP entre los hosts de una zona y el servidor
DHCP de otra zona. Los mensajes DHCP entre el dispositivo de seguridad y el
servidor DHCP se pueden transmitir en abierto o a travs de un tnel VPN.
Puede configurar un agente de retransmisin de DHCP en una o ms interfaces
fsicas o VLAN de un dispositivo de seguridad, pero no puede configurar un agente
de retransmisin de DHCP y funciones de servidor o cliente DHCP en la misma
interfaz. Cuando el dispositivo de seguridad funciona como agente de
retransmisin de DHCP, sus interfaces deben estar en el modo de ruta ("Route") o
transparente ("Transparent"). Para las interfaces en el modo de ruta es necesario
configurar una directiva interzonal para el servicio predefinido DHCP-Relay. Para las
interfaces en el modo transparente, el cliente DHCP debe residir en la zona
V1-Trust, mientras que el servidor DHCP puede residir en la zona V1-Untrust o
V1-DMZ. Para las interfaces en modo transparente no se requiere ninguna directiva.
Se pueden configurar hasta tres servidores DHCP para cada agente de
retransmisin de DHCP. El agente de retransmisin enva una peticin de direccin
procedente de un cliente DHCP a todos los servidores DHCP configurados. El
agente de retransmisin reenva al cliente la primera respuesta recibida de un
servidor.

NOTA:

Cuando un dispositivo de seguridad acta como agente de retransmisin de


DHCP, no genera informes sobre el estado de asignacin de DHCP debido a que el
servidor DHCP remoto controla todas las asignaciones de direcciones IP.

Protocolo de configuracin dinmica de hosts

237

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

La Figura 86 presenta el proceso de utilizacin de un dispositivo de seguridad como


agente de retransmisin de DHCP. Para garantizar la seguridad, los mensajes DHCP
pasan por un tnel VPN a su paso por la red no fiable.
Figura 86: Trfico del agente de retransmisin de DHCP
Zona Trust

Agente de retransmisin

Tnel VPN en la
zona Untrust
DHCP
Servidor

Host

Peticin

Peticin

DHCP
Servidor

Host

Asignacin

Asignacin

DHCP
Servidor

Host

Peticin

Peticin

En este ejemplo, un dispositivo de seguridad recibe su informacin DHCP de un


servidor DHCP en 194.2.9.10 y la retransmite a los hosts en la zona Trust. Los hosts
reciben direcciones IP de un conjunto de direcciones IP definido en el servidor
DHCP. El rango de direcciones es 180.10.10.2180.10.10.254. Los mensajes DHCP
pasan a travs de un tnel VPN entre el dispositivo de seguridad local y el servidor
DHCP, situado detrs de un dispositivo de seguridad remoto cuya direccin IP en la
interfaz de la zona Untrust es 2.2.2.2/24. La interfaz ethernet1 est asociada a la
zona Trust, tiene la direccin IP 180.10.10.1/24 y est en modo de ruta. La interfaz
ethernet3 est asociada a la zona Untrust y tiene la direccin IP 1.1.1.1/24. Todas
las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.

238

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

Figura 87: Dispositivo como agente de retransmisin de DHCP


Zona Trust

ethernet3
1.1.1.1/24

ethernet1
180.10.10.1/24

Zona Untrust

Servidor
DHCP
194.2.9.10

Dispositivo de seguridad
Agente de retransmisin
de DHCP

Conjunto de
direcciones IP
180.10.10.2-

WebUI
1.

Interfaces

Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en Apply:
Zone: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 180.10.10.1/24

Introduzca los siguientes datos y haga clic en OK:


Interface Mode: Ruta

Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Zone: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.

Direccin

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Servidor DHCP
IP Address/Domain Name:
IP/Netmask: (seleccione), 194.2.9.10/32
Zona: Untrust

Protocolo de configuracin dinmica de hosts

239

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

VPN

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: dhcp server
Security Level: Custom
Remote Gateway Type:
Static IP: (seleccione), Address/Hostname: 2.2.2.2
Outgoing Interface: ethernet3

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Security Level:
User Defined: Custom (seleccione)
Phase1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Main (Proteccin de la identificacin)

VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: to_dhcp
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), to_dhcp

> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Bind to: Ninguna
4.

Agente de retransmisin de DHCP

Network > DHCP > Edit (para ethernet1) > DHCP Relay Agent: Introduzca los
siguientes datos y haga clic en Apply:
Relay Agent Server IP or Domain Name: 194.2.9.10
Use Trust Zone Interface as Source IP for VPN: (seleccione)
5.

Ruta

Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
NOTA:

240

Establecer una ruta al enrutador externo designado como puerta de enlace


predeterminada es esencial tanto para el trfico VPN saliente como para el de red.
En este ejemplo, el dispositivo de seguridad enva trfico VPN encapsulado a este
enrutador como primer salto a lo largo de su ruta al dispositivo de seguridad
remoto. En la ilustracin de este ejemplo, el concepto aparece representando
como tnel atravesando el enrutador.

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

6.

Directivas

Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DHCP Server
Service: DHCP-Relay
Action: Tunnel
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (seleccione)

CLI
1.

Interfaces

set interface ethernet1 zone trust


set interface ethernet1 ip 180.10.10.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2.

Direccin

set address untrust dhcp_server 194.2.9.10/32


3.

VPN

set ike gateway dhcp server ip 2.2.2.2 main outgoing-interface ethernet3


proposal rsa-g2-3des-sha
set vpn to_dhcp gateway dhcp server proposal g2-esp-3des-sha
4.

Agente de retransmisin de DHCP

set interface ethernet1 dhcp relay server-name 194.2.9.10


set interface ethernet1 dhcp relay vpn
5.

Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250


6.

Directivas

set policy from trust to untrust any dhcp_server dhcp-relay tunnel vpn to_dhcp
set policy from untrust to trust dhcp_server any dhcp-relay tunnel vpn to_dhcp
save

Utilizar un dispositivo de seguridad como un cliente DHCP


Cuando acta como cliente DHCP, el dispositivo de seguridad recibe una direccin
IP dinmicamente de un servidor DHCP para cualquier interfaz fsica en cualquier
zona de seguridad. Si existen varias interfaces asociadas a una sola zona de
seguridad, puede configurar un cliente DHCP para cada interfaz, siempre que
ninguna de ellas est conectada al mismo segmento de red. Si configura un cliente
DHCP para dos interfaces conectadas al mismo segmento de red, se utilizar la
primera direccin asignada por un servidor DHCP. (Si el cliente DHCP recibe una
actualizacin de direccin para la misma direccin IP, IKE no se reencripta).

NOTA:

Aunque algunos dispositivos de seguridad pueden actuar como servidor DHCP,


agente de retransmisin de DHCP o cliente DHCP al mismo tiempo, en una
misma interfaz no se puede configurar ms de un papel de DHCP.

Protocolo de configuracin dinmica de hosts

241

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

En este ejemplo, la interfaz asociada a la zona Untrust tiene una direccin IP


asignada dinmicamente. Cuando el dispositivo de seguridad solicita una direccin
IP al proveedor de servicios de Internet, recibe su direccin IP, la mscara de
subred, la direccin IP de la puerta de enlace y el periodo de vigencia de la
direccin arrendada. La direccin IP del servidor DHCP es 2.2.2.5.
Figura 88: Dispositivo como cliente DHCP
Zona Trust

LAN interna

1. Direccin IP solicitada para


ethernet3 (zona Untrust)
2. Direccin IP asignada

ISP
(servidor DHCP)
2.2.2.5
Internet
Zona Untrust

NOTA:

Antes de poder configurar un sitio para el servicio DHCP, debe disponer de una
Lnea de abonado digital (DSL) y una cuenta con un proveedor de servicios de
Internet (ISP).
WebUI
Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using
DHCP, despus haga clic en OK.

NOTA:

La direccin IP del servidor DHCP no se puede especificar mediante WebUI; no


obstante, s se puede especificar mediante comandos CLI.
CLI
set interface ethernet3 dhcp client
set interface ethernet3 dhcp settings server 2.2.2.5
save

242

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

Transmisin de ajustes TCP/IP


Algunos dispositivos de seguridad pueden actuar como cliente del protocolo de
control dinmico de hosts (Dynamic Host Control Protocol o DHCP), recibiendo
de un servidor DHCP externo sus ajustes TCP/IP y direccin IP para cualquier
interfaz fsica en cualquier zona de seguridad. Algunos dispositivos de seguridad
pueden actuar como servidores DHCP, proporcionando ajustes TCP/IP y direcciones
IP a los clientes en cualquier zona. Cuando un dispositivo de seguridad acta
simultneamente como cliente DHCP y como servidor DHCP, puede transferir a su
mdulo predeterminado de servidor DHCP los ajustes TCP/IP obtenidos de su
mdulo de cliente DHCP.
Los ajustes TCP/IP incluyen la direccin IP de la puerta de enlace predeterminada y
una mscara de subred, as como las direcciones IP para cualquiera o todos los
servidores siguientes:

NOTA:

DNS (3)

WINS (2)

NetInfo (2)

SMTP (1)

POP3 (1)

News (1)

Si bien es posible configurar hasta ocho servidores DHCP en cualquier interfaz


fsica o interfaz VLAN, el servidor DHCP predeterminado del dispositivo reside en
una interfaz especfica en cada plataforma. En el dispositivo NetScreen-5XP, el
servidor DHCP predeterminado reside en la interfaz de la zona Trust. En el
dispositivo NetScreen-5XT, el servidor DHCP predeterminado reside en la interfaz
de la zona Trust para el modo de puerto Trust-Untrust, en la interfaz ethernet1
para el modo de puerto Dual-Untrust y en la interfaz ethernet2 para los modos
de puerto Home-Work y Combined. Para otros dispositivos, el servidor DHCP
predeterminado reside en la interfaz ethernet1.
En la Figura 89 en la pgina 244, el dispositivo de seguridad es a la vez un cliente
del servidor DHCP en la zona Untrust y un servidor DHCP para los clientes de la
zona Trust. El dispositivo toma los ajustes TCP/IP que recibe como cliente DHCP y
los reenva como servidor DHCP a los clientes en la zona Trust. La interfaz de la
zona Untrust es el cliente DHCP y recibe las direcciones IP dinmicamente del ISP.

Protocolo de configuracin dinmica de hosts

243

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Figura 89: Transmisin del DHCP


Zona Untrust

ISP
Servidor DHCP

Ajustes TCP/IP y direccin IP


de la interfaz de la zona
Untrust

Interfaz de la zona Untrust: Cliente DHCP

Ajustes TCP/IP

Interfaz de la zona Trust: Servidor


DHCP
10.1.1.1/0
Rango de DHCP:
10.1.1.50 - 10.1.1.200

Clientes de DHCP

Zona Trust

Para propagar todos los ajustes TCP/IP que reciba del mdulo de cliente DHCP,
puede configurar el mdulo del servidor DHCP ejecutando el comando set
interface interface dhcp-client settings update-dhcpserver. Tambin puede dar
preferencia a cualquier ajuste sobre otro.
En este ejemplo configurar el dispositivo de seguridad para actuar a la vez como
cliente DHCP en la interfaz ethernet3 y como servidor DHCP en la interfaz
ethernet1. (El servidor DHCP predeterminado se encuentra en la interfaz
ethernet1).
Como cliente DHCP, el dispositivo de seguridad recibe una direccin IP para la
interfaz ethernet3 y sus ajustes TCP/IP de un servidor DHCP externo con la
direccin 211.3.1.6. Habilitar el mdulo de cliente DHCP en el dispositivo de
seguridad para transferir al mdulo de servidor DHCP los ajustes TCP/IP que reciba.
Configurar el mdulo de servidor DHCP para hacer lo siguiente con los ajustes
TCP/IP que reciba del mdulo de cliente DHCP:

244

Reenviar las direcciones IP de DNS a sus clientes DHCP en la zona Trust.

Ignorar las direcciones IP de la puerta de enlace predeterminada, la mscara de


red y los servidores SMTP y POP3, dando preferencia a las siguientes:

10.1.1.1 (direccin IP de la interfaz ethernet1)

255.255.255.0 (mscara de red para la interfaz ethernet1)

SMTP: 211.1.8.150

POP3: 211.1.8.172

Protocolo de configuracin dinmica de hosts

Captulo 8: Parmetros del sistema

NOTA:

Si el servidor DHCP ya est habilitado en la interfaz de la zona Trust y dispone de


un conjunto definido de direcciones IP (lo cual es el comportamiento
predeterminado para ciertas plataformas), antes de poder cambiar la puerta de
enlace predeterminada y la mscara de red debe eliminarse previamente el
conjunto de direcciones IP.
Tambin configurar el mdulo de servidor DHCP para que proporcione los
siguientes ajustes TCP/IP que no recibe del mdulo de cliente DHCP:

Servidor WINS principal: 10.1.2.42

Servidor WINS secundario: 10.1.5.90

Finalmente, configurar el mdulo de servidor DHCP de modo que asigne


direcciones IP del siguiente conjunto de direcciones IP a los hosts que acten como
clientes DHCP en la zona Trust: 10.1.1.50 10.1.1.200.
WebUI
NOTA:

Esta caracterstica solamente se puede establecer mediante CLI.


CLI
1.

Cliente DHCP

set
set
set
set
2.

interface ethernet3 dhcp-client settings server 211.3.1.6


interface ethernet3 dhcp-client settings update-dhcpserver
interface ethernet3 dhcp-client settings autoconfig
interface ethernet3 dhcp-client enable

Servidor DHCP

set interface ethernet1 dhcp server option gateway 10.1.1.1


set interface ethernet1 dhcp server option netmask 255.255.255.0
set interface ethernet1 dhcp server option wins1 10.1.2.42
set interface ethernet1 dhcp server option wins2 10.1.5.90
set interface ethernet1 dhcp server option pop3 211.1.8.172
set interface ethernet1 dhcp server option smtp 211.1.8.150
set interface ethernet1 dhcp server ip 10.1.1.50 to 10.1.1.200
set interface ethernet1 dhcp server service
save

Protocolo punto a punto sobre Ethernet


El protocolo PPP a travs de Ethernet (PPP-over-Ethernet o PPPoE) combina el
protocolo punto a punto (Point-to-Point Protocol o PPP), utilizado generalmente
para conexiones de acceso telefnico, con el protocolo Ethernet, que permite
conectar varios usuarios de un sitio a los mismos equipos de las instalaciones del
cliente. Muchos usuarios pueden compartir la misma conexin fsica pero el control
de accesos, la facturacin y el tipo de servicio se gestionan independientemente
para cada usuario. Algunos dispositivos de seguridad admiten un cliente PPPoE,
permitindoles funcionar de modo compatible con DSL, Ethernet Direct y redes de
cable gestionadas por ISP, que utilizan el protocolo PPPoE para el acceso a Internet
de sus clientes.

Protocolo punto a punto sobre Ethernet

245

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

En dispositivos que admiten PPPoE se puede configurar una instancia de cliente


PPPoE en cualquier interfaz o en todas ellas. Configurar una instancia PPPoE
especfica con un nombre de usuario, una contrasea y otros parmetros, para
despus asociar la instancia a una interfaz. Cuando dos interfaces de Ethernet (una
principal y una de respaldo) estn asociadas a la zona Untrust, puede configurar
una de ellas o ambas para PPPoE. Por ejemplo, en el modo de puerto Dual
Untrust, puede configurar la interfaz principal (ethernet3) para DHCP y la interfaz
de respaldo (ethernet2) para PPPoE o bien puede configurar PPPoE tanto para la
interfaz principal como para la de respaldo.

NOTA:

Algunas plataformas, como el dispositivo NetScreen-5XT, admiten los modos de


puerto.

Configurar PPPoE
El ejemplo siguiente ilustra cmo definir la interfaz no fiable de un dispositivo de
seguridad para conexiones PPPoE, y cmo iniciar el servicio PPPoE.
En este ejemplo, el dispositivo de seguridad recibe del ISP una direccin IP
asignada dinmicamente para su interfaz de la zona Untrust (ethernet3), al tiempo
que el dispositivo de seguridad asigna dinmicamente direcciones IP para los tres
hosts de su zona Trust. En este caso, el dispositivo de seguridad acta como cliente
PPPoE y como servidor DHCP. La interfaz de la zona Trust debe estar en modo NAT
o Route. En este ejemplo se encuentra en modo NAT.
Figura 90: PPPoE
Interfaz de Trust: 172.16.30.10/24

Untrust (ethernet3): modo DHCP


Dispositivo de seguridad

Concentrador
(hub)

Mdem DSL

ISP
DSLAM
CA

Lnea DSL

Internet

Principal
Servidor DNS

Rango de DHCP:
172.16.30.2 - 172.16.30.5

Zona Trust

Servidor DNS
secundario

Zona Untrust

Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer
de los siguientes medios:

246

Lnea de abonado digital (DSL) y el mdem correspondiente

Cuenta con un ISP

Nombre de usuario y contrasea (proporcionada por ISP)

Protocolo punto a punto sobre Ethernet

Captulo 8: Parmetros del sistema

WebUI
1.

Interfaces y PPPoE

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zona: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 172.16.30.10/24

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zona: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: <nombre>/<contrasea>

Network > Interfaces > Edit (para ethernet3): Para verificar su conexin
PPPoE, haga clic en Connect.

NOTA:

Cuando se inicia una conexin PPPoE, el proveedor de servicios de Internet (ISP)


proporciona automticamente las direcciones IP para la interfaz de la zona
Untrust y las direcciones IP para los servidores del Sistema de nombres de
dominio (DNS). Cuando el dispositivo de seguridad recibe direcciones DNS a
travs de PPPoE, los nuevos ajustes de DNS sobrescriben de forma
predeterminada los ajustes locales. Si no desea que los nuevos ajustes de DNS
reemplacen los ajustes locales, puede utilizar el comando CLI unset pppoe
dhcp-updateserver para desactivar este comportamiento.
Si utiliza una direccin IP esttica para la interfaz de la zona Untrust, debe obtener
las direcciones IP de los servidores DNS e introducirlos manualmente en el
dispositivo de seguridad y en los hosts de la zona Trust.
2.

Servidor DHCP

Network > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP
Server, despus haga clic en Apply.
Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los
siguientes datos y haga clic en Apply:
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0

> Advanced: Introduzca los siguientes datos y haga clic en Return:


DNS#2: 0.0.0.0
Domain Name: (dejar en blanco)

Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca los
siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.30.2
IP Address End: 172.16.30.5

Protocolo punto a punto sobre Ethernet

247

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

3.

Activacin de PPPoE en el dispositivo de seguridad

1. Apague el mdem DSL, el dispositivo de seguridad y las tres estaciones de


trabajo.
2. Encienda el mdem DSL.
3. Encienda el dispositivo de seguridad.
El dispositivo de seguridad establecer una conexin PPPoE con el ISP y
obtendr de ste las direcciones IP para los servidores DNS.
4.

Activacin de DHCP en la red interna

Encienda las estaciones de trabajo.


Las estaciones de trabajo recibirn automticamente las direcciones IP para los
servidores DNS. Obtendrn una direccin IP para s mismas cuando intenten
establecer una conexin TCP/IP.
NOTA:

Cuando se utiliza DHCP para asignar direcciones IP a los hosts de la zona Trust, el
dispositivo de seguridad reenva automticamente las direcciones IP de los
servidores DNS que recibe del ISP a los hosts.
Si las direcciones IP para los hosts no se asignan dinmicamente mediante DHCP,
deber introducir manualmente las direcciones IP de los servidores DNS en cada
host.
Cada conexin TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automticamente por el proceso de encapsulado PPPoE.
CLI
1.

Interfaces y PPPoE

set
set
set
set
set

interface ethernet1 zone trust


interface ethernet1 ip 172.16.30.10/24
interface ethernet3 zone untrust
pppoe interface ethernet3
pppoe username name_str password pswd_str

Para comprobar su conexin PPPoE:


exec pppoe connect
get pppoe
2.

Servidor DHCP

set interface ethernet1 dhcp server service


set interface ethernet1 dhcp server ip 172.16.30.2 to 172.16.30.5
set interface ethernet1 dhcp server option lease 60
save
3.

Activacin de PPPoE en el dispositivo de seguridad

1. Apague el mdem DSL, el dispositivo de seguridad y las tres estaciones de


trabajo.
2. Encienda el mdem DSL.
3. Encienda el dispositivo de seguridad.
248

Protocolo punto a punto sobre Ethernet

Captulo 8: Parmetros del sistema

4.

Activacin de DHCP en la red interna

Encienda las estaciones de trabajo.


Las estaciones de trabajo recibirn automticamente las direcciones IP para los
servidores DNS. Obtendrn una direccin IP para s mismas cuando intenten
establecer una conexin TCP/IP.
Cada conexin TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automticamente por el proceso de encapsulado PPPoE.

Configurar PPPoE en las interfaces principal y de respaldo de la zona Untrust


En este ejemplo, el dispositivo NetScreen-5XT se encuentra en el modo Dual
Untrust. En el ejemplo siguiente configurar PPPoE para las interfaces principal
(ethernet3) y de respaldo (ethernet2) hacia la zona Untrust.
WebUI
Configuracin de PPPoE para la interfaz ethernet3

Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth3-pppoe
Unido a la interfaz: ethernet3 (seleccione)
Username: user1
Password: 123456
Authentication: Any (seleccione)
Access Concentrator: ac-11
Configuracin de PPPoE para la interfaz ethernet2

Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth2-pppoe
Unido a la interfaz: ethernet2 (seleccione)
Username: user2
Password: 654321
Authentication: Any (seleccione)
Access Concentrator: ac-22

CLI
1.

Configuracin de PPPoE para la interfaz ethernet3

set
set
set
set
2.

pppoe name eth3-pppoe username user1 password 123456


pppoe name eth3-pppoe ac ac-11
pppoe name eth3-pppoe authentication any
pppoe name eth3-pppoe interface ethernet3

Configuracin de PPPoE para la interfaz ethernet2

set pppoe name eth2-pppoe username user2 password 654321


set pppoe name eth2-pppoe ac ac-22
set pppoe name eth2-pppoe authentication any
set pppoe name eth2-pppoe interface ethernet2
save

Protocolo punto a punto sobre Ethernet

249

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Configuracin de mltiples sesiones PPPoE a travs de una sola interfaz


Algunos dispositivos de seguridad admiten la creacin de mltiples subinterfaces
PPPoE (cada una con la misma direccin MAC) para una interfaz fsica dada. Esto
permite establecer una conexin de red privada con un ISP y conectarse a Internet
a travs de un ISP diferente utilizando la misma interfaz fsica. Puede establecer
estas conexiones usando otro nombre de usuario o nombres de dominio o bien
conectarse simultneamente a otros ISP.
El nmero mximo de sesiones PPPoE simultneas en una interfaz fsica est
limitado nicamente por el nmero de subinterfaces permitidas por el dispositivo.
No hay restriccin en cuanto al nmero de interfaces fsicas que pueden admitir
mltiples sesiones. Puede especificar los parmetros username, static-ip,
idle-timeout, auto-connect y otros por separado para cada instancia o sesin PPPoE.
Para admitir una sesin PPPoE, la subinterfaz no debe estar etiquetada. Una
interfaz no etiquetada no utiliza una etiqueta de LAN virtual para identificar la VLAN
correspondiente a una subinterfaz. La caracterstica Encap asocia la subinterfaz a
la encapsulacin PPPoE. Al hospedar mltiples subinterfaces, una sola interfaz
fsica puede hospedar mltiples instancias PPPoE. Puede configurar cada instancia
de modo que acceda al concentrador de accesos especificado (CA), permitiendo
que entidades independientes como ISP administren sesiones PPPoE a travs de
una sola interfaz. Para obtener ms informacin sobre VLAN y etiquetas VLAN,
consulte Volumen 10: Sistemas virtuales.
Figura 91: PPPoE con mltiples sesiones
Mltiples subinterfaces

Tres instancias PPPoE

Interfaz fsica nica (p. ej. ethernet7)

isp_1

e7

isp_1ac

isp_2

e7.1

isp_2ac

isp_3

e7.2

isp_3ac

Tres sesiones PPPoE

Zona Untrust

Zona Trust

isp_1ac

isp_2ac
isp_3ac

ethernet7

Concentradores de accesos

En el ejemplo siguiente, definir tres instancias PPPoE, especificar un


concentrador de accesos (CA) para cada una y luego iniciar cada instancia.

250

Instancia isp_1, nombre de usuario user1@domain1, contrasea


swordfish, asociada a la interfaz ethernet7. El CA se llama isp_1ac.

Instancia isp_2, nombre de usuario user2@domain2, contrasea marlin,


asociada a la subinterfaz ethernet7.1. El CA se llama isp_2ac.

Instancia isp_3, nombre de usuario user3@domain3, contrasea trout,


asociada a la subinterfaz ethernet7.2. El CA se llama isp_3ac.

Protocolo punto a punto sobre Ethernet

Captulo 8: Parmetros del sistema

WebUI
Interfaz y subinterfaces
1.

Network > Interfaces > Edit (para ethernet7):

Introduzca los siguientes datos y haga clic en OK:


Zone Name: Untrust
2.

Network > Interfaces > New (Sub-IF):

Introduzca los siguientes datos y haga clic en OK:


Interface Name: ethernet7.1
Zone Name: Untrust
3.

Network > Interfaces > New (Sub-IF):

Introduzca los siguientes datos y haga clic en OK:


Interface Name: ethernet7.2
Zone Name: Untrust
Instancias PPPoE y CA
4.

Network > PPPoE > New:

Introduzca los siguientes datos y haga clic en OK:


PPPoE Instance: isp_1
Enable: Enable
Bound to Interface: ethernet7
Username: user1@domain1
Access Concentrator: isp_1ac
5.

Network > PPPoE > New:

Introduzca los siguientes datos y haga clic en OK:


PPPoE Instance: isp_2
Enable: Enable
Bound to Interface: ethernet7.1
Username: user2@domain2
Access Concentrator: isp_2ac
6.

Network > PPPoE > New:

Introduzca los siguientes datos y haga clic en OK:


PPPoE Instance: isp_3
Enable: Enable
Bound to Interface: ethernet7.2
Username: user3@domain3
Access Concentrator: isp_3ac

Protocolo punto a punto sobre Ethernet

251

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Iniciacin del protocolo PPPoE


7.

Network > PPPoE > Connect (para isp_1)

8.

Network > PPPoE > Connect (para isp_2)

9.

Network > PPPoE > Connect (para isp_3)

CLI
1.

Interfaz y subinterfaces

set interface ethernet7 zone untrust


set interface ethernet7.1 encap pppoe zone untrust
set interface ethernet7.2 encap pppoe zone untrust
2.

Instancias PPPoE y CAs

set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
save
3.

name
name
name
name
name
name
name
name
name

isp_1
isp_1
isp_1
isp_2
isp_2
isp_2
isp_3
isp_3
isp_3

username user1@domain1 password swordfish


interface ethernet7
ac isp_1ac
username user2@domain2 password marlin
interface ethernet7.1
ac isp_2ac
username user3@domain3 password trout
interface ethernet7.2
ac isp_3ac

Iniciacin del protocolo PPPoE

exec pppoe name isp_1 connect


exec pppoe name isp_2 connect
exec pppoe name isp_3 connect

PPPoE y alta disponibilidad


Dos dispositivos de seguridad que admitan PPPoE en modo activo/pasivo pueden
asumir el fallo de una conexin PPPoE. En el momento de iniciar la conexin, el
dispositivo principal sincroniza su estado PPPoE con el dispositivo de respaldo.
Dado que el dispositivo pasivo utiliza la misma direccin IP que el dispositivo
principal, no tiene que establecer una nueva conexin PPPoE al convertirse en el
maestro. Por lo tanto, puede mantener la comunicacin con el concentrador de
accesos despus del fallo del dispositivo principal. Esto es necesario cuando la
interfaz PPPoE est soportando conexiones de VPN que deben mantenerse con la
misma IP de interfaz despus del fallo. Para obtener ms informacin sobre
configuraciones de alta disponibilidad, consulte Volumen 11: Alta disponibilidad.

252

Protocolo punto a punto sobre Ethernet

Captulo 8: Parmetros del sistema

Claves de licencia
La caracterstica de la clave de licencia permite ampliar las prestaciones del
dispositivo de seguridad de Juniper Networks sin tener que actualizar a otro
dispositivo o imagen del sistema. Se pueden comprar los siguientes tipos de claves:

Avanzada

Capacidad

Extendido

Virtualizacin

GTP

Vsys

IDP

Cada dispositivo de seguridad se suministra con un conjunto estndar de


caractersticas habilitadas y puede admitir la activacin de caractersticas
opcionales o aumentar la capacidad de las existentes. Para obtener ms
informacin sobre qu caractersticas pueden actualizarse en este momento,
consulte la documentacin comercial ms reciente de Juniper Networks.
El procedimiento para obtener y aplicar una clave de licencia es el siguiente:
1. Obtenga su cdigo de autorizacin y el nmero de serie del dispositivo.
Cdigo de autorizacin: Una clave de aprobacin para generar y activar la llave
de licencia que usted o su empresa adquiri para el dispositivo de seguridad de
Juniper Networks. Nota: El cdigo de autorizacin se necesita para generar su
clave de licencia que no es la clave de licencia real.
Nmero de serie del dispositivo: Es un cdigo de 16 caracteres nico que
Juniper Networks utiliza para identificar su dispositivo de seguridad especfico
cuando genera las claves de licencia. El nmero de serie del dispositivo lo
puede encontrar en la parte inferior o trasera del dispositivo. Tambin es
posible encontrar el nmero de serie en la seccin de informacin del
dispositivo en el GUI o al ejecutar el comando get system en CLI.
2. Regstrese en el Sistema de administracin de licencias de Juniper Networks
(LMS) en http://www.juniper.net/generate_license, seleccione el vnculo
Firewall/IPSec VPN and Intrusion Prevention , despus siga las instrucciones
que se encuentran en la interfaz del usuario del sistema.
3. El sistema de administracin de licencias de Juniper proporciona las claves de
licencia en una de estas dos maneras:

Al descargar la clave de licencia a su computadora.

Al recibir un correo electrnico con su clave de licencia.

Claves de licencia

253

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

4. Instale la clave de licencia en una de las siguientes maneras:


WebUI
Elija Configuration > Update > ScreenOS/Keys >, seleccione License Key
Update (caractersticas) >, haga clic en Browse >, seleccione el archivo con
su clave de licencia y despus haga clic en Apply.
CLI
exec license-key key_num

Registro y activacin de los servicios de suscripcin


Para que su dispositivo de seguridad de Juniper Networks puede recibir el servicio
regular de suscripcin para patrones antivirus (AV), firmas DI (Deep Inspection),
debe hacer lo siguiente:

Adquirir una suscripcin

Registrar la suscripcin

Descargar la clave de suscripcin

Al descargar la clave de licencia de suscripcin, sus servicios se activan en el


dispositivo por el periodo de tiempo que se adquiri. El proceso especfico de
activacin de servicios depende de los servicios que adquiri y del mtodo que
utiliz para adquirirlos.

Servicio de prueba
Para que usted pueda utilizar los servicio de AV, DI, anti-spam o filtrado de web, el
dispositivo de seguridad le otorga un periodo de prueba. Durante este tiempo, el
dispositivo puede obtener servicios temporalmente. Para descargar las claves de
licencia de prueba que se pueden elegir del servidor de autorizacin, utilice el
comando CLI exec license-key update trials.

Ningn dispositivo de seguridad de Juniper Networks se suministra con DI


habilitado. Para obtener el servicio DI de prueba, debe iniciar una sesin de
WebUI y hacer clic en el botn Retrieve Subscriptions Now en la pgina
Configuration > Update > ScreenOS/Keys. Por medio de esta accin
obtendr una clave DI nica, vlida para un solo da.

Si su dispositivo se suministra con el servicio AV incluido en el momento de la


compra, tendr preinstalado el servicio de prueba. Este servicio de prueba dura
hasta 60 das.

Anti-spam (contra bombardeo de publicidad)

Ningn dispositivo de seguridad de Juniper Networks se suministra con filtrado


web habilitado. Esta caracterstica no tiene un servicio de prueba.

ADVERTENCIA: Para evitar la interrupcin del servicio, debe registrar su dispositivo

de seguridad de Juniper Networks lo antes posible despus de adquirir su


suscripcin. El registro asegura la continuidad de la suscripcin.
254

Registro y activacin de los servicios de suscripcin

Captulo 8: Parmetros del sistema

Actualizacin de claves de suscripcin


Si cuenta con un software instalado con fecha de vencimiento en el dispositivo de
seguridad, el dispositivo de seguridad se debe conectar peridicamente al servidor
autorizado para descargar las claves de suscripcin. El dispositivo se conecta al
servidor autorizado o sistema de administracin de licencias, bajo una de las
siguientes condiciones:

NOTA:

La clave tiene una fecha de vencimiento de dos meses

La clave tiene una fecha de vencimiento de un mes

La clave tiene una fecha de vencimiento de dos semanas

La clave se vence

30 das despus que la clave se vence

Para borrar una clave de licencia nica del archivo de claves, utilice el comando
CLI exec license-key delete name_str.

Agregar un antivirus, filtrado web, anti-Spam (contra bombardeo de publicidad) y ID


(Deep Inspection) a un dispositivo nuevo o existente
Despus de adquirir las suscripciones a antivirus, filtrado web, anti-Spam (contra
bombardeo de publicidad) y ID (Deep Inspection) para agregarlas a su dispositivo
de seguridad de Juniper Networks, lleve a cabo los siguientes pasos para activar los
servicios.
1. Despus de solicitar las suscripciones, recibir un cdigo de autorizacin por
correo electrnico, directamente de Juniper Networks o de su VAR autorizado.
Dicho cdigo es un documento legible que contiene la informacin que
necesita para registrar su suscripcin.
2. Cercirese de que el dispositivo est registrado. Si an no est registrado, vaya
al sitio siguiente:
http://tools.juniper.net/subreg
3. Registre el cdigo de autorizacin de suscripcin para el dispositivo.
4. Confirme que su dispositivo puede conectarse a Internet.
5. Descargue la clave de suscripcin en el dispositivo. Puede hacerlo de una de
dos maneras:

En la WebUI, haga clic en el botn Retrieve Subscriptions Now desde la


pgina Configuration > Update > ScreenOS/Keys.

Con la interfaz de lnea de comandos (CLI), ejecute el comando siguiente:


exec license-key update

6. Debe restablecer (resetear) el dispositivo despus de cargar la clave.

Registro y activacin de los servicios de suscripcin 255

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Ahora puede configurar el dispositivo para que realice la descarga de los servicios
de firma de forma automtica o manual. Para obtener instrucciones sobre cmo
configurar su dispositivo de seguridad para estos servicios, consulte las siguientes
secciones:

Fragment Reassembly on page 4-54

Antivirus Scanning on page 4-57

Anti-Spam Filtering on page 4-77

Web Filtering on page 4-80

Reloj del sistema


Es importante que su dispositivo de seguridad de Juniper Networks siempre tenga
la hora exacta. Entre otras cosas, la hora de su dispositivo de seguridad afecta a la
configuracin de los tneles VPN y a la sincronizacin de programaciones. Primero,
para asegurarse de que el dispositivo siempre est a la hora exacta, debe ajustar el
reloj del sistema a la hora actual. A continuacin, puede habilitar la opcin del
horario de verano (daylight saving time) y configurar hasta tres servidores NTP
(uno principal y dos de respaldo) que el dispositivo de seguridad utilizar para
actualizar peridicamente su reloj del sistema.

Fecha y hora
Para poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLI.
A travs de WebUI, esta operacin se efecta sincronizando el reloj del sistema con
el reloj de su computadora:
1. Configuration > Date/Time: Haga clic en el botn Sync Clock with Client.
Aparecer un mensaje preguntndole si tiene habilitada la opcin del horario
de verano en el reloj de su computadora.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo segn el horario
de verano o invierno, o bien en No para sincronizarlo sin el ajuste de horario de
verano.
Con CLI, el reloj se pone en hora manualmente introduciendo la fecha y hora
mediante el comando set clock mm/dd/yyyy hh:mm:ss.

Huso horario
El huso horario se establece especificando el nmero de horas de adelanto o de
retraso de la hora local del dispositivo de seguridad con respecto a GMT
(Greenwich Mean Time, hora media de Greenwich). Por ejemplo, si el huso
horario local del dispositivo es la hora estndar del Pacfico (Pacific Standard Time
o PST), tendr un retraso de 8 horas con respecto a GMT. Por lo tanto, deber
poner el reloj en -8.

256

Reloj del sistema

Captulo 8: Parmetros del sistema

Para establecer el huso horario mediante WebUI:


Configuration > Date/Time > Set Time Zone_hours_minutes from GMT
Para establecer el huso horario mediante CLI:
ns -> set clock timezone number (nmero entre -12 y 12)

o bien
ns -> set ntp timezone number (nmero entre -12 y 12)

Protocolo de hora de la red


Para asegurarse de que el dispositivo de seguridad siempre tenga la hora correcta,
puede utilizar el Protocolo de hora de red (NTP) para sincronizar el reloj del sistema
con el de un servidor NTP a travs de Internet. Puede hacer esto manualmente o
configurar el dispositivo para que realice esta sincronizacin automticamente a
intervalos determinados.

Configuracin de mltiples servidores NTP


Puede configurar hasta tres servidores NTP en un dispositivo de seguridad de
Juniper Networks: un servidor principal y dos servidores de respaldo. Cuando se
configura el dispositivo de seguridad para sincronizar el reloj del sistema de forma
automtica, efecta una consulta en cada servidor NTP configurado, repasando los
tres secuencialmente. El dispositivo siempre consulta primero al servidor NTP
principal. Si la consulta no obtiene respuesta, el dispositivo consulta seguidamente
al primer servidor NTP de respaldo, etc., hasta obtener una respuesta vlida de
alguno de los servidores NTP configurados en el dispositivo. Antes de finalizar la
actualizacin y registrar el fallo, el dispositivo realiza cuatro intentos en cada
servidor NTP.
La sincronizacin manual del reloj del sistema solamente se puede hacer mediante
CLI, pudiendo especificarse un servidor NTP determinado o ninguno. Si especifica
un servidor NTP, el dispositivo de seguridad nicamente consultar a ese servidor.
Si no especifica ningn servidor NTP, el dispositivo consultar, uno por uno, a cada
servidor NTP configurado en el dispositivo. Puede especificar un servidor NTP
utilizando su direccin IP o su nombre de dominio.

Configurar un servidor de respaldo del protocolo de hora de la red


Puede especificar una interfaz individual como la direccin de origen para dirigir las
solicitudes del Protocolo de hora de la red (NTP) del dispositivo a travs de un tnel
VPN al servidor principal NTP o a un servidor de respaldo, segn sea necesario.
Puede elegir entre otros tipos de interfaces, una interfaz loopback para que realice
esta funcin.
El dispositivo de seguridad enva solicitudes NTP desde una interfaz de origen y
utiliza, si as lo desea, una clave previamente compartida y encriptada cuando enva
las solicitudes NTP al servidor NTP. La clave ofrece autenticacin.
En el siguiente ejemplo, puede configurar el servidor NTP principal y dos servidores
NTP de respaldo al asignar una direccin IP a cada servidor. A continuacin, debe
ajustar cada servidor para que enve las solicitudes NTP desde la interfaz Trust.
Despus de eso, configure el identificador de claves y la clave previamente
compartida a cada uno de los servidores.
Reloj del sistema

257

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
Primary Server IP/Name: 1.1.1.1
Identificador de claves del servidor principal: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
Backup Server1 IP/Name: 1.1.1.2
Primary server Key ID: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
Backup Server2 IP/Name: 1.1.1.3
Primary server Key ID: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc

CLI
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
save

server 1.1.1.1
server backup1 1.1.1.2
server backup2 1.1.1.3
server src-interface trust
server backup1 src-interface trust
server backup2 src-interface trust
server key-id 10 pre-share-key !2005abc
server backup1 key-id 10 pre-share-key !2005abc
server backup2 key-id 10 pre-share-key !2005abc

Desfase temporal mximo


Para la sincronizacin automtica se puede especificar un valor mximo de desfase
(en segundos). El valor mximo de desfase es la mxima diferencia horaria
admisible entre el reloj del sistema del dispositivo de seguridad y la hora recibida
de un servidor NTP. El dispositivo solamente ajusta su reloj con la hora del servidor
NTP si la diferencia horaria entre su reloj y el servidor NTP es inferior al valor
mximo de desfase establecido. Por ejemplo, si el valor mximo de desfase horario
es de 3 segundos, la hora en el reloj del sistema del dispositivo son las 4:00:00 y el
servidor NTP enva 4:00:02 como hora actual, la diferencia entre ambos es
aceptable y el dispositivo puede actualizar su reloj. Si el desfase es superior al
mximo establecido, el dispositivo no sincroniza su reloj y procede a intentar
consultar al primer servidor NTP de respaldo configurado en el dispositivo. Si el
dispositivo no recibe una contestacin vlida despus de intentar consultar a todos
los servidores NTP configurados, genera un mensaje de error en el registro de
eventos. El valor predeterminado de esta caracterstica son 3 segundos y el rango
de valores permitidos es de 0 (sin lmite) a 3600 (una hora).
Al sincronizar manualmente el reloj del sistema, lo cual solamente es posible
mediante CLI, el dispositivo de seguridad no comprueba el desfase horario
mximo. En lugar de ello, si recibe una respuesta vlida, el dispositivo muestra un
mensaje informando sobre el servidor NTP alcanzado, el desfase horario existente
con l y el mtodo de autenticacin utilizado. El mensaje tambin pide que se
confirme o se cancele la actualizacin del reloj del sistema.

258

Reloj del sistema

Captulo 8: Parmetros del sistema

Si el dispositivo de seguridad no recibe una respuesta, genera un mensaje de


vencimiento de tiempo de espera. Este mensaje aparece solamente despus de que
el dispositivo haya intentado sin xito alcanzar a todos los servidores NTP
configurados en el dispositivo.

NOTA:

Al enviar consultas mediante CLI, puede cancelar la peticin actual presionando


Ctrl-C en el teclado.

Protocolos NTP y NSRP


El protocolo de redundancia de NetScreen (NSRP) contiene un mecanismo para
sincronizar el reloj del sistema de los miembros de un clster NSRP. Aunque la
unidad de resolucin de sincronizacin es el segundo, NTP ofrece una resolucin
inferior al segundo. Dado que diferentes miembros de un clster pueden tener
horas distintas con variaciones de unos pocos segundos debido al retraso
ocasionado por el procesamiento, Juniper Networks recomienda desactivar la
sincronizacin horaria de NSRP cuando NTP est habilitado en dos miembros del
clster, para que ambos puedan actualizar su reloj del sistema desde un servidor
NTP. Para desactivar la funcin de sincronizacin horaria NSRP, introduzca el
siguiente comando:
set ntp no-ha-sync

Ajuste de un valor de desfase horario mximo en un servidor NTP


En el ejemplo siguiente configurar el dispositivo de seguridad para actualizar su
reloj a intervalos de cinco minutos consultando los servidores NTP de las
direcciones IP 1.1.1.1, 1.1.1.2 y 1.1.1.3. Tambin establecer un valor mximo de
desfase horario de 2 segundos.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
Automatically synchronize with an Internet Time Server (NTP): (seleccione)
Update system clock every minutes: 5
Maximum time adjustment seconds: 2
Primary Server IP/Name: 1.1.1.1
Backup Server1 IP/Name: 1.1.1.2
Backup Server2 IP/Name: 1.1.1.3

CLI
set clock ntp
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp interval 5
set ntp max-adjustment 2
save

Reloj del sistema

259

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

Asegurar los servidores NTP


Puede asegurar el trfico NTP aplicando la suma de comprobacin basada en MD5
para autenticar los paquetes NTP. No es necesario crear un tnel IPSec. Este tipo de
autenticacin asegura la integridad del trfico NTP. No impide a los interlocutores
externos ver los datos, pero evita que cualquier usuario pueda manipularlos.
Para habilitar la autenticacin del trfico NTP, debe asignar una identificacin de
clave y una clave previamente compartida nicas a cada servidor NTP que
configure en un dispositivo de seguridad. La identificacin de clave y la clave
previamente compartida sirven para generar una suma de comprobacin con la
que el dispositivo de seguridad y el servidor NTP pueden autenticar los datos.
Existen dos tipos de autenticacin para el trfico NTP:

Required

Preferred:

Cuando se selecciona la autenticacin Required, el dispositivo de seguridad debe


incluir la informacin de autenticacin (identificacin de clave y suma de
comprobacin) en cada paquete que enva a un servidor NTP y debe autenticar
todos los paquetes NTP que recibe de un servidor NTP. Para poder establecer la
autenticacin entre un dispositivo de seguridad y un servidor NTP, los
administradores del dispositivo de seguridad y del servidor NTP deben
intercambiar primero una identificacin de clave y una clave previamente
compartida. Tienen que intercambiarlas manualmente, para lo que disponen de
varios mtodos, por ejemplo, correo electrnico o telfono.
Al seleccionar la autenticacin Preferred, el dispositivo de seguridad primero debe
funcionar como si estuviese en el modo Required, intentando autenticar todo el
trfico NTP. Si todos los intentos de autenticacin fallan, el dispositivo de seguridad
pasa a funcionar como si no se hubiese seleccionado ninguna autenticacin. Enva
paquetes a un servidor NTP, sin incluir identificacin de clave ni suma de
comprobacin. En esencia, aunque existe cierta preferencia por la autenticacin, si
sta falla el dispositivo de seguridad sigue permitiendo el trfico NTP.

260

Reloj del sistema

ndice
A
alarmas, umbrales de ..................................................177
ALG
MS RPC ...................................................................133
para servicios personalizados ..............................172
RTSP .......................................................................134
Sun RPC ..................................................................131
alta disponibilidad
Vase HA
ancho de banda ...........................................................178
administrar ............................................................197
garantizado ............................................178, 197, 203
mximo ..................................................178, 197, 203
mximo ilimitado ..................................................198
ARP..................................................................................84
ARP, direccin IP de entrada ........................................87
asignacin de trfico ...................................................197
automtica .............................................................198
prioridades del servicio ........................................202
autenticacin
Allow Any ...............................................................176
directivas ................................................................174
usuarios ..................................................................174
autenticacin en tiempo de ejecucin ......................175

C
claves de licencia .........................................................253
claves, licencia .............................................................253
CLI, set arp always-on-dest .....................................76, 79
colas de prioridad
de ancho de banda ...............................................202
predeterminadas ...................................................202
Conjuntos de direcciones IP
vase Conjuntos de DIP
Conjuntos de IP dinmico (DIP).................................174

D
DHCP ..............................................................98, 102, 246
agente de retransmisin.......................................229
client .......................................................................229
HA ...........................................................................236
servidor ..................................................................229
DiffServ .................................................................178, 204
Vase tambin DS Codepoint Marking
DIP............................................................... 101, 144 a 148

conjuntos ................................................................174
conjuntos, modificar .............................................147
grupos ...........................................................157 a 159
PAT ..................................................................145, 146
puerto fijo ...............................................................147
direcciones
definicin................................................................170
en directivas ...........................................................170
entradas en la libreta de direcciones ........106 a 110
ID de IP, de host y de red.......................................55
privadas ....................................................................56
pblicas.....................................................................55
Direcciones IP
Administracin ........................................................97
direcciones IP
ID de host .................................................................55
ID de red...................................................................55
interfaces, seguimiento de .....................................65
privadas ....................................................................55
pblicas.....................................................................55
puertos, definicin para cada uno.......................106
rangos de direcciones privadas .............................56
secundarias ..............................................................59
secundarias, enrutamiento entre ..........................59
zonas de seguridad L3 ....................................54 a 56
direcciones IP secundarias ...........................................59
direcciones privadas ......................................................56
direcciones pblicas ......................................................55
direcciones, negacin de ............................................191
directivas...........................................................................3
acciones ..................................................................171
administracin .......................................................179
administrar ancho de banda ................................197
alarmas ...................................................................177
aplicacin, enlazar explcitamente servicio a ....172
asignacin de trfico .............................................178
autenticacin..........................................................174
cambiar...................................................................194
colocar al principio ........................................173, 195
contexto de una directiva .....................................189
copia de seguridad de la sesin HA ....................176
Deep Inspection (DI) .............................................173
denegar ...................................................................171
dentro de zonas .....................................165, 179, 187
desactivar ...............................................................194
ndice

IX-I

Concepts & Examples ScreenOS Reference Guide

direcciones ............................................................. 170


direcciones en ....................................................... 170
edicin .................................................................... 194
elementos requeridos ........................................... 164
eliminar .................................................................. 196
entre zonas ............................................ 165, 179, 182
funciones de .......................................................... 163
globales .................................................. 166, 179, 188
grupos de DIP ........................................................ 158
grupos de direcciones........................................... 170
grupos de servicios ............................................... 142
grupos de usuarios de acceso telefnico
a VPN ................................................................... 170
habilitar .................................................................. 194
ID ............................................................................ 170
L2TP ........................................................................ 173
libro de servicios ................................................... 111
lmite mximo ....................................................... 109
listas de conjuntos de directivas ......................... 167
mltiples elementos por componente................ 190
NAT-dst................................................................... 174
NAT-src ................................................................... 174
negacin de direcciones....................................... 191
nombre ................................................................... 172
ocultar ............................................................ 194, 195
orden ...................................................................... 196
permit ..................................................................... 171
rechazo ................................................................... 171
recuento ................................................................. 177
registro de trfico .................................................. 176
reglas internas ....................................................... 168
reordenar ............................................................... 195
secuencia de bsqueda ........................................ 167
servicios ................................................................. 170
servicios en .................................................... 111, 170
sistema raz ............................................................ 168
sistemas virtuales .................................................. 168
tareas programadas .............................................. 177
tipos .............................................................. 165 a 166
tnel ........................................................................ 171
tneles L2TP .......................................................... 173
verificar .................................................................. 194
VPN ......................................................................... 172
VPN bidireccionales .............................................. 172
zonas de seguridad ............................................... 170
directivas de acceso
Vase directivas
Directivas L2TP ............................................................ 173
DNS ............................................................................... 221
Bsquedas .............................................................. 222
consultas de dominios .......................................... 227
divisin de direcciones ......................................... 227
encapsulamiento a servidores ............................. 227
servidores............................................................... 247

IX-II

ndice

tabla de estado ......................................................223


DS Codepoint Marking ........................................198, 204
DSL ........................................................................242, 246

E
enrutadores virtuales
vase VR
Etiquetas VLAN ................................................................4
etiquetas VLAN ................................................................4

F
filtrado de URL
Consulte filtrado de web
filtrado de web .............................................................176
flujo de paquetes ................................................... 11 a 13

G
gestin de colas de prioridades .................................202
grficos de historial .....................................................177
grupos
direcciones .............................................................108
servicios..................................................................142
grupos de direcciones .........................................108, 170
crear ........................................................................110
edicin ....................................................................110
entradas, eliminar .................................................110
opciones .................................................................108
grupos de servicios ............................................ 142 a 144
crear ........................................................................143
eliminar ..................................................................144
modificar ................................................................143
grupos de servicios (WebUI) .......................................142

H
HA
DHCP ......................................................................236
HA virtual, interfaces de .........................................47
interfaces ..................................................................47
vase tambin NSRP
historial, grficos .........................................................177
huso horario .................................................................256

I
interfaces
activas fsicamente..................................................62
activas lgicamente ................................................62
agregadas .................................................................46
asociar a zonas ........................................................54
cambios de estado ..................................................62
conexiones, supervisin de....................................64
de bucle invertido ...................................................60
DIP ..........................................................................144
direccionar ...............................................................54
direcciones IP secundarias .....................................59

ndice

fsicas ..........................................................................3
fsicas en zonas de seguridad ................................45
HA .............................................................................47
HA virtual .................................................................47
inactivas fsicamente ..............................................62
inactivas lgicamente .............................................62
MGT...........................................................................47
modificar ..................................................................56
predeterminadas .....................................................56
redundantes .............................................................46
Seguimiento de IP (Vase seguimiento de IP)
tabla de interfaces, visualizar ................................52
tnel ............................................................ 48, 48 a 51
tnel de NAT basada en directivas........................48
visualizar tabla de interfaces .................................52
VLAN1.......................................................................83
VSI .............................................................................47
zona de funcin .......................................................47
zona de funcin de HA ...........................................47
zonas de seguridad L3 ............................................54
zonas, separar de ....................................................54
interfaces agregadas ......................................................46
interfaces de bucle invertido ........................................60
interfaces de HA virtual ................................................47
Interfaces de ScreenOS
fsicas ..........................................................................3
subinterfaces..............................................................4
zonas de seguridad ...................................................3
interfaces de tnel .........................................................48
definicin .................................................................48
NAT basada en directivas .......................................48
interfaces de zonas de funcin ....................................47
administracin.........................................................47
HA .............................................................................47
interfaces, supervisin de ..................................... 70 a 75
bucles ........................................................................71
zonas de seguridad .................................................75
IP de administracin .....................................................97
ISP .................................................................................227

L
libretas de direcciones
direcciones, agregar ..............................................107
direcciones, eliminar ............................................110
direcciones, modificar ..........................................107
entradas..................................................................106
entradas de grupos, editar ...................................110
grupos .....................................................................108
Vase tambin direcciones
libro de servicio, servicios
agregar....................................................................126
personalizado (CLI) ...............................................126
personalizados .......................................................111
preconfigurado ......................................................111

libro de servicios
entradas, eliminar (CLI) ........................................127
entradas, modificar (CLI) ......................................126

M
mscaras de red .....................................................55, 170
MGT, interfaz ..................................................................47
MIP ..................................................................................12
MIP, a una zona con NAT basada en interfaces ..........96
modo de ruta ......................................................100 a 103
ajustes de interfaz .................................................101
NAT-src ...................................................................101
modo NAT .............................................................94 a 100
ajustes de interfaz ...................................................97
trfico a la zona Untrust ...................................81, 96
modo transparente ................................................82 a 94
ARP/trace-route .......................................................85
bloquear trfico no ARP .........................................84
bloquear trfico no IP .............................................84
inundacin ...............................................................85
opciones unicast ......................................................85
rutas ..........................................................................84
trfico broadcast ......................................................83
modos
Combined .................................................................37
disponibilidad del modo de puerto .......................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
NAT, trfico a la zona Untrust ...............................81
puerto .......................................................................33
Transparente ............................................................82
Trust-Untrust ............................................................34
modos de puertos ..........................................................33
Ajuste ........................................................................40
Combined .................................................................37
disponibilidad ..........................................................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
Modo DMZ/Dual Untrust.........................................38
predeterminados .....................................................34
Trust/Untrust/DMZ (extendido) ..............................38
Trust-Untrust ............................................................34
MS RPC ALG, definido .................................................133

N
NAT basada en directivas, interfaces de tnel de.......48
NAT-src, modo de ruta .................................................101
negacin de direcciones .............................................191
NetInfo ..........................................................................230
niveles de prioridad
de ancho de banda ................................................202
NSRP

ndice

IX-III

Concepts & Examples ScreenOS Reference Guide

copia de seguridad de la sesin HA .................... 176


DHCP ...................................................................... 236
grupos de DIP .............................................. 157 a 159
interfaces redundantes ........................................... 46
sincronizacin NTP ............................................... 259
VSI ............................................................................. 47
NTP ..................................................................... 257 a 260
desfase horario mximo ...................................... 258
mltiples servidores.............................................. 257
servidores............................................................... 257
servidores seguros ................................................ 260
sincronizacin NSRP............................................. 259
tipos de autenticacin .......................................... 260

O
opcin de aplicacin, en directivas ........................... 172
opciones unicast desconocidas ........................ 84 a 89
ARP ................................................................... 86 a 89
inundacin ....................................................... 85 a 86
trace-route ................................................................ 87

P
parmetros del sistema .............................................. 259
PAT................................................................................. 145
personalizados, servicios
ALG ......................................................................... 172
Proveedor de servicios de Internet (ISP) .................. 227

Q
QoS (calidad del servicio) ........................................... 197

R
Rango IP dinmico(DIP) ............................................. 147
red, ancho de banda ................................................... 197
registro .......................................................................... 176
reglas, derivadas de directivas ................................... 168
reloj del sistema................................................. 256 a 260
fecha y hora ........................................................... 256
huso horario .......................................................... 256
sincronizacin con cliente ................................... 256
RFC
0792, Protocolo de mensajes de control de Internet ..
130
1349, Type of Service in the Internet Protocol Suite
178
1918, Address Allocation for Private Internets .....56
2132, Extensiones del proveedor BOOTP y opciones
DHCP .............................................................234
2326, Protocolo de secuencia en tiempo real (RTSP) .
134, 138
2474, Definition of the Differentiated Services
Field (DS Field) in the IPv4 and IPv6 Headers..178
RSH ALG ....................................................................... 131
RTSP ALG

IX-IV

ndice

cdigos de estado ..................................................137


definido ..................................................................134
mtodos de peticin .............................................135
servidor en dominio privado ...............................139
servidor en dominio pblico ................................140

S
SCREEN, zona MGT .......................................................28
ScreenOS
directivas ....................................................................3
flujo de paquetes ............................................. 11 a 13
sistemas virtuales ....................................................10
vista general ...............................................................1
zona de seguridad global..........................................2
zona global ...............................................................28
zonas ................................................................ 25 a 33
zonas de funcin .....................................................32
zonas de seguridad .............................................2, 28
zonas de seguridad predefinidas .............................2
zonas de tnel .........................................................28
seguimiento de IP
interfaces compartidas ...........................................65
interfaces compatibles............................................65
opcin dynamic ...................................................66
peso ..........................................................................67
redireccionar el trfico ................................... 65 a 80
umbral de fallos del objeto ....................................66
vsys ...........................................................................65
seguimiento de IP, fallo del
interfaz de entrada, en ................................... 78 a 80
interfaz de salida, en ...................................... 76 a 77
umbral de IP supervisado ......................................66
servicios ........................................................................111
definicin ...............................................................170
en directivas ..........................................................170
ICMP .......................................................................130
lista desplegable ....................................................111
umbral del tiempo de espera ...............................127
servicios ICMP..............................................................130
cdigos de mensaje ..............................................130
tipos de mensaje ...................................................130
servicios personalizados .............................................125
servicios personalizados, en raz y vsys ....................125
servicios, personalizados ............................................125
en vsys....................................................................125
Sistema de nombres de dominio
Consulte DNS
sistema, reloj
Consulte el reloj del sistema
sistemas virtuales ..........................................................10
subinterfaces ....................................................................4
crear (sistema raz) .................................................57
eliminar ....................................................................58
Sun RPC ALG

ndice

definido ..................................................................131
supuestos de llamadas ..........................................131
suscripciones
registro y activacin .................................... 254 a 256
servicio temporal...................................................254

T
tareas programadas .............................................160, 177
trace-route ......................................................................87
Traduccin de direcciones de puertos
Consulte PAT
trfico
asignacin ..............................................................197
prioridad .................................................................178
recuento .................................................................177
registro ...................................................................176

U
usuarios de autenticacin
autenticacin en tiempo de ejecucin ................175
autenticacin previa a la directiva ......................175
proceso de autenticacin en tiempo de ejecucin ..

tnel ..........................................................................28
VLAN ...................................................................33, 83
zonas de seguridad ....................................................2, 28
determinacin de la zona de destino....................12
determinacin de la zona de origen .....................11
global ..........................................................................2
predefinido .................................................................2
zonas de seguridad e interfaces .....................................3
zonas de seguridad, interfaces .....................................45
fsicas ........................................................................45
zonas de seguridad, interfaces de
subinterfaces ............................................................46
zonas de, seguridad
interfaces, supervisin de ......................................75
zonas, ScreenOS ....................................................25 a 33
interfaces de seguridad.............................................3
predefinido .................................................................2
zonas, seguridad
interfaces, fsicas .....................................................45
subinterfaces ............................................................46

175

WebAuth ................................................................175

V
VIP ...................................................................................12
VIP, a una zona con NAT basada en interfaces ..........96
VLAN1
interfaz ...............................................................83, 89
zonas.........................................................................83
VPN
a una zona con NAT basada en interfaces ...........96
directivas ................................................................172
zonas de tnel .........................................................28
VR
introduccin ...............................................................4
reenviar trfico entre dos .........................................5

W
WebAuth, proceso de autenticacin previo a directivas
175

Z
zona VLAN ......................................................................83
zonas ....................................................................... 25 a 33
definicin .................................................................30
edicin ......................................................................31
funcin .....................................................................32
funcin, interfaz MGT .............................................47
global ........................................................................28
interfaces de seguridad ..........................................45
Layer 2 ......................................................................83
seguridad global ........................................................2

ndice

IX-V

Concepts & Examples ScreenOS Reference Guide

IX-VI

ndice