Los firewall, para dividir las áreas o zonas de redes, utilizan un concepto llamado Security Zone, el que corresponde a la agrupación de interfaces (tanto físicas como virtuales), las cuales, permiten separar las áreas de una red, y así, poder aplicar de forma sencilla las políticas de seguridad y así controlar el tráfico que viaja a través de estas.

Cada interfaz del firewall debe estar asignada a una zona, de lo contrario, el tráfico no puede pasar a través de dicha interfaz. Las interfaces pueden estar asignadas a una zona, mientras que las zonas, pueden estar asignadas a varias interfaces.

Con respecto a las políticas mencionadas (llamadas Policy rules), estas utilizan las zonas para identificar desde donde y hacia donde viaja el tráfico por una red.

Estas políticas, definen que por defecto el tráfico que viaja a través de una misma zona (intrazone), se encuentra permitido, mientras que el tráfico que va a una zona distinta, se encuentra denegado (extrazone).

La siguiente imagen muestra un ejemplo con 3 zonas diferentes, las cuales son las más comunes de encontrar en una empresa:

  • Inside
  • Outside
  • DMZ

En este ejemplo, la zona inside corresponde a la zona donde se encuentran los equipos corporativos, la zona outside, es la conexión hacia redes externar (como Internet), y DMZ, es el acrónimo de Demilitarized Zone, donde se encuentran los servicios como la  extranet, correo, sitios web, etc.

PAN-OS soporta diferentes tipos de zonas, las que se encuentran asociadas a los tipos de interfaces:

  • TAP
  • Virtual Wire
  • Layer 2
  • Layer 3

Para crear las zonas, es necesario ir a Network > Zones > Add:

Luego es necesario definir un nombre y el tipo de zona que será:

Si se tiene configurada la interfaz con el tipo correspondiente a la zona que se esta configurando, es posible asignarla en este paso, de lo contrario, se puede hacer cuando se trabaje con las interfaces.

De ser así, dar clic en Add en la zona casilla de Interfaces y seleccionar las interfaces que se desean asignar a dicha zona:

Como se puede apreciar, solo se encuentra la interfaz ethernet1/1 configurada con el tipo Layer3.

Con respecto a las interfaces, se pueden configurar interfaces Ethernet, subinterfaces Ethernet, interfaces VLAN, interfaces loopback  e interfaces Tunnel.

Para este caso, solo nos enfocaremos en las interfaces Ethernet.

Las interfaces Ethernet, pueden ser configuradas dentro de los siguientes tipos:

  • Tap: este modo es utilizado para monitorear de forma pasiva el tráfico que fluye por la red (IDS). Debido que en este modo el firewall esta out-of-line con el tráfico, se debe configurar en el switch SPAN o un port-mirror.
  • HA: se configura la interfaz para ser usada en el proceso de alta disponibilidad (HA). En este modo se recomienda configurar la velocidad, duplex y estado de la interfaz como auto, con el fin de evitar problemas en la comunicación entre los firewall.
  • Virtual Wire: cuando se configura vwire, el firewall se encuentra en modo transparente (similar al transparent mode del Cisco ASA) en la red. Este modo se recomienda usar solamente cuando no se necesita ni switching y routing. Por lo tanto, en este modo no se soporta ni routing (direccionamiento estático y dinámico) ni VPN, pero si se soporta: App-ID, decryption, NAT, Content-ID y User-ID.
  • Layer2: se utiliza para la comunicación es en capa 2 entre dos o más redes. Cuando se trabaja con las interfaces Ethernet, se debe seleccionar un objeto VLAN para definir el tag de dicha interfaz, o se pueden crear subinterfaces para pasar diversas VLANs a través de ese puerto.
  • Layer3: este tipo de interfaz es usado cuando es necesaria la conectividad entre varias redes. Para este modo, es necesario configurar una dirección IP y un Virtual Router.
  • Aggregate Ethernet: este modo es usado para combinar múltiples interfaces físicas en una lógica. Esta definido en el estándar IEEE 802.1AX y utiliza el protocolo LACP.

Un virtual router equivale a las VRF (Virtual Routing and Forwarding), las que corresponden a una segmentación lógica de la tabla de enrutamiento del dispositivo. Cada interfaz en capa 3 de los firewall PAN deben ser configurados en un virtual routing.

Para configurar las interfaces, es necesario ir a Network > Interfaces > Ethernet > hacer clic en una interfaz:

Luego es necesario especificar que tipo de interfaz se quiere configurar:

Cuando se selecciona la opción que se desea, si no se tiene creada una zona, la misma ventana de configuración de la interfaz posee un hyperlink para la configuración de la zona:

A continuación se presentan las opciones de configuración de cada tipo de interfaz.

Tap mode:

HA mode:

VWire mode:

Layer2 mode:

Layer3 mode:

AE mode:

Lo configurado anteriormente se encuentra en la candidate configuration, por lo tanto es necesario aplicarla en la running configuration para que esta quede activa. Esto se realiza cliqueando en commit: