VPN トンネル インターフェイスのゾーンの割り当てに基づいてセキュリティ ポリシー
Resolution
詳細
パロ ・ アルト ネットワーク ファイアウォールで特定のインタ フェースに割り当てられているセキュリティ ゾーンは、許可、制限または拒否する必要があるトラフィックに基づいてセキュリティ ポリシーを確立するために不可欠です。セキュリティ ポリシーを定義する場合、VPN トンネル インターフェイスのゾーンの選択の同じ原則が適用されます。セキュリティ ポリシーが VPN トンネル インターフェイスのセキュリティ ゾーンがどのように選択されるかに書き込まれるベース方法を示すこのドキュメントに 2 つのシナリオを示します。
- トンネルインタ フェースに内側の一つとして同じゾーンが割り当てられているインターフェイス。
- トンネルインタ フェースには、独立したゾーンが割り当てられます。
シナリオ 1
このシナリオでは、tunnel.200 インターフェイスは、"L3_Trust"ゾーンである ethernet1/2 インタ フェースと同じゾーンに割り当てられています。そのため、既存のセキュリティ ポリシー (ルールを許可暗黙 '同じ-ゾーン' を含む) ソース"L3_Trust"ゾーンから先「L3_Trust」ゾーンへの一致トラフィックが tunnel.200 と内部インターフェイス イーサネット/12 間 VPN トラフィックに適用されること。
Ethernet1/2 は、'L3_Trust' ゾーン。
Tunnel.200 インターフェイスは、'L3_Trust' ゾーンに配置されます。
既存の「L3_Trust」ゾーンに適用されるセキュリティ ポリシー。
暗黙の '同じゾーンのポリシーをオーバーライドすること「どんな/すべて/拒否」ポリシーが構成されている場合ポリシーは、' L3-信頼' を 'L3 信頼' ゾーンのトラフィックとして以下に示すように明示的に作成する必要があります。
任意/任意/拒否ポリシーの詳細については、以下を参照してください。セキュリティ規則の変更の既定の動作
シナリオ 2
このシナリオでは、tunnel.200 インターフェイスは割り当てられた独立したゾーン内部インターフェイス イーサネット/12 中、'VLAN_100' と呼ばれる 'L3_Trust' ゾーン内にあります。
Ethernet1/2 は ' L3_Trust ' ゾーンにあります:
Tunnel.200 インターフェイスは、別の 'VLAN_100' ゾーンに配置されます。
/内側から流れるトラフィックにのみ適用される制限の別のセットのこのアプローチは、VPN"VLAN_100"セキュリティ ゾーン/interface(ethernet1/2)。セキュリティ要件が異なる VPN トラフィックの場合、このアプローチはより多くの粒度を提供します。
新しいセキュリティ ポリシーは作成され、VPN 'VLAN_100' が 'L3_Trust' の内部ゾーンからのトラフィックに対してのみ適用されます。
また見なさい
所有者: jperry