はじめに: ポリシー ベースの転送

はじめに: ポリシー ベースの転送

186177
Created On 09/25/18 18:56 PM - Last Modified 06/09/23 05:41 AM


Resolution


何ができる私のファイアウォールは?ポリシー ベースの転送!

 

Web ブラウジング、社会的なメディア、その他の帯域幅消費アプリケーションにより職場で帯域幅要求の高まり、多くの企業は、セカンダリ ISP 接続を追加します。セカンダリ ISP より広い帯域幅を提供することが、サービス レベルの低下します。低いサービス ・ レベルは、ミッション ・ クリティカルなアプリケーションの帯域幅を保証するを支持してより少なく重要な web トラフィックをオフロードすることを保証します。

 

あなたはすでにサービスの品質と制限または保証帯域幅のアプリケーションに基づいてチェックアウトしている可能性がありますが、ファイアウォールが行うことができます別のクールなトリックがあります-ポリシーベースの転送または PBF。ポリシー ・ ベースの転送では、ルーティング オプション アプリケーション、ソースまたは宛先に基づいてポリシー設定によって決定を支持してルーティング テーブルをバイパスすることができます。一言で言えば、これは特定のアプリケーションを必要とせず別のリンクを使用して、ルーティング テーブルを微調整することができますを意味します。

 

ポリシー ベースの転送

撮影構成のノートを取る間に例のファイアウォールを構成する方法を詳しく見てみましょう。

 

ISP1 が重要なアプリケーションで使用されるプライマリ リンクです。

ISP2 がサービス レベル保証はありませんが、高帯域幅とバックアップの接続

レイアウト

ISP1 を指すは、私の仮想ルーターのデフォルト ゲートウェイが構成されています。

オプション:バックアップとして、私はより高いメトリックと ISP2 を追加しました。これは作る ISP2 バックアップ リンク ISP1 の障害が発生した場合。

 

仮想ルータ

 

 

開始、ポリシーに基づいて転送ポリシーを開いて、新しいポリシーを作成します。

 

 

ポリシー ベースの転送

  • ポリシーに名前を付けます
  • 送信元のゾーンまたはインターフェイスを設定します。
  • 送信先の web ブラウジングし、別のアプリケーションの設定 ISP2 を経路変更したいアプリケーション (ftp,...)
  • サービス アプリケーションの既定を設定することをお勧め

 

ポリシー ベースの転送

 

[転送] タブ。

  • アクションを前方に設定 (その他のオプションが 'Discard' PBF ポリシーまたは特定のセッションに PBF は適用する ' いいえ PBF' に一致する任意のセッションを破棄する)
  • ISP2 接続インターフェイスに出力インターフェイスを設定します。
  • パケットがこのデバイスに正しく配線されてので ISP2 のルーターの IP アドレスと次ホップを設定します。
  • モニターを有効にします。
  • フェイル オーバーに設定されているモニターのプロファイルを作成します。
  • このルールを無効にする] チェック ボックスをオン ISP2 経験を停止、これはデフォルト ゲートウェイを経由してセッションを再接続する場合に無効にするこのポリシーを許可するには
  • ISP2 のルータの IP を監視対象として設定します。

 

構成されたポリシーに基づいて転送ポリシーが正常に今ある!行う唯一の左が ISP2 ゾーンに信頼ゾーンから作成するセッションを許可するセキュリティ ポリシーを作成し、必要な場合は、これらのセッションに NAT を実行します。

 

PBF セキュリティ ポリシー

nat pbf

 

この構成がコミットされた後、PBF ルールは機能が使用されている場合ことを確認するあなたの処分でいくつかの有用な CLI コマンドがあります。

 

> pbf ルールを表示するすべてのルール

ID ルールの状態アクション出力 IF/VSYS NextHop NextHop ステータス = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

ISP2_webac 1 アクティブ Forward ethernet1/2 172.16.31.1 アップ           
  

> 実行中の pbf を表示する-ポリシー

ISP2_webaccess {
 id 1;
       信頼から;
ソース任意;
宛先任意;
ユーザーのいずれか;
アプリケーション/サービス [ftp/tcp/任意/21 web ブラウジング/tcp/any/80];
アクションフォワード;
対称-戻り値なし;
転送-出口-IF/VSYS ethernet1/2;
次ホップ 172.16.31.1;
ターミナル no;
}

 

> テスト pbf-ポリシー-信頼アプリケーションから一致する web ブラウジングソース192.168.0.7 宛先93.184.216.34 プロトコル6宛先-ポート 80

ISP2_webaccess {
 id 1;
       信頼から;
ソース任意;
宛先任意;
ユーザーのいずれか;
アプリケーション/サービス [ftp/tcp/任意/21 web ブラウジング/tcp/any/80];
アクションフォワード;
対称-戻り値なし;
転送-出口-IF/VSYS ethernet1/2;
次ホップ 172.16.31.1;
ターミナル no;
}

 

> セッションを表示すべてのフィルタ pbf-ルール ISP2_webaccess--------------------------------------------------------------------------------ID アプリケーション状態タイプフラグ Src [スポーツ]/Zone/Proto (翻訳 IP [ポート])Vsys                                         Dst [Dport]/Zone (翻訳 IP [ポート])--------------------------------------------------------------------------------9873 web ブラウジングアクティブフロー NS 192.168.0.7 [4015]/trust/6 (172.16.31.2 [7914])vsys1 93.184.216.34 [80]/ISP2 (93.184.216.34 [80])> セッション id 9873 セッションを表示する9873 c2s フロー:ソース: 192.168.0.7 [トラスト] dst: 93.184.216.34プロト: 6スポーツ:      4015 dport:80状態: INIT タイプ: フロー src ユーザー: 不明なdst ユーザー: 不明pbf ルール: ISP2_webaccess 1 s2c フロー:ソース:     93.184.216.34 [ISP2] dst: 172.16.31.2プロト: 6スポーツ:80 dport: 7914状態: INIT の種類: フロー src ユーザー: 不明 < c25 > dst ユーザー: 不明                     

 

あなたは便利なこの記事を見つけた願っています。してください開始エピソードの残りの部分をチェックアウトしたり、以下のコメントを残してお気軽に !

 

 

敬具します。

トム
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRzCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language