我的防火墙还能做什么？虚拟专用网络!

我们已经走了很长的路, 自从第一次打开了可怕的防火墙。现在, 您已经准备好设置虚拟专用网络 (vpn)。你从哪里开始？汤姆不仅准备了一步一步的安装程序, 还为你的准备工作资料做了一个检查表。让我们仔细看看虚拟专用网络, 以及如何在帕洛阿尔托网络防火墙上配置它们。我们将重点介绍一些不同之处, 这些差异将帮助您建立一个基于路由或基于策略的 VPN 对等方的加密隧道, 并向您展示一些故障排除技巧, 以使您能够快速地运行和操作。

VPN 是通过加密两个主机之间的所有通信而在传统网络上创建安全网络连接的技术。我们将了解如何设置使用强 IPSec 加密的站点到站点隧道。

在准备站点到站点的 VPN 配置时, 很多时候您需要与远程管理员进行对话, 这可能是一个同事或一个完全陌生的人。你首先需要谈判如何你会是设置了你的隧道，要使用的协议，等等。为了促进这一过程, 最好准备一个小清单:

• 远程对等方有静态 IP 地址还是动态的？
• 什么是远程子网？
• IKEv1 还是 IKEv2？
• 预共享密钥或证书身份验证？
• 是否需要 NAT 遍历 (是位于另一个执行 NAT 的网关后面的对等方之一)？
• 是基于远程对等路由还是基于策略的？

和2组以下属性, 一个用于 IKE 配置, 一个用于 IPSec。

• 将使用哪一种身份验证算法 (sha1、sha256、...)？
• 将使用哪一种封装算法 (3des、aes、..。)?
• 密钥交换中的关键需要多大 (Diffie-赫尔曼集团 1, 20,.。)?
• 关键的一生将会是什么？

了解细节将使配置更加容易。在下面的配置示例中, 我将重点介绍其中的一些含义:

在与对方谈判之后, 或者如果你能够管理好两点, 你可以做的第一件事就是准备加密配置文件。

转到 "网络" 选项卡, 并在 IPSec 加密和 IKE 加密配置文件中添加新的配置文件:

接下来, 您将需要创建表示远程网关的对等对象和与此网关共享的 IKE 属性, 以允许协商 IPSec。转到 "网络" 选项卡上的 ike 网关配置文件, 然后创建一个新的 IKE 网关对象。

在 "常规" 选项卡上, 您可以选择要选择的 IKE 版本。如果不清楚远程对等方使用哪个版本, 则可以选择将 IKEv2 设置为首选, 如果远程对等方不支持 IKEv2, 则允许回退到 IKEv1。

要选择的一个重要选项是对等 ip 类型: 静态对等方具有静态 IP 地址, 并允许最简单的配置。一个动态对等方 (例如, 对等方具有 DHCP IP) 将无法设置 IP 地址的选项。动态对等方需要某种其他形式的标识, 以确保网关与正确的主机进行协商。

在这种情况下, 通过从下拉列表中选择一个选项并在其旁边的字段中设置值, 选择使用哪种替代对等方标识方法。如果远程对等方需要其他对等标识, 或者如果您的主机有动态 IP 地址, 也可以在此处设置本地对等 ID。

身份验证方法可以设置为两个对等方用于启动协商的预共享密钥, 或者可以导入证书以验证握手。

 在 IKE 网关的 "高级选项" 下, 可以设置几个选项以适应某些情况:

• 被动模式阻止此网关进行出站协商, 只响应协商请求。
• nat 遍历在 IKE 协议上启用 UDP 封装, 以防至少有一个网关位于 NAT 网关之后。
• 默认情况下, Exchange 模式处于 "自动" 状态, 但如果两个对等方都位于一个动态 ip 地址上, 则可以将其设置为 Main (如果双方都在静态 ip 地址或 Agressive 上)。
• IKE 加密配置文件应设置为前面创建的配置文件。
• 死的对等检测是一种心跳, 用于标识不可用的 VPN 对等点以帮助恢复资源。
• IKEv2 活动检查工作类似于 DPD, 但每个数据包都是在操作过程中计算的, 并且只有在对等方闲置了一个空数据包的配置时间后, 才能确定活性。

注意: Ike 网关接口也可以设置为环回接口 (而不是物理接口). 建议将此环回接口放在与外部接口相同的区域中。 

接下来, 您将需要创建一个隧道接口: 转到接口并打开 "隧道" 选项卡。创建一个新接口, 作为虚拟专用网络的虚拟接口。建议将隧道接口放在其自己的区域中, 以便安全策略可用于控制 vpn 隧道和本地区域之间的访问。

配置接口后, 可以继续创建 VPN 隧道的2阶段。转到 "ipsec 隧道" 菜单并创建新的 ipsec 隧道。

在 IPSec 隧道对象的 "常规" 选项卡上, 您需要将此配置文件分配给您创建的隧道接口、IKE 网关和加密配置文件。如果远程对等方支持该功能, 则还可以启用隧道监视器, 以便在隧道关闭和可用备份时允许故障转移到备用路由。

在 "代理 id" 选项卡上, 可能需要为允许遍历隧道的所有本地和远程子网对添加代理 id。这通常仅在远程对等方使用基于策略的 VPN 时才需要。

简而言之:

• 基于策略的 vpn 对等方协商基于策略的 vpn 隧道, 通常在较小的子网中, 并将通信作为策略操作的结果定向到隧道。
• 基于路由的 VPN 对等点, 就像帕洛阿尔托网络防火墙, 通常 negiotiates 一个超网 (0.0. 0.0/0), 并让路由引擎的责任。虚拟路由器负责引导通信到隧道, 而安全策略则负责访问, 等等。

如果不使用代理 id , 则需要将路由添加到虚拟路由器, 以确保可以在本地和远程网络之间转发通信.

要允许两个站点之间的通信, 需要在本地安全区域和 VPN 隧道安全区域之间创建安全策略

完成上述过程后, 继续执行此更改并实现相同的配置, 并在远程端反转 IP 信息。

配置两端后, VPN 隧道应建立, IPSEc 隧道中的状态图标将变成绿色以指示连接。通过单击状态链接获取其他信息。

系统日志还可以包含有关 VPN 连接的关键信息:

从故障排除的角度看, 如果本地设备是启动器, 这是最简单的, 因为这将允许您查看发送的邮件以及从远程对等方收到的潜在错误消息, 以帮助确定是否出现错误。启动协商的简单方法是通过 CLI 中的测试命令:

对于 Phase1 IKE

>> 测试对给定 ike 网关的 vpn ike-sa 
+ 网关测试
|管道通过命令
<Enter>完成输入

>> 测试 vpn ike-sa

启动 ike sa: 找到总共1个网关.  </Enter>    找到1个 ike sa。

和 Phase2 IPSec

>> 测试 vpn ipsec-sa 
+ 隧道测试为给定的 vpn 隧道
|管道通过命令
<Enter>完成输入

>> 测试 vpn ipsec-sa

启动 1 ipsec sa.  </Enter>   

 这有助于解决常见的错误, 如预共享机密中的不匹配:

或加密配置文件中的不匹配

我希望你喜欢这版的入门。请随时发表评论或查看在入门系列的前一集.

汤姆