Proxy-ID für VPNs zwischen Palo Alto Networks und Firewalls mit Politikbasierten VPNs
Resolution
UnterSchied zwischen politikbasierten VPNs und Strecken basierten VPNs sind:
Politik-based VPNs
- Der IPSEC-Tunnel wird während des Policy Lookup für den Verkehr, der dem interessanten Verkehr entspricht, aufgerufen.
- Es gibt keine Tunnel Schnittstellen. Das entfernte Ende des interessanten Verkehrs hat eine Route, die durch das Standard-Gateway hervorgehoben wird.
- Da es keine Tunnel Schnittstellen gibt, können wir keine Routen über VPNs haben.
- Die für den interessanten Verkehr konfigurierten polices/Access-Listen dienen als Proxy-IDs für die Tunnel.
- Firewalls, die politikbasierte VPNs unterstützen: Juniper SRX, Juniper NetScreen, ASA und Checkpoint.
Strecken basierte VPNs
- Der IPSec-Tunnel wird während der Routensuche für das entfernte Ende der Proxy-IDs aufgerufen.
- Das entfernte Ende des interessanten Verkehrs hat eine Route, die durch die Tunnel Schnittstelle weist.
- Support-Routing über VPNs.
- Proxy-IDs werden als Teil des VPN-Setups konfiguriert.
- Firewalls, die Routen basierte Firewalls unterstützen: Palo Alto Firewalls, Juniper SRX, Juniper NetScreen und Checkpoint.
Palo Alto Network Firewalls unterstützen keine politikbasierten VPNs. Die auf der Politik basierenden VPNs haben spezielle Sicherheitsregeln/Richtlinien oder Zugriffslisten (Quelladressen, Zieladressen und Ports), die für den interessanten Verkehr durch IPSec-Tunnel konfiguriert sind. Diese Regeln werden während der Quick Mode/IPSec Phase 2 referenziert und in der 1. oder 2. Nachrichten als Proxy-IDs ausgetauscht. Wenn die Palo Alto Firewall nicht mit den Proxy-ID-Einstellungen konfiguriert ist, setzt der ikemgr-Daemon die Proxy-ID mit den Standardwerten der Quelle IP: 0.0.0.0/0, Destination IP: 0.0.0.0/0 und Anwendung: any, und diese werden mit dem Peer während des 1. oder 2. Nachricht des Schnellmodus. EINE erfolgreiche Phase-2-Verhandlung erfordert nicht nur, dass die Sicherheitsvorschläge übereinstimmen, sondern auch die Proxy-IDs auf beiden Peer, ein Spiegelbild des jeweils anderen.
Daher ist es zwingend erforderlich, die Proxy-IDs zu konfigurieren, wenn Sie einen Tunnel zwischen der Palo Alto Network Firewall und den Firewalls einrichten, die für die politikbasierten VPNs konfiguriert sind.
Besitzer: Kprakash