Proxy-ID für VPNs zwischen Palo Alto Networks und Firewalls mit Politikbasierten VPNs

UnterSchied zwischen politikbasierten VPNs und Strecken basierten VPNs sind:

Politik-based VPNs                                                                                                                                                                       

1. Der IPSEC-Tunnel wird während des Policy Lookup für den Verkehr, der dem interessanten Verkehr entspricht, aufgerufen.                                  
2. Es gibt keine Tunnel Schnittstellen. Das entfernte Ende des interessanten Verkehrs hat eine Route, die durch das Standard-Gateway hervorgehoben wird.                                
3. Da es keine Tunnel Schnittstellen gibt, können wir keine Routen über VPNs haben.                                                                
4. Die für den interessanten Verkehr konfigurierten polices/Access-Listen dienen als Proxy-IDs für die Tunnel.                        
5. Firewalls, die politikbasierte VPNs unterstützen: Juniper SRX, Juniper NetScreen, ASA und Checkpoint.                                 

Strecken basierte VPNs

1. Der IPSec-Tunnel wird während der Routensuche für das entfernte Ende der Proxy-IDs aufgerufen.
2. Das entfernte Ende des interessanten Verkehrs hat eine Route, die durch die Tunnel Schnittstelle weist.
3. Support-Routing über VPNs.
4. Proxy-IDs werden als Teil des VPN-Setups konfiguriert.
5. Firewalls, die Routen basierte Firewalls unterstützen: Palo Alto Firewalls, Juniper SRX, Juniper NetScreen und Checkpoint.

Palo Alto Network Firewalls unterstützen keine politikbasierten VPNs. Die auf der Politik basierenden VPNs haben spezielle Sicherheitsregeln/Richtlinien oder Zugriffslisten (Quelladressen, Zieladressen und Ports), die für den interessanten Verkehr durch IPSec-Tunnel konfiguriert sind. Diese Regeln werden während der Quick Mode/IPSec Phase 2 referenziert und in der 1. oder 2. Nachrichten als Proxy-IDs ausgetauscht. Wenn die Palo Alto Firewall nicht mit den Proxy-ID-Einstellungen konfiguriert ist, setzt der ikemgr-Daemon die Proxy-ID mit den Standardwerten der Quelle IP: 0.0.0.0/0, Destination IP: 0.0.0.0/0 und Anwendung: any, und diese werden mit dem Peer während des 1. oder 2. Nachricht des Schnellmodus. EINE erfolgreiche Phase-2-Verhandlung erfordert nicht nur, dass die Sicherheitsvorschläge übereinstimmen, sondern auch die Proxy-IDs auf beiden Peer, ein Spiegelbild des jeweils anderen.

Daher ist es zwingend erforderlich, die Proxy-IDs zu konfigurieren, wenn Sie einen Tunnel zwischen der Palo Alto Network Firewall und den Firewalls einrichten, die für die politikbasierten VPNs konfiguriert sind.

Besitzer: Kprakash