Proxy-ID para VPNs entre las redes de palo alto y firewalls con VPNs basadas en políticas

La diferencia entre las VPNs basadas en políticas y las VPNs basadas en rutas son:

VPNs basadas en políticas                                                                                                                                                                       

1. El túnel IPSec se invoca durante la búsqueda de directivas para el tráfico que coincida con el tráfico interesante.                                  
2. No hay interfaces de túnel. El extremo remoto del tráfico interesante tiene una ruta señalada a través de la puerta de enlace predeterminada.                                
3. Como no hay interfaces de túnel, no podemos tener enrutamiento sobre VPNs.                                                                
4. Las políticas/listas de acceso configuradas para el tráfico interesante sirven como proxy-IDS para los túneles.                        
5. Cortafuegos que admiten VPNs basadas en políticas: Juniper SRX, Juniper NetScreen, asa y Checkpoint.                                 

VPN basadas en rutas

1. El túnel IPSec se invoca durante la búsqueda de rutas para el extremo remoto de los ID de proxy.
2. El extremo remoto del tráfico interesante tiene una ruta que señala a través de la interfaz del túnel.
3. Soporte de enrutamiento sobre VPNs.
4. Los ID de proxy se configuran como parte de la configuración de VPN.
5. Cortafuegos que soportan firewalls basados en rutas: palo alto firewalls, Juniper SRX, Juniper NetScreen y Checkpoint.

Los firewalls de red de palo alto no admiten VPNs basadas en políticas. Las VPNs basadas en políticas tienen reglas/directivas de seguridad específicas o listas de acceso (direcciones de origen, direcciones de destino y puertos) configuradas para permitir el tráfico interesante a través de túneles IPSEC. Estas reglas se hacen referencia durante la fase 2 de modo rápido/IPSec, y se intercambian en los mensajes 1st o 2nd como proxy-IDS. Si el cortafuegos de palo alto no está configurado con la configuración de ID de proxy, el demonio ikemgr establece el proxy-ID con los valores por defecto de origen IP: 0.0.0.0/0, destino IP: 0.0.0.0/0 y aplicación: any, y estos se intercambian con el peer durante el 1er o 2º mensaje del modo rápido. Una exitosa negociación de fase 2 requiere no sólo que las propuestas de seguridad coincidan, sino que también los IDS de proxy en cualquiera de los dos pares, sean una imagen espejada de la otra.

Por lo tanto, es obligatorio configurar los ID de proxy cada vez que se establece un túnel entre el Firewall de red palo alto y los cortafuegos configurados para VPNs basadas en políticas.

Propietario: kprakash