Proxy-ID pour les VPN entre les réseaux Palo Alto et les pare-feu avec des VPN basés sur des stratégies

Différence entre les VPN basés sur des stratégies et les VPN basés sur les routes:

VPN basés sur des stratégies                                                                                                                                                                       

1. Le tunnel IPSec est appelé lors de la recherche de stratégie pour le trafic correspondant au trafic intéressant.                                  
2. Il n'y a pas d'interfaces tunnel. L'extrémité à distance du trafic intéressant a un itinéraire signalé par la passerelle par défaut.                                
3. Comme il n'y a pas D'interfaces de tunnel, nous ne pouvons pas avoir routage sur VPN.                                                                
4. Les polices/listes d'accès configurées pour le trafic intéressant servent de proxy-IDS pour les tunnels.                        
5. Pare-feu qui prennent en charge les VPN basés sur des stratégies: Juniper SRX, Juniper Netscreen, ASA et Checkpoint.                                 

VPN basés sur la route

1. Le tunnel IPSec est appelé pendant la recherche d'itinéraire pour l'extrémité distante des ID proxy.
2. L'extrémité à distance du trafic intéressant a un itinéraire indiquant par l'interface de tunnel.
3. Support routage sur VPN.
4. Les ID proxy sont configurés dans le cadre de l'installation VPN.
5. Pare-feu qui prennent en charge les pare-feu basés sur la route: les pare-feu Palo Alto, Juniper SRX, Juniper Netscreen et Checkpoint.

Les pare-feu de réseau de Palo Alto ne prennent pas en charge les VPN basés sur des stratégies. Les VPN basés sur des stratégies ont des règles/stratégies de sécurité spécifiques ou des listes d'accès (adresses source, adresses de destination et ports) configurées pour permettre le trafic intéressant via les tunnels IPSec. Ces règles sont référencées pendant la phase 2 du mode rapide/IPSec, et sont échangées dans le premier ou le 2ème message en tant que proxy-IDS. Si le pare-feu Palo Alto n'est pas configuré avec les paramètres de proxy-ID, le démon ikemgr définit le proxy-ID avec les valeurs par défaut de la source IP: 0.0.0.0/0, IP de destination: 0.0.0.0/0 et application: any, et ceux-ci sont échangés avec l'homologue au cours de la 1ère message du mode rapide. Une négociation réussie de phase 2 exige non seulement que les propositions de sécurité correspondent, mais également les proxy-IDS sur l'un ou L'autre homologue, soit une image de miroir de l'un L'autre.

Il est donc obligatoire de configurer les ID proxy chaque fois que vous établissez un tunnel entre le pare-feu du réseau Palo Alto et les pare-feu configurés pour les VPN basés sur des stratégies.

propriétaire : Dany