ポリシーベースの vpn を使用したパロアルトネットワークとファイアウォール間の vpn のプロキシ ID
Resolution
ポリシーベースの vpn とルートベースの vpn の違いは次のとおりです。
ポリシーベースの vpn
- IPSEC トンネルは、興味深いトラフィックに一致するトラフィックのポリシールックアップ中に呼び出されます。
- トンネルインターフェイスはありません。興味深いトラフィックのリモートエンドには、デフォルトゲートウェイを通じて指摘されたルートがあります。
- トンネルインタフェースがないため、vpn 経由でのルーティングはできません。
- 興味深いトラフィック用に構成されたポリシー/アクセスリストは、トンネルのプロキシ id として機能します。
- ポリシーベースの vpn をサポートするファイアウォール: ジュニパー SRX、ジュニパー Netscreen、ASA、およびチェックポイント。
ルートベースの vpn
- IPSec トンネルは、プロキシ id のリモートエンドのルートルックアップ中に呼び出されます。
- 興味深いトラフィックのリモートエンドは、トンネルインターフェイスを介して指摘しているルートを持っています。
- vpn 経由のルーティングをサポートします。
- プロキシ id は、VPN セットアップの一部として構成されます。
- ルートベースのファイアウォールをサポートするファイアウォール: パロアルトファイアウォール、ジュニパー SRX、ジュニパー Netscreen、チェックポイント。
パロアルトネットワークファイアウォールは、ポリシーベースの vpn をサポートしていません。ポリシーベースの vpn には、IPSec トンネルを通じて興味深いトラフィックを許可するように構成された特定のセキュリティルール/ポリシーまたはアクセスリスト (送信元アドレス、宛先アドレス、およびポート) があります。これらのルールは、クイックモード/IPSec フェーズ2で参照され、プロキシ id として第1または第2のメッセージで交換されます。パロアルトファイアウォールは、プロキシ id の設定で構成されていない場合, ikemgr デーモンは、ソース ip のデフォルト値でプロキシ id を設定します: 0.0.0.0/0, 宛先 ip: 0.0.0.0/0 とアプリケーション: any, そしてこれらは、第1または第2の間にピアと交換されるクイックモードのメッセージ。フェーズ2ネゴシエーションを成功させるには、セキュリティ提案が一致するだけでなく、どちらのピアのプロキシ id も互いのミラーイメージである必要があります。
そのため、パロアルトネットワークファイアウォールとポリシーベースの vpn 用に構成されたファイアウォールの間にトンネルを確立するたびに、プロキシ id を構成することが必須となります。
所有者: kprakash