基于策略的 vpn 与帕洛阿尔托网络和防火墙之间 vpn 的代理 ID

基于策略的 vpn 和基于路由的 vpn 之间的差异有:

基于策略的 vpn                                                                                                                                                                       

1. 在策略查找期间调用 IPSEC 隧道, 以匹配有趣的通信量。                                  
2. 没有隧道接口。有趣的通信的远程端有一个通过默认网关指出的路由。                                
3. 由于没有隧道接口, 因此无法通过 vpn 路由。                                                                
4. 为该有趣的通信配置的策略/访问列表用作隧道的代理 id。                        
5. 支持基于策略的 vpn 的防火墙: SRX、杜松 Netscreen、ASA 和检查点。                                 

基于路由的 vpn

1. 在路由查找过程中, 在代理 id 的远程端调用 IPSec 隧道。
2. 有趣的通信量的远端有一个通过隧道接口指向的路由。
3. 支持通过 vpn 路由。
4. 代理 id 被配置为 VPN 设置的一部分。
5. 支持基于路由的防火墙的防火墙: 帕洛阿尔托防火墙、SRX、杜松 Netscreen 和检查点。

帕洛阿尔托网络防火墙不支持基于策略的 vpn。基于策略的 vpn 具有特定的安全规则/策略或访问列表 (源地址、目标地址和端口), 这些配置用于允许通过 IPSec 隧道进行有趣的通信。这些规则在快速模式/IPSec 阶段2中被引用, 并在第一或第二条消息中作为代理 id 进行交换。如果帕洛阿尔托防火墙未配置代理 id 设置, 则 ikemgr 守护进程将代理 id 设置为源 ip 的默认值: 0.0. 0.0/0, 目标 ip: 0.0. 0.0/0 及应用: 任何, 这些在第一或第二与同行交换快速模式的消息。成功的2阶段协商不仅需要安全建议匹配, 而且还要求两个对等方的代理 id 是彼此的镜像。

因此, 每当您在帕洛阿尔托网络防火墙和配置为基于策略的 vpn 的防火墙之间建立隧道时, 都必须配置代理 id。

所有者： kprakash