パロアルトネットワークファイアウォールでの IPSec パススルートラフィックの処理

 ドキュメント https://live.paloaltonetworks.com/docs/DOC-5819 で説明したように、 ipsec セッション作成のポート番号は、トンネル確立の IKE フェーズ2でリモートの ipsec ピアが交換する SPI 値から導出されます。ただし、この方法は、ipsec ピアの1つがファイアウォール自体、つまり ipsec トンネルがファイアウォールで終了した場合にのみ適用されます。

パロアルトネットワークファイアウォールが2つの ipsec ピア間の中間デバイスに過ぎないパススルー ipsec トラフィックの場合、IKE フェーズ2が暗号化され、コンテンツがその内容であるため、ネゴシエートされた SPI 値に基づいてセッションを作成することは実質的に不可能です。ファイアウォールには表示されません。

SPI 値は事前に見ることができないため、IPSec パススルートラフィックでは、ソースポートと宛先の両方に対して汎用値20033を使用してセッションを作成します。次の例では、c2s と s2c の両方のフローの送信元ポートと出力先港に同じ値20033が与えられていることがわかります。

管理者 @ vm-300 > 表示セッション id 791

セッション 791

c2s フロー:
ソース: 192.168.0.11 [トラスト]
dst: 129.187.7.11
プロト:50
スポーツ: 20033 dport: 20033
状態: アクティブタイプ: フロー
src ユーザー: 不明な dst の
使用r: 未知の

s2c の流れ:
源: 129.187.7.11 [untrust]
dst: 192.168.0.11
プロト:50
スポーツ: 20033 dport: 20033
状態: 活動的なタイプ: 流れの
src ユーザー: 未知の
dst ユーザー: 未知の

開始時刻: 木 6月 10 11:58: 59 2015 タイムアウト: 3600 秒の時間を生きる: 3142 秒合計バイト数 ( c2s): 1080総バイト数 (s2c): 1014 layer7 パケット数 (c2s): 8 layer7 パケット数 (s2c): 5 vsys: vsys1アプリケーション: ipsec-esp のルール: 任意のセッションが最後にログに記録される:セッションエイガーの真のセッション: HA ピアによって更新された真のセッション: 偽layer7 処理: 完了したurl フィルタリングが有効: 真の url カテゴリ: syn-クッキーを介して任意のセッション: 偽のセッションホスト上で終了: falseセッションはトンネルを横断: 偽キャプティブポータルセッション: 偽の進入インタフェース: ethernet1/2出力インタフェース: ethernet1/1セッション QoS ルール: N/A (クラス 4)トラッカーステージ l7proc: アプリケーションにデコーダがありません <c46 > 終了理由: 不明

pa-7000 および pa-5200 シリーズでは、アーキテクチャ上の違いにより、IPSec パススルートラフィックのセッション作成に異なる手法を使用しています。これらのプラットフォームでは、セッションポートは、https://live.paloaltonetworks.com/t5/Learning-Articles/What-do-the-Port-Numbers-in-an-IPSEC-ESP-Sess で説明されているように、SPI 値に基づいて再び派生します。 が、SPI の値は事前に知られていないので、ファイアウォールに実際の ESP トラフィックが到着するとセッションが作成されます。一意の SPI 値を使用して単一の ipsec トンネルの各フロー (client2server、server2client) を持つことは、ファイアウォールが1つの ipsec トンネルに対して2つの独立した ipsec セッションを作成することを意味します。つまり、pa-7000 および pa-5200 シリーズのプラットフォームでは、双方向の ESP トラフィックをパススルーできるように、セキュリティポリシーを構成する必要があります。