如文档 https://live.paloaltonetworks.com/docs/DOC-5819 中所述, ipsec 会话创建的端口号是从在隧道建立 IKE 阶段2中远程 IPSec 对等方交换的 SPI 值派生的. 但只有当 ipsec 对等方是防火墙本身时, 或者仅当 ipsec 隧道在防火墙上终止时, 才能应用此方法。
在传递 ipsec 通信的情况下, 帕洛阿尔托网络防火墙只是两个 IPSec 对等方之间的中间设备, 实际上不可能基于协商的 SPI 值创建会话, 因为 IKE 阶段2已加密, 其内容为对防火墙不可见。
由于 SPI 值无法预先看到, 对于 IPSec 直通通信量, 帕洛阿尔托网络防火墙使用源和目标端口的通用值20033创建会话。在下面的示例中, 您可以看到 c2s 和 s2c 流的源和目标端口具有相同的值, 20033:
admin@vm-300> 显示会话 id 791
会话 791
c2s 流:
源: 192.168.0.11 [信任]
dst: 129.187.7.11
原:50
运动: 20033 dport: 20033
状态: 活动类型: 流
src 用户: 未知
dst 使用情况r: 未知
s2c 流:
来源: 129.187.7.11 [不信任]
dst: 192.168.0.11
原:50
体育: 20033 dport: 20033
状态: 活动类型: 流
src 用户: 未知的
dst 用户: 未知的
开始时间: 星期四 6月10日 11:58: 59 2015 超时: 3600 秒生存时间: 3142 秒总字节计数 (c2s): 1080总字节计数 (s2c): 1014 layer7 数据包计数 (c2s): 8 layer7 数据包计数 (s2c): 5 vsys: vsys1应用程序: ipsec esp规则: 任何-任何要在末尾记录的会话: 会话中的 true 会话: HA 对等方更新的 true 会话: 错误的layer7 处理: 已启用已完成的url 筛选: True url 类别: 任何通过 syn cookie 的会话: 错误会话在主机上终止: 假会话遍历隧道: 假的捕获门户会话: 错误的入口接口: ethernet1/2出口接口: ethernet1/1会话 QoS 规则: N/A (类 4)跟踪器阶段 l7proc: 应用程序没有解码器c46> 结束原因: 未知
在 PA-7000 和 PA-5200 系列中, 由于架构上的差异, 我们使用不同的方法来创建 IPSec 直通通信的会话。在这些平台上, 会话端口根据 SPI 值再次派生, 如 https://live.paloaltonetworks.com/t5/Learning-Articles/What-do-the-Port-Numbers-in-an-IPSEC-ESP-Sess 中所述 ..。, 但由于 SPI 值未知, 因此在预先防火墙创建会话时, 真正的 ESP 通信到达防火墙. 使用唯一的 SPI 值使单个 ipsec 隧道的每个流 (client2server、server2client) 都意味着防火墙为一个 ipsec 隧道创建两个独立的 ipsec 会话, 每个方向为一个。这意味着必须将安全策略配置为允许在 PA-7000 和 PA-5200 系列平台的两个方向上通过 ESP 通信。