Konfigurieren der Tunnelüberwachung und PBF -überwachung für Symantec WSS Tunnel
63058
Created On 04/18/19 04:45 AM - Last Modified 03/26/21 17:40 PM
Objective
Implementieren Von Symantec Web Security Services ( WSS ) in der Cloud mithilfe oder firewall VPN Zugriffsmethode – Überwachen Sie den
IPSec-Site-to-Site-Tunnel: Stellen Sie den VPN IPSec-Tunnel herunter, wenn der überwachte Kanal IP nicht erreichbar ist –
Policy Monitorbased Forwarding ( ) Regel: Deaktivieren Sie PBF die PBF Regel, wenn das überwachte IP nicht erreichbare erwartete Verhalten ist –
Wenn der
IPSec-Tunnel UP aktiviert PBF ist: Regel aktiviert ist und Datenverkehr an HTTP symantec-Tunnel weitergeleitet WSS wird.
– Wenn IPSec-Tunnel ist DOWN : Regel ist deaktiviert und Verkehr wird nach aktiver PBF HTTP Routing-Tabelle weitergeleitet werden.
Environment
- Palo Alto Networks firewall vor Ort
- Symantec WSS in der Cloud
- Verwenden des Transproxy-Entwurfs (Explicit Proxy over IPSec)
- Der IpSec-Standort-zu-Standort-Tunnel ist sowohl auf Palo Alto Networks als auch auf der VPN firewall Symantec WSS Admin-Konsole konfiguriert
- PBF Regel ist auf Palo Alto Networks firewall konfiguriert, um HTTP Datenverkehr an Symantec-Tunnel WSS weiterzuleiten
Procedure
In diesem Beispiel verwenden wir die folgenden Parameter
Lokales Standortnetzwerk (Benutzersubnetz):
– 10.1.1.0/24 ( firewall Zone: trust)
Palo Alto Networks : – Tunnel firewall
schnittstelle: tunnel.1 mit IP Adresse 192.168.1.254/32 ( firewall Zone: WSS_tunnel)
– IKE Gateway: WSS_IKE_Gateway_1 mit Peer IP 199.19.24 8.164 (dies ist Symantec datacenter IP ) –
IPSec-Tunnel: WSS_Tunnel_1 mit Local Proxy ID 10.1.1.0/24 (um das lokale Standortnetzwerk oben abzugleichen)
– PBF Regel: WSS_OverIPsec_1 mit Egress Interface tunnel.1
– Erforderliche policy Sicherheitsregel, um HTTP Datenverkehr von der Vertrauenszone in WSS_tunnel Zone
zuzulassen, vorausgesetzt, dass sowohl Palo Alto Networks firewall als auch Symantec Admin Console ordnungsgemäß konfiguriert WSS sind, Tunnelinterface Status ist UP (grün) unter Netzwerk > IPSec Tunnels
Tunnel Monitoring
Zur Überwachung des IPSec-Tunnels, Wir müssen Tunnel Monitor-Eigenschaften in der IPSec-Tunnelkonfiguration unter Netzwerk- > IPSec-Tunnel-> tunnel_name aktivieren. Palo Alto Networks firewall sendet Keep-Alive über die Tunnelschnittstelle IP als Quelladresse.
Der vorhandene IPSec-WSS_Tunnel_1 ist mit Local Proxy ID 10.1.1.0/24konfiguriert. Es stimmt nicht mit der tunnel.1-Schnittstelle IP 192.168.1.254/32 überein.
Unter Bezugnahme auf das WSS Symantec-Handbuch (S. 90) können wir nur einen Proxy ID für die WSS Tunnelkonfiguration angeben.
Lösung
Um den IPSec-Tunnel richtig überwachen zu können, müssen wir einen neuen IPSec-Tunnel mit den folgenden Parametern erstellen:
– IPSec-Tunnelname: WSS_Tunnel_2
– Tunnelschnittstelle: tunnel.1
– <follow wss_tunnel_1="" settings="">
Typ: – IKE Gateway: WSS_IKE_Gateway_1
– IPSec Crypto-Profil: <follow wss_tunnel_1="" settings="">
– Select Tunnel Monitor –
Enter Destination IP 199.19.248.164 (dies ist Symantec Datacenter IP ) –
Monitorprofil auswählen – Klicken Sie auf
Proxy-IDs > Hinzufügen > WSS_Tunnel_2_proxy
– Lokaler Proxy ID 192.168.1.254/32
– RemoteProxy ID 199.19.248.164/32
– Klicken Sie OK hier, um das dialogische Fenster zu schließen, Nach
der Konfiguration des Commits sollten wir einen neuen Tunnel sehen, WSS_Tunnel_2 Schnittstellenstatus UP (Grün) ist.
Um den Tunnelüberwachungsstatus von CLI zu überprüfen, lesen Sie diesen Artikel: So überprüfen Sie, ob ipSec Tunnel Monitoring funktioniert
Idealerweise sehen wir Monitor: on und monitor Status: up with respective monitor counters. </follow> </follow> Dies weist darauf hin, dass die Tunnelüberwachung funktioniert.
PBF Überwachung
Nach der erfolgreichen Konfiguration der Tunnelüberwachung können wir die PBF Regelüberwachung unter Richtlinien > Policy basierte Weiterleitungkonfigurieren. Palo Alto Networks firewall sendet ein Keep-Alive mit Egress Interface IP als Quelladresse.
In diesem Beispiel PBF wird keep-alive von der tunnel.1-Schnittstelle (192.168.1.254) an das Ziel 199.19.248.164gesendet. Dieser Datenverkehr entspricht dem oben konfigurierten IPSec-Tunnel WSS_Tunnel_2.
1) Wählen Sie vorhandene PBF Regel WSS_OverIPsec_1, klicken Sie auf Weiterleiten Registerkarte.
2) Aktivieren Sie das Kontrollkästchen Monitor.
3) Wählen Sie Monitorprofil wie IPSec-Tunnel WSS_Tunnel_2 Monitorprofil
4) Wählen Sie 'Deaktivieren Sie diese Regel, wenn nexthop/monitor IP ist nicht erreichbar'
5) Geben Sie IP Adresse 199.19.248.164 (dies ist Symantec Datencenter IP )
6) Klicken Sie hier, OK um das gesamte Dialogfenster zu schließen, Folge durch Commit Nach Configuration Commit können wir den
PBF Überwachungsstatus überprüfen: CLI Die basierte Policy Weiterleitungsregel wird nicht angewendet, wenn der Überwachungshost nicht erreichbar ist
Idealerweise sehen wir NextHop-Status: UP mit entsprechenden Keep-Alive-Zählern KA gesendet: und KA erhalten: größer als 0 (Null). Dies weist darauf hin, dass PBF die Überwachung funktioniert.
Testen
Um zu testen, ob die Tunnelüberwachung und PBF -überwachung wie erwartet funktioniert, können wir simulieren, um den Tunnel zu Fall zu bringen, indem wir Tunnel Peer in der IP Symantec WSS Admin-Konsole ändern.
Additional Information
Über Trans-Proxy (Explicit Proxy over IPSec):
A Die Transproxybereitstellung ist eine, bei der dieselbe Webanforderung vom Browser als explizite Proxyverbindung initiiert, aber vom Symantec Web Security Service als transparente Anforderung angezeigt wird. Dies wird durch die PAC installierten Dateien in Browsern erreicht, die zum Gerät weitergeleitet firewall werden, das dann eine IPSec-Verbindung zum Websicherheitsdienst bereitstellt.
Die erste IPSec-Einrichtung VPN zwischen Palo Alto Networks und firewall Symantec WSS finden Sie auf Seite 84-97 des Symantec Web Security Service: Firewall / Access Method VPN Guide (Version 6.10.4.3/29. März 2019).
Weitere Informationen finden Sie in den folgenden Artikeln:
Konfigurieren von IPSec VPN
Wie Sie überprüfen, ob die IPSec-Tunnelüberwachung
funktioniert, wird diePolicy Arbeitsregel nicht angewendet, wenn der Überwachungshost nicht erreichbar ist.
PBF
Firewall VPN Firewall
IP