Cómo configurar la supervisión y PBF supervisión de túneles para el túnel de Symantec WSS
63062
Created On 04/18/19 04:45 AM - Last Modified 03/26/21 17:39 PM
Objective
Implementar Symantec Web Security Services ( WSS ) en la nube mediante o método de acceso – Monitor firewall VPN
IPSec túnel de sitio a VPN sitio: establecer el túnel IPSec hacia abajo si el monitor es IP inalcanzable
– Supervisar Policy reenvío basado ( PBF ) regla: deshabilitar la regla si el monitor PBF es un comportamiento esperado IP inalcanzable
– Cuando el túnel
IPSec UP es: la regla está PBF habilitada y el tráfico se HTTP remitirá al túnel de Symantec. WSS
– Cuando el túnel IPSec DOWN es: PBF la regla está inhabilitada y HTTP el tráfico se ruteará según la tabla de ruteo activa.
Environment
- Palo Alto Networks firewall en el lugar
- Symantec WSS en la nube
- Uso del diseño de trans proxy (proxy explícito sobre IPSec)
- El túnel de sitio a sitio de IPSec se configura tanto en Palo Alto Networks como en la VPN consola de administración firewall de Symantec WSS
- PBF la regla se configura en las redes de Palo Alto firewall para remitir el tráfico al HTTP túnel de Symantec WSS
Procedure
En este ejemplo, estamos utilizando los siguientes parámetros
Red de sitio local (subred de usuario): –
10.1.1.0/24 ( firewall zona: confianza) Palo Alto Networks : –
Interfaz firewall
túnel: tunnel.1 con IP la dirección 192.168.1.254/32 ( firewall zona: WSS_tunnel)
– IKE gateway: WSS_IKE_Gateway_1 con peer IP 199.19.248.164 (esto es symantec datacenter IP ) – túnel
IPSec: WSS_Tunnel_1 con el proxy local ID 10.1.1.0/24 (para que coincida con la red del sitio local arriba)
– PBF regla: WSS_OverIPsec_1 con el túnel de la interfaz de Egress.1 – Regla de seguridad necesaria para permitir el tráfico de la zona de
policy HTTP confianza a WSS_tunnel zona
Suponiendo que tanto Palo Alto Networks como la firewall consola de administración de Symantec WSS estén configurados correctamente, deberíamos ver que el estatus de la interfaz del túnel es UP (verde) bajo la red > la supervisióndel túnel
de los túneles IPSec
para monitorear el túnel IPSec, necesitamos habilitar las propiedades del Tunnel Monitor en la configuración del túnel IPSec bajo los túneles IPSec de la red > > tunnel_name. Palo Alto Networks firewall enviará keep-alive usando la interfaz del túnel IP como la dirección de origen.
El túnel IPSec existente WSS_Tunnel_1 se configura con el proxy local ID 10.1.1.0/24. No coincide con la interfaz tunnel.1 IP 192.168.1.254/32.
En referencia a la guía symantec WSS (pág. 90), solo podemos especificar un proxy ID para la configuración del WSS túnel.
Solución
Para poder monitorear correctamente el túnel IPSec, necesitamos crear un nuevo túnel IPSec con los siguientes parámetros:
– Nombre del túnel IPSec: WSS_Tunnel_2
– Interfaz del túnel: tunnel.1
– Tipo: <follow wss_tunnel_1="" settings="">
– IKE gateway: WSS_IKE_Gateway_1
– perfil crypto IPSec: – Select Tunnel Monitor – Enter <follow wss_tunnel_1="" settings="">
Destination
IP 199.19.248.164 (éste es Sym – Seleccionar perfil de monitor – Haga clic en la pestaña IP
Id. de proxy > Agregar > WSS_Tunnel_2_proxy
– Proxy local ID 192.168.1.254/32
– Proxy remoto ID 199.19.248.164/32
– Haga clic OK para cerrar toda la ventana de diálogo, siga cometiendo
después de configurar la confirmación, deberíamos ver un nuevo túnel WSS_Tunnel_2 el estado de la interfaz es UP (verde).
Para comprobar el estado de la supervisión del túnel de CLI , vea este artículo: Cómo verificar si la supervisión del túnel IPSec está funcionando
idealmente veremos el monitor: encendido y el estado del monitor: arriba con los contadores del monitor respectivos. </follow> </follow> Esto indica que la supervisión del túnel está funcionando.
PBFMonitoreo
Después de configurar correctamente la supervisión del túnel, podemos configurar PBF la supervisión de reglas en Directivas > PolicyReenvío basado. Palo Alto Networks firewall enviará un keep-alive usando Egress Interface IP como dirección de origen.
En este ejemplo, PBF keep-alive se enviará desde la interfaz tunnel.1 (192.168.1.254) al destino 199.19.248.164. Este tráfico hace juego el túnel IPSec WSS_Tunnel_2 configurado arriba.
1) Seleccione la regla existente PBF WSS_OverIPsec_1, haga clic en reenvío lengüeta.
2) Seleccione la casilla de verificación Monitor.
3) Seleccione Perfil del monitor igual que el túnel IPSec WSS_Tunnel_2 perfil del monitor
4) Seleccione 'Inhabilite esta regla si nexthop/monitor ip es inalcanzable'
5) Especifique IP la dirección 199.19.248.164 (aquí centro de datos symantec) IP
6) Haga clic OK para cerrar toda la ventana de diálogo, a continuación, Confirmar
después de la confirmación de configuración, podemos comprobar el PBF estado de supervisión de: la regla de CLI Policy reenvío basada no se aplica cuando el host de supervisión es inalcanzable
Idealmente veremos el estado de NextHop: UP con los respectivos contadores keep-alive KA enviados: y KA got: greater than 0 (zero). Esto indica que PBF la supervisión está funcionando.
Pruebas
Para probar si la supervisión y supervisión del túnel PBF están funcionando según lo esperado, podemos simular derribar el túnel cambiando Tunnel Peer en la consola de administración de IP Symantec. WSS
Additional Information
Acerca de Trans-Proxy (Proxy explícito a través de IPSec):
A la implementación de proxy trans es una en la que el explorador instiga la misma solicitud web como una conexión de proxy explícita, pero es vista por symantec Web Security Service como una solicitud transparente. Esto se logra mediante los PAC archivos instalados en los exploradores que enrutan al firewall dispositivo, que luego proporciona una conexión IPSec al servicio de seguridad web.
La configuración inicial de IPSec VPN entre Palo Alto Networks y firewall Symantec WSS se proporciona en la página 84-97 de Symantec Web Security Service: Firewall / Access Method VPN Guide (versión 6.10.4.3/29 mar 2019).
Para obtener información adicional, Revise los siguientes artículos:
Cómo configurar IPSec VPN
Cómo verificar si la supervisión del túnel IPSec está funcionando
la regla dePolicy reenvío basada no se aplica cuando el host de monitoreo es inalcanzable
Comprender elcomportamiento y las sondas de monitoreo de PBF túneles Enlaces
externos:
Symantec Web Security Service: Firewall / Guía de método de VPN acceso (versión 6.10.4.3/29 mar 2019: Sección De Palo Alto Networks Firewall en p.84-97)
Direcciones del Centro de datos para IP Symantec Web Security Service