Comment configurer la surveillance et la surveillance PBF des tunnels pour le tunnel Symantec WSS

Comment configurer la surveillance et la surveillance PBF des tunnels pour le tunnel Symantec WSS

63060
Created On 04/18/19 04:45 AM - Last Modified 03/26/21 17:40 PM


Objective


Implémenter symantec Web Security Services ( ) dans le cloud en utilisant ou la WSS firewall méthode VPN
d’accès - Surveiller IPSec site-site tunnel: définir ipsec tunnel vers le bas si le suivi est inaccessible VPN - Monitor Based IP
Policy Forwarding ( ) PBF règle: désactiver la règle si PBF le suivi est inaccessible Comportement attendu - Lorsque le tunnel IP IPSec est: règle est activée et le

trafic sera transmis au tunnel
UP PBF HTTP Symantec. WSS
– Lorsque le tunnel IPSec est DOWN : la règle est PBF désactivée et le trafic sera HTTP acheminé selon la table de routage active.

Environment


  • Palo Alto Networks firewall sur place
  • Symantec WSS dans le nuage
  • Utilisation de la conception Trans-Proxy (Explicit Proxy over IPSec)
  • Le tunnel site-site IPSec VPN est configuré à la fois sur Palo Alto Networks firewall et sur la console Symantec WSS Admin
  • PBF règle est configurée sur Palo Alto Networks firewall pour avançons HTTP le trafic vers le tunnel symantec WSS

 

Procedure


Dans cet exemple, nous utilisons les paramètres suivants

Réseau local de site (sous-réseau d’utilisateurs): -
10.1.1.0/24 ( firewall zone: confiance) Palo Alto Networks : –

Interface firewall
tunnel: tunnel.1 avec IP adresse 192.168.1.254/32 ( firewall zone: WSS_tunnel ) –
IKE passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer 199.19.19.32 ( zone: WSS_tunnel ) – passerelle: WSS_IKE_Gateway_1 avec Peer IP 199.19.19.19.32 ( zone: WSS_tunnel 248.164 (c’est le centre de données Symantec) IP – tunnel
IPSec: WSS_Tunnel_1 avec proxy local ID 10.1.1.0/24 (pour correspondre au réseau du site local ci-dessus)
– PBF règle: WSS_OverIPsec_1 avec Egress Interface tunnel.1
– Règle de sécurité nécessaire pour permettre le policy trafic de la zone HTTP de confiance à WSS_tunnel une zone En

supposant que palo Alto Networks et firewall WSS symantec console admin sont correctement configurés, nous devrions voir l’état de l’interface UP tunnel est (vert) sous > réseau IPSec Tunnels

TunnelMonitoring
Pour surveiller le tunnel IPSec, nous devons activer les propriétés tunnel monitor dans la configuration du tunnel IPSec sous réseau > tunnels IPSec > tunnel_name. Palo Alto Networks enverra firewall keep-alive en utilisant l’interface tunnel IP comme adresse source.
Le tunnel IPSec existant WSS_Tunnel_1 est configuré avec local Proxy ID 10.1.1.0/24. Il ne correspond pas tunnel.1 interface IP 192.168.1.254/32.
Se référant au guide Symantec WSS (p. 90), nous ne pouvons spécifier qu’un proxy ID pour la configuration du WSS tunnel.

Solution
Pour pouvoir surveiller correctement le tunnel IPSec, nous devons créer un nouveau tunnel IPSec avec les paramètres suivants :
– IpSec nom du tunnel : WSS_Tunnel_2
– Interface tunnel : tunnel.1
– Type : <follow wss_tunnel_1="" settings="">
– passerelle : IKE WSS_IKE_Gateway_1
– profil IPSec Crypto : <follow wss_tunnel_1="" settings="">
– Sélectionnez Tunnel Monitor
– Entrez Destination IP 199.19.248.164 (ici Sym centre de donnéesantec IP ) –
Sélectionnez profil de moniteur – Cliquez
sur proxy IDs onglet > Ajouter > WSS_Tunnel_2_proxy
- Proxy local ID 192.168.1.254/32
- Proxy à distance ID 199.19.248.164/32
- Cliquez OK pour fermer toute la fenêtre de dialogue, suivre par Commit

Après avoir configuré commit, nous devrions voir un nouveau tunnel WSS_Tunnel_2'interface est UP (Vert).
Pour vérifier l’état de surveillance des tunnels CLI à partir de , voir cet article: Comment vérifier si IPSec Tunnel Monitoring fonctionne

Idéalement, nous verrons moniteur: sur et surveiller l’état: jusqu’à avec les compteurs de moniteur respectifs.  </follow> </follow> Cela indique que la surveillance des tunnels fonctionne.

PBF Surveillance
Après avoir configuré avec succès la surveillance des tunnels, nous pouvons PBF configurer la surveillance des règles dans le cadre Policy >'adage basésur les stratégies . Palo Alto Networks firewall enverra un keep-alive en utilisant Egress Interface IP comme adresse source.

Dans cet exemple, PBF keep-alive sera envoyé de l’interface tunnel.1 (192.168.1.254) à la destination 199.19.248.164. Ce trafic correspond au tunnel IPSec WSS_Tunnel_2 configuré ci-dessus. 

1) Sélectionnez les PBF règles existantes WSS_OverIPsec_1, cliquez sur l’onglet Forwarding.
2) Sélectionnez la case à cocher Monitor.
3) Sélectionnez profil de moniteur le même que IPSec tunnel WSS_Tunnel_2 Monitor Profile
4) Sélectionnez « Désactiver cette règle si nexthop / moniteur ip est inaccessible »
5) Spécifier IP l’adresse 199.19.248.164 (c’est Symantec datacenter IP )
6) Cliquez OK pour fermer toute la fenêtre de dialogue, suivre par Commit Après validation de configuration, nous pouvons vérifier

PBF l’état de surveillance à partir de : règle de forwarding basée CLI Policy n’est pas appliquée lorsque l’hôte de surveillance est inaccessible Idéalement,

nous verrons NextHop Status: avec UP respectivement les compteurs de maintenu en vie KA envoyés: KA et obtenu: plus de 0 (zéro). Cela indique PBF que la surveillance fonctionne.

Tests
Pour tester si la surveillance et la surveillance du tunnel PBF fonctionnent comme prévu, nous pouvons simuler pour faire tomber le tunnel en changeant Tunnel Peer IP dans la console Symantec WSS Admin.

Additional Information


À propos de Trans-Proxy (Explicit Proxy over IPSec) :
A le déploiement trans-proxy est une demande où la même demande web est initiée par le navigateur comme une connexion proxy explicite, mais considérée par le Service de sécurité Web Symantec comme une demande transparente. Ceci est réalisé par les fichiers installés PAC sur les navigateurs qui acheminer vers firewall l’appareil, qui fournit ensuite une connexion IPSec au Service de sécurité Web.

La configuration VPN ipsec initiale entre Palo Alto Networks firewall et Symantec WSS est fournie à la page 84-97 du Service de sécurité Web Symantec : Firewall / Access Method VPN Guide (version 6.10.4.3/29 mars 2019).

Pour plus d’informations, s’il vous plaît examiner les articles
suivants: Comment configurer IPSec VPN
Comment vérifier si IPSec Tunnel Monitoring fonctionne basée
sur la règle dePolicy forwarding n’est pas appliquée lorsque l’hôte de surveillance est
inaccessible Comprendre le comportement de et tunnel PBF sondes de surveillance

liensexternes:
Symantec Web Security Service: / Access Method Firewall VPN Guide (version 6.10.4.3/29 mars 2019: Section Palo Alto Networks sur Firewall p.84-97)
Adresses data center pour IP Symantec Web Security Service
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLeACAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language