PBFシマンテックトンネルのトンネルモニタリングとモニタリングの設定方法 WSS
63054
Created On 04/18/19 04:45 AM - Last Modified 03/26/21 17:38 PM
Objective
Symantec Web セキュリティ サービス ( ) をクラウドに実装する ( ) を WSS 使用して、 firewall VPN
IPSec サイト間トンネルを監視 VPN する: 監視対象の転送 ( ) ルール : IP
Policy PBF 監視対象が到達不能な場合はルールを無効にする : PBF IP
IPSec トンネルが UP 有効で PBF HTTP 、トラフィックがシマンテック トンネルに転送される WSS 場合。
IPSec トンネルが DOWN : PBF ルールが無効になり、 HTTP トラフィックはアクティブなルーティング テーブルごとにルーティングされます。
Environment
- パロアルトネットワーク firewall オンサイト
- クラウドのシマンテック WSS
- トランス プロキシ (IPSec 上の明示的なプロキシ) 設計の使用
- IPSec サイト間 VPN トンネルは、パロアルトネットワーク firewall スとシマンテック管理コンソールの両方で設定されます WSS 。
- PBF ルールは、 firewall HTTP シマンテックトンネルにトラフィックを転送するためにパロアルトネットワークで設定 WSS されています
Procedure
この例では、ローカル サイト ネットワーク
(ユーザー サブネット) を使用しています:
– 10.1.1.0/24 ( firewall ゾーン:信頼)
パロアルトネットワーク firewall ス : – トンネル
インターフェイス:トンネル.1 IP アドレス192.168.1.254/32 ( firewall WSS_tunnel)
– IKE ゲートウェイ: ピア IP 199.19.248をWSS_IKE_Gateway_1します。 .164 (これはシマンテック データセンター IP です) –
IPSec トンネル: ローカル プロキシを使用してWSS_Tunnel_1 ID 10.1.1.0/24 (上記のローカル サイト ネットワークと一致する)
– PBF ルール: WSS_OverIPsec_1出力インターフェイストンネル.1
– policy HTTP 信頼ゾーンからWSS_tunnelゾーンへのトラフィックを許可するために必要なセキュリティ規則パロアルト
ネットワーク firewall とシマンテック WSS 管理コンソールの両方が適切に構成されていることを前提に、 IPSec トンネルを UP 監視するために、ネットワーク> IPSec トンネル
トンネルモニタリング
の下にトンネル インターフェイスの状態が (緑) になっている必要があります。 IPSec トンネルの構成で、IPSecトンネルの構成でトンネル モニタのプロパティを有効にする必要> IPSec トンネル> tunnel_name。 パロアルトネットワーク firewall スは、送信元アドレスとしてトンネルインターフェイスを使用してキープアライブ IP を送信します。
既存の IPSec トンネル WSS_Tunnel_1 は、ローカル プロキシ ID 10.1.1.0/24で構成されます。 このインターフェイスは、トンネル IP 192.168.1.254/32と一致しません。
シマンテック WSS 社のガイド(p. 90)を参照すると、 ID トンネル設定に指定できるプロキシは1つだけです WSS 。
解決方法
IPSec トンネルを適切に監視するには、次のパラメータを指定して新しい IPSec トンネルを作成する必要があります:
– IPSec トンネル名: WSS_Tunnel_2
– トンネル インターフェイス:トンネル.1
– タイプ: <follow wss_tunnel_1="" settings="">
– IKE ゲートウェイ: WSS_IKE_Gateway_1
– IPSec 暗号化プロファイル: –<follow wss_tunnel_1="" settings="">
トンネル モニターの選択 - 宛先
IP 199.19.248.164を入力します。 (これはシマンテックデータセンター IP です) -
[モニタープロファイル
] - [プロキシID] タブ> [>WSS_Tunnel_2_proxyを追加する – ローカル
プロキシ ID 192.168.1.254/32
– リモートプロキシ ID 199.19.248.164/32
– クリック OK してすべてのダイアログウィンドウを閉じます。 コミットに従って
コミットを設定した後、新しいトンネルWSS_Tunnel_2インターフェイスのステータスが UP (緑)であることがわかります。
からトンネルの監視の状態 CLI を確認するには、この記事を参照してください: IPSec トンネルの監視が動作しているかどうかを確認する方法
理想的には、監視が表示されます: オンと監視状態:各モニター カウンターでアップします。 </follow> </follow> これはトンネルモニタリングが機能していることを示します。
PBF モニタリング
トンネル モニタリングを正常に設定した後、[ PBF ポリシー > Policy ベース転送] でルールの監視を構成できます。 パロアルトネットワークス firewall は、 IP 発信元アドレスとして出力インターフェイスを使用してキープアライブを送信します。
この例では、 PBF キープアライブは tunnel.1 インターフェイス(192.168.1.254)から宛先 199.19.248.164に送信されます。 このトラフィックは、上記で構成 WSS_Tunnel_2 IPSec トンネルと一致します。
1) 既存 PBF のルールWSS_OverIPsec_1を選択し、[転送] タブをクリックします。
2) [モニター]チェックボックスを選択します。
3) IPSec トンネルWSS_Tunnel_2モニタ プロファイル 4 と同じモニタ プロファイルを
選択)[次のホップ/モニタ IP が到達できない場合はこのルールを無効にする]
5) IP アドレス199.19.248.164 (これはシマンテック データセンター IP です)
6) OK すべてのダイアログ ウィンドウを閉じます。
設定コミット後にコミットすると、 PBF CLI Policy監視ホストが到達不能な場合は、次
の状態が適用されないので、監視KAステータスを確認できます。UP KA PBFこれは、監視が動作していることを示します。
テスト
トンネルの監視と PBF 監視が期待どおりに動作しているかどうかをテストするために、 IP シミュレートしてシマンテック管理コンソールでトンネル ピアを変更してトンネルをダウン WSS させることができます。
Additional Information
トランスプロキシ (IPSec 経由の明示的プロキシ) について:
A トランスプロキシの展開は、同じ Web 要求が明示的なプロキシ接続としてブラウザによって起動されるが、Symantec Web セキュリティ サービスによって透過的な要求として表示される 1 つです。 これは、 PAC デバイスにルーティングするブラウザにインストールされているファイルによって実現 firewall され、Web セキュリティ サービスへの IPSec 接続を提供します。
VPNパロアルトネットワーク firewall スとシマンテックの間の最初のIPSecの設定 WSS は、シマンテックウェブセキュリティサービスの84-97ページに提供されています: Firewall / VPN アクセス方法ガイド(バージョン6.10.4.3/29 3月2019)。
詳細については、IPSec の
構成方法 IPSec VPN
トンネル監視が動作しているかどうかを確認する方法
ベースのPolicy転送ルールを監視ホストが到達不能である場合の
動作 PBF およびトンネル監視プローブ
外部リンク:
シマンテック Web セキュリティ サービス: / Firewall VPN アクセス方法ガイド(バージョン 6.10.4.3/29 Mar 2019: パロアルトネットワーク Firewall セクション
IP