赛 PBF 门铁克隧道如何配置 WSS 隧道监控
63048
Created On 04/18/19 04:45 AM - Last Modified 03/26/21 17:39 PM
Objective
WSS在云中使用或访问方法()中实施赛门铁克网络安全服务 firewall VPN
()-监控IPSec站点到站点 VPN 隧道:如果监控无法到达,将IPSec隧道设置下来 IP
——基于监视器 Policy 的转发 PBF ()规则: PBF 如果监控 IP 是无法到达的预期行为,则禁用规则
——当IPSec隧道是 UP : PBF 规则启用, HTTP 流量将转发给赛门铁克 WSS 隧道。
–当IPSec隧道是 DOWN : PBF 规则被禁用, HTTP 交通将根据活动路由表路由。
Environment
- 帕洛阿尔托网络 firewall 现场
- 云中的赛门铁克 WSS
- 使用跨代理(IPSec 的显式代理)设计
- IPSec 站点到站 VPN 隧道均配置在帕洛阿尔托网络 firewall 和赛门铁克 WSS 管理控制台上
- PBF 规则在帕洛阿尔托网络上配置 firewall , 以将 HTTP 流量转发到赛门铁克 WSS 隧道
Procedure
在本示例中,我们使用的是以下参数
本地站点网络(用户子网):
– 10.1.1.0/24 ( firewall 区域:信任)
帕洛阿尔托网络 firewall : –
隧道接口: Tunnel.1地址 IP 192.168.1.254/32 ( firewall 区域: WSS_tunnel)
- IKE 网关: WSS_IKE_Gateway_1与同行 IP 199.19.2 48.164 (这是赛门铁克数据中心 IP ) -
IPSec 隧道: WSS_Tunnel_1本地代理 ID 10.1.1.0/24 (以匹配上述本地站点网络)
- PBF 规则: WSS_OverIPsec_1与出口接口隧道.1
- 必要的安全 policy 规则,允许 HTTP 流量从信任区到WSS_tunnel区
假设帕洛阿尔托网络 firewall 和赛门铁克 WSS 管理员控制台都配置得当, 我们应该看到隧道接口状态是 UP (绿色)下网络>IPSec隧道
隧道监控
监控IPSec隧道, 我们需要在 IPSec 隧道配置中启用IPSec隧道配置中的隧道监控属性,> IPSec 隧道> tunnel_name。 帕洛阿尔托网络 firewall 将发送使用隧道接口 IP 作为源地址保持活力。
现有的 IPSec 隧道WSS_Tunnel_1配置为本地代理 ID 10.1.1.0/24。 它与隧道不匹配。1接口 IP 192.168.1.254/32。
参照赛门铁克 WSS 指南(第90页),我们只能指定一个 ID WSS 隧道配置代理。
解决方案
要能够正确监控 IPSec 隧道,我们需要创建一个新的 IPSec 隧道,其参数如下: -
IPSec 隧道名称: WSS_Tunnel_2
- 隧道接口:隧道.1
- 类型:<follow wss_tunnel_1="" settings="">
网 IKE 关: WSS_IKE_Gateway_1
- IPSec 加密配置文件: <follow wss_tunnel_1="" settings="">
- 选择隧道监视器 -
输入目的地 IP 199.19.248164 (这是 赛门铁克数据中心 IP
)-选择监视器个人资料
-单击代理ID选项卡>添加>WSS_Tunnel_2_proxy-
本地代理 ID 192.168.1.254/32–
远程代理 ID 199.19.248.164/32-
点击 OK 关闭所有对话窗口, 在
配置提交后遵循提交, 我们应该看到一个新的隧道WSS_Tunnel_2接口状态是 UP (绿色)。
要检查隧道监控状态 CLI ,请参阅本文:如何验证 IPSec 隧道监控是否正常工作
,我们将看到监视器:打开和监控状态:使用相应的监视器计数器。 </follow> </follow> 这表明隧道监控工作正常。
PBF监测
在成功配置隧道监控后,我们可以 PBF 根据Policy基于转发的政策配置规则监控>。 帕洛阿尔托网络 firewall 将发送一个保持使用出口接口 IP 作为源地址。
在此示例 PBF 中,从隧道.1接口(192.168.1.254)发送到目的地199.19.248.164。 此流量与上面配置的 IPSec 隧道 WSS_Tunnel_2 匹配。
1) 选择现有的 PBF 规则 WSS_OverIPsec_1,单击转发选项卡。
2) 选择监视器复选框。
3) 选择与 IPSec 隧道 WSS_Tunnel_2 监视器配置文件相同的监视器配置文件
4) 选择"如果下一个商店/监视器 IP 无法访问,则禁用此规则"
5) 指定 IP 地址199.19.248.164 (这是赛门铁克数据中心 IP )
6) 单击 OK 以关闭所有对话窗口, 按照提交
配置提交后,我们可以 PBF 检查监控状态从 CLI :Policy 基于转发规则不适用时,监控主机是无法到达
理想情况下,我们将看到 下一个Hop状态: UP 与各自的保持活着的计数器 KA 发送: 并 KA 得到了: 大于0(零)。 这表明 PBF 监视工作正常。
测试
为了测试隧道监控和 PBF 监控是否如预期的那样工作,我们可以模拟通过 IP 在赛门铁克管理控制台中更改隧道对等来降低隧道 WSS 。
Additional Information
关于跨代理(IPSec 上的明确代理):
A 跨代理部署是由浏览器作为明确的代理连接煽动的相同 Web 请求,但赛门铁克网络安全服务将此视为透明请求。 这是通过路 PAC 由到设备的浏览器上安装的文件实现的 firewall ,然后该文件为 Web 安全服务提供 IPSec 连接。
VPN帕洛阿尔托网络和赛门铁克之间的初始 IPSec 设置 firewall WSS 在赛门铁克网络安全服务的第 84-97 页提供 Firewall :/ VPN 访问方法指南(2019 年 3 月 6.10.4.3/29 版)。
有关其他信息, 请查看以下文章:
如何配置 IPSec VPN
如何验证 IPSec 隧道监控是否基于转发
Policy规则是否有效,当监控主机无法访问时
,理解行为 PBF 和隧道监控探头
外部链接:
赛门铁克网络安全服务:/ Firewall VPN 访问方法指南(版本 6.10.4.3/29 三月 2019: 帕洛阿尔托网络部分 Firewall p.84-97)
IP 赛门铁克网络安全服务的数据中心地址