X-防火墙中的 Auth 支持是什么 PAN ,以及如何排除故障?
29010
Created On 09/17/20 15:03 PM - Last Modified 03/28/23 02:32 AM
Question
- 什么是 X- 奥思?
- 如何排除 X- 身份验证?
Environment
- 帕洛阿尔托网络防火墙运行 PAN-OS 8.1 及以上
- 这假定客户 Globalprotect 已经设置了门户和网关,并启用了 X- 网关上的 Auth 支持。 此配置位于网络>>网关>>代理>>隧道设置>>启用 X- 身份支持
- 它还假定客户端已正确配置第三方 VPN 客户端应用程序。
Answer
什么是 X- 奥思,它是如何工作的 firewall ?
- Xauth(内部扩展身份验证 IKE )是帕洛阿尔托网络 VPN 用于支持使用网关的第三方软件 Globalprotect 。
- 它允许第三方 VPN 客户端通过 Globalprotect 身份验证配置文件进行身份验证,作为谈判的一部分 IKE 。
- IKE V。1必须用于第三方客户端。
- 支持 IPSec 客户端:第三方 VPN 客户支持
- 帕洛阿尔托网络 firewall 使用 OpenSL 加密库 -参考: GlobalProtect 应用加密功能
- 客户在第三方应用程序中设置加密配置,只要 firewall 支持这些参数(并且 PSK 是正确的), IKE 第 1 阶段和第 2 阶段就应成功协商。
- Globalprotect IPsec加密配置文件不用于 X- 身份验证客户端。
- 最终设备只需在设备本身和 Globalprotect 网关接口之间设置一个隧道。
- 隧道的故障排除与任何 IPSec 隧道的故障排除方式大致相同。 有关可用资源列表,请参阅下面的文档。
- 以下是 X- Auth 在网站上所做的描述 IETF :
IKE[]允许设备
使用预共享密钥或数字证书使用双向身份验证方法设置安全会话
。 然而 IKE ,[]没有提供一种方法来
利用今天广泛部署的遗留身份验证方法
。
本文档描述了使用现有单向
身份验证机制(如 RADIUS "SecurID")的方法,以及 OTP
IPsec 协议中 ISAKMP 的方法。 本草案的目的不是
替换或加强 []中描述的现有身份验证机制
IKE ,而是允许使用传统
身份验证机制扩展这些认证机制。
此协议的设计方式是,扩展身份验证
可以使用第 1 阶段(即
主模式或侵略性模式)的任何操作模式以及
[]支持的任何身份验证方法来完成 IKE 。 此协议也可以轻松扩展以
支持新的模式或身份验证方法。
但是,此协议确实要求第 1 阶段身份验证方法完全
安全。