Ist es erforderlich, Tunnelschnittstellenadressen IP mit A Sicherheit Policy auf dem Firewallzuzulassen?
12829
Created On 09/15/22 03:21 AM - Last Modified 03/24/23 07:29 AM
Question
Ist es erforderlich, Tunnelschnittstellenadressen IP mit A Sicherheit Policy auf dem Firewallzuzulassen?
Environment
- Palo Alto Networks Firewalls.
- Unterstützt PAN-OS.
- IPSec-Tunnel.
- Tunnelüberwachung.
Answer
- Wenn ein Standort-zu-Standort-Tunnel mit statischem Routing konfiguriert ist, ist für die Tunnelschnittstelle keine IP Adresse erforderlich. Um die Tunnelüberwachung zu aktivieren, erwägen Sie, eine IP Adresse hinzuzufügen.
- Wenn die Pfadüberwachung für die statische Route für VPN den Tunnel aktiviert ist und so konfiguriert ist, dass die Tunnelschnittstellenadressen des Peers überwacht werden, müssen die VPN Tunnelschnittstellenadressen IP IP in einer Sicherheit policy zugelassen werden, um den Tunnel aufrechtzuerhalten.
- Wenn Sie die Sicherheit einschränken, um bestimmte Quell- und Zieladressen/Adressobjekte/-gruppen zuzulassen, stellen Sie sicher, dass die Tunnelschnittstellenadressen IP im Falle des oben genannten Konfigurationsszenarios in der Sicherheit policy policy zulässig sind.
- Wenn die Tunneladressen IP in einer Sicherheitsregel nicht zulässig sind, werden die Tunnel durch die Pfadüberwachung heruntergefahren, da die Pings fehlschlagen.
- Man kann die Pfadüberwachung so konfigurieren, dass jede andere IP Adresse hinter dem VPN Tunnel anstelle der Tunnelschnittstellenadresse IP überwacht wird. Für diese Konfiguration ist es nicht erforderlich, Tunnelschnittstellenadressen IP in einer Sicherheit policyzuzulassen.