是否需要允许隧道接口IP地址与A安全Policy在Firewall?
12793
Created On 09/15/22 03:21 AM - Last Modified 03/24/23 07:29 AM
Question
是否需要允许隧道接口IP地址与A安全Policy在Firewall?
Environment
- 帕洛阿尔托网络防火墙。
- 支持的PAN-OS.
- IPSec 隧道。
- 隧道监控。
Answer
- 当站点到站点隧道配置静态路由时,隧道接口不需要IP地址。 要启用隧道监控,请考虑添加一个IP地址。
- 如果在静态路由上启用路径监控VPN隧道,它被配置为监视VPN对端的隧道接口IP地址,那么有必要允许隧道接口IP安全地址policy保持隧道畅通。
- 在缩小安全范围的同时policy要允许特定的源和目标地址/地址对象/组,请确保隧道接口IP安全地址是允许的policy在上述配置场景的情况下。
- 如果隧道IP安全规则中不允许地址,路径监控将关闭隧道,因为 ping 将失败。
- 可以配置路径监控以监控任何其他IP后面的地址VPN隧道而不是隧道接口IP地址。 此配置不需要允许隧道接口IP安全地址policy.