Hola,
Comprender y dominar el proceso de interacción de protocolo interno de un servicio es fundamental para configurar políticas de seguridad. Para configurar políticas de seguridad, debe estar familiarizado con los servicios, incluyendo principios de servicio (protocolos, puertos e intercambio de paquetes) y relaciones de acceso al servicio en la red (dirección IP de origen/destino y zona de seguridad de origen/destino).
VPN es el servicio más común y complejo en firewalls. En un escenario típico de aplicación VPN IPsec, las gateways VPN (Firewall_A y Firewall_B) negocian la asociación de seguridad (SA) a través del protocolo de intercambio de claves de Internet (IKE), y luego utilice el protocolo de Encabezado de autenticación negociado (AH) o carga útil de seguridad encapsulado (ESP) para proporcionar autenticación o transmisión cifrada, como se muestra en la Figura 1-1.Los mensajes ISAKMP se utilizan para la negociación IKE y se encapsulan en paquetes UDP.El número de puerto UDP es 500.ESP proporciona las funciones de autenticación y cifrado, mientras que AH proporciona únicamente la función de autenticación.Por lo tanto, suele utilizarse ESP.
Generalmente, los dispositivos de subred en ambos extremos del túnel VPN de sitio a sitio pueden iniciar el acceso al servicio. Por lo tanto, tanto Firewall_A como Firewall_B pueden iniciar la negociación IKE. La figura siguiente enumera la configuración típica de políticas de seguridad.La dirección IP de origen y destino en las políticas de seguridad en Firewall_A son las direcciones IP de destino y origen en las políticas de seguridad en Firewall_B.Las zonas de seguridad de origen y destino en las políticas de seguridad en Firewall_A son las zonas de seguridad de destino y origen en las políticas de seguridad en Firewall_B.
Espero les sea de ayuda.