Acerca de las Políticas IKEv2
Cuando configura una VPN móvil, el Firebox crea automáticamente dos tipos de políticas:
Política de conexión
La política de conexión permite que se establezca la VPN. Para Mobile VPN with IKEv2, la política de conexión se denomina Allow-IKE-to-Firebox. Esta política está oculta, lo que significa que no aparece en la lista de políticas de Firebox.
En los ajustes globales de la VPN, el ajuste Habilitar la política IPSec incorporada controla esta política. No desmarque la casilla de selección Habilitar la política IPSec incorporada. Para obtener más información sobre los ajustes globales de la VPN, consulte Acerca de las Configuraciones de VPN Global.
Política de acceso
La política de acceso permite que los grupos y usuarios de Mobile VPN with IKEv2 tengan acceso a los recursos de su red. Para Mobile VPN with IKEv2, la política de acceso se denomina Allow IKEv2-Users.
De forma predeterminada, la política Allow IKEv2-Users permite a los usuarios acceder a todos los recursos de la red. Esto ocurre porque la lista Hacia en la política Allow IKEv2-Users incluye solo el alias Cualquiera.
Solo el grupo IKEv2-Users aparece en la lista Desde de la política Allow IKEv2-Users. El grupo IKEv2-Users incluye cualquier usuario y grupo que usted agregue a la configuración de Mobile VPN with IKEv2. Los usuarios y grupos que usted agregue a la configuración de Mobile VPN with IKEv2 no aparecen en la lista Desde de la política Allow IKEv2-Users. Sin embargo, la política aún se aplica a esos usuarios y grupos.
Grupos de Autenticación y Políticas IKEv2
Es importante comprender que las políticas de Firebox controlan a qué recursos pueden acceder los usuarios de VPN móvil. Las VPN no se consideran parte de las zonas de confianza u opcionales. Cuando los usuarios se conectan a la VPN, no se los considera usuarios de confianza en la red local.
Esto significa que las políticas del Firebox con los alias De confianza u Opcional en la lista Desde no se aplican al tráfico de usuarios de la VPN móvil a menos que usted agregue grupos o usuarios de VPN móvil a esas políticas. O bien puede crear nuevas políticas para el tráfico de grupos y usuarios de VPN móvil.
Por ejemplo, esta política no se aplica al tráfico de los usuarios de Mobile VPN with IKEv2 porque a lista Desde incluye solo el alias Cualquiera-De Confianza:
Esta política se aplica al tráfico de usuarios de Mobile VPN with IKEv2 porque la lista Desde incluye un grupo de usuarios de Mobile VPN with IKEv2:
Esta política también se aplica al tráfico de usuarios de Mobile VPN with IKEv2 porque el grupo de usuarios de RADIUS llamado TestGroup1 se especifica en la configuración de Mobile VPN with IKEv2:
Considere atentamente qué grupos de usuarios agrega a las políticas de Firebox. Por ejemplo, si agrega grupos de usuarios RADIUS a la configuración de autenticación en su Firebox, y agrega los mismos grupos a su configuración de Mobile VPN with IKEv2, considere agregar los grupos de RADIUS a las políticas del Firebox, en lugar del grupo predeterminado. IKEv2-Users. El grupo IKEv2-Users incluye todos los grupos y usuarios que usted agregue a la configuración de Mobile VPN with IKEv2. Si agrega el grupo IKEv2-Users a una política de Firebox, todos los usuarios móviles tienen acceso a los recursos especificados en esa política, lo que podría no ser su intención.
Los grupos de direcciones IP virtuales no afectan si los usuarios de VPN se consideran usuarios de confianza o no en la red local. Por ejemplo, si especifica un grupo de direcciones IP para Mobile VPN with IKEv2 que se superpone con el rango de direcciones IP de su red local, los usuarios de la VPN móvil todavía no se consideran usuarios de confianza en la red local.
Prácticas Recomendadas para las Políticas IKEv2
Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with IKEv2 pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow IKEv2-Users.
Para reemplazar la política Allow IKEv2-Users:
- Determine los puertos y protocolos que sus usuarios necesitan. Para determinar esto, evalúe su red con pruebas de valores de referencia y vea los registros.
- Agregue grupos y usuarios de Mobile VPN with IKEv2 a las políticas existentes del Firebox que especifican esos puertos y protocolos. Por ejemplo, puede agregar grupos y usuarios de Mobile VPN with IKEv2 a las políticas para el tráfico web.
- Si es necesario, agregue políticas nuevas:
- Cuando selecciona un tipo de política para la nueva política, puede especificar un protocolo y un puerto.
- En la lista de la política Desde, especifique usuarios o grupos. Debe especificar grupos o usuarios incluidos en la configuración de Mobile VPN with IKEv2. Por ejemplo, puede especificar el grupo predeterminado IKEv2-Users. O bien especifique los grupos y usuarios que agregó a la configuración de Mobile VPN with IKEv2.
- En la lista Hasta de la política, elimine el alias Cualquiera y agregue otros destinos.
- Antes de deshabilitar la política Allow IKEv2-Users, asegúrese de que sus políticas permitan que los usuarios de Mobile VPN with IKEv2 accedan a todos los recursos de red necesarios.
- Deshabilite la política Allow IKEv2-Users.
Ver También
Editar la Configuración de Mobile VPN with IKEv2
Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2