limitation du nom GlobalProtect du processus de demande d’inclure ou d’exclure le client
13183
Created On 05/15/20 23:21 PM - Last Modified 05/20/22 20:12 PM
Symptom
- À GlobalProtect partir de la version 4.1 de l’application, avec Firewall PAN-OS l’exécution de 8.1 sous le nom GlobalProtect de Passerelle, les utilisateurs peuvent GlobalProtect configurer la base Split Tunnel sur le trafic provenant du processus client.
- Dans certains cas, l’application au point final créerait des sous-répertoires distincts avec des fichiers d’application enfant à l’intérieur dynamiquement, et la connexion réseau serait provenant de l’application dans ces sous-répertoires.
- Un exemple d’une telle application est GoToMeeting.Traçant l’application qui ouvre la connexion réseau, nous avons pu trouver un chemin de dossier comme:
C:\Users\user\AppData\Local\GoToMeeting\17359\g2mcomm.exe C:\Users\user\AppData\Local\GoToMeeting\18223\g2mcomm.exe
Étant donné que les sous-répertoires et les fichiers d’application correspondants sont créés et supprimés dynamiquement, le client voudrait utiliser wildcard dans les noms de processus de demande lors de la configuration de Split Tunnel, par exemple :
Un tel format de chemin de dossier lorsqu’il est configuré ne fonctionnera pas. limitiation
%LOCALDATA%\GoToMeeting\*\g2mcoom.exe
Un tel format de chemin de dossier lorsqu’il est configuré ne fonctionnera pas. limitiation
Environment
- Hébergement GlobalPortect Gateway sur Firewall l’exécution PAN-OS 8.1 ou au-dessus
- GlobalProtect Application 4.1 et au-dessus
- Paramètres du tunnel fractionnement
Cause
Actuellement wildcard n’est pas pris en charge dans le processus et le chemin de dossier pour le moment.
Resolution
- N’utilisez pas wildcard dans le paramètre de nom du processus de demande car il n’est actuellement pas pris en charge.
- Pour le moment, aucune autre solution ou solution de contournement n’est disponible.
- S’il s’agit d’une fonctionnalité requise qui doit être prise en GlobalProtect charge, soumettez une demande de fonctionnalité avec l’ingénieur systèmes désigné ou l’équipe de compte.