Cómo configurar GlobalProtect

Para implementar GlobalProtect , configurar:

• GlobalProtect cliente descargado y activado en palo alto networks firewall
• Configuración de portal
• Configuración de Gateway
• Enrutamiento entre las zonas de confianza y GlobalProtect los clientes (y en algunos casos, entre los GlobalProtect clientes y las zonas que no son de confianza)
• Seguridad y NAT políticas que permiten el tráfico entre los clientes y GlobalProtect Trust
  • Opcional: NAT Policy para que los clientes salgan a Internet GlobalProtect (si la tunelización dividida no está habilitada)
• Para que los dispositivos iOS o Android se conecten, GlobalProtect se puede usar la aplicación.

Configuración de portal

Se recomienda para la primera prueba sin un perfil certificado, que permite la solución de problemas más simples, si la configuración inicial no funciona según lo previsto. Primero configure y pruebe correctamente la autenticación básica y, a continuación, agregue el perfil de certificado para la autenticación de certificados.
 

La dirección del portal es la dirección donde se GlobalProtect conectan los clientes externos. En la mayoría de los casos, esta es la dirección de la interfaz IP externa. La dirección de puerta de enlace suele ser la misma IP dirección externa.
 

GlobalProtect Métodos de conexión:

• Bajo demanda: Requiere conectarse manualmente cuando se requiere acceso a VPN la.
• Inicio de sesión del usuario: VPN se establece tan pronto como el usuario inicia sesión en la máquina. Cuando SSO está habilitada, las credenciales de usuario se extraen automáticamente de la información de inicio de sesión de Windows y se usan para autenticar al GlobalProtect usuario cliente.
• Inicio de sesión previo: VPN se establece antes de que el usuario inicie sesión en el equipo. Certificado de equipo se requiere para este tipo de conexión.

La pestaña Agente contiene información importante sobre lo que los usuarios pueden o no pueden hacer con el GlobalProtect agente. Permitir anulación con comentario de agente de usuario permite a los usuarios desactivar al agente después de entrar en un comentario o una razón. El comentario aparece en los registros del sistema de firewall cuando este usuario inicia sesión a continuación.
 

La selección de la opción "deshabilitado" para Anulación de usuario del agente impide que los usuarios deshabiliten el GlobalProtect agente:
 

Configuración de puerta de enlace
 

Para las pruebas iniciales, Palo Alto Networks recomienda configurar autenticación básica. Cuando todo se ha probado, agregar autenticación a través de certificados de cliente, si es necesario, se puede agregar a la configuración.
 

Para autenticar dispositivos con una aplicación de VPN terceros, marque "Habilitar X- soporte de autenticación" en la configuración de cliente de la puerta de enlace. El nombre del grupo y la contraseña deben configurarse para esta configuración.
 

En la mayoría de los casos, para firewalls con direcciones públicas estáticas, IP establezca el origen de herencia en ninguno.
 

La IP información de configuración del grupo es importante, porque es el grupo de direcciones que asigna a los clientes de IP firewall GP conexión. Incluso si los clientes de Global Connect necesitan ser considerados como parte de la red local, para facilitar el enrutamiento, Palo Alto Networks no recomienda usar un IP grupo en la misma subred que el grupo de LAN direcciones. Servidores internos automáticamente saben que para enviar paquetes a la puerta de entrada si la fuente es otra subred. Si GP los clientes se emitieran IP direcciones desde la misma subred que el , los recursos internos nunca LAN LAN dirigirían su tráfico destinado a los clientes GP a las redes de Palo Alto Firewall (valor GW predeterminado).

Rutas de acceso:


 

Las rutas de acceso son las subredes a las que se espera que GlobalProtect se conecten los clientes. En la mayoría de los casos, éstas son las LAN redes. Para forzar todo el tráfico a pasar por el firewall , incluso el tráfico destinado a Internet, la red que necesita ser configurada es "0.0.0.0/0", que significa todo el tráfico.

Si se configura 0.0.0.0/0, la regla de seguridad puede controlar a continuación a qué recursos internos LAN pueden acceder los GlobalProtect clientes. Si una seguridad policy no permite el tráfico desde la zona de los clientes a la zona no GlobalProtect confiable, entonces de los clientes GlobalProtect conectados a las redes de Palo Alto firewall a través de la , entonces esos clientes pueden acceder solamente a los recursos locales y no SSL VPN se permiten en Internet:
 

Las GlobalProtect zonas de los clientes y los túneles se deben incluir en el mismo router virtual que las otras interfaces.