Comment configurer GlobalProtect

Pour GlobalProtect implémenter, configurer :

• GlobalProtect client téléchargé et activé sur les réseaux de Palo Alto firewall
• Configuration portail
• Configuration de la passerelle
• Routage entre les zones de confiance GlobalProtect et les clients (et dans certains cas, GlobalProtect entre les clients et les zones non trustées)
• Sécurité et NAT politiques permettant le trafic entre les clients et GlobalProtect Trust
  • Facultatif : NAT Policy pour les clients de sortir sur Internet GlobalProtect (si le tunnelage fractionnel n’est pas activé)
• Pour que les appareils iOS ou Android se connectent, GlobalProtect l’application peut être utilisée.

Configuration portail

Il est recommandé de la première épreuve sans un profil de certificat, qui permet pour un dépannage plus simple, si la configuration initiale ne fonctionne pas comme prévu. Configurez et testez d’abord avec succès l’authentification de base, puis ajoutez le profil de certificat pour l’authentification du certificat.
 

L’adresse du portail est l’adresse où les GlobalProtect clients extérieurs se connectent. Dans la plupart des cas, il s’agit de l’adresse de l’interface IP extérieure. L’adresse de passerelle est généralement la même adresse IP extérieure.
 

GlobalProtect Connecter les méthodes:

• À la demande : Nécessite une connexion manuelle lorsque l’accès à la VPN est nécessaire.
• Logon de l’utilisateur : VPN est établi dès que l’utilisateur se connecte à la machine. SSOLorsqu’elles sont activées, les informations d’identification des utilisateurs sont automatiquement retirées des informations du logo Windows et utilisées pour authentifier GlobalProtect l’utilisateur client.
• Pré-logon: VPN est établi avant que l’utilisateur ne se connecte à la machine. Certificat d’ordinateur est nécessaire pour ce type de connexion.

L’onglet Agent contient des informations importantes concernant ce que les utilisateurs peuvent ou ne peuvent pas faire avec GlobalProtect l’agent. Permettant l’Agent utilisateur Override-avec-commentaire permet aux utilisateurs de désactiver l’agent après être entré dans un commentaire ou une raison. Le commentaire apparaît dans les journaux système du moment firewall où cet utilisateur se connecte à la prochaine.
 

La sélection de l’option « désactivée » pour l’remplacement de l’utilisateur agent empêche les utilisateurs de désactiver GlobalProtect l’agent :
 

Configuration de passerelle
 

Pour le test initial, Palo Alto Networks recommande de configurer l’authentification de base. Lorsque tout a été testé, l’ajout d’authentification via les certificats clients, si nécessaire, peut être ajouté à la configuration.
 

Pour authentifier les périphériques avec une VPN application tierce, vérifiez « Activer X- le support Auth » dans la configuration client de la passerelle. Le nom de groupe et le mot de passe doivent être configurés pour ce paramètre.
 

Dans la plupart des cas, pour les pare-feu avec des adresses IP publiques statiques, définissez la source d’héritage à aucun.
 

IPL’information sur les paramètres du pool est importante, car c’est le pool IP d’adresses que firewall l’on attribue aux GP clients connectés. Même si les clients global connect doivent être considérés comme faisant partie du réseau local, pour faciliter le routage, Palo Alto Networks ne recommande pas d’utiliser IP un pool dans le même sous-réseau que le pool LAN d’adresses. Serveurs internes savent automatiquement pour envoyer des paquets vers la porte d’entrée si la source est un autre sous-réseau. Si les GP clients ont reçu des IP adresses à partir du même sous-réseau que LAN le , alors les ressources internes ne serait jamais diriger leur trafic destiné aux clients LAN vers les réseaux de Palo Alto GP Firewall (par défaut GW ).

Itinéraires d’accès:


 

Les itinéraires d’accès sont les sous-réseaux GlobalProtect auxquels les clients sont censés se connecter. Dans la plupart des cas, ce sont LAN les réseaux. Pour forcer tout le trafic à passer par firewall le , même le trafic destiné à l’Internet, le réseau qui doit être configuré est « 0.0.0.0/0, » ce qui signifie tout le trafic.

Si 0.0.0.0/0 est configuré, la règle de sécurité peut alors contrôler les LAN ressources internes à qui les clients peuvent GlobalProtect accéder. Si un titre policy ne permet pas le trafic de la zone clients à la zone GlobalProtect nontruste, puis à partir des clients connectés aux GlobalProtect réseaux de Palo Alto à travers le , alors ces clients ne peuvent accéder firewall SSL VPN qu’aux ressources locales et ne sont pas autorisés sur Internet:
 

Les GlobalProtect zones clients et les tunnels doivent être inclus dans le même routeur virtuel que les autres interfaces.