構成方法 GlobalProtect
Symptom
注: この資料が作成されたので、いくつかの更新プログラムが追加されましたので、以下の記事を確認することをお勧めします。
Environment
- Pan-OS
- グローバル・プロテクト
Resolution
を実装するには GlobalProtect 、次の項目を構成します。
- GlobalProtect クライアントがダウンロードされ、パロアルトネットワークスでアクティブ化 firewall
- ポータルの構成
- ゲートウェイの構成
- 信頼ゾーンとクライアント間のルーティング GlobalProtect (場合によっては、 GlobalProtect クライアントと信頼されていないゾーンの間)
- クライアントと NAT 信頼の間のトラフィックを許可するセキュリティ GlobalProtect とポリシー
- オプション: NAT Policy GlobalProtect クライアントがインターネットに出るために(スプリットトンネリングが有効になっていない場合)
- iOS または Android デバイスを接続するには、 GlobalProtect アプリを使用できます。
ポータルの構成
意図したとおり初期構成が機能しない場合より簡単なトラブルシューティングを可能にする証明書プロファイルを使用せず最初のテストすることをお勧めします。 最初に基本認証の構成とテストを正常に行い、次に証明書認証用の証明書プロファイルを追加します。
ポータル アドレスは、外部クライアントが GlobalProtect 接続するアドレスです。 ほとんどの場合、これは外部インターフェイスの IP アドレスです。 ゲートウェイ アドレスは通常、同じ外部 IP アドレスです。
GlobalProtect 接続方法:
- オンデマンド: へのアクセスが必要な場合は、手動で接続する VPN 必要があります。
- ユーザー ログオン: VPN は、ユーザーがマシンにログインするとすぐに確立されます。 SSO有効にすると、ユーザー資格情報は Windows ログオン情報から自動的に取得され、クライアント ユーザーの認証に使用されます GlobalProtect 。
- ログオン前: VPN は、ユーザーがマシンにログインする前に確立されます。 コンピューター証明書は、この種類の接続に必要です。
[エージェント] タブには、ユーザーがエージェントで実行できる操作と実行できない操作に関する重要な情報が表示されます GlobalProtect 。 エージェント ユーザーのオーバーライドのコメントを有効にする理由またはコメントを入力した後、エージェントを無効にすることができます。 コメントは、 firewall このユーザが次にログインしたときのシステムログに表示されます。
エージェントユーザーの上書きに対して「無効」オプションを選択すると、ユーザーはエージェントを無効にできません GlobalProtect 。
ゲートウェイの構成
初期のテストは、パロ ・ アルトのネットワークは、基本認証を構成するを推奨します。 すべてがテストされたら、クライアント証明書を介した認証を必要に応じて追加できます。
サードパーティ製アプリケーションでデバイスを認証するには VPN 、 X- ゲートウェイのクライアント設定で[認証サポートを有効にする]をオンにします。 この設定には、グループ名とパスワードを構成する必要があります。
ほとんどの場合、静的なパブリック アドレスを持つファイアウォールの場合 IP は、継承元を none に設定します。
IPプール設定情報は、 IP firewall 接続するクライアントに割り当てるアドレスのプールであるため、重要です GP 。 グローバル接続クライアントをローカル ネットワークの一部として考慮する必要がある場合でも、ルーティングを容易にするために、Palo Alto Networks は IP アドレス プールと同じサブネット内のプールを使用することは推奨しません LAN 。 内部サーバーは、自動的にソースが別のサブネットの場合にパケットをゲートウェイに送信する知っています。 クライアントが GP IP と同じサブネットからアドレスを発行した場合 LAN LAN 、内部リソースはクライアントのトラフィック GP をパロアルトネットワークス Firewall (default) に転送しません GW 。
アクセスルート:
アクセス ルートは、クライアントが接続する GlobalProtect サブネットです。 ほとんどの場合、これはネットワークです LAN 。 インターネット用のトラフィックであっても、すべてのトラフィックを強制的に通過させる場合 firewall 、設定する必要のあるネットワークは "0.0.0.0/0" であり、すべてのトラフィックを意味します。
0.0.0.0/0 が構成されている場合、セキュリティ規則は LAN クライアントがアクセスできる内部リソースを制御できます GlobalProtect 。 セキュリティ policy が GlobalProtect クライアント ゾーンから信頼されていないゾーンへのトラフィックを許可しない場合、Palo GlobalProtect Alto Networks に接続されているクライアントからは、 firewall を介してローカル SSL VPN リソースにのみアクセスでき、インターネット上では許可されません。
GlobalProtectクライアント ゾーンとトンネルは、他のインターフェイスと同じ仮想ルータに含める必要があります。
Additional Information
- 外部ルート証明機関を使用するには、次のリンクを参照してください。HOW TO CONFIGURE GLOBALPROTECT VPN USING AN EXTERNAL ROOT CA