Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
設定方法 GlobalProtect - Knowledge Base - Palo Alto Networks

設定方法 GlobalProtect

1033535
Created On 09/25/18 17:27 PM - Last Modified 10/25/24 18:57 PM


Symptom


注: この記事が作成されてから、いくつかの更新が追加されました。以下の記事を確認することをお勧めします。

基本GlobalProtectオンデマンドでの構成

基本GlobalProtectログオン前の構成

基本GlobalProtectユーザーログオンによる構成



Environment


  • Pan-OS
  • グローバルプロテクト


Resolution


実装するGlobalProtect、 構成、設定:

  • GlobalProtect パロアルトネットワークでクライアントをダウンロードしてアクティブ化 firewall
  • ポータル構成
  • ゲートウェイ構成
  • トラスト ゾーンとGlobalProtectクライアント (場合によっては、GlobalProtectクライアントと非信頼ゾーン)
  • セキュリティとNAT間のトラフィックを許可するポリシーGlobalProtectお客様と信頼
    • オプション:NAT PolicyにとってGlobalProtectクライアントがインターネットに接続する (スプリット トンネリングが有効になっていない場合)
  • 接続する iOS または Android デバイスの場合、GlobalProtectappに使える。
証明書の構成:

ユーザーが追加した画像

ユーザーが追加した画像

ポータル構成


ユーザーが追加した画像

ユーザーが追加した画像

 

最初の構成が意図したとおりに機能しない場合は、証明書プロファイルなしで最初にテストすることをお勧めします。これにより、トラブルシューティングが簡単になります。 最初に基本認証の構成とテストを正常に行ってから、証明書認証用の証明書プロファイルを追加します。

ポータル アドレスは、外部のアドレスです。GlobalProtectクライアントが接続します。 ほとんどの場合、これは外部インターフェイスのIP住所。 ゲートウェイアドレスは通常、外部と同じですIP住所。

ユーザーが追加した画像
 

GlobalProtect 接続方法:

  • オンデマンド:へのアクセス時に手動で接続する必要があります。VPN必要とされている。
  • ユーザーログオン:VPNユーザーがマシンにログインするとすぐに確立されます。 いつSSOが有効になっている場合、ユーザー資格情報は Windows ログオン情報から自動的に取得され、認証に使用されます。GlobalProtectクライアント ユーザー。
  • ログオン前:VPNユーザーがマシンにログインする前に確立されます。 このタイプの接続にはマシン証明書が必要です。


[エージェント] タブには、ユーザーがエージェントでできることとできないことに関する重要な情報が含まれています。GlobalProtectエージェント。 Agent User Override-with-comment を有効にすると、ユーザーはコメントまたは理由を入力した後にエージェントを無効にできます。 コメントは、firewallこのユーザーが次にログインするとき。

ユーザーが追加した画像
 

エージェント ユーザー オーバーライドの「無効」オプションを選択すると、ユーザーはエージェントを無効にできなくなります。GlobalProtectエージェント:

ユーザーが追加した画像
 

ゲートウェイ構成

初期テストでは、Palo Alto Networks は基本認証を構成することをお勧めします。 すべてがテストされたら、必要に応じて、クライアント証明書による認証を構成に追加できます。

ユーザーが追加した画像

ユーザーが追加した画像
 

サードパーティでデバイスを認証するにはVPNアプリケーションで、「有効にする」にチェックを入れますX-ゲートウェイのクライアント構成で「Auth Support」を選択します。 この設定には、グループ名とパスワードを構成する必要があります。

ユーザーが追加した画像



 

ほとんどの場合、静的パブリックのファイアウォールの場合IP継承元を none に設定します。

のIPのプールであるため、プール設定情報は重要です。IPそのアドレスfirewall接続に割り当てますGPクライアント。 グローバル コネクト クライアントをローカル ネットワークの一部と見なす必要がある場合でも、ルーティングを容易にするために、Palo Alto Networks は、IPと同じサブネット内のプールLANアドレス プール。 ソースが別のサブネットである場合、内部サーバーはパケットをゲートウェイに送り返すことを自動的に認識します。 もしGPクライアントが発行されましたIPと同じサブネットからのアドレスLAN、次に内部LANリソースは、トラフィックをGPパロアルトネットワークへのクライアントFirewall(デフォルトGW)。

ユーザーが追加した画像

アクセスルート:


アクセス ルートは、アクセス先のサブネットです。GlobalProtectクライアントは接続する必要があります。 ほとんどの場合、これはLANネットワーク。 すべてのトラフィックを強制的に通過させるにはfirewall、インターネット向けのトラフィックであっても、設定する必要があるネットワークは「0.0.0.0/0」で、すべてのトラフィックを意味します。

ユーザーが追加した画像

0.0.0.0/0 が設定されている場合、セキュリティ ルールは内部LANリソースGlobalProtectクライアントがアクセスできます。 証券ならpolicyからのトラフィックを許可しません。GlobalProtectクライアント ゾーンから Untrust へ untrusted ゾーンへ、次にからGlobalProtectパロアルトネットワークに接続されたクライアントfirewallを通ってSSL VPNの場合、これらのクライアントはローカル リソースにのみアクセスでき、インターネットでは許可されません。

のスクリーンショットGlobalProtectクライアントゾーン NAT
 

のスクリーンショットGlobalProtectクライアント ゾーン セキュリティ
 

のGlobalProtectクライアント ゾーンとトンネルは、他のインターフェイスと同じ仮想ルーターに含める必要があります。

 



Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFbCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language