実装するGlobalProtect、 構成、設定:
- GlobalProtect パロアルトネットワークでクライアントをダウンロードしてアクティブ化 firewall
- ポータル構成
- ゲートウェイ構成
- トラスト ゾーンとGlobalProtectクライアント (場合によっては、GlobalProtectクライアントと非信頼ゾーン)
- セキュリティとNAT間のトラフィックを許可するポリシーGlobalProtectお客様と信頼
- オプション:NAT PolicyにとってGlobalProtectクライアントがインターネットに接続する (スプリット トンネリングが有効になっていない場合)
- 接続する iOS または Android デバイスの場合、GlobalProtectappに使える。
証明書の構成:ポータル構成
最初の構成が意図したとおりに機能しない場合は、証明書プロファイルなしで最初にテストすることをお勧めします。これにより、トラブルシューティングが簡単になります。 最初に基本認証の構成とテストを正常に行ってから、証明書認証用の証明書プロファイルを追加します。
ポータル アドレスは、外部のアドレスです。GlobalProtectクライアントが接続します。 ほとんどの場合、これは外部インターフェイスのIP住所。 ゲートウェイアドレスは通常、外部と同じですIP住所。
GlobalProtect 接続方法:
- オンデマンド:へのアクセス時に手動で接続する必要があります。VPN必要とされている。
- ユーザーログオン:VPNユーザーがマシンにログインするとすぐに確立されます。 いつSSOが有効になっている場合、ユーザー資格情報は Windows ログオン情報から自動的に取得され、認証に使用されます。GlobalProtectクライアント ユーザー。
- ログオン前:VPNユーザーがマシンにログインする前に確立されます。 このタイプの接続にはマシン証明書が必要です。
[エージェント] タブには、ユーザーがエージェントでできることとできないことに関する重要な情報が含まれています。GlobalProtectエージェント。 Agent User Override-with-comment を有効にすると、ユーザーはコメントまたは理由を入力した後にエージェントを無効にできます。 コメントは、firewallこのユーザーが次にログインするとき。
エージェント ユーザー オーバーライドの「無効」オプションを選択すると、ユーザーはエージェントを無効にできなくなります。GlobalProtectエージェント:
ゲートウェイ構成
初期テストでは、Palo Alto Networks は基本認証を構成することをお勧めします。 すべてがテストされたら、必要に応じて、クライアント証明書による認証を構成に追加できます。
サードパーティでデバイスを認証するにはVPNアプリケーションで、「有効にする」にチェックを入れますX-ゲートウェイのクライアント構成で「Auth Support」を選択します。 この設定には、グループ名とパスワードを構成する必要があります。
ほとんどの場合、静的パブリックのファイアウォールの場合IP継承元を none に設定します。
のIPのプールであるため、プール設定情報は重要です。IPそのアドレスfirewall接続に割り当てますGPクライアント。 グローバル コネクト クライアントをローカル ネットワークの一部と見なす必要がある場合でも、ルーティングを容易にするために、Palo Alto Networks は、IPと同じサブネット内のプールLANアドレス プール。 ソースが別のサブネットである場合、内部サーバーはパケットをゲートウェイに送り返すことを自動的に認識します。 もしGPクライアントが発行されましたIPと同じサブネットからのアドレスLAN、次に内部LANリソースは、トラフィックをGPパロアルトネットワークへのクライアントFirewall(デフォルトGW)。
アクセスルート:
アクセス ルートは、アクセス先のサブネットです。GlobalProtectクライアントは接続する必要があります。 ほとんどの場合、これはLANネットワーク。 すべてのトラフィックを強制的に通過させるにはfirewall、インターネット向けのトラフィックであっても、設定する必要があるネットワークは「0.0.0.0/0」で、すべてのトラフィックを意味します。
0.0.0.0/0 が設定されている場合、セキュリティ ルールは内部LANリソースGlobalProtectクライアントがアクセスできます。 証券ならpolicyからのトラフィックを許可しません。GlobalProtectクライアント ゾーンから Untrust へ untrusted ゾーンへ、次にからGlobalProtectパロアルトネットワークに接続されたクライアントfirewallを通ってSSL VPNの場合、これらのクライアントはローカル リソースにのみアクセスでき、インターネットでは許可されません。
のGlobalProtectクライアント ゾーンとトンネルは、他のインターフェイスと同じ仮想ルーターに含める必要があります。