实施GlobalProtect, 配置:
- GlobalProtect 客户端在帕洛阿尔托网络上下载并激活 firewall
- 门户配置
- 网关配置
- 信任区之间的路由和GlobalProtect客户(在某些情况下,在GlobalProtect客户端和不受信任的区域)
- 安全和NAT政策允许之间的流量GlobalProtect客户与信任
- 选修的:NAT Policy为了GlobalProtect客户端外出上网(如果未启用拆分隧道)
- 要连接 iOS 或 Android 设备,GlobalProtectapp可以使用。
证书配置:门户配置
建议首先在没有证书配置文件的情况下进行测试,这样可以在初始配置未按预期工作时进行更简单的故障排除。 首先成功配置并测试基本身份验证,然后添加用于证书身份验证的证书配置文件。
门户地址是外面的地址GlobalProtect客户端连接。 在大多数情况下,这是外部接口的IP地址。 网关地址通常在外面是一样的IP地址。
GlobalProtect 连接方法:
- 一经请求:访问时需要手动连接VPN是必须的。
- 用户登录:VPN一旦用户登录到机器就建立。 什么时候SSO已启用,用户凭证会自动从 Windows 登录信息中提取并用于验证GlobalProtect客户端用户。
- 登录前:VPN在用户登录机器之前建立。 此类连接需要机器证书。
代理选项卡包含有关用户可以或不能使用的重要信息GlobalProtect代理人。 启用 Agent User Override-with-comment 允许用户在输入评论或原因后禁用代理。 该评论出现在系统日志中firewall当此用户下次登录时。
为代理用户覆盖选择“已禁用”选项可防止用户禁用GlobalProtect代理人:
网关配置
对于初始测试,Palo Alto Networks 建议配置基本身份验证。 测试完所有内容后,如有必要,可以将通过客户端证书添加身份验证添加到配置中。
向第三方验证设备VPN应用程序,检查“启用X-授权支持”在网关的客户端配置中。 必须为此设置配置组名和密码。
在大多数情况下,对于具有静态公共IP地址,将继承源设置为无。
这IP池设置信息很重要,因为它是池IP解决了firewall分配给连接GP客户。 即使需要将 Global Connect 客户端视为本地网络的一部分以促进路由,Palo Alto Networks 也不建议使用IP在同一子网中的池LAN地址池。 如果源是另一个子网,内部服务器会自动知道将数据包发送回网关。 如果GP客户被发行IP来自同一子网的地址LAN, 那么内部LAN资源永远不会引导他们的流量用于GP帕洛阿尔托网络的客户Firewall(默认GW).
访问路线:
访问路由是要访问的子网GlobalProtect客户端需要连接。 在大多数情况下,这是LAN网络。 强制所有流量通过firewall,即使是用于互联网的流量,需要配置的网络是“0.0.0.0/0”,这意味着所有流量。
如果配置了 0.0.0.0/0,则安全规则可以控制内部LAN资源GlobalProtect客户端可以访问。 如果一个安全policy不允许来自GlobalProtectclients 区域到 Untrust 不受信任的区域,然后从GlobalProtect连接到帕洛阿尔托网络的客户端firewall通过SSL VPN,那么这些客户端只能访问本地资源,并且不允许在 Internet 上访问:
这GlobalProtect客户端区域和隧道必须包含在与其他接口相同的虚拟路由器中。