要实施 GlobalProtect ,配置:
- GlobalProtect 客户端在帕洛阿尔托网络上下载并激活 firewall
- 门户配置
- 网关配置
- 信任区和客户之间的路由 GlobalProtect (在某些情况下,客户 GlobalProtect 和不受信任的区域之间)
- NAT允许客户与信托之间进行交易的安全 GlobalProtect 和政策
- 可选: NAT Policy 客户 GlobalProtect 端可访问互联网(如果无法启用拆分隧道)
- 要连接 iOS 或安卓设备, GlobalProtect 可以使用应用。
证书配置:门户配置
它被建议不使用证书配置文件,允许简单故障排除,如果初始配置不能按预期的第一次测试。 首先成功配置和测试基本身份验证,然后添加证书配置文件以进行证书认证。
门户地址是外部 GlobalProtect 客户端连接的地址。 在大多数情况下,这是外部接口的 IP 地址。 网关地址通常是相同的外部 IP 地址。
GlobalProtect 连接方法:
- 按需: 需要手动连接时,访问 VPN 需要。
- 用户登录: VPN 用户登录机器后立即建立。 SSO启用后,用户凭据会自动从 Windows 徽标信息中提取,用于对 GlobalProtect 客户端用户进行身份验证。
- 预登录: VPN 在用户登录到计算机之前建立。 机器证书所需的此类型的连接。
代理选项卡包含有关用户可以或不能使用代理做什么的重要信息 GlobalProtect 。 启用代理用户重写与注释允许用户输入的注释或原因后禁用代理。 该评论显示在 firewall 下一个用户登录时的系统日志中。
选择代理用户覆盖的"禁用"选项可防止用户禁用 GlobalProtect 代理:
网关配置
对于初始测试,帕洛阿尔托网络建议配置基本身份验证。 测试后,如有必要,可通过客户端证书添加身份验证。
要通过第三方应用程序对设备进行身份验证 VPN ,请检查 X- 网关客户端配置中的"启用身份支持"。 必须为此设置配置组名和密码。
在大多数情况下,对于具有静态公共地址的防火墙 IP ,将继承源设置为"无"。
IP池设置信息很重要,因为它是 IP firewall 分配给连接客户端的地址池 GP 。 即使全球连接客户端需要被视为本地网络的一部分,以方便路由,Palo Alto 网络不建议使用 IP 与地址池相同的子网中的 LAN 池。 内部服务器自动知道回网关发送数据包,如果源是另一个子网。 如果 GP 客户端 IP 的地址来自与子网相同的子网 LAN ,则内部 LAN 资源绝不会将其用于客户端的流量 GP 定向到 Palo Alto 网络 Firewall (默认 GW 值)。
访问路线:
访问路线是 GlobalProtect 客户端应连接到的子网。 在大多数情况下,这是 LAN 网络。 要强制所有流量通过 firewall ,甚至用于互联网的流量,需要配置的网络是"0.0.0.0/0",这意味着所有流量。
如果配置了 0.0.0.0/0,则安全规则可以控制 LAN GlobalProtect 客户可以访问哪些内部资源。 如果安全 policy 不允许从 GlobalProtect 客户区到不信任区的流量,然后通过"通过 GlobalProtect "从客户端连接到 Palo Alto 网络 firewall SSL VPN ",则这些客户只能访问本地资源,并且不允许在互联网上访问:
GlobalProtect客户端区域和隧道必须与其他接口包含在同一虚拟路由器中。