Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何配置 GlobalProtect - Knowledge Base - Palo Alto Networks

如何配置 GlobalProtect

1033535
Created On 09/25/18 17:27 PM - Last Modified 10/25/24 18:57 PM


Symptom


注意:自撰写本文以来,已添加了一些更新,我们建议查看以下文章:

基本的GlobalProtect按需配置

基本的GlobalProtect登录前配置

基本的GlobalProtect配置用户登录



Environment


  • Pan-OS
  • 全球保护


Resolution


实施GlobalProtect, 配置:

  • GlobalProtect 客户端在帕洛阿尔托网络上下载并激活 firewall
  • 门户配置
  • 网关配置
  • 信任区之间的路由和GlobalProtect客户(在某些情况下,在GlobalProtect客户端和不受信任的区域)
  • 安全和NAT政策允许之间的流量GlobalProtect客户与信任
    • 选修的:NAT Policy为了GlobalProtect客户端外出上网(如果未启用拆分隧道)
  • 要连接 iOS 或 Android 设备,GlobalProtectapp可以使用。
证书配置:

用户添加的图像

用户添加的图像

门户配置


用户添加的图像

用户添加的图像

 

建议首先在没有证书配置文件的情况下进行测试,这样可以在初始配置未按预期工作时进行更简单的故障排除。 首先成功配置并测试基本身份验证,然后添加用于证书身份验证的证书配置文件。

门户地址是外面的地址GlobalProtect客户端连接。 在大多数情况下,这是外部接口的IP地址。 网关地址通常在外面是一样的IP地址。

用户添加的图像
 

GlobalProtect 连接方法:

  • 一经请求:访问时需要手动连接VPN是必须的。
  • 用户登录:VPN一旦用户登录到机器就建立。 什么时候SSO已启用,用户凭证会自动从 Windows 登录信息中提取并用于验证GlobalProtect客户端用户。
  • 登录前:VPN在用户登录机器之前建立。 此类连接需要机器证书。


代理选项卡包含有关用户可以或不能使用的重要信息GlobalProtect代理人。 启用 Agent User Override-with-comment 允许用户在输入评论或原因后禁用代理。 该评论出现在系统日志中firewall当此用户下次登录时。

用户添加的图像
 

为代理用户覆盖选择“已禁用”选项可防止用户禁用GlobalProtect代理人:

用户添加的图像
 

网关配置

对于初始测试,Palo Alto Networks 建议配置基本身份验证。 测试完所有内容后,如有必要,可以将通过客户端证书添加身份验证添加到配置中。

用户添加的图像

用户添加的图像
 

向第三方验证设备VPN应用程序,检查“启用X-授权支持”在网关的客户端配置中。 必须为此设置配置组名和密码。

用户添加的图像



 

在大多数情况下,对于具有静态公共IP地址,将继承源设置为无。

这IP池设置信息很重要,因为它是池IP解决了firewall分配给连接GP客户。 即使需要将 Global Connect 客户端视为本地网络的一部分以促进路由,Palo Alto Networks 也不建议使用IP在同一子网中的池LAN地址池。 如果源是另一个子网,内部服务器会自动知道将数据包发送回网关。 如果GP客户被发行IP来自同一子网的地址LAN, 那么内部LAN资源永远不会引导他们的流量用于GP帕洛阿尔托网络的客户Firewall(默认GW).

用户添加的图像

访问路线:


访问路由是要访问的子网GlobalProtect客户端需要连接。 在大多数情况下,这是LAN网络。 强制所有流量通过firewall,即使是用于互联网的流量,需要配置的网络是“0.0.0.0/0”,这意味着所有流量。

用户添加的图像

如果配置了 0.0.0.0/0,则安全规则可以控制内部LAN资源GlobalProtect客户端可以访问。 如果一个安全policy不允许来自GlobalProtectclients 区域到 Untrust 不受信任的区域,然后从GlobalProtect连接到帕洛阿尔托网络的客户端firewall通过SSL VPN,那么这些客户端只能访问本地资源,并且不允许在 Internet 上访问:

的屏幕截图GlobalProtect客户区 NAT
 

的屏幕截图GlobalProtect客户区安全
 

这GlobalProtect客户端区域和隧道必须包含在与其他接口相同的虚拟路由器中。

 



Additional Information




Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFbCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language