如何配置 GlobalProtect

要实施 GlobalProtect ，配置：

• GlobalProtect 客户端在帕洛阿尔托网络上下载并激活 firewall
• 门户配置
• 网关配置
• 信任区和客户之间的路由 GlobalProtect （在某些情况下，客户 GlobalProtect 和不受信任的区域之间）
• NAT允许客户与信托之间进行交易的安全 GlobalProtect 和政策
  • 可选： NAT Policy 客户 GlobalProtect 端可访问互联网（如果无法启用拆分隧道）
• 要连接 iOS 或安卓设备， GlobalProtect 可以使用应用。

门户配置

它被建议不使用证书配置文件，允许简单故障排除，如果初始配置不能按预期的第一次测试。 首先成功配置和测试基本身份验证，然后添加证书配置文件以进行证书认证。
 

门户地址是外部 GlobalProtect 客户端连接的地址。 在大多数情况下，这是外部接口的 IP 地址。 网关地址通常是相同的外部 IP 地址。
 

GlobalProtect 连接方法：

• 按需： 需要手动连接时，访问 VPN 需要。
• 用户登录： VPN 用户登录机器后立即建立。 SSO启用后，用户凭据会自动从 Windows 徽标信息中提取，用于对 GlobalProtect 客户端用户进行身份验证。
• 预登录： VPN 在用户登录到计算机之前建立。 机器证书所需的此类型的连接。

代理选项卡包含有关用户可以或不能使用代理做什么的重要信息 GlobalProtect 。 启用代理用户重写与注释允许用户输入的注释或原因后禁用代理。 该评论显示在 firewall 下一个用户登录时的系统日志中。
 

选择代理用户覆盖的"禁用"选项可防止用户禁用 GlobalProtect 代理：
 

网关配置
 

对于初始测试，帕洛阿尔托网络建议配置基本身份验证。 测试后，如有必要，可通过客户端证书添加身份验证。
 

要通过第三方应用程序对设备进行身份验证 VPN ，请检查 X- 网关客户端配置中的"启用身份支持"。 必须为此设置配置组名和密码。
 

在大多数情况下，对于具有静态公共地址的防火墙 IP ，将继承源设置为"无"。
 

IP池设置信息很重要，因为它是 IP firewall 分配给连接客户端的地址池 GP 。 即使全球连接客户端需要被视为本地网络的一部分，以方便路由，Palo Alto 网络不建议使用 IP 与地址池相同的子网中的 LAN 池。 内部服务器自动知道回网关发送数据包，如果源是另一个子网。 如果 GP 客户端 IP 的地址来自与子网相同的子网 LAN ，则内部 LAN 资源绝不会将其用于客户端的流量 GP 定向到 Palo Alto 网络 Firewall （默认 GW 值）。

访问路线：


 

访问路线是 GlobalProtect 客户端应连接到的子网。 在大多数情况下，这是 LAN 网络。 要强制所有流量通过 firewall ，甚至用于互联网的流量，需要配置的网络是"0.0.0.0/0"，这意味着所有流量。

如果配置了 0.0.0.0/0，则安全规则可以控制 LAN GlobalProtect 客户可以访问哪些内部资源。 如果安全 policy 不允许从 GlobalProtect 客户区到不信任区的流量，然后通过"通过 GlobalProtect "从客户端连接到 Palo Alto 网络 firewall SSL VPN "，则这些客户只能访问本地资源，并且不允许在互联网上访问：
 

GlobalProtect客户端区域和隧道必须与其他接口包含在同一虚拟路由器中。