Wie man aus dem Inneren der Firewall auf externes GP Portal/GW zugreifen kann
Resolution
Problem
In diesem Beispiel wird eine Gastnetzzone für drahtlose Nutzer verwendet, die nur WWW-Zugang Outbound erlaubt. Der Administrator möchte den Nutzern von Gast Netz Benutzern Zugang zu internen Ressourcen gewähren, möchte aber keine Sicherheitsrichtlinien für das Treuhand Netzwerk öffnen, um eine vollständige Isolation zu gewährleisten.
Als Lösung entscheidet sich der Administrator dafür, dass autorisierte Benutzer innerhalb des Gast Netzwerks sich über Ihre GlobalProtect-Clients an das externe Portal/GW anschließen können, um den Zugang zu internen Ressourcen zu ermöglichen.
Standardmäßig wird die Konnektivität zum Portal/GW fehlschlagen. Der Grund dafür ist, dass Nutzer, die versuchen, sich mit dem Portal zu verbinden, die Untrust-Schnittstelle der Pfanne durchqueren, die die IP-Adresse nutzt, die über das dynamische NAT für den ausgehenden Zugriff (d.h. die IP der L3-Untrust-Schnittstelle IP) zugewiesen wird. Das Ergebnis ist, dass globale Zähler oder Flow-Basic-Protokolle in der Regel auf einen möglichen LAND Angriff/Spoof hindeuten würden, da die Quelle IP des anfragenden Clients (NATd durch die Untrust-Schnittstelle) sich auch mit der gleichen IP verbindet wie ein Ziel für die Kündigung von Portal/GW.
Lösung
Option 1
Erstellen Sie einen separaten NAT (bewegen Sie sich an die Spitze der NAT-Policy-Liste), indem Sie beim Zugriff auf das Portal eine eindeutige IP für ein bestimmtes Host/Subnet (d.h. Subnet, das für alle Gäste-Netzwerk-Nutzer angegeben ist) verwenden. Dieses NAT wäre ähnlich wie das dynamische NAT, das für den Outbound-Web-Zugang verwendet wird, würde jedoch leicht angepasst werden, um eine Destination-IP zu definieren, für die das NAT angewendet wird (z.b. Portal/GW-Adresse), das Quell Subnetz, das die Benutzer aufhalten, sowie eine Quell Übersetzung ( Dynamic-IP-and-Port) mit einer einzigARTIGEN IP, getrennt von der IP des Portals/GW.
Der folgende Auszug zeigt eine erfolgreiche Verbindung aus dem Treuhand Netzwerk-> Untrust (öffentliche IP der Untrust-SchnittStelle), die mit einer einzigartigen IP-Adresse (d.h. Letztes Oktett in diesem Beispiel =. 222):
> Session alle Filter Destination 10.30.6.82
--------------------------------------------------------------------------------
ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port]) Vsys DST [dport]/Zone (übersetzte IP [Port])
--------------------------------------------------------------------------------
55372 Web-Browsing ACTIVE FLOW * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55466 Ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])
55423 Web-Browsing ACTIVE FLOW * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55489 Ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])
> Session ID 55372
Session 55372
C2S fließen:
Quelle: 192.168.82.142 [Trust]
DST: 10.30.6.82
Proto: 6
Sport: 1395 dport: 443
Zustand: INIT-Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 10.30.6.82 [Untrust]
DST: 10.30.6.222
Proto: 6
Sport: 20077 dport: 21737
Zustand: INIT-Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Do Jul 5 10:16:53 2012
Timeout: 60 sec
Gesamtzahl der Byte (C2S): 3308
Gesamtzahl der Byte (S2C): 10292
layer7 Paket Zählung (C2S): 17
layer7 Packet count (S2C): 21
VSys: vsys1
Anwendung: Web-Browsing
Regel: GlobalProtect-Gast
Session, die am Ende protokolliert werden soll: true
Session in Session Ager: false
Session synchronisiert von ha Peer: false
Adresse/Port Übersetzung: Quelle + Ziel
NAT-rule: GW-TEST (vsys1)
layer7 processing: abgeschlossen
URL-Filterung aktiviert: true
URL-Kategorie: Private-IP-Adressen
Session via SYN-Cookies: false
Sitzung beendet auf Host: wahr
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: Ethernet1/6
Egress-Schnittstelle: ethernet1/3
Sitzung-QoS-Regel: N/A (Klasse 4)
Option 2
Diese Option ermöglicht den Verkehr, der für die Untrust-Schnittstelle IP bestimmt ist, streng wie L3 (kein NAT). Erstellen Sie eine neue NAT-Regel (bewegen Sie sich an die Spitze der NAT-Policy-Liste), die die Quelle IP/Subnet der Zone definiert, die externen GP-Zugang benötigt, geben Sie die Ziel-IP der GW & Leave beide Source & Destination-ÜberSetzung als "None" an. Im Anschluss an die Übergabe wird es den Nutzern möglich sein, auf diese Ressourcen zuzugreifen, indem Sie alle Einschränkungen, die sich aus dem Egress-Traffic ergeben, unter
Beispiel-Session-Ausgabe unten, die den Verkehr als immer noch mit einer ND-Fahne zeigt, obwohl die NAT-Regel selbst "NON-NAT" ist, was einen erfolgreichen Zugriff auf die öffentliche Adresse des Portals ermöglicht:
> Session alle Filter Quelle 192.168.82.142 Destination 10.30.6.82
--------------------------------------------------------------------------------
ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port]) Vsys DST [dport]/Zone (ÜBERsetzte IP [Port ])
--------------------------------------------------------------------------------
10196 IPSec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])
10813 Web-Browsing ACTIVE FLOW * nd 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
> Session ID 10813
Session 10813
C2S fließen:
Quelle: 192.168.82.142 [Trust]
DST: 10.30.6.82
Proto: 6
Sport: 1706 dport: 443
Zustand: aktiver Typ: Flow
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 10.30.6.82 [Untrust]
DST: 192.168.82.142
Proto: 6
Sport: 20077 dport: 1706
Zustand: aktiver Typ: Flow
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Do Jul 5 15:24:51 2012
Timeout: 60 sec
Zeit zum Leben: 52 sec
Gesamtzahl der Byte (C2S): 1131
Gesamtzahl der Byte (S2C): 816
layer7 Paket Zählung (C2S): 7
layer7 Paket Zählung (S2C): 4
VSys: vsys1
Anwendung: Web-Browsing
Regel: Regel1
Session, die am Ende protokolliert werden soll: true
Session in Session Ager: true
Session synchronisiert von ha Peer: false
Adresse/Port Übersetzung: Quelle + Ziel
NAT-Regel: NO-NAT (vsys1)
layer7 processing: abgeschlossen
URL-Filterung aktiviert: true
URL-Kategorie: Private-IP-Adressen
Session via SYN-Cookies: false
Sitzung beendet auf Host: wahr
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: Ethernet1/6
Egress-Schnittstelle: ethernet1/3
Sitzung-QoS-Regel: N/A (Klasse 4)
Besitzer: Bryan