Wie man aus dem Inneren der Firewall auf externes GP Portal/GW zugreifen kann

Problem

In diesem Beispiel wird eine Gastnetzzone für drahtlose Nutzer verwendet, die nur WWW-Zugang Outbound erlaubt. Der Administrator möchte den Nutzern von Gast Netz Benutzern Zugang zu internen Ressourcen gewähren, möchte aber keine Sicherheitsrichtlinien für das Treuhand Netzwerk öffnen, um eine vollständige Isolation zu gewährleisten.

Als Lösung entscheidet sich der Administrator dafür, dass autorisierte Benutzer innerhalb des Gast Netzwerks sich über Ihre GlobalProtect-Clients an das externe Portal/GW anschließen können, um den Zugang zu internen Ressourcen zu ermöglichen.

Standardmäßig wird die Konnektivität zum Portal/GW fehlschlagen. Der Grund dafür ist, dass Nutzer, die versuchen, sich mit dem Portal zu verbinden, die Untrust-Schnittstelle der Pfanne durchqueren, die die IP-Adresse nutzt, die über das dynamische NAT für den ausgehenden Zugriff (d.h. die IP der L3-Untrust-Schnittstelle IP) zugewiesen wird. Das Ergebnis ist, dass globale Zähler oder Flow-Basic-Protokolle in der Regel auf einen möglichen LAND Angriff/Spoof hindeuten würden, da die Quelle IP des anfragenden Clients (NATd durch die Untrust-Schnittstelle) sich auch mit der gleichen IP verbindet wie ein Ziel für die Kündigung von Portal/GW.

Lösung

Option 1

Erstellen Sie einen separaten NAT (bewegen Sie sich an die Spitze der NAT-Policy-Liste), indem Sie beim Zugriff auf das Portal eine eindeutige IP für ein bestimmtes Host/Subnet (d.h. Subnet, das für alle Gäste-Netzwerk-Nutzer angegeben ist) verwenden. Dieses NAT wäre ähnlich wie das dynamische NAT, das für den Outbound-Web-Zugang verwendet wird, würde jedoch leicht angepasst werden, um eine Destination-IP zu definieren, für die das NAT angewendet wird (z.b. Portal/GW-Adresse), das Quell Subnetz, das die Benutzer aufhalten, sowie eine Quell Übersetzung ( Dynamic-IP-and-Port) mit einer einzigARTIGEN IP, getrennt von der IP des Portals/GW.

Der folgende Auszug zeigt eine erfolgreiche Verbindung aus dem Treuhand Netzwerk-> Untrust (öffentliche IP der Untrust-SchnittStelle), die mit einer einzigartigen IP-Adresse (d.h. Letztes Oktett in diesem Beispiel =. 222):

> Session alle Filter Destination 10.30.6.82

--------------------------------------------------------------------------------

ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port]) Vsys DST [dport]/Zone (übersetzte IP [Port])

--------------------------------------------------------------------------------

55372 Web-Browsing ACTIVE FLOW * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55466 Ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])

55423 Web-Browsing ACTIVE FLOW * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55489 Ping ACTIVE FLOW NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])

> Session ID 55372

Session 55372

        C2S fließen:

                Quelle: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                Proto: 6

                Sport: 1395 dport: 443

                Zustand: INIT-Typ: FLOW

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        S2C Durchfluss:

                Quelle: 10.30.6.82 [Untrust]

                DST: 10.30.6.222

                Proto: 6

                Sport: 20077 dport: 21737

                Zustand: INIT-Typ: FLOW

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        Startzeit: Do Jul 5 10:16:53 2012

        Timeout: 60 sec

        Gesamtzahl der Byte (C2S): 3308

        Gesamtzahl der Byte (S2C): 10292

        layer7 Paket Zählung (C2S): 17

        layer7 Packet count (S2C): 21

        VSys: vsys1

        Anwendung: Web-Browsing

        Regel: GlobalProtect-Gast

        Session, die am Ende protokolliert werden soll: true

        Session in Session Ager: false

        Session synchronisiert von ha Peer: false

        Adresse/Port Übersetzung: Quelle + Ziel

        NAT-rule: GW-TEST (vsys1)

        layer7 processing: abgeschlossen

        URL-Filterung aktiviert: true

        URL-Kategorie: Private-IP-Adressen

        Session via SYN-Cookies: false

        Sitzung beendet auf Host: wahr

        Sitzung Tunnel durchquert: False

        Captive Portal Sitzung: False

        Eindringen-Schnittstelle: Ethernet1/6

        Egress-Schnittstelle: ethernet1/3

        Sitzung-QoS-Regel: N/A (Klasse 4)

Option 2

Diese Option ermöglicht den Verkehr, der für die Untrust-Schnittstelle IP bestimmt ist, streng wie L3 (kein NAT). Erstellen Sie eine neue NAT-Regel (bewegen Sie sich an die Spitze der NAT-Policy-Liste), die die Quelle IP/Subnet der Zone definiert, die externen GP-Zugang benötigt, geben Sie die Ziel-IP der GW & Leave beide Source & Destination-ÜberSetzung als "None" an. Im Anschluss an die Übergabe wird es den Nutzern möglich sein, auf diese Ressourcen zuzugreifen, indem Sie alle Einschränkungen, die sich aus dem Egress-Traffic ergeben, unter

Beispiel-Session-Ausgabe unten, die den Verkehr als immer noch mit einer ND-Fahne zeigt, obwohl die NAT-Regel selbst "NON-NAT" ist, was einen erfolgreichen Zugriff auf die öffentliche Adresse des Portals ermöglicht:

> Session alle Filter Quelle 192.168.82.142 Destination 10.30.6.82

--------------------------------------------------------------------------------

ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port]) Vsys DST [dport]/Zone (ÜBERsetzte IP [Port ])

--------------------------------------------------------------------------------

10196 IPSec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])

10813 Web-Browsing ACTIVE FLOW * nd 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

> Session ID 10813

Session 10813

        C2S fließen:

                Quelle: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                Proto: 6

                Sport: 1706 dport: 443

                Zustand: aktiver Typ: Flow

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        S2C Durchfluss:

                Quelle: 10.30.6.82 [Untrust]

                DST: 192.168.82.142

                Proto: 6

                Sport: 20077 dport: 1706

                Zustand: aktiver Typ: Flow

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        Startzeit: Do Jul 5 15:24:51 2012

        Timeout: 60 sec

        Zeit zum Leben: 52 sec

        Gesamtzahl der Byte (C2S): 1131

        Gesamtzahl der Byte (S2C): 816

        layer7 Paket Zählung (C2S): 7

        layer7 Paket Zählung (S2C): 4

        VSys: vsys1

        Anwendung: Web-Browsing

        Regel: Regel1

        Session, die am Ende protokolliert werden soll: true

        Session in Session Ager: true

        Session synchronisiert von ha Peer: false

        Adresse/Port Übersetzung: Quelle + Ziel

        NAT-Regel: NO-NAT (vsys1)

        layer7 processing: abgeschlossen

        URL-Filterung aktiviert: true

        URL-Kategorie: Private-IP-Adressen

        Session via SYN-Cookies: false

        Sitzung beendet auf Host: wahr

        Sitzung Tunnel durchquert: False

        Captive Portal Sitzung: False

        Eindringen-Schnittstelle: Ethernet1/6

        Egress-Schnittstelle: ethernet1/3

        Sitzung-QoS-Regel: N/A (Klasse 4)

Besitzer: Bryan