Cómo acceder al externo GP portal/GW desde el interior del firewall
Resolution
Incidencia
Este ejemplo utiliza una zona de red para usuarios inalámbricos a los que sólo se permite el acceso www. El administrador desea permitir a los usuarios de la red de clientes acceder a recursos internos, pero no desea abrir directivas de seguridad a la red Trust para asegurar un aislamiento completo.
Como solución, el administrador decide permitir a los usuarios autorizados de la red huésped conectarse a través de sus clientes GlobalProtect al portal externo/GW permitiendo el acceso a los recursos internos.
De forma predeterminada, la conectividad al portal/GW fallará. Razón por la que los usuarios que intentan conectarse al portal atravesarán la interfaz de desconfianza de la bandeja, que utilizará la IP asignada a través del NAT dinámico creado para el acceso saliente (es decir, la IP de la IP de la interfaz de desconfianza L3). Como resultado, los contadores globales o registros de flujo básico típicamente indicarían un potencial ataque de tierra/falsificación debido a la IP de origen del cliente solicitante (NATd por la interfaz Untrust) también se está conectando a la misma IP que un destino para la terminación de portal/GW.
Resolución
Opción 1
Cree un NAT independiente (muévase a la parte superior de la lista de directivas de NAT) utilizando una IP única para un host/subred específico (es decir, subred especificada para todos los usuarios de la red huésped) al acceder al portal. Este NAT sería similar al NAT dinámico utilizado para el acceso de la web saliente aunque sería ajustado levemente para definir una IP de destino para la cual el NAT será aplicado (es decir, dirección de portal/GW), la subred de origen que los usuarios residen así como una traducción de fuente ( dinámico-IP-y-puerto) utilizando una IP única, separada de la IP del portal/GW.
El siguiente fragmento muestra una conexión exitosa desde la red de confianza-> Untrust (IP pública de la interfaz Untrust) siendo NATd usando una IP única (i.e., último octeto en este ejemplo =. 222):
> Mostrar sesión todos los filtros destino 10.30.6.82
--------------------------------------------------------------------------------
IDENTIFICADOR de estado del tipo de solicitud de identificación src [Sport]/Zone/Proto (traducido IP [puerto]) Vsys DST [dport]/Zone (traducido IP [puerto])
--------------------------------------------------------------------------------
55372 web-navegación activa flujo * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55466 ping flujo activo NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])
55423 web-navegación de flujo activo * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55489 ping flujo activo NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])
> Mostrar Session ID 55372
Sesión 55372
flujo de C2S:
Fuente: 192.168.82.142 [Trust]
DST: 10.30.6.82
Proto: 6
deporte: 1395 dport: 443
Estado: tipo de INIT: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 10.30.6.82 [Untrust]
DST: 10.30.6.222
Proto: 6
deporte: 20077 dport: 21737
Estado: tipo de INIT: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Jue Jul 5 10:16:53 2012
timeout: 60 sec
cuenta total del octeto (C2S): 3308
conteo total de bytes (s2c): 10292
cuenta del paquete de layer7 (C2S): 17
conteo de paquetes layer7 (s2c): 21
vsys: vsys1
uso: Web-hojeando
regla: GlobalProtect-Guest
sesión que se registrará al final: true
sesión en el período de sesiones: false
sesión sincronizada desde ha peer: false
dirección/puerto traducción: fuente + destino
NAT-regla: GW-TEST (vsys1)
proceso de layer7: completado
Filtrado de URL habilitado: true
URL Category: Private-IP-addresses
sesión mediante SYN-cookies: false
sesión terminada en host: verdadero
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de ingreso: ethernet1/6
interfaz de salida: ethernet1/3
regla de QoS de sesión: N/A (clase 4)
Opción 2
Esta opción permite el tráfico destinado a la interfaz IP de Untrust estrictamente como L3 (sin NAT). Cree una nueva regla NAT (muévase a la parte superior de la lista de directivas de NAT) definiendo la IP/subred de origen de la zona que requiere acceso de GP externo, especifique la IP de destino de la GW y deje la traducción de origen y destino como ' none '. Después de la confirmación, esto permitirá a los usuarios acceder a estos recursos directamente evitando cualquier limitación resultante del tráfico de salida que se NATd.
Muestra la salida de sesión a continuación mostrando tráfico como todavía tener un indicador ND aunque la regla NAT en sí es ' NON-NAT ' permitiendo el acceso exitoso a la dirección pública del portal:
> Mostrar sesión todas las fuentes de filtrado 192.168.82.142 destino 10.30.6.82
--------------------------------------------------------------------------------
IDENTIFICADOR de estado del tipo de solicitud de identificación src [Sport]/Zone/Proto (traducido IP [puerto]) Vsys DST [dport]/Zone (traducido IP [puerto])
--------------------------------------------------------------------------------
10196 IPsec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])
10813 web-navegación activa flujo * ND 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
> Mostrar Session ID 10813
Sesión 10813
flujo de C2S:
Fuente: 192.168.82.142 [Trust]
DST: 10.30.6.82
Proto: 6
deporte: 1706 dport: 443
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 10.30.6.82 [Untrust]
DST: 192.168.82.142
Proto: 6
deporte: 20077 dport: 1706
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Jue Jul 5 15:24:51 2012
timeout: 60 sec
tiempo de vida: 52 seg.
cuenta total del octeto (C2S): 1131
conteo total de bytes (s2c): 816
cuenta del paquete de layer7 (C2S): 7
conteo de paquetes layer7 (s2c): 4
vsys: vsys1
uso: Web-hojeando
regla: rule1
sesión que se registrará al final: true
sesión en el período de sesiones: true
sesión sincronizada desde ha peer: false
dirección/puerto traducción: fuente + destino
NAT-regla: NO-NAT (vsys1)
proceso de layer7: completado
Filtrado de URL habilitado: true
URL Category: Private-IP-addresses
sesión mediante SYN-cookies: false
sesión terminada en host: verdadero
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de ingreso: ethernet1/6
interfaz de salida: ethernet1/3
regla de QoS de sesión: N/A (clase 4)
Propietario: Bryan