Cómo acceder al externo GP portal/GW desde el interior del firewall

Incidencia

Este ejemplo utiliza una zona de red para usuarios inalámbricos a los que sólo se permite el acceso www. El administrador desea permitir a los usuarios de la red de clientes acceder a recursos internos, pero no desea abrir directivas de seguridad a la red Trust para asegurar un aislamiento completo.

Como solución, el administrador decide permitir a los usuarios autorizados de la red huésped conectarse a través de sus clientes GlobalProtect al portal externo/GW permitiendo el acceso a los recursos internos.

De forma predeterminada, la conectividad al portal/GW fallará. Razón por la que los usuarios que intentan conectarse al portal atravesarán la interfaz de desconfianza de la bandeja, que utilizará la IP asignada a través del NAT dinámico creado para el acceso saliente (es decir, la IP de la IP de la interfaz de desconfianza L3). Como resultado, los contadores globales o registros de flujo básico típicamente indicarían un potencial ataque de tierra/falsificación debido a la IP de origen del cliente solicitante (NATd por la interfaz Untrust) también se está conectando a la misma IP que un destino para la terminación de portal/GW.

Resolución

Opción 1

Cree un NAT independiente (muévase a la parte superior de la lista de directivas de NAT) utilizando una IP única para un host/subred específico (es decir, subred especificada para todos los usuarios de la red huésped) al acceder al portal. Este NAT sería similar al NAT dinámico utilizado para el acceso de la web saliente aunque sería ajustado levemente para definir una IP de destino para la cual el NAT será aplicado (es decir, dirección de portal/GW), la subred de origen que los usuarios residen así como una traducción de fuente ( dinámico-IP-y-puerto) utilizando una IP única, separada de la IP del portal/GW.

El siguiente fragmento muestra una conexión exitosa desde la red de confianza-> Untrust (IP pública de la interfaz Untrust) siendo NATd usando una IP única (i.e., último octeto en este ejemplo =. 222):

> Mostrar sesión todos los filtros destino 10.30.6.82

--------------------------------------------------------------------------------

IDENTIFICADOR de estado del tipo de solicitud de identificación src [Sport]/Zone/Proto (traducido IP [puerto]) Vsys DST [dport]/Zone (traducido IP [puerto])

--------------------------------------------------------------------------------

55372 web-navegación activa flujo * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55466 ping flujo activo NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])

55423 web-navegación de flujo activo * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

55489 ping flujo activo NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])

> Mostrar Session ID 55372

Sesión 55372

        flujo de C2S:

                Fuente: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                Proto: 6

                deporte: 1395 dport: 443

                Estado: tipo de INIT: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

        flujo de s2c:

                Fuente: 10.30.6.82 [Untrust]

                DST: 10.30.6.222

                Proto: 6

                deporte: 20077 dport: 21737

                Estado: tipo de INIT: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

        hora de Inicio: Jue Jul 5 10:16:53 2012

        timeout: 60 sec

        cuenta total del octeto (C2S): 3308

        conteo total de bytes (s2c): 10292

        cuenta del paquete de layer7 (C2S): 17

        conteo de paquetes layer7 (s2c): 21

        vsys: vsys1

        uso: Web-hojeando

        regla: GlobalProtect-Guest

        sesión que se registrará al final: true

        sesión en el período de sesiones: false

        sesión sincronizada desde ha peer: false

        dirección/puerto traducción: fuente + destino

        NAT-regla: GW-TEST (vsys1)

        proceso de layer7: completado

        Filtrado de URL habilitado: true

        URL Category: Private-IP-addresses

        sesión mediante SYN-cookies: false

        sesión terminada en host: verdadero

        sesión atraviesa túnel: falso

        sesión portal cautivo: falso

        interfaz de ingreso: ethernet1/6

        interfaz de salida: ethernet1/3

        regla de QoS de sesión: N/A (clase 4)

Opción 2

Esta opción permite el tráfico destinado a la interfaz IP de Untrust estrictamente como L3 (sin NAT). Cree una nueva regla NAT (muévase a la parte superior de la lista de directivas de NAT) definiendo la IP/subred de origen de la zona que requiere acceso de GP externo, especifique la IP de destino de la GW y deje la traducción de origen y destino como ' none '. Después de la confirmación, esto permitirá a los usuarios acceder a estos recursos directamente evitando cualquier limitación resultante del tráfico de salida que se NATd.

Muestra la salida de sesión a continuación mostrando tráfico como todavía tener un indicador ND aunque la regla NAT en sí es ' NON-NAT ' permitiendo el acceso exitoso a la dirección pública del portal:

> Mostrar sesión todas las fuentes de filtrado 192.168.82.142 destino 10.30.6.82

--------------------------------------------------------------------------------

IDENTIFICADOR de estado del tipo de solicitud de identificación src [Sport]/Zone/Proto (traducido IP [puerto]) Vsys DST [dport]/Zone (traducido IP [puerto])

--------------------------------------------------------------------------------

10196 IPsec-ESP-UDP ACTIVE FLOW 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])

10813 web-navegación activa flujo * ND 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])

> Mostrar Session ID 10813

Sesión 10813

        flujo de C2S:

                Fuente: 192.168.82.142 [Trust]

                DST: 10.30.6.82

                Proto: 6

                deporte: 1706 dport: 443

                Estado: tipo activo: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

        flujo de s2c:

                Fuente: 10.30.6.82 [Untrust]

                DST: 192.168.82.142

                Proto: 6

                deporte: 20077 dport: 1706

                Estado: tipo activo: flujo

                usuario fuente: desconocido

                usuario de DST: desconocido

        hora de Inicio: Jue Jul 5 15:24:51 2012

        timeout: 60 sec

        tiempo de vida: 52 seg.

        cuenta total del octeto (C2S): 1131

        conteo total de bytes (s2c): 816

        cuenta del paquete de layer7 (C2S): 7

        conteo de paquetes layer7 (s2c): 4

        vsys: vsys1

        uso: Web-hojeando

        regla: rule1

        sesión que se registrará al final: true

        sesión en el período de sesiones: true

        sesión sincronizada desde ha peer: false

        dirección/puerto traducción: fuente + destino

        NAT-regla: NO-NAT (vsys1)

        proceso de layer7: completado

        Filtrado de URL habilitado: true

        URL Category: Private-IP-addresses

        sesión mediante SYN-cookies: false

        sesión terminada en host: verdadero

        sesión atraviesa túnel: falso

        sesión portal cautivo: falso

        interfaz de ingreso: ethernet1/6

        interfaz de salida: ethernet1/3

        regla de QoS de sesión: N/A (clase 4)

Propietario: Bryan