ファイアウォールの内側から外部 GP ポータル/GW にアクセスする方法
Resolution
問題
この例では、WWW アクセスのみが許可されているワイヤレスユーザーのゲストネットワークゾーンを利用しています。管理者は、ゲストネットワークユーザーに内部リソースへのアクセスを許可しますが、完全な分離を保証するためにセキュリティポリシーを信頼ネットワークに開放することは望んでいません。
ソリューションとして、管理者は、ゲストネットワーク内の承認されたユーザーが GlobalProtect クライアント経由で外部ポータル/GW に接続し、内部リソースへのアクセスを許可することを選択します。
デフォルトでは、ポータル/GW への接続は失敗します。ユーザーがポータルに接続しようとしている理由は、送信アクセス用に作成された動的 NAT (すなわち、L3 Untrust インターフェイス ip の ip) を介して割り当てられた ip を利用する PAN の Untrust インターフェイスを走査することになります。その結果、グローバルカウンタまたはフローベーシックログは、通常、要求側クライアントの送信元 ip (untrust インターフェイスによる NATd) による潜在的な土地攻撃/なりすましを示し、ポータル/GW 終了の宛先と同じ ip にも接続します。
解決方法
オプション 1
ポータルへのアクセス時に、特定のホスト/サブネット (つまり、すべてのゲストネットワークユーザーに指定されたサブネット) に固有の IP を使用して、別の nat (nat ポリシーリストの先頭に移動) を作成します。この nat は、nat が適用される宛先 IP を定義するためにわずかに調整されるが、送信 web アクセスに使用される動的 nat に似ています (すなわち、ポータル/GW アドレス)、ソースのサブネットは、ユーザーが存在するだけでなく、ソースの翻訳 (動的 ip とポート) は、ポータル/GW の ip アドレスとは別の独自の ipを利用しています。
次の抜粋は、信頼ネットワークから成功した接続を示しています-> Untrust (Untrust インターフェイスのパブリック ip) 一意の ip を使用して NATd されて (すなわち、この例では、最後のオクテット =. 222):
> セッションを表示すべてのフィルタの宛先10.30.6.82
--------------------------------------------------------------------------------
ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート]) Vsys Dst [Dport]/Zone (変換された ip アドレス [ポート])
--------------------------------------------------------------------------------
55372ウェブブラウジングアクティブフロー * NB 192.168.82.142 [1395]/Trust/6 (10.30.6.222 [21737]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55466 ping アクティブフロー NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39424]/Untrust (10.30.6.82 [39424])
55423ウェブブラウジングアクティブフロー * NB 192.168.82.142 [1435]/Trust/6 (10.30.6.222 [10228]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
55489 ping アクティブフロー NS 192.168.82.142 [512]/Trust/1 (10.30.6.222 [512]) vsys1 10.30.6.82 [39168]/Untrust (10.30.6.82 [39168])
> セッション id 55372 を表示
セッション55372
c2s の流れ:
出典: 192.168.82.142 [信託]
dst: 10.30.6.82
プロト: 6
スポーツ: 1395 dport: 443
状態: INIT タイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 10.30.6.82 [Untrust]
dst: 10.30.6.222
プロト: 6
スポーツ: 20077 dport: 21737
状態: INIT タイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 木7月 5 10:16:53 2012
タイムアウト:60 sec
合計バイト数 (c2s): 3308
合計バイト数 (s2c): 10292
layer7 パケット数 (c2s):17
layer7 パケット数 (s2c):21
vsys: vsys1
アプリケーション: ウェブブラウジング
ルール: GlobalProtect-ゲスト
最後にログに記録するセッション: True
セッションエイガーのセッション: False
HA ピアから同期したセッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: GW-テスト (vsys1)
layer7 処理: 完了
URL フィルタリングが有効: True
URL カテゴリ: プライベート ip アドレス
syn-クッキーを介してセッション: 偽
ホスト セッションを終了: 真
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
進入インタフェース: ethernet1/6
出力インターフェイス: ethernet1/3
セッション QoS ルール: N/A (クラス 4)
オプション 2
このオプションを使用すると、untrust インターフェイス IP に対するトラフィックを L3 (nat なし) として厳密に指定できます。新しい nat ルールを作成する (nat ポリシーリストの一番上に移動) 外部 GP アクセスを必要とするゾーンのソース ip/サブネットを定義し、GW の宛先 ip を指定して、ソースとデスティネーションの両方の翻訳を「none」として残します。コミット後、これにより、これらのリソースにアクセスするユーザーは、NATd されている送信トラフィックに起因する制限を直接バイパスできます。
nat ルール自体が "非 nat" であるにもかかわらず、ポータルのパブリックアドレスへのアクセスを正常に行えるように、トラフィックが依然として ND フラグを持つことを示す以下のセッション出力の例を示します。
> セッションを表示すべてのフィルタソース192.168.82.142 デスティネーション10.30.6.82
--------------------------------------------------------------------------------
ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート]) Vsys Dst [Dport]/Zone (変換された ip アドレス [ポート])
--------------------------------------------------------------------------------
10196 ipsec-esp-udp アクティブフロー 192.168.82.142 [4821]/Trust/17 (192.168.82.142 [4821]) vsys1 10.30.6.82 [4501]/Untrust (10.30.6.82 [4501])
10813ウェブブラウジングアクティブフロー * ND 192.168.82.142 [1706]/Trust/6 (192.168.82.142 [1706]) vsys1 10.30.6.82 [443]/Untrust (10.30.6.82 [20077])
> セッション id 10813 を表示
セッション10813
c2s の流れ:
出典: 192.168.82.142 [信託]
dst: 10.30.6.82
プロト: 6
スポーツ: 1706 dport: 443
状態: アクティブタイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 10.30.6.82 [Untrust]
dst: 192.168.82.142
プロト: 6
スポーツ: 20077 dport: 1706
状態: アクティブタイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 木7月 5 15:24:51 2012
タイムアウト:60 sec
生きている時間:52 sec
合計バイト数 (c2s): 1131
合計バイト数 (s2c): 816
layer7 パケット数 (c2s): 7
layer7 パケット数 (s2c): 4
vsys: vsys1
アプリケーション: ウェブブラウジング
ルール: ルール 1
最後にログに記録するセッション: True
セッションエイガーのセッション: True
HA ピアから同期したセッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: なし nat (vsys1)
layer7 処理: 完了
URL フィルタリングが有効: True
URL カテゴリ: プライベート ip アドレス
syn-クッキーを介してセッション: 偽
ホスト セッションを終了: 真
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
進入インタフェース: ethernet1/6
出力インターフェイス: ethernet1/3
セッション QoS ルール: N/A (クラス 4)
所有者: ブライアン