如何从防火墙内部访问外部 GP 门户/GW
Resolution
问题
本示例对仅允许 WWW 访问出站的无线用户使用来宾网络区域。管理员希望允许来宾网络用户访问内部资源, 但不希望向信任网络打开安全策略以确保完全隔离。
作为解决方案, 管理员选择允许来宾网络中的授权用户通过其 GlobalProtect 客户端连接到外部门户/GW, 允许访问内部资源。
默认情况下, 与门户/GW 的连接将失败。原因是用户试图连接到门户将遍历不信任接口, 将利用通过为出站访问创建的动态 NAT (即 L3 不信任接口 ip ip) 分配的 ip。因此, 全局计数器或流基本日志通常表示由于请求客户端的源 ip (功能开发由不信任接口) 所导致的潜在的土地攻击/欺骗也连接到与门户/GW 终止的目标相同的 IP。
解决办法
选项 1
在访问门户时, 使用特定主机/子网的唯一 IP (即为所有来宾网络用户指定的子网) 创建单独的 nat (移动到 NAT 策略列表的顶部)。此 nat 类似于用于出站 web 访问的动态 NAT, 但会略微调整以定义要应用 NAT 的目标 IP (即门户/GW 地址)、用户所驻留的源子网以及源转换 (动态 ip 和端口) 利用唯一的 ip, 独立于门户/GW 的 ip.
下面的摘录显示了一个成功的连接从信任网络->> 不信任 (不信任接口的公共 IP) 是功能开发使用一个唯一的 ip (即, 在这个例子中的最后八位字节 =. 222):
>> 显示会话所有筛选目标10.30.6.82
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口]) Vsys Dst [Dport]/区域 (已翻译的 ip [端口])
--------------------------------------------------------------------------------
55372网络浏览活动流 * NB 192.168.82.142 [1395]/信任/6 (10.30.6. 222 [21737]) vsys1 10.30.6 82 [443]/不信任 (10.30.6. 82 [20077])
55466平活动流 NS 192.168.82.142 [512]/信任/1 (10.30.6. 222 [512]) vsys1 10.30.6. 82 [39424]/不信任 (10.30.6. 82 [39424])
55423网络浏览活动流 * NB 192.168.82.142 [1435]/信任/6 (10.30.6. 222 [10228]) vsys1 10.30.6 82 [443]/不信任 (10.30.6. 82 [20077])
55489平活动流 NS 192.168.82.142 [512]/信任/1 (10.30.6. 222 [512]) vsys1 10.30.6. 82 [39168]/不信任 (10.30.6. 82 [39168])
>> 显示会话 id 55372
会话55372
c2s 流︰
来源: 192.168.82.142 [信托]
dst: 10.30.6.82
原: 6
体育: 1395 dport: 443
状态: INIT 类型: 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流︰
来源: 10.30.6.82 [不信任]
dst: 10.30.6.222
原: 6
体育: 20077 dport: 21737
状态: INIT 类型: 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 周四 7月5日 10:16:53 2012
超时:60 秒
总字节数 (c2s): 3308
总字节数 (s2c): 10292
layer7 数据包计数 (c2s):17
layer7 数据包计数 (s2c):21
vsys: vsys1
应用: 网页浏览
规则: GlobalProtect-客人
结束时要记录的会话: True
会话中的会话: False
从 HA 对等方同步的会话: False
地址/端口翻译︰ 源 + 目的地
nat 规则: GW 测试 (vsys1)
layer7 处理: 已完成
已启用 URL 筛选: True
URL 类别: 专用 ip 地址
通过 syn cookie 进行会话: False
会话终止主机上: 真实
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
入口接口: ethernet1/6
出口接口: ethernet1/3
会议 QoS 规则︰ n/A (4 班)
选项 2
此选项允许将不信任接口 IP 严格作为 L3 (无 nat) 的通信。创建新的 nat 规则 (移动到 NAT 策略列表的顶端) 定义需要外部 GP 访问的区域的源 ip/子网, 指定 GW 的目标 ip, 并将源和目标转换保留为 "无"。在提交之后, 这将允许用户直接访问这些资源, 绕过因功能开发而导致的出口流量限制。
下面的示例会话输出显示通信量仍然具有 ND 标志, 尽管 NAT 规则本身是 "非 NAT", 允许成功访问门户的公共地址:
>> 显示会话所有筛选源192.168.82.142 目标10.30.6.82
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口]) Vsys Dst [Dport]/区域 (已翻译的 ip [端口])
--------------------------------------------------------------------------------
10196 ipsec esp-udp 活动流 192.168.82.142 [4821]/信任/17 (192.168.82.142 [4821]) vsys1 10.30.6. 82 [4501]/不信任 (10.30.6. 82 [4501])
10813网络浏览活动流* 钕192.168.82.142 [1706]/信任/6 (192.168.82.142 [1706]) vsys1 10.30.6 82 [443]/不信任 (10.30.6. 82 [20077])
>> 显示会话 id 10813
会话10813
c2s 流︰
来源: 192.168.82.142 [信托]
dst: 10.30.6.82
原: 6
体育: 1706 dport: 443
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流︰
来源: 10.30.6.82 [不信任]
dst: 192.168.82.142
原: 6
体育: 20077 dport: 1706
状态: 活动类型: 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 周四 7月5日 15:24:51 2012
超时:60 秒
居住时间:52 秒
总字节数 (c2s): 1131
总字节数 (s2c): 816
layer7 数据包计数 (c2s): 7
layer7 数据包计数 (s2c): 4
vsys: vsys1
应用: 网页浏览
规则: rule1
结束时要记录的会话: True
会话中的会话: True
从 HA 对等方同步的会话: False
地址/端口翻译︰ 源 + 目的地
nat 规则: 无 nat (vsys1)
layer7 处理: 已完成
已启用 URL 筛选: True
URL 类别: 专用 ip 地址
通过 syn cookie 进行会话: False
会话终止主机上: 真实
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
入口接口: ethernet1/6
出口接口: ethernet1/3
会议 QoS 规则︰ n/A (4 班)
所有者: 布莱恩