GlobalProtect: 禁用本地子网访问
Resolution
在7.0 前。泛 OS 版本, 当建立 GlobalProtect 连接时, 用户将可以访问他们的本地子网。 他们仍然能够访问本地打印机、本地文件共享等。
这会带来潜在的风险, 因为可以打印敏感信息和/或将此信息发送到本地文件服务器。
自 PAN OS 7.0 以来, 管理员有办法禁用对本地子网的访问。 然后, 所有对本地子网的请求都将通过隧道进行路由。
注意, 这个功能不支持 iOS 或 Android 客户端, 所以它的窗口或 OSX 只。
此功能适用于不同的网络类型。 一些示例是酒店/公共热点、专用网络、现有 VPN 或虚拟适配器的系统以及使用代理服务器的系统。
请注意, 此功能仅支持 IPv4。
如何在 Windows 中工作:
- 当 GlobalProtect 连接时, 它将扫描本地 PC 的路由表, 并为所有现有的本地子网路由创建新的、屏蔽的路由, 但主机路由 (127.0.0.1) 和物理适配器的自指向路由除外。
- 当 GlobalProtect 断开连接时, 将删除所有这些掩码路由。
- 如果 GlobalProtect 意外终止, 则隐藏的路由将在不久之后被删除
- 操作系统, 因为 GlobalProtect 虚拟适配器不再存在
- 如果操作系统无法这样做, GP 将在重新启动时将其删除
例如, 目标路由可以被屏蔽如下:
网络目标网掩码网关接口度量
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
可以屏蔽到
网络目标网掩码网关接口度量
0.0.0.0 0.0.0.0 192.168.177.1 192.168.177.100 257
0.0.0.0 0.0.0.0 链接 172.20.30.40 1
请注意, 添加的路由具有较低的度量值 (1), 因此将成为首选的路由。
如何在 OSX 上工作:
- 几乎是一样的工作方式。只有 OSX 处理掩码路由稍有不同。Mac 将一个标志 "I" 添加到遮罩路由中, 表示它只用于特定的接口范围。
例如, 目标路由可以被屏蔽如下:
目标网关标志裁判使用 Netif 过期
10.35.14/24 Link#5 3 0 en1
可以屏蔽到
目标网关标志裁判使用 Netif 过期
10.35.14/24 7.7.7.5 UGdCSc 0 2 gpd0
10.35.14/24 Link#5 UCSI 1 0 en1
如上所述, 旗子 ' I ' 意味 RTF_IFSCOPE 被使用。
配置非常简单, 可以在 CLI 和/或 GUI 上完成。
通过 CLI:
# 设置全局保护全局保护网关<NAME>远程用户-隧道-配置<name>无直接访问本地网络
不,
是是 </name> </NAME>
通过 GUI:
- PAN OS 7.0: 网络选项卡 >> GlobalProtect > 网关 >><Your gateway="">客户端配置 > 网络设置 >><Your config="">网络设置</Your></Your>
在 PAN OS 7.0 中设置
- PAN OS 7.1: 网络选项卡 >> GlobalProtect > 网关 >><Your gateway="">代理 > 客户端设置 >><Your config="">网络设置</Your></Your>
在 PAN OS 7.1 中设置
请注意, 拆分隧道被此功能覆盖!如果启用此功能, 访问路由将无法正常工作, 因为它们将被屏蔽。 没有错误或警告消息, 并且 "访问路由" 框没有变灰。您仍然可以创建访问路由, 但请记住, 如果您启用了此功能, 它们将无法正常工作。
有关故障排除, 请注意, 在 PAN OS、PanGPA.log 或 PanGPS.log 中没有添加任何日志。您可以在 PanGPS.log 和 PanGPA.log 中查看是否启用了该功能。 这将确认您的网关正在发送此配置。
在 Windows 中, 检查应用程序和系统日志中是否有失败以创建路由。 在 OSX 中, 检查/不变量/日志/系统. 记录创建路由失败。