来自子网的通信不来防火墙-GlobalProtect 网关

来自子网的通信不来防火墙-GlobalProtect 网关

26003
Created On 09/25/18 19:49 PM - Last Modified 06/09/23 05:54 AM


Symptom


症状

  • 帕洛阿尔托网络防火墙可以到达所有内部子网。
  • 当 GlobalProtect 用户访问这些内部子网时, 对于几个子网, 通信量不会进入帕洛阿尔托网络防火墙。
  • 所有其他子网都工作正常--只有一个子网出现问题, 访问路由 0.0. 0.0/0。

诊断

LAN 中更具体的路由优先于访问路由 0.0. 0.0/0。

Resolution


对于 (完全隧道), 输入 0.0. 0.0/0 作为接入路线。 此配置的好处是, 您可以查看所有客户端通信, 并且您可确保客户端根据您的策略进行保护, 即使它们没有物理连接到 LAN。 

 

在此配置中, 用于本地子网的通信将通过物理适配器, 而不是通过隧道传送到网关.

 

即使通过你提到的访问路线 0.0. 0.0/0, 它可能幸福n, 某些子网没有到达帕洛阿尔托网络防火墙, 因为这些路由在他们的本地路由表中有更精确的匹配.

 

  • 为拆分隧道使用更具体的路由 
  • 或使用泛 OS 7.0.x 和更高版本中引入的功能

 

PAN OS 7.0x 中的功能是在 网关配置下检查对本地网络的直接访问. 这样做可防止用户向代理或本地资源 (如主打印机) 发送通信。

 

建立隧道后, 所有通信都将通过隧道进行路由, 在那里它受防火墙的策略强制执行。所有通信都通过隧道, 而本地路由表被忽略。

 

 

Gp。Png

 

 
 谢谢。
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleNCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language