Lista global de excepciones para ejecutores de protección
39897
Created On 12/02/19 22:47 PM - Last Modified 03/14/25 23:40 PM
Symptom
- La configuración global de la aplicación Protect tiene una opción llamada "Aplicar conexión para el acceso a la GlobalProtect red"
- Esta opción cuando está habilitada limita el acceso del usuario a los recursos si global protect no puede conectarse.
- La opción puede causar un problema en el que el usuario final intenta obtener algunos servicios esenciales, como DHCP la dirección en el equipo local, ya que esto sería bloqueado por el ejecutor.
Environment
- PanOS 8.1
- PanOS 9.0
- Global Protect Cliente 5.1
- "Aplicar GlobalProtect conexión para el acceso a la red" habilitado.
Resolution
Hay una nueva opción agregada en global Protect App Configuration with App & Threat versión 8196-5685. La opción se denomina"Permitir el tráfico a hosts/redes especificados cuando se habilita la conexión enforce GlobalProtect para el acceso a la red y no se establece la GlobalProtect conexión". Esta opción permite al administrador agregar la excepción al ejecutor, es decir, DHCP el servidor debe ser accesible para que el cliente obtenga una dirección IP.
- A la dirección única de la lista de excepciones se puede introducir sin máscara de subred (por ejemplo, 192.168.223.1)
- Se deben introducir varias direcciones con una máscara y separarse por una coma (por ejemplo, 192.168.223.1/32,10.0.0.1/32)
- Una vez que el GP cliente se conecta a la puerta de enlace, el acceso a las direcciones de la lista de excepciones ya no se aplica
- Estas opciones solo funcionarán con Global Protect Client 5.1 o superior.
- Estas opciones se pueden habilitar GUI mediante: Network> GlobalProtect > Portals> Agent> (nombre del agente)> App.