如何排除隧道中的应用程序和视频流量 GlobalProtect VPN
38356
Created On 03/23/20 18:54 PM - Last Modified 03/26/21 18:12 PM
Objective
GlobalProtect 支持拆分域名和应用程序,并排除视频流量功能,这些功能可以配置为排除或包括整个隧道的流量 GlobalProtect VPN 。 本文档的目的是向企业管理员提供有关这些功能和配置的信息。 该文件特别侧重于实施这些功能,以排除某些带宽堵塞应用程序和域,以帮助企业与业务连续性和优先业务应用流量在高工作从家庭 WFH () 季节。
本文档中描述的解决方案是专门针对 Windows 和 MAC OS 。 为了实现 iOS 的分隧道,Android 和 Windows UWP 用户可以使用 VPN 通过 MDM .
Environment
- Prisma Access/ GlobalProtect 订阅
- PAN-OS 8.1+
- GlobalProtect 应用程序 4.1+
- Windows 7 服务包 2 + 更高版本
- macOS 10.10+
Procedure
- 要在"选择网关"上配置排除的域和应用程序 firewall ,请导航到网络 GlobalProtect >>网关>"选择网关">代理>客户端设置>"选择客户端配置">拆分隧道>域名和应用程序
- 指定要在 VPN 排除域选项下排除隧道外流量的域。
注意:在下面的配置快照中,我们排除了 *.zoom.us 和 *.zoom.com域的流量
- 同样,请指定申请流程的完整路径,您希望 VPN 在排除客户端应用过程名称下排除隧道外的流量
注意:在下面的配置快照中,我们从两个 Windows 的隧道中排除了 Zoom 应用程序 VPN 的流量,并 MAC 使用以下路径:
- /应用程序/缩放.us.app/内容/MacOS/zoom.us
- %应用数据%*漫游\Zoom_bin_Zoom.exe
- 一旦配置,单击 OK 并提交配置 firewall 上的。。 连接 GlobalProtect 到网关后,上述配置将按其上推
- 要配置排除隧道中的视频流量(仅限 Windows 和 macOS),请导航到网络 GlobalProtect >>网关>"选择网关">代理>视频流量
- 在这里,检查"仅限来自隧道的视频流量(仅限 Windows 和 macOS)"复选框,并添加您希望从隧道中排除视频流量的应用程序 VPN 。
注意:如果管理员启用此选项,但不排除隧道中的特定视频流应用程序 VPN ,则排除所有视频流流量。
注意:在下面的配置快照中,不包括以下应用程序:
注意:在下面的配置快照中,不包括以下应用程序:
- 葫芦基地
- 流媒体
- youtube 流式处理
- 一旦配置,单击 OK 并提交配置 firewall 上的。。
Additional Information
- 正确标识要显示和排除的内容至关重要。 如果有一个媒体文件,如mp3,swf等下载,那么不应该分裂隧道,必须通过隧道和检查,因为这些可能是威胁车辆。
- 必须在网关上启用 ssl 解密,以排除使用 https 的流。 更多关于相同的信息可以在这里找到。
- 有关许可证和激活的更多信息,请参阅此处。
- 优化拆分隧道 GlobalProtect