Welche Art von Datenverkehr ist nach der Aktivierung von "Enforce GlobalProtect for Network Access" in der Global Protect-Clientkonfiguration weiterhin zulässig?

Welche Art von Datenverkehr ist nach der Aktivierung von "Enforce GlobalProtect for Network Access" in der Global Protect-Clientkonfiguration weiterhin zulässig?

40870
Created On 11/29/20 15:45 PM - Last Modified 06/03/25 01:56 AM


Question


Welche Art von Datenverkehr ist auch nach der Aktivierung von "Enforce GlobalProtect for Network Access" in der Global Protect-Clientkonfiguration weiterhin zulässig?

Environment


Jede PanOS-Version
Jede Hardware- und VM-Plattform

Answer


-  Wenn "GlobalProtect for Network Access erzwingen" aktiviert ist, wird der Netzwerkzugriff des Client-PCs blockiert, bis eine Verbindung zum Gateway hergestellt wird
Standardmäßig ist bestimmte Arten von Datenverkehr von der Blockierung ausgeschlossen. Das sind:

1.DNS
2.DHCP
3. Captive Portal Detection
- Captive Portal Detection-Meldungen werden ausgelöst, wenn der Client unabhängig von den Erzwingungseinstellungen nicht auf Portal/Gateway zugreifen kann. 
- Nachrichten sind im Grunde HTTP-Anforderungen
- Einige der URLs, die Global Protect für die Erkennung von Captive Portalen verwendet (Die Liste kann sich in Zukunft ändern):
captive.apple.com clients3.google.com www.msftconnecttest.com



Hinweis: Selbst wenn Captive Portal erkannt wird, wird keine bestimmte Aktion ausgeführt, es sei denn, wir haben die Erzwingung aktiviert und entweder Captive Portal Erkennungsnachricht gesetzt oder Captive Portal Ausnahme Timeout-Wert gesetzt. Vorausgesetzt, wir haben eine der Captive Portal-Einstellungen gesetzt, dann geschieht folgendes,

1. Der Globale Schutz sendet Prüfpunkte, um zu erkennen, ob ein Captive-Portal vorhanden ist oder nicht.  
2.Wenn Captive Portal von Global Protect erkannt wird, wird es benachrichtigt, dass der gesamte Datenverkehr erlaubt sein muss. 
3.Sobald sich der Client im Captive Portal authentifiziert oder den Zeitoutwert für captive Portal-Ausnahmen erreicht hat, blockiert Global Protect den Netzwerkzugriff außer DHCP und DNS.
 

Additional Information


Lesen Sie das Dokument Captive Portal and Enforce GlobalProtect for Network Access:
https://docs.paloaltonetworks.com/globalprotect/10-0/globalprotect-admin/globalprotect-quick-configs/captive-portal-and-enforce-globalprotect-for-network-access.html
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmlCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language