グローバル プロテクト クライアント構成で[ネットワーク アクセスに GlobalProtect を強制する]を有効にした後も、許可されるトラフィックの種類は何ですか。
40815
Created On 11/29/20 15:45 PM - Last Modified 06/03/25 01:56 AM
Question
グローバル プロテクト クライアント構成で[ネットワーク アクセスに GlobalProtect を強制する]を有効にした後でも、許可されるトラフィックの種類は何ですか。
Environment
任意の PanOS バージョン
任意のハードウェアおよび VM プラットフォーム
Answer
- 「ネットワーク アクセスに GlobalProtect を強制する」が有効になっている場合、ゲートウェイへの接続が確立されるまでクライアント PC のネットワーク アクセスがブロックされます
。 それらは次のとおりです
。DNS
2.DHCP
3. キャプティブ ポータル検出
- キャプティブ ポータル検出メッセージは、クライアントが強制設定に関係なくポータル/ゲートウェイにアクセスできない場合にトリガーされます。
- メッセージは基本的に HTTP 要求
です - Global Protect がキャプティブ ポータル検出に使用する URL の一部 (今後はリストが変更される可能性があります):
captive.apple.com clients3.google.com www.msftconnecttest.com
注:キャプティブ ポータルが検出された場合でも、強制が有効で、キャプティブ ポータル検出メッセージが設定されているか、またはキャプティブ ポータルの例外タイムアウト値が設定されていない限り、特定のアクションは実行されません。 キャプティブ ポータルの設定のいずれかが設定されている場合、次の処理が
行われます( 1)。 グローバル・プロテクトは、プローブを送信して、キャプティブ・ポータルが存在しているかどうかを検出します。
2.キャプティブ ポータルがグローバル プロテクトによって検出された場合、すべてのトラフィックを許可する必要があることを通知します。
3.クライアントがキャプティブ ポータルで認証されるか、キャプティブ ポータル例外タイムアウト値に達すると、Global Protect は DHCP と DNS 以外のネットワーク アクセスをブロックします。
Additional Information
ネットワーク アクセスに関するドキュメント、キャプティブ ポータル、および強制 GlobalProtect を参照してください:
https://docs.paloaltonetworks.com/globalprotect/10-0/globalprotect-admin/globalprotect-quick-configs/captive-portal-and-enforce-globalprotect-for-network-access.html