在全局保护客户端配置中启用"强制网络访问全局保护"后,仍然允许什么类型的流量?
40799
Created On 11/29/20 15:45 PM - Last Modified 06/03/25 01:56 AM
Question
即使在全局保护客户端配置中启用"网络访问强制全局保护"后,仍允许什么类型的流量?
Environment
任何 PanOS 版本
任何硬件和 VM 平台
Answer
- 启用"强制网络访问全局保护"后,客户端 PC 的网络访问将被阻止,直到建立与网关的连接
- 默认情况下,有某些类型的流量从阻止中排除。 这些是:
1.DNS
2.DHCP
3. 捕获门户检测
- 如果客户端无法访问门户/网关,无论实施设置如何,都会触发强制门户检测消息。
- 消息基本上是 HTTP 请求 - Global Protect 用于捕获门户检测的一些
URL(列表将来可能会更改):captive.apple.com
clients3.google.com
www.msftconnecttest.com
注意:即使检测到强制门户,除非我们启用了强制,并且设置了强制门户检测消息或设置了捕获门户异常超时值,否则不会执行任何特定操作。 假设我们设置了一个"俘虏门户"设置,则以下情况将发生
,1。 全局保护将发送探测器以检测是否存在捕获的门户。
2.如果全局保护检测到捕获门户,它将通知必须允许所有流量。
3.一旦客户端在捕获门户上进行身份验证或达到捕获门户异常超时值,全局保护将阻止除 DHCP 和 DNS 以外的网络访问。
Additional Information
请参阅文档"捕获门户"和"强制全局保护"网络访问
:https://docs.paloaltonetworks.com/globalprotect/10-0/globalprotect-admin/globalprotect-quick-configs/captive-portal-and-enforce-globalprotect-for-network-access.html