允许全球根据用户组的不同国家保护用户
33006
Created On 07/17/22 16:53 PM - Last Modified 03/24/23 07:29 AM
Objective
- 允许 Executive 用户从任何国家连接到 Global Protect
- 允许所有其他用户仅限于特定国家(示例 - 澳大利亚)
Environment
- 帕洛阿尔托Firewall.
- 支持的PAN-OS.
- GlobalProtect 门户网站。
Procedure
先决条件:
- 为高管和其他用户预配置用户组,
- 在这个例子中,LDAP用于身份验证。 用户组“executives”和“gp-users”在 Active Directory 中预先配置,组映射在 Paloalto 中配置Firewall.
- 登录到GUI帕洛阿尔托
- GUI:设备 > 身份验证配置文件 > 新建 >创建一个配置文件,这里使用类型的身份验证配置文件LDAP已创建并选择了所有用户。
- 为“执行”组创建代理配置并选择国家作为任何
- GUI:网络 >GlobalProtect > 门户 > 编辑门户配置文件 > 代理 > 配置选择标准 > “在用户/用户组”下选择“执行”组。
- 在里面外部的选项卡 > 添加公共IP> 选择源区域为“任何”
- 为“gp-users”组创建代理配置并选择国家作为任何
- GUI:网络 >GlobalProtect > 门户 > 编辑门户配置文件 > 代理 > 配置选择标准 > “在用户/用户组”下选择“gp-users”组。
- 在里面外部的选项卡 > 添加公共IP> 选择来源地区为“澳大利亚”(AU )
- 使用“上移”按钮将高管的代理配置移至订单顶部
- 点击 ”OK " 并提交配置
笔记:网关配置与常规 Global Protect 设置相同。