《configuring gp 基础配置》由会员分享,可在线阅读,更多相关《configuring gp 基础配置(14页珍藏版)》请在金锄头文库上搜索。
1、配置配置 GlobalProtect GlobalProtect 技术文档 PAN-OS 4.1 综述 GlobalProtect提供的主机安全性,如笔记本电脑, 用于在世界任何地方能够便捷安全登录. 有 了GlobalProtect, 用 户 免 受 威 胁 , 甚 至 当 他 们 不 在 企 业 网 络, 应用和内容使用是受到 控制的是主机免受数据泄露的危险, 等等. 在PAN-OS 4.1版本, GlobalProtect 替换了 NetConnect 功能该文件包括,配置远程访问VPN取代NETCONNECT GlobalProtect 基础 有三个组成了GlobalProtect解
2、决方案重要组成部分: GlobalProtect Portal: 一个的Palo Alto Networks的下一代防火墙,提供在GlobalProtect系 统集中控制。 Portal维护所有网关列表,用于身份验证证书,检查最终主机类别列表。 GlobalProtect Gateway: 一个或多个Palo Alto Networks的下一代防火墙上的一个或多个接口 上为来自GlobalProtect用户端流量提供安全实施。网关可以是内部即在局域或在外网,通过公共 互联网连接 Client: 客户端/代理软件配置在笔记本电脑中连接的GlobalProtect设备。 部署拓扑 部署最简单的形式
3、是一个单一的防火墙在_网关和门户。对于大型部署,地理上分散的网关和一个集中的门 户。这允许客户端连接到最近的网关。一些常见的部署拓扑如下。 单网关用于VPN的远程访问 多网关部署 NetConnect 功能 配 置GlobalProtect 用于远程访问 本节提供使用远程访问VPN GlobalProtect配置的例子。这是适用在PAN-OS的版本4.1,NETCONNECT功能不 再可用。此配置中,没有主机检查或者多个网关,类似于NETCONNECT只是用于远程访问。 注:此功能不要求GlobalProtect的网关和门户许可证 软硬件要求 全系列 Palo Alto Networks 下一
4、代防火墙 PAN-OS version 4.1 GlobalProtect 客户端: 下载安装GlobalProtect客户端. GlobalProtect客户端支持 32-bit XP, 32-bit 和 64-bit 的 Vista 及 Windows 7, Mac OS 10.6 网络拓扑 在本例子中, 防 火 墙 详 细 配 置 如 下 : Tunnel interface : Tunnel interface for VPN termination Authentication method: Local DNS Server: 10.0.0.246 IP pool : 172.16
5、.1.1- 172.16.1.250 DNS suffix: Access route: 192.168.1.0/16 Interface Comment Zone Virtual Router Ethernet 1/3 外部接口,此地址是 Portal和Gateway地址 L3-outside default Ethernet 1/1 内部接口. 连接受到保护的资源 L3-inside default Tunnel 逻辑接口,用于VPN tunnel终结 VPN default 注释 注释 : : 1. 通过隧道接口绑定在同一区域作为连接保护资源接口,远程用户可以访问的资源而不需要通过 隧
6、道的安全政策。更严格的政策执行建议隧道接口分配到它自己的区域,例如VPN区段,然后创建 策略之间的VPN区和L3-内安全允许访问受保护的资源 2. Loopback 接口可以适用于portal 和 gateway 接口 步骤1: 创建服务器证书-server certificate 类似的参数创建一个证书要由门户和网关使用。通用名称必须是远程用户连接到接口FQDN名称或IP地 址。 步骤2: 配置用户认证 确定将使用验证GlobalProtect用户的身份验证方法。 Palo Alto Networks的下一代防火墙支持本地 数据库,LDAP,RADIUS或Kerberos身份验证服务器对用户
7、进行身份验证。在这个例子中我们将使用本 地数据库对用户进行身份验证。 创建本地用户 DeviceLocal User DatabaseUsers DeviceLocal User DatabaseUsers 点击add(增加) 注意:要了解更多有关使用其他用户身份验证机制,请部分配置用户认证 Configuring User authentication 创建用户认证配置文件DeviceDevice Authentication Profiles Authentication Profiles 点击add(增加) 步骤3: 创建tunnel interface 隧道接口是逻辑接口,只用于终止V
8、PN隧道。它可用于站点到站点IPSec VPN和远程访问VPN。有一个 预先定义隧道接口tunnel”。您可以使用使用预定义的隧道接口创建一个单独的隧道接口。在这个 例子中我们使用预先定义隧道接口。隧道接口也必须被分配到一个虚拟的路由器并绑定到一个安全 区。 步骤4: 配置Gateway 远程访问连接从用户开始并终止在网关。 General General T Tabab 指定 Gateway名称并选择服务器证书(第一步创建的) 如果你希望远程用户建立Ipsec安全连接到网关, 选 择“Tunnel Mode” , 选择tunnel interface 和 打 勾 “Enable IPSec”
9、. 在tunnel gateway address 区 域 , 在下拉框选择外部 接口地址. 地址将会自动回填一旦 接口选中. 注释 : 启动 X- Auth 支持移动设备, 如 Apple iOS 设备建立 IPSec 隧道. 从 Pan- OS 4.1.6 , IPSec 隧道也支持 Android 设备. Client Configuration tab Client Configuration tab 在本节中,配置IP地址池,DNS服务器的IP地址,DNS后缀, 连接成功后,将分配给客户端的虚拟网 卡。对指定网络访问,流量通过隧道传输。在这个例子中,任何子网192.168.1.0/2
10、4流量将被加密, 并通过隧道传送到网关使用虚拟适配器。所有其他流量未被加密并使用主机物理接口路由。 步骤5: 配置 Portal Portal配置要求,指定网关所需的证书, 由门户网站身份验证方法,以及可选的客户端证书。 Portal 配置Portal 配置 NaNameme: : 门户网站标识符 Authentication Authentication Profile: Profile: 用于验证远程用户的身份验证方法. Server Server Certificate: Certificate: 从下拉列表选择第一步创建的证书 Portal Portal Address: 下拉框Add
11、ress: 下拉框, 选择出接口用于和远程用户建立 IPSec tunnel Client 配置 Client 配置 单击 Add 创建新客户端配置。门户网站上客户端配置部分控制终端主机的 GlobalProtect 代理行为 在“General Tab” 启动 “On demand” 允许用户触发GlobalProtect代理连接当需要连接网关时 GateGatewawaysys 根据网关区指定的IP地址或FQDN用于远程和防火墙出接口建立VPN隧道的地址。在这个例子中外 部网关的IP地址是10.2.133.121接口的ethnernet 1/ 3IP地址。在这种情况下是不适用的网关优 先,
12、是唯一的门户。默认值是1。 NotNote e: : 在这种情况下没有内部网关必须指定 Agent Agent TaTab b Enable advanced Enable advanced vieview w 允许最终用户选择高级视图部分,其中包括细节,设置和故障排除标签 提示:建议禁用代理高级视图 防止用户更改设置 User can save User can save password: password: 允许客户保存密码允许客户保存密码在客户端 Client Client Upgrade: Upgrade: 最终用户将被提示升级客户端的新版本可用。 “透明”选项会自动下载较新版本的代
13、 理可用时,不提示用户升级 步骤6: 下载和使用GlobalProtect 客户端 测试连接之前,你必须下载并Active(激活)GlobalProtect客户端。需要在Device GlobalProtect Client更新,当一个客户端的新版本可用,你可以下载并启动新的远程用户的 客户端。 注释注释 : : GlobalProtect客户需要第一次安装到客户机的Admin管理权限。一旦客户端安装,后续的客 户端升级并不需要管理员权限 提示:如果您设置客户端升级为透明,如在上一节所述,新的客户端被激活时,将被下载到客户机和提示:如果您设置客户端升级为透明,如在上一节所述,新的客户端被激活时
14、,将被下载到客户机和 客户端自动升级在客户没有介入的情况下客户端自动升级在客户没有介入的情况下 Client 连 接 如果 GlobalProtect没有安装在主机, 需 要客户 安装msi 文件,此文件可以从防火墙直接下载. 下 载 msi 文件, 访问portal/gateway地址. 如下所示10.2.133.121 adminstrator 权限需要到首次安装 GlobalProtect 的客户端。向客户端分发到多台主机,参考分 发 GlobalProtect 客户部分 Distributing GlobalProtect Client 注释注释: 如果portal填写是FQDN ,
15、请 不 要 写 入 “ https:” 验证 你可以验证客户端主机的连接状态, 通 过 查 看GlobalProtect 客户端设置Tab. 验证 查看活动的数据流 adminPA-5060-2 show global-protect-gateway flowadminPA-5060-2 show global-protect-gateway flow total tunnels configured: 1 filter - type GlobalProtect-Gateway, state any total GlobalProtect-Gateway tunnel shown: 1 id
16、name local-i/f local-ip tunnel-i/f - - 8 GP-Gateway ethernet1/3 10.2.133.121 tunnel adminPA-5060-2 show global-protect-gateway flow tunnel-id 8adminPA-5060-2 show global-protect-gateway flow tunnel-id 8 tunnel GP-Gateway id: 8 type: GlobalProtect-Gateway local ip: 10.2.133.121 inner interface: tunnel outer interface:
