GlobalProtect の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure GlobalProtect
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect/ta-p/5835...

 

GlobalProtect (GP) を実装するための設定:

 

  • Palo Alto Networks firewall 上で GlobalProtect クライアントをダウンロードし、アクティベート実行
  • ポータル設定
  • ゲートウェイ設定
  • Trust ゾーンとGlobalProtect クライアント間のルーティング (場合によってはUntrust ゾーンとGlobalProtect クライアント間)
  • Trust ゾーンとGlobalProtect クライアント間のトラフィックを許可するSecurity および NAT ポリシーの設定
    • オプション: GlobalProtect クライアントからインターネットにアクセスするためのNATポリシー (スプリット トンネリングが無効な場合)
  • iOS および Android デバイスは接続するためにGlobalProtect アプリケーションを使用することができます。

 

ポータル設定

GP-portal.png

 

最初は証明書プロファイルを設定せずにテストされることを推奨します。これは初期設定で意図したとおりに動作しない場合、トラブルシュートを容易にすることを可能にします。正常に設定でき、基本的な認証が成功したら、証明書認証用の証明書プロファイルを追加します。

 

Portal のIPアドレスは外部のGP クライアントが接続するためのアドレスです。ほとんどの場合、外部インターフェイスを指定し、通常Gateway アドレスも同じIPアドレスとします。

GP-client.png

 

GlobalProtect 接続方式:

  • On-demand: VPN へのアクセスが必要なときに手動で接続する必要があります。
  • User-logon: ユーザーがマシンにログインするとすぐにVPN が確立されます。SSO を有効にすると、Windows のログオン情報からユーザー資格情報を自動的に取り出し、GP クライアントのユーザーを認証するために使用されます。
  • Pre-logon: マシンにログインする前にVPN が確立されます。この設定にはマシン証明書が必要になります。

Agent タブはユーザーがGP Agent上での実施可否に関する重要な情報が含まれています。"GlobalProtect の無効化を許可" で "with-comment"と設定した場合、コメントや理由を入力した後、ユーザーがGP Agent を無効化することができます。このコメントはユーザーが次回ログインしたときにシステム ログに表示されます。

GP-agent-tab.png

 

"disabled" オプションを選択すると、ユーザーが任意でGP Agent を無効化することから防ぎます。

GP-agent-disabled.png

 

ゲートウェイ設定

初期設定の際は、基本設定のみを実施されることをお勧めします。全ての設定について確認されたあと、必要に応じてクライアント証明書による認証を追加できます。

GP-gateway.png

 

サードパーティ製のVPN アプリケーションを使用するデバイスを認証するには、ゲートウェイのクライアントの設定にて "X-Auth サポートの有効化" をチェックします。グループ名とグループ パスワードを設定する必要があります。

GP-Gateway-Tunnel.png

GP-Gateway-Network.png

 

ほとんどの場合、静的な公開IPアドレスを持つファイアウォールのために、継承ソースは"None"に設定します。

 

ファイアウォールが接続してきたGP クライアントに割り当てるIP アドレスのプールとなるため、IP プール設定の情報は重要です。GP クライアントはローカル ネットワークの一部として考慮される場合であっても、ルーティングを容易にするため、LAN アドレス プールと同じサブネットをIP プールに使用することを推奨しません。送信元が異なるサブネットの場合、社内サーバーはゲートウェイにパケットを自動的に送り返します。GP クライアントがLANと同じサブネットからIP アドレスを発行された場合、内部LAN リソースはGP クライアントへの通信をファイアウォール (デフォルトGW) へ向けることはありません。

 

アクセス ルート

アクセス ルートとはGP クライアントが接続することを期待されるサブネットです。ほとんどの場合、これはLAN ネットワークとなります。インターネット向けの通信を含む全ての通信をファイアウォールを通過するように強制するには、全ての通信を意味する "0.0.0.0/0" と設定する必要があります。

 

 

"0.0.0.0./0" が設定されている場合、セキュリティ ルールはGP クライアントがアクセスできる社内LANリソースを制御することができます。セキュリティポリシーがGP クライアント ゾーンからUntrust ゾーンへの通信を許可していない場合、GP クライアントからPalo Alto Networks ファイアウォールにSSL VPN経由で接続された際、クライアントは内部リソースのみアクセスすることができ、インターネットへの通信は許可されません。

NAT.png

GPSecurity.png

 

GlobalProtect クライアントのゾーンとトンネルは他のインターフェイスと同じバーチャル ルーターに含まれている必要があります。