Глобал протект для виндовс 10 что это такое

Обновлено: 06.07.2024

GlobalProtect для Android подключается к шлюзу GlobalProtect на брандмауэре следующего поколения Palo Alto Networks, что позволяет мобильным пользователям пользоваться преимуществами защиты безопасности предприятия. Администратор предприятия может настроить одно и то же приложение для подключения в режиме Always-On VPN, VPN с удаленным доступом или VPN для каждого приложения. Приложение автоматически адаптируется к местоположению конечного пользователя и подключает пользователя к наилучшему доступному шлюзу, чтобы обеспечить оптимальную производительность для всех пользователей и их трафика, не требуя каких-либо усилий со стороны пользователя. Это позволяет пользователям безопасно и эффективно работать в местах за пределами традиционного офиса.

Перед установкой этого приложения обратитесь в ИТ-отдел, чтобы убедиться, что ваша организация включила подписку шлюза GlobalProtect на брандмауэре.

Особенности:
- Автоматическое VPN-соединение
- Поддержка BYOD с VPN для удаленного доступа и VPN на уровне приложений
- Автоматическое обнаружение наилучшего доступного шлюза
- Возможность ручного выбора шлюза
- Соединение через IPSec или SSL
- Интеграция с MDM для простоты предоставления
- Поддержка изменения пароля AD / RADIUS с истекшим сроком действия, когда пользователь подключается удаленно
- Поддержка двухфакторной аутентификации на основе одноразового пароля с использованием RADIUS, SAML
- Поддержка других методов аутентификации PAN-OS, включая LDAP, клиентские сертификаты и базы данных локальных пользователей.
- Полные преимущества родного опыта Android с интегрированным уведомлением
- Возможность для предприятий, чтобы пользователи могли безопасно использовать любое приложение

Инструкции по установке

Cкачать и установить GlobalProtect на компьютер бесплатно.

Многие из нас стали задавать простой вопрос: как скачать, установить и сыграть в нашу любимую игру прямо на компьютере?

Если вы не любите маленькие экраны смартфона или планшета, то сделать это можно с помощью программы-эмулятора. С ее помощью можно создать на своем компьютере среду Android и через нее запустить приложение. На данный момент самыми популярными утилитами для этого являются: Bluestacks и NoxPlayer.

Установка GlobalProtect на компьютер с помощью Bluestacks

Bluestacks считается самым популярным эмулятором для компьютеров под управлением Windows. Кроме того, есть версия этой программы для Mac OS. Для того, чтобы установить этот эмулятор на ПК нужно, чтобы на нем была установлена Windows 7 (или выше) и имелось минимум 2 Гб оперативной памяти.

+ Windows: дважды щелкните по скачанному EXE-файлу, нажмите «Да», когда появится запрос, щелкните по «Установить», нажмите «Завершить», когда эта опция станет активной. Откройте Bluestacks, если он не запустился автоматически, а затем следуйте инструкциям на экране, чтобы войти в свою учетную запись Google.

+ Mac: дважды щелкните по скачанному файлу DMG, дважды щелкните по значку Bluestacks, нажмите «Установить», когда будет предложено, разрешите устанавливать программы сторонних разработчиков (если понадобится) и нажмите «Продолжить». Откройте Bluestacks, если он не запустился автоматически, и следуйте инструкциям на экране, чтобы войти в свою учетную запись Google.

Скачайте файл APK на компьютер. APK-файлы являются установщиками приложений. Вы можете скачать apk-файл с нашего сайта.

Щелкните по вкладке «Мои приложения». Она находится в верхней левой части окна Bluestacks.

Нажмите «Установить APK». Эта опция находится в нижнем правом углу окна. Откроется окно Проводника (Windows) или Finder (Mac).

Выберите скачанный файл APK. Перейдите в папку со скачанным файлом APK и щелкните по нему, чтобы выбрать.

Нажмите «Открыть». Эта опция находится в нижнем правом углу окна. Файл APK откроется в Bluestacks, то есть начнется установка приложения.

Запустите приложение. Когда значок приложения отобразится на вкладке «Мои приложения», щелкните по нему, чтобы открыть приложение.

Ты можешь использовать GlobalProtect на компьютере уже сейчас - просто скачай GlobalProtect для Windows и Mac прямо с этой страницы и установи приложение и ты останешься доволен.

Установка GlobalProtect на компьютер с помощью NoxPlayer

Nox App Player бесплатна и не имеет никакой навязчивой всплывающей рекламы. Работает на Андроиде версии 4.4.2, позволяя открывать множество игр, будь то большой симулятор, требовательный шутер или любое другое приложение.

+ Для того чтобы установить эмулятор Nox App Player, нажимаем на кнопку «СКАЧАТЬ».

+ Далее начнется автоматическая загрузка, по завершении которой необходимо будет перейти в папку «Загрузки» и нажать на установочный файл скачанной программы.

Установка и запуск программы:

+ Для продолжения установки необходимо в открывшемся окне нажать на кнопку «Установить». Выберите дополнительные параметры инсталляции, нажав на кнопку «Настроить», если вам это необходимо. Не снимайте галочку с пункта «Принять «Соглашение»», иначе вы не сможете продолжить.

+ После того как эмулятор будет установлен на компьютер, вы увидите на экране окно запуска, где необходимо будет нажать на кнопку «Пуск».

+ Все, на этом этапе установка эмулятора Nox App Player завершена. Для полноценной работы программы вам необходимо будет зайти в свой аккаунт Play Market — нажмите на иконку приложения в папке Google, введите логин и пароль от вашей учетной записи.

Загрузка и установка приложений: Для этого вам необходимо скачать файл приложения в формате APK и просто перетащить его на рабочий стол Nox App Player. После этого сразу начнется установка, по окончании которой вы увидите значок этого приложения на главном экране.

Сотрудникам современных компаний иногда приходится работать дистанционно. Они проверяют электронную почту из дома, редактируют корпоративные документы в аэропорту. Мобильность рабочей силы не только повышает производительность и гибкость, но и ставит под удар сетевую безопасность. Всякий раз, когда пользователь работает на ноутбуке за пределами офиса, он обходит корпоративный межсетевой экран и связанные с ним политики безопасности. GlobalProtect исправляет эту ситуацию и позволяет применять политики безопасности межсетевого экрана для всех пользователей независимо от их местоположения

Пользователи рассматривают физические границы как пережиток. Они рассчитывают на возможность подключаться к сети и работать из любого места, используя ноутбуки, смартфоны и планшеты. Это создает проблему для отделов информационной безопасности, которые должны защищать всех пользователей, даже если они находятся не на своем рабочем месте. Специалисты часто вынуждены идти на компромиссы, что негативно сказывается на защищенности сети компании.

Решение GlobalProtect делает безопасной работу удаленных сотрудников. Решение не только обеспечивает VPN -доступ к корпоративной сети, но и расширяет политику безопасности на всех пользователей независимо от их местоположения. GlobalProtect подключает дистанционных работников к межсетевому экрану для обеспечения контроля всего корпоративного трафика, а также отслеживания и предотвращения любых угроз. Кроме того, поддержка устройств Windows , Mac OS X, Linux , iOS и Android гарантирует охват самых популярных современных платформ. Такой подход позволяет ИТ-специалистам залатать бреши в системе информационной безопасности предприятия и распространить политику безопасности там, где это потребуется.

GlobalProtect позволяет использовать новые элементы управления политикой, которые основываются на состоянии конечной точки, например статус антивирусного ПО и обновления операционной системы. Благодаря этому мы можем убедиться, что антивирусное ПО обновлено или включено шифрование. Данные элементы управления полностью интегрированы с межсетевым экраном следующего поколения, что позволяет использовать новые политики, такие как ограничение доступа к важным приложениям, если операционная система пользователя настроена неправильно или не обновлена. GlobalProtect проводит мониторинг приложений, пользователей и контента , что дает специалистам ИБ более гибкие инструменты при разработке идеальной политики безопасности для предприятия.

GlobalProtect — комплексное решение, которое постоянно отслеживает угрозы, обеспечивает соблюдения политики безопасности и защищает сеть независимо от местоположения конечного пользователя или способа подключения. Такой подход делает корпоративную политику безопасности основной для всех сетевых подключений и обеспечивает единый и последовательный подход к ее соблюдению.

Приложения и удаленные пользователи

Современные предприятия и их сети не являются централизованными хранилищами данных, а пользователи и приложения больше не находятся под защитой хорошо контролируемого периметра. Вместо этого работа все чаще происходит за пределами традиционного офиса. Предприятия должны дать пользователям возможность быть продуктивными, находятся они в офисе или за его пределами, а также использовать мобильные устройства, подключенные к корпоративной сети. Аналогичным образом корпоративные приложения и данные становятся все менее привязанными к традиционной внутренней инфраструктуре и переносятся за ее пределы, например, на облачные сервисы.

Поскольку многие активы вышли за рамки традиционной инфраструктуры, они также вышли и за рамки традиционных средств обеспечения безопасности. Такая тенденция ведет к снижению качества работы решений для защиты информации и подрывает общую безопасность предприятия.

Когда пользователь оказывается за пределами корпоративной сети, уровень защищенности быстро падает. Специалисты ИБ в такой ситуации вынуждены поддерживать параллельные политики безопасности для корпоративной сети и мобильных пользователей, каждая из которых имеет разные возможности, правила и отчетность. Обмен информацией между этими продуктами требует серьезных вычислительных мощностей. В результате чего, политика безопасности и качество защиты падают, а общий риск возрастает, когда пользователь собирается подключиться к сети дистанционно с помощью мобильного устройства.

Решение GlobalProtect

GlobalProtect предоставляет комплексный подход для защиты смартфонов, ноутбуков и планшетов, который базируется на технологиях платформы Palo Alto Networks. Решение обеспечивает интеграцию мобильных приложений в корпоративную сеть. GlobalProtect предоставляет предприятиям возможность создать безопасную среду для приложений и данных, при этом позволяя сотрудникам пользоваться наиболее удобным в данный момент устройством.

GlobalProtect предоставляет безопасный доступ, основываясь на 3 критериях безопасности:

Управление устройством. Специалисты информационной безопасности контролируют использование приложений и устройств, а также их состояние во всей организации с помощью GlobalProtect MobileSecurity Manager.
Защита устройства. GlobalProtect устанавливает VPN-соединение по протоколам IPsec и SSL. Межсетевой экран следующего поколения Palo Alto Networks последовательно применяет политики безопасности, проверяет трафик и предупреждает пользователей об угрозах независимо от того, где они находятся.
Контроль данных. Данные о приложениях, пользователях, контенте и состоянии устройств помогают GlobalProtect принять решение о предоставлении доступа к сетевым ресурсам. Неуправляемые и несовместимые устройства блокируются. Решение также контролирует корпоративные данные на мобильных устройствах, гарантируя при этом соблюдение конфиденциальности персональной информации пользователя.

Как работает GlobalProtect

GlobalProtect Gateway

Защищает мобильные устройства от угроз и обеспечивает соблюдение правил, проводя мониторинг приложений, пользователей, контента, устройств и их состояния. Устанавливает VPN-соединение для мобильных устройств с помощью приложения GlobalProtect. Интегрируется с WildFire для обнаружения нового вредоносного ПО.

GlobalProtect App

Позволяет управлять устройством. Предоставляет данные о состоянии устройства и обеспечивает безопасное соединение. Подключается к GlobalProtect Gateway для получения доступа к приложениям и информации в соответствии с политикой безопасности. Обменивается информацией о настройках устройства и его состоянии с GlobalProtect Mobile Security Manager.

GlobalProtect Mobile Security Manager

Дает доступ к управлению для настройки устройства. Использует WildFire для идентификации устройств с зараженными приложениями. Предоставляет информацию о состоянии устройства с помощью GlobalProtect Gateway, чтобы гарантировать исполнение политик безопасности. Контролирует перемещение данных между персональными и бизнес-приложениями.

GlobalProtect for Windows Unified Platform connects to a GlobalProtect gateway on a Palo Alto Networks next-generation firewall allowing mobile users to benefit from the protection of enterprise security. The app automatically adapts to the end-user’s location and connects the user to the optimal gateway in order to deliver the best performance for all users and their traffic, without requiring any effort from the user. This allows users to work safely and effectively at locations outside of the traditional office. Before installing this app, please check with your IT department to ensure that your organization has enabled a GlobalProtect gateway subscription on the firewall. Features: - Automatic VPN connection - Automatic discovery of optimal gateway - Connect via SSL - Supports all of the existing PAN-OS authentication methods including RADIUS, LDAP, client certificates, and a local user database - Provides the full benefit of the native experience and allows users to securely use any app Requirements: - Network administrators; please contact your Palo Alto Networks sales representative or channel partner to add GlobalProtect gateway subscription to your firewalls in order to enable support for GlobalProtect for Windows Unified Platform. - Supported on Palo Alto Networks next-generation firewalls running PAN-OS 7.0 and 7.1

Поддерживаемые устройства:

Описание

загрузить и установить GlobalProtect™ на вашем персональном компьютере и Mac

Некоторые приложения, например, те, которые вы ищете, доступны для Windows! Получите это ниже:

Или следуйте инструкциям ниже для использования на ПК :

Если вы хотите установить и использовать GlobalProtect™ на вашем ПК или Mac, вам нужно будет загрузить и установить эмулятор Desktop App для своего компьютера. Мы усердно работали, чтобы помочь вам понять, как использовать app для вашего компьютера в 4 простых шагах ниже:

Шаг 1: Загрузите эмулятор Android для ПК и Mac

Хорошо. Прежде всего. Если вы хотите использовать приложение на своем компьютере, сначала посетите магазин Mac или Windows AppStore и найдите либо приложение Bluestacks, либо Приложение Nox . Большинство учебных пособий в Интернете рекомендуют приложение Bluestacks, и у меня может возникнуть соблазн рекомендовать его, потому что вы с большей вероятностью сможете легко найти решения в Интернете, если у вас возникнут проблемы с использованием приложения Bluestacks на вашем компьютере. Вы можете загрузить программное обеспечение Bluestacks Pc или Mac here .

Шаг 2: установите эмулятор на ПК или Mac

Теперь, когда вы загрузили эмулятор по вашему выбору, перейдите в папку «Загрузка» на вашем компьютере, чтобы найти приложение эмулятора или Bluestacks.
Как только вы его нашли, щелкните его, чтобы установить приложение или exe на компьютер или компьютер Mac.
Теперь нажмите «Далее», чтобы принять лицензионное соглашение.
Чтобы правильно установить приложение, следуйте инструкциям на экране.
Если вы правильно это сделаете, приложение Emulator будет успешно установлено.

Шаг 3: GlobalProtect™ для ПК - Windows 7/8 / 8.1 / 10/ 11

Теперь откройте приложение Emulator, которое вы установили, и найдите его панель поиска. Найдя его, введите GlobalProtect™ в строке поиска и нажмите «Поиск». Нажмите на GlobalProtect™значок приложения. Окно GlobalProtect™ в Play Маркете или магазине приложений, и он отобразит Store в вашем приложении эмулятора. Теперь нажмите кнопку «Установить» и, например, на устройстве iPhone или Android, ваше приложение начнет загрузку. Теперь мы все закончили.
Вы увидите значок под названием «Все приложения».
Нажмите на нее, и она перенесет вас на страницу, содержащую все установленные вами приложения.
Вы должны увидеть . Нажмите на нее и начните использовать приложение.

Шаг 4: GlobalProtect™ для Mac OS

Привет. Пользователь Mac!
Шаги по использованию GlobalProtect™ для Mac точно такие же, как для ОС Windows выше. Все, что вам нужно сделать, это установить Nox Application Emulator или Bluestack на вашем Macintosh. Вы можете получить Это здесь .

Спасибо за чтение этого урока. Хорошего дня!

Получить совместимый APK для ПК

GlobalProtect™ На iTunes

GlobalProtect™ Особенности и описания

GlobalProtect for iOS connects to a GlobalProtect gateway on a Palo Alto Networks next-generation firewall to allow mobile users to benefit from enterprise security protection. Enterprise administrator can configure the same app to connect in either Always-On VPN, Remote Access VPN or Per App VPN mode. The app automatically adapts to the end user’s location and connects the user to the best available gateway in order to deliver optimal performance for all users and their traffic, without requiring any effort from the user. This allows users to work safely and effectively at locations outside of the traditional office. Before installing this app, please check with your IT department to ensure that your organization has enabled a GlobalProtect gateway subscription on the firewall. Features: Automatic VPN connection using iOS VPN On-Demand Support for BYOD with Remote Access VPN and App Level VPN Automatic discovery of best available gateway Manual gateway selection capability Connection over IPSec or SSL Integration with MDM for easy provisioning Support for changing an expired AD/RADIUS password when the user connects remotely Support for 2 Factor One Time Password based Authentication using RADIUS, SAML Support for other PAN-OS authentication methods, including LDAP, Client Certificates, and Local User Databases Full benefits of the native iOS experience with integrated notifications Capability for enterprises to enable users to use any app securely Requirements: Supported on Palo Alto Networks next-generation firewalls running PAN-OS 7.1, 8.0, 8.1 and above Requires a GlobalProtect gateway subscription installed on the Palo Alto Networks firewall in order to enable support for GlobalProtect app for iOS. Supported on iOS 10 and later releases

Несмотря на все преимущества межсетевых экранов Palo Alto Networks, в рунете не так много материалов по настройке этих устройств, а также текстов, описывающих опыт их внедрения. Мы решили обобщить материалы, накопленные у нас за время работы с оборудованием этого вендора и рассказать об особенностях, с которыми столкнулись в ходе реализации различных проектов.

Для знакомства с Palo Alto Networks в этой статье будут рассмотрены настройки, необходимые для решения одной из самых распространенных задач межсетевого экранирования, — SSL VPN для удаленного доступа. Также мы поговорим о вспомогательных функциях для общей настройки межсетевого экрана, идентификации пользователей, приложений и политик безопасности. Если тема заинтересует читателей, в дальнейшем мы выпустим материалы с разбором Site-to-Site VPN, динамической маршрутизации и централизованного управления с помощью Panorama.

Межсетевые экраны Palo Alto Networks используют ряд инновационных технологий, включая App-ID, User-ID, Content-ID. Применение этого функционала позволяет обеспечить высокий уровень безопасности. Например, с помощью App-ID возможно идентифицировать трафик приложений на основании сигнатур, декодирования и эвристики, вне зависимости от используемого порта и протокола, в том числе внутри SSL-туннеля. User-ID позволяет идентифицировать пользователей сети через интеграцию с LDAP. Content-ID дает возможность сканировать трафик и идентифицировать передаваемые файлы и их содержимое. Среди других функций межсетевых экранов можно выделить защиту от вторжений, защиту от уязвимостей и DoS-атак, встроенный анти-шпион, URL-фильтрацию, кластеризацию, централизованное управление.

Для демонстрации мы будем использовать изолированный стенд, с конфигурацией, идентичной реальной, за исключением имен устройств, имени домена AD и IP-адресов. В реальности все сложнее — филиалов может быть много. На границах центральных площадок в таком случае вместо одного межсетевого экрана будет установлен кластер, также может потребоваться динамическая маршрутизация.

На стенде используется PAN-OS 7.1.9. В качестве типовой конфигурации рассмотрим сеть с межсетевым экраном Palo Alto Networks на границе. Межсетевой экран предоставляет удаленный доступ SSL VPN к головному офису. В качестве базы данных пользователей будет использоваться домен Active Directory (рисунок 1).

Рисунок 1 – Структурная схема сети

Преднастройка устройства. Задание имени, IP-адреса управления, статических маршрутов, учетных записей администраторов, профилей управления
Установка лицензий, настройка и установка обновлений
Настройка зон безопасности, сетевых интерфейсов, политики трафика, трансляции адресов
Настройка профиля аутентификации LDAP и функции User Identification
Настройка SSL VPN

1. Преднастройка

Основным инструментом настройки межсетевого экрана Palo Alto Networks является веб-интерфейс, возможно также управление через CLI. По умолчанию у management-интерфейса задан IP-адрес 192.168.1.1/24, login: admin, password: admin.

Изменить адрес можно либо подключившись к веб-интерфейсу из той же сети, либо посредством команды set deviceconfig system ip-address <> netmask <>. Она выполняется в режиме конфигурирования. Для переключения в режим конфигурирования используется команда configure. Все изменения на межсетевом экране происходят только после подтверждения настроек командой commit, как в режиме командной строки, так и в веб-интерфейсе.

Для изменения настроек в веб-интерфейсе используется раздел Device -> General Settings и Device -> Management Interface Settings. Имя, баннеры, часовой пояс и другие настройки можно задать в разделе General Settings (рис. 2).

Рисунок 2 – Параметры интерфейса управления

В случае, если применяется виртуальный межсетевой экран в среде ESXi, в разделе General Settings нужно включить использование MAC-адреса, назначенного гипервизором, либо настроить на гипервизоре MAC-адреса, заданные на интерфейсах межсетевого экрана, либо изменить настройки виртуальных коммутаторов на разрешение изменений MAC-адресов. В противном случае, трафик проходить не будет.

Интерфейс управления настраивается отдельно и не отображается в списке сетевых интерфейсов. В разделе Management Interface Settings указывается шлюз по умолчанию для интерфейса управления. Другие статические маршруты настраиваются в разделе виртуальных маршрутизаторов, об этом будет написано далее.

Для разрешения доступа к устройству через другие интерфейсы необходимо создать профиль управления Management Profile в разделе Network -> Network Profiles -> Interface Mgmt и назначить его на соответствующий интерфейс.

Далее, необходимо настроить DNS и NTP в разделе Device -> Services для получения обновлений и корректного отображения времени (рис. 3). По умолчанию весь трафик, созданный межсетевым экраном, использует в качестве IP-адреса источника IP-адрес интерфейса управления. Назначить другой интерфейс для каждой конкретной службы можно в разделе Service Route Configuration.

Рисунок 3 – Параметры служб DNS, NTP и системных маршрутов

2. Установка лицензий, настройка и установка обновлений

Для полноценной работы всех функций межсетевого экрана необходимо установить лицензию. Можно использовать триальную лицензию, запросив ее у партнеров Palo Alto Networks. Срок ее действия — 30 дней. Активируется лицензия либо через файл, либо с помощью Auth-Code. Настраиваются лицензии в разделе Device -> Licenses (рис. 4).
После установки лицензии необходимо настроить установку обновлений в разделе Device -> Dynamic Updates.
В разделе Device -> Software можно скачать и установить новые версии PAN-OS.

Рисунок 4 – Панель управления лицензиями

3. Настройка зон безопасности, сетевых интерфейсов, политики трафика, трансляции адресов

Межсетевые экраны Palo Alto Networks применяют логику зон при настройке сетевых правил. Сетевые интерфейсы назначаются на определённую зону, и она используется в правилах трафика. Такой подход позволяет в будущем при изменении настроек интерфейсов не менять правила трафика, а вместо этого переназначить нужные интерфейсы в соответствующие зоны. По умолчанию, трафик внутри зоны разрешен, трафик между зонами запрещен, за это отвечают предустановленные правила intrazone-default и interzone-default.

Рисунок 5 – Зоны безопасности

В данном примере интерфейс во внутренней сети назначен в зону internal, а интерфейс, направленный в Интернет, назначен в зону external. Для SSL VPN создан туннельный интерфейс, назначенный в зону vpn (рис. 5).

Сетевые интерфейсы межсетевого экрана Palo Alto Networks могут работать в пяти различных режимах:

Tap – используется для сбора трафика с целью мониторинга и анализа
HA – используется для работы кластера
Virtual Wire – в этом режиме Palo Alto Networks объединяет два интерфейса и прозрачно пропускает трафик между ними, не меняя MAC и IP-адреса
Layer2 – режим коммутатора
Layer3 – режим маршрутизатора

В данном примере будет использован режим Layer3 (рис. 6). В параметрах сетевого интерфейса указывается IP-адрес, режим работы и соответствующая зона безопасности. Кроме режима работы интерфейса необходимо назначить его в виртуальный маршрутизатор Virtual Router, это аналог VRF инстанса в Palo Alto Networks. Виртуальные маршрутизаторы изолированы друг от друга и имеют свои таблицы маршрутизации и настройки сетевых протоколов.

В настройках виртуального маршрутизатора указываются статические маршруты и настройки протоколов маршрутизации. В данном примере создан только маршрут по умолчанию для доступа во внешние сети (рис. 7).

Рисунок 7 – Настройка виртуального маршрутизатора

Следующий этап настройки – политики трафика, раздел Policies -> Security. Пример настройки показан на рисунке 8. Логика работы правил такая же, как у всех межсетевых экранов. Правила проверяются сверху вниз, до первого совпадения. Краткое описание правил:

Рисунок 8 — Пример настройки сетевых правил

Для настройки NAT используется раздел Policies -> NAT. Пример настройки NAT показан на рисунке 9.

Рисунок 9 – Пример настройки NAT

Для любого трафика из internal в external можно изменить адрес источника на внешний IP-адрес межсетевого экрана и использовать динамический адрес порта (PAT).

4. Настройка профиля аутентификации LDAP и функции User Identification
Перед подключением пользователей через SSL-VPN необходимо настроить механизм аутентификации. В данном примере аутентификация будет происходить на контроллере домена Active Directory через веб-интерфейс Palo Alto Networks.

Рисунок 10 – LDAP профиль

Для того, чтобы аутентификация работала, нужно настроить LDAP Profile и Authentication Profile. В разделе Device -> Server Profiles -> LDAP (рис. 10) нужно указать IP-адрес и порт контроллера домена, тип LDAP и учетную запись пользователя, входящего в группы Server Operators, Event Log Readers, Distributed COM Users. Затем в разделе Device -> Authentication Profile создаем профиль аутентификации (рис. 11), отмечаем ранее созданный LDAP Profile и во вкладке Advanced указываем группу пользователей (рис. 12), которым разрешен удаленный доступ. Важно отметить в профиле параметр User Domain, иначе авторизация на основе групп не будет работать. В поле должно быть указано NetBIOS имя домена.

Рисунок 11 – Профиль аутентификации

Рисунок 12 – Выбор группы AD

Следующий этап – настройка Device -> User Identification. Здесь нужно указать IP-адрес контроллера домена, учетные данные для подключения, а также настроить параметры Enable Security Log, Enable Session, Enable Probing (рис. 13). В разделе Group Mapping (рис. 14) нужно отметить параметры идентификации объектов в LDAP и список групп, которые будут использоваться для авторизации. Также как в Authentication Profile, здесь нужно задать параметр User Domain.

Рисунок 13 – Параметры User Mapping

Рисунок 14 – Параметры Group Mapping

Последним шагом на этом этапе будет создание VPN-зоны и интерфейса для этой зоны. На интерфейсе нужно включить параметр Enable User Identification (рис. 15).

Рисунок 15 – Настройка VPN-зоны

5. Настройка SSL VPN

Для выпуска сертификата нужно создать запрос на сертификат в разделе Device -> Certificate Management -> Certificates -> Generate. В запросе указываем имя сертификата и IP-адрес или FQDN веб-портала (рис. 16). После генерации запроса скачиваем .csr файл и копируем его содержимое в поле запроса сертификата в веб-форму AD CS Web Enrollment. В зависимости от настройки центра сертификации, запрос на сертификат нужно одобрить и скачать выпущенный сертификат в формате Base64 Encoded Certificate. Дополнительно нужно скачать корневой сертификат центра сертификации. Затем нужно импортировать оба сертификата на межсетевой экран. При импорте сертификата для веб-портала необходимо выделить запрос в статусе pending и нажать import. Имя сертификата должно совпадать с именем, указанным ранее в запросе. Имя корневого сертификата можно указать произвольно. После импорта сертификата необходимо создать SSL/TLS Service Profile в разделе Device -> Certificate Management. В профиле указываем ранее импортированный сертификат.

Рисунок 16 – Запрос на сертификат

Следующий шаг – настройка объектов Glоbal Protect Gateway и Global Protect Portal в разделе Network -> Global Protect. В настройках Glоbal Protect Gateway указываем внешний IP-адрес межсетевого экрана, а также ранее созданные SSL Profile, Authentication Profile, туннельный интерфейс и IP-настройки клиента. Нужно задать пул IP-адресов, из которого будет назначен адрес клиенту, и Access Route – это подсети, к которым будет маршрут у клиента. Если стоит задача завернуть весь трафик пользователя через межсетевой экран, то нужно указать подсеть 0.0.0.0/0 (рис. 17).

Рисунок 17 – Настройка пула IP адресов и маршрутов

Затем необходимо настроить Global Protect Portal. Указываем IP-адрес межсетевого экрана, SSL Profile и Authentication Profile и список внешних IP-адресов межсетевых экранов, к которым будет подключаться клиент. Если межсетевых экранов несколько, можно выставить для каждого приоритет, в соответствии с которым пользователи будут выбирать межсетевой экран для подключения.

В разделе Device -> GlobalProtect Client нужно скачать дистрибутив VPN-клиента с серверов Palo Alto Networks и активировать его. Для подключения пользователь должен зайти на веб-страницу портала, где ему будет предложено скачать GlobalProtect Client. После загрузки и установки можно будет ввести свои учетные данные и подключиться к корпоративной сети по SSL VPN.

Читайте также: