GlobalProtectの動作概要

設定の解説に入る前に、GlobalProtectの動作を説明します。

ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。

External Gatewayへの接続

GP Agentが、社外=インターネットから自社内LANに接続するときの動作フローです。

GP Agentは、最初は必ずGP Portalへアクセスする。

DNSを使って、GP Agentが今どこにいるのか(外部or内部)を判断する

External Gatewayが複数の場所に複数存在する場合、レスポンスが速い方を選択する

External Gatewayへのログイン & VPNトンネル確立し、検疫情報 (HIP) を送信する

VPNトンネル確立後のクライアントPCは、LAN端末と同様の扱いが可能となり、PA Firewallのセキュリティポリシーの適用が可能です。

ユーザー認証を実施済みなので、ユーザーID情報を持つログ出力や、ユーザー名(グループ名)でのポリシーコントールが可能です。

検疫によるポリシーコントロールも可能であり、例えば「ディスクが暗号化されていないPCは特定サーバーへアクセスさせない」という制御も可能です。

Internal Gatewayへの接続

次は、GP Agentが社内LANに接続されたときの動作フローです。

基本的な動作は、「External Gatewayへの接続」で示したフローと同じで、異なるのは「VPNトンネルを確立しない」点です。

GP Agentは、最初は必ずGP Portalへアクセスする。

DNSを使って、GP Agentが今どこにいるのか(外部or内部)を判断する

Internal Gatewayが複数の場所に複数存在する場合、レスポンスが速い方を選択する

Internal Gatewayへのログインと、検疫情報 (HIP) を送信する (VPNトンネルは確立しない)

Internal Gatewayログイン後は、LAN端末として、PA Firewallのセキュリティポリシーの適用が可能です。

ユーザー認証を実施済みなので、ユーザーID情報を持つログ出力や、ユーザー名(グループ名)でのポリシーコントールが可能です。

社内LANにおいても検疫によるポリシーコントロールが可能であり、例えば「ディスクが暗号化されていないPCは特定サーバーへアクセスさせない」という制御も可能です。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました