Сегодня проводили вебинар, было много вопросов по настройке и я думаю, что теперь любой, кто посмотрит это видео сможет настроить шлюз VPN на Palo Alto Networks.
Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.
Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.
И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.
Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.
И конечно же перешли к вопросу как это настраивать и ставить.
Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.
Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.
- GlobalProtect Overview - Общий обзор настроек.
- GlobalProtect Part I - Основные настройки для portal, external gateway и для локальной аутентификации.
- GlobalProtect Part II - Расширенные настройки для аутентификации через LDAP, RADIUS, Duo и также для internal gateway.
- GlobalProtect Part III - Расширенные настройки для пользователей и привязки к ним политик безопасности на основе HIP и включения HIP notifications.
- GlobalProtect Part IV - Настройки дополнительной аутентификации с MFA для HTTP и не-HTTP доступа к критичным ресурсам.
Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.
И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.
Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.
Функционал HIP требует подписки GlobalProtect, поэтому мы на время коронавируса предлагает ее бесплатно на 90 дней. Остается только ее включить и настроить проверки.
И конечно же перешли к вопросу как это настраивать и ставить.
Как ставить клиентов GlobalProtect
Важный вопросы был как клиентов распространять.
Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.
Конфигурация GlobalProtect шлюза
В видеоролике мы записали как это сделать, и также мы подготовили документ PDF на русском языке с описанием как настраивать.
IronSkillet и PanHandler
У компании Palo Alto Networks существует набор готовых конфигураций межсетевого экрана. И в том числе для GlobalProtect. Поэтому мы также дали ссылку на пример шаблона с командами set. Можно его использовать как есть, а можно использовать утилиту PanHandler и она сама подставит ваши адреса и настройки в шаблон.
MFA
Сегодня не рассматривали двухфаторную аутентификацию. Самое простое - это второй фактор на сертификатах, поскольку портал может выступать как SCEP клиент, запрашивать сертификат и отдавать клиенту для авторизации на шлюзе.
Prisma Access
Следующая презентация 27 марта в 12 дня будет про Prisma Access и все наши бесплатные сервисы которые мы предлагаем во время эпидемии коронавируса. РЕГИСТРАЦИЯ открыта. Эту технологию сейчас пропогандируем не только мы, но еще и Gartner. Он назвал ее SASE.