Что такое Internal и External Gateway?
Palo Alto Networks использует концепцию GlobalProtect Gateway для управления доступом пользователей к корпоративной сети.
- External Gateway — это часть конфигурации для классического VPN. Когда пользователь подключается извне (например, из дома или в командировке), создаётся зашифрованный туннель (SSL или IPsec), и клиент получает виртуальный IP-адрес. Через этот туннель направляется весь разрешённый трафик в корпоративную сеть.
- Internal Gateway — это часть конфигурации используется не для построения полноценного VPN. Она используется в сочетании с функцией Always-On VPN, чтобы обеспечить User-ID функциональность внутри сети. Клиенты GlobalProtect, находясь в офисе, обнаруживают внутренний шлюз и отправляют на фаервол данные о сопоставлении IP и имени пользователя. Это даёт фаерволу возможность применять политики безопасности на основе пользователей, даже внутри локальной сети, без необходимости маршрутизации трафика через VPN-туннель.
Как это работает: Поведение клиента GlobalProtect
- Всегда включённый VPN (Always-On) активен на клиентском устройстве, в случае On-Demand Internal Host detection не работает.
- При запуске клиент пытается разрешить внутреннюю DNS-запись
- Если DNS-запись успешно разрешается — значит, клиент внутри сети. Он подключается к Internal Gateway и не устанавливает VPN-туннель, а только отправляет информацию о пользователе и IP.
- Если DNS не разрешается — клиент понимает, что он вне локальной корпоративной сети, и подключается к External Gateway, где уже формируется полноценный туннель.
Зачем использовать Internal Gateway?
- Централизованное получение самой актуальной информации о User-IP соответствиях без использования дополнительных механизмов (Server monitoring, syslog listening, client probing).
- Применение политик на основе пользователя внутри корпоративной сети.
- Повышение прозрачности и управляемости трафика.
- Единый подход к безопасности для всех пользователей, независимо от их физического расположения.
Пошаговая настройка Internal Gateway
1. Подготовка DNS
Создайте DNS-запись (например, gp-int.domain.local), которая разрешается только внутри сети. Это будет основным механизмом определения, что клиент находится внутри сети.
Убедитесь что Reverse DNS Lookup работает (предположим, что адрес 192.168.50.50)
Ожидаемый вывод:
2. Настройка Internal Gateway
GUI → Network > GlobalProtect > Gateways → Add
- Name: internal
- Interface: интерфейс, подключённый к внутренней сети (например, ethernet1/2)
- IP Address: внутренний IP (например, 192.168.50.20)
- SSL/TLS Service Profile: укажите ssl/tls профиль используемый для Global Protect
- Client Authentication: укажите профиль аутентификации
- В разделе Agent не включайте tunnel mode
3. Настройка Global Protect Portal
Следующие шаги предполагают наличие уже настроенного и рабочего Global Protect для внешних пользователей. Настройка базовой конфигурации Global Protect.
GUI → Network > GlobalProtect > Portals > [ваш портал] → Agent → [ваш config] → Internal
- Включите Internal Host Detection
- Укажите:
- Hostname: gp-int.domain.local
- IP Address: реальный IP адрес, доступный только внутри сети
- Добавьте созданный Internal Gateway
4. Настройка App
GUI → Network > GlobalProtect > Portals > [ваш портал] → Agent → [ваш config] → App
- Включите "Connect Method: User-logon (Always-On)"
5. Проверка и отладка
- Проведите Commit сделанных изменений
- С тестового компьютера переподключитесь к Global Protect
- Убедитесь, что вы подключены к Internal Gateway
Вывод
Internal Gateway в GlobalProtect — мощный инструмент для получения информации о пользователях внутри сети и применения концепции Zero Trust. В отличие от внешнего шлюза, он не создаёт туннель, а лишь обеспечивает фаервол самым надежным User-IP маппингом.
Если у Вас возникли трудности в настройке Global Protect, Вы можете обратиться в поддержку BAKOTECH и мы будем рады Вам помочь.
Comments
0 comments
Please sign in to leave a comment.