GlobalProtect — это мощный агент VPN от компании Palo Alto Networks, который обеспечивает безопасный доступ к корпоративной сети с любых конечных устройств. Одним из ключевых преимуществ этого решения является гибкость конфигурации режимов подключения, которые можно адаптировать под различные бизнес-сценарии и требования безопасности.
В данной статье мы подробно рассмотрим четыре режима подключения в GlobalProtect:
- On-demand (Manual user initiated connection)
- User-logon (Always On)
- Pre-logon (Always On)
- Pre-logon then On-demand
1. On-demand (Manual user initiated connection)
Описание:
Режим On-demand предполагает, что пользователь вручную инициирует VPN-подключение через приложение GlobalProtect. Это традиционный и наименее навязчивый способ подключения, подходящий в тех случаях, когда постоянное соединение с VPN не требуется.
Особенности:
- Подключение происходит только по инициативе пользователя.
- VPN соединение отсутствует до тех пор, пока пользователь явно не нажмёт кнопку подключения.
- Агент работает в фоновом режиме и ожидает действий пользователя.
Сценарии использования:
- Временный или нерегулярный доступ к корпоративной сети.
- Сотрудники, работающие в смешанном режиме (офис/удалёнка).
- Устройства общего пользования, где нежелательно автоматическое подключение.
2. User-logon (Always On)
Описание:
В режиме User-logon VPN-соединение инициируется автоматически сразу после входа пользователя в систему (или в домен). Это режим "Always On", при котором агент GlobalProtect обеспечивает постоянное шифрование трафика.
Особенности:
- Подключение осуществляется сразу после логина пользователя.
- Обеспечивается постоянное VPN-соединение в пользовательской сессии.
- Устройство получает доступ к корпоративной сети после прохождения аутентификации.
Сценарии использования:
- Пользователи с постоянной потребностью в доступе к корпоративным ресурсам.
- Устройства, которые не должны выходить в интернет без активного VPN-соединения.
- Повышенные требования к безопасности (например, нормативное соответствие, защита конфиденциальных данных).
3. Pre-logon (Always On)
Описание:
Режим Pre-logon позволяет установить VPN-соединение ещё до того, как пользователь войдёт в систему. Это позволяет получить доступ к инфраструктуре предприятия (например, контроллерам домена, скриптам входа и политике групп) на стадии до аутентификации пользователя.
Особенности:
- VPN активируется на уровне службы (system-level), ещё до логина пользователя.
- Возможен доступ к сетевым ресурсам, необходимым до входа в систему.
- Устройство предварительно аутентифицируется по сертификату.
Сценарии использования:
- Устройства, находящиеся вне корпоративной сети, которым необходимо применять групповые политики (GPO) и выполнять скрипты входа.
- Поддержка сценариев начальной настройки (zero-touch provisioning).
- Повышение управляемости и безопасности удалённых конечных точек.
4. Pre-logon then On-demand
Описание:
Гибридный режим, сочетающий преимущества Pre-logon и On-demand. VPN-соединение устанавливается до входа пользователя, но если соединение разрывается, его необходимо восстановить вручную. Это позволяет выполнять начальную инициализацию и обеспечить безопасность, при этом давая пользователю контроль над подключением в случае потери связи.
Особенности:
- Предварительное подключение до логина.
- После входа пользователя необходимо вручную инициировать повторное подключение при обрыве.
- Поддерживается возможность смены пароля пользователем при его истечении или утере.
Сценарии использования:
- Устройства, которым нужно предварительное подключение для применения политик.
- Пользователи, которым может потребоваться восстановить соединение вручную (например, при смене пароля).
- Ситуации, когда важно обеспечить безопасность на уровне загрузки, но при этом предоставить пользователю гибкость.
Заключение
Выбор подходящего режима подключения в GlobalProtect напрямую зависит от задач, уровня безопасности и специфики работы организации. Таблица ниже поможет кратко сориентироваться в различиях:
| Режим подключения | Автоматическое подключение | До логина | Требует действий пользователя | Основной сценарий |
| On-demand | Нет | Нет | Да | Ручной доступ к сети |
| User-logon | Да | Нет | Нет | Постоянная защита в сессии |
| Pre-logon | Да | Да | Нет | Управление до логина |
| Pre-logon then On-demand | Да | Да | Иногда | Смена пароля, комбинированный доступ |
Настройка правильного режима подключения помогает обеспечить баланс между безопасностью, удобством пользователя и контролем над конечными устройствами.
Если у Вас возникли трудности в настройке Global Protect, Вы можете обратиться в поддержку BAKOTECH и мы будем рады Вам помочь.
Comments
0 comments
Please sign in to leave a comment.