Paloaltoでは、GlobalProtectにより、リモートユーザ向けにVPN接続を提供できます。
VPN接続ログイン後、ログインユーザの通信に対してPaloaltoが提供するセキュリティ機能(セキュリティポリシー、SSL復号化(SSL Forward Proxy)、UTMなど)を適用することができます。
ここでは、GlobalProtectでユーザhirotanoがログインし、リモートユーザからインターネットへの接続に対してSSL復号化を行い、URLフィルタリングを適用します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/B568092C-97D0-43EC-BDA1-25F69F14EDE7.png)
GlobalProtectの設定は以下の記事の構成を踏襲し、追加で必要な設定のみ記載します。
>> 参考記事 : GlobalProtectの設定(ローカルユーザ)と動作確認SSL復号とURLフィルタリングは以下の記事を参考にしてください。
>> 参考記事 : SSL復号化(SSL Forward Proxy)の設定と動作確認証明書をSSL Forward Proxy用に設定
GlobalProtect用に発行した証明書をSSL復号化(SSL Forward Proxy)でも使用できるようにします。
Device >> 証明書の管理 >> 証明書 に移動し、 PA-Cert-Authorityを選択します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/679965AA-63AD-4F34-BF28-44E58D692A9D.png)
以下の画面で、フォワード プロキシ用の信頼された証明書 とフォワードプロキシ用に信頼されない証明書にチェックを入れ、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/280261A3-9C9F-449A-AD70-D428FF512D30.png)
SSL復号ポリシーの設定
SSL-VPNでログインしたユーザがインターネットへアクセスする際にSSL復号化されるよう、復号化ポリシーを設定します。
Polices >> 復号 へ移動し、追加 をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/D39A9EAF-8EEA-45A3-9C39-BE95BB600EE9.png)
全般 で名前を SSL_Decryption_Policy と設定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/F4E8C54E-7DC2-4099-B9D4-BDCD3669E896.png)
送信元で、送信元ゾーンをSSL-VPNとし、送信元ユーザにSSL-VPN-Users-Groupを選択します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/996D7130-4A60-4FC4-8D76-8A6A148EF57C.png)
宛先ゾーンはInternetとします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/39E3F20B-C056-43AC-98D7-A82943C001BA.png)
サービス/URLカテゴリで、サービスはanyとします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/6E8159B3-6911-47F6-A82A-DCF887CD9D38.png)
オプションでは、アクションで復号を選択し、タイプはSSLフォワード プロキシ、 復号化プロファイルはSSL_Decryption_Profileを選択します。 プロファイルは、冒頭の参考記事を参照してください。設定後、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/48AAD14E-43BD-40D7-BEE0-F000041A558B.png)
以下のような設定となります。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/CCA8DDCD-A6A1-429C-825C-58C5E59EF1C4-1024x339.png)
コミットを実行し、リモート端末から動作確認します。
端末からの動作確認
SSL復号化確認
端末のGlobalProtectクライアントが接続済みであることを確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/72C1338E-957C-432B-B3BB-A496A38C45D2.png)
Webサイトにアクセスし、サーバ証明書を確認すると、PA-Cert-Authorityより発行されていることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/D4914B45-4FF1-4177-B764-CDE3F7D3EEA4.png)
Monitor >> ログ >> トラフィックログ を確認すると、送信元ユーザがhirotanoがSSL復号化され、インターネットへアクセスしていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/225B261F-CCED-4CBB-8FBB-4537193ECA31.png)
UTM(URLフィルタリング)動作確認
ではSSL-VPNユーザからインターネットへの通信に対して、URLフィルタリングを設定し、動作確認します。 SSL-VPNゾーンからInternetゾーンへのポリシーで、URLフィルタリングのプロファイル(今回はCustom)を適用します。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/CF03AC51-5FD7-4C72-AF5D-47995AF92902-1.png)
Customプロファイルでは、テスト用にStreaming-mediaのサイトアクセスをブロックにします。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/2026CF3B-0A8C-46CC-8C4A-2F4147417B4B.png)
端末からYoutubeへアクセスすると、以下の通りブロック画面(応答ページ)が表示されます。 UserはIPアドレスではなく、ログインユーザ名 hirotano で表示されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/70B24A44-02C7-4CB0-8139-FA1485B00275.png)
Monitor >> ログ >> URLフィルタリング へ移動すると、送信元ユーザhirotano がyoutubeへアクセスし、アクションがblock-urlであることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2020/12/D9074BFD-6344-4413-83DD-20681811D097.png)
このように、URLフィルタリングが動作します。他、UTM機能(侵入検知、アンチウイルスなど)についても同様に動作します。
コメント