先進サービス開発事業部の内藤です。
今回はPalo Alto Networks次世代ファイアウォールの新機能である、”Clientless VPN”について書きたいと思います。
Clientless VPN機能は「PAN-OS 8.0」から追加されました。
Clientless VPNとは?
Clientless VPNは、クライアント端末に専用のソフトウェア(GlobalProtect Client)をインストールすること無くVPN接続を行う機能です。
GlobalProtect Clientを使ったVPNのようにクライアント端末からのネットワークトラフィックをVPN接続したファイアウォール経由にするのではなく、特定のWebアプリケーションのみをVPN通信の対象とします。
HTML、HTML5、JavascriptなどのWebテクノロジに対応しています。
詳細はこちらを参照。
Clientless VPN機能を利用するには、別途GlobalProtectライセンスが必要です。
どんな時に使うか?
以下の場合にニーズがありそうです。
- 外出先から社内のWebシステムを利用したい場合
- 社内Webシステムをパートナー会社から利用させたい場合
- 社外(クラウド)Webシステムへのアクセスを会社経由にさせたい場合
*Webシステムを社内からのアクセスのみに制限していて、
外出先からでも社内経由でアクセスさせたい場合
設定手順
要件と構成
今回は弊社がリリースしている「LForM」を、VPN経由でのアクセス対象Webアプリケーションとします。
LForMの詳細は下記リンクをご参照ください。
構成は以下の通りです。
社外のPCからClientless VPN機能を利用して、社内のサーバ(LForM)にWebアクセスさせます。
事前準備
ダイナミック更新から、「GlobalProtect Clientless VPN」をダウンロード&インストールします。
クライアントレス アプリケーションの設定
リモートアクセス対象のWebアプリケーションを登録します。
「Network」→「クライアントレス アプリケーション」を選択、新規に追加します。
登録するアプリケーションの情報を設定します。
今回は前述のとおり「LForM」の情報を登録します。
名前:表示するアプリケーション名称
アプリケーションのURL:対象WebアプリケーションのURL
アプリケーションのアイコン: 対象Webアプリケーションのアイコン(オプション)
GlobalProtectの基本設定
GlobalProtectポータルとゲートウェイの設定を行います。
このあたりの設定方法は、基本的なGlobalProtect設定なので今回は割愛し、Clientless VPNに関係のある箇所のみ記載します。
GlobalProtectポータル設定を開き、左メニューからクライアントレスを選択します。
クライアントレスVPNにチェックを入れ、ホスト名に公開IPアドレス(グローバルなど、ユーザが接続するIPアドレス)を入力します。
セキュリティゾーン、DNSプロキシは任意のものを入力します。
アプリケーションタブを選択し追加をクリックします。
表示される画面のアプリケーション項目に、先に作成した「LForM」を追加します。
*必要に応じてユーザ/ユーザグループを設定します
セキュリティポリシー設定
ユーザ(インターネット側)から公開IPアドレスへのHTTPS許可ポリシー、Clientless VPN接続後に割当てられるゾーン(今回はゾーン名:VPN)から社内サーバIPアドレスへのHTTP通信を許可するポリシーを設定します。
全ての設定完了後にコミットをして下さい。
接続確認
インターネット側のPCのブラウザで、公開IPアドレスにHTTPS接続します。
下記のログイン画面が表示されるので、GlobalProtectポータル、ゲートウェイで設定した認証情報でログインします。
*認証情報の設定方法は今回の手順からは割愛しています(基本設定のため)
正常にログインが完了すると以下の画面が表示されるので、「LForM」アイコンをクリックします。
「LForM」の画面が表示されます。
書いた人