APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

PAN-OS 8.0の新機能"Clientless VPN"を試してみた

先進サービス開発事業部の内藤です。

今回はPalo Alto Networks次世代ファイアウォールの新機能である、”Clientless VPN”について書きたいと思います。

 

Clientless VPN機能は「PAN-OS 8.0」から追加されました。

 

Clientless VPN

  

 

Clientless VPNとは?

Clientless VPNは、クライアント端末に専用のソフトウェア(GlobalProtect Client)をインストールすること無くVPN接続を行う機能です。

 

GlobalProtect Clientを使ったVPNのようにクライアント端末からのネットワークトラフィックをVPN接続したファイアウォール経由にするのではなく、特定のWebアプリケーションのみをVPN通信の対象とします。

 

HTML、HTML5、JavascriptなどのWebテクノロジに対応しています。

詳細はこちらを参照。

 

Clientless VPN機能を利用するには、別途GlobalProtectライセンスが必要です。

 

どんな時に使うか?

以下の場合にニーズがありそうです。

  • 外出先から社内のWebシステムを利用したい場合
  • 社内Webシステムをパートナー会社から利用させたい場合
  • 社外(クラウド)Webシステムへのアクセスを会社経由にさせたい場合
    *Webシステムを社内からのアクセスのみに制限していて、
     外出先からでも社内経由でアクセスさせたい場合

 

設定手順

要件と構成

今回は弊社がリリースしている「LForM」を、VPN経由でのアクセス対象Webアプリケーションとします。

 

LForMの詳細は下記リンクをご参照ください。

www.ap-com.co.jp

 

 

構成は以下の通りです。

 

f:id:naitwo2:20180530115610j:plain

社外のPCからClientless VPN機能を利用して、社内のサーバ(LForM)にWebアクセスさせます。

 

事前準備

ダイナミック更新から、「GlobalProtect Clientless VPN」をダウンロード&インストールします。

 

f:id:naitwo2:20180316194759j:plain

 

クライアントレス アプリケーションの設定

リモートアクセス対象のWebアプリケーションを登録します。

「Network」→「クライアントレス アプリケーション」を選択、新規に追加します。

f:id:naitwo2:20180316195604j:plain

 

登録するアプリケーションの情報を設定します。

今回は前述のとおり「LForM」の情報を登録します。

名前:表示するアプリケーション名称

アプリケーションのURL:対象WebアプリケーションのURL

アプリケーションのアイコン: 対象Webアプリケーションのアイコン(オプション) 

f:id:naitwo2:20180316200405j:plain

GlobalProtectの基本設定

GlobalProtectポータルとゲートウェイの設定を行います。

このあたりの設定方法は、基本的なGlobalProtect設定なので今回は割愛し、Clientless VPNに関係のある箇所のみ記載します。

 

GlobalProtectポータル設定を開き、左メニューからクライアントレスを選択します。

クライアントレスVPNにチェックを入れ、ホスト名に公開IPアドレス(グローバルなど、ユーザが接続するIPアドレス)を入力します。

セキュリティゾーン、DNSプロキシは任意のものを入力します。

f:id:naitwo2:20180530122741j:plain

 

アプリケーションタブを選択し追加をクリックします。

f:id:naitwo2:20180530122720j:plain

 

表示される画面のアプリケーション項目に、先に作成した「LForM」を追加します。

*必要に応じてユーザ/ユーザグループを設定します

f:id:naitwo2:20180530122051j:plain 

セキュリティポリシー設定

ユーザ(インターネット側)から公開IPアドレスへのHTTPS許可ポリシー、Clientless VPN接続後に割当てられるゾーン(今回はゾーン名:VPN)から社内サーバIPアドレスへのHTTP通信を許可するポリシーを設定します。

 

f:id:naitwo2:20180530124520j:plain

 

全ての設定完了後にコミットをして下さい。

 

接続確認

インターネット側のPCのブラウザで、公開IPアドレスにHTTPS接続します。

 

下記のログイン画面が表示されるので、GlobalProtectポータル、ゲートウェイで設定した認証情報でログインします。

*認証情報の設定方法は今回の手順からは割愛しています(基本設定のため)

 

f:id:naitwo2:20180530124823j:plain

 

正常にログインが完了すると以下の画面が表示されるので、「LForM」アイコンをクリックします。

f:id:naitwo2:20180530125025j:plain

 

「LForM」の画面が表示されます。

f:id:naitwo2:20180530125138j:plain

 

 

書いた人