あなたのGlobalprotect VPNユーザーはどのゾーンに配置していますか？

sonicice · June 1, 2025, 5:13am

他の多くの人と同じように、私たちもVPNの解決策を迅速に展開しなければなりませんでした。通常、私たちのオフィス内のユーザーは「Trust」ゾーンにあり、そのネットワークはファイアウォールの背後にあるため、そこを通過しません。

現在、全てのユーザーがVPNを使用しているため、そのネットワークを独自のゾーンに配置しましたが、多くのリクエストが「アプリケーションデフォルト」の設定により非標準ポートが許可されておらず、多くの例外ルールを作成しています。

他にこれに直面している人はいますか？どう対処していますか？VPNネットワークを信頼ゾーンに配置しましたか？アプリケーションデフォルトではなく全てのポートを許可していますか？それとも私たちと同じように個別のルールを作っていますか？

become_taintless · June 1, 2025, 5:13am

VPNユーザー専用のゾーンを作っています、それは「VPN」です

Anonymous · June 1, 2025, 5:13am

常に新しいゾーンを作成しましょう。もし今日Trustに入れてしまうと、後々コントロールがかなり難しくなるでしょう。

Intravix · June 1, 2025, 5:13am

私たちはクライアントとサーバ間のトラフィックを分離しています。GlobalProtect VPNクライアントは、オフィスのクライアントとは別のセキュリティゾーンに位置しますが、すべてのクライアントルールはこれら両方に適用されます。

あなたの二つ目の質問はGPに関係ないと思います。一般的なセキュリティポリシーの話であり、あなたはそれに遭遇しただけです。後でさらに回答するかもしれませんが、現在は仕事が多すぎます。

mickg72 · June 1, 2025, 5:13am

はい、新しいゾーンを作成しました。「VPN」です

BGOOCHY · June 1, 2025, 5:13am

新しいゾーン - GlobalProtect_VPNです。

また、このゾーンに対するルールもデータセンターゾーンやDMZなどと分けて設定しています。既存のキャンパスネットワークのポリシーと同じにしません。

理由は、GlobalProtectポリシーにPA HIPを使用して、VPN接続エンドポイントがアンチウイルスのパッチ適用要件を満たしていることと、実際の組織資産であることを確認しているためです。

これらを分離したのは、キャンパスポリシーにPA HIPを適用したくなかったからです。

Stuewe · June 1, 2025, 5:13am

私の企業では、いくつかの選択肢があります：

Global Protect

global protect

Global_Protect

Global-Protect

global-protect

global_protect

…

どのファイアウォールを設定しているかによります… うん。

paranoid_patatoid · June 1, 2025, 5:13am

オフィス内のWi-Fiや有線コンピュータと同じゾーン／ポリシーです。理由は、どのケースでも、認証局から証明書を持ち、IT部門によって管理されている企業のコンピュータのみが接続を許可されているからです。

私見ですが、接続場所に応じてユーザーのポリシーを変えるのはあまり意味がないと思います。そうなると、VPNからのアクセス許可を増やすリクエストが時間とともに増え続け、その結果:

受け入れる：全ての時間を無駄にし（リクエストと管理の手間）、意図していたセキュリティも維持できなくなる
拒否する：ユーザーは作業できず、不満を募らせる（時間の浪費）、そしてシャドーITを使って制限を回避しようとすることも

一度ルールを一律にしてしまうと、モデル自体に疑問を持つ必要があります：セキュリティに関して私たちが目指す基本的なアイデアは何か？ルールのライフサイクル（監査と削除）はどのように管理すべきか？

Gihernandezn91 · June 1, 2025, 5:13am

最も簡単で、セキュリティに対する操作の優先順位も考慮した方法は、トンネルインターフェースを信頼ゾーンに割り当てることです。

最も安全な方法は、新しいゾーンを作成し、ビジネスに沿ったトラフィックに対してポリシーを作成し、それ以外はブロックすることです。

AWynand · June 1, 2025, 5:13am

なるほど、しかし基本的な質問に戻りますが…なぜアプリケーションが非標準ポートで動作しているのですか？私たちファイアウォール管理者は、開発・システム管理側の問題を解決することが多いですが、その問題を彼らに戻すことも検討してください。

ilovepizza86 · June 1, 2025, 5:13am

前の職場で設定したときは、VPNユーザー専用のゾーンを持っていました（ポリシーの管理やトラブルシューティングに役立ちます）。現在の役割では、VPNユーザーは「信頼」内の一部として継続していますが、そこまで悪くはありません。

marvonyc · June 1, 2025, 5:13am

IPアドレスのためにループバックを作り、GlobalProtectゾーンを設定しています。IPSecトンネル用もあります。これが私のやり方です。

madclarinet · June 1, 2025, 5:13am

別々のVPNゾーン。

アプリケーションデフォルト設定を使っており、「ワンオフルール」もあります。面倒ですが、役に立ちます。

jkw118 · June 1, 2025, 5:13am

わかりました、いくつかポイントがあります。一つは常に別のゾーンを使用してください。私の場合、VPNユーザーがアクセスしようとしている先に応じて二つのゾーンを持っています（より高権限のネットワークにアクセスするための別アカウントもあります）。

いずれにせよ、あなたの問題は異なるゾーンを使用していることではありません。

私が経験した一般的な問題に直面しています。アプリ認識ルールを使用していますが、TCP/サービスなどを使うことをお勧めします。例として、DNS/ADサーバーにアクセスできるようにするルール、ファイルサーバーにアクセスできるようにするルール、特定のサイトへのHTTPSルールがあります。これらは一部のADユーザー向けです。ほとんどのユーザーはVPNを通じて接続し、リモートデスクトップやターミナルサーバー経由で作業します。そこから通常通りの作業が可能です。

tcspears · June 1, 2025, 5:14am

VPNという名前のゾーンを作成してください…

Anonymous · June 1, 2025, 5:14am

役割ベースのネットワークです。現場にいるときと同じゾーンに配置します。

vinxavi7 · June 1, 2025, 5:14am

VPNのB2B用にGP-VPNを使用しました。