Paloalto防火墙上面的GlobalProtect一直被外部的尝试连线测试

各位大神好最近防火墙一直被同样的IP尝试着使用VPN帐号来连线测试进入防火墙虽然防火墙的VPN我们几乎没有开通(只有两三人)但是看到这个还是觉得很烦我想请问有没有什么好方法能做出对策

我们的设备是PA-220谢谢

2 个回答

0

bluegrass

iT邦高手 1 级 ‧ 2025-03-06 17:37:34

最佳解答

不会挡不起来的, PALOALTO最强就是同ZONE封杀. SSLVPN是等同WAN ZONE到WAN ZONE

你可以考虑建立两条POLICY, 都是由 WAN 到 WAN,

目的IP是你SSLVPN的WAN, SERVICE是你443口/你的SSLVPN对外的服务口
把你不接受的国家连接放到SOURCE IP
然后ACTION是DROP.

目的IP是你SSLVPN的WAN, SERVICE是你443口/你的SSLVPN对外的服务口
SOURCE是ANY
然后ACTION是ALLOW, Log at session end.

次序为1先于2即可.

• 
  3

squall0714

iT邦新手 3 级 ‧
2025-03-07 10:23:32

谢谢你的回覆
这个我跟我们的人询问一下看看

谢谢你的回覆<br /> 这个我跟我们的人询问一下看看

修改

squall0714

iT邦新手 3 级 ‧
2025-03-07 16:20:10

感谢妳的回覆...目前我们阻挡下来了
而且228放假那几天还有另外一个IP PING 也处理掉了
虽然我们内部只有两三人会用到VPN
但是看到这么多连线失败也挺麻烦的

感谢妳的回覆...目前我们阻挡下来了<br /> 而且228放假那几天还有另外一个IP PING 也处理掉了<br /> 虽然我们内部只有两三人会用到VPN<br /> 但是看到这么多连线失败也挺麻烦的

修改

bluegrass

iT邦高手 1 级 ‧
2025-03-07 16:21:27

不客气, 如果能解决你问题记得选好最佳解答喔.

不客气, 如果能解决你问题记得选好最佳解答喔.

修改

0

madocaliu

iT邦新手 5 级 ‧ 2025-03-07 10:00:37

检查一下PAN-OS版本，是不是在之前两波CVE通告建议更新的版本之上。
我公司的PA-410也是在更新前一週一直遇到有人try，打完patch以后就没有了。

• 
  3

squall0714

iT邦新手 3 级 ‧
2025-03-07 10:23:07

谢谢你的回覆,我们刚好都有更新
他最近没有通告要建议更新的版更
我随时都有在注意

谢谢你的回覆,我们刚好都有更新<br /> 他最近没有通告要建议更新的版更<br /> 我随时都有在注意

修改

madocaliu

iT邦新手 5 级 ‧
2025-03-07 11:13:00

你们目前是哪个版本?

你们目前是哪个版本?

修改

squall0714

iT邦新手 3 级 ‧
2025-03-07 11:16:15

10.2.12-h2
这是上面最新的了

10.2.12-h2<br /> 这是上面最新的了

修改