📘 Tuần 10 – GlobalProtect VPN và Remote Access

🗺️ Sơ đồ – GlobalProtect Architecture

flowchart TD subgraph Remote["🌍 Remote Users"] Laptop["💻 Laptop nhân viên Windows/macOS/Linux (Cài GlobalProtect Client)"] Mobile["📱 Mobile iOS/Android"] end Internet(["🌐 Internet"]) subgraph PA["🔥 Palo Alto PA-LAB-01"] GP_GW["🔐 GlobalProtect Gateway ethernet1/1 (WAN) Xử lý IPSec/SSL tunnel"] GP_Portal["🌐 GlobalProtect Portal https://192.168.1.1 Cung cấp cấu hình cho client"] subgraph Authz["✅ Authentication + Authorization"] LDAP_Auth["LDAP/AD Authentication Kiểm tra user/password"] MFA["MFA (Duo/RADIUS) Xác thực 2 bước"] HIP["🏥 HIP Check Kiểm tra sức khỏe máy: - AV đã cập nhật? - Disk đã mã hóa? - OS đã patch?"] end VPN_Pool["📦 IP Pool VPN 172.16.100.0/24 Cấp cho Remote Users"] end subgraph Internal["🏢 Mạng Nội bộ"] VLAN20_SRV["🖥️ Server VLAN20 10.10.20.0/24"] VLAN10_CLI["💻 Client VLAN10 10.10.10.0/24"] end Laptop -->|"SSL/IPSec Tunnel"| Internet Internet --> GP_Portal Internet --> GP_GW GP_GW --> Authz Authz --> VPN_Pool VPN_Pool --> VLAN20_SRV style Remote fill:#e3f2fd,stroke:#1976d2 style PA fill:#fff3e0,stroke:#f57c00 style Internal fill:#e8f5e9,stroke:#388e3c

📚 Lý thuyết cơ bản

🔰 GlobalProtect là gì?

GlobalProtect = Giải pháp VPN của Palo Alto – cho phép nhân viên làm việc từ xa truy cập mạng nội bộ an toàn.

💡 So sánh với VPN thông thường: | | VPN thông thường | GlobalProtect | |---|---|---| | Kết nối | Khi user bấm Connect | Luôn bật (Always-On) | | Kiểm tra máy | Không | ✅ HIP Check | | Security Policy | Không áp dụng khi offline | ✅ Áp dụng kể cả offline | | App-ID | Không | ✅ Có |

🔰 Hai thành phần chính

Thành phần	Vai trò
GlobalProtect Portal	"Cửa hàng" – cung cấp cấu hình và software client cho user
GlobalProtect Gateway	"Cổng bảo mật" – thiết lập và kiểm soát VPN tunnel thực sự

🔰 HIP (Host Information Profile) là gì?

HIP = Kiểm tra "sức khỏe" máy tính của user trước khi cho kết nối VPN.

💡 Giống như: Muốn vào tòa nhà → phải qua bác sĩ kiểm tra sức khỏe: - ✅ Có antivirus và đã update? - ✅ OS đã cài patch mới nhất? - ✅ Disk đã mã hóa (BitLocker)? - ✅ Firewall cá nhân đang bật? Máy không đủ tiêu chuẩn → chỉ được vào mạng quarantine, không vào mạng chính.

🛠️ Thực hành

Bước 1: Tạo IP Pool cho VPN Users

textadmin@PA-LAB-01> configure

# Tạo address pool cho VPN clients
admin@PA-LAB-01# set address "VPN-Pool" ip-netmask 172.16.100.0/24

Bước 2: Tạo Zone cho VPN

textadmin@PA-LAB-01# set zone VPN network layer3

Bước 3: Cấu hình GlobalProtect Portal

text# GUI: Network → GlobalProtect → Portals → Add
admin@PA-LAB-01# set global-protect global-protect-portal "GP-Portal" portal-config name "GP-Portal-Config"
admin@PA-LAB-01# set global-protect global-protect-portal "GP-Portal" portal-config interface ethernet1/1
admin@PA-LAB-01# set global-protect global-protect-portal "GP-Portal" portal-config ip-address 192.168.1.1

# Cấu hình Authentication Profile (dùng LDAP đã tạo tuần 7)
admin@PA-LAB-01# set authentication-profile "GP-Auth-Profile" method ldap server-profile AD-LAB
admin@PA-LAB-01# set global-protect global-protect-portal "GP-Portal" portal-config authentication-profile GP-Auth-Profile

Bước 4: Cấu hình GlobalProtect Gateway

text# GUI: Network → GlobalProtect → Gateways → Add
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" tunnel-mode yes
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" interface ethernet1/1
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" ip-address 192.168.1.1
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" authentication-profile GP-Auth-Profile

# IP Pool cho VPN clients
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" remote-user-tunnel-configs "GP-Tunnel-Config" ip-pool 172.16.100.0/24
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" remote-user-tunnel-configs "GP-Tunnel-Config" access-route 10.10.10.0/24
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" remote-user-tunnel-configs "GP-Tunnel-Config" access-route 10.10.20.0/24
admin@PA-LAB-01# set global-protect global-protect-gateway "GP-Gateway" zone VPN

admin@PA-LAB-01# commit

Bước 5: Tạo Security Policy cho VPN Traffic

text# Cho phép VPN users truy cập Server VLAN20
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" from VPN
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" to Trust
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" source any
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" destination VLAN20-SERVER
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" application ssh ms-rdp web-browsing
admin@PA-LAB-01# set rulebase security rules "VPN-to-Server" action allow

admin@PA-LAB-01# commit

Kiểm tra GlobalProtect

text# Xem VPN tunnels đang active
admin@PA-LAB-01> show global-protect-gateway current-user

# Xem thông tin chi tiết 1 user
admin@PA-LAB-01> show global-protect-gateway current-user user nguyenvana

# Xem HIP reports
admin@PA-LAB-01> show hip-report

🔒 Bảo mật cần nhớ

✅ Bật Always-On VPN cho máy của nhân viên – không để user tự tắt.
✅ Dùng HIP Check để đảm bảo máy đủ tiêu chuẩn bảo mật trước khi kết nối.
✅ Kết hợp MFA (Duo, Microsoft Authenticator) với LDAP.
✅ Tạo Security Policy riêng cho VPN Zone – không trust ngang với LAN nội bộ.

📖 Case thực tế

Trong đợt COVID-19, toàn bộ nhân viên làm việc từ nhà. Công ty triển khai GlobalProtect: - Nhân viên cài GlobalProtect Client → tự động kết nối VPN khi bật máy. - HIP Check: máy nào chưa có AV hoặc chưa update Windows → bị chặn vào mạng chính, chuyển sang mạng quarantine. - IT nhận thông báo → hỗ trợ nhân viên update máy → cho phép kết nối bình thường. 👉 GlobalProtect + HIP = VPN thông minh, không chỉ kết nối mà còn kiểm soát chất lượng thiết bị.

📅 Tuần 10/12 – PAN-OS Administration Lab trên PnetLab