Palo Alto Network-Integration
Palo Alto Networks bietet eine Cloud-basierte Sicherheitsinfrastruktur zum Schutz von Remotenetzwerken. Sie gewährleistet Sicherheit, indem sie Organisationen ermöglicht, regionale, Cloud-basierte Firewalls einzurichten, die das SD-WAN-Fabric schützen.
Der Prisma Access-Dienst für Remotenetzwerke ermöglicht es Ihnen, Remotenetzwerkstandorte zu integrieren und Sicherheit für Benutzer bereitzustellen. Er reduziert die Komplexität bei der Konfiguration und Verwaltung von Geräten an jedem Remote-Standort. Der Dienst bietet eine effiziente Möglichkeit, neue Remotenetzwerkstandorte einfach hinzuzufügen und die betrieblichen Herausforderungen zu minimieren, um sicherzustellen, dass Benutzer an diesen Standorten immer verbunden und sicher sind. Zudem ermöglicht er die zentrale Verwaltung von Richtlinien über Panorama für eine konsistente und optimierte Sicherheit Ihrer Remotenetzwerkstandorte.
Um Ihre Remotenetzwerkstandorte mit dem Prisma Access-Dienst zu verbinden, können Sie die Palo Alto Networks Next-Generation Firewall oder ein IPSec-kompatibles Drittanbietergerät verwenden, einschließlich SD-WAN, das einen IPsec-Tunnel zum Dienst aufbauen kann.
-
Planen des Prisma Access-Dienstes für Remotenetzwerke
-
Konfigurieren des Prisma Access-Dienstes für Remotenetzwerke
-
Integrieren von Remotenetzwerken mit Konfigurationsimport
Die Citrix SD-WAN™-Lösung bot bereits die Möglichkeit, Internetverkehr vom Zweig aus zu trennen. Dies ist entscheidend für die Bereitstellung einer zuverlässigeren Benutzererfahrung mit geringer Latenz, während die Einführung eines teuren Sicherheits-Stacks an jedem Zweig vermieden wird. Citrix SD-WAN und Palo Alto Networks bieten verteilten Unternehmen nun eine zuverlässigere und sicherere Möglichkeit, Benutzer in Zweigstellen mit Anwendungen in der Cloud zu verbinden.
Citrix SD-WAN-Appliances können sich mit minimaler Konfiguration über IPsec-Tunnel von SD-WAN-Appliance-Standorten aus mit dem Palo Alto Cloud-Dienst (Prisma Access-Dienst) verbinden. Sie können das Palo Alto-Netzwerk im Citrix SD-WAN Center konfigurieren.
Bevor Sie mit der Konfiguration des Prisma Access-Dienstes für Remotenetzwerke beginnen, stellen Sie sicher, dass die folgenden Konfigurationen bereit sind, um den Dienst erfolgreich zu aktivieren und Richtlinien für Benutzer an Ihren Remotenetzwerkstandorten durchzusetzen:
-
Dienstverbindung – Wenn Ihre Remotenetzwerkstandorte Zugriff auf die Infrastruktur in Ihrer Unternehmenszentrale benötigen, um Benutzer zu authentifizieren oder den Zugriff auf kritische Netzwerkressourcen zu ermöglichen, müssen Sie den Zugriff auf Ihr Unternehmensnetzwerk einrichten, damit die Zentrale und die Remotenetzwerkstandorte verbunden sind.
Wenn der Remotenetzwerkstandort autonom ist und keinen Zugriff auf die Infrastruktur an anderen Standorten benötigt, müssen Sie die Dienstverbindung nicht einrichten (es sei denn, Ihre mobilen Benutzer benötigen Zugriff).
-
Vorlage – Der Prisma Access-Dienst erstellt automatisch einen Vorlagen-Stack (
Remote_Network_Template_Stack) und eine Top-Level-Vorlage (Remote_Network_Template) für den Prisma Access-Dienst für Remotenetzwerke. Um den Prisma Access-Dienst für Remotenetzwerke zu konfigurieren, konfigurieren Sie die Top-Level-Vorlage von Grund auf neu oder nutzen Ihre bestehende Konfiguration, falls Sie bereits eine Palo Alto Networks Firewall vor Ort betreiben.Die Vorlage erfordert die Einstellungen zum Aufbau des IPsec-Tunnels und die Internet Key Exchange (IKE)-Konfiguration für die Protokollverhandlung zwischen Ihrem Remotenetzwerkstandort und dem Prisma Access-Dienst für Remotenetzwerke, Zonen, die Sie in der Sicherheitsrichtlinie referenzieren können, und ein Log-Forwarding-Profil, damit Sie Logs vom Prisma Access-Dienst für Remotenetzwerke an den Logging-Dienst weiterleiten können.
-
Übergeordnete Gerätegruppe – Der Prisma Access-Dienst für Remotenetzwerke erfordert, dass Sie eine übergeordnete Gerätegruppe angeben, die Ihre Sicherheitsrichtlinie, Sicherheitsprofile und andere Richtlinienobjekte (wie Anwendungs- und Objektgruppen sowie Adressgruppen) sowie die Authentifizierungsrichtlinie enthält, damit der Prisma Access-Dienst für Remotenetzwerke die Richtlinie für den über den IPsec-Tunnel zum Prisma Access-Dienst für Remotenetzwerke geleiteten Datenverkehr konsistent durchsetzen kann. Sie müssen entweder Richtlinienregeln und -objekte auf Panorama definieren oder eine bestehende Gerätegruppe verwenden, um Benutzer am Remotenetzwerkstandort zu sichern.
Hinweis:
Wenn Sie eine bestehende Gerätegruppe verwenden, die Zonen referenziert, stellen Sie sicher, dass Sie die entsprechende Vorlage, die die Zonen definiert, zum
Remote_Network_Template_Stackhinzufügen.Dies ermöglicht Ihnen, die Zonen-Zuordnung abzuschließen, wenn Sie den Prisma Access-Dienst für Remotenetzwerke konfigurieren.
-
IP-Subnetze – Damit der Prisma Access-Dienst den Datenverkehr an Ihre Remotenetzwerke weiterleiten kann, müssen Sie Routing-Informationen für die Subnetzwerke bereitstellen, die Sie mit dem Prisma Access-Dienst sichern möchten. Sie können entweder eine statische Route zu jedem Subnetz am Remotenetzwerkstandort definieren oder BGP zwischen Ihren Dienstverbindungsstandorten und dem Prisma Access-Dienst konfigurieren oder eine Kombination aus beiden Methoden verwenden.
Wenn Sie sowohl statische Routen konfigurieren als auch BGP aktivieren, haben die statischen Routen Vorrang. Während es bequem sein mag, statische Routen zu verwenden, wenn Sie nur wenige Subnetzwerke an Ihren Remotenetzwerkstandorten haben, ermöglicht BGP in einer großen Bereitstellung mit vielen Remotenetzwerken mit überlappenden Subnetzen eine einfachere Skalierung.
Palo Alto-Netzwerk im SD-WAN Center
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
-
Beziehen Sie die Panorama-IP-Adresse vom PRISMA ACCESS-Dienst.
-
Beziehen Sie den Benutzernamen und das Passwort, die im PRISMA ACCESS-Dienst verwendet werden.
-
Konfigurieren Sie IPsec-Tunnel in der SD-WAN-Appliance-GUI.
-
Stellen Sie sicher, dass der Standort nicht in eine Region integriert ist, die bereits einen anderen Standort mit IKE-/IPsec-Profilen konfiguriert hat, die nicht Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default sind.
-
Stellen Sie sicher, dass die Prisma Access-Konfiguration nicht manuell geändert wird, wenn die Konfiguration vom SD-WAN Center aktualisiert wird.
Geben Sie in der Citrix SD-WAN Center-GUI die Palo Alto-Abonnementinformationen ein.
-
Konfigurieren Sie die Panorama-IP-Adresse. Diese IP-Adresse erhalten Sie von Palo Alto (PRISMA ACCESS-Dienst).
-
Konfigurieren Sie den Benutzernamen und das Passwort, die im PRISMA ACCESS-Dienst verwendet werden.
Standorte hinzufügen und bereitstellen
-
Um die Standorte bereitzustellen, wählen Sie die PRISMA ACCESS-Netzwerkregion und den SD-WAN-Standort aus, der für die Prisma Access-Region konfiguriert werden soll, und wählen Sie dann den WAN-Link des Standorts, die Bandbreite und das Anwendungsobjekt für die Datenverkehrsauswahl aus.
Hinweis:
Der Datenfluss wird beeinträchtigt, wenn die ausgewählte Bandbreite den verfügbaren Bandbreitenbereich überschreitet.
Sie können den gesamten Internetverkehr zum PRISMA ACCESS-Dienst umleiten, indem Sie die Option Gesamter Datenverkehr unter der Auswahl des Anwendungsobjekts auswählen.
-
Sie können bei Bedarf weitere SD-WAN-Zweigstellen hinzufügen.
-
Klicken Sie auf Bereitstellen. Der Änderungsmanagementprozess wird eingeleitet. Klicken Sie auf Ja, um fortzufahren.
Nach der Bereitstellung ist die IPsec-Tunnelkonfiguration zum Aufbau der Tunnel wie folgt.
Die Startseite zeigt die Liste aller konfigurierten und unter verschiedenen SD-WAN-Regionen gruppierten Standorte.
End-to-End-Verkehrsverbindung überprüfen:
-
Greifen Sie vom LAN-Subnetz der Zweigstelle auf Internetressourcen zu.
-
Überprüfen Sie, ob der Datenverkehr über den Citrix SD-WAN IPsec-Tunnel zum Palo Alto Prisma Access geleitet wird.
-
Überprüfen Sie, ob die Palo Alto-Sicherheitsrichtlinie auf den Datenverkehr unter der Registerkarte “Überwachung” angewendet wird.
-
Überprüfen Sie, ob die Antwort aus dem Internet an einen Host in einer Zweigstelle ankommt.