Citrix SD-WAN

Check Point Firewall-Integration auf SD-WAN 1100 Plattform

Citrix SD-WAN unterstützt das Hosten von Check Point CloudGuard Edge auf der SD-WAN 1100 Plattform.

Der Check Point CloudGuard Edge wird als virtuelle Maschine auf der SD-WAN 1100 Plattform ausgeführt. Die virtuelle Firewall-Maschine ist im Bridge-Modus mit zwei virtuellen Datenschnittstellen integriert. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Vorteile

Im Folgenden werden die wichtigsten Ziele oder Vorteile der Check Point-Integration auf der SD-WAN 1100 Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz von LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehr

Konfigurationsschritte

Die folgenden Konfigurationen sind erforderlich, um die virtuelle Check Point-Firewall-Maschine auf SD-WAN zu integrieren:

  • Bereitstellen der virtuellen Firewall-Maschine

  • Aktivieren der Datenverkehrsumleitung zur virtuellen Sicherheitsmaschine

Hinweis:

Die virtuelle Maschine der Firewall muss zuerst bereitgestellt werden, bevor die Datenverkehrsumleitung aktiviert wird.

Bereitstellen der virtuellen Maschine der Check Point Firewall

Es gibt zwei Möglichkeiten, die virtuelle Firewall-Maschine bereitzustellen:

  • Provisioning über SD-WAN Center

  • Provisioning über die Benutzeroberfläche der SD-WAN-Appliance

Provisioning virtueller Maschinen in der Firewall über das SD-WAN Center

Voraussetzungen

  • Fügen Sie dem SD-WAN Center den sekundären Speicher hinzu, um die Firewall-VM-Imagedateien zu speichern. Weitere Informationen finden Sie unter Systemanforderungen und Installation.

  • Reservieren Sie den Speicher von der sekundären Partition für die Firewall-VM-Imagedateien. Um das Speicherlimit zu konfigurieren, navigieren Sie zu Administration > Speicherwartung.

    • Wählen Sie den erforderlichen Speicherbetrag aus der Liste aus.

    • Klicken Sie auf Übernehmen.

    Speicher

Hinweis:

Speicher ist einer sekundären Partition reserviert, die aktiv ist, wenn die Bedingung erfüllt ist.

Führen Sie die folgenden Schritte aus, um Provisioning Firewall-Maschine über die SD-WAN Center-Plattform bereitzustellen:

  1. Navigieren Sie in der Citrix SD-WAN Center-GUI zu Konfiguration > Wählen Sie Gehostete Firewall aus.

    Gehostete FW-Websites

    Sie können die Region aus der Dropdown-Liste auswählen, um die bereitgestellten Site-Details für diese ausgewählte Region anzuzeigen.

  2. Laden Sie das Softwareimage hoch.

    Hinweis

    Stellen Sie sicher, dass Sie über genügend Speicherplatz verfügen, um das Software-Image hochzuladen.

    Navigieren Sie zu Konfiguration > Gehostete Firewall > Software-Images und klicken Sie auf Hochladen.

    Registerkarte "Softwareimage"

  3. Wählen Sie in der Dropdown-Liste den Namen des Anbieters als Check Point aus. Klicken oder legen Sie die Softwareimage-Datei in das Feld für den Upload ab.

    Prüfpunkt-Softwareimage

    Eine Statusleiste mit dem laufenden Upload-Prozess wird angezeigt. Klicken Sie auf Aktualisieren oder führen Sie keine andere Aktion aus, bis die Imagedatei 100% hochgeladen zeigt.

    • Aktualisieren: Klicken Sie auf Aktualisieren, um die neuesten Imagedateidetails abzurufen.

    • Löschen: Klicken Sie auf Löschen, um eine vorhandene Imagedatei zu löschen.

    Hinweis

    Um die virtuelle Firewall-Maschine auf dem Site-Teil einer nicht standardmäßigen Region bereitzustellen, laden Sie die Image-Datei auf jedem Collector-Knoten hoch.

  4. Gehen Sie zur Provisioning zurück zur Registerkarte Gehostete Firewall-Sites und klicken Sie auf Bereitstellen.

    Bereitstellung von Prüfpunkten für Provisioning

    • Anbieter: Wählen Sie den Namen des Anbieters als Check Point aus der Dropdown-Liste aus.
    • Vendor Virtual Machine Model: Das Feld “VM-Modell” wird automatisch als Edge gefüllt.
    • Region: Wählen Sie den Teilsektor aus der Liste aus.
    • Software-Image: Wählen Sie die zu bereitzustellende Imagedatei aus.
    • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für Firewall-Hosting aus. Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.
    • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
    • SIC-Schlüssel der virtuellen Maschine: Geben Sie den Secure Internal Communication (SIC) -Schlüssel der virtuellen Maschine ein. SIC schafft vertrauenswürdige Verbindungen zwischen Check Point-Komponenten.
  5. Klicken Sie auf Bereitstellung starten.

  6. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Check Point-Maschine vollständig gestartet wurde, wird sie auf der Benutzeroberfläche des SD-WAN Centers angezeigt.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren.

Bereitgestellter Prüfpunkt

  • Standortname: Zeigt den Standortnamen an.
  • Verwaltungs-IP: Zeigt die Verwaltungs-IP-Adresse des Standorts an.
  • Regionsname: Zeigt die Regionsbezeichnung an.
  • Anbieter: Zeigt den Namen des Anbieters (Check Point) an.
  • Modell: Zeigt das Modell - Edge.
  • Administratorstatus: Status der virtuellen Maschine des Herstellers (Up/Down).
  • Betriebsstatus: Zeigt die letzte Meldung zum Betriebsstatus an.
  • Zugriff auf die Benutzeroberfläche für gehostete Sites: Verwenden Sie den Link Hier klicken, um auf die GUI der virtuellen Check Point-Maschine

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie von Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen wählen Sie Gehostete Firewallaus.

  2. Laden Sie das Softwareimage hoch:

    • Wählen Sie die Registerkarte Software-Images . Wählen Sie den Namen des Anbieters als Kontrollpunkt aus.
    • Wählen Sie die Softwareimagedatei aus.
    • Klicken Sie auf Upload.

    Softwareimageupload in SD-WAN

    Hinweis:

    Es können maximal zwei Images hochgeladen werden. Das Hochladen des Images der Check Point virtuellen Maschine kann je nach Bandbreitenverfügbarkeit länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail spiegelt sich wieder, sobald das Image erfolgreich hochgeladen wurde. Das für die Provisioning verwendete Image kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Für die Provisioning wählen Sie die Registerkarte Gehostete Firewall > klicken Sie auf die Schaltfläche Bereitstellen.

    Check Point-Provisioning im SD-WAN

  4. Geben Sie die folgenden Details für die Provisioning.

    • Anbietername: Wählen Sie den Namen des Anbieters als Check Point aus.
    • Modell der virtuellen Maschine: Das Modell der virtuellen Maschine wird automatisch als Edge ausgefüllt.
    • Imagedateiname: Der Name der Imagedatei wird automatisch ausgefüllt.
    • Überprüfen Sie die IP Adresse/Domäne des Point Management Servers: Geben Sie die IP-Adresse/Domäne des Checkpoint Management Servers an.
    • SIC-Schlüssel: Geben Sie den SIC-Schlüssel an (optional). SIC schafft vertrauenswürdige Verbindungen zwischen Check Point-Komponenten. Klicken Sie auf Übernehmen.

    Details zur Provisioning Check Points

  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Check Point-Maschine vollständig gestartet wurde, wird sie auf der SD-WAN-Benutzeroberfläche mit den Vorgängen Protokolldetails reflektiert.

    Prüffunkt-Betriebsprotokoll

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datenpfad Verarbeitungsstatus der virtuellen Maschine.
    • Gesendete Pakete: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet werden.
    • Empfangenes Paket: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen werden.
    • Paket gelöscht: Von SD-WAN abgelegte Pakete (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um den GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie die Option Hier klicken, um auf die GUI der virtuellen Check Point-Maschine zuzugreifen, oder verwenden Sie Ihre Verwaltungs-IP zusammen mit 4100-Port (Management-IP: 4100).

Hinweis: Verwenden Sie

immer den Inkognito-Modus, um auf die Checkpoint-GUI zuzugreifen.

Datenverkehr an Edge umleiten

Die Konfiguration der Datenverkehrsumleitung kann sowohl über den Konfigurationseditor auf MCN als auch den Konfigurationseditor im SD-WAN Center erfolgen.

So navigieren Sie im SD-WAN Center durch den Konfigurationseditor:

  1. Öffnen Sie Citrix SD-WAN Center UI, navigieren Sie zu Konfiguration > Netzwerkkonfigurationsimport. Importieren Sie die virtuelle WAN-Konfiguration aus dem aktiven MCN und klicken Sie auf Importieren.

    Virtuelle WAN-Konfiguration importieren

Die restlichen Schritte sind ähnlich wie folgt - die Konfiguration der Datenverkehrsumleitung über MCN.

So navigieren Sie durch den Konfigurationseditor auf MCN:

  1. Setzen Sie Verbindungsanpassungstyp unter Global > Netzwerkeinstellungen auf Symmetrisch.

    Verbindungsübereinstimmungstyp

    Standardmäßig sind SD-WAN-Firewallrichtlinien richtungsspezifisch. Der symmetrische Übereinstimmungstyp entspricht den Verbindungen anhand der angegebenen Übereinstimmungskriterien und wendet die Richtlinienaktion in beide Richtungen an.

  2. Öffnen Sie Citrix SD-WAN UI, navigieren Sie zu Konfiguration erweitern Virtual WAN wählen Sie Konfigurationseditor wählen Sie Gehostete Firewall-Vorlage im Abschnitt Global

    Vorlage für gehostete Firewall

  3. Klicken Sie auf + und geben Sie die erforderlichen Informationen an, die im folgenden Screenshot verfügbar sind, um die Vorlage für gehostete Firewallhinzuzufügen. Klicken Sie auf Hinzufügen.

    Details zur gehosteten Firewallvorlage

Mit dergehosteten Firewall-Vorlage können Sie die Datenverkehrsumleitung zur virtuellen Firewall-Maschine konfigurieren, die auf der SD-WAN-Plattform gehostet wird. Die folgenden Eingaben sind für die Konfiguration der Vorlage erforderlich:

  • Name: Der Name der gehosteten Firewall-Vorlage.
  • Anbieter: Der Name des Firewall-Anbieters — Check Point.
  • Bereitstellungsmodus: Das Feld “ Bereitstellungsmodus “ wird automatisch ausgefüllt und ausgegraut. Für den Check Point-Anbieter ist der Bereitstellungsmodus Bridge.
  • Modell: Virtual Machine-Modell der gehosteten Firewall. Nachdem Sie den Anbieter als Kontrollpunktausgewählt haben, wird das Modellfeld automatisch mit Edgegefüllt.
  • Primärer Managementserver IP/FQDN: Primärer Managementserver IP/FQDN.
  • Sekundärer Managementserver IP/FQDN: Sekundärer Managementserver IP/FQDN.
  • Dienstumleitungsschnittstellen: Dies sind logische Schnittstellen, die für die Verkehrsumleitung zwischen SD-WAN und gehosteter Firewall verwendet werden.

Hinweis

Die Eingabeschnittstelle für die Umleitung muss aus der Richtung des Verbindungsinitiators ausgewählt werden, die Ausgabeschnittstelle wird automatisch für den Antwortverkehr ausgewählt. Wenn beispielsweise ausgehender Internetverkehr an die gehostete Firewall auf Schnittstellen1 umgeleitet wird, wird der Antwortverkehr automatisch zur gehosteten Firewall auf Schnittstellen2 umgeleitet. Außerdem ist Interface-2 nicht erforderlich, wenn kein eingehender Internet-Datenverkehr vorhanden ist.

Der virtuellen Maschine Check Point sind nur zwei Datenschnittstellen zugewiesen.

Hinweis:

SD-WAN-Firewall-Richtlinien werden automatisch erstellt, um den Datenverkehr zu/von gehosteten Firewall-Verwaltungsservern zulassen . Dadurch wird die Umleitung des Verwaltungsdatenverkehrs vermieden, der von (oder) für die gehostete Firewall bestimmt ist.

Die Umleitung des Datenverkehrs zur virtuellen Firewall-Maschine kann mithilfe von SD-WAN-Firewall-Richtlinien erfolgen. Es gibt zwei Methoden zum Erstellen von SD-WAN-Firewall-Richtlinien - entweder über Firewall-Richtlinienvorlagen im globalen Abschnitt oder auf Site-Ebene.

Methode - 1

  1. Navigieren Sie von Citrix SD-WAN GUI zu Konfiguration erweitern Sie Virtual WAN > Konfigurations-Editor. Wählen Sie Firewall unter Verbindungenaus.

    Traffic-Umleitung über SD-WAN GUI

  2. Wählen Sie in der Dropdown-Liste Abschnitt die Option Richtlinien aus und klicken Sie auf +Hinzufügen, um eine neue Firewall-Richtlinie zu erstellen.

    Firewall für die Verkehrsumleitung

  3. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch auf Redirect gefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdown-Liste aus. Klicken Sie auf Hinzufügen.

    Schnittstelle für die Service-Umleitung

Methode - 2

  1. Navigieren Sie zur Registerkarte Global und wählen Sie Firewall-Richtlinienvorlagenaus Klicken Sie auf + Richtlinienvorlage

    Richtlinienvorlage

  2. Geben Sie der Richtlinienvorlage einen Namen und klicken Sie auf Hinzufügen.

    Name der Richtlinienvorlage

  3. Klicken Sie auf + Hinzufügen neben Richtlinien für Pre-Appliance-Vorlagen.

    Richtlinien für Vorlagen vor der Appliance

  4. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch auf Redirectgefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdown-Liste aus. Klicken Sie auf Hinzufügen.

    Richtlinienvorlage "Prüfpunkt"

  5. Navigieren Sie zu den Verbindungen > Firewallund wählen Sie dann die Firewall-Richtlinie (die Sie erstellt haben) unter dem Namensfeld aus. Klicken Sie auf Übernehmen.

    Verbindungs-Firewall prüfen

Während die gesamte Netzwerkkonfiguration ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall > unter Statistikliste überwachen und Richtlinien filtern.

Filterrichtlinie

Check Point Firewall-Integration auf SD-WAN 1100 Plattform