Citrix SD-WAN

Palo Alto Networks Firewall-Integration auf SD-WAN 1100 Plattform

Citrix SD-WAN unterstützt das Hosten von Palo Alto Networks Virtual Machine (VM) -Firewall der nächsten Generation auf der SD-WAN 1100 Plattform. Im Folgenden werden die unterstützten VM-Modelle aufgeführt:

  • VM 50
  • VM 100

Die Firewall der virtuellen Maschinenserie Palo Alto Network wird als virtuelle Maschine auf der SD-WAN 1100 Plattform ausgeführt. Die virtuelle Firewall-Maschine ist im Virtual Wire-Modus integriert, mit zwei virtuellen Datenschnittstellen verbunden. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Vorteile

Im Folgenden sind die Hauptziele oder Vorteile der Integration von Palo Alto Networks auf der SD-WAN 1100-Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz von LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehr

Konfigurationsschritte

Die folgenden Konfigurationen sind erforderlich, um die virtuelle Maschine Palo Alto Networks auf SD-WAN zu integrieren:

  • Bereitstellen der virtuellen Firewall-Maschine

  • Aktivieren der Datenverkehrsumleitung zur virtuellen Sicherheitsmaschine

Hinweis:

Die virtuelle Maschine der Firewall muss zuerst bereitgestellt werden, bevor die Datenverkehrsumleitung aktiviert wird.

Provisioning virtueller Maschine Palo Alto Network

Es gibt zwei Möglichkeiten, die virtuelle Firewall-Maschine bereitzustellen:

  • Provisioning über SD-WAN Center

  • Provisioning über die Benutzeroberfläche der SD-WAN-Appliance

Provisioning virtueller Maschinen in der Firewall über das SD-WAN Center

Voraussetzungen

  • Fügen Sie dem SD-WAN Center den sekundären Speicher hinzu, um die Firewall-VM-Imagedateien zu speichern. Weitere Informationen finden Sie unter Systemanforderungen und Installation.

  • Reservieren Sie den Speicher von der sekundären Partition für die Firewall-VM-Imagedateien. Um das Speicherlimit zu konfigurieren, navigieren Sie zu Administration > Speicherwartung.

    • Wählen Sie die erforderliche Speichermenge aus der Liste aus.

    • Klicken Sie auf Apply.

    Speicher

Hinweis:

Speicher ist für die sekundäre Partition reserviert, die aktiv ist, wenn die Bedingung erfüllt ist.

Führen Sie die folgenden Schritte aus, um Provisioning Firewall-Maschine über die SD-WAN Center-Plattform bereitzustellen:

  1. Navigieren Sie in der Citrix SD-WAN Center-GUI zu Konfiguration > Wählen Sie Gehostete Firewall aus.

    Gehostete FW-Sites

    Sie können die Region aus der Dropdownliste auswählen, um die bereitgestellten Site-Details für diese ausgewählte Region anzuzeigen.

  2. Laden Sie das Softwareimage hoch.

    Hinweis

    Stellen Sie sicher, dass Sie über genügend Speicherplatz verfügen, um das Software-Image hochzuladen.

    Navigieren Sie zu Konfiguration > Gehostete Firewall > Software-Images und wählen Sie den Namen des Anbieters als Palo Alto Networks aus der Dropdownliste aus. Klicken oder legen Sie die Softwareimage-Datei in das Feld für den Upload ab.

    SW-Image hochladen

    Eine Statusleiste mit dem laufenden Upload-Prozess wird angezeigt. Klicken Sie auf Aktualisieren oder führen Sie keine andere Aktion aus, bis die Imagedatei 100% hochgeladen zeigt.

    • Aktualisieren: Klicken Sie auf die Option Aktualisieren, um die neuesten Imagedateidetails zu erhalten.

    • Löschen: Klicken Sie auf die Option Löschen, um eine vorhandene Imagedatei zu löschen.

    Hinweis

    • Wenn Sie die virtuelle Firewall-Maschine auf den Sites bereitstellen möchten, die Teil des Nicht-Standardbereichs sind, laden Sie die Imagedatei auf jedem der Collector-Knoten hoch.

    • Wenn Sie das Palo Alto VM-Image aus dem SDWAN Center löschen, wird das Image aus dem SDWAN Center-Speicher und NICHT aus der Appliance gelöscht.

  3. Gehen Sie zur Provisioning zurück zur Registerkarte Gehostete Firewall-Sites und klicken Sie auf Bereitstellen.

    Bereitstellung starten

    • Anbieter: Wählen Sie den Anbieternamen als Palo Alto Networks aus der Dropdownliste aus.
    • Vendor Virtual Machine Model: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
    • Software-Image: Wählen Sie die zu bereitzustellende Imagedatei aus.
    • Region: Wählen Sie den Teilsektor aus der Liste aus.
    • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für Firewall-Hosting aus. Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.

    • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
    • Sekundäre IP-Adresse des Management-Servers: Geben Sie die sekundäre IP-Adresse des Management-Servers oder den vollqualifizierten Domänennamen ein (optional).

    • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den virtuellen Authentifizierungsschlüssel ein, der auf dem Managementserver verwendet werden soll.

    • Authentifizierungscode: Geben Sie den virtuellen Authentifizierungscode ein, der für die Lizenzierung verwendet werden soll.
  4. Klicken Sie auf Bereitstellung starten.
  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine von Palo Alto Networks vollständig gestartet wurde, spiegelt sie die SD-WAN Center-Benutzeroberfläche wider.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren.

Wählen Sie den Standort für die Bereitstellung

  • Standortname: Zeigt den Standortnamen an.
  • Management-IP: Zeigt die Management-IP-Adresse der Site an.
  • Regionsname: Zeigt die Regionsbezeichnung an.
  • Anbieter: Zeigt den Namen des Anbieters an (Palo Alto Networks).
  • Modell: Zeigt die Modellnummer an (VM50/VM100).
  • Administratorstatus: Status der virtuellen Maschine des Herstellers (Up/Down).
  • Betriebsstatus: Zeigt die Meldung des Betriebsstatus an.
  • Gehostete Site: Verwenden Sie den Link Hier klicken, um auf die Benutzeroberfläche der virtuellen Maschine von Palo Alto Networks zuzugreifen.

Um die nicht standardmäßigen Regionssites bereitzustellen, müssen Sie das Softwareimage auf den SD-WAN Center Collector hochladen. Sie können die Palo Alto Networks sowohl über die SD-WAN Center-Head-End-GUI als auch über den SD-WAN Center Collector bereitstellen.

Um die IP-Adresse des SD-WAN Center Collector abzurufen, navigieren Sie zu Konfiguration > Netzwerkerkennung, wählen Sie die Registerkarte Discovery-Einstellungen.

Kollektor-IP

So stellen Sie die Palo Alto Networks von SD-WAN Collector bereit:

  1. Navigieren Sie von der SD-WAN Collector-GUI zu Konfiguration wählen Sie Gehostete Firewallaus.

    Collector hostete fw

  2. Wechseln Sie zur Registerkarte Software-Images, um das Software-Image hochzuladen.
  3. Klicken Sie auf der Registerkarte Gehostete Firewall-Websites auf Bereit
  4. Geben Sie die folgenden Details an und klicken Sie auf Bereitstellung starten.

    Kollektorbereitstellung

    • Anbieter: Wählen Sie den Anbieternamen als Palo Alto Networks aus der Dropdownliste aus.
    • Vendor Virtual Machine Model: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
    • Software-Image: Wählen Sie die zu bereitzustellende Imagedatei aus.
    • Region: Wählen Sie den Teilsektor aus der Liste aus.
    • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für Firewall-Hosting aus. Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.

    • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
    • Sekundäre IP-Adresse des Management-Servers: Geben Sie die sekundäre IP-Adresse des Management-Servers oder den vollqualifizierten Domänennamen ein (optional).

    • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den virtuellen Authentifizierungsschlüssel ein, der auf dem Managementserver verwendet werden soll.

    • Authentifizierungscode: Geben Sie den virtuellen Authentifizierungscode ein, der für die Lizenzierung verwendet werden soll.
  5. Klicken Sie auf Bereitstellung starten.

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen erweitern >Gehostete Firewall auswählen.

  2. Laden Sie das Softwareimage hoch:
    • Wählen Sie die Registerkarte Software-Images. Wählen Sie den Namen des Anbieters als Palo Alto Networksaus.
    • Wählen Sie die Softwareimagedatei aus.
    • Klicken Sie auf Upload.

    SW-Image-Upload

    Hinweis: Es können maximal zwei Software-Images hochgeladen werden. Das Hochladen des Images der virtuellen Maschine Palo Alto Networks kann je nach Verfügbarkeit der Bandbreite länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail wird aktualisiert, sobald das Image erfolgreich hochgeladen wurde. Das Image, das für die Bereitstellung verwendet wird, kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Wählen Sie für die Provisioning die Registerkarte Gehostete Firewalls aus und klicken Sie auf die Schaltfläche Bereitstellen.

    Bereitstellung der gehosteten Firewall

  4. Geben Sie die folgenden Details für die Provisioning.

    • Anbietername: Wählen Sie den Anbieter als Palo Alto Networksaus.
    • Modell der virtuellen Maschine: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
    • Bilddateiname: Wählen Sie die Image-Datei aus.
    • Primäre IP-Adresse von Panorama: Geben Sie die primäre IP-Adresse oder den vollqualifizierten Domainnamen von Panorama an (optional).
    • Sekundäre Panorama-IP-Adresse/Domain-Name: Geben Sie die sekundäre Panorama-IP-Adresse oder den vollqualifizierten Domainnamen an (optional).
    • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den Authentifizierungsschlüssel für die virtuelle Maschine an (optional).

      Der Authentifizierungsschlüssel für virtuelle Maschinen wird für die automatische Registrierung der virtuellen Maschine Palo Alto Networks im Panorama benötigt.

    • Authentifizierungscode: Geben Sie den Authentifizierungscode (Lizenzcode für virtuelle Maschinen) ein (Optional).
    • Klicken Sie auf Apply.

    Gehostete Firewall

  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine von Palo Alto Networks vollständig gestartet wurde, wird die SD-WAN-Benutzeroberfläche mit den Details des Vorgangs zum Protokoll reflektiert.

    Opt-Protokolldetails

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datapath-Verarbeitungsstatus der virtuellen Maschine.
    • Paket gesendet: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet wurden.
    • Paket empfangen: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen wurden.
    • Paket verworfen: Pakete, die von SD-WAN verworfen wurden (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um die GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie die Option Hier klicken, um auf die GUI der virtuellen Maschine von Palo Alto Networks zuzugreifen, oder verwenden Sie Ihre Verwaltungs-IP zusammen mit dem 4100-Port (Management-IP: 4100).

Hinweis Verwenden Sie immer den Inkognito-Modus, um auf die Palo Alto Networks GUI zuzugreifen.

Traffic-Umleitung

Die Konfiguration der Datenverkehrsumleitung kann sowohl über den Konfigurationseditor auf MCN als auch den Konfigurationseditor im SD-WAN Center erfolgen.

So navigieren Sie im SD-WAN Center durch den Konfigurationseditor:

  1. Öffnen Sie Citrix SD-WAN Center UI, navigieren Sie zu Konfiguration > Netzwerkkonfigurationsimport. Importieren Sie die virtuelle WAN-Konfiguration aus dem aktiven MCN und klicken Sie auf Importieren.

    Virtuelle WAN-Konfiguration importieren

Die restlichen Schritte sind ähnlich wie folgt - die Konfiguration der Datenverkehrsumleitung über MCN.

So navigieren Sie durch den Konfigurationseditor auf MCN:

  1. Setzen Sie Verbindungsanpassungstyp unter Global > Netzwerkeinstellungen auf Symmetrisch.

    Verbindungsübereinstimmungstyp

    Standardmäßig sind SD-WAN-Firewallrichtlinien richtungsspezifisch. Der symmetrische Übereinstimmungstyp entspricht den Verbindungen anhand der angegebenen Übereinstimmungskriterien und wendet die Richtlinienaktion in beide Richtungen an.

  2. Öffnen Sie Citrix SD-WAN UI, navigieren Sie zu Konfiguration, erweitern Sie Virtual WAN wählen Sie Konfigurationseditor > wählen Sie Gehostete Firewall-Vorlage im Abschnitt Global

    Gehostete fw-Temp

  3. Klicken Sie auf + und geben Sie die erforderlichen Informationen an, die im folgenden Screenshot verfügbar sind, um die Vorlage Hosted Firewall hinzuzufügen, und klicken Sie auf Hinzufügen.

    Hinzufügen

Mit dergehosteten Firewall-Vorlage können Sie die Verkehrsanleitung zu der virtuellen Firewall-Maschine konfigurieren, die auf der SD-WAN-Appliance gehostet wird. Die folgenden Eingaben sind für die Konfiguration der Vorlage erforderlich:

  • Name: Name der gehosteten Firewall-Vorlage.
  • Hersteller: Name des Firewall-Herstellers.
  • Bereitstellungsmodus: Das Feld “ Bereitstellungsmodus “ wird automatisch ausgefüllt und ausgegraut. Für den Anbieter von Palo Alto Networks ist der Bereitstellungsmodus Virtual Wire.
  • Modell: Virtual Machine-Modell der gehosteten Firewall. Sie können die Modellnummer der virtuellen Maschine als VM 50/VM 100 für den Palo Alto Networks-Anbieter auswählen.
  • Primärer Managementserver IP/FQDN: Primärer Managementserver IP/FQDN von Panorama.
  • Sekundärer Managementserver IP/FQDN: Sekundärer Managementserver IP/FQDN von Panorama.
  • Dienstumleitungsschnittstellen: Dies sind logische Schnittstellen, die für die Verkehrsumleitung zwischen SD-WAN und gehosteter Firewall verwendet werden.

Interface-1, Interface-2 bezieht sich auf die ersten beiden Schnittstellen auf der gehosteten Firewall. Wenn VLANs für die Verkehrsumleitung verwendet werden, müssen dieselben VLANs auf der gehosteten Firewall konfiguriert werden. VLANs, die für die Verkehrsumleitung konfiguriert sind, befinden sich intern im SD-WAN und der gehosteten Firewall.

Hinweis

Die Umleitungs-Eingabeschnittstelle muss aus der Richtung des Verbindungsinitiators ausgewählt werden, die Umleitungsschnittstelle wird automatisch für den Antwortverkehr ausgewählt. Wenn beispielsweise ausgehender Internetverkehr an die gehostete Firewall auf Schnittstellen1 umgeleitet wird, wird der Antwortverkehr automatisch zur gehosteten Firewall auf Schnittstellen2 umgeleitet. Es besteht keine Notwendigkeit von Interface-2 im obigen Beispiel, wenn kein eingehender Internet-Datenverkehr vorhanden ist.

Zum Hosten der Palo Alto Networks-Firewall sind nur zwei physikalische Schnittstellen zugewiesen. Wenn Datenverkehr aus mehreren Zonen an die gehostete Firewall weitergeleitet werden muss, können mithilfe interner VLANs mehrere Unterschnittstellen erstellt und verschiedenen Firewallzonen auf der gehosteten Firewall zugeordnet werden.

Über SD-WAN-Firewallrichtlinien oder Richtlinien auf Standortebene können Sie den gesamten Datenverkehr auf die virtuelle Maschine Palo Alto Networks umleiten.

Hinweis

SD-WAN-Firewall-Richtlinien werden automatisch erstellt, um den Datenverkehr zu/von gehosteten Firewall-Verwaltungsservern zuzulassen. Dadurch wird eine Umleitung des Verwaltungsdatenverkehrs vermieden, der von einer gehosteten Firewall stammt (oder).

Die Umleitung des Datenverkehrs zur virtuellen Firewall-Maschine kann mithilfe von SD-WAN-Firewall-Richtlinien erfolgen. Es gibt zwei Methoden zum Erstellen von SD-WAN-Firewall-Richtlinien - entweder über Firewall-Richtlinienvorlagen im globalen Abschnitt oder auf Site-Ebene.

Methode - 1

  1. Navigieren Sie von Citrix SD-WAN GUI zu Konfiguration erweitern Sie Virtual WAN > Konfigurationseditor. Navigieren Sie zur Registerkarte Global und wählen Sie Firewall-Richtlinienvorlagenaus Klicken Sie auf + Richtlinienvorlage Geben Sie der Richtlinienvorlage einen Namen an und klicken Sie auf Hinzufügen.

    Name der Palo Alto-Richtlinienvorlage

  2. Klicken Sie auf + Hinzufügen neben Richtlinien für Pre-Appliance-Vorlagen.

    Richtlinien für Vorlagen vor der Appliance

  3. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch mit Redirectgefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdownliste aus. Füllen Sie die anderen Übereinstimmungskriterien nach Bedarf aus.

    Palo Alto Richtlinienvorlage

  4. Navigieren Sie zu den Verbindungen > Firewallund wählen Sie dann die Firewall-Richtlinie (die Sie erstellt haben) unter dem Namensfeld aus. Klicken Sie auf Apply.

    Verbindungs-Firewall prüfen

Methode - 2

  1. Um den gesamten Datenverkehr umzuleiten, navigieren Sie unter dem Konfigurationseditor > Virtual WANzur Registerkarte Verbindung und wählen Sie Firewallaus.

    Traffic-Umleitung über SD-WAN GUI

  2. Wählen Sie in der Dropdownliste Abschnitt die Option Richtlinien aus und klicken Sie auf +Hinzufügen, um eine neue Firewall-Richtlinie zu erstellen.

    Firewall für die Verkehrsumleitung

  3. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch auf Redirect gefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdownliste aus. Klicken Sie auf Hinzufügen.

    Schnittstelle für die Service-Umleitung

Während die gesamte Netzwerkkonfiguration ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall > unter Statistikliste überwachen und Richtlinien filtern.

Filterrichtlinie

Sie können die Zuordnung zwischen der Konfiguration, die Sie in der SD-WAN-Servicekettenvorlage vorgenommen haben, und der Konfiguration von Palo Alto Network mithilfe der Benutzeroberfläche von Palo Alto Networks überprüfen.

Palo Alto nw

HINWEIS:

Die virtuelle Maschine von Palo Alto Networks kann nicht bereitgestellt werden, wenn Cloud Direct oder SD-WAN WANOP (PE) bereits auf der 1100 Appliance bereitgestellt werden.

Anwendungsfälle — Hosted Firewall auf SD-WAN 1100

Im Folgenden sind einige der Anwendungsfallszenarien aufgeführt, die mithilfe der Citrix SD-WAN 1100 -Appliance implementiert werden:

Anwendungsfall 1: Umleiten des gesamten Datenverkehrs in die Hosted Firewall

Dieser Anwendungsfall gilt für Anwendungsfälle in kleinen Zweigstellen, in denen der gesamte Datenverkehr von der gehosteten Firewall der nächsten Generation verarbeitet wird. Die Bandbreitenanforderungen müssen berücksichtigt werden, da der Durchsatz des umgeleiteten Datenverkehrs auf 100 Mbit/s begrenzt ist.

Um dies zu erreichen, erstellen Sie eine Firewall-Regel, die mit jedem Datenverkehr und Action as Redirectübereinstimmt, wie im folgenden Screenshot gezeigt:

Anwendungsfall 1

Anwendungsfall 2: Nur Internetverkehr in die Hosted Firewall umleiten

Dieser Anwendungsfall gilt für alle Zweigstellen, bei denen Internet-gebundener Datenverkehr den Umfang des unterstützten umgeleiteten Datenverkehrs nicht überschreitet. In diesem Fall wird der Datenverkehr zwischen Rechenzentren von Sicherheitsgeräten/-diensten verarbeitet, die in Rechenzentren bereitgestellt werden.

Um dies zu erreichen, erstellen Sie eine Firewall-Regel, die mit jedem Datenverkehr und Action as Redirect übereinstimmt, wie im folgenden Screenshot gezeigt:

Anwendungsfall 2

Anwendungsfall 3: Direkter Internet-Breakout für vertrauenswürdige Internet-SaaS-Anwendungen und Weiterleitung des verbleibenden gesamten Datenverkehrs auf die gehostete VM

In diesem Anwendungsfall wird eine Firewallregel hinzugefügt, um einen direkten Internet-Breakout für vertrauenswürdige SaaS-Anwendungen wie Office 365 durchzuführen. Aktivieren Sie zunächst Office 365 Breakout Policy, wie im folgenden Screenshot gezeigt:

Anwendungsfall 3

Dadurch werden automatisch Richtlinien für Pre-Appliance-Vorlagen hinzugefügt, um Office 365-Datenverkehr zuzulassen, wie im folgenden Screenshot gezeigt. Fügen Sie nun eine Firewall-Regel hinzu, um den verbleibenden gesamten Datenverkehr an die gehostete Firewall umzuleiten, wie

Anwendungsfall 4

Hinweis:

Die Konfiguration der gehosteten Firewall ist unabhängig von der Citrix SD-WAN-Konfiguration. Daher kann die gehostete Firewall gemäß den Sicherheitsanforderungen des Unternehmens konfiguriert werden.

Palo Alto Networks Firewall-Integration auf SD-WAN 1100 Plattform