Citrix SD-WAN

Gehostete Firewalls

Der Citrix SD-WAN Orchestrator Service unterstützt die folgenden gehosteten Firewalls:

Palo Alto Networks Firewall-Integration auf SD-WAN 1100 Plattform

Citrix SD-WAN unterstützt das Hosten von Palo Alto Networks Virtual Machine (VM) -Firewall der nächsten Generation auf der SD-WAN 1100 Plattform. Im Folgenden werden die unterstützten VM-Modelle aufgeführt:

  • VM 50
  • VM 100

Die Firewall der virtuellen Maschinenserie Palo Alto Network wird als virtuelle Maschine auf der SD-WAN 1100 Plattform ausgeführt. Die virtuelle Firewall-Maschine ist in den Virtual Wire-Modus integriert, an den zwei virtuelle Datenschnittstellen angeschlossen sind. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Informationen zum Bereitstellen der virtuellen Firewallmaschine über den SD-WAN Orchestrator Service finden Sie unter Gehostete Firewalls.

Vorteile

Im Folgenden sind die Hauptziele oder Vorteile der Integration von Palo Alto Networks auf der SD-WAN 1100-Plattform aufgeführt:

  • Konsolidierung von Zweigstellengeräten: Eine einzelne Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet.

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz des LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehrs.

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen erweitern >Gehostete Firewall auswählen.

  2. Laden Sie das Softwareimage hoch:
    • Wählen Sie die Registerkarte Software-Images. Wählen Sie den Namen des Anbieters als Palo Alto Networksaus.
    • Wählen Sie die Softwareimagedatei aus.
    • Klicken Sie auf Upload.

    SW-Image-Upload

    Hinweis:

    Es können maximal zwei Software-Images hochgeladen werden. Das Hochladen des Images der virtuellen Maschine Palo Alto Networks kann je nach Verfügbarkeit der Bandbreite länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail wird aktualisiert, sobald das Image erfolgreich hochgeladen wurde. Das Image, das für die Bereitstellung verwendet wird, kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Wählen Sie für die Provisioning die Registerkarte Gehostete Firewalls aus und klicken Sie auf die Schaltfläche Bereitstellen.

    Bereitstellung der gehosteten Firewall

  4. Geben Sie die folgenden Details für die Provisioning.

    • Anbietername: Wählen Sie den Anbieter als Palo Alto Networksaus.
    • Modell der virtuellen Maschine: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
    • Bilddateiname: Wählen Sie die Image-Datei aus.
    • Primäre IP-Adresse von Panorama: Geben Sie die primäre IP-Adresse oder den vollqualifizierten Domainnamen von Panorama an (optional).
    • Sekundäre Panorama-IP-Adresse/Domain-Name: Geben Sie die sekundäre Panorama-IP-Adresse oder den vollqualifizierten Domainnamen an (optional).
    • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den Authentifizierungsschlüssel für die virtuelle Maschine an (optional).

      Der Authentifizierungsschlüssel für virtuelle Maschinen wird für die automatische Registrierung der virtuellen Maschine Palo Alto Networks im Panorama benötigt.

    • Authentifizierungscode: Geben Sie den Authentifizierungscode (Lizenzcode für virtuelle Maschinen) ein (Optional).
    • Klicken Sie auf Anwenden.

    Gehostete Firewall

  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine von Palo Alto Networks vollständig gestartet wurde, wird die SD-WAN-Benutzeroberfläche mit den Details des Vorgangs zum Protokoll reflektiert.

    Opt-Protokolldetails

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datapath-Verarbeitungsstatus der virtuellen Maschine.
    • Paket gesendet: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet wurden.
    • Paket empfangen: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen wurden.
    • Paket verworfen: Pakete, die von SD-WAN verworfen wurden (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um die GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie die Option Hier klicken, um auf die GUI der virtuellen Maschine von Palo Alto Networks zuzugreifen, oder verwenden Sie Ihre Verwaltungs-IP zusammen mit dem 4100-Port (Management-IP: 4100).

Hinweis Verwenden Sie immer den Inkognito-Modus, um auf die Palo Alto Networks GUI zuzugreifen.

Check Point Firewall-Integration auf der SD-WAN 1100-Plattform

Citrix SD-WAN unterstützt das Hosting von Check Point Quantum Edge auf der SD-WAN 1100-Plattform.

Der Check Point Quantum Edge läuft als virtuelle Maschine auf der SD-WAN 1100 SE-Plattform. Die virtuelle Firewall-Maschine ist im Bridge-Modus mit zwei verbundenen virtuellen Datenschnittstellen integriert. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Informationen zum Bereitstellen der virtuellen Firewallmaschine über den SD-WAN Orchestrator Service finden Sie unter Gehostete Firewalls.

Hinweis

Ab Citrix SD-WAN 11.3.1 wird die Check Point VM Version 80.20 und höher für die Provisioning von VM auf neuen Standorten unterstützt.

Vorteile

Im Folgenden werden die wichtigsten Ziele oder Vorteile der Check Point-Integration auf der SD-WAN 1100 Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz von LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehr

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen wählen Sie Gehostete Firewall aus.

  2. Laden Sie das Softwareimage hoch:

    • Wählen Sie die Registerkarte Software-Images. Wählen Sie den Namen des Anbieters als Kontrollpunkt aus.
    • Wählen Sie die Softwareimagedatei aus.
    • Klicken Sie auf Upload.

    Softwareimageupload in SD-WAN

    Hinweis:

    Es können maximal zwei Images hochgeladen werden. Das Hochladen des Images der Check Point virtuellen Maschine kann je nach Bandbreitenverfügbarkeit länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail wird aktualisiert, sobald das Image erfolgreich hochgeladen wurde. Das Image, das für die Bereitstellung verwendet wird, kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Für die Provisioning wählen Sie die Registerkarte Gehostete Firewall > klicken Sie auf die Schaltfläche Bereitstellen.

    Check Point-Provisioning im SD-WAN

  4. Geben Sie die folgenden Details für die Provisioning.

    • Anbietername: Wählen Sie den Namen des Anbieters als Check Point aus.
    • Modell der virtuellen Maschine: Das Modell der virtuellen Maschine wird automatisch als Edge ausgefüllt.
    • Imagedateiname: Der Name der Imagedatei wird automatisch ausgefüllt.
    • Überprüfen Sie die IP Adresse/Domäne des Point Management Servers: Geben Sie die IP-Adresse/Domäne des Checkpoint Management Servers an.
    • SIC-Schlüssel: Geben Sie den SIC-Schlüssel an (optional). SIC schafft vertrauenswürdige Verbindungen zwischen Check Point-Komponenten. Klicken Sie auf Anwenden.

    Details zur Provisioning Check Points

  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Check Point-Maschine vollständig gestartet wurde, wird sie auf der SD-WAN-Benutzeroberfläche mit den Vorgängen Protokolldetails reflektiert.

    Prüffunkt-Betriebsprotokoll

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datapath-Verarbeitungsstatus der virtuellen Maschine.
    • Paket gesendet: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet wurden.
    • Paket empfangen: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen wurden.
    • Paket verworfen: Pakete, die von SD-WAN verworfen wurden (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um die GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie die Option Hier klicken, um auf die GUI der virtuellen Check Point-Maschine zuzugreifen, oder verwenden Sie Ihre Verwaltungs-IP zusammen mit 4100-Port (Management-IP: 4100).

Hinweis: Verwenden Sie

immer den Inkognito-Modus, um auf die Checkpoint-GUI zuzugreifen.

Während die gesamte Netzwerkkonfiguration aktiv ist und ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall > Filterrichtlinienüberwachen.

Filterrichtlinie

Gehostete Firewalls