Citrix SD-WAN

Integración de firewall de punto de verificación en la plataforma SD-WAN 1100

Citrix SD-WAN admite el alojamiento de Check Point Quantum Edge en la plataforma SD-WAN 1100.

El Check Point Quantum Edge se ejecuta como una máquina virtual en la plataforma SD-WAN 1100. La máquina virtual del firewall está integrada en modo Bridge con dos interfaces virtuales de datos conectadas a ella. El tráfico requerido se puede redirigir a la máquina virtual del firewall mediante la configuración de directivas en SD-WAN.

Nota

Desde Citrix SD-WAN 11.3.1 en adelante, la VM de Check Point versión 80.20 y superior son compatibles para aprovisionar VM en sitios nuevos.

Ventajas

Los siguientes son los principales objetivos o beneficios de la integración de Check Point en la plataforma SD-WAN 1100:

  • Consolidación de dispositivos de sucursales: Un único dispositivo que realiza seguridad SD-WAN y avanzada

  • Seguridad de sucursales con NGFW (Next Generation Firewall) en las instalaciones para proteger el tráfico de LAN a LAN, LAN a Internet e Internet a LAN

Pasos de configuración

Se necesitan las siguientes configuraciones para integrar la máquina virtual de firewall Check Point en SD-WAN:

  • Aprovisionamiento de la máquina virtual de firewall

  • Habilitar el redireccionamiento del tráfico a la máquina virtual

Nota

La máquina virtual del firewall debe aprovisionarse primero antes de habilitar la redirección del tráfico.

Aprovisionamiento de la máquina virtual del firewall Check Point

Hay dos formas de aprovisionar la máquina virtual del firewall:

  • Aprovisionamiento a través de SD-WAN Center

  • Aprovisionamiento mediante GUI del dispositivo SD-WAN

Provisioning de máquinas virtuales de firewall a través de SD-WAN Center

Requisitos previos

  • Agregue el almacenamiento secundario a SD-WAN Center para almacenar los archivos de imagen de VM del firewall. Para obtener más información, consulte Requisitos del sistema e instalación.

  • Reserve el almacenamiento de la partición secundaria para los archivos de imagen de la máquina virtual del firewall. Para configurar el límite de almacenamiento, vaya a Administración > Mantenimiento del almacenamiento.

    • Seleccione la cantidad de almacenamiento necesaria de la lista.

    • Haga clic en Aplicar.

    Almacenamiento

Nota

El almacenamiento se reserva de una partición secundaria que está activa si se cumple la condición.

Realice los siguientes pasos para Provisioning la máquina virtual de firewall a través de la plataforma SD-WAN Center:

  1. En la GUI de Citrix SD-WAN Center, vaya a Configuración > seleccione Firewall alojado.

    Sitios fw alojados

    Puede seleccionar la región en la lista desplegable para ver los detalles del sitio aprovisionado para esa región seleccionada.

  2. Cargue la imagen del software.

    Nota

    Asegúrese de que dispone de suficiente espacio en disco para cargar la imagen de software.

    Vaya a Configuración > Firewall alojado > Imágenes de software y haga clic en Cargar.

    Ficha Imagen de software

  3. Seleccione el nombre del proveedor como punto de comprobación en la lista desplegable. Haga clic o suelte el archivo de imagen de software en el cuadro para cargarlo.

    Imagen de software de punto de comprobación

    Aparecerá una barra de estado con el proceso de carga en curso. No haga clic en Actualizar ni realice ninguna otra acción hasta que el archivo de imagen muestre el 100% cargado.

    • Actualizar: haga clic en la opción Actualizar para obtener los detalles más recientes del archivo de imagen.

    • Eliminar: haga clic en la opción Eliminar para eliminar cualquier archivo de imagen existente.

    Nota

    Para aprovisionar una máquina virtual de firewall en la parte de sitios de la región no predeterminada, cargue el archivo de imagen en cada uno de los nodos del recopilador.

  4. Para el aprovisionamiento, vuelva a la ficha Sitios de firewall alojados y haga clic en Aprovisionar.

    Provisioning de máquinas virtuales de punto de comprobación

    • Proveedor: seleccione el nombre del proveedor como Punto de Verificación en la lista desplegable.
    • Modelo de máquina virtual de proveedor: el campo modelo de máquina virtual se rellena automáticamente como Edge.
    • Región: Seleccione la región de la lista.
    • Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
    • Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios principales y secundarios si los sitios están en modo de alta disponibilidad.
    • Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).
    • Clave SIC de máquina virtual: introduzca la clavede comunicación interna segura (SIC) de la máquina virtual. SIC crea conexiones de confianza entre los componentes de Check Point.
  5. Haga clic en Iniciar aprovisionamiento.

  6. Haga clic en Actualizar para obtener el estado más reciente. Una vez que la máquina virtual Check Point esté completamente arrancada, se reflejará en la interfaz de usuario de SD-WAN Center.

Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario.

Punto de control aprovisionado

  • Nombre del Sitio: Muestra el nombre del sitio.
  • IP de administración: muestra la dirección IP de administración del sitio.
  • Nombre de la región: Muestra el nombre de la región.
  • Proveedor: muestra el nombre del proveedor (punto de comprobación).
  • Modelo: Muestra el modelo - Edge.
  • Estado de administración: Estado de la máquina virtual del proveedor (arriba/abajo).
  • Estado de Operación: Muestra el último mensaje de estado de la operación.
  • Acceso a la interfaz de usuario del sitio alojado: Utilice el vínculo Haga clic aquí para acceder a la GUI de la máquina virtual de Check Point.

Provisioning de máquinas virtuales de firewall a través de la GUI del dispositivo

En la plataforma SD-WAN, aprovisione e inicie la máquina virtual alojada. Realice los siguientes pasos para el Provisioning:

  1. En la GUI de Citrix SD-WAN, vaya a Configuración > Configuración del dispositivo > Seleccione Firewall alojado.

  2. Sube la imagen del software:

    • Seleccione la ficha Imágenes de software. Seleccione el nombre del proveedor como punto de comprobación.
    • Elija el archivo de imagen de software.
    • Haga clic en Cargar.

    Carga de imágenes de software en SD-WAN

    Nota Se

    pueden cargar un máximo de dos imágenes. La carga de la imagen de la máquina virtual Check Point puede tardar más tiempo en función de la disponibilidad del ancho de banda.

    Puede ver una barra de estado para realizar un seguimiento del proceso de carga. El detalle del archivo se refleja una vez que la imagen se ha cargado correctamente. La imagen que se utiliza para el aprovisionamiento no se puede eliminar. No realice ninguna acción ni vuelva a ninguna otra página hasta que el archivo de imagen muestre el 100% cargado.

  3. Para el aprovisionamiento, seleccione la ficha Firewall alojado > haga clic en el botón Aprovisionar.

    Provisioning de punto de comprobación en SD-WAN

  4. Proporcione los siguientes detalles para el Provisioning.

    • Nombre del Proveedor: Seleccione el Nombre del Proveedor como Punto de Verificación.
    • Modelo de máquina virtual: el modelo de máquina virtual se rellena automáticamente como Edge.
    • Nombre de archivode imagen: el nombre del archivo de imagen se rellena automáticamente.
    • Dirección IP/Dominio del Servidor de Administraciónde Check Point: Proporcione la dirección IP/dominio del servidor de administración de puntos de comprobación.
    • Clave SIC: Proporcione la tecla SIC (opcional). SIC crea conexiones de confianza entre los componentes de Check Point. Haga clic en Aplicar.

    Detalle de Provisioning de punto de

  5. Haga clic en Actualizar para obtener el estado más reciente. Una vez que la máquina virtual Check Point se inicie por completo, se reflejará en la interfaz de usuario de SD-WAN con el detalle del registro de operaciones.

    Registro operativo de punto de verificación

    • Estado de administración: Indica si la máquina virtual está arriba o abajo.
    • Estado de procesamiento: estadode procesamiento de la ruta de datos de la máquina virtual.
    • Paquete enviado: paquetes enviados desde SD-WAN a la máquina virtual de seguridad.
    • Paquetes recibidos: paquetes recibidos por SD-WAN desde la máquina virtual de seguridad.
    • Paquetes descartados: paquetes descartados por SD-WAN (por ejemplo, cuando la máquina virtual de seguridad está inactiva).
    • Acceso al dispositivo: haga clic en el enlace para obtener el acceso de la GUI a la máquina virtual de seguridad.

Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario. Utilice la opción Haga clic aquí para acceder a la GUI de la máquina virtual Check Point o utilice su IP de administración junto con el puerto 4100 (IP de administración: 4100).

Nota

Utilice siempre el modo incógnito para acceder a la GUI de punto de comprobación.

Redirigir el tráfico a Edge

La configuración de la redirección de tráfico se puede realizar tanto a través del Editor de configuración en MCN como del Editor de configuración en SD-WAN Center.

Para navegar a través del Editor de configuración en SD-WAN Center:

  1. Abra la interfaz de usuario de Citrix SD-WAN Center y vaya a Configuración > Importación de configuración de red. Importe la configuración de WAN virtual desde el MCN activo y haga clic en Importar.

    Importar configuración WAN virtual

Los pasos restantes son similares a los siguientes: la configuración de redirección de tráfico a través de MCN.

Para navegar por el Editor de configuración en MCN:

  1. Establezca Tipo de coincidencia de conexión en Simétrico en Global > Configuración de red.

    Tipo de coincidencia de conexión

    De forma predeterminada, las directivas de firewall SD-WAN son específicas de la dirección. El tipo de coincidencia simétrica coincide con las conexiones utilizando criterios de coincidencia especificados y aplica una acción de directiva en ambas direcciones.

  2. Abra la interfaz de usuario de Citrix SD-WAN, vaya a Configuración > expanda Virtual WAN >, seleccione Editor de configuración > seleccione Plantilla de firewall alojada en la sección Global.

    Plantilla de firewall aloj

  3. Haga clic en + y proporcione la información necesaria disponible en la siguiente captura de pantalla para agregar la plantilla de Firewall alojado. Haga clic en Agregar.

    Detalles de plantilla de firewall alojado

La plantilla de firewall alojado le permite configurar la redirección de tráfico a la máquina virtual de firewall alojada en la plataforma SD-WAN. Las siguientes son las entradas necesarias para configurar la plantilla:

  • Nombre: El nombre de la plantilla de firewall alojada.
  • Proveedor: Nombre del proveedor del firewall: punto de comprobación.
  • Modo de implementación: el campo Modo de implementación se rellena automáticamente y se atenuará en gris. Para el proveedor de Check Point, el modo de implementación es Bridge.
  • Modelo: Modelode máquina virtual del firewall alojado. Una vez seleccionado el proveedor como punto de comprobación, el campo modelo se rellena automáticamente con Edge.
  • IP/FQDN del servidorde administración principal: IP/FQDN del servidor de administración principal.
  • Servidor de administración secundario IP/FQDN: Servidor de administración secundario IP/FQDN.
  • Interfaces de redirección de servicios: Son interfaces lógicas utilizadas para la redirección de tráfico entre SD-WAN y firewall alojado.

Nota

La interfaz de entrada de redirección debe seleccionarse desde la dirección del iniciador de la conexión; la interfaz de salida se elige automáticamente para el tráfico de respuesta. Por ejemplo, si el tráfico de Internet saliente se redirige al firewall alojado en Interface-1, entonces el tráfico de respuesta se redirige automáticamente al firewall alojado en Interface-2. Además, no hay necesidad de Interface-2 si no hay tráfico entrante de Internet.

Solo se asignan dos interfaces de datos a la máquina virtual Check Point.

Nota

Las directivas de firewall SD-WAN se crean automáticamente para permitir el tráfico hacia y desde los servidores de administración de firewall alojados. Esto evita la redirección del tráfico de administración que se origina desde (o) destinado al firewall alojado.

La redirección del tráfico a la máquina virtual del firewall se puede realizar mediante directivas de firewall SD-WAN. Existen dos métodos para crear directivas de firewall de SD-WAN: mediante plantillas de directivas de firewall de la sección Global o a nivel de sitio.

Método - 1

  1. Desde la GUI de Citrix SD-WAN, vaya a Configuración > Expanda Virtual WAN > Editor de configuración. Seleccione Firewall en Conexiones.

    Redirección de tráfico mediante GUI de SD-WAN

  2. Seleccione Directivas en la lista desplegable Sección y haga clic en +Agregar para crear una directiva de firewall.

    Firewall de redirección de tráfico

  3. Cambie el tipo de directiva a Firewall alojado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de firewall alojados y la interfaz de redirección de servicios en la lista desplegable. Haga clic en Agregar.

    Interfaz de redirección de servicio

Método - 2

  1. Vaya a la ficha Global y seleccione Plantillas de directiva de firewall. Haga clic en + Plantilla de directiva

    Plantilla directiva

  2. Proporcione un nombre a la plantilla de directiva y haga clic en Agregar.

    Nombre de plantilla de directiva

  3. Haga clic en + Agregar junto a Directivas de plantillas previas al dispositivo.

    Directivas de plantillas previas al dispositivo

  4. Cambie el tipo de directiva a Firewall alojado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de firewall alojados y la interfaz de redirección de servicios en la lista desplegable. Haga clic en Agregar.

    Plantilla de directiva de punto

  5. Desplácese hasta Conexiones > Firewall y, a continuación, seleccione la directiva de firewall (que ha creado) en el campo Nombre. Haga clic en Aplicar.

    Firewall de conexión de punto

Mientras toda la configuración de red esté en modo activo y en ejecución, puede supervisar la conexión en Supervisión > Firewall > en la lista Estadísticas, seleccione Directivas de filtro.

Directiva de filtrado

Integración de firewall de punto de verificación en la plataforma SD-WAN 1100