Integración de firewall de Palo Alto Networks en la plataforma SD-WAN 1100
Citrix SD-WAN admite el alojamiento del firewall de la serie de máquinas virtuales de última generación (VM) de Palo Alto Networks en la plataforma SD-WAN 1100. Los siguientes son los modelos de máquinas virtuales compatibles:
- VM 50
- VM 100
El firewall de la serie de máquinas virtuales Palo Alto Network se ejecuta como una máquina virtual en la plataforma SD-WAN 1100. La máquina virtual del firewall está integrada en modo Virtual Wire con dos interfaces virtuales de datos conectadas a ella. El tráfico requerido se puede redirigir a la máquina virtual del firewall mediante la configuración de directivas en SD-WAN.
Ventajas
Los siguientes son los principales objetivos o beneficios de la integración de Palo Alto Networks en la plataforma SD-WAN 1100:
-
Consolidación de dispositivos de sucursales: Un único dispositivo que realiza seguridad SD-WAN y avanzada
-
Seguridad de sucursales con NGFW (Next Generation Firewall) en las instalaciones para proteger el tráfico de LAN a LAN, LAN a Internet e Internet a LAN
Pasos de configuración
Se necesitan las siguientes configuraciones para integrar la máquina virtual Palo Alto Networks en SD-WAN:
-
Aprovisionamiento de la máquina virtual de firewall
-
Habilitar el redireccionamiento del tráfico a la máquina virtual
Nota
La máquina virtual del firewall debe aprovisionarse primero antes de habilitar la redirección del tráfico.
Aprovisionamiento de máquina virtual de Palo Alto Network
Hay dos formas de aprovisionar la máquina virtual del firewall:
-
Aprovisionamiento a través de SD-WAN Center
-
Aprovisionamiento mediante GUI del dispositivo SD-WAN
Provisioning de máquinas virtuales de firewall a través de SD-WAN Center
Requisitos previos
-
Agregue el almacenamiento secundario a SD-WAN Center para almacenar los archivos de imagen de VM del firewall. Para obtener más información, consulte Requisitos del sistema e instalación.
-
Reserve el almacenamiento de la partición secundaria para los archivos de imagen de la máquina virtual del firewall. Para configurar el límite de almacenamiento, vaya a Administración > Mantenimiento del almacenamiento.
-
Seleccione la cantidad de almacenamiento necesaria de la lista.
-
Haga clic en Aplicar.
-
Nota
El almacenamiento se reserva de la partición secundaria que está activa si se cumple la condición.
Realice los siguientes pasos para Provisioning la máquina virtual de firewall a través de la plataforma SD-WAN Center:
-
En la GUI de Citrix SD-WAN Center, vaya a Configuración > seleccione Firewall alojado.
Puede seleccionar la región en la lista desplegable para ver los detalles del sitio aprovisionado para esa región seleccionada.
-
Cargue la imagen del software.
Nota
Asegúrese de que dispone de suficiente espacio en disco para cargar la imagen de software.
Vaya a Configuración > Firewall alojado > Imágenes de software y seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable. Haga clic o suelte el archivo de imagen de software en el cuadro para cargarlo.
Aparecerá una barra de estado con el proceso de carga en curso. No haga clic en Actualizar ni realice ninguna otra acción hasta que el archivo de imagen muestre el 100% cargado.
-
Actualizar: haga clic en la opción Actualizar para obtener los detalles más recientes del archivo de imagen.
-
Eliminar: haga clic en la opción Eliminar para eliminar cualquier archivo de imagen existente.
Nota
-
Para aprovisionar la máquina virtual del firewall en los sitios que forman parte de la región no predeterminada, cargue el archivo de imagen en cada uno de los nodos del recopilador.
-
Al eliminar la imagen de la máquina virtual Palo Alto del Centro SDWAN, se eliminará la imagen del almacenamiento de SDWAN Center y NO del dispositivo.
-
-
Para el aprovisionamiento, vuelva a la ficha Sitios de firewall alojados y haga clic en Aprovisionar.
- Proveedor: Seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable.
- Modelo de máquina virtual de proveedor: Seleccione el número de modelo de máquina virtual de la lista.
- Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
- Región: Seleccione la región de la lista.
-
Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios principales y secundarios si los sitios están en modo de alta disponibilidad.
- Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).
-
Dirección IP secundaria/nombre de dominio del servidorde administración: introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).
-
Clave de autenticación de máquina virtual: introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.
- Código de autenticación: introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
- Haga clic en Iniciar aprovisionamiento.
- Haga clic en Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario de SD-WAN Center.
Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario.
- Nombre del Sitio: Muestra el nombre del sitio.
- IP de administración: muestra la dirección IP de administración del sitio.
- Nombre de la región: Muestra el nombre de la región.
- Proveedor: muestra el nombre del proveedor (Palo Alto Networks).
- Modelo: muestra el número de modelo (VM50/VM100).
- Estado de administración: Estado de la máquina virtual del proveedor (arriba/abajo).
- Estado de operación: muestra el mensaje de estado operativo.
- Sitio alojado: Utilice el enlace Haga clic aquí para acceder a la interfaz gráfica de usuario de la máquina virtual de Palo Alto Networks.
Para aprovisionar los sitios de región no predeterminados, debe cargar la imagen de software en SD-WAN Center Collector. Puede aprovisionar las redes Palo Alto tanto desde la GUI del extremo de la cabeza de SD-WAN Center o SD-WAN Center Collector.
Para obtener la dirección IP del recopilador de SD-WAN Center, vaya a Configuración > Detección de redes > seleccione la ficha Configuración de detección.
Para aprovisionar Palo Alto Networks desde SD-WAN Collector:
-
En la GUI de SD-WAN Collector, vaya a Configuración > Seleccione Firewall alojado.
- Vaya a la ficha Imágenes de software para cargar la imagen de software.
- Haga clic en Aprovisionar en la ficha Sitios de firewall alojados
-
Proporcione los siguientes detalles y haga clic en Iniciar aprovisionamiento.
- Proveedor: Seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable.
- Modelo de máquina virtual de proveedor: Seleccione el número de modelo de máquina virtual de la lista.
- Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
- Región: Seleccione la región de la lista.
-
Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios principales y secundarios si los sitios están en modo de alta disponibilidad.
- Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).
-
Dirección IP secundaria/nombre de dominio del servidorde administración: introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).
-
Clave de autenticación de máquina virtual: introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.
- Código de autenticación: introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
- Haga clic en Iniciar aprovisionamiento.
Provisioning de máquinas virtuales de firewall a través de la GUI del dispositivo
En la plataforma SD-WAN, aprovisione e inicie la máquina virtual alojada. Realice los siguientes pasos para el Provisioning:
-
En la GUI de Citrix SD-WAN, vaya a Configuración > expanda Configuración del dispositivo > seleccione Firewall alojado.
- Sube la imagen del software:
- Seleccione la ficha Imágenes de software. Seleccione el nombre del proveedor como Palo Alto Networks.
- Elija el archivo de imagen de software.
- Haga clic en Cargar.
Nota Se puede cargar un máximo de dos imágenes de software. La carga de la imagen de la máquina virtual Palo Alto Networks puede tardar más tiempo dependiendo de la disponibilidad del ancho de banda.
Puede ver una barra de estado para realizar un seguimiento del proceso de carga. El detalle del archivo se refleja una vez que la imagen se ha cargado correctamente. La imagen que se utiliza para el aprovisionamiento no se puede eliminar. No realice ninguna acción ni vuelva a ninguna otra página hasta que el archivo de imagen muestre el 100% cargado.
-
Para el aprovisionamiento, seleccione la ficha Firewalls alojados y haga clic en el botón Aprovisionar.
-
Proporcione los siguientes detalles para el Provisioning.
- Nombre del proveedor: Seleccione el proveedor como Palo Alto Networks.
- Modelo de máquina virtual: Seleccione el número de modelo de máquina virtual de la lista.
- Nombre del archivo de imagen: seleccione el archivo de imagen.
- Dirección IP principal/nombre de dominio de Panorama: proporcione la dirección IP principal de Panorama o el nombre de dominio completo (opcional).
- Dirección IP secundaria/nombre de dominio de Panorama: proporcione la dirección IP secundaria de Panorama o el nombre de dominio completo (opcional).
-
Clave de autenticación de máquina virtual: Proporcione la clave de autenticación de máquina virtual (opcional).
La clave de autenticación de máquina virtual es necesaria para el registro automático de la máquina virtual Palo Alto Networks en el Panorama.
- Código de autenticación: Introduzca el código de autenticación (código de licencia de máquina virtual) (opcional).
- Haga clic en Aplicar.
-
Haga clic en Actualizar para obtener el estado más reciente. Una vez que la máquina virtual Palo Alto Networks se haya iniciado por completo, se reflejará en la interfaz de usuario de SD-WAN con el detalle del registro de operaciones.
- Estado de administración: Indica si la máquina virtual está arriba o abajo.
- Estado de procesamiento: estadode procesamiento de la ruta de datos de la máquina virtual.
- Paquete enviado: paquetes enviados desde SD-WAN a la máquina virtual de seguridad.
- Paquetes recibidos: paquetes recibidos por SD-WAN desde la máquina virtual de seguridad.
- Paquetes descartados: paquetes descartados por SD-WAN (por ejemplo, cuando la máquina virtual de seguridad está inactiva).
- Acceso al dispositivo: haga clic en el enlace para obtener el acceso de la GUI a la máquina virtual de seguridad.
Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario. Utilice la opción Haga clic aquí para acceder a la GUI de la máquina virtual Palo Alto Networks o utilice su IP de administración junto con el puerto 4100 (IP de administración: 4100).
Nota Utilice siempre el modo incógnito para acceder a la GUI de Palo Alto Networks.
Redirección de tráfico
La configuración de la redirección de tráfico se puede realizar tanto a través del Editor de configuración en MCN como del Editor de configuración en SD-WAN Center.
Para navegar a través del Editor de configuración en SD-WAN Center:
-
Abra la interfaz de usuario de Citrix SD-WAN Center, vaya a Configuración > Importación de configuración de red. Importe la configuración de WAN virtual desde el MCN activo y haga clic en Importar.
Los pasos restantes son similares a los siguientes: la configuración de redirección de tráfico a través de MCN.
Para navegar por el Editor de configuración en MCN:
-
Establezca Tipo de coincidencia de conexión en Simétrico en Global > Configuración de red.
De forma predeterminada, las directivas de firewall SD-WAN son específicas de la dirección. El tipo de coincidencia simétrica coincide con las conexiones mediante criterios de coincidencia especificados y aplica la acción de directiva en ambas direcciones.
-
Abra la interfaz de usuario de Citrix SD-WAN, vaya a Configuración > expanda Virtual WAN > seleccione Editor de configuración > seleccione Plantilla de firewall alojada en la sección Global.
-
Haga clic en + y proporcione la información necesaria disponible en la siguiente captura de pantalla para agregar la plantilla Hosted Firewall y haga clic en Agregar.
La plantilla de firewall alojado le permite configurar la redirección de tráfico a la máquina virtual de firewall alojada en el dispositivo SD-WAN. Las siguientes son las entradas necesarias para configurar la plantilla:
- Nombre: Nombre de la plantilla de firewall alojada.
- Proveedor: Nombre del proveedor del firewall.
- Modo de implementación: el campo Modo de implementación se rellena automáticamente y se atenuará en gris. Para el proveedor de Palo Alto Networks, el modo de implementación es Virtual Wire.
- Modelo: Modelode máquina virtual del firewall alojado. Puede seleccionar el número de modelo de la máquina virtual como VM 50/VM 100 para el proveedor de Palo Alto Networks.
- Servidor de administración primario IP/FQDN: servidor de administración principal IP/FQDN de Panorama.
- Servidor de administración secundario IP/FQDN: Servidor de administración secundario IP/FQDN de Panorama.
- Interfaces de redirección de servicios: Son interfaces lógicas utilizadas para la redirección de tráfico entre SD-WAN y firewall alojado.
Interface-1, Interface-2 hace referencia a las dos primeras interfaces del firewall alojado. Si las VLAN se utilizan para la redirección del tráfico, se deben configurar las mismas VLAN en el firewall alojado. Las VLAN configuradas para la redirección del tráfico son internas de la SD-WAN y del firewall alojado.
Nota
La interfaz de entrada de redirección debe seleccionarse desde la dirección del iniciador de la conexión, la interfaz de redirección se elige automáticamente para el tráfico de respuesta. Por ejemplo, si el tráfico de Internet saliente se redirige al firewall alojado en Interface-1, entonces el tráfico de respuesta se redirige automáticamente al firewall alojado en Interface-2. No hay necesidad de Interface-2 en el ejemplo anterior, si no hay tráfico entrante de Internet.
Solo se asignan dos interfaces físicas para alojar el firewall de Palo Alto Networks. Si el tráfico de varias zonas necesita ser redirigido al firewall alojado, se pueden crear varias subinterfaces mediante VLAN internas y asociadas a diferentes zonas de firewall en el firewall alojado.
A través de las directivas de firewall de SD-WAN o de las directivas de nivel de sitio, puede redirigir todo el tráfico a la máquina virtual Palo Alto Networks.
Nota
Las directivas de firewall de SD-WAN se crean automáticamente para permitir el tráfico desde/hacia los servidores de administración de firewall alojados. Esto evita la redirección del tráfico de administración que se origina desde (o) destinado al firewall alojado.
La redirección del tráfico a la máquina virtual del firewall se puede realizar mediante directivas de firewall SD-WAN. Existen dos métodos para crear directivas de firewall SD-WAN, ya sea a través de plantillas de directivas de firewall en la sección Global o a nivel de sitio.
Método - 1
-
Desde la GUI de Citrix SD-WAN, vaya a Configuración > Expanda Virtual WAN > Editor de configuración. Vaya a la ficha Global y seleccione Plantillas de directiva de firewall. Haga clic en + Plantilla de directiva Proporcione un nombre a la plantilla de directiva y haga clic en Agregar.
-
Haga clic en + Agregar junto a Directivas de plantillas previas al dispositivo.
-
Cambie el tipo de directiva a Firewall alojado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de firewall alojados y la interfaz de redirección de servicios en la lista desplegable. Rellene los otros criterios de coincidencia según sea necesario.
-
Desplácese hasta Conexiones > Firewall y, a continuación, seleccione la directiva de firewall (que ha creado) en el campo Nombre. Haga clic en Aplicar.
Método - 2
-
Para redirigir todo el tráfico, en el Editor de configuración > WAN virtual, vaya a la ficha Conexión y seleccione Firewall.
-
Seleccione Directivas en la lista desplegable Sección y haga clic en +Agregar para crear una nueva directiva de firewall.
-
Cambie el tipo de directiva a Firewall alojado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de firewall alojados y la interfaz de redirección de servicios en la lista desplegable. Haga clic en Agregar.
Mientras toda la configuración de red esté en modo activo y en ejecución, puede supervisar la conexión en Supervisión > Firewall > en la lista Estadísticas, seleccione Directivas de filtro.
Puede verificar la asignación entre la configuración que realizó en la plantilla de cadena de servicios SD-WAN y la configuración de red Palo Alto mediante la interfaz de usuario de Palo Alto Networks.
NOTA
La máquina virtual Palo Alto Networks no se puede aprovisionar si Cloud Direct o SD-WAN WANOP (PE) ya está aprovisionado en el dispositivo 1100.
Casos de uso: Firewall alojado en SD-WAN 1100
Los siguientes son algunos de los casos de uso implementados mediante el dispositivo Citrix SD-WAN 1100:
Caso de uso 1: Redirigir todo el tráfico hacia Hosted Firewall
Este caso de uso es aplicable a casos de uso de sucursales pequeñas donde todo el tráfico es procesado por el firewall de próxima generación alojado. Los requisitos de ancho de banda deben tenerse en cuenta, ya que la cantidad de tráfico redirigido está limitada a 100 Mbps.
Para lograrlo, cree una regla de firewall que coincida con cualquier tráfico y con Acción como redireccionamiento, como se muestra en la siguiente captura de pantalla:
Caso de uso 2: Redirigir solo el tráfico de Internet hacia Hosted Firewall
Este caso de uso es aplicable a cualquier sitio de sucursal en el que el tráfico vinculado a Internet no exceda la cantidad de rendimiento de tráfico redirigido admitido. En este caso, los dispositivos o servicios de seguridad implementados en centros de datos procesan el tráfico de sucursal al centro de datos.
Para lograrlo, cree una regla de firewall que coincida con cualquier tráfico y con Acción como Redireccionamiento como se muestra en la siguiente captura de pantalla:
Caso de uso 3: Interrupción directa de Internet para aplicaciones SaaS de Internet de confianza y redirigir todo el tráfico restante a la máquina virtual alojada
En este caso, se agrega una regla de firewall para realizar una ruptura directa de Internet para aplicaciones SaaS de confianza, como Office 365. Primero habilite la directiva de ruptura de Office 365 como se muestra en la siguiente captura de pantalla:
Esto agrega automáticamente directivas de plantilla previas al dispositivo para permitir el tráfico de Office 365, como se muestra en la siguiente captura de pantalla. Ahora agregue una regla de firewall para redirigir todo el tráfico restante al firewall alojado como se menciona a continuación.
Nota La
configuración del firewall alojado es independiente de la configuración de Citrix SD-WAN. Por lo tanto, el firewall alojado se puede configurar según los requisitos de seguridad de la empresa.
En este artículo
- Ventajas
- Pasos de configuración
- Aprovisionamiento de máquina virtual de Palo Alto Network
- Provisioning de máquinas virtuales de firewall a través de SD-WAN Center
- Provisioning de máquinas virtuales de firewall a través de la GUI del dispositivo
- Redirección de tráfico
- Casos de uso: Firewall alojado en SD-WAN 1100