Documentación de productos
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Ver PDF

Integración de firewall de Palo Alto Networks en la plataforma SD-WAN 1100

May 7, 2021
Contribución de: 
C

Citrix SD-WAN admite el hospedaje del firewall de la serie de máquinas virtuales de última generación (VM) de Palo Alto Networks en la plataforma SD-WAN 1100. Los siguientes son los modelos de máquinas virtuales compatibles:

  • VM 50
  • VM 100

El firewall de la serie de máquinas virtuales Palo Alto Network se ejecuta como una máquina virtual en la plataforma SD-WAN 1100. La máquina virtual del cortafuegos está integrada en modo Virtual Wire con dos interfaces virtuales de datos conectadas a ella. El tráfico requerido se puede redirigir a la máquina virtual del firewall mediante la configuración de directivas en SD-WAN.

Ventajas

Los siguientes son los principales objetivos o beneficios de la integración de Palo Alto Networks en la plataforma SD-WAN 1100:

  • Consolidación de dispositivos de sucursales: Un único dispositivo que realiza seguridad SD-WAN y avanzada

  • Seguridad de sucursales con NGFW (Next Generation Firewall) en las instalaciones para proteger el tráfico de LAN a LAN, LAN a Internet e Internet a LAN

Pasos de configuración

Se necesitan las siguientes configuraciones para integrar la máquina virtual Palo Alto Networks en SD-WAN:

  • Aprovisionamiento de la máquina virtual de firewall

  • Habilitar el redireccionamiento del tráfico a la máquina virtual

Nota La

máquina virtual del cortafuegos debe aprovisionarse primero antes de habilitar la redirección del tráfico.

Aprovisionamiento de máquina virtual de Palo Alto Network

Hay dos formas de aprovisionar la máquina virtual del firewall:

  • Aprovisionamiento a través de SD-WAN Center

  • Aprovisionamiento mediante GUI del dispositivo SD-WAN

Provisioning de máquinas virtuales de firewall a través de SD-WAN Center

Requisitos previos

  • Agregue el almacenamiento secundario a SD-WAN Center para almacenar los archivos de imagen de VM del firewall. Para obtener más información, consulte Requisitos e instalación del sistema.

  • Reserve el almacenamiento de la partición secundaria para los archivos de imagen de la máquina virtual del firewall. Para configurar el límite de almacenamiento, vaya a Administración > Mantenimiento del almacenamiento.

    • Seleccione la cantidad de almacenamiento requerida de la lista.

    • Haga clic en Aplicar.

    Almacenamiento

Nota

El almacenamiento se reserva de la partición secundaria que está activa si se cumple la condición.

Realice los siguientes pasos para Provisioning la máquina virtual de firewall a través de la plataforma SD-WAN Center:

  1. En la GUI de Citrix SD-WAN Center, vaya a Configuración > seleccione Firewall hospedado.

    Sitios fw alojados

    Puede seleccionar la región en la lista desplegable para ver los detalles del sitio aprovisionado para esa región seleccionada.

  2. Cargue la imagen del software.

    Nota

    Asegúrese de que dispone de suficiente espacio en disco para cargar la imagen de software.

    Vaya a Configuración > Firewall hospedado > Imágenes de software y seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable. Haga clic o suelte el archivo de imagen de software en el cuadro para cargarlo.

    Cargar imagen sw

    Aparecerá una barra de estado con el proceso de carga en curso. No haga clic en Actualizar ni realice ninguna otra acción hasta que el archivo de imagen muestre el 100% cargado.

    • Actualizar: haga clic en la opción Actualizar para obtener los detalles más recientes del archivo de imagen.

    • Eliminar: haga clic en la opción Eliminar para eliminar cualquier archivo de imagen existente.

    Nota

    • Para aprovisionar la máquina virtual del firewall en los sitios que forman parte de la región no predeterminada, cargue el archivo de imagen en cada uno de los nodos del recopilador.

    • Al eliminar la imagen de la máquina virtual Palo Alto del Centro SDWAN, se eliminará la imagen del almacenamiento de SDWAN Center y NO del dispositivo.

  3. Para el aprovisionamiento, vuelva a la ficha Sitios de firewall alojados y haga clic en Aprovisionar.

    Empezar a aprovisionar

    • Proveedor: Seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable.
    • Modelo de máquina virtual de proveedor: Seleccione el número de modelo de máquina virtual de la lista.
    • Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
    • Región: Seleccione la región de la lista.

    • Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios primarios y secundarios si los sitios están en modo de alta disponibilidad.

    • Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).

    • Dirección IP secundaria/nombre de dominio del servidorde administración: Introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: Introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.

    • Código de autenticación: Introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
  4. Haga clic en Iniciar aprovisionamiento.
  5. Haga clic en Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario dSD-WAN Center.

Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario.

Seleccionar sitio para aprovisionar

  • Nombre del Sitio: Muestra el nombre del sitio.
  • Dirección IP de administración: Muestra la dirección IP de administración del sitio.
  • Nombre de la región: Muestra el nombre de la región.
  • Proveedor: Muestra el nombre del proveedor (Palo Alto Networks).
  • Modelo: Muestra el número de modelo (VM50/VM100).
  • Estado de administración: Estado de la máquina virtual del proveedor (arriba/abajo).
  • Estado de Operación: Muestra el mensaje de estado operativo.
  • Sitio alojado: Utilice el enlace Haga clic aquí para acceder a la interfaz gráfica de usuario de la máquina virtual de Palo Alto Networks.

Para aprovisionar los sitios de región no predeterminados, debe cargar la imagen de software en SD-WAN Center Collector. Puede aprovisionar las redes Palo Alto tanto desde la GUI del extremo de la cabeza dSD-WAN Center o SD-WAN Center Collector.

Para obtener la dirección IP del colector de SD-WAN Center, vaya a Configuración > Detección de red > seleccione la ficha Configuración de detección.

IP del recopilador

Para aprovisionar las redes Palo Alto desde SD-WAN Collector:

  1. Desde SD-WAN Collector GUI, vaya a Configuration > seleccione Hosted Firewall.

    Firewall alojado en Collector

  2. Vaya a la pestaña Imágenes de software para cargar la imagen de software.
  3. Haga clic en Aprovisionar en la ficha Sitios de firewall alojados

  4. Proporcione los siguientes detalles y haga clic en Iniciar aprovisionamiento.

    Suministro de cobradores

    • Proveedor: Seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable.
    • Modelo de máquina virtual de proveedor: Seleccione el número de modelo de máquina virtual de la lista.
    • Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
    • Región: Seleccione la región de la lista.

    • Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios primarios y secundarios si los sitios están en modo de alta disponibilidad.

    • Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).

    • Dirección IP secundaria/nombre de dominio del servidorde administración: Introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: Introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.

    • Código de autenticación: Introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
  5. Haga clic en Iniciar aprovisionamiento.

Provisioning de máquinas virtuales de firewall a través de la GUI del dispositivo

En la plataforma SD-WAN, aprovisione e inicie la máquina virtual alojada. Realice los siguientes pasos para el Provisioning:

  1. En la GUI de Citrix SD-WAN, vaya a Configuración > expanda Configuración del equipo > seleccione Servidor de seguridad hospedado.

  2. Sube la imagen del software:
    • Seleccione la ficha Imágenes de software. Seleccione el nombre del proveedor como Palo Alto Networks.
    • Elija el archivo de imagen de software.
    • Haga clic en Cargar.

    Subida de imágenes SW

    Nota Se puede cargar un máximo de dos imágenes de software. La carga de la imagen de la máquina virtual Palo Alto Networks puede tardar más tiempo dependiendo de la disponibilidad del ancho de banda.

    Puede ver una barra de estado para realizar un seguimiento del proceso de carga. El detalle del archivo se refleja, una vez que la imagen se ha cargado correctamente. La imagen que se utiliza para el Provisioning no se puede eliminar. No realice ninguna acción ni vuelva a ninguna otra página hasta que el archivo de imagen muestre el 100% cargado.

  3. Para el aprovisionamiento, seleccione la ficha Firewalls alojados y haga clic en el botón Aprovisionar.

    Provisión de firewall alojado

  4. Proporcione los siguientes detalles para el Provisioning.

    • Nombre del proveedor: Seleccione el proveedor como Palo Alto Networks.
    • Modelo de máquina virtual: Seleccione el número de modelo de máquina virtual de la lista.
    • Nombre del archivo de imagen: Seleccione el archivo de imagen.
    • Dirección IP principal/nombre de dominio panorámico: Proporcione la dirección IP principal panorámica o el nombre de dominio completo (opcional).
    • Dirección IP secundaria/nombre de dominio panorámico: Proporcione la dirección IP secundaria panorámica o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: Proporcione la clave de autenticación de máquina virtual (opcional).

      La clave de autenticación de máquina virtual es necesaria para el registro automático de la máquina virtual Palo Alto Networks en el Panorama.

    • Código de autenticación: Introduzca el código de autenticación (código de licencia de máquina virtual) (opcional).
    • Haga clic en Aplicar.

    Servidor de seguridad alojado

  5. Haga clic en Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario de SD-WAN con el detalle del registro de operaciones.

    Detalle de registro de opción

    • Estado de administración: Indica si la máquina virtual está arriba o abajo.
    • Estado de procesamiento: Estado de procesamiento de la ruta de datos de la máquina virtual.
    • Paquete enviado: Paquetes enviados desde SD-WAN a la máquina virtual de seguridad.
    • Paquete recibido: Paquetes recibidos por SD-WAN desde la máquina virtual de seguridad.
    • Paquete eliminado: Paquetes descartados por SD-WAN (por ejemplo, cuando la máquina virtual de seguridad está inactiva).
    • Acceso a dispositivos: Haga clic en el enlace para obtener el acceso de la GUI a la máquina virtual de seguridad.

Puede Iniciar, Apagar y Desaprovisionar la máquina virtual según sea necesario. Utilice la opción Click Here para acceder a la GUI de la máquina virtual Palo Alto Networks o utilice su IP de administración junto con el puerto 4100 (dirección IP: 4100).

Nota Utilice siempre el modo incógnito para acceder a la GUI de Palo Alto Networks.

Redirección de tráfico

La configuración de la redirección de tráfico se puede realizar tanto a través del Editor de configuración en MCN como del Editor de configuración en SD-WAN Center.

Para navegar a través del Editor de configuración en SD-WAN Center:

  1. Abra la interfaz de usuario de Citrix SD-WAN Center, vaya a Configuración > Importación de configuración de red. Importe la configuración de WAN virtual desde el MCN activo y haga clic en Importar.

    Importar configuración WAN virtual

Los pasos restantes son similares a los siguientes: la configuración de redirección de tráfico a través de MCN.

Para navegar por el Editor de configuración en MCN:

  1. Establezca Tipo de coincidencia de conexión en Simétrico en Global > Configuración de red.

    Tipo de coincidencia de conexión

    De forma predeterminada, las directivas de firewall SD-WAN son específicas de la dirección. El tipo de coincidencia simétrica coincide con las conexiones mediante criterios de coincidencia especificados y aplica la acción de directiva en ambas direcciones.

  2. Abra la interfaz de usuario de Citrix SD-WAN, vaya a Configuración expanda Virtual WAN seleccione Editor de configuración > seleccione Plantilla de cortafuegos alojada en la sección Global .

    Temp fw hospedado

  3. Haga clic en + y proporcione la información necesaria disponible en la siguiente captura de pantalla para agregar la plantilla Hosted Firewall y haga clic en Agregar.

    Agregar

Laplantilla de firewall alojado le permite configurar la redirección de tráfico a la máquina virtual de cortafuegos alojada en el dispositivo SD-WAN. Las siguientes son las entradas necesarias para configurar la plantilla:

  • Nombre: Nombre de la plantilla de firewall alojada.
  • Proveedor: Nombre del proveedor del firewall.
  • Modo de implementación: el campo Modo de implementación se rellena automáticamente y se atenuará en gris. Para el proveedor de Palo Alto Networks, el modo de implementación es Virtual Wire.
  • Modelo: Modelode máquina virtual del firewall alojado. Puede seleccionar el número de modelo de la máquina virtual como VM 50/VM 100 para el proveedor de Palo Alto Networks.
  • Servidor de administración primario IP/FQDN: servidor de administración principal IP/FQDN de Panorama.
  • Servidor de administración secundario IP/FQDN: Servidor de administración secundario IP/FQDN de Panorama.
  • Interfaces de redirección de servicios: Son interfaces lógicas utilizadas para la redirección de tráfico entre SD-WAN y firewall hospedado.

Interface-1, Interface-2 hace referencia a las dos primeras interfaces del firewall hospedado. Si se utilizan VLAN para la redirección del tráfico, se deben configurar las mismas VLAN en el firewall hospedado. Las VLAN configuradas para la redirección del tráfico son internas de la SD-WAN y del firewall hospedado.

Nota La interfaz de entrada de redirección debe seleccionarse desde la dirección del iniciador de conexión, la interfaz de redirección se elige automáticamente para el tráfico de respuesta. Por ejemplo, si el tráfico de Internet saliente se redirige al firewall hospedado en Interface-1, entonces el tráfico de respuesta se redirige automáticamente al firewall hospedado en Interface-2. No hay necesidad de Interface-2 en el ejemplo anterior, si no hay tráfico entrante de Internet.

Solo se asignan dos interfaces físicas para alojar el firewall de Palo Alto Networks. Si el tráfico de varias zonas necesita ser redirigido al firewall hospedado, se pueden crear varias subinterfaces mediante VLAN internas y asociadas a diferentes zonas de firewall en el firewall hospedado.

A través de las directivas de firewall de SD-WAN o de las directivas de nivel de sitio, puede redirigir todo el tráfico a la máquina virtual Palo Alto Networks.

Nota Las directivas de firewall SD-WAN se crean automáticamente para permitir el tráfico a/desde servidores de administración de firewall alojados. Esto evita la redirección del tráfico de administración que se origina desde (o) destinado al firewall hospedado.

La redirección del tráfico a la máquina virtual del firewall se puede realizar mediante directivas de firewall SD-WAN. Existen dos métodos para crear directivas de firewall SD-WAN, ya sea a través de plantillas de directivas de firewall en la sección Global o a nivel de sitio.

Método - 1

  1. Desde la GUI de Citrix SD-WAN, vaya a Configuración expanda Virtual WAN > Editor de configuración. Vaya a la ficha Global y seleccione Plantillas de directiva de cortafuegos. Haga clic en + Plantilla de directiva Proporcione un nombre a la plantilla de directiva y haga clic en Agregar.

    Nombre de plantilla de directiva de Palo Alto

  2. Haga clic en + Agregar junto a Directivas de plantillas previas al dispositivo.

    Directivas de plantillas previas al dispositivo

  3. Cambie el tipo de directiva a Firewall hospedado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de cortafuegos alojados y la interfaz de redirección de servicios en la lista desplegable. Rellene los otros criterios de coincidencia según sea necesario.

    plantilla de directiva de Palo Alto

  4. Desplácese hasta Conexiones > Firewally, a continuación, seleccione la directiva de cortafuegos (que ha creado) en el campo Nombre. Haga clic en Aplicar.

    Firewall de conexión de punto

Método - 2

  1. Para redirigir todo el tráfico, en el Editor de configuración > WAN virtual, vaya a la ficha Conexión y seleccione Firewall.

    Redirección de tráfico mediante GUI de SD-WAN

  2. Seleccione Directivas en la lista desplegable Sección y haga clic en +Agregar para crear una nueva directiva de cortafuegos.

    Firewall de redirección de tráfico

  3. Cambie el tipo de directiva a Firewall hospedado. El campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de cortafuegos alojados y la interfaz de redirección de servicios en la lista desplegable. Haga clic en Agregar.

    Interfaz de redirección de servicio

Mientras toda la configuración de red esté en modo activo y en ejecución, puede supervisar la conexión en Supervisión > Firewall > en la lista Estadísticas, seleccione Directivas de filtro.

Directiva de filtrado

Puede verificar la asignación entre la configuración que realizó en la plantilla de cadena de servicios SD-WAN y la configuración de red Palo Alto mediante la interfaz de usuario de Palo Alto Networks.

Palo Alto nw

NOTA

La máquina virtual Palo Alto Networks no se puede aprovisionar si Cloud Direct o SD-WAN WANOP (PE) ya está aprovisionado en el dispositivo 1100.

Casos de uso: Firewall alojado en SD-WAN 1100

Los siguientes son algunos de los casos de uso implementados mediante el dispositivo Citrix SD-WAN 1100:

Caso de uso 1: Redirigir todo el tráfico hacia Hosted Firewall

Este caso de uso es aplicable a casos de uso de sucursales pequeñas donde todo el tráfico es procesado por el firewall de próxima generación alojado. Los requisitos de ancho de banda deben tenerse en cuenta, ya que la cantidad de tráfico redirigido está limitada a 100 Mbps.

Para lograrlo, cree una regla de cortafuegos que coincida con cualquier tráfico y con Acción como redireccionamiento, como se muestra en la siguiente captura de pantalla:

Caso de uso 1

Caso de uso 2: Redirigir solo el tráfico de Internet hacia Hosted Firewall

Este caso de uso es aplicable a cualquier sitio de sucursal en el que el tráfico vinculado a Internet no exceda la cantidad de rendimiento de tráfico redirigido admitido. En este caso, los dispositivos o servicios de seguridad implementados en centros de datos procesan el tráfico de sucursal al centro de datos.

Para lograrlo, cree una regla de cortafuegos que coincida con cualquier tráfico y con Acción como Redireccionamiento como se muestra en la siguiente captura de pantalla:

Caso de uso 2

Caso de uso 3: Interrupción directa de Internet para aplicaciones SaaS de Internet de confianza y redirigir todo el tráfico restante a la máquina virtual alojada

En este caso, se agrega una regla de firewall para realizar una ruptura directa de Internet para aplicaciones SaaS de confianza, como Office 365. Primero habilite la directiva de ruptura de Office 365 como se muestra en la siguiente captura de pantalla:

Caso de uso 3

Esto agrega automáticamente directivas de plantilla previas al dispositivo para permitir el tráfico de Office 365, como se muestra en la siguiente captura de pantalla. Ahora agregue una regla de firewall para redirigir todo el tráfico restante al firewall hospedado como se menciona a continuación.

Caso de uso 4

Nota La

configuración del firewall alojado es independiente de la configuración de Citrix SD-WAN. Por lo tanto, el firewall alojado se puede configurar según los requisitos de seguridad de la empresa.

Integración de firewall de Palo Alto Networks en la plataforma SD-WAN 1100
May 7, 2021
Contribución de: 
C
May 7, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.