Sécurité

Vous pouvez configurer les paramètres de sécurité tels que le cryptage du réseau, le chemin virtuel IPsec, le pare-feu et les certificats applicables à toutes les appliances du réseau.

Zones pare-feu

Vous pouvez configurer des zones dans le réseau et définir des stratégies pour contrôler la manière dont le trafic entre et quitte les zones. Les zones suivantes sont disponibles par défaut :

• Default_LAN_ZONE : S’applique au trafic à destination ou en provenance d’un objet avec une zone configurable, lorsque la zone n’a pas été définie.
• Internet_Zone : s’applique au trafic à destination ou en provenance d’un service Internet via une interface sécurisée.
• Untrusted_Internet_Zone : s’applique au trafic à destination ou en provenance d’un service Internet via une interface non fiable.

Vous pouvez également créer vos propres zones et les affecter aux types d’objets suivants :

• Interfaces réseau virtuelles
• Services Intranet
• Tunnels GRE
• Tunnels IPSec LAN

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Paramètres par défaut du pare-feu

Vous pouvez configurer les actions de pare-feu par défaut globales et les paramètres de pare-feu globaux qui peuvent être appliqués à toutes les appliances du réseau SD-WAN. Les paramètres peuvent également être définis au niveau du site, ce qui remplace le paramètre global.

• Action lorsqu’aucune règle de pare-feu ne correspond : Sélectionnez une action (Autoriser ou Supprimer) dans la liste pour les paquets qui ne correspondent pas à une politique de pare-feu.

• Action lorsque les profils de sécurité ne peuvent pas être inspectés : Sélectionnez une action (Ignorer ou Supprimer) pour les paquets qui correspondent à une règle de pare-feu et qui engagent un profil de sécurité mais qui ne peuvent temporairement pas être inspectés par le sous-système Edge Security. Si vous sélectionnez Ignorer, la règle de pare-feu correspondante est traitée comme non appariée et la règle de pare-feu suivante dans l’ordre est évaluée. Si vous sélectionnez Drop, les paquets correspondant à la règle de pare-feu correspondante sont supprimés.

• Action de pare-feu par défaut : sélectionnez une action (Autoriser/Supprimer) dans la liste pour les paquets qui ne correspondent pas à une politique.

• Action lorsque le trafic d’inspection des profils de sécurité est IPv6 : sélectionnez une option (Ignorer ou Supprimer) pour le trafic qui correspond aux politiques de pare-feu d’inspection.

  • Si vous sélectionnez l’option Ignorer, cela permet de contourner le trafic via le réseau Citrix SD-WAN et de l’envoyer au service correspondant.

  • Si vous sélectionnez l’option Drop, les paquets IPv6 correspondant aux politiques de pare-feu Inspect sont supprimés.

  Remarque

  Si les politiques de pare-feu INSPECT sont configurées et que les critères correspondants incluent explicitement IPv6, une erreur d’audit est générée, comme indiqué dans la capture d’écran suivante :

  

  Par exemple, vous pouvez sélectionner explicitement l’adresse IP source/destination comme IPv6 avec l’action d’inspection (pour le protocole IP) lors de la création d’une politique de pare-feu et de l’enregistrer. Lorsque vous cliquez sur Vérifier la configuration, une erreur d’audit apparaît.

• Suivi de l’état de connexion par défaut : active le suivi directionnel de l’état de connexion pour les flux TCP, UDP et ICMP qui ne correspondent pas à une politique de filtrage ou à une règle NAT.

  Remarque

  Les flux asymétriques sont bloqués lorsque le suivi de l’état de connexion par défaut est activé, même lorsqu’aucune politique de pare-feu n’est définie. S’il existe une possibilité de flux asymétriques sur un site, il est recommandé de l’activer au niveau du site ou de la politique et non globalement.

• Délai (s) refusé (s) : délai (en secondes) d’attente de nouveaux paquets avant de fermer les connexions refusées.

• Délai (s) d’expiration initial (s) TCP : temps (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP incomplète.

• Délai (s) d’inactivité TCP : délai (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP active.

• Délai de fermeture du protocole TCP : délai (en secondes) nécessaire pour attendre de nouveaux paquets avant de fermer une session TCP après une demande de fin.

• Délai (s) d’attente TCP : délai (en secondes) d’attente de nouveaux paquets avant de fermer une session TCP terminée.

• Délai (s) de fermeture du protocole TCP : temps (en secondes) nécessaire pour attendre de nouveaux paquets avant de fermer une session TCP abandonnée.

• Délai (s) d’expiration initial (s) UDP : temps (en secondes) nécessaire pour attendre de nouveaux paquets avant de fermer la session UDP qui n’a pas vu de trafic dans les deux sens.

• Délai (s) d’inactivité UDP : durée (en secondes) d’attente de nouveaux paquets avant de fermer une session UDP active.

• Délai d’expiration initial (s) ICMP : temps (en secondes) d’attente de nouveaux paquets avant de fermer une session ICMP qui n’a pas vu de trafic dans les deux sens

• Délai (s) d’inactivité ICMP : temps (en secondes) d’attente de nouveaux paquets avant de fermer une session ICMP active.

• Délai (s) d’expiration initial générique : temps (en secondes) nécessaire pour attendre de nouveaux paquets avant de fermer une session générique qui n’a pas vu de trafic dans les deux sens.

• Délai (s) d’inactivité générique : temps (en secondes) nécessaire pour attendre de nouveaux paquets avant de fermer une session générique active.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Stratégies pare-feu

Les politiques de pare-feu assurent la sécurité en garantissant que le trafic réseau est limité uniquement à une règle de pare-feu spécifique en fonction des critères de correspondance et en appliquant des actions spécifiques. Les politiques de pare-feu contiennent trois sections.

• Valeur par défaut globale — La politique globale par défaut est une agrégation de quelques règles de pare-feu. La politique que vous créez dans la section Global Default est appliquée à tous les sites du réseau.
• Spécifique au site  : vous pouvez appliquer les règles de pare-feu définies sur certains sites spécifiques.
• Remplacement global  : vous pouvez annuler les politiques globales et spécifiques au site à l’aide de la politique de remplacement globale.

Vous pouvez définir des règles de pare-feu et les placer en fonction de la priorité. Vous pouvez choisir l’ordre de priorité à partir du haut de la liste, du bas de la liste ou d’une ligne spécifique.

Il est recommandé d’avoir des règles plus spécifiques pour les applications ou les sous-applications en haut, suivies de règles moins spécifiques pour celles qui représentent un trafic plus large.

Pour créer une règle de pare-feu, cliquez sur Créer une nouvelle règle.

• Entrez un nom de stratégie et cochez la case Active Policy si vous souhaitez appliquer toutes les règles de pare-feu.

• Les critères de correspondance définissent le trafic pour la règle, par exemple une application basée sur un nom de domaine, une application personnalisée, un groupe d’applications, une famille d’applications ou un protocole IP.

• Critères de filtrage :

  • Zone source : zonede pare-feu source.

  • Zone de destination : zonede pare-feu de destination.

  • Type de service source : Le type de service SD-WAN source (local, chemin virtuel, intranet, hôte IP ou Internet) sont des exemples de types de services.

  • Nom du service source : nom d’un service lié au type de service. Par exemple, si le chemin virtuel est sélectionné pour le type de service source, il s’agit du nom du chemin virtuel spécifique. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

  • IP source : adresse IP et masque de sous-réseau que la règle utilise pour faire correspondre.

  • Port source : port source utilisé par l’application spécifique.

  • Type de service Dest : le type de service SD-WAN de destination (local, chemin virtuel, intranet, hôte IP ou Internet) sont des exemples de types de services.

  • Nom du service Dest : nom d’un service lié au type de service. Cela n’est pas toujours obligatoire et dépend du type de service sélectionné.

  • IP Dest : L’adresse IP et le sous-réseau masquent le filtre à utiliser pour faire correspondre.

  • Port Dest : port de destination utilisé par l’application spécifique (c’est-à-dire le port de destination HTTP 80 pour le protocole TCP).

  • Protocole IP : Si ce type de correspondance est sélectionné, sélectionnez le protocole IP auquel la règle correspond. Les options incluent ANY, TCP, UDP ICMP et ainsi de suite.

  • DSCP : autorise l’utilisateur à faire correspondre un paramètre de balise DSCP.

  • Autoriser les fragments : autorise les fragments IP qui correspondent à cette règle.

  • Inverser aussi : ajoutez automatiquement une copie de cette politique de filtrage en inversant les paramètres de source et de destination.

  • Correspondance établie : met en correspondance les paquets entrants pour une connexion à laquelle les paquets sortants étaient autorisés.

• Les actions suivantes peuvent être exécutées sur un flux apparié :

  • Autoriser : autorisez le flux à travers le pare-feu.

  • Supprimer : empêchez le flux de traverser le pare-feu en supprimant les paquets.

  • Refuser : bloquez le flux à travers le pare-feu et envoyez une réponse spécifique au protocole. TCP envoie une réinitialisation, ICMP envoie un message d’erreur.

  • Compter et continuer : comptez le nombre de paquets et d’octets pour ce flux, puis continuez dans la liste des politiques.

Outre la définition de l’action à effectuer, vous pouvez également sélectionner les journaux à capturer.

Sécurité du réseau

Sélectionnez le mécanisme de chiffrement à utiliser sur le réseau. Vous pouvez configurer les paramètres de sécurité globaux qui sécurisent l’ensemble du réseau SD-WAN.

Le mode de chiffrement réseau définit l’algorithme utilisé pour tous les chemins chiffrés du réseau SD-WAN. Elle ne s’applique pas aux chemins non chiffrés. Vous pouvez définir le chiffrement comme AES-128 ou AES-256.

Conformité FIPS

Le mode FIPS oblige les utilisateurs à configurer des paramètres conformes à la norme FIPS pour leurs tunnels IPSec et des paramètres IPsec pour les chemins virtuels.

L’activation du mode FIPS offre les fonctionnalités suivantes :

• Affiche le mode IKE conforme à la norme FIPS.
• Affiche un groupe IKE DH conforme à FIPS dans lequel les utilisateurs peuvent sélectionner les paramètres requis pour configurer l’appliance en mode FIPS (2,5,14 — 21).
• Affiche le type de tunnel IPSec conforme à FIPS dans les paramètres IPSec pour les chemins virtuels
• Mode Hash IKE et intégrité (IKEV2), mode Auth IPSec.
• Effectue des erreurs d’audit pour les paramètres de durée de vie basés sur la

Pour activer la conformité FIPS sur le service Citrix SD-WAN Orchestrator :

1. Accédez à Configuration > Sécurité > Sécurité réseau.

2. Dans la section Paramètres de sécurité réseau, cochez la case Activer le mode FIPS .

L’activation du mode FIPS permet d’appliquer des vérifications pendant la configuration afin de s’assurer que tous les paramètres de configuration liés à IPSec respectent les normes FIPS. Vous êtes invité par des erreurs d’audit et des avertissements à configurer IPSec.

Si la configuration IPsec n’est pas conforme aux normes FIPS lorsqu’elle est activée, une erreur d’audit peut se déclencher. Vous trouverez ci-dessous les types d’erreurs d’audit qui s’affichent lorsque vous cliquez sur Verify Config dans l’interface utilisateur du service Citrix SD-WAN Orchestrator.

• Lorsque le mode FIPS est activé et que l’option non conforme à la norme FIPS est sélectionnée.
• Lorsque le mode FIPS est activé et qu’une valeur de durée de vie incorrecte est saisie.
• Lorsque le mode FIPS est activé et que les paramètres IPsec pour le chemin virtuel par défaut sont également activés, et que le mode Tunnel incorrect est sélectionné (ESP vs ESP_Auth/AH).
• Lorsque le mode FIPS est activé, les paramètres IPsec définis par défaut pour le chemin virtuel sont également activés et une valeur de durée de vie incorrecte est saisie.

Activer la rotation des clés de chiffrement : lorsque cette option est activée, les clés de chiffrement sont pivotées à des intervalles de 10 à 15 minutes.

Activer l’en-tête Extended Packet Encryption : Lorsque cette option est activée, un compteur chiffré de 16 octets est ajouté au début du trafic chiffré pour servir de vecteur d’initialisation, et le chiffrement des paquets est aléatoire.

Enable Extended Packet Authentication Trailer : Lorsque cette option est activée, un code d’authentification est ajouté au contenu du trafic chiffré pour vérifier que le message est livré sans modification.

Extended Packet Authentication Trailer Type : Il s’agit du type de fin utilisé pour valider le contenu des paquets. Sélectionnez l’une des options suivantes dans le menu déroulant : Somme de contrôle 32 bits ou SHA-256.

Inspection SSL

L’inspection SSL (Secure Sockets Layer) est un processus d’interception, de déchiffrement et d’analyse du trafic HTTPS et SMTP sécurisé pour détecter tout contenu malveillant. L’inspection SSL assure la sécurité du trafic entrant et sortant de votre organisation. Vous pouvez générer et télécharger le certificat de l’autorité de certification racine de votre organisation et effectuer l’inspection intermédiaire du trafic.

REMARQUE :

L’inspection SSL est prise en charge à partir de la version 11.3.0 de Citrix SD-WAN.

Pour activer l’inspection SSL, au niveau du réseau, accédez à Configuration > Sécurité > Inspection SSL > Configuration et définissez les paramètres de configuration SSL suivants.

• Activer le traitement du trafic SMTPS : Le trafic SMTP sécurisé est soumis à une inspection SSL.
• Activer le traitement du trafic HTTPS : Le trafic HTTPS est soumis à une inspection SSL.
• Bloquer le trafic HTTPS non valide : par défaut, lorsque la case Bloquer le trafic HTTPS non valide est décochée, le trafic non HTTPS sur le port 443 est ignoré et autorisé à circuler librement. Lorsque l’option Bloquer le trafic HTTPS non valide est sélectionnée, le trafic non HTTPS est bloqué pour inspection SSL. L’activation de cette option peut entraîner le blocage du trafic par ailleurs légitime, c’est-à-dire du trafic HTTP sur le port 443 ou du trafic HTTPS provenant de sites dont le certificat a expiré.
• Protocoles de connexion client : sélectionnez les protocoles clients requis. Les protocoles disponibles sont SSLvHello, SSLv3, TLSv1, TSLv1.1, TLSv1.2 et TLSv1.3.
• Protocoles de connexion au serveur : sélectionnez les protocoles de serveur requis. Les protocoles disponibles sont SSLvHello, SSLv3, TLSv1, TSLv1.1, TLSv1.2 et TLSv1.3.

REMARQUE

Les versions antérieures à TLSv1.2 sont considérées comme vulnérables et ne doivent pas être activées, sauf si la rétrocompatibilité est importante.

Dans l’onglet Certificat racine, copiez et collez le certificat racine et la clé de l’autorité de certification racine (CA) de votre organisation au format PKCS #8. L’autorité de certification racine est utilisée pour créer et signer une copie falsifiée des certificats des sites d’origine, afin que l’inspection SSL puisse être effectuée. Il est implicitement supposé que le certificat de l’autorité de certification racine est installé sur tous les postes de travail et appareils clients dont le trafic SSL peut être inspecté.

L’option par défaut, Faire confiance à tous les certificats de serveur signés par l’autorité racine et aux certificats répertoriés ci-dessous, permet au SD-WAN de valider tous les certificats de serveur par rapport à la liste standard des autorités de certification racines et à l’autorité de certification racine précédemment configurées. Il supprime également les serveurs dont le certificat n’est pas valide. Pour contourner ce comportement, téléchargez le certificat SSL auto-signé des serveurs internes dans l’onglet Certificats de serveur de confiance . Cliquez sur Ajouter un certificat et saisissez un nom, recherchez le certificat et téléchargez-le. Sinon, si vous sélectionnez Faire confiance à tous les certificats de serveur, tous les serveurs sont considérés comme approuvés par Citrix SD-WAN, quel que soit leur statut de validation des certificats.

Dans le cadre des profils de sécurité, vous pouvez créer des règles SSL et les activer pour l’inspection SSL. Pour plus d’informations sur la création de règles SSL pour un profil de sécurité, consultez la section Sécurité Edge.

Prévention des intrusions

Le système de prévention des intrusions (IPS) détecte et empêche les activités malveillantes d’entrer sur votre réseau. L’IPS inspecte le trafic réseau et prend des mesures automatisées sur tous les flux de trafic entrants. Il inclut une base de données de plus de 34 000 détections de signatures et de signatures heuristiques pour les scans de ports, vous permettant de surveiller et de bloquer efficacement la plupart des requêtes suspectes.

IPS utilise la détection basée sur la signature, qui fait correspondre les paquets entrants à une base de données de modèles d’exploits et d’attaques identifiables de manière unique. La base de données des signatures est automatiquement mise à jour quotidiennement. Comme il y a des milliers de signatures, les signatures sont regroupées en types Catégorie et Classe.

Vous pouvez créer des règles IPS et activer uniquement les catégories de signatures ou les types de classes requis par votre réseau. La prévention des intrusions étant un processus sensible au calcul, utilisez uniquement l’ensemble minimal de catégories de signatures ou de types de classes pertinents pour votre réseau.

Vous pouvez créer un profil IPS et activer une combinaison de règles IPS. Ces profils IPS peuvent ensuite être associés globalement à l’ensemble du réseau ou uniquement à des sites spécifiques.

Chaque règle peut être associée à plusieurs profils IPS et chaque profil IPS peut être associé à plusieurs sites. Lorsqu’un profil IPS est activé, il inspecte le trafic réseau pour les sites auxquels le profil IPS est associé et pour les règles IPS activées dans ce profil.

Pour créer des règles IPS, au niveau du réseau, accédez à Configuration > Sécurité > Prévention des intrusions > Règles IPS et cliquez sur Nouvelle règle.

Fournissez un nom et une description de la règle. Sélectionnez les attributs de signature de catégorie de correspondance ou de type de classe, sélectionnez une action pour la règle et activez-la. Vous pouvez choisir parmi les actions de règle suivantes :

Remarque

• Étant donné que la prévention des intrusions est un processus sensible au calcul, utilisez uniquement l’ensemble minimal de catégories de signatures pertinentes pour vos déploiements de sécurité Edge.
• Le pare-feu SD-WAN supprime le trafic sur tous les ports WAN L4 qui ne sont pas transférés par port et ne sont pas visibles dans le moteur IPS. Cela fournit une couche de sécurité supplémentaire contre les attaques DOS et scan triviales.

Pour créer des profils IPS, au niveau du réseau, accédez à Configuration > Sécurité > Prévention des intrusions > Profils IPS et cliquez sur Nouveau profil.

Fournissez un nom et une description pour le profil IPS. Dans l’onglet Règles IPS, activez les règles IPS requises et activez Activer les profils IPS.

Dans l’onglet Sites, cliquez sur Sélectionner des sites. Sélectionnez les sites et cliquez sur Enregistrer. Cliquez sur Créer un profil.

Vous pouvez activer ou désactiver ces profils IPS lors de la création de profils de sécurité. Les profils de sécurité sont utilisés pour créer des règles de pare-feu. Pour plus d’informations, voir Profil de sécurité — Prévention des intrusions.

Chemin virtuel IPsec

Lechemin virtuel IPsec définit les paramètres du tunnel IPsec afin de garantir la transmission sécurisée des données via les chemins virtuels statiques et les chemins virtuels dynamiques. Sélectionnez l’onglet Chemins virtuels statiques IPsec ou Chemins virtuels dynamiques IPsec pour définir les paramètres du tunnel IPSec.

• Type d’encapsulation : Choisissez l’un des types de sécurité suivants :
  • ESP : Les données sont encapsulées et cryptées.
  • ESP+Auth : les données sont encapsulées, cryptées et validées avec un HMAC.
  • AH : Les données sont validées avec un HMAC.
• Mode de chiffrement : algorithme de chiffrement utilisé lorsque l’ESP est activé.
• Algorithmede hachage : algorithme de hachage utilisé pour générer un HMAC.
• Durée devie (s) : durée préférée, en secondes, pour qu’une association de sécurité IPsec existe. Entrez 0 pour illimité.

Pour plus d’informations sur la configuration du service IPsec, consultez la section Service IPSec.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit

Certificats

Il existe deux types de certificats : Identité et Certificat de confiance. Les certificats d’identité sont utilisés pour signer ou chiffrer des données afin de valider le contenu d’un message et l’identité de l’expéditeur. Les certificats approuvés sont utilisés pour vérifier les signatures de message. Les appliances Citrix SD-WAN acceptent à la fois les certificats d’identité et les certificats approuvés. Les administrateurs peuvent gérer les certificats dans l’Éditeur de configuration.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit

Pour ajouter un certificat, cliquez sur Ajouter un certificat.

• Nom du certificat : Entrez le nom du certificat.

• Type de certificat : Sélectionnez le type de certificat dans la liste déroulante.

  • Certificats d’identité : les certificats d’identité nécessitent que la clé privée du certificat soit mise à la disposition du signataire. Certificats d’identité ou leurs chaînes de certificats qui sont approuvés par un homologue pour valider le contenu et l’identité de l’expéditeur. Les certificats d’identité configurés et leurs empreintes digitales respectives sont affichés dans l’éditeur de configuration.

  • Certificatsde confiance : Les certificats de confiance sont des certificats d’autorité de certification intermédiaire (CA) ou d’autorité de certification racine auto-signés utilisés pour valider l’identité d’un homologue. Aucune clé privée n’est requise pour un certificat de confiance. Les certificats approuvés configurés et leurs empreintes digitales respectives sont répertoriés ici.

Pare-feu hébergés

Le service Citrix SD-WAN Orchestrator prend en charge les pare-feux hébergés suivants :

• Réseaux Palo Alto
• Check Point

Réseaux Palo Alto

Le service Citrix SD-WAN Orchestrator prend en charge l’hébergement du pare-feu de la gamme de machines virtuelles (VM) de nouvelle génération Palo Alto Networks sur la plate-forme SD-WAN 1100. Les modèles de machines virtuelles pris en charge sont les suivants :

• VM 50
• VM 100

Le pare-feu de la série de machines virtuelles Palo Alto Network s’exécute comme une machine virtuelle sur la plate-forme SD-WAN 1100. La machine virtuelle pare-feu est intégrée en mode Virtual Wire avec deux interfaces virtuelles de données qui lui sont connectées. Le trafic requis peut être redirigé vers la machine virtuelle du pare-feu en configurant des politiques sur SD-WAN Orchestrator.

Check Point

Le service Citrix SD-WAN Orchestrator prend en charge l’hébergement de Check Point CloudGuard Edge sur la plate-forme SD-WAN 1100.

Le Check Point CloudGuard Edge s’exécute en tant que machine virtuelle sur la plate-forme SD-WAN 1100. La machine virtuelle du pare-feu est intégrée en mode Bridge et deux interfaces virtuelles de données y sont connectées. Le trafic requis peut être redirigé vers la machine virtuelle du pare-feu en configurant des politiques sur SD-WAN Orchestrator.

Avantages

Voici les principaux objectifs ou avantages de l’intégration de Palo Alto Networks sur la plateforme SD-WAN 1100 :

• Consolidation des périphériques de succursale : une appliance unique qui effectue à la fois le SD-WAN et la sécurité avancée

• Sécurité des succursales avec pare-feu NGFW sur site (Next Generation Firewall) pour protéger le trafic LAN à LAN, LAN à Internet et Internet-to-LAN

Effectuez les étapes suivantes pour provisionner la machine virtuelle du pare-feu via SD-WAN Orchestrator :

1. À partir de l’interface graphique du service Citrix SD-WAN Orchestrator, accédez à Configuration > Sécurité sélectionnez Hosted Firewall.

2. Pour télécharger l’image du logiciel, accédez à l’onglet Images de la machine virtuelle . Sélectionnez le nom du fournisseur Palo Alto Networks/Check Point dans la liste déroulante. Cliquez ou déposez le fichier image du logiciel dans la zone, puis cliquez sur Télécharger.

   

   Une barre d’état apparaît avec le processus de téléchargement en cours. Ne cliquez pas sur Actualiser ou n’effectuez aucune autre action jusqu’à ce que le fichier image affiche 100 % téléchargé.

   Une fois l’image téléchargée avec succès, elle peut être utilisée et peut être sélectionnée lors du lancement du provisionnement de la machine virtuelle.

3. Accédez à l’onglet Administration des machines virtuelles et cliquez sur Provisionner

   

4. Fournissez les détails suivants :

   

   • Fournisseur : Sélectionnez le nom du fournisseur Palo Alto Networks/Check Point.

   • Modèle : sélectionnez le numéro de modèle de la machine virtuelle dans la liste déroulante.

   • Nom du fichier image : Sélectionnez l’image logicielle parmi les fichiers téléchargés pour provisionner la machine virtuelle Hosted Firewall.

     Remarque

     L’image du logiciel est fournie par les fournisseurs (Palo Alto Networks/Check Point).

   • Sites : sélectionnez les sites dans la liste déroulante sur lesquels la machine virtuelle Hosted Firewall doit être provisionnée.

   • AdresseIP principale ou nom de domaine complet Panorama : entrez l’adresse IP principale ou le nom de domaine complet du serveur de gestion (facultatif).

   • AdresseIP secondaire ou nom de domaine complet Panorama : entrez l’adresse IP secondaire ou le nom de domaine complet du serveur de gestion (facultatif).

   • Code d’authentification : saisissez le code d’authentification virtuel à utiliser pour la licence.

   • Clé d’authentification : Entrez la clé d’authentification virtuelle à utiliser sur le serveur de gestion.

   La clé d’authentification de machine virtuelle est nécessaire pour l’enregistrement automatique de la machine virtuelle Palo Alto Networks sur le Panorama.

   • Cliquez sur Provisionner.

Une fois que la machine virtuelle est provisionnée sur la plate-forme SD-WAN 1100, vous pouvez démarrer, arrêter ou supprimer complètement le provisionnement de cette machine virtuelle de pare-feu hébergée.

Redirection du trafic

1. Pour la redirection du trafic, accédez à l’onglet Profils de pare-feu hébergés et cliquez sur Ajouter un profil.

   

2. Fournissez les informations requises pour ajouter le modèle de pare-feu hébergé et cliquez sur Ajouter.

   

   Le modèle de pare-feu hébergé vous permet de configurer la redirection du trafic vers la machine virtuelle Firewall hébergée sur SD-WAN Orchestrator. Les entrées suivantes sont requises pour configurer le modèle :

   • Nom du profil de pare-feu hébergé : nom du modèle de pare-feu hébergé.

   • Fournisseur : nom du fournisseur du pare-feu.

   • Modèle : Modèlede machine virtuelle du pare-feu hébergé. Vous pouvez sélectionner le numéro de modèle de la machine virtuelle VM 50/VM 100.

   • Mode de déploiement : le champ Mode de déploiement est automatiquement renseigné et grisé. Pour le fournisseur Palo Alto Networks, le mode de déploiement est Virtual Wire et pour le fournisseur Check Point, le mode de déploiement est Bridge.

   • IP/FQDN du serveurd’administration principal : adresse IP du serveur de gestion principal/nom de domaine complet de Panorama.

   • IP/FQDN du serveurde gestion secondaire : adresse IP du serveur de gestion secondaire/nom de domaine complet de Panorama.

   • Interfaces de redirection de pare-feu hébergées : il s’agit d’interfaces logiques utilisées pour la redirection du trafic entre le SD-WAN Orchestrator et le pare-feu hébergé.

   Interface-1, Interface-2 fait référence aux deux premières interfaces du pare-feu hébergé. Si des VLAN sont utilisés pour la redirection du trafic, les mêmes VLAN doivent être configurés sur le pare-feu hébergé. Les VLAN configurés pour la redirection du trafic sont internes à l’SD-WAN Orchestrator et au pare-feu hébergé.

   Remarque :

   L’interface d’entrée de redirection doit être sélectionnée dans la direction de l’initiateur de la connexion. L’interface de redirection est automatiquement choisie pour le trafic de réponse. Par exemple, si le trafic Internet sortant est redirigé vers le pare-feu hébergé sur Interface-1, le trafic de réponse est automatiquement redirigé vers le pare-feu hébergé sur Interface-2. L’Interface-2 n’est pas nécessaire s’il n’y a pas de trafic entrant sur Internet.

   Seules deux interfaces physiques sont attribuées pour héberger le pare-feu Palo Alto Networks et deux interfaces de données sont attribuées à la machine virtuelle Check Point.

   Si le trafic provenant de plusieurs zones doit être redirigé vers le pare-feu hébergé, plusieurs sous-interfaces peuvent être créées à l’aide de VLAN internes et associées à différentes zones de pare-feu sur le pare-feu hébergé.

   Remarque :

   Les politiques de pare-feu SD-WAN sont créées automatiquement pour autoriser le trafic vers/depuis les serveurs de gestion de pare-feu hébergés. Cela évite la redirection du trafic de gestion qui provient (ou) du pare-feu hébergé.

   La redirection du trafic vers la machine virtuelle du pare-feu peut être effectuée à l’aide des stratégies de pare-feu SD-WAN.

3. Accédez à Configuration > Sécurité > Profils de pare-feu accédez à la section Profils globaux . Cliquez sur + Profil global.

   

4. Entrez un nom de profil et cochez la case Profil actif . Cliquez sur Créer une nouvelle règle.

   

5. Modifiez le type de stratégiepar Pare-feu hébergé. Le champActionest automatiquement rempli pourRediriger vers un pare-feu hébergé. Sélectionnez leprofil de pare-feu hébergéet l’interface de redirection du pare-feu hébergé dans la liste déroulante.

   

6. Remplissez les autres critères de correspondance selon les besoins et cliquez sur OK.