-
Installation et mise à niveau du logiciel
-
Mise à niveau du logiciel virtuel WAN vers la version 9.3.5 avec déploiement virtuel WAN
-
Mise à niveau vers la version 11.3 avec une configuration WAN virtuelle fonctionnelle
-
Mise à niveau vers la version 11.3 sans configuration WAN virtuelle fonctionnelle
-
Mise à niveau logicielle partielle à l'aide de la gestion des changements locaux
-
Guide de configuration des charges de travail Citrix Virtual Apps and Desktops
-
Configuration locale de Citrix SD-WAN Orchestrator sur une appliance Citrix SD-WAN
-
-
-
Plug-in client d'optimisation de Citrix WAN
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Conformité aux normes FIPS
Dans Citrix SD-WAN, le mode FIPS oblige les utilisateurs à configurer des paramètres conformes à FIPS pour leurs tunnels IPsec et les paramètres IPsec pour les chemins virtuels.
- Affiche le mode IKE conforme à la norme FIPS.
- Affiche un groupe IKE DH conforme à FIPS dans lequel les utilisateurs peuvent sélectionner les paramètres requis pour configurer l’appliance en mode FIPS (2,5,14 — 21).
-
Affiche le type de tunnel IPSec conforme à FIPS dans les paramètres IPSec pour les chemins virtuels
-
Mode Hash IKE et intégrité (IKEV2), mode Auth IPSec.
- Effectue des erreurs d’audit pour les paramètres de vie basés sur FIPS
Pour activer la conformité FIPS à l’aide de l’interface graphique Citrix SD-WAN :
- Accédez à Configuration > Virtual WAN > Configuration Editor > Global, puis sélectionnez Activer le mode FIPS.
L’activation du mode FIPS permet d’appliquer des vérifications pendant la configuration afin de s’assurer que tous les paramètres de configuration liés à IPSec respectent les normes FIPS. Vous êtes invité par des erreurs d’audit et des avertissements à configurer IPSec.
Pour configurer les paramètres IPSec du chemin virtuel :
- Activez les tunnels IPSec de chemin virtuel pour tous les chemins virtuels pour lesquels la conformité FIPS est requise. Les paramètres IPSec pour les chemins virtuels sont contrôlés via les jeux par défaut.
- Configurez l’authentification des messages en changeant le mode IPsec en AH ou ESP+Auth et en utilisant une fonction de hachage approuvée FIPS. SHA1 est accepté par la FIPS, mais SHA256 est fortement recommandé.
- La durée de vie IPSec ne doit pas être configurée plus de 8 heures (28 800 secondes).
Le Virtual WAN utilise IKE version 2 avec des clés prépartagées pour négocier les tunnels IPSec via le Virtual Path en utilisant les paramètres suivants :
- DH Group 19 : ECP256 (courbe elliptique de 256 bits) pour la négociation de clés
- Chiffrement AES-CBC 256 bits
- Hachage SHA256 pour l’authentification des messages
- Hachage SHA256 pour l’intégrité des messages
- DH Group 2 : MODP-1024 pour un secret direct parfait
Pour configurer le tunnel IPSec pour un tiers, utilisez les paramètres suivants :
-
Configurer le groupe DH approuvé FIPS. Les groupes 2 et 5 sont autorisés dans le cadre de la FIPS, mais les groupes 14 et plus sont fortement recommandés.
-
Configurer la fonction de hachage approuvée FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.
-
Si vous utilisez iKev2, configurez une fonction d’intégrité approuvée par FIPS. SHA1 est accepté par FIPS, mais SHA256 est fortement recommandé.
-
Configurez une durée de vie IKE et une durée de vie maximale ne dépassant pas 24 heures (86 400 secondes).
-
Configurez l’authentification des messages IPsec en changeant le mode IPsec en AH ou ESP+Auth et en utilisant une fonction de hachage approuvée FIPS. SHA1 est accepté par la FIPS, mais SHA256 est fortement recommandé.
-
Configurez une durée de vie IPSec et une durée de vie maximale de huit heures maximum (28 800 secondes).
Pour configurer les tunnels IPSec :
-
Sur l’appliance MCN, accédez à Configuration > Virtual WAN > Configuration Editor. Ouvrez un package de configuration existant. Accédez à Connexions > Tunnels IPSec.
-
Accédez à Connexions > Tunnels IPSec. Lorsque le tunnelLANou Intranet est sélectionné, l’écran distingue les groupes conformes FIPS dans les paramètres IKE de ceux qui ne sont pas conformes, ce qui vous permet de configurer facilement la conformité FIPS.
L’écran indique également si l’algorithme de hachage est conforme à FIPS, comme illustré dans la figure suivante.
Options de conformité FIPS pour les paramètres IPSec :
Si la configuration IPSec n’est pas conforme aux normes FIPS lorsqu’elle est activée, une erreur d’audit peut être déclenchée. Voici le type d’erreurs d’audit qui s’affichent dans l’interface graphique.
- Lorsque le mode FIPS est activé et que l’option non compatible FIPS est sélectionnée.
- Lorsque le mode FIPS est activé et que la valeur de vie incorrecte est entrée.
- Lorsque le mode FIPS est activé et que les paramètres IPSec pour le chemin virtuel par défaut sont également activés, et le mode tunnel incorrect est sélectionné (ESP vs ESP_Auth/AH).
- Lorsque le mode FIPS est activé, les paramètres IPsec pour le jeu par défaut du chemin virtuel sont également activés et une valeur de durée de vie incorrecte est entrée.
Partager
Partager
Dans cet article
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.