Citrix SD-WAN

Intégration du pare-feu Check Point sur la plate-forme SD-WAN 1100

Citrix SD-WAN prend en charge l’hébergement de Check Point Quantum Edge sur la plate-forme SD-WAN 1100.

Le Check Point Quantum Edge s’exécute en tant que machine virtuelle sur la plate-forme SD-WAN 1100. La machine virtuelle pare-feu est intégrée en mode Bridge avec deux interfaces virtuelles de données qui lui sont connectées. Le trafic requis peut être redirigé vers la machine virtuelle du pare-feu en configurant des stratégies sur SD-WAN.

Remarque

À partir de Citrix SD-WAN 11.3.1, la VM Check Point version 80.20 et supérieure est prise en charge pour le provisionnement de machines virtuelles sur de nouveaux sites.

Avantages

Les principaux objectifs ou avantages de l’intégration de Check Point sur la plate-forme SD-WAN 1100 sont les suivants :

  • Consolidation des périphériques de succursale : une appliance unique qui effectue à la fois le SD-WAN et la sécurité avancée

  • Sécurité des succursales avec pare-feu NGFW sur site (Next Generation Firewall) pour protéger le trafic LAN à LAN, LAN à Internet et Internet-to-LAN

Étapes de configuration

Les configurations suivantes sont nécessaires pour intégrer la machine virtuelle du pare-feu Check Point sur le SD-WAN :

  • Provisionner la machine virtuelle du pare-feu

  • Activer la redirection du trafic vers la machine virtuelle de sécurité

Remarque La

machine virtuelle Pare-feu doit d’abord être provisionnée avant d’activer la redirection du trafic.

Provisioning Check Point Firewall machine virtuelle

Il existe deux façons de provisionner la machine virtuelle du pare-feu :

  • Provisionnement via SD-WAN Center

  • Provisionnement via l’interface graphique de l’appliance SD-WAN

Provisioning de machines virtuelles par le biais de SD-WAN Center

Conditions préalables

  • Ajoutez le stockage secondaire à SD-WAN Center pour stocker les fichiers image de la machine virtuelle du pare-feu. Pour plus d’informations, consultez Configuration système requise et installation.

  • Réservez le stockage à partir de la partition secondaire pour les fichiers image de la machine virtuelle du pare-feu. Pour configurer la limite de stockage, accédez à Administration > Maintenance du stockage.

    • Sélectionnez la quantité de stockage requise dans la liste.

    • Cliquez sur Apply.

    Stockage

Remarque

Le stockage est réservé à partir de la partition secondaire qui est active si la condition est remplie.

Procédez comme suit pour Provisioning la machine virtuelle de pare-feu via la plate-forme SD-WAN Center :

  1. Dans l’interface graphique Citrix SD-WAN Center, accédez à Configuration > sélectionnez Pare-feu hébergé .

    Sites fw hébergés

    Vous pouvez sélectionner la Région dans la liste déroulante pour afficher les détails du site provisionné pour cette région sélectionnée.

  2. Téléchargez l’image du logiciel.

    Remarque

    Assurez-vous que vous disposez de suffisamment d’espace disque pour télécharger l’image logicielle.

    Accédez à Configuration > Pare-feu hébergé > Images logicielles et cliquez sur Télécharger.

    Onglet Image logicielle

  3. Sélectionnez le nom du fournisseur en tant que point de contrôle dans la liste déroulante. Cliquez ou déposez le fichier image du logiciel dans la zone à télécharger.

    Check point image logicielle

    Une barre d’état apparaît avec le processus de téléchargement en cours. Ne cliquez pas sur Actualiser ou n’effectuez aucune autre action jusqu’à ce que le fichier image affiche 100 % téléchargé.

    • Actualiser : cliquez sur l’option Actualiser pour obtenir les derniers détails du fichier image.

    • Supprimer : cliquez sur l’option Supprimer pour supprimer tout fichier image existant.

    Remarque

    Pour provisionner la machine virtuelle de pare-feu sur la partie sites d’une région autre que par défaut, téléchargez le fichier image sur chacun des nœuds du collecteur.

  4. Pour le provisionnement, revenez à l’onglet Sites de pare-feu hébergés et cliquez sur Provisionner.

    Provisioning de la machine virtuelle du point de vérification

    • Fournisseur : sélectionnez le nom du fournisseur en tant que point de contrôle dans la liste déroulante.
    • Modèle de machine virtuelle fournisseur : Le champ de modèle de machine virtuelle est automatiquement rempli en tant que Edge.
    • Région : Sélectionnez la région dans la liste.
    • Image logicielle : sélectionnez le fichier Image à provisionner.
    • Sites pour l’hébergement de pare-feu : sélectionnez des sites pour la liste d’hébergement de pare-feu. Vous devez sélectionner les sites principaux et secondaires si les sites sont en mode haute disponibilité.
    • Adresse IP principale/Nom de domaine du serveur Management Server : entrez l’adresse IP principale de gestion ou le nom de domaine complet (facultatif).
    • Clé SIC de machine virtuelle : entrez la clé SIC(Secure Internal Communication) de la machine virtuelle. SIC crée des connexions fiables entre les composants Check Point.
  5. Cliquez sur Démarrer la mise en service.

  6. Cliquez sur Actualiser pour obtenir le dernier état. Une fois que la machine virtuelle Check Point est complètement démarrée, elle se reflète sur l’interface utilisateur SD-WAN Center.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire.

Point de contrôle provisionné

  • Nom du site : affiche le nom du site.
  • IP de gestion : affiche l’adresse IP de gestion du site.
  • Nom de la région : affiche le nom de la région.
  • Fournisseur : affiche le nom du fournisseur (Point de contrôle).
  • Modèle : Affiche le modèle - Edge.
  • État d’administration : état de la machine virtuelle du fournisseur (haut/bas).
  • État de l’opération : affiche le dernier message d’état de l’opération.
  • Accès à l’interface utilisateur du site hébergé : utilisez le lien Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Check Point.

Provisioning de machines virtuelles par pare-feu via l’interface graphique du dispositif SD-WAN

Sur la plate-forme SD-WAN, provisionnez et démarrez la machine virtuelle hébergée. Effectuez les étapes suivantes pour le Provisioning :

  1. Dans l’interface graphique Citrix SD-WAN, accédez à Configuration > Paramètres de l’appliance sélectionnez Pare-feu hébergé.

  2. Téléchargez l’image du logiciel :

    • Sélectionnez l’onglet Images logicielles . Sélectionnez le nom du fournisseur comme point de contrôle.
    • Choisissez le fichier image du logiciel.
    • Cliquez sur Charger.

    Téléchargement d'images logicielles en SD-WAN

    Remarque

    Un maximum de deux images peut être téléchargé. Le téléchargement de l’image de la machine virtuelle Check Point peut prendre plus de temps en fonction de la disponibilité de la bande passante.

    Vous pouvez voir une barre d’état pour suivre le processus de téléchargement. Le détail du fichier reflète, une fois que l’image est téléchargée avec succès. L’image utilisée pour le Provisioning ne peut pas être supprimée. N’effectuez aucune action ou revenez à une autre page jusqu’à ce que le fichier image affiche 100% téléchargée.

  3. Pour le provisioning, sélectionnez l’onglet Pare-feu hébergé > cliquez sur le bouton Provisioning.

    Provisioning des points de contrôle dans SD-WAN

  4. Fournissez les détails suivants pour le Provisioning.

    • Nom du fournisseur : sélectionnez le nom du fournisseur comme point de contrôle.
    • Modèle demachine virtuelle : le modèlede machine virtuelle est automatiquement rempli en tant que Edge.
    • Nom du fichier image : le nom du fichier image est automatiquement renseigné.
    • Adresse IP/Domaine du serveur Check Point Management : Fournissez l’adresse IP/domainedu serveur de gestion de point de contrôle.
    • Clé SIC : Fournir la clé SIC (facultatif). SIC crée des connexions fiables entre les composants Check Point. Cliquez sur Apply.

    Détail du Provisioning des points de contrôle

  5. Cliquez sur Actualiser pour obtenir le dernier état. Une fois que la machine virtuelle Check Point est complètement démarrée, elle réfléchit sur l’interface utilisateur SD-WAN avec les détails du journal des opérations.

    Journal opérationnel du point de contrôle

    • État d’administration : indique si la machine virtuelle est en service ou en panne.
    • État de traitement : étatde traitement du chemin de données de la machine virtuelle.
    • Paquet envoyé : paquets envoyés depuis le SD-WAN vers la machine virtuelle de sécurité.
    • Paquet reçu : paquets reçus par SD-WAN depuis la machine virtuelle de sécurité.
    • Paquet abandonné : Paquets supprimés par le SD-WAN (par exemple, lorsque la machine virtuelle de sécurité est en panne).
    • Accès aux périphériques : cliquez sur le lien pour obtenir l’accès de l’interface graphique à la machine virtuelle de sécurité.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire. Utilisez l’option Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Check Point ou utiliser votre adresse IP de gestion avec le port 4100 (IP de gestion : 4100).

Remarque

Utilisez toujours le mode navigation privée pour accéder à l’interface graphique du point de contrôle.

Rediriger le trafic vers Edge

La configuration de la redirection du trafic peut être effectuée à la fois via l’Éditeur de configuration sur MCN ou l’Éditeur de configuration sur SD-WAN Center.

Pour naviguer dans l’Éditeur de configuration sur SD-WAN Center :

  1. Ouvrez l’interface utilisateur du centre Citrix SD-WAN, accédez à Configuration > Importation de configuration réseau. Importez la configuration WAN virtuel à partir du MCN actif et cliquez sur Importer.

    Importer la configuration WAN virtuel

Les étapes restantes sont similaires comme suit : la configuration de redirection du trafic via MCN.

Pour naviguer dans l’Éditeur de configuration sur MCN :

  1. Définissez le type de correspondance de connexion sur Symétrique sous Global > Paramètres réseau.

    Type de correspondance de connexion

    Par défaut, les stratégies de pare-feu SD-WAN sont spécifiques à la direction. Le type de correspondance symétrique correspond aux connexions à l’aide de critères de correspondance spécifiés et applique une action de stratégie dans les deux directions.

  2. Ouvrez l’interface utilisateur Citrix SD-WAN, accédez à Configuration > développez Virtual WAN **sélectionnez Configuration Editor ** sélectionnez Hosted Firewall Template (Modèle de pare-feu hébergé ) dans la section Global .

    Modèle de pare-feu hébergé

  3. Cliquez sur + et fournissez les informations requises disponibles dans la capture d’écran suivante pour ajouter le modèle de pare-feu hébergé. Cliquez sur Ajouter.

    Détails du modèle de pare-feu hébergé

Lemodèle de pare-feu hébergé vous permet de configurer la redirection du trafic vers la machine virtuelle de pare-feu hébergée sur la plate-forme SD-WAN. Voici les entrées nécessaires à la configuration du modèle :

  • Nom : nom du modèle de pare-feu hébergé.
  • Fournisseur : Nom du fournisseur du pare-feu — Point de contrôle.
  • Mode de déploiement : le champ Mode de déploiement est automatiquement renseigné et grisé. Pour le fournisseur du point de contrôle, le mode de déploiement est Bridge.
  • Modèle : Modèlede machine virtuelle du pare-feu hébergé. Une fois que vous avez sélectionné le fournisseur comme Point de contrôle, le champ modèle est automatiquement rempli avec Edge.
  • Serveur d’administration principal IP/FQDN : nomde domaine de domaine complet du serveur d’administration principal.
  • Serveur d’administration secondaire IP/FQDN : nomde domaine complet du serveur d’administration secondaire.
  • Interfaces de redirection de service : il s’agit d’interfaces logiques utilisées pour la redirection du trafic entre le SD-WAN et le pare-feu hébergé.

Remarque

L’interface d’entrée de redirection doit être sélectionnée dans la direction de l’initiateur de connexion, l’interface de sortie est automatiquement choisie pour le trafic de réponse. Par exemple, si le trafic Internet sortant est redirigé vers le pare-feu hébergé sur Interface-1, le trafic de réponse est automatiquement redirigé vers le pare-feu hébergé sur Interface-2. En outre, il n’y a pas besoin d’Interface-2 s’il n’y a pas de trafic entrant Internet.

Seules deux interfaces de données sont affectées à la machine virtuelle Check Point.

Remarque

Les stratégies de pare-feu SD-WAN sont automatiquement créées pour Autoriser le trafic depuis/vers les serveurs de gestion de pare-feu hébergés. Cela évite la redirection du trafic de gestion qui provient (ou) du pare-feu hébergé.

La redirection du trafic vers la machine virtuelle du pare-feu peut être effectuée à l’aide de stratégies de pare-feu SD-WAN. Il existe deux méthodes pour créer les stratégies de pare-feu SD-WAN : via des modèles de stratégie de pare-feu dans la section Global ou au niveau du site.

Méthode - 1

  1. Depuis l’interface graphique Citrix SD-WAN, accédez à Configuration développez Réseau étendu virtuel > Éditeur de configuration. Sélectionnez Pare-feu sous Connexions.

    Redirection du trafic via l'interface graphique SD-WAN

  2. Sélectionnez Stratégies dans la liste déroulante Section, puis cliquez sur +Ajouter pour créer une stratégie de pare-feu.

    Pare-feu de redirection

  3. Modifiez le type de stratégiepar Pare-feu hébergé. Le champActionest automatiquement rempli sur Redirection. Sélectionnez lemodèle de pare-feu hébergéet l’interface de redirection de servicedans la liste déroulante. Cliquez surAjouter.

    Interface de redirection de service

Méthode - 2

  1. Accédez à l’onglet Global et sélectionnez Modèles de stratégie de pare-feu. Cliquez sur + Modèle de stratégie.

    Modèle de stratégie

  2. Indiquez un nom au modèle de stratégie et cliquez sur Ajouter.

    Nom du modèle de stratégie

  3. Cliquez sur + Ajouter en regard de Stratégies de modèle de pré-appliance.

    Stratégies de modèle de pré-appliance

  4. Modifiez le type de stratégiepar Pare-feu hébergé. Le champActionest automatiquement renseigné pourrediriger. Sélectionnez lemodèle de pare-feu hébergéet l’interface de redirection de servicedans la liste déroulante. Cliquez surAjouter.

    Modèle de stratégie de point de contrôle

  5. Accédez à Connexions > Pare-feu, puis sélectionnez la stratégie de pare-feu (que vous avez créée) dans le champ Nom. Cliquez sur Apply.

    Pare-feu de connexion à

Alors que toute la configuration réseau est en mode opérationnel, vous pouvez surveiller la connexion sous Surveillance > Pare-feu > dans la liste Statistiques, sélectionnez Stratégies de filtrage .

Stratégie de filtrage

Intégration du pare-feu Check Point sur la plate-forme SD-WAN 1100