Citrix SD-WAN

Intégration du pare-feu Palo Alto Networks sur la plate-forme SD-WAN 1100

Citrix SD-WAN prend en charge l’hébergement du pare-feu Palo Alto Networks Next Generation Virtual Machine (VM) -Series sur la plate-forme SD-WAN 1100. Les modèles de machines virtuelles pris en charge sont les suivants :

  • VM 50
  • VM 100

Le pare-feu de la série de machines virtuelles Palo Alto Network s’exécute comme une machine virtuelle sur la plate-forme SD-WAN 1100. La machine virtuelle pare-feu est intégrée en mode Virtual Wire avec deux interfaces virtuelles de données qui lui sont connectées. Le trafic requis peut être redirigé vers la machine virtuelle du pare-feu en configurant des stratégies sur SD-WAN.

Avantages

Voici les principaux objectifs ou avantages de l’intégration de Palo Alto Networks sur la plateforme SD-WAN 1100 :

  • Consolidation des périphériques de succursale : une appliance unique qui effectue à la fois le SD-WAN et la sécurité avancée

  • Sécurité des succursales avec pare-feu NGFW sur site (Next Generation Firewall) pour protéger le trafic LAN à LAN, LAN à Internet et Internet-to-LAN

Étapes de configuration

Les configurations suivantes sont nécessaires pour intégrer la machine virtuelle Palo Alto Networks sur SD-WAN :

  • Provisionner la machine virtuelle du pare-feu

  • Activer la redirection du trafic vers la machine virtuelle de sécurité

Remarque La

machine virtuelle Pare-feu doit d’abord être provisionnée avant d’activer la redirection du trafic.

Provisionnement de la machine virtuelle du réseau Palo Alto

Il existe deux façons de provisionner la machine virtuelle du pare-feu :

  • Provisionnement via SD-WAN Center

  • Provisionnement via l’interface graphique de l’appliance SD-WAN

Provisioning de machines virtuelles par le biais de SD-WAN Center

Conditions préalables

  • Ajoutez le stockage secondaire à SD-WAN Center pour stocker les fichiers image de la machine virtuelle du pare-feu. Pour plus d’informations, reportez-vous à la section Configuration système requise et installation.

  • Réservez le stockage à partir de la partition secondaire pour les fichiers image de la machine virtuelle du pare-feu. Pour configurer la limite de stockage, accédez à Administration > Maintenance du stockage.

    • Sélectionnez la quantité de stockage requise dans la liste.

    • Cliquez sur Appliquer.

    Stockage

Remarque

Le stockage est réservé à partir de la partition secondaire qui est active si la condition est remplie.

Procédez comme suit pour Provisioning la machine virtuelle de pare-feu via la plate-forme SD-WAN Center :

  1. Dans l’interface graphique Citrix SD-WAN Center, accédez à Configuration > sélectionnez Pare-feu hébergé .

    Sites fw hébergés

    Vous pouvez sélectionner la Région dans la liste déroulante pour afficher les détails du site provisionné pour cette région sélectionnée.

  2. Téléchargez l’image du logiciel.

    Remarque

    Assurez-vous que vous disposez de suffisamment d’espace disque pour télécharger l’image logicielle.

    Accédez à Configuration > Pare-feu hébergé > Images logicielles et sélectionnez le nom du fournisseur Palo Alto Networks dans la liste déroulante. Cliquez ou déposez le fichier image du logiciel dans la zone à télécharger.

    Télécharger l'image sw

    Une barre d’état apparaît avec le processus de téléchargement en cours. Ne cliquez pas sur Actualiser ou n’effectuez aucune autre action jusqu’à ce que le fichier image affiche 100 % téléchargé.

    • Actualiser : cliquez sur l’option Actualiser pour obtenir les derniers détails du fichier image.

    • Supprimer : cliquez sur l’option Supprimer pour supprimer tout fichier image existant.

    Remarque

    • Pour provisionner la machine virtuelle de pare-feu sur la partie sites d’une région autre que par défaut, téléchargez le fichier image sur chacun du nœud collecteur.

    • La suppression de l’image de machine virtuelle Palo Alto de SDWAN Center supprime l’image du stockage SDWAN Center, et PAS de l’appliance.

  3. Pour le provisioning, revenez à l’onglet Sites de pare-feu hébergés et cliquez sur Provisioning.

    Disposition de départ

    • Fournisseur : sélectionnez le nom du fournisseur en tant que Palo Alto Networks dans la liste déroulante.
    • Modèle de machine virtuelle fournisseur : sélectionnez le numéro de modèle de machine virtuelle dans la liste.
    • Image logicielle : sélectionnez le fichier Image à provisionner.
    • Région : Sélectionnez la région dans la liste.
    • Sites pour l’hébergement de pare-feu : sélectionnez des sites pour la liste d’hébergement de pare-feu. Vous devez sélectionner les sites principaux et secondaires si les sites sont en mode haute disponibilité.

    • Adresse IP principale/Nom de domaine du serveur Management Server : entrez l’adresse IP principale de gestion ou le nom de domaine complet (facultatif).
    • Adresse IP secondaire du serveur de gestion : entrez l’adresse IP secondaire du serveur de gestion ou le nom de domaine complet (facultatif).

    • Clé d’authentification de machine virtuelle : entrez la clé d’authentification virtuelle à utiliser dans le serveur de gestion.

    • Code d’authentification : Entrez le code d’authentification virtuel à utiliser pour les licences.
  4. Cliquez sur Démarrer la mise en service.
  5. Cliquez sur Actualiser pour obtenir le dernier état. Une fois la machine virtuelle Palo Alto Networks démarre complètement, elle se penchera sur l’interface utilisateur SD-WAN Center.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire.

Sélectionner le site à provisionner

  • Nom du site : affiche le nom du site.
  • IP de gestion : affiche l’adresse IP de gestion du site.
  • Nom de la région : affiche le nom de la région.
  • Vendeur : Affiche le nom du fournisseur (Palo Alto Networks).
  • Modèle : affiche le numéro de modèle (VM50/VM100).
  • État d’administration : état de la machine virtuelle du fournisseur (haut/bas).
  • Statut de l’opération : affiche le message d’état opérationnel.
  • Site hébergé : Utilisez le lien Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Palo Alto Networks.

Pour provisionner les sites de région autres que ceux par défaut, vous devez télécharger l’image logicielle sur le collecteur SD-WAN Center. Vous pouvez provisionner les réseaux Palo Alto à la fois depuis l’interface graphique de tête de ligne SD-WAN Center ou SD-WAN Center Collector.

Pour obtenir l’adresse IP du collecteur SD-WAN Center, accédez à Configuration > Découverte réseau > sélectionnez l’onglet Paramètres de découverte .

IP du collecteur

Pour provisionner les réseaux Palo Alto de SD-WAN Collector :

  1. Dans l’interface graphique SD-WAN Collector, accédez à Configuration > sélectionnez Pare-feu hébergé .

    Collector hébergé fw

  2. Accédez à l’onglet Images logicielles pour télécharger l’image logicielle.
  3. Cliquez sur Provisionner sous l’onglet Sites pare-feu hébergés
  4. Fournissez les détails suivants et cliquez sur Démarrer le provisionnement.

    Provision pour les collecteurs

    • Fournisseur : sélectionnez le nom du fournisseur en tant que Palo Alto Networks dans la liste déroulante.
    • Modèle de machine virtuelle fournisseur : sélectionnez le numéro de modèle de machine virtuelle dans la liste.
    • Image logicielle : sélectionnez le fichier Image à provisionner.
    • Région : Sélectionnez la région dans la liste.
    • Sites pour l’hébergement de pare-feu : sélectionnez des sites pour la liste d’hébergement de pare-feu. Vous devez sélectionner les sites principaux et secondaires si les sites sont en mode haute disponibilité.

    • Adresse IP principale/Nom de domaine du serveur Management Server : entrez l’adresse IP principale de gestion ou le nom de domaine complet (facultatif).
    • Adresse IP secondaire du serveur de gestion : entrez l’adresse IP secondaire du serveur de gestion ou le nom de domaine complet (facultatif).

    • Clé d’authentification de machine virtuelle : entrez la clé d’authentification virtuelle à utiliser dans le serveur de gestion.

    • Code d’authentification : Entrez le code d’authentification virtuel à utiliser pour les licences.
  5. Cliquez sur Démarrer la mise en service.

Provisioning de machines virtuelles par pare-feu via l’interface graphique du dispositif SD-WAN

Sur la plate-forme SD-WAN, provisionnez et démarrez la machine virtuelle hébergée. Effectuez les étapes suivantes pour le Provisioning :

  1. Dans l’interface graphique Citrix SD-WAN, accédez à Configuration > Développez Paramètres de l’appliance > sélectionnez Pare-feu hébergé .

  2. Téléchargez l’image du logiciel :
    • Sélectionnez l’onglet Images logicielles . Sélectionnez le nom du fournisseur en tant que Palo Alto Networks.
    • Choisissez le fichier image du logiciel.
    • Cliquez sur Upload.

    Téléchargement d'images SW

    Remarque Un maximum de deux images logicielles peut être téléchargé. Le téléchargement de l’image de la machine virtuelle Palo Alto Networks peut prendre plus de temps en fonction de la disponibilité de la bande passante.

    Vous pouvez voir une barre d’état pour suivre le processus de téléchargement. Le détail du fichier reflète, une fois l’image téléchargée avec succès. L’image utilisée pour le Provisioning ne peut pas être supprimée. N’effectuez aucune action ou revenez à une autre page jusqu’à ce que le fichier image affiche 100% téléchargée.

  3. Pour le provisioning, sélectionnez l’onglet Pare-feu hébergés et cliquez sur le bouton Provisioning.

    Provision de pare-feu hébergé

  4. Fournissez les détails suivants pour le Provisioning.

    • Nom du fournisseur : sélectionnez le fournisseur comme Palo Alto Networks.
    • Modèle de machine virtuelle : sélectionnez le numéro de modèle de machine virtuelle dans la liste.
    • Nom du fichier image : Sélectionnez le fichier image.
    • Adresse IP principale/Nom de domaine Panorama : Indiquez l’adresse IP principale Panorama ou le nom de domaine complet (Facultatif).
    • Adresse IP secondaire Panorama : Indiquez l’adresse IP secondaire Panorama ou le nom de domaine complet (facultatif).
    • Clé d’authentification de la machine virtuelle : fournissez la clé d’authentification de la machine virtuelle (facultatif).

      La clé d’authentification de machine virtuelle est nécessaire pour l’enregistrement automatique de la machine virtuelle Palo Alto Networks sur le Panorama.

    • Code d’authentification : Entrez le code d’authentification (code de licence de machine virtuelle) (facultatif).
    • Cliquez sur Appliquer.

    Pare-feu hébergé

  5. Cliquez sur Actualiser pour obtenir le dernier état. Une fois la machine virtuelle Palo Alto Networks démarre complètement, elle réfléchira sur l’interface utilisateur SD-WAN avec le détail du journal des opérations.

    Détail du journal d'option

    • État d’administration : indique si la machine virtuelle est en service ou en panne.
    • État de traitement : étatde traitement du datapath de la machine virtuelle.
    • Paquet envoyé : Paquets envoyés depuis SD-WAN vers la machine virtuelle de sécurité.
    • Paquet reçu : Paquets reçus par SD-WAN de la machine virtuelle de sécurité.
    • Paquet abandonné : Paquets abandonnés par SD-WAN (par exemple, lorsque la machine virtuelle de sécurité est en panne).
    • Accès au périphérique : cliquez sur le lien pour obtenir l’accès GUI à la machine virtuelle de sécurité.

Vous pouvez démarrer, arrêter et désapprovisionner la machine virtuelle si nécessaire. Utilisez l’option Cliquez ici pour accéder à l’interface graphique de la machine virtuelle Palo Alto Networks ou utilisez votre adresse IP de gestion avec le port 4100 (adresse IP de gestion : 4100).

Remarque Utilisez toujours le mode navigation privée pour accéder à l’interface graphique de Palo Alto Networks.

Redirection du trafic

La configuration de la redirection du trafic peut être effectuée à la fois via l’Éditeur de configuration sur MCN ou l’Éditeur de configuration sur SD-WAN Center.

Pour naviguer dans l’Éditeur de configuration sur SD-WAN Center :

  1. Ouvrez l’interface utilisateur du centre Citrix SD-WAN, accédez à Configuration > Importation de configuration réseau. Importez la configuration WAN virtuel à partir du MCN actif et cliquez sur Importer.

    Importer la configuration WAN virtuel

Les étapes restantes sont similaires comme suit : la configuration de redirection du trafic via MCN.

Pour naviguer dans l’Éditeur de configuration sur MCN :

  1. Définissez le type de correspondance de connexion sur Symétrique sous Global > Paramètres réseau.

    Type de correspondance de connexion

    Par défaut, les stratégies de pare-feu SD-WAN sont spécifiques à la direction. Le type de correspondance symétrique correspond aux connexions à l’aide de critères de correspondance spécifiés et applique une action de stratégie dans les deux directions.

  2. Ouvrez l’ interface utilisateur Citrix SD-WAN, accédez à Configuration développez Virtual WAN sélectionnez Éditeur de configuration > sélectionnez Modèle de pare-feu hébergé sous la section Global .

    Modèle de pare-feu hébergé

  3. Cliquez sur + et fournissez les informations requises disponibles dans la capture d’écran suivante pour ajouter le modèle de pare-feu hébergé et cliquez sur Ajouter.

    Ajouter

Lemodèle de pare-feu hébergé vous permet de configurer la redirection du trafic vers la machine virtuelle Pare-feu hébergée sur l’appliance SD-WAN. Voici les entrées nécessaires à la configuration du modèle :

  • Nom : Nom du modèle de pare-feu hébergé.
  • Fournisseur : nom du fournisseur du pare-feu.
  • Mode de déploiement : le champ Mode de déploiement est automatiquement renseigné et grisé. Pour le fournisseur Palo Alto Networks, le mode de déploiement est Virtual Wire.
  • Modèle : Modèlede machine virtuelle du pare-feu hébergé. Vous pouvez sélectionner le numéro de modèle de la machine virtuelle en tant que VM 50/VM 100 pour le fournisseur Palo Alto Networks.
  • Serveur d’administration principal IP/FQDN : nomde domaine de domaine complet du serveur d’administration principal de Panorama.
  • Serveur d’administration secondaire IP/FQDN : Serveur d’administration secondaire IP/FQDN de Panorama.
  • Interfaces de redirection de service : Interfaceslogiques utilisées pour la redirection du trafic entre le SD-WAN et le pare-feu hébergé.

Interface-1, Interface-2 fait référence aux deux premières interfaces du pare-feu hébergé. Si des VLAN sont utilisés pour la redirection du trafic, les mêmes VLAN doivent être configurés sur le pare-feu hébergé. Les VLAN configurés pour la redirection du trafic sont internes au SD-WAN et au pare-feu hébergé.

Remarque L’interface d’entrée de redirection doit être sélectionnée à partir de la direction de l’initiateur de connexion, l’interface de redirection est automatiquement choisie pour le trafic de réponse. Par exemple, si le trafic Internet sortant est redirigé vers le pare-feu hébergé sur Interface-1, le trafic de réponse est automatiquement redirigé vers le pare-feu hébergé sur Interface-2. Il n’y a pas besoin d’Interface-2 dans l’exemple ci-dessus, s’il n’y a pas de trafic entrant Internet.

Seules deux interfaces physiques sont affectées pour héberger le pare-feu Palo Alto Networks. Si le trafic provenant de plusieurs zones doit être redirigé vers le pare-feu hébergé, plusieurs sous-interfaces peuvent être créées à l’aide de VLAN internes et associées à différentes zones de pare-feu sur le pare-feu hébergé.

Grâce aux stratégies de pare-feu SD-WAN ou au niveau du site, vous pouvez rediriger tout le trafic vers la machine virtuelle Palo Alto Networks.

Remarque Les stratégies de pare-feu SD-WAN sont créées automatiquement pour autoriser le trafic vers/depuis les serveurs de gestion de pare-feu hébergés. Cela évite la redirection du trafic de gestion qui provient (ou) du pare-feu hébergé.

La redirection du trafic vers la machine virtuelle du pare-feu peut être effectuée à l’aide des stratégies de pare-feu SD-WAN. Il existe deux méthodes pour créer des stratégies de pare-feu SD-WAN - soit par le biais de modèles de stratégie de pare-feu dans la section Global ou au niveau du site.

Méthode - 1

  1. Depuis l’interface graphique Citrix SD-WAN, accédez à Configuration développez Réseau étendu virtuel > Éditeur de configuration. Accédez à l’onglet Global et sélectionnez Modèles de stratégie de pare-feu. Cliquez sur + Modèle de stratégie. Indiquez un nom au modèle de stratégie et cliquez sur Ajouter.

    Nom du modèle de stratégie Palo Alto

  2. Cliquez sur + Ajouter en regard de Stratégies de modèle de pré-appliance.

    Stratégies de modèle de pré-appliance

  3. Modifiez le type de stratégiepar Pare-feu hébergé. Le champActionest automatiquement rempli surRedirection. Sélectionnez lemodèle de pare-feu hébergéet l’interface de redirection de service dans la liste déroulante. Remplissez les autres critères de correspondance selon les besoins.

    Modèle de politique Palo Alto

  4. Accédez à Connexions > Pare-feu, puis sélectionnez la stratégie de pare-feu (que vous avez créée) dans le champ Nom. Cliquez sur Appliquer.

    Pare-feu de connexion à

Méthode - 2

  1. Pour rediriger tout le trafic, sous l’ Éditeur de configuration > Réseau étendu virtuel, accédez à l’onglet Connexion et sélectionnez Pare-feu.

    Redirection du trafic via l'interface graphique SD-WAN

  2. Sélectionnez Stratégies dans la liste déroulante Section et cliquez sur +Ajouter pour créer une stratégie de pare-feu.

    Pare-feu de redirection

  3. Modifiez le type de stratégiepar Pare-feu hébergé. Le champActionest automatiquement rempli sur Redirection. Sélectionnez lemodèle de pare-feu hébergéet l’interface de redirection de servicedans la liste déroulante. Cliquez surAjouter.

    Interface de redirection de service

Alors que toute la configuration réseau est en mode opérationnel, vous pouvez surveiller la connexion sous Surveillance > Pare-feu > dans la liste Statistiques, sélectionnez Stratégies de filtrage .

Stratégie de filtrage

Vous pouvez vérifier le mappage entre la configuration que vous avez effectuée sur le modèle de chaîne de service SD-WAN et la configuration du réseau Palo Alto à l’aide de l’interface utilisateur des réseaux Palo Alto.

Palo Alto

REMARQUE

La machine virtuelle Palo Alto Networks ne peut pas être provisionnée si Cloud Direct ou SD-WAN WANOP (PE) est déjà provisionné sur l’appliance 1100.

Cas d’utilisation — Pare-feu hébergé sur SD-WAN 1100

Voici quelques-uns des scénarios de cas d’utilisation implémentés à l’aide de l’appliance Citrix SD-WAN 1100 :

Cas d’utilisation 1 : Rediriger tout le trafic vers le pare-feu hébergé

Ce cas d’utilisation s’applique aux cas d’utilisation de petites succursales où tout le trafic est traité par le pare-feu de nouvelle génération hébergé. Les exigences en matière de bande passante doivent être prises en considération, car le débit de trafic redirigé est limité à 100 Mbps.

Pour ce faire, créez une règle de pare-feu pour correspondre à tout trafic et avec Action en tant que redirection, comme illustré dans la capture d’écran suivante :

Cas d'utilisation 1

Cas d’utilisation 2 : Rediriger uniquement le trafic Internet vers le pare-feu hébergé

Ce cas d’utilisation s’applique à tous les sites de succursale où le trafic lié à Internet n’excède pas le débit de trafic redirigé pris en charge. Dans ce cas, le trafic entre la branche et le centre de données est traité par les appliances/services de sécurité déployés dans les centres de données.

Pour ce faire, créez une règle de pare-feu pour correspondre à n’importe quel trafic et avec Action comme Redirection comme illustré dans la capture d’écran suivante :

Cas d'utilisation 2

Cas d’utilisation 3 : connexion Internet directe pour les applications Internet SaaS fiables et redirection tout le trafic restant vers la machine virtuelle hébergée

Dans ce cas d’utilisation, une règle de pare-feu est ajoutée pour effectuer une ventilation Internet directe pour les applications SaaS approuvées telles que Office 365. Activez d’abord la stratégie de rupture Office 365 comme indiqué dans la capture d’écran suivante :

Cas d'utilisation 3

Cela ajoute automatiquement des stratégies de modèle de pré-appliance pour autoriser le trafic Office 365, comme indiqué dans la capture d’écran suivante. Ajoutez maintenant une règle de pare-feu pour rediriger tout le trafic restant vers le pare-feu hébergé comme mentionné ci-dessous.

Cas d'utilisation 4

Remarque

La configuration du pare-feu hébergé est indépendante de la configuration Citrix SD-WAN. Ainsi, le pare-feu hébergé peut être configuré conformément aux exigences de sécurité de l’entreprise.

Intégration du pare-feu Palo Alto Networks sur la plate-forme SD-WAN 1100