Palo Alto Networks SD-WAN 1100プラットフォーム上のファイアウォール統合
Citrix SD-WANは、Palo Alto Networksの次世代仮想マシンのホスティングをサポートしています (VM) SD-WAN 1100プラットフォーム上のシリーズファイアウォール. サポートされている仮想マシンモデルは次のとおりです。
- VM 50
- VM 100
Palo Alto Networks仮想マシンシリーズのファイアウォールは、SD-WAN 1100プラットフォーム上で仮想マシンとして動作します。ファイアウォール仮想マシンは Virtual Wire モードで統合され、2 つのデータ仮想インターフェイスが接続されています。SD-WAN でポリシーを構成することで、必要なトラフィックをファイアウォール仮想マシンにリダイレクトできます。
長所
以下は、SD-WAN 1100プラットフォームでのPalo Alto Networks統合の主な目標または利点です。
-
支店デバイスの統合:SD-WANと高度なセキュリティの両方を実行する単一のアプライアンス
-
LAN-to-LAN、LAN-インターネット、およびインターネット-LANのトラフィックを保護するオンプレムNGFW(次世代ファイアウォール)によるブランチオフィスのセキュリティ
構成の手順
Palo Alto Networks 仮想マシンを SD-WAN に統合するには、以下の構成が必要です。
-
ファイアウォール仮想マシンのプロビジョニング
-
セキュリティ仮想マシンへのトラフィックリダイレクトを有効にする
注:
トラフィックのリダイレクトを有効にする前に、ファイアウォール仮想マシンを最初にプロビジョニングする必要があります。
Palo Alto Networks仮想マシンのプロビジョニング
ファイアウォール仮想マシンをプロビジョニングするには、次の 2 つの方法があります。
-
SD-WAN センターによるプロビジョニング
-
SD-WAN アプライアンス GUI によるプロビジョニング
SD-WAN センターを介したファイアウォール仮想マシンのProvisioning
前提条件
-
セカンダリストレージを SD-WAN Center に追加して、ファイアウォール VM イメージファイルを保存します。詳しくは、「システム要件とインストール」を参照してください。
-
ファイアウォール VM イメージファイル用にセカンダリパーティションからストレージを予約します。ストレージ制限を設定するには、[ 管理] > [ストレージのメンテナンス] に移動します。
-
リストから必要なストレージ量を選択します。
-
[適用] をクリックします。
-
注:
ストレージは、条件が満たされた場合にアクティブであるセカンダリパーティションから予約されています。
SD-WAN Center プラットフォーム経由でファイアウォール仮想マシンをProvisioning するには、次の手順を実行します。
-
Citrix SD-WAN Center GUIで、[ 構成]> [ ホストされたファイアウォール]を選択します。
ドロップダウンリストから [Region] を選択すると、 選択したリージョンのプロビジョニングされたサイトの詳細を表示できます 。
-
ソフトウェアイメージをアップロードします。
注:
ソフトウェアイメージをアップロードするのに十分なディスク領域があることを確認してください。
[ 設定] > [ホストファイアウォール] > [ソフトウェアイメージ ] に移動し、ドロップダウンリストから [Palo Alto Networks] としてベンダー名を選択します。アップロードするボックスに、ソフトウェアイメージファイルをクリックまたはドロップします。
進行中のアップロード処理を示すステータスバーが表示されます。イメージファイルが 100% アップロードされたと表示されるまで、[ Refresh ] をクリックしたり、その他のアクションを実行したりしないでください。
-
更新: [ 更新 ] オプションをクリックして、最新のイメージファイルの詳細を取得します。
-
削除: 既存のイメージファイルを削除するには 、[削除] オプションをクリックします。
注
-
デフォルト以外のリージョンのサイトでファイアウォール仮想マシンをプロビジョニングするには、各コレクタノードにイメージファイルをアップロードします。
-
Palo Alto VMイメージをSDWANセンターから削除すると、SDWANセンターストレージからイメージが削除され、アプライアンスからは削除されません。
-
-
プロビジョニングについては、[ ホストされたファイアウォールサイト ] タブに戻り、[ プロビジョニング] をクリックします。
- ベンダー: ドロップダウンリストから [ Palo Alto Networks ] としてベンダー名を選択します 。
- ベンダー仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
- ソフトウェアイメージ: プロビジョニングするイメージファイルを選択します。
- リージョン: リストからリージョンを選択します。
-
[ファイアウォールホスティングのサイト]: ファイアウォールホスティングのリストのサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。
- 管理サーバーのプライマリ IP アドレス/ドメイン名:管理プライマリ IP アドレスまたは完全修飾ドメイン名を入力します(オプション)。
-
管理サーバーのセカンダリIPアドレス/ドメイン名:管理サーバーのセカンダリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。
-
仮想マシン認証キー: 管理サーバーで使用する仮想認証キーを入力します。
- 認証コード:ライセンスに使用する仮想認証コードを入力します。
- 「 プロビジョニングの開始」をクリックします。
- 最新のステータスを取得するには、[ Refresh ] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、SD-WAN Center UI に反映されます。
必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除 できます。
- サイト名: サイト名が表示されます。
- 管理 IP: サイトの管理 IP アドレスを表示します。
- リージョン名: リージョン名が表示されます。
- ベンダー: ベンダー名 (パロアルトネットワーク) を表示します。
- モデル:モデル番号(VM50/VM100)が表示されます。
- 管理状態:ベンダー仮想マシンの状態(アップ/ダウン)。
- 操作ステータス: 操作ステータスメッセージを表示します。
- ホストサイト: Palo Alto Networks 仮想マシンの GUI にアクセスするには、 [ここをクリック] リンクを使用します。
デフォルト以外のリージョンサイトをプロビジョニングするには、SD-WAN Center Collector にソフトウェアイメージをアップロードする必要があります。Palo Alto Networksは、SD-WAN Centerヘッドエンド GUI または SD-WAN Centerコレクタから両方ともプロビジョニングできます。
SD-WAN Centerコレクタの IP アドレスを取得するには、[ 構成] > [ネットワーク探索] > [ 探索の設定 ] タブを選択します。
SD-WANコレクタからPalo Alto Networksをプロビジョニングするには:
-
SD-WAN Collector GUI から、[ 構成] に移動し、[ホストされたファイアウォール] を選択します。
- ソフトウェアイメージタブに移動して 、ソフトウェアイメージをアップロードします。
- [ ホストされたファイアウォールサイト ] タブの [ プロビジョニング ] をクリックします。
-
次の詳細を入力し、「 プロビジョニングの開始」をクリックします。
- ベンダー: ドロップダウンリストから [ Palo Alto Networks ] としてベンダー名を選択します 。
- ベンダー仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
- ソフトウェアイメージ: プロビジョニングするイメージファイルを選択します。
- リージョン: リストからリージョンを選択します。
-
[ファイアウォールホスティングのサイト]: ファイアウォールホスティングのリストのサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。
- 管理サーバーのプライマリ IP アドレス/ドメイン名:管理プライマリ IP アドレスまたは完全修飾ドメイン名を入力します(オプション)。
-
管理サーバーのセカンダリIPアドレス/ドメイン名:管理サーバーのセカンダリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。
-
仮想マシン認証キー: 管理サーバーで使用する仮想認証キーを入力します。
- 認証コード:ライセンスに使用する仮想認証コードを入力します。
- 「 プロビジョニングの開始」をクリックします。
SD-WAN アプライアンスの GUI によるファイアウォール仮想マシンのProvisioning
SD-WAN プラットフォームで、ホストされた仮想マシンをプロビジョニングして起動します。Provisioning の手順は、次のとおりです。
-
Citrix SD-WAN GUIで、[ 構成]>[アプライアンスの設定]の順に 展開し、[ ホストされたファイアウォール]を選択します。
- ソフトウェアイメージをアップロードします。
- [ ソフトウェアイメージ ]タブを選択します。[ Palo Alto Networks] としてベンダー名を選択します。
- ソフトウェアイメージファイルを選択します。
- [アップロード]をクリックします。
注: アップロードできるソフトウェアイメージは最大 2 つです。Palo Alto Networks 仮想マシンイメージのアップロードには、帯域幅の可用性によっては、時間がかかる場合があります。
アップロードプロセスを追跡するステータスバーが表示されます。画像が正常にアップロードされると、ファイルの詳細が反映されます。Provisioning に使用されるイメージは削除できません。画像ファイルに 100% アップロードされたと表示されるまで、アクションを実行したり、他のページに戻ったりしないでください。
-
プロビジョニングの場合は、[ ホストされたファイアウォール ] タブを選択し、[ プロビジョニング ] ボタンをクリックします。
-
Provisioning について次の詳細を入力します。
- ベンダー名: Palo Altoネットワークとしてベンダーを選択します。
- 仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
- イメージファイル名: イメージファイルを選択します。
- パノラマプライマリ IP アドレス/ドメイン名: パノラマプライマリ IP アドレスまたは完全修飾ドメイン名を指定します (オプション)。
- パノラマセカンダリ IP アドレス/ドメイン名: パノラマセカンダリ IP アドレスまたは完全修飾ドメイン名を指定します (オプション)。
-
仮想マシン認証キー: 仮想マシン認証キーを指定します (オプション)。
Palo Alto Networks仮想マシンをパノラマに自動登録するには、仮想マシン認証キーが必要です。
- 認証コード:認証コード(仮想マシンライセンスコード)を入力します(オプション)。
- [適用] をクリックします。
-
最新のステータスを取得するには、[ Refresh ] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、操作ログの詳細とともに SD-WAN UI に反映されます。
- 管理状態:仮想マシンが起動中か停止中かを示します。
- 処理状態: 仮想マシンのデータパス処理状態。
- 送信パケット: SD-WAN からセキュリティ仮想マシンに送信されるパケット。
- 受信パケット: セキュリティ仮想マシンから SD-WAN によって受信されたパケット。
- Packet Droped:SD-WAN によってドロップされたパケット(セキュリティ仮想マシンがダウンした場合など)。
- デバイスアクセス:セキュリティ仮想マシンへの GUI アクセスを取得するには、リンクをクリックします。
必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除できます。ここをクリック オプションを使用して、Palo Alto Networks 仮想マシンの GUI にアクセスするか、管理 IP と 4100 ポート (管理 IP: 4100) を使用します。
注 パロアルトネットワークスのGUIにアクセスするには、常にシークレットモードを使用してください。
トラフィックリダイレクト
トラフィックリダイレクトの設定は、MCN の構成エディターまたは SD-WAN Center の構成エディターを使用して行うことができます。
SD-WAN センターで構成エディター内を移動するには、次の手順を実行します。
-
Citrix SD-WAN Center UIを開き、[ 構成]>[ネットワーク構成のインポート]に移動します。アクティブ MCN から仮想 WAN 設定をインポートし、[ Import] をクリックします。
残りの手順は、MCN を介したトラフィックリダイレクション設定と同様です。
MCN の構成エディタ内を移動するには、次の手順を実行します。
-
[ グローバル] > [ネットワーク設定 ] で [ 接続の一致タイプ ] を対称に設定します。
デフォルトでは、SD-WAN ファイアウォールポリシーは方向固有です。対称マッチタイプは、指定された一致基準を使用して接続に一致し、両方向にポリシーアクションを適用します。
-
Citrix SD-WAN UIを開き、[ 構成]> [ 仮想WAN ]を展開し、[ 構成エディタ ]を選択し、[ グローバル ]セクションで[ ホストされたファイアウォールテンプレート ]を選択します。
-
[ + ] をクリックし、次のスクリーンショットで必要な情報を入力し、[ Hosted Firewall ] テンプレートを追加し、[ Add] をクリックします。
ホストされたファイアウォールテンプレートを使用すると 、SD-WAN アプライアンスでホストされているファイアウォール仮想マシンへのトラフィックリダイレクトを構成できます 。テンプレートを構成するために必要な入力は次のとおりです。
- [ 名前]: ホストされているファイアウォールテンプレートの名前。
- ベンダー: ファイアウォールベンダーの名前。
- 配置モード: [ 配置モード ] フィールドは自動的に入力され、グレー表示されます。Palo Altoネットワークスのベンダーの場合 、展開モードは Virtual Wireです。
- モデル: ホストされたファイアウォールの仮想マシンモデル。Palo Alto Networks ベンダーの場合、仮想マシンのモデル番号を VM 50/VM 100 として選択できます。
- プライマリ管理サーバ IP/FQDN: パノラマのプライマリ管理サーバ IP/FQDN。
- セカンダリ管理サーバ IP/FQDN: パノラマのセカンダリ管理サーバ IP/FQDN。
- サービスリダイレクトインターフェイス:SD-WANとホストされたファイアウォール間のトラフィックリダイレクトに使用される論理インターフェイスです。
Interface-1、Interface-2 は、ホストされているファイアウォールの最初の 2 つのインターフェイスを指します。トラフィックリダイレクションに VLAN を使用する場合は、ホストされたファイアウォールで同じ VLAN を設定する必要があります。トラフィックリダイレクション用に設定された VLAN は、SD-WAN およびホステッドファイアウォールの内部にあります。
注
リダイレクション入力インターフェイスは、接続イニシエータの方向から選択する必要があります。リダイレクションインターフェイスは、応答トラフィック用に自動的に選択されます。たとえば、発信インターネットトラフィックが Interface-1 でホストされているファイアウォールにリダイレクトされると、応答トラフィックは Interface-2 でホストされているファイアウォールに自動的にリダイレクトされます。インターネットインバウンドトラフィックがない場合、上記の例では Interface-2 は必要ありません。
Palo Alto Networks ファイアウォールをホストするには、物理インターフェイスが 2 つだけ割り当てられます。複数のゾーンからのトラフィックをホストされたファイアウォールにリダイレクトする必要がある場合は、内部 VLAN を使用して複数のサブインターフェイスを作成し、ホストされたファイアウォールの異なるファイアウォールゾーンに関連付けることができます。
SD-WAN ファイアウォールポリシーまたはサイトレベルのポリシーを使用して、すべてのトラフィックを Palo Alto Networks 仮想マシンにリダイレクトできます。
注
SD-WAN ファイアウォールポリシーが自動的に作成され、ホストされているファイアウォール管理サーバーとの間のトラフィック を許可 します。これにより、ホストされたファイアウォール宛ての管理トラフィック(または)がリダイレクトされるのを回避できます。
ファイアウォール仮想マシンへのトラフィックのリダイレクトは、SD-WAN ファイアウォールポリシーを使用して実行できます。SD-WAN ファイアウォールポリシーを作成するには、 グローバルセクションのファイアウォールポリシーテンプレートまたはサイトレベルのどちらを使用するかの 2 つの方法があります。
方法-1
-
Citrix SD-WAN GUIから、[ 構成]>[仮想WAN]を展開し、[構成エディタ]に移動します。[ グローバル ] タブに移動し、[ ファイアウォールポリシーテンプレート] を選択します。[ + ポリシーテンプレート] をクリックします。ポリシーテンプレートに名前を指定し、[ Add] をクリックします。
-
[ プレアプライアンステンプレートポリシー ]の横にある[ + 追加]をクリックします。
-
ポリシータイプを [ホストされたファイアウォール] に変更します。アクションフィールドは、リダイレクトに自動入力されます。ドロップダウンリストから、 **ホストされたファイアウォールテンプレートとサービスリダイレクトインターフェイスを選択します** 。必要に応じて、他の一致基準を入力します。
-
[ 接続] > [ファイアウォール] に移動し、[名前] フィールドで (作成した) ファイアウォールポリシーを選択します。[適用] をクリックします。
方法-2
-
すべてのトラフィックをリダイレクトするには、[ 構成エディタ] > [仮想 WAN] で、[ 接続 ] タブに移動し、[ ファイアウォール] を選択します。
-
[ セクション ] ドロップダウンリストから [ ポリシー ] を選択し、[ + 追加 ] をクリックして新しいファイアウォールポリシーを作成します。
-
ポリシータイプを [ホストされたファイアウォール] に変更します。アクションフィールドは、リダイレクトに自動入力されます。ドロップダウンリストから、 **ホストされたファイアウォールテンプレートとサービスリダイレクトインターフェイスを選択します** 。[追加] をクリックします。
すべてのネットワーク構成が起動して実行モードになっている間は、[ 監視] > [ファイアウォール] > [ 統計 リスト] の [ フィルタポリシー] を選択して接続を監視できます。
Palo Alto Networks UI を使用して、SD-WAN サービスチェーンテンプレートで行った設定と Palo Alto Networks設定の間のマッピングを確認できます。
メモ
1100 アプライアンスでクラウドダイレクトまたはSD-WAN WANOP(PE) がすでにプロビジョニングされている場合は、Palo Altoネットワークスの仮想マシンをプロビジョニングできません。
ユースケース — SD-WAN 1100 上のホスト型ファイアウォール
Citrix SD-WAN 1100アプライアンスを使用して実装されたユースケースシナリオを次に示します。
ユースケース1:すべてのトラフィックをホストファイアウォールにリダイレクトする
このユースケースは、すべてのトラフィックがホストされた次世代ファイアウォールによって処理される小規模なブランチユースケースに適用されます。リダイレクトされたトラフィックのスループットの量は 100 Mbps に制限されるため、帯域幅要件を考慮する必要があります。
これを実現するには、次のスクリーンショットに示すように、トラフィックに一致するファイアウォールルールを作成し、[ **リダイレクトとしてアクション**] を使用します。
ユースケース 2: インターネットトラフィックのみをホスト型ファイアウォールにリダイレクトする
このユースケースは、インターネットにバインドされたトラフィックが、サポートされているリダイレクトされたトラフィックのスループットの量を超えないすべてのブランチサイトに適用されます。この場合、データセンターへのブランチトラフィックは、データセンターにデプロイされたセキュリティアプライアンス/サービスによって処理されます。
これを実現するには、次のスクリーンショットに示すように、任意のトラフィックに一致するファイアウォールルールを作成し、 **リダイレクトとしてアクションを使用します** 。
ユースケース 3: 信頼できるインターネット SaaS アプリケーション用のインターネットブレークアウトを直接送信し、残りのすべてのトラフィックをホストされた VM にリダイレクトします
このユースケースでは、Office 365 などの信頼できる SaaS アプリケーションに対して直接インターネットブレイクアウトを実行するためのファイアウォール規則が追加されます。次のスクリーンショットに示すように、まずOffice 365ブレークアウトポリシーを有効にします。
これにより、次のスクリーンショットに示すように、Office 365 トラフィックを許可する事前アプライアンステンプレートポリシーが自動的に追加されます 。次に、以下に述べるように、残りのすべてのトラフィックをホストされたファイアウォールにリダイレクトするファイアウォールルールを追加します。
注:
ホストされたファイアウォール構成は、Citrix SD-WAN の構成とは無関係です。したがって、ホストされたファイアウォールは、企業のセキュリティ要件に従って構成できます。