使用 Citrix SD-WAN Center 集成 Citrix SD-WAN 和 Zscaler
Citrix SD-WAN 和 Zscaler 帮助企业通过为 Internet 上托管的应用程序和资源提供安全的本地越狱来转换其 WAN 以便进行云迁移。在降低成本和复杂性的同时,新的 WAN 基础结构技术(例如 SD-WAN)提高了网络的灵活性和扩展能力,从而改进了分布式组织的用户体验。
SD-WAN 解决方案通过允许通信发送到本地以加入到 Internet,简化了路由。SD-WAN 提供使用应用程序控制功能将流量路由到 Internet(删除中央 DC 环境)的灵活性。但是,将网络连接到 Internet 会带来很大的安全风险。通过云服务保护本地突破的集中化方法消除了维护分支机构安全基础设施的开销。所有流量都通过分支网络中的 Citrix SD-WAN 可靠地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,保护网络免受威胁和漏洞的侵害
Citrix SD-WAN
Citrix SD-WAN 通过安全地启用本地分支到 Internet 越狱来帮助企业移动到云,以创建可允许或拒绝直接从分支进行的 Internet 访问的策略。Citrix SD-WAN 通过4000个应用程序(包括各个 SaaS 应用程序)的集成数据库组合来标识应用程序,并使用深度包检测技术来实时发现应用程序并对其进行分类。它使用这些应用知识来引导流量从分支机构到 Internet、云或 SaaS。
Zscaler
Zscaler 是主要的基于云的安全平台,在不需要本地硬件、设备或软件的情况下提供卓越的安全性。Zscaler 会在 Internet 周围放置一个外围环境,以便企业无需在每个办公室周围放置安全外围。Zscaler 云安全平台在全球 100 多个数据中心作为一系列安全检查站。通过将 Internet 流量重定向到 Zscaler,企业可以即时保护存储、分支和远程位置。Zscaler 将连接用户和 Internet,检查每个字节的流量(即使已加密或压缩),以便用户安全并在所有隐藏的威胁被确认后才可以渗入企业网络。
Citrix SD-WAN 允许创建允许来自分支机构和 Zscaler 的云安全平台的直接 Internet 分支的策略,方法是检查云服务中与用户连接的所有 Internet 绑定流量,以确保安全。
Zscaler 强制节点 (ZEN)
Citrix SD-WAN 支持 Zscaler API,用于在兹斯卡勒云网络中自动创建 Citrix SD-WAN 和兹斯卡勒强制节点 (ZEN) 之间的 IPsec 隧道。ZEN 是一种功能齐全的内联 Internet 安全网关,用于检查所有 Internet 流量双向攻击,并强制实施安全性和合规性策略。
Zscaler API 为每个分支提供了两个最接近的数据中心位置,使 SD-WAN 能够有效地实现通信。组织可以允许 Zscaler 自动选择距离分支最近的 ZEN,方法是让 ZEN 查看 Citrix SD-WAN 上配置的 WAN 链接的 IP 地址,也可以手动选择 Zens。
注意
如果隧道处于 UP 状态,则两条路径始终处于活动模式。如果任何隧道向下,则相应的路线变得无法到达,在这种情况下,另一条路线将保持运行。
优势
集成 Citrix SD-WAN 和 Zscaler 的优势包括:
- 在分布式企业中更快地采用 SaaS 和云。
- 将安全集中在云服务中,无需在每个分支中具有该服务。
- 不需要对通过 Internet 传输的流量进行回程处理,这允许分支机构的本地 Internet 越狱。
- 通过自动连接到 Secure Web Gateway 关,简化了 IT 管理。
- API 支持自动配置到 Zscaler 的安全隧道
- 通过缩短回程 SaaS 流量的延迟改进了用户体验。
- 出于安全目的,消除了中心辐射型模型依赖关系
- 消除分支机构昂贵的安全堆栈
- 减少必须在分支机构部署和管理防火墙的开销。
- 确保 Internet 绑定的流量始终是安全的。
- 安全策略不会将用户绑定到物理位置。
- 提供沙盒、检查所有端口和协议(包括 SSL、URL 过滤、高级威胁防护等),以防止出现零天攻击。
支持的功能
使用 SD-WAN 设备的 Zscaler 部署支持以下功能:
- 将用户定义的 Internet 流量转发到 Zscaler,从而支持直接进行 Internet 分组。
- 基于每个客户站点使用 Zscaler 进行直接互联网访问(DIA)。
- 在某些站点上,您可能希望向 DIA 提供本地安全设备,而不使用 Zscaler。
- 在某些站点上,您可能会选择回程线路流量(另一个客户站点)以访问 Internet。
- 虚拟路由和转发部署。
- 一个 WAN 链接,作为 Internet 服务的一部分。
Zscaler 是一种云服务。必须将其设置为服务并定义底层 WAN 链接:
- 在数据中心和分支站点上配置可信公共 Internet WAN 链接。
- 为 Intranet 服务自动配置 IPsec 通道。
在 Citrix SD-WAN Center 工作流中部署 Zscaler
下面是在 SD-WAN Center 中定义用于部署 Zscaler 的工作流的高级别步骤。
-
将 Zscaler 订阅配置为 SD-WAN Center(一次性)。登录 Zscaler 网站以获取订阅信息。
-
在 Citrix SD-WAN Center GUI 中选择部署。
- 使用 Internet WAN 链接和预先配置的应用程序对象部署站点的配置。
- 建立连接。
- 获取/更新 IPsec 状态。
Zscaler 订阅
在 SD-WAN Center 中继续配置 Zscaler 之前,需要登录 Zscaler 门户。
-
登录 Zscaler 网站以获取订阅信息。此时将打开 “控制板” 页面。
-
单击管理 > 合作伙伴集成。
-
在合作伙伴集成页面上,选择 SD-WAN。单击添加合作伙伴密钥。
-
为合作伙伴密钥选择 Citrix SDWAN,然后单击生成。存放钥匙。
在 Citrix SD-WAN Center 中配置 Zscaler
-
在 Citrix SD-WAN Center GUI 中,导航到配置 > 安全页面。此时将打开 Zscaler 配置站点页面。
-
单击订阅。输入在上述步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler 用户名和密码。选择Zscaler Cloud 名称、Zscaler 日志级别,然后单击应用。
-
ZEN 提供此 Zscaler 云订阅的可用 VPN 端点的列表。
-
输入 Zscaler 订阅和 ZEN 详细信息后,可以开始将站点添加到 Zscaler。单击添加。
-
在将站点配置为 Zscaler 对话框中,添加站点、WAN 链接和应用程序对象。默认情况下,自动分配 ZEN选项处于选中状态。
您可以手动选择 ZEN。但是,系统将显示以下消息,通知未保存的更改将丢失。
-
选择所需的站点,然后单击部署。您可以通过选择添加多个站点来选择添加多个站点。将部署所选站点并显示配置页面。
请注意,主和辅 ZEN IP 地址已填充,并且部署状态为连接处于活动状态。
-
如果您更改了已配置站点的 VPN 端点或应用程序对象,请单击重新部署。对 SD-WAN Center 中已配置的站点所做的任何更改都将触发在分支站点和 DC 站点上配置的设备上的更改管理过程。
删除站点也会触发更改管理过程。
监视和故障排除
选择已配置的站点以查看有关应用程序对象和主/辅助 IP 地址的详细信息。您可以单击 “ 详细 信息” 图标以查看有关已配置站点的完整信息。
您可以查看和下载 Zscaler 日志,这些日志可用于对 Citrix SD-WAN Center 中的问题进行故障排除。
要查看 Zscaler 日志文件:
-
在 Citrix SD-WAN Center Web 界面中,单击 监视 选项卡 > 诊断。
-
从 日志文件 下拉列表中,选择要查看的 Zscaler 日志文件。单击查看。
-
如果要将日志文件下载到您的计算机上,请单击下载。
IPsec 隧道配置
SD-WAN Center GUI 中的 “详细信息” 页面提供与主端点和辅助端点的 IPsec 通道配置有关的信息。对等 IP 是从 Zscaler 获得的。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 通道配置。
IKE 设置
在 SD-WAN 设备中为 IPsec 通道配置选择以下 IKE/IPSec 设置。有关配置 IPsec 通道– IKE 设置的详细信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
- IKE 版本 - IKEv2
- IKE 身份 — 用户 FQDN
- 哈希算法 - SHA-256
- 完整性算法 — SHA-256
- 加密模式 — AES 256 位
- IPSec — 隧道模式
- IPsec 加密 — 空
IPsec 设置
有关配置 IPsec 通道设置的详细信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
应用程序对象
确保已配置应用程序对象。有关配置应用程序路由的详细信息,请参阅应用程序分类主题。
注意:
作为自动化工作流的一部分,不支持 GRE 隧道配置。但是,仍允许手动配置。有关详细信息,请参阅使用 GRE 通道和 IPsec 通道的 Zscaler 集成。