集成 Citrix SD-WAN™ 和 Zscaler(使用 Citrix SD-WAN Center)
Citrix SD-WAN 和 Zscaler 通过为托管在 Internet 上的应用程序和资源提供安全的本地分流,帮助企业通过云迁移改造其 WAN。SD-WAN 等新型 WAN 基础设施技术提高了网络敏捷性和可扩展性,同时降低了成本和复杂性,从而改善了分布式组织中的用户体验。
SD-WAN 解决方案通过允许流向云的流量在本地分流到 Internet 来简化路由。SD-WAN 通过使用应用程序导向功能,为将流量路由到 Internet 提供了灵活性(消除中央数据中心环境)。但是,将网络暴露给 Internet 会带来重大的安全风险。通过云服务保护本地分流的集中式方法消除了在分支机构维护安全基础设施的开销。所有流量都通过分支网络中的 Citrix SD-WAN 可靠且安全地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,并保护您的网络免受威胁和漏洞的侵害。
Citrix SD-WAN
Citrix SD-WAN 通过安全地启用本地分支到 Internet 的分流,并内置有状态防火墙,用于创建可直接从分支机构允许或拒绝 Internet 访问的策略,从而帮助企业迁移到云。Citrix SD-WAN 通过结合包含 4,000 多个应用程序(包括单个 SaaS 应用程序)的集成数据库来识别应用程序,并使用深度数据包检测技术进行应用程序的实时发现和分类。它利用此应用程序知识将流量从分支机构导向 Internet、云或 SaaS。
Zscaler
Zscaler 是领先的基于云的安全平台,无需本地硬件、设备或软件即可提供卓越的安全性。Zscaler 在 Internet 周围设置了边界,因此企业无需在每个办公室周围设置安全边界。Zscaler 云安全平台在全球 100 多个数据中心充当一系列安全检查站。通过将 Internet 流量重定向到 Zscaler,企业可以立即保护商店、分支机构和远程位置。Zscaler 连接用户和 Internet,检查每个字节的流量(即使是加密或压缩的),以确保用户安全,并在所有隐藏威胁渗透企业网络之前将其识别出来。
Citrix SD-WAN 允许创建策略,以实现从分支机构直接分流到 Internet,Zscaler 的云安全平台通过在靠近用户连接位置的云服务中检查所有 Internet 流量,确保 IT 安全。
Zscaler 强制执行节点 (ZEN)
Citrix SD-WAN 支持 Zscaler API,用于自动创建 Citrix SD-WAN 与 Zscaler 云网络中的 Zscaler 强制执行节点 (ZEN) 之间的 IPsec 隧道。ZEN 是功能齐全的内联 Internet 安全网关,可双向检查所有 Internet 流量是否存在恶意软件,并强制执行安全和合规性策略。
Zscaler API 提供距离每个分支机构最近的两个数据中心位置,从而使 SD-WAN 能够有效地导向流量。组织可以允许 Zscaler 通过让 ZEN 查看 Citrix SD-WAN 上配置的 WAN 链接的 IP 地址来自动选择距离分支机构最近的 ZEN,或者可以手动选择 ZEN。
注意
如果隧道处于 UP 状态,则两条路由始终处于活动模式。如果任何隧道发生故障,则相应的路由将变得不可达,而另一条路由将保持 UP 状态。
优势
集成 Citrix SD-WAN 和 Zscaler 的优势包括:
- 在分布式企业中更快地采用 SaaS 和云。
- 将安全性集中为云服务,消除了在每个分支机构部署安全性的需要。
- 消除了回传 Internet 流量的需要,允许在分支机构进行本地 Internet 分流。
- 通过自动连接到安全 Web 网关简化 IT 管理。
- API 支持可自动配置到 Zscaler 的安全隧道。
- 通过减少回传 SaaS 流量造成的延迟来改善用户体验。
- 消除了出于安全目的对中心辐射型模型的依赖。
- 消除分支机构昂贵的安全堆栈。
- 减少在分支机构部署和管理防火墙的开销。
- 确保 Internet 流量始终安全。
- 安全策略不将用户绑定到物理位置。
- 提供沙盒、所有端口和协议(包括 SSL)的检查、URL 过滤、高级威胁防护等,以防范零日攻击。
支持的功能
使用 SD-WAN 设备部署 Zscaler 支持以下功能:
- 将用户定义的 Internet 流量转发到 Zscaler,从而实现直接 Internet 分流。
- 基于每个客户站点使用 Zscaler 的直接 Internet 访问 (DIA)。
- 在某些站点,您可能希望使用本地安全设备提供 DIA,而不使用 Zscaler。
- 在某些站点,您可能选择将流量回传到另一个客户站点以进行 Internet 访问。
- 虚拟路由和转发部署。
- 一个 WAN 链接作为 Internet 服务的一部分。
Zscaler 是一种云服务。您必须将其设置为服务并定义底层 WAN 链接:
- 在数据中心和分支站点配置受信任的公共 Internet WAN 链接。
- 自动配置用于内网服务的 IPsec 隧道。
在 Citrix SD-WAN Center 工作流中部署 Zscaler
以下是定义在 SD-WAN Center 中部署 Zscaler 工作流的高级步骤。
-
将 Zscaler 订阅配置到 SD-WAN Center(一次性)。登录 Zscaler 站点以获取订阅信息。
-
在 Citrix SD-WAN Center GUI 中选择 Deploy。
- 使用 Internet WAN 链接和预配置的应用程序对象部署站点配置。
- 建立连接。
- 获取/更新 IPsec 状态。
Zscaler 订阅
在继续配置 SD-WAN Center 中的 Zscaler 之前,您需要登录 Zscaler 门户。
-
登录 Zscaler 站点以获取订阅信息。“仪表板”页面打开。
-
单击 Administration > Partner Integrations。
-
在 Partner Integrations 页面上选择 SD-WAN。单击 Add Partner Key。
-
为合作伙伴密钥选择 Citrix® SDWAN,然后单击 Generate。存储密钥。
在 Citrix SD-WAN Center 中配置 Zscaler
-
在 Citrix SD-WAN Center GUI 中,导航到 Configuration > Security 页面。“Zscaler Configured Sites”页面打开。
-
单击 Subscription。输入在前面步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler Username 和 Password。选择 Zscaler Cloud Name、Zscaler Log Level,然后单击 Apply。
-
ZEN 提供此 Zscaler 云订阅的可用 VPN 端点列表。
-
输入 Zscaler 订阅和 ZEN 详细信息后,您可以开始向 Zscaler 添加站点。单击 Add。
-
在“Configure Sites to Zscaler”对话框中,添加 Site、WAN Link 和 Application Objects。默认情况下,选中“Auto assign ZEN”选项。
您可以手动选择 ZEN。但是,将显示以下消息,通知您未保存的更改将丢失。
-
选择所需的站点,然后单击 Deploy。您可以通过选择 Add Multiple 来添加多个站点。选定的站点已部署,并显示配置页面。
请注意,主 ZEN 和辅助 ZEN IP 地址已填充,并且部署状态为 Connection Active。
-
如果您更改了配置站点的 VPN 端点或应用程序对象,请单击 Re-Deploy。对 SD-WAN Center 中配置的站点进行的任何更改都会触发分支站点和数据中心站点上配置的设备上的“更改管理”过程。
删除站点也会触发更改管理过程。
监视和故障排除
选择已配置的站点以查看有关应用程序对象和主/辅助 IP 地址的更多信息。您可以单击“详细信息”图标以查看有关已配置站点的完整信息。
您可以查看和下载 Zscaler 日志,这些日志可用于排查 Citrix SD-WAN Center 中的问题。
要查看 Zscaler 日志文件:
-
在 Citrix SD-WAN Center Web 界面中,单击“Monitoring”选项卡 > Diagnostics。
-
从“Log File”下拉列表中,选择要查看的 Zscaler 日志文件。单击 View。
-
如果要将日志文件下载到计算机,请单击 Download。
IPsec 隧道配置
SD-WAN Center GUI 中的“详细信息”页面提供有关到主端点和辅助端点的 IPsec 隧道配置的信息。对等 IP 从 Zscaler 获取。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 隧道配置。
IKE 设置
在 SD-WAN 设备中为 IPsec 隧道配置选择了以下 IKE/IPSec 设置。有关配置 IPsec 隧道 – IKE 设置的更多信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
- IKE 版本 - IKEv2
- IKE 身份 – 用户 FQDN
- 哈希算法 - SHA-256
- 完整性算法 – SHA-256
- 加密模式 – AES 256 位
- IPsec – 隧道模式
- IPsec 加密 – Null
IPsec 设置
有关配置 IPsec 隧道设置的更多信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
应用程序对象
确保已配置应用程序对象。有关配置应用程序路由的更多信息,请参阅应用程序分类主题。
注意
GRE 隧道配置不支持作为自动化工作流的一部分。但是,仍然允许手动配置。有关更多信息,请参阅使用 GRE 隧道和 IPsec 隧道集成 Zscaler。