Palo Alto Network 集成
Palo Alto Networks 提供基于云的安全基础架构,用于保护远程网络。它通过允许组织设置区域性、基于云的防火墙来保护 SD-WAN 架构,从而提供安全保护。
Prisma Access 远程网络服务允许您加入远程网络位置并为用户提供安全保护。它消除了在每个远程位置配置和管理设备的复杂性。该服务提供了一种高效的方式,可以轻松添加新的远程网络位置,并最大限度地减少了确保这些位置的用户始终连接和安全所面临的运营挑战,并且允许您从 Panorama 集中管理策略,以实现远程网络位置的一致且简化的安全性。
要将远程网络位置连接到 Prisma Access 服务,您可以使用 Palo Alto Networks 下一代防火墙或包括 SD-WAN 在内的第三方、符合 IPSec 标准的设备,它们可以与该服务建立 IPsec 隧道。
- 规划 Prisma Access 远程网络服务
- 配置 Prisma Access 远程网络服务
- 通过配置导入加入远程网络
Citrix SD-WAN™ 解决方案已提供从分支机构分流 Internet 流量的功能。这对于提供更可靠、低延迟的用户体验至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto Networks 现在为分布式企业提供一种更可靠、更安全的方式,可将分支机构中的用户连接到云中的应用程序。
Citrix SD-WAN 设备可以通过 IPsec 隧道连接到 Palo Alto 云服务 (Prisma Access 服务) 网络,从 SD-WAN 设备位置,只需最少的配置。您可以在 Citrix SD-WAN Center 中配置 Palo Alto 网络。
在开始配置 Prisma Access 远程网络服务之前,请确保您已准备好以下配置,以确保您能够成功启用该服务并为远程网络位置中的用户实施策略:
- 服务连接— 如果您的远程网络位置需要访问公司总部的基础架构以验证用户身份或启用对关键网络资产的访问,则必须设置对公司网络的访问,以便总部和远程网络位置能够连接。
如果远程网络位置是自治的,并且不需要访问其他位置的基础架构,则无需设置服务连接(除非您的移动用户需要访问)。
-
模板— Prisma Access 服务会自动为 Prisma Access 远程网络服务创建一个模板堆栈 (Remote_Network_Template_Stack) 和一个顶级模板 (Remote_Network_Template)。要配置 Prisma Access 远程网络服务,您可以从头开始配置顶级模板或利用现有配置(如果您已在本地运行 Palo Alto Networks 防火墙)。
该模板需要用于建立 IPsec 隧道和 Internet 密钥交换 (IKE) 配置的设置,用于远程网络位置与 Prisma Access 远程网络服务之间的协议协商,您可以在安全策略中引用的区域,以及一个日志转发配置文件,以便您可以将日志从 Prisma Access 远程网络服务转发到日志记录服务。
-
父设备组— Prisma Access 远程网络服务要求您指定一个父设备组,其中包含您的安全策略、安全配置文件和其他策略对象(例如应用程序组和对象以及地址组),以及身份验证策略,以便 Prisma Access 远程网络服务能够对通过 IPsec 隧道路由到 Prisma Access 远程网络服务的流量一致地实施策略。您需要在 Panorama 上定义策略规则和对象,或使用现有设备组来保护远程网络位置中的用户。
注意:
如果您使用引用区域的现有设备组,请务必将定义这些区域的相应模板添加到 Remote_Network_Template_Stack。
这允许您在配置 Prisma Access 远程网络服务时完成区域映射。
-
IP 子网— 为了使 Prisma Access 服务能够将流量路由到您的远程网络,您必须提供要使用 Prisma Access 服务保护的子网络的路由信息。您可以为远程网络位置的每个子网络定义静态路由,或在您的服务连接位置与 Prisma Access 服务之间配置 BGP,或结合使用这两种方法。
如果您同时配置静态路由并启用 BGP,则静态路由优先。虽然如果您的远程网络位置只有少量子网络,使用静态路由可能很方便,但在具有许多重叠子网的远程网络的大型部署中,BGP 将使您能够更轻松地进行扩展。
Palo Alto Networks 在 SD-WAN Center 中
确保满足以下先决条件:
- 从 Prisma Access 服务获取 Panorama IP 地址。
- 获取 Prisma Access 服务中使用的用户名和密码。
- 在 SD-WAN 设备 GUI 中配置 IPsec 隧道。
- 确保站点未加入到某个区域,该区域已配置了除 Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default 之外的 ike/ipsec 配置文件的不同站点。
- 确保当 SD-WAN Center 更新配置时,Prisma Access 配置不会手动更改。
在 Citrix SD-WAN Center GUI 中,提供 Palo Alto 订阅信息。
- 配置 Panorama IP 地址。您可以从 Palo Alto (Prisma Access 服务) 获取此 IP 地址。
- 配置在 Prisma Access 服务中使用的用户名和密码。
添加和部署站点
-
要部署站点,请选择 Prisma Access 网络区域以及要为 Prisma Access 区域配置的 SD-WAN 站点,然后选择站点的 WAN 链路、带宽和用于流量选择的应用程序对象。
注意:
如果所选带宽超出可用带宽范围,则会影响流量流。
您可以通过在“应用程序对象选择”下选择 “所有流量” 选项,将所有 Internet 绑定流量重定向到 Prisma Access 服务。
-
您可以根据需要继续添加更多 SD-WAN 分支站点。
-
单击 “部署”。更改管理过程已启动。单击 “是” 继续。
部署后,用于建立隧道的 IPsec 隧道配置如下。
登录页面显示了所有已配置站点的列表,并按不同的 SD-WAN 区域分组。
验证端到端流量连接:
- 从分支机构的 LAN 子网访问 Internet 资源。
- 验证流量是否通过 Citrix SD-WAN IPsec 隧道到 Palo Alto Prisma Access。
- 验证 Palo Alto 安全策略是否应用于“监控”选项卡下的流量。
- 验证从 Internet 到分支机构中主机的响应是否通过。