使用 Citrix SD-WAN Center 集成 Citrix SD-WAN™ 和 Zscaler
Citrix SD-WAN 和 Zscaler 通过为托管在 Internet 上的应用程序和资源提供安全的本地分流,帮助企业改造其 WAN 以进行云迁移。SD-WAN 等新型 WAN 基础设施技术可提高网络敏捷性和可扩展性,同时降低分布式组织的成本和复杂性,从而改善用户体验。
SD-WAN 解决方案通过允许目标为云的流量本地分流到 Internet 来简化路由。SD-WAN 通过使用应用程序引导功能,为将流量路由到 Internet(移除中心 DC 环境)提供了灵活性。但是,将网络暴露给 Internet 会带来重大的安全风险。通过云服务保护本地分流的集中式方法消除了在分支机构维护安全基础设施的开销。所有流量都通过分支网络中的 Citrix SD-WAN 可靠且安全地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,并保护您的网络免受威胁和漏洞侵害。
Citrix SD-WAN
Citrix SD-WAN 通过内置有状态防火墙安全地启用本地分支到 Internet 的分流,帮助企业迁移到云,该防火墙用于创建可允许或拒绝直接从分支机构访问 Internet 的策略。Citrix SD-WAN 通过包含 4,000 多个应用程序(包括单个 SaaS 应用程序)的集成数据库,并使用深度包检测技术进行应用程序的实时发现和分类,来识别应用程序。它利用此应用程序知识将流量从分支机构引导到 Internet、云或 SaaS。
Zscaler
Zscaler 是领先的基于云的安全平台,无需本地硬件、设备或软件即可提供卓越的安全性。Zscaler 在 Internet 周围设置了边界,因此企业无需在每个办公室周围设置安全边界。Zscaler 云安全平台在全球 100 多个数据中心充当一系列安全检查站。通过将 Internet 流量重定向到 Zscaler,企业可以立即保护商店、分支机构和远程位置。Zscaler 连接用户和 Internet,检查每个字节的流量(即使是加密或压缩的),从而确保用户安全,并在隐藏威胁渗透企业网络之前识别所有隐藏威胁。
Citrix SD-WAN 允许创建启用从分支机构直接 Internet 分流的策略,而 Zscaler 的云安全平台通过在靠近用户连接点的云服务中检查所有 Internet 流量来确保 IT 安全。
Zscaler enforcement nodes (ZENs)
Citrix SD-WAN 支持 Zscaler API,用于在 Citrix SD-WAN 和 Zscaler 云网络中的 Zscaler Enforcement Nodes (ZENs) 之间自动创建 IPsec 隧道。ZENs 是功能齐全的内联 Internet 安全网关,可双向检查所有 Internet 流量以查找恶意软件,并强制执行安全和合规策略。
Zscaler API 为每个分支机构提供两个最近的数据中心位置,从而允许 SD-WAN 有效地引导流量。组织可以允许 Zscaler 通过让 ZEN 查看 Citrix SD-WAN 上配置的 WAN 链路的 IP 地址来自动选择离分支机构最近的 ZEN,也可以手动选择 ZENs。
注意
如果隧道处于活动状态,则两条路由始终处于活动模式。如果任何隧道断开,则相应的路由将变得不可达,在这种情况下,另一条路由将保持活动状态。
优势
集成 Citrix SD-WAN 和 Zscaler 的优势包括:
- 在分布式企业中更快地采用 SaaS 和云。
- 将安全性作为云服务集中化,消除了在每个分支机构部署安全性的需求。
- 消除了回传 Internet 流量的需求,允许在分支机构进行本地 Internet 分流。
- 通过与安全 Web 网关的自动化连接简化 IT 管理。
- API 支持自动化配置到 Zscaler 的安全隧道
- 通过减少回传 SaaS 流量的延迟来改善用户体验。
- 消除了出于安全目的对中心辐射型模型的依赖
- 消除分支机构昂贵的安全堆栈
- 减少在分支机构部署和管理防火墙的开销。
- 确保 Internet 流量始终安全。
- 安全策略不将用户绑定到物理位置。
- 提供沙盒、检查所有端口和协议(包括 SSL)、URL 过滤、高级威胁防护等,以防范零日攻击。
支持的功能
使用 SD-WAN 设备部署 Zscaler 支持以下功能:
- 将用户定义的 Internet 流量转发到 Zscaler,从而启用直接 Internet 分流。
- 基于每个客户站点的使用 Zscaler 的直接 Internet 访问 (DIA)。
- 在某些站点上,您可能希望使用本地安全设备提供 DIA,而不使用 Zscaler。
- 在某些站点上,您可能选择将流量回传到另一个客户站点以进行 Internet 访问。
- 虚拟路由和转发部署。
- 一个 WAN 链路作为 Internet 服务的一部分。
Zscaler 是一种云服务。您必须将其设置为服务并定义底层 WAN 链路:
- 在数据中心和分支站点配置受信任的公共 Internet WAN 链路。
- 自动配置用于内网服务的 IPsec 隧道。
在 Citrix SD-WAN Center 工作流程中部署 Zscaler
以下是定义在 SD-WAN Center 中部署 Zscaler 的工作流程的高级步骤。
-
将 Zscaler 订阅配置到 SD-WAN Center(一次性)。登录 Zscaler 站点以获取订阅信息。
-
在 Citrix SD-WAN Center GUI 中选择“部署”。
- 使用 Internet WAN 链路和预配置的应用程序对象部署站点配置。
- 建立连接。
- 获取/更新 IPsec 状态。
Zscaler 订阅
在继续在 SD-WAN Center 中配置 Zscaler 之前,您需要登录 Zscaler 门户。
-
登录 Zscaler 站点以获取订阅信息。“仪表板”页面打开。
-
单击“管理 > 合作伙伴集成”。
-
在“合作伙伴集成”页面上选择“SD-WAN”。单击“添加合作伙伴密钥”。
-
为合作伙伴密钥选择“Citrix® SDWAN”,然后单击“生成”。存储密钥。
在 Citrix SD-WAN Center 中配置 Zscaler
-
在 Citrix SD-WAN Center GUI 中,导航到“配置 > 安全”页面。“Zscaler 已配置站点”页面打开。
-
单击“订阅”。输入在前面步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler“用户名”和“密码”。选择“Zscaler 云名称”、“Zscaler 日志级别”,然后单击“应用”。
-
ZENs 提供此 Zscaler 云订阅的可用 VPN 端点列表。
-
输入 Zscaler 订阅和 ZEN 详细信息后,您可以开始将站点添加到 Zscaler。单击“添加”。
-
在“将站点配置到 Zscaler”对话框中,添加“站点”、“WAN 链路”和“应用程序对象”。默认情况下,选中“自动分配 ZEN”选项。
您可以“手动选择 ZEN”。但是,将出现以下消息,通知您未保存的更改将丢失。
-
选择所需站点,然后单击“部署”。您可以通过选择“添加多个”来添加多个站点。选定的站点已部署,并显示配置页面。
观察到主 ZEN 和辅助 ZEN IP 地址已填充,并且部署状态为“连接活动”。
-
如果您更改了已配置站点的 VPN 端点或应用程序对象,请单击“重新部署”。对 SD-WAN Center 中已配置站点的任何更改都会触发分支站点和 DC 站点上配置的设备上的“更改管理”过程。
删除站点也会触发更改管理过程。
监视和故障排除
选择已配置的站点以查看有关应用程序对象和主/辅助 IP 地址的更多信息。您可以单击“详细信息”图标以查看有关已配置站点的完整信息。
您可以查看和下载 Zscaler 日志,这些日志可用于解决 Citrix SD-WAN Center 中的问题。
要查看 Zscaler 日志文件:
-
在 Citrix SD-WAN Center Web 界面中,单击“监视”选项卡 > “诊断”。
-
从“日志文件”下拉列表中,选择要查看的 Zscaler 日志文件。单击“查看”。
-
如果要将日志文件下载到计算机,请单击“下载”。
IPsec 隧道配置
SD-WAN Center GUI 中的“详细信息”页面提供有关到主端点和辅助端点的 IPsec 隧道配置的信息。对等 IP 从 Zscaler 获取。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 隧道配置。
IKE 设置
以下 IKE/IPSec 设置是为 SD-WAN 设备中的 IPsec 隧道配置选择的。有关配置 IPsec 隧道 – IKE 设置的更多信息,请参阅;如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
- IKE 版本 - IKEv2
- IKE 身份 – 用户 FQDN
- 哈希算法 - SHA-256
- 完整性算法 – SHA-256
- 加密模式 – AES 256 位
- IPsec – 隧道模式
- IPsec 加密 – Null
IPsec 设置
有关配置 IPsec 隧道设置的更多信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
应用程序对象
确保已配置应用程序对象。有关配置应用程序路由的更多信息,请参阅应用程序分类主题。
注意
GRE 隧道配置不作为自动化工作流程的一部分受支持。但是,仍然允许手动配置。有关详细信息,请参阅使用 GRE 隧道和 IPsec 隧道进行 Zscaler 集成。