将 Citrix SD-WAN™ 与 Zscaler 集成(使用 Citrix SD-WAN Center)
Citrix SD-WAN 和 Zscaler 通过为托管在互联网上的应用程序和资源提供安全的本地分流,帮助企业改造其广域网 (WAN) 以实现云迁移。SD-WAN 等新型 WAN 基础设施技术提高了网络敏捷性和可扩展性,同时降低了成本和复杂性,从而改善了分布式组织的用户体验。
SD-WAN 解决方案通过允许目标是云的流量本地分流到互联网来简化路由。SD-WAN 通过使用应用程序导向功能,为将流量路由到互联网(移除中心数据中心环境)提供了灵活性。但是,将网络暴露给互联网会带来重大的安全风险。通过云服务保护本地分流的集中式方法消除了维护分支机构安全基础设施的开销。所有流量都通过分支网络中的 Citrix SD-WAN 可靠且安全地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,并保护您的网络免受威胁和漏洞侵害。
Citrix SD-WAN
Citrix SD-WAN 通过内置有状态防火墙安全地启用本地分支到互联网的分流,帮助企业迁移到云,该防火墙可用于创建允许或拒绝直接从分支机构访问互联网的策略。Citrix SD-WAN 通过结合包含 4,000 多个应用程序(包括单个 SaaS 应用程序)的集成数据库来识别应用程序,并使用深度包检测技术实时发现和分类应用程序。它利用此应用程序知识将流量从分支机构导向互联网、云或 SaaS。
Zscaler
Zscaler 是领先的基于云的安全平台,无需本地硬件、设备或软件即可提供卓越的安全性。Zscaler 在互联网周围设置了边界,因此企业无需在每个办公室周围设置安全边界。Zscaler 云安全平台充当全球 100 多个数据中心的一系列安全检查站。通过将互联网流量重定向到 Zscaler,企业可以立即保护商店、分支机构和远程位置。Zscaler 连接用户和互联网,检查每个字节的流量——即使它已加密或压缩——从而确保用户安全,并在所有隐藏威胁渗透企业网络之前将其识别。
Citrix SD-WAN 允许创建策略以实现从分支机构直接互联网分流,而 Zscaler 的云安全平台通过在靠近用户连接位置的云服务中检查所有互联网出站流量来确保 IT 安全。
Zscaler 强制执行节点 (ZEN)
Citrix SD-WAN 支持 Zscaler API,用于自动化创建 Citrix SD-WAN 与 Zscaler 云网络中的 Zscaler 强制执行节点 (ZEN) 之间的 IPsec 隧道。ZEN 是功能齐全的内联互联网安全网关,可双向检查所有互联网流量以查找恶意软件,并强制执行安全和合规策略。
Zscaler API 为每个分支机构提供两个最近的数据中心位置,从而允许 SD-WAN 有效地导向流量。组织可以允许 Zscaler 通过让 ZEN 查看在 Citrix SD-WAN 上配置的 WAN 链路的 IP 地址来自动选择离分支机构最近的 ZEN,也可以手动选择 ZEN。
注意
如果隧道处于 UP 状态,两条路由将始终处于活动模式。如果任何隧道发生故障,相应的路由将变得不可达,而另一种路由在这种情况下保持 UP 状态。
优势
集成 Citrix SD-WAN 和 Zscaler 的优势包括:
- 在分布式企业中更快地采用 SaaS 和云。
- 将安全性作为云服务集中化,消除了在每个分支机构部署安全性的需要。
- 消除了回传互联网出站流量的需要,允许分支机构进行本地互联网分流。
- 通过自动化连接到安全 Web 网关来简化 IT 管理。
- API 支持自动化配置到 Zscaler 的安全隧道。
- 通过减少回传 SaaS 流量造成的延迟来改善用户体验。
- 消除了出于安全目的对中心辐射型模型(hub-and-spoke model)的依赖。
- 消除分支机构昂贵的安全堆栈。
- 减少了在分支机构部署和管理防火墙的开销。
- 确保互联网出站流量始终安全。
- 安全策略不将用户绑定到物理位置。
- 提供沙盒、检查所有端口和协议(包括 SSL)、URL 过滤、高级威胁防护等,以防范零日攻击。
支持的功能
使用 SD-WAN 设备部署 Zscaler 支持以下功能:
- 将用户定义的互联网流量转发到 Zscaler,从而实现直接互联网分流。
- 基于每个客户站点的使用 Zscaler 的直接互联网访问 (DIA)。
- 在某些站点,您可能希望使用本地安全设备提供 DIA,而不使用 Zscaler。
- 在某些站点,您可能选择将流量回传到另一个客户站点以进行互联网访问。
- 虚拟路由和转发部署。
- 一个 WAN 链路作为互联网服务的一部分。
Zscaler 是一种云服务。您必须将其设置为服务并定义底层 WAN 链路:
- 在数据中心和分支站点配置受信任的公共互联网 WAN 链路。
- 自动配置 IPsec 隧道用于内网服务。
在 Citrix SD-WAN Center 工作流程中部署 Zscaler
以下是定义在 SD-WAN Center 中部署 Zscaler 工作流程的高级步骤。
-
将 Zscaler 订阅配置到 SD-WAN Center(一次性)。登录 Zscaler 站点以获取订阅信息。
-
在 Citrix SD-WAN Center GUI 中选择 部署。
- 使用互联网 WAN 链路和预配置的应用程序对象部署站点配置。
- 建立连接。
- 获取/更新 IPsec 状态。
Zscaler 订阅
在继续在 SD-WAN Center 中配置 Zscaler 之前,您需要登录 Zscaler 门户。
-
登录 Zscaler 站点以获取订阅信息。“仪表板”页面打开。
-
单击 Administration > Partner Integrations。
-
在 Partner Integrations 页面上选择 SD-WAN。单击 Add Partner Key。
-
为合作伙伴密钥选择 Citrix® SDWAN,然后单击 Generate。存储密钥。
在 Citrix SD-WAN Center 中配置 Zscaler
-
在 Citrix SD-WAN Center GUI 中,导航到 Configuration > Security 页面。“Zscaler Configured Sites”页面打开。
-
单击 Subscription。输入在前面步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler Username 和 Password。选择 Zscaler Cloud Name、Zscaler Log Level,然后单击 Apply。
-
ZEN 提供此 Zscaler 云订阅的可用 VPN 端点列表。
-
输入 Zscaler 订阅和 ZEN 详细信息后,您可以开始向 Zscaler 添加站点。单击 Add。
-
在“Configure Sites to Zscaler”对话框中,添加 Site、WAN Link 和 Application Objects。默认情况下,Auto assign ZEN 选项处于选中状态。
您可以手动选择 ZEN。但是,将显示以下消息,通知未保存的更改将丢失。
-
选择所需的站点,然后单击 Deploy。您可以通过选择 Add Multiple 来添加多个站点。所选站点已部署,并显示配置页面。
请注意,主 ZEN 和辅助 ZEN IP 地址已填充,部署状态为 Connection Active。
-
如果您更改了配置站点的 VPN 端点或应用程序对象,请单击 Re-Deploy。对 SD-WAN Center 中配置的站点的任何更改都将触发在分支站点和数据中心站点上配置的设备上的变更管理过程。
删除站点也会触发变更管理过程。
监控和故障排除
选择已配置的站点,查看有关应用程序对象和主/辅助 IP 地址的更多信息。您可以单击“详细信息”图标,查看有关已配置站点的完整信息。
您可以查看和下载 Zscaler 日志,这些日志可用于排查 Citrix SD-WAN Center 中的问题。
要查看 Zscaler 日志文件:
-
在 Citrix SD-WAN Center Web 界面中,单击“Monitoring”选项卡 > “Diagnostics”。
-
从“Log File”下拉列表中,选择要查看的 Zscaler 日志文件。单击 View。
-
如果要将日志文件下载到计算机,请单击 Download。
IPsec 隧道配置
SD-WAN Center GUI 中的“详细信息”页面提供有关 IPsec 隧道配置到主端点和辅助端点的信息。对等 IP 从 Zscaler 获取。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 隧道配置。
IKE 设置
选择以下 IKE/IPSec 设置用于 SD-WAN 设备中的 IPsec 隧道配置。有关配置 IPsec 隧道 – IKE 设置的更多信息,请参阅:如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道 主题。
- IKE 版本 - IKEv2
- IKE 标识 – User FQDN
- 哈希算法 - SHA-256
- 完整性算法 – SHA-256
- 加密模式 – AES 256 Bits
- IPsec – 隧道模式
- IPsec 加密 – Null
IPsec 设置
有关配置 IPsec 隧道设置的更多信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道 主题。
应用程序对象
确保已配置应用程序对象。有关配置应用程序路由的更多信息,请参阅应用程序分类 主题。
注意
GRE 隧道配置不支持作为自动化工作流程的一部分。但是,仍然允许手动配置。有关更多信息,请参阅使用 GRE 隧道和 IPsec 隧道集成 Zscaler。