Palo Alto Network 集成
Palo Alto Networks 提供基于云的安全基础架构,用于保护远程网络。它通过允许组织设置区域性、基于云的防火墙来保护 SD-WAN 结构,从而提供安全性。
适用于远程网络的 Prisma Access 服务允许您载入远程网络位置并为用户提供安全性。它消除了在每个远程位置配置和管理设备的复杂性。该服务提供了一种有效的方式,可以轻松添加新的远程网络位置,并最大限度地减少确保这些位置的用户始终保持连接和安全的操作挑战,它还允许您从 Panorama 集中管理策略,从而为您的远程网络位置提供一致且简化的安全性。
要将远程网络位置连接到 Prisma Access 服务,您可以使用 Palo Alto Networks 下一代防火墙或第三方、符合 IPsec 标准的设备(包括 SD-WAN),这些设备可以建立到服务的 IPsec 隧道。
-
规划适用于远程网络的 Prisma Access 服务
-
配置适用于远程网络的 Prisma Access 服务
-
通过配置导入载入远程网络
Citrix SD-WAN™ 解决方案已提供从分支机构分流 Internet 流量的功能。这对于提供更可靠、低延迟的用户体验至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto Networks 现在为分布式企业提供了一种更可靠、更安全的方式,将分支机构用户连接到云中的应用程序。
Citrix SD-WAN 设备可以通过 IPsec 隧道从 SD-WAN 设备位置连接到 Palo Alto 云服务 (Prisma Access Service) 网络,只需最少的配置。您可以在 Citrix SD-WAN Center 中配置 Palo Alto network。
在开始配置适用于远程网络的 Prisma Access 服务之前,请确保您已准备好以下配置,以确保您能够成功启用服务并为远程网络位置中的用户实施策略:
- 服务连接— 如果您的远程网络位置需要访问公司总部的基础架构以验证用户或启用对关键网络资产的访问,则必须设置对公司网络的访问,以便总部和远程网络位置连接。
如果远程网络位置是自治的,并且不需要访问其他位置的基础架构,则无需设置服务连接(除非您的移动用户需要访问)。
-
模板— Prisma Access 服务会自动为适用于远程网络的 Prisma Access 服务创建模板堆栈 (Remote_Network_Template_Stack) 和顶级模板 (Remote_Network_Template)。要配置适用于远程网络的 Prisma Access 服务,您可以从头开始配置顶级模板,或者如果您已在本地运行 Palo Alto Networks 防火墙,则可以利用现有配置。
该模板需要用于建立 IPsec 隧道和 Internet 密钥交换 (IKE) 配置的设置,以用于远程网络位置与适用于远程网络的 Prisma Access 服务之间的协议协商、可在安全策略中引用的区域,以及日志转发配置文件,以便您可以将日志从适用于远程网络的 Prisma Access 服务转发到日志记录服务。
-
父设备组— 适用于远程网络的 Prisma Access 服务要求您指定一个父设备组,该组包括您的安全策略、安全配置文件和其他策略对象(例如应用程序组和对象以及地址组),以及身份验证策略,以便适用于远程网络的 Prisma Access 服务可以对通过 IPsec 隧道路由到适用于远程网络的 Prisma Access 服务的流量一致地实施策略。您需要在 Panorama 上定义策略规则和对象,或使用现有设备组来保护远程网络位置中的用户。
注意:
如果您使用引用区域的现有设备组,请确保将定义这些区域的相应模板添加到 Remote_Network_Template_Stack。
这允许您在配置适用于远程网络的 Prisma Access 服务时完成区域映射。
-
IP 子网— 为了使 Prisma Access 服务将流量路由到您的远程网络,您必须提供要使用 Prisma Access 服务保护的子网络的路由信息。您可以为远程网络位置的每个子网络定义静态路由,或者在服务连接位置与 Prisma Access 服务之间配置 BGP,或者使用这两种方法的组合。
如果您同时配置静态路由并启用 BGP,则静态路由优先。虽然如果您的远程网络位置只有少数子网络,使用静态路由可能很方便,但在具有许多远程网络且子网重叠的大型部署中,BGP 将使您能够更轻松地进行扩展。
SD-WAN Center 中的 Palo Alto network
确保满足以下先决条件:
-
从 PRISMA ACCESS 服务获取 Panorama IP 地址。
-
获取 PRISMA ACCESS 服务中使用的用户名和密码。
-
在 SD-WAN 设备 GUI 中配置 IPsec 隧道。
-
确保站点未载入到已配置有除 Citrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default 之外的 ike/ipsec 配置文件的区域。
-
确保当 SD-WAN Center 更新配置时,Prisma Access 配置不会手动更改。
在 Citrix SD-WAN Center GUI 中,提供 Palo Alto 订阅信息。
-
配置 Panorama IP 地址。您可以从 Palo Alto (PRISMA ACCESS 服务) 获取此 IP 地址。
-
配置 PRISMA ACCESS 服务中使用的用户名和密码。
添加和部署站点
-
要部署站点,请选择 PRISMA ACCESS 网络区域和要为 Prisma Access 区域配置的 SD-WAN 站点,然后选择站点的 WAN 链路、带宽和用于流量选择的应用程序对象。
注意:
如果所选带宽超出可用带宽范围,流量流将受到影响。
您可以通过在“应用程序对象选择”下选择“所有流量”选项,将所有 Internet 绑定流量重定向到 PRISMA ACCESS 服务。
-
您可以根据需要继续添加更多 SD-WAN 分支站点。
-
单击“部署”。更改管理过程已启动。单击“是”继续。
部署后,用于建立隧道的 IPsec 隧道配置如下。
登录页面显示了在不同 SD-WAN 区域下配置和分组的所有站点的列表。
验证端到端流量连接:
-
从分支机构的 LAN 子网访问 Internet 资源。
-
验证流量是否通过 Citrix SD-WAN IPsec 隧道到达 Palo Alto Prisma Access。
-
验证 Palo Alto 安全策略是否应用于“监控”选项卡下的流量。
-
验证从 Internet 到分支机构主机的响应是否通过。