使用 Citrix SD-WAN Center 集成 Citrix SD-WAN™ 和 Zscaler
Citrix SD-WAN 和 Zscaler 通过为托管在 Internet 上的应用程序和资源提供安全的本地分流,帮助企业改造其广域网以实现云迁移。SD-WAN 等新型广域网基础设施技术可提高网络敏捷性和可扩展性,同时降低成本和复杂性,从而改善分布式组织中的用户体验。
SD-WAN 解决方案通过允许流向云的流量在本地分流到 Internet 来简化路由。SD-WAN 通过使用应用程序导向功能,为将流量路由到 Internet(移除中央数据中心环境)提供了灵活性。但是,将网络暴露给 Internet 会带来重大的安全风险。通过云服务保护本地分流的集中式方法消除了在分支机构维护安全基础设施的开销。在分支网络中,所有流量都通过 Citrix SD-WAN 可靠且安全地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,并保护您的网络免受威胁和漏洞的侵害。
Citrix SD-WAN
Citrix SD-WAN 通过内置有状态防火墙安全地实现本地分支到 Internet 的分流,从而帮助企业迁移到云,该防火墙可用于创建允许或拒绝直接从分支机构访问 Internet 的策略。Citrix SD-WAN 通过结合包含 4,000 多个应用程序(包括单个 SaaS 应用程序)的集成数据库来识别应用程序,并使用深度包检测技术实时发现和分类应用程序。它利用此应用程序知识将流量从分支机构导向 Internet、云或 SaaS。
Zscaler
Zscaler 是领先的基于云的安全平台,无需本地硬件、设备或软件即可提供卓越的安全性。Zscaler 在 Internet 周围设置了安全边界,因此企业无需在每个办公室周围设置安全边界。Zscaler 云安全平台在全球 100 多个数据中心充当一系列安全检查站。通过将互联网流量重定向到 Zscaler,企业可以即时保护商店、分支机构和远程位置。Zscaler 连接用户和 Internet,检查每一字节的流量(即使是加密或压缩的流量),从而确保用户安全,并在隐藏威胁渗透企业网络之前识别所有隐藏威胁。
Citrix SD-WAN 允许创建策略,以实现从分支机构直接分流到 Internet,而 Zscaler 的云安全平台通过在靠近用户连接的云服务中检查所有面向 Internet 的流量,确保 IT 安全。
Zscaler 实施节点 (ZEN)
Citrix SD-WAN 支持 Zscaler API,用于自动创建 Citrix SD-WAN 与 Zscaler 云网络中的 Zscaler 实施节点 (ZEN) 之间的 IPsec 隧道。ZEN 是功能齐全的内联互联网安全网关,可双向检查所有互联网流量是否存在恶意软件,并强制执行安全和合规策略。
Zscaler API 为每个分支机构提供两个最近的数据中心位置,从而使 SD-WAN 能够有效地引导流量。组织可以允许 Zscaler 通过让 ZEN 查看 Citrix SD-WAN 上配置的广域网链路的 IP 地址来自动选择离分支机构最近的 ZEN,也可以手动选择 ZEN。
注意
如果隧道已启动,则两条路由始终处于活动模式。如果任何隧道关闭,则相应的路由将变得不可访问,在这种情况下,另一条路由将保持启动状态。
优势
集成 Citrix SD-WAN 和 Zscaler 的优势包括:
- 在分布式企业中更快地采用 SaaS 和云。
- 将安全性作为云服务进行集中管理,消除了在每个分支机构部署安全性的需要。
- 消除了回传面向 Internet 的流量的需要,允许在分支机构进行本地 Internet 分流。
- 通过与安全 Web 网关的自动化连接简化 IT 管理。
- API 支持自动化配置到 Zscaler 的安全隧道
- 通过减少回传 SaaS 流量的延迟来改善用户体验。
- 消除了出于安全目的对中心辐射模型的依赖
- 消除了分支机构昂贵的安全堆栈
- 减少了在分支机构部署和管理防火墙的开销。
- 确保面向 Internet 的流量始终安全。
- 安全策略不将用户绑定到物理位置。
- 提供沙盒、所有端口和协议(包括 SSL)的检查、URL 过滤、高级威胁防护等,以防范零日攻击。
支持的功能
使用 SD-WAN 设备部署 Zscaler 支持以下功能:
- 将用户定义的 Internet 流量转发到 Zscaler,从而实现直接 Internet 分流。
- 基于每个客户站点使用 Zscaler 进行直接 Internet 访问 (DIA)。
- 在某些站点,您可能希望使用本地安全设备提供 DIA,而不使用 Zscaler。
- 在某些站点,您可能选择将流量回传到另一个客户站点以进行 Internet 访问。
- 虚拟路由和转发部署。
- 一个广域网链路作为互联网服务的一部分。
Zscaler 是一种云服务。您必须将其设置为服务并定义底层广域网链路:
- 在数据中心和分支站点配置可信的公共互联网广域网链路。
- 自动配置用于内网服务的 IPsec 隧道。
在 Citrix SD-WAN Center 工作流中部署 Zscaler
以下是定义在 SD-WAN Center 中部署 Zscaler 的工作流的高级步骤。
-
将 Zscaler 订阅配置到 SD-WAN Center(一次性)。登录 Zscaler 站点以获取订阅信息。
-
在 Citrix SD-WAN Center GUI 中选择部署。
- 使用互联网广域网链路和预配置的应用程序对象部署站点配置。
- 建立连接。
- 获取/更新 IPsec 状态。
Zscaler 订阅
在继续在 SD-WAN Center 中配置 Zscaler 之前,您需要登录 Zscaler 门户。
-
登录 Zscaler 站点以获取订阅信息。将打开“控制面板”页面。
-
单击管理 > 合作伙伴集成。
-
在合作伙伴集成页面上选择 SD-WAN。单击添加合作伙伴密钥。
-
为合作伙伴密钥选择 Citrix® SDWAN,然后单击生成。存储该密钥。
在 Citrix SD-WAN Center 中配置 Zscaler
-
在 Citrix SD-WAN Center GUI 中,导航到配置 > 安全页面。将打开已配置 Zscaler 的站点页面。
-
单击订阅。输入在前面步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler 用户名和密码。选择 Zscaler 云名称、Zscaler 日志级别,然后单击应用。
-
ZEN 提供此 Zscaler 云订阅可用的 VPN 端点列表。
-
输入 Zscaler 订阅和 ZEN 详细信息后,您可以开始向 Zscaler 添加站点。单击添加。
-
在配置 Zscaler 站点对话框中,添加站点、广域网链路和应用程序对象。默认情况下,自动分配 ZEN 选项处于选中状态。
您可以手动选择 ZEN。但是,会出现以下消息,通知您未保存的更改将丢失。
-
选择所需的站点,然后单击部署。您可以通过选择添加多个来选择添加多个站点。所选站点将部署,并显示配置页面。
请注意,主要和辅助 ZEN IP 地址已填充,并且部署状态为连接活动。
-
如果您更改了已配置站点的 VPN 端点或应用程序对象,请单击重新部署。对 SD-WAN Center 中已配置站点的任何更改都会触发分支站点和数据中心站点上配置的设备的变更管理过程。
删除站点也会触发变更管理过程。
监控和故障排除
选择已配置的站点以查看有关应用程序对象和主要/辅助 IP 地址的更多信息。您可以单击详细信息图标以查看有关已配置站点的完整信息。
您可以查看和下载 Zscaler 日志,这些日志可用于解决 Citrix SD-WAN Center 中的问题。
要查看 Zscaler 日志文件:
-
在 Citrix SD-WAN Center Web 界面中,单击监控选项卡 > 诊断。
-
从日志文件下拉列表中,选择要查看的 Zscaler 日志文件。单击查看。
-
如果要将日志文件下载到计算机,请单击下载。
IPsec 隧道配置
SD-WAN Center GUI 中的“详细信息”页面提供有关到主要和辅助端点的 IPsec 隧道配置的信息。对等 IP 从 Zscaler 获取。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 隧道配置。
IKE 设置
为 SD-WAN 设备中的 IPsec 隧道配置选择了以下 IKE/IPSec 设置。有关配置 IPsec 隧道 – IKE 设置的更多信息,请参阅:如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
- IKE 版本 - IKEv2
- IKE 身份 – 用户 FQDN
- 哈希算法 - SHA-256
- 完整性算法 – SHA-256
- 加密模式 – AES 256 位
- IPsec – 隧道模式
- IPsec 加密 – 空
IPsec 设置
有关配置 IPsec 隧道设置的更多信息,请参阅如何在 SD-WAN 和第三方设备之间配置 IPsec 隧道主题。
应用程序对象
确保已配置应用程序对象。有关配置应用程序路由的更多信息,请参阅应用程序分类主题。
注意
GRE 隧道配置不支持作为自动化工作流的一部分。但是,仍然允许手动配置。有关更多信息,请参阅使用 GRE 隧道和 IPsec 隧道进行 Zscaler 集成。