-
-
Citrix SD-WAN Secure Web Gateway
-
使用 IPsec 通道进行 Palo Alto 集成
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
使用 IPsec 隧道的帕洛阿尔托集成
Palo Alto 网络提供基于云的安全基础设施,用于保护远程网络。它通过允许组织设置区域、基于云的防火墙来保护 SD-WAN 架构来提供安全性。
Citrix SD-WAN 解决方案已经提供了从分支中分离 Internet 流量的功能。这对于提供更可靠、低延迟的用户体验至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto 网络现在为分布式企业提供了一种更可靠和安全的方式,将分支机构中的用户连接到云中的应用程序。
Citrix SD-WAN 设备可以通过客户站点的 IPsec 隧道连接到帕洛阿尔托云服务(全球保护云服务)网络。
主要优势包括:
-
在全球范围内提供新一代安全性。
-
添加和管理位置-集中用户和策略部署。
-
将 IPsec 隧道通信转发到帕洛阿尔托网络。
-
将 SD-WAN 装置配置为高可用性模式-如果某个装置发生故障,则通过另一个装置建立 IPsec 隧道。
-
虚拟路由和转发部署。
-
一个 WAN 链接,作为 Internet 服务的一部分。
在 Citrix SD-WAN 图形用户界面中配置以下内容:
- 配置 IPsec 隧道。
- 将 IPsec 受保护的网络配置为本地 LAN 网络作为源子网,将目标子网配置为 0.0.0.0/0(通过隧道发送所有互联网流量)。
在帕洛阿尔托中配置以下内容:
- 配置所有必要的 IP 隧道详细信息。
- 使用 SD-WAN IPsec 隧道公共源 IP 地址配置 IPsec 对等项。
验证端到端流量连接:
- 从分支机构的 LAN 子网访问互联网资源。
- 验证流量是否通过 Citrix SD-WAN IPsec 隧道到帕洛阿尔托全局保护云服务。
- 验证是否对流量应用了帕洛阿尔托安全策略。
- 验证从互联网到分支中的主机的响应是通过的。
使用案例 1:分支机关到互联网
-
建立从每个分支到帕洛阿尔托全球保护云服务 GPCS 的 IPSec 隧道。
-
对于分支机构到 Internet 的通信,请使用属于两个分支机构的网络配置受保护的网络。
-
要通过 GPCS 直接进行互联网突破,请将 SD-WAN 上的 IPsec 保护网络配置为目标子网为 0.0.0.0/0。
使用案例 2:通过帕洛阿尔托从 SDWAN 到互联网的主动-备用隧道
对于主动/备用,使用相同参数和相同的受保护网络建立到 GPCS 的两个 IPSec 隧道,一直只有一个隧道处于活动状态,另一个隧道处于待机模式。这将作为一个单一的转换单元。对于要提供 IPSec 保护的所有受保护网络,必须在活动和备用隧道上配置。因此,如果一条隧道发生故障,另一条隧道就会出现所有活动网络。这样,通过配置 IPsec 受保护的网络,可以随时使用隧道重定向 Internet 流量。
- 能够使用 SD-WAN 中的帕洛阿尔托创建多个 IPsec 隧道
- 活动
- 待机
- SD-WAN 通过使用内部网服务和匹配的 IK/IPSec 设置(一个用于活动,一个用于待机)创建多个 IPSec 隧道。
- 为所有 IPSec 隧道配置冗余地添加所有受保护的网络。
- 帕洛阿尔托托管活动和备用隧道。
- SD-WAN 将形成隧道,同时通过活动 IPsec 隧道处理受保护网络的流量(如果主隧道符合条件)
-
如果主隧道在 SD-WAN 端或帕洛阿尔托端发生故障,则流量将通过辅助隧道(旧通信和新通信的情况相同)。
IPsec 安全关联 (SA) 是作为主隧道和辅助隧道形成的一部分而形成的。因此,流量转换需要一段时间(3-5 秒)来检测新的辅助流量并通过新活动的 IPsec 隧道处理所有流量。处理流量的主要隧道检测取决于路由资格,如果隧道关闭,则将变为 否 ,如果启动,则变为 “是” 。
-
如果主通道恢复运行,则通过主通道再次发送流量。
要在 SD-WAN 上使用帕洛奥托 SWG 配置 IKE 和 IPsec 隧道,请执行以下操作:
-
导航到 连接 > 站点 > IPsec 隧道。
-
配置 IKE 和 IPSec 参数。
有关配置 IPsec 隧道的更多信息,请参阅 配置SD-WAN 和第三方云服务/设备之间的 IPsec 隧道。
您可以使用受保护的 网络指定要由 IPsec 保护的流量。
在 SD-WAN 上监控通往帕洛阿尔托 SWG 的 IPsec 隧道:
在 Citrix SD-WAN 设备 GUI 中,转到 监视 > 统计信息。从下拉列表中选择 IPSec 隧道 ,以根据处理流量的隧道检查统计信息。可以在发送和接收列中监视通过隧道发送的流量。
监控通往 Palo Alto IPsec 隧道的流量的 路由 点击量(当 IPsec 隧道绑定到 Intranet 服务时,到 Intranet 服务):
路由指示针对当前正在处理流量的 Intranet 服务的流量。要查看路由统计信息,请转到 监控 > 统计 > 路由 ,然后根据处理流量的路由检查统计信息。
使用案例 3:通过帕洛阿尔托 SWG 的分支机构到分支机构的流量
帮助在分支机构之间进行通信,并在 SWG 上应用安全策略,以实现分支到分支机构的连接,而无需通过 SD-WAN 中间节点。
对于分支机构之间的通信,请指定 IPSec 策略首先通过 IPsec 隧道通过帕洛阿尔托全球保护云服务 (GPCS)。GPCS 确定它是否从分支 1 获取流量,然后通过 IPSec 隧道通过创建策略将其发送到分支 2。
- 在帕洛阿尔托为每个分支创建一个单独的隧道端点。
- 每个分支都使用 Intranet 服务和匹配的 IK/IPsec 设置,独特地创建一个具有帕洛阿尔托的 IPsec 隧道。
- 在分支 1 到帕洛阿尔托隧道 1 的受保护网络的配置:
- 源作为分支 1 子网连接到目的地为分支 2 子网
- 在 Palo Alto 隧道代理 ID 侧镜像受保护的网络
按照类似的受保护网络使用分支 2 至帕洛阿尔托隧道 2
-
从 1 分支到 2 分支的流量使用 1 分支机构到帕洛阿尔托隧道 1 IPsec 隧道进行,然后由帕洛阿尔托转发到帕洛阿尔托隧道 2 到分支 2 IPsec 隧道之间的新隧道。返回流量的情况也是如此。
注意:
此流量是独一无二的,因为 MCN 不需要启用 WAN 到 WAN 转发。
- 如果分支机构是 IP 的 NAT,则需要在 WAN 链路设置上启用 WAN 链路 NAT 地址(如果是静态的),在此设置中,Intranet 服务可用于 IPsec 隧道。如果 IP 是动态的,则必须使用 自动检测公共 IP 旋钮启用分支。
-
如果存在独占端口 NATT,则 MCN 需要启用 UDP 孔冲孔。
分支机构 1 SD-WAN 到帕洛阿尔托 IPsec 隧道 1 的配置:
2 分支机构 SD-WAN 到帕洛阿尔托 IPsec 隧道 2 的配置:
监控 IK/IPsec SA 在分支 1 至帕洛阿尔托之间的隧道 1:
监控 IK/IPsec SA 在分支机构 1 至帕洛阿尔托之间的隧道 2:
监控分支 1 到帕洛阿尔托隧道 1 的 流量和防火墙 ):
以下屏幕截图提供了有关 Branch1 到帕洛阿尔托隧道 1 的流量数据和防火墙统计信息的组合监控信息。
监控分支 2 到帕洛阿尔托隧道 2 的 流量和防火墙 :
以下屏幕截图提供了有关分支 2 至帕洛阿尔托隧道 2 的流量数据和防火墙统计信息的组合监控信息。
IPsec 隧道统计信息监控分支 1 至帕洛阿尔托 1 隧道:
IPsec 隧道统计信息监控分支 2 至帕洛阿尔托 2 隧道:
使用案例 4:高可用性模式下的 SD-WAN 边缘设备
-
在高可用性模式下配置 SD-WAN 装置。
-
建立从每个分支到 GPCS 的 IPsec 隧道。
-
从 SD-WAN 到 GPCS 的流量重定向始终通过活动设备进行。
-
在发生高可用性事件时,辅助 SD-WAN 设备将接管并开始向 GPCS 发送流量。
要配置 IPsec 隧道:
- 导航到 连接 > 站点 > IPsec 隧道。
-
配置 IKE 和 IPSec 参数。
有关配置 IPsec 隧道的更多信息,请参阅 配置SD-WAN 和第三方云服务/设备之间的 IPsec 隧道。
您可以使用受保护的 网络指定要由 IPsec 保护的流量。每个隧道最多可配置八个受保护网络。
监视 IPsec 隧道:
在 Citrix SD-WAN 设备 GUI 中,转到 监视 > 统计信息。从显示下拉列表中选择 IPSec 隧道 。可以在发送和接收列中监视通过隧道发送的流量。
- 监 控 > IKE/IPsec -您可以监控所有 IKE 和相应的 IPSec SA。
在帕洛阿托全球保护云服务 (GPCS) 中配置 IPSec:
- 登录到帕洛阿尔托全景.
- 导航到 网络配置文件 -> IKE Crypto 并配置 IKE 加密套件。
配置 IKE Gateway:
- 添加 IKE 网关。
- 配置 IKE 版本。
- 选择对 等 IP 地址类型 作为 IP。
- 输入 IKE 对等 IP 地址。这是 Citrix SD-WAN 公共 IP。
- 配置身份验证类型、预共享密钥、证书。
-
配置要使用的预共享密钥。
-
单击 “ 高级选项” 选项 卡页中的 “ 启用 NAT 遍 历”。
创建 IPsec 隧道:
添加具有已创建 IKE 网关和 IPSec 加密配置文件的 IPsec 隧道。 提供受保护的网络以允许来自 SD-WAN 的流量通过隧道。
块应用程序:
可以通过配置防火墙规则来阻止某些应用程序,如下所示。此规则绑定到创建的隧道。
验证端到端流量:
从分支主机访问互联网并检查互联网流量是否显示在 SD-WAN GUI 监视页面的 IPsec 隧道统计信息下。 检查 Palo Alto GPCS 中是否有任何阻止的站点,并确保无法从分支网络访问阻止的站点。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.