Citrix SD-WAN

使用 Citrix SD-WAN 中的 Forcepoint 支持防火墙流量重定向

Forcepoint 支持以下功能,虽然 SD-WAN 仅支持防火墙重定向功能:

  • 采用 PSK 的 IPsec
  • 采用 PSK 的 IPsec
  • 使用 PAC 文件配置的代理链接
  • 使用标准头进行代理链接
  • 使用专有标头进行代理链接,无需配置客户端 IP 范围-合作/开发
  • 防火墙重定向(目标 NAT 的透明代理)

目标 NAT 策略使企业能够使用 ForcePoint 通过云托管安全服务路由互联网流量。

查看以下使用案例,了解如何在 SD-WAN 设备中配置目标 NAT,并通过基于云的安全防火墙服务重定向 Internet 流量。

必备条件:

  1. 登录 Forcepoint 门户网站。通过提供企业公有 IP 地址来创建策略,互联网流量需要重定向到 Forcepoint。获取互联网流量应重定向到的主 IP 和辅助 IP 地址。

  2. 在 SD-WAN GUI 中,在 DC 站点的 SD-WAN 设备上,配置与 WAN 链接关联的 Internet 服务。

  3. 目标 NAT 使用互联网流量的目标 IP 地址执行。此目标地址更改为 Forcepoint 公有 IP 地址。

  4. 通过提供源 IP 地址和主 IP 地址来配置目标 NAT 策略。源 IP 是 SD-WAN 设备在端口 80 (http) 和 443 (https) 内的互联网 IP 地址,该 IP 地址分别被重定向/转换为基于云的防火墙 Gateway 的主目标 IP 地址,其外部端口 8081 (http) 和 8443 (https)。

  5. 配置 DNAT 策略后,请确保 DC 上配置的路由选择了 SD-WAN 网络 IP 地址的 Internet 服务类型。

有关 Citrix SD-WAN 中 NAT 支持的其他信息,请参阅以下主题 配置 NAT

本地化后的图像

配置目标 NAT (DNAT)

使用 Citrix SD-WAN GUI 配置目标 NAT (DNAT)。在配置中,添加一个或多个 DNAT 策略,用于重定向与特定目标 IP 地址和端口匹配的流量。

要配置目标 NAT,请执行以下操作:

在 SD-WAN SE/VPX GUI 中,转到 配置 -> 虚拟 WAN -> 配置编辑器。单击 “ 开” 以打开现有包。选择已保存的配置包。您还可以在构建网络配置时创建 DNAT 规则。

  1. 在 DC (MCN) 中,配置 Internet 服务。转到 “ 接”-> “ 防火墙”。

  2. 单击 + 添加 以添加 DNAT 策略。

  3. 添加目标 NAT 策略 对话框中,提供以下信息:

    • 优先级
    • 方向
    • 服务类型
    • 服务名称
    • IP 地址内部
    • 在端口内
    • 外部 IP 地址
    • 端口外

    本地化后的图像

    本地化后的图像

  4. 为防火墙流量重定向设置目标 NAT 规则,类似于静态 NAT。

  5. 输入匹配条件和要 NNated 的目标 IP/端口。

  6. 执行 DNAT 规则与统计数据的连接匹配。

  7. 在配置更新期间删除或更新 DNAT 规则。

监视目标 NAT 策略(防火墙)

您还可以使用 Citrix SD-WAN GUI 来监视当前 DNAT 策略配置。

要监视当前目标 NAT 策略配置:

  1. 在 Citrix SD-WAN GUI 中,导航到 监控 > 防火墙 > NAT 策略

  2. 选择包含要监视的统计信息的选项卡。

    本地化后的图像

    本地化后的图像

使用 Citrix SD-WAN 中的 Forcepoint 支持防火墙流量重定向