Citrix SD-WAN

托管防火墙

Citrix SD-WAN Orchestrator 服务支持以下托管防火墙:

帕洛阿尔托网络防火墙集成 SD-WAN 1100 平台

Citrix SD-WAN 支持在 SD-WAN 1100 平台上托管帕洛阿尔托网络下一代虚拟机 (VM) 系列防火墙. 以下是受支持的虚拟机型号:

  • 虚拟机 50
  • 虚拟机 100

帕洛阿尔托网络虚拟机系列防火墙作为虚拟机运行在 SD-WAN 1100 平台上。防火墙虚拟机集成在 Virtual Wire 模式下,连接了两个数据虚拟接口。通过在 SD-WAN 上配置策略,可以将所需的流量重定向到防火墙虚拟机。

有关如何通过 SD-WAN Orchestrator 服务置备防火墙虚拟机的信息,请参阅 托管防火墙

优势

下面是在 SD-WAN 1100 平台上集成 Palo Alto 网络的主要目标或优势:

  • 分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备。

  • 通过本地 NGFW(下一代防火墙)保护分支机构安全性,可保护局域网到局域网、局域网到Internet 和Internet 到局域网的流量。

通过 SD-WAN 设备 GUI 进行防火墙虚拟机 Provisioning

在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:

  1. 从 Citrix SD-WAN GUI 中,导航到 配置 > 展开 设备设置 > 选择 托管防火墙

  2. 上传软件映像:
    • 选择 软件映像 选项卡。选择供应商名称作为 Palo Alto 网络
    • 选择软件映像文件。
    • 单击上载

    SW 图片上载

    注意

    最多可以上传两个软件映像。上载 Palo Alto 网络虚拟机映像可能需要更长的时间,具体取决于带宽可用性。

    您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。

  3. 对于预配,请选择 托管防火墙 选项卡,然后单击 备按钮

    托管防火墙配置

  4. 请提供以下详细信息以供 Provisioning。

    • 供应商名称:选择供应商作为 Palo Alto 网络
    • 虚拟机型号:从列表中选择虚拟机型号。
    • 映像文件名:选择图像文件。
    • Panorama 主 IP 地址/域名:提供 Panorama 主 IP 地址或完全限定域名(可选)。
    • Panorama 辅助 IP 地址/域名:提供 Panorama 辅助 IP 地址或完全限定域名(可选)。
    • 虚拟机身份验证密钥:提供虚拟机身份验证密钥(可选)。

      需要虚拟机身份验证密钥才能将帕洛阿尔托网络虚拟机自动注册到 Panorama。

    • 身份验证代码:输入身份验证代码(虚拟机许可证代码)(可选)。
    • 单击应用

    托管防火墙

  5. 单击 刷新 以获取最新状态。Palo Alto 网络虚拟机完全启动后,它将反映在 SD-WAN UI 上与操作日志详细信息。

    选择日志详细信息

    • 管理状态:指示虚拟机是启动还是关闭。
    • 处理状态:虚拟机的数据路径处理状态。
    • 已发送的数据包:从 SD-WAN 发送到安全虚拟机的数据包。
    • 收到的数据包:SD-WAN 从安全虚拟机接收的数据包。
    • 丢弃的数据包:SD-WAN 丢弃的数据包(例如,当安全虚拟机关闭时)。
    • 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。

您可以根据需要 启动、关闭取消 置备虚拟机。使用“单击此处”选项访问 Palo Alto Networks 虚拟机 GUI 或将管理 IP 与 4100 端口(管理 IP:4100)一起使用。

注意 始终使用隐身模式访问 Palo Alto 网络 GUI。

SD-WAN 1100 平台上的 Check Point 防火墙集成

Citrix SD-WAN 支持在 SD-WAN 1100 平台上托管 检查点量子边缘

Check Point Quantum Edg e 在 SD-WAN 1100 SE 平台上作为虚拟机运行。防火墙虚拟机以 Bridge 模式集成,有两个数据虚拟接口连接到其上。通过在 SD-WAN 上配置策略,可以将所需的流量重定向到防火墙虚拟机。

有关如何通过 SD-WAN Orchestrator 服务置备防火墙虚拟机的信息,请参阅 托管防火墙

注意

从 Citrix SD-WAN 11.3.1 开始,支持检查点虚拟机版本 80.20 及更高版本,以便在新站点上配置虚拟机。

优势

以下是在 SD-WAN 1100 平台上集成检查点的主要目标或优点:

  • 分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备

  • 分支机构通过内部部署 NGFW(下一代防火墙)保护局域网到局域网、局域网到Internet 和Internet 到局域网的流量

通过 SD-WAN 设备 GUI 进行防火墙虚拟机 Provisioning

在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:

  1. 从 Citrix SD-WAN GUI 中,导航到 配置 > 设 备设置 选择 托管防火墙

  2. 上传软件映像:

    • 选择 软件映像 选项卡。选择 供应商名称 作为检查点。
    • 选择软件映像文件。
    • 单击上载

    软件映像在 SD-WAN 中上传

    注意

    最多可以上传两张图片。上传检查点虚拟机映像可能需要更长的时间,具体取决于带宽可用性。

    您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。

  3. 对于预配,请选择 托管防火墙 选项卡 > 单击 备按钮

    在 SD-WAN 中检查点 Provisioning

  4. 请提供以下详细信息以供 Provisioning。

    • 供应商名称:选择 供应商名称 作为检查点。
    • 虚拟机模型:虚拟机模型自动填充为 Edge
    • 映像文件名:图像文件名是自动填充的。
    • 检查点管理服务器 IP 地址/域:提供检查点管理服务器 IP 地址/域。
    • SIC 密钥:提供 SIC 密钥(可选)。SIC 在 检查点 组件之间创建可信连接。单击应用

    检查点 Provisioning 详细信息

  5. 单击 刷新 以获取最新状态。检查点虚拟机完全启动后,它将在 SD-WAN UI 上反映操作日志详细信息。

    检查点操作日志

    • 管理状态:指示虚拟机是启动还是关闭。
    • 处理状态:虚拟机的数据路径处理状态。
    • 已发送的数据包:从 SD-WAN 发送到安全虚拟机的数据包。
    • 收到的数据包:SD-WAN 从安全虚拟机接收的数据包。
    • 丢弃的数据包:SD-WAN 丢弃的数据包(例如,当安全虚拟机关闭时)。
    • 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。

您可以根据需要 启动、关闭取消 置备虚拟机。使用 单击此处 选项访问检查点虚拟机 GUI 或将管理 IP 与 4100 端口(管理 IP:4100)一起使用。

注意

始终使用隐身模式访问检查点 GUI。

当所有网络配置都处于启动和运行模式时,您可以在“监控”>“防火墙”>“过滤策略”下监控连接。

筛选策略

托管防火墙