-
-
-
SD-WAN 1100 平台上的检查点防火墙集成
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SD-WAN 1100 平台上的 Check Point 防火墙集成
Citrix SD-WAN 支持在 SD-WAN 1100 平台上托管 检查点量子边缘 。
检查点量子边缘 在 SD-WAN 1100 平台上作为虚拟机运行。防火墙虚拟机以 Bridge 模式集成,并连接到它的两个数据虚拟接口。通过在 SD-WAN 上配置策略,可以将所需的流量重定向到防火墙虚拟机。
注意
从 Citrix SD-WAN 11.3.1 开始,支持检查点虚拟机版本 80.20 及更高版本,以便在新站点上配置虚拟机。
优势
以下是在 SD-WAN 1100 平台上集成检查点的主要目标或优点:
-
分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备
-
分支机构通过内部部署 NGFW(下一代防火墙)保护局域网到局域网、局域网到互联网和互联网到局域网的流量
配置步骤
在 SD-WAN 上集成 Check Point 防火墙虚拟机需要以下配置:
-
置备防火墙虚拟机
-
启用流量重定向到安全虚拟机
注意:
必须先配置防火墙虚拟机,然后才能启用流量重定向。
置备检查点防火墙虚拟机
预配防火墙虚拟机有两种方法:
-
通过 SD-WAN 中心进行资源调配
-
通过 SD-WAN 设备 GUI 进行配置
通过 SD-WAN 中心 Provisioning 防火墙虚拟机
必备条件
-
将辅助存储添加到 SD-WAN 中心以存储防火墙虚拟机映像文件。有关详细信息,请参阅 系统要求和安装。
-
为防火墙 VM 映像文件保留辅助分区中的存储空间。要配置存储限制,请导航至 管理 > 存储维护。
-
从列表中选择所需的存储量。
-
单击应用。
-
注意:
如果满足条件,将从处于活动状态的辅助分区中保留存储空间。
通过 SD-WAN 中心平台 Provisioning 防火墙虚拟机,请执行以下步骤:
-
从 Citrix SD-WAN Center GUI 中,导航到配置 > 选择托管防火墙。
您可以从下拉列表中选择 区域 以查看该选定区域的预配置站点详细信息。
-
上传软件映像。
注意:
确保您有足够的磁盘空间来上传软件映像。
导航到 配置 > 托管防火墙 > 软件映像 ,然后单击 上传。
-
从下拉列表中选择供应商名称作为 检查点 。单击或拖放要上传的框中的软件映像文件。
将显示一个状态栏,其中包含正在进行的上载过程。在图像文件显示 100% 上载之前,请勿单击 刷新 或执行任何其他操作。
-
刷新:单击 刷新 选项可获取最新的映像文件详细信息。
-
删除:单击 删 除选项可删除任何现有图像文件。
注意:
要在非默认区域的站点部分上置备防火墙虚拟机,请在每个收集器节点上传映像文件。
-
-
要进行置备,请返回 托管防火墙站 点选项卡,然后单击 置备。
- 供应商:从下拉列表中选择供应商名称作为 检查点 。
- 供应商虚拟机模型:虚拟机模型字段将自动填充为 Edge。
- 区域:从列表中选择区域。
- 软件映像:选择要预配的映像文件。
- 防火墙托管站点:为防火墙托管列表选择站点。如果站点处于高可用性模式,则必须同时选择主站点和辅助站点。
- 管理服务器主 IP 地址/域名:输入管理主 IP 地址或完全限定域名(可选)。
- 虚拟机 SIC 密钥:输入虚拟机安全内部通信 (SIC) 密钥。SIC 在 检查点 组件之间创建可信连接。
-
单击 开始设置。
-
单击 刷新 以获取最新状态。检查点虚拟机完全启动后,它将反映在 SD-WAN 中心用户界面上。
您可以根据需要 启动、关闭 和 取消 置备虚拟机。
- 站点名称:显示站点名称。
- 管理 IP:显示站点的管理 IP 地址。
- 区域名称:显示区域名称。
- 供应商:显示供应商名称(检查点)。
- 型号:显示模型- Edge。
- 管理状态:供应商虚拟机的状态(向上/向下)。
- 操作状态:显示上次操作状态消息。
- 托管站点 UI 访问:使用 单击此处 链接访问检查点虚拟机 GUI。
通过 SD-WAN 设备 GUI 进行防火墙虚拟机 Provisioning
在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:
-
从 Citrix SD-WAN GUI 中,导航到 配置 > 设 备设置 选择 托管防火墙。
-
上传软件映像:
- 选择 软件映像 选项卡。选择 供应商名称 作为检查点。
- 选择软件映像文件。
- 单击上载。
注意
最多可以上传两张图片。上传检查点虚拟机映像可能需要更长的时间,具体取决于带宽可用性。
您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。
-
对于预配,请选择 托管防火墙 选项卡 > 单击 置 备按钮
-
请提供以下详细信息以供 Provisioning。
- 供应商名称:选择 供应商名称 作为检查点。
- 虚拟机模型:虚拟机模型自动填充为 Edge。
- 映像文件名:图像文件名是自动填充的。
- 检查点管理服务器 IP 地址/域:提供检查点管理服务器 IP 地址/域。
- SIC 密钥:提供 SIC 密钥(可选)。SIC 在 检查点 组件之间创建可信连接。单击应用。
-
单击 刷新 以获取最新状态。检查点虚拟机完全启动后,它将在 SD-WAN UI 上反映操作日志详细信息。
- 管理状态:指示虚拟机是启动还是关闭。
- 处理状态:虚拟机的数据路径处理状态。
- 已发送的数据包:从 SD-WAN 发送到安全虚拟机的数据包。
- 收到的数据包:SD-WAN 从安全虚拟机接收的数据包。
- 丢弃的数据包:SD-WAN 丢弃的数据包(例如,当安全虚拟机关闭时)。
- 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。
您可以根据需要 启动、关闭 和 取消 置备虚拟机。使用 单击此处 选项访问检查点虚拟机 GUI 或将管理 IP 与 4100 端口(管理 IP:4100)一起使用。
注意
始终使用隐身模式访问检查点 GUI。
将流量重定向到边缘
流量重定向配置可以通过 MCN 上的配置编辑器或 SD-WAN 中心上的配置编辑器完成。
要浏览 SD-WAN 中心的配置编辑器,请执行以下操作:
-
打开 Citrix SD-WAN Center UI,导航到 配置 > 网络配置导入。从活动 MCN 导入虚拟 WAN 配置,然后单击 导入。
其余步骤类似于以下步骤-通过 MCN 进行流量重定向配置。
要在 MCN 上浏览配置编辑器:
-
在 全局 > 网络设置下将连接匹配类型设置 为 对称。
默认情况下,SD-WAN 防火墙策略是特定于方向的。对称匹配类型使用指定的匹配条件来匹配连接,并在两个方向上应用策略操作。
-
打开 Citrix SD-WAN UI,导航到 配置 > 展开虚拟 WAN** 选择 **配置编辑器 ** 选择 **全局 部分下的 托管防火墙模板 。
-
单击 + 并在以下屏幕截图中提供所需信息以添加 托管防火墙模板。单击添加。
托管防火墙模板 允许您配置流量重定向到 SD-WAN 平台上托管的 防火墙虚拟机 。以下是配置模板所需的输入:
- 名称:托管防火墙模板的名称。
- 供应商:防火墙供应商的名称 — 检查点。
- 部署模式:“部 署模式 ” 字段自动填充并显示为灰色。对于 检查点 供应商,部署模式是 Bridge。
- 模型:托管防火墙的虚拟机模型。选择供应商作为 检查点后,模型字段将自动填充 E dge。
- 主管理服务器 IP/FQDN:主管理服务器 IP/FQDN。
- 辅助管理服务器 IP/FQDN:辅助管理服务器 IP/FQDN。
- 服务重定向接口:这些是用于 SD-WAN 和托管防火墙之间的流量重定向的逻辑接口。
注意:
必须从连接启动器方向选择重定向输入接口,为响应流量自动选择输出接口。例如,如果出站 Internet 流量被重定向到接口 1 上的托管防火墙,则响应流量将自动重定向到接口 2 上的托管防火墙。此外,如果没有互联网入站流量,则不需要接口-2。
只有两个数据接口分配给 Check Point 虚拟机。
注意:
SD-WAN 防火墙策略是自动创建的,以 允许 来自托管的防火墙管理服务器的流量。这样可避免发自(或)发往托管防火墙的管理流量的重定向。
可以使用 SD-WAN 防火墙策略将流量重定向到防火墙虚拟机。有两种方法可以创建 SD-WAN 防火墙策略-通过 “ 全局 ” 部分中的防火墙策略模板或在站点级别创建。
方法-1
-
在 Citrix SD-WAN GUI 中,导航到 配置 > 展开 虚拟 WAN > 配置编辑器。在 连接 下选择 防火墙。
-
从 部分 下拉列表中选择 策 略,然后单击 + 添加 以创建防火墙策略。
-
将 策略类型 更改为 托管防火墙。操作字段自动填充为“重定向”。从下拉列表中选择 托管防火墙模板 和 服务重定向接口 。单击添加。
方法-2
-
导航到 全 局选项卡,然后选择 防火墙策略模板。单击 + 策略模板。
-
为策略模板提供名称,然后单击 添加。
-
单击 “ 装置前模板策略 ” 旁边的 + 添加。
-
将 策略类型 更改为 托管防火墙。“ 操作” 字段将自动填充为 “重定向”。从下拉列表中选择 托管防火墙模板 和 服务重定向接口 。单击添加。
-
导航到 “ 连接” > “防火墙”,然后在 “名称” 字段下选择防火墙策略(您创建的)。单击应用。
当所有网络配置处于启动状态并运行模式时,您可以在监视 > 防火墙 > 统计列表下监控连接,选择筛选策略。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.