Citrix SD-WAN

Unterstützung der Firewall-Verkehrsumleitung mithilfe von Forcepoint in Citrix SD-WAN

Forcepoint unterstützt die folgenden Funktionen, obwohl SD-WAN nur die Firewall-Umleitungsfunktion unterstützt:

  • IPSec mit PKI
  • IPSec mit PSK
  • Proxy-Verkettung mithilfe der PAC-Dateikonfiguration
  • Proxy-Verkettung mit Standardüberschriften
  • Proxy-Chaining mit proprietären Headern macht die Konfiguration des IP-Bereichs des Clients überflüssig - Partnerschaft/Entwicklung
  • Firewall-Umleitung (transparenter Proxy von Destination NAT)

Die Ziel-NAT-Richtlinie ermöglicht es Unternehmen, den Internetverkehr mithilfe von ForcePoint über einen in der Cloud gehosteten Sicherheitsdienst weiterzuleiten.

Lesen Sie den folgenden Anwendungsfall, um zu verstehen, wie Sie Ziel-NAT in SD-WAN-Appliances konfigurieren und den Internetverkehr über einen sicheren Cloud-basierten Firewall-Dienst umleiten.

Voraussetzungen:

  1. Melden Sie sich auf der Forcepoint-Portalseitean. Erstellen Sie eine Richtlinie, indem Sie die öffentliche Enterprise-IP-Adresse angeben, über die der Internetverkehr an Forcepoint umgeleitet werden muss. Besorgen Sie sich die primären und sekundären IP-Adressen, auf die der Internetverkehr umgeleitet werden soll.

  2. Konfigurieren Sie in der SD-WAN-GUI auf einer SD-WAN-Appliance am DC-Standort den Internetdienst, der mit WAN-Verbindungen verknüpft ist.

  3. Die Ziel-NAT wird unter Verwendung der Ziel-IP-Adresse des Internetverkehrs durchgeführt. Diese Zieladresse wird in die öffentliche IP-Adresse von Forcepoint geändert.

  4. Konfigurieren Sie die Ziel-NAT-Richtlinie, indem Sie die Quell-IP-Adresse und die primäre IP-Adresse angeben. Die Quell-IP ist die Internet-IP-Adresse der SD-WAN-Appliance innerhalb der Ports 80 (http) und 443 (https), die an die primäre Ziel-IP-Adresse des Cloud-basierten Firewall-Gateways mit externen Ports 8081 (http) bzw. 8443 (https) umgeleitet/übersetzt wird.

  5. Stellen Sie nach der Konfiguration der DNAT-Richtlinie sicher, dass für die auf dem Domänencontroller konfigurierten Routen der Internetdiensttyp für die IP-Adresse des SD-WAN-Netzwerks ausgewählt ist.

Weitere Informationen zur NAT-Unterstützung in Citrix SD-WAN finden Sie im folgenden Thema Konfigurieren von NAT

lokalisiertes Bild

Konfigurieren von Ziel-NAT (DNAT)

Verwenden Sie die Citrix SD-WAN GUI, um Destination NAT (DNAT) zu konfigurieren. Fügen Sie in der Konfiguration eine oder mehrere DNAT-Richtlinien hinzu, die den Datenverkehr umleiten, der einer bestimmten Ziel-IP-Adresse und einem bestimmten Zielport entspricht.

So konfigurieren Sie Destination NAT:

Wechseln Sie in der SD-WAN SE/VPX GUI zu Konfiguration -> Virtual WAN -> Konfigurationseditor. Klicken Sie auf Öffnen, um ein vorhandenes Paket zu öffnen. Wählen Sie ein gespeichertes Konfigurationspaket. Sie können auch DNAT-Regeln erstellen, während Sie die Netzwerkkonfiguration erstellen.

  1. Konfigurieren Sie im DC (MCN) den Internetdienst. Gehe zu Verbindungen -> Firewall.

  2. Klicken Sie auf + Hinzufügen, um eine DNAT-Richtlinie hinzuzufügen.

  3. Geben Sie im Dialogfeld Ziel-NAT-Richtlinie hinzufügen die folgenden Informationen ein:

    • Priorität
    • Richtung
    • Servicetyp
    • Dienstname
    • Innen-IP-Adresse
    • Innen-Port
    • Außen-IP-Adresse
    • Außen-Port

    lokalisiertes Bild

    lokalisiertes Bild

  4. Bereitstellung von Ziel-NAT-Regeln für die Weiterleitung des Firewall-Datenverkehrs, ähnlich wie bei statischer NAT.

  5. Geben Sie die übereinstimmenden Kriterien und die Ziel-IP/Port ein, für die NAT angewendet werden soll.

  6. Führen Sie den Verbindungsabgleich der DNAT-Regel mit Statistiken durch.

  7. Entfernen oder aktualisieren Sie DNAT Regeln während des Konfigurationsupdates.

Überwachen einer Ziel-NAT-Richtlinie (Firewall)

Sie können auch die Citrix SD-WAN GUI verwenden, um die aktuelle DNAT-Richtlinienkonfiguration zu überwachen.

So überwachen Sie die aktuelle Ziel-NAT-Richtlinienkonfiguration:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Überwachung > Firewall > NAT-Richtlinien.

  2. Wählen Sie die Registerkarte aus, die die Statistiken enthält, die Sie überwachen möchten.

    lokalisiertes Bild

    lokalisiertes Bild

Unterstützung der Firewall-Verkehrsumleitung mithilfe von Forcepoint in Citrix SD-WAN