Citrix SD-WAN

Palo Alto Networks Firewall-Integration auf SD-WAN 1100 Plattform

Citrix SD-WAN unterstützt das Hosten von Palo Alto Networks Virtual Machine (VM) -Firewall der nächsten Generation auf der SD-WAN 1100 Plattform. Im Folgenden werden die unterstützten VM-Modelle aufgeführt:

  • VM 50
  • VM 100

Die Firewall der virtuellen Maschinenserie Palo Alto Network wird als virtuelle Maschine auf der SD-WAN 1100 Plattform ausgeführt. Die virtuelle Firewall-Maschine ist im Virtual Wire-Modus mit zwei virtuellen Datenschnittstellen integriert. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Vorteile

Im Folgenden sind die wichtigsten Ziele oder Vorteile der Integration von Palo Alto Networks auf der SD-WAN 1100 Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz von LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehr

Konfigurationsschritte

Die folgenden Konfigurationen sind erforderlich, um die virtuelle Maschine Palo Alto Networks auf SD-WAN zu integrieren:

  • Bereitstellen der virtuellen Firewall-Maschine

  • Aktivieren der Datenverkehrsumleitung zur virtuellen Sicherheitsmaschine

Hinweis:

Die virtuelle Firewall-Maschine muss zuerst bereitgestellt werden, bevor die Datenverkehrsumleitung aktiviert wird.

Provisioning virtueller Maschine Palo Alto Network

Es gibt zwei Möglichkeiten, die virtuelle Firewall-Maschine bereitzustellen:

  • Bereitstellung über SD-WAN Center

  • Bereitstellung über die Benutzeroberfläche der SD-WAN-Appliance

Bereitstellung virtueller Maschinen in der Firewall über das SD-WAN Center

Voraussetzungen

  • Fügen Sie dem SD-WAN Center den sekundären Speicher hinzu, um die Firewall-VM-Imagedateien zu speichern. Weitere Informationen finden Sie unter Systemanforderungen und -installation.

  • Reservieren Sie den Speicher von der sekundären Partition für die Firewall-VM-Imagedateien. Um das Speicherlimit zu konfigurieren, navigieren Sie zu Administration > Speicherwartung.

    • Wählen Sie den erforderlichen Speicherbetrag aus der Liste aus.

    • Klicken Sie auf Übernehmen.

    Speicher

Hinweis:

Der Speicher wird von der sekundären Partition reserviert, die aktiv ist, wenn die Bedingung erfüllt ist.

Führen Sie die folgenden Schritte aus, um Provisioning Firewall-Maschine über die SD-WAN Center-Plattform bereitzustellen:

  1. Navigieren Sie in der Citrix SD-WAN Center GUI zu Konfiguration wählen Sie Hosted Firewall aus.

Gehostete FW-Sites

Sie können die Region aus der Dropdownliste auswählen, um die bereitgestellten Site-Details für diese ausgewählte Region anzuzeigen.

  1. Laden Sie das Softwareimage hoch.

Hinweis:

Stellen Sie sicher, dass genügend Speicherplatz zum Hochladen des Softwareimages vorhanden ist.

Navigieren Sie zu Konfiguration > Hosted Firewall > Softwareimages, und wählen Sie den Namen des Anbieters als Palo Alto Networks aus der Dropdownliste aus. Klicken oder legen Sie die Softwareimage-Datei in das Feld für den Upload ab.

SW-Image hochladen

Eine Statusleiste mit dem laufenden Upload-Prozess wird angezeigt. Klicken Sie nicht auf Aktualisieren, oder führen Sie eine andere Aktion aus, bis die Imagedatei 100% hochgeladen angezeigt wird.

  • Aktualisieren: Klicken Sie auf die Option Aktualisieren, um die neuesten Imagedateidetails abzurufen.

  • Löschen: Klicken Sie auf die Option Löschen, um vorhandene Imagedateien zu löschen.

    Hinweis:

    Wenn Sie die virtuelle Firewall-Maschine auf den Sites bereitstellen möchten, die Teil des Nicht-Standardbereichs sind, laden Sie die Imagedatei auf jedem der Collector-Knoten hoch.

    Wenn Sie das Palo Alto VM-Image aus dem SDWAN Center löschen, wird das Image aus dem SDWAN Center-Speicher und NICHT aus der Appliance gelöscht.

  1. Gehen Sie zur Provisioning zurück zur Registerkarte Gehostete Firewall-Sites und klicken Sie auf Bereitstellen.

Bereitstellung starten

  • Anbieter: Wählen Sie für den Anbieternamen die Option Palo Alto Networks aus der Dropdownliste.
  • Vendor Virtual Machine Model: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
  • Softwareimage: Wählen Sie die Image-Datei aus, die bereitgestellt werden soll.
  • Region: Wählen Sie die Region aus der Liste aus.
  • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für das Firewall-Hosting Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.

  • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
  • Sekundäre IP-Adresse/Domänenname des Management Servers: Geben Sie die sekundäre IP-Adresse des Verwaltungsservers oder den vollqualifizierten Domänennamen ein (optional).

  • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den virtuellen Authentifizierungsschlüssel ein, der auf dem Verwaltungsserver verwendet werden soll.

  • Authentifizierungscode: Geben Sie den virtuellen Authentifizierungscode ein, der für die Lizenzierung verwendet werden soll.
  1. Klicken Sie auf Provisioning starten.
  2. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine Palo Alto Networks vollständig gestartet wurde, reflektiert sie die Benutzeroberfläche des SD-WAN Centers.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und die Bereitstellung aufheben.

Standort für die Bereitstellung auswählen

  • Standortname: Zeigt den Standortnamen an.
  • Management-IP: Zeigt die Management-IP-Adresse der Site an.
  • Bereichsbezeichnung: Zeigt die Regionsbezeichnung an.
  • Anbieter: Zeigt den Namen des Lieferanten an (Palo Alto Networks).
  • Modell: Zeigt die Modellnummer an (VM50/VM100).
  • Admin-Status: Status der virtuellen Maschine des Herstellers (Up/Down).
  • Betriebsstatus: Zeigt die Meldung des Betriebsstatus an.
  • Gehostete Site: Verwenden Sie den Link Hier klicken, um auf die Benutzeroberfläche der virtuellen Maschine von Palo Alto Networks zuzugreifen.

Um die nicht standardmäßigen Regionssites bereitzustellen, müssen Sie das Softwareimage auf den SD-WAN Center Collector hochladen. Sie können die Palo Alto Networks sowohl von der SD-WAN Center Head End GUI als auch vom SD-WAN Center Collector bereitstellen.

Um die IP-Adresse des SD-WAN Center Collectors abzurufen, navigieren Sie zu Konfiguration > Netzwerkermittlung wählen Sie die Registerkarte Discovery-Einstellungen.

Kollektor-IP

So stellen Sie die Palo Alto Networks vom SD-WAN Collector her:

  1. Navigieren Sie in der Benutzeroberfläche von SD-WAN Collector zu Konfiguration wählen Sie Hosted Firewall aus.

Collector hosted fw

  1. Gehen Sie zur Registerkarte Softwareimages, um das Softwareimage hochzuladen.
  2. Klicken Sie unter der Registerkarte Hosted Firewall-Sites auf Provision
  3. Geben Sie die folgenden Details ein, und klicken Sie auf Bereitstellung starten.

Kollektorbereitstellung

  • Anbieter: Wählen Sie für den Anbieternamen die Option Palo Alto Networks aus der Dropdownliste.
  • Vendor Virtual Machine Model: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
  • Softwareimage: Wählen Sie die Image-Datei aus, die bereitgestellt werden soll.
  • Region: Wählen Sie die Region aus der Liste aus.
  • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für das Firewall-Hosting Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.

  • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
  • Sekundäre IP-Adresse/Domänenname des Management Servers: Geben Sie die sekundäre IP-Adresse des Verwaltungsservers oder den vollqualifizierten Domänennamen ein (optional).

  • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den virtuellen Authentifizierungsschlüssel ein, der auf dem Verwaltungsserver verwendet werden soll.

  • Authentifizierungscode: Geben Sie den virtuellen Authentifizierungscode ein, der für die Lizenzierung verwendet werden soll.
  1. Klicken Sie auf Provisioning starten.

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration erweitern Sie Appliance Settings wählen Sie Hosted Firewall aus.

  2. Laden Sie das Softwareimage hoch:

  • Wählen Sie die Registerkarte Softwareimages. Wählen Sie den Namen des Lieferanten als Palo Alto Networks.
  • Wählen Sie die Softwareimagedatei aus.
  • Klicken Sie auf Upload.

    SW-Image-Upload

    Hinweis: Es können maximal zwei Softwareimage hochgeladen werden. Das Hochladen des Images der virtuellen Maschine Palo Alto Networks kann je nach Verfügbarkeit der Bandbreite länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail spiegelt sich wieder, sobald das Image erfolgreich hochgeladen wurde. Das für die Provisioning verwendete Image kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  1. Wählen Sie für ProvisioningRegisterkarteGehostete Firewalls aus und klicken Sie auf die Schaltfläche Bereitstellen.

Bereitstellung der gehosteten Firewall

  1. Geben Sie die folgenden Details für die Provisioning.
  • Vendor Name: Wählen Sie den Vendor als Palo Alto Networks.
  • Modell der virtuellen Maschine: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
  • Name der Imagedatei: Wählen Sie die Imagedatei aus.
  • Panorama Primäre IP-Adresse/Domänenname: Geben Sie die primäre IP-Adresse von Panorama oder den vollqualifizierten Domänennamen an (optional).
  • Panorama Sekundäre IP-Adresse/Domänenname: Geben Sie die sekundäre IP-Adresse des Panorama oder den vollqualifizierten Domänennamen an (optional).
  • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den Authentifizierungsschlüssel der virtuellen Maschine an (optional).

    Der Authentifizierungsschlüssel für virtuelle Maschinen wird für die automatische Registrierung der virtuellen Maschine Palo Alto Networks im Panorama benötigt.

  • Authentifizierungscode: Geben Sie den Authentifizierungscode ein (Lizenzcode für virtuelle Maschinen) (optional).
  • Klicken Sie auf Übernehmen.

    Gehostete Firewall

  1. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine Palo Alto Networks vollständig gestartet wurde, reflektiert sie die SD-WAN-Benutzeroberfläche mit den Operations-Protokolldetails.

Details zum Opt-Protokoll

  • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
  • Verarbeitungsstatus: Der Verarbeitungsstatus des Datenpfads der virtuellen Maschine.
  • Paket gesendet: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet werden.
  • Empfangenes Paket: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen wurden.
  • Paket gelöscht: Pakete, die von SD-WAN gelöscht wurden (z. B. wenn die virtuelle Sicherheitsmaschine heruntergefahren ist).
  • Gerätezugriff: Klicken Sie auf den Link, um den GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und die Bereitstellung aufheben. Verwenden Sie die Option Klicken Sie hier, um auf die Benutzeroberfläche der virtuellen Maschine von Palo Alto Networks zuzugreifen, oder verwenden Sie Ihre Management-IP zusammen mit 4100 Port (Management-IP: 4100).

Hinweis: Verwenden Sie immer den Inkognito-Modus, um auf die Benutzeroberfläche von Palo Alto Networks zuzugreifen.

Traffic-Umleitung

Die Konfiguration der Datenverkehrsumleitung kann sowohl über den Konfigurationseditor auf MCN als auch den Konfigurationseditor im SD-WAN Center erfolgen.

So navigieren Sie im SD-WAN Center durch den Konfigurationseditor:

  1. Öffnen Sie die Citrix SD-WAN Center-Benutzeroberfläche, und navigieren Sie zu Konfiguration > Netzwerkkonfigurationsimport. Importieren Sie die virtuelle WAN-Konfiguration aus dem aktiven MCN und klicken Sie auf Importieren.

Virtuelle WAN-Konfiguration importieren

Die restlichen Schritte sind ähnlich wie folgt - die Konfiguration der Datenverkehrsumleitung über MCN.

So navigieren Sie durch den Konfigurationseditor auf MCN:

  1. Legen Sie den Verbindungsübereinstimmungstyp unter Global > Netzwerkeinstellungen auf Symmetrisch fest.

Verbindungsübereinstimmungstyp

Standardmäßig sind SD-WAN-Firewallrichtlinien richtungsspezifisch. Der symmetrische Übereinstimmungstyp entspricht den Verbindungen anhand der angegebenen Übereinstimmungskriterien und wendet die Richtlinienaktion in beide Richtungen an.

  1. Öffnen Sie die Citrix SD-WAN UI, navigieren Sie zu Configuration, erweitern Sie Virtual WAN wählen Sie Configuration Editor > Hosted Firewall Template unter Global.

Hosted fw temp

  1. Klicken Sie auf + und geben Sie die erforderlichen Informationen im folgenden Screenshot ein, um die Vorlage für die gehostete Firewall hinzuzufügen, und klicken Sie auf Hinzufügen.

Add

Mit der gehosteten Firewall-Vorlage können Sie die Datenverkehrsumleitung zur virtuellen Firewall-Maschine konfigurieren, die auf der SD-WAN-Appliance gehostet wird. Die folgenden Eingaben sind für die Konfiguration der Vorlage erforderlich:

  • Name: Name der gehosteten Firewall-Vorlage.
  • Hersteller: Name des Firewall-Herstellers.
  • Bereitstellungsmodus: DasFeldBereitstellungsmodus wird automatisch ausgefüllt und abgeblendet. Für den Hersteller Palo Alto Networks ist der Bereitstellungsmodus Virtual Wire.
  • Modell: Modell der virtuellen Maschine der gehosteten Firewall. Sie können die Modellnummer der virtuellen Maschine als VM 50/VM 100 für den Palo Alto Networks-Anbieter auswählen.
  • Primärer Verwaltungsserver IP/FQDN: Primärer Verwaltungsserver IP/FQDN von Panorama.
  • Sekundärer Verwaltungsserver IP/FQDN: Sekundärer Verwaltungsserver IP/FQDN von Panorama.
  • Dienstumleitungsschnittstellen: Dies sind logische Schnittstellen, die für die Datenverkehrsumleitung zwischen SD-WAN und gehosteter Firewall verwendet werden.

Interface-1, Interface-2 bezieht sich auf die ersten beiden Schnittstellen auf der gehosteten Firewall. Wenn VLANs für die Verkehrsumleitung verwendet werden, müssen dieselben VLANs auf der gehosteten Firewall konfiguriert werden. VLANs, die für die Verkehrsumleitung konfiguriert sind, sind intern zum SD-WAN und zur gehosteten Firewall.

Hinweis:

Die Umleitungseingabeschnittstelle muss aus der Richtung des Verbindungsinitiators ausgewählt werden, die Umleitungsschnittstelle wird automatisch für den Antwortverkehr ausgewählt. Wenn beispielsweise ausgehender Internetverkehr an die gehostete Firewall auf Schnittstellen1 umgeleitet wird, wird der Antwortverkehr automatisch zur gehosteten Firewall auf Schnittstellen2 umgeleitet. Es besteht keine Notwendigkeit von Interface-2 im obigen Beispiel, wenn kein eingehender Internet-Datenverkehr vorhanden ist.

Zum Hosten der Palo Alto Networks-Firewall sind nur zwei physikalische Schnittstellen zugewiesen. Wenn Datenverkehr aus mehreren Zonen an die gehostete Firewall weitergeleitet werden muss, können mithilfe interner VLANs mehrere Unterschnittstellen erstellt und verschiedenen Firewallzonen auf der gehosteten Firewall zugeordnet werden.

Über SD-WAN-Firewallrichtlinien oder Richtlinien auf Standortebene können Sie den gesamten Datenverkehr auf die virtuelle Maschine Palo Alto Networks umleiten.

Hinweis:

SD-WAN-Firewall-Richtlinien werden automatisch erstellt, umden Datenverkehr von/zu gehosteten Firewall-Verwaltungsservernzulassen. Dadurch wird eine Umleitung des Verwaltungsdatenverkehrs vermieden, der von einer gehosteten Firewall stammt (oder).

Die Umleitung des Datenverkehrs zur virtuellen Firewall-Maschine kann mithilfe von SD-WAN-Firewall-Richtlinien erfolgen. Es gibt zwei Methoden zum Erstellen von SD-WAN-Firewall-Richtlinien: entweder über Firewall-Richtlinienvorlagen im globalen Abschnitt oder auf Standortebene.

Methode - 1

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration erweitern Sie Virtual WAN > Konfigurationseditor. Navigieren Sie zurRegisterkarteGlobal, und wählen Sie Firewall-Richtlinienvorlagen aus. Klicken Sie auf + Richtlinienvorlage. Geben Sie einen Namen für die Richtlinienvorlage ein, und klicken Sie auf Hinzufügen.

Name der Palo Alto-Richtlinienvorlage

  1. Klicken Sieneben Vorlagenrichtlinien fürVorbereitungsvorlagen auf + Hinzufügen.

Richtlinien für Vorlagen vor der Appliance

  1. Ändern Sie den Richtlinientyp in Hosted Firewall. DasFeldAktion wird automatisch in Umleitung ausgefüllt. Wählen Sie in der Dropdownliste die Vorlage für gehostete Firewall und die Dienstumleitungsoberfläche aus. Füllen Sie die anderen Übereinstimmungskriterien nach Bedarf aus.

Palo Alto Richtlinienvorlage

  1. Navigieren Sie zu Verbindungen > Firewall, und wählen Sie dann die Firewall-Richtlinie (die Sie erstellt haben) unter dem Feld Name aus. Klicken Sie auf Übernehmen.

Verbindungs-Firewall prüfen

Methode - 2

  1. Um den gesamten Datenverkehr umzuleiten, navigieren Sie unter Konfigurationseditor > Virtual WANzurRegisterkarteVerbindung und wählen Sie Firewall aus.

Traffic-Umleitung über SD-WAN GUI

  1. Wählen Sie Richtlinien aus derDropdownlisteAbschnitt aus, und klicken Sie auf +Hinzufügen, um eine neue Firewall-Richtlinie zu erstellen.

Firewall für die Verkehrsumleitung

  1. Ändern Sie den Richtlinientyp in Hosted Firewall. DasFeldAktion wird automatisch in Umleitung ausgefüllt. Wählen Sie in der Dropdownliste die Vorlage für gehostete Firewall und die Dienstumleitungsoberfläche aus. Klicken Sie auf Hinzufügen.

Schnittstelle für die Service-Umleitung

Während die gesamte Netzwerkkonfiguration aktiv ist und ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall unter ** Statistikliste die Option **Filterrichtlinien überwachen.

Filterrichtlinie

Sie können die Zuordnung zwischen der Konfiguration, die Sie auf der SD-WAN-Service-Chain-Vorlage vorgenommen haben, und der Palo Alto Network-Konfiguration mithilfe der Benutzeroberfläche von Palo Alto Networks überprüfen.

Palo Alto nw

HINWEIS:

Die virtuelle Maschine Palo Alto Networks kann nicht bereitgestellt werden, wenn Cloud Direct oder SD-WAN WANOP (PE) bereits auf der 1100 Appliance bereitgestellt wurde.

Anwendungsfälle — Hosted Firewall auf SD-WAN 1100

Im Folgenden sind einige der Anwendungsfallszenarien aufgeführt, die mithilfe der Citrix SD-WAN 1100 -Appliance implementiert werden:

Anwendungsfall 1: Umleiten des gesamten Datenverkehrs in die Hosted Firewall

Dieser Anwendungsfall gilt für Anwendungsfälle in kleinen Zweigstellen, in denen der gesamte Datenverkehr von der Hosted Next-Generation Firewall verarbeitet wird. Die Bandbreitenanforderungen müssen berücksichtigt werden, da der Durchsatz des umgeleiteten Datenverkehrs auf 100 Mbit/s begrenzt ist.

Um dies zu erreichen, erstellen Sie eine Firewall-Regel, die jedem Datenverkehr entspricht, und mit Aktion als Umleitung, wie im folgenden Screenshot gezeigt:

Anwendungsfall 1

Anwendungsfall 2: Nur Internetverkehr in die Hosted Firewall umleiten

Dieser Anwendungsfall gilt für alle Zweigstellen, bei denen Internet-gebundener Datenverkehr den Umfang des unterstützten umgeleiteten Datenverkehrs nicht überschreitet. In diesem Fall wird der Datenverkehr zwischen Rechenzentren von Sicherheitsgeräten/-diensten verarbeitet, die in Rechenzentren bereitgestellt werden.

Um dies zu erreichen, erstellen Sie eine Firewall-Regel, die jedem Datenverkehr entspricht, und mit Aktion als Umleitung, wie im folgenden Screenshot gezeigt:

Anwendungsfall 2

Anwendungsfall 3: Direkter Internet-Breakout für vertrauenswürdige Internet-SaaS-Anwendungen und Umleitung des verbleibenden gesamten Datenverkehrs auf gehostete VM

In diesem Anwendungsfall wird eine Firewallregel hinzugefügt, um einen direkten Internet-Breakout für vertrauenswürdige SaaS-Anwendungen wie Office 365 durchzuführen. Aktivieren Sie zunächst Office 365 Breakout Policy, wie im folgenden Screenshot gezeigt:

Anwendungsfall 3

Dadurch werden automatisch Vorlagenrichtlinien für Office 365-Datenverkehr hinzugefügt, wie im folgenden Screenshot gezeigt. Fügen Sie nun eine Firewall-Regel hinzu, um verbleibenden gesamten Datenverkehr an die gehostete Firewall umzuleiten, wie unten erwähnt.

Anwendungsfall 4

Hinweis:

Die Konfiguration der gehosteten Firewall ist unabhängig von der Citrix SD-WAN Konfiguration. Daher kann die gehostete Firewall gemäß den Sicherheitsanforderungen des Unternehmens konfiguriert werden.

Palo Alto Networks Firewall-Integration auf SD-WAN 1100 Plattform