Integration von Palo Alto Networks auf SD-WAN 1100 Plattform

Mit Version 11.0.2 unterstützt Citrix SD-WAN Palo Alto Networks die nächste Generation Firewall Virtual Machine (VM) -Serie (VM 50 und VM 100), die auf der SD-WAN 1100-Plattform gehostet werden.

Die Palo Alto Network Virtual Machine Series Firewall läuft als gehostete virtuelle Firewall-Maschine auf der SD-WAN 1100 Plattform. Die gehostete virtuelle Firewall-Maschine funktioniert als Virtual Network Function (VNF), die in den Virtual Wire-Modus integriert ist. Im Virtual Wire-Modus fungiert die Firewall als Brücke, die mit zwei Ports verbunden ist, und der erforderliche Datenverkehr wird über die gehostete Firewall verkettet.

Vorteile

Im Folgenden sind die wichtigsten Ziele oder Vorteile der Integration von Palo Alto Networks auf der SD-WAN 1100 Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet
  • Erweiterte Sicherheit zum Schutz des lokalen Internets und der Cloud Breakout
  • Blockieren seitlicher Bedrohungen (LAN zu LAN)

Integrieren Sie die virtuelle Maschine von Palo Alto Networks als Sicherheits-VNF auf der SD-WAN 1100 Plattform

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen erweitern >Gehostete Firewall auswählen.

  2. Voraussetzung: Laden Sie das Software-Image hoch:
    • Wählen Sie die Registerkarte Software-Images . Der Lieferantenname wird automatisch ausgefüllt, und dieses Feld kann nicht bearbeitet werden.
    • Wählen Sie die Software-Image-Datei aus.
    • Klicken Sie auf Upload.

    SW-Image-Upload

    Hinweis: Es können mehrere Softwareimages hochgeladen werden, aber nur eines kann jederzeit zur Bereitstellung der virtuellen Maschine verwendet werden.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail spiegelt sich wieder, sobald das Image erfolgreich hochgeladen wurde. Das für die Provisioning verwendete Image kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Wählen Sie für die Bereitstellung die Registerkarte Gehostete Firewalls aus, und klicken Sie auf Provisioning . Gehostete Firewall
  • Lieferantenname: Der Lieferantenname wird automatisch ausgefüllt und dieses Feld kann nicht bearbeitet werden.
  • Modell der virtuellen Maschine: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
  • Name der Imagedatei: Wählen Sie die Imagedatei aus.
  • Primäre Panorama-IP-Adresse/Domänenname: Geben Sie die primäre Panorama-IP-Adresse oder den vollqualifizierten Domänennamen an (optional).
  • Sekundäre Panorama-IP-Adresse/Domänenname: Geben Sie die sekundäre Panorama-IP-Adresse oder den vollqualifizierten Domänennamen an (optional).
  • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den Authentifizierungsschlüssel für die virtuelle Maschine an (optional).

    Virtual Machine Authentication Key wird für die automatische Registrierung der virtuellen Maschine Palo Alto Networks im Panorama benötigt.

  • Authentifizierungscode: Geben Sie den Authentifizierungscode (Lizenzcode für virtuelle Maschinen) ein (Optional).
  1. Klicken Sie auf Übernehmen.

  2. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine Palo Alto Networks vollständig gestartet wurde, reflektiert sie die SD-WAN-Benutzeroberfläche mit den Operations-Protokolldetails.

    Details zum Opt-Protokoll

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datenpfad Verarbeitungsstatus der virtuellen Maschine.
    • Gesendete Pakete: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet werden.
    • Empfangenes Paket: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen werden.
    • Paket gelöscht: Von SD-WAN abgelegte Pakete (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um den GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie hier klicken, um auf die GUI der virtuellen Maschine von Palo Alto Networks zuzugreifen, oder verwenden Sie Ihre Management-IP zusammen mit 4100 Port (Management-IP: 4100).

Hinweis Verwenden Sie immer den Inkognito-Modus, um auf die Palo Alto Networks GUI zuzugreifen. Das Hochladen des Images der virtuellen Maschine Palo Alto Networks kann je nach Verfügbarkeit der Bandbreite länger dauern.

Provisioning von Palo Alto Networks über das SD-WAN Center

Voraussetzungen

  • Fügen Sie den Datenspeicher hinzu und konfigurieren Sie diesen. Weitere Informationen finden Sie unter Systemanforderungen und Installation.
  • Konfigurieren Sie das Speicherlimit. Um das Speicherlimit zu konfigurieren, navigieren Sie zu Administration > Speicherwartung.
    • Wählen Sie den erforderlichen Speicherbetrag aus der Liste aus.
    • Klicken Sie auf Übernehmen.

    Speicher

Hinweis Der Speicher wird von der sekundären Partition reserviert, die aktiv ist, wenn die Bedingung erfüllt ist.

Führen Sie die folgenden Schritte für die Provisioning der gehosteten virtuellen Maschine auf der SD-WAN Center-Plattform aus:

  1. Navigieren Sie in der Citrix SD-WAN Center-GUI zu Konfiguration > Wählen Sie Gehostete Firewall aus.

    Gehostete FW-Websites

    Sie können die Region aus der Liste auswählen, um die bereitgestellten Website-Details für die ausgewählte Region anzuzeigen.

  2. Voraussetzung: Laden Sie das Software-Image hoch:

    HINWEIS Stellen Sie sicher, dass genügend Speicherplatz vorhanden ist, um das Software-Image hochzuladen.

    Wechseln Sie zur Registerkarte Software-Images und klicken Sie auf die Software-Image-Datei in das Feld, um sie hochzuladen. Der Lieferantenname wird automatisch ausgefüllt, und dieses Feld kann nicht bearbeitet werden.

    SW-Image hochladen

    Eine Statusleiste mit dem laufenden Upload-Prozess wird angezeigt. Klicken Sie auf Aktualisieren oder führen Sie keine andere Aktion aus, bis die Imagedatei 100% hochgeladen zeigt.

    • Aktualisieren: Klicken Sie auf Aktualisieren, um die neuesten Imagedateidetails abzurufen.
    • Löschen: Klicken Sie auf Löschen, um eine vorhandene Imagedatei zu löschen.
  3. Wechseln Sie zur Bereitstellung zurück zur Registerkarte Gehostete Firewalls und klicken Sie auf Provisioning.

    Bereitstellung starten

    • Kreditor: Wählen Sie den Herstellernamenaus der Liste aus.
    • Vendor Virtual Machine Model: Wählen Sie die Modellnummer der virtuellen Maschine aus der Liste aus.
    • Software-Image: Wählen Sie die zu bereitzustellende Imagedatei aus.
    • Region: Wählen Sie den Teilsektor aus der Liste aus.
    • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für Firewall-Hosting aus. Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.

    • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
    • Sekundäre IP-Adresse/Domänenname des Management Servers: Geben Sie die sekundäre IP-Adresse des Management-Servers oder den vollqualifizierten Domänennamen ein (optional).

    • Authentifizierungsschlüssel für virtuelle Maschinen: Geben Sie den virtuellen Authentifizierungsschlüssel ein, der im Verwaltungsserver verwendet werden soll.

    • Authentifizierungscode: Geben Sie den virtuellen Authentifizierungscode ein, der für die Lizenzierung verwendet werden soll.
  4. Klicken Sie auf Bereitstellung starten.
  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Maschine Palo Alto Networks vollständig gestartet wurde, reflektiert sie die Benutzeroberfläche des SD-WAN Centers.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren.

Standort für die Bereitstellung auswählen

  • Standortname: Zeigt den Standortnamen an.
  • Verwaltungs-IP: Zeigt die Verwaltungs-IP-Adresse des Standorts an.
  • Regionsname: Zeigt die Regionsbezeichnung an.
  • Lieferant: Zeigt den Herstellernamen an (Palo Alto Networks).
  • Modell: Zeigt die Modellnummer (VM50/VM100) an.
  • Administratorstatus: Status der virtuellen Maschine des Herstellers (Up/Down).
  • Arbeitsvorgangsstatus: Zeigt die Meldung Betriebsstatus an.
  • Gehostete Site: Verwenden Sie den Hier-Klicken-Link, um auf die GUI der virtuellen Maschine von Palo Alto Networks zuzugreifen.

Um die nicht standardmäßigen Regionssites bereitzustellen, müssen Sie das Software-Image auf den SD-WAN Center Collector hochladen. Sie können die Palo Alto Networks sowohl von der SD-WAN Center Head End GUI als auch vom SD-WAN Center Collector bereitstellen.

Um die IP-Adresse des SD-WAN Center Collectors abzurufen, navigieren Sie zu Konfiguration > Netzwerkerkennung > wählen Sie die Registerkarte Ermittlungseinstellungen aus.

Kollektor-IP

So stellen Sie die Palo Alto Networks vom SD-WAN Collector her:

  1. Navigieren Sie in der SD-WAN Collector-GUI zu Konfiguration > Wählen Sie Gehostete Firewall aus.

    Collector hosted fw

  2. Gehen Sie zur Registerkarte Software-Images, um das Software-Image hochzuladen.
  3. Klicken Sie auf Bereitstellen auf der Registerkarte Gehostete Firewall-Sites.
  4. Geben Sie die folgenden Details ein, und klicken Sie auf Bereitstellung starten.

    Kollektorbereitstellung

Verkehrsumleitung

Öffnen Sie die Citrix SD-WAN Benutzeroberfläche, navigieren Sie zu Konfiguration > erweitern Sie Virtual WAN > wählen Sie Konfigurations-Editor aus. Eine neue Konfigurationsvorlage wird als gehostete Firewall-Vorlage unter Globaler Abschnitt hinzugefügt.

Gehostete fw-Temp

Geben Sie die erforderlichen Informationen im folgenden Screenshot an, um die Vorlage für gehostete Firewall hinzuzufügen, und klicken Sie auf Hinzufügen.

Hinzufügen

Mit der gehosteten Firewall-Vorlage können Sie die Datenverkehrsumleitung zur Drittanbieter-Firewall konfigurieren, die auf der SD-WAN-Appliance gehostet wird. Die Verkehrsumleitung zur gehosteten Firewall kann mithilfe von SD-WAN-Firewall-Richtlinien aktiviert werden. Die folgenden Eingaben sind für die Konfiguration der Vorlage erforderlich:

  • Name: Name der gehosteten Firewall-Vorlage.
  • Hersteller: Name des Firewall-Herstellers.
  • Modell: Virtual Machine-Modell der gehosteten Firewall.
  • Primärer Verwaltungsserver IP/FQDN: Primärer Verwaltungsserver IP/FQDN der gehosteten Firewall.
  • Sekundärer Verwaltungsserver IP/FQDN: Sekundärer Verwaltungsserver IP/FQDN der gehosteten Firewall.
  • Dienstumleitungsschnittstellen: Dies sind logische Schnittstellen, die für die Verkehrsumleitung zwischen SD-WAN und gehosteter Firewall verwendet werden. Interface-1, Interface-2 bezieht sich auf die ersten beiden Schnittstellen auf der gehosteten Firewall. Wenn VLANs für die Verkehrsumleitung verwendet werden, müssen dieselben VLANs auf der gehosteten Firewall konfiguriert werden. VLANs, die für die Verkehrsumleitung konfiguriert sind, sind intern zum SD-WAN und zur gehosteten Firewall.

    Hinweis

    Die Umleitungseingabeschnittstelle muss aus der Richtung des Verbindungsinitiators ausgewählt werden, die Umleitungsschnittstelle wird automatisch für den Antwortverkehr ausgewählt. Wenn beispielsweise ausgehender Internetverkehr an die gehostete Firewall auf Schnittstellen1 umgeleitet wird, wird der Antwortverkehr automatisch zur gehosteten Firewall auf Schnittstellen2 umgeleitet.

Für die Palo Alto Networks Firewall sind nur zwei physikalische Schnittstellen zugewiesen. Wenn Datenverkehr aus mehreren Zonen an die gehostete Firewall weitergeleitet werden muss, können mithilfe interner VLANs mehrere Unterschnittstellen erstellt und verschiedenen Firewallzonen auf der gehosteten Firewall zugeordnet werden.

Über SD-WAN-Firewall-Richtlinien oder Richtlinien auf Standortebene können Sie den gesamten Datenverkehr an die virtuelle Maschine von Palo Alto Networks umleiten.

Hinweis

SD-WAN-Firewall-Richtlinien werden automatisch erstellt, um den Datenverkehr zu/von gehosteten Firewall-Verwaltungsservern Zulassen. Dadurch wird eine Umleitung des Verwaltungsdatenverkehrs vermieden, der von einer gehosteten Firewall stammt (oder).

Um den gesamten Datenverkehr umzuleiten, wählen Sie im Konfigurations-Editor die Registerkarte Verbindung > wählen Sie Richtlinien aus der Auswahlliste > klicken Sie auf + Hinzufügen.

Gehostete FW-Richtlinie

Wählen Sie den Richtlinientyp (Hosted Firewall oder Built-in Firewall) aus, und füllen Sie alle anderen Felder mit den erforderlichen Details aus.

Derzeit sind die SD-WAN-Firewall-Richtlinien richtungsspezifisch. Für die gehostete Firewallumleitung wird unter Konfigurationseditor > Global eine neue Option für den Verbindungstyp eingeführt.

  • Standard: Verbindungen mit den angegebenen Übereinstimmungskriterien abgleichen.
  • Symmetrisch: Verbindungen anhand der angegebenen Übereinstimmungskriterien abgleichen und Richtlinienaktionen auf beide Richtungen anwenden.

Verbindungsübereinstimmungstyp

Während die gesamte Netzwerkkonfiguration ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall > unter Statistikliste überwachen und Richtlinien filtern.

Filterrichtlinie

Sie können die Zuordnung zwischen der Konfiguration, die Sie in der SD-WAN-Servicekettenvorlage vorgenommen haben, und der Konfiguration von Palo Alto Network mithilfe der Benutzeroberfläche von Palo Alto Networks überprüfen.

Palo alto nw

HINWEIS:

Die virtuelle Maschine von Palo Alto Networks kann nicht bereitgestellt werden, wenn Cloud Direct oder SD-WAN WANOP (PE) bereits auf der 1100-Appliance bereitgestellt wurde.