Unterstützung der Firewall-Verkehrsumleitung mithilfe von Forcepoint in Citrix SD-WAN

Forcepoint unterstützt die folgenden Funktionen, obwohl SD-WAN nur die Firewallumleitungsfunktion unterstützt:

  • IPsec mit PKI
  • IPsec mit PSK
  • Proxy-Verkettung mit PAC-Dateikonfiguration
  • Proxy-Verkettung mit Standard-Headern
  • Proxy-Verkettung mit proprietären Headern entfällt die Notwendigkeit, den IP-Bereich des Clients zu konfigurieren - Partnerschaft/Entwicklung
  • Firewall-Umleitung (transparenter Proxy nach Ziel-NAT)

Mit der Ziel-NAT-Richtlinie können Unternehmen den Internetverkehr über den cloudgehosteten Sicherheitsdienst mithilfe von ForcePoint weiterleiten.

Lesen Sie den folgenden Anwendungsfall, um zu verstehen, wie Sie Destination NAT in SD-WAN-Appliances konfigurieren und Internetverkehr über einen sicheren cloudbasierten Firewalldienst umleiten.

Voraussetzungen:

  1. Melden Sie sich bei der anForcepoint Portalwebsite. Erstellen Sie eine Richtlinie, indem Sie die öffentliche Enterprise-IP-Adresse angeben, über die der Internetverkehr an Forcepoint umgeleitet werden muss. Rufen Sie die primären und sekundären IP-Adressen ab, an die der Internetverkehr umgeleitet werden soll.

  2. Konfigurieren Sie in der SD-WAN-GUI auf einer SD-WAN-Appliance am DC-Standort den Internetdienst, der WAN-Verbindungen zugeordnet ist.

  3. Ziel NAT wird unter Verwendung der Ziel-IP-Adresse des Internetverkehrs durchgeführt. Diese Zieladresse wird in die öffentliche Forcepoint-IP-Adresse geändert.

  4. Konfigurieren Sie die Ziel-NAT-Richtlinie, indem Sie die Quell-IP-Adresse und die primäre IP-Adresse angeben. Die Quell-IP ist die Internet-IP-Adresse der SD-WAN-Appliance innerhalb der Ports 80 (http) und 443 (https), die in die primäre Ziel-IP-Adresse des cloudbasierten Firewall-Gateway mit externen Ports 8081 (http) bzw. 8443 (https) umgeleitet bzw. übersetzt wird.

  5. Stellen Sie nach der Konfiguration der DNAT-Richtlinie sicher, dass für die auf dem Domänencontroller konfigurierten Routen der Internetdiensttyp für die IP-Adresse des SD-WAN-Netzwerks ausgewählt ist.

Weitere Informationen zur NAT-Unterstützung in Citrix SD-WAN finden Sie im folgenden ThemaNAT konfigurieren

lokalisierte Grafik

Konfigurieren von Ziel-NAT (DNAT)

Verwenden Sie die Citrix SD-WAN GUI, um Destination NAT (DNAT) zu konfigurieren. Fügen Sie in der Konfiguration eine oder mehrere DNAT Richtlinien hinzu, die den Datenverkehr umleiten, der einer bestimmten Ziel-IP-Adresse und -port entspricht.

So konfigurieren Sie Ziel-NAT:

Gehen Sie in der SD-WAN SE/VPX GUI zu Konfiguration -> Virtuelles WAN -> Konfigurations-Editor. Klicken Sie auf Öffnen, um ein vorhandenes Paket zu öffnen. Wählen Sie ein gespeichertes Konfigurationspaket aus. Sie können auch DNAT Regeln erstellen, während Sie die Netzwerkkonfiguration erstellen.

  1. Konfigurieren Sie Internetdienst am Domänencontroller (MCN). Gehen Sie zu Verbindungen -> Firewall.

  2. Klicken Sie auf + Hinzufügen, um eine DNAT Richtlinie hinzuzufügen.

  3. Geben Sie im Dialogfeld Ziel-NAT-Richtlinie hinzufügen die folgenden Informationen ein:

    • Priorität
    • Richtung
    • Servicetyp
    • Servicename
    • Interne IP-Adresse
    • Interner Port
    • Externe IP-Adresse
    • Externer Port

    lokalisierte Grafik

    lokalisierte Grafik

  4. Bereitstellen von Ziel-NAT-Regeln für die Firewallverkehrsumleitung, ähnlich wie statische NAT-Regeln.

  5. Geben Sie die übereinstimmenden Kriterien und die Ziel-IP/Port ein, die NAT werden soll.

  6. Führen Sie die Verbindungsabstimmung der DNAT Regel mit Statistiken durch.

  7. Entfernen oder Aktualisieren von DNAT Regeln während der Konfigurationsupdates.

Überwachen einer Ziel-NAT-Richtlinie (Firewall)

Sie können auch die Citrix SD-WAN GUI verwenden, um die aktuelle DNAT-Richtlinienkonfiguration zu überwachen.

So überwachen Sie die aktuelle Ziel-NAT Richtlinienkonfiguration:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Überwachung > Firewall > NAT-Richtlinien.

  2. Wählen Sie die Registerkarte mit den Statistiken aus, die Sie überwachen möchten.

    lokalisierte Grafik

    lokalisierte Grafik

Unterstützung der Firewall-Verkehrsumleitung mithilfe von Forcepoint in Citrix SD-WAN