Citrix SD-WAN

Check Point Firewall-Integration auf der SD-WAN 1100-Plattform

Citrix SD-WAN unterstützt das Hosting von Check Point Quantum Edge auf der SD-WAN 1100-Plattform.

Der Check Point Quantum Edge läuft als virtuelle Maschine auf der SD-WAN 1100-Plattform. Die virtuelle Firewall-Maschine ist im Bridge-Modus mit zwei virtuellen Datenschnittstellen integriert. Erforderlicher Datenverkehr kann durch Konfigurieren von Richtlinien auf SD-WAN an die virtuelle Firewall-Maschine umgeleitet werden.

Hinweis

Ab Citrix SD-WAN 11.3.1 wird die Check Point VM Version 80.20 und höher für die Provisioning von VM auf neuen Standorten unterstützt.

Vorteile

Im Folgenden werden die wichtigsten Ziele oder Vorteile der Check Point-Integration auf der SD-WAN 1100 Plattform aufgeführt:

  • Zweiggerätekonsolidierung: Eine einzige Appliance, die sowohl SD-WAN als auch erweiterte Sicherheit bietet

  • Sicherheit in Zweigstellen mit On-Prem NGFW (Next Generation Firewall) zum Schutz von LAN-zu-LAN-, LAN-zu-Internet- und Internet-zu-LAN-Datenverkehr

Konfigurationsschritte

Die folgenden Konfigurationen sind erforderlich, um die virtuelle Check Point-Firewall-Maschine auf SD-WAN zu integrieren:

  • Bereitstellen der virtuellen Firewall-Maschine

  • Aktivieren der Datenverkehrsumleitung zur virtuellen Sicherheitsmaschine

Hinweis:

Die virtuelle Maschine der Firewall muss zuerst bereitgestellt werden, bevor die Datenverkehrsumleitung aktiviert wird.

Provisioning der Check Point Firewall-VM

Es gibt zwei Möglichkeiten, die virtuelle Firewall-Maschine bereitzustellen:

  • Provisioning über SD-WAN Center

  • Provisioning über die Benutzeroberfläche der SD-WAN-Appliance

Provisioning virtueller Maschinen in der Firewall über das SD-WAN Center

Voraussetzungen

  • Fügen Sie dem SD-WAN Center den sekundären Speicher hinzu, um die Firewall-VM-Imagedateien zu speichern. Weitere Informationen finden Sie unter Systemanforderungen und Installation.

  • Reservieren Sie den Speicher von der sekundären Partition für die Firewall-VM-Imagedateien. Um das Speicherlimit zu konfigurieren, navigieren Sie zu Administration > Speicherwartung.

    • Wählen Sie die erforderliche Speichermenge aus der Liste aus.

    • Klicken Sie auf Apply.

    Speicher

Hinweis:

Speicher ist für die sekundäre Partition reserviert, die aktiv ist, wenn die Bedingung erfüllt ist.

Führen Sie die folgenden Schritte aus, um Provisioning Firewall-Maschine über die SD-WAN Center-Plattform bereitzustellen:

  1. Navigieren Sie in der Citrix SD-WAN Center-GUI zu Konfiguration > Wählen Sie Gehostete Firewall aus.

    Gehostete FW-Sites

    Sie können die Region aus der Dropdownliste auswählen, um die bereitgestellten Site-Details für diese ausgewählte Region anzuzeigen.

  2. Laden Sie das Softwareimage hoch.

    Hinweis

    Stellen Sie sicher, dass Sie über genügend Speicherplatz verfügen, um das Software-Image hochzuladen.

    Navigieren Sie zu Konfiguration > Gehostete Firewall > Software-Images und klicken Sie auf Hochladen.

    Registerkarte "Softwareimage"

  3. Wählen Sie in der Dropdownliste den Namen des Anbieters als Check Point aus. Klicken oder legen Sie die Softwareimage-Datei in das Feld für den Upload ab.

    Prüfpunkt-Softwareimage

    Eine Statusleiste mit dem laufenden Upload-Prozess wird angezeigt. Klicken Sie auf Aktualisieren oder führen Sie keine andere Aktion aus, bis die Imagedatei 100% hochgeladen zeigt.

    • Aktualisieren: Klicken Sie auf die Option Aktualisieren, um die neuesten Imagedateidetails zu erhalten.

    • Löschen: Klicken Sie auf die Option Löschen, um eine vorhandene Imagedatei zu löschen.

    Hinweis

    Um die virtuelle Firewall-Maschine auf dem Site-Teil einer nicht standardmäßigen Region bereitzustellen, laden Sie die Image-Datei auf jedem Collector-Knoten hoch.

  4. Kehren Sie für die Bereitstellung zur Registerkarte Gehostete Firewall-Sites zurück und klicken Sie auf Bereitstellung.

    Bereitstellung von Prüfpunkten für Provisioning

    • Anbieter: Wählen Sie den Namen des Anbieters als Check Point aus der Dropdownliste aus.
    • Vendor Virtual Machine Model: Das Feld “VM-Modell” wird automatisch als Edge gefüllt.
    • Region: Wählen Sie den Teilsektor aus der Liste aus.
    • Software-Image: Wählen Sie die zu bereitzustellende Imagedatei aus.
    • Sites für Firewall-Hosting: Wählen Sie Sites für die Liste für Firewall-Hosting aus. Sie müssen sowohl primäre als auch sekundäre Standorte auswählen, wenn sich die Standorte im Hochverfügbarkeitsmodus befinden.
    • Primäre IP-Adresse/Domänenname des Management Servers: Geben Sie die primäre IP-Adresse des Managements oder den vollqualifizierten Domänennamen ein (optional).
    • SIC-Schlüssel der virtuellen Maschine: Geben Sie den Secure Internal Communication (SIC) -Schlüssel der virtuellen Maschine ein. SIC schafft vertrauenswürdige Verbindungen zwischen Check Point-Komponenten.
  5. Klicken Sie auf Bereitstellung starten.

  6. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Check Point-Maschine vollständig gestartet wurde, wird sie auf der Benutzeroberfläche des SD-WAN Centers angezeigt.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren.

Bereitgestellter Prüfpunkt

  • Standortname: Zeigt den Standortnamen an.
  • Management-IP: Zeigt die Management-IP-Adresse der Site an.
  • Regionsname: Zeigt die Regionsbezeichnung an.
  • Anbieter: Zeigt den Namen des Anbieters (Check Point) an.
  • Modell: Zeigt das Modell - Edge.
  • Administratorstatus: Status der virtuellen Maschine des Herstellers (Up/Down).
  • Betriebsstatus: Zeigt die letzte Meldung zum Betriebsstatus an.
  • Zugriff auf die Benutzeroberfläche für gehostete Sites: Verwenden Sie den Link Hier klicken, um auf die GUI der virtuellen Check Point-Maschine

Bereitstellung virtueller Maschinen durch die Benutzeroberfläche der SD-WAN-Appliance

Stellen Sie auf der SD-WAN-Plattform die gehostete virtuelle Maschine bereit und starten Sie sie. Führen Sie die folgenden Schritte für die Provisioning:

  1. Navigieren Sie in der Citrix SD-WAN GUI zu Konfiguration > Appliance-Einstellungen wählen Sie Gehostete Firewall aus.

  2. Laden Sie das Softwareimage hoch:

    • Wählen Sie die Registerkarte Software-Images. Wählen Sie den Namen des Anbieters als Kontrollpunkt aus.
    • Wählen Sie die Softwareimagedatei aus.
    • Klicken Sie auf Upload.

    Softwareimageupload in SD-WAN

    Hinweis:

    Es können maximal zwei Images hochgeladen werden. Das Hochladen des Images der Check Point virtuellen Maschine kann je nach Bandbreitenverfügbarkeit länger dauern.

    Sie können eine Statusleiste sehen, um den Upload-Prozess zu verfolgen. Das Dateidetail wird aktualisiert, sobald das Image erfolgreich hochgeladen wurde. Das Image, das für die Bereitstellung verwendet wird, kann nicht gelöscht werden. Führen Sie keine Aktion aus oder gehen Sie zurück zu einer anderen Seite, bis die Imagedatei 100% hochgeladen zeigt.

  3. Für die Provisioning wählen Sie die Registerkarte Gehostete Firewall > klicken Sie auf die Schaltfläche Bereitstellen.

    Check Point-Provisioning im SD-WAN

  4. Geben Sie die folgenden Details für die Provisioning.

    • Anbietername: Wählen Sie den Namen des Anbieters als Check Point aus.
    • Modell der virtuellen Maschine: Das Modell der virtuellen Maschine wird automatisch als Edge ausgefüllt.
    • Imagedateiname: Der Name der Imagedatei wird automatisch ausgefüllt.
    • Überprüfen Sie die IP Adresse/Domäne des Point Management Servers: Geben Sie die IP-Adresse/Domäne des Checkpoint Management Servers an.
    • SIC-Schlüssel: Geben Sie den SIC-Schlüssel an (optional). SIC schafft vertrauenswürdige Verbindungen zwischen Check Point-Komponenten. Klicken Sie auf Apply.

    Details zur Provisioning Check Points

  5. Klicken Sie auf Aktualisieren, um den neuesten Status zu erhalten. Nachdem die virtuelle Check Point-Maschine vollständig gestartet wurde, wird sie auf der SD-WAN-Benutzeroberfläche mit den Vorgängen Protokolldetails reflektiert.

    Prüffunkt-Betriebsprotokoll

    • Admin-Status: Gibt an, ob die virtuelle Maschine hoch- oder heruntergefahren ist.
    • Verarbeitungsstatus: Datapath-Verarbeitungsstatus der virtuellen Maschine.
    • Paket gesendet: Pakete, die von SD-WAN an die virtuelle Sicherheitsmaschine gesendet wurden.
    • Paket empfangen: Pakete, die von SD-WAN von der virtuellen Sicherheitsmaschine empfangen wurden.
    • Paket verworfen: Pakete, die von SD-WAN verworfen wurden (z. B. wenn die virtuelle Sicherheitsmaschine ausgefallen ist).
    • Gerätezugriff: Klicken Sie auf den Link, um die GUI-Zugriff auf die virtuelle Sicherheitsmaschine zu erhalten.

Sie können die virtuelle Maschine nach Bedarf starten, herunterfahren und deaktivieren. Verwenden Sie die Option Hier klicken, um auf die GUI der virtuellen Check Point-Maschine zuzugreifen, oder verwenden Sie Ihre Verwaltungs-IP zusammen mit 4100-Port (Management-IP: 4100).

Hinweis: Verwenden Sie

immer den Inkognito-Modus, um auf die Checkpoint-GUI zuzugreifen.

Datenverkehr an Edge umleiten

Die Konfiguration der Datenverkehrsumleitung kann sowohl über den Konfigurationseditor auf MCN als auch den Konfigurationseditor im SD-WAN Center erfolgen.

So navigieren Sie im SD-WAN Center durch den Konfigurationseditor:

  1. Öffnen Sie Citrix SD-WAN Center UI, navigieren Sie zu Konfiguration > Netzwerkkonfigurationsimport. Importieren Sie die virtuelle WAN-Konfiguration aus dem aktiven MCN und klicken Sie auf Importieren.

    Virtuelle WAN-Konfiguration importieren

Die restlichen Schritte sind ähnlich wie folgt - die Konfiguration der Datenverkehrsumleitung über MCN.

So navigieren Sie durch den Konfigurationseditor auf MCN:

  1. Setzen Sie Verbindungsanpassungstyp unter Global > Netzwerkeinstellungen auf Symmetrisch.

    Verbindungsübereinstimmungstyp

    Standardmäßig sind SD-WAN-Firewallrichtlinien richtungsspezifisch. Der Match-Typ Symmetrisch entspricht den Verbindungen unter Verwendung der angegebenen Übereinstimmungskriterien und wendet die Richtlinienaktion auf beide Richtungen an

  2. Öffnen Sie die Citrix SD-WAN UI, navigieren Sie zu Konfiguration erweitern Sie Virtual WAN wählen Sie Konfigurationseditor und wählen Sie Hosted Firewall Template im Abschnitt Global.

    Vorlage für gehostete Firewall

  3. Klicken Sie auf + und geben Sie die erforderlichen Informationen an, die im folgenden Screenshot verfügbar sind, um die Vorlage für gehostete Firewallhinzuzufügen. Klicken Sie auf Hinzufügen.

    Details zur gehosteten Firewallvorlage

Mit derHosted Firewall-Vorlage können Sie die Verkehrsumleitung zur virtuellen Firewall-Maschine konfigurieren, die auf der SD-WAN-Plattform gehostet wird. Die folgenden Eingaben sind für die Konfiguration der Vorlage erforderlich:

  • Name: Der Name der gehosteten Firewall-Vorlage.
  • Anbieter: Der Name des Firewall-Anbieters — Check Point.
  • Bereitstellungsmodus: Das Feld “ Bereitstellungsmodus “ wird automatisch ausgefüllt und ausgegraut. Für den Check Point-Anbieter ist der Bereitstellungsmodus Bridge.
  • Modell: Virtual Machine-Modell der gehosteten Firewall. Nachdem Sie den Anbieter als Kontrollpunktausgewählt haben, wird das Modellfeld automatisch mit Edgegefüllt.
  • Primärer Managementserver IP/FQDN: Primärer Managementserver IP/FQDN.
  • Sekundärer Managementserver IP/FQDN: Sekundärer Managementserver IP/FQDN.
  • Service-Umleitungsschnittstellen: Dies sind logische Schnittstellen, die für die Verkehrsumleitung zwischen SD-WAN und der gehosteten Firewall verwendet werden.

Hinweis

Die Umleitungs-Eingabeschnittstelle muss aus der Richtung des Verbindungsinitiators ausgewählt werden, die Ausgangsschnittstelle wird automatisch für den Antwortverkehr ausgewählt. Wenn beispielsweise ausgehender Internetverkehr an die gehostete Firewall auf Schnittstellen1 umgeleitet wird, wird der Antwortverkehr automatisch zur gehosteten Firewall auf Schnittstellen2 umgeleitet. Außerdem ist Interface-2 nicht erforderlich, wenn kein eingehender Internet-Datenverkehr vorhanden ist.

Der virtuellen Check Point-Maschine sind nur zwei Datenschnittstellen zugewiesen.

Hinweis:

SD-WAN-Firewall-Richtlinien werden automatisch erstellt, um den Datenverkehr zu/von gehosteten Firewall-Verwaltungsservern zulassen . Dadurch wird die Umleitung des Verwaltungsdatenverkehrs vermieden, der von (oder) für die gehostete Firewall bestimmt ist.

Die Umleitung des Datenverkehrs zur virtuellen Firewall-Maschine kann mithilfe von SD-WAN-Firewall-Richtlinien erfolgen. Es gibt zwei Methoden, um die SD-WAN-Firewall-Richtlinien zu erstellen - entweder über Firewall-Richtlinienvorlagen im Abschnitt Global oder auf Site-Ebene.

Methode - 1

  1. Navigieren Sie von Citrix SD-WAN GUI zu Konfiguration erweitern Sie Virtual WAN > Konfigurationseditor. Wählen Sie Firewall unter Verbindungenaus.

    Traffic-Umleitung über SD-WAN GUI

  2. Wählen Sie Richtlinien aus der Dropdownliste Abschnitt aus und klicken Sie auf +Hinzufügen, um eine Firewall-Richtlinie zu erstellen.

    Firewall für die Verkehrsumleitung

  3. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch auf Redirect gefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdownliste aus. Klicken Sie auf Hinzufügen.

    Schnittstelle für die Service-Umleitung

Methode - 2

  1. Navigieren Sie zur Registerkarte Global und wählen Sie Firewall-Richtlinienvorlagenaus Klicken Sie auf + Richtlinienvorlage

    Richtlinienvorlage

  2. Geben Sie der Richtlinienvorlage einen Namen und klicken Sie auf Hinzufügen.

    Name der Richtlinienvorlage

  3. Klicken Sie auf + Hinzufügen neben Richtlinien für Pre-Appliance-Vorlagen.

    Richtlinien für Vorlagen vor der Appliance

  4. Ändern Sie den Richtlinientyp in Hosted Firewall. Das Feld Aktion wird automatisch mit Redirectgefüllt. Wählen Sie die Vorlage Gehostete Firewall und die Schnittstelle für die Serviceumleitung aus der Dropdownliste aus. Klicken Sie auf Hinzufügen.

    Richtlinienvorlage "Prüfpunkt"

  5. Navigieren Sie zu den Verbindungen > Firewallund wählen Sie dann die Firewall-Richtlinie (die Sie erstellt haben) unter dem Namensfeld aus. Klicken Sie auf Apply.

    Verbindungs-Firewall prüfen

Während die gesamte Netzwerkkonfiguration ausgeführt wird, können Sie die Verbindung unter Überwachung > Firewall > unter Statistikliste überwachen und Richtlinien filtern.

Filterrichtlinie

Check Point Firewall-Integration auf der SD-WAN 1100-Plattform