Citrix SD-WAN

Integración de firewall de Palo Alto Networks en la plataforma SD-WAN 1100

Citrix SD-WAN admite el hospedaje del firewall de la serie de máquinas virtuales de última generación (VM) de Palo Alto Networks en la plataforma SD-WAN 1100. Los siguientes son los modelos de máquinas virtuales compatibles:

  • VM 50
  • VM 100

El firewall de la serie de máquinas virtuales Palo Alto Network se ejecuta como una máquina virtual en la plataforma SD-WAN 1100. La máquina virtual del firewall está integrada en el** modo **Virtual Wire con dos interfaces virtuales de datos conectadas a ella. El tráfico requerido se puede redirigir a la máquina virtual del firewall mediante la configuración de directivas en SD-WAN.

Ventajas

Los siguientes son los principales objetivos o beneficios de la integración de Palo Alto Networks en la plataforma SD-WAN 1100:

  • Consolidación de dispositivos de sucursales: Un único dispositivo que realiza seguridad SD-WAN y avanzada

  • Seguridad de sucursales con NGFW (Next Generation Firewall) en las instalaciones para proteger el tráfico de LAN a LAN, LAN a Internet e Internet a LAN

Pasos de configuración

Se necesitan las siguientes configuraciones para integrar la máquina virtual Palo Alto Networks en SD-WAN:

  • Aprovisionamiento de la máquina virtual de firewall

  • Habilitar el redireccionamiento del tráfico a la máquina virtual

Nota

La máquina virtual del firewall debe aprovisionarse primero antes de habilitar la redirección del tráfico.

Aprovisionamiento de máquina virtual de Palo Alto Network

Hay dos formas de aprovisionar la máquina virtual del firewall:

  • Aprovisionamiento a través de SD-WAN Center

  • Aprovisionamiento mediante GUI del dispositivo SD-WAN

Provisioning de máquinas virtuales de firewall a través de SD-WAN Center

Requisitos previos

  • Agregue el almacenamiento secundario al Centro SD-WAN para almacenar los archivos de imagen de VM del firewall. Para obtener más información, consulte Requisitos del sistema e instalación.

  • Reserve el almacenamiento de la partición secundaria para los archivos de imagen de la máquina virtual del firewall. Para configurar el límite de almacenamiento, vaya a Administración > Mantenimiento del almacenamiento.

    • Seleccione la cantidad de almacenamiento requerida de la lista.

    • Haga clic en Aplicar.

    Almacenamiento

Nota

El almacenamiento se reserva desde la partición secundaria que está activa si se cumple la condición.

Realice los siguientes pasos para Provisioning la máquina virtual de firewall a través de la plataforma SD-WAN Center:

  1. En la GUI de Citrix SD-WAN Center, vaya a Configuration ** seleccione **Hosted Firewall.

    Sitios fw alojados

    Puede seleccionar la región en la lista desplegable para ver los detalles del sitio aprovisionado para esa región seleccionada.

  2. Cargue la imagen del software.

    Nota

    Asegúrese de que dispone de suficiente espacio en disco para cargar la imagen del software.

    Vaya a Configuración > Firewall hospedado > Imágenes de software y seleccione el nombre del proveedor como Palo Alto Networks en la lista desplegable. Haga clic o suelte el archivo de imagen de software en el cuadro para cargarlo.

    Cargar imagen sw

    Aparecerá una barra de estado con el proceso de carga en curso. No haga clic en Actualizar ni realice ninguna otra acción hasta que el archivo de imagen muestre un 100% cargado.

    • Actualizar: haga clic en la** opción **Actualizar para obtener los detalles más recientes del archivo de imagen.

    • Eliminar: haga clic en la** opción **Eliminar para eliminar cualquier archivo de imagen existente.

    Nota

    • Para aprovisionar la máquina virtual del firewall en los sitios que forman parte de la región no predeterminada, cargue el archivo de imagen en cada uno de los nodos del recopilador.

    • Al eliminar la imagen de la máquina virtual Palo Alto del Centro SDWAN, se eliminará la imagen del almacenamiento de SDWAN Center y NO del dispositivo.

  3. Para el Provisioning, vuelva a la** ficha Sitios de Firewall alojados y haga clic en **Aprovisionar.

    Empezar a aprovisionar

    • Proveedor: Seleccione el** nombre del proveedor como **Palo Alto Networks en la lista desplegable.
    • Modelo de máquina virtual de proveedor: seleccione el número de modelo de máquina virtual de la lista.
    • Imagen de software: seleccione el archivo de imagen que quiere aprovisionar.
    • Región: seleccione la región de la lista.
    • Sitios para alojamiento de firewall: seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios primarios y secundarios si los sitios están en modo de alta disponibilidad.

    • Dirección IP/Nombre de Dominio Principal del Servidor de Administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (Opcional).
    • Dirección IP secundaria o nombre de dominio del servidor de administración: introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.

    • Código de autenticación: introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
  4. Pulse Iniciar aprovisionamiento.
  5. Haga clic en ** Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario del centro SD-WAN.

Puede iniciar, apagar y desaprovisionar la máquina virtual según sea necesario.

Seleccionar sitio para aprovisionar

  • Nombre del Sitio: Muestra el nombre del sitio.
  • IP de administración: muestra la dirección IP de administración del sitio.
  • Nombre de la región: muestra el nombre de la región.
  • Proveedor: Muestra el nombre del proveedor (Palo Alto Networks).
  • Modelo: muestra el número de modelo (VM50/VM100).
  • Estado del administrador: Estado de la máquina virtual del proveedor (Arriba/Abajo).
  • Estado de Operación: Muestra el mensaje de estado operativo.
  • Sitio alojado: Utilice el** enlace **Haga clic aquí para acceder a la GUI de la máquina virtual Palo Alto Networks.

Para aprovisionar los sitios de región no predeterminados, debe cargar la imagen de software en SD-WAN Center Collector. Puede aprovisionar las redes Palo Alto tanto desde la GUI del extremo de la cabeza del centro SD-WAN o SD-WAN Center Collector.

Para obtener la dirección IP de SD-WAN Center Collector, vaya a Configuración > Detección de red ** seleccione la ficha Configuración de **detección.

IP del recopilador

Para aprovisionar las redes Palo Alto desde SD-WAN Collector:

  1. En la GUI de SD-WAN Collector, vaya a Configuración ** seleccione Firewall **hospedado.

    Firewall alojado en Collector

  2. Vaya a la** ficha Imágenes de **software para cargar la imagen del software.
  3. Haga clic** en Aprovisionar **en la ficha Sitios de Firewall
  4. Proporcione los siguientes detalles y haga clic en Iniciar aprovisionamiento.

    Suministro de cobradores

    • Proveedor: Seleccione el** nombre del proveedor como **Palo Alto Networks en la lista desplegable.
    • Modelo de máquina virtual de proveedor: seleccione el número de modelo de máquina virtual de la lista.
    • Imagen de software: seleccione el archivo de imagen que quiere aprovisionar.
    • Región: seleccione la región de la lista.
    • Sitios para alojamiento de firewall: seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios primarios y secundarios si los sitios están en modo de alta disponibilidad.

    • Dirección IP/Nombre de Dominio Principal del Servidor de Administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (Opcional).
    • Dirección IP secundaria o nombre de dominio del servidor de administración: introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.

    • Código de autenticación: introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
  5. Pulse Iniciar aprovisionamiento.

Provisioning de máquinas virtuales de firewall a través de la GUI del dispositivo

En la plataforma SD-WAN, aprovisione e inicie la máquina virtual alojada. Realice los siguientes pasos para el Provisioning:

  1. En la GUI de Citrix SD-WAN, vaya a Configuración ** expanda Configuración **del dispositivo ** seleccione Firewall **hospedado.

  2. Sube la imagen del software:
    • Seleccione la** ficha Imágenes de software. Seleccione el nombre del proveedor como **Palo Alto Networks.
    • Elija el archivo de imagen de software.
    • Haga clic en Cargar.

    Subida de imágenes SW

    Nota Se puede cargar un máximo de dos imágenes de software. La carga de la imagen de la máquina virtual Palo Alto Networks puede tardar más tiempo dependiendo de la disponibilidad del ancho de banda.

    Puede ver una barra de estado para realizar un seguimiento del proceso de carga. El detalle del archivo se refleja, una vez que la imagen se ha cargado correctamente. La imagen que se utiliza para el Provisioning no se puede eliminar. No realice ninguna acción ni vuelva a ninguna otra página hasta que el archivo de imagen muestre el 100% cargado.

  3. Para el Provisioning, seleccione la** ficha Firewalls alojados y haga clic en el botón **Aprovisionar.

    Provisión de firewall alojado

  4. Proporcione los siguientes detalles para el Provisioning.

    • Nombre del proveedor: Seleccione el proveedor como Palo Alto Networks.
    • Modelo de máquina virtual: seleccione el número de modelo de máquina virtual de la lista.
    • Nombre del archivo de imagen: seleccione el archivo de imagen.
    • Dirección IP Primaria Panorama o Nombre de Dominio: Proporcione la dirección IP principal Panorama o el nombre de dominio completo (Opcional).
    • Dirección IP Secundaria Panorama o Nombre de Dominio: Proporcione la dirección IP secundaria Panorama o el nombre de dominio completo (Opcional).
    • Clave de autenticación de máquina virtual: proporcione la clave de autenticación de máquina virtual (opcional).

      La clave de autenticación de máquina virtual es necesaria para el registro automático de la máquina virtual Palo Alto Networks en el Panorama.

    • Código de autenticación: introduzca el código de autenticación (código de licencia de máquina virtual) (opcional).
    • Haga clic en Aplicar.

    Servidor de seguridad alojado

  5. Haga clic en ** Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario de SD-WAN con el detalle del registro de operaciones.

    Detalle de registro de opción

    • Estado del administrador: Indica si la máquina virtual está en activo o inactivo.
    • Estado de procesamiento: estado de procesamiento de la ruta de datos de la máquina virtual.
    • Paquetes enviados: paquetes enviados desde SD-WAN a la máquina virtual de seguridad.
    • Paquetes recibidos: Paquetes recibidos por SD-WAN desde la máquina virtual de seguridad.
    • Paquetes descartados: Paquetes descartados por SD-WAN (por ejemplo, cuando la máquina virtual de seguridad está inactiva).
    • Acceso a dispositivos: haga clic en el enlace para obtener el acceso de GUI a la máquina virtual de seguridad.

Puede iniciar, apagar y desaprovisionar la máquina virtual según sea necesario. Utilice la** opción **Click Here para acceder a la GUI de la máquina virtual Palo Alto Networks o utilice su dirección IP junto con el puerto 4100 (IP de gestión: 4100).

Nota Utilice siempre el modo de incógnito para acceder a la GUI de Palo Alto Networks.

Redirección de tráfico

La configuración de la redirección de tráfico se puede realizar tanto a través del Editor de configuración en MCN como del Editor de configuración en SD-WAN Center.

Para navegar a través del Editor de configuración en el Centro SD-WAN:

  1. Abra la interfaz de usuario de Citrix SD-WAN Center y vaya a Configuración > Importación de configuración de red. Importe la configuración de WAN virtual desde el MCN activo y haga clic en Importar.

    Importar configuración WAN virtual

Los pasos restantes son similares a los siguientes: la configuración de redirección de tráfico a través de MCN.

Para navegar por el Editor de configuración en MCN:

  1. Establezca Tipo de coincidencia** de conexión en **Simétrica en Global > Configuración de red.

    Tipo de coincidencia de conexión

    De forma predeterminada, las directivas de firewall SD-WAN son específicas de la dirección. El tipo de coincidencia simétrica coincide con las conexiones mediante criterios de coincidencia especificados y aplica la acción de directiva en ambas direcciones.

  2. Abra la interfaz de usuario de Citrix SD-WAN, vaya a Configuración expandir Virtual WAN ** seleccione **Configuration Editor > seleccione Hosted Firewall Plantilla en ** Sección Global.

    Temp fw hospedado

  3. Haga clic en + y proporcione la información necesaria disponible en la siguiente captura de pantalla para agregar la** plantilla Hosted Firewall y haga clic en **Agregar.

    Agregar

La plantilla Hosted Firewall permite configurar la redirección del tráfico a la máquina virtual Firewall alojada en el dispositivo SD-WAN. Las siguientes son las entradas necesarias para configurar la plantilla:

  • Nombre: Nombre de la plantilla de firewall alojada.
  • Proveedor: Nombre del proveedor del firewall.
  • Modo de implementación: el** campo Modo de implementación se rellena automáticamente y se muestra atenuado. Para el proveedor de Palo Alto Networks, el modo de implementación es **Virtual Wire.
  • Modelo: modelo de máquina virtual del firewall alojado. Puede seleccionar el número de modelo de la máquina virtual como VM 50/VM 100 para el proveedor de Palo Alto Networks.
  • Servidor de administración principal IP/FQDN: Servidor de administración principal IP/FQDN de Panorama.
  • Servidor de administración secundario IP/FQDN: servidor de administración secundario IP/FQDN de Panorama.
  • Interfaces de redirección de servicio: son interfaces lógicas utilizadas para la redirección de tráfico entre SD-WAN y firewall alojado.

Interface-1, Interface-2 hace referencia a las dos primeras interfaces del firewall hospedado. Si se utilizan VLAN para la redirección del tráfico, se deben configurar las mismas VLAN en el firewall hospedado. Las VLAN configuradas para la redirección del tráfico son internas de la SD-WAN y del firewall hospedado.

Nota

La interfaz de entrada deredirección debe seleccionarse desde la dirección del iniciador de conexión, la interfaz de redirección se elige automáticamente para el tráfico de respuesta. Por ejemplo, si el tráfico de Internet saliente se redirige al firewall hospedado en Interface-1, entonces el tráfico de respuesta se redirige automáticamente al firewall hospedado en Interface-2. No hay necesidad de Interface-2 en el ejemplo anterior, si no hay tráfico entrante de Internet.

Solo se asignan dos interfaces físicas para alojar el firewall de Palo Alto Networks. Si el tráfico de varias zonas necesita ser redirigido al firewall hospedado, se pueden crear varias subinterfaces mediante VLAN internas y asociadas a diferentes zonas de firewall en el firewall hospedado.

A través de las directivas de firewall de SD-WAN o de las directivas de nivel de sitio, puede redirigir todo el tráfico a la máquina virtual Palo Alto Networks.

Nota

Las directivas de firewall de SD-WAN se crean automáticamente para Permitir el tráfico a/desde servidores de administración de firewall alojados. Esto evita la redirección del tráfico de administración que se origina desde (o) destinado al firewall hospedado.

La redirección del tráfico a la máquina virtual del firewall se puede realizar mediante directivas de firewall SD-WAN. Existen dos métodos para crear directivas de firewall SD-WAN, ya sea a través de plantillas de directiva de firewall en la** sección **Global o en el nivel de sitio.

Método - 1

  1. En la GUI de Citrix SD-WAN, vaya a Configuración ** expandir **Virtual WAN > Configuration Editor. Vaya a la** ficha Global y seleccione Plantillas de directiva de **firewall. Haga clic en + Plantilla dedirectiva Proporcione un nombre a la plantilla de directiva y haga clic en Agregar.

    Nombre de plantilla de directiva de Palo Alto

  2. Haga clic en + Agregar junto a Directivas de plantillas previas al dispositivo.

    Directivas de plantillas previas al dispositivo

  3. Cambie el tipo de directiva a Firewall hospedado. El** campo Acción se rellena automáticamente para **Redirigir. Seleccione la plantilla de firewall hospedado y la interfaz de redirección de servicio en la lista desplegable. Rellene los otros criterios de coincidencia según sea necesario.

    plantilla de directiva de Palo Alto

  4. Vaya a Conexiones > Firewall y, a continuación, seleccione la directiva de firewall (que ha creado) en el campo nombre. Haga clic en Aplicar.

    Firewall de conexión de punto

Método - 2

  1. Para redirigir todo el tráfico, en el Editor de configuración > Virtual WAN, vaya a la** ficha Conexión y seleccione **Firewall.

    Redirección de tráfico mediante GUI de SD-WAN

  2. Seleccione Directivas en la lista** desplegable Sección y haga clic en **+Agregar para crear una nueva directiva de firewall.

    Firewall de redirección de tráfico

  3. Cambie el tipo de directiva a Firewall hospedado. El** campo Acción se rellena automáticamente para Redirigir. Seleccione la plantilla de firewall **hospedado y la interfaz de redirección de servicio en la lista desplegable. Haga clic en Agregar.

    Interfaz de redirección de servicio

Mientras toda la configuración de red está activa y en funcionamiento, puede supervisar la conexión en Monitorización > Firewall ** en la lista Estadísticas, seleccione Directivas de **filtro.

Directiva de filtrado

Puede verificar la asignación entre la configuración que realizó en la plantilla de la cadena de servicio SD-WAN y la configuración de la red de Palo Alto mediante la interfaz de usuario de Palo Alto Networks.

Palo Alto nw

NOTA

La máquina virtual Palo Alto Networks no se puede aprovisionar si Cloud Direct o SD-WAN WANOP (PE) ya están aprovisionadas en el dispositivo 1100.

Casos de uso: Firewall alojado en SD-WAN 1100

Los siguientes son algunos de los casos de uso implementados mediante el dispositivo Citrix SD-WAN 1100:

Caso de uso 1: Redirigir todo el tráfico hacia Hosted Firewall

Este caso de uso es aplicable a casos de uso de sucursales pequeñas donde todo el tráfico es procesado por el firewall de próxima generación hospedado. Los requisitos de ancho de banda deben tenerse en cuenta, ya que la cantidad de tráfico redirigido está limitada a 100 Mbps.

Para lograr esto, cree una regla de firewall que coincida con cualquier tráfico y con Acción como redirección, como se muestra en la siguiente captura de pantalla:

Caso de uso 1

Caso de uso 2: Redirigir solo el tráfico de Internet hacia Hosted Firewall

Este caso de uso es aplicable a cualquier sitio de sucursal en el que el tráfico vinculado a Internet no exceda la cantidad de rendimiento de tráfico redirigido admitido. En este caso, los dispositivos o servicios de seguridad implementados en centros de datos procesan el tráfico de sucursal al centro de datos.

Para lograr esto, cree una regla de firewall para que coincida con cualquier tráfico y con Acción como Redireccionamiento como se muestra en la siguiente captura de pantalla:

Caso de uso 2

Caso de uso 3: Interrupción directa de Internet para aplicaciones SaaS de Internet de confianza y redirigir todo el tráfico restante a VM alojada

En este caso, se agrega una regla de firewall para realizar una ruptura directa de Internet para aplicaciones SaaS de confianza, como Office 365. Primero habilite la directiva de ruptura de Office 365 como se muestra en la siguiente captura de pantalla:

Caso de uso 3

Esto agrega automáticamente directivas de plantillas previas al dispositivo para permitir el tráfico de Office 365 como se muestra en la siguiente captura de pantalla. Ahora agregue una regla de firewall para redirigir todo el tráfico restante al firewall alojado como se menciona a continuación.

Caso de uso 4

Nota

La configuración del firewall alojado es independiente de la configuración de Citrix SD-WAN. Por lo tanto, el firewall alojado se puede configurar según los requisitos de seguridad de la empresa.