Citrix SD-WAN

Compatibilidad con la redirección de tráfico de firewall mediante Forcepoint en Citrix SD-WAN

Forcepoint admite las siguientes funciones, aunque SD-WAN solo admite la función de redirección del firewall:

  • IPsec con PKI
  • IPsec con PSK
  • Encadenamiento de proxy mediante la configuración del archivo PAC
  • Encadenado de proxy con encabezados estándar
  • Encadenamiento de proxy con encabezados propietarios que eliminan la necesidad de configurar el rango IP del cliente: Asociación/desarrollo
  • Redirección de firewall (proxy transparente por NAT de destino)

La directiva NAT de destino permite a las empresas enrutar el tráfico de Internet a través del servicio de seguridad alojado en la nube mediante ForcePoint.

Revise el siguiente caso de uso para comprender cómo configurar NAT de destino en dispositivos SD-WAN y redirigir el tráfico de Internet a través de un servicio de firewall seguro basado en la nube.

Requisitos previos:

  1. Inicie sesión en elSitio del portal Forcepoint. Cree una directiva proporcionando la dirección IP pública de empresa a través de la cual el tráfico de Internet debe ser redirigido a Forcepoint. Obtenga las direcciones IP principales y secundarias a las que se debe redirigir el tráfico de Internet.

  2. En la GUI de SD-WAN, en un dispositivo SD-WAN en el sitio de DC, configure el servicio de Internet asociado con enlaces WAN.

  3. NAT de destino se realiza mediante la dirección IP de destino del tráfico de Internet. Esta dirección de destino se cambia a la dirección IP pública de Forcepoint.

  4. Configure la directiva NAT de destino proporcionando la dirección IP de origen y la dirección IP principal. La IP de origen es la dirección IP de Internet del dispositivo SD-WAN dentro de los puertos 80 (http) y 443 (https), que se redirecciona/traduce a la dirección IP de destino principal de la Gateway de firewall basada en la nube con los puertos externos 8081 (http) y 8443 (https) respectivamente.

  5. Después de configurar la directiva DNAT, asegúrese de que las rutas configuradas en el DC tienen el tipo de servicio de Internet seleccionado para la dirección IP de red SD-WAN.

Para obtener información adicional acerca de la compatibilidad con NAT en Citrix SD-WAN, consulte el tema siguiente:Configurar NAT

Imagen localizada

Configuración de NAT de destino (DNAT)

Utilice la GUI de Citrix SD-WAN para configurar NAT de destino (DNAT). En la configuración, agregue una o más directivas DNAT que redirijan el tráfico que coincida con una dirección IP de destino y un puerto específicos.

Para configurar NAT de destino:

En la GUI de SD-WAN SE/VPX, vaya a Configuración -> Virtual WAN -> Configuration Editor. Haga clic en Abrir para abrir un paquete existente. Seleccione un paquete de configuración guardado. También puede crear reglas DNAT mientras crea la configuración de red.

  1. En el DC (MCN), configure el servicio de Internet. Vaya a Conexiones -> Firewall.

  2. Haga clic en + Agregar para agregar una directiva DNAT.

  3. En el cuadro de diálogo Agregar directiva de NAT de destino, proporcione la siguiente información:

    • Prioridad
    • Dirección
    • Tipo de servicio
    • Nombre del servicio
    • Dirección IP interna
    • Puerto interior
    • Dirección IP externa
    • Puerto exterior

    Imagen localizada

    Imagen localizada

  4. Aprovisione reglas NAT de destino para redirigir tráfico de Firewall, similar a NAT estático.

  5. Introduzca los criterios coincidentes y la IP de destino /puerto en los que se va a utilizar NAT.

  6. Realice la coincidencia de conexión de la regla DNAT con las estadísticas.

  7. Quitar o actualizar las reglas DNAT durante la actualización de la configuración.

Supervisión de una directiva NAT de destino (Firewall)

También puede utilizar la GUI de Citrix SD-WAN para supervisar la configuración actual de directivas DNAT.

Para supervisar la configuración actual de la directiva NAT de destino:

  1. En la GUI de Citrix SD-WAN, vaya a Monitoring > Firewall > NAT Policies.

  2. Seleccione la ficha que incluye las estadísticas que quiere supervisar.

    Imagen localizada

    Imagen localizada

Compatibilidad con la redirección de tráfico de firewall mediante Forcepoint en Citrix SD-WAN