Citrix SD-WAN

Integración de Palo Alto mediante túneles IPSec

Las redes Palo Alto ofrecen una infraestructura de seguridad basada en la nube para proteger redes remotas. Proporciona seguridad al permitir a las organizaciones configurar firewalls regionales basados en la nube que protegen la estructura SD-WAN.

El servicio Prisma Access para redes remotas le permite conectar ubicaciones de red remotas y ofrecer seguridad a los usuarios. Elimina la complejidad de configurar y administrar dispositivos en cada ubicación remota. El servicio proporciona una forma eficiente de agregar fácilmente nuevas ubicaciones de red remotas y minimizar los desafíos operativos al garantizar que los usuarios de estas ubicaciones estén siempre conectados y seguros, y le permite administrar las directivas de forma centralizada desde Panorama para lograr una seguridad uniforme y optimizada para su sistema remoto ubicaciones de red.

Para conectar sus ubicaciones de red remotas al servicio Prisma Access, puede usar el firewall de última generación de Palo Alto Networks o un dispositivo compatible con IPsec de terceros, incluido SD-WAN, que puede establecer un túnel IPsec para el servicio.

  • Planificar el servicio Prisma Access para redes remotas

  • Configurar el servicio Prisma Access para redes remotas

  • Redes remotas integradas con importación de configuración

La solución Citrix SD-WAN ya ofrecía la capacidad de eliminar el tráfico de Internet de la sucursal. Esto es fundamental para ofrecer una experiencia de usuario más confiable y de baja latencia, a la vez que se evita la introducción de una costosa pila de seguridad en cada sucursal. Citrix SD-WAN y Palo Alto Networks ahora ofrecen a las empresas distribuidas una forma más confiable y segura de conectar a los usuarios de sucursales con aplicaciones en la nube.

Los dispositivos Citrix SD-WAN pueden conectarse a la red del servicio en la nube de Palo Alto (Prisma Access Service) a través de túneles IPSec desde ubicaciones de dispositivos SD-WAN con una configuración mínima. Puede configurar la red Palo Alto en Citrix SD-WAN Center.

Antes de comenzar a configurar Prisma Access Service para redes remotas, asegúrese de que tiene la siguiente configuración preparada para asegurarse de que puede habilitar correctamente el servicio y aplicar la directiva para los usuarios de las ubicaciones de red remotas:

  1. Conexión de servicio: Si sus ubicaciones de red remotas requieren acceso a la infraestructura de su sede corporativa para autenticar usuarios o para habilitar el acceso a activos de red críticos, debe configurar el acceso a su red corporativa para que las oficinas centrales y las ubicaciones de red remotas sean conectado.

Si la ubicación de red remota es autónoma y no necesita acceder a la infraestructura en otras ubicaciones, no es necesario configurar la conexión de servicio (a menos que los usuarios móviles necesiten acceso).

  1. Plantilla: El servicio Prisma Access crea automáticamente una pila de plantillas (Remote_Network_Template_Stack) y una plantilla de nivel superior (Remote_Network_Template) para el servicio Prisma Access para redes remotas. Para configurar Prisma Access Service for Remote Networks, configure la plantilla de nivel superior desde cero o aproveche su configuración existente, si ya está ejecutando un firewall de redes Palo Alto en las instalaciones.

    La plantilla requiere la configuración para establecer el túnel IPSec y la configuración de Intercambio de claves de Internet (IKE) para la negociación de protocolos entre la ubicación de red remota y el servicio Prisma Access para redes remotas, zonas a las que puede hacer referencia en la directiva de seguridad y un perfil de reenvío de registros para que puede reenviar registros desde el servicio Prisma Access para redes remotas al servicio de registro.

  2. Grupo de dispositivos principal: El servicio Prisma Access para redes remotas requiere que especifique un grupo de dispositivos principal que incluya la directiva de seguridad, los perfiles de seguridad y otros objetos de directiva (como grupos y objetos de aplicaciones y grupos de direcciones), así como la directiva de autenticación para que el servicio Prisma Access para redes remotas puede aplicar sistemáticamente directivas para el tráfico que se enruta a través del túnel IPSec al servicio Prisma Access para redes remotas. Debe definir reglas y objetos de directiva en Panorama o utilizar un grupo de dispositivos existente para proteger a los usuarios en la ubicación de red remota.

    Nota:

    Si utiliza un grupo de dispositivos existente que hace referencia a zonas, asegúrese de agregar la plantilla correspondiente que define las zonas a Remote_Network_Template_Stack.

    Esto le permite completar la asignación de zonas al configurar Prisma Access Service for Remote Networks.

  3. Subredes IP: Para que el servicio Prisma Access enrute el tráfico a las redes remotas, debe proporcionar información de enrutamiento para las subredes que quiere proteger mediante el servicio Prisma Access. Puede definir una ruta estática a cada subred en la ubicación de red remota o configurar BGP entre las ubicaciones de conexión de servicio y el servicio Prisma Access, o utilizar una combinación de ambos métodos.

    Si configura ambas rutas estáticas y habilita BGP, las rutas estáticas tienen prioridad. Si bien puede ser conveniente utilizar rutas estáticas si tiene unas pocas subredes en sus ubicaciones de red remotas, en una implementación grande con muchas redes remotas con subredes superpuestas, BGP le permitirá escalar más fácilmente.

Red Palo Alto en SD-WAN Center

Asegúrese de que se cumplen los siguientes requisitos previos:

  • Obtener la dirección IP panorámica del servicio PRISMA ACCESS.

  • Obtener nombre de usuario y contraseña de usuario en el servicio PRISMA ACCESS.

  • Configure los túneles IPSec en la GUI del dispositivo SD-WAN.

  • Asegúrese de que el sitio no está incorporado a una región, que ya tiene un sitio diferente configurado con perfiles ike/ipsec distintos de Citrix-ike-crypto-default/Citrix-ipsec-crypto-default.

  • Asegúrese de que la configuración de Prisma Access no se cambie manualmente cuando SD-WAN Center actualice la configuración.

En la GUI de Citrix SD-WAN Center, proporcione información de suscripción a Palo Alto.

  • Configure la dirección IP panorámica. Puede obtener esta dirección IP de Palo Alto (servicio PRISMA ACCESS).

  • Configure el nombre de usuario y la contraseña utilizados en el servicio PRISMA ACCESS.

    Imagen localizada

Agregar e implementar sitios

  1. Para implementar los sitios, elija la región de red PRISMA ACCESS y el sitio SD-WAN que se configurará para la región Prisma Access y, a continuación, seleccione el enlace WAN del sitio, el ancho de banda y el objeto de aplicación para la selección del tráfico.

    Nota:

    El flujo de tráfico se ve afectado si el ancho de banda seleccionado supera el rango de ancho de banda disponible.

    Puede optar por redirigir todo el tráfico enlazado a Internet al servicio PRISMA ACCESS seleccionando la opción Todo el tráfico en la selección Objeto Aplicación.

    Imagen localizada

    Imagen localizada

  2. Puede continuar agregando más sitios de sucursales SD-WAN según sea necesario.

    Imagen localizada

  3. Haga clic en Implementar. Se inicia el proceso de gestión de cambios. Haga clic en para continuar.

    Imagen localizada

    Después de la implementación, la configuración del túnel IPSec utilizada para establecer los túneles es la siguiente.

    Imagen localizada

    La página de destino muestra la lista de todos los sitios configurados y agrupados en diferentes regiones SD-WAN.

    Imagen localizada

Verificar la conexión de tráfico de extremo a extremo:

  • Desde la subred LAN de la sucursal, acceda a los recursos de Internet.

  • Compruebe que el tráfico pasa a través del túnel IPSec de Citrix SD-WAN hasta Palo Alto Prisma Access.

  • Compruebe que la directiva de seguridad de Palo Alto se aplica al tráfico en la ficha Supervisión.

  • Verifique que la respuesta de Internet al host en una sucursal llegue a través.

Integración de Palo Alto mediante túneles IPSec