Intégration de Citrix SD-WAN Orchestrator avec Check Point CloudGuard Connect

Topologie d’intégration

Topologie d'intégration de point de contrôle

Configuration sur le portail Check Point

  1. Ajoutez un site sur le portail Point de contrôle.
  2. Connectez-vous au portail Check Point et ajoutez un site.

    Ajouter un site

    Une fenêtre contextuelle permettant de créer un site s’affiche. Fournissez les informations générales requises et cliquez sur Suivant

    General

  3. Fournissez les détails de connexion. Sélectionnez le type de périphérique en tant que Citrix et Adresses IP externes comme Adresse IP statique.

    Remarque

    Fournissez l’adresse IP publique du lien WAN de la succursale en tant qu’adresse IP externe. Il s’agit de « x.x.33.83 » conformément à la topologie.

    Si vous utilisez plusieurs liens WAN Internet, cliquez sur Ajouter une autre adresse IP externe pour spécifier l’adresse IP publique associée à ces liens WAN.

    Détails de la connexion

  4. Dans la section Authentification, définissez la clé pré-partagée ou générée automatiquement la clé.

    Authentification

  5. Fournissez le sous-réseau interne. Il s’agit des sous-réseaux LAN derrière l’appliance SD-WAN, qui passe par le tunnel, appelés réseaux protégés dans Citrix SD-WAN Orchestrator. Il doit correspondre à la fois au Citrix SD-WAN Orchestrator et à l’extrémité du point de contrôle pour s’assurer que le tunnel est établi.

    Sous-réseau interne

  6. Validez la configuration et cliquez sur FINISH AND CREATE SITE.

    Sous-réseau interne

    Une vignette de site est ajoutée avec le statut GENERATING SITE.

    Site de génération

    Check Point prend environ 20 minutes pour générer un site. Une fois le site généré, l’état de la vignette passe en WAITING FOR TRAFFIC.

    En attente de trafic

  7. Cliquez sur Configurer le périphérique de succursale pour afficher les détails du tunnel. Il inclut des détails sur les deux tunnels IPSec vers Check Point Cloud.

Détails du tunnel

Dans cet exemple, la destination du tunnel est mentionnée au format FQDN. Résolvez ce nom de domaine complet pour obtenir l’adresse IP de destination du tunnel qui peut être utilisée dans la configuration Citrix SD-WAN.

Par exemple- C:\Users\john>ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Server: router Address: 192.168.0.1

Réponse non faisant autorité : Name: g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Address: 52.66.199.169

Configuration sur le service Citrix SD-WAN Orchestrator

Utilisez les paramètres de destination du tunnel et IPsec pour créer une configuration sur le service Citrix SD-WAN Orchestrator.

  1. Créez un profil de chiffrement IPsec.
  2. Dans l’interface utilisateur du service Citrix SD-WAN Orchestrator, au niveau du réseau, accédez à Configuration > Profils de chiffrement IPsec et cliquez sur +Profil de chiffrement IPsec.

    Profils de chiffrement IPsec

  3. Configurez les paramètres IKE et IPsec conformément à la configuration du point de contrôle.

    Paramètres IPSec

  4. Ajoutez un tunnel IPSec vers Check Point Cloud.

  5. Accédez à Configuration > Services de livraison > Service et bande passante et ajoutez un service Intranet.

    Service Intranet

  6. Sélectionnez le type de service en tant que service IPsec.

    Service IPSec

  7. Configurez le tunnel IPSec vers Check Point Cloud. Cliquez sur +End Point pour ajouter les informations de point de fin du point de contrôle.

    Point de terminaison

  8. Fournissez les détails suivants :
    • IP homologue (adresse IP de nom de domaine complet du point de contrôle qui a été résolue)
    • Profil IPSec que nous avons créé à l’étape précédente
    • Clé pré-partagée que vous avez obtenue de Check Point.

    IP homologue

    De même, ajoutez le deuxième point de terminaison du tunnel vers le cloud Check Point pour la redondance.

    Point de terminaison redondant

  9. Cliquez sur + End Point Mapping pour ajouter un mappage de point de terminaison.

    Mappage de point de terminaison

    Choisissez le point de terminaison comme CheckPointTun1, celui créé à l’étape précédente et cliquez sur + Liaisons pour lier un site. De même, ajoutez CheckPointTun2 comme deuxième point final.

    Liaison de point de terminaison

    Liez le tunnel à un site de succursale (Par exemple, BranchAzure) et fournissez les détails du réseau protégé.

    Remarque

    Le réseau protégé doit être le site de succursale configuré dans le portail Point de contrôle. Les IP publiques doivent correspondre.

    Dans ce cas, le réseau source du réseau protégé est le réseau LAN de la succursale et la destination comme tout. Le réseau source doit correspondre au réseau configuré dans le portail Point de contrôle. Cliquez sur Terminé.

    Lier le tunnel au site

    Cliquez sur Enregistrer pour enregistrer la configuration du tunnel IPsec. check-point-generating-site.png

    Enregistrer le tunnel IPSec

  10. Une fois le service de livraison CheckPointTunnel ajouté, allouez le partage de bande passante pour le service à appliquer au site sur lequel le point de terminaison est mappé.

    Remarque

    Le pourcentage de bande passante alloué ici est la part de bande passante garantie pour ce service de livraison de points de contrôle en cas de conflit.

    Allocation de bande passante

  11. Déployez la configuration sur le service Citrix SD-WAN Orchestrator via le transfert et l’activation.

  12. Vérifiez l’état du tunnel vers Check Point Cloud depuis le site de la succursale.

État du tunnel du point de contrôle

Surveillance

Accédez à Internet à partir d’un hôte de site de succursale via le Check Point Cloud via le tunnel IPSec. Par exemple, essayez d’accéder à salesforce.com.

Cette application est signalée dans les connexions de pare-feu avec le service de destination en tant que CheckPointTunnel_CheckPointTun.

Connexions pare-feu

Ce trafic est mis à jour dans les statistiques du tunnel IPsec (Paquets envoyés et reçus).

Tunnel IPSec

Journaux

Les journaux liés à la création du tunnel IPsec se trouvent dans le fichier SDWAN_security.log.

Journaux sécurité

L’état du site sur le portail Point de contrôle est mis à jour comme Actif.

Tunnel actif

Essayez d’accéder à un site Web (par exemple - Facebook.com), vous pouvez accéder via Check Point Cloud. Vous pouvez maintenant modifier les stratégies de contrôle d’accès aux points de contrôle en ajoutant une stratégie pour bloquer l’application Facebook.

Stratégie d'installation

Une fois la stratégie installée, Facebook.com est bloqué.

Détails du tunnel

Il montre que le trafic Internet est redirigé depuis SD-WAN vers le Check Point Cloud via le tunnel IPSec. L’action a été prise conformément à la définition de la stratégie sur le Check Point Cloud.

Intégration de Citrix SD-WAN Orchestrator avec Check Point CloudGuard Connect