Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestrator とチェックポイント CloudGuard Connect の統合

Citrix SD-WAN Orchestrator とチェックポイント CloudGuard Connect の統合

統合トポロジ

Check Point統合トポロジ

Check Pointポータルの構成

  1. Check Pointポータルにサイトを追加します。
    1. Check Pointポータルにログインし、サイトを追加します。

      サイトの追加

      サイトを作成するためのポップアップウィンドウが表示されます。必要な一般的な詳細を入力し、[次へ] をクリックします。

      一般

    2. 接続の詳細を入力します。 デバイスタイプとして [ Citrix ] を選択し、[ 外部 IP アドレス ] として [ 固定 IP アドレス] を選択します

      ブランチWANリンクのパブリックIPアドレスを外部IPアドレスとして指定します。トポロジごとに「x.x.33.83」です。

      複数のインターネット WAN リンクを使用している場合は、[ 別の外部 IP アドレスを追加 ] をクリックして、それらの WAN リンクに関連付けられているパブリック IP アドレスを指定します。

      接続の詳細

    3. 認証セクションで 、事前共有キーまたは自動生成キーを定義します。

      認証

    4. 内部サブネットワークを指定します。トンネルを通過するのは、SD-WANアプライアンスの背後にあるLANサブネットであり、Citrix SD-WAN Orchestratorサービスでは保護ネットワークと呼ばれます 。トンネルが確立されていることを確認するには、Citrix SD-WAN Orchestrator サービスとCheck Point 側の両方で一致する必要があります。

      内部サブネットワーク

    5. 構成を確認し、[ 終了してサイトを作成] をクリックします。

      内部サブネットワーク

      GENERATING SITE というステータスのサイトタイルが追加されます

      サイトを生成しています

      Check Point は、サイトの生成に約 20 分かかります。サイトが生成されると、タイルのステータスは WAITING FOR TRAFFICに変わります。

      トラフィックを待っています

  2. [ ブランチデバイスの設定 ] をクリックしてトンネルの詳細を表示します。これには、Check Pointクラウドへの 2 つの IPsec トンネルの詳細が含まれます。

    トンネルの詳細

この例では、トンネルの宛先は FQDN 形式で記載されています。このFQDNを解決して、Citrix SD-WAN 構成で使用できるトンネルの宛先IPアドレスを取得します。

例えば-C:\Users\john >ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud サーバー:
ルーターアドレス: 192.168.0.1

権限のない回答: 名前:g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud アドレス:52.66.199.169

Citrix SD-WAN Orchestratorサービスでの構成

Citrix SD-WAN Orchestrator サービスで構成を構築するには、トンネルの宛先パラメータと IPSec パラメーターを使用します。

  1. IPSec 暗号化プロファイルを作成します。
    1. Citrix SD-WAN Orchestrator サービス UI のネットワークレベルで、[ 構成 ]>[ IPsec 暗号化プロファイル ]に移動し、[ +IPsec 暗号化プロファイル]をクリックします。

      IPSec 暗号化プロファイル

    2. Check Point設定に従って、IKE および IPSec 設定を構成します。

      IPSec の設定

  2. Check Pointクラウドへの IPSec トンネルを追加します。

    1. [ 構成 ] > [ 配信サービス ] > [ サービスと帯域幅 ] に移動し、イントラネットサービスを追加します。

      イントラネットサービス

    2. サービスタイプをIPsec サービスとして選択します

      IPSec サービス

    3. Check Pointクラウドへの IPSec トンネルを設定します。[ +エンドポイント ] をクリックして、Check Point のエンドポイント情報を追加します。

      [ 終点]

    4. 次の詳細を入力します。
      • ピア IP (解決されたCheck Point FQDN IP アドレス)
      • 前の手順で作成した IPSec プロファイル
      • Check Pointから取得した事前共有キー。

      ピアIP

      同様に、冗長性を確保するために、2 番目のトンネルエンドポイントを Check Point クラウドに追加します。

      冗長エンドポイント

    5. [ + エンドポイントマッピング ] をクリックして、エンドポイントマッピングを追加します。

      終点マッピング

      エンドポイントとして CheckpointTun1 (前のステップで作成したもの) を選択し、[ + バインディング ] をクリックしてサイトをバインドします。同様に、 CheckpointTun2 を 2 番目のエンドポイントとして追加します。

      終点のバインド

      トンネルをブランチサイト (BranchAzure など) にバインドし、保護されたネットワークの詳細を指定します。

      保護されたネットワークは、Check Point ポータルで構成されているブランチサイトである必要があります。パブリック IP は一致する必要があります。

      この場合、保護されたネットワークの送信元ネットワークは、ブランチの LAN ネットワークであり、宛先は任意です。ソースネットワークは、Check Pointポータルで構成されたネットワークと一致する必要があります。[完了] をクリックします。

      トンネルをサイトにバインドする

      [ 保存 ] をクリックして IPsec トンネルの構成を保存します。 check-point-generating-site.png

      IPSec トンネルを保存する

    6. CheckpointTunnel 配信サービスを追加したら、エンドポイントがマッピングされているサイトに適用されるサービスの帯域幅シェアを割り当てます。

      ここで割り当てられる帯域幅の割合は、競合時にこのCheck Point配信サービスの保証帯域幅シェアです。

      帯域幅を割り当てる

  3. ステージングとアクティベーションを通じて、Citrix SD-WAN Orchestrator サービスで構成を展開します。

  4. ブランチサイトから [Check Pointクラウド] へのトンネルの状態を確認します。

    ポイントトンネルのステータスをチェックする

監視

IPSec トンネル経由でCheck Pointクラウド経由でブランチサイトホストからインターネットにアクセスします。たとえば、セールスフォース・ドットコムにアクセスしてみてください。

このアプリケーションは、宛先サービスとのファイアウォール接続で CheckpointTunnel_CheckpointTunとして報告されます。

ファイアウォール接続

このトラフィックは、IPSec トンネル統計情報(送受信されたパケット)で更新されます。

IPsec トンネル

ログ

IPSec トンネルの作成に関連するログは、SDWAN_security.log ファイルにあります。

セキュリティログ

Check Point ポータルのサイト・ステータスが「 アクティブ」に更新されます。

トンネルアクティブ

Check Pointクラウドを介してアクセスできるウェブサイト(例-Facebook.com)にアクセスしてみてください。Facebook アプリケーションをブロックするポリシーを追加することで、Check Pointアクセス制御ポリシーを変更できます。

ポリシーのインストール

ポリシーをインストールすると、Facebook.com はブロックされます。

トンネルの詳細

これは、インターネットトラフィックが SD-WAN から IPSec トンネルを介してCheck Pointクラウドにリダイレクトされることを示しています。このアクションは、Check Pointクラウドのポリシー定義に従って実行されました。

Citrix SD-WAN Orchestrator とチェックポイント CloudGuard Connect の統合