SD-WAN 1100プラットフォーム上のパロアルトネットワークスの統合

11.0.2リリースでは、Citrix SD-WAN は、SD-WAN1100プラットフォーム上でホストされているパロアルトネットワークスの次世代ファイアウォール仮想マシン(VM)シリーズ(VM 50およびVM 100)をサポートしています。

Palo Alto Network 仮想マシンシリーズのファイアウォールは、SD-WAN 1100 プラットフォーム上でホストされたファイアウォール仮想マシンとして実行されます。ホストされたファイアウォール仮想マシンは、Virtual Wire モードで統合された仮想ネットワーク機能 (VNF) として機能します。Virtual Wire モードでは、ファイアウォールは 2 つのポートに接続されたブリッジとして機能し、必要なトラフィックはホストされたファイアウォールを介してサービスチェーンされます。

長所

以下は、SD-WAN 1100プラットフォームでのパロアルトネットワークスの統合の主な目標または利点です。

  • ブランチデバイスの統合:SD-WAN と高度なセキュリティの両方を実現する単一のアプライアンス
  • ローカルインターネットとクラウドのブレイクアウトを保護する高度なセキュリティ
  • 脅威の横方向の動きをブロック(LANからLAN)

パロアルトネットワーク仮想マシンをセキュリティVNFとしてSD-WAN 1100プラットフォームに統合する

SD-WAN プラットフォームで、ホストされている仮想マシンをプロビジョニングして起動します。Provisioning の手順は、次のとおりです。

  1. Citrix SD-WAN GUIで、[ 構成]>[ **アプライアンスの設定 ]の順に** 展開し、[ ホストされたファイアウォール]を選択します。

  2. 前提条件: ソフトウェアイメージをアップロードします。
    • ソフトウェアイメージ ]タブを選択します。ベンダー 名は自動的に入力され、このフィールドは編集できません。
    • ソフトウェアイメージファイルを選択します。
    • [アップロード]をクリックします。

    SWイメージのアップロード

    注: 複数のソフトウェアイメージをアップロードできますが、仮想マシンのプロビジョニングに使用できるのは 1 つだけです。

    アップロードプロセスを追跡するためのステータスバーが表示されます。イメージが正常にアップロードされると、ファイルの詳細が反映されます。Provisioning に使用されるイメージは削除できません。画像ファイルが 100% アップロードされたと表示されるまで、アクションを実行したり、他のページに戻ったりしないでください。

  3. プロビジョニングの場合は、[ **ホストされたファイアウォール ] タブを選択し、[Provisioning] をクリックします。** ホストされたファイアウォール
  • ベンダー名: ベンダー 名は自動的に入力され、このフィールドは編集できません。
  • 仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
  • イメージファイル名: イメージファイルを選択します。
  • パノラマプライマリ IP アドレス/ドメイン名: パノラマプライマリ IP アドレスまたは完全修飾ドメイン名を指定します (オプション)。
  • パノラマセカンダリ IP アドレス/ドメイン名: パノラマセカンダリ IP アドレスまたは完全修飾ドメイン名を指定します (オプション)。
  • 仮想マシン認証キー: 仮想マシン認証キーを指定します (オプション)。

    仮想マシン認証キーは、Palo Alto Networksの仮想マシンをパノラマに自動的に登録するために必要です。

  • 認証コード:認証コード(仮想マシンライセンスコード)を入力します(オプション)。
  1. [適用] をクリックします。

  2. 最新のステータスを取得するには、[ Refresh ] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、SD-WAN UI に操作ログの詳細が反映されます。

    オプトログ詳細

    • 管理状態:仮想マシンが起動中か停止中かを示します。
    • 処理状態: 仮想マシンのデータパス処理状態。
    • 送信パケット: SD-WAN からセキュリティ仮想マシンに送信されるパケット。
    • 受信パケット: セキュリティ仮想マシンから SD-WAN によって受信されたパケット。
    • Packet Droped:SD-WAN によってドロップされたパケット(セキュリティ仮想マシンがダウンした場合など)。
    • デバイスアクセス:セキュリティ仮想マシンへの GUI アクセスを取得するには、リンクをクリックします。

必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除 できます。ここをクリック オプションを使用して、Palo Alto Networks 仮想マシンの GUI にアクセスするか、管理 IP と 4100 ポート (管理 IP: 4100) を使用します。

パロアルトネットワークスのGUIにアクセスするには、常にシークレットモードを使用してください。帯域幅の可用性によっては、Palo Alto Networks 仮想マシンイメージのアップロードに時間がかかる場合があります。

パロアルトネットワークスのSD-WAN CenterによるProvisioning

前提条件

  • データストアを追加および構成します。詳しくは、「システム要件とインストール」を参照してください。
  • ストレージ制限を設定します。ストレージ制限を設定するには、[ 管理] > [ストレージのメンテナンス] に移動します。
    • リストから必要なストレージ容量を選択します。
    • [適用] をクリックします。

    ストレージ

ストレージは、条件が満たされた場合にアクティブであるセカンダリパーティションから予約されます。

SD-WAN Center プラットフォームでホストされている仮想マシンをProvisioning するには、次の手順を実行します。

  1. Citrix SD-WAN Center GUIで、[ 構成]>ホストされたファイアウォール]を選択します。

    ホストされているfwサイト

    リストから リージョン を選択すると、選択したリージョンのプロビジョニング済みサイトの詳細を表示できます。

  2. 前提条件: ソフトウェアイメージをアップロードします。

    注: ソフトウェアイメージをアップロードするのに十分なディスク領域があることを確認してください。

    [ ソフトウェアイメージ ] タブに移動し、アップロードするボックスにソフトウェアイメージファイルをクリックまたはドロップします。ベンダー 名は自動的に入力され、このフィールドは編集できません。

    sw イメージをアップロード

    進行中のアップロード処理を示すステータスバーが表示されます。イメージファイルが 100% アップロードされたと表示されるまで、[ Refresh ] をクリックしたり、その他のアクションを実行したりしないでください。

    • 更新: 最新の画像ファイルの詳細を取得するには、[ 更新 ] オプションをクリックします。
    • 削除: [ 削除 ] オプションをクリックして、既存のイメージファイルを削除します。
  3. プロビジョニングの場合は、[ **ホストされたファイアウォール ] タブに戻り、[Provisioning] をクリックします。**

    プロビジョニングの開始

    • 仕入先: リストから 仕入先 名を選択します。
    • ベンダー仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
    • ソフトウェアイメージ: プロビジョニングするイメージファイルを選択します。
    • リージョン: リストからリージョンを選択します。
    • [ファイアウォールホスティングのサイト]: ファイアウォールホスティングのリストのサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。

    • 管理サーバーのプライマリ IP アドレス/ドメイン名:管理プライマリ IP アドレスまたは完全修飾ドメイン名を入力します(オプション)。
    • 管理サーバーのセカンダリIPアドレス/ドメイン名:管理サーバーのセカンダリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。

    • 仮想マシン認証キー: 管理サーバーで使用する仮想認証キーを入力します。

    • 認証コード:ライセンスに使用する仮想認証コードを入力します。
  4. プロビジョニングの開始」をクリックします。
  5. 最新のステータスを取得するには、[ Refresh ] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、SD-WAN Center UI に反映されます。

必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除 できます。

プロビジョニングするサイトの選択

  • サイト名: サイト名が表示されます。
  • 管理 IP: サイトの管理 IP アドレスを表示します。
  • リージョン名: リージョン名が表示されます。
  • ベンダー: ベンダー名 (パロアルトネットワーク) を表示します。
  • モデル:モデル番号(VM50/VM100)が表示されます。
  • 管理状態:ベンダー仮想マシンの状態(アップ/ダウン)。
  • 操作ステータス: 操作ステータスメッセージを表示します。
  • ホストサイト: Palo Alto Networks 仮想マシンの GUI にアクセスするには、ここをクリックリンクを使用します。

デフォルト以外のリージョンサイトをプロビジョニングするには、SD-WAN Center Collector にソフトウェアイメージをアップロードする必要があります。パロアルトネットワークスは、SD-WAN Centerヘッドエンド GUI または SD-WAN Centerコレクタから両方ともプロビジョニングできます。

SD-WAN Centerコレクタの IP アドレスを取得するには、[ 構成] > [ネットワーク探索] > [ 探索の設定 ] タブを選択します。

コレクタIP

SD-WAN コレクターからパロアルトネットワークをプロビジョニングするには:

  1. SD-WAN Collector GUI から、[ 構成] に移動し、[ホストされたファイアウォール] を選択します。

    コレクタ主催fw

  2. [ソフトウェアイメージ] タブに移動して、ソフトウェアイメージをアップロードします。
  3. [ホストされたファイアウォールサイト] タブの [プロビジョニング] をクリックします。
  4. 次の詳細を入力し、「プロビジョニングの開始」をクリックします。

    コレクタのプロビジョニング

トラフィックリダイレクション

Citrix SD-WAN UIを開き、[ 構成]>仮想WAN ]を展開し、[ 構成エディタ]を選択します。新しい設定テンプレートが [ グローバル ] セクションに ホストされたファイアウォールテンプレート として追加されます。

ホストされたfw温度

Hosted Firewall テンプレートを追加するには、次のスクリーンショットで必要な情報を入力し、[ Add] をクリックします。

追加

ホスト型ファイアウォールテンプレートを使用すると、SD-WAN アプライアンスでホストされている サードパーティ製ファイアウォール へのトラフィックリダイレクトを設定できます。ホストされたファイアウォールへのトラフィックリダイレクトは、SD-WAN ファイアウォールポリシーを使用して有効にできます。テンプレートを構成するために必要な入力を次に示します。

  • [ 名前]: ホストされているファイアウォールテンプレートの名前。
  • ベンダー: ファイアウォールベンダーの名前。
  • モデル: ホストされたファイアウォールの仮想マシンモデル。
  • プライマリ管理サーバー IP/FQDN: ホストされているファイアウォールのプライマリ管理サーバー IP/FQDN。
  • セカンダリ管理サーバー IP/FQDN: ホストされているファイアウォールのセカンダリ管理サーバー IP/FQDN。
  • サービスリダイレクトインターフェイス:SD-WANとホストされたファイアウォール間のトラフィックリダイレクトに使用される論理インターフェイスです。Interface-1、Interface-2 は、ホストされたファイアウォールの最初の 2 つのインターフェイスを指します。トラフィックのリダイレクトに VLAN を使用する場合は、ホストされるファイアウォールに同じ VLAN を設定する必要があります。トラフィックリダイレクション用に設定された VLAN は、SD-WAN およびホストされたファイアウォールの内部にあります。

    リダイレクション入力インターフェイスは、接続イニシエータの方向から選択する必要があります。リダイレクションインターフェイスは、応答トラフィック用に自動的に選択されます。たとえば、アウトバウンドインターネットトラフィックがInterface-1 のホストされたファイアウォールにリダイレクトされると、応答トラフィックは自動的にInterface-2 のホストされたファイアウォールにリダイレクトされます。

Palo Alto Networks ファイアウォールのホストに割り当てられる物理インターフェイスは 2 つだけです。複数のゾーンからのトラフィックをホストされたファイアウォールにリダイレクトする必要がある場合は、内部 VLAN を使用して複数のサブインターフェイスを作成し、ホストされたファイアウォールの異なるファイアウォールゾーンに関連付けることができます。

SD-WAN ファイアウォールポリシーまたはサイトレベルポリシーを使用して、すべてのトラフィックを Palo Alto Networks 仮想マシンにリダイレクトできます。

SD-WAN ファイアウォールポリシーが自動的に作成され、ホストされているファイアウォール管理サーバーとの間のトラフィック を許可 します。これにより、ホストされたファイアウォールから発信された(または)管理トラフィックがリダイレクトされるのを回避できます。

すべてのトラフィックをリダイレクトするには、 構成エディタの **[接続] タブ を選択し、[ 選択 ]** リストから [ ポリシー ] を選択し、[ + 追加] をクリックします。

ホストされたFWポリシー

ポリシータイプ(ホスト型ファイアウォールまたは組み込みファイアウォール)を選択し、他のすべてのフィールドに必要な詳細を入力します。

現在、SD-WAN ファイアウォールポリシーは方向固有です。ホストされたファイアウォールのリダイレクトでは、[ 構成エディタ] > [グローバル ] セクションで新しい [ 接続一致タイプ ] オプションが導入されました。

  • デフォルト: 指定した一致基準を使用して接続を一致させます。
  • 対称:指定した一致基準を使用して接続を照合し、ポリシーアクションを両方向に適用します。

接続一致タイプ

以前は、レガシーファイアウォールには Default オプションのみがありました。[ 対称 ] オプションは Palo Alto ファイアウォール用に導入され、Palo Alto 展開には必須の設定です。

Palo Alto が展開されている場合、 デフォルトの 接続一致オプションは使用できません。したがって、 デフォルト を使用してハーフPalo Altoサイトを構成し、 対称を使用して別のハーフを構成することはできません。

注:

レガシーファイアウォールの場合、サイトごとに対称とデフォルトの両方がローカルで使用できます。

レガシーファイアウォール

すべてのネットワーク構成が起動して実行モードになっている間は、[ 監視] > [ファイアウォール] > [ 統計 リスト] の [ フィルタポリシー] を選択して接続を監視できます。

フィルタポリシー

SD-WAN サービスチェーンテンプレートで行った設定と Palo Alto Network 設定のマッピングは、Palo Alto Network の UI を使用して確認できます。

パロアルト

メモ

Cloud Direct または SD-WAN WANOP (PE) が 1100 アプライアンスで既にプロビジョニングされている場合は、パロアルトネットワークスの仮想マシンをプロビジョニングできません。