Citrix SD-WAN

Citrix SD-WANでのForcepointを使用したファイアウォールトラフィックリダイレクトのサポート

Forcepoint は次の機能をサポートしますが、SD-WAN はファイアウォールリダイレクト機能のみをサポートします。

  • PKI を使用した IPSec
  • PSK を使用した IPSec
  • PAC ファイル設定を使用したプロキシチェーン
  • 標準ヘッダーによるプロキシ連鎖
  • 独自のヘッダーによるプロキシチェーンにより、クライアントの IP 範囲 (パートナーシップ/開発) を構成する必要がなくなります
  • ファイアウォールリダイレクト(宛先 NAT による透過プロキシ)

Destination NAT ポリシーを使用すると、企業は ForcePoint を使用してクラウドでホストされたセキュリティサービスを通じてインターネットトラフィックをルーティングできます。

SD-WAN アプライアンスで Destination NAT を構成し、安全なクラウドベースのファイアウォールサービスを通じてインターネットトラフィックをリダイレクトする方法を理解するには、次のユースケースを参照してください。

前提条件:

  1. Forcepoint ポータルサイトにログインします。インターネットトラフィックを Forcepoint にリダイレクトする必要があるエンタープライズパブリック IP アドレスを指定して、ポリシーを作成します。インターネットトラフィックのリダイレクト先となるプライマリ IP アドレスとセカンダリ IP アドレスを取得します。

  2. SD-WAN GUI で、DC サイトの SD-WAN アプライアンスで、WAN リンクに関連付けられたインターネットサービスを設定します。

  3. 宛先 NAT は、インターネットトラフィックの宛先 IP アドレスを使用して実行されます。この宛先アドレスは、Forcepoint パブリック IP アドレスに変更されます。

  4. 送信元 IP アドレスとプライマリ IP アドレスを指定して、宛先 NAT ポリシーを設定します。送信元 IP は、ポート 80 (http) および 443 (https) 内の SD-WAN アプライアンスのインターネット IP アドレスです。このアドレスは、外部ポート 8081 (http) および 8443 (https) で、クラウドベースのファイアウォール Gateway のプライマリ宛先 IP アドレスにリダイレクト/変換されます。

  5. DNAT ポリシーを設定した後、DC で設定されたルートで、SD-WAN ネットワーク IP アドレスに対してインターネットサービスタイプが選択されていることを確認します。

Citrix SD-WANでのNATサポートの詳細については、次のトピック「NATの 構成」を参照してください。

ローカライズされた画像

宛先 NAT(DNAT)の設定

Citrix SD-WAN GUIを使用して、宛先NAT(DNAT)を構成します。設定で、特定の宛先 IP アドレスおよびポートに一致するトラフィックをリダイレクトする、1 つ以上の DNAT ポリシーを追加します。

宛先 NAT を設定するには、次の手順を実行します。

SD-WAN SE/VPX GUI で、[ **構成]-> [ **仮想WAN]- > [構成エディタ] に移動します。既存のパッケージ ** を開くには、[開く] をクリックします。保存済みの構成パッケージを選択します。また、ネットワーク構成の構築中に DNAT ルールを作成することもできます。

  1. DC (MCN) で、インターネットサービスを構成します。[ **接続]-> [ **ファイアウォール] に移動します

  2. [ + 追加 ] をクリックして、DNAT ポリシーを追加します。

  3. [宛先 NAT ポリシーの 追加 ] ダイアログボックスで、次の情報を入力します。

  • 優先度
  • 方向
  • サービスの種類
  • サービス名
  • 内部 IP アドレス
  • インサイドポート
  • 外部 IP アドレス
  • 外部ポート

    ローカライズされた画像

    ローカライズされた画像

  1. スタティック NAT と同様に、ファイアウォールトラフィックリダイレクト用の宛先 NAT ルールをプロビジョニングします。

  2. 一致基準と、NATする宛先 IP/ポートを入力します。

  3. 統計情報を使用して、DNAT 規則の接続照合を実行します。

  4. 構成の更新中に DNAT ルールを削除または更新します。

宛先 NAT ポリシー(ファイアウォール)のモニタリング

Citrix SD-WAN GUIを使用して、現在のDNATポリシー構成を監視することもできます。

現在の宛先 NAT ポリシー設定をモニタするには、次の手順を実行します。

  1. Citrix SD-WAN GUIで、[ 監視]>[ファイアウォール]>[NATポリシー]の順に移動します

  2. 監視する統計情報を含むタブを選択します。

ローカライズされた画像

ローカライズされた画像

Citrix SD-WANでのForcepointを使用したファイアウォールトラフィックリダイレクトのサポート