Citrix SD-WAN

Citrix SD-WANでのForcepointを使用したファイアウォールトラフィックリダイレクトのサポート

Forcepoint は次の機能をサポートしますが、SD-WAN はファイアウォールリダイレクト機能のみをサポートします。

  • PKI を使用した IPSec
  • PSK を使用した IPSec
  • PAC ファイル設定を使用したプロキシチェーン
  • 標準ヘッダーによるプロキシ連鎖
  • 独自のヘッダーによるプロキシチェーンにより、クライアントの IP 範囲 (パートナーシップ/開発) を構成する必要がなくなります
  • ファイアウォールリダイレクト(宛先 NAT による透過プロキシ)

Destination NAT ポリシーを使用すると、企業は ForcePoint を使用してクラウドでホストされたセキュリティサービスを通じてインターネットトラフィックをルーティングできます。

SD-WAN アプライアンスで Destination NAT を構成し、安全なクラウドベースのファイアウォールサービスを通じてインターネットトラフィックをリダイレクトする方法を理解するには、次のユースケースを参照してください。

前提条件:

  1. Forcepointポータルサイトにログインします。インターネットトラフィックを Forcepoint にリダイレクトする必要があるエンタープライズパブリック IP アドレスを指定して、ポリシーを作成します。インターネットトラフィックのリダイレクト先となるプライマリ IP アドレスとセカンダリ IP アドレスを取得します。

  2. SD-WAN GUI で、DC サイトの SD-WAN アプライアンスで、WAN リンクに関連付けられたインターネットサービスを設定します。

  3. 宛先 NAT は、インターネットトラフィックの宛先 IP アドレスを使用して実行されます。この宛先アドレスは、Forcepoint パブリック IP アドレスに変更されます。

  4. 送信元 IP アドレスとプライマリ IP アドレスを指定して、宛先 NAT ポリシーを設定します。送信元 IP は、ポート 80 (http) および 443 (https) 内の SD-WAN アプライアンスのインターネット IP アドレスです。このアドレスは、外部ポート 8081 (http) および 8443 (https) で、クラウドベースのファイアウォール Gateway のプライマリ宛先 IP アドレスにリダイレクト/変換されます。

  5. DNAT ポリシーを設定した後、DC で設定されたルートで、SD-WAN ネットワーク IP アドレスに対してインターネットサービスタイプが選択されていることを確認します。

Citrix SD-WAN でのNATサポートの詳細については、以下のトピック「NAT の設定」を参照してください

ローカライズされた画像

宛先 NAT(DNAT)の設定

Citrix SD-WAN GUIを使用して、宛先NAT(DNAT)を構成します。設定で、特定の宛先 IP アドレスおよびポートに一致するトラフィックをリダイレクトする、1 つ以上の DNAT ポリシーを追加します。

宛先 NAT を設定するには、次の手順を実行します。

SD-WAN SE/VPX GUI で、[ 構成 ] → [ 仮想WAN ] → [構成エディタ] に移動します。[ 開く ] をクリックして、既存のパッケージを開きます。保存済みの構成パッケージを選択します。また、ネットワーク構成の構築中に DNAT ルールを作成することもできます。

  1. DC (MCN) で、インターネットサービスを構成します。[ 接続 ]-> [ ファイアウォール] に移動します。

  2. [ + 追加 ] をクリックして、DNATポリシーを追加します。

  3. [ 宛先 NAT ポリシーの追加 ] ダイアログボックスで、次の情報を入力します。

    • 優先度
    • 方向
    • サービスの種類
    • サービス名
    • 内部 IP アドレス
    • インサイドポート
    • 外部 IP アドレス
    • 外部ポート

    ローカライズされた画像

    ローカライズされた画像

  4. スタティック NAT と同様に、ファイアウォールトラフィックリダイレクト用の宛先 NAT ルールをプロビジョニングします。

  5. 一致基準と、NATする宛先 IP/ポートを入力します。

  6. 統計情報を使用して、DNAT 規則の接続照合を実行します。

  7. 構成の更新中に DNAT ルールを削除または更新します。

宛先 NAT ポリシー(ファイアウォール)のモニタリング

Citrix SD-WAN GUIを使用して、現在のDNATポリシー構成を監視することもできます。

現在の宛先 NAT ポリシー設定をモニタするには、次の手順を実行します。

  1. Citrix SD-WAN GUIで、[ 監視 ]>[ ファイアウォール ]>[ NATポリシー]に移動します。

  2. 監視する統計情報を含むタブを選択します。

    ローカライズされた画像

    ローカライズされた画像

Citrix SD-WANでのForcepointを使用したファイアウォールトラフィックリダイレクトのサポート