Citrix SD-WAN

IPsec トンネルを使用したパロアルト統合

Palo Altoネットワークは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。SD-WAN ファブリックを保護する地域のクラウドベースのファイアウォールを組織がセットアップできるようにすることで、セキュリティを提供します。

リモートネットワーク向けPrisma Accessサービスにより、リモートネットワークロケーションのオンボードとユーザーのセキュリティを実現できます。これにより、すべてのリモート・ロケーションでデバイスを構成および管理する際の複雑さが解消されます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、運用上の課題を最小限に抑える効率的な方法を提供します。また、Panorama からポリシーを一元的に管理し、一貫した合理化されたリモートセキュリティを実現できます。ネットワークロケーション。

リモートネットワークの場所を Prisma Access サービスに接続するには、Palo Alto Networks 次世代ファイアウォールを使用するか、 SD-WAN を含むサードパーティの IPsec 準拠デバイスを使用して、サービスへの IPsec トンネルを確立できます。

  • リモートネットワーク用の Prisma アクセスサービスの計画

  • リモートネットワーク用の Prisma アクセスサービスを構成する

  • 設定インポートを使用したオンボードリモートネットワーク

Citrix SD-WAN ソリューションでは、ブランチからインターネットトラフィックを抜け出す機能が既に提供されています。これは、より信頼性が高く、低レイテンシのユーザーエクスペリエンスを提供する一方で、各ブランチに高価なセキュリティスタックが導入されないようにするために不可欠です。Citrix SD-WAN とPalo Alto Networksは、分散型企業に、ブランチ内のユーザーをクラウド内のアプリケーションに接続するための、より信頼性の高い安全な方法を提供します。

Citrix SD-WAN アプライアンスは、最小限の構成で、SD-WANアプライアンスの場所からIPSecトンネルを介してPalo Altoクラウドサービス(プリズマアクセスサービス)ネットワークに接続できます。あなたは、Citrix SD-WAN Centerでパロアルトネットワークを構成することができます.

リモートネットワーク用の Prisma Access Service の構成を開始する前に、次の構成を準備して、リモートネットワークロケーションのユーザーに対してサービスを正常に有効にし、ポリシーを適用できることを確認します。

  1. サービス接続— ユーザーの認証や重要なネットワーク資産へのアクセスを可能にするために、リモートネットワークのロケーションが企業本社のインフラストラクチャにアクセスする必要がある場合、本社とリモートネットワークのロケーションが接続されています。

リモートネットワークロケーションが自律的であり、他のロケーションのインフラストラクチャにアクセスする必要がない場合は、サービス接続を設定する必要はありません(モバイルユーザがアクセスする必要がある場合を除く)。

  1. テンプレート— プリズマアクセスサービスは、リモートネットワーク用のプリズマアクセスサービスのテンプレートスタック (Remote_Network_Template_Stack) と最上位テンプレート (Remote_Network_Template) を自動的に作成します。Prisma Access Service for Remote Networks のファイアウォールをすでにオンプレミスで実行している場合は、トップレベルのテンプレートを最初から構成するか、既存の構成を活用します。

    このテンプレートでは、リモートネットワークの場所とリモートネットワークの Prisma Access サービス間のプロトコルネゴシエーション用の IPSec トンネルとインターネットキー交換 (IKE) 構成を確立するための設定が必要です。これにより、セキュリティポリシーで参照できるゾーン、およびログ転送プロファイルを使用して、は、リモートネットワーク用の Prisma Access サービスからログサービスにログを転送できます。

  2. 親デバイスグループ— リモートネットワークのPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、およびその他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)を含む親デバイスグループと、リモートネットワーク用の Prisma Access サービスは、IPsec トンネルを介してリモートネットワーク用の Prisma Access サービスにルーティングされるトラフィックのポリシーを一貫して適用できます。Panorama でポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用して、リモートネットワークロケーションのユーザを保護する必要があります。

    注:

    ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。

    これにより、リモートネットワーク用の Prisma Access サービスを構成するときにゾーンマッピングを完了できます。

  3. IP サブネット— Prisma Access サービスがトラフィックをリモートネットワークにルーティングするには、Prisma Access サービスを使用してセキュリティ保護するサブネットワークのルーティング情報を指定する必要があります。リモートネットワークロケーションにある各サブネットワークへのスタティックルートを定義するか、サービス接続ロケーションと Prisma Access サービス間で BGP を構成するか、両方の方法を組み合わせて使用できます。

    スタティックルートを設定し、BGP を有効にすると、スタティックルートが優先されます。リモートネットワークロケーションにサブネットワークが数個しかない場合は、スタティックルートを使用すると便利ですが、サブネットが重複している多数のリモートネットワークがある大規模な展開では、BGP によって拡張が容易になります。

SD-WAN Centerのパロアルトネットワーク

次の前提条件が満たされていることを確認します。

  • PRISMA AccessサービスからパノラマIPアドレスを取得する。

  • PRISMA Accessサービスでユーザ名とパスワードユーザを取得します。

  • SD-WAN アプライアンスの GUI で IPSec トンネルを設定します。

  • サイトがリージョンにオンボードされていないことを確認します。リージョンには、Citrix-IKE 暗号デフォルト/Citrix-IPsec 暗号デフォルト以外の別のサイトが設定されています。

  • SD-WAN Centerによって設定が更新されるときに、プリズマアクセスの設定を手動で変更しないようにしてください。

Citrix SD-WAN CenterのGUIで、パロアルトのサブスクリプション情報を入力します。

  • パノラマ IP アドレスを設定します。このIPアドレスは、パロアルト(PRISMA Accessサービス)から入手できます。

  • PRISMA Accessサービスで使用するユーザー名とパスワードを設定します。

    ローカライズされた画像

サイトの追加と展開

  1. サイトを展開するには、プリズマアクセスリージョン用に構成する PRISMA アクセスネットワークリージョンと SD-WAN サイトを選択し、トラフィックを選択するサイト WAN リンク、帯域幅、およびアプリケーションオブジェクトを選択します。

    注:

    選択した帯域幅が使用可能な帯域幅範囲を超えると、トラフィックフローが影響を受けます。

    [アプリケーションオブジェクト] の選択の下にある [すべてのトラフィック] オプションを選択すると、インターネットにバインド されたすべてのトラフィック を PRISMA Accessサービスにリダイレクトできます。

    ローカライズされた画像

    ローカライズされた画像

  2. 必要に応じて、引き続き SD-WAN ブランチサイトを追加できます。

    ローカライズされた画像

  3. [展開] をクリックします。変更管理プロセスが開始されます。[Yes]をクリックして続行します。

    ローカライズされた画像

    展開後、トンネルの確立に使用される IPSec トンネル設定は次のとおりです。

    ローカライズされた画像

    ランディングページには、異なる SD-WAN リージョンで設定およびグループ化されたすべてのサイトのリストが表示されます。

    ローカライズされた画像

エンドツーエンドのトラフィック接続を確認します。

  • ブランチのLANサブネットから、インターネットリソースにアクセスします。

  • トラフィックがCitrix SD-WAN IPsec トンネルを経由して、パロアルトプリズマアクセスに送信されることを確認します。

  • [Monitoring] タブで、トラフィックに Palo Alto セキュリティポリシーが適用されていることを確認します。

  • ブランチ内のホストへのインターネットからの応答が通過することを確認します。

IPsec トンネルを使用したパロアルト統合