Citrix SD-WAN

IPsec トンネルを使用したPalo Alto 統合

Palo Alto Networksは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織がSD-WANファブリックを保護する地域的なクラウドベースのファイアウォールをセットアップできるようにすることで、セキュリティを提供します。

リモートネットワーク用のPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボードし、ユーザーにセキュリティを提供できます。すべてのリモートロケーションでのデバイスの設定と管理の複雑さを取り除きます。このサービスは、新しいリモートネットワークの場所を簡単に追加して運用上の課題を最小限に抑える効率的な方法を提供し、これらの場所のユーザーが常に接続されて安全であることを保証します。また、Panoramaからポリシーを一元管理して、リモートネットワークの一貫した合理的なセキュリティを実現できます。場所。

リモートネットワークの場所を Prisma Access サービスに接続するには、Palo Alto Networks の次世代ファイアウォールを使用するか、サービスへの IPsec トンネルを確立できる SD-WAN などのサードパーティ製の IPsec 準拠デバイスを使用できます。

  • リモートネットワーク用のPrismaアクセスサービスを計画する

  • リモートネットワーク用のPrisma Accessサービスの構成

  • 設定インポートを備えたオンボードリモートネットワーク

Citrix SD-WANソリューションは、ブランチからのインターネットトラフィックを分割する機能をすでに提供しています。これは、各ブランチでの高価なセキュリティスタックの導入を回避しながら、より信頼性が高く、待機時間の短いユーザーエクスペリエンスを提供するために重要です。Citrix SD-WANとPalo Alto Networksは、分散企業に、ブランチ内のユーザーをクラウド内のアプリケーションに接続するためのより信頼性が高く安全な方法を提供します。

Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスの場所からIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Access Service)ネットワークに接続できます。あなたは、Citrix SD-WAN Centerでパロアルトネットワークを構成することができます.

リモートネットワーク用のPrisma Access Serviceの構成を開始する前に、サービスを正常に有効にしてリモートネットワークの場所のユーザーにポリシーを適用できるように、次の構成の準備ができていることを確認してください。

  1. サービス接続— リモートネットワークの場所で、ユーザーを認証したり、重要なネットワーク資産へのアクセスを可能にしたりするために、本社内のインフラストラクチャにアクセスする必要がある場合には、本社とリモートネットワークにアクセスできるように社内ネットワークへのアクセスを設定する必要があります。のロケーションが接続されています。

リモートネットワークの場所が自律的で、他の場所にあるインフラストラクチャにアクセスする必要がない場合は、サービス接続を設定する必要はありません(モバイルユーザーがアクセスを必要とする場合を除く)。

  1. テンプレート— Prisma Access サービスは、リモートネットワーク用の Prisma Access サービス用のテンプレートスタック (Remote_Network_Template_Stack) と最上位のテンプレート (Remote_Network_Template) を自動的に作成します。リモートネットワーク用のPrismaアクセスサービスを構成するには、最上位のテンプレートを最初から構成するか、既存のPalo Alto Networksファイアウォールを既にオンプレミスで実行している場合は既存の構成を利用します。

テンプレートには、リモートネットワークの場所とリモートネットワーク用のPrisma Accessサービス、セキュリティポリシーで参照できるゾーン、およびログ転送プロファイル間のプロトコルネゴシエーションのためのIPsecトンネルとインターネットキーエクスチェンジ(IKE)構成を確立するための設定が必要です。リモートネットワークのPrisma Accessサービスからログサービスにログを転送できること。

  1. 親デバイスグループ— リモートネットワーク用の Prisma Access サービスでは、セキュリティポリシー、セキュリティプロファイル、その他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)、認証を含む親デバイスグループを指定する必要があります。ポリシーを設定して、リモートネットワークの Prisma Access サービスが、IPsec トンネルを介してリモートネットワークの Prisma Access サービスにルーティングされるトラフィックのポリシーを一貫して適用できるようにします。パノラマでポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用してリモートネットワークの場所でユーザーを保護する必要があります。

注:

ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。

これにより、Prisma Access Service for Remote Networksを構成するときにゾーンマッピングを完了することができます。

  1. IP サブネット— Prisma Access サービスがトラフィックをリモートネットワークにルーティングするには、Prisma Access サービスを使用して保護するサブネットワークのルーティング情報を提供する必要があります。リモートネットワークの場所で各サブネットワークへの静的ルートを定義するか、サービス接続場所とPrisma Accessサービスの間にBGPを構成するか、両方の方法を組み合わせて使用できます。

スタティックルートを設定し、BGP を有効にすると、スタティックルートが優先されます。リモートネットワークの場所にいくつかのサブネットワークしかない場合は静的ルートを使用すると便利な場合がありますが、サブネットが重複している多くのリモートネットワークがある大規模な展開では、BGPを使用するとより簡単にスケーリングできます。

SD-WAN CenterのPalo Alto Networks

以下の前提条件が満たされていることを確認してください。

  • PRISMA ACCESSサービスからパノラマIPアドレスを取得します。

  • PRISMA ACCESSサービスでユーザー名とパスワードを取得します。

  • SD-WANアプライアンスGUIでIPsecトンネルを構成します。

  • サイトがCitrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のike/ipsecプロファイルで構成された異なるサイトのあるリージョンにオンボーディングされていないことを確認してください。

  • SD-WAN Centerによって設定が更新されるときに、Prisma Accessの設定を手動で変更しないようにしてください。

Citrix SD-WAN CenterのGUIで、Palo Alto のサブスクリプション情報を入力します。

  • パノラマIPアドレスを設定します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。

  • PRISMA ACCESSサービスで使用するユーザー名とパスワードを設定します。

    ローカライズされた画像

サイトを追加して展開する

  1. サイトをデプロイするには、PRISMA ACCESSネットワークリージョンとPrisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。

注:

選択した帯域幅が使用可能な帯域幅の範囲を超えると、トラフィックフローが影響を受けます。

[アプリケーションオブジェクト] 選択の下にある [すべてのトラフィック]オプションを選択すると、すべてのインターネットバインドされたトラフィックを PRISMA ACCESS サービスにリダイレクトできます。

ローカライズされた画像

ローカライズされた画像

2. 必要に応じて、引き続きSD-WANブランチサイトを追加できます。

ローカライズされた画像

3. 「 展開」をクリックします。変更管理プロセスが開始されます。[Yes]をクリックして続行します。

ローカライズされた画像

展開後、トンネルの確立に使用されるIPsecトンネル構成は次のとおりです。

ローカライズされた画像

ランディングページには、さまざまなSD-WANリージョンで構成およびグループ化されたすべてのサイトのリストが表示されます。

ローカライズされた画像

エンドツーエンドのトラフィック接続を確認します。

  • ブランチのLANサブネットから、インターネットリソースにアクセスします。

  • トラフィックがCitrix SD-WAN IPsecトンネルを通過してPalo Alto Prisma Accessに到達することを確認します。

  • Palo Altoセキュリティポリシーが[監視]タブのトラフィックに適用されていることを確認します。

  • ブランチのホストへのインターネットからの応答が到達することを確認します。

IPsec トンネルを使用したPalo Alto 統合