Citrix SD-WAN

IPsec トンネルを使用したPalo Alto 統合

Palo Alto Networksは、リモートネットワークを保護するためのクラウドベースのセキュリティインフラストラクチャを提供します。組織がSD-WANファブリックを保護する地域的なクラウドベースのファイアウォールをセットアップできるようにすることで、セキュリティを提供します。

リモートネットワーク用のPrisma Accessサービスを使用すると、リモートネットワークロケーションをオンボードし、ユーザーにセキュリティを提供できます。すべてのリモートロケーションでのデバイスの設定と管理の複雑さを取り除きます。このサービスは、新しいリモートネットワークロケーションを簡単に追加し、運用上の課題を最小限に抑える効率的な方法を提供します。また、Panorama からポリシーを一元的に管理し、一貫した合理化されたリモートセキュリティを実現できます。ネットワークロケーション。

リモートネットワークの場所を Prisma Access サービスに接続するには、Palo Alto Networks 次世代ファイアウォールを使用するか、 SD-WAN を含むサードパーティの IPsec 準拠デバイスを使用して、サービスへの IPsec トンネルを確立できます。

  • リモートネットワーク用の Prisma アクセスサービスの計画

  • リモートネットワーク用のPrisma Accessサービスの構成

  • 設定インポートを備えたオンボードリモートネットワーク

Citrix SD-WANソリューションは、ブランチからのインターネットトラフィックを分割する機能をすでに提供しています。これは、各ブランチでの高価なセキュリティスタックの導入を回避しながら、より信頼性が高く、待機時間の短いユーザーエクスペリエンスを提供するために重要です。Citrix SD-WANとPalo Alto Networksは、分散企業に、ブランチ内のユーザーをクラウド内のアプリケーションに接続するためのより信頼性が高く安全な方法を提供します。

Citrix SD-WANアプライアンスは、最小限の構成でSD-WANアプライアンスの場所からIPsecトンネルを介してPalo Altoクラウドサービス(Prisma Access Service)ネットワークに接続できます。あなたは、Citrix SD-WAN Centerでパロアルトネットワークを構成することができます.

リモートネットワーク用のPrisma Access Serviceの構成を開始する前に、サービスを正常に有効にしてリモートネットワークの場所のユーザーにポリシーを適用できるように、次の構成の準備ができていることを確認してください。

  1. サービス接続— ユーザーの認証や重要なネットワーク資産へのアクセスを可能にするために、リモートネットワークのロケーションが企業本社のインフラストラクチャにアクセスする必要がある場合、本社とリモートネットワークのロケーションが接続されています。

リモートネットワークの場所が自律的で、他の場所にあるインフラストラクチャにアクセスする必要がない場合は、サービス接続を設定する必要はありません(モバイルユーザーがアクセスを必要とする場合を除く)。

  1. テンプレート— プリズマアクセスサービスは、リモートネットワーク用のプリズマアクセスサービスのテンプレートスタック (Remote_Network_Template_Stack) と最上位テンプレート (Remote_Network_Template) を自動的に作成します。リモートネットワーク用のPrismaアクセスサービスを構成するには、最上位のテンプレートを最初から構成するか、既存のPalo Alto Networksファイアウォールを既にオンプレミスで実行している場合は既存の構成を利用します。

    テンプレートには、リモートネットワークの場所とリモートネットワーク用のPrisma Accessサービス、セキュリティポリシーで参照できるゾーン、およびログ転送プロファイル間のプロトコルネゴシエーションのためのIPsecトンネルとインターネットキーエクスチェンジ(IKE)構成を確立するための設定が必要です。リモートネットワークのPrisma Accessサービスからログサービスにログを転送できること。

  2. 親デバイスグループ— リモートネットワークのPrisma Accessサービスでは、セキュリティポリシー、セキュリティプロファイル、およびその他のポリシーオブジェクト(アプリケーショングループとオブジェクト、アドレスグループなど)を含む親デバイスグループと、リモートネットワーク用の Prisma Access サービスは、IPsec トンネルを介してリモートネットワーク用の Prisma Access サービスにルーティングされるトラフィックのポリシーを一貫して適用できます。Panorama でポリシールールとオブジェクトを定義するか、既存のデバイスグループを使用して、リモートネットワークロケーションのユーザを保護する必要があります。

    注:

    ゾーンを参照する既存のデバイスグループを使用する場合は、ゾーンを定義する対応するテンプレートを Remote_Network_Template_Stack に追加してください。

    これにより、リモートネットワーク用の Prisma Access サービスを構成するときにゾーンマッピングを完了できます。

  3. IP サブネット— Prisma Access サービスがトラフィックをリモートネットワークにルーティングするには、Prisma Access サービスを使用してセキュリティ保護するサブネットワークのルーティング情報を指定する必要があります。リモートネットワークの場所で各サブネットワークへの静的ルートを定義するか、サービス接続場所とPrisma Accessサービスの間にBGPを構成するか、両方の方法を組み合わせて使用できます。

    スタティックルートを設定し、BGP を有効にすると、スタティックルートが優先されます。リモートネットワークの場所にいくつかのサブネットワークしかない場合は静的ルートを使用すると便利な場合がありますが、サブネットが重複している多くのリモートネットワークがある大規模な展開では、BGPを使用するとより簡単にスケーリングできます。

SD-WAN CenterのPalo Alto Networks

以下の前提条件が満たされていることを確認してください。

  • PRISMA ACCESSサービスからパノラマIPアドレスを取得します。

  • PRISMA ACCESSサービスでユーザー名とパスワードを取得します。

  • SD-WANアプライアンスGUIでIPsecトンネルを構成します。

  • サイトがCitrix-IKE-Crypto-Default/Citrix-IPSec-Crypto-Default以外のike/ipsecプロファイルで構成された異なるサイトのあるリージョンにオンボーディングされていないことを確認してください。

  • SD-WAN Centerによって設定が更新されるときに、Prisma Accessの設定を手動で変更しないようにしてください。

Citrix SD-WAN CenterのGUIで、Palo Alto のサブスクリプション情報を入力します。

  • パノラマIPアドレスを設定します。このIPアドレスはPalo Alto(PRISMA ACCESSサービス)から取得できます。

  • PRISMA ACCESSサービスで使用するユーザー名とパスワードを設定します。

    ローカライズされた画像

サイトを追加して展開する

  1. サイトをデプロイするには、PRISMA ACCESSネットワークリージョンとPrisma Accessリージョン用に構成するSD-WANサイトを選択し、サイトWANリンク、帯域幅、およびトラフィック選択用のアプリケーションオブジェクトを選択します。

    注:

    選択した帯域幅が使用可能な帯域幅の範囲を超えると、トラフィックフローが影響を受けます。

    [アプリケーションオブジェクト] の選択の下にある [すべてのトラフィック] オプションを選択すると、インターネットにバインド されたすべてのトラフィック を PRISMA Accessサービスにリダイレクトできます。

    ローカライズされた画像

    ローカライズされた画像

  2. 必要に応じて、引き続きSD-WANブランチサイトを追加できます。

    ローカライズされた画像

  3. [展開] をクリックします。変更管理プロセスが開始されます。[Yes]をクリックして続行します。

    ローカライズされた画像

    展開後、トンネルの確立に使用されるIPsecトンネル構成は次のとおりです。

    ローカライズされた画像

    ランディングページには、さまざまなSD-WANリージョンで構成およびグループ化されたすべてのサイトのリストが表示されます。

    ローカライズされた画像

エンドツーエンドのトラフィック接続を確認します。

  • ブランチのLANサブネットから、インターネットリソースにアクセスします。

  • トラフィックがCitrix SD-WAN IPsecトンネルを通過してPalo Alto Prisma Accessに到達することを確認します。

  • Palo Altoセキュリティポリシーが[監視]タブのトラフィックに適用されていることを確認します。

  • ブランチ内のホストへのインターネットからの応答が通過することを確認します。

IPsec トンネルを使用したPalo Alto 統合