Citrix SD-WAN

SD-WAN 1100 プラットフォームでのCheck Pointファイアウォール統合

Citrix SD-WANは、SD-WAN 1100プラットフォーム上のCheck Point CloudGuardエッジのホスティングをサポートしています。

Check Point CloudGuard Edge は、SD-WAN 1100 プラットフォーム上で仮想マシンとして 実行されます。ファイアウォール仮想マシンは、Bridge モードで統合され、2 つのデータ仮想インターフェイスが接続されています。SD-WAN でポリシーを構成することで、必要なトラフィックをファイアウォール仮想マシンにリダイレクトできます。

長所

次に、SD-WAN 1100 プラットフォームでの Check Point 統合の主な目標または利点を示します。

  • 支店デバイスの統合:SD-WANと高度なセキュリティの両方を実行する単一のアプライアンス

  • LAN-to-LAN、LAN-インターネット、およびインターネット-LANのトラフィックを保護するオンプレムNGFW(次世代ファイアウォール)によるブランチオフィスのセキュリティ

構成の手順

Check Point ファイアウォール仮想マシンを SD-WAN に統合するには、次の構成が必要です。

  • ファイアウォール仮想マシンのプロビジョニング

  • セキュリティ仮想マシンへのトラフィックリダイレクトを有効にする

トラフィックリダイレクトを有効にする前に、ファイアウォール仮想マシンをプロビジョニングする必要があります。

プロビジョニングCheck Pointファイアウォール仮想マシン

ファイアウォール仮想マシンをプロビジョニングするには、次の 2 つの方法があります。

  • SD-WAN センターによるプロビジョニング

  • SD-WAN アプライアンス GUI によるプロビジョニング

SD-WAN センターを介したファイアウォール仮想マシンのProvisioning

前提条件

  • セカンダリストレージを SD-WAN Center に追加して、ファイアウォール VM イメージファイルを保存します。詳細については、「 システム要件とインストール」を参照してください

  • ファイアウォール VM イメージファイル用にセカンダリパーティションからストレージを予約します。ストレージ制限を構成するには、[ 管理] > [ストレージのメンテナンス] に移動します

    • リストから必要なストレージ量を選択します。

    • [ 適用] をクリックします

    ストレージ

ストレージは、条件が満たされた場合にアクティブであるセカンダリパーティションから予約されています。

SD-WAN Center プラットフォーム経由でファイアウォール仮想マシンをProvisioning するには、次の手順を実行します。

  1. Citrix SD-WAN Center GUIから、[ 構成]>ホストされているファイアウォール]を選択します

ホストされたfwサイト

ドロップダウンリストから [ Reg ion] を選択すると、その選択したリージョンのプロビジョニング済みサイトの詳細を表示できます。

  1. ソフトウェアイメージをアップロードします。

ソフトウェアイメージをアップロードするのに十分なディスク領域があることを確認します。

[ 構成] > [ホストされたファイアウォール] > [ソフトウェアイメージ] に移動し 、[ アップロード] をクリックします

[ ソフトウェアイメージ] タブ

  1. ドロップダウンリストから「 Check Point 」としてベンダー名を選択します。アップロードするボックスに、ソフトウェアイメージファイルをクリックまたはドロップします。

チェックポイントソフトウェアイメージ

進行中のアップロード処理を示すステータスバーが表示されます。イメージファイルに 100% アップロードされたと表示されるまで、[ 更新] をクリック したり、その他の操作を実行したりしないでください。

  • [ 更新]: [ 更新] オプションをクリックして、最新のイメージファイルの詳細を取得します。

  • 削除: 既存のイメージ ファイルを削除するには、[削除] オプションをクリックします。

    デフォルト以外のリージョンのサイトでファイアウォール仮想マシンをプロビジョニングするには、各コレクタノードにイメージファイルをアップロードします。

  1. Provisioning の場合は、[ ホスト型ファイアウォールサイト ] タブに戻り、[ プロビジョニング] をクリックします

チェックポイント仮想マシンのProvisioning

  • 仕入先: ドロップダウン・リストから「Check Point」として仕入先名を選択します。
  • ベンダー仮想マシンモデル: 仮想マシンモデルフィールドは Edge として自動的に入力されます。
  • リージョン: リストからリージョンを選択します。
  • ソフトウェアイメージ:プロビジョニングするイメージファイルを選択します。
  • ファイアウォールホスティング用サイト:ファイアウォールホスティング用のリストに使用するサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。
  • 管理サーバーのプライマリIPアドレス/ドメイン名:管理プライマリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。
  • 仮想マシン SIC キー: 仮想マシンのセキュリティで保護された内部通信 (SIC) キーを入力します。SIC は、 Check Point コンポーネント間に信頼された接続を作成します。
  1. [プロビジョニングの 開始] をクリックします

  2. 最新のステータスを取得** するには、[ **Refresh] をクリックします。Check Point 仮想マシンが完全に起動すると、SD-WAN Center UI に反映されます。

必要に応じて、仮想マシンを 起動、シャットダウン、 および プロビジョニング解除 できます。

プロビジョニングされたチェックポイント

  • サイト名: サイト名を表示します。
  • 管理 IP:サイトの管理 IP アドレスを表示します。
  • リージョン名: リージョン名が表示されます。
  • 仕入先: 仕入先名(Check Point)が表示されます。
  • [ モデル]: モデル- エッジを表示します
  • 管理状態:ベンダー仮想マシンの状態(アップ/ダウン)。
  • 工程ステータス: 最後の工程ステータス・メッセージを表示します。
  • ホストされたサイトの UI アクセス: [ここをクリック] リンクを使用して、Check Point 仮想マシン GUI にアクセスします。

SD-WAN アプライアンスの GUI によるファイアウォール仮想マシンのProvisioning

SD-WAN プラットフォームで、ホストされた仮想マシンをプロビジョニングして起動します。Provisioning の手順は、次のとおりです。

  1. Citrix SD-WAN GUIから、[ 構成]>[アプライアンスの設定 ]>[ ホストされたファイアウォール]を選択します

  2. ソフトウェアイメージをアップロードします。

  • ソフトウェアイメージ ]タブを選択します。「 ベンダー名」を「Check Point」 として選択します。
  • ソフトウェアイメージファイルを選択します。
  • アップロード」をクリックします

    SD-WAN でのソフトウェアイメージのアップロード

    最大2枚の画像をアップロードできます。Check Point 仮想マシンイメージのアップロードには、帯域幅の可用性によっては、時間がかかる場合があります。

    アップロードプロセスを追跡するステータスバーが表示されます。画像が正常にアップロードされると、ファイルの詳細が反映されます。Provisioning に使用されるイメージは削除できません。画像ファイルに 100% アップロードされたと表示されるまで、アクションを実行したり、他のページに戻ったりしないでください。

  1. Provisioning の場合は、[ ホスト型ファイアウォール ] タブを選択し、[ プロビジョニング] ボタンをクリックします。

SD-WAN でのCheck Pointプロビジョニング

  1. Provisioning について次の詳細を入力します。
  • 仕入先名:「Check Point」として「仕入先名」を選択します。
  • バーチャルマシンモデル: バーチャルマシンモデルは Edge として自動入力されます。
  • [ イメージファイル名]: イメージファイル名が自動的に入力されます。
  • Check Point管理サーバーの IP アドレス/ドメイン: Check Point管理サーバーの IP アドレス/ドメインを指定します。
  • SICキー:SICキーを指定します(オプション)。SIC は、 Check Point コンポーネント間に信頼された接続を作成します。[ 適用] をクリックします

    Check Pointプロビジョニング の詳細

  1. 最新のステータスを取得** するには、[ **Refresh] をクリックします。Check Point 仮想マシンが完全に起動すると、操作ログの詳細とともに SD-WAN UI に反映されます。

Check Pointの操作ログ

  • 管理状態: 仮想マシンが稼働中かダウン中かを示します。
  • 処理状態: 仮想マシンのデータパス処理状態。
  • パケット送信済み: SD-WAN からセキュリティ仮想マシンに送信されたパケット。
  • パケット受信: セキュリティ仮想マシンから SD-WAN によって受信されたパケット。
  • Packet Dropped: SD-WAN によってドロップされたパケット (たとえば、セキュリティ仮想マシンがダウンしている場合)。
  • デバイスアクセス: セキュリティ仮想マシンへの GUI アクセスを取得するには、リンクをクリックします。

必要に応じて、仮想マシンを 起動、シャットダウン、 および プロビジョニング解除 できます。「ここをクリック」 オプションを使用して、Check Point 仮想マシンの GUI にアクセスするか、管理 IP と 4100 ポート (管理 IP: 4100) を使用します。

Check Point GUI にアクセスするには、常にシークレットモードを使用します。

トラフィックをエッジにリダイレクト

トラフィックリダイレクトの設定は、MCN の構成エディターまたは SD-WAN Center の構成エディターを使用して行うことができます。

SD-WAN センターで構成エディター内を移動するには、次の手順を実行します。

  1. Citrix SD-WAN Center UIを開き、[ 構成]>[ネットワーク構成のインポート]に移動します。アクティブ MCN から仮想 WAN 設定を インポートし、[Import] をクリックします

仮想 WAN 構成のインポート

残りの手順は、MCN を介したトラフィックリダイレクション設定と同様です。

MCN の構成エディタ内を移動するには、次の手順を実行します。

  1. [ グローバル] > [ネットワーク設定]で [ 接続の一致タイプ] を [ 対称]に設定します

接続の一致タイプ

デフォルトでは、SD-WAN ファイアウォールポリシーは方向固有です。対称マッチタイプは、指定された一致基準を使用して接続に一致し、両方向にポリシーアクションを適用します。

  1. Citrix SD-WAN UIを開き、[ 構成]>仮想WAN]>構成エディター]>** [ グローバル] セクションで **ホストされたファイアウォールテンプレートを選択します。

ホスト型ファイアウォールテンプレート

  1. [ + ] をクリックし、次のスクリーンショットで利用可能な必要な情報を入力して、 Hosted Firewall テンプレートを追加します。[ 追加] をクリックします

ホストされたファイアウォールテンプレートの詳細

ホスト型ファイアウォールテンプレート を使用すると、SD-WAN プラットフォームでホストされているファイアウォール仮想マシンへのトラフィックリダイレクトを構成できます。テンプレートを構成するために必要な入力は次のとおりです。

  • [ 名前]: ホストされているファイアウォールテンプレートの名前。
  • ベンダー: ファイアウォールのベンダーの名前 — Check Point。
  • [ 展開モード]: [ 展開モード ] フィールドは自動的に入力され、グレー表示されます。Check Point ベンダーの場合、展開モードは Bridge です
  • モデル: ホストされたファイアウォールの仮想マシンモデル。[ Check Point] としてベンダーを選択すると、モデルフィールドにエッジが自動的に入力されます
  • プライマリ管理サーバーIP/FQDN:プライマリ管理サーバーIP/FQDN。
  • セカンダリ管理サーバーIP/FQDN:セカンダリ管理サーバーIP/FQDN。
  • サービスリダイレクトインターフェイス: SD-WAN とホストファイアウォール間のトラフィックリダイレクトに使用される論理インターフェイスです。

リダイレクト入力インターフェイスは、接続イニシエータ方向から選択する必要があります。出力インターフェイスは、応答トラフィックに対して自動的に選択されます。たとえば、発信インターネットトラフィックが Interface-1 でホストされているファイアウォールにリダイレクトされると、応答トラフィックは Interface-2 でホストされているファイアウォールに自動的にリダイレクトされます。また、インターネットインバウンドトラフィックがない場合は、Interface-2 は必要ありません。

Check Point 仮想マシンに割り当てられるデータインターフェイスは 2 つだけです。

SD-WAN ファイアウォールポリシーは、ホストされたファイアウォール管理サーバーとの間で送受信されるトラフィック を許可 するように自動的に作成されます。これにより、ホストされたファイアウォール宛ての管理トラフィック(または)がリダイレクトされるのを回避できます。

ファイアウォール仮想マシンへのトラフィックのリダイレクトは、SD-WAN ファイアウォールポリシーを使用して実行できます。SD-WAN ファイアウォールポリシーを作成するには、 グローバル セクションまたはサイトレベルのファイアウォールポリシーテンプレートを使用する 2 つの方法があります。

方法-1

  1. Citrix SD-WAN GUIから、[ 構成]>仮想WAN]>[構成エディタ]の順に選択します。[ 接続]** で [ **ファイアウォール] を選択します

SD-WAN GUI によるトラフィックリダイレクション

  1. [Section] ドロップダウンリストから [Policies] を選択し、[+ Add] をクリックして新しいファイアウォールポリシーを作成します。

トラフィックリダイレクトファイアウォール

  1. [ ポリシータイプ]を [ ホスト型ファイアウォール] に変更しますアクション フィールドは、リダイレクトに自動入力されます。ドロップダウンリストから、 ホストされたファイアウォールテンプレートサービスリダイレクトインターフェイスを 選択します。[ 追加] をクリックします

サービスリダイレクトインターフェイス

方法-2

  1. [ **グローバル] タブに移動し、[ **ファイアウォールポリシーテンプレート] を選択します。[ + ポリシーテンプレート] をクリックします

ポリシーテンプレート

  1. ポリシーテンプレートに名前を入力し、[ Add] をクリックします

ポリシーテンプレート名

  1. [ アプライアンス前テンプレートポリシー]の横にある [ + 追加] をクリックします

アプライアンス前のテンプレート・ポリシー

  1. [ ポリシータイプ]を [ ホスト型ファイアウォール] に変更しますアクション フィールドは、 リダイレクトに自動入力されます。ドロップダウンリストから、 ホストされたファイアウォールテンプレートサービスリダイレクトインターフェイスを 選択します。[ 追加] をクリックします

Check Pointポリシーテンプレート

  1. [ 接続] > [ファイアウォール] に移動し、[名前] フィールドの下に (作成した) ファイアウォールポリシーを選択します。[ 適用] をクリックします

Check Point接続ファイアウォール

すべてのネットワーク構成が起動して実行モードになっている間は、[ 監視] > [ファイアウォール] > [ **統計 リスト]の下にある [ **フィルタポリシー] を選択して接続を監視できます

フィルタポリシー

SD-WAN 1100 プラットフォームでのCheck Pointファイアウォール統合