Citrix SD-WAN

Palo Alto Networks SD-WAN 1100プラットフォーム上のファイアウォール統合

Citrix SD-WANは、Palo Alto Networksの次世代仮想マシンのホスティングをサポートしています (VM) SD-WAN 1100プラットフォーム上のシリーズファイアウォール.サポートされている仮想マシンモデルは次のとおりです。

  • VM 50
  • VM 100

Palo Alto Networks仮想マシンシリーズのファイアウォールは、SD-WAN 1100プラットフォーム上で仮想マシンとして動作します。ファイアウォール仮想マシンはVirtual Wire モードで統合され、2 つのデータ仮想インターフェイスが接続されています。SD-WAN でポリシーを構成することで、必要なトラフィックをファイアウォール仮想マシンにリダイレクトできます。

長所

以下は、SD-WAN 1100プラットフォームでのPalo Alto Networks統合の主な目標または利点です。

  • 支店デバイスの統合:SD-WANと高度なセキュリティの両方を実行する単一のアプライアンス

  • LAN-to-LAN、LAN-インターネット、およびインターネット-LANのトラフィックを保護するオンプレムNGFW(次世代ファイアウォール)によるブランチオフィスのセキュリティ

構成の手順

Palo Alto Networks 仮想マシンを SD-WAN に統合するには、以下の構成が必要です。

  • ファイアウォール仮想マシンのプロビジョニング

  • セキュリティ仮想マシンへのトラフィックリダイレクトを有効にする

トラフィックリダイレクトを有効にする前に、ファイアウォール仮想マシンをプロビジョニングする必要があります。

Palo Alto Networks仮想マシンのプロビジョニング

ファイアウォール仮想マシンをプロビジョニングするには、次の 2 つの方法があります。

  • SD-WAN センターによるプロビジョニング

  • SD-WAN アプライアンス GUI によるプロビジョニング

SD-WAN センターを介したファイアウォール仮想マシンのProvisioning

前提条件

  • セカンダリストレージを SD-WAN Center に追加して、ファイアウォール VM イメージファイルを保存します。詳細については、「 システム要件とインストール」を参照してください

  • ファイアウォール VM イメージファイル用にセカンダリパーティションからストレージを予約します。ストレージ制限を構成するには、[ 管理] > [ストレージのメンテナンス] に移動します

    • リストから必要なストレージ量を選択します。

    • [ 適用] をクリックします

    ストレージ

ストレージは、条件が満たされた場合にアクティブであるセカンダリパーティションから予約されます。

SD-WAN Center プラットフォーム経由でファイアウォール仮想マシンをProvisioning するには、次の手順を実行します。

  1. Citrix SD-WAN Center GUIから、[ 構成]>ホストされているファイアウォール]を選択します

ホストされたfwサイト

ドロップダウンリストから [ Reg ion] を選択すると、その選択したリージョンのプロビジョニング済みサイトの詳細を表示できます。

  1. ソフトウェアイメージをアップロードします。

ソフトウェアイメージをアップロードするのに十分なディスク領域があることを確認します。

[ 構成] > [ホストされたファイアウォール] > [ソフトウェアイメージ ] に移動し、ドロップダウンリストから [Palo Alto Networks] としてベンダー名を選択します。アップロードするボックスに、ソフトウェアイメージファイルをクリックまたはドロップします。

sw イメージのアップロード

進行中のアップロード処理を示すステータスバーが表示されます。イメージファイルに 100% アップロードされたと表示されるまで、[ 更新] をクリック したり、その他の操作を実行したりしないでください。

  • [ 更新]: [ 更新] オプションをクリックして、最新のイメージファイルの詳細を取得します。

  • 削除: 既存のイメージ ファイルを削除するには、[削除] オプションをクリックします。

    デフォルト以外のリージョンのサイトでファイアウォール仮想マシンをプロビジョニングするには、各コレクタノードにイメージファイルをアップロードします。

    Palo Alto VMイメージをSDWANセンターから削除すると、SDWANセンターストレージからイメージが削除され、アプライアンスからは削除されません。

  1. Provisioning の場合は、[ ホスト型ファイアウォールサイト ] タブに戻り、[ プロビジョニング] をクリックします

プロビジョニングの開始

  • ベンダー: ドロップダウンリストから「 Palo Alto Networks 」として ベンダー 名を選択します。
  • ベンダー仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
  • ソフトウェアイメージ:プロビジョニングするイメージファイルを選択します。
  • リージョン: リストからリージョンを選択します。
  • ファイアウォールホスティング用サイト:ファイアウォールホスティング用のリストに使用するサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。

  • 管理サーバーのプライマリIPアドレス/ドメイン名:管理プライマリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。
  • 管理サーバーのセカンダリIPアドレス/ドメイン名:管理サーバーのセカンダリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。

  • 仮想マシン認証キー:管理サーバーで使用する仮想認証キーを入力します。

  • 認証コード:ライセンスに使用する仮想認証コードを入力します。
  1. [プロビジョニングの 開始] をクリックします
  2. 最新のステータスを取得** するには、[ **Refresh] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、SD-WAN Center UI に反映されます。

必要に応じて、仮想マシンを 起動、シャットダウン、 および プロビジョニング解除 できます。

プロビジョニングするサイトの選択

  • サイト名: サイト名を表示します。
  • 管理 IP:サイトの管理 IP アドレスを表示します。
  • リージョン名: リージョン名が表示されます。
  • ベンダー: ベンダー名 (Palo Alto Networks) を表示します。
  • [ モデル]: モデル番号 (VM50/VM100) を表示します。
  • 管理状態:ベンダー仮想マシンの状態(アップ/ダウン)。
  • 操作ステータス: 操作ステータス・メッセージを表示します。
  • ホストされたサイト: Palo Alto Networksの仮想マシン GUI にアクセスするには、ここ をクリック リンクを使用します。

デフォルト以外のリージョンサイトをプロビジョニングするには、SD-WAN Center Collector にソフトウェアイメージをアップロードする必要があります。Palo Alto Networksは、SD-WAN Centerヘッドエンド GUI または SD-WAN Centerコレクタから両方ともプロビジョニングできます。

SD-WAN Center Collector の IP アドレスを取得するには、[ 構成] > [ネットワーク探索] > [ **探索の設定 ] タブ** を選択します。

コレクタ IP

SD-WANコレクタからPalo Alto Networksをプロビジョニングするには:

  1. SD-WAN Collector GUI から、[ 構成] >[ ホストされているファイアウォール] を選択します

コレクタがホストするfw

  1. [ ソフトウェアイメージ ] タブに移動して、ソフトウェアイメージをアップロードします。
  2. [ ホストされているファイアウォールサイト ] タブの [ プロビジョニング ] をクリックします。
  3. 次の詳細を入力し、[プロビジョニングの 開始] をクリックします

コレクタのプロビジョニング

  • ベンダー: ドロップダウンリストから「 Palo Alto Networks 」として ベンダー 名を選択します。
  • ベンダー仮想マシンモデル:リストから仮想マシンのモデル番号を選択します。
  • ソフトウェアイメージ:プロビジョニングするイメージファイルを選択します。
  • リージョン: リストからリージョンを選択します。
  • ファイアウォールホスティング用サイト:ファイアウォールホスティング用のリストに使用するサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。

  • 管理サーバーのプライマリIPアドレス/ドメイン名:管理プライマリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。
  • 管理サーバーのセカンダリIPアドレス/ドメイン名:管理サーバーのセカンダリIPアドレスまたは完全修飾ドメイン名を入力します(オプション)。

  • 仮想マシン認証キー:管理サーバーで使用する仮想認証キーを入力します。

  • 認証コード:ライセンスに使用する仮想認証コードを入力します。
  1. [プロビジョニングの 開始] をクリックします

SD-WAN アプライアンスの GUI によるファイアウォール仮想マシンのProvisioning

SD-WAN プラットフォームで、ホストされた仮想マシンをプロビジョニングして起動します。Provisioning の手順は、次のとおりです。

  1. Citrix SD-WAN GUIから、[ 構成]>アプライアンスの設定]の順に選択し、ホストされたファイアウォール]を選択します

  2. ソフトウェアイメージをアップロードします。

  • ソフトウェアイメージ ]タブを選択します。[ Palo Alto Networks] としてベンダー名を選択します
  • ソフトウェアイメージファイルを選択します。
  • アップロード」をクリックします

    SWイメージのアップロード

    注: 最大 2 つのソフトウェアイメージをアップロードできます。Palo Alto Networks 仮想マシンイメージのアップロードには、帯域幅の可用性によっては、時間がかかる場合があります。

    アップロードプロセスを追跡するステータスバーが表示されます。画像が正常にアップロードされると、ファイルの詳細が反映されます。Provisioning に使用されるイメージは削除できません。画像ファイルに 100% アップロードされたと表示されるまで、アクションを実行したり、他のページに戻ったりしないでください。

  1. Provisioning の場合は、[ ホストされたファイアウォール ] タブを選択し、[ プロビジョニング] ボタンをクリックします。

ホストされたファイアウォールのプロビジョニング

  1. Provisioning について次の詳細を入力します。
  • ベンダー名:「 Palo Alto Networks」としてベンダーを選択します
  • [ 仮想マシンモデル]: 一覧から仮想マシンのモデル番号を選択します。
  • イメージファイル名: イメージファイルを選択します。
  • パノラマプライマリ IP アドレス/ドメイン名:パノラマプライマリ IP アドレスまたは完全修飾ドメイン名を指定します(オプション)。
  • パノラマセカンダリ IP アドレス/ドメイン名:パノラマセカンダリ IP アドレスまたは完全修飾ドメイン名を指定します(オプション)。
  • 仮想マシン認証キー: 仮想マシン認証キーを指定します (オプション)。

    Palo Alto Networks仮想マシンをパノラマに自動登録するには、仮想マシン認証キーが必要です。

  • 認証コード:認証コード(仮想マシンライセンスコード)を入力します(オプション)。
  • [ 適用] をクリックします

    ホストされているファイアウォール

  1. 最新のステータスを取得** するには、[ **Refresh] をクリックします。Palo Alto Networks 仮想マシンが完全に起動すると、操作ログの詳細とともに SD-WAN UI に反映されます。

オプトログ詳細

  • 管理状態: 仮想マシンが稼働中かダウン中かを示します。
  • 処理状態: 仮想マシンのデータパス処理状態。
  • パケット送信済み: SD-WAN からセキュリティ仮想マシンに送信されたパケット。
  • パケット受信: セキュリティ仮想マシンから SD-WAN によって受信されたパケット。
  • Packet Dropped: SD-WAN によってドロップされたパケット (たとえば、セキュリティ仮想マシンがダウンしている場合)。
  • デバイスアクセス: セキュリティ仮想マシンへの GUI アクセスを取得するには、リンクをクリックします。

必要に応じて、仮想マシンを 起動、シャットダウン、 および プロビジョニング解除 できます。「ここをクリック」 オプションを使用して、Palo Alto Networksの仮想マシンGUIにアクセスするか、管理IPと4100ポート(管理IP:4100)を使用します。

注:Palo Alto Networksの GUI にアクセスするには、 常にシークレットモードを使用します。

トラフィックリダイレクト

トラフィックリダイレクトの設定は、MCN の構成エディターまたは SD-WAN Center の構成エディターを使用して行うことができます。

SD-WAN センターで構成エディター内を移動するには、次の手順を実行します。

  1. Citrix SD-WAN Center UIを開き、[ 構成]>[ネットワーク構成のインポート]に移動します。アクティブ MCN から仮想 WAN 設定を インポートし、[Import] をクリックします

仮想 WAN 構成のインポート

残りの手順は、MCN を介したトラフィックリダイレクション設定と同様です。

MCN の構成エディタ内を移動するには、次の手順を実行します。

  1. [ グローバル] > [ネットワーク設定]で [ 接続の一致タイプ] を [ 対称]に設定します

接続の一致タイプ

デフォルトでは、SD-WAN ファイアウォールポリシーは方向固有です。対称マッチタイプは、指定された一致基準を使用して接続に一致し、両方向にポリシーアクションを適用します。

  1. Citrix SD-WAN UIを開き、[ 構成]>仮想WAN]の順に 選択し、[ 構成エディタ] >グローバル セクションの[ ホストされたファイアウォールテンプレート ]を選択します。

Hosted fw temp

  1. [ +] をクリックし、次のスクリーンショットで必要な情報を入力し、[ Hosted Firewall] テンプレートを追加し、[ Add] をクリックします

追加

ホスト型ファイアウォールテンプレート を使用すると、SD-WAN アプライアンスでホストされているファイアウォール仮想マシンへのトラフィックリダイレクトを構成できます。テンプレートを構成するために必要な入力は次のとおりです。

  • [ 名前]: ホストされているファイアウォールテンプレートの名前。
  • Vendor:ファイアウォールのベンダーの名前。
  • [ 展開モード]: [ 展開モード ] フィールドは自動的に入力され、グレー表示されます。Palo Alto Networks ベンダーの場合、展開モードは Virtual Wireです。
  • モデル: ホストされたファイアウォールの仮想マシンモデル。Palo Alto Networks ベンダーの場合、仮想マシンのモデル番号を VM 50/VM 100 として選択できます。
  • プライマリ管理サーバーIP/FQDN:パノラマのプライマリ管理サーバーIP/FQDN。
  • セカンダリ管理サーバーIP/FQDN:セカンダリ管理サーバーIP/パノラマのFQDN。
  • サービスリダイレクトインターフェイス: SD-WAN とホストファイアウォール間のトラフィックリダイレクトに使用される論理インターフェイスです。

Interface-1、Interface-2 は、ホストされているファイアウォールの最初の 2 つのインターフェイスを指します。トラフィックリダイレクションに VLAN を使用する場合は、ホストされたファイアウォールで同じ VLAN を設定する必要があります。トラフィックリダイレクション用に設定された VLAN は、SD-WAN およびホステッドファイアウォールの内部にあります。

リダイレクト入力インターフェイスは、接続イニシエータ方向から選択する必要があります。リダイレクトインターフェイスは、応答トラフィックに対して自動的に選択されます。たとえば、発信インターネットトラフィックが Interface-1 でホストされているファイアウォールにリダイレクトされると、応答トラフィックは Interface-2 でホストされているファイアウォールに自動的にリダイレクトされます。インターネットインバウンドトラフィックがない場合、上記の例では Interface-2 は必要ありません。

Palo Alto Networks ファイアウォールをホストするには、物理インターフェイスが 2 つだけ割り当てられます。複数のゾーンからのトラフィックをホストされたファイアウォールにリダイレクトする必要がある場合は、内部 VLAN を使用して複数のサブインターフェイスを作成し、ホストされたファイアウォールの異なるファイアウォールゾーンに関連付けることができます。

SD-WAN ファイアウォールポリシーまたはサイトレベルのポリシーを使用して、すべてのトラフィックを Palo Alto Networks 仮想マシンにリダイレクトできます。

SD-WAN ファイアウォールポリシーは、ホストされたファイアウォール管理サーバーとの間で送受信されるトラフィック を許可 するように自動的に作成されます。これにより、ホストされたファイアウォール宛ての管理トラフィック(または)がリダイレクトされるのを回避できます。

ファイアウォール仮想マシンへのトラフィックのリダイレクトは、SD-WAN ファイアウォールポリシーを使用して実行できます。SD-WAN ファイアウォールポリシーを作成するには、 グローバル セクションまたはサイトレベルのファイアウォールポリシーテンプレートを使用する 2 つの方法があります。

方法-1

  1. Citrix SD-WAN GUIから、[ 構成]>仮想WAN]>[構成エディタ]の順に選択します[ **グローバル] タブに移動し、[ **ファイアウォールポリシーテンプレート] を選択します。[ + ポリシーテンプレート] をクリックします。ポリシーテンプレートに名前を入力し、[ Add] をクリックします

Palo Altoポリシーテンプレート名

  1. [ アプライアンス前テンプレートポリシー]の横にある [ + 追加] をクリックします

アプライアンス前のテンプレート・ポリシー

  1. [ ポリシータイプ]を [ ホスト型ファイアウォール] に変更しますアクション フィールドは、 リダイレクトに自動入力されます。ドロップダウンリストから、 ホストされたファイアウォールテンプレートサービスリダイレクトインターフェイスを 選択します。必要に応じて、他の一致基準を入力します。

Palo Altoポリシーテンプレート

  1. [ 接続] > [ファイアウォール] に移動し、[名前] フィールドの下に (作成した) ファイアウォールポリシーを選択します。[ 適用] をクリックします

Check Point接続ファイアウォール

方法-2

  1. すべてのトラフィックをリダイレクトするには、[ 構成エディタ] > [仮想 WAN] で[ 接続] タブに移動し、[ ファイアウォール] を選択します

SD-WAN GUI によるトラフィックリダイレクション

  1. [Section] ドロップダウンリストから [Policies] を選択し、[+ Add] をクリックして新しいファイアウォールポリシーを作成します。

トラフィックリダイレクトファイアウォール

  1. [ ポリシータイプ ]を [ ホスト型ファイアウォール ] に変更します。アクション フィールドは、リダイレクトに自動入力されます。ドロップダウンリストから、 ホストされたファイアウォールテンプレートサービスリダイレクトインターフェイスを 選択します。[ 追加] をクリックします

サービスリダイレクトインターフェイス

すべてのネットワーク構成が起動して実行モードになっている間は、[ 監視 ] > [ ファイアウォール ] > [ 統計リスト ]の下にある [ フィルタポリシー ] を選択して接続を監視できます。

フィルタポリシー

Palo Alto Networks UI を使用して、SD-WAN サービスチェーンテンプレートで行った設定と Palo Alto Networks設定の間のマッピングを確認できます。

Palo Alto nw

メモ

Cloud Direct または SD-WAN WANOP (PE) が 1100 アプライアンスですでにプロビジョニングされている場合、Palo Alto Networks 仮想マシン はプロビジョニングできません。

ユースケース — SD-WAN 1100 上のホスト型ファイアウォール

Citrix SD-WAN 1100アプライアンスを使用して実装されたユースケースシナリオを次に示します。

ユースケース1:すべてのトラフィックをホストファイアウォールにリダイレクトする

このユースケースは、すべてのトラフィックがホストされた次世代ファイアウォールによって処理される小規模なブランチユースケースに適用されます。リダイレクトされたトラフィックのスループットの量は 100 Mbps に制限されるため、帯域幅要件を考慮する必要があります。

これを実現するには、次のスクリーンショットに示すように、トラフィックとリダイレクトとしてのアクションを照合するファイアウォールルールを作成します。

使用例 1

ユースケース 2: インターネットトラフィックのみをホスト型ファイアウォールにリダイレクトする

このユースケースは、インターネットにバインドされたトラフィックが、サポートされているリダイレクトされたトラフィックのスループットの量を超えないすべてのブランチサイトに適用されます。この場合、データセンターへのブランチトラフィックは、データセンターにデプロイされたセキュリティアプライアンス/サービスによって処理されます。

これを実現するには、次のスクリーンショットに示すように、任意のトラフィックと リダイレクト として アクションを照合するファイアウォールルールを作成します。

使用例 2

ユースケース 3: 信頼できるインターネット SaaS アプリケーション用のインターネットブレークアウトを直接送信し、残りのすべてのトラフィックをホストされた VM にリダイレクトします

このユースケースでは、Office 365 などの信頼できる SaaS アプリケーションに対して直接インターネットブレイクアウトを実行するためのファイアウォール規則が追加されます。次のスクリーンショットに示すように、まずOffice 365ブレークアウトポリシーを有効にします。

ユースケース 3

これにより、次のスクリーンショットに示すように、Office 365 トラフィックを許可するプレアプライアンステンプレートポリシーが自動的に追加されます。次に、以下に述べるように、残りのすべてのトラフィックをホストされたファイアウォールにリダイレクトするファイアウォールルールを追加します。

ユースケース 4

ホストされるファイアウォールの構成は、Citrix SD-WAN構成とは無関係です。したがって、ホストされたファイアウォールは、企業のセキュリティ要件に従って構成できます。