Citrix SD-WAN

SD-WAN 1100 プラットフォームでのCheck Pointファイアウォールの統合

Citrix SD-WANは、SD-WAN 1100プラットフォームでのCheck Point Quantum Edgeのホスティングをサポートしています

Check Point Quantum Edgeは 、SD-WAN 1100 プラットフォーム上の仮想マシンとして実行されます。ファイアウォール仮想マシンは、Bridge モードで統合され、2 つのデータ仮想インターフェイスが接続されています。SD-WAN でポリシーを構成することで、必要なトラフィックをファイアウォール仮想マシンにリダイレクトできます。

Citrix SD-WAN 11.3.1以降では、新しいサイトでの仮想マシンのプロビジョニングでは、Check Point 仮想マシンのバージョン80.20以上がサポートされています。

長所

次に、SD-WAN 1100 プラットフォームでの Check Point 統合の主な目標または利点を示します。

  • 支店デバイスの統合:SD-WANと高度なセキュリティの両方を実行する単一のアプライアンス

  • LAN-to-LAN、LAN-インターネット、およびインターネット-LANのトラフィックを保護するオンプレムNGFW(次世代ファイアウォール)によるブランチオフィスのセキュリティ

構成の手順

Check Pointファイアウォール仮想マシンを SD-WAN に統合するには、次の構成が必要です。

  • ファイアウォール仮想マシンのプロビジョニング

  • セキュリティ仮想マシンへのトラフィックリダイレクトを有効にする

注:

トラフィックのリダイレクトを有効にする前に、ファイアウォール仮想マシンを最初にプロビジョニングする必要があります。

プロビジョニングCheck Pointファイアウォール仮想マシン

ファイアウォール仮想マシンをプロビジョニングするには、次の 2 つの方法があります。

  • SD-WAN センターによるプロビジョニング

  • SD-WAN アプライアンス GUI によるプロビジョニング

SD-WAN センターを介したファイアウォール仮想マシンのProvisioning

前提条件

  • セカンダリストレージを SD-WAN Center に追加して、ファイアウォール VM イメージファイルを保存します。詳細については、「 システム要件とインストール」を参照してください。

  • ファイアウォール VM イメージファイル用にセカンダリパーティションからストレージを予約します。ストレージ制限を設定するには、[ 管理] > [ストレージのメンテナンス] に移動します。

    • リストから必要なストレージ量を選択します。

    • [Apply] をクリックします。

    ストレージ

注:

ストレージは、条件が満たされた場合にアクティブであるセカンダリパーティションから予約されています。

SD-WAN Center プラットフォーム経由でファイアウォール仮想マシンをProvisioning するには、次の手順を実行します。

  1. Citrix SD-WAN Center GUIで、[ 構成]>ホストされたファイアウォール]を選択します。

    ホストされているfwサイト

    ドロップダウンリストから [Region] を選択すると、 選択したリージョンのプロビジョニングされたサイトの詳細を表示できます

  2. ソフトウェアイメージをアップロードします。

    注:

    ソフトウェアイメージをアップロードするのに十分なディスク領域があることを確認してください。

    [ 設定] > [ホストされたファイアウォール] > [ソフトウェアイメージ ] に移動し、[ アップロード]をクリックします。

    [ ソフトウェアイメージ] タブ

  3. ドロップダウンリストから [ **Check Point ** ] としてベンダー名を選択します。アップロードするボックスに、ソフトウェアイメージファイルをクリックまたはドロップします。

    Check Point ソフトウェアイメージ

    進行中のアップロード処理を示すステータスバーが表示されます。イメージファイルが 100% アップロードされたと表示されるまで、[ Refresh ] をクリックしたり、その他のアクションを実行したりしないでください。

    • 更新: [ 更新 ] オプションをクリックして、最新のイメージファイルの詳細を取得します。

    • 削除: 既存のイメージファイルを削除するには 、[削除] オプションをクリックします。

    注:

    デフォルト以外のリージョンのサイト部分にファイアウォール仮想マシンをプロビジョニングするには、各コレクターノードにイメージファイルをアップロードします。

  4. プロビジョニングの場合は、[ ホストされたファイアウォールサイト ] タブに戻り、[ プロビジョニング] をクリックします。

    Check Point 仮想マシンのProvisioning

    • 仕入先: ドロップダウンリストから [ **Check Point ** ] として仕入先名を選択します。
    • ベンダー仮想マシンモデル: 仮想マシンモデルフィールドは Edge として自動的に入力されます。
    • リージョン: リストからリージョンを選択します。
    • ソフトウェアイメージ: プロビジョニングするイメージファイルを選択します。
    • [ファイアウォールホスティングのサイト]: ファイアウォールホスティングのリストのサイトを選択します。サイトが高可用性モードの場合は、プライマリサイトとセカンダリサイトの両方を選択する必要があります。
    • 管理サーバーのプライマリ IP アドレス/ドメイン名:管理プライマリ IP アドレスまたは完全修飾ドメイン名を入力します(オプション)。
    • 仮想マシン SIC キー: 仮想マシンのセキュア内部通信 (SIC) キーを入力します。SIC は、 Check Point コンポーネント間に信頼できる接続を作成します。
  5. プロビジョニングの開始」をクリックします。

  6. 最新のステータスを取得するには、[ Refresh ] をクリックします。Check Point 仮想マシンが完全に起動すると、SD-WAN Center UI に反映されます。

必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除 できます。

プロビジョニングされたCheck Point

  • サイト名: サイト名が表示されます。
  • 管理 IP: サイトの管理 IP アドレスを表示します。
  • リージョン名: リージョン名が表示されます。
  • 仕入先: 仕入先名(Check Point )が表示されます。
  • [モデル]: モデル- エッジを表示します
  • 管理状態:ベンダー仮想マシンの状態(アップ/ダウン)。
  • 操作ステータス: 最後の工程ステータスメッセージを表示します。
  • ホストサイト UI アクセス: Check Point 仮想マシンの GUI にアクセスするには、 [ここをクリック] リンクを使用します。

SD-WAN アプライアンスの GUI によるファイアウォール仮想マシンのProvisioning

SD-WAN プラットフォームで、ホストされた仮想マシンをプロビジョニングして起動します。Provisioning の手順は、次のとおりです。

  1. Citrix SD-WAN GUIから、[ 構成]> >[アプライアンスの設定]ホストされたファイアウォール]を選択します。

  2. ソフトウェアイメージをアップロードします。

    • ソフトウェアイメージ ]タブを選択します。Check Point としてベンダー名を選択します
    • ソフトウェアイメージファイルを選択します。
    • [アップロード] をクリックします。

    SD-WAN でのソフトウェアイメージのアップロード

    注:

    アップロードできる画像は最大 2 つです。Check Point 仮想マシンイメージのアップロードには、帯域幅の可用性によっては、時間がかかる場合があります。

    アップロードプロセスを追跡するステータスバーが表示されます。画像が正常にアップロードされると、ファイルの詳細が反映されます。Provisioning に使用されるイメージは削除できません。画像ファイルに 100% アップロードされたと表示されるまで、アクションを実行したり、他のページに戻ったりしないでください。

  3. プロビジョニングの場合は、[ ホストされたファイアウォール ] タブを選択し、[ プロビジョニング ] ボタンをクリックします。

    SD-WAN でのCheck Pointプロビジョニング

  4. Provisioning について次の詳細を入力します。

    • 仕入先名: Check Point として仕入先名を選択します
    • 仮想マシンモデル: 仮想マシンモデルは Edgeとして自動的に入力されます。
    • [ イメージファイル名]: イメージファイル名が自動入力されます。
    • Check Point 管理サーバーの IP アドレス/ドメイン: Check Point 管理サーバーの IP アドレス/ドメインを指定します。
    • SIC キー: SIC キーを指定します (オプション)。SIC は、 Check Point コンポーネント間に信頼できる接続を作成します。[Apply] をクリックします。

    Check Pointプロビジョニング の詳細

  5. 最新のステータスを取得するには、[ Refresh ] をクリックします。Check Point 仮想マシンが完全に起動すると、操作ログの詳細とともに SD-WAN UI に反映されます。

    Check Pointの操作ログ

    • 管理状態:仮想マシンが起動中か停止中かを示します。
    • 処理状態:仮想マシンのデータパス処理状態。
    • パケット送信:SD-WAN からセキュリティ仮想マシンに送信されたパケット。
    • 受信パケット:SD-WAN がセキュリティ仮想マシンから受信したパケット。
    • パケットドロップ:SD-WAN によってドロップされたパケット(セキュリティ仮想マシンがダウンしている場合など)。
    • デバイスアクセス:セキュリティ仮想マシンへの GUI アクセスを取得するには、リンクをクリックします。

必要に応じて 、仮想マシンを開始、シャットダウン、プロビジョニング解除できます。[ ここをクリック] オプションを使用して、Check Point 仮想マシンの GUI にアクセスするか、管理 IP と 4100 ポート (管理 IP: 4100) を使用します。

注:

Check Point GUI にアクセスするには、常にシークレットモードを使用してください。

トラフィックをエッジにリダイレクト

トラフィックリダイレクトの設定は、MCN の構成エディターまたは SD-WAN Center の構成エディターを使用して行うことができます。

SD-WAN センターで構成エディター内を移動するには、次の手順を実行します。

  1. Citrix SD-WAN Center UIを開き、[ 構成]>[ネットワーク構成のインポート]に移動します。アクティブ MCN から仮想 WAN 設定をインポートし、[ Import] をクリックします。

    仮想 WAN 構成のインポート

残りの手順は、MCN を介したトラフィックリダイレクション設定と同様です。

MCN の構成エディタ内を移動するには、次の手順を実行します。

  1. [ グローバル] > [ネットワーク設定 ] で [ 接続の一致タイプ ] を対称に設定します

    接続一致タイプ

    デフォルトでは、SD-WAN ファイアウォールポリシーは方向固有です。対称マッチタイプは、指定された一致基準を使用して接続を照合し、両方向に対してポリシーアクションを適用します。

  2. Citrix SD-WAN UIを開き、[ 構成]仮想WANの展開]構成エディター ]を選択し、[ グローバル ]セクションの[ ホストされたファイアウォールテンプレート ]を選択します。

    ホスト型ファイアウォールテンプレート

  3. [ + ] をクリックし、 ホストされたファイアウォールテンプレートを追加するには、次のスクリーンショットで利用可能な必要な情報を入力します。[追加] をクリックします。

    ホストされたファイアウォールテンプレートの詳細

ホストされたファイアウォールテンプレートを使用すると 、SD-WAN プラットフォームでホストされているファイアウォール仮想マシンへのトラフィックリダイレクトを構成できます 。テンプレートを構成するために必要な入力は次のとおりです。

  • 名前: ホストされているファイアウォールテンプレートの名前。
  • ベンダー: ファイアウォールのベンダーの名前 — Check Point 。
  • 配置モード: [ 配置モード ] フィールドは自動的に入力され、グレー表示されます。Check Point ベンダーの場合 、展開モードは Bridgeです。
  • モデル: ホストされたファイアウォールの仮想マシンモデル。Check Point としてベンダーを選択するとモデルフィールドにエッジが自動的に入力されます
  • プライマリ管理サーバー IP/FQDN: プライマリ管理サーバー IP/FQDN。
  • セカンダリ管理サーバー IP/FQDN: セカンダリ管理サーバー IP/FQDN。
  • サービスリダイレクトインターフェイス:SD-WAN とホストされるファイアウォール間のトラフィックリダイレクトに使用される論理インターフェイスです。

(注

)リダイレクト入力インターフェイスは、接続イニシエータの方向から選択する必要があります。出力インターフェイスは、応答トラフィックに対して自動的に選択されます。たとえば、発信インターネットトラフィックが Interface-1 でホストされているファイアウォールにリダイレクトされると、応答トラフィックは Interface-2 でホストされているファイアウォールに自動的にリダイレクトされます。また、インターネットインバウンドトラフィックがない場合は、Interface-2 は必要ありません。

Check Point 仮想マシンに割り当てられるデータインターフェイスは 2 つだけです。

注:

SD-WAN ファイアウォールポリシーは、 ホストされたファイアウォール管理サーバーとのトラフィックを許可するように自動的に作成されます 。これにより、ホストされたファイアウォール宛ての管理トラフィック(または)がリダイレクトされるのを回避できます。

ファイアウォール仮想マシンへのトラフィックのリダイレクトは、SD-WAN ファイアウォールポリシーを使用して実行できます。SD-WAN ファイアウォールポリシーを作成するには、[ Global ] セクションのファイアウォールポリシーテンプレートを使用するか、サイトレベルで作成する方法の 2 つがあります。

方法-1

  1. Citrix SD-WAN GUIから、[ 構成]>[仮想WAN]を展開し、[構成エディタ]に移動します。接続の下の [ ファイアウォール] を選択します。

    SD-WAN GUI によるトラフィックリダイレクション

  2. [ セクション ] ドロップダウンリストから [ ポリシー ] を選択し、[ + 追加 ] をクリックしてファイアウォールポリシーを作成します。

    トラフィックリダイレクトファイアウォール

  3. ポリシータイプを [ホストされたファイアウォール] に変更します。アクションフィールドは、リダイレクトに自動入力されます。ドロップダウンリストから、 **ホストされたファイアウォールテンプレートとサービスリダイレクトインターフェイスを選択します** 。[追加] をクリックします。

    サービスリダイレクトインターフェイス

方法-2

  1. [ グローバル ] タブに移動し、[ ファイアウォールポリシーテンプレート] を選択します。[ + ポリシーテンプレート] をクリックします。

    ポリシーテンプレート

  2. ポリシーテンプレートに名前を指定し、[ Add] をクリックします。

    ポリシーテンプレート名

  3. プレアプライアンステンプレートポリシー ]の横にある[ + 追加]をクリックします。

    アプライアンス前のテンプレート・ポリシー

  4. ポリシータイプを [ホストされたファイアウォール] に変更します。[ アクション ] フィールドは [ リダイレクト] に自動的に入力されます。ドロップダウンリストから、 **ホストされたファイアウォールテンプレートとサービスリダイレクトインターフェイスを選択します** 。[追加] をクリックします。

    Check Pointポリシーテンプレート

  5. [ 接続] > [ファイアウォール] に移動し、[名前] フィールドで (作成した) ファイアウォールポリシーを選択します。[Apply] をクリックします。

    Check Point接続ファイアウォール

すべてのネットワーク構成が起動して実行モードになっている間は、[ 監視] > [ファイアウォール] > [ 統計 リスト] の [ フィルタポリシー] を選択して接続を監視できます。

フィルタポリシー

SD-WAN 1100 プラットフォームでのCheck Pointファイアウォールの統合