Citrix SD-WAN Orchestrator 与检查点 CloudGuard Connect 集成
集成拓扑
检查点门户上的配置
- 在检查点门户网站上添加站点。
-
登录检查点门户并添加站点。
![添加网站]()
此时将出现用于创建站点的弹出窗口。提供所需的一般详细信息,然后单击
![常规]()
-
提供连接详细信息。选择设备类型为 Citrix,选择外部 IP 地址为静态 IP 地址。
注意
提供分支机构 WAN 链接公有 IP 地址为外部 IP 地址。根据拓扑结构,它是“x.x.33.83”。
如果您使用的是多个 Internet WAN 链接,请单击添加另一个外部 IP 地址以指定与这些 WAN 链接关联的公有 IP 地址。
![连接详情]()
-
在身份验证部分中,定义预共享密钥或自动生成的密钥。
![身份验证]()
-
提供内部子网。这是通过隧道的 SD-WAN 设备背后的 LAN 子网,在 Citrix SD-WAN Orchestrator 中称为受保护的网络。它必须在 Citrix SD-WAN Orchestrator 和检查点端匹配,以确保建立隧道。
![内部子网]()
-
验证配置,然后单击完成并创建站点。
![内部子网]()
将添加一个站点磁贴,状态为正在生成站点。
![生成网站]()
检查点需要大约 20 分钟才能生成站点。生成站点后,磁贴状态将更改为等待流量。
![等待交通]()
- 单击配置分支设备以查看隧道详细信息。它包括通往 Check Point 云的两个 IPsec 隧道的详细信息。
在此示例中,隧道目标以 FQDN 格式提及。解决此 FQDN 以获取可在 Citrix SD-WAN 配置中使用的隧道目标 IP 地址。
例如- C:\Users\john>ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Server: router Address: 192.168.0.1
非权威答案:名称:g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud 地址:52.66.199.169
Citrix SD-WAN Orchestrator 服务上的配置
使用隧道目标和 IPsec 参数在 Citrix SD-WAN Orchestrator 服务上构建配置。
- 创建 IPsec 加密配置文件。
-
在 Citrix SD-WAN Orchestrator 服务 UI 中,在网络级别导航到配置 > IPsec 加密配置文件,然后单击 +IPsec 加密配置文件。
![IPsec 加密配置文件]()
-
根据检查点配置配置 IKE 和 IPsec 设置。
![IPsec 设置]()
-
向检查点云添加 IPsec 隧道。
-
导航到配置 > 交付服务 > 服务和带宽,然后添加 Intranet 服务。
![Intranet 服务]()
-
选择服务类型为 IPsec 服务。
![IPsec 服务]()
-
将 IPSec 隧道配置到检查点云。单击 + 端点以添加检查点终点信息。
![终点]()
- 提供以下详细信息:
- 对等 IP(已解析的检查点 FQDN IP 地址)
- 我们在上一步中创建的 IPSec 配置文件
- 你从检查点获得的预共享密钥。
![对等 IP]()
同样,将第二个隧道端点添加到检查点云以获得冗余。
![冗余端点]()
-
单击 + 端点映射以添加终点映射。
![终点映射]()
选择端点为 CheckPointTun1(在上一步中创建的端点),然后单击 + 绑定以绑定站点。同样,添加 CheckPointTun2 作为第二个终点。
![终点绑定]()
将隧道绑定到分支站点(例如-BranchAzure)并提供受保护的网络详细信息。
注意
受保护的网络必须是在 Check Point 门户中配置的分支站点。公共 IP 必须匹配。
在这种情况下,受保护网络的源网络是分支机构的 LAN 网络和目标网络。源网络必须与检查点门户中配置的网络匹配。单击“完成”。
![将隧道绑定到站点]()
单击保存以保存 IPsec 隧道配置。check-point-generating-site.png
![保存 IPsec 隧道]()
-
添加 CheckPointTunnel 交付服务后,为要应用于端点映射到的站点的服务分配带宽共享。
注意
此处分配的带宽百分比是此检查点交付服务争用时的保证带宽份额。
![分配带宽]()
-
通过暂存和激活在 Citrix SD-WAN Orchestrator 服务上部署配置。
- 从分支机构站点检查通往 Check Point Cloud 的隧道状态。
监视
通过 IPSec 隧道通过检查点云从分支站点主机访问 Internet。例如,尝试访问 salesforce.com。
此应用程序在与目标服务的防火墙连接中报告为 CheckPointtunnel_CheckPointTUn。
此流量在 IPsec 隧道统计信息(已发送和接收的数据包)中更新。
日志
可以在 SDWAN_security.log 文件中找到与创建 IPsec 隧道相关的日志。
检查点门户上的站点状态将更新为“活动”。
尝试访问可以通过检查点云访问的网站(例如-Facebook.com)。现在,您可以通过添加阻止 Facebook 应用程序的策略来修改检查点访问控制策略。
安装该策略后,Facebook.com 将被阻止。
它显示互联网流量通过 IPsec 隧道从 SD-WAN 重定向到检查点云。该操作是根据 Check Point 云上的策略定义采取的。