Citrix SD-WAN Orchestrator 与检查点 CloudGuard Connect 集成

集成拓扑

检查点集成拓扑

检查点门户上的配置

  1. 在检查点门户网站上添加站点。
  2. 登录检查点门户并添加站点。

    添加网站

    此时将出现用于创建站点的弹出窗口。提供所需的一般详细信息,然后单击

    常规

  3. 提供连接详细信息。选择设备类型Citrix,选择外部 IP 地址静态 IP 地址

    注意

    提供分支机构 WAN 链接公有 IP 地址为外部 IP 地址。根据拓扑结构,它是“x.x.33.83”。

    如果您使用的是多个 Internet WAN 链接,请单击添加另一个外部 IP 地址以指定与这些 WAN 链接关联的公有 IP 地址。

    连接详情

  4. 身份验证部分中,定义预共享密钥或自动生成的密钥。

    身份验证

  5. 提供内部子网。这是通过隧道的 SD-WAN 设备背后的 LAN 子网,在 Citrix SD-WAN Orchestrator 中称为受保护的网络。它必须在 Citrix SD-WAN Orchestrator 和检查点端匹配,以确保建立隧道。

    内部子网

  6. 验证配置,然后单击完成并创建站点

    内部子网

    将添加一个站点磁贴,状态为正在生成站点

    生成网站

    检查点需要大约 20 分钟才能生成站点。生成站点后,磁贴状态将更改为等待流量

    等待交通

  7. 单击配置分支设备以查看隧道详细信息。它包括通往 Check Point 云的两个 IPsec 隧道的详细信息。

隧道详情

在此示例中,隧道目标以 FQDN 格式提及。解决此 FQDN 以获取可在 Citrix SD-WAN 配置中使用的隧道目标 IP 地址。

例如- C:\Users\john>ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Server: router Address: 192.168.0.1

非权威答案:名称:g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud 地址:52.66.199.169

Citrix SD-WAN Orchestrator 服务上的配置

使用隧道目标和 IPsec 参数在 Citrix SD-WAN Orchestrator 服务上构建配置。

  1. 创建 IPsec 加密配置文件。
  2. 在 Citrix SD-WAN Orchestrator 服务 UI 中,在网络级别导航到配置 > IPsec 加密配置文件,然后单击 +IPsec 加密配置文件

    IPsec 加密配置文件

  3. 根据检查点配置配置 IKE 和 IPsec 设置。

    IPsec 设置

  4. 向检查点云添加 IPsec 隧道。

  5. 导航到配置 > 交付服务 > 服务和带宽,然后添加 Intranet 服务。

    Intranet 服务

  6. 选择服务类型IPsec 服务

    IPsec 服务

  7. 将 IPSec 隧道配置到检查点云。单击 + 端点以添加检查点终点信息。

    终点

  8. 提供以下详细信息:
    • 对等 IP(已解析的检查点 FQDN IP 地址)
    • 我们在上一步中创建的 IPSec 配置文件
    • 你从检查点获得的预共享密钥。

    对等 IP

    同样,将第二个隧道端点添加到检查点云以获得冗余。

    冗余端点

  9. 单击 + 端点映射以添加终点映射。

    终点映射

    选择端点为 CheckPointTun1(在上一步中创建的端点),然后单击 + 绑定以绑定站点。同样,添加 CheckPointTun2 作为第二个终点。

    终点绑定

    将隧道绑定到分支站点(例如-BranchAzure)并提供受保护的网络详细信息。

    注意

    受保护的网络必须是在 Check Point 门户中配置的分支站点。公共 IP 必须匹配。

    在这种情况下,受保护网络的源网络是分支机构的 LAN 网络和目标网络。源网络必须与检查点门户中配置的网络匹配。单击“完成”

    将隧道绑定到站点

    单击保存以保存 IPsec 隧道配置。check-point-generating-site.png

    保存 IPsec 隧道

  10. 添加 CheckPointTunnel 交付服务后,为要应用于端点映射到的站点的服务分配带宽共享。

    注意

    此处分配的带宽百分比是此检查点交付服务争用时的保证带宽份额。

    分配带宽

  11. 通过暂存和激活在 Citrix SD-WAN Orchestrator 服务上部署配置。

  12. 从分支机构站点检查通往 Check Point Cloud 的隧道状态。

检查点隧道状态

监视

通过 IPSec 隧道通过检查点云从分支站点主机访问 Internet。例如,尝试访问 salesforce.com。

此应用程序在与目标服务的防火墙连接中报告为 CheckPointtunnel_CheckPointTUn

防火墙连接

此流量在 IPsec 隧道统计信息(已发送和接收的数据包)中更新。

IPsec 隧道

日志

可以在 SDWAN_security.log 文件中找到与创建 IPsec 隧道相关的日志。

安全日志

检查点门户上的站点状态将更新为“活动”

隧道活动

尝试访问可以通过检查点云访问的网站(例如-Facebook.com)。现在,您可以通过添加阻止 Facebook 应用程序的策略来修改检查点访问控制策略。

安装策略

安装该策略后,Facebook.com 将被阻止。

隧道详情

它显示互联网流量通过 IPsec 隧道从 SD-WAN 重定向到检查点云。该操作是根据 Check Point 云上的策略定义采取的。

Citrix SD-WAN Orchestrator 与检查点 CloudGuard Connect 集成