安全性
您可以配置适用于网络中所有设备的安全设置,例如网络加密、虚拟路径 IPsec、防火墙和证书。
防火墙区域
您可以在网络中配置区域并定义策略来控制流量进出区域的方式。默认情况下,以下区域可用:
- de@@fault_LAN_Zone:适用于进出具有可配置区域的对象的流量,但该区域尚未设置。
- Internet_Zone:适用于使用可信接口进出互联网服务的流量。
- Untrusted_Internet_Zone:适用于使用不可信接口进出互联网服务的流量。
您还可以创建自己的区域并将其分配给以下类型的对象:
- 虚拟网络接口
- 内联网服务
- GRE 通道
- 局域网 IPsec 通道
单击 “ 验证配置 ” 以验证任何审计错误。
防火墙默认
您可以配置可应用于 SD-WAN 网络中所有设备的全局默认防火墙操作和全局防火墙设置。还可以在覆盖全局设置的站点级别定义设置。
-
防火墙规则不匹配时的操作:从列表中选择与防火墙策略不匹配的数据包的操作(允许或丢弃)。
-
无法检查安全配置文件时的操作:为符合防火墙规则并使用安全配置文件但暂时无法被 Edge Security 子系统检查的数据包选择操作(忽略或丢弃)。如果选择 “ 忽略”,则相关防火墙规则将被视为不匹配,并按顺序评估下一个防火墙规则。如果选择 Drop,则与相关防火墙规则匹配的数据包将被丢弃。
-
默认防火墙操作:从列表中选择与策略不匹配的数据包的操作(允许/删除)。
-
当安全配置文件检查流量为 IPv6 时的操作:为与检查防火墙策略匹配的流量选择一个选项(忽略或丢弃)。
-
如果选择 “忽略” 选项,则允许绕过通过 Citrix SD-WAN 网络的流量并将其发送到相应的服务。
-
如果选择 “丢弃” 选项,则与 “检查防火墙” 策略匹配的 IPv6 数据包将被丢弃。
注意
如果配置了 INSPECT 防火墙策略并且匹配条件明确包括 IPv6,则会引发审计错误,如以下屏幕截图所示:
例如,您可以在创建防火墙策略时通过检查(对于 IP 协议)操作将源/目标 IP 明确选择为 IPv6 并将其保存。当您单击 “ 验证配置” 时,会出现审计错误。
-
-
默认连接状态跟踪:对与筛选策略或 NAT 规则不匹配的 TCP、UDP 和 ICMP 流启用定向连接状态跟踪。
注意
启用 “默认连接状态跟踪 ” 后,即使没有定义防火墙策略,非对称流量也会被阻止。如果站点有可能出现不对称流量,则建议在站点或策略级别而不是在全球范围内启用它。
-
拒绝超时:在关闭被拒绝的连接之前等待新数据包的时间(以秒为单位)。
-
TCP 初始超时:在关闭未完成的 TCP 会话之前等待新数据包的时间(以秒为单位)。
-
TCP 空闲超时:在关闭活动 TCP 会话之前等待新数据包的时间(以秒为单位)。
-
TCP 关闭超时:在终止请求后关闭 TCP 会话之前等待新数据包的时间(以秒为单位)。
-
TCP 等待时间超时:在关闭已终止的 TCP 会话之前等待新数据包的时间(以秒为单位)。
-
TCP 关闭超时:在关闭中止的 TCP 会话之前等待新数据包的时间(以秒为单位)。
-
UDP 初始超时:在关闭未看到双向流量的 UDP 会话之前等待新数据包的时间(以秒为单位)。
-
UDP 空闲超时:在关闭活动 UDP 会话之前等待新数据包的时间(以秒为单位)。
-
ICMP 初始超时:在关闭未看到双向流量的 ICMP 会话之前等待新数据包的时间(以秒为单位)
-
ICMP 空闲超时:在关闭活动 ICMP 会话之前等待新数据包的时间(以秒为单位)。
-
通用初始超时:在关闭没有双向流量的通用会话之前等待新数据包的时间(以秒为单位)。
-
通用空闲超时:在关闭活动通用会话之前等待新数据包的时间(以秒为单位)。
单击 “ 验证配置 ” 以验证任何审计错误。
防火墙策略
防火墙策略通过确保根据匹配标准将网络流量限制在特定的防火墙规则中并通过应用特定操作来提供安全性。 防火墙策略 包含三个部分。
- 全局默认 -全局默认策略是几个防火墙规则的聚合。您在 “ 全局默认 ” 部分下创建的策略将应用于网络中的所有站点。
- 特定站点 -您可以将定义的防火墙规则应用于某些特定站点。
- 全局覆盖 -您可以使用全局覆盖策略来 覆盖全局和特定站点的策略。
您可以定义防火墙规则并根据优先级进行放置。您可以选择从列表顶部、列表底部或特定行开始的优先顺序。
建议在顶部为应用程序或子应用程序设置更具体的规则,然后对代表更广泛流量的应用程序或子应用程序使用不太具体的规则。
要创建防火墙规则,请单击 “ 创建新规则”。
- 如果要应用所有防火墙规则,请提供 策略名称并选中 Activ e Policy 复选框。
-
匹配条件定义规则的流量,例如基于域名的应用程序、自定义的应用程序、应用程序组、应用程序系列或基于IP协议的流量。
-
筛选条件:
-
源区域:源防火墙区域。
-
目标区域:目标防火墙区域。
-
源服务类型:源 SD-WAN 服务类型-本地、虚拟路径、Intranet、IP 主机或互联网是服务类型的示例。
-
源服务名称:与服务类型相关的服务的名称。例如,如果为源服务类型选择了虚拟路径,则该路径将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。
-
源 IP:规则用于匹配的 IP 地址和子网掩码。
-
源端口:特定应用程序使用的源端口。
-
目标服务类型:目标 SD-WAN 服务类型-本地、虚拟路径、Intranet、IP 主机或互联网是服务类型的示例。
-
目标服务名:与服务类型关联的服务的名称。这并不总是必需的,取决于所选服务类型。
-
目标 IP:筛选器用于匹配的 IP 地址和子网掩码。
-
目标端口: 特定应用程序使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。
-
IP 协议:如果选择此匹配类型,请选择与该规则匹配的 IP 协议。选项包括 “任意”、“TCP”、“UDP ICMP” 等。
-
DSCP:允许用户在 DSCP 标签设置上进行匹配。
-
允许分段:允许匹配此规则的 IP 分段。
-
还反向:自动添加此筛选策略的副本,同时颠倒来源和目标设置。
-
匹配已建立:匹配允许传出数据包的连接的传入数据包。
-
-
可以对匹配的流程执行以下操作:
-
允许: 允许流量通过防火墙。
-
丢弃:通过丢弃数据包来拒绝流经防火墙。
-
拒绝:拒绝通过防火墙的流量并发送协议特定的响应。TCP 发送重置,ICMP 会发送错误消息。
-
计数并继续:计算此流的数据包数和字节数,然后继续沿策略列表向下移动。
-
除了定义要执行的操作外,您还可以选择要捕获的日志。
网络安全
选择要在网络上使用的加密机制。您可以配置保护整个 SD-WAN 网络的全局安全设置。
网络加密模式定义用于 SD-WAN 网络中所有加密路径的算法。它不适用于非加密路径。您可以将加密设置为 AES-128 或 AES-256。
FIPS 合规性
FIPS 模式强制用户为其 IPSec 隧道配置 FIPS 兼容设置,为虚拟路径配置 IPSec 设置。
启用 FIPS 模式可提供以下功能:
- 显示符合 FIPS 的 IKE 模式。
- 显示符合 FIPS 标准的 IKE DH 组,用户可以从中选择在 FIPS 兼容模式(2,5,14-21)下配置设备所需的参数。
- 在虚拟路径的 IPsec 设置中显示符合 FIPS 标准的 IPsec 通道类型
- IKE 哈希和(IKEv2)完整性模式,IPsec 身份验证模式。
- 对基于 FIPS 的生命周期设置执行审计错误。
要在 Citrix SD-WAN Orchestrator 服务上启用 FIPS 合规性:
-
转到 配置 > 安全 > 网络安全。
-
在 “ 网络安全设置” 部分中,单击 “ 启用 FIPS 模式 ” 复选框。
启用 FIPS 模式会在配置期间强制执行检查,以确保所有与 IPsec 相关的配置参数都符合 FIPS 标准。系统会通过审计错误和警告提示您 配置 IPsec。
如果启用 IPSec 配置时不符合 FIPS 标准,则可能会触发审计错误。以下是在 Citrix SD-WAN Orchestrator 服务用户界面上单击 “ 验证配置 ” 时显示的审计错误类型。
- 启用 FIPS 模式并选择不符合 FIPS 的选项时。
- 启用 FIPS 模式且输入的生命周期值不正确时。
- 启用 FIPS 模式并启用虚拟路径的 IPsec 设置时,默认设置也处于启用状态,并且选择了错误的隧道模式(ESP 与 ESP_AUTH/AH)。
- 启用 FIPS 模式时,还会启用虚拟路径默认设置的 IPsec 设置,并且输入的生命周期值不正确。
启用加密密钥轮替:启用后,加密密钥每隔 10 至 15 分钟轮换一次。
启用扩展数据包加密标头:启用后,将在加密流量之前添加一个 16 字节的加密计数器,用作初始化向量,并随机进行数据包加密。
启用扩展数据包身份验证尾部:启用后,身份验证代码会附加到加密流量的内容,以验证邮件是否未经更改地传递。
扩展数据包身份验证拖车类型:这是用于验证数据包内容的拖车类型。从下拉菜单中选择以下选项之一:32 位校验和或 SHA-256。
SSL 检查
安全套接字层 (SSL) 检查是拦截、解密和扫描 HTTPS 和安全 SMTP 流量中是否存在恶意内容的过程。SSL 检查为流入和流出您的组织的流量提供安全保障。您可以生成和上传贵组织的根 CA 证书,并对流量进行中间人检查。
注意
Citrix SD-WAN 11.3.0 版本以后支持 SSL 检查。
要启用 SSL 检查,请在网络级别导航到 配置 > 安全 > SSL 检查 > 配置 ,然后定义以下 SSL 配置设置。
- 启用 SMTPS 流量处理:安全 SMTP 流量经过 SSL 检查。
- 启用 HTTPS 流量处理:HTTPS 流量经过 SSL 检查。
- 阻止无效的 HTTPS 流量:默认情况下,当清除 “ 阻止无效 HTTPS 流量 ” 复选框时,端口 443 上的非 HTTPS 流量将被忽略并允许畅通无阻地流动。选择 阻止无效的 HTTPS 流量 时,将阻止非 HTTPS 流量以进行 SSL 检查。启用此选项可能会导致原本合法的流量被阻止,即端口 443 上的 HTTP 流量或来自证书过期站点的 HTTPS 流量。
- 客户机连接协议:选择所需的客户机协议。可用的协议有 sslvHello、SSLv3、tlsv1、tslv1.1、tlsv1.2 和 tlsv1.3。
- 服务器连接协议:选择所需的服务器协议。可用的协议有 sslvHello、SSLv3、tlsv1、tslv1.1、tlsv1.2 和 tlsv1.3。
注意
早于 TLSv1.2 的版本被视为易受攻击,除非向后兼容很重要,否则不得启用。
在 “ 根证书 ” 选项卡上,以 PKCS #8 格式复制并粘贴组织根证书颁发机构 (CA) 的根证书和密钥。根 CA 用于创建和签署原始站点证书的伪造副本,以便执行 SSL 检查。隐含地假定根 CA 证书安装在所有可以对其流量 SSL 进行检查的客户端工作站和设备上。
默认的 “ 信任根机构签发的所有服务器证书和下面列出的证书 ” 选项会导致 SD-WAN 根据根证书的标准列表和先前配置的根 CA 对所有服务器证书进行验证。它还会丢弃证书无效的服务器。要覆盖此行为,请在 “ 可信服务器证书” 选项卡上上传内部服务器的 SSL 自签名证书 。单击 “ 添加证书 ” 并提供名称,浏览并上传证书。或者,如果您选择 “ 信任所有服务器证书”,则无论其证书验证状态如何,Citrix SD-WAN 都将所有服务器视为信任。
作为安全配置文件的一部分,您可以创建 SSL 规则并将其启用以进行 SSL 检查。有关为安全配置文件创建 SSL 规则的更多信息,请参阅 Edge 安全。
入侵防御
入侵防御系统 (IPS) 可检测并防止恶意活动进入您的网络。IPS 检查网络流量并对所有传入流量采取自动操作。它包括一个包含超过 34,000 个签名检测和用于端口扫描的启发式签名的数据库,使您能够有效地监视和阻止大多数可疑请求。
IPS 使用基于特征的检测,它将传入的数据包与具有唯一可识别的漏洞和攻击模式的数据库进行匹配。签名数据库每天自动更新。由于有成千上万个签名,因此签名被分组为类别和类类型。
您可以创建 IPS 规则并仅启用网络所需的签名类别或类类型。由于入侵防护是一个对计算敏感的过程,因此请仅使用与您的网络相关的最少签名类别或类类型集。
您可以创建 IPS 配置文件并启用 IPS 规则组合。然后,这些 IPS 配置文件可以与整个网络全局关联,也可以仅与特定站点关联。
每个规则可以与多个 IPS 配置文件相关联,每个 IPS 配置文件可以与多个站点关联。启用 IPS 配置文件后,它会检查与 IPS 配置文件关联的站点的网络流量以及该配置文件中启用的 IPS 规则。
要创建 IPS 规则,请在网络级别导航到 配置 > 安全 > 入侵防御 > IPS 规则 ,然后单击 “ 新建规则”。
提供规则名称和描述。选择匹配类别或类别类型签名属性,为规则选择一个操作,然后将其启用。您可以从以下规则操作中进行选择:
| 规则操作 | 功能 |
|---|---|
| 推荐 | 为每个签名定义了建议的操作。对签名执行建议的操作。 |
| 启用日志 | 允许并记录与规则中任何签名匹配的流量。 |
| 启用“如果推荐”启用阻止 | 如果规则操作为 “ 推荐 ”,而签名的推荐操作为 “ 启用日志”,则删除与规则中任何签名匹配的流量。 |
| 启用阻止 | 丢弃与规则中任何签名匹配的流量。 |
注意
- 由于入侵防护是一个计算敏感的进程,因此只使用与边缘安全部署相关的最低限度的签名类别集。
- SD-WAN 防火墙会丢弃所有未端口转发且在 IPS 引擎中不可见的 WAN L4 端口上的流量。这为防止微不足道的 DOS 和扫描攻击提供了额外的安全层。
要创建 IPS 配置文件,请在网络级别导航到 配置 > 安全 > 入侵防护 > IPS 配置文件 ,然后单击 “ 新建配置文件”。
提供 IPS 配置文件的名称和描述。在 IPS 规则 选项卡上,启用所需的 IPS 规则 ,然后打开 “ 启用 IPS 配置文件”。
在 “ 站点 ” 选项卡上,单击 “ 选择站点”。选择站点,然后单击 “ 保存”。单击 “ 创建个人资料”。
您可以在创建安全配置文件时启用或禁用这些 IPS 配置文件。安全配置文件用于创建防火墙规则。有关更多信息,请参阅 安全配置文件-入侵防御。
虚拟路径 IPsec
虚拟路径 IPsec 定义 IPsec 隧道设置,以确保通过静态虚拟路径和动态虚拟路径安全传输数据。选择 “ 静态虚拟路径 IPsec ” 或 “ 动态虚拟路径 IPsec ” 选项卡以定义 IPsec 隧道设置。
-
封装类型:选择以下安全类型之一:
- ESP:数据已封装和加密。
- ESP+Auth:使用 HMAC 对数据进行封装、加密和验证。
- 啊:数据通过 HMAC 进行验证。
- 加密模式:启用 ESP 时使用的加密算法。
- 哈希算法:用于生成 HMAC 的哈希算法。
- 生命周期:IPsec 安全关联存在的首选持续时间,以秒为单位。输入 0 表示无限制。
有关配置 IPsec 服务的信息,请参阅 IPsec 服务。
单击 “ 验证配置 ” 以验证任何审计错误
证书
有两种类型的证书:身份证书和可信证书。身份证书用于对数据进行签名或加密,以验证消息的内容和发件人的身份。可信证书用于验证消息签名。Citrix SD-WAN 设备接受身份和可信证书。管理员可以在配置编辑器中管理证书。
单击 “ 验证配置 ” 以验证任何审计错误
要添加证书,请单击 “ 添加证书”。
-
证书名称:提供证书名称。
-
证书类型:从下拉列表中选择证书类型。
-
身份证书:身份证书要求证书的私钥可供签名者使用。对等体信任的身份证书或其证书链来验证发件人的内容和身份。配置的身份证书及其相应的指纹显示在配置编辑器中。
-
可信证书:可信证书是自签名的中间证书颁发机构 (CA) 或根 CA 证书,用于验证对等方的身份。可信证书不需要私钥。此处列出了已配置的可信证书及其相应的指纹。
-
托管防火墙
Citrix SD-WAN Orchestrator 服务支持以下托管防火墙:
- 帕洛阿尔托网络
- Check Point
帕洛阿尔托网络
Citrix SD-WAN Orchestrator 服务支持在 SD-WAN 1100 平台上托管 Palo Alto Networks 下一代虚拟机 (VM) 系列防火墙。以下是受支持的虚拟机型号:
- 虚拟机 50
- 虚拟机 100
帕洛阿尔托网络虚拟机系列防火墙作为虚拟机运行在 SD-WAN 1100 平台上。防火墙虚拟机集成在 Virtual Wire 模式中,并连接了两个数据虚拟接口。通过在 SD-WAN Orchestrator 上配置策略,可以将所需的流量重定向到防火墙虚拟机。
Check Point
Citrix SD-WAN Orchestrator 服务支持在 SD-WAN 1100 平台上托管 检查点 CloudGuard E dge。
检查点 CloudGuard Edge 作为虚拟机在 SD-WAN 1100 平台上运行。防火墙虚拟机以 Bridge 模式集成,有两个数据虚拟接口连接到其上。通过在 SD-WAN Orchestrator 上配置策略,可以将所需的流量重定向到防火墙虚拟机。
优势
下面是在 SD-WAN 1100 平台上集成 Palo Alto 网络的主要目标或优势:
-
分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备
-
分支机构通过内部部署 NGFW(下一代防火墙)保护局域网到局域网、局域网到Internet 和Internet 到局域网的流量
执行以下步骤,通过 SD-WAN Orchestrator 配置防火墙虚拟机:
-
在 Citrix SD-WAN Orchestrator 服务 GUI 中,导航到 配置 > 安全 选择 托管防火墙。
-
要上传软件镜像,请转到 虚拟机镜像 选项卡。从下拉列表中选择供应商名称作为 Palo Alto Networks/Check Point。在框中单击或拖放软件映像文件,然后单击 “ 上传”。
将显示一个状态栏,其中包含正在进行的上载过程。在图像文件显示 100% 上载之前,请勿单击 刷新 或执行任何其他操作。
成功上传映像后,它将可供使用,并且可以在启动虚拟机配置时进行选择。
-
转到 “ 虚拟机管理 ” 选项卡,然后单击 “ 配置”。
-
提供以下详细信息:
-
供应商:选择供应商名称作为 Palo Alto Networks/Check Point。
-
型号:从下拉列表中选择虚拟机型号。
-
映像文件名:从上传的文件中选择软件镜像以预置托管防火墙虚拟机。
注意
软件镜像由供应商(Palo Alto Networks/Check Point)提供。
-
站点:从下拉列表中选择必须置备托管防火墙虚拟机的站点。
-
Panorama 主 IP 或 FQDN:输入管理服务器的主 IP 地址或完全限定域名(可选)。
-
Panorama 辅助 IP 或 FQDN:输入管理服务器辅助 IP 地址或完全限定域名(可选)。
-
身份验证码:输入用于许可的虚拟身份验证码。
-
身份验证密钥:输入要在管理服务器中使用的虚拟身份验证密钥。
需要虚拟机身份验证密钥才能将帕洛阿尔托网络虚拟机自动注册到 Panorama。
- 点击 设置。
-
在 SD-WAN 1100 平台上配置虚拟机后,您可以 启动、关闭 或完全 取消配置 托管的防火墙虚拟机。
流量重定向
-
要进行流量重定向,请转到 托管防火墙配置文件 选项卡,然后单击 添加配置文件。
-
提供添加 托管防火墙 模板所需的信息,然后单击 “ 添加”。
托管防火墙模板 允许您配置流量重定向到 SD-WAN Orchestrator 上托管的 防火墙虚拟机 。配置模板需要以下输入:
-
托管防火墙配置文件名称:托管防火墙模板的名称。
-
供应商:防火墙供应商的名称。
-
模型:托管防火墙的虚拟机模型。您可以选择虚拟机型号为 VM 50/VM 100。
-
部署模式:“部署模式” 字段自动填充并显示为灰色。对于 Palo Alto Networks 供应商来说,部署模式是 Virtual Wire,对于 Check Point 供应商来说,部署模式是 Bridge。
-
主管理服务器 IP/FQDN:Panorama 的主管理服务器 IP/完全限定域名。
-
辅助管理服务器 IP/FQDN:Panorama 的辅助管理服务器 IP/完全限定域名。
-
托管防火墙重定向接口:这些是用于在 SD-WAN Orchestrator 和托管防火墙之间进行流量重定向的逻辑接口。
接口 1、接口 2 是指托管防火墙上的前两个接口。如果 VLAN 用于流量重定向,则必须在托管防火墙上配置相同的 VLAN。为流量重定向配置的 VLAN 位于 SD-WAN Orchestrator 和托管防火墙的内部。
注意
必须从连接启动器方向中选择重定向输入接口。自动为响应流量选择重定向接口。例如,如果出站 Internet 流量被重定向到接口 1 上的托管防火墙,则响应流量将自动重定向到接口 2 上的托管防火墙。如果没有互联网入站流量,则不需要 Interface-2。
只分配了两个物理接口来托管 Palo Alto Networks 防火墙,两个数据接口分配给 Check Point 虚拟机。
如果必须将来自多个区域的流量重定向到托管防火墙,则可以使用内部 VLAN 创建多个子接口,并将其关联到托管防火墙上的不同防火墙区域。
注意
SD-WAN 防火墙策略是自动创建的,以允许往返托管防火墙管理服务器的流量。这样可避免重定向来自(或)托管防火墙的管理流量。
可以使用 SD-WAN 防火墙策略完成到防火墙虚拟机的流量重定向。
-
-
导航到 配置 > 安全 > 防火墙配置文件 转到 全局配置文件 部分。单击 + 全球档案。
-
提供配置文件名称并选中 “ 活动配置文件 ” 复选框。单击 “ 创建新规则”。
-
将 策略类型 更改为 托管防火墙。“ 操作” 字段自动填充为 “ 重定向到托管防火墙”。从下拉列表中选择 托管防火墙配置文件和托管防火墙重定向接口 。
-
根据需要填写其他匹配条件,然后单击 “ 完成”。