Citrix SD-WAN WANOP 11.3

安全对等

如果设备启用了安全对等,则不会加密或压缩与其没有安全对等关系的伙伴的连接,尽管 TCP 流量控制加速仍可用。禁用压缩,以确保来自受保护伙伴的压缩历史记录中存储的数据不能与不安全的伙伴共享。

当连接一端的设备检测到另一个设备已启用安全对等时,它会尝试打开 SSL 信令隧道。如果两个设备通过此隧道成功地相互身份验证,则它们具有安全的对等关系。两个设备之间的所有加速连接都将加密,并启用压缩功能。

注意

启用了安全对等的设备不会压缩到不安全伙伴的连接,因此很难将同一设备与有担保伙伴和不安全伙伴混合使用。设计加速网络时请记住这一点。

访问安全参数需要密钥库密码。此密钥库密码不同于管理员的密码,以允许安全管理与其他任务分开。如果重置密钥库密码,则所有现有的加密数据和私钥都将丢失。

为了保护数据,即使设备被盗,每次重新启动设备时都必须重新输入密钥库密码。在完成此操作之前,禁用安全对等和压缩。

生成安全密钥和证书

Citrix SD-WAN WANOP 产品在没有 SSL 信令隧道所需的密钥和证书的情况下发货。你必须自己生成它们。您可以通过生成凭据的常规过程生成密钥和证书,也可以使用来自的 “openssl” 软件包来生成密钥和证书http://www.openssl.org

出于测试目的,您可以生成和使用基于私钥(您也可以生成)的自签名 X509 证书。在生产中,使用引用受信任的证书颁发机构的证书。以下示例从 PC 上的命令行调用 openssl 以生成私钥 ( my.key) 和自签名证书 ( my.crt):

pre codeblock
# Generate a 2048-bit private key
openssl genrsa -out my.key 2048
# Now create a Certificate Signing Request
openssl req -new -key my.key -out my.csr
# Finally, create a self-signed certificate with a 365-day expiration
openssl x509 -req -days 365 -in my.csr -signkey my.key -out my.crt
<!--NeedCopy-->

对于生产使用,请参阅组织的安全策略。

配置安全对等

有两种方法可以建立安全对等:

  1. 使用设备生成的凭据。

  2. 使用您自己提供的凭据。

    由于启用了安全对等的设备只会压缩与与其具有安全对等关系的合作伙伴设备的连接,因此此过程应同时应用于您的所有设备。

要准备安全对等的设备:

在网络中的每个设备上执行以下步骤。

  1. 在设备上安装加密许可证。没有加密许可证,安全加速不可用。

    1. 如果尚未这样做,请从 Citrix 获取加密许可证。

    2. 如果您使用的是网络许可证服务器,请转到 “ 配置 ” > “ 设备设置 ” > “ 许可”。添加许可证 部分,单击 编辑 ,然后选择远程许可证服务器并设置加密许可证开启。

    3. 如果您使用的是本地许可,请转到 “ 配置 ” > “ 设备设置 ” > “ 许可”。添加许可证 页面中,单击 “本地许可证服务器” 选项,然后单击 添加 以上传本地加密许可证。

    4. 在 “配置” > 设备设 > “许可” 页面上验证成功安装许可证。在许可信息下,加密许可证应显示为有效且未来有效期。

  2. 转到 配置 > 安全加速 页面。如果页面有一个标记为 “安全” 的按钮,请单击该按钮。

    本地化后的图片

  3. 如果您被自动转到密钥库设置屏幕,请执行以下操作:

    1. 输入密钥库密码两次,然后单击保存。

    2. 屏幕更新以显示 “安全对等证书和密钥” 部分时,单击 “启用安全对等和 CA 证书”,然后单击 “保存”。

    3. 跳到步骤 6。

  4. 如果您未自动进入密钥库设置屏幕,请单击 安全对等下的铅笔图标,然后单击 密钥库设置下的铅笔图标。在密钥库状态下拉菜单上打开,然后输入密钥库密码两次。单击保存

  5. 通过转到 配置 > 安全加速 页面并单击 “启用” 按钮来 启用 安全对等。在此阶段忽略任何警告。当所需的额外配置完成时,此设置启用安全对等。

  6. 通过转到 配置 > 安全加速 用户数据存储 并单击铅笔图标来启用压缩历史的加密。单击 启用磁盘加密,然后单击 保存。用户数据存储加密可防止未经授权读取基于磁盘的压缩历史记录,以防设备被盗或返回工厂。磁盘数据加密的安全性取决于密钥库密码。此功能使用 AES-256 加密。(磁盘数据加密不会加密整个磁盘,只是加密压缩历史记录。)

  7. 如果您使用的是设备生成的凭据,请跳到下一步。如果您使用自己的凭据,请执行以下操作:

    1. 转到 配置 > 安全加速 ,然后单击安全对等下的铅笔图标,然后单击 安全对等证书和密钥 下的铅笔图标。单击 启用安全对等和证书配置 > CA 证书。将显示凭据规范字段。

    2. 证书/密钥对名称下,单击 +图标,然后上传或粘贴此设备的证书/密钥对。如果凭据需要,还输入密钥密码或文件密码。单击创建

    3. CA 证书存储名称下,单击 +图标,然后上传或粘贴此设备的 CA 证书。

    4. 保留 “证书验证” 和 “SSL 密码规范” 字段的默认值,除非您的组织另有要求。

    5. 单击保存

      本地化后的图片

  8. 对您的其余设备重复此操作。

  9. 如果您使用的是您自己提供的凭据,则安全对等配置已完成。

  10. 如果您使用的是设备生成的凭据,请执行以下过程。

要对设备生成的凭据使用安全对等:

  1. 使用上面的 “准备设备以保护对等” 过程为此过程准备您的设备。

  2. 在一个数据中心设备上,转到 配置 > 安全加速,然后单击 启用 按钮(如果存在)以启用安全对等。

  3. 单击安全对等下的铅笔图标。密钥库应该是打开的。如果不是,立即打开它。

  4. 单击安 全对等证书和密钥下的铅笔图标。单击 启用安全对等和私有 CA 选项,然后单击 保存 。这将生成本地自签名 CA 证书和本地证书密钥对。

  5. 点击 已连接对等 方下的 + 。输入远程设备之一的 IP 地址、管理员用户名和管理员密码,然后单击 连接”。这会为远程设备颁发 CA 证书和证书密钥对,并将其复制到远程设备。

    注意

    对于 SD-WANOP 设备,IP 地址可以是任何启用 Web 访问的接口的 IP 地址。对于 SD-WAN PE 设备,IP 地址是管理 IP 地址。

  6. 对其他远程设备重复此过程。

  7. 在数据中心设备上,通过转到 监视 > 合作伙伴和插件 > 安全合作伙伴 来验证连接性。对于每个远程设备,“安全” 字段的内容应为 “True”,并且 “连接状态” 应为 “连接可用”。

安全对等