Citrix SD-WAN

使用 IPsec 隧道的帕洛阿尔托集成

Palo Alto 网络提供基于云的安全基础设施,用于保护远程网络。它通过允许组织设置区域、基于云的防火墙来保护 SD-WAN 架构来提供安全性。

Citrix SD-WAN 解决方案已经提供了从分支中分离 Internet 流量的功能。这对于提供更可靠、低延迟的用户体验至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto 网络现在为分布式企业提供了一种更可靠和安全的方式,将分支机构中的用户连接到云中的应用程序。

Citrix SD-WAN 设备可以通过客户站点的 IPsec 隧道连接到帕洛阿尔托云服务(全球保护云服务)网络。

本地化后的图片

主要优势包括:

  • 在全球范围内提供新一代安全性。

  • 添加和管理位置-集中用户和策略部署。

  • 将 IPsec 隧道通信转发到帕洛阿尔托网络。

  • 将 SD-WAN 装置配置为高可用性模式-如果某个装置发生故障,则通过另一个装置建立 IPsec 隧道。

  • 虚拟路由和转发部署。

  • 一个 WAN 链接,作为 Internet 服务的一部分。

本地化后的图片

在 Citrix SD-WAN 图形用户界面中配置以下内容:

  • 配置 IPsec 隧道。
  • 将 IPsec 受保护的网络配置为本地 LAN 网络作为源子网,将目标子网配置为 0.0.0.0/0(通过隧道发送所有互联网流量)。

在帕洛阿尔托中配置以下内容:

  • 配置所有必要的 IP 隧道详细信息。
  • 使用 SD-WAN IPsec 隧道公共源 IP 地址配置 IPsec 对等项。

验证端到端流量连接:

  • 从分支机构的 LAN 子网访问互联网资源。
  • 验证流量是否通过 Citrix SD-WAN IPsec 隧道到帕洛阿尔托全局保护云服务。
  • 验证是否对流量应用了帕洛阿尔托安全策略。
  • 验证从互联网到分支中的主机的响应是通过的。

本地化后的图片

使用案例 1:分支机关到互联网

  • 建立从每个分支到帕洛阿尔托全球保护云服务 GPCS 的 IPSec 隧道。

  • 对于分支机构到 Internet 的通信,请使用属于两个分支机构的网络配置受保护的网络。

  • 要通过 GPCS 直接进行互联网突破,请将 SD-WAN 上的 IPsec 保护网络配置为目标子网为 0.0.0.0/0。

本地化后的图片

使用案例 2:通过帕洛阿尔托从 SDWAN 到互联网的主动-备用隧道

对于主动/备用,使用相同参数和相同的受保护网络建立到 GPCS 的两个 IPSec 隧道,一直只有一个隧道处于活动状态,另一个隧道处于待机模式。这将作为一个单一的转换单元。对于要提供 IPSec 保护的所有受保护网络,必须在活动和备用隧道上配置。因此,如果一条隧道发生故障,另一条隧道就会出现所有活动网络。这样,通过配置 IPsec 受保护的网络,可以随时使用隧道重定向 Internet 流量。

  1. 能够使用 SD-WAN 中的帕洛阿尔托创建多个 IPsec 隧道
    • 活动
    • 待机
  2. SD-WAN 通过使用内部网服务和匹配的 IK/IPSec 设置(一个用于活动,一个用于待机)创建多个 IPSec 隧道。
  3. 为所有 IPSec 隧道配置冗余地添加所有受保护的网络。
  4. 帕洛阿尔托托管活动和备用隧道。
  5. SD-WAN 将形成隧道,同时通过活动 IPsec 隧道处理受保护网络的流量(如果主隧道符合条件)
  6. 如果主隧道在 SD-WAN 端或帕洛阿尔托端发生故障,则流量将通过辅助隧道(旧通信和新通信的情况相同)。

    IPsec 安全关联 (SA) 是作为主隧道和辅助隧道形成的一部分而形成的。因此,流量转换需要一段时间(3-5 秒)来检测新的辅助流量并通过新活动的 IPsec 隧道处理所有流量。处理流量的主要隧道检测取决于路由资格,如果隧道关闭,则将变为 ,如果启动,则变为 “是”

  7. 如果主通道恢复运行,则通过主通道再次发送流量。

    本地化后的图片

要在 SD-WAN 上使用帕洛奥托 SWG 配置 IKE 和 IPsec 隧道,请执行以下操作:

  1. 导航到 连接 > 站点 > IPsec 隧道

  2. 配置 IKE 和 IPSec 参数。

有关配置 IPsec 隧道的更多信息,请参阅 配置SD-WAN 和第三方云服务/设备之间的 IPsec 隧道

您可以使用受保护的 网络指定要由 IPsec 保护的流量。

本地化后的图片

在 SD-WAN 上监控通往帕洛阿尔托 SWG 的 IPsec 隧道:

在 Citrix SD-WAN 设备 GUI 中,转到 监视 > 统计信息。从下拉列表中选择 IPSec 隧道 ,以根据处理流量的隧道检查统计信息。可以在发送和接收列中监视通过隧道发送的流量。

本地化后的图片

监控通往 Palo Alto IPsec 隧道的流量的 路由 点击量(当 IPsec 隧道绑定到 Intranet 服务时,到 Intranet 服务):

路由指示针对当前正在处理流量的 Intranet 服务的流量。要查看路由统计信息,请转到 监控 > 统计 > 路由 ,然后根据处理流量的路由检查统计信息。

本地化后的图片

使用案例 3:通过帕洛阿尔托 SWG 的分支机构到分支机构的流量

帮助在分支机构之间进行通信,并在 SWG 上应用安全策略,以实现分支到分支机构的连接,而无需通过 SD-WAN 中间节点。

对于分支机构之间的通信,请指定 IPSec 策略首先通过 IPsec 隧道通过帕洛阿尔托全球保护云服务 (GPCS)。GPCS 确定它是否从分支 1 获取流量,然后通过 IPSec 隧道通过创建策略将其发送到分支 2。

  1. 在帕洛阿尔托为每个分支创建一个单独的隧道端点。
  2. 每个分支都使用 Intranet 服务和匹配的 IK/IPsec 设置,独特地创建一个具有帕洛阿尔托的 IPsec 隧道。
  3. 在分支 1 到帕洛阿尔托隧道 1 的受保护网络的配置:
    • 源作为分支 1 子网连接到目的地为分支 2 子网
    • Palo Alto 隧道代理 ID 侧镜像受保护的网络

    按照类似的受保护网络使用分支 2 至帕洛阿尔托隧道 2

  4. 从 1 分支到 2 分支的流量使用 1 分支机构到帕洛阿尔托隧道 1 IPsec 隧道进行,然后由帕洛阿尔托转发到帕洛阿尔托隧道 2 到分支 2 IPsec 隧道之间的新隧道。返回流量的情况也是如此。

    注意:

    此流量是独一无二的,因为 MCN 不需要启用 WAN 到 WAN 转发。

  5. 如果分支机构是 IP 的 NAT,则需要在 WAN 链路设置上启用 WAN 链路 NAT 地址(如果是静态的),在此设置中,Intranet 服务可用于 IPsec 隧道。如果 IP 是动态的,则必须使用 自动检测公共 IP 旋钮启用分支。
  6. 如果存在独占端口 NATT,则 MCN 需要启用 UDP 孔冲孔。

    本地化后的图片

分支机构 1 SD-WAN 到帕洛阿尔托 IPsec 隧道 1 的配置:

本地化后的图片

2 分支机构 SD-WAN 到帕洛阿尔托 IPsec 隧道 2 的配置:

本地化后的图片

监控 IK/IPsec SA 在分支 1 至帕洛阿尔托之间的隧道 1:

本地化后的图片

监控 IK/IPsec SA 在分支机构 1 至帕洛阿尔托之间的隧道 2:

本地化后的图片

监控分支 1 到帕洛阿尔托隧道 1 的 流量和防火墙 ):

以下屏幕截图提供了有关 Branch1 到帕洛阿尔托隧道 1 的流量数据和防火墙统计信息的组合监控信息。

本地化后的图片

监控分支 2 到帕洛阿尔托隧道 2 的 流量和防火墙

以下屏幕截图提供了有关分支 2 至帕洛阿尔托隧道 2 的流量数据和防火墙统计信息的组合监控信息。

本地化后的图片

IPsec 隧道统计信息监控分支 1 至帕洛阿尔托 1 隧道:

本地化后的图片

IPsec 隧道统计信息监控分支 2 至帕洛阿尔托 2 隧道:

本地化后的图片

使用案例 4:高可用性模式下的 SD-WAN 边缘设备

  • 在高可用性模式下配置 SD-WAN 装置。

  • 建立从每个分支到 GPCS 的 IPsec 隧道。

  • 从 SD-WAN 到 GPCS 的流量重定向始终通过活动设备进行。

  • 在发生高可用性事件时,辅助 SD-WAN 设备将接管并开始向 GPCS 发送流量。

本地化后的图片

要配置 IPsec 隧道:

  1. 导航到 连接 > 站点 > IPsec 隧道
  2. 配置 IKE 和 IPSec 参数。

    有关配置 IPsec 隧道的更多信息,请参阅 配置SD-WAN 和第三方云服务/设备之间的 IPsec 隧道

    您可以使用受保护的 网络指定要由 IPsec 保护的流量。每个隧道最多可配置八个受保护网络。

本地化后的图片

监视 IPsec 隧道:

在 Citrix SD-WAN 设备 GUI 中,转到 监视 > 统计信息。从显示下拉列表中选择 IPSec 隧道 。可以在发送和接收列中监视通过隧道发送的流量。

  • 控 > IKE/IPsec -您可以监控所有 IKE 和相应的 IPSec SA。

本地化后的图片

在帕洛阿托全球保护云服务 (GPCS) 中配置 IPSec:

  1. 登录到帕洛阿尔托全景.
  2. 导航到 网络配置文件 -> IKE Crypto 并配置 IKE 加密套件。

本地化后的图片

配置 IKE Gateway:

  1. 添加 IKE 网关。
  2. 配置 IKE 版本。
  3. 选择对 等 IP 地址类型 作为 IP
  4. 输入 IKE 对等 IP 地址。这是 Citrix SD-WAN 公共 IP。
  5. 配置身份验证类型、预共享密钥、证书。
  6. 配置要使用的预共享密钥。 本地化后的图片

  7. 单击 “ 高级选项” 选项 卡页中的 “ 启用 NAT 遍 历”。

    本地化后的图片

创建 IPsec 隧道:

添加具有已创建 IKE 网关和 IPSec 加密配置文件的 IPsec 隧道。 提供受保护的网络以允许来自 SD-WAN 的流量通过隧道。

本地化后的图片

块应用程序:

可以通过配置防火墙规则来阻止某些应用程序,如下所示。此规则绑定到创建的隧道。

本地化后的图片

验证端到端流量:

从分支主机访问互联网并检查互联网流量是否显示在 SD-WAN GUI 监视页面的 IPsec 隧道统计信息下。 检查 Palo Alto GPCS 中是否有任何阻止的站点,并确保无法从分支网络访问阻止的站点。