Citrix SD-WAN

SD-WAN 1100 平台上的检查点防火墙集成

Citrix SD-WAN 支持在 SD-WAN 1100 平台上托管 检查点 CloudGuard Edge

检查点 CloudGuard Edge 作为虚拟机在 SD-WAN 1100 平台上运行。防火墙虚拟机以 Bridge 模式集成,并连接到它的两个数据虚拟接口。通过在 SD-WAN 上配置策略,可以将所需的流量重定向到防火墙虚拟机。

优势

以下是在 SD-WAN 1100 平台上集成检查点的主要目标或优点:

  • 分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备

  • 分支机构通过内部部署 NGFW(下一代防火墙)保护局域网到局域网、局域网到互联网和互联网到局域网的流量

配置步骤

在 SD-WAN 上集成检查点防火墙虚拟机需要以下配置:

  • 置备防火墙虚拟机

  • 启用流量重定向到安全虚拟机

注意:

必须先配置防火墙虚拟机,然后才能启用流量重定向。

置备检查点防火墙虚拟机

预配防火墙虚拟机有两种方法:

  • 通过 SD-WAN 中心进行资源调配

  • 通过 SD-WAN 设备 GUI 进行配置

通过 SD-WAN 中心 Provisioning 防火墙虚拟机

必备条件

  • 将辅助存储添加到 SD-WAN 中心以存储防火墙虚拟机映像文件。有关详细信息,请参阅系统要求和安装

  • 为防火墙 VM 映像文件保留辅助分区中的存储空间。要配置存储限制,请导航至 管理 > 存储维护

    • 从列表中选择所需的存储量。

    • 单击应用

    存储

注意:

存储是从辅助分区保留的,如果满足条件,该分区处于活动状态

通过 SD-WAN 中心平台 Provisioning 防火墙虚拟机,请执行以下步骤:

  1. 从 Citrix SD-WAN Center GUI 中,导航到配置 > 选择托管防火墙

    托管 fw 网站

    您可以从下拉列表中选择 区域 以查看该选定区域的预配置站点详细信息。

  2. 上传软件映像。

    注意:

    确保您有足够的磁盘空间来上传软件映像。

    导航到 配置 > 托管防火墙 > 软件映像 ,然后单击 上传

    软件映像选项卡

  3. 从下拉列表中选择供应商名称作为 检查点 。单击或拖放要上传的框中的软件映像文件。

    检查点软件映像

    将显示一个状态栏,其中包含正在进行的上载过程。在图像文件显示 100% 上载之前,请勿单击 刷新 或执行任何其他操作。

    • 刷新:单击 刷新选项以获取最新的图像文件详细信息。

    • 删除:单击 删除选项以删除任何现有的图像文件。

    注意:

    要在非默认区域的站点部分上置备防火墙虚拟机,请在每个收集器节点上传映像文件。

  4. 对于预配,请返回 托管防火墙站点 选项卡,然后单击 备。

    检查点虚拟机 Provisioning

    • 供应商:从下拉列表中选择供应商名称作为 检查点
    • 供应商虚拟机模型:虚拟机模型字段将自动填充为 Edge。
    • 区域:从列表中选择区域。
    • 软件映像:选择要预配的映像文件。
    • 防火墙托管站点:为防火墙托管列表选择站点。如果站点处于高可用性模式,则必须同时选择主站点和辅助站点。
    • 管理服务器主 IP 地址/域名:输入管理主 IP 地址或完全限定域名(可选)。
    • 虚拟机 SIC 密钥:输入虚拟机安全内部通信 (SIC) 密钥。SIC 在 检查点 组件之间创建可信连接。
  5. 单击 开始设置

  6. 单击 刷新 以获取最新状态。检查点虚拟机完全启动后,它将反映在 SD-WAN 中心用户界面上。

您可以根据需要 启动、关闭取消 置备虚拟机。

预配置的检查点

  • 站点名称:显示站点名称。
  • 管理 IP:显示站点的管理 IP 地址。
  • 区域名称:显示区域名称。
  • 供应商:显示供应商名称(检查点)。
  • 型号:显示模型- Edge
  • 管理状态:供应商虚拟机的状态(向上/向下)。
  • 操作状态:显示上次操作状态消息。
  • 托管站点 UI 访问:使用 单击此处 链接访问检查点虚拟机 GUI。

通过 SD-WAN 设备 GUI 进行防火墙虚拟机 Provisioning

在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:

  1. 在 Citrix SD-WAN GUI 中,导航到 配置 > 设备设置 > 选择 托管防火墙

  2. 上传软件映像:

    • 选择 软件映像 选项卡。选择 供应商名称 作为检查点。
    • 选择软件映像文件。
    • 单击上载

    软件映像在 SD-WAN 中上传

    注意

    最多可以上传两张图片。上传检查点虚拟机映像可能需要更长的时间,具体取决于带宽可用性。

    您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。

  3. 对于预配,请选择 托管防火墙 选项卡 > 单击 备按钮

    在 SD-WAN 中检查点 Provisioning

  4. 请提供以下详细信息以供 Provisioning。

    • 供应商名称:选择 供应商名称 作为检查点。
    • 虚拟机模型:虚拟机模型自动填充为 Edge
    • 映像文件名:图像文件名是自动填充的。
    • 检查点管理服务器 IP 地址/域:提供检查点管理服务器 IP 地址/域。
    • SIC 密钥:提供 SIC 密钥(可选)。SIC 在 检查点 组件之间创建可信连接。单击应用

    检查点 Provisioning 详细信息

  5. 单击 刷新 以获取最新状态。检查点虚拟机完全启动后,它将在 SD-WAN UI 上反映操作日志详细信息。

    检查点操作日志

    • 管理状态:指示虚拟机是启动还是关闭。
    • 处理状态:虚拟机的数据路径处理状态。
    • 发送的数据包:从 SD-WAN 发送到安全虚拟机的数据包。
    • 接收的数据包:SD-WAN 从安全虚拟机接收的数据包。
    • 丢弃的数据包:SD-WAN 丢弃的数据包(例如,安全虚拟机关闭时)。
    • 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。

您可以根据需要 启动、关闭取消 置备虚拟机。使用 单击此处 选项访问检查点虚拟机 GUI 或将管理 IP 与 4100 端口(管理 IP:4100)一起使用。

注意

始终使用隐身模式访问检查点 GUI。

将流量重定向到边缘

流量重定向配置可以通过 MCN 上的配置编辑器或 SD-WAN 中心上的配置编辑器完成。

要浏览 SD-WAN 中心的配置编辑器,请执行以下操作:

  1. 打开 Citrix SD-WAN Center UI,导航到 配置 > 网络配置导入。从活动 MCN 导入虚拟 WAN 配置,然后单击 导入

    导入虚拟 WAN 配置

其余步骤类似于以下步骤-通过 MCN 进行流量重定向配置。

要在 MCN 上浏览配置编辑器:

  1. 全局 > 网络设置下将连接匹配类型设置对称

    连接匹配类型

    默认情况下,SD-WAN 防火墙策略是特定于方向的。对称匹配类型使用指定的匹配条件匹配连接,并在两个方向上应用策略操作。

  2. 打开 Citrix SD-WAN UI,导航到 配置 > 展开虚拟 WAN >** 选择 **配置编辑器 > 选择 全局 部分下的 托管防火墙模板

    托管防火墙模板

  3. 单击 + 并在以下屏幕截图中提供所需信息以添加 托管防火墙模板。单击添加。

    托管的防火墙模板详情

托管防火墙模板 允许您配置流量重定向到 SD-WAN 平台上托管的 防火墙虚拟机 。以下是配置模板所需的输入:

  • 名称:托管防火墙模板的名称。
  • 供应商:防火墙供应商的名称 — 检查点。
  • 部署模式:“部 署模式 ” 字段自动填充并显示为灰色。对于 检查点 供应商,部署模式是 Bridge
  • 模型:托管防火墙的虚拟机模型。选择供应商作为 检查点后,模型字段将自动填充 E dge
  • 主管理服务器 IP/FQDN:主管理服务器 IP/FQDN。
  • 辅助管理服务器 IP/FQDN:辅助管理服务器 IP/FQDN。
  • 服务重定向接口:这些是用于 SD-WAN 和托管防火墙之间的流量重定向的逻辑接口。

注意

重定向输入接口必须从连接启动器方向选择,响应流量会自动选择输出接口。例如,如果出站 Internet 流量被重定向到接口 1 上的托管防火墙,则响应流量将自动重定向到接口 2 上的托管防火墙。此外,如果没有互联网入站流量,则不需要接口-2。

只有两个数据接口分配给检查点虚拟机。

注意:

SD-WAN 防火墙策略是自动创建的,以 允许 来自托管的防火墙管理服务器的流量。这样可避免发自(或)发往托管防火墙的管理流量的重定向。

可以使用 SD-WAN 防火墙策略完成到防火墙虚拟机的流量重定向。有两种方法可以创建 SD-WAN 防火墙策略-通过 全局 部分中的防火墙策略模板或站点级别。

方法-1

  1. 在 Citrix SD-WAN GUI 中,导航到 配置 > 展开 虚拟 WAN > 配置编辑器。在 连接 下选择 防火墙

    通过 SD-WAN GUI 重定向流量

  2. 区域 下拉列表中选择 略,然后单击 + 添加 以创建新的防火墙策略。

    流量重定向防火墙

  3. 策略类型 更改为 托管防火墙操作字段自动填充为“重定向”。从下拉列表中选择 托管防火墙模板服务重定向接口 。单击添加。

    服务重定向接口

方法-2

  1. 导航到 局选项卡,然后选择 防火墙策略模板。单击 + 策略模板

    策略模板

  2. 为策略模板提供名称,然后单击 添加

    策略模板名称

  3. 单击 “ 装置前模板策略 ” 旁边的 + 添加

    设备前模板策略

  4. 策略类型 更改为 托管防火墙。“ 操作” 字段将自动填充以 重定向。从下拉列表中选择 托管防火墙模板服务重定向接口 。单击添加。

    检查点策略模板

  5. 导航到 “ 连接” > “防火墙”,然后在 “名称” 字段下选择防火墙策略(您创建的)。单击应用

    检查点连接防火墙

当所有网络配置处于启动状态并运行模式时,您可以在监视 > 防火墙 > 统计列表下监控连接,选择筛选策略

筛选策略

SD-WAN 1100 平台上的检查点防火墙集成