Citrix SD-WAN

安全

本文概述了 Citrix SD-WAN 解决方案的安全最佳实践。它为 Citrix SD-WAN 部署提供了一般安全指南。

Citrix SD-WAN 部署指南

为了在整个部署生命周期内维护安全性,Citrix 建议考虑以下安全因素:

  • 物理安全
  • 设备安全
  • 网络安全性
  • 行政和管理

物理安全

在安全服务器房中部署 Citrix SD-WAN 设备-安装 Citrix SD-WAN 的设备或服务器应放置在安全服务器房或受限数据中心设施中,以防止设备遭受未经授权的访问。至少,访问应由电子读卡器控制。对设备的访问由 CCTV 监视,并持续记录所有活动以供审核。如果发生闯入事件,电子监视系统应向保安人员发出警报,以便立即作出反应。

保护前面板和控制台端口免受未经授权的访问-通过物理密钥访问控制将设备安全在一个大笼子或机架中。

保护电源-确保设备受不间断电源 (UPS) 的保护。

设备安全

为了确保设备安全,请确保托管 Citrix SD-WAN 虚拟设备 (VPX) 的任何服务器的操作系统的安全,执行远程软件更新,并遵循安全的生命周期管理实践:

  • 保护托管 Citrix SD-WAN VPX 设备的服务器操作系统-Citrix SD-WAN VPX 设备作为虚拟设备在标准服务器上运行。应通过基于角色的访问控制和强大的密码管理来保护对标准服务器的访问。此外,Citrix 建议使用操作系统的最新安全修补程序以及服务器上的最新防病毒软件对服务器进行定期更新。
  • 执行远程软件更新-安装所有安全更新以解决任何已知问题。请参阅安全公告网页以注册并接收最新的安全警报。
  • 遵循安全生命周期管理实践-要在重新部署或启动 RMA 时管理设备并停用敏感数据,请通过从设备中删除持久数据来完成数据回忆对策。

网络安全性

为了网络安全,请勿使用默认 SSL 证书。访问管理员界面时,请使用传输层安全性 (TLS),保护设备的不可路由管理 IP 地址,配置高可用性设置,并根据部署情况实施管理和管理保护措施。

  • 请勿使用默认 SSL 证书-来自信誉良好的证书颁发机构的 SSL 证书可简化面向 Internet 的 Web 应用程序的用户体验。与自签名证书或来自信誉良好的证书颁发机构的证书不同,Web 浏览器不要求用户安装来自信誉良好的证书颁发机构的证书来启动与 Web 服务器的安全通信。
  • 在访问管理员界面时使用传输层安全性-确保管理 IP 地址无法从 Internet 访问或至少受到安全防火墙的保护。请确保 LOM IP 地址无法从 Internet 访问或至少受到安全防火墙的保护。
  • 安全管理和管理帐户-创建替代管理帐户,为管理员和查看者帐户设置强密码。配置远程帐户访问时,请考虑使用 RADIUS 和 TACS 配置对帐户进行外部身份验证的管理管理。更改管理员用户帐户的默认密码,配置 NTP,使用默认会话超时值,使用带 SHA 身份验证和 AES 加密的 SNMPv3。

Citrix SD-WAN 覆盖网络保护遍历 SD-WAN 覆盖网络的数据。

安全管理员界面

为了安全的 Web 管理访问,请通过上载和安装来自信誉良好的证书颁发机构的证书来替换默认系统证书。转到 SD-WAN 设备 GUI 中的配置 > 设备设置 > 管理员界面

用户帐户:

  • 更改本地用户密码
  • 管理用户

HTTPS 证书:

  • 证书
  • 钥匙

杂项:

  • Web 控制台超时

本地化后的图片

配置编辑器 > 全局 > 网络设置

全局防火墙设置:

  • 全局策略模板
  • 默认防火墙操作
  • 默认连接状态跟踪

全局虚拟路径加密设置:

  • AES 128 位(默认值)
  • 加密密钥轮换(默认)
  • 扩展数据包加密标头
  • 扩展数据包认证拖车

本地化后的图片

全局虚拟路径加密设置

  • 默认情况下启用 AES-128 数据加密。建议使用 AES-128 或更多 AES-256 加密级别的保护进行路径加密。确保设置 “启用加密密钥轮换”,以确保每个虚拟路径的密钥重新生成,使用椭圆曲线差异-赫尔曼密钥交换,间隔为 10-15 分钟。

如果网络除了保密性(即篡改保护)之外还需要消息身份验证,Citrix 建议使用 IPsec 数据加密。如果仅需要保密性,Citrix 建议使用增强型标头。

  • 扩展的数据包加密头可以在每个加密邮件的开头预先添加随机种子计数器。加密后,此计数器将用作随机初始化向量,仅使用加密密钥确定性。这会随机化加密输出,提供无法区分的强烈信息。请记住,启用此选项时会增加 16 个字节的数据包开销
  • 扩展数据包身份验证拖车将身份验证代码附加到每个加密邮件的末尾。此拖车允许验证数据包在传输过程中未被修改。请记住,此选项会增加数据包开销。

防火墙安全

建议的防火墙配置首先使用默认防火墙操作作为全部拒绝,然后添加例外。在添加任何规则之前,记录并查看防火墙规则的用途。尽可能使用状态检查和应用级别检查。简化规则并消除冗余规则。定义并遵守更改管理流程,以跟踪和允许查看对 防火墙 设置的更改。将所有设备的防火墙设置为使用全局设置跟踪通过设备的连接。跟踪连接验证数据包是否正确形成,并且是否适合连接状态。创建适合组织网络或功能区域逻辑层次结构的区域。请记住,区域在全球范围内具有重要意义,可以将不同地理位置的网络视为同一个安全区域。创建最具体的策略,以降低安全漏洞的风险,避免在允许规则中使用任意。配置和维护全局策略模板,为网络中的所有设备创建基本安全级别。根据网络中设备的功能角色定义策略模板,并在适当的情况下应用策略模板。仅在必要时在单个站点上定义策略。

全局防火墙模 板-防火墙模板允许配置影响在 SD-WAN 覆盖环境中运行的各个设备上防火墙操作的全局参数。

默认防火墙操作 -允许启用与任何筛选器策略不匹配的数据包。拒绝启用与任何筛选器策略不匹配的数据包被删除。

默认连接状态跟踪 — 启用与筛选器策略或 NAT 规则不匹配的 TCP、UDP 和 ICMP 流的双向连接状态跟踪。即使未定义防火墙策略,启用此功能时,非对称流也会被阻止。可以在站点级别定义设置,这些设置将覆盖全局设置。如果某个地点存在不对称流量的可能性,建议在一个地点或政策层面而不是在全球范围内实现这一目标。

区域 -防火墙区域定义连接到 Citrix SD-WAN 的网络逻辑安全分组。区域可应用于虚拟接口、内联网服务、GRE 隧道和 LAN IPsec 隧道。

本地化后的图片

WAN 链接安全区

应在直接连接到公共(不安全)网络的 WAN 链接上配置不受信任的安全区域。不受信任会将 WAN 链接设置为最安全的状态,从而只允许接口组接受加密、经过身份验证和授权的流量。ARP 和 ICMP 到虚拟 IP 地址是唯一允许的其他流量类型。此设置还将确保仅从与接口组关联的接口中发送加密的流量。

路由域

路由域是包含用于分割网络流量的一组路由器的网络系统。新创建的站点会自动与默认路由域关联。

配置编辑器 > 全局

路由域

  • Default_RoutingDomain

IPsec 隧道

  • 默认集
  • 使用 IPsec 保护虚拟路径用户数据

本地化后的图片

本地化后的图片

IPsec 隧道

IPsec 隧道保护用户数据和标头信息。Citrix SD-WAN 设备可以与非 SD-WAN 对等方协商局域网或 WAN 端的固定 IPsec 隧道。对于 LAN 上的 IPsec 隧道,必须选择路由域。如果 IPsec 隧道使用 Intranet 服务,则路由域由所选的 Intranet 服务预先确定。

在数据可以通过 SD-WAN 覆盖网络流动之前,跨虚拟路径建立 IPsec 隧道。

  • 封装类型选项包括 ESP-数据封装和加密,ESP+Auth-数据封装、加密并使用 HMAC 验证,AH 进行数据验证。
  • 加密模式是启用 ESP 时使用的加密算法。
  • 哈希算法用于生成 HMAC。
  • 生命周期是 IPsec 安全关联存在的首选持续时间(以秒为单位)。0 可用于无限制。

IKE 设置

互联网密钥交换 (IKE) 是一种 IPsec 协议,用于创建安全关联 (SA)。Citrix SD-WAN 设备同时支持 IKEv1 和 IKEv2 协议。

  • 模式可以是主模式或主模式。
  • 身份可以自动识别对等方,也可以使用 IP 地址手动指定对等方的 IP 地址。
  • 身份验证启用预共享密钥身份验证或证书作为身份验证方法。
  • 如果支持对等方的 ID 类型,则验证对等方身份启用 IKE 的对等方身份验证,否则不要启用此功能。
  • 差异-赫尔曼组可用于 IKE 密钥生成,组 1 为 768 位,组 2 为 1024 位,组 5 为 1536 位。
  • 哈希算法包括 MD5、SHA1 和 SHA-256 的算法可用于 IKE 消息。
  • 加密模式包括 AES-128、AES-192 和 AES-256 加密模式可用于 IKE 消息。
  • IKEv2 设置包括对等身份验证和完整性算法。

本地化后的图片

配置防火墙

通过验证上游路由器和防火墙配置,可以识别以下常见问题:

  • MPLS 队列/QoS 设置:验证 UDP 封装 SD-WAN 虚拟 IP 地址之间的流量不会因网络中间设备上的 QoS 设置而受到影响。
  • 在 SD-WAN 网络上配置的 WAN 链接上的所有流量应由 Citrix SD-WAN 设备使用正确的服务类型(虚拟路径、Internet、Intranet 和本地)进行处理。
  • 如果流量必须绕过 Citrix SD-WAN 设备并使用相同的基础链接,则应在路由器上为 SD-WAN 流量进行适当的带宽预留。此外,应在 SD-WAN 配置中相应地配置链路容量。
  • 验证中间路由器/防火墙没有强制执行任何 UDP 洪水和/或 PPS 限制。当通过虚拟路径(UDP 封装)发送流量时,这会限制流量。

安全