Citrix SD-WAN

帕洛阿尔托网络防火墙集成 SD-WAN 1100 平台

Citrix SD-WAN 支持在 SD-WAN 1100 平台上托管帕洛阿尔托网络下一代虚拟机 (VM) 系列防火墙.以下是受支持的虚拟机型号:

  • 虚拟机 50
  • 虚拟机 100

帕洛阿尔托网络虚拟机系列防火墙作为虚拟机运行在 SD-WAN 1100 平台上。防火墙虚拟机以“虚拟线路”模式集成,并连接到该虚拟机的两个数据虚拟接口。通过在 SD-WAN 上配置策略,可以将所需的流量重定向到防火墙虚拟机。

优势

下面是在 SD-WAN 1100 平台上集成 Palo Alto 网络的主要目标或优势:

  • 分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备

  • 分支机构通过内部部署 NGFW(下一代防火墙)保护局域网到局域网、局域网到互联网和互联网到局域网的流量

配置步骤

在 SD-WAN 上集成帕洛阿尔托网络虚拟机需要以下配置:

  • 置备防火墙虚拟机

  • 启用流量重定向到安全虚拟机

注意

在启用流量重定向之前,必须先置备防火墙虚拟机。

配置帕洛阿尔托网络虚拟机

预配防火墙虚拟机有两种方法:

  • 通过 SD-WAN 中心进行资源调配

  • 通过 SD-WAN 设备 GUI 进行配置

通过 SD-WAN 中心 Provisioning 防火墙虚拟机

必备条件

  • 将辅助存储添加到 SD-WAN 中心以存储防火墙虚拟机映像文件。有关详细信息,请参阅 系统要求和安装

  • 为防火墙 VM 映像文件保留辅助分区中的存储空间。要配置存储限制,请导航到“管理”>“存储维护”

    • 从列表中选择所需的存储量。

    • 单击“应用”

    存储

注意

如果满足条件,则从活动的辅助分区中保留存储。

通过 SD-WAN 中心平台 Provisioning 防火墙虚拟机,请执行以下步骤:

  1. 在 Citrix SD-WAN 中心 GUI 中,导航到“配置”>“选择 托管防火墙”

托管 fw 网站

您可以从下拉列表中选择“区域”,以查看该选定区域的已配置站点详细信息。

  1. 上传软件映像。

注意

确保您有足够的磁盘空间来上传软件映像。

导航到 配置 > 托管防火墙 > 软件映像, 然后从下拉列表中选择供应商名称作为 Palo Alto 网络。单击或拖放要上传的框中的软件映像文件。

上载 sw 图片

将显示一个状态栏,其中包含正在进行的上载过程。在图像文件显示 100% 上传之前,不要单击 刷新 或执行任何其他操作。

  • 刷新:单击 刷新 选项以获取最新的图像文件详细信息。

  • 删除:单击 删除 选项可删除任何现有图像文件。

    注意

    要在非默认区域的站点部分置备防火墙虚拟机,请在每个收集器节点上上传映像文件。

    从 SDWAN 中心删除帕洛阿尔托虚拟机映像,将从 SDWAN 中心存储中删除该映像,而不是从设备中删除该映像。

  1. 对于 Provisioning,请返回到 托管的防火墙站点 选项卡,然后单击设

起始准备金

  • 供应商从下拉列表中选择供应商名称作为帕洛阿尔托网络。
  • 供应商虚拟机型号:从列表中选择虚拟机型号。
  • 软件映像:选择要置备的映像文件。
  • 区域:从列表中选择区域。
  • 防火墙托管站点:为防火墙托管列表选择站点。如果站点处于高可用性模式,则必须同时选择主站点和辅助站点。

  • 管理服务器主 IP 地址/域名:输入管理主 IP 地址或完全限定域名(可选)。
  • 管理服务器辅助 IP 地址/域名:输入管理服务器辅助 IP 地址或完全限定域名(可选)。

  • 虚拟机身份验证密钥:输入要在管理服务器中使用的虚拟身份验证密钥。

  • 验证码:输入要用于许可的虚拟身份验证代码。
  1. 单击 启动置备
  2. 单击 刷新 以获取最新状态。Palo Alto 网络虚拟机完全启动后,它将反映在 SD-WAN Center UI 上。

您可以根据需要 启动、关闭取消置 备虚拟机。

选择供应站点

  • 地点名称:显示站点名称。
  • 管理 IP:显示站点的管理 IP 地址。
  • 区域名称:显示区域名称。
  • 供应商:显示供应商名称(帕洛阿尔托网络)。
  • 型号:显示型号(VM50/VM100)。
  • 管理状态:供应商虚拟机的状态(启动/关闭)。
  • 工序状态:显示操作状态消息。
  • 托管站点:使用 单击此处 链接访问帕洛阿尔托网络虚拟机 GUI。

要预配非默认区域站点,您需要在 SD-WAN Center Collector 上上载软件映像。您可以从 SD-WAN Center 头端 GUI 或 SD-WAN Center Collector 配置 Palo Alto 网络。

要获取 SD-WAN 中心收集器的 IP 地址,请导航到“配置”>“网络发现”>“发现设置选项卡。

收集器 IP

要从 SD-WAN Collector 配置 Palo Alto 网络,请执行以下操作:

  1. 在 SD-WAN 收集器 GUI 中,导航到 配置 > 选择 托管防火墙

Collector hosted fw

  1. 转到“软件映像”选项卡上传软件映像。
  2. 单击 托管防火墙站点 选项卡下的置备。
  3. 提供以下详细信息,然后单击“启动设置”

收集器规定

  • 供应商从下拉列表中选择供应商名称作为帕洛阿尔托网络。
  • 供应商虚拟机型号:从列表中选择虚拟机型号。
  • 软件映像:选择要置备的映像文件。
  • 区域:从列表中选择区域。
  • 防火墙托管站点:为防火墙托管列表选择站点。如果站点处于高可用性模式,则必须同时选择主站点和辅助站点。

  • 管理服务器主 IP 地址/域名:输入管理主 IP 地址或完全限定域名(可选)。
  • 管理服务器辅助 IP 地址/域名:输入管理服务器辅助 IP 地址或完全限定域名(可选)。

  • 虚拟机身份验证密钥:输入要在管理服务器中使用的虚拟身份验证密钥。

  • 验证码:输入要用于许可的虚拟身份验证代码。
  1. 单击 启动置备

通过 SD-WAN 设备 GUI 进行防火墙虚拟机 Provisioning

在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:

  1. 在 Citrix SD-WAN GUI 中,导航到“配置”>“设 备设置”>托管防火墙”

  2. 上传软件映像:

  • 选择“软件映像”选项卡。选择供应商名称作为 帕洛阿尔托网络
  • 选择软件映像文件。
  • 单击“上传”

    SW 图片上载

    注意 最多可以上传两个软件映像。上载 Palo Alto 网络虚拟机映像可能需要更长的时间,具体取决于带宽可用性。

    您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。

  1. 对于 Provisioning,请选择 托管的防火墙选 项卡,然后单击 置备 按钮。

托管防火墙配置

  1. 请提供以下详细信息以供 Provisioning。
  • 供应商名称:选择供应商作为 帕洛阿尔托网络
  • 虚拟机型号:从列表中选择虚拟机型号。
  • 图像文件名:选择图像文件。
  • 全景主 IP 地址/域名:提供 Panorama 主 IP 地址或完全限定域名(可选)。
  • 全景辅助 IP 地址/域名:提供全景辅助 IP 地址或完全限定域名(可选)。
  • 虚拟机身份验证密钥:提供虚拟机身份验证密钥(可选)。

    需要虚拟机身份验证密钥才能将帕洛阿尔托网络虚拟机自动注册到 Panorama。

  • 验证码:输入身份验证码(虚拟机许可证代码)(可选)。
  • 单击“应用”

    托管防火墙

  1. 单击 刷新 以获取最新状态。Palo Alto 网络虚拟机完全启动后,它将反映在 SD-WAN UI 上与操作日志详细信息。

选择日志详细信息

  • 管理状态:指示虚拟机是启动还是关闭。
  • 处理状态:虚拟机的数据路径处理状态。
  • 已发送数据包:从 SD-WAN 发送到安全虚拟机的数据包。
  • 收到的数据包:SD-WAN 从安全虚拟机接收的数据包。
  • 数据包丢弃:SD-WAN 丢弃的数据包(例如,当安全虚拟机关闭时)。
  • 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。

您可以根据需要 启动、关闭取消置 备虚拟机。使用 单击此处 选项访问帕洛阿尔托网络虚拟机 GUI 或使用您的管理 IP 以及 4100 端口(管理 IP:4100)。

注意 始终使用隐身模式来访问帕洛阿尔托网络 GUI。

流量重定向

流量重定向配置可以通过 MCN 上的配置编辑器或 SD-WAN 中心上的配置编辑器完成。

要浏览 SD-WAN 中心的配置编辑器,请执行以下操作:

  1. 打开 Citrix SD-WAN 中心 UI,导航到“配置”>“网络配置导入”。从活动 MCN 导入虚拟 WAN 配置,然后单击 导入

导入虚拟 WAN 配置

其余步骤类似于以下步骤-通过 MCN 进行流量重定向配置。

要在 MCN 上浏览配置编辑器:

  1. 在“全局”>“网络设置”连接匹配类型设置为“对称”

连接匹配类型

默认情况下,SD-WAN 防火墙策略是特定于方向的。对称匹配类型使用指定的匹配条件匹配连接,并在两个方向上应用策略操作。

  1. 打开 Citrix SD-WAN UI,导航到 配置 > 展开 虚拟广域网 > 选择 配置编辑器 > 全局 部分。

Hosted fw temp

  1. 单击 + 并在以下屏幕截图中提供所需信息,以添加 托管防火墙 模板,然后单击“添加”

Add

托管防火墙模板 允许您配置流量重定向到 SD-WAN 设备上托管的防火墙虚拟机。以下是配置模板所需的输入:

  • 名称:托管防火墙模板的名称。
  • 供应商:防火墙供应商的名称。
  • 部署模式:“部署模式”字段自动填充并灰显。对于 帕洛阿尔托网络 供应商,部署模式是 虚拟线路
  • 型号:托管防火墙的虚拟机模型。您可以选择虚拟机型号作为 Palo Alto 网络供应商的 VM 50/VM 100。
  • 主管理服务器 IP/FQDN: 全景的主管理服务器 IP/FQDN.
  • 辅助管理服务器 IP/FQDN:辅助管理服务器 IP/FQDN 的全景。
  • 服务重定向接口:这些逻辑接口用于 SD-WAN 和托管防火墙之间的流量重定向。

接口 1、接口 2 是指托管防火墙上的前两个接口。如果 VLAN 用于流量重定向,则必须在托管防火墙上配置相同的 VLAN。配置为流量重定向的 VLAN 是 SD-WAN 和托管防火墙的内部。

注意

必须从连接启动程序方向选择重定向输入接口,重定向接口会自动选择响应流量。例如,如果出站 Internet 流量被重定向到接口 1 上的托管防火墙,则响应流量将自动重定向到接口 2 上的托管防火墙。如果没有互联网入站流量,则在上面的示例中不需要接口-2。

只有两个物理接口被分配到托管 Palo Alto 网络防火墙。如果需要将来自多个区域的流量重定向到托管防火墙,则可以使用内部 VLAN 创建多个子接口,并将其关联到托管防火墙上的不同防火墙区域。

通过 SD-WAN 防火墙策略或站点级别策略,您可以将所有流量重定向到帕洛阿尔托网络虚拟机。

注意

SD-WAN 防火墙策略是自动创建的,以 允许 通信进出托管防火墙管理服务器。这样可避免重定向来自(或)托管防火墙的管理流量。

可以使用 SD-WAN 防火墙策略完成到防火墙虚拟机的流量重定向。有两种方法可以创建 SD-WAN 防火墙策略-通过 全局 部分或站点级别的防火墙策略模板。

方法-1

  1. 在 Citrix SD-WAN GUI 中,导航到“配置”>“虚拟广域网”>“配置编辑器”。导航到全局”选项卡并选择“防火墙策略模板”。单击 + 策略模板。为策略模板提供一个名称,然后单击“添加”

帕洛阿尔托策略模板名称

  1. 单击“预设备模板策略”旁边的 + 添加

设备前模板策略

  1. 策略类型更改托管防火墙。“操作”字段自动填充为“重定向”从下拉列表中选择托管防火墙模板服务重定向接口。根据需要填写其他匹配条件。

帕洛阿尔托策略模板

  1. 导航到“连接”>“防火墙”,然后在“名称”字段下选择(已创建的)防火墙策略。单击“应用”

检查点连接防火墙

方法-2

  1. 要重定向所有流量,请在“配置编辑器”>“虚拟 WAN”下,导航到“连接”选项卡并选择“防火墙”

通过 SD-WAN GUI 重定向流量

  1. 从“节”下拉列表中选择“策略”,然后单击“+ 添 加”以创建新的防火墙策略。

流量重定向防火墙

  1. 策略类型更改托管防火墙。“操作”字段自动填充为“重定向”。从下拉列表中选择托管防火墙模板服务重定向接口。单击添加

服务重定向接口

当所有网络配置都处于启动并运行模式时,您可以在“监视”>“防火墙”>“统计”列表下方监视连接,选择“筛选策略”

筛选策略

您可以使用帕洛阿尔托网络 UI 验证您在 SD-WAN 服务链模板上执行的配置与帕洛阿尔托网络配置之间的映射。

帕洛阿尔托西北

注意

如果已在 1100 设备上配置了 云直接SD-WAN WANOP (PE),则无法配 置帕洛阿尔托网络虚拟机。

使用案例 — SD-WAN 1100 上的托管防火墙

以下是使用 Citrix SD-WAN 1100 设备实现的一些使用案例方案:

使用案例 1:将所有流量重定向到托管防火墙

此使用案例适用于所有流量都由托管的下一代防火墙处理的小型分支使用情形。必须考虑带宽要求,因为重定向的流量吞吐量限制为 100 Mbps。

为此,请创建一个防火墙规则以匹配任何流量,并使用“ 作”作为“重定向”,如以下屏幕截图所示:

用例 1

使用案例 2:仅将 Internet 流量重定向到托管防火墙

此使用案例适用于 Internet 绑定流量不超过支持的重定向流量吞吐量的任何分支站点。在这种情况下,分支到数据中心的流量由部署在数据中心的安全设备/服务处理。

为此,请创建一个防火墙规则以匹配任何流量,并使用“ 作”作为“重定向”,如以下屏幕截图所示:

用例 2

使用案例 3:针对受信任 Internet SaaS 应用程序直接进行互联网突破,并将剩余的所有流量重定向到托管虚拟机

在此使用案例中,添加了防火墙规则,以便为可信 SaaS 应用程序(如 Office 365)执行直接互联网分解。首先启用 Office 365 分解策略,如以下屏幕截图所示:

使用案例 3

这会自动添加 预设备模板策略 以允许 Office 365 流量,如以下屏幕截图所示。现在添加防火墙规则,将剩余的所有流量重定向到托管防火墙,如下所述。

使用案例 4

注意

托管防火墙配置独立于 Citrix SD-WAN 配置。因此,可以根据企业安全要求配置托管防火墙。

帕洛阿尔托网络防火墙集成 SD-WAN 1100 平台