使用 IPsec 隧道的 Palo Alto 集成

Palo Alto 网络提供基于云的安全基础设施,用于保护远程网络。它通过允许组织设置区域、基于云的防火墙来保护 SD-WAN 架构来提供安全性。

适用于远程网络的 Prisma Access 服务允许您登载远程网络位置,并为用户提供安全性。它消除了在每个远程位置配置和管理设备的复杂性。

该服务提供了一种有效的方式,可以轻松添加新的远程网络位置,并通过确保这些位置的用户始终保持连接和安全,最大限度地减少运营挑战。

Prisma Access 服务还允许您从 Panorama 集中管理策略,为您的远程网络位置提供一致和简化的安全性。

要将远程网络位置连接到 Prisma Access 服务,可以使用 Palo Alto 网络下一代防火墙或符合 IPsec 标准的第三方设备(包括 SD-WAN),该设备可以建立到该服务的 IPsec 隧道。

  • 规划远程网络的 Prisma 访问服务

  • 配置远程网络的 Prisma 访问服务

  • 带配置导入的板载远程网络

Citrix SD-WAN 解决方案已经提供了从分支中分离 Internet 流量的功能。这对于提供更可靠、低延迟的用户体验至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto 网络现在为分布式企业提供了一种更可靠和安全的方式,将分支机构中的用户连接到云中的应用程序。

Citrix SD-WAN 设备可以通过 IPsec 隧道从具有最低配置的 SD-WAN 设备位置连接到 Palo Alto 云服务(Prisma 访问服务)网络。您可以在 Citrix SD-WAN 中心配置帕洛阿尔托网络。

在开始为远程网络配置 Prisma 访问服务之前,请准备好以下配置,以确保您能够成功启用该服务并为远程网络位置中的用户强制执行策略:

  1. 服务连接— 如果您的远程网络位置需要访问公司总部的基础设施以验证用户身份或启用对关键网络资产的访问,则必须设置对您的企业网络的访问,以便总部和远程网络位置连接。

如果远程网络位置是自主的,并且不需要访问其他位置的基础设施,则无需设置服务连接(除非您的移动用户需要访问)。

  1. 模板— Prisma 访问服务自动为远程网络的 Prisma 访问服务创建模板堆栈(Remote_Network_Template_Stack)和顶级模板(Remote_Network_Template)。

    若要配置远程网络的 Prisma 访问服务,请从头开始配置顶级模板,或利用现有配置(如果您已在本地运行 Palo Alto Networks 防火墙)。

    该模板需要设置来建立 IPsec 隧道和 Internet 密钥交换 (IKE) 配置,用于远程网络位置与 Prisma Access 服务之间的协议协商,您可以在安全策略中引用的区域,以及日志转发配置文件,以便您可以将日志从远程网络的 Prisma 访问服务转发到日志记录服务。

  2. 父设备组— 远程网络的 Prisma Access 服务要求您指定包含安全策略、安全配置文件和其他策略对象(如应用程序组和对象以及地址组)以及身份验证策略的父设备组,以便远程网络的 Prisma Access 服务可以一致地对通过 IPsec 隧道路由到远程网络的 Prisma Access 服务的流量实施策略。您必须在 Panorama 上定义策略规则和对象,或使用现有设备组来保护远程网络位置中的用户的安全。

    注意:

    如果您使用引用区域的现有设备组,请确保将定义区域的相应模板添加到远程网络_模板_堆栈中。

    这允许您在配置远程网络的 Prisma 访问服务时完成区域映射。

  3. IP 子网— 要使 Prisma Access 服务将流量路由到远程网络,您必须为要使用 Prisma Access 服务保护的子网提供路由信息。您可以在远程网络位置定义指向每个子网的静态路由,或者在服务连接位置和 Prisma Access 服务之间配置 BGP,或者使用两种方法的组合。

    如果配置两个静态路由并启用 BGP,则静态路由优先。虽然如果远程网络位置只有几个子网,则使用静态路由可能会很方便,但在具有多个具有重叠子网的远程网络的大型部署中,BGP 可以让您更轻松地扩展。

SD-WAN Center 中的 Palo Alto 网络

确保满足以下先决条件:

  • 从 PRISMA 访问服务获取全景 IP 地址。

  • 在 PRISMA Access 服务中获取用户名和密码用户。

  • 在 SD-WAN 设备 GUI 中配置 IPsec 隧道。

  • 确保该网站没有板载到一个地区,该地区已经有一个不同的网站配置了 IKE/ IPsec 配置文件,而不是 Citrix-IKE 加密默认值/Citrix-IPsec-加密默认值。

  • 请确保配置由 SD-WAN 中心更新时不手动更改 Prisma 访问配置。

在 Citrix SD-WAN Center GUI 中,提供 Palo Alto 订阅信息。

  • 配置全景 IP 地址。您可以从 Palo Alto 获得此 IP 地址(PRISMA 访问服务)。

  • 配置 PRISMA 访问服务中使用的用户名和密码。

    帕洛阿尔托配置

添加和部署站点

  1. 若要部署站点,请选择要为 Prisma Access 区域配置的 PRISMA Access 网络区域和 SD-WAN 站点,然后选择站点 WAN 链接、带宽和应用程序对象进行流量选择。

    注意:

    如果所选带宽超过可用带宽范围,则流量会受到影响。

    通过选择 应用程序对象选择 下的 所有流量 选项,可以选择将 所有 Internet 绑定的流量 重定向到 PRISMA Access 服务。

    帕洛阿尔托添加网站

    帕洛阿尔托部署

  2. 您可以根据需要继续添加更多 SD-WAN 分支站点。

    添加更多网站

  3. 单击部署。启动变更管理流程。单击 继续。

    已部署站点

    部署后,用于建立隧道的 IPsec 隧道配置如下。

    建立隧道

    登录页面显示在不同 SD-WAN 区域中配置和分组的所有站点的列表。

    已配置站点

验证端到端流量连接:

  • 从分支机构的 LAN 子网访问互联网资源。

  • 验证流量是否通过 Citrix SD-WAN IPsec 隧道进入 Palo Alto Prisma Access。

  • 验证 Palo Alto 安全策略是否应用于 “监视” 选项卡下的流量。

  • 验证从互联网到分支中的主机的响应是通过的。

使用 IPsec 隧道的 Palo Alto 集成