Citrix SD-WAN

使用 IPsec 隧道的 Palo Alto 集成

Palo Alto 网络提供基于云的安全基础设施,用于保护远程网络。它通过允许组织设置区域、基于云的防火墙来保护 SD-WAN 架构来提供安全性。

适用于远程网络的 Prisma Access 服务允许您登载远程网络位置,并为用户提供安全性。它消除了在每个远程位置配置和管理设备的复杂性。

该服务提供了一种有效的方法,可轻松添加新的远程网络位置,并确保这些位置的用户始终保持连接和安全,从而最大限度地减少操作难题。

Prisma Access 服务还允许您从 Panorama 集中管理策略,为远程网络位置提供一致和简化的安全保护。

要将远程网络位置连接到 Prisma Access 服务,您可以使用帕洛阿尔托网络下一代防火墙或符合 IPSec 标准的第三方设备(包括 SD-WAN),它们可以建立到该服务的 IPsec 隧道。

  • 规划远程网络的 Prisma Access 服务

  • 配置远程网络的 Prisma Access 服务

  • 带配置导入的板载远程网络

Citrix SD-WAN 解决方案已经提供了从分支中分离 Internet 流量的功能。这对于提供更可靠、更低延迟的用户体验而言至关重要,同时避免在每个分支机构引入昂贵的安全堆栈。Citrix SD-WAN 和 Palo Alto 网络现在为分布式企业提供了一种更可靠和安全的方式,将分支机构中的用户连接到云中的应用程序。

Citrix SD-WAN 设备可以通过 IPsec 隧道从具有最低配置的 SD-WAN 设备位置连接到 Palo Alto 云服务(Prisma Access 服务)网络。您可以在 Citrix SD-WAN 中心中配置帕洛阿尔托网络。

在开始配置远程网络 Prisma 访问服务之前,请保持以下配置准备好,以确保您能够成功启用该服务并为远程网络位置中的用户强制执行策略:

  1. 服务连接— 如果远程网络位置需要访问公司总部的基础架构来验证用户身份或启用对关键网络资产的访问,则必须设置对企业网络的访问权限,以便总部和远程网络位置已连接。

如果远程网络位置是自主的,并且不需要访问其他位置的基础设施,则无需设置服务连接(除非您的移动用户需要访问)。

  1. 模板— Prisma Access 服务自动为远程网络的 Prisma 访问服务创建模板堆栈(远程网络模板堆栈)和顶级模板(远程网络模板)。

要配置远程网络的 Prisma 访问服务,您可以从头开始配置顶级模板或利用现有配置(如果您已在本地运行 Palo Alto Networks 防火墙)。

该模板需要设置来建立 IPsec 隧道和 Internet 密钥交换 (IKE) 配置,用于远程网络位置与 Prisma Access 服务之间的协议协商,您可以在安全策略中引用的区域,以及日志转发配置文件,以便您可以将日志从远程网络的 Prisma Access 服务转发到日志记录服务。

  1. 父设备组— 远程网络的 Prisma Access 服务要求您指定父设备组,其中包括安全策略、安全配置文件和其他策略对象(如应用程序组和对象以及地址组)以及身份验证策略,以便远程网络的 Prisma Access 服务可以始终如一地对通过 IPsec 隧道路由到远程网络 Prisma Access 服务的流量实施策略。您必须在 Panorama 上定义策略规则和对象,或者使用现有设备组来保护远程网络位置中的用户。

注意:

如果您使用引用区域的现有设备组,请确保将定义区域的相应模板添加到远程网络模板堆栈中。

这允许您在配置远程网络的 Prisma Access 服务时完成区域映射。

  1. IP 子网— 为了使 Prisma Access 服务将流量路由到远程网络,您必须为要使用 Prisma Access 服务保护的子网提供路由信息。您可以在远程网络位置定义指向每个子网的静态路由,或者在服务连接位置和 Prisma Access 服务之间配置 BGP,或者使用两种方法的组合。

如果配置两个静态路由并启用 BGP,则静态路由优先。虽然如果远程网络位置只有几个子网,使用静态路由可能会很方便,但在具有许多具有重叠子网的远程网络的大型部署中,BGP 使您能够更轻松地扩展。

SD-WAN Center 中的 Palo Alto 网络

确保满足以下先决条件:

  • 从 PRISMA 访问服务获取全景 IP 地址。

  • 在 PRISMA Access 服务中获取用户名和密码用户。

  • 在 SD-WAN 设备 GUI 中配置 IPsec 隧道。

  • 确保该网站没有板载到一个地区,该地区已经有一个不同的网站配置了 IKE/ IPsec 配置文件,而不是 Citrix-IKE 加密默认值/Citrix-IPsec-加密默认值。

  • 确保在 SD-WAN 中心更新配置时,不会手动更改 Prisma 访问配置。

在 Citrix SD-WAN Center GUI 中,提供 Palo Alto 订阅信息。

  • 配置全景 IP 地址。您可以从 Palo Alto 获得此 IP 地址(PRISMA ACCESS 服务)。

  • 配置 PRISMA ACCESS 服务中使用的用户名和密码。

    帕洛阿尔托配置

添加和部署站点

  1. 若要部署站点,请选择要为 Prisma Access 区域配置的 PRISMA ACCESS 网络区域和 SD-WAN 站点,然后选择站点 WAN 链接、带宽和应用程序对象进行流量选择。

注意:

如果所选带宽超过可用带宽范围,则流量会受到影响。

通过选择应用程序对象选择下的所有流量选项,可以选择将所有绑定 Internet 的流量重定向到 PRISMA Access 服务。

帕洛阿尔托添加网站

帕洛阿尔托部署

  1. 您可以根据需要继续添加更多 SD-WAN 分支站点。

添加更多站点

  1. 单击“部署”。启动更改管理流程。单击“是”继续。

已部署站点

部署后,用于建立隧道的 IPsec 隧道配置如下。

建立隧道

登录页面显示在不同 SD-WAN 区域中配置和分组的所有站点的列表。

已配置站点

验证端到端流量连接:

  • 从分支机构的 LAN 子网访问互联网资源。

  • 验证流量是否通过 Citrix SD-WAN IPsec 隧道进入 Palo Alto Prisma Access。

  • 验证 Palo Alto 安全策略是否应用于 “监视” 选项卡下的流量。

  • 验证从互联网到分支中的主机的响应是通过的。

使用 IPsec 隧道的 Palo Alto 集成