安全
您可以配置安全设置,例如网络加密、虚拟路径IPsec、防火墙和适用于网络上所有设备的证书。
防火墙区域
通过在网络中配置安全区域,并定义策略来控制流量进出安全区域的方式。默认配置如下:
- Default_LAN_Zone:用于访问或来自某对象的流量,该对象具有可配置的区域,但该区域尚未设置。
- Internet_Zone:适用于通过可信接口进出Internet服务的流量。
- Untrusted_Internet_Zone:适用于使用不受信任的接口进出Internet服务的流量。
您也可以创建自己的区域,并将它们分配给以下类型的对象:
- 虚拟网络接口
- 内联网服务
- GRE隧道
- 局域网IPsec隧道
点击验证配置验证任何审计错误。
防火墙默认值
您可以配置可应用于SD-WAN网络中的所有设备的全局默认防火墙操作和全局防火墙设置。还可以在站点级别定义设置,该级别将覆盖全局设置。
当没有防火墙规则匹配时的动作:对于没有匹配防火墙策略的报文,在列表中选择动作(允许或丢弃)。
无法检查安全配置文件时的处理措施:对于匹配防火墙规则并使用安全配置文件但边缘安全子系统暂时无法检查的数据包,选择一个动作(忽略或删除)。如果您选择忽略,则将相关防火墙规则视为不匹配,并按顺序计算下一个防火墙规则。如果您选择下降,匹配相关防火墙规则的报文将被丢弃。
防火墙默认动作:对不匹配策略的报文,在报文列表中选择动作(允许/丢弃)。
默认连接状态跟踪:对没有匹配过滤策略或NAT规则的TCP、UDP、ICMP流开启定向连接状态跟踪功能。
请注意
当不对称流被阻塞时默认连接状态跟踪即使在没有定义防火墙策略时也会启用。如果站点上存在不对称流的可能性,建议在站点或策略级别启用它,而不是全局启用。
否认超时(s):关闭被拒绝连接前等待新数据包的时间(以秒为单位)。
TCP初始超时时间(秒):在关闭一个不完整的TCP会话之前等待新报文的时间(单位为秒)。
TCP空闲超时时间(秒):关闭活动TCP会话前等待新报文的时间(单位为秒)。
TCP超时关闭:终止请求后,在关闭TCP会话之前等待新报文的时间(单位为秒)。
TCP时间等待超时时间(秒):在关闭终止的TCP会话之前等待新报文的时间(以秒为单位)。
TCP关闭超时时间(秒):在关闭中止的TCP会话之前等待新报文的时间(以秒为单位)。
UDP初始超时时间(s):在关闭UDP会话之前等待新报文的时间(以秒为单位),在两个方向上都没有看到流量。
UDP空闲超时时间(秒):在关闭一个活跃的UDP会话之前等待新报文的时间(单位为秒)。
ICMP初始超时时间(s):在没有看到双向流量的ICMP会话关闭之前等待新报文的时间(单位为秒)
ICMP空闲超时时间(s):关闭一个活动ICMP会话前等待新报文的时间(单位为秒)。
通用初始超时(秒):在没有看到双向流量的通用会话关闭之前等待新数据包的时间(以秒为单位)。
通用空闲超时(秒):关闭活动通用会话前等待新数据包的时间(以秒为单位)。
点击验证配置验证任何审计错误。
防火墙策略
防火墙策略通过确保根据匹配条件和应用特定的操作将网络流量限制在特定的防火墙规则上,从而提供安全性。的防火墙策略包含三个部分。
- 全局缺省—全局默认策略是一对防火墙规则的聚合。创建的策略全局缺省节应用于网络中的所有站点。
- 网站具体—定义的防火墙规则可在特定站点中应用。
- 全球覆盖—您可以使用覆盖全局和站点特定的策略全球覆盖政策.
您可以定义防火墙规则,并根据优先级设置防火墙规则。您可以选择从列表顶部、列表底部或特定行开始的优先级顺序。
建议在顶部为应用程序或子应用程序设置更具体的规则,然后为代表更广泛流量的应用程序设置不那么具体的规则。
单击,新建防火墙规则创建新规则.
- 提供策略名称并选择积极的政策复选框,如果您想应用所有防火墙规则。
匹配条件包括:基于域名的应用、自定义的应用、应用组、应用族、IP协议等。
过滤条件:
来源区:源防火墙区域。
目标区域:目的防火墙区域。
源服务类型:源SD-WAN的服务类型。“服务类型”举例如下:“本地”、“虚拟路径”、“内网”、“IP主机”、“Internet”。
源服务名称:与服务类型绑定的服务名称。例如,如果为源服务类型选择了虚拟路径,则它将是特定虚拟路径的名称。这并不总是必需的,并且取决于所选择的服务类型。
源IP:规则匹配的IP地址和子网掩码。
源端口:指定应用使用的源端口。
服务台服务类型:目的SD-WAN服务类型。例如:“本地”、“虚拟路径”、“内网”、“IP主机”、“Internet”。
服务台服务名称:与服务类型绑定的服务名称。这并不总是必需的,并且取决于所选择的服务类型。
IP不在座位上:过滤器匹配的IP地址和子网掩码。
桌子的港口:特定应用程序使用的目的端口(即TCP协议的HTTP目的端口80)。
IP协议:选择该匹配类型,选择规则匹配的IP协议。选项包括ANY, TCP, UDP ICMP等。
DSCP:允许用户匹配DSCP标记设置。
允许片段:允许匹配该规则的IP分片。
相反的也:自动添加此筛选策略的副本,并反转源和目标设置。
匹配了:在允许出报文的连接中匹配入报文。
对匹配的流可以执行以下操作:
允许:允许流量通过防火墙。
下降:通过丢弃报文的方式拒绝该流通过防火墙。
拒绝:拒绝流通过防火墙,发送基于协议的响应。TCP发送复位,ICMP发送错误消息。
计数和继续:计算此流的包数和字节数,然后继续沿着策略列表向下。
除了定义要采取的操作外,您还可以选择要捕获的日志。
网络安全
选择要在整个网络中使用的加密机制。您可以通过配置全局安全设置来保证整个SD-WAN网络的安全。
网络加密方式定义了SD-WAN网络中所有加密路径所使用的算法。不适用于未加密的路径。可以设置为AES-128加密或AES-256加密。
SSL检验
SSL (Secure Sockets Layer)检测是对HTTPS和安全SMTP协议传输的恶意内容进行拦截、解密和扫描的过程。SSL检查为来往于组织的流量提供安全性。您可以生成并上传组织的根CA证书,并对流量执行中间人检查。
请注意
从Citrix SD-WAN 11.3.0版本开始支持SSL检查。
要在网络级别启用SSL检查,请导航到配置>安全> SSL巡检>配置并定义以下SSL配置设置。
- 启用SMTPS流量处理功能:对安全的SMTP协议流量进行SSL检测。
- 开启HTTPS流量处理功能: HTTPS流量进行SSL检测。
- 阻断无效的HTTPS流量:缺省情况下阻断无效的HTTPS流量复选框被清除,则忽略端口443上的非https通信,并允许其畅通无阻地流动。当阻断无效的HTTPS流量选中,表示阻断非https流量进行SSL检测。启用此选项可能会导致合法流量被阻塞,即端口443上的HTTP流量或来自具有过期证书的站点的HTTPS流量。
- 客户端连接协议:选择所需的客户端协议。支持的协议有SSLvHello、SSLv3、TLSv1、TSLv1.1、TLSv1.2和TLSv1.3。
- 服务器连接协议:选择所需的服务器协议。支持的协议有SSLvHello、SSLv3、TLSv1、TSLv1.1、TLSv1.2和TLSv1.3。
请注意
比TLSv1.2更老的版本被认为是脆弱的,所以不能启用,除非向后兼容性很重要。
在根证书选项卡,复制并粘贴您的组织根证书颁发机构(CA)的根证书和密钥。根CA用于创建原始站点证书的伪造副本并对其进行签名,以便进行SSL检测。Ιt隐式假定根CA证书安装在所有可以对其通信进行SSL检查的客户机工作站和设备上。
默认的,信任所有由根授权机构签署的服务器证书和下面列出的证书选项将导致SD-WAN根据根CA和前面配置的根CA的标准列表验证所有服务器证书。它还会丢弃具有无效证书的服务器。要覆盖此行为,请将内部服务器的SSL自签名证书上传到受信任的服务器证书选项卡。点击添加证书并提供一个名称、浏览证书并上传它。或者,如果您愿意的话信任所有服务器证书,所有服务器都被认为是受Citrix SD-WAN信任的,无论它们的证书验证状态如何。
作为安全配置文件的一部分,您可以创建SSL规则并启用它们进行SSL检查。有关为安全配置文件创建SSL规则的更多信息,请参见边安全.
入侵预防
入侵防御系统(IPS)检测和阻止恶意活动进入您的网络。IPS对网络流量进行检测,并对所有流入的流量进行自动处理。它包括一个超过34,000个签名检测和启发式签名的数据库,用于端口扫描,允许您有效地监视和阻止大多数可疑的请求。
IPS使用基于特征的检测,将入站的数据包与一个唯一可识别的攻击和攻击模式数据库进行匹配。特征库每日自动更新。由于有数千个签名,这些签名被分组为Category和Class类型。
您可以创建IPS规则,只启用网络需要的签名类别或类类型。由于入侵防御是一个计算敏感的过程,所以只使用与您的网络相关的签名类别或类类型的最小集合。
创建IPS配置文件,并启用IPS组合规则。这些IPS配置文件可以与整个网络全局关联,也可以只与特定站点关联。
每个规则可以关联多个IPS配置文件,每个IPS配置文件可以关联多个站点。当启用IPS配置文件时,它将检查与该IPS配置文件关联的站点的网络流量,以及该配置文件中启用的IPS规则。
当需要创建IPS规则时,在网络层单击配置>安全>入侵防御>入侵防御规则并点击新规则.
提供规则名称和描述。选择匹配的类别或类类型签名属性,选择规则的动作并启用。您可以从以下规则操作中选择:
| 规则操作 | 函数 |
|---|---|
| 推荐 | 每个签名都定义了推荐的操作。请对签名执行推荐的操作。 |
| 启用日志 | 允许流量匹配规则中的任何一个签名,并记录日志。 |
| “推荐”为“启用块” | 如果规则动作是推荐签名的建议动作是启用日志,丢弃匹配规则中任意一个签名的流量。 |
| 使块 | 删除匹配规则中任意签名的流量。 |
请注意
- 由于入侵防御是一个计算敏感的进程,只使用与边缘安全部署相关的最小的签名类别集。
- SD-WAN防火墙会丢弃所有不是端口转发的、在IPS引擎中不可见的WAN L4端口上的流量。这提供了一个额外的安全层来抵御普通的DOS和扫描攻击。
要创建IPS配置文件,在网络级别,请导航到配置>安全>入侵防御> IPS配置文件并点击新的配置文件.
配置IPS配置文件的名称和描述。在“诱导多能性”规则选项卡,启用所需的“诱导多能性”规则,打开启用ip配置文件.
在网站选项卡上,单击选择网站.选择站点,单击保存.点击创建概要文件.
在创建安全配置文件时,可以启用或禁用这些IPS配置文件。安全配置文件用于创建防火墙规则。有关更多信息,请参见安全配置文件—入侵防御.
虚拟路径IPsec
虚拟路径IPsec定义了IPsec隧道设置,以保证数据在静态虚拟路径和动态虚拟路径上的安全传输。选择静态虚拟路径IPSec或动态虚拟路径IPSec页签,定义IPsec隧道设置。
- 封装类型:请选择以下安全类型之一:
- ESP:数据封装和加密。
- ESP +身份验证:对数据进行封装、加密和HMAC验证。
- 啊: HMAC验证数据。
- 加密模式:启用ESP协议时的加密算法。
- 散列算法:生成HMAC的哈希算法。
- 一生(s): IPsec安全联盟存在的首选时间,单位为秒。输入0表示无限。
配置IPsec业务的相关信息请参见IPsec服务.
点击验证配置验证任何审计错误
证书
有两种类型的证书:身份证书和受信任证书。身份证书用于对数据进行签名或加密,以验证消息的内容和发送方的身份。可信证书用于验证消息签名。Citrix SD-WAN设备接受身份证书和受信任证书。管理员可以在“配置编辑器”中管理证书。
点击验证配置验证任何审计错误
单击,添加证书添加证书.
证书名称:提供证书名称。
证书类型:在下拉列表中选择证书类型。
身份证明:身份证书要求证书的私钥对签名者可用。身份证书或受对等体信任的证书链,用于验证发送方的内容和身份。配置的身份证书及其对应的指纹将显示在配置编辑器中。
信任的证书:受信任证书是自签名的、中间证书颁发机构(CA)或根CA证书,用于验证对等体的身份。受信任证书不需要私钥。这里列出了配置的受信任证书及其相应的指纹。
举办了防火墙
Citrix SD-WAN Orchestrator服务支持以下托管防火墙:
- 帕洛阿尔托网络
- 检查
帕洛阿尔托网络
Citrix SD-WAN Orchestrator服务支持在SD-WAN 1100平台上托管Palo Alto Networks下一代虚拟机(VM)系列防火墙。支持的虚拟机型号如下:
- VM 50
- 虚拟机100
Palo Alto Network虚拟机系列防火墙作为虚拟机运行在SD-WAN 1100平台上。防火墙虚拟机以virtual Wire方式集成,有两个数据虚拟接口与之相连。通过在SD-WAN Orchestrator上配置策略,可以将所需的流量重定向到防火墙虚拟机。
检查
Citrix SD-WAN Orchestrator服务支持托管检查点CloudGuard边缘在SD-WAN 1100平台上。
的检查点CloudGuard边缘作为虚拟机在SD-WAN 1100平台上运行。集成了防火墙虚拟机桥连接两个数据虚拟接口的模式。通过在SD-WAN Orchestrator上配置策略,可以将所需的流量重定向到防火墙虚拟机。
好处
以下是在SD-WAN 1100平台上集成Palo Alto Networks的主要目标或好处:
分支设备整合:实现SD-WAN和高级安全性的单个设备
分支机构的安全通过预先部署的NGFW(下一代防火墙)来保护lan到lan、lan到internet和internet到lan的流量
通过SD-WAN Orchestrator发放防火墙虚拟机的步骤如下:
从Citrix SD-WAN Orchestrator服务GUI,导航到配置>安全>选择举办了防火墙.
如果需要上传软件镜像文件,请执行虚拟机镜像选项卡。从下拉列表中选择厂商名称为Palo Alto Networks/Check Point。单击或拖放框内的软件镜像文件,单击上传.
![托管防火墙虚拟机映像]()
上传过程中会出现一个状态栏。不点击刷新或执行任何其他操作,直到图像文件显示100%上传。
成功上传映像之后,就可以使用它了,并且可以在初始化虚拟机配置时选择它。
去虚拟机管理选项卡并单击条款.
![主持防火墙提供]()
提供以下细节:
![托管防火墙提供详细信息]()
供应商:选择厂商名称为Palo Alto Networks/Check Point.
模型:在下拉列表中选择虚拟机型号。
图像文件的名字:从上传的文件中选择软件镜像,发放Hosted Firewall虚拟机。
请注意
软件图像由供应商(Palo Alto Networks/Check Point)提供。
网站:在下拉列表中选择需要发放“Hosted Firewall”虚拟机的站点。
全景主IP或FQDN:输入管理服务器的主IP地址或完全域名(可选)。
全景从IP或FQDN:输入管理服务器从IP地址或完全限定域名(可选)。
验证码:虚拟认证码,用于授权使用。
认证密钥:输入管理服务器使用的虚拟认证密钥。
虚拟机认证密钥是Palo Alto Networks虚拟机自动注册到全景图所需的密钥。
- 点击条款.
一旦在SD-WAN 1100平台上配置了虚拟机,就可以启动、关闭或完全取消供应托管防火墙虚拟机。
流量重定向
对于流量重定向,请转到主持防火墙配置文件选项卡并单击添加配置文件.
![主持防火墙配置文件]()
提供所需的信息来添加举办了防火墙模板,然后单击添加.
![主持防火墙模板]()
的主持防火墙模板允许将流量重定向到防火墙的虚拟机托管在SD-WAN Orchestrator上。以下是配置模板所需的输入:
主机防火墙配置文件名称:主机防火墙模板名称。
供应商:防火墙厂商名称。
模型:主机防火墙的虚拟机型号。虚拟机型号可选择为:虚拟机50/虚拟机100。
部署模式:“部署模式”字段将自动填充并显示为灰色。对于Palo Alto Networks厂商,部署模式为Virtual Wire;对于Check Point厂商,部署模式为Bridge。
主管理服务器IP地址/FQDN:全景主管理服务器IP/全景完全合格域名。
从管理服务器IP地址/FQDN:从管理服务器IP/全景完全合格域名。
主机防火墙重定向接口:这些逻辑接口用于SD-WAN Orchestrator和托管防火墙之间的流量重定向。
“Interface-1”、“Interface-2”指主机防火墙的前两个接口。如果使用vlan重定向,则需要在主机防火墙上配置相同的vlan。为流量重定向配置的vlan位于SD-WAN Orchestrator和托管防火墙的内部。
请注意
重定向输入接口必须从连接启动器方向选择。响应流量自动选择重定向接口。例如,当outbound internet的流量被重定向到Interface-1的主机防火墙时,响应流量会自动重定向到Interface-2的主机防火墙。如果没有互联网流入流量,则不需要配置接口2。
只有两个物理接口分配给Palo Alto Networks防火墙,两个数据接口分配给Check Point虚拟机。
如果需要将来自多个区域的流量重定向到主机防火墙,则可以通过内部vlan创建多个子接口,将多个子接口关联到主机防火墙的不同防火墙区域。
请注意
SD-WAN防火墙策略会自动创建,以允许来自所托管的防火墙管理服务器的流量。这避免了对源自(或)指定给托管防火墙的管理通信进行重定向。
使用SD-WAN防火墙策略可以实现到防火墙虚拟机的流量重定向。
导航到配置>安全>防火墙配置文件>去全球概要文件部分。点击+全球概要.
![托管防火墙全局配置文件]()
提供一个配置文件名称并选择当前文件复选框。点击创建新规则.
![托管防火墙新规则]()
改变策略类型来举办了防火墙.的行动字段自动填充为重定向到托管防火墙.选择主持防火墙配置文件和托管防火墙重定向接口下拉列表。
![主机防火墙的行为]()
根据需要填写其他匹配条件,单击完成.
