Citrix SD-WAN + Palo Alto Networks 為分支機構帶來最佳且靈活的網路安全解決方案

Palo Alto Networks與Citrix的協同合作

Palo Alto Networks 與 Citrix之間的合作旨在解決這些問題。Citrix SD-WAN 上的 Palo Alto Networks新世代防火牆 的組合提供了最佳的網路和安全解決方案，為分散式企業提供了靈活的選擇。
Citrix SD-WAN 作為 新世代WAN Edge 解決方案，可為從任何位置交付的關鍵任務和業務關鍵型應用程式提供無與倫比的體驗，其全面的安全性可保護分支機構，網路和雲中的使用者，應用程式和資料。

Citrix SD-WAN 以其智慧功能領先業界，可使用深度包檢測技術識別 4,500個 應用程式，以進行應用程式的即時發現和分類。它使用此應用知識來智慧地將流量從分支機構引導到Internet，私有資料中心或公有雲。這對於使用 Citrix Virtual Apps ＆ Desktops 的客戶特別有利，因為 Citrix SD-WAN 可以精細地解析和優化HDX流量。以最廣泛採用的基於雲的企業生產力套件（例如Microsoft Office 365）為例。通過支援Office365的網路連接，Citrix SD-WAN 可以加速對延遲敏感的 Skype 或 Teams 應用程式，這是通過自動交換已發佈的 Office 365 的終結點 URL 和 IP 地址來實現的。本質上，這可以提供分支機構與本地Office365的直接連接。然後，Citrix SD-WAN 通過靈活的部署模型從 Palo Alto Networks 添加了安全保護層：

• 作為本機服務，在新的 Citrix SD-WAN1100 中託管虛擬化的VM-50 / 100新世代防火牆（VNF）。
• 作為一項服務，Citrix SD-WAN 設備通過該服務提供到最近的 Palo Alto Networks Prisma Access（又名Global Protect雲服務）服務提供點（PoP）的自動安全連接。

Citrix投入了大量心力，將這些解決方案緊密集成到其管理平臺中，並對它們進行了優化，以實現快速的分支機構接入，無縫部署和敏捷捷的服務交付。Citrix通過在其SD-WAN Orchestrator中構建Palo Alto Networks VM-50 / 100和Prisma Access服務供應來實現這些目標，如下圖所示

Citrix SD-WAN 1100上的Palo Alto Networks VM-50 / 100可提供本地安全性，在我們看作為虛擬網路功能（VNF）運行的Palo Alto Networks VM-50 / 100之前，我們必須首先看一下新的Citrix SD-WAN1100作為主機平臺。

新型 Citrix SD-WAN 1100 是一款緊湊型1RU尺寸的專用高性能設備。在後臺，它是一個支持 SDN / NFV的平臺，由八核CPU驅動，旨在託管精選合作夥伴提供的各種虛擬化網路功能（VNF）。

第一個託管的虛擬化網路功能是 Palo Alto Networks VM-50 和 VM-100NG-FW。兩者都是功能齊全的新世代防火牆（NG-FW），以其高級安全功能而聞名。
Citrix SD-WAN 1100 和 Palo Alto Networks VM 系列 NG-FW 的組合代表了單個設備中的高級WAN邊緣和安全解決方案。

從Citrix SD-WAN Orchestrator部署Palo Alto Networks VM系列

Citrix SD-WAN客戶可以直接在Citrix SD-WAN Orchestrator中啟動預定義的工作流，該工作流旨在自動啟動Palo Alto Networks VM系列（虛擬機器或VM）的啟動。在後臺，SD-WAN Orchestrator從Palo Alto Networks伺服器上載VM映射，並將VM作為VNF服務部署到所有SD-WAN 1100平臺。最後一步，每個Palo Alto Networks VM都會依次聯繫Palo Alto Networks Panorama以獲取服務權利和許可證驗證。
Citrix SD-WAN Orchestrator還允許將集成防火牆流量直接重定向到Palo Alto Networks VM。這樣做有幾個好處：

• 在轉發之前，Palo Alto Networks VM將檢查所有LAN到LAN的流量。當檢測到受感染的使用者，設備或應用程式時，將首先隔離受感染的主機，直到威脅源被消除為止。
• Palo Alto Network的VM清除了直接互聯網上的流量。由於Palo Alto Networks VM是本地託管在WAN邊緣的，因此用戶將從最小的延遲，更高的安全性和整體體驗品質中受益。
• 可以控制資料中心綁定流量以進行本地檢查，也可以由中央全棧防火牆處理。

Palo Alto Networks Prisma Access

通過使用Palo Alto Networks Prisma Access來補充Citrix SD-WAN，分支機構客戶可以受益于基於雲的經濟高效的安全Web閘道服務（SWG），以集中和簡化策略管理。SWG服務通常是最基本的安全服務集，並且可以擴展全面支援新世代防火牆服務，例如防止資料洩露和大規模SSL卸載。還提供高級零日訂閱服務，例如高級威脅防護（ATP）和全球威脅情報服務。

從Citrix SD-WAN Orchestrator到Palo Alto Networks Prisma Access的簡單連接設置 

Citrix通過SD-WAN Orchestrator依靠一組API來自動建立來自客戶分支機構的IPsec隧道，並將其Internet流量重定向到最近的Prisma Access Point of Poss。這使Prisma Access可以即時檢查應用程式內容，以防資料被盜和保護惡意軟體。它還可以啟用入侵偵測以查找網路中的惡意活動，並提供URL過濾以識別和控制對Web流量的訪問。此外，對於主動-主動或主動-被動IPsec連接，可以使用SD-WAN將安全性原則應用於分支到Internet和分支到分支的流量。

作為一項雲服務，Palo Alto Networks Prisma Access提供了基於雲的防火牆功能，以減少必須管理每個分支機構分佈的全棧防火牆的開銷。企業可以降低內部資源開銷並提高運營敏捷性。

Citrix 與 Palo Alto Networks 安全集成優點：

• 這些聯合解決方案以更具成本效益和更簡單的模型取代了在每個分支機構安裝多個昂貴的全棧防火牆的需求。
• Citrix SD-WAN 確保分支機構用戶具有可靠和安全的連接，並從資料中心和公有雲中獲得卓越的應用程式體驗，以提高生產力。
• Citrix SD-WAN 提供了更有效的 WAN 邊緣，可通過 Internet 將用戶連接到雲，而成本比傳統 WAN路由器低得多。

• Citrix SD-WAN Orchestrator 用作自動建立到 Palo Alto Networks Prisma 接入點（PoP）的安全 IPsec隧道的起點。
• Citrix SD-WAN Orchestrator通 過簡單的部署步驟和流量重定向策略，簡化了在 SD-WAN 1100 中作為VNF 運行時 Palo Alto NetworksVM-50 / 100 的配置。
• 使用深度資料包檢查，Palo Alto Networks VM-50 / 100 和 Prisma Access 可以識別所有埠上的所有應用程式，而無需考慮協定，SSL 加密或規避策略。應用程式標識是應用所有安全性原則的基礎。
• Palo Alto Networks VM-50/100 和 Prisma Access 即時檢查內容。入侵防禦技術可以識別網路中應用程式流量中嵌入的攻擊和惡意軟體（低延遲，高吞吐速度），然後確定需要採取哪些措施來保護網路。
• Palo Alto Networks 的 Prisma Access 服務利用了基於雲的基礎架構，從而使客戶可以避免設置防火牆大小和計算資源配置的挑戰。這樣可以最大程度地減少與分散式組織相關的覆蓋範圍差異或不一致之處。
• Palo Alto Networks Panorama 可與 Palo Alto Networks Cortex 日誌記錄服務一起使用，以進行分析和報告生成或事件取證。