Konfigurieren von sicherem Zugriff mit sicherem Firewall-Schutz für privaten Zugriff mit dynamischem Routing

Download-Optionen

  • PDF     (2.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.9 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.8 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:23. März 2026
Dokument-ID:225611

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.


    Einleitung

    Dieses Dokument beschreibt die Konfiguration von sicherem Zugriff mit FTD über IPsec für sicheren privaten Zugriff mit dynamischem Routing.

    Voraussetzungen

    Anforderungen

    • Kenntnisse zu Cisco Secure Access
    • Cisco Secure Access Dashboard/Tenant
    • Sichere Firewall Threat Defense- und Firewall Management Center-Kenntnisse
    • IPsec-Kenntnisse
    • Kenntnisse zu dynamischem Routing

    Verwendete Komponenten

    • Sichere Firewall mit Code 7.7.10
    • Cloud-fähiges Firewall-Management-Center. Konfiguration gilt auch für typisches virtuelles FMC
    • Cisco Secure Access Dashboard

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Netzwerktunnel in Secure Access können für zwei primäre Zwecke verwendet werden: Sicherer Internetzugriff und sicherer privater Zugriff

    Für einen sicheren privaten Zugriff können Unternehmen ZTA (Zero Trust Access) und/oder VPN-as-a-Service (VPNaaS) nutzen, um Benutzer mit privaten Ressourcen wie internen Anwendungen oder Rechenzentren zu verbinden. IPsec-Tunnel spielen eine Schlüsselrolle in dieser Architektur, indem sie den Netzwerkverkehr zwischen Benutzern und privaten Ressourcen sicher verschlüsseln und sicherstellen, dass vertrauliche Daten geschützt bleiben, während sie nicht vertrauenswürdige Netzwerke passieren. Durch die Integration von IPsec-Tunneln mit ZTA oder VPNaaS können Organisationen einen nahtlosen und sicheren Zugriff auf interne Ressourcen bereitstellen und gleichzeitig robuste Sicherheitskontrollen und Transparenz aufrechterhalten.

    In diesem Dokument wird beschrieben, wie Sie sicheren Zugriff mit sicherem Firewall-Bedrohungsschutz (FTD) über IPsec für sicheren privaten Zugriff konfigurieren.
    Darüber hinaus enthält dieses Handbuch die Schritte zum Konfigurieren von dynamischem Routing mit dem BGP.


    Während in diesem Dokument die Konfiguration von IPsec-Tunneln für sicheren privaten Zugriff behandelt wird, wird die Einrichtung von ZTA (Zero Trust Access) oder VPN-as-a-Service (VPNaaS) für den Zugriff auf private Anwendungen in diesem Leitfaden nicht behandelt.

    Konfigurieren

    Konfiguration des sicheren Zugriffs

    Konfiguration der Netzwerk-Tunnelgruppe

    1. Navigieren Sie zum Admin-Bereich von Sicherer Zugriff.

    CSA DashboardCSA-Dashboard2. Hinzufügen einer Netzwerk-Tunnelgruppe 

    • AufConnectNetwork Connections
      • Klicken Sie unter Network Tunnel Groups > Add

        Check NTGNTG überprüfen

    3. General Settings Konfiguration

    • Konfigurieren Sie Tunnel Group Nameund Region und Device Type
      • Klicken Sie auf  Next
        General SettingsAllgemeine Einstellungen

    4. Konfigurieren Sie das Tunnel IDundPassphrase. Diese ID ist wichtig, da sie für die FTD-Konfiguration erforderlich ist.

    • Klicken Sie Next

      ID and PSKID und PSK

    5. Konfigurieren Sie dynamisches Routing.

    Sicheres Access Routing

    Dynamic Routing (BGP) 

    • Geben Sie bei der Konfiguration des BGP-Peers in Secure Access die AS-Nummer (BGP Autonomous System) des FTD an.
    • Auf RoutingDynamic routing
      • Klicken Sie auf Device AS Number und fügen Sie die FTDs BGP ASN
      • Aktivieren Sie das Block default route advertisementKontrollkästchen.
      • Klicken Sie Save

        CSA BGP ConfigCSA-BGP-Konfiguration
    note-icon

    Anmerkung: Von Secure Access angekündigte Routen gehen dem ursprünglichen AS-Pfad vor und umfassen: 1 für primäre und 2 für sekundäre Tunnel. Multi-Region-Backhaul-Szenarien werden unterstützt. Für weitere Informationen klicken Sie auf .

    Netzwerk-Tunnelgruppenkonfiguration speichern

    Laden Sie die Tunnel-Einrichtungsdaten herunter, und speichern Sie sie, wie es für die FTD-Konfiguration erforderlich ist.

    • Klicken Sie Download CSV
    • Klicken Sie Done

    NTG DataNTG-DatenBGP SettingsBGP-Einstellungen

    note-icon

    Anmerkung: Klicken Sie auf Network Tunnel Group (Netzwerk-Tunnelgruppe), um die BGP-AS-Nummer und die BGP-Peer-IP-Adressen anzuzeigen, die später auf der FTD-Seite konfiguriert werden.

    Erstellen einer privaten Ressource

    Private Ressourcen sind interne Anwendungen, Netzwerke oder Subnetze, die in Ihrem Rechenzentrum oder Ihrer Private Cloud-Umgebung gehostet werden. Diese Ressourcen sind nicht öffentlich zugänglich und werden durch die Infrastruktur Ihres Unternehmens geschützt.

    Durch die Definition als private Ressourcen im sicheren Zugriff können Sie einen kontrollierten Zugriff mithilfe von Lösungen wie ZTA (Zero Trust Access) oder VPN-as-a-Service (VPNaaS) ermöglichen. So wird sichergestellt, dass Benutzer basierend auf Identität, Gerätestatus und Zugriffsrichtlinien sicher auf interne Systeme zugreifen können, ohne die Ressourcen direkt dem Internet auszusetzen.


    Navigieren Sie zu Resources Private Resources> und klicken Sie aufAdd.

    Private Resource1PR

    • Geben Sie die Private Resource Name, Internally reachable address, Protocol, Port/Ranges. Geben Sie Ports und Protokolle an, und fügen Sie bei Bedarf zusätzliche private Ressourcen hinzu.
    • Wählen Sie je nach Bedarf die gewünschten Connection Method Verbindungen aus, z. B. Zero-Trust-Verbindungen und/oder VPN-Verbindungen.
    • Klicken Sie Save
      Private Resource 2Private Ressource

    Erstellen einer Zugriffsrichtlinienregel

    Private Zugriffsregeln definieren, wie Benutzer eine sichere Verbindung zu internen Ressourcen und Anwendungen herstellen können, auf die nicht öffentlich zugegriffen werden kann.

    Mit diesen Regeln wird die Sicherheit durchgesetzt, indem gesteuert wird, wer auf bestimmte private Ressourcen zugreifen kann, und zwar basierend auf Faktoren wie der Benutzeridentität, der Gruppenmitgliedschaft, dem Gerätestatus, dem Standort oder anderen Richtlinienbedingungen. So wird sichergestellt, dass sensible interne Systeme vor dem allgemeinen öffentlichen Zugriff geschützt bleiben und gleichzeitig für autorisierte Benutzer über ZTA oder VPNaaS sicher verfügbar sind.


    Navigieren Sie zu  Secure>Access Policy

    ACPAKP

    • Klicken Sie Add Rule
      • Klicken Sie Private Access

        Add ACPACP hinzufügen
    • Klicken Sie auf Rule Name , und geben Sie ihm einen Namen.
    • Klicken Sie aufAction, und wählen Sie Allowaus, um diesen Datenverkehr zuzulassen.
    • Klicken SieFromauf, und geben Sie die Benutzer an, denen die Berechtigung erteilt wurde. 
    • Klicken Sie auf Tound geben Sie den Zugriff an, den diese Benutzer basierend auf dieser Regel haben.
    • Klicken Sie aufNext, und dann Savein der nächsten Seite

    ACP configAKP-Konfiguration

    Konfiguration der sicheren Firewall-Bedrohungsabwehr (FTD)

    Konfiguration der virtuellen Tunnelschnittstellen

    Eine Virtual Tunnel Interface (VTI) auf FTD ist eine logische Layer 3-Schnittstelle, die zum Konfigurieren von routenbasierten IPsec-VPN-Tunneln verwendet wird.

    1. Navigieren Sie zu Devices> Device Management.FTD DevicesFTD-Geräte

    • Klicken Sie auf das FTD-Gerät, Interfaces
      • Klicken Sie Add Interfaces
      • Klicken Sie Virtual Tunnel Interface
      • Erstellung von zwei virtuellen Tunnelschnittstellen, eine für den primären sicheren Access Hub und eine weitere für den sekundären sicheren Access Hub

        Add VTIsVTIs hinzufügen


    Virtuelle Tunnelschnittstelle 1:

    • Gib ihm einen Namen, klicke auf Enable
    • Wählen oder erstellen Sie eine Security Zone
    • Klicken Sie auf Tunnel ID und geben Sie ihm einen Wert.
    • Klicken Sie auf Tunnel Source , und geben Sie die WAN-Schnittstelle an, von der der Tunnel erstellt werden soll.
    • Klicken Sie auf IPsec Tunnel Mode, wählen SieIPv4
    • Klicken Sie auf IP Address , und konfigurieren Sie die IP-Adresse für den VTI.

    Klicken SieOK

    VTI1.1VTI 1.1
    VTI1.2VTI1,2

    Virtuelle Tunnelschnittstelle 2:

    • Gib ihm einen Namen, klicke auf Enable
    • Wählen oder erstellen Sie eine Security Zone
    • Klicken Sie auf Tunnel ID , und geben Sie ihm einen Wert
    • Klicken Sie auf Tunnel Source , und geben Sie die WAN-Schnittstelle an, von der der Tunnel erstellt werden soll.
    • Klicken Sie auf IPsec Tunnel Mode, wählen SieIPv4
    • Klicken Sie auf IP Address , und konfigurieren Sie die IP-Adresse für den VTI.
    • Klicken SieOK

      VTI2.1VTI 2.1
      VTI2.2VTI 2.2
      Klicken Sie auf Speichern.

    Save VTI ChangesVTI-Änderungen speichern


    IPsec-Tunnelkonfiguration

    Navigieren Sie zu Ihrem cdFMC-Dashboard.

    • Auf Secure ConnectionSite-to-Site VPN & SD-WAN

    S2SS2S

    • Klicken SieAdd
      • Klicken Sie Route-Based VPN
      • Klicken Sie Peer to Peer
        Add VPNVPN hinzufügen
    • Rufen Sie in Schritt 5 der Konfiguration für sicheren Zugriff die Tunnel-IDs und IP-Adressen für das primäre und sekundäre Rechenzentrum ab.
    • Klicken SieEndpoints
      • Klicken Sie unterNode Aauf und wählenDeviceSie Extranet
      • Klicken Sie auf Device Nameund geben Sie ihm einen Namen. 
      • Klicken Sie auf Enpoint IP Addresses , und geben Sie die primäre und sekundäre IP-Adresse für sicheren Zugriff durch ein Komma getrennt ein (aus "Save Network Tunnel Group Configuration" unter Sicherer Zugriff). 
        Konfiguration)
      • Klicken Sie unter Node BaufDeviceund wählen Sie Ihr FTD-Gerät aus.
      • Klicken Sie auf Virtual Tunnel Interface , und wählen Sie die erste im vorherigen Schritt erstellte VTI-Schnittstelle aus.
      • Klicken Sie auf Send Local Identity to Peers Option und wählen Sie Email ID, geben Sie die primäre Tunnel-ID (aus "Save Network Tunnel Group Configuration" unter Secure Access Configuration)
      • Klicken Sie Add Backup VTI
      • Klicken Sie auf Virtual Tunnel Interface , und wählen Sie die zweite im vorherigen Schritt erstellte VTI-Schnittstelle aus.
      • Klicken Sie aufSend Local Identity to Peerseine Option, und wählen Sie Email ID, geben Sie die sekundäre Tunnel-ID ein (unter "Save Network Tunnel Group Configuration" unter Secure Access Configuration).
      • Klicken Sie auf Speichern
        FTD VTI ConfigurationFTD VTI-Konfiguration
    • Klicken Sie IKE
      • Auf IKEv2 Settings > klicken Policies
      • Wählen Sie dieUmbrella-AES-GCM-256Option

    Klicken Sie OK
    IKEv2 PolicyIKEv2-Richtlinie

    • Klicken Sie auf Authentication Type , und wählen SiePre Shared Manual Key, geben Sie den PSK ein, der unter Sicherer Zugriff (Passphrase) konfiguriert wurde.

      IKEIKE
    • Klicken Sie IPSEC
      • Klicken Sie IKEv2 Proposals
      • Auswählen Umbrella-AES-GCM-256
      • Klicken Sie OK

        IPsecIPsec

        Save IKEv2 ProposalsIKEv2-Angebote speichern

    FTD-Routing-Konfiguration

    Dynamic Routing (BGP)

    Border Gateway Protocol (BGP) ist ein dynamisches Routing-Protokoll, das den Austausch von Routing-Informationen zwischen autonomen Systemen (AS) automatisiert. Er bestimmt den besten verfügbaren Pfad für den Datenverkehr auf der Grundlage von Attributen und Richtlinien, anstatt sich auf statische Routen zu verlassen.

    Durch dynamisches Lernen und Aktualisieren von Routen verbessert BGP die Skalierbarkeit, optimiert die Pfadauswahl und bietet automatisches Failover bei Link- oder Netzwerkänderungen.

    Navigieren Sie zu Ihrem cdFMC-Dashboard.

    • Auf DevicesDevice Management
      Device"Slot0:"
    • Klicken Sie auf die FTD
      FTD DeviceFTD-Gerät
      • Klicken Sie auf Routing > BGP > IPv4 > Enable IPv4
      • Klicken Sie aufNeighbor, und geben Sie die BGP Autonomous System (AS)-Nummer für Secure Access sowie die benachbarten IP-Adressen an.
        Weitere Informationen zur Konfiguration dieses Prozesses finden Sie im Hinweis unter "Sicherer Zugriff".
      • Klicken SieSave

    BGP neighborBGP-Nachbar

    note-icon

    Anmerkung: Ab November 2025 verwenden alle neu erstellten Organisationen für sicheren Zugriff standardmäßig das öffentliche ASN 32644 für BGP-Peering in Netzwerk-Tunnelgruppen. Bestehende Unternehmen, die vor November 2025 gegründet wurden, nutzen weiterhin das private ASN 64512, das zuvor für BGP-Peers mit sicherem Zugriff reserviert war.

    • Klicken Sie aufNetworks, und fügen Sie die Netzwerk(e), über die Sie die Werbung machen möchten, Secure Access hinzu.
    • Klicken Sie Save
      Add NetworkNetzwerk hinzufügen

    Konfiguration der Zugriffsrichtlinie

    Um Datenverkehr über eine Cisco FirePOWER Threat Defense (FTD) zuzulassen und den Zugriff auf private Ressourcen zu ermöglichen, muss der Datenverkehr zunächst die erste Phase der Zugriffskontrolle passieren, die als Vorfilterung bezeichnet wird.

    Die Vorfilterung wird vor der tiefer gehenden Prüfung verarbeitet und ist einfach und schnell konzipiert. Zur Bewertung des Datenverkehrs werden grundlegende Kriterien des äußeren Headers (wie Quell- und Ziel-IP-Adressen und -Ports) herangezogen, um Datenverkehr schnell zuzulassen, zu blockieren oder zu umgehen. Wenn der Datenverkehr in dieser Phase zugelassen wird, können ressourcenintensivere Prüfungen wie Deep Packet Inspection oder Intrusion Policies übersprungen werden, wodurch die Leistung verbessert und gleichzeitig die Sicherheitskontrolle aufrechterhalten wird.

    Navigieren Sie zu PoliciesPrefilter

    PrefilterVorfilter

    • Klicken Sie auf die von Ihrer Zugriffsrichtlinie verwendete Vorfilterrichtlinie bearbeiten.
      click on prefilterVorfilter anklicken
    • Klicken Sie Add Tunnel Rule
      • Hinzufügen und Zulassen des Datenverkehrs aus dem VPNaaS-Netzwerk und/oder dem ZTA-Subnetz zu Ihren privaten Ressourcen
      • Klicken SieSave

        Save RuleRegel speichern


    Sobald die Konfiguration auf dem FTD abgeschlossen und verifiziert wurde, können Sie mit der Bereitstellung fortfahren. Nach der Bereitstellung werden sowohl die IPsec-Tunnel als auch die BGP-Nachbarsitzungen erfolgreich gestartet, um zu bestätigen, dass die Verbindung und das dynamische Routing wie erwartet funktionieren.

    Überprüfung

    In FTD überprüfen

    Tunnelstatus in FTD

    Sie können den aktuellen Status des Tunnels anzeigen, einschließlich dessen, ob er aktiv oder inaktiv ist. Dadurch kann überprüft werden, ob der IPsec-Tunnel ordnungsgemäß eingerichtet ist.

    • Klicken Sie auf Sichere Verbindungen.
    • Klicken Sie auf Site-to-Site-VPN und SD-WAN.
    • Klicken Sie auf den Topologienamen.

    FTD Tunnel StatusFTD-Tunnelstatus

    Tunnelstatus bei sicherem Zugriff

    Sie können den aktuellen Status des Tunnels anzeigen, einschließlich ob er "Getrennt", "Warnung" oder "Verbunden" ist. Dadurch kann überprüft werden, ob der IPsec-Tunnel ordnungsgemäß eingerichtet ist.

    • Klicken Sie auf Verbinden > Netzwerkverbindungen.
    • Klicken Sie auf Network Tunnel Groups (Netzwerktunnelgruppen)

    Check NTGNTG überprüfen

    • Klicken Sie auf die Netzwerk-Tunnelgruppe.

    CSA Tunnel StatusCSA-Tunnelstatus

    Ereignisse in sicherem Zugriff

    Sie können Tunnel- und BGP-Ereignisse anzeigen und überprüfen, ob der Status der IPsec-Tunnel aktiv und stabil ist und ob BGP-Sitzungen eingerichtet wurden.

    Klicken Sie auf Monitor > Network Connectivity (Überwachen > Netzwerkverbindung).

    Monitor Conn LogsProtokolle überwachen

    NTG LogsNTG-Protokolle

    Navigieren Sie zu Überwachen > Aktivitätssuche.
    Monitor Conn LogsProtokolle überwachen
    Klicken Sie auf eines der Ereignisse in diesem Zusammenhang auf View Full Details.

    Full DetailsVollständige Details

    Activity SearchAktivitätssuche

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    23-Mar-2026
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Josue Brenes
      Customer Experience Customer Success Specialist

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.