Configuración del acceso seguro con Secure Firewall Threat Defence para el acceso privado con enrutamiento dinámico

Introducción

Este documento describe cómo configurar Secure Access con FTD a través de IPsec para Secure Private Access con Dynamic Routing.

Prerequisites

Requirements

• Conocimientos sobre Cisco Secure Access
• Panel/arrendatario de Cisco Secure Access
• Conocimiento de Secure Firewall Threat Defence y Firewall Management Center
• conocimiento de IPsec
• Conocimiento del routing dinámico

Componentes Utilizados

• Secure Firewall con código 7.7.10
• Centro de gestión de firewalls en la nube. La configuración también se aplica al FMC virtual típico
• Panel de Cisco Secure Access

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Los túneles de red de Secure Access se pueden utilizar para dos fines principales: Acceso seguro a Internet y acceso privado seguro.

En el caso del acceso privado seguro, las organizaciones pueden aprovechar el acceso de confianza cero (ZTA) o VPN como servicio (VPNaaS) para conectar a los usuarios con recursos privados, como aplicaciones internas o Data Centers. Los túneles IPsec desempeñan un papel clave en esta arquitectura, ya que cifran de forma segura el tráfico de red entre los usuarios y los recursos privados, lo que garantiza que los datos confidenciales permanezcan protegidos mientras atraviesan redes no fiables. Al integrar túneles IPsec con ZTA o VPNaaS, las organizaciones pueden proporcionar un acceso seguro y sin problemas a los recursos internos, a la vez que mantienen unos sólidos controles de seguridad y visibilidad.

Este documento describe cómo configurar Secure Access con Secure Firewall Threat Defence (FTD) a través de IPsec para Secure Private Access.
Además, esta guía proporciona los pasos para configurar el ruteo dinámico con BGP.

Aunque este documento trata sobre la configuración de túneles IPsec para el acceso privado seguro, la configuración de Zero Trust Access (ZTA) o VPN as a Service (VPNaaS) para acceder a aplicaciones privadas está fuera del alcance de esta guía.

Configurar

Configuración de Secure Access

Configuración del Grupo de Túnel de Red

1. Acceda al panel de administración de Acceso seguro.

Panel de CSA2. Agregue un grupo de túnel de red. 

• Haga clic enConnect> Network Connections
  • En Network Tunnel Groups haga clic en > Add
    
    Comprobar NTG

3. General Settings Configuración.

• Configure el Tunnel Group Name, Region y Device Type
  • Haga clic en Next
    Configuración general

4. Configure el Tunnel IDyPassphrase. Este ID es importante, ya que es necesario para la configuración de FTD

• Haga clic en Next
  
  

  ID y PSK

5. Configure el enrutamiento dinámico.

Routing de acceso seguro

Routing dinámico (BGP) 

• Especifique el número de sistema autónomo (AS) BGP del FTD al configurar el par BGP en Secure Access.
• Haga clic en Routing> Dynamic routing
  • Haga clic en Device AS Number y agregue los FTDs BGP ASN
  • Marque la Block default route advertisementcasilla de verificación
  • Haga clic en Save
    
    Configuración de CSA BGP

Nota: Las rutas anunciadas por Secure Access anteponen la ruta AS original para incluir: 1 para túneles primarios y 2 para túneles secundarios. Se admiten escenarios de red de retorno multiregión. Para obtener más información, haga clic en .

Guardar configuración de grupo de túnel de red

Descargue y guarde los datos de configuración del túnel, ya que son necesarios para la configuración del FTD.

• Haga clic en Download CSV
• Haga clic en Done
  
  

Datos NTGConfiguración de BGP

Nota: Haga clic en Network Tunnel Group para ver el número AS de BGP y las direcciones IP de peer BGP, que se configuran más adelante en el lado FTD.

Crear un recurso privado

Los recursos privados son aplicaciones internas, redes o subredes alojadas en su Data Center o entorno de nube privada. Estos recursos no son de acceso público y están protegidos detrás de la infraestructura de su organización.

Al definirlos como recursos privados en Secure Access, puede habilitar el acceso controlado a través de soluciones como Zero Trust Access (ZTA) o VPN as a Service (VPNaaS). Esto garantiza que los usuarios puedan conectarse de forma segura a los sistemas internos en función de la identidad, el estado del dispositivo y las políticas de acceso, sin exponer los recursos directamente a Internet.

Vaya a Resources > Private Resources> haga clic enAdd.

PR

• Especifique el Private Resource Name, Internally reachable address, Protocol, Port/Ranges. Especifique puertos y protocolos y agregue recursos privados adicionales según sea necesario
• Seleccione la opción deseada Connection Method en función de sus necesidades, por ejemplo, conexiones de confianza cero o conexiones VPN, según sus requisitos
• Haga clic en Save
  Recurso privado

Crear una regla de directiva de acceso

Las reglas de acceso privado definen cómo los usuarios pueden conectarse de forma segura a recursos internos y aplicaciones que no son de acceso público.

Estas reglas aplican la seguridad al controlar quién puede acceder a recursos privados específicos en función de factores como la identidad del usuario, la pertenencia a un grupo, el estado del dispositivo, la ubicación u otras condiciones de la directiva. Esto garantiza que los sistemas internos confidenciales permanezcan protegidos frente al acceso público general, al tiempo que se encuentran disponibles de forma segura para los usuarios autorizados a través de ZTA o VPNaaS.

Vaya a  Secure>Access Policy

ACP

• Haga clic en Add Rule
  • Haga clic en Private Access
    
    Agregar ACP
• Haga clic en Rule Name y asigne un nombre
• Haga clic enAction, seleccione Allowpara permitir este tráfico
• Haga clicFromen y especifique los usuarios a los que se concede permiso 
• Haga clic en Toy especifique el acceso que tienen esos usuarios según esta regla
• Haga clic enNexty Saveen la página siguiente
  
  

configuración de ACP

Configuración de Secure Firewall Threat Defence (FTD)

Configuración de Interfaces de Túnel Virtual

Una interfaz de túnel virtual (VTI) en FTD es una interfaz de capa 3 lógica que se utiliza para configurar túneles VPN IPsec basados en ruta.

1. Acceda a Devices> Device Management.Dispositivos FTD

• Haga clic en el dispositivo FTD, Interfaces
  • Haga clic en Add Interfaces
  • Haga clic en Virtual Tunnel Interface
  • Cree dos interfaces de túnel virtuales, una para el Secure Access Hub principal y otra para el Secure Access Hub secundario
    
    Agregar VTI

Interfaz de túnel virtual 1:

• Dé un nombre, haga clic en Enable
• Seleccione o cree un Security Zone
• Haga clic en Tunnel ID y asigne un valor.
• Haga clic en Tunnel Source y especifique la interfaz WAN desde la que se establecerá el túnel
• Haga clic en IPsec Tunnel Mode, seleccioneIPv4
• Haga clic en IP Address y configure la dirección IP para el VTI

Haga clic enOK

VTI1.1
VTI1.2

Interfaz de túnel virtual 2:

• Dé un nombre, haga clic en Enable
• Seleccione o cree un Security Zone
• Haga clic en Tunnel ID y asígnele un valor
• Haga clic en Tunnel Source y especifique la interfaz WAN desde la que se establecerá el túnel
• Haga clic en IPsec Tunnel Mode, seleccioneIPv4
• Haga clic en IP Address y configure la dirección IP para el VTI
• Haga clic enOK
  
  VTI2.1
  VTI2.2
  Haga clic en Guardar.

Guardar cambios VTI

Configuración del túnel IPsec

Vaya al panel de cdFMC.

• Haga clic en Secure Connection> Site-to-Site VPN & SD-WAN
  
  

S2S

• Haga clic enAdd
  • Haga clic en Route-Based VPN
  • Haga clic en Peer to Peer
    Agregar VPN
• En el paso 5 de la configuración de Secure Access, obtenga los ID de túnel y las direcciones IP de los Data Centers principales y secundarios
• Haga clic enEndpoints
  • EnNode A, haga clic enDevicey seleccione Extranet
  • Haga clic en Device Namey asigne un nombre 
  • Haga clic en Enpoint IP Addresses e introduzca las direcciones IP primaria y secundaria de Secure Access separadas por una coma (en "Save Network Tunnel Group Configuration" [Guardar configuración de grupo de túnel de red]) en Secure Access 
    Configuración)
  • En Node B, haga clic enDevicey seleccione el dispositivo FTD
  • Haga clic en Virtual Tunnel Interface y seleccione la primera interfaz VTI creada en el paso anterior
  • Haga clic en Send Local Identity to Peers option (opción) y seleccione Email ID, ingrese el ID de túnel principal (de "Save Network Tunnel Group Configuration" (Guardar configuración de grupo de túnel de red) bajo la configuración de acceso seguro)
  • Haga clic en Add Backup VTI
  • Haga clic en Virtual Tunnel Interface y seleccione la segunda interfaz VTI creada en el paso anterior
  • Haga clic enSend Local Identity to Peersonoption y seleccione Email ID, ingrese el ID del túnel secundario (de "Save Network Tunnel Group Configuration" en Secure Access Configuration)
  • Haga clic en Guardar
    Configuración de FTD VTI

• Haga clic en IKE
  • Haga clic en IKEv2 Settings > Policies
  • Seleccione laUmbrella-AES-GCM-256opción

Haga clic en OK
Política IKEv2

• Haga clic en Authentication Type y seleccionePre Shared Manual Keye introduzca la PSK configurada en Secure Access (frase de paso)
  
  IKE
• Haga clic en IPSEC
  • Haga clic en IKEv2 Proposals
  • Seleccionar Umbrella-AES-GCM-256
  • Haga clic en OK
    
    IPsec
    
    Guardar las propuestas de IKEv2

Configuración de enrutamiento de FTD

Routing dinámico (BGP)

El protocolo de gateway fronterizo (BGP) es un protocolo de routing dinámico que automatiza el intercambio de información de routing entre sistemas autónomos (AS). Determina la mejor ruta disponible para el tráfico de datos basándose en atributos y políticas, en lugar de depender de rutas estáticas.

Mediante el aprendizaje y la actualización dinámicos de las rutas, BGP mejora la escalabilidad, optimiza la selección de rutas y proporciona conmutación por fallo automática en caso de cambios en los enlaces o en la red.

Vaya al panel de cdFMC.

• Haga clic en Devices> Device Management
  Dispositivo
  
• Haga clic en el FTD
  Dispositivo FTD
  • Haga clic en Routing > BGP > IPv4 > Enable IPv4
  • Haga clic enNeighbory especifique el número de sistema autónomo (AS) BGP para Secure Access, junto con las direcciones IP vecinas
    Consulte la Nota de la Configuración de Secure Access, donde se proporcionan todos los detalles de configuración relevantes para este proceso.
  • Haga clic enSave

vecino BGP

Nota: a partir de noviembre de 2025, todas las organizaciones Secure Access recién creadas utilizan el ASN 32644 público de forma predeterminada para el peering BGP en los grupos de túnel de red. Las organizaciones existentes establecidas antes de noviembre de 2025 siguen utilizando el ASN 64512 privado que se reservaba anteriormente para los peers BGP de acceso seguro.

• Haga clic enNetworksy agregue las redes sobre las que desea anunciar a Secure Access
• Haga clic en Save
  Agregar red

Configuración de política de acceso

Para permitir el tráfico en un Cisco Firepower Threat Defence (FTD) y permitir el acceso a recursos privados, el tráfico debe pasar primero por la fase inicial del control de acceso conocida como filtrado previo.

El prefiltrado se procesa antes de que se produzca una inspección más profunda y está diseñado para ser sencillo y rápido. Evalúa el tráfico utilizando criterios básicos de encabezado externo (como direcciones IP y puertos de origen y destino) para permitir, bloquear o omitir el tráfico rápidamente. Cuando se permite el tráfico en esta etapa, puede omitir inspecciones que requieren más recursos, como la inspección profunda de paquetes o las políticas de intrusión, lo que mejora el rendimiento al tiempo que mantiene el control de seguridad.

Vaya a Policies> Prefilter

Prefiltrar

• Haga clic en Editar la política de filtro previo que utiliza su política de acceso
  haga clic en prefiltrar
  
• Haga clic en Add Tunnel Rule
  
  • Agregue y permita el tráfico de la red VPNaaS y/o la subred ZTA a sus recursos privados
  • Haga clic enSave
    
    Guardar regla

Llegados a este punto, una vez completada y verificada la configuración del FTD, podrá continuar con la implementación. Después de la implementación, tanto los túneles IPsec como las sesiones de vecino BGP se activan correctamente, lo que confirma que la conectividad y el routing dinámico funcionan según lo esperado.

Verificación

Verificar en FTD

Estado del túnel en FTD

Puede ver el estado actual del túnel, incluso si está activo o inactivo. Esto ayuda a verificar que el túnel IPsec esté establecido correctamente.

• Haga clic en Conexiones seguras
• Haga clic en VPN de sitio a sitio y SD-WAN
• Haga clic en el nombre de topología
  

Estado del túnel FTD

Estado del túnel en Secure Access

Puede ver el estado actual del túnel, incluido si está desconectado, con advertencia o conectado. Esto ayuda a verificar que el túnel IPsec esté establecido correctamente.

• Haga clic en Connect > Network Connections
• Haga clic en Network Tunnel Groups .
  

Comprobar NTG

• Haga clic en el grupo de túnel de red

Estado del túnel CSA

Eventos en Secure Access

Puede ver los eventos de túnel y BGP y confirmar si el estado de los túneles IPsec es activo y estable, y si las sesiones BGP están establecidas.

Haga clic en Monitor > Network Connectivity.

Supervisar registros de conexión

Registros NTG

Vaya a Monitor > Activity Search.
Supervisar registros de conexión
En cualquiera de los eventos relacionados, haga clic en View Full Details.

Detalles completos

Búsqueda de actividad

Información Relacionada

• Soporte técnico y descargas de Cisco
• Guía de configuración de dispositivos de Cisco Secure Firewall Management Center, 7.7