Configurare l'accesso sicuro con il firewall Fortigate

Opzioni per il download

  • PDF     (2.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:4 giugno 2026
ID documento:222270

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Secure Access con Firewall formattato.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Firewall versione 7.4.x avanzata
  • Accesso sicuro
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA
  • ZTNA senza client

Componenti usati

Le informazioni fornite in questo documento si basano su: 

  • Firewall versione 7.4.x avanzata
  • Accesso sicuro
  • Cisco Secure Client - VPN
  • Cisco Secure Client - ZTNA

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Cisco Secure Access Fortinet Image

Cisco ha progettato Secure Access per proteggere e fornire accesso alle applicazioni private, sia in sede che basate su cloud. Inoltre, garantisce il collegamento dalla rete a Internet. Questo risultato è ottenuto attraverso l'implementazione di più metodi e livelli di sicurezza, il tutto finalizzato a preservare le informazioni così come sono accessibili attraverso il cloud.

Configurazione

Configurare la VPN su accesso sicuro

1. Passare al pannello di amministrazione di Accesso sicuro.

Network Tunnel Groups

2. Fare clic su Connect (Connetti) > Network Connections (Connessioni di rete) > Network Tunnel Groups (Gruppi di tunnel di rete).

Network Connections and Network Tunnel Groups

3. In Gruppi di tunnel di rete, fare clic su +Aggiungi.

+Add Network Tunnel Groups

4. Configurare il nome del gruppo di tunnel, la regione e il tipo di dispositivo.

5. Fare clic su Avanti.

Naming Convention for Tunnel Group

note-icon

Nota: Scegliere l'area più vicina alla posizione del firewall.

6. Configurare il formato dell'ID tunnel e la passphrase.

7. Fare clic su Avanti.

Tunnel ID and Passphrase

8. Configurare gli intervalli di indirizzi IP o gli host configurati nella rete e che si desidera passare il traffico attraverso l'accesso sicuro.

9. Fare clic su Salva.

Routing Options and Network Overlaps

10. Dopo aver salvato, vengono visualizzate le informazioni sul tunnel. Salvare queste informazioni per il passaggio successivo; Configurare il sito VPN per il sito in Fortigate.

Dati tunnel

Data for Tunnel Setup

Configurare il sito VPN su sito in Fortigate

1. Passare al pannello di controllo Rinuncia.

2. Fare clic su VPN > IPsec Tunnels.

VPN IPsec Tunnels

3. Fare clic su Create New > IPsec Tunnels.

Create New IPsec Tunnel

4. Fare clic su Personalizzato, configurare un nome e fare clic su Avanti.

Custom VPN Setup

Nell'immagine seguente viene illustrato come configurare le impostazioni per il Networkserver.

Rete

Advanced Configurations

Rete

  • Versione IP: IPv4
  • Gateway remoto: Indirizzo IP statico
  • Indirizzo IP: Utilizzare l'indirizzo IP dell'indirizzo IP primario del centro dati, fornito nei dati del tunnel
  • Interfaccia: Selezionare l'interfaccia WAN che si desidera utilizzare per stabilire il tunnel
  • Gateway locale: Disabilita come predefinito
  • Configurazione modalità: Disabilita come predefinito
  • Trasferimento NAT: Abilita
  • Frequenza keepalive: 10
  • Dead Peer Detection: Inattivo
  • Conteggio tentativi DPD: 3
  • Intervallo tentativi DPD: 10
  • Correzione errori forward: Non selezionare nessuna casella
  • Avanzate...: Per la configurazione, consultare la Fase 2

A questo punto, configurare la Authenticationporta IKE.

Autenticazione

Authentication Pre-Shared Key

  • Autenticazione 
    • Metodo: Chiave già condivisa come predefinita
    • Chiave già condivisa:utilizzare la passphrase fornita nella fase Tunnel Data 
  • IKE 
    • Version: Scegli versione 2
note-icon

Nota: Secure Access supporta solo IKEv2.

Quindi, configurare il Phase 1 Proposalrouter.

Proposta fase 1

Phase 1 Proposal Configuration Settings

  • Proposta fase 1 
    • Crittografia: Scegli AES256
    • Autenticazione: Scegli SHA256
    • Gruppi Diffie-Hellman: Scegli solo20, puoi avere problemi in seguito se scegli multipli
    • Durata chiave (secondi): 86400 come predefinito
    • ID locale: Utilizzare l'ID tunnel primario, specificato nel passaggio Dati tunnel 

A questo punto configurare la proposta per la fase 2.

Proposta fase 2

Phase 2 Configuration Settings - Subnet

  • Nuova fase 2
    • Nome: Non modificare come predefinito (questo valore corrisponde al nome della connessione VPN)
    • Indirizzo locale: Accetta come impostazione predefinita (0.0.0.0/0.0.0.0)
    • Indirizzo remoto: impostazione predefinita (0.0.0.0/0.0.0.0)
  • Avanzate 
    • Crittografia: Scegli AES128
    • Autenticazione: Scegli SHA256
    • Abilita rilevamento riproduzione: Lascia come predefinito (abilitato)
    • Abilita Perfect Forward Secrecy (PFS) Deselezionare la casella di controllo
    • Porta locale: mantenere l'impostazione predefinita (attivata)
    • Remote Port: Lascia come predefinito (abilitato)
    • Protocollo: lascia come predefinito (abilitato)
    • Negoziazione automatica: non contrassegnare
    • Mantenimento attività con la chiave automatica: mantenere l'impostazione predefinita (non contrassegnata)
    • Durata chiave: Accetta come predefinito (secondi)
    • Secondi: lasciare come predefinito (43200)

Quindi fare clic su OK. La VPN è stata stabilita con l'accesso sicuro ed è possibile continuare con il passaggio successivo; Configurare l'interfaccia del tunnel.

WAN

Configurazione dell'interfaccia del tunnel

Dopo la creazione del tunnel, viene visualizzata una nuova interfaccia dietro la porta che si sta utilizzando come interfaccia WAN per comunicare con Secure Access. 

1. Per verificare questa condizione, passare a Network > Interfaces.

FortiGate Interface

2. Espandere la porta utilizzata per comunicare con Secure Access; in questo caso, l' WANinterfaccia.

WAN - Physical Interface + CSA - Tunnel Interface

3. Fare clic sull'interfaccia tunnel e fare clic su Modifica.

FortiLink Tunnel Interface

4. Fare riferimento all'immagine per configurare le impostazioni.

Configurazione dell'interfaccia 

  • IP: Configurare un indirizzo IP non instradabile non presente nella rete (ad esempio, 169.254.0.1).
  • Maschera di rete/IP remota: Configurare l'indirizzo IP remoto come indirizzo IP successivo per l'interfaccia IP e con una maschera di rete di 30 (ad esempio, 169.254.0.2 255.255.255.252).

5. Fare clic OK per salvare le impostazioni di configurazione e procedere con il passo successivo, Configurare il percorso dei criteri (routing basato sull'origine).

RemoteIP Netmask

warning-icon

Avviso: Al termine, configurare i criteri firewall per FortiGate in modo da consentire il traffico dal dispositivo verso l'accesso sicuro e da Accesso sicuro alle reti di destinazione.

Configura route criteri

A questo punto, la VPN è configurata e stabilita per l'accesso sicuro. A questo punto, è necessario reindirizzare il traffico a Secure Access per proteggere il traffico o l'accesso alle applicazioni private dietro il firewall FortiGate.

1. Passare a Network > Policy Routes.

Network Policy Routes

2. Configurare il criterio.

Incoming Traffic Configuration Settings

  • Se il traffico in ingresso corrisponde:
    • Interfaccia in ingresso: Selezionare l'interfaccia su cui si desidera reindirizzare il traffico verso l'accesso sicuro (origine del traffico).
  • Source address
    • Maschera di rete/IP: Utilizzare questa opzione se si instrada solo una subnet di un'interfaccia.
    • Indirizzi: Utilizzare questa opzione se è stato creato un oggetto e l'origine del traffico proviene da più interfacce e più subnet.
  • Indirizzi di destinazione
    • Indirizzi: Scegliere tutto se si desidera proteggere il traffico Internet. Per accedere in modo privato, aggiungere il pool IP dei profili VPN e l'intervallo CGNAT 100.64.0.0/10.
    • Protocollo: Selezionate ANY.
  • Poi 
    • Azione: Scegli traffico di inoltro
  • Interfaccia in uscita: Scegliere l'interfaccia tunnel modificata nel passo Configura interfaccia tunnel.
  • Indirizzo gateway: Configurare l'indirizzo IP remoto configurato nel passaggio RemoteIPetmask.
  • Stato: Scegliere Abilitato.

3. Fare clic OK per salvare le impostazioni di configurazione. Verificare se il traffico diretto ai dispositivi è stato reindirizzato ad Accesso sicuro. 

Verifica

Per verificare se il traffico è stato reindirizzato da a Secure Access, sono disponibili due opzioni: è possibile controllare su internet e verificare la presenza dell'IP pubblico oppure eseguire il comando con curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

L'intervallo pubblico in cui puoi vedere il tuo traffico è:

  • Host minimo: 151.186.176.1 
  • Host max: 151.186.207.254
note-icon

Nota: Questi IP sono soggetti a modifica, Cisco può estendere questo intervallo in futuro.

Se viene visualizzata una modifica all'indirizzo IP pubblico, significa che si è protetti da Accesso sicuro. È possibile configurare l'applicazione privata nel dashboard di accesso sicuro per accedere alle applicazioni da VPNaaS o ZTNA.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
2.0
04-Jun-2026
Controllo ortografico, grammaticale, struttura della frase, modifica del testo alternativo e della numerazione aggiornati.
1.0
02-Aug-2024
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jairo Moreno
    TAC

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti