Fortigate 방화벽으로 보안 액세스 구성

다운로드 옵션

PDF (2.2 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (2.1 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.5 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2026년 6월 4일

문서 ID:222270

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Fortigate Firewall로 Secure Access를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 주제에 대해 숙지할 것을 권장합니다.

Fortigate 7.4.x 버전 방화벽
보안 액세스
Cisco Secure Client - VPN
Cisco Secure Client - ZTNA
클라이언트리스 ZTNA

사용되는 구성 요소

이 문서의 정보는 다음을 기반으로 합니다.

Fortigate 7.4.x 버전 방화벽
보안 액세스
Cisco Secure Client - VPN
Cisco Secure Client - ZTNA

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

Cisco Secure Access Fortinet Image

Cisco는 온프레미스 및 클라우드 기반 프라이빗 애플리케이션을 보호하고 액세스를 제공하도록 Secure Access를 설계했습니다. 또한 네트워크에서 인터넷으로의 연결도 보호합니다. 이는 여러 보안 방법 및 레이어의 구현을 통해 달성되며, 모두 클라우드를 통해 액세스할 때 정보를 보존하는 데 목적이 있습니다.

구성

보안 액세스에서 VPN 구성

1. Secure Access의 관리자 패널로 이동합니다.

Network Tunnel Groups

2. 연결 > 네트워크 연결 > 네트워크 터널 그룹을 클릭합니다.

Network Connections and Network Tunnel Groups

3. Network Tunnel Groups(네트워크 터널 그룹) 아래에서 +Add(추가)를 클릭합니다.

+Add Network Tunnel Groups

4. 터널 그룹 이름, 영역 및 디바이스 유형을 구성합니다.

5. 다음을 클릭합니다.

Naming Convention for Tunnel Group

참고: 방화벽 위치와 가장 가까운 지역을 선택합니다.

6. 터널 ID 형식 및 암호를 구성합니다.

7. 다음을 클릭합니다.

Tunnel ID and Passphrase

8. 네트워크에서 구성했고 Secure Access를 통해 트래픽을 전달하려는 IP 주소 범위 또는 호스트를 구성합니다.

9. 저장을 클릭합니다.

Routing Options and Network Overlaps

10. 저장하면 터널의 정보가 표시됩니다. 다음 단계를 위해 이 정보를 저장합니다. Fortigate에서 VPN Site to Site를 구성합니다.

터널 데이터

Data for Tunnel Setup

Fortigate에서 VPN 사이트 대 사이트 구성

1. Fortigate 대시보드로 이동합니다.

2. 클릭 VPN > IPsec Tunnels.

VPN IPsec Tunnels

3. 클릭 Create New > IPsec Tunnels.

Create New IPsec Tunnel

4. 사용자 지정을 클릭하고 이름을 구성한 후 다음을 클릭합니다.

Custom VPN Setup

다음 이미지에서에 대한 설정을 구성하는 방법을 확인할 수 Network있습니다.

network

Advanced Configurations

network

IP 버전: IPv4
원격 게이트웨이: 고정 IP 주소
IP 주소: 터널 데이터에 제공된 기본 IP 데이터 센터 IP 주소의 IP 주소 사용
인터페이스: 터널을 설정하는 데 사용할 WAN 인터페이스를 선택합니다
로컬 게이트웨이: 기본값으로 사용 안 함
모드 구성: 기본값으로 사용 안 함
NAT 통과: Enable
킵얼라이브 빈도: 10
데드 피어 감지: 유휴 상태
DPD 재시도 횟수: 3
DPD 재시도 간격: 10
전달 오류 수정: 확인란을 선택하지 마십시오.
고급..: 구성 단계는 2단계를 참조하십시오

이제 IKE를 Authentication구성합니다.

인증

Authentication Pre-Shared Key

인증
- 방법: 사전 공유 키를 기본값으로
- 사전 공유 키:Tunnel Data 단계에서 제공된 패스프레이즈 사용
IKE
- 버전: 버전 2 선택

참고: 보안 액세스는 IKEv2만 지원합니다.

다음으로 를 Phase 1 Proposal구성합니다.

1단계 제안

Phase 1 Proposal Configuration Settings

1단계 제안
- 암호화: AES256 선택
- 인증: SHA256을 선택합니다
- Diffie-Hellman 그룹: 여러 개20를 선택하는 경우 나중에 문제가 발생할 수 있습니다.
- 키 수명(초): 기본값으로 86400
- 로컬 ID: Tunnel Data(터널 데이터) 단계에서 제공된 기본 터널 ID를 사용합니다.

이제 2단계 제안서를 구성합니다.

2단계 제안

Phase 2 Configuration Settings - Subnet

새로운 2단계
- 이름: 기본값으로 유지(이 값은 VPN 연결 이름과 일치)
- 로컬 주소: 기본값으로 유지(0.0.0.0/0.0.0.0)
- 원격 주소: 기본값으로 설정(0.0.0.0/0.0.0.0)
고급
- 암호화: AES128 선택
- 인증: SHA256을 선택합니다
- 재생 감지 사용: 기본값으로 유지(활성화됨)
- PFS(Perfect Forwarding Secrecy) 사용 확인란 선택을 취소합니다.
- 로컬 포트: 기본값으로 유지(사용)
- 원격 포트: 기본값으로 유지(활성화됨)
- 프로토콜: 기본값으로 유지(사용)
- 자동 협상: 기본값으로 유지(표시 안 함)
- Auto-key Keep Alive: 기본값으로 유지(표시 안 함)
- 키 수명: 기본값으로 유지(초)
- 초: 기본값으로 유지(43200)

그런 다음 확인을 클릭합니다. VPN은 Secure Access를 통해 설정되었으며 다음 단계를 계속할 수 있습니다. 터널 인터페이스를 구성합니다.

WAN

터널 인터페이스 구성

터널이 생성되면 Secure Access와 통신하기 위해 WAN 인터페이스로 사용 중인 포트 뒤에 새 인터페이스가 표시됩니다.

1. 확인하려면 로 Network > Interfaces이동합니다.

FortiGate Interface

2. Secure Access와의 통신에 사용하는 포트를 확장합니다. 이 경우에는 인터페이스가 WAN 됩니다.

WAN - Physical Interface + CSA - Tunnel Interface

3. 터널 인터페이스를 클릭하고 Edit를 클릭합니다.

FortiLink Tunnel Interface

4. 이미지를 참조하여 설정을 구성합니다.

인터페이스 컨피그레이션

IP: 네트워크에 없는 라우팅 불가 IP(예: 169.254.0.1)를 구성합니다.
원격 IP/넷마스크: 원격 IP를 인터페이스 IP의 다음 IP로 구성하고 넷마스크 30을 사용합니다(예: 169.254.0.2 255.255.255.252).

OK 5. 구성 설정을 저장하고 다음 단계로 진행하려면 클릭하십시오. 정책 경로 구성(원본 기반 라우팅)

RemoteIP Netmask

경고: 완료되면 디바이스에서 보안 액세스로, 그리고 보안 액세스에서 대상 네트워크로의 트래픽을 허용하도록 FortiGate 방화벽 정책을 구성합니다.

정책 경로 구성

이 시점에서는 VPN이 Secure Access로 구성 및 설정되어 있습니다. 이제 트래픽을 Secure Access로 다시 라우팅하여 트래픽을 보호하거나 FortiGate 방화벽 뒤에서 개인 애플리케이션에 액세스해야 합니다.

1. 다음으로 이동 Network > Policy Routes.

Network Policy Routes

2. 정책을 구성합니다.

Incoming Traffic Configuration Settings

수신 트래픽이 일치하는 경우:
- 수신 인터페이스: 트래픽을 Secure Access(트래픽의 출처)로 다시 라우팅할 인터페이스를 선택합니다.
Source address
- IP/넷마스크: 인터페이스의 서브넷만 라우팅하는 경우 이 옵션을 사용합니다.
- 주소: 생성된 객체가 있고 트래픽 소스가 여러 인터페이스 및 여러 서브넷에서 오는 경우 이 옵션을 사용합니다.
대상 주소
- 주소: 인터넷 트래픽을 보호하려면 모두를 선택합니다. 비공개 액세스를 원하는 경우 VPN 프로필 IP 풀 및 CGNAT 범위 100.64.0.0/10을 추가해야 합니다.
- 프로토콜: 모두를 선택합니다.
그 다음
- 작업: Forward Traffic(트래픽 전달)을 선택합니다.
발송 인터페이스: Configure Tunnel Interface(터널 인터페이스 구성) 단계에서 수정한 터널 인터페이스를 선택합니다.
게이트웨이 주소: RemoteIPNetmask 단계에서 구성한 원격 IP를 구성합니다.
상태: Enabled(활성화됨)를 선택합니다.

3. 구성 설정OK을 저장하려면 클릭합니다. 디바이스에 대한 트래픽이 Secure Access로 다시 라우팅되었는지 확인합니다.

다음을 확인합니다.

트래픽이 Secure Access에서 Secure Access로 다시 라우팅되었는지 확인하려면 두 가지 옵션이 있습니다. 인터넷에서 확인 하고 공용 IP를 확인 할 수 있습니다 또는 curl로 명령을 실행 할 수 있습니다.

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

트래픽을 볼 수 있는 공개 범위는 다음과 같습니다.

최소 호스트: 151.186.176.1
최대 호스트: 151.186.207.254

참고: 이러한 IP는 변경될 수 있으며, Cisco는 향후 이 범위를 확장할 수 있습니다.

공용 IP가 변경되면 Secure Access에 의해 보호됩니다. VPNaaS 또는 ZTNA에서 애플리케이션에 액세스하도록 Secure Access 대시보드에서 프라이빗 애플리케이션을 구성할 수 있습니다.

개정 이력

개정	게시 날짜	의견
2.0	04-Jun-2026	맞춤법, 문법, 문장 구조, 대체 텍스트 및 번호 매기기를 업데이트했습니다.
1.0	02-Aug-2024	최초 릴리스

Cisco 엔지니어가 작성

하이로 모레노
TAC