Beveiligde toegang configureren met Fortigate Firewall

Downloadopties

PDF (2.1 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (2.0 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.5 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:2 augustus 2024

Document-id:222270

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Configureren

VPN configureren voor beveiligde toegang

tunnelgegevens

Configureer de VPN-site naar de site op Fortigate

De tunnelinterface configureren

Beleidsroute configureren

Verifiëren

Inleiding

In dit document wordt beschreven hoe u Secure Access configureert met Fortigate Firewall.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Fortigate 7.4.x Version Firewall
beveiligde toegang
Cisco Secure Client - VPN
Cisco Secure Client - ZTNA
Clientless ZTNA

Gebruikte componenten

De informatie in dit document is gebaseerd op:

Fortigate 7.4.x Version Firewall
beveiligde toegang
Cisco Secure Client - VPN
Cisco Secure Client - ZTNA

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

jmorenoc_0-1706967866629

Cisco heeft Secure Access ontworpen om privétoepassingen te beschermen en toegang te bieden, zowel on-premise als in de cloud. Het beschermt ook de verbinding van het netwerk naar het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, allemaal gericht op het behoud van de informatie terwijl ze er toegang toe hebben via de cloud.

Configureren

VPN configureren voor beveiligde toegang

Navigeer naar het beheerderspaneel van Secure Access.

jmorenoc_8-1706968713702

Klik op Connect > Network Connections > Network Tunnels Groups

jmorenoc_11-1706968993787

OnderNetwork Tunnel Groupsklik op + Add

jmorenoc_12-1706969034757

ConfigurerenTunnel Group Name, Regionen Device Type
Klik op de knop Next

jmorenoc_13-1706969076844

Opmerking: Kies de regio die het dichtst bij de locatie van uw firewall ligt.

Configureer deTunnel ID Formaten Passphrase
Klik op de knop Next

jmorenoc_14-1706969101197

Configureer de IP-adresbereiken of -hosts die u in uw netwerk hebt geconfigureerd en die het verkeer via Secure Access willen doorgeven
Klik op de knop Save

jmorenoc_15-1706969132539

Nadat u hebt geklikt op de informatie over de tunnel die wordt weergegeven, Save slaat u deze informatie op voor de volgende stap, Configure the VPN Site to Site on Fortigate.

tunnelgegevens

jmorenoc_16-1706969350380

Configureer de VPN-site naar de site op Fortigate

Navigeer naar je Fortigate-dashboard.

Klik op de knop VPN > IPsec Tunnels

jmorenoc_1-1706970026583

Klik op de knop Create New > IPsec Tunnels

jmorenoc_2-1706970106771

Klik opCustom, configureer een Name computer en klik Nextop.

jmorenoc_4-1706970207324

In de volgende afbeelding ziet u hoe u de instellingen voor het Network onderdeel moet configureren.

netwerk

alt-tag-for-image

Network
- IP Version :IPv4
- Remote Gateway :Statisch IP-adres
- IP Address: Gebruik het IP-adres vanPrimary IP Datacenter IP Address,gegeven in de stap Tunnel Data
- Interface : Kies de WAN-interface die u wilt gebruiken om de tunnel tot stand te brengen
- Local Gateway : Uitschakelen als standaard
- Mode Config : Uitschakelen als standaard
- NAT Traversal :Inschakelen
- Keepalive Frequency :10
- Dead Peer Detection : bij inactief
- DPD retry count :3
- DPD retry interval :10
- Forward Error Correction : Vink geen vakje aan.
- Advanced...: Configureer het als de afbeelding.

Configureer de IKE Authenticationnu.

Verificatie

jmorenoc_2-1707056249758

Authentication
- Method : Vooraf gedeelde sleutel als standaard
- Pre-shared Key : Gebruik het Passphrasegegeven in de stap Tunnel Data
IKE
- Version Kies voor versie 2.

Opmerking: Secure Access ondersteunt alleen IKEv2

Configureer nu de Phase 1 Proposalinstellingen.

Fase 1 voorstel

jmorenoc_4-1707056744014

Phase 1 Proposal
- Encryption Kies: AES256
- Authentication Kies: SHA256
- Diffie-Hellman Groups : Vink vakje 19 en 20 aan
- Key Lifetime (seconds) : 86400 als standaard
- Local ID : Gebruik het Primary Tunnel ID, gegeven in de stap Tunnel Data

Configureer nu de Phase 2 Proposalinstellingen.

Fase 2 voorstel

jmorenoc_5-1707058728877

New Phase 2
- Name : Laat als standaard (Dit is ontleend aan de naam van uw VPN)
- Local Address : Laat als standaard (0.0.0.0/0.0.0.0)
- Remote Address : Laat als standaard (0.0.0.0/0.0.0.0)
Advanced
- Encryption Kies: AES128
- Authentication Kies: SHA256
- Enable Replay Detection : laten als standaard (ingeschakeld)
- Enable Perfect Forward Secrecy (PFS) : Schakel het selectievakje uit
- Local Port : laten als standaard (ingeschakeld)
- Remote Port: laten als standaard (ingeschakeld)
- Protocol : laten als standaard (ingeschakeld)
- Auto-negotiate : laten als standaard (niet gemarkeerd)
- Autokey Keep Alive : laten als standaard (niet gemarkeerd)
- Key Lifetime : laten als standaard (seconden)
- Seconds : Laat als standaard (43200)

Klik daarna op OK. Je ziet na enkele minuten dat de VPN is ingesteld met Secure Access, en je kunt doorgaan met de volgende stap, Configure the Tunnel Interface.

jmorenoc_0-1707060199635

De tunnelinterface configureren

Nadat de tunnel is gemaakt, merkt u dat u een nieuwe interface achter de poort hebt die u gebruikt als een WAN-interface om te communiceren met Secure Access.

Om dit te controleren, navigeert u naar Network > InterfacesWEB.

jmorenoc_0-1707069145874

Breid de poort uit die u gebruikt om te communiceren met Secure Access; in dit geval de WAN interface.

jmorenoc_1-1707069309957

Klik op uw Tunnel Interface website en klik op Edit

jmorenoc_3-1707069499072

U hebt de volgende image die u moet configureren

jmorenoc_4-1707069648471

Interface Configuration
IP : Configureer een niet-routeerbaar IP-adres dat u niet in uw netwerk hebt (169.254.0.1)
Remote IP/Netmask : Configureer het externe IP-adres als het volgende IP-adres van uw IP-interface en met een netmasker van 30 (169.254.0.2 255.255.255.252)

Klik daarna op OK om de configuratie op te slaan en verder te gaan met de volgende stap,Configure Policy Route (routering op basis van oorsprong).

Waarschuwing: na dit onderdeel moet u het firewallbeleid op uw FortiGate configureren om het verkeer van uw apparaat naar Secure Access en van Secure Access naar de netwerken die u het verkeer wilt routeren, toe te staan of toe te staan.

Beleidsroute configureren

Op dit punt hebt u uw VPN geconfigureerd en ingesteld voor Secure Access; nu moet u het verkeer opnieuw routeren naar Secure Access om uw verkeer of toegang tot uw privétoepassingen achter uw FortiGate-firewall te beschermen.

Navigeer naar Network > Policy Routes

jmorenoc_6-1707070544485

Configureer het beleid

jmorenoc_0-1707071341194

If Incoming traffic matches
- Incoming Interface : Kies de interface van waaruit u het verkeer wilt omleiden naar Secure Access (oorsprong van het verkeer)
Source Address
- IP/Netmask : Gebruik deze optie als u alleen een subnet van een interface routeert
- Addresses : Gebruik deze optie als u het object hebt gemaakt en de bron van het verkeer afkomstig is van meerdere interfaces en meerdere subnetten
Destination Addresses
- AddressesKies: all
- ProtocolKies: ANY
Then
- Action: Choose Forward Traffic
Outgoing Interface : Kies de tunnelinterface die u in de stap hebt gewijzigd, Tunnel-interface configureren
Gateway Address: Het externe IP-adres configureren dat in de stap is geconfigureerd, RemoteIPNetmask
Status : Ingeschakeld kiezen

Klik OK hierop om de configuratie op te slaan. U kunt nu controleren of het verkeer van uw apparaten is omgeleid naar Secure Access.

Verifiëren

Om te controleren of het verkeer van uw machine is omgeleid naar Secure Access, hebt u twee opties; u kunt op internet controleren en controleren op uw openbare IP-adres, of u kunt de volgende opdracht uitvoeren met curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

Het openbare bereik van waar u uw verkeer kunt zien, is van:

Min Host:151.186.176.1

Max Host :151.186.207.254

Opmerking: deze IP's kunnen worden gewijzigd, wat betekent dat Cisco dit bereik in de toekomst waarschijnlijk zal uitbreiden.

Als u de wijziging van uw openbare IP ziet, betekent dit dat u wordt beschermd door Secure Access en nu kunt u uw privétoepassing configureren op het Secure Access-dashboard om toegang te krijgen tot uw toepassingen vanuit VPNaaS of ZTNA.