Configure o acesso seguro com o firewall Fortigate

Introdução

Este documento descreve como configurar o acesso seguro com o Firewall Fortigate.

Pré-requisitos

• Configurar Provisionamento de Usuário
• Configuração de Autenticação ZTNA SSO
• Configurar o acesso seguro da VPN de acesso remoto

Requisitos

A Cisco recomenda que você conheça estes tópicos:

• Firewall da versão Fortigate 7.4.x
• Acesso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA
• ZTNA sem cliente

Componentes Utilizados

As informações neste documento são baseadas em: 

• Firewall da versão Fortigate 7.4.x
• Acesso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que são acessadas pela nuvem.

Configurar

Configurar a VPN no acesso seguro

1. Navegue até o painel de administração do Secure Access.

2. Clique em Connect > Network Connections > Network Tunnels Groups.

3. Em Network Tunnel Groups, clique em +Add.

4. Configure o Nome do Grupo de Túneis, Região e Tipo de Dispositivo.

5. Clique em Próximo.

8. Configure os intervalos de endereços IP ou hosts que você configurou em sua rede e deseja passar o tráfego pelo Secure Access.

9. Clique em Salvar.

10. Depois de Salvar, as informações no túnel são exibidas. Salve essas informações para a próxima etapa; Configure o VPN Site to Site on Fortigate.

Dados do túnel

Configure o site VPN para o site no Fortigate

1. Navegue até o painel Fortificar.

2. Clique em VPN > IPsec Tunnels.

3. Clique em Create New > IPsec Tunnels.

4. Clique em Personalizar, configure um Nome e clique em Próximo.

Na próxima imagem, você pode ver como definir as configurações do Network.

Rede

Rede

• Versão IP: IPv4
• Gateway remoto: Endereço IP estático
• Endereço IP: Use o endereço IP do endereço IP do data center primário, fornecido nos dados do túnel
• Interface: Escolha a interface WAN que pretende usar para estabelecer o túnel
• Gateway local: Desabilitar como padrão
• Configuração do modo: Desabilitar como padrão
• NAT Traversal: Enable
• Freqüência de manutenção de atividade: 10
• Detecção de ponto morto: Em Ocioso
• Contagem de tentativas de DPD: 3
• Intervalo de repetição de DPD: 10
• Correção de erro de encaminhamento: Não marcar nenhuma caixa
• Avançado...: Consulte a Fase 2 para obter as etapas de configuração

Agora, configure o IKE Authentication.

Autenticação

• Autenticação 
  • Método: Chave pré-compartilhada como padrão
  • Chave pré-compartilhada:Use a senha fornecida na etapa Tunnel Data 
• IKE 
  • Versão: Escolher Versão 2

Em seguida, configure o Phase 1 Proposal.

Fase 1 Proposta

• Fase 1 Proposta 
  • Criptografia: Escolha AES256
  • Autenticação: Escolha SHA256
  • Grupos Diffie-Hellman: Escolha apenas 20, você poderá ter problemas mais tarde se escolher múltiplos
  • Tempo de Vida da Chave (segundos): 86400 como padrão
  • ID local: Use o ID de túnel primário, fornecido na etapa Tunnel Data 

Agora configure a proposta da fase 2.

Fase 2 Proposta

• Nova fase 2
  • Nome: Deixe como padrão (esse valor corresponde ao nome da sua conexão VPN)
  • Endereço local: Deixar como padrão (0.0.0.0/0.0.0.0)
  • Endereço remoto: deixe como padrão (0.0.0.0/0.0.0.0)
• Avançado 
  • Criptografia: Escolha AES128
  • Autenticação: Escolha SHA256
  • Ativar detecção de repetição: Deixar como padrão (Habilitado)
  • Ativar o Perfect Forward Secrecy (PFS) Desmarque a caixa de seleção
  • Porta local: deixar como padrão (Habilitado)
  • Porta Remota: Deixar como padrão (Habilitado)
  • Protocolo: Deixar como padrão (Habilitado)
  • Negociar Automaticamente: Deixar como padrão (Desmarcado)
  • Tecla automática Keep Alive: Deixar como padrão (Desmarcado)
  • Tempo de vida da chave: Deixar como padrão (segundos)
  • Segundos: Deixar como padrão (43200)

Depois disso, clique em OK. Você verá que a VPN foi estabelecida com o Secure Access e poderá continuar com a próxima etapa; Configure a interface do túnel.

Configurar a interface do túnel

Após a criação do túnel, uma nova interface é exibida atrás da porta que você está usando como uma interface WAN para se comunicar com o Secure Access. 

1. Para verificar isso, navegue até Network > Interfaces.

2. Expanda a porta que você usa para se comunicar com o Secure Access; nesse caso, a WAN interface.

3. Clique em sua Interface de Túnel e clique em Editar.

4. Consulte a imagem para definir as configurações.

Configuração da interface 

• IP: Configure um IP não roteável que não esteja em sua rede (por exemplo, 169.254.0.1).
• IP/máscara de rede remota: Configure o IP remoto como o próximo IP para o IP da interface e com uma máscara de rede de 30 (por exemplo, 169.254.0.2 255.255.255.252).

5. Clique OK para salvar as definições de configuração e continue com a próxima etapa; Configurar Rota de Política (Roteamento baseado na Origem).

Configurar Rota de Política

Neste ponto, sua VPN está configurada e estabelecida para acesso seguro. Agora, você deve redirecionar o tráfego para o Secure Access para proteger seu tráfego ou o acesso a seus aplicativos privados por trás do firewall FortiGate.

1. Navegue até Network > Policy Routes.

2. Configure a política.

• Se o tráfego de entrada corresponder:
  • Interface de entrada: Escolha a interface onde você planeja redirecionar o tráfego para o Secure Access (origem do tráfego).
• Endereço de origem
  • IP/máscara de rede: Use esta opção apenas se você rotear uma sub-rede de uma interface.
  • Endereços: Use esta opção se você tiver um objeto criado e a origem do tráfego vier de várias interfaces e várias sub-redes.
• Endereços de destino
  • Endereços: Escolha all se quiser proteger o tráfego da Internet. Se você quiser acesso privado, adicione seu Pool IP de Perfil VPN e Intervalo CGNAT 100.64.0.0/10.
  • Protocolo: Escolha ANY.
• Em seguida 
  • Ação: Escolher Encaminhar Tráfego
• Interface de saída: Escolha a interface de túnel que você modificou na etapa Configure Tunnel Interface.
• Endereço do gateway: Configure o IP remoto configurado na etapa RemoteIPNetmask.
• Status: Escolha Enabled (Habilitado).

3. Clique OK para salvar as definições de configuração. Verifique se o tráfego para seus dispositivos foi redirecionado para o Secure Access. 

Verificar

Para verificar se o tráfego foi redirecionado de para o acesso seguro, você tem duas opções: você pode verificar na internet o seu IP público ou executar o comando com curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

O intervalo público onde você pode ver seu tráfego é:

• Host mínimo: 151.186.176.1 
• Máx. de hosts: 151.186.207.254

Se você vir uma alteração em seu IP público, isso significa que você está protegido pelo Secure Access. Você pode configurar seu aplicativo privado no painel do Secure Access para acessar seus aplicativos de VPNaaS ou ZTNA.

Histórico de revisões

Revisão	Data de publicação	Comentários
2.0	04-Jun-2026	Ortografia, gramática, estrutura de frases, editar texto alt e numeração atualizados.
1.0	02-Aug-2024	Versão inicial