使用防禦性防火牆配置安全訪問
簡介
本文說明如何使用Fortigate防火牆配置Secure Access。
必要條件
需求
思科建議您瞭解以下主題:
- Fortigate 7.4.x版本防火牆
- 安全訪問
- Cisco安全使用者端 — VPN
- 思科安全使用者端 — ZTNA
- 無客戶端ZTNA
採用元件
本檔案中的資訊是根據:
- Fortigate 7.4.x版本防火牆
- 安全訪問
- Cisco安全使用者端 — VPN
- 思科安全使用者端 — ZTNA
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
思科設計了安全訪問,可保護和提供對內部和基於雲的私有應用的訪問。它還保護從網路到Internet的連線。這是通過實施多種安全方法和層實現的,所有這些方法都旨在保護通過雲訪問的資訊。
設定
在安全訪問中配置VPN
1.導航到Secure Access的管理面板。
2.按一下Connect > Network Connections > Network Tunnels Groups。
3.在Network Tunnel Groups下,按一下+Add。
4.配置隧道組名稱、區域和裝置型別。
5.單擊下一步。
附註:選擇距離防火牆位置最近的區域。
6.設定通道ID格式和密碼短語。
7.按一下下一步。
8.配置在網路上配置的IP地址範圍或主機,並希望通過安全訪問傳遞流量。
9.按一下儲存。
10.儲存後,通道上的資訊就會顯示。儲存此資訊以用於下一步;配置VPN站點到防禦工事上的站點。
通道資料
配置VPN站點到防禦工事上的站點
1.導航至Fortigate控制面板。
2.按一下 VPN > IPsec Tunnels.
3.按一下 Create New > IPsec Tunnels.
4.按一下Custom,配置Name,然後按一下Next。
在下一張影象中,您可以看到如何為配置設Network置。
網路
網路
- IP版本:IPv4
- 遠端網關:靜態IP地址
- IP 位址:使用隧道資料中提供的主要IP資料中心IP地址的IP地址
- Interface:選擇您計畫用來建立隧道的WAN介面
- 本地網關:預設情況下禁用
- 模式配置:預設情況下禁用
- NAT穿越:啟用
- 保持連線頻率:10
- 失效對等項檢測:空閒時
- DPD重試計數:3
- DPD重試間隔:10
- 前向糾錯:不選中任何覈取方塊
- 高級……:有關配置步驟,請參閱第2階段
現在,配置IKE Authentication。
驗證
- 驗證
- 方法:預共用金鑰作為預設值
- 預共用金鑰:使用Tunnel Data步驟中提供的密碼
- IKE
- 版本:選擇版本2
附註:安全訪問僅支援IKEv2。
接下來,配置Phase 1 Proposal。
第1階段建議
- 第1階段建議
- 加密:選擇AES256
- 驗證:選擇SHA256
- Diffie-Hellman群組:只選擇
20,如果您選擇多個,則以後可能會出現問題 - 金鑰生存時間(秒):86400為預設值
- 本地ID:使用Tunnel Data步驟中給定的主通道ID
現在配置第2階段建議。
第2階段建議
- 新階段2
- 名稱:保留為預設值(此值與您的VPN連線名稱相匹配)
- 本地地址:保留為預設值(0.0.0.0/0.0.0.0)
- 遠端地址:預設為(0.0.0.0/0.0.0.0)
- 高級
- 加密:選擇AES128
- 驗證:選擇SHA256
- 啟用重放檢測:保留為預設值(啟用)
- 啟用完全向前保密(PFS)
取消選中覈取方塊 - 本地埠:保留為預設值(啟用)
- 遠端連線埠:保留為預設值(啟用)
- Protocol:保留為預設值(啟用)
- 自動交涉:保留為預設值(未標籤)
- Auto-key Keep Alive:保留為預設值(未標籤)
- 金鑰生存期:保留為預設值(秒)
- 秒:保留為預設值(43200)
然後,按一下OK。您將使用Secure Access建立VPN,您可以繼續執行下一步;設定通道介面。
設定通道介面
建立隧道後,在作為WAN介面與Secure Access通訊的埠後面會顯示一個新介面。
1.要檢查此項,請導航至Network > Interfaces。
2.擴展您用於與Secure Access通訊的埠;在本例中是介WAN面。
3.按一下Tunnel Interface,然後按一下Edit。
4.請參閱影象以配置設定。
介面配置
- IP:配置不在網路中的不可路由IP(例如169.254.0.1)。
- 遠端IP/網路掩碼:將遠端IP配置為介面IP的下一個IP,網路掩碼為30(例如,169.254.0.2 255.255.255.252)。
5.按一下以OK儲存配置設定並繼續下一步:配置策略路由(基於來源的路由)。
警告:完成後,配置FortiGate防火牆策略以允許從裝置到安全訪問以及從安全訪問到目標網路的流量。
配置策略路由
此時,您的VPN已配置為安全訪問。現在,您必須將流量重新路由到Secure Access,以保護您的流量或對FortiGate防火牆後的專用應用的訪問。
1.導航至 Network > Policy Routes.
2.配置策略。
- 如果傳入流量匹配:
- 傳入介面:選擇要將流量重新路由到安全訪問(流量來源)的介面。
- 來源位址
- IP/網路掩碼:如果僅路由介面的子網,請使用此選項。
- 地址:如果建立了對象,並且流量源來自多個介面和多個子網,請使用此選項。
- 目的地位址
- 地址:如果要保護Internet流量,請選擇all。如果要進行私有訪問,必須新增VPN配置檔案IP池和CGNAT范圍100.64.0.0/10。
- 通訊協定:選擇ANY。
- 然後
- Action:選擇Forward Traffic
- 傳出介面:選擇在設定通道介面步驟中修改的通道介面。
- 網關地址:配置在RemoteIPetmask步驟中配置的遠端IP。
- 狀態:選擇Enabled。
3.按一下OK儲存配置設定。驗證流向您的裝置的流量是否已重新路由到Secure Access。
驗證
若要驗證流量是否從重新路由到Secure Access,您有兩個選項:您可以在internet上檢查並檢查您的公共IP,也可以使用curl運行命令:
C:\Windows\system32>curl ipinfo.io
{
"ip": "151.186.197.1",
"city": "Frankfurt am Main",
"region": "Hesse",
"country": "DE",
"loc": "50.1112,8.6831",
"org": "AS16509 Amazon.com, Inc.",
"postal": "60311",
"timezone": "Europe/Berlin",
"readme": "https://ipinfo.io/missingauth"
}您可以看到流量的公共範圍是:
- 最小主機:151.186.176.1
- 最大主機:151.186.207.254
附註:這些IP可能發生變化,思科將來可以擴展此範圍。
如果您看到您的公共IP發生更改,則表示您受到安全訪問的保護。您可以在Secure Access控制面板上配置您的專用應用,以便從VPNaaS或ZTNA訪問您的應用。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
04-Jun-2026
|
已更新拼寫、語法、句子結構、編輯替代文字和編號。 |
1.0 |
02-Aug-2024
|
初始版本 |
意見