Konfigurieren von sicherem Zugriff mit Fortigate Firewall

Download-Optionen

  • PDF     (2.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.6 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. August 2024
Dokument-ID:222270

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie sicheren Zugriff mit der Fortigate Firewall konfigurieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Fortigate 7.4.x Version Firewall
    • Sicherer Zugriff
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA
    • Clientless-ZTNA

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf: 

    • Fortigate 7.4.x Version Firewall
    • Sicherer Zugriff
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    jmorenoc_0-1706967866629

    Cisco hat Secure Access entwickelt, um den Zugriff auf private Anwendungen vor Ort und in der Cloud zu schützen. Außerdem wird die Verbindung vom Netzwerk zum Internet gesichert. Dies wird durch die Implementierung mehrerer Sicherheitsmethoden und -ebenen erreicht, die alle darauf abzielen, die Informationen beim Zugriff über die Cloud zu erhalten.

    Konfigurieren

    Konfigurieren des VPN für sicheren Zugriff

    Navigieren Sie zum Admin-Bereich von Secure Access.

    jmorenoc_8-1706968713702

    • Klicken Sie Connect > Network Connections > Network Tunnels Groups

    jmorenoc_11-1706968993787

    • Klicken Sie unter Network Tunnel Groups auf + Add
      •

    jmorenoc_12-1706969034757

    • Konfiguration Tunnel Group Name Region und Device Type
    • Klicken Sie auf Next
      •

    jmorenoc_13-1706969076844

    note-icon

    Hinweis: Wählen Sie die Region aus, die dem Standort Ihrer Firewall am nächsten ist.
    • Konfigurieren Sie die Tunnel ID Format und Passphrase
    • Klicken Sie auf Next
      •

    jmorenoc_14-1706969101197

    • Konfigurieren Sie die IP-Adressbereiche oder Hosts, die Sie in Ihrem Netzwerk konfiguriert haben, und leiten Sie den Datenverkehr über sicheren Zugriff weiter.
    • Klicken Sie auf Save
      •

    jmorenoc_15-1706969132539

    Nachdem Sie auf Save die Informationen über den Tunnel geklickt haben, speichern Sie diese Informationen für den nächsten Schritt. Configure the VPN Site to Site on Fortigate.

    Tunneldaten

    jmorenoc_16-1706969350380

    Konfigurieren des VPN-Standorts auf dem Fortigate

    Navigieren Sie zu Ihrem Fortigate-Dashboard.

    • Klicken Sie auf  VPN > IPsec Tunnels
      •

    jmorenoc_1-1706970026583

    • Klicken Sie auf  Create New > IPsec Tunnels
      •

    jmorenoc_2-1706970106771

    • Klicken Sie auf Custom , konfigurieren Name und auf Next.
      •

    jmorenoc_4-1706970207324

    Im nächsten Bild sehen Sie, wie Sie die Einstellungen für das Network Teil konfigurieren müssen.

    Netzwerk

    jmorenoc_6-1706970786834

    • Network
      • IP Version :IPv4
      • Remote Gateway :Statische IP-Adresse
      • IP Address: Verwenden Sie die IP-Adresse von Primary IP Datacenter IP Address,angegeben in Schritt Tunneldaten
      • Interface : Wählen Sie die WAN-Schnittstelle aus, die Sie für die Einrichtung des Tunnels vorgesehen haben.
      • Local Gateway : Als Standard deaktivieren
      • Mode Config : Als Standard deaktivieren
      • NAT Traversal : Aktivieren
      • Keepalive Frequency :10
      • Dead Peer Detection : On-Demand
      • DPD retry count :3
      • DPD retry interval :10
      • Forward Error Correction : Keines der Kontrollkästchen markieren. 
      • Advanced...: Konfigurieren Sie es als Image.
        •

    Konfigurieren Sie jetzt IKE Authentication.

    Authentifizierung

    jmorenoc_2-1707056249758

    • Authentication 
      • Method : Vorläufiger gemeinsamer Schlüssel als Standard
      • Pre-shared Key : Verwenden Sie die Passphraseangegebenen Tunneldaten
        •
    • IKE 
      • Version : Wählen Sie Version 2.
      •
    note-icon

    Hinweis: Secure Access unterstützt nur IKEv2

    Konfigurieren Sie nun die Phase 1 Proposal.

    Angebot für Phase 1

    jmorenoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : AES256 auswählen
      • Authentication : SHA256 auswählen
      • Diffie-Hellman Groups : Aktivieren Sie die Kontrollkästchen 19 und 20.
      • Key Lifetime (seconds) : 86400 als Standard
      • Local ID : Verwenden Sie die Primary Tunnel ID im Schritt Tunneldaten
        •

    Konfigurieren Sie nun die Phase 2 Proposal.

    Angebot für Phase 2

    jmorenoc_5-1707058728877

    • New Phase 2
      • Name : Voreingestellt (wird vom Namen Ihres VPNs übernommen)
      • Local Address : Let as default (0.0.0.0/0.0.0.0)
      • Remote Address : Let as default (0.0.0.0/0.0.0.0)
        •
    • Advanced
      • Encryption : AES128 auswählen
      • Authentication : SHA256 auswählen
      • Enable Replay Detection : Als Standard zulassen (Aktiviert)
      • Enable Perfect Forward Secrecy (PFS) : Deaktivieren Sie das Kontrollkästchen.
      • Local Port : Als Standard zulassen (Aktiviert)
      • Remote Port: Als Standard zulassen (Aktiviert)
      • Protocol : Als Standard zulassen (Aktiviert)
      • Auto-negotiate : Als Standard zulassen (Nicht markiert)
      • Autokey Keep Alive : Als Standard zulassen (Nicht markiert)
      • Key Lifetime : Als Standard zulassen (Sekunden)
      • Seconds : Voreingestellt (43200)
        •

    Klicken Sie anschließend auf OK. Nach einigen Minuten sehen Sie, dass das VPN mit Secure Access eingerichtet wurde, und Sie können mit dem nächsten Schritt fortfahren. Configure the Tunnel Interface.

    jmorenoc_0-1707060199635

    Konfigurieren der Tunnelschnittstelle

    Nachdem der Tunnel erstellt wurde, stellen Sie fest, dass sich hinter dem Port eine neue Schnittstelle befindet, die Sie als WAN-Schnittstelle für die Kommunikation mit Secure Access verwenden. 

    Um dies zu überprüfen, navigieren Sie bitte zu Network > Interfaces.

    jmorenoc_0-1707069145874

    Erweitern Sie den Port, den Sie für die Kommunikation mit Secure Access verwenden, in diesem Fall die WAN Schnittstelle.

    jmorenoc_1-1707069309957

    • Klicken Sie auf Ihre Tunnel Interface und anschließend auf Edit
      •

    jmorenoc_3-1707069499072

    • Sie haben das nächste zu konfigurierende Image.
      •

    jmorenoc_4-1707069648471

    • Interface Configuration 
    • IP : Konfigurieren Sie eine nicht routbare IP-Adresse, die nicht im Netzwerk vorhanden ist (169.254.0.1).
    • Remote IP/Netmask : Konfigurieren Sie die Remote-IP als die nächste IP-Adresse Ihrer Schnittstellen-IP und mit der Netzmaske 30 (169.254.0.2 255.255.255.252).
      •

    Speichern Sie OK  die Konfiguration, und fahren Sie mit dem nächsten Schritt (Configure Policy Route Origin-Based Routing) fort.

    Warnsymbol

    Warnung: Nach diesem Teil müssen Sie die Firewall-Richtlinien auf Ihrem FortiGate konfigurieren, um den Datenverkehr von Ihrem Gerät zu sicherem Zugriff und von sicherem Zugriff zu den Netzwerken, die Sie den Datenverkehr routen möchten, zuzulassen oder zuzulassen.

    Policy-Route konfigurieren

    An diesem Punkt ist Ihr VPN so konfiguriert und eingerichtet, dass Sie sicheren Zugriff haben. Jetzt müssen Sie den Datenverkehr auf sicheren Zugriff umleiten, um Ihren Datenverkehr oder den Zugriff auf Ihre privaten Anwendungen hinter Ihrer FortiGate-Firewall zu schützen.

    • Navigieren Sie zu Network > Policy Routes
      •

    jmorenoc_6-1707070544485

    • Konfigurieren der Richtlinie
      •

    jmorenoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface : Wählen Sie die Schnittstelle aus, von der aus Sie den Datenverkehr auf den sicheren Zugriff (Ursprung des Datenverkehrs) umleiten möchten.
    • Source Address
      • IP/Netmask : Verwenden Sie diese Option, wenn Sie nur ein Subnetz einer Schnittstelle routen
      • Addresses : Verwenden Sie diese Option, wenn das Objekt erstellt wurde und die Quelle des Datenverkehrs von mehreren Schnittstellen und mehreren Subnetzen stammt.
        •
    • Destination Addresses 
      • Addresses: Auswahl all
      • Protocol: Auswahl ANY
        •
    • Then 
      • Action: Choose Forward Traffic
    • Outgoing Interface : Wählen Sie die Tunnelschnittstelle aus, die Sie im Schritt Configure Tunnel Interface geändert haben.
    • Gateway Address: Konfigurieren Sie die Remote-IP-Adresse, die für den Schritt konfiguriert wurde, RemoteIPNetmask
    • Status : Aktivieren auswählen
      •

    Klicken Sie hier, OK um die Konfiguration zu speichern. Jetzt können Sie überprüfen, ob der Geräteverkehr zu "Sicherer Zugriff" umgeleitet wurde. 

    Überprüfung

    Um zu überprüfen, ob der Datenverkehr Ihres Computers zu Secure Access umgeleitet wurde, haben Sie zwei Möglichkeiten: Sie können im Internet nach Ihrer öffentlichen IP suchen oder den nächsten Befehl mit curl ausführen: 

    C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

    Der öffentliche Bereich, von dem aus Sie den Datenverkehr sehen können, stammt von:

    Min Host:151.186.176.1

    Max Host :151.186.207.254

    note-icon

    Hinweis: Änderungen an diesen IPs vorbehalten. Cisco wird diesen Bereich demnächst wahrscheinlich erweitern.

    Wenn Sie die Änderung Ihrer öffentlichen IP sehen, bedeutet dies, dass Sie durch sicheren Zugriff geschützt sind. Jetzt können Sie Ihre private Anwendung auf dem Dashboard für sicheren Zugriff konfigurieren, um über VPNaaS oder ZTNA auf Ihre Anwendungen zuzugreifen.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    02-Aug-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jairo Moreno
      TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.