Konfigurieren von sicherem Zugriff mit Fortigate Firewall

Download-Optionen

  • PDF     (2.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. August 2024
Dokument-ID:222270

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie sicheren Zugriff mit der Fortigate Firewall konfigurieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Fortigate 7.4.x Version Firewall
    • Sicherer Zugriff
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA
    • Clientless-ZTNA

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf: 

    • Fortigate 7.4.x Version Firewall
    • Sicherer Zugriff
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    jmorenoc_0-1706967866629

    Cisco hat Secure Access entwickelt, um den Zugriff auf private Anwendungen vor Ort und in der Cloud zu schützen. Außerdem wird die Verbindung vom Netzwerk zum Internet gesichert. Dies wird durch die Implementierung mehrerer Sicherheitsmethoden und -ebenen erreicht, die alle darauf abzielen, die Informationen beim Zugriff über die Cloud zu erhalten.

    Konfigurieren

    Konfigurieren des VPN für sicheren Zugriff

    Navigieren Sie zum Admin-Bereich von Secure Access.

    jmorenoc_8-1706968713702

    • Klicken Sie Connect > Network Connections > Network Tunnels Groups

    jmorenoc_11-1706968993787

    • Klicken Sie unterNetwork Tunnel Groupsauf + Add

    jmorenoc_12-1706969034757

    • KonfigurationTunnel Group NameRegionund Device Type
    • Klicken Sie auf Next

    jmorenoc_13-1706969076844

    note-icon

    Anmerkung: Wählen Sie die Region aus, die dem Standort Ihrer Firewall am nächsten liegt.

    • Konfigurieren Sie dieTunnel ID Formatund Passphrase
    • Klicken Sie auf Next

    jmorenoc_14-1706969101197

    • Konfigurieren Sie die IP-Adressbereiche oder Hosts, die Sie in Ihrem Netzwerk konfiguriert haben, und leiten Sie den Datenverkehr über sicheren Zugriff weiter.
    • Klicken Sie auf Save

    jmorenoc_15-1706969132539

    Nachdem Sie auf Save die Informationen über den Tunnel geklickt haben, speichern Sie diese Informationen für den nächsten Schritt, Configure the VPN Site to Site on Fortigate.

    Tunneldaten

    jmorenoc_16-1706969350380

    Konfigurieren des VPN-Standorts auf dem Fortigate

    Navigieren Sie zu Ihrem Fortigate-Dashboard.

    • Klicken Sie auf  VPN > IPsec Tunnels

    jmorenoc_1-1706970026583

    • Klicken Sie auf  Create New > IPsec Tunnels

    jmorenoc_2-1706970106771

    • Klicken Sie aufCustom, konfigurieren Sie ein Name , und klicken Sie auf Next.

    jmorenoc_4-1706970207324

    Im nächsten Bild sehen Sie, wie Sie die Einstellungen für das Network Teil konfigurieren müssen.

    Netzwerk

    alt-tag-for-image

    • Network
      • IP Version : IPv4
      • Remote Gateway : Statische IP-Adresse
      • IP Address: Verwenden Sie die im Schritt TunneldatenPrimary IP Datacenter IP Address,angegebene IP-Adresse von
      • Interface : Wählen Sie die WAN-Schnittstelle aus, die Sie für die Einrichtung des Tunnels geplant haben.
      • Local Gateway : Als Standard deaktivieren
      • Mode Config : Als Standard deaktivieren
      • NAT Traversal : Enable
      • Keepalive Frequency : 10
      • Dead Peer Detection : Im Leerlauf
      • DPD retry count : 3
      • DPD retry interval : 10
      • Forward Error Correction : Aktivieren Sie kein Kontrollkästchen. 
      • Advanced...: Konfigurieren Sie es als Image.

    Konfigurieren Sie jetzt IKE Authentication.

    Authentifizierung

    jmorenoc_2-1707056249758

    • Authentication 
      • Method : Vorläufiger gemeinsamer Schlüssel (PSK) als Standard
      • Pre-shared Key : Verwenden Sie die Passphraseangegebenen Tunneldaten
    • IKE 
      • Version : Wählen Sie Version 2 aus.
    note-icon

    Anmerkung: Secure Access unterstützt nur IKEv2

    Konfigurieren Sie nun die Phase 1 Proposal.

    Angebot für Phase 1

    jmorenoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : AES256 auswählen
      • Authentication : SHA256 auswählen
      • Diffie-Hellman Groups : Aktivieren Sie die Kontrollkästchen 19 und 20.
      • Key Lifetime (seconds) : 86400 als Standard
      • Local ID : Verwenden Sie die Primary Tunnel IDim Schritt Tunneldaten

    Konfigurieren Sie nun die Phase 2 Proposal.

    Angebot für Phase 2

    jmorenoc_5-1707058728877

    • New Phase 2
      • Name : Lassen Sie dies als Standard zu (wird vom Namen Ihres VPN übernommen)
      • Local Address : Voreinstellung (0.0.0.0/0.0.0.0)
      • Remote Address : Let as default (0.0.0.0/0.0.0.0)
    • Advanced
      • Encryption : AES128 auswählen
      • Authentication : SHA256 auswählen
      • Enable Replay Detection : Als Standard zulassen (Aktiviert)
      • Enable Perfect Forward Secrecy (PFS) : Markierung des Kontrollkästchens aufheben
      • Local Port : Als Standard zulassen (Aktiviert)
      • Remote Port: Als Standard zulassen (Aktiviert)
      • Protocol : Als Standard zulassen (Aktiviert)
      • Auto-negotiate : Als Standard zulassen (Nicht markiert)
      • Autokey Keep Alive : Als Standard zulassen (Nicht markiert)
      • Key Lifetime : Als Standard zulassen (Sekunden)
      • Seconds : Voreingestellt (43200)

    Klicken Sie anschließend auf OK. Nach einigen Minuten sehen Sie, dass das VPN mit Secure Access eingerichtet wurde, und Sie können mit dem nächsten Schritt fortfahren. Configure the Tunnel Interface.

    jmorenoc_0-1707060199635

    Konfigurieren der Tunnelschnittstelle

    Nachdem der Tunnel erstellt wurde, stellen Sie fest, dass sich hinter dem Port eine neue Schnittstelle befindet, die Sie als WAN-Schnittstelle für die Kommunikation mit Secure Access verwenden. 

    Um dies zu überprüfen, navigieren Sie bitte zu Network > Interfaces.

    jmorenoc_0-1707069145874

    Erweitern Sie den Port, den Sie für die Kommunikation mit Secure Access verwenden. in diesem Fall die WAN Schnittstelle.

    jmorenoc_1-1707069309957

    • Klicken Sie auf Ihre Tunnel Interface und klicken Sie auf Edit

    jmorenoc_3-1707069499072

    • Sie haben das nächste zu konfigurierende Image.

    jmorenoc_4-1707069648471

    • Interface Configuration 
    • IP : Konfigurieren Sie eine nicht routbare IP, die nicht im Netzwerk vorhanden ist (169.254.0.1).
    • Remote IP/Netmask : Konfigurieren Sie die Remote-IP als die nächste IP-Adresse Ihrer Schnittstellen-IP, und verwenden Sie die Netzmaske 30 (169.254.0.2 - 255.255.255.252).

    Speichern Sie OK  die Konfiguration, und fahren Sie mit dem nächsten Schritt (Configure Policy Route Origin-Based Routing) fort.

    warning-icon

    Warnung: Nach diesem Teil müssen Sie die Firewall-Richtlinien auf Ihrem FortiGate konfigurieren, um den Datenverkehr von Ihrem Gerät zu sicherem Zugriff und von sicherem Zugriff zu den Netzwerken, die Sie den Datenverkehr weiterleiten möchten, zuzulassen oder zuzulassen.

    Policy-Route konfigurieren

    Jetzt haben Sie Ihr VPN so konfiguriert und eingerichtet, dass es einen sicheren Zugriff ermöglicht. müssen Sie den Datenverkehr jetzt in Secure Access umleiten, um Ihren Datenverkehr oder den Zugriff auf Ihre privaten Anwendungen hinter der FortiGate-Firewall zu schützen.

    • Navigieren Sie zu  Network > Policy Routes

    jmorenoc_6-1707070544485

    • Konfigurieren der Richtlinie

    jmorenoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface : Wählen Sie die Schnittstelle aus, von der aus Sie den Datenverkehr auf den sicheren Zugriff (Ursprung des Datenverkehrs) umleiten möchten.
    • Source Address
      • IP/Netmask : Verwenden Sie diese Option, wenn Sie nur ein Subnetz einer Schnittstelle routen
      • Addresses : Verwenden Sie diese Option, wenn das Objekt erstellt wurde und die Quelle des Datenverkehrs von mehreren Schnittstellen und mehreren Subnetzen stammt.
    • Destination Addresses 
      • Addresses: Auswählen all
      • Protocol: Auswählen ANY
    • Then 
      • ActionChoose Forward Traffic
    • Outgoing Interface : Wählen Sie die Tunnelschnittstelle aus, die Sie in diesem Schritt geändert haben, Configure Tunnel Interface (Tunnelschnittstelle konfigurieren)
    • Gateway Address: Konfigurieren Sie die im Schritt konfigurierte Remote-IP-Adresse, RemoteIPNetmask.
    • Status : Aktiviert auswählen

    Klicken Sie hier, OK um die Konfiguration zu speichern. Jetzt können Sie überprüfen, ob der Geräteverkehr zu "Sicherer Zugriff" umgeleitet wurde. 

    Überprüfung

    Um zu überprüfen, ob der Datenverkehr Ihres Computers zu Secure Access umgeleitet wurde, haben Sie zwei Möglichkeiten: Sie können im Internet nach Ihrer öffentlichen IP-Adresse suchen oder den nächsten Befehl mit curl ausführen: 

    C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

    Der öffentliche Bereich, von dem aus Sie den Datenverkehr sehen können, stammt von:

    Min Host: 151.186.176.1

    Max Host :151.186.207.254

    note-icon

    Anmerkung: Änderungen an diesen IPs sind vorbehalten. Cisco wird diesen Bereich daher wahrscheinlich in Zukunft erweitern.

    Wenn Sie die Änderung Ihrer öffentlichen IP sehen, bedeutet dies, dass Sie durch sicheren Zugriff geschützt sind. Jetzt können Sie Ihre private Anwendung auf dem Dashboard für sicheren Zugriff konfigurieren, um über VPNaaS oder ZTNA auf Ihre Anwendungen zuzugreifen.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    02-Aug-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jairo Moreno
      TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.