Sichere Firewall - Umbrella Secure Internet Gateway konfigurieren

Aktualisiert:28. Juli 2023
Dokument-ID:220661

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die schrittweise Konfiguration eines Site-to-Site Secure Internet Gateway (SIG) VPN-Tunnels auf der Grundlage von Secure Firewall Threat Defense beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Standortübergreifende VPNs
    • Umbrella-Administratorportal
    • Secure Firewall Management Center (FMC)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen.

    • Umbrella-Administratorportal
    • Secure Firewall Version 7.2

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Netzwerkdiagramm

    Network Diagram

    Umbrella Network Tunnel-Konfiguration

    Netzwerk-Tunnel

    Anmeldung bei Umbrella Dashboard:

    Network Tunnels Tab

    Navigieren Sie zu Deployments > Network Tunnels > Add.

    Fügen Sie einen neuen Tunnel hinzu, wählen Sie den Gerätetyp als FTD aus, und geben Sie ihm den entsprechenden Namen.

    Add a New Tunnel

    Geben Sie die öffentliche IP-Adresse des FTD zusammen mit einem sicheren vorinstallierten Schlüssel ein.

    Schließen Sie den Tunnel an den entsprechenden Standort an, um Firewall- und Datenverkehrskontrollrichtlinien festzulegen.

    Configure Tunnel Parameters

    Die Konfiguration von Umbrella Portal ist jetzt abgeschlossen.

    Navigieren Sie zum Umbrella Portal, wenn der Tunnel verbunden ist, um den VPN-Status zu bestätigen.

    Sichere Firewall Management Center-Konfiguration

    Site-to-Site-Konfiguration

    Navigieren Sie zu Devices > Site-to-Site :

    Configure Site-to-Site

    Neuen Site-to-Site-Tunnel hinzufügen

    Benennen Sie die Topologie, und wählen Sie Route-Based VTI:

    Create a New VPN Topology

    Neue virtuelle Tunnelschnittstelle hinzufügen

    • Benennen der Tunnelschnittstelle
    • Anwenden einer neuen Sicherheitszone auf die Schnittstelle
    • Zuweisen einer Tunnel-ID zwischen 0 und 10413
    • Tunnel-Quelle auswählen (Schnittstelle mit öffentlicher IP im Umbrella Portal definiert)
    • Erstellen Sie ein nicht routbares/30-Subnetz für die Verwendung mit dem VPN. Beispiel: 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    Topologieknoten konfigurieren

    FTD Knoten A und Umbrella Extranet Knoten B zuweisen:

    Assign Devices to Topology

    Endpunkt-IP-Adressen für Umbrella Data Center finden Sie hier.

    Wählen Sie das Rechenzentrum aus, das dem physischen Standort des Geräts am nächsten ist.

    IKEv2 Phase 1-Parameter definieren:

    Akzeptable Parameter für die Tunnelaushandlung finden Sie hier.

    Navigieren Sie zur Registerkarte IKE, und erstellen Sie eine neue IKEv2-Richtlinie:

    • Weisen Sie die entsprechende Priorität zu, um Konflikte mit den vorhandenen Richtlinien zu vermeiden.
    • Die Lebensdauer von Phase 1 beträgt 14400 Sekunden.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    Definieren der IPsec-Phase-2-Parameter:

    • Akzeptable Parameter für die Tunnelaushandlung finden Sie hier.
    • Navigieren Sie zum IPsec und ein neues IPsec-Angebot erstellen.

    Create IKEv2 IPsec Proposal

    Stellen Sie sicher, dass die Parameter von Phase 2 mit diesen übereinstimmen:

    Review IPsec Configuration

    Speichern Sie die Topologie, und stellen Sie sie auf der Firewall bereit.

    Konfigurieren von richtlinienbasiertem Routing

    Navigieren Sie zu Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    Neue Policy hinzufügen.

    Add a New Policy-Based Routing Configuration

    Konfigurieren Sie die Weiterleitungsaktionen:

    Configure Forwarding Options

    Erstellen Sie die Match ACL für den Datenverkehr, der durch den SIG-Tunnel navigieren muss:

    Create a New Extended ACL

    Fügen Sie Zugriffskontrolleinträge hinzu, die den Umbrella-SIG-Datenverkehr definieren:

    Add ACE for SIG Traffic

      • Quellnetzwerke definieren den internen Datenverkehr.
      • Zielnetzwerke sind die Remote-Netzwerke, die von Umbrella überprüft werden müssen.

    Abgeschlossene erweiterte Zugriffskontrollliste:

    Review the New Extended ACL

    Konfigurieren Send To:

    Configure Send To Destination

    Definieren Sie Send To IPv4-Adresse als zweite verfügbare IP im /30-Subnetz.

    note-icon

    Hinweis: Diese IP-Adresse ist in Umbrella nicht definiert. Sie wird nur für die Weiterleitung von Datenverkehr benötigt.

    Abgeschlossener PBR:

    Completed PBR Configuration

    Notieren Sie sich die Eingangsschnittstelle. Diese wird später für die Konfiguration der Zugriffskontrollrichtlinie (ACP) und der Network Address Translation (NAT) benötigt.

    Speichern Sie die Konfiguration, und stellen Sie sie auf der Firewall bereit.

    Konfigurieren von NAT und ACP

    Navigieren Sie zu Devices > NAT.

    Erstellen Sie eine neue manuelle NAT-Regel wie diese:

    Create a New NAT Rule

      • Quellschnittstelle - interne geschützte Quelle.
      • Zielschnittstelle - Any (Beliebig) - Diese Schnittstelle ermöglicht die Umleitung des Datenverkehrs an den VTI.

    Übersetzung:

    Configure Translation

      • Original und übersetzte Quelle - internes geschütztes Netzwerkobjekt
      • Original und übersetztes Ziel - any4 - 0.0.0.0/0

    Navigieren Sie zu Policy > Access Control.

    Erstellen Sie eine neue AKP-Regel wie diese:

    Create a New ACP Rule

      • Quellzone - Interne geschützte Quelle.
      • Destination Zone - VTI Zone - Ermöglicht die Umleitung des Datenverkehrs zum VTI.

    Netzwerke:

    Define Permitted Traffic

      • Quellnetzwerke - interne geschützte Netzwerkobjekte
      • Zielnetzwerke - any4 - 0.0.0.0/0

    Speichern Sie die Konfiguration, und stellen Sie sie auf der Firewall bereit.

    Überprüfung

    Site-to-Site-Überwachung

    Überprüfen Sie den Tunnelstatus mit dem FMC (Secure Firewall Management Center)-Tool für die standortübergreifende Überwachung.

    Navigieren Sie zu Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    Stellen Sie sicher, dass der Tunnelstatus jetzt verbunden ist:

    Verify Tunnel Status in FMC

    Wenn Sie den Mauszeiger über die Topologie bewegen, werden detailliertere Optionen angezeigt. Dies kann verwendet werden, um Pakete zu überprüfen, die in den Tunnel ein- und aus diesem heraus laufen, zusammen mit der Tunnelbetriebszeit und verschiedenen anderen Tunnelstatistiken.

    Umbrella Dashboard

    Navigieren Sie im Dashboard zu Active Network Tunnels. Es muss ein blauer Ring angezeigt werden, der anzeigt, dass der Tunnel verbunden ist.

    Verify Tunnel Status in Umbrella Dashboard

    Erweitern Sie den entsprechenden Tunnel, um weitere Details zum Datenverkehr zu erhalten, der durch den Tunnel fließt:

    show details of VPN in Umbrella Dashboard

    Der Tunnel wird als aktiv angezeigt, und die Daten durchlaufen den Tunnel.

    Interner Host

    Führen Sie von einem internen Host, dessen Datenverkehr den Tunnel durchläuft, eine öffentliche IP-Suche in einem Webbrowser durch. Wenn die dargestellte öffentliche IP-Adresse in diese beiden Bereiche fällt, wird das Gerät jetzt durch SIG geschützt.

    Internal Host Verification Test

    Firewall Threat Defense-CLI

    Befehle anzeigen:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    Fehlerbehebung

    Firewall Threat Defense-CLI

    IKEv2-Debugs:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    ISAKMP erfasst:

    Mithilfe der ISAKMP-Erfassung kann ermittelt werden, was Probleme mit der Tunnelverbindung verursacht, ohne dass Debugging-Vorgänge erforderlich sind. Die empfohlene Erfassungssyntax lautet: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    27-Jul-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Tristan Conner
      Information Security Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.