Firewall seguro - Configurar gateway de Internet seguro de Umbrella

Actualizado:28 de julio de 2023
ID del documento:220661

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración paso a paso de un túnel VPN de gateway de Internet seguro (SIG) de sitio a sitio en Secure Firewall Threat Defence.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • VPN de sitio a sitio
    • Portal de administración general
    • Centro de gestión de firewall seguro (FMC)

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software y hardware.

    • Portal de administración general
    • Secure Firewall versión 7.2

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Diagrama de la red

    Network Diagram

    Configuración del túnel de red general

    Túnel de red

    Inicie sesión en Umbrella Dashboard:

    Network Tunnels Tab

    Desplácese hasta Deployments > Network Tunnels > Add.

    Agregue un túnel nuevo, elija el tipo de dispositivo como FTD y asígnele el nombre adecuado.

    Add a New Tunnel

    Introduzca la dirección IP pública del FTD junto con una clave precompartida segura.

    Conecte el túnel al sitio adecuado para las políticas de firewall e inspección de tráfico.

    Configure Tunnel Parameters

    La configuración de Umbrella Portal ha finalizado.

    Navegue hasta Umbrella Portal cuando el túnel esté conectado para confirmar el estado de VPN.

    Configuración de Secure Firewall Management Center

    Configuración de sitio a sitio

    Desplácese hasta Devices > Site-to-Site :

    Configure Site-to-Site

    Agregar nuevo túnel de sitio a sitio

    Asigne un nombre a la topología y seleccione VTI basada en ruta:

    Create a New VPN Topology

    Agregar una nueva interfaz de túnel virtual

    • Nombre de la interfaz de túnel
    • Aplicación de una nueva zona de seguridad a la interfaz
    • Asignar un número de ID de túnel entre 0-10413
    • Elija el origen del túnel (interfaz con IP pública definida en Umbrella Portal)
    • Cree una subred no enrutable/30 para usarla con la VPN. Por ejemplo, 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    Configurar nodos de topología

    Asignar FTD al nodo A y Umbrella al nodo B de la Extranet:

    Assign Devices to Topology

    Las direcciones IP de los terminales para su uso con los Data Centers de Umbrella se pueden encontrar aquí.

    Elija el Data Center que esté más cerca de la ubicación física del dispositivo.

    Defina los parámetros de fase 1 de IKEv2:

    Los parámetros aceptables para la negociación de túnel se pueden encontrar aquí.

    Vaya a la ficha IKE y cree una nueva política IKEv2:

    • Asigne la prioridad adecuada para evitar que entre en conflicto con las directivas existentes.
    • La duración de la fase 1 es de 14400 segundos.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    Defina los parámetros de la fase 2 de IPsec:

    • Los parámetros aceptables para la negociación de túnel se pueden encontrar aquí.
    • Desplácese hasta el IPsec y crear una nueva propuesta IPSec.

    Create IKEv2 IPsec Proposal

    Asegúrese de que los parámetros de la fase 2 coincidan con esto:

    Review IPsec Configuration

    Guardar topología e implementar en el firewall.

    Configuración del routing basado en políticas (PBR)

    Desplácese hasta Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    Agregar nueva política.

    Add a New Policy-Based Routing Configuration

    Configuración de las acciones de reenvío:

    Configure Forwarding Options

    Cree la ACL de coincidencia para el tráfico que debe navegar a través del túnel SIG:

    Create a New Extended ACL

    Agregar entradas de control de acceso que definan el tráfico Umbrella SIG:

    Add ACE for SIG Traffic

      • Las redes de origen definen el tráfico interno.
      • Las redes de destino son las redes remotas que debe inspeccionar Umbrella.

    ACL ampliada completada:

    Review the New Extended ACL

    Configurar Send To:

    Configure Send To Destination

    Defina el Send To Dirección IPv4 como la segunda dirección IP disponible en la subred /30.

    note-icon

    Nota: esta dirección IP no está definida en Umbrella. Solo es necesario para el reenvío de tráfico.

    PBR completado:

    Completed PBR Configuration

    Anote la interfaz de entrada, que se necesita más adelante para la configuración de la política de control de acceso (ACP) y la traducción de direcciones de red (NAT).

    Guardar la configuración e implementarla en el firewall.

    Configuración de NAT y ACP

    Desplácese hasta Devices > NAT.

    Cree una nueva regla NAT manual como esta:

    Create a New NAT Rule

      • Interfaz de origen: origen protegido interno.
      • Destination Interface (Interfaz de destino) - Any (Cualquiera): Permite desviar el tráfico a VTI.

    Traducción:

    Configure Translation

      • Origen original y traducido: objeto de red protegido interno
      • Destino original y traducido: cualquiera4 - 0.0.0.0/0

    Desplácese hasta Policy > Access Control.

    Cree una nueva regla ACP como esta:

    Create a New ACP Rule

      • Zona de origen: origen protegido interno.
      • Zona de destino - Zona VTI - Esto permite que el tráfico se desvíe a la VTI.

    Redes:

    Define Permitted Traffic

      • Redes de origen: objetos de red protegidos internos
      • Redes de destino: cualquiera4 - 0.0.0.0/0

    Guarde la configuración e impleméntelo en el firewall.

    Verificación

    Supervisión de sitio a sitio

    Verifique el estado del túnel con la herramienta de supervisión de sitio a sitio de Secure Firewall Management Center (FMC).

    Desplácese hasta Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    Verifique que el estado del túnel esté ahora conectado:

    Verify Tunnel Status in FMC

    Al situar el cursor sobre la topología, se muestran opciones más detalladas. Esto se puede utilizar para inspeccionar los paquetes que entran y salen del túnel junto con el tiempo de actividad del túnel y varias otras estadísticas del túnel.

    Panel de paraguas

    En el Panel, vaya a Active Network Tunnels. Debe haber un anillo azul que indique que el túnel está conectado.

    Verify Tunnel Status in Umbrella Dashboard

    Expanda el túnel apropiado para ver más detalles sobre el tráfico que fluye a través del túnel:

    show details of VPN in Umbrella Dashboard

    Túnel que se muestra como activo con datos que atraviesan el túnel.

    Host interno

    Desde un host interno cuyo tráfico atraviesa el túnel, realice una búsqueda de IP pública desde un navegador web. Si la IP pública que se muestra está dentro de estos dos rangos, el dispositivo está ahora protegido por SIG.

    Internal Host Verification Test

    CLI de defensa frente a amenazas de firewall

    Comandos show:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    Troubleshoot

    CLI de defensa frente a amenazas de firewall

    Depuraciones IKEv2:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    Capturas ISAKMP:

    La captura ISAKMP se puede utilizar para determinar qué está causando problemas de conectividad de túnel sin necesidad de depuraciones. La sintaxis de captura sugerida es: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    27-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Tristan Conner
      Information Security Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos