Configurer un accès sécurisé avec le pare-feu Palo Alto
Table des matières
Introduction
Ce document décrit comment configurer l'accès sécurisé avec Palo Alto Firewall.
Conditions préalables
- Configurer le provisionnement utilisateur
- Configuration de l'authentification ZTNA SSO
- Configuration de l'accès sécurisé VPN à distance
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Pare-feu de version Palo Alto 11.x
- Accès sécurisé
- Client sécurisé Cisco - VPN
- Client sécurisé Cisco - ZTNA
- ZTNA sans client
Composants utilisés
Les informations contenues dans ce document sont basées sur :
- Pare-feu de version Palo Alto 11.x
- Accès sécurisé
- Client sécurisé Cisco - VPN
- Client sécurisé Cisco - ZTNA
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Accès sécurisé - Palo Alto
Cisco a conçu Secure Access pour protéger et fournir un accès aux applications privées, sur site et dans le cloud. Il protège également la connexion du réseau à Internet. Pour ce faire, plusieurs méthodes et couches de sécurité sont mises en oeuvre, toutes visant à préserver les informations lorsqu'elles y accèdent via le cloud.
Configurer
Configurer le VPN sur un accès sécurisé
Accédez au panneau d'administration de Secure Access.
Accès sécurisé - Page principale
- Cliquez sur
Connect > Network Connections
Accès sécurisé - Connexions réseau
- Sous
Network Tunnel Groups cliquez sur+ Add
Accès sécurisé - Groupes de tunnels réseau
- Configurer
Tunnel Group Name,Region etDevice Type - Cliquer
Next
Remarque : choisissez la région la plus proche de l'emplacement de votre pare-feu.
- Configurez les
Tunnel ID Format etPassphrase - Cliquer
Next
- Configurez les plages d'adresses IP ou les hôtes que vous avez configurés sur votre réseau et souhaitez faire passer le trafic par un accès sécurisé
- Cliquer
Save
Accès sécurisé - Groupes de tunnels - Options de routage
Après avoir cliqué sur Save les informations sur le tunnel s'affiche, veuillez enregistrer ces informations pour l'étape suivante, Configure the tunnel on Palo Alto.
Données du tunnel
Données du tunnel
Configurer le tunnel sur Palo Alto
Configurer le tunnel sur Palo AltoConfiguration de l'interface du tunnel
Configuration de l'interface du tunnelAccédez au tableau de bord Palo Alto.
Network > Interfaces > TunnelClick Add
- Sous
Config menu, configurez leVirtual Router, leSecurity Zone et attribuez unSuffix Number
- Sous
IPv4, configurez une adresse IP non routable. Par exemple, vous pouvez utiliser169.254.0.1/30 - Cliquer
OK
Après cela, vous pouvez configurer quelque chose comme ceci :
Si vous l'avez configuré de cette manière, vous pouvez cliquer sur Commit pour enregistrer la configuration et passer à l'étape suivante, Configure IKE Crypto Profile.
Configuration du profil de chiffrement IKE
Configuration du profil de chiffrement IKEPour configurer le profil de chiffrement, accédez à :
Network > Network Profile > IKE Crypto- Cliquer
Add
- Configurez les paramètres suivants :
Name: configurez un nom pour identifier le profil.DH GROUP: groupe19AUTHENTICATION: non-authENCRYPTION: aes-256-gcmTimers
Key Lifetime: 8 heuresIKEv2 Authentication:0
- Une fois que tout est configuré, cliquez sur
OK
Si vous l'avez configuré de cette manière, vous pouvez cliquer sur Commit pour enregistrer la configuration et passer à l'étape suivante, Configure IKE Gateways.
Configuration des passerelles IKE
Configuration des passerelles IKEPour configurer des passerelles IKE
Network > Network Profile > IKE Gateways- Cliquer
Add
- Configurez les paramètres suivants :
Name: configurez un nom pour identifier les passerelles Ike.Version : mode IKEv2 uniquementAddress Type :IPv4Interface : sélectionnez votre interface WAN Internet.Local IP Address: sélectionnez l'adresse IP de votre interface WAN Internet.Peer IP Address Type :IPPeer Address: Utilisez l'adresse IP dePrimary IP Datacenter IP Address, donnée à l'étape Données de tunnel.Authentication: clé pré-partagéePre-shared Key : Utilisez la valeurpassphrase donnée à l'étape Données de tunnel.Confirm Pre-shared Key : Utilisez la valeurpassphrase donnée à l'étape Données de tunnel.Local Identification : ChoisissezUser FQDN (Email address) et utilisez la valeurPrimary Tunnel ID donnée à l'étape, Tunnel Data.Peer Identification :IP AddressChoisissez et utilisez laPrimary IP Datacenter IP Address.
- Cliquer
Advanced OptionsEnable NAT Traversal- Sélectionnez le
IKE Crypto Profile créé à l'étape Configurer le profil de chiffrement IKE - Cochez la case correspondant à
Liveness Check - Cliquer
OK
Si vous l'avez configuré de cette manière, vous pouvez cliquer sur Commit pour enregistrer la configuration et passer à l'étape suivante, Configure IPSEC Crypto.
Configurer le profil de chiffrement IPSEC
Configurer le profil de chiffrement IPSECPour configurer les passerelles IKE, accédez à Network > Network Profile > IPSEC Crypto
- Cliquer
Add
- Configurez les paramètres suivants :
Name: utilisez un nom pour identifier le profil IPsec d'accès sécuriséIPSec Protocol: ESPENCRYPTION: aes-256-gcmDH Group: no-pfs, 1 heure
- Cliquer
OK
Si vous l'avez configuré de cette manière, vous pouvez cliquer sur Commit pour enregistrer la configuration et passer à l'étape suivante, Configure IPSec Tunnels.
Configuration des tunnels IPSec
Configuration des tunnels IPSecPour configurer IPSec Tunnels, accédez à Network > IPSec Tunnels.
- Cliquer
Add
- Configurez les paramètres suivants :
Name: utilisez un nom pour identifier le tunnel Secure AccessTunnel Interface: choisissez l'interface de tunnel configurée à l'étape, Configurez l'interfacede tunnel.Type: Clé autoAddress Type:IPv4IKE Gateways: sélectionnez les passerelles IKE configurées à l'étape Configurer les passerelles IKE.IPsec Crypto Profile: sélectionnez les passerelles IKE configurées à l'étape Configurer le profil de chiffrement IPSEC- Cochez la case correspondant à
Advanced OptionsIPSec Mode Tunnel: sélectionnez Tunnel.
- Cliquer
OK
Maintenant que votre VPN est correctement créé, vous pouvez passer à l'étape, Configure Policy Based Forwarding.
Configurer le transfert basé sur des stratégies
Configurer le transfert basé sur des stratégiesPour configurer Policy Based Forwarding, accédez à Policies > Policy Based Forwarding.
- Cliquer
Add
- Configurez les paramètres suivants :
GeneralName: utilisez un nom pour identifier l'accès sécurisé, le transfert de base de stratégie (routage par origine)
SourceZone: sélectionnez les zones à partir desquelles vous prévoyez d'acheminer le trafic en fonction de l'origineSource Address: configurez le ou les hôtes que vous souhaitez utiliser comme source.Source Users: configurez les utilisateurs que vous souhaitez router le trafic (uniquement si applicable)
Destination/Application/ServiceDestination Address: vous pouvez laisser la valeur Any (Tous) ou spécifier les plages d'adresses d'accès sécurisé (100.64.0.0/10)
ForwardingAction: transfertEgress Interface: choisissez l'interface de tunnel configurée à l'étape, Configurez l'interfacede tunnel.Next Hop:Aucune
- Cliquez sur
OK etCommit
Maintenant, tout est configuré sur Palo Alto ; après avoir configuré la route, le tunnel peut être établi, et vous devez continuer à configurer le RA-VPN, le ZTA basé sur navigateur ou le ZTA de base client sur le tableau de bord d'accès sécurisé.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
31-Jan-2024 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)