Secure Firewall - Configura Umbrella Secure Internet Gateway

Aggiornato:28 luglio 2023
ID documento:220661

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la configurazione dettagliata di un tunnel VPN SIG (Secure Internet Gateway) da sito a sito su Secure Firewall Threat Defense.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • VPN da sito a sito
    • Umbrella Admin Portal
    • Centro gestione firewall protetto (FMC)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware.

    • Umbrella Admin Portal
    • Secure Firewall versione 7.2

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Esempio di rete

    Network Diagram

    Configurazione tunnel di rete Umbrella

    Tunnel di rete

    Accedi a Umbrella Dashboard:

    Network Tunnels Tab

    Passa a Deployments > Network Tunnels > Add.

    Aggiungete un nuovo tunnel, scegliete il tipo di dispositivo come FTD e denominatelo in modo appropriato.

    Add a New Tunnel

    Immettere l'indirizzo IP pubblico dell'FTD insieme a una chiave già condivisa protetta.

    Collegare il tunnel al sito appropriato per i criteri di firewall e ispezione del traffico.

    Configure Tunnel Parameters

    Configurazione da Umbrella Portal completata.

    Per confermare lo stato VPN, passare a Umbrella Portal quando il tunnel è connesso.

    Configurazione Centro gestione firewall sicura

    Configurazione da sito a sito

    Passa a Devices > Site-to-Site :

    Configure Site-to-Site

    Aggiungi nuovo tunnel da sito a sito

    Assegnare un nome alla topologia e scegliere VTI basata su route:

    Create a New VPN Topology

    Aggiungi nuova interfaccia tunnel virtuale

    • Denominazione interfaccia tunnel
    • Applicazione di una nuova area di sicurezza all'interfaccia
    • Assegna un numero ID tunnel compreso tra 0 e 10413
    • Scegli origine tunnel (interfaccia con IP pubblico definita in Umbrella Portal)
    • Creare una subnet 30/non instradabile da utilizzare con la VPN. Ad esempio, 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    Configura nodi di topologia

    Assegnare FTD al nodo A e Umbrella al nodo B della Extranet:

    Assign Devices to Topology

    Gli indirizzi IP degli endpoint da utilizzare con i data center Umbrella sono disponibili qui.

    Scegliere il centro dati più vicino alla posizione fisica del dispositivo.

    Definire i parametri della fase 1 di IKEv2:

    Qui sono riportati i parametri accettabili per la negoziazione del tunnel.

    Passare alla scheda IKE e creare un nuovo criterio IKEv2:

    • Assegnare la priorità appropriata per evitare conflitti con i criteri esistenti.
    • La durata della fase 1 è di 1400 secondi.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    Definire i parametri IPsec fase 2:

    • Qui sono riportati i parametri accettabili per la negoziazione del tunnel.
    • Passare alla IPsec e creare una nuova proposta IPSec.

    Create IKEv2 IPsec Proposal

    Verificare che i parametri della fase 2 corrispondano a quanto segue:

    Review IPsec Configuration

    Salvare la topologia e distribuire nel firewall.

    Configurare PBR (Policy Based Routing)

    Passa a Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    Aggiungi nuovo criterio.

    Add a New Policy-Based Routing Configuration

    Configurare le azioni di inoltro:

    Configure Forwarding Options

    Creare l'ACL di corrispondenza per il traffico che deve navigare attraverso il tunnel SIG:

    Create a New Extended ACL

    Aggiungere le voci di controllo di accesso che definiscono il traffico Umbrella SIG:

    Add ACE for SIG Traffic

      • Le reti di origine definiscono il traffico interno.
      • Reti di destinazione sono le reti remote che devono essere controllate da Umbrella.

    ACL esteso completato:

    Review the New Extended ACL

    Configurazione Send To:

    Configure Send To Destination

    Definire la Send To Indirizzo IPv4 come secondo indirizzo IP disponibile nella subnet /30.

    note-icon

    Nota: questo indirizzo IP non è definito in Umbrella. È necessaria solo per l'inoltro del traffico.

    PBR completato:

    Completed PBR Configuration

    Prendere nota dell'interfaccia in entrata, necessaria in seguito per la configurazione dei criteri di controllo di accesso (ACP) e di Network Address Translation (NAT).

    salvare la configurazione e distribuirla nel firewall.

    Configurare NAT e ACP

    Passa a Devices > NAT.

    Crea una nuova regola NAT manuale come questa:

    Create a New NAT Rule

      • Source Interface - Origine protetta interna.
      • Destination Interface - Any (Interfaccia di destinazione - Qualsiasi) - Consente di deviare il traffico al VTI.

    Traduzione:

    Configure Translation

      • Origine originale e tradotta - Oggetto di rete protetto interno
      • Destinazione originale e tradotta - any4 - 0.0.0.0/0

    Passa a Policy > Access Control.

    Crea una nuova regola del provider di servizi di audioconferenza come questa:

    Create a New ACP Rule

      • Zona di origine: origine protetta interna.
      • Zona di destinazione - Zona VTI - Consente di deviare il traffico verso la VTI.

    Reti:

    Define Permitted Traffic

      • Reti di origine - Oggetti di rete interni protetti
      • Reti di destinazione - any4 - 0.0.0.0/0

    Salvare la configurazione e distribuirla nel firewall.

    Verifica

    Monitoraggio da sito a sito

    Verificare lo stato del tunnel con lo strumento di monitoraggio da sito a sito del Centro di gestione firewall sicuro.

    Passa a Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    Verificare che lo stato del tunnel sia connesso:

    Verify Tunnel Status in FMC

    Passando il cursore sulla topologia vengono visualizzate opzioni più dettagliate. Questa opzione può essere usata per ispezionare i pacchetti in movimento in entrata e in uscita dal tunnel insieme al tempo di operatività del tunnel e a vari altri stati del tunnel.

    Umbrella Dashboard

    Dal dashboard, passare a Active Network Tunnels. Deve essere presente un anello blu che indica che il tunnel è connesso.

    Verify Tunnel Status in Umbrella Dashboard

    Espandere il tunnel appropriato per visualizzare ulteriori dettagli sul traffico che attraversa il tunnel:

    show details of VPN in Umbrella Dashboard

    Tunnel attivo con i dati che attraversano il tunnel.

    Host interno

    Da un host interno il cui traffico attraversa il tunnel, eseguire una ricerca IP pubblica da un browser Web. Se l'indirizzo IP pubblico mostrato rientra in questi due intervalli, il dispositivo è ora protetto da SIG.

    Internal Host Verification Test

    CLI Firewall Threat Defense

    Comandi show:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    Risoluzione dei problemi

    CLI Firewall Threat Defense

    Debug IKEv2:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    Clip ISAKMP:

    L'acquisizione ISAKMP può essere usata per determinare la causa dei problemi di connettività del tunnel senza bisogno di debug. La sintassi di acquisizione suggerita è: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    27-Jul-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Tristan Conner
      Tecnico per la sicurezza delle informazioni

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti