Configureer beveiligde toegang met Fortigate Firewall

Downloadopties

  • PDF     (2.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 augustus 2024
Document-id:222270

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Secure Access kunt configureren met Fortigate Firewall.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Fortigate 7.4.x versie firewall
    • Beveiligde toegang
    • Cisco Secure-client - VPN
    • Cisco Secure-client - ZTNA
    • Clientloze ZTNA

    Gebruikte componenten

    De informatie in dit document is gebaseerd op: 

    • Fortigate 7.4.x versie firewall
    • Beveiligde toegang
    • Cisco Secure-client - VPN
    • Cisco Secure-client - ZTNA

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    jmorenoc_0-1706967866629

    Cisco heeft Secure Access ontworpen om toegang tot particuliere toepassingen te beschermen en te bieden, zowel op locatie als in de cloud. Het beschermt ook de verbinding van het netwerk met het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, die allemaal gericht zijn op het bewaren van de informatie zoals ze deze via de cloud benaderen.

    Configureren

    VPN bij beveiligde toegang configureren

    Navigeer naar het beheerderspaneel van Secure Access.

    jmorenoc_8-1706968713702

    • Klik op Connect > Network Connections > Network Tunnels Groups

    jmorenoc_11-1706968993787

    • Onder Network Tunnel Groups klik op + Add
      •

    jmorenoc_12-1706969034757

    • Configureren Tunnel Group Name, Regionen Device Type
    • Klik op de knop Next
      •

    jmorenoc_13-1706969076844

    pictogram van opmerking

    Opmerking: kies de regio die het dichtst bij de locatie van uw firewall ligt.
    • Configureer de Tunnel ID Format en Passphrase
    • Klik op de knop Next
      •

    jmorenoc_14-1706969101197

    • Configureer de IP-adresbereiken of hosts die u op uw netwerk hebt geconfigureerd en u wilt het verkeer via beveiligde toegang doorgeven
    • Klik op de knop Save
      •

    jmorenoc_15-1706969132539

    Nadat u op Save de informatie over de tunnel wordt weergegeven, bewaar die informatie voor de volgende stap, Configure the VPN Site to Site on Fortigate.

    Tunnelgegevens

    jmorenoc_16-1706969350380

    Configureer de VPN Site naar Site op Fortigate

    Navigeer naar je Fortigate dashboard.

    • Klik op de knop  VPN > IPsec Tunnels
      •

    jmorenoc_1-1706970026583

    • Klik op de knop  Create New > IPsec Tunnels
      •

    jmorenoc_2-1706970106771

    • Klik op Custom , configureer een bestand Name en klik Next.
      •

    jmorenoc_4-1706970207324

    In de volgende afbeelding ziet u hoe u de instellingen voor het Network onderdeel moet configureren.

    Netwerk

    jmorenoc_6-1706970786834

    • Network
      • IP Version :IPv4
      • Remote Gateway :Statisch IP-adres
      • IP Address: Gebruik het IP-adres van de Primary IP Datacenter IP Address,gegevens in de stap Tunnel
      • Interface : Kies de WAN-interface die u wilt gebruiken om de tunnel te openen
      • Local Gateway : Uitschakelen als standaard
      • Mode Config : Uitschakelen als standaard
      • NAT Traversal :Inschakelen
      • Keepalive Frequency :10
      • Dead Peer Detection : on-demand
      • DPD retry count :3
      • DPD retry interval :10
      • Forward Error Correction : Vink geen vakje aan. 
      • Advanced...: Configureer het als de afbeelding.
        •

    Configureer nu de IKE Authentication.

    Verificatie

    jmorenoc_2-1707056249758

    • Authentication 
      • Method : Vooraf gedeelde sleutel als standaard
      • Pre-shared Key : Gebruik de Passphrasegegeven in de stap Tunnelgegevens
        •
    • IKE 
      • Version : Kies versie 2.
      •
    pictogram van opmerking

    Opmerking: Secure Access ondersteunt alleen IKEv2

    Configureer nu de Phase 1 Proposalinstellingen.

    Voorstel voor fase 1

    jmorenoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : Kies AES256
      • Authentication : Kies SHA256
      • Diffie-Hellman Groups : Vak 19 en 20 aanvinken
      • Key Lifetime (seconds) : standaard 86400
      • Local ID : Gebruik het Primary Tunnel ID formulier dat is aangegeven in de stap Tunnelgegevens
        •

    Configureer nu de Phase 2 Proposalinstellingen.

    Voorstel voor fase 2

    jmorenoc_5-1707058728877

    • New Phase 2
      • Name : Laat staan als standaard (dit is afkomstig van de naam van uw VPN)
      • Local Address : Laat als standaard (0.0.0.0/0.0.0.0)
      • Remote Address : Laat als standaard (0.0.0.0/0.0.0.0)
        •
    • Advanced
      • Encryption : Kies AES128
      • Authentication : Kies SHA256
      • Enable Replay Detection : Laat als standaard (ingeschakeld)
      • Enable Perfect Forward Secrecy (PFS) : Schakel het selectievakje uit
      • Local Port : Laat als standaard (ingeschakeld)
      • Remote Port: Laat als standaard (ingeschakeld)
      • Protocol : Laat als standaard (ingeschakeld)
      • Auto-negotiate : Standaard ingeschakeld (niet gemarkeerd)
      • Autokey Keep Alive : Standaard ingeschakeld (niet gemarkeerd)
      • Key Lifetime : Standaard ingeschakeld (seconden)
      • Seconds : Standaard ingeschakeld (43200)
        •

    Klik vervolgens op OK. U ziet na enkele minuten dat de VPN is opgezet met Secure Access, en u kunt doorgaan met de volgende stap, Configure the Tunnel Interface.

    jmorenoc_0-1707060199635

    De tunnelinterface configureren

    Nadat de tunnel is gemaakt, ziet u dat u een nieuwe interface achter de poort hebt die u als WAN-interface gebruikt om met Secure Access te communiceren. 

    Om dat te controleren, navigeer dan naar Network > Interfaces.

    jmorenoc_0-1707069145874

    Breid de poort uit die u gebruikt om te communiceren met Secure Access; in dit geval de WAN interface.

    jmorenoc_1-1707069309957

    • Klik op uw Tunnel Interface en klik op Edit
      •

    jmorenoc_3-1707069499072

    • U hebt het volgende beeld dat u moet configureren
      •

    jmorenoc_4-1707069648471

    • Interface Configuration 
    • IP : Configureer een niet-routeerbare IP die niet in uw netwerk aanwezig is (169.254.0.1)
    • Remote IP/Netmask : Configureer de externe IP als de volgende IP van uw interface-IP en met een Netmasker van 30 (169.254.0.2 255.255.255.252)
      •

    Daarna, klik om de configuratie op OK  te slaan en met de volgende stap te werk te gaan, Configure Policy Route (op oorsprong gebaseerde routing).

    waarschuwing-pictogram

    Waarschuwing: na dit onderdeel moet u het firewallbeleid op uw FormFiller configureren om verkeer vanaf uw apparaat toe te staan of toe te staan voor beveiligde toegang en van beveiligde toegang tot de netwerken die u wilt leiden.

    Configureren van beleidsroute

    Op dit punt hebt u uw VPN geconfigureerd en ingesteld om Secure Access te beveiligen; nu moet u het verkeer omleiden naar Secure Access om uw verkeer of toegang tot uw privé-toepassingen achter uw FortiGate firewall te beschermen.

    • Naar navigeren Network > Policy Routes
      •

    jmorenoc_6-1707070544485

    • Het beleid configureren
      •

    jmorenoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface : Kies de interface van waar u het verkeer wilt omleiden naar beveiligde toegang (herkomst van verkeer)
    • Source Address
      • IP/Netmask : Gebruik deze optie als u alleen een subnetverbinding van een interface routeert
      • Addresses : Gebruik deze optie als u het object hebt gemaakt en de bron van het verkeer afkomstig is van meerdere interfaces en meerdere subnetten
        •
    • Destination Addresses 
      • Addresses: Kies all
      • Protocol: Kies ANY
        •
    • Then 
      • Action: Choose Forward Traffic
    • Outgoing Interface : Kies de tunnelinterface die u in de stap hebt aangepast, Tunnelinterface configureren
    • Gateway Address: De configuratie van de externe IP op de stap, RemoteIPNetmask
    • Status : Ingeschakeld kiezen
      •

    Klik om de configuratie op OK te slaan, u bent nu klaar om te verifiëren of uw apparaatverkeer is omgeleid naar Secure Access. 

    Verifiëren

    Om te controleren of het verkeer van uw machine is omgeleid naar Secure Access, hebt u twee opties; u kunt controleren op het internet en controleren op uw openbare IP, of u kunt de volgende opdracht uitvoeren met krul: 

    C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

    De openbare waaier van waar u uw verkeer kunt zien is van:

    Min Host:151.186.176.1

    Max Host :151.186.207.254

    pictogram van opmerking

    Opmerking: deze IP's kunnen worden gewijzigd, wat betekent dat Cisco dit bereik in de toekomst waarschijnlijk zal uitbreiden.

    Als u de wijziging van uw openbare IP ziet, betekent dit dat u wordt beschermd door Secure Access, en nu kunt u uw privé-toepassing configureren op het Secure Access-dashboard om toegang te krijgen tot uw toepassingen via VPNaaS of ZTNA.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    02-Aug-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jairo Moreno
      TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten