Firewall Seguro - Configurar Umbrella Secure Internet Gateway

Atualizado:28 de julho de 2023
ID do documento:220661

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a configuração passo a passo de um túnel VPN de Secure Internet Gateway (SIG) site a site no Secure Firewall Threat Defense.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • VPNs site a site
    • Portal de administração Umbrella
    • Centro de gerenciamento seguro de firewall (FMC)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware.

    • Portal de administração Umbrella
    • Secure Firewall versão 7.2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Diagrama de Rede

    Network Diagram

    Configuração de túnel de rede Umbrella

    Túnel de rede

    Faça login no Umbrella Dashboard:

    Network Tunnels Tab

    Navegue até Deployments > Network Tunnels > Add.

    Adicione um novo túnel, escolha o tipo de dispositivo como FTD e nomeie-o adequadamente.

    Add a New Tunnel

    Insira o endereço IP público do FTD junto com uma chave pré-compartilhada segura.

    Conecte o túnel ao local apropriado para políticas de firewall e inspeção de tráfego.

    Configure Tunnel Parameters

    A configuração do Umbrella Portal agora está concluída.

    Navegue até o Umbrella Portal quando o túnel estiver conectado para confirmar o status da VPN.

    Configuração do Secure Firewall Management Center

    Configurar site a site

    Navegue até Devices > Site-to-Site :

    Configure Site-to-Site

    Adicionar novo túnel de site a site

    Nomeie a topologia e escolha VTI baseado em rota:

    Create a New VPN Topology

    Adicionar uma nova interface de túnel virtual

    • Nomear a interface do túnel
    • Aplicar uma nova zona de segurança à interface
    • Atribuir um número de ID de túnel entre 0 e 10413
    • Escolher a origem do túnel (interface com IP público definido no Umbrella Portal)
    • Crie uma sub-rede não roteável/30 para uso com a VPN. Por exemplo, 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    Configurar Nós de Topologia

    Atribuir FTD ao Nó A e Umbrella ao Nó B da Extranet:

    Assign Devices to Topology

    Os endereços IP de endpoint para uso com data centers Umbrella podem ser encontrados aqui.

    Escolha o data center mais próximo da localização física do dispositivo.

    Definir parâmetros da fase 1 do IKEv2:

    Parâmetros aceitáveis para a negociação de túnel podem ser encontrados aqui.

    Navegue até a guia IKE e crie uma nova política IKEv2:

    • Atribua a prioridade apropriada para evitar que ela entre em conflito com as políticas existentes.
    • O tempo de vida da fase 1 é de 14400 segundos.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    Definir parâmetros da fase 2 do IPsec:

    • Parâmetros aceitáveis para a negociação de túnel podem ser encontrados aqui.
    • Navegue até a página IPsec e crie uma nova Proposta IPsec.

    Create IKEv2 IPsec Proposal

    Certifique-se de que os parâmetros da Fase 2 correspondam a:

    Review IPsec Configuration

    Salve a topologia e implante no firewall.

    Configurar o Roteamento Baseado em Políticas (PBR - Policy Based Routing)

    Navegue até Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    Adicionar nova política.

    Add a New Policy-Based Routing Configuration

    Configure as ações de encaminhamento:

    Configure Forwarding Options

    Crie a ACL Match para o tráfego que deve navegar pelo túnel SIG:

    Create a New Extended ACL

    Adicione Entradas de Controle de Acesso definindo o tráfego Umbrella SIG:

    Add ACE for SIG Traffic

      • As redes de origem definem o tráfego interno.
      • Redes de destino são as redes remotas que devem ser inspecionadas pelo Umbrella.

    ACL estendida concluída:

    Review the New Extended ACL

    Configurar Send To:

    Configure Send To Destination

    Defina o Send To O endereço IPv4 é o segundo IP disponível na sub-rede /30.

    note-icon

    Observação: esse endereço IP não está definido no Umbrella. Ele só é necessário para o encaminhamento de tráfego.

    PBR concluído:

    Completed PBR Configuration

    Anote a interface de entrada, que será necessária posteriormente para a configuração da Política de Controle de Acesso (ACP) e da Conversão de Endereço de Rede (NAT).

    Salvar configuração e implantar no firewall.

    Configurar NAT e ACP

    Navegue até Devices > NAT.

    Crie uma nova regra de NAT manual como esta:

    Create a New NAT Rule

      • Source Interface - fonte protegida interna.
      • Interface de destino - Qualquer - Permite que o tráfego seja desviado para o VTI.

    Tradução:

    Configure Translation

      • Origem Original e Traduzida - Objeto de rede interno protegido
      • Destino original e traduzido - qualquer4 - 0.0.0.0/0

    Navegue até Policy > Access Control.

    Criar uma nova regra de ACP como esta:

    Create a New ACP Rule

      • Zona de origem - Fonte protegida interna.
      • Zona de destino - Zona VTI - Permite que o tráfego seja desviado para o VTI.

    Redes:

    Define Permitted Traffic

      • Redes de Origem - Objeto(s) de rede protegido(s) interno(s)
      • Redes de destino - qualquer4 - 0.0.0.0/0

    Salve a configuração e implante-a no Firewall.

    Verificar

    Monitoramento de site para site

    Verifique o status do túnel com a ferramenta de monitoramento de site a site do Centro de gerenciamento de firewall seguro (FMC).

    Navegue até Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    Verifique se o status do túnel está conectado:

    Verify Tunnel Status in FMC

    Passar o cursor sobre a topologia exibe opções mais detalhadas. Isso pode ser usado para inspecionar pacotes que entram e saem do túnel, juntamente com o tempo de atividade do túnel e várias outras estatísticas do túnel.

    Painel do Umbrella

    No Painel, navegue até Active Network Tunnels. Deve haver um anel azul indicando que o túnel está conectado.

    Verify Tunnel Status in Umbrella Dashboard

    Expanda o túnel apropriado para ver mais detalhes sobre o tráfego que flui pelo túnel:

    show details of VPN in Umbrella Dashboard

    Túnel exibido como Ativo com dados passando pelo túnel.

    Host interno

    A partir de um host interno que tenha seu tráfego atravessando o túnel, execute uma pesquisa de IP público a partir de um navegador da Web. Se o IP público mostrado estiver dentro desses dois intervalos, o dispositivo agora é protegido pelo SIG.

    Internal Host Verification Test

    Firewall Threat Defense CLI

    Comandos show:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    Troubleshooting

    Firewall Threat Defense CLI

    Depurações IKEv2:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    Capturas ISAKMP:

    A captura ISAKMP pode ser usada para determinar o que está causando problemas de conectividade de túnel sem a necessidade de depurações. A sintaxe de captura sugerida é: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    27-Jul-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tristan Conner
      Engenheiro de segurança da informação

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos