使用防御性防火墙配置安全访问

简介

本文档介绍如何使用Fortigate防火墙配置安全访问。

先决条件

• 配置用户调配
• ZTNA SSO身份验证配置
• 配置远程访问VPN安全访问

要求

Cisco 建议您了解以下主题：

• Fortigate 7.4.x版本防火墙
• 安全访问
• 思科安全客户端 — VPN
• 思科安全客户端 — ZTNA
• 无客户端ZTNA

使用的组件

本文档中的信息基于： 

• Fortigate 7.4.x版本防火墙
• 安全访问
• 思科安全客户端 — VPN
• 思科安全客户端 — ZTNA

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

思科设计了安全访问(Secure Access)，用于保护和提供对内部和基于云的私有应用的访问。它还可以保护从网络到Internet的连接。这是通过实施多种安全方法和层来实现的，所有这些方法均旨在保护通过云访问信息时的安全。

配置

在安全访问中配置VPN

导航到Secure Access的管理面板。

• 点击 Connect > Network Connections > Network Tunnels Groups

• 在Network Tunnel Groups下，单击 + Add

• 配置Tunnel Group Name,Region和 Device Type
• 点击 Next

• 配置Tunnel ID Format和 Passphrase
• 点击Next

• 配置网络上已配置且希望通过安全访问传递流量的IP地址范围或主机
• 点击Save

单击显示的Save隧道相关信息后，请保存该信息以供下一步操作。 Configure the VPN Site to Site on Fortigate.

隧道数据

配置VPN站点到防御工事上的站点

导航到防御工事控制面板。

• 点击 VPN > IPsec Tunnels

• 点击 Create New > IPsec Tunnels

• 单击Custom，配置并Name单击Next。

在下一个图像中，您将看到如何配置部件的设Network置。

网络

• Network
  • IP Version :IPv4
  • Remote Gateway :静态 IP 地址
  • IP Address:使用步骤Primary IP Datacenter IP Address,Tunnel Data中给定的IP
  • Interface :选择您计划用于建立隧道的WAN接口
  • Local Gateway :默认情况下禁用
  • Mode Config :默认情况下禁用
  • NAT Traversal :enable
  • Keepalive Frequency :10
  • Dead Peer Detection :空闲时
  • DPD retry count :3
  • DPD retry interval :10
  • Forward Error Correction :不要选中任何复选框。 
  • Advanced...:将其配置为映像。

现在配置AuthenticationIKE。

身份验证

• Authentication 
  • Method :预共享密钥作为默认值
  • Pre-shared Key ：使用Tunnel DataPassphrase步骤中给定的参数
• IKE 
  • Version :选择版本2。

现在配置Phase 1 Proposal。

第1阶段建议

• Phase 1 Proposal
  • Encryption :选择AES256
  • Authentication :选择SHA256
  • Diffie-Hellman Groups :选中框19和20
  • Key Lifetime (seconds) :86400为默认值
  • Local ID :使用Tunnel Primary Tunnel ID Data步骤中给定的。

现在配置Phase 2 Proposal。

第2阶段建议

• New Phase 2
  • Name :默认为Let（取自VPN的名称）
  • Local Address :默认为(0.0.0.0/0.0.0.0)
  • Remote Address ：默认为(0.0.0.0/0.0.0.0)
• Advanced
  • Encryption :选择AES128
  • Authentication :选择SHA256
  • Enable Replay Detection :默认为Let（启用）
  • Enable Perfect Forward Secrecy (PFS) :取消选中复选框
  • Local Port ：设为默认值（启用）
  • Remote Port:默认为Let（启用）
  • Protocol ：设为默认值（启用）
  • Auto-negotiate ：设为默认值（未标记）
  • Autokey Keep Alive ：设为默认值（未标记）
  • Key Lifetime :设为默认值（秒）
  • Seconds ：设为默认值(43200)

然后，点击OK。几分钟后，您会看到VPN已通过Secure Access建立，您可以继续执行下一步， Configure the Tunnel Interface.

配置隧道接口

创建隧道后，您会注意到您正在用作WAN接口的端口后面有一个新接口，用于与Secure Access通信。 

要检查该信息，请导航至Network > Interfaces中。

扩展您用于与安全访问通信的端口；在本例中是接WAN口。

• 点击并Tunnel Interface点击 Edit

• 您需要配置下一个映像

• Interface Configuration 
• IP :配置网络中没有的不可路由IP(169.254.0.1)
• Remote IP/Netmask :将远程IP配置为接口IP的下一个IP，网络掩码为30(169.254.0.2 255.255.255.252)

然后，点击OK保存配置并继续执行下一步Configure Policy Route （基于原点的路由）。

配置策略路由

此时，您已经将VPN配置并设置为安全访问；现在，您必须将流量重新路由到Secure Access，以保护您的流量或对FortiGate防火墙后的专用应用的访问。

• 导航至 Network > Policy Routes

• 配置策略

• If Incoming traffic matches
  • Incoming Interface :选择要将流量从其中重新路由到安全访问（流量来源）的接口
• Source Address
  • IP/Netmask :如果仅路由接口的子网，请使用此选项
  • Addresses :如果创建了对象，并且流量的源来自多个接口和多个子网，请使用此选项
• Destination Addresses 
  • Addresses:选择 all
  • Protocol:选择 ANY
• Then 
  • Action: Choose Forward Traffic
• Outgoing Interface :选择在步骤Configure Tunnel Interface中修改的隧道接口
• Gateway Address:配置在步骤RemoteIPetmask上配置的远程IP
• Status :选择Enabled

点击OK以保存配置，您现在可以验证您的设备流量是否已重新路由到安全访问。 

验证

为了验证是否已将计算机的流量重新路由到安全访问，您有两个选项：您可以在internet上检查您的公有IP，也可以使用curl运行下一个命令： 

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

您可以查看流量的公共范围是以下来源：

Min Host:151.186.176.1

Max Host :151.186.207.254

如果您看到您的公共IP发生更改，这意味着您受到安全访问的保护，现在您可以在安全访问控制面板上配置您的专用应用，以从VPNaaS或ZTNA访问您的应用。