使用Fortigate防火墙配置安全访问

简介

本文档介绍如何使用Fortigate防火墙配置安全访问。

先决条件

• 配置用户调配
• ZTNA SSO身份验证配置
• 配置远程访问VPN安全访问

要求

Cisco 建议您了解以下主题：

• Fortigate 7.4.x版本防火墙
• 安全访问
• 思科安全客户端- VPN
• 思科安全客户端- ZTNA
• 无客户端ZTNA

使用的组件

本文档中的信息基于： 

• Fortigate 7.4.x版本防火墙
• 安全访问
• 思科安全客户端- VPN
• 思科安全客户端- ZTNA

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

思科设计了安全访问(Secure Access)，用于保护和提供对内部和基于云的私有应用的访问。它还可以保护从网络到Internet的连接。这通过实施多种安全方法和层来实现，所有这些方法都旨在保护通过云访问信息时所需的信息。

配置

在安全访问中配置VPN

导航到安全访问的管理面板。

• 点击 Connect > Network Connections > Network Tunnels Groups

• 在Network Tunnel Groups下单击 + Add

• 配置Tunnel Group Name、Region和 Device Type
• 点击 Next

• 在路由器上配置Tunnel ID Format Passphrase
• 点击Next

• 配置已在网络上配置并要通过安全访问传递流量的IP地址范围或主机
• 点击Save

单击显示有Save 关隧道的信息后，请保存该信息以供下一步操作。 Configure the VPN Site to Site on Fortigate.

隧道数据

在Fortigate上配置VPN站点到站点

导航到您的Fortigate控制面板。

• 点击 VPN > IPsec Tunnels

• 点击 Create New > IPsec Tunnels

• 单击Custom、配置Name 并单击Next。

在下一张图中，您将看到需要如何配置Network 部件的设置。

网络

• Network
  • IP Version ： IPv4
  • Remote Gateway :静态 IP 地址
  • IP Address：使用隧道数据步骤Primary IP Datacenter IP Address,中给定的IP
  • Interface ：选择您计划用于建立隧道的WAN接口
  • Local Gateway ：禁用为默认值
  • Mode Config ：禁用为默认值
  • NAT Traversal :启用
  • Keepalive Frequency :10
  • Dead Peer Detection :按需
  • DPD retry count :3
  • DPD retry interval :10
  • Forward Error Correction ：请勿选中任何复选框。 
  • Advanced...：将其配置为映像。

现在配置IKE Authentication。

身份验证

• Authentication 
  • Method ：预共享密钥为默认值
  • Pre-shared Key ：使用隧道数据步骤中给定Passphrase的
• IKE 
  • Version ：选择版本2。

现在配置 Phase 1 Proposal。

第1阶段建议

• Phase 1 Proposal
  • Encryption ：选择AES256
  • Authentication ：选择SHA256
  • Diffie-Hellman Groups ：选中框19和20
  • Key Lifetime (seconds) ：86400为默认值
  • Local ID ：使用隧道数据步骤中给定的 Primary Tunnel ID

现在配置 Phase 2 Proposal。

第2阶段建议

• New Phase 2
  • Name ：默认为（取自VPN的名称）
  • Local Address ：默认为(0.0.0.0/0.0.0.0)
  • Remote Address ：默认为(0.0.0.0/0.0.0.0)
• Advanced
  • Encryption ：选择AES128
  • Authentication ：选择SHA256
  • Enable Replay Detection ：默认为（启用）
  • Enable Perfect Forward Secrecy (PFS) ：取消选中复选框
  • Local Port ：默认为（启用）
  • Remote Port：默认为（启用）
  • Protocol ：默认为（启用）
  • Auto-negotiate ：设为默认值（未标记）
  • Autokey Keep Alive ：设为默认值（未标记）
  • Key Lifetime ：设为默认值（秒）
  • Seconds ：默认为(43200)

之后，点击OK。几分钟后，您会看到VPN已使用安全访问建立，您可以继续执行下一步， Configure the Tunnel Interface.

配置隧道接口

创建隧道后，您会注意到您在端口后面有一个新接口，该端口用作与Secure Access通信的WAN接口。 

要检查连通性，请导航到 Network > Interfaces。

展开您用于与安全访问通信的端口；在本例中为WAN 接口。

• 单击您的Tunnel Interface 并单击 Edit

• 您需要配置下一个映像

• Interface Configuration 
• IP ：配置网络中没有的不可路由IP (169.254.0.1)
• Remote IP/Netmask ：将远程IP配置为接口IP的下一个IP，网络掩码为30 (169.254.0.2 255.255.255.252)

之后，点击OK  保存配置并继续下一步，Configure Policy Route （基于源的路由）。

配置策略路由

此时，您已将VPN配置为安全访问；现在，您必须将流量重新路由到安全访问，以保护您的流量或对FortiGate防火墙后的专用应用的访问。

• 导航至 Network > Policy Routes

• 配置策略

• If Incoming traffic matches
  • Incoming Interface ：选择计划将流量重新路由至安全访问（流量源）的接口
• Source Address
  • IP/Netmask ：如果仅路由接口的子网，请使用此选项
  • Addresses ：如果已创建对象且流量源来自多个接口和多个子网，则使用此选项
• Destination Addresses 
  • Addresses：选择 all
  • Protocol：选择 ANY
• Then 
  • Action： Choose Forward Traffic
• Outgoing Interface ：选择在步骤Configure Tunnel Interface中修改的隧道接口
• Gateway Address：配置在步骤RemoteIPNetmask中配置的远程IP
• Status ：选择已启用

点击OK 以保存配置，现在您可以验证是否已将设备流量重新路由到安全访问。 

验证

要验证计算机的流量是否已重新路由到安全访问，您有两个选项；您可以在互联网上检查并检查公共IP，或者使用curl运行下一个命令： 

C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

您可以查看流量的公共范围是：

Min Host:151.186.176.1

Max Host :151.186.207.254

如果您看到您的公共IP发生更改，这意味着您受到安全访问保护，现在您可以在“安全访问”(Secure Access)控制面板上配置您的专用应用，以便从VPNaaS或ZTNA访问您的应用。