安全防火墙 — 配置Umbrella安全互联网网关

已更新: 2023 年 7 月 28 日
文档 ID:220661

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在安全防火墙威胁防御上站点到站点安全互联网网关(SIG)VPN隧道的逐步配置。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 站点到站点 VPN
    • Umbrella管理员门户
    • 安全防火墙管理中心(FMC)

    使用的组件

    本文档中的信息基于以下软件和硬件版本。

    • Umbrella管理员门户
    • 安全防火墙版本7.2

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    网络图

    Network Diagram

    Umbrella网络隧道配置

    网络隧道

    登录Umbrella Dashboard:

    Network Tunnels Tab

    导航至 Deployments > Network Tunnels > Add.

    添加新隧道,选择设备类型作为FTD,然后正确命名它。

    Add a New Tunnel

    输入FTD的公共IP地址以及安全预共享密钥。

    将隧道连接到防火墙和流量检查策略的相应站点。

    Configure Tunnel Parameters

    Umbrella门户的配置现已完成。

    当隧道连接时,导航到Umbrella Portal以确认VPN状态。

    安全防火墙管理中心配置

    配置站点到站点

    导航至 Devices > Site-to-Site :

    Configure Site-to-Site

    添加新的站点到站点隧道

    命名拓扑并选择基于路由的VTI:

    Create a New VPN Topology

    添加新的虚拟隧道接口

    • 命名隧道接口
    • 将新安全区域应用到接口
    • 分配介于0和10413之间的隧道ID号
    • 选择Tunnel source(Umbrella Portal中定义的具有公共IP的接口)
    • 创建不可路由的/30子网以用于VPN。例如,169.254.72.0/30

    Add a New Virtual Tunnel Interface

    配置拓扑节点

    将FTD分配到节点A,将Umbrella分配到外联网节点B:

    Assign Devices to Topology

    此处可以找到与Umbrella数据中心一起使用的终端IP地址

    选择离设备的物理位置最近的数据中心。

    定义IKEv2第1阶段参数:

    此处可以找到隧道协商的可接受参数

    导航到IKE选项卡并创建新的IKEv2策略:

    • 分配适当的优先级,以避免它与现有策略发生冲突。
    • 第1阶段的生存时间为14400秒。

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    定义IPsec第2阶段参数:

    • 此处可以找到隧道协商的可接受参数
    • 导航至 IPsec 选项卡并创建新的IPsec提议。

    Create IKEv2 IPsec Proposal

    确保第2阶段参数与此匹配:

    Review IPsec Configuration

    保存拓扑并部署到防火墙。

    配置基于策略的路由(PBR)

    导航至 Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    添加新策略。

    Add a New Policy-Based Routing Configuration

    配置转发操作:

    Configure Forwarding Options

    为必须通过SIG隧道的流量创建匹配ACL:

    Create a New Extended ACL

    添加定义Umbrella SIG流量的访问控制条目:

    Add ACE for SIG Traffic

      • 源网络定义内部流量。
      • Destination Networks是必须由Umbrella检查的远程网络。

    完成的扩展ACL:

    Review the New Extended ACL

    配置 Send To:

    Configure Send To Destination

    定义 Send To IPv4地址作为/30子网的第二个可用IP。

    note-icon

    :此IP地址未在Umbrella中定义。它仅用于流量转发。

    已完成PBR:

    Completed PBR Configuration

    请记下入口接口,这在以后用于访问控制策略(ACP)和网络地址转换(NAT)配置。

    保存配置并部署到防火墙。

    配置NAT和ACP

    导航至 Devices > NAT.

    创建一个新的手动NAT规则,如下所示:

    Create a New NAT Rule

      • 源接口 — 内部受保护源。
      • 目标接口 — 任意 — 这允许流量转移到VTI。

    转换:

    Configure Translation

      • 原始和转换后的源 — 内部受保护的网络对象
      • 原始和转换后的目标 — any4 - 0.0.0.0/0

    导航至 Policy > Access Control.

    创建如下所示的新ACP规则:

    Create a New ACP Rule

      • 源区域 — 内部受保护源。
      • Destination Zone - VTI Zone — 这允许流量转移到VTI。

    网络:

    Define Permitted Traffic

      • 源网络 — 内部受保护的网络对象
      • 目标网络 — any4 - 0.0.0.0/0

    保存配置并将其部署到防火墙。

    验证

    站点到站点监控

    使用安全防火墙管理中心(FMC)站点到站点监控工具验证隧道状态。

    导航至 Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    验证隧道状态现在是否已连接:

    Verify Tunnel Status in FMC

    将光标悬停在拓扑结构上会显示更详细的选项。这可用于检查进出隧道的数据包以及隧道启动时间和各种其他隧道统计信息。

    Umbrella控制面板

    从控制面板导航至 Active Network Tunnels.必须有蓝色环表示隧道已连接。

    Verify Tunnel Status in Umbrella Dashboard

    展开适当的隧道以查看有关流经隧道的流量的详细信息:

    show details of VPN in Umbrella Dashboard

    隧道显示为Active,且数据遍历隧道。

    内部主机

    从流量通过隧道的内部主机,从Web浏览器执行公共IP查找。如果显示的公有IP位于这两个范围内,则设备现在受SIG保护。

    Internal Host Verification Test

    防火墙威胁防御CLI

    显示命令:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    故障排除

    防火墙威胁防御CLI

    IKEv2调试:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    ISAKMP捕获:

    可以使用ISAKMP捕获来确定导致隧道连接问题的原因,而无需调试。建议的捕获语法为: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    修订历史记录

    版本 发布日期 备注
    1.0
    27-Jul-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • Tristan Conner
      信息安全工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品