使用防禦性防火牆配置安全訪問

簡介

本文檔介紹如何使用防禦性防火牆配置安全訪問。

必要條件

• 設定使用者啟動設定
• ZTNA SSO身份驗證配置
• 配置遠端訪問VPN安全訪問

需求

思科建議您瞭解以下主題：

• Fortigate 7.4.x版防火牆
• 安全存取
• Cisco安全使用者端- VPN
• 思科安全使用者端- ZTNA
• 無客戶端ZTNA

採用元件

本文檔中的資訊基於： 

• Fortigate 7.4.x版防火牆
• 安全存取
• Cisco安全使用者端- VPN
• 思科安全使用者端- ZTNA

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

思科設計了安全訪問，可保護並提供對內部和基於雲的私有應用的訪問。它還保護從網路到Internet的連線。這透過實施多種安全方法和層來實現，所有這些方法都旨在保護透過雲訪問資訊時所需的資訊。

設定

在安全訪問上配置VPN

導航到安全訪問的管理面板。

• 按一下 Connect > Network Connections > Network Tunnels Groups

• 在Network Tunnel Groups下，按一下 + Add

• 配置Tunnel Group Name、Region和 Device Type
• 按一下 Next

• 配置Tunnel ID Format和 Passphrase
• 按一下Next

• 配置已在網路上配置且希望透過安全訪問傳輸流量的IP地址範圍或主機
• 按一下Save

按一下顯示Save 的隧道資訊後，請儲存該資訊以用於下一步。 Configure the VPN Site to Site on Fortigate.

通道資料

配置VPN站點到站點防禦工事

導航到您的Fortigate控制台。

• 按一下 VPN > IPsec Tunnels

• 按一下 Create New > IPsec Tunnels

• 按一下Custom，配置Name 並按一下Next。

在下一個影像中，您會看到您需要如何設定零Network 件的設定。

網路

• Network
  • IP Version ： IPv4
  • Remote Gateway ：靜態IP地址
  Primary IP Datacenter IP Address,
  • IP Address ：使用隧道資料步驟中指定的IP
  • Interface ：選擇您計畫用於建立隧道的WAN介面
  • Local Gateway ：停用為預設值
  • Mode Config ：停用為預設值
  • NAT Traversal ：啟用
  • Keepalive Frequency :10
  • Dead Peer Detection ：點播
  • DPD retry count :3
  • DPD retry interval :10
  • Forward Error Correction ：請勿勾選任何方塊。 
  • Advanced...：將其配置為映像。

現在配置IKE Authentication。

驗證

• Authentication 
  • Method ：預共用金鑰作為預設值
  • Pre-shared Key ：使用隧道資料步驟中給出的Passphrase命令
• IKE 
  • Version ：選擇版本2。

現在配置 Phase 1 Proposal。

第1階段建議

• Phase 1 Proposal
  • Encryption ：選擇AES256
  • Authentication ：選擇SHA256
  • Diffie-Hellman Groups ：選中框19和20
  • Key Lifetime (seconds) ：86400為預設值
  • Local ID ：使用Tunnel Data步驟中提供的 Primary Tunnel ID

現在配置 Phase 2 Proposal。

第2階段建議

• New Phase 2
  • Name ：預設為（取自您的VPN名稱）
  • Local Address ：設為預設值(0.0.0.0/0.0.0.0)
  • Remote Address ：設為預設值(0.0.0.0/0.0.0.0)
• Advanced
  • Encryption ：選擇AES128
  • Authentication ：選擇SHA256
  • Enable Replay Detection ：設為預設值（啟用）
  • Enable Perfect Forward Secrecy (PFS) ：取消選中覈取方塊
  • Local Port ：設為預設值（啟用）
  • Remote Port：設為預設值（啟用）
  • Protocol ：設為預設值（啟用）
  • Auto-negotiate ：設為預設值（未標籤）
  • Autokey Keep Alive ：設為預設值（未標籤）
  • Key Lifetime ：設為預設值（秒）
  • Seconds ：設為預設值(43200)

之後，按一下「確定」。幾分鐘後您會看到VPN已使用安全訪問建立，您可以繼續下一步， Configure the Tunnel Interface.

配置隧道介面

隧道建立後，您會注意到您正在用作與Secure Access通訊的WAN介面的埠後面有一個新介面。 

要檢查這一點，請導航到 Network > Interfaces。

展開您用於與Secure Access進行通訊的埠；在本例中為WAN 介面。

• 按一下您的Tunnel Interface 並按一下 Edit

• 您需要配置下一個映像

• Interface Configuration 
• IP ：配置網路中沒有的可路由IP (169.254.0.1)
• Remote IP/Netmask ：將遠端IP配置為介面IP的下一個IP，網路掩碼為30 (169.254.0.2 255.255.255.252)

之後，按一下OK  儲存配置，然後繼續執行下一步Configure Policy Route (Origin-based routing)。

配置策略路由

此時，您的VPN已配置為安全訪問；現在，您必須將流量重新路由到安全訪問，以保護您的流量或對FortiGate防火牆後方的專用應用的訪問。

• 導覽至 Network > Policy Routes

• 配置策略

• If Incoming traffic matches
  • Incoming Interface ：選擇您計畫從哪個介面將流量重新路由到安全訪問（流量的源）
• Source Address
  • IP/Netmask ：如果僅路由介面的子網，則使用此選項
  • Addresses ：如果建立了對象，並且流量源來自多個介面和多個子網，則使用此選項
• Destination Addresses 
  • Addresses:選擇 all
  • Protocol:選擇 ANY
• Then 
  • Action： Choose Forward Traffic
• Outgoing Interface ：選擇在步驟配置隧道介面中修改的隧道介面
• Gateway Address：配置在步驟RemoteIPetmask中配置的遠端IP
• Status ：選擇「啟用」

點選OK 儲存配置，您現在即可驗證您的裝置流量是否已重新路由到安全訪問。 

驗證

為了驗證電腦的流量是否被重新路由到安全訪問，您有兩個選項：可以在網際網路上檢查並檢查公共IP，或者使用curl運行下一個命令： 

C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

您可以檢視流量的公共範圍是：

Min Host:151.186.176.1

Max Host :151.186.207.254

如果您看到您的公共IP發生更改，這意味著您受到安全訪問的保護，現在您可以在安全訪問控制台上配置您的專用應用，以便從VPNaaS或ZTNA訪問您的應用。