Fortigateファイアウォールを使用したセキュアアクセスの設定

ダウンロード オプション

  • PDF     (2.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2024 年 8 月 2 日
Document ID:222270

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Fortigate Firewallを使用してセキュアアクセスを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Fortigate 7.4.xバージョンのファイアウォール
    • セキュアなアクセス
    • Cisco Secure Client - VPN(トンネルモード)
    • Cisco Secureクライアント – ZTNA
    • クライアントレスZTNA

    使用するコンポーネント

    このドキュメントの情報は、次のハードウェアに基づくものです。 

    • Fortigate 7.4.xバージョンのファイアウォール
    • セキュアなアクセス
    • Cisco Secure Client - VPN(トンネルモード)
    • Cisco Secureクライアント – ZTNA

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    jmorenoc_0-1706967866629

    シスコは、プライベートアプリケーション(オンプレミスとクラウドベースの両方)を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウド経由でアクセスする情報を保持することです。

    設定

    セキュアアクセスでのVPNの設定

    Secure Accessの管理パネルに移動します。

    jmorenoc_8-1706968713702

    • クリック Connect > Network Connections > Network Tunnels Groups

    jmorenoc_11-1706968993787

    • Network Tunnel Groups」で、 + Add
      • Tunnel Group Name

    jmorenoc_12-1706969034757

    • Regionの設定 Device Type
    • クリック Next
      •

    jmorenoc_13-1706969076844

    note-icon

    :ファイアウォールの場所に最も近い地域を選択します。

    Tunnel ID Format
    • コマンドと Passphrase
    • クリックNext
      •

    jmorenoc_14-1706969101197

    • ネットワークで設定したIPアドレス範囲またはホストを設定し、トラフィックをセキュアアクセス経由で通過させる
    • クリックSave
      •

    jmorenoc_15-1706969132539

    トンネルに関すSave る情報をクリックして表示した後、次の手順のためにその情報を保存してください。 Configure the VPN Site to Site on Fortigate.

    トンネルデータ

    jmorenoc_16-1706969350380

    FortigateでのVPNサイト間の設定

    Fortigateダッシュボードに移動します。

    • クリック VPN > IPsec Tunnels
      •

    jmorenoc_1-1706970026583

    • クリック Create New > IPsec Tunnels
      • Custom

    jmorenoc_2-1706970106771

    • をクリックし、Name を設定して、Nextをクリックします。
      •

    jmorenoc_4-1706970207324

    次の図では、パーNetwork ツの設定を構成する方法を示します。

    Network

    jmorenoc_6-1706970786834

    • Network
      • IP Version : IPv4
      • Remote Gateway :スタティック IP アドレス
      • IP Address:ステップTunnel Dataで指定Primary IP Datacenter IP Address,したIPアドレスを使用します。
      • Interface :トンネルの確立に使用する予定のWANインターフェイスを選択します
      • Local Gateway :デフォルトで無効
      • Mode Config :デフォルトで無効
      • NAT Traversal :Enable
      • Keepalive Frequency :10
      • Dead Peer Detection :オンデマンド
      • DPD retry count :3
      • DPD retry interval :10
      • Forward Error Correction :チェックボックスはオンにしないでください。 
      • Advanced...:これをイメージとして設定します。
        •

    ここで、IKE Authenticationを設定します。

    [Authentication]

    jmorenoc_2-1707056249758

    • Authentication 
      • Method :デフォルトの事前共有キー
      • Pre-shared Key :手順「トンネルデータ」で指定したPassphraseを使用します。
        •
    • IKE 
      • Version :バージョン2を選択します。
      •
    note-icon

    :セキュアアクセスはIKEv2のみをサポートします

    次に、 Phase 1 Proposalを設定します。

    フェーズ1の提案

    jmorenoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : AES256を選択
      • Authentication : SHA256を選択
      • Diffie-Hellman Groups :ボックス19と20をオンにします。
      • Key Lifetime (seconds) :デフォルトで86400
      • Local ID : Primary Tunnel IDを使用します。これは、トンネルデータ
        •

    次に、 Phase 2 Proposalを設定します。

    フェーズ2の提案

    jmorenoc_5-1707058728877

    • New Phase 2
      • Name :デフォルトのままにする(VPNの名前から取得)
      • Local Address :デフォルトで許可(0.0.0.0/0.0.0.0)
      • Remote Address :デフォルトで許可(0.0.0.0/0.0.0.0)
        •
    • Advanced
      • Encryption : AES128を選択
      • Authentication : SHA256を選択
      • Enable Replay Detection :デフォルトで許可(有効)
      • Enable Perfect Forward Secrecy (PFS) :チェックボックスのマークを外す
      • Local Port :デフォルトで許可(有効)
      • Remote Port:デフォルトで許可(有効)
      • Protocol :デフォルトで許可(有効)
      • Auto-negotiate :デフォルトにする(マークなし)
      • Autokey Keep Alive :デフォルトにする(マークなし)
      • Key Lifetime :デフォルトで許可(秒)
      • Seconds :デフォルトで許可(43200)
        •

    その後、[OK]をクリックします。数分後にセキュアアクセスを使用してVPNが確立されたことが表示され、次の手順に進むことができます。 Configure the Tunnel Interface.

    jmorenoc_0-1707060199635

    トンネルインターフェイスの設定

    トンネルが作成された後、セキュアアクセスと通信するためのWANインターフェイスとして使用しているポートの背後に、新しいインターフェイスがあることに気付きます。 

    これを確認するには、 Network > Interfacesに移動します。

    jmorenoc_0-1707069145874

    セキュアアクセスとの通信に使用するポート(この場合はインターフWAN ェイス)を展開します。

    jmorenoc_1-1707069309957

    • Tunnel Interface をクリックし、 Edit
      •

    jmorenoc_3-1707069499072

    • 次のイメージを設定する必要があります
      •

    jmorenoc_4-1707069648471

    • Interface Configuration 
    • IP :ネットワークに存在しないルーティング不能IPを設定します(169.254.0.1)。
    • Remote IP/Netmask :リモートIPをインターフェイスIPの次のIPとして設定し、ネットマスクを30(169.254.0.2 255.255.255.252)に設定します。
      •

    その後、をクリックOK  して設定を保存し、次のステップであるConfigure Policy Route (オリジンベースルーティング)に進みます。

    警告アイコン

    警告:このパートの後、デバイスからセキュアアクセスへのトラフィック、およびセキュアアクセスからトラフィックをルーティングするネットワークへのトラフィックを許可または許可するために、FortiGateでファイアウォールポリシーを設定する必要があります。

    ポリシールートの設定

    この時点で、VPNがセキュアアクセスに設定され、確立されています。トラフィックをセキュアアクセスに再ルーティングして、トラフィックまたはFortiGateファイアウォールの背後にあるプライベートアプリケーションへのアクセスを保護する必要があります。

    • 移動先 Network > Policy Routes
      •

    jmorenoc_6-1707070544485

    • ポリシーの設定
      •

    jmorenoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface :セキュアアクセス(トラフィックの発信元)へのトラフィックの再ルーティングを計画したインターフェイスを選択します。
    • Source Address
      • IP/Netmask :このオプションは、インターフェイスのサブネットだけをルーティングする場合に使用します
      • Addresses :オブジェクトが作成されていて、トラフィックの送信元が複数のインターフェイスと複数のサブネットにある場合は、このオプションを使用します
        •
    • Destination Addresses 
      • Addresses:選択 all
      • Protocol:選択 ANY
        •
    • Then 
      • Action: Choose Forward Traffic
    • Outgoing Interface :手順「トンネルインターフェイスの設定」で変更したトンネルインターフェイスを選択します。
    • Gateway Address:ステップで設定したリモートIP(RemoteIPNetmask)を設定します。
    • Status :Enabledを選択します
      • OK 

    をクリックして設定を保存すると、デバイストラフィックがセキュアアクセスに再ルーティングされたかどうかを確認できます。 

    確認

    マシンのトラフィックがセキュアアクセスに再ルーティングされたかどうかを確認するには、インターネット上で確認してパブリックIPを確認する方法と、curlで次のコマンドを実行する方法の2つの方法があります。 

    C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

    トラフィックを確認できるパブリック範囲は次のとおりです。

    Min Host:151.186.176.1

    Max Host :151.186.207.254

    note-icon

    :これらのIPは変更される可能性があります。つまり、シスコは将来的にこの範囲を拡張する可能性があります。

    パブリックIPアドレスが変更された場合は、セキュアアクセスによって保護されていることを意味し、セキュアアクセスダッシュボードでプライベートアプリケーションを設定して、VPNaaSまたはZTNAからアプリケーションにアクセスできます。

    更新履歴

    改定 発行日 コメント
    1.0
    02-Aug-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジャイロモレノ
      TAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています