Secure Firewall - Umbrella beveiligde internetgateway configureren

Bijgewerkt:28 juli 2023
Document-id:220661

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de stapsgewijze configuratie van een Site-to-Site Secure Internet Gateway (SIG) VPN-tunnel op Secure Firewall Threat Defence.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Site-to-Site VPN’s
    • Umbrella Admin-portal
    • Secure Firewall Management Center (FMC)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies.

    • Umbrella Admin-portal
    • Secure Firewall versie 7.2

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Netwerkdiagram

    Network Diagram

    Configuratie van Umbrella-netwerktunnel

    Netwerktunnel

    Aanmelden bij Umbrella Dashboard:

    Network Tunnels Tab

    Naar navigeren Deployments > Network Tunnels > Add.

    Voeg een Nieuwe Tunnel toe, kies het apparatentype als FTD, en noem het geschikt.

    Add a New Tunnel

    Voer het openbare IP-adres van de FTD in samen met een beveiligde vooraf gedeelde sleutel.

    Bevestig de tunnel aan de juiste locatie voor firewalls en verkeersinspectiebeleid.

    Configure Tunnel Parameters

    De configuratie van Umbrella Portal is nu voltooid.

    Navigeer naar Umbrella Portal wanneer de tunnel is verbonden om de VPN-status te bevestigen.

    Configuratie van Secure Firewall Management Center

    Site-to-Site configureren

    Naar navigeren Devices > Site-to-Site :

    Configure Site-to-Site

    Voeg nieuwe site-to-site tunnel toe

    Geef de topologie een naam en kies op route gebaseerde VTI:

    Create a New VPN Topology

    Voeg een nieuwe virtuele tunnelinterface toe

    • De tunnelinterface een naam geven
    • Een nieuwe security zone op de interface toepassen
    • Wijs een Tunnel ID-nummer toe tussen 0-10413
    • Tunnelbron kiezen (interface met openbare IP gedefinieerd in Umbrella Portal)
    • Maak een niet-routable/30-subnetverbinding voor gebruik met VPN. Bijvoorbeeld 169.254.72.0/30

    Add a New Virtual Tunnel Interface

    Topologieknooppunten configureren

    Wijs FTD toe aan knooppunt A en Umbrella aan extranetknooppunt B:

    Assign Devices to Topology

    IP-adressen van endpoints voor gebruik met Umbrella Data Centers vindt u hier.

    Kies het datacenter dat het dichtst bij de fysieke locatie van het apparaat staat.

    Definieer de parameters van IKEv2 fase 1:

    Aanvaardbare parameters voor tunnelonderhandeling vindt u hier.

    Navigeer naar het tabblad IKE en maak een nieuw IKEv2-beleid:

    • Toekennen van de juiste prioriteit om te voorkomen dat het in strijd is met het bestaande beleid.
    • Fase 1 levensduur is 14400 seconden.

    Create a New IKEv2 Policy

    Configure IKEv2 Phase 1 Parameters

    Definieer IPsec fase 2 parameters:

    • Aanvaardbare parameters voor tunnelonderhandeling vindt u hier.
    • Naar het IPsec en een nieuw IPsec-voorstel maken.

    Create IKEv2 IPsec Proposal

    Zorg ervoor dat fase 2-parameters hiermee overeenkomen:

    Review IPsec Configuration

    Sla topologie op en implementeer deze in de firewall.

    Op beleid gebaseerde routing configureren (PBR)

    Naar navigeren Devices > Device Management > Select the FTD/HA Pair > Routing > Policy Based Routing.

    Voeg nieuw beleid toe.

    Add a New Policy-Based Routing Configuration

    Configureer de doorsturen acties:

    Configure Forwarding Options

    Maak de Match ACL voor het verkeer dat door de SIG-tunnel moet navigeren:

    Create a New Extended ACL

    Add Access Control Entries die het Umbrella SIG-verkeer definiëren:

    Add ACE for SIG Traffic

      • Source Networks definiëren intern verkeer.
      • Bestemmingsnetwerken zijn de netwerken op afstand die door Umbrella moeten worden geïnspecteerd.

    Voltooide uitgebreide ACL:

    Review the New Extended ACL

    Configureren Send To:

    Configure Send To Destination

    Definieer de Send To IPv4-adres als tweede beschikbare IP in het /30-subnetnummer.

    note-icon

    Opmerking: dit IP-adres is niet gedefinieerd in Umbrella. Het is alleen nodig voor het doorsturen van verkeer.

    Voltooid PBR:

    Completed PBR Configuration

    Noteer de toegangsinterface, deze is later nodig voor de configuratie van Access Control Policy (ACS) en Network Address Translation (NAT).

    Configuratie opslaan en in de firewall implementeren.

    NAT en ACS configureren

    Naar navigeren Devices > NAT.

    Maak een nieuwe handmatige NAT-regel als deze:

    Create a New NAT Rule

      • Source Interface - interne beschermde bron.
      • Bestemmingsinterface - Any - Hiermee kan het verkeer worden omgeleid naar de VTI.

    Vertaling:

    Configure Translation

      • Originele en Vertaalde Bron - Intern beschermd netwerkvoorwerp
      • Originele en vertaalde bestemming - any4 - 0.0.0.0/0

    Naar navigeren Policy > Access Control.

    Maak een nieuwe ACS-regel als deze:

    Create a New ACP Rule

      • Bron Zone - interne beschermde bron.
      • Bestemmingszone - VTI Zone - Hiermee kan het verkeer worden omgeleid naar de VTI.

    Netwerken:

    Define Permitted Traffic

      • Bronnetwerken - Intern beschermd netwerkobject(en)
      • Bestemmingsnetwerken - Any4 - 0.0.0.0/0

    Sla de configuratie op en implementeer deze in de firewall.

    Verifiëren

    Site-to-site bewaking

    Controleer de tunnelstatus met de Veilige Firewall Management Center (FMC) Site-to-Site Monitoring Tool.

    Naar navigeren Devices > Site to Site Monitoring.

    Navigate to Site-to-Site Monitoring

    Controleer of de tunnelstatus nu is verbonden:

    Verify Tunnel Status in FMC

    Het hangen van de cursor over de topologie toont meer gedetailleerde opties. Dit kan worden gebruikt om pakketten te inspecteren die zich in en uit de tunnel bewegen samen met tunnel omhoog tijd en diverse andere tunnelstaten.

    Umbrella Dashboard

    Ga van het Dashboard naar Active Network Tunnels. Er moet een blauwe ring zijn die aangeeft dat de tunnel is aangesloten.

    Verify Tunnel Status in Umbrella Dashboard

    Breid de juiste tunnel uit om meer details te zien over het verkeer door de tunnel:

    show details of VPN in Umbrella Dashboard

    Tunnel wordt weergegeven als actief met gegevens die de tunnel doorkruisen.

    Interne host

    Van een interne gastheer die zijn verkeer heeft die de tunnel oversteken, voer een openbare IP raadpleging van een Webbrowser uit. Als het getoonde openbare IP binnen deze twee reeksen valt, wordt het apparaat nu beschermd door SIG.

    Internal Host Verification Test

    Firewall Threat Defense CLI

    Opdrachten weergeven:

    • show crypto ikev2 sa
    • show crypto ipsec sa
    • show vpn-sessiondb l2l filter ipaddress Umbrella-DC-IP 

    Problemen oplossen

    Firewall Threat Defense CLI

    IKEv2-debugs:

    • Debug crypto ikev2 protocol 255
    • Debug crypto ikev2 platform 255
    • Debug crypto ipsec 255

    ISAKMP neemt op:

    ISAKMP-opname kan worden gebruikt om te bepalen wat tunnelconnectiviteit veroorzaakt zonder dat debugs nodig zijn. De voorgestelde opnamesyntaxis is: capture name type isakmp interface FTD-Tunnel-Source match ip host FTD-Public-IP host Umbrella-DC-IP.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    27-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Tristan Conner
      Information Security Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten