Configure o acesso seguro com o firewall Fortigate
Contents
Introdução
Este documento descreve como configurar o acesso seguro com o Firewall Fortigate.
Pré-requisitos
- Configurar Provisionamento de Usuário
- Configuração de Autenticação ZTNA SSO
- Configurar o acesso seguro da VPN de acesso remoto
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Firewall da versão Fortigate 7.4.x
- Acesso seguro
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
- ZTNA sem cliente
Componentes Utilizados
As informações neste documento são baseadas em:
- Firewall da versão Fortigate 7.4.x
- Acesso seguro
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que elas são acessadas pela nuvem.
Configurar
Configurar a VPN no acesso seguro
Navegue até o painel de administração do Secure Access.
- Clique em
Connect > Network Connections > Network Tunnels Groups
- Em
Network Tunnel Groups clique em+ Add
- Configure
Tunnel Group Name,Region eDevice Type - Clique em
Next
Observação: escolha a região mais próxima ao local do firewall.
- Configure o
Tunnel ID Format ePassphrase - Clique em
Next
- Configure os intervalos de endereços IP ou hosts que você configurou na sua rede e deseja passar o tráfego pelo Secure Access
- Clique em
Save
Depois de clicar nas informações sobre Save o túnel que são exibidas, salve essas informações para a próxima etapa, Configure the VPN Site to Site on Fortigate.
Dados do túnel
Dados do túnel
Configure o site VPN para o site no Fortigate
Configure o site VPN para o site no FortigateNavegue até o painel Fortificar.
- Clique em
VPN > IPsec Tunnels
- Clique em
Create New > IPsec Tunnels
- Clique em
Custom , configure umName e clique emNext.
Na próxima imagem, você verá como é necessário definir as configurações da Network peça.
Rede
Rede
NetworkIP Version :IPv4Remote Gateway :Endereço IP estáticoIP Address: Use o IP dePrimary IP Datacenter IP Address,fornecido na etapa Dados do túnelInterface : Escolha a interface WAN que você planejou usar para estabelecer o túnelLocal Gateway : Desabilitar como padrãoMode Config : Desabilitar como padrãoNAT Traversal :EnableKeepalive Frequency :10Dead Peer Detection : sob demandaDPD retry count :3DPD retry interval :10Forward Error Correction : Não marque nenhuma caixa.Advanced...: configure-o como a imagem.
Agora configure o IKE Authentication.
Autenticação
Autenticação
AuthenticationMethod : Chave pré-compartilhada como padrãoPre-shared Key : Use oPassphrasedado na etapa Dados do túnel
IKEVersion : Escolha a versão 2.
Observação: o Secure Access suporta apenas IKEv2
Agora configure o Phase 1 Proposal.
Fase 1 Proposta
Fase 1 Proposta
Phase 1 ProposalEncryption : Escolha AES256Authentication : Escolha SHA256Diffie-Hellman Groups : Marque as caixas 19 e 20Key Lifetime (seconds) : 86400 como padrãoLocal ID : Use o comandoPrimary Tunnel ID,fornecido na etapa Dados do túnel
Agora configure o Phase 2 Proposal.
Fase 2 Proposta
Fase 2 Proposta
New Phase 2Name : Deixe como padrão (tirado do nome da sua VPN)Local Address : Deixe como padrão (0.0.0.0/0.0.0.0)Remote Address : Deixe como padrão (0.0.0.0/0.0.0.0)
AdvancedEncryption : Escolha AES128Authentication : Escolha SHA256Enable Replay Detection : Deixe como padrão (Habilitado)Enable Perfect Forward Secrecy (PFS) : Desmarcar a caixa de seleçãoLocal Port : Deixe como padrão (Habilitado)Remote Port: Deixe como padrão (Habilitado)Protocol : Deixe como padrão (Habilitado)Auto-negotiate : Deixar como padrão (Desmarcado)Autokey Keep Alive : Deixar como padrão (Desmarcado)Key Lifetime : Deixe como padrão (segundos)Seconds : Deixe como padrão (43200)
Depois disso, clique em OK. Após alguns minutos, você verá que a VPN foi estabelecida com o Secure Access e poderá continuar com a próxima etapa, Configure the Tunnel Interface.
Configurar a interface do túnel
Configurar a interface do túnelDepois que o túnel for criado, você perceberá que há uma nova interface atrás da porta que está usando como interface WAN para se comunicar com o Secure Access.
Para verificar isso, navegue até Network > Interfaces.
Expanda a porta que você usa para se comunicar com o Secure Access; nesse caso, a WAN interface.
- Clique no
Tunnel Interface e emEdit
- Você tem a próxima imagem que precisa configurar
Interface ConfigurationIP : Configure um IP não roteável que você não tenha em sua rede (169.254.0.1)Remote IP/Netmask : configure o IP remoto como o próximo IP do IP da interface e com uma máscara de rede de 30 (169.254.0.2 255.255.255.252)
Depois disso, clique OK para salvar a configuração e continuar com a próxima etapa, Configure Policy Route (Roteamento baseado na origem).
Aviso: Após esta parte, você deve configurar as Políticas de Firewall em seu FortiGate para permitir ou permitir o tráfego de seu dispositivo para Acesso Seguro e de Acesso Seguro para as redes que você deseja rotear o tráfego.
Configurar Rota de Política
Configurar Rota de PolíticaNeste ponto, você tem sua VPN configurada e estabelecida para acesso seguro; agora, você deve redirecionar o tráfego para acesso seguro para proteger seu tráfego ou acesso a seus aplicativos privados por trás do firewall FortiGate.
- Navegue até
Network > Policy Routes
- Configurar a política
If Incoming traffic matchesIncoming Interface : Escolha a interface de onde você planejou redirecionar o tráfego para o Secure Access (origem do tráfego)
Source AddressIP/Netmask : use esta opção apenas se você rotear uma sub-rede de uma interfaceAddresses : use esta opção se você tiver o objeto criado e a origem do tráfego vier de várias interfaces e várias sub-redes
Destination AddressesAddresses: EscolherallProtocol: EscolherANY
ThenAction:Choose Forward Traffic
Outgoing Interface : Escolha a interface de túnel que você modificou na etapa, Configurar interface de túnelGateway Address: Configure o IP remoto configurado na etapa, RemoteIPNetmaskStatus :Escolher Habilitado
Clique OK para salvar a configuração. Agora, você está pronto para verificar se o tráfego de seus dispositivos foi roteado novamente para o Secure Access.
Verificar
VerificarPara verificar se o tráfego da sua máquina foi redirecionado para o Secure Access, você tem duas opções: você pode verificar na Internet e seu IP público ou executar o próximo comando com curl:
C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }O intervalo público de onde você pode ver seu tráfego é de:
Min Host:151.186.176.1
Max Host :151.186.207.254
Observação: esses IPs estão sujeitos a alterações, o que significa que a Cisco provavelmente estenderá esse intervalo no futuro.
Se você vir a alteração de seu IP público, isso significa que você está sendo protegido pelo Secure Access e agora você pode configurar seu aplicativo privado no painel do Secure Access para acessar seus aplicativos de VPNaaS ou ZTNA.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
02-Aug-2024 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)