Konfigurieren von Standortrichtlinien für Remote-VPN auf sicherem FTD

Download-Optionen

  • PDF     (932.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:9. Juni 2026
Dokument-ID:222810

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird der Prozess zum Zulassen/Verweigern von Remotezugriff-VPN-Verbindungen basierend auf bestimmten geografischen Standorten in Secure Firewall Threat Defense beschrieben.

Voraussetzungen

Anforderungen und Einschränkungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Secure Firewall Management Center (FMC)
  • Remote Access-VPN (RAVPN)
  • Grundlegende Standortkonfiguration

Derzeit gelten für standortbasierte Richtlinien folgende Anforderungen und Einschränkungen:

  • Unterstützt nur auf FTD Version 7.7.0+, verwaltet von FMC Version 7.7.0+.

  • Nicht unterstützt auf FTD, die vom Secure Firewall Device Manager (FDM) verwaltet wird.

  • Nicht unterstützt im Clustermodus.

  • Standortbasierte, nicht klassifizierte IP-Adressen werden nicht nach geografischer Herkunft kategorisiert. Für diese setzt das FMC die standardmäßige Zugriffsrichtlinienaktion für den Service durch.

  • Standortbasierte Zugriffsrichtlinien gelten nicht für WebLaunch-Seiten, sodass Sie den Secure Client ohne Einschränkungen herunterladen können.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:

  • Secure Firewall Version 7.7.0
  • Secure Firewall Management Center Version 7.7.0

Ausführliche Informationen zu dieser Funktion finden Sie im Abschnitt Manage VPN Access of Remote Users Based on Geolocation (VPN-Zugriff für Remote-Benutzer basierend auf Standort verwalten) im Cisco Secure Firewall Management Center 7.7 Device Configuration Guide.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Standortbasierte Zugriffsrichtlinien bieten heute einen erheblichen Nutzen für die Netzwerksicherheit und ermöglichen die Blockierung von Datenverkehr basierend auf seiner geografischen Herkunft. In der Regel können Unternehmen Richtlinien für den Datenverkehrszugriff für den allgemeinen Netzwerkverkehr definieren, der durch die Firewall geleitet wird. Mit der Einführung dieser Funktion ist es jetzt möglich, eine standortbasierte Zugriffskontrolle für Remotezugriff-VPN-Sitzungsanforderungen anzuwenden.

Diese Funktion bietet die nächsten Vorteile:

  • Standortbasierte Regeln: Erstellen Sie Regeln, um RAVPN-Anfragen basierend auf bestimmten geografischen Standorten, z. B. Ländern oder Kontinenten, zuzulassen oder abzulehnen. Dies ermöglicht eine präzise Kontrolle darüber, welche geografischen Standorte VPN-Sitzungen initiieren können.
  • Blockierung vor der Authentifizierung: Von diesen Regeln für eine Ablehnungsaktion identifizierte Sitzungen werden vor der Authentifizierung blockiert, und diese Versuche werden aus Sicherheitsgründen ordnungsgemäß protokolliert. Diese Präventivmaßnahme trägt zur Verhinderung nicht autorisierter Zugriffsversuche bei.
  • Compliance und Sicherheit: Diese Funktion hilft dabei, die Einhaltung lokaler Organisations- und Governance-Richtlinien sicherzustellen und reduziert gleichzeitig die Angriffsfläche des VPN-Servers.

Da VPN-Server über öffentliche IP-Adressen verfügen, auf die über das Internet zugegriffen werden kann, ermöglicht die Einführung von Geolocation-basierten Regeln Organisationen, Nutzeranfragen aus bestimmten Geolocations wirksam einzuschränken und so die Anfälligkeit für Brute-Force-Angriffe zu verringern.

Feature Diagram

Konfigurieren

Schritt 1: Erstellen eines Dienstzugriffsobjekts

1. Melden Sie sich beim Secure Firewall Management Center an.

2. Navigieren Sie zu Objekte > Objektverwaltung > Zugriffsliste > Dienstzugriff, und klicken Sie auf Dienstzugriffsobjekt hinzufügen.Add (Dienstzugriffsobjekt hinzufügen).

Add Service Access Object

  

3. Definieren Sie den Regelnamen, und klicken Sie dann auf Regel hinzufügen.

Configure Service Access Object

4. Konfigurieren Sie die Dienstzugriffsregel:

  • Wählen Sie die Aktion der Regel aus: Zulassen oder Verweigern.
  • Wählen Sie unter Verfügbare Länder Länder, Kontinente oder benutzerdefinierte Geolokationsobjekte aus, und verschieben Sie sie in die Liste Ausgewählte Geolokation.
  • Klicken Sie auf Hinzufügen, um die Regel zu erstellen.

Anmerkung: In einem Dienstzugriffsobjekt kann ein Geolokationsobjekt (Land, Kontinent oder benutzerdefinierte Geolokation) nur in einer Regel verwendet werden.

Hinweis: Konfigurieren Sie die Zugriffsregeln für den Service in der richtigen Reihenfolge, da diese Regeln nicht neu sortiert werden können.

Configure Service Access Rule

5. Wählen Sie die Standardaktion: Alle Länder zulassen oder Alle Länder verweigern. Diese Aktion gilt für Verbindungen, die keiner der konfigurierten Dienstzugriffsregeln entsprechen.

Configure Service Access Object Default Action

6. Klicken Sie auf Speichern.

Schritt 2: Anwenden der Service Object-Konfiguration in RAVPN

1. Navigieren Sie zur RAVPN-Konfiguration unter Geräte > Remotezugriff > RAVPN-Konfigurationsobjekt > Zugriffsschnittstelle.

2. Wählen Sie im Abschnitt Dienstzugriffskontrolle das zuvor erstellte Dienstzugriffsobjekt aus.

Add Service Access Object to RAVPN Policy

3. Das ausgewählte Service Access-Objekt zeigt jetzt die Regelübersicht und die Standardaktion an. Stellen Sie sicher, dass dies richtig ist.

4. Speichern Sie abschließend die Änderungen, und stellen Sie die Konfiguration bereit.

Überprüfung

1. Nachdem die Konfiguration gespeichert wurde, werden die Regeln im Abschnitt Service Access Control (Dienstzugriffskontrolle) angezeigt, mit denen Sie überprüfen können, welche Gruppen und Länder gesperrt oder zugelassen sind.

Verify Service Access Object

2. Führen Sie den Befehl show running-config service-access aus, um sicherzustellen, dass die Regeln für den Dienstzugriff über die FTD-CLI verfügbar sind.

firepower# show running-config service-access
service-access deny ra-ssl-client geolocation FMC_GEOLOCATION_146028889448_536980902
service-access permit ra-ssl-client geolocation any

firepower# show running-config object-group idFMC_GEOLOCATION_146028889448_536980902
object-group geolocation FMC_GEOLOCATION_146028889448_536980902
location "Country X"
location "Country Y"

Syslogs und Überwachung

Secure Firewall führt neue Syslog-IDs ein, um Ereignisse zu erfassen, die mit RAVPN-Verbindungen zusammenhängen und durch standortbezogene Richtlinien blockiert werden:

  • 761031: Gibt an, wenn eine IKEv2-Verbindung durch eine Geolocation-basierte Richtlinie abgelehnt wird. Dieses Syslog ist Teil der vorhandenen VPN-Protokollierungsklasse.

%FTD-6-751031: IKEv2-Remotezugriffssitzung für faddr <client_ip> laddr <device_ip> wurde durch eine geobasierte Regel (geo=<Ländername>, id=<Ländercode>) verweigert

  • 751031: Gibt an, wenn eine SSL-Verbindung von einer Geolocation-basierten Richtlinie abgelehnt wird. Dieses Syslog ist Teil der vorhandenen WebVPN-Protokollierungsklasse.

%FTD-6-716166: Remotezugriffssitzung mit verweigertem SSL für faddr <client_ip> durch eine geobasierte Regel (geo=<country_name>, id=<country_code>)

Anmerkung: Der Standardschweregrad für diese neuen Syslogs ist informativ, wenn er von den entsprechenden Protokollierungsklassen aktiviert ist. Sie können diese Syslog-IDs jedoch einzeln aktivieren und ihren Schweregrad anpassen.

Blockierte Verbindungen überwachen

Um blockierte Verbindungen zu überprüfen, navigieren Sie zu Geräte > Fehlerbehebung > Protokolle zur Fehlerbehebung. Die Protokolle der blockierten Verbindungen werden angezeigt, einschließlich Informationen zu den Regeln, die sich auf die Verbindung und den Sitzungstyp auswirken.

Anmerkung: Syslog muss so konfiguriert werden, dass diese Informationen in den Fehlerbehebungsprotokollen erfasst werden.

Monitor Blocked Connections

Zugelassene Verbindungen überwachen

Die zulässigen Sitzungen werden unter Übersicht > VPN-Dashboard mit Remote-Zugriff überwacht, wo Sitzungsinformationen angezeigt werden, einschließlich des Ursprungslandes.

Anmerkung: Nur Verbindungen aus zulässigen Ländern und Benutzer, die eine Verbindung herstellen dürfen, werden auf diesem Dashboard angezeigt. Verbindungen, die abgelehnt wurden, werden in diesem Dashboard nicht angezeigt.

Monitor Allowed Connections

Fehlerbehebung

Gehen Sie zur Fehlerbehebung wie folgt vor:

  1. Überprüfen Sie, ob die Regeln im Service Access-Objekt richtig konfiguriert sind.
  2. Überprüfen Sie, ob im Abschnitt "Troubleshooting Logs" (Fehlerbehebungsprotokolle) ein Deny-Syslog angezeigt wird, wenn eine zulässige Standortbestimmung eine Sitzung anfordert.
  3. Stellen Sie sicher, dass die im FMC gezeigte Konfiguration mit der FTD-CLI übereinstimmt.
  4. Verwenden Sie die folgenden Befehle, um weitere Details zu sammeln, die für die Fehlerbehebung nützlich sind:
  • debug geolocation <1-255>
  • Dienstzugriff anzeigen
  • Details zum Dienstzugriff anzeigen
  • Show Service-Access-Schnittstelle
  • Ort des Dienstzugriffs anzeigen
  • Service-Zugriffsdienst anzeigen
  • show geodb ipv4 location <Land> detail
  • Geodb-Zähler anzeigen
  • show geodb ipv4 [lookup <IP-Adresse>] 
  • geodb ipv6 anzeigen

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
2.0
09-Jun-2026
Aktualisierte Rechtschreibung, Grammatik, Titel des Artikels, Einführung, Abstände, Grammatik, aktualisierte URL in HTML pro CCW und Satzstruktur.
1.0
07-Mar-2025
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Luis Suarez
    Technical Consulting Engineer
  • Angel Ortiz Jimenez
    Security Technical Leader

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.