Configurazione della VPN ad accesso remoto Secure Client (AnyConnect) su FTD

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:16 giugno 2026
ID documento:212424

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritta la configurazione per la VPN ad accesso remoto Secure Client (AnyConnect) su Secure Firewall Threat Defense.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

  • Conoscenze base di VPN, TLS e IKEv2
  • Autenticazione di base, autorizzazione e accounting (AAA) e conoscenza RADIUS
  • Esperienza con Centro gestione firewall protetto

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Secure Firewall Threat Defense (SFTD) 7.2.5
  • Secure Firewall Management Center (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Questo documento offre un esempio di configurazione per Secure Firewall Threat Defense (FTD) versione 7.2.5 e successive, che consente alla VPN ad accesso remoto di utilizzare Transport Layer Security (TLS) e Internet Key Exchange versione 2 (IKEv2). Come client, è possibile usare Secure Client (AnyConnect), supportato su più piattaforme.

Configurazione

1. Prerequisiti

Per eseguire la procedura guidata Accesso remoto in Centro gestione firewall protetto:

  • Crea un certificato utilizzato per l'autenticazione del server.
  • Configurare il server RADIUS o LDAP per l'autenticazione utente.
  • Creare un pool di indirizzi per gli utenti VPN.
  • Caricare immagini AnyConnect per piattaforme diverse.

a) Importare il certificato SSL

I certificati sono essenziali per la configurazione di Secure Client. Il certificato deve avere un'estensione Nome alternativo soggetto con nome DNS e/o indirizzo IP per evitare errori nei browser Web.

Nota: Solo gli utenti Cisco registrati possono accedere agli strumenti interni e alle informazioni sui bug.

Esistono limitazioni per la registrazione manuale dei certificati:

  • In SFTD, è necessario il certificato CA prima di generare il CSR.
  • Se la CSR viene generata esternamente, il metodo manuale non riesce, pertanto è necessario utilizzare un metodo diverso (PKCS12).

Esistono diversi metodi per ottenere un certificato su un accessorio SFTD; tuttavia, quello più semplice e sicuro consiste nel creare una richiesta di firma del certificato (CSR), firmarla con un'autorità di certificazione (CA) e quindi importare il certificato rilasciato per la chiave pubblica, che era presente nel CSR.

Passaggi da completare:

  • Passare a Oggetti > Gestione oggetti > PKI > Registrazione certificato, fare clic su Aggiungi registrazione certificato.
  • Selezionare Tipo di registrazione e incollare il certificato CA (Certification Authority), ovvero il certificato utilizzato per firmare il CSR.

CA Certificate Import

  • Quindi, andare alla seconda scheda e selezionare FQDN personalizzato e compilare tutti i campi necessari, ad esempio:

Certificate Parameters

  • Nella terza scheda, selezionare Tipo di chiave, scegliere nome e dimensione. Per RSA, il valore minimo è 2048 bit.
  • Fare clic su Salva e selezionare Dispositivi > Certificati > Aggiungi.
  • Quindi selezionare Dispositivo e in Registrazione certificato selezionare il trust point appena creato e fare clic su Aggiungi:

Add New Certificate

  • In seguito, accanto al nome del trust point, fare clic sul collegamento ID Icon , quindi e, successivamente, copiare CSR in CA e firmare. Il certificato deve avere gli stessi attributi di un normale server HTTPS.
  • Dopo aver ricevuto il certificato dalla CA in formato base64, selezionare Sfoglia certificato di identità, selezionarlo dal disco e fare clic su Importa. Se l'operazione ha esito positivo, sarà possibile visualizzare:

Certificate List


b) Configurazione del server RADIUS

  • Passare a Oggetti > Gestione oggetti > Gruppo server RADIUS > Aggiungi gruppo server RADIUS > +.
  • Compilare il nome e aggiungere l'indirizzo IP insieme al segreto condiviso e fare clic su Salva:

RADIUS Server Properties

  • In seguito sarà possibile visualizzare il server nell'elenco:

RADIUS Server List

c) Creare un pool di indirizzi per gli utenti VPN

  • Selezionare Oggetti > Gestione oggetti > Pool di indirizzi > Pool IPv4 > Aggiungi pool IPv4.
  • Immettere il nome e l'intervallo, la maschera non è necessaria: 

Address Pool Properties

d) Crea profilo XML

  • Scaricare l'Editor di profili dal sito Cisco e aprirlo.
  • Selezionare Elenco server > Aggiungi... 
  • Immettere il nome visualizzato e il nome di dominio completo. È possibile visualizzare le voci in Elenco server:

Profile Editor Server List

  • Fare clic su OK e su File > Salva con nome...  

e) Caricamento di immagini AnyConnect

  • Scaricare le immagini pkg dal sito Cisco.
  • Selezionare Oggetti > Gestione oggetti > VPN > File AnyConnect > Aggiungi file AnyConnect.
  • Digitare il nome e selezionare il file PKG dal disco, quindi fare clic su Salva:

Secure Client Image Import Form

  • Aggiungi altri pacchetti in base alle tue esigenze.

2. Configurazione guidata Accesso remoto

  • Selezionare Dispositivi > VPN > Accesso remoto > Aggiungi nuova configurazione.
  • Assegnare un nome al profilo e selezionare il dispositivo FTD:

Remote Access Wizard Step 1

  • Nel passo Profilo connessione digitare Nome profilo connessione, selezionare il server di autenticazione e i pool di indirizzi creati in precedenza:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • Fare clic su Modifica Criteri di gruppo e nella scheda AnyConnect selezionare Profilo client, quindi fare clic su Salva:

Profile Selection in Group Policy Properties

  • Nella pagina successiva, selezionare AnyConnect Images (Immagini AnyConnect), quindi fare clic su Next (Avanti).

Secure Endpoint Image

  • Nella schermata successiva, selezionare Network Interface and Device Certificates:

Network Interface Selection

  • Se tutti gli elementi sono configurati correttamente, è possibile fare clic su Fine e quindi su Distribuisci:

The Last Step in Remote Access Wizard

  • In questo modo viene copiata sull'accessorio FTD l'intera configurazione, i certificati e i pacchetti AnyConnect.

Connessione

Per connettersi a FTD, è necessario aprire un browser, digitare il nome DNS o l'indirizzo IP che punta all'interfaccia esterna. Quindi, accedere con le credenziali memorizzate nel server RADIUS ed eseguire la procedura sullo schermo. Dopo aver installato AnyConnect, immettere lo stesso indirizzo nella finestra AnyConnect e fare clic su Connect.

Limitazioni

Al momento, non è supportato sull'FTD, ma è disponibile sull'ASA:

  • La VPN FTDposture non supporta la modifica dei criteri di gruppo tramite l'autorizzazione dinamica o la modifica dell'autorizzazione RADIUS (CoA)

  • Personalizzazione AnyConnect (miglioramento: Cisco bug ID CSCvq87631)
  • Script AnyConnect (miglioramento: Cisco bug ID CSCvt58044)
  • Localizzazione AnyConnect
  • Integrazione WSA
  • Mappa crittografica dinamica IKEv2 simultanea per RA e VPN L2L (miglioramento: Cisco bug ID CSCvr52047)
  • TACACS, Kerberos - Autenticazione KCD e RSA SDI (versione migliorata: Cisco bug ID CSCvx5859)
  • Proxy browser

Considerazioni sulla sicurezza

Per impostazione predefinita, l'opzione allow-vpnoption della connessione syspot è disabilitata. Ciò significa che è necessario autorizzare il traffico proveniente dal pool di indirizzi su un'interfaccia esterna tramite i criteri di controllo di accesso. Anche se la regola di prefiltro o di controllo dell'accesso viene aggiunta per consentire solo il traffico VPN, se il traffico in chiaro corrisponde ai criteri della regola, è erroneamente consentito.

Ci sono due approcci a questo problema. L'opzione consigliata per i TAC è di abilitare la funzione Anti-Spoofing (sull'appliance ASA era nota come Unicast Reverse Path Forwarding - uRPF) per l'interfaccia esterna e, in secondo luogo, di abilitare la connessione syspot allow-vpn per ignorare completamente l'ispezione Snort. La prima opzione consente una normale ispezione del traffico che va a e da utenti VPN.

a) Attivare uRPF

  • Creare una route nulla per la rete utilizzata per gli utenti di accesso remoto, definita nella sezione C. Passare a Dispositivi > Gestione dispositivi > Modifica > Routing > Route statica e selezionare Aggiungi route.

New Static Route Properties

  • Quindi, abilitare uRPF sull'interfaccia a cui terminano le connessioni VPN. Per individuare questa condizione, selezionare Dispositivi > Gestione dispositivi > Modifica > Interfacce > Modifica > Avanzate > Configurazione sicurezza > Abilita anti-spoofing

Edit Physical Interface

Quando un utente è connesso, il percorso a 32 bit viene installato per tale utente nella tabella di routing. Traffico in chiaro proveniente dagli altri indirizzi IP inutilizzati del pool eliminato da uRFP. Per visualizzare una descrizione dell'anti-spoofing, fare riferimento a Impostazione dei parametri di configurazione della sicurezza su Firewall Threat Defense.

b) Abilitare la connessione a syst allow-vpn Option

  • È possibile completare la procedura guidata o selezionare Dispositivi > VPN > Accesso remoto > Profilo VPN > Interfacce di accesso.

Bypass Access Control Policy Option Selected

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
7.0
16-Jun-2026
È stata aggiornata l'ortografia, la spaziatura, alcune regole grammaticali e una lieve modifica all'introduzione.
6.0
05-Dec-2024
Testo alternativo, destinazioni link, grammatica e formattazione aggiornati.
5.0
25-Nov-2024
Convenzione di denominazione modificata e modifiche riflesse nella GUI
4.0
05-Dec-2023
Certificazione
3.0
16-Dec-2022
Riscrivi. Aggiorna formattazione. Certificazione.
2.0
08-Nov-2022
Formattazione aggiornata e correzione ortografica
1.0
07-Nov-2017
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Radoslaw Olszowy
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti