Geolocatiebeleid configureren voor externe VPN op beveiligde FTD

Downloadopties

  • PDF     (931.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:9 juni 2026
Document-id:222810

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt het proces beschreven voor het toestaan/weigeren van toegang op afstand tot VPN-verbindingen op basis van specifieke geolocaties op Secure Firewall Threat Defense.

Voorwaarden

Vereisten en beperkingen

Cisco raadt kennis van de volgende onderwerpen aan:

  • Veilig Firewall Management Center (FMC)
  • Remote Access VPN (RAVPN)
  • Basisconfiguratie geolocatie

De huidige vereisten en beperkingen voor op geolocatie gebaseerd beleid zijn:

  • Alleen ondersteund op FTD versie 7.7.0+, beheerd door FMC versie 7.7.0+.

  • Niet ondersteund op FTD beheerd door Secure Firewall Device Manager (FDM).

  • Niet ondersteund in clustermodus.

  • Niet-geclassificeerde IP-adressen op basis van geolocatie worden niet gecategoriseerd op basis van geografische oorsprong. Hiervoor handhaaft de FMC de standaardactie voor het toegangsbeleid voor de service.

  • Het op geolocatie gebaseerde servicetoegangsbeleid is niet van toepassing op WebLaunch-pagina's, zodat u de beveiligde client zonder beperkingen kunt downloaden.

Gebruikte componenten

De informatie in dit document is gebaseerd op deze softwareversies:

  • Secure Firewall versie 7.7.0
  • Secure Firewall Management Center versie 7.7.0

Alle details over deze functie zijn te vinden in de sectie Beheer VPN-toegang van externe gebruikers op basis van geolocatie in de Apparaatconfiguratiehandleiding Cisco Secure Firewall Management Center 7.7.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Geolocatie-gebaseerde toegangsbeleid biedt vandaag aanzienlijke waarde in netwerkbeveiliging, waardoor verkeer kan worden geblokkeerd op basis van de geografische oorsprong. Traditioneel kunnen organisaties beleid voor toegang tot het verkeer definiëren voor algemeen netwerkverkeer dat door de firewall gaat. Nu, met de introductie van deze functie, is het mogelijk om op geolocatie gebaseerde toegangscontrole toe te passen voor Remote Access VPN-sessieverzoeken.

Deze functie biedt de volgende voordelen:

  • Geolocatie-gebaseerde regels: maak regels om RAVPN-verzoeken toe te staan of te weigeren op basis van specifieke geolocaties, zoals landen of continenten. Dit zorgt voor nauwkeurige controle over welke geografische locaties VPN-sessies kunnen starten.
  • Pre-authenticatie blokkeren: Sessies die door deze regels voor een weigeringsactie worden geïdentificeerd, worden geblokkeerd vóór verificatie en deze pogingen worden correct geregistreerd voor beveiligingsdoeleinden. Deze preventieve actie helpt bij het beperken van ongeoorloofde toegangspogingen.
  • Naleving en beveiliging: deze functie helpt bij het waarborgen van naleving van het lokale organisatorische en governancebeleid, terwijl ook het aanvalsoppervlak van de VPN-server wordt verminderd.

Gezien het feit dat VPN-servers openbare IP-adressen hebben die toegankelijk zijn via internet, stelt de introductie van op geolocatie gebaseerde regels organisaties in staat om gebruikersverzoeken van specifieke geolocaties effectief te beperken, waardoor de kwetsbaarheid voor brute force-aanvallen wordt verminderd.

Feature Diagram

Configureren

Stap 1. Een servicetoegangsobject maken

1. Meld u aan bij het Secure Firewall Management Center.

2. Navigeer naar Objecten > Objectbeheer > Toegangslijst > Servicetoegang en klik op Servicetoegangsobject toevoegen.

Add Service Access Object

  

3. Definieer de naam van de regel en klik op Regel toevoegen.

Configure Service Access Object

4. Configureer de regel voor servicetoegang:

  • Selecteer de actie van de regel: Toestaan of weigeren.
  • Selecteer in de lijst Beschikbare landen landen, continenten of door de gebruiker gedefinieerde geolocatie-objecten en verplaats deze naar de lijst Geselecteerde geolocatie.
  • Klik op Toevoegen om de regel te maken.

Opmerking: in een object voor servicetoegang kan een geolocatie-object (land, continent of aangepaste geolocatie) slechts in één regel worden gebruikt.

Opmerking: zorg ervoor dat u de toegangsregels voor de service in de juiste volgorde configureert, omdat deze regels niet opnieuw kunnen worden geordend.

Configure Service Access Rule

5. Kies de standaardactie: Alle landen toestaan of Alle landen weigeren. Deze actie is van toepassing op verbindingen die niet overeenkomen met de geconfigureerde Servicetoegangsregels.

Configure Service Access Object Default Action

6. Klik op Opslaan.

Stap 2. De Service Object-configuratie toepassen in RAVPN

1. Navigeer naar de RAVPN-configuratie in Apparaten > Externe toegang > RAVPN-configuratieobject > Toegangsinterface

2. Selecteer in de sectie Toegangsbeheer voor service het servicetoegangsobject dat u eerder hebt gemaakt.

Add Service Access Object to RAVPN Policy

3. Het object Service Access dat u hebt geselecteerd, geeft nu het overzicht van de regels en de standaardactie weer. Zorg ervoor dat dit juist is.

4. Sla de wijzigingen op en implementeer de configuratie.

Verifiëren

1. Nadat de configuratie is opgeslagen, worden de regels weergegeven in de sectie Toegangsbeheer voor services, zodat u kunt valideren welke groepen en landen zijn geblokkeerd of toegestaan.

Verify Service Access Object

2. Voer de opdracht show running-config service-access uit om ervoor te zorgen dat de regels voor toegang tot de service beschikbaar zijn in de FTD CLI.

firepower# show running-config service-access
service-access deny ra-ssl-client geolocation FMC_GEOLOCATION_146028889448_536980902
service-access permit ra-ssl-client geolocation any

firepower# show running-config object-group idFMC_GEOLOCATION_146028889448_536980902
object-group geolocation FMC_GEOLOCATION_146028889448_536980902
location "Country X"
location "Country Y"

Syslogs en monitoring

Secure Firewall introduceert nieuwe syslog-ID's om gebeurtenissen vast te leggen die verband houden met RAVPN-verbindingen die zijn geblokkeerd door op geolocatie gebaseerd beleid:

  • 761031: Geeft aan wanneer een IKEv2-verbinding wordt geweigerd door een geolocatiebeleid. Deze syslog maakt deel uit van de bestaande VPN-logboekklasse.

%FTD-6-751031: IKEv2-sessie voor externe toegang geweigerd voor faddr <client_ip> ladder <device_ip> door een geogebaseerde regel (geo=<country_name>, id=<country_code>)

  • 751031: Geeft aan wanneer een SSL-verbinding wordt geweigerd door een op geolocatie gebaseerd beleid. Deze syslog maakt deel uit van de bestaande WebVPN-logboekklasse.

%FTD-6-716166: SSL-sessie voor externe toegang geweigerd voor faddr <client_ip> door een geogebaseerde regel (geo=<country_name>, id=<country_code>)

Opmerking: het standaardprioriteitsniveau voor deze nieuwe syslogs is informatief wanneer dit is ingeschakeld in de respectieve logboekklassen. U kunt deze syslog-id's echter afzonderlijk inschakelen en de ernst ervan aanpassen.

Geblokkeerde verbindingen bewaken

Als u geblokkeerde verbindingen wilt valideren, gaat u naar Apparaten > Problemen oplossen > Logboeken voor probleemoplossing. De logs met betrekking tot geblokkeerde verbindingen worden weergegeven, inclusief informatie over de regels die van invloed zijn op de verbinding en het type sessie.

Opmerking: Syslog moet zijn geconfigureerd om deze informatie te verzamelen in de logboeken voor probleemoplossing.

Monitor Blocked Connections

Toegestane verbindingen bewaken

De toegestane sessies worden bewaakt in Overzicht > VPN-dashboard voor externe toegang, waar sessiegegevens worden weergegeven, inclusief het land van herkomst.

Opmerking: op dit dashboard worden alleen verbindingen weergegeven van toegestane landen en gebruikers die verbinding mogen maken. Verbindingen die worden afgewezen, worden niet weergegeven op dit dashboard.

Monitor Allowed Connections

Problemen oplossen

Voor het oplossen van problemen kunt u de volgende stappen bekijken:

  1. Controleer of de regels correct zijn geconfigureerd in het object Service Access.
  2. Controleer of er een syslog wordt geweigerd in het gedeelte Logboeken voor probleemoplossing wanneer een toegestane geolocatie een sessie aanvraagt.
  3. Zorg ervoor dat de configuratie in de FMC overeenkomt met die in de FTD CLI.
  4. Gebruik de volgende opdrachten om meer details te verzamelen die nuttig zijn voor het oplossen van problemen:
  • Debuggeolocatie <1-255>
  • Servicetoegang weergeven
  • Details servicetoegang weergeven
  • Service-Access Interface weergeven
  • Locatie voor servicetoegang weergeven
  • service-access service weergeven
  • geodb ipv4 locatie <Land> details weergeven
  • Geodb-tellers weergeven
  • geodb ipv4 tonen [opzoeken <IP-adres>] 
  • Geodb IPv6 weergeven

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
2.0
09-Jun-2026
Bijgewerkte spelling, grammatica, titel van het artikel, inleiding, spatiëring, grammatica, bijgewerkte URL in HTML per CCW en zinsstructuur.
1.0
07-Mar-2025
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Luis Suarez
    technisch adviseur
  • Angel Ortiz Jimenez
    Technisch leider op het gebied van beveiliging

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten