Configurar a VPN de acesso remoto do Secure Client (AnyConnect) no FTD

Opções de download

  • PDF     (1.5 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:16 de junho de 2026
ID do documento:212424

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve a configuração da VPN de Acesso Remoto do Cliente Seguro (AnyConnect) no Secure Firewall Threat Defense.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico de VPN, TLS e IKEv2
  • Autenticação Básica, Autorização e Tarifação (AAA - Basic Authentication, Authorization, and Accounting) e conhecimento de RADIUS
  • Experiência com o Secure Firewall Management Center

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Secure Firewall Threat Defense (SFTD) 7.2.5
  • Secure Firewall Management Center (SFMC) 7.2.9
  • Secure Client (AnyConnect) 5.1.6 

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Este documento fornece um exemplo de configuração para Secure Firewall Threat Defense (FTD) versão 7.2.5 e posterior, que permite que a VPN de acesso remoto use Transport Layer Security (TLS) e Internet Key Exchange versão 2 (IKEv2). Como um cliente, o Secure Client (AnyConnect) pode ser usado, que é suportado em várias plataformas.

Configuração

1. Pré-requisitos

Para passar pelo assistente de Acesso Remoto no Secure Firewall Management Center:

  • Crie um certificado usado para autenticação de servidor.
  • Configure o servidor RADIUS ou LDAP para autenticação de usuário.
  • Crie um pool de endereços para usuários VPN.
  • Carregue imagens do AnyConnect para plataformas diferentes.

a) Importar o certificado SSL

Os certificados são essenciais durante a configuração do Secure Client. O certificado deve ter uma extensão de Nome Alternativo da Entidade com nome DNS e/ou endereço IP para evitar erros em navegadores da Web.

Note: Somente usuários registrados da Cisco têm acesso a ferramentas internas e informações de bug.

Há limitações para o registro manual de certificados:

  • No SFTD, você precisa do certificado CA antes de gerar o CSR.
  • Se o CSR for gerado externamente, o método manual falhará, portanto, um método diferente deverá ser usado (PKCS12).

Há vários métodos para obter um certificado no dispositivo SFTD. No entanto, o seguro e fácil é criar uma CSR (Certificate Signing Request, Solicitação de assinatura de certificado), assiná-la com uma CA (Certificate Authority, Autoridade de certificado) e importar o certificado emitido para a chave pública, que estava no CSR.

Etapas para concluir:

  • Navegue até Objetos > Gerenciamento de objetos > PKI > Cert Enrollment, clique em Adicionar registro de certificado.
  • Selecione Enrollment Type e cole o Certificate Authority (CA) (o certificado usado para assinar o CSR).

CA Certificate Import

  • Em seguida, vá para a segunda guia e selecione FQDN personalizado e preencha todos os campos necessários, por exemplo:

Certificate Parameters

  • Na terceira guia, selecione Tipo de chave, escolha nome e tamanho. Para RSA, 2048 bits são no mínimo.
  • Clique em Salvar e navegue até Dispositivos > Certificados > Adicionar.
  • Em seguida, selecione Device e, em Cert Enrollment, selecione o ponto confiável que você acabou de criar e clique em Add:

Add New Certificate

  • Depois, ao lado do nome do ponto de confiança, clique no ID Icon e, depois disso, copie CSR para CA e assine. O certificado deve ter atributos iguais aos de um servidor HTTPS normal.
  • Depois de receber o certificado da CA no formato base64, selecione Browse Identity Certificate, selecione no disco e clique em Import. Quando isso for bem-sucedido, você verá:

Certificate List


b) Configurar o servidor RADIUS

  • Navegue até Objetos > Gerenciamento de objetos > Grupo de servidores RADIUS > Adicionar grupo de servidores RADIUS > +.
  • Preencha o nome e adicione o endereço IP junto com o segredo compartilhado e clique em Salvar:

RADIUS Server Properties

  • Depois, você poderá ver o servidor na lista:

RADIUS Server List

c) Crie um pool de endereços para usuários de VPN

  • Navegue até Objetos > Gerenciamento de objetos > Pools de endereços > Pools de IPv4 > Adicionar Pools de IPv4.
  • Insira o nome e o intervalo, a máscara não é necessária: 

Address Pool Properties

d) Criar perfil XML

  • Faça o download do Editor de perfis no site da Cisco e abra-o.
  • Navegue até Lista de servidores > Adicionar... 
  • Insira o Display Name e o FQDN. Você pode ver as entradas na Lista de servidores:

Profile Editor Server List

  • Clique em OK e Arquivo > Salvar como...  

e) Carregar imagens do AnyConnect

  • Faça o download de imagens de pacotes do site da Cisco.
  • Navegue até Objetos > Gerenciamento de objetos > VPN > Arquivo do AnyConnect > Adicionar arquivo do AnyConnect.
  • Digite o nome e selecione o arquivo PKG do disco, clique em Salvar:

Secure Client Image Import Form

  • Adicione mais pacotes com base em seus próprios requisitos.

2. Assistente de Acesso Remoto

  • Navegue até Devices > VPN > Remote Access > Add a new configuration.
  • Nomeie o perfil e selecione dispositivo FTD:

Remote Access Wizard Step 1

  • Na etapa Perfil de conexão, digite Nome do perfil de conexão, selecione o Servidor de autenticação e os Pools de endereços criados anteriormente:

Remote Access Wizard Step 2

Client Address Assignment and Group Policy Selection

  • Clique em Edit Group Policy e, na guia AnyConnect, selecione Client Profile e clique em Save:

Profile Selection in Group Policy Properties

  • Na próxima página, selecione Imagens do AnyConnect e clique em Próximo.

Secure Endpoint Image

  • Na próxima tela, selecione Network Interface and Device Certificates:

Network Interface Selection

  • Quando tudo estiver configurado corretamente, você poderá clicar em Concluir e em Implantar:

The Last Step in Remote Access Wizard

  • Isso copia toda a configuração junto com os certificados e os pacotes do AnyConnect para o dispositivo FTD.

Conexão

Para se conectar ao FTD, você deve abrir um navegador, digitar o nome DNS ou o endereço IP que aponta para a interface externa. Em seguida, faça login com as credenciais armazenadas no servidor RADIUS e execute as etapas na tela. Depois que o AnyConnect for instalado, você deverá inserir o mesmo endereço na janela AnyConnect e clicar em Connect.

Limitações

Atualmente, não é suportado no FTD, mas está disponível no ASA:

  • FTDposture VPN não suporta alteração de política de grupo através de autorização dinâmica ou alteração de autorização RADIUS (CoA)

  • Personalização do AnyConnect (Aprimoramento: ID de bug da Cisco CSCvq87631)
  • Scripts do AnyConnect (Aprimoramento: ID de bug da Cisco CSCvt58044)
  • Localização do AnyConnect
  • Integração com WSA
  • Mapa de criptografia dinâmica IKEv2 simultâneo para RA e VPN L2L (Aprimoramento: ID de bug Cisco CSCvr52047)
  • TACACS, Kerberos - Autenticação KCD e RSA SDI (Aprimoramento: ID de bug da Cisco CSCvx55859)
  • Proxy do navegador

Considerações sobre segurança

Por padrão, a opção sysopt connection permit-vpnoption está desabilitada. Isso significa que você deve permitir o tráfego que vem do pool de endereços em uma interface externa através da Política de Controle de Acesso. Embora a regra de pré-filtro ou de controle de acesso seja adicionada para permitir somente o tráfego VPN, se o tráfego de texto simples corresponder aos critérios da regra, ele será permitido erroneamente.

Há duas abordagens para esse problema. Primeiro, a opção recomendada dos TACs é habilitar o Anti-Spoofing (no ASA, era conhecido como Unicast Reverse Path Forwarding - uRPF) para a interface externa e, segundo, habilitar o sysopt connection permit-vpn para ignorar completamente a inspeção Snort. A primeira opção permite uma inspeção normal do tráfego que vai para e de usuários de VPN.

a) Habilitar uRPF

  • Crie uma rota nula para a rede usada para usuários de acesso remoto, definida na seção C. Navegue até Devices > Device Management > Edit > Routing > Static Route e selecione Add route.

New Static Route Properties

  • Em seguida, habilite o uRPF na interface onde as conexões VPN terminam. Para localizar isso, navegue até Dispositivos > Gerenciamento de dispositivos > Editar > Interfaces > Editar > Avançado > Configuração de segurança > Ativar falsificação. 

Edit Physical Interface

Quando um usuário está conectado, a rota de 32 bits é instalada para esse usuário na tabela de roteamento. Tráfego de texto simples originado de outros endereços IP não usados do pool que é descartado pelo uRFP. Para exibir uma descrição do Anti-Spoofing, consulte Definir parâmetros de configuração de segurança no Firewall Threat Defense.

b) Ativar a opção de conexão sysopt permit-vpn

  • Há uma opção para concluir com o assistente ou em Devices > VPN > Remote Access > VPN Profile > Access Interfaces de acesso.

Bypass Access Control Policy Option Selected

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
7.0
16-Jun-2026
Ortografia e espaçamento atualizados, gramática e ligeiras alterações na Introdução.
6.0
05-Dec-2024
Texto Alt, Destinos de Link, Gramática e Formatação Atualizados.
5.0
25-Nov-2024
Convenção de nomenclatura alterada e alterações refletidas na GUI
4.0
05-Dec-2023
Recertificação
3.0
16-Dec-2022
Reescrever. Atualizar Formatação. Recertificação.
2.0
08-Nov-2022
Formatação atualizada e nova certificação ortográfica corrigida
1.0
07-Nov-2017
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Radoslaw Olszowy
    Engenheiro de consultoria técnica

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos