Configurar o ASA com regras do controle de acesso dos serviços de FirePOWER para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Opções de download

  • PDF     (651.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (600.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (397.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de Maio de 2017
ID do documento:211294

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar regras da política do controle de acesso (ACP) para inspecionar o tráfego que vem dos túneis do Virtual Private Network (VPN) ou dos usuários do Acesso remoto (RA) e usa uma ferramenta de segurança adaptável de Cisco (ASA) com serviços de FirePOWER como o Gateway de Internet.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • AnyConnect, acesso remoto VPN e/ou IPSec VPN peer-to-peer.
    • Configuração de FirePOWER ACP. 
    • Estrutura de política modular ASA (MPF). 

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Versão 9.6(2.7) ASA5506W para o exemplo de ASDM
    • Versão 6.1.0-330 do módulo de FirePOWER para o exemplo de ASDM.
    • Versão 9.7(1) ASA5506W para o exemplo FMC.
    • Versoin 6.2.0 de FirePOWER para o exemplo FMC.
    • Versão 6.2.0 do centro de gerenciamento de FirePOWER (FMC) 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Problema

    ASA5500-X com serviços de FirePOWER é incapaz de filtrar e/ou para inspecionar usuários de AnyConnect trafique como mesmos que o tráfego originado por outros lugar conectados pelos túneis de IPsec que usam um único ponto da Segurança satisfeita permietral. 

    Um outro sintoma que esta solução cobre é ser incapaz de definir regras específicas ACP às fontes mencionadas sem o outro emprego das fontes. 

    Esta encenação é muito comum considerar quando o projeto de TunnelAll é usado para as soluções de VPN terminadas em um ASA. 

    Solução

    Isto pode ser conseguido através das formas múltiplas. Contudo, esta encenação cobre a inspeção por zonas. 

    Configuração ASA

    Etapa 1. Identifique as relações onde os usuários de AnyConnect ou os túneis VPN conectam ao ASA. 

    Par a espreitar túneis

    Esta é uma sucata da saída do crypto map da corrida da mostra.

    crypto map outside_map interface outside

    Usuários de AnyConnect

    O webvpn do comando show run mostra onde o acesso de AnyConnect é permitido. 

    webvpn
 enable outside
 hostscan image disk0:/hostscan_4.3.05019-k9.pkg
 hostscan enable
 anyconnect image disk0:/anyconnect-win-4.4.01054-webdeploy-k9.pkg 1
 anyconnect image disk0:/anyconnect-macos-4.4.01054-webdeploy-k9.pkg 2
 anyconnect enable

    Nesta encenação, a parte externa da relação recebe, usuários RA e par para espreitar túneis. 

    Etapa 2. Reoriente o tráfego do ASA ao módulo de FirePOWER com uma política global. 

    Pode ser feita com um fósforo toda a condição ou um Access Control List definido (ACL) para a reorientação do tráfego. 

    Exemplo com fósforo algum fósforo.

    class-map SFR
 match any

policy-map global_policy
 class SFR
   sfr fail-open

service-policy global_policy global

    Exemplo com fósforo ACL. 

    access-list sfr-acl extended permit ip any any

class-map SFR
 match access-list sfr-acl

policy-map global_policy
 class SFR
   sfr fail-open

service-policy global_policy global

    Em menos cenário comum, uma política de serviços pode ser usada para a interface externa. Este exemplo não é coberto neste documento. 

    Módulo ASA FirePOWER controlado pela configuração ASDM

    Etapa 1. Atribua à interface externa uma zona na configuração > na configuração > no Gerenciamento de dispositivos ASA FirePOWER. Neste caso, essa zona é chamada fora.

    211294-Configure-ASA-with-FirePOWER-Services-Ac-00.png

    Etapa 2. Seleto adicionar a regra na configuração > na configuração ASA FirePOWER > nas políticas > na política do controle de acesso.

    Etapa 3. Das zonas catalogue, selecione a zona exterior como a fonte e o destino para sua regra.

    211294-Configure-ASA-with-FirePOWER-Services-Ac-01.png

    Etapa 4. Selecione a ação, o título e todas as outras circunstâncias desejadas para definir esta regra. 

    As regras múltiplas podem ser criadas para este fluxo de tráfego. É apenas importante manter-se na mente que a fonte e as zonas de destino devem ser a zona atribuída às fontes e ao Internet VPN.

    Certifique-se de que há não outras mais políticas gerais que poderiam combinar antes destas regras. É preferrable ter estas regras acima de essas definidas a toda a zona. 

    Etapa 5. Clique sobre mudanças da loja ASA FirePOWER e distribua então mudanças de FirePOWER para mandar estas mudanças tomar o efeito. 

    Módulo ASA FirePOWER controlado pela configuração FMC

    Etapa 1. Atribua à interface externa uma zona em dispositivos > em Gerenciamento > em relações. Neste caso, essa zona é chamada parte-zona.

    211294-Configure-ASA-with-FirePOWER-Services-Ac-02.png

    Etapa 2. Seleto adicionar a regra em políticas > em controle de acesso > editam.

    Etapa 3. Das zonas catalogue, selecione a zona da parte-zona como a fonte e o destino para sua regra.

    211294-Configure-ASA-with-FirePOWER-Services-Ac-03.png

    Etapa 4. Selecione a ação, o título e todas as outras circunstâncias desejadas para definir esta regra. 

    As regras múltiplas podem ser criadas para este fluxo de tráfego. É apenas importante manter-se na mente que a fonte e as zonas de destino devem ser a zona atribuída às fontes e ao Internet VPN.

    Certifique-se de que há não outras mais políticas gerais que poderiam combinar antes destas regras. É preferrable ter estas regras acima de essas definidas a toda a zona. 

    Etapa 5. Clique sobre a salvaguarda e distribua-a então para mandar estas mudanças tomar o efeito. 

    Resultado

    Depois que o desenvolvimento termina, o tráfego de AnyConnect agora está filtrado/inspecionado pelas regras ACP aplicadas. Neste exemplo, uma URL foi obstruída com sucesso. 

    211294-Configure-ASA-with-FirePOWER-Services-Ac-04.png

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Christian Hernandez
      Engenheiro de TAC da Cisco
    • Cesar Lopez Zamarripa
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos