简介
本文档介绍FTD上AnyConnect远程访问VPN的配置。
先决条件
要求
Cisco 建议您了解以下主题:
- 基本VPN、TLS和IKEv2知识
- 基本身份验证、授权和记帐(AAA)以及RADIUS知识
- 使用Firepower管理中心的经验
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科FTD 7.2.0
- 思科FMC 7.2.1
- AnyConnect 4.10
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档提供Firepower威胁防御(FTD)版本7.2.0及更高版本的配置示例,允许远程访问VPN使用传输层安全(TLS)和Internet密钥交换版本2(IKEv2)。作为客户端,可以使用Cisco AnyConnect,它受多个平台支持。
配置
1. 先决条件
要在Firepower管理中心中通过“远程访问”向导,请执行以下操作:
- 创建用于服务器身份验证的证书。
- 配置RADIUS或LDAP服务器以进行用户身份验证。
- 为VPN用户创建地址池。
- 上传不同平台的AnyConnect映像。
a)导入SSL证书
配置AnyConnect时,证书至关重要。证书必须具有DNS名称和/或IP地址的主题备用名称扩展名以避免在Web浏览器中出错。
注意:只有注册的思科用户才能访问内部工具和漏洞信息。
手动证书注册存在限制:
— 在FTD上,在生成CSR之前需要CA证书。
— 如果CSR是在外部生成的,则手动方法会失败,必须使用其他方法(PKCS12)。
在FTD设备上获取证书有多种方法,但安全且简单的方法是创建证书签名请求(CSR),使用证书颁发机构(CA)对其进行签名,然后导入为CSR中的公钥颁发的证书。下面是如何做到这一点的:
- 转到
Objects
> Object Management > PKI > Cert Enrollment
,单击Add Cert Enrollment。

- 选择
Enrollment Type
并粘贴证书颁发机构(CA)证书(用于签署CSR的证书)。
- 然后转至第二个选项卡并选择
Custom FQDN
并填写所有必填字段,例如:

- 在第三个选项卡上,选择
Key Type
,选择名称和大小。对于RSA,最少2048位。
- 点击保存并转至
Devices > Certificates > Add > New Certificate
.
- 然后选择
Device
、和 Cert Enrollment
选择您刚刚创建的信任点,点击 Add
:

- 之后,点击信任点名称旁边的
图标,然后 Yes
,然后将CSR复制到CA并签名。 证书的属性必须与HTTPS服务器的普通属性相同。
- 从CA收到base64格式的证书后,从磁盘中选择该证书,然后单击
Import
.当此操作成功时,您会看到:

b)配置RADIUS服务器
- 转到
Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
- 填写名称并添加IP地址和共享密钥,单击
Save
:


c)为VPN用户创建地址池
- 转到
Objects > Object Management > Address Pools > Add IPv4 Pools.
- 输入名称和范围,不需要掩码:

d)创建XML配置文件
- 从思科站点下载配置文件编辑器并打开它。
- 转到
Server List > Add...
- 放置显示名称和FQDN。您会看到服务器列表中的条目:

e)上传AnyConnect映像
- 从思科站点下载软件包映像。
- 转到
Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
- 键入名称并从磁盘中选择PKG文件,单击
Save
:

2.远程访问向导
- 转到
Devices > VPN > Remote Access > Add a new configuration
.
- 命名配置文件并选择FTD设备:

- 在连接配置文件步骤中,键入
Connection Profile Name
,选择 Authentication Server
和 Address Pools
您之前创建的内容:

- 点击
Edit Group Policy
在AnyConnect选项卡上,选择 Client Profile
,然后单击 Save
:

- 在下一页上,选择AnyConnect映像,然后单击
Next
.

- 在下一个屏幕上,选择
Network Interface and Device Certificates:

- 当所有配置都正确时,您可以单击
Finish
然后 Deploy
:

- 这会将整个配置、证书和AnyConnect软件包复制到FTD设备。
连接
要连接到FTD,您需要打开浏览器,键入指向外部接口的DNS名称或IP地址。然后使用存储在RADIUS服务器中的凭证登录,并在屏幕上执行说明。 安装AnyConnect后,您需要在AnyConnect窗口中放置相同的地址,然后单击 Connect
.
限制
当前在FTD上不受支持,但在ASA上可用:
-
Firepower Threat Defense 6.2.3或更早版本不支持RADIUS服务器中的接口选择。在部署期间将忽略接口选项。
-
启用动态授权的RADIUS服务器需要Firepower威胁防御6.3或更高版本才能运行动态授权。
-
FTDposture VPN不支持通过动态授权或RADIUS授权更改(CoA)进行组策略更改。
- AnyConnect自定义(增强功能:Cisco bug ID CSCvq87631)
- AnyConnect脚本
- AnyConnect本地化
- WSA集成
- RA和L2L VPN同步IKEv2动态加密映射(增强功能:Cisco Bug ID CSCvr52047)
- AnyConnect模块(NAM、Hostscan、AMP Enabler、SBL、Umbrella、网络安全等) — 默认情况下安装DART(AMP Enabler和Umbrella的增强功能:Cisco bug ID CSCvs03562和Cisco bug ID CSCvs0642)。
- TACACS、Kerberos(KCD身份验证和RSA SDI)
- 浏览器代理
安全考虑
默认情况下, sysopt connection permit-vpn
选项处于禁用状态。这意味着您需要允许来自外部接口上的地址池的流量通过访问控制策略。虽然添加预过滤器或访问控制规则以仅允许VPN流量,但如果明文流量与规则条件匹配,则会错误地允许该流量。
有两种方法可以解决此问题。首先,TAC推荐的选项是为外部接口启用反欺骗(在ASA上称为单播反向路径转发 — uRPF),其次,启用 sysopt connection permit-vpn
完全绕过Snort检测。第一个选项允许对进出VPN用户的流量进行正常检查。
a)启用uRPF
- 为用于远程访问用户的网络创建空路由(在C部分中定义)。转到
Devices > Device Management > Edit > Routing > Static Route
并选择 Add route

- 接下来,在VPN连接终止的接口上启用uRPF。要查找此内容,请导航至
Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing
.

当用户连接时,路由表中会为该用户安装32位路由。清除来自池中其他未使用IP地址的文本流量会被uRFP丢弃。要查看的描述,请执行以下操作: Anti-Spoofing
请参阅在Firepower威胁防御上设置安全配置参数。
b)启用 sysopt connection permit-vpn
选项
- 如果您有版本6.2.3或更高版本,则可以选择使用向导或在其下执行该操作
Devices > VPN > Remote Access > VPN Profile > Access Interfaces
.

- 对于6.2.3之前的版本,请转到
Objects > Object Management > FlexConfig > Text Object > Add Text Object
.
- 创建文本对象变量,例如:vpnSysVar具有值的单个条目
sysopt.
- 转到
Objects
> Object Management > FlexConfig > FlexConfig Object > Add FlexConfig Object
.
- 创建
FlexConfig
使用CLI的对象 connection permit-vpn
.
- 将文本对象变量插入
FlexConfig
CLI上的对象 $vpnSysVar connection permit-vpn.
点击 Save
:

- 对此行
FlexConfig
对象为 Append
并选择部署到 Everytime
:

- 转到
Devices > FlexConfig
并编辑当前策略或创建新策略 New Policy
按钮。
- 仅添加已创建的
FlexConfig
,单击 Save
.
- 部署配置以调配
sysopt connection permit-vpn
命令。
但是,在此之后,您不能使用访问控制策略来检查来自用户的流量。您仍然可以使用VPN过滤器或可下载ACL来过滤用户流量。
如果您看到来自VPN用户的Snort数据包被丢弃,请联系TAC并参考Cisco Bug ID CSCvg91399。
相关信息