通过Duo SSO和ISE安全评估为RA-VPNaaS配置安全访问

已更新: 2024 年 4 月 14 日
文档 ID:221887

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何为使用身份服务引擎(ISE)的远程访问VPN用户配置状态评估以及使用Duo的安全访问。

    先决条件

    • Secure Access上配置用户调配
    • 使用身份验证代理或第三方IDP配置Duo SSO
    • 思科ISE通过隧道连接到安全访问

    要求

    Cisco 建议您了解以下主题:

    使用的组件

    本文档中的信息基于: 

    • 身份服务引擎(ISE)版本3.3补丁1
    • 安全访问
    • 思科安全客户端- Anyconnect VPN版本5.1.2.42

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    jmorenoc_0-1713124145538

    将Duo SAML与思科身份服务引擎(ISE)集成可增强身份验证流程,从而为思科安全访问解决方案添加另一层安全性。双核SAML提供单点登录(SSO)功能,可简化用户登录流程,同时确保高安全性标准。

    通过双向SAML进行身份验证后,授权过程由Cisco ISE处理。这允许根据用户身份和设备状态做出动态访问控制决策。ISE可以实施详细策略,规定用户可以访问哪些资源、何时访问以及从哪些设备访问哪些资源。

    注释图标

    注意:要配置RADIUS集成,您需要确保两个平台之间有通信。

    网络图

    jmorenoc_0-1713018988379

    配置

    注释图标

    注意:在开始配置过程之前,您必须完成安全访问和ISE集成的第一步

    Duo配置

    要配置RA-VPN应用,请执行以下步骤: 

    导航至双核管理面板

    • 导航至 Applications > Protect an Application
    • 搜索 Generic SAML Service Provider
    • 点击  Protect
      •

    jmorenoc_0-1713013559557

    您必须在屏幕上显示应用;请记住VPN配置的应用名称。

    jmorenoc_1-1713013734435

    在本例中, Generic SAML Service Provider.

    安全访问配置

    在IP池上配置RADIUS组

    要使用Radius配置VPN配置文件,请继续执行以下步骤: 

    导航到安全访问控制面板

    • 点击 Connect > Enduser Connectivity > Virtual Private Network
    • 在“您的池配置”(Manage IP Pools)下,单击Manage
      •

    jmorenoc_0-1710845938808

    • 选择IP Pool Region 并 Radius Server
      •

    jmorenoc_1-1710846129191

    • 点击铅笔编辑
      •

    jmorenoc_2-1710846167445

    • 现在,在“IP池”(IP Pool)部分的“配置”(configuration)下拉列表中, Radius Group (Optional)
    • 点击 Add RADIUS Group
      •

    jmorenoc_3-1710846315886

    jmorenoc_4-1710849365472

    • 在General下,配置以下选项: 
      •

    jmorenoc_6-1710846663676

    • Group Name:在安全访问中配置ISE集成的名称
      • AAA method
        • Authentication:标记Authentication 的复选框并选择端口,默认情况下为1812
          • 如果您的身份验证需要标记Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)此复选框
        • Authorization:标记Authorization复选框并选择端口,默认情况下为1812
          • 标记Authorization mode Only Change of Authorization (CoA) mode 复选框并允许来自ISE的状态和更改
        • Accounting:标记Authorization的复选框,并选择端口,默认情况下为1813
          • 选择Single or Simultaneous (在单模式中,记账数据只发送到一台服务器。在同步模式下,将记帐数据发送到组中的所有服务器)
          • 选中 Accounting update 复选框以启用定期生成RADIUS临时记账更新消息。
            •
    警告图标

    注意:选择Authentication时和Authorization 方法必须使用同一端口。
    • 之后,您需要在 RADIUS Servers部分配置用于通过AAA进行身份验证的RADIUS Servers (ISE):
    • 点击 + Add
      •

    jmorenoc_1-1710848712359

    • 然后,配置以下选项:
      •

    jmorenoc_2-1710848760616

    • Server Name:配置名称以标识ISE服务器。
    • IP Address:配置可通过安全访问访问的Cisco ISE设备的IP
    • Secret Key:配置RADIUS密钥
    • Password:配置您的Radius密码
      •
    • 点击Save 并在Assign Server选项下分配您的RADIUS服务器并选择您的ISE服务器:
      •

    jmorenoc_3-1710849288371

    • 再次点击Save 以保存所有配置完成
      •

    jmorenoc_5-1710849371490

    现在您已经在IP池下配置了ISE服务器,现在您需要在 VPN Profiles下配置它。

    jmorenoc_6-1710849494252

    配置VPN配置文件以使用ISE

    要配置VPN配置文件,请导航到安全访问控制面板。

    • 点击 Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles 单击下面的按钮 + Add
    • 然后配置以下选项:
      •

    常规设置

    jmorenoc_3-1713014373460

    • VPN Profile name:配置配置文件名称的名称
    • Default Domain:配置您的域。
    • DNS Server:选择您配置的域名服务器(DNS)服务器
    • Protocol:在VPN下配置需要允许的协议
    • Connect Time posture:选择安全评估或将其设置为None
      •
    • 之后,单击 Next
      •

    验证、授权和记帐

    身份验证

    jmorenoc_0-1713011742105

    • Authentication
      • Protocols:选择 SAML
    • 点击 Download Service Provider XML file
    • 替换步骤Duo配置中配置的应用程序中的信息
      •

    jmorenoc_0-1713131693476

    • 配置该信息后,请将Duo的名称更改为与您正在进行的集成相关的名称
      •

    jmorenoc_6-1713016715577

    • 在Duo上单击Save 您的应用程序。
    • 点击Save后,必须点击按钮下载SAML Metadata 的 Download XML
      •

    jmorenoc_0-1713017686663

    • 上传选项3. Upload IdP security metadata XML file 下的SAML Metadata on Secure Access,然后单击 Next
      •

    jmorenoc_0-1713018462104

    继续授权。

    注释图标

    注意:一旦您使用SAML配置身份验证,您将通过ISE对其进行授权,这意味着安全访问发送的RADIUS数据包将仅包含用户名。此处不存在密码字段。

    授权

    jmorenoc_0-1711999081818

    • Authorization
      • Enable Radius Authorization:标记复选框以启用RADIUS授权
      • 为所有区域选择一个组:选中该复选框以将一个特定RADIUS服务器用于所有远程访问-虚拟专用网络(RA-VPN)池,或为每个池单独定义它
        •
    • 点击 Next
      •

    配置完所有Authorization 部分后,请继续执行 Accounting

    注释图标

    注意:如果不启用 Radio Authorization,则终端安全评估无法工作。

    记账

    jmorenoc_1-1712312528497

    • Accounting
      • Map Authorization groups to regions:选择地区并选择 Radius Groups
    • 点击 Next
      •

    After you have done configured the Authentication, Authorization and Accounting 请继续Traffic Steering。

    流量引导

    在流量引导下,您需要通过安全访问配置通信类型。

    jmorenoc_6-1710936151907

    • 如果选择 Connect to Secure Access,则所有互联网流量都将通过 Secure Access
      •

    jmorenoc_7-1710936570298

    如果您想要添加Internet域或IP的例外项,请单击+ Add 按钮,然后单击Next

    • 如果您决定 Bypass Secure Access,则所有互联网流量都将通过您的互联网提供商,而不是通过Secure Access(无互联网保护)
      •

    jmorenoc_8-1710936817690

    注释图标

    注意:选择Bypass Secure Access时,请添加enroll.cisco.com 用于ISE终端安全评估。

    在此步骤中,选择要通过VPN访问的所有专用网络资源。要执行此操作,请点击 + Add,然后在添加所有资源后点击Next 。

    Cisco安全客户端配置

    jmorenoc_9-1710937260334

    在此步骤中,您可以将所有内容都保持为默认值并单击 Save按钮,但如果您希望更自定义您的配置,请查看Cisco Secure Client管理员指南

    jmorenoc_0-1713117827443

    ISE配置

    配置网络设备列表

    要配置通过Cisco ISE的身份验证,您需要配置允许设备向您的Cisco ISE查询:

    • 导航至 Administration > Network Devices
    • 点击 + Add 
      •

    jmorenoc_1-1710946677593

    • Name:使用名称标识安全访问
    • IP  Address:配置IP池区域这一步骤的Management Interface
    • Device Profile:选择思科
      • Radius Authentication Settings
        • Shared Secret:配置在步骤中配置的相同共享密钥:密钥
        • CoA Port:将其设置为默认值;1700也用于安全访问
          •

    之后,点击Save以验证集成是否正常工作,请继续创建本地用户进行集成验证。

    配置组

    要配置用于本地用户的组,请继续执行以下步骤:

    • 点击 Administration > Groups
    • 点击 User Identity Groups
    • 点击 + Add
    • 为组创建Name并点击 Submit
      •

    jmorenoc_3-1711024425878

    配置本地用户

    要配置本地用户以验证集成,请执行以下操作:

    • 导航至 Administration > Identities
    • 点击 Add +
      •

    jmorenoc_1-1710948422749

    jmorenoc_4-1711024871680

    • Username:使用安全访问中的已知UPN调配配置用户名;这基于步骤前提条件
    • Status:活动
    • Password Lifetime:您可以配置它With Expiration 或Never Expires,具体取决于您
    • Login Password:为用户创建密码
    • User Groups:选择在步骤Configure a Group中创建的组
      •
    注释图标

    注意:基于UPN的身份验证被设置为在即将推出的安全访问版本中更改。

    之后,您可以Save 进行配置并继续执行 Configure Policy Set步骤。

    配置策略集

    在策略集下,配置ISE在身份验证和授权过程中执行的操作。此场景演示了将简单策略配置为提供用户访问权限的使用案例。首先,ISE验证RADIUS身份验证的来源,并检查ISE用户数据库中是否存在提供访问权限的身份

    要配置该策略,请导航到您的Cisco ISE控制面板: 

    • 点击 Policy > Policy Sets
    • 点击+ 以添加新策略集
      •

    jmorenoc_0-1711010273795

    在这种情况下,请创建新的策略集,而不是使用默认策略集。接下来,根据该策略集配置身份验证和授权。已配置的策略允许访问在配置网络设备列表步骤中定义的网络设备,以验证这些身份验证是否来自CSA Network Device List,然后以Conditions身份进入策略。最后是允许的协议,如Default Network Access

    要创建与策略集匹配的condition 策略,请按照以下说明继续操作:

    • 点击 +
    • Condition Studio下,可用的信息包括: 
      •

    jmorenoc_0-1711021569306

    1. 要创建条件,请点击 Click to add an attribute
    2. 点击Network Device 按钮 
    3. 在后面的选项下,单击Network Access - 选Network Device Name
    4. 在Equals选项下,在Configure Network Devices List步骤下写入Network Device 的名称
    5. 点击 Save
      6.

    jmorenoc_1-1711022198861

    此策略仅批准来自源的CSA请求,以继续策略集 CSA-ISE下的Authentication 和Authorization 设置,并且还会验证根据允许的协议 Default Network Access 而允许的协议。

    定义的策略的结果必须是: 

    jmorenoc_0-1711025549049

    • 要验证允许Default Network Access Protocols 的,请继续下一说明: 
      • 点击Policy > Results
      • 点击 Allowed Protocols
      • 点击 Default Network Access
        •

    jmorenoc_0-1711014215626

    • 然后,您会看到允许的所有协议 Default Network Access
      •

    配置策略集授权

    要在 Policy Set下创建Authorization 策略,请执行以下步骤:

    • 点击 >
      •

    jmorenoc_0-1711026477959

    • 之后,您会看到显示Authorization 的策略: 
      •

    jmorenoc_0-1713088241876

    该策略与配置策略集步骤中定义的策略相同。

    授权策略

    您可以通过多种方式配置授权策略。在这种情况下,仅授权在配置组步骤中定义的组中的用户请参阅以下配置授权策略的示例:

    jmorenoc_0-1711036669900

    • 点击 Authorization Policy
    • 点击+ 以定义授权策略,如下所示: 
      •

    jmorenoc_1-1711035368328

    • 对于下一步,请更改Rule Name,和Conditions Profiles
    • 设置Name 配置名称以轻松识别授权策略时 
    • 要配置 Condition命令,请点击 +
    • Condition Studio下,您可以找到以下信息: 
      •

    jmorenoc_0-1711021569306

    1. 要创建条件,请点击 Click to add an attribute
    2. 点击Identity Group 按钮 
    3. 在后面的选项下,单击Internal User -IdentityGroup 选项
    4. Equals 选项下,使用下拉列表查找步骤配置组中的Group 批准进行身份验证
    5. 点击 Save
    6. 点击 Use
      7.

    jmorenoc_2-1711038033360

    之后,您需要定义 Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Authorization Policy下,单击 Profiles
    2. 搜索允许
    3. 选择 PermitAccess
    4. 点击 Save
      5.

    jmorenoc_0-1711042542878

    之后,您定义了 Authorization 策略。进行身份验证,验证用户连接是否正常,以及您是否能够看到安全访问和ISE上的日志。

    要连接到VPN,您可以使用在Secure Access上创建的配置文件,并通过Secure Client与ISE配置文件连接。

    • 当身份验证获得批准时,日志如何显示在安全访问中? 

    jmorenoc_1-1711043530673

    • 当身份验证获得批准时,日志在ISE中如何显示?
      • 导航至 Cisco ISE Dashboard
      • 点击 Operations > Live Logs
        •

    jmorenoc_1-1713089140132

    当身份验证获得批准时,如何在Duo中显示日志?

    • 导航到双核管理面板
    • 点击 Reports > Authentication Log
      •

    jmorenoc_0-1713114428882

    配置Radius本地或Active Directory用户

    配置ISE安全评估

    在这种情况下,请创建配置以在授予或拒绝对内部资源的访问权限之前验证终端合规性。

    要进行配置,请继续执行以下步骤:

    配置终端安全评估条件

    • 导航到ISE控制面板
    • 点击 Work Center > Policy Elements > Conditions
    • 点击 Anti-Malware
      •
    注释图标

    注意:您可以在此处找到许多选项,以验证设备的状态并根据内部策略进行正确的评估。

    jmorenoc_0-1712056293130

    • Anti-Malware Conditions下,单击 + Add
      •

    jmorenoc_1-1712056717242

    • 您可以将Anti-Malware Condition配置为检测系统上的防病毒安装;如果需要,您也可以选择操作系统版本。
      •

    jmorenoc_3-1712057765982

    • Name:使用名称识别防恶意软件情况
    • Operating System:选择要置于该条件下的操作系统
    • Vendor:选择供应商或ANY
    • Check Type:您可以验证是否已安装代理或该选项的定义版本。
      •
    • 对于 Products for Selected Vendor,您可以配置要在设备上验证的有关反恶意软件的内容。
      •

    jmorenoc_2-1712058757543

    1. 选中要评估的条件的复选框
    2. 配置要验证的最低版本
    3. 点击Save以继续执行下一步
      4.

    完成配置后,您可以继续执行步骤 Configure Posture Requirements

    配置状况要求

    • 导航到ISE控制面板
    • 点击 Work Center > Policy Elements > Requeriments
    • 点击任Edit 何一项要求,然后点击 Insert new Requirement
      •

    jmorenoc_5-1712059702840

    • 根据新的要求,配置以下参数:
      •

    jmorenoc_6-1712060027113

    • Name:配置名称以识别反恶意软件要求
    • Operating System:选择在条件步骤操作系统下选择的操作系统  
    • Compliance Module:您需要确保选择与条件步骤防恶意软件条件下的相同合规性模块
    • Posture Type:选择代理
    • Conditions:选择在步骤配置终端安全评估条件下创建的一个或多个条件
    • Remediations Actions:选择Message Text Only 用于此示例,或者如果您有其他补救操作,则使用它
    • 点击 Save
      •

    完成配置后,您可以继续执行此步骤, Configure Posture Policy

    配置安全评估策略

    • 导航到ISE控制面板
    • 点击 Work Center > Posture Policy
    • 点击任一Edit 策略并点击 Insert new Policy
      •

    jmorenoc_8-1712061474270

    • 在新策略下,配置以下参数:
      •

    jmorenoc_9-1712061605816

    • Status:标记复选框否启用策略
    • Rule Name:配置名称以识别配置的策略
    • Identity Groups:选择要评估的身份
    • Operating Systems:根据之前配置的条件和要求选择操作系统
    • Compliance Module:根据之前配置的条件和要求选择合规性模块
    • Posture Type:选择代理
    • Requeriments:选择在步骤配置终端安全评估要求中配置的要求
    • 点击 Save
      •

    配置客户端调配

    要向用户提供ISE模块,请配置客户端调配为计算机配备ISE终端安全评估模块。这样,安装代理后,您就可以验证计算机的状态。要继续此过程,下面是后续步骤:

    导航到您的ISE控制面板。

    • 点击 Work Center > Client Provisioning
    • 选择 Resources
      •

    在客户端调配下,您需要配置以下三项:

    要配置的资源

    描述

    1. Agent Resources

    安全客户端Web设置包。

    2. Compliance Module

    思科ISE合规性模块

    3. Agent Profile

    控制调配配置文件。

    3. Agent Configuration

    通过设置调配门户,使用代理配置文件和代理资源定义调配哪些模块。

    Step 1 下载并上传代理资源

    • 要添加新的代理资源,请导航到Cisco下载门户并下载Web部署软件包;Web部署文件必须是.pkg格式。
      •

    jmorenoc_0-1712069829605

    • 点击+ Add > Agent resources from local disk 并上传包
      •

    jmorenoc_1-1712070024352

    Step 2下载合规性模块 

    • 点击 + Add > Agent resources from Cisco Site
      •

    jmorenoc_2-1712070363853

    • 选中所需每个合规性模块的复选框,然后点击 Save
      •

    jmorenoc_4-1712070629600

    Step 3配置代理配置文件

    • 点击 + Add > Agent Posture Profile
      •

    jmorenoc_5-1712070811398

    • 为创建Name 一个 Posture Profile
      •

    jmorenoc_6-1712070936687

    • 在“服务器名称规则”下,输入* 并在后面单击Save 
      •

    jmorenoc_7-1712071179823

    Step 4 配置代理配置

    • 点击 + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • 之后,配置以下参数: 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    注释图标

    注意:建议每个操作系统(Windows、Mac OS或Linux)都有一个独立的客户端配置。

    配置客户端调配策略

    要启用调配在上一步配置的ISE终端安全评估和模块,您需要配置策略进行调配。

    • 导航到ISE控制面板
    • 点击 Work Center > Client Provisioning
      •
    注释图标

    注意:建议每个操作系统(Windows、Mac OS或Linux)都有一个客户端配置策略。

    jmorenoc_1-1712076326430

    • Rule Name:根据设备类型和身份组选择配置策略名称,以轻松识别每个策略
    • Identity Groups:选择要对策略进行评估的标识
    • Operating Systems:根据在步骤“选择代理程序包”中选择的代理程序包选择操作系统
    • Other Condition:根Network Access 据Authentication MethodEQUALS选择添加RADIUS组步骤中配置的方法,或者您可以将其留空
    • Result:选择在步骤4配置代理配置中配置的代理配置 
      • Native Supplicant Configuration:选择Config Wizard和 Wizard Profile
    • 如果策略未在复选框上列为已启用,请将其标记为已启用。
      •

    创建授权配置文件

    授权配置文件根据身份验证通过后的用户状态限制对资源的访问。必须验证授权才能根据状态确定用户可以访问哪些资源。

    授权配置文件

    描述

    合规

    用户兼容-已安装代理-状态已验证

    未知兼容

    用户未知合规性-重定向以安装代理-状态待验证的

    拒绝访问

    用户不合规-拒绝访问

    要配置DACL,请导航到ISE控制面板:

    • 点击 Work Centers > Policy Elements > Downloadable ACLs
    • 点击 +Add
    • 创建 Compliant DACL
      •

    jmorenoc_0-1712081129052

    • Name:添加引用符合DACL的名称
    • IP version:选择 IPv4
    • DACL Content:创建可下载访问控制列表(DACL),用于访问网络的所有资源
      •  
    permit ip any any

    点击Save 并创建未知合规性DACL

    • 点击 Work Centers > Policy Elements > Downloadable ACLs
    • 点击 +Add
    • 创建 Unknown Compliant DACL
      •

    jmorenoc_0-1712099220037

    • Name:添加引用DACL-Unknown-Compliant的名称
    • IP version:选择 IPv4
    • DACL Content: 创建一个DACL,允许通过端口8443对网络、DHCP、DNS、HTTP和调配门户进行有限访问
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    注释图标

    注意:在此场景中,IP地址192.168.10.206与思科身份服务引擎(ISE)服务器对应,端口8443指定为调配门户。这意味着允许通过端口8443发往IP地址192.168.10.206的TCP流量,从而便于访问调配门户。

    此时,您拥有创建授权配置文件所需的DACL。

    要配置授权配置文件,请导航到ISE控制面板:

    • 点击 Work Centers > Policy Elements > Authorization Profiles
    • 点击 +Add
    • 创建 Compliant Authorization Profile
      •

    jmorenoc_1-1712082549474

    jmorenoc_2-1712082899311

    • Name:创建引用合规授权配置文件的名称
    • Access Type:选择 ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME:选择在步骤兼容DACL中配置的DACL
      •

    点击Save 并创建 Unknown Authorization Profile

    • 点击 Work Centers > Policy Elements > Authorization Profiles
    • 点击 +Add
    • 创建 Uknown Compliant Authorization Profile
      •

    jmorenoc_0-1712088839422

    jmorenoc_4-1712083492324

    jmorenoc_5-1712083537005

    • Name:创建引用未知合规授权配置文件的名称
    • Access Type:选择 ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME:选择在未知兼容DACL步骤中配置的DACL
      • Web Redirection (CWA,MDM,NSP,CPP)
        • 选择 Client Provisioning (Posture)
        • ACL:必须是 redirect
        • Value:选择默认调配门户,或者如果您定义了其他门户,请选择它
          •
    注释图标

    注意:针对所有部署的安全访问重定向ACL的名称是 redirect

    定义所有这些值后,您必须在Attributes Details下具有类似内容。

    jmorenoc_6-1712084199808

    点击Save 结束配置并继续下一步。

    配置安全评估策略集

    创建的这三个策略基于配置的授权配置文件;对于 DenyAccess,您不需要创建其他策略。

    策略集-授权

    授权配置文件

    合规

    授权配置文件-合规

    未知兼容

    授权配置文件-未知合规性

    不合规

    拒绝访问

    导航到ISE控制面板

    • 点击 Work Center > Policy Sets
    • 点击> 该选项可访问已创建的策略
      •

    jmorenoc_1-1712090674809

    • 单击 Authorization Policy
      •

    jmorenoc_2-1712091082941

    • 按下一个顺序创建接下来的三个策略:
      •

    jmorenoc_2-1713089820507

    • 点击+ 以定义策CSA-Compliance 略: 
      •

    jmorenoc_1-1712094048295

    • 对于下一步,请更改Rule Name,和Conditions Profiles
    • 将名称Name 配置为 CSA-Compliance
    • 要配置 Condition命令,请点击 +
    • Condition Studio下,您可以找到以下信息: 
      •

    jmorenoc_0-1711021569306

    1. 要创建条件,请搜索 compliant
    2. 您必须已显示 Compliant_Devices
    3. 拖放到 Editor
    4. Editor下单击 New
    5. 点击Identity Group 图标
    6. 选择 Internal User Identity Group
    7. Equals下,选择要匹配的User Identity Group 路由
    8. 点击 Use
      9.

    jmorenoc_3-1713090297134

    • 因此,您会看到下一个映像
      •

    jmorenoc_4-1713090373042

    jmorenoc_5-1713090464792

    现在,您已经配置了 Compliance Policy Set

    • 点击+ 以定义策CSA-Unknown-Compliance 略: 
      •

    jmorenoc_1-1712094048295

    • 对于下一步,请更改Rule Name,和Conditions Profiles
    • 将名称Name 配置为 CSA-Unknown-Compliance
    • 要配置 Condition命令,请点击 +
    • Condition Studio下,您可以找到以下信息: 
      •

    jmorenoc_0-1711021569306

    1. 要创建条件,请搜索 compliance
    2. 您必须已显示 Compliant_Unknown_Devices
    3. 拖放到 Editor
    4. Editor下单击 New
    5. 点击Identity Group 图标
    6. 选择 Internal User Identity Group
    7. Equals下,选择要匹配的User Identity Group 路由
    8. 点击 Use
      9.

    jmorenoc_8-1713111885164

    • 因此,您会看到下一个映像
      •

    jmorenoc_1-1713110098186

    jmorenoc_2-1713110170388

    现在,您已经配置了 Unknown Compliance Policy Set

    • 点击+ 以定义策CSA- Non-Compliant 略: 
      •

    jmorenoc_1-1712094048295

    • 对于下一步,请更改Rule Name,和Conditions Profiles
    • 将名称Name 配置为 CSA-Non-Compliance
    • 要配置 Condition命令,请点击 +
    • Condition Studio下,您可以找到以下信息: 
      •

    jmorenoc_0-1711021569306

    1. 要创建条件,请搜索 non
    2. 您必须已显示 Non_Compliant_Devices
    3. 拖放到 Editor
    4. Editor下单击 New
    5. 点击Identity Group 图标
    6. 选择 Internal User Identity Group
    7. Equals下,选择要匹配的User Identity Group 路由
    8. 点击 Use
      9.

    jmorenoc_4-1713111663074

    • 因此,您会看到下一个映像
      •

    jmorenoc_7-1713111815517

    • Profile 点击下拉按钮下方并选择投诉授权配置文件 DenyAccess
      •

    jmorenoc_6-1713111757796

    一旦您结束三个配置文件的配置,您就可以测试您与终端安全评估的集成了。

    验证

    状态验证

    计算机上的连接

    通过安全客户端连接到安全访问上提供的FQDN RA-VPN域。

    jmorenoc_0-1713119677312

    注意:此步骤无需安装ISE模块。

    1. 使用安全客户端连接。

    jmorenoc_1-1713115266241

    2. 提供凭证以通过Duo进行身份验证。

    jmorenoc_2-1713116363070

    3. 此时,您连接到VPN,您很可能被重定向到ISE;否则,您可以尝试导航到http:1.1.1.1

    jmorenoc_0-1712128718662

    jmorenoc_1-1712128931384

    注释图标

    注意:此时,您处于授权-策略集CSA-Unknown-Compliance下,因为您未在计算机上安装ISE终端安全评估代理,并且已重定向到ISE调配门户以安装代理。

    4. 单击“开始”继续代理程序设置。

    jmorenoc_2-1712129309765

    5. 单击+ This is my first time here

    jmorenoc_3-1712129349808

    6. 单击 Click here to download and install agent

    jmorenoc_4-1712129443745

    7. 安装代理 

    jmorenoc_5-1712129553975

    jmorenoc_6-1712129612493

    8. 安装代理后,ISE终端安全评估开始验证计算机的当前终端安全评估。如果不符合策略要求,系统将显示一个弹出窗口,指导您实现合规性。

    jmorenoc_0-1712133312426

    jmorenoc_2-1713120268916

    注意:如果Cancel您或剩余时间结束,您会自动变为不合规,并属于授权策略集CSA-Non-Compliance,然后立即与VPN断开连接。

    9. 安装安全终端代理并再次连接到VPN。

    jmorenoc_1-1712139472219

    10. 在代理验证计算机符合要求后,您的状态会变为处于投诉状态,并授予对网络上所有资源的访问权限。

    jmorenoc_3-1713120273127

    注意:在变为合规后,您属于授权策略集CSA-Compliance,并且您可以立即访问所有网络资源。

    如何验证ISE中的日志

    要验证用户的身份验证结果,您有两个合规和不合规的示例。要在ISE中查看该文档,请遵循以下说明:

    • 导航到ISE控制面板
    • 点击 Operations > Live Logs
      •

    jmorenoc_5-1713120399965

    下一个主题方案演示如何在 Live Logs下显示成功的符合性和不遵从性事件:

    合规性

    jmorenoc_1-1713119682671

    不合规

    jmorenoc_4-1713120316791

    安全访问和ISE集成的第一步

    在下一个示例中, Cisco ISE在网络192.168.10.0/24下,需要通过隧道配置添加可到达网络的配置。

    Step 1:验证您的隧道配置:

    要对此进行验证,请导航到安全访问控制面板

    • 点击 Connect > Network Connections
    • 点击Network Tunnel Groups >您的隧道
      •

    jmorenoc_0-1710843303813

    • 在summary下,验证隧道已配置您的思科ISE所在的地址空间:
      •

    jmorenoc_1-1710843349672

    Step 2:允许防火墙上的流量。

    要允许安全访问使用您的ISE设备进行RADIUS身份验证,您需要配置从安全访问到您的网络的规则以及所需的RADIUS端口:

    规则

    来源

    目的地

    目标端口

    使用ISE保护访问

    管理池

    ISE_Server

    管理IP池(RA-VPN)

    COA

    UDP 1700(默认端口)

    ISE的安全访问管理IP池

    管理IP池

    ISE_Server

    身份验证、授权

    UDP 1812(默认端口)

    记账

    UDP 1813(默认端口)

    安全访问终端IP池到ISE

    终端IP池

    ISE_Server

    调配门户

    TCP 8443(默认端口)

    安全访问终端IP池到DNS服务器

    终端IP池

    DNS 服务器

    DNS

    UDP和TCP 53
    注释图标

    注意:如果您想了解更多与ISE相关的端口,请查看用户指南-端口参考
    注释图标

    注意:如果已将ISE配置为通过某个名称(例如ise.ciscosspt.es)发现,则需要使用DNS规则

    管理池和终端IP池

    要验证您的管理和终端IP池,请导航到安全访问控制面板

    • 点击 Connect > End User Connectivity
    • 点击 Virtual Private Network
    • 低于 Manage IP Pools
    • 点击 Manage
      •

    jmorenoc_0-1711547865368

    第3步:验证您的ISE是否在“Private Resources”(专用资源)下配置

    要允许通过VPN连接的用户导航到ISE Provisioning Portal功能,您需要确保将设备配置为私有资源以提供访问,该资源用于允许通过VPN自动调配ISE Posture Module。

    要验证您是否已正确配置ISE,请导航到安全访问控制面板

    • 点击 Resources > Private Resources
    • 点击ISE资源
      •

    jmorenoc_4-1711565828988

    jmorenoc_3-1711565592322

    如果需要,您可以将规则限制为调配门户端口(8443)。

    注释图标

    注意:请确保已标记VPN连接的复选框。

    第4步:根据访问策略允许ISE访问

    要允许通过VPN连接的用户导航到ISE Provisioning Portal命令,您需要确保已配置Access Policy 命令,以允许根据该规则配置的用户访问在Step3中配置的私有资源。

    要验证您是否已正确配置ISE,请导航到安全访问控制面板

    • 点击 Secure > Access Policy
    • 点击配置的规则,以允许对VPN用户访问ISE
      •

    jmorenoc_5-1711566440621

    故障排除

    如何下载ISE终端安全评估调试日志

    要下载ISE日志以验证与终端安全评估相关的问题,请继续执行以下步骤: 

    • 导航到ISE控制面板
    • 点击 Operations > Troubleshoot > Debug Wizard
      •

    jmorenoc_0-1712231825165

    • 点击 Debug Profile Configuration
      •

    jmorenoc_2-1712233747829

    • 选中复选框 Posture > Debug Nodes 
      •

    jmorenoc_3-1712234246140

    • 选中您要在其中启用调试模式以解决问题的ISE节点的复选框
      •

    jmorenoc_5-1712234519485

    • 点击 Save
      •

    jmorenoc_6-1712234580107

    警告图标

    注意:在此点之后,您必须开始重现问题; the debug logs can affect the performance of your device

    在重现问题后,请继续后续步骤:

    • 点击 Operations > Download Logs
    • 选择要从中获取日志的节点
      •

    jmorenoc_0-1712239150130

    • Support Bundle,选择以下选项:
      •

    jmorenoc_4-1712239952864

    • Include debug logs
    • 低于 Support Bundle Encryption
      • Shared Key Encryption
        • 填充Encryption keyRe-Enter Encryption key
    • 点击 Create Support Bundle
    • 点击 Download
      •

    jmorenoc_0-1712241946489

    警告图标

    警告:禁用在步骤Debug Profile Configuration上启用的调试模式

    如何验证安全访问远程访问日志

    导航到您的安全访问控制面板:

    • 点击 Monitor > Remote Access Logs
      •

    jmorenoc_0-1712247598084

    在安全客户端上生成DART捆绑包

    要在您的计算机上生成DART捆绑包,请验证以下文章: 

    思科安全客户端诊断和报告工具(DART)

    注释图标

    注意:收集了故障排除部分所述的日志后,请通过TAC 提交支持请求,以继续分析信息。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    14-Apr-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 杰罗·莫雷诺
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品