在安全防火墙管理中心(FMC)上配置身份策略

简介

本文档介绍如何通过安全FMC为安全FTD流量配置和部署身份策略的流程。

先决条件

1.已在FMC中配置领域。

2.已配置的身份源 — ISE、ISE-PIC。

注意:ISE和领域配置说明不在本文档的讨论范围之内。

要求

思科建议了解以下主题：

• 安全防火墙管理中心(FMC)
• 安全防火墙线程防御(FTD)
• 思科身份服务引擎(ISE)
• LDAP/AD服务器 
• 身份验证方法

1. 被动身份验证：使用外部身份用户源（例如ISE）
2. 主动身份验证：将受管设备用作身份验证源（强制网络门户或远程vpn访问）
3. 无身份验证

使用的组件

• 适用于VMWare v7.2.5的安全防火墙管理中心 
• 适用于VMWare v7.2.4的思科安全防火墙威胁防御
• Active Directory 服务器 
• 思科身份服务引擎(ISE)v3.2补丁4 
• 被动身份验证方法

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

配置

步骤1:在FMC GUI中，导航至 策略>访问控制>身份

步骤2.点击New Policy。



第三步：  为新的身份策略分配名称和说明，然后单击保存。

第四步：点击+ Add Rule图标。

1.  为新规则指定名称。
2.  在名称字段下，选择身份验证方法，选择： 被动身份验证。
   
3. 在屏幕右侧，选择Realm & Settings。
   
   

4.从下拉菜单中选择领域。

5.单击屏幕左侧的Zones。

6.从可用区域菜单中，根据检测用户所需的流量路径分配源和目标区域。要添加区域，请点击区域的名称，然后根据情况选择Add to Source或 添加到目标。

注意：在此文档中，用户检测将仅应用于来自内部区域的流量，并且流量将转发到外部区域。

7.选择Add和Save。

第五步：验证身份策略中的新规则，然后点击 保存。

第六步： 导航至 Policies > Access Control

步骤 7.确定要部署在处理用户流量的防火墙中的访问控制策略，然后单击在铅笔图标上以编辑策略。

第六步： 点击身份策略字段中的无。


步骤 7.从下拉菜单中，选择之前在步骤3中创建的Policy，然后单击OK完成配置。

第 8 步： 保存 并将配置部署到FTD。

验证

1.在FMC GUI中导航至 分析(Analysis)>用户(Users)：活动会话(Active Sessions)

3.验证来自 分析(Analysis)>连接(Connection)>事件(Events)：连接事件的表视图

注意：匹配身份策略和访问控制策略的流量标准的用户在User字段中显示其用户名。