简介
本文档介绍如何通过安全FMC为安全FTD流量配置和部署身份策略的流程。
先决条件
1.已在FMC中配置领域。
2.已配置的身份源 — ISE、ISE-PIC。
注意:ISE和领域配置说明不在本文档的讨论范围之内。
要求
思科建议了解以下主题:
- 安全防火墙管理中心(FMC)
- 安全防火墙线程防御(FTD)
- 思科身份服务引擎(ISE)
- LDAP/AD服务器
- 身份验证方法
- 被动身份验证:使用外部身份用户源(例如ISE)
- 主动身份验证:将受管设备用作身份验证源(强制网络门户或远程vpn访问)
- 无身份验证
使用的组件
- 适用于VMWare v7.2.5的安全防火墙管理中心
- 适用于VMWare v7.2.4的思科安全防火墙威胁防御
- Active Directory 服务器
- 思科身份服务引擎(ISE)v3.2补丁4
- 被动身份验证方法
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
配置
步骤1:在FMC GUI中,导航至 策略>访问控制>身份
步骤2.点击New Policy。
第三步: 为新的身份策略分配名称和说明,然后单击保存。
第四步:点击+ Add Rule图标。
- 为新规则指定名称。
- 在名称字段下,选择身份验证方法,选择: 被动身份验证。
- 在屏幕右侧,选择Realm & Settings。
4.从下拉菜单中选择领域。
5.单击屏幕左侧的Zones。
6.从可用区域菜单中,根据检测用户所需的流量路径分配源和目标区域。要添加区域,请点击区域的名称,然后根据情况选择Add to Source或 添加到目标。
注意:在此文档中,用户检测将仅应用于来自内部区域的流量,并且流量将转发到外部区域。
7.选择Add和Save。
第五步:验证身份策略中的新规则,然后点击 保存。
第六步: 导航至 Policies > Access Control
步骤 7.确定要部署在处理用户流量的防火墙中的访问控制策略,然后单击在铅笔图标上以编辑策略。
第六步: 点击身份策略字段中的无。
步骤 7.从下拉菜单中,选择之前在步骤3中创建的Policy,然后单击OK完成配置。
第 8 步: 保存 并将配置部署到FTD。
验证
1.在FMC GUI中导航至 分析(Analysis)>用户(Users):活动会话(Active Sessions)
3.验证来自 分析(Analysis)>连接(Connection)>事件(Events):连接事件的表视图
注意:匹配身份策略和访问控制策略的流量标准的用户在User字段中显示其用户名。