身份源:远程访问 VPN

以下主题讨论如何通过远程接入 VPN 执行用户感知和用户控制:

远程访问 VPN 身份源

远程访问 VPN 身份源在建立至网络的安全远程连接前对用户进行身份验证。要求用户通过客户端提供凭据以核验身份。

身份源配置

Secure Client 是终端设备上通过远程 VPN 连接至 Firewall Threat Defense 设备唯一受支持的客户端。

按照创建新的远程访问 VPN 策略中的描述设置安全 VPN 网关时,您可以为这些用户设置一个身份策略,并将该身份策略与访问控制策略关联,前提是您的用户位于 Active Directory 存储库中。



如果使用具有用户身份和 RADIUS 作为身份源的远程访问 VPN,则必须配置领域(对象 > AAA 服务器 > RADIUS 服务器组)。


远程用户提供的登录信息由 LDAP 或 AD 领域或 RADIUS 服务器组进行验证。这些实体与 Cisco Secure Firewall Threat Defense 安全网关集成。



如果用户使用 Active Directory 作为身份验证源通过远程访问 VPN 进行身份验证,则用户必须使用其用户名登录;domain\username 或 username@domain 格式无效。(Active Directory 将此用户名视为 logon 名称,有时也视为 sAMAccountName。)有关详细信息,请参阅 MSDN 上的用户命名属性

如果使用 Radius 进行身份验证,用户可以使用上述任何一种格式登录。


通过 VPN 连接身份验证后,远程用户获得 VPN 身份。安全网关上的身份策略使用该 VPN 身份识别并过滤属于此远程用户的网络流量。

身份策略与访问控制策略相关联,后者用于确定哪些人有权访问网络资源。访问控制策略据此阻止或允许远程用户访问您的网络资源。

配置用户控制 RA VPN

配置 RA VPN 进行用户控制,以管理远程访问 VPN 连接并应用基于身份的策略来控制用户访问和流量过滤。

通过远程访问 VPN 用户控制,可以实施基于身份的策略来管理和监控 VPN 用户连接,从而为网络环境提供增强的安全性和访问控制。

Before you begin

请按照以下步骤配置 RA VPN 以实现用户控制:

过程


步骤 1

登录Firewall Management Center

步骤 2

请点击 安全连接 > 远程访问 VPN

步骤 3

请参阅创建新的远程访问 VPN 策略


What to do next

远程访问 VPN 身份源的故障排除准则

有关其他相关故障排除信息,请参阅领域和用户下载故障排除用户控制故障排除

如果遇到远程访问 VPN 问题,请检查 防火墙管理中心和托管设备之间的连接。如果连接失败,则无法在停机期间识别设备报告的所有远程访问 VPN 登录,除非以前查看过这些用户并已将他们下载到 防火墙管理中心

无法识别的用户在 防火墙管理中心 上记录为“未知”(Unknown) 未知用户。停机时间过后,系统将根据身份策略中的规则重新识别和处理“未知”(Unknown) 用户。

托管设备的主机名必须少于 15 个字符,Kerberos 身份验证才能成功。

主动 FTP 会话在事件中显示为未知用户。此为正常现象,因为在活动 FTP 中,会由服务器(而非客户端)发起连接,而 FTP 服务器则不应具有关联的用户名。有关主动 FTP 的详细信息,请参阅 RFC 95

未观察到 VPN 统计信息的正确设置

此任务可确保托管设备在修改 VPN 统计配置后接收正确的运行状况策略设置。

此任务讨论在运行状况策略中启用或禁用 VPN 统计信息 设置后必须执行的步骤。未能执行此任务意味着托管设备的运行状况策略设置不正确。

过程


步骤 1

如果尚未登录,请登录Secure Firewall Management Center

步骤 2

请点击 故障排除 > + 显示更多 > 运行状况 > 策略

步骤 3

在防火墙威胁防御运行状况策略下,点击要编辑的策略旁边的 编辑 (编辑图标)

运行状况策略配置界面中的 VPN 统计信息设置显示用于监控 VPN 性能和运行状况的各种指标和选项。 该图展示了设置页面的布局和主要功能。

步骤 4

运行状况 模块选项卡页面上,向下滚动以找到 VPN 统计信息

步骤 5

验证 VPN 统计信息设置是否正确,或根据需要进行更改。

步骤 6

如果您更改了设置,请点击 保存,然后点击 取消 以返回到运行状况策略。

步骤 7

在防火墙威胁防御运行状况策略下, 部署运行策略 (部署图标) 点击以应用策略。

步骤 8

策略分配和部署 对话框中,将要部署运行状况策略的设备移至 所选设备 字段。

将运行状况策略部署到所选设备列表。使用箭头按钮在 Available 和 Selected Devices 列表之间移动设备。

步骤 9

点击应用 (Apply)

部署运行状况策略时,系统会显示一条消息。

步骤 10

运行状况策略完成部署后,点击 策略 > 安全策略 > 访问控制 以编辑访问控制策略。

步骤 11

点击策略旁边的 编辑 (编辑图标) 进行编辑。

步骤 12

对策略进行细微更改,例如更改其名称。

步骤 13

保存访问控制策略。

步骤 14

部署配置更改;请参阅 部署配置更改


远程接入 VPN 的历史记录

本参考提供各防火墙管理中心和 Firewall Threat Defense 版本的远程访问 VPN (RA VPN) 功能的版本历史记录和介绍详细信息。

功能

防火墙管理中心最低版本

Firewall Threat Defense最低版本

详细信息

远程接入 VPN

6.2.1

任意

引入的功能。远程接入 VPN 允许个人用户使用连接到互联网的笔记本电脑或台式计算机或者使用 Android 或 Apple iOS 移动设备,从远程位置连接到专用企业网络。远程用户使用对于通过共享介质和互联网传输的数据至关重要的加密技术,安全且自信地传输数据。