Firewall Threat Defense 动态访问策略
Cisco Secure Firewall Threat Defense 动态访问策略是一组访问控制属性,可以
-
解决 VPN 环境中多个组成员身份和终端安全的问题
-
根据定义的策略授予特定用户在特定会话中的访问权限,并且
-
适应具有影响每个 VPN 连接的多个变量的动态环境。
动态访问策略操作
VPN 网关在动态环境下运行。多个变量可能会影响每个 VPN 连接。例如,频繁更改内联网配置、每个用户在组织中可能有不同的角色,以及使用不同配置和安全级别从远程访问站点尝试登录。相比采用静态配置的网络,授权用户的任务在 VPN 环境中更为复杂。
您可以设置一个与特定用户隧道或会话关联的访问控制属性集合,从而创建动态访问策略。 Firewall Threat Defense 设备会通过从一个或多个 DAP 记录中选择或汇总属性,从而在用户身份验证期间生成 DAP。然后,设备会根据远程设备的终端安全信息,以及经过身份验证的用户的 AAA 授权信息,选择这些 DAP 记录。然后,设备会将 DAP 记录应用至用户隧道或会话。
Firewall Threat Defense 设备中权限和属性的策略实施层次结构
Firewall Threat Defense 设备支持将用户授权属性(也称为用户授权或权限)应用到 VPN 连接。从 Firewall Threat Defense 上的 DAP、外部身份验证服务器和/或授权 AAA 服务器 (RADIUS) 或从 Firewall Threat Defense 设备上的组策略应用属性。
如果 Firewall Threat Defense 设备收到来自所有来源的属性,将会对这些属性进行评估、合并,并将其应用至用户策略。如果来自 DAP、AAA 服务器或组策略的属性之间存在冲突,从 DAP 获得的属性始终会被优先考虑。
Firewall Threat Defense 设备按以下顺序应用属性:
-
FTD 上的 DAP 属性 - DAP 属性优先于所有其他的属性。
-
外部 AAA 服务器上的用户属性 - 该服务器在用户身份验证和/或授权成功后返回这些属性。
-
FTD 上配置的组策略 — 如果 RADIUS 服务器为用户返回 RADIUS 类属性 IETF-Class-25 (OU=group-policy) 值,Firewall Threat Defense 设备会将该用户放在名称相同的组策略中,并实施组策略中该服务器未返回的所有属性。
-
连接配置文件 (也称为隧道组) 分配的组策略- 连接配置文件具有该连接的初步设置,包括在进行身份验证前应用于用户的默认组策略。
![]() 注 |
Firewall Threat Defense设备不支持从默认组策略 DfltGrpPolicy 继承系统默认属性。对于用户会话,设备会使用您分配给连接配置文件的组策略上的属性,除非它们被来自 AAA 服务器的用户属性或组策略覆盖。 |

反馈