設定FTD上的安全使用者端(AnyConnect)遠端存取VPN
簡介
本文檔介紹安全防火牆威脅防禦上的安全客戶端(AnyConnect)遠端訪問VPN的配置。
必要條件
需求
思科建議您瞭解以下主題:
- 基本VPN、TLS和IKEv2知識
- 基本驗證、授權及記帳(AAA)和RADIUS知識
- 使用安全防火牆管理中心的體驗
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全防火牆威脅防禦(SFTD)7.2.5
- 安全防火牆管理中心(SFMC)7.2.9
- 安全使用者端(AnyConnect)5.1.6
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本檔案將提供安全防火牆威脅防禦(FTD)版本7.2.5和更新版本的組態範例,其中允許遠端存取VPN使用傳輸層安全(TLS)和網際網路金鑰交換版本2(IKEv2)。 作為客戶端,可以使用安全客戶端(AnyConnect),這在多個平台上受支援。
組態
1.必要條件
要通過Secure Firewall Management Center中的「遠端訪問」嚮導,請執行以下操作:
- 建立用於伺服器身份驗證的證書。
- 配置RADIUS或LDAP伺服器以進行使用者身份驗證。
- 為VPN使用者建立地址池。
- 上傳不同平台的AnyConnect映像。
a)匯入SSL證書
配置安全客戶端時,證書非常重要。證書必須具有具有DNS名稱和/或IP地址的使用者替代名稱副檔名以避免在Web瀏覽器中出錯。
手動證書註冊存在限制:
- 在SFTD上,在產生CSR之前需要CA憑證。
- 如果CSR是在外部生成的,則手動方法將失敗,因此必須使用其他方法(PKCS12)。
有多種方法可在SFTD裝置上獲取證書,但安全且簡單的辦法是建立證書簽名請求(CSR),使用證書頒發機構(CA)對其進行簽名,然後匯入為CSR中的公鑰頒發的證書。
要完成的步驟:
- 導航到Objects > Object Management > PKI > Cert Enrollment,然後點選Add Cert Enrollment。
- 選擇Enrollment Type並貼上Certificate Authority(CA)證書(用於簽署CSR的證書)。
- 然後,轉到第二個頁籤並選擇自定義FQDN並填充所有必要欄位,例如:
- 在第三個頁籤上,選擇Key Type,然後選擇name和size。對於RSA,最少為2048位。
- 按一下「Save」,然後導覽至Devices > Certificates > Add。
- 然後選擇Device,在Cert Enrollment下,選擇剛建立的信任點,然後按一下Add:
- 稍後,點選信任點名稱旁邊的
icon,然後Yes,在此之後,將CSR複製到CA並簽名。憑證的屬性必須與普通HTTPS伺服器相同。 - 從CA收到base64格式的證書後,選擇Browse Identity Certificate,從磁碟中選擇,然後按一下Import。當此操作成功時,您會看到:
b)配置RADIUS伺服器
- 導覽至Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +。
- 填寫name並新增IP位址以及shared secret,然後按一下Save:
- 之後,您會看到清單中的伺服器:
c)為VPN使用者建立地址池
- 導航到Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools。
- 輸入name和range,不需要掩碼:
d)建立XML配置檔案
- 從思科網站下載配置檔案編輯器,然後將其開啟。
- 導航到Server List > Add...
- 輸入顯示名稱和FQDN。您可以在Server List:
- 按一下「OK」,然後「File」>「Save as...」。
e)上傳AnyConnect映像
- 從思科網站下載pkg映像。
- 導覽至Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。
- 鍵入name並從磁碟中選擇PKG file,然後按一下Save:
- 根據您自己的要求新增更多軟體包。
2.遠端訪問嚮導
- 導覽至Devices > VPN > Remote Access > Add a new configuration。
- 命名設定檔,然後選擇FTD裝置:
- 在Connection Profile步驟中,鍵入Connection Profile Name,選擇之前建立的Authentication Server和Address Pools:
- 按一下Edit Group Policy,然後在AnyConnect頁籤上選擇Client Profile,然後按一下Save:
- 在下一頁上,選擇AnyConnect Images,然後按一下Next。
- 在下一個螢幕上,選擇Network Interface and Device Certificates:
- 當所有配置都正確時,可以按一下Finish,然後按一下Deploy:
- 這會將整個組態連同憑證和AnyConnect封包複製到FTD裝置。
連線
若要連線到FTD,您必須開啟瀏覽器,鍵入指向外部介面的DNS name或IP address。然後,使用RADIUS伺服器中儲存的憑據登入,並在螢幕上執行這些步驟。安裝AnyConnect後,必須在AnyConnect視窗中輸入相同的地址,然後按一下連線。
限制
目前,FTD上不支援,但ASA上可用:
-
FTDposture VPN不支援通過動態授權或RADIUS授權更改(CoA)進行組策略更改
- AnyConnect自定義(增強:思科錯誤ID CSCvq87631)
- AnyConnect指令碼(增強功能:思科錯誤ID CSCvt58044)
- AnyConnect本地化
- WSA整合
- 適用於RA和L2L VPN的同步IKEv2動態密碼編譯對應(增強功能:思科錯誤ID CSCvr52047)
- TACACS、Kerberos - KCD驗證和RSA SDI(增強功能:思科錯誤ID CSCvx55859)
- 瀏覽器代理
安全注意事項
預設情況下,sysopt connection permit-vpnoption處於禁用狀態。這表示您必須允許來自外部介面上地址池的流量通過訪問控制策略。雖然新增了預過濾器或訪問控制規則以僅允許VPN流量,但如果明文流量與規則條件匹配,則會錯誤地允許該流量。
解決這個問題有兩種方法。首先,TAC建議為外部介面啟用反欺騙(在ASA上稱為單播反向路徑轉發 — uRPF);其次,啟用sysopt connection permit-vpn以完全繞過Snort檢查。第一個選項允許對進出於VPN使用者的流量進行正常檢查。
a)啟用uRPF
- 為C部分中定義的用於遠端訪問使用者的網路建立空路由。導航到Devices > Device Management > Edit > Routing > Static Route,然後選擇Add route。
- 接下來,在VPN連線終止的介面上啟用uRPF。要找到此資訊,請導航到Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing。
當使用者連線時,將在路由表中為該使用者安裝32位路由。源自uRFP丟棄的池中其他未使用IP地址的明文流量。要檢視有關反欺騙的說明,請參閱在防火牆威脅防禦上設定安全配置引數。
b)啟用sysopt connection permit-vpn選項
- 可使用嚮導或Devices > VPN > Remote Access > VPN Profile > Access Interfaces下完成一個選項。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
7.0 |
16-Jun-2026
|
更新了拼寫、間距、一些語法,並對簡介進行了細微改動。 |
6.0 |
05-Dec-2024
|
已更新Alt文本、連結目標、語法和格式。 |
5.0 |
25-Nov-2024
|
更改了命名約定並反映了GUI中的更改 |
4.0 |
05-Dec-2023
|
重新認證 |
3.0 |
16-Dec-2022
|
重寫。更新格式。重新認證。 |
2.0 |
08-Nov-2022
|
更新的格式設定和更正的拼寫重新認證 |
1.0 |
07-Nov-2017
|
初始版本 |
意見