在SCC上使用內部託管FMC為通用ZTNA配置安全訪問
簡介
本文說明如何使用安全存取和虛擬FMC管理的虛擬FTD來設定通用ZTNA。
必要條件
- 需要使用7.7.10或更高版本的軟體部署防火牆管理中心(FMC)和防火牆威脅防禦(FTD)。
- 防火牆威脅防禦(FTD)必須由防火牆管理中心(FMC)管理
- 防火牆威脅防禦(FTD)必須使用加密進行授權(必須啟用強加密且啟用匯出功能),安全控制需要使用IPS和威脅許可證
- 有關防火牆威脅防禦(FTD)的基本設定必須透過防火牆管理中心(FMC)(例如介面、路由等)執行。
- 需要從FMC在裝置上應用DNS配置才能解析應用的FQDN
- 思科安全客戶端版本必須是5.1.10或更高版本
- 安全雲控制調配給已啟用防火牆和安全訪問微應用和UZTNA功能標誌的客戶
需求
- 所有安全防火牆管理中心(FMC)(包括cdFMC和防火牆威脅防禦(FTD)裝置)都必須運行軟體版本7.7.10或更高版本。
- 防火牆威脅防禦(FTD)必須由防火牆管理中心管理;不支援本地管理器防火牆防禦管理器(FDM)
- 所有防火牆威脅防禦(FTD)裝置都必須設定為路由模式;不支援透明模式。
- 不支援集群裝置。
- 支援高可用性(HA)裝置;它們顯示為一個實體。
- 安全客戶端5.1.10版或更高版本
採用元件
本檔案中的資訊是根據
- 安全雲端控制(SCC)
- 安全防火牆管理中心(FMC)版本7.7.10
- 安全防火牆威脅防禦(FTD)虛擬 — 100版本7.7.10
- 適用於Windows的安全使用者端版本5.1.10
- 安全訪問
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
安全訪問 — 網路拓撲
背景資訊
支援的裝置
支援的安全防火牆威脅防禦模型:
- FPR 1150
- 3105、3110、3120、3130、3140法郎
- FPR4115,4125,4145,4112
- FPR4215,4225,4245
- 防火牆威脅防禦(FTD)虛擬模式,最少16個CPU核心
限制
- 對象共用
- 不支援IPv6。
- 僅支援全域性VRF。
- 對裝置的站點到站點隧道流量不實施通用ZTNA策略。
- 不支援集群裝置。
- 不支援在4K和9K firepower系列上作為容器部署的FTD
- 通用ZTNA會話不支援巨型幀
設定
檢查FMC版本
驗證在通用ZTNA的受支援軟體版本(可以是7.7.10或更高版本)上運行的防火牆管理中心和防火牆FTD:
- 按一下
?(右上角),然後按一下About
Secure Firewall Management Center — 軟體版本
檢查FTD版本
導航到FMC UI:
- 按一下
Devices>Device Management
安全防火牆威脅防禦 — 軟體版本
驗證FTD授權
- 按一下
Setting Icon>Licenses>Smart Licenses
安全防火牆威脅防禦 — 智慧許可證
檢查平台設定和DNS配置是否正確
透過CLI記錄到FTD:
- 運行命令以驗證DNS是否已配置:
show run dns
在FMC中:
- 按一下
Devices>Platform Settings,編輯或建立新策略
安全防火牆威脅防禦 — 平台策略
安全防火牆威脅防禦 — DNS配置
通過FTD CLI驗證是否可以ping通專用資源IP地址和FQDN(如果要使用其FQDN訪問PR)。
在CDO上建立安全雲控制租戶
附註:如果您已配置SCC租戶,則不必建立新租戶。
- 按一下
Organization>Create new organization
安全雲控制 — 組織
- 按一下
Create
安全雲控制 — 組織建立
建立SCC租戶後,收集租戶資訊以啟用防火牆和安全訪問微應用並啟用uZTNA。
確保配置了SCC防火牆常規設定
導覽至CDO/SCC:
- 按一下
Administration>General Settings - 確保選項已啟用
Auto onboard On-Prem FMCs from Cisco Security Cloud。
附註:嘗試訪問Secure Access MicroApp的使用者必須具有Secure Access and Security Cloud Control
安全雲控制 — 組織詳細資訊
驗證您的安全訪問租戶和安全控制防火牆管理基礎整合
安全雲控制 — 安全訪問啟用
完成在CDO上建立安全雲控制租戶和在CDO上建立安全雲控制租戶的步驟後,您就可以在SCC儀表板上檢視防火牆和安全訪問微應用:
安全雲控制 — 微應用
生成防火牆威脅防禦(FTD)CA簽名證書
附註:您也可以使用FTD自簽署憑證FTD憑證(請參閱產生自簽署內部和內部CA憑證一節)。 證書必須採用PKCS12格式,並且必須存在於受信任的根CA下的使用者電腦儲存中。
若要在建立openssl功能中使用FTD產生CA簽署的憑證:
- 導覽至FTD
- 執行命
expert令
- 使用openssl產生CSR和金鑰
- OpenSSL指令:
openssl req -newkey rsa:2048 -nodes -keyout cert.key -out cert.csr
證書簽名請求
-
複製CSR並獲取CA簽名的證書
-
使用FTD CA簽署的憑證和金鑰,並將憑證轉換為PKCS12格式
-
OpenSSL指令:
-
openssl pkcs12 -export -out ftdcert.p12 -in cert.crt -inkey cert.key- 使用SCP或其他工具匯出證書。
從板載內部防火牆管理中心到安全雲控制
導航至FMC:
- 按一下
Integration>Cisco Security Cloud
防火牆管理中心與SCC整合
- 選擇雲區域,然後按一下
Enable Cisco Security Cloud
從Firewall Management Center Onboarding to SCC
它將在新頁籤上開啟一個新的瀏覽器頁籤:
- 按一下
Continue to Cisco SSO
附註:確保您從SCC註銷,並且沒有開啟任何其他頁籤。
從Firewall Management Center Onboarding to SCC
- 選擇您的SCC租戶並按一下
Authorize FMC
從Firewall Management Center Onboarding to SCC
- 按一下
Save
從Firewall Management Center Onboarding to SCC
狀態必Cloud Onboarding Status須從Not Available更改為OnboardingOnline。
防火牆管理中心加入狀態
- 導覽至SCC,然後檢查>>底下的FTD
Platform Services狀態Security Devices
SCC上的安全防火牆威脅防禦狀態
在FTD上註冊通用零信任網路存取(uZTNA)設定
導航到SCC:
- 按一下
Platform Services>Security Devices>FTDDevice Management> >Universal Zero Trust Network Access
安全防火牆威脅防禦 — 通用ZTNA配置
- 填寫資訊並上傳在產生防火牆威脅防禦(FTD)CA簽署憑證步驟中產生的FTD憑證
安全防火牆威脅防禦 — 通用ZTNA配置
安全防火牆威脅防禦 — 通用ZTNA配置
安全防火牆威脅防禦 — 通用ZTNA配置
附註:在FTD HA上啟用uZTNA時,會部署變更並同時重新啟動防火牆威脅防禦(FTD)裝置。確保安排適當的維護視窗。
- 按一下
Workflow,檢查日誌
安全防火牆威脅防禦 — 通用ZTNA配置狀態
安全雲控制工作流
在Transcript Details下,您可以Policy Deployment Status在 FMC.
安全防火牆管理中心 — 策略部署狀態
使用uZTNA註冊客戶端
安全訪問配置
附註:您可以使用SSO或基於證書的ZTA註冊。接下來是基於證書的ZTA註冊的步驟
- 按一下
Connect>End User Connectivity>Zero Trust Access - 按一下
Manage
安全存取 — ZTA憑證註冊
- 上傳根CA證書並下載註冊配置檔案
安全存取 — ZTA憑證註冊
- 按一下
Save
客戶端配置
將註冊配置檔案複製到 C:\ProgramData\Cisco\Cisco Secure Client\ZTA\enrollment_choices
- 建立必須在SAN中具有UPN的客戶端證書
證書安裝
- 啟動/重新啟動
Cisco Secure Client - Zero Trust Access Agent
Windows服務
- 驗證ZTA模組狀態
安全訪問 — ZTA證書註冊狀態
驗證
使用下一個命令驗證防火牆威脅防禦(FTD)上的uZTNA配置:
show allocate-core profile
show running-config universal-zero-trust相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Dec-2025
|
初始版本 |
意見