簡介
本文說明如何透過安全FMC為安全FTD流量設定和部署身分識別原則。
必要條件
1.已在FMC中配置領域。
2.身份源已配置 — ISE、ISE-PIC。
需求
思科建議瞭解以下主題:
- 安全防火牆管理中心(FMC)
- 安全防火牆執行緒防禦(FTD)
- 思科身分識別服務引擎(ISE)
- LDAP/AD伺服器
- 驗證方法
- 被動身份驗證:使用外部身份使用者源,例如ISE
- 主動身份驗證:將受管裝置用作身份驗證源(強制網路門戶或遠端vpn訪問)
- 無身份驗證
採用元件
- 適用於VMWare v7.2.5的安全防火牆管理中心
- 適用於VMWare v7.2.4的思科安全防火牆威脅防禦
- Active Directory伺服器
- 思科身分識別服務引擎(ISE)v3.2補丁4
- 被動驗證方法
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
組態
步驟 1.在FMC GUI中,導航至 Policies > Access Control > Identity
步驟2.按一下New Policy。
步驟 3. 為新的身份策略分配名稱和說明,然後按一下儲存。
步驟 4.點選+ Add Rule Icon。
- 為新規則指定名稱。
- 在名稱欄位下,選擇身份驗證方法,選擇: 被動身份驗證。
- 在螢幕右側,選擇Realm & Settings。
4.從下拉選單中選擇領域。
5.按一下螢幕左側的Zones。
6.在可用區域選單中,根據檢測使用者所需的流量路徑分配源區域和目標區域。要新增區域,請按一下區域的名稱,然後根據情況選擇Add to Source或 新增到目標。
注意:在此文檔中,將只對來自內部區域的流量應用使用者檢測,並將其轉發到外部區域。
7.選擇Add和Save。
步驟 5.驗證身份策略中的新規則並點選 儲存。
步驟 6. 導航至 Policies(策略)> Access Control(訪問控制)
步驟 7.確定要在處理使用者流量的防火牆中部署的訪問控制策略,然後按一下pencil圖示以編輯策略。
步驟 6. 在Identity Policy欄位中點選None。
步驟 7.從下拉選單中,選擇之前在步驟3中建立的Policy,然後點選OK以完成配置。
步驟8.儲存 以及將組態部署到FTD。
驗證
1.在FMC GUI中導航至 分析>使用者:活動會話
3.驗證來自 分析(Analysis)>連線(Connection)>事件(Events):連線事件的表檢視
注意:與身份策略和訪問控制策略的流量條件相匹配的使用者會在使用者欄位中顯示其使用者名稱。