設定FTD上的安全使用者端(AnyConnect)遠端存取VPN

簡介

本文檔介紹安全防火牆威脅防禦上的安全客戶端(AnyConnect)遠端訪問VPN的配置。

必要條件

需求

思科建議您瞭解以下主題：

• 基本VPN、TLS和IKEv2知識，
• 基本驗證、授權及記帳(AAA)和RADIUS知識，
• 具有安全防火牆管理中心的經驗。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 安全防火牆威脅防禦(SFTD)7.2.5
• 安全防火牆管理中心(SFMC)7.2.9
• 安全使用者端(AnyConnect)5.1.6 

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本檔案將提供安全防火牆威脅防禦(FTD)版本7.2.5和更新版本的組態範例，其中允許遠端存取VPN使用傳輸層安全(TLS)和網際網路金鑰交換版本2(IKEv2)。 作為客戶端，可以使用安全客戶端(AnyConnect)，這在多個平台上受支援。

組態

1.必要條件

要通過Secure Firewall Management Center中的「遠端訪問」嚮導，請執行以下操作：

• 建立用於伺服器身份驗證的證書。
• 配置RADIUS或LDAP伺服器以進行使用者身份驗證。
• 為VPN使用者建立地址池。
• 上傳不同平台的AnyConnect映像。

a)匯入SSL證書

配置安全客戶端時，證書是必不可少的。證書必須具有DNS名稱和/或IP地址的使用者替代名稱副檔名以避免在Web瀏覽器中出錯。

附註：只有註冊思科使用者才能存取內部工具與錯誤資訊。

手動證書註冊存在限制：

— 在SFTD上，在產生CSR之前需要CA憑證。

— 如果從外部生成CSR，則手動方法失敗，必須使用其他方法(PKCS12)。

有多種方法可在SFTD裝置上獲取證書，但安全且簡單的辦法是建立證書簽名請求(CSR)，使用證書頒發機構(CA)對其進行簽名，然後匯入為公鑰頒發的證書，該證書在CSR中。以下是操作方法：

• 轉至，Objects > Object Management > PKI > Cert Enrollment按一下Add Cert Enrollment。

• 選擇Enrollment Type，然後貼上憑證授權單位(CA)憑證（用於簽署CSR的憑證）。

• 然後轉至第二個頁籤，選擇Custom FQDN，並填寫所有必要的欄位，例如：

• 在第三個頁籤上，選擇Key Type，選擇名稱和大小。對於RSA，最少為2048位。
• 按一下Save，然後轉到Devices > Certificates > Add。
• 然後選擇Device，在Cert Enrollment 選擇剛建立的信任點下按一下Add:

• 稍後，點選信任點名稱旁邊的  圖示，然後Yes，再將CSR複製到CA並對其進行簽名。證書必須具有與普通HTTPS伺服器相同的屬性。
• 收到base64格式的CA證書後，選擇Browse Identity Certificate，從磁碟中選擇證書並按一下Import。當此操作成功時，您會看到：

b)配置RADIUS伺服器

• 請參Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +閱。
• 填寫名稱並新增IP地址以及共用金鑰，按一下Save:

• 之後，您會看到清單中的伺服器：

c)為VPN使用者建立地址池

• 轉到 Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
• 輸入名稱和範圍，不需要掩碼： 

d)建立XML配置檔案

• 從思科網站下載配置檔案編輯器，然後將其開啟。
• 轉到 Server List > Add...
• 放置顯示名稱和FQDN。您將在伺服器清單中看到以下條目：

• 按一下OK和 File > Save as... 

e)上傳AnyConnect映像

• 從思科網站下載pkg映像。
• 轉到Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File。
• 鍵入名稱並從磁碟中選擇PKG檔案，按一下Save:

• 根據您自己的要求新增更多軟體包。

2.遠端訪問嚮導

• 轉到Devices > VPN > Remote Access > Add a new configuration。
• 命名設定檔並選擇FTD裝置：

• 在Connection Profile步驟中，鍵入Connection Profile Name，選擇Authentication Server您先Address Pools前建立的和：

• 在AnyConnect選Edit Group Policy 項卡上按一下和，選擇Client Profile，然後按一下Save:

• 在下一頁上，選擇AnyConnect映像，然後按一下Next。

• 在下一個螢幕上，選擇 Network Interface and Device Certificates:

• 當所有配置都正確時，可以按一下Finish，然後Deploy:

• 這會將整個組態，連同憑證和AnyConnect封包複製到FTD裝置。

連線

若要連線到FTD，您需要開啟瀏覽器，鍵入指向外部介面的DNS名稱或IP位址。然後，您使用儲存在RADIUS伺服器中的憑據登入，並在螢幕上執行說明。安裝AnyConnect後，您需要在AnyConnect視窗中放置相同的地址，然後按一下Connect。

限制

FTD目前不支援，但ASA上可用：

• FTDposture VPN不支援通過動態授權或RADIUS授權更改(CoA)進行組策略更改。

• AnyConnect自定義(增強：思科錯誤ID CSCvq87631)
• AnyConnect指令碼(增強功能：思科錯誤ID CSCvt58044)。
• AnyConnect本地化。
• WSA整合。
• 適用於RA和L2L VPN的同步IKEv2動態密碼編譯對應(增強功能：思科錯誤ID CSCvr52047)。
• TACACS、Kerberos - KCD驗證和RSA SDI(增強功能：思科錯誤ID CSCvx55859)。
• 瀏覽器代理。

安全注意事項

預設情況下， sysopt connection permit-vpn選項被禁用。這意味著您需要允許來自外部介面上地址池的流量通過訪問控制策略。雖然新增了預過濾器或訪問控制規則以僅允許VPN流量，但如果明文流量與規則條件匹配，則會錯誤地允許該流量。

解決這個問題有兩種方法。首先，TAC推薦的選項是為外部介面啟用反欺騙（在ASA上稱為單播反向路徑轉發 — uRPF）；其次，啟用完全繞過Snort檢 sysopt connection permit-vpn。第一個選項允許對進出於VPN使用者的流量進行正常檢查。

a)啟用uRPF

• 為用於遠端訪問使用者的網路建立空路由（在C部分中定義）。轉到Devices > Device Management > Edit > Routing > Static Route 並選擇 Add route

• 接下來，在VPN連線終止的介面上啟用uRPF。要查詢此內容，請導航到Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing中。 

當使用者連線時，將在路由表中為該使用者安裝32位路由。來自池中其他未使用IP地址的明文流量被uRFP丟棄。要檢視的描述，請Anti-Spoofing參閱在防火牆威脅防禦上設定安全配置引數。

b)啟用選sysopt connection permit-vpn項

• 可以選擇使用嚮導或下執行Devices > VPN > Remote Access > VPN Profile > Access Interfaces。

相關資訊

• 思科技術支援與下載