簡介
本檔案將介紹FTD上AnyConnect遠端存取VPN的組態。
必要條件
需求
思科建議您瞭解以下主題:
- 基本VPN、TLS和IKEv2知識
- 基本驗證、授權及記帳(AAA)和RADIUS知識
- 使用Firepower管理中心的經驗
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco FTD 7.2.0
- Cisco FMC 7.2.1
- AnyConnect 4.10
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本檔案將提供Firepower威脅防禦(FTD)版本7.2.0及更高版本的組態範例,其中允許遠端存取VPN使用傳輸層安全(TLS)和網際網路金鑰交換版本2(IKEv2)。作為客戶端,可以使用Cisco AnyConnect,它受多個平台支援。
組態
1.必要條件
要通過Firepower管理中心中的「遠端訪問」嚮導,請執行以下操作:
- 建立用於伺服器身份驗證的證書。
- 配置RADIUS或LDAP伺服器以進行使用者身份驗證。
- 為VPN使用者建立地址池。
- 上傳不同平台的AnyConnect映像。
a)匯入SSL證書
設定AnyConnect時,憑證是必需的。證書必須具有DNS名稱和/或IP地址的使用者替代名稱副檔名以避免在Web瀏覽器中出錯。
附註:只有註冊思科使用者才能訪問內部工具和錯誤資訊。
手動證書註冊存在限制:
— 在FTD上,您需要CA憑證才能產生CSR。
— 如果從外部生成CSR,則手動方法失敗,必須使用其他方法(PKCS12)。
有幾種方法可在FTD裝置上取得憑證,但安全且簡易的方法是建立憑證簽署請求(CSR),使用憑證授權單位(CA)簽署,然後匯入為公鑰核發的憑證(在CSR中)。以下是操作方法:
- 轉到
Objects
> Object Management > PKI > Cert Enrollment
按一下Add Cert Enrollment。
- 選擇
Enrollment Type
以及貼上憑證授權單位(CA)憑證(用於簽署CSR的憑證)。
- 然後轉到第二個頁籤並選擇
Custom FQDN
並填寫所有必要的欄位,例如:
- 在第三個頁籤上,選擇
Key Type
中,選擇名稱和大小。對於RSA,最少為2048位。
- 按一下儲存並轉到
Devices > Certificates > Add > New Certificate
.
- 然後選擇
Device
、和下 Cert Enrollment
選擇您剛剛建立的信任點,按一下 Add
:
- 稍後,點選信任點名稱旁邊的 圖示,然後
Yes
並將該CSR複製到CA並簽署之後。 證書的屬性必須與HTTPS伺服器的正常屬性相同。
- 從CA收到base64格式的證書後,從磁碟中選擇該證書,然後按一下
Import
.當此操作成功時,您會看到:
b)配置RADIUS伺服器
- 轉到
Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
- 填寫名稱並新增IP地址以及共用金鑰,按一下
Save
:
c)為VPN使用者建立地址池
- 轉到
Objects > Object Management > Address Pools > Add IPv4 Pools.
- 輸入名稱和範圍,不需要掩碼:
d)建立XML配置檔案
- 從思科網站下載配置檔案編輯器,然後將其開啟。
- 轉到
Server List > Add...
- 放置顯示名稱和FQDN。您將在伺服器清單中看到以下條目:
- 按一下
OK
和 File > Save as...
e)上傳AnyConnect映像
- 從思科網站下載pkg映像。
- 轉到
Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
- 鍵入名稱並從磁碟中選擇PKG檔案,按一下
Save
:
2.遠端訪問嚮導
- 轉到
Devices > VPN > Remote Access > Add a new configuration
.
- 命名設定檔並選擇FTD裝置:
- 在「連線配置檔案」步驟中,鍵入
Connection Profile Name
,選擇 Authentication Server
和 Address Pools
您之前建立的專案:
- 按一下
Edit Group Policy
在AnyConnect頁籤上,選擇 Client Profile
,然後按一下 Save
:
- 在下一頁上,選擇AnyConnect映像,然後按一下
Next
.
- 在下一個螢幕上,選擇
Network Interface and Device Certificates:
- 當所有配置都正確時,可以按一下
Finish
然後 Deploy
:
- 這會將整個組態,連同憑證和AnyConnect封包複製到FTD裝置。
連線
若要連線到FTD,您需要開啟瀏覽器,鍵入指向外部介面的DNS名稱或IP位址。然後使用儲存在RADIUS伺服器中的憑據登入,並在螢幕上執行說明。 安裝AnyConnect後,您需要在AnyConnect視窗中放置相同的地址,然後按一下 Connect
.
限制
FTD目前不支援,但ASA上可用:
安全注意事項
預設情況下, sysopt connection permit-vpn
選項被禁用。這意味著您需要允許來自外部介面上地址池的流量通過訪問控制策略。雖然新增了預過濾器或訪問控制規則以僅允許VPN流量,但如果明文流量與規則條件匹配,則會錯誤地允許該流量。
解決這個問題有兩種方法。首先,TAC推薦的選項是為外部介面啟用反欺騙(在ASA上稱為單播反向路徑轉發 — uRPF);其次,要啟用 sysopt connection permit-vpn
完全繞過Snort檢測。第一個選項允許對進出於VPN使用者的流量進行正常檢查。
a)啟用uRPF
- 為用於遠端訪問使用者的網路建立空路由(在C部分中定義)。轉到
Devices > Device Management > Edit > Routing > Static Route
並選取 Add route
- 接下來,在VPN連線終止的介面上啟用uRPF。要查詢此項,請導航至
Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing
.
當使用者連線時,將在路由表中為該使用者安裝32位路由。清除來源為池中其他未使用IP地址的文本流量會被uRFP丟棄。要檢視的描述,請執行以下操作: Anti-Spoofing
請參閱在Firepower威脅防禦上設定安全配置引數。
b)啟用 sysopt connection permit-vpn
選項
- 可以選擇使用嚮導或下執行
Devices > VPN > Remote Access > VPN Profile > Access Interfaces
.
相關資訊