Firepower Management Center バージョン 6.4 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.4 コンフィギュレーション ガイド

Chapter Title

リモート アクセス VPN によるユーザの制御

検索結果

Updated:
2020年1月30日

章のタイトル: リモート アクセス VPN によるユーザの制御

リモート アクセス VPN によるユーザの制御

次のトピックでは、リモート アクセス VPN によりユーザ認識とユーザ制御を実行する方法について説明します。

リモート アクセス VPN アイデンティティ ソース

Firepower Threat Defense は、リモート アクセス SSL と IPsec-IKEv2 VPN をサポートするセキュアなゲートウェイ機能を提供します。完全なトンネル クライアントである AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] は、セキュリティ ゲートウェイへのセキュアな SSL および IPsec-IKEv2 接続をリモート ユーザに提供します。AnyConnect はエンドポイント デバイスでサポートされている唯一のクライアントで、Firepower Threat Defense デバイスへのリモート VPN 接続が可能です。

新しいリモート アクセス VPN ポリシーの作成の説明に従って安全な VPN ゲートウェイを設定する場合、ユーザが Active Directory リポジトリ内にいる場合は、それらのユーザのアイデンティティ ポリシーを設定して、アクセス コントロール ポリシーにアイデンティティ ポリシーを関連付けることができます。

リモート ユーザから提供されるログイン情報は、LDAP または AD レルムまたは RADIUS サーバ グループによって検証されます。これらのエンティティは、Firepower Threat Defense セキュア ゲートウェイと統合されます。


(注)  

ユーザが認証ソースとして Active Directory を使用して RA VPN で認証を受ける場合、ユーザは自分のユーザ名を使用してログインする必要があります。domain\username または username@domain 形式は失敗します。(Active Directory はこのユーザ名をログオン名、または場合によっては sAMAccountName と呼んでいます)。詳細については、MSDN でユーザの命名属性 [英語] を参照してください。

認証に RADIUS を使用する場合、ユーザは前述のどの形式でもログインできます。

VPN 接続経由で認証されると、リモート ユーザには VPN ID が適用されます。この VPN ID は、そのリモート ユーザに属しているネットワーク トラフィックを認識し、フィルタリングするために Firepower Threat Defense のセキュア ゲートウェイ上のアイデンティティ ポリシーで使用されます。

アイデンティティ ポリシーはアクセス コントロール ポリシーと関連付けられ、これにより、誰がネットワーク リソースにアクセスできるかが決まります。リモート ユーザがブロックされるか、またはネットワーク リソースにアクセスできるかはこのようにして決まります。

ユーザ制御用 RA VPN の設定

スマート ライセンス

従来のライセンス

サポートされるデバイス数

サポートされるドメイン数

アクセス(Access)

エクスポート制御機能が有効なスマート ライセンス アカウントに関連付けられている次の AnyConnect ライセンスのいずれか。

  • AnyConnect VPN Only

  • AnyConnect Plus

  • AnyConnect Apex

該当なし

FTD

グローバルだけ

Admin/Access Admin/Network Admin

始める前に

  • レルムの作成の説明に従って、レルムを作成します。

  • 認証、認可、および監査(AAA)を使用するには、RADIUS サーバ グループの説明に従って RADIUS サーバ グループを設定します。

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)] の順にクリックします。

ステップ 3

新しいリモート アクセス VPN ポリシーの作成を参照してください。

次のタスク

リモート アクセス VPN アイデンティティ ソースのトラブルシューティング

  • 関連する他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシュートユーザ制御のトラブルシューティング、および Firepower Threat Defense の VPN のトラブルシューティング を参照してください。

  • リモート アクセス VPN の問題が発生した場合は、Firepower Management Center と管理対象デバイスとの間の接続を確認します。接続に障害が発生している場合、ユーザが既に認識されて Firepower Management Center にダウンロードされている場合を除き、デバイスによって報告されたすべてのリモート アクセス VPN ログインはダウンタイム中に識別されません。

    識別されていないユーザは、Firepower Management Center で [不明(Unknown)] のユーザとして記録されます。ダウンタイム後、[不明(Unknown)] ユーザはアイデンティティ ポリシーのルールに従って再び識別され、処理されます。

  • アクティブ FTP セッションは、イベントの Unknown ユーザとして表示されます。これは正常な処理です。アクティブ FTP では、(クライアントではない)サーバが接続を開始し、FTP サーバには関連付けられているユーザ名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

RA VPN の履歴

機能

バージョン

詳細

リモート アクセス VPN

6.2.1

導入された機能。RA VPN により、インターネットに接続されたラップトップまたはデスクトップ コンピュータや、Android または Apple iOS モバイル デバイスを使用して、個々のユーザがリモート ロケーションからプライベート ビジネス ネットワークに接続することができます。リモート ユーザは、共有メディアやインターネットを介してデータを転送するために不可欠な暗号化技術を使用して、セキュアに機密性を保持してデータを転送します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ