■ 河南 許紅軍

編者按： pxGrid安全分享協(xié)議擁有支持多廠商跨平臺特性，讓網(wǎng)絡系統(tǒng)協(xié)同運作，pxGrid提供了一個統(tǒng)一的框架，實現(xiàn)生態(tài)系統(tǒng)中的合作者緊密集成，pxGrid是非常安全的，并且可以靈活定制。pxGrid協(xié)議能夠控制內容，實現(xiàn)雙向內容共享，可以分享原生格式數(shù)據(jù)，同時連接多個平臺。

pxGrid協(xié)議的作用和功能

在正常情況下，對于網(wǎng)絡邊界設備（例如交換機、ASA防火墻等）來說，當客戶使用SSL VPN、802.1X 等方式接入時，都需要借助3A設備進行安全認證等。對于其他網(wǎng)絡設備（例如FirePower防火墻等），當用戶在連接時，必然要求用戶再次執(zhí)行身份認證操作。用戶實際上需要執(zhí)行重復認證，體驗上不佳。

使用pxGrid協(xié)議可以將ISE上收集到的豐富的認證信息共享給其他安全設備使用。這樣，ASA防火墻就可以知曉用戶的賬戶、組等信息，便于進行更加精確的控制，此外利用pxGrid協(xié)議，可以讓不同安全設備間自由分享信息，對提高安全性非常重要。

例如在pxGrid協(xié)議的幫助下，ISP設備可以將非法用戶信息推給ISE設備，ISE設備查找該客戶是通過哪臺邊界設備進入的，進而將授權信息提交給該設備，將不法用戶直接攔截在整個網(wǎng)絡之外。

實驗環(huán)境介紹

在網(wǎng)絡邊界有一臺ASA防火墻連接在FrePower防火墻G0/0接 口，F(xiàn)irePower的G0/2接口連接DMZ區(qū)，在DMZ中存在Windows 2008 AD服務器和ISE設備，在Windows Server 2008 上配置Web服 務，DMZ的IP地 址 為192.168.1.0/24。FirePower的G0/1接口連接內部網(wǎng)絡，在內網(wǎng)中存在FMC，管理主機及其他設備，該區(qū)域IP地址為10.1.1.0/24。

當外部用戶通過SSL VPN連接ASA防火墻后，會先到ISE設備上進行認證，之后ISE設備將該用戶信息推送給FMC主機，F(xiàn)MC主機將其發(fā)布到FirePower防火墻。這樣該客戶在通過ASA防護墻后，就可以直接在FirePower防火墻進行被動認證，進而直接訪問內部的Web服務。

可以看到，在以上各環(huán)節(jié)中pxGrid起著關鍵作用，其中ASA防火墻充當pxGrid發(fā)布者的角色，ISE設備充當pxGrid控制者的角色，F(xiàn)irePower充當pxGrid訂閱者的角色。ASA防火墻通過RADIUS協(xié)議和ISE通訊，ISE通過pxGrid協(xié)議和FMC網(wǎng)管中心通訊。

為ISE配置pxGrid專用證書

pxGrid必須使用證書進行認證。在上述Windows Server 2008域控上打開“證書管理”窗口，右擊“管理”項，在模版列表中選擇“Web服務器”項，右擊“復制模版”項然后確定。在新模版屬性窗口中的“常規(guī)”面板中輸入名稱（如“pxgridmb”），選擇“在Active Directory中發(fā)布證書”項，在“擴展”面板中選擇“應用程序策略”項，點擊“編輯”，在打開窗口中添加“安全電子郵件”、“加密文件系統(tǒng)”和“客戶端身份驗證”項導入。

在上述窗口中選擇“證書模版”項，找到“要頒發(fā)的證書模版”項，選擇上述pxgridmb模版發(fā)布。登錄ISE管理界面，點擊“Adminis tration”→“System”→“Certif icates”項，選擇“Certificate Signing Requests” 項，在右側點擊“Generate Certificate Signing Reauests(CSR)”按鈕，在打開窗口中選擇“pxgrid”項，在“Node(s)”欄中選擇本ISE的角色（如主ISE設備），在“Subject”欄中輸入申請的內容。其余默認，點擊“Generate”生成請求文件。

之后復制申請內容，訪問“https://serverzs.xxx.com/certsrv”地址，在證書申請頁面中依次點擊“申請證書”、“高級證書申請”連接，在“保存的申請”欄中粘貼上述請求內容，在“證書模版”列表中選擇“pxgridmb”模版提交。在打開的網(wǎng)頁中選擇“Base 64編碼”項，點擊“下載證書”鏈接，得到所需的證書文件（例如“isepxgrid.cer”）。 當 然，還需在證書申請頁面下載CA證書，得到根證書。

在ISE中激活pxGrid功能

在上述ISE管理窗口選擇“Trustes Certificate”項，點 擊“Import”→“瀏覽”，選擇上述根證書并加載。 選 擇“Certificate Signing Request”項，選擇上述證書請求項，點擊“Bind Certificate”→“瀏覽”按鈕，選擇上述“isepxgrid.cer” 證 書 文 件，點 擊“Submit”將兩者綁定。

點 擊“Administration”→“System”→“Deployment”，在部署方式窗口中點擊主ISE節(jié)點，選擇“pxGrid”，點擊“Save”激活。點擊工具欄上的“Administration”→“Identity Management”→“External Identity Source”，選擇“Active Directory”，在“Join Pointer Name”欄中輸入合適的名稱，在“Active Domain Name”欄中輸入域名，在“Identity Store Name”中輸入標識名稱（如“ISEtag”），點擊“submit”保存。

根據(jù)提示輸入域管理員名稱和密碼，加入到域環(huán)境。點擊“Add”→“Select Group From Directory”項，點擊“Retrieve Groups”，列出該域中所有的組，選擇所需的組（如“Fpgrp”，需預先創(chuàng)建好），然后確定添加。讓ISE集成到域是便于對用戶的身份進行驗證。

在FMC上配置證書

登錄到FMC管理主機，輸入賬戶名（默認為“admin”）和密碼，之后以管理員身份進行操作。執(zhí)行“openssl genrsa -das3 -out fire.key 4096”命令，生成所需密鑰文件。根據(jù)提示輸入密碼，用于加密私鑰。執(zhí)行“openssl req -new -key fire.key -out fire.csr”命令，使用上述密鑰文件生成簽名請求文件。根據(jù)提示輸入上述私鑰密碼和相關信息。注意在“Common Name”欄中必須輸入FirePower設備的全域名。

執(zhí)行“cp fire.* /home”命令，將上述文件復制到“/home”目錄。在內網(wǎng)客戶機上運行WinCSP，在連接窗口中輸入Firepower管理地址，輸入賬戶和密碼，使用的文件協(xié)議為SCP，連接成功后復制上述“firekey”和“fire.cer”文件。打開fire.cer文件，復制申請的內容，按照上述方法來申請證書和根證書。

登錄到FMC網(wǎng)管界面，點 擊“Object” →“Object Management”， 選 擇“PKI”→“Trusted CAs”，點擊“Add Trusted CA”按鈕，輸入名稱（如“FirepowerCA”），點擊“Browse”按鈕，選擇獲得的根證書，點擊“Save”按鈕加載根證書。在左側選 擇“PKI” →“Internal Certs”項，在右側點擊“Add Internal Cert”按鈕，輸入名稱（如“InternalCA”），點 擊第一個“Browse”按鈕，導入上述獲取的證書。點擊第二個“Browse”按鈕，選擇密鑰文件，并輸入加密密碼。點擊“Save”按鈕，加載證書文件。

將FMC集成到域環(huán)境

對于FirePower來說，一般基于用戶組進行策略控制。雖然ISE可以通過pxGrid協(xié)議將用戶的認證信息推送過來，但FirePwer無法基于用戶進行控制，因此必須利用LDAP協(xié)議和域控進行通訊，來確定指定的用戶屬于哪個組。這樣，就必須將FirePower集成到域環(huán)境。

在FMC管理界面點擊“System”→“Itegration”，在“Realms”面板點擊“New realm”，在打開窗口中輸入合適的名稱，在“AD Primary Domain”欄中輸入域名，在“AD Join Username”中 輸入域管理員名，在“AD Join Password”欄中輸入密碼，在“Directory Username” 和“Directory Password” 欄中輸入用于查詢的賬戶和密碼，可以是權限較低的賬戶。在“Base DN”和“Group DN”欄中輸入“dc=xxx.dc=com”，用來指定查詢的起始位置。

點擊確定后在添加目錄窗口中輸入域名，加入到域環(huán)境。對應域名項點擊“Edit directory”，選擇“Download user and groups”， 列 出域中所有賬戶信息。在“Available Groups”列表中選擇上述“FPgrp”組，點擊“Add to Include”添加進來，點擊“Save”保存。在對應域名項目右側“Status”欄中撥動滑塊，并下載上述組中賬戶信息將其徹底激活。

在ISE和FMC之間建立信任關系

在“Identity Sources”中 點 擊“Identity Services Engine”， 在“Primary Host Name/IP Address”中輸入ISE域名或IP，在“pxGrid Server CA”和“MNT Server CA”列表中選擇根證書，在“FMC Server Certificate”列表選擇上述為FMC頒發(fā)的證書。點擊“Test”進行連接測試。

在ISE界 面 點 擊“Administration”→ “pxGrid Services”項，點擊刷新，可以看到FMC的連接請求信息，選擇后點擊“Approve”允許測試連接。當在FMC中保存設置后，需在ISE中再次刷新，選擇新出現(xiàn)的FMC請求信息，點擊“Approve”允許連接，才可在ISE和FMC間建立pxGrid信任關系。

在FMC中創(chuàng)建控制規(guī)則

在工具欄上點擊“Policies” →“Access Control” →“Access Control”項，點 擊“Add a new policy”鏈接，在新建策略窗口中的“Name”欄輸入策略名稱（如“FTDPolicy”），其余默認，創(chuàng)建該策略。

之后打開該控制策略，在 對 應 的“Default Action”列表中選擇“Access Control:BlockAll Traffic”項，禁止所有流量。之后根據(jù)需要，來創(chuàng)建對應的控制策略。例如在“Mandatory”欄中點擊“Add Rule”鏈接，創(chuàng)建新的規(guī)則。

但是并沒有創(chuàng)建對應的規(guī)則來放行VPN流量。即外部主機的訪問VPN流量可以通過ASA防火墻認證，但無法穿越FirePower訪問目標Web服務器。點擊“Policies” →“Access Control”→“Identity”項，點 擊“Add a new policy”按鈕輸入新的策略名稱（如“rzpolicy”），點 擊“Save”創(chuàng)建該策略。點擊“New Rule”，在打開窗口中輸入規(guī)則名稱（如“rule1”），在“Zones”中選擇“Outside”區(qū)域，點擊“Add to Source”按鈕。選擇“DMZ”，點擊“Add to Destination”按鈕。

這樣，就允許放行外部流量到DMZ區(qū)。在“Networks”面板中點擊“+”，輸入該網(wǎng)絡對象的名稱（如“vpnnetwork”），選 擇“Network”，輸入網(wǎng)絡范圍（如“172.16.1.0/24”），點擊“Save”按鈕后在“Networks”面板中選擇該網(wǎng)絡對象，點擊“Add to Source”按鈕，這樣，只有來自該網(wǎng)絡的訪問才可以進行被動認證。在“Ports” →“Selected Destination Ports”→“Protocol”中選擇“TCP”項，在“Port”中輸入“80”，點擊“Add”按鈕添加。

在“Realm & Settings”面板中的“Realm”列表中選擇上述域名項目。這樣當外部主機訪問目標Web服務器時，可使用域中賬戶進行認證。注意這種訪問流量是被動認證，即ISE將認證信息推送過來實現(xiàn)一次性認證，讓客戶不在頻繁輸入賬號和密碼進行認證。但所需的規(guī)則和授權等配置信息必須存在。點擊“Policies” →“Access Control” →“Access Control”項，在列表頂部創(chuàng)建新的策略，輸入名稱（如“pxgridcl”），在“Zones”中選擇“Outside”→“Add to Source” →“DMZ” →“Add to Destination”。

在“Networks”中 選 擇上述“vpnnetwork”對象，點擊“Add to Source”按鈕添加。在“URLs”面板中輸入目標Web地址，點擊“Add”按鈕添加。因為FMC已經(jīng)和ISE實現(xiàn)了集成，所以在“SGT/ISE Attributes”面板中顯示ISE推送過來的相關信息。例如在“Available Attributes”列表中選擇“Device Type”項，在“Availiable Metadata”列表中選擇“Windows7-Workstation”項，點擊“add to Rule”按鈕添加。在“User”面板中選擇上述域名項目，選擇目標組添加進來。

在“Logging”面板中選擇“Log at Beginning of Connection”和“Log at End of Connection”記錄訪問信息，可實現(xiàn)基于源/區(qū)域/設備類型/用戶組等方式進行靈活過濾操作。在策略列表 窗 口“Identity Policy”欄中點擊“None”，選擇上述“rzpolicy”身份認證策略。點擊“Save”和“Deploy”保存并部署到FirePower防火墻。

在ISE中配置授權規(guī)則

在ISE管理界面工具欄上點擊“Administratio n”→“Network”→“Network Devices”項，點擊“Add”，輸入設備名稱，在“IP Addess”欄輸入ASA地址，選擇“RADIUS Authentication Settings” 項， 在“Share Secret”欄輸入認證密鑰，點擊“Submit”提交修改信息。

點擊“Policy”→“Policy Elements”→“Result”項，選 擇“Authorization” →“Authorization Profiles”項，點擊“Add”，輸入認證策略項名稱（如“ASAprofile”），在“Common Tasks” 欄 中選 擇“ASA VPN”項，輸 入在ASA防火墻上配置好的 Group Policy名 稱（如“SSLVPN Policy”）。可以在ASA命令行中執(zhí)行“sh run group→policy”命令，查看對應Group Policy信息。

通過該Group Policy授權，可以讓用戶取得其所有授權策略。點擊“Submit”提交修改。點擊“Policy”→“Authorization”項，在授權列表點擊“Edit”→“Insert New Rule Allow”項，輸入新的策略名稱（如“Policy1”），在“Condition(s)” 列中 點 擊“Create New Condition (Advanced Option)”按鈕，在彈出面板 中 的“Description”列表中上述域名項目，選擇“ExternalGroup”項，并選擇“Equals”，在其后選擇上述預設的組名（如“FPgrp”）。

點擊右側的“Edit”鏈接， 在“Permissions” 列中 選 擇“Standard”菜 單下的上述認證策略項名稱（如“ASAprofile”）。 點 擊“+”按鈕可以添加更多授權項目。點擊“Done”鏈接保存該授權策略。經(jīng)過以上配置，在外網(wǎng)主機上打開Cisco AnyConnect Secure Mobility Client程序，通過SSLVPN連接ASA防火墻，在打開的認證窗口中輸入賬戶名和密碼就可實現(xiàn)一次性認證連接。連接成功后就可以訪問目標Web服務器了。