快连VPN:速度和安全性最佳的VPN服务
概述
Duo MFA(多因素认证)为Cisco Firepower Threat Defense (FTD) SSL VPN提供了双因素认证,支持推送、电话呼叫或验证码认证,适用于使用SSL加密的Secure Client桌面和移动客户端VPN连接。此配置不支持网页登录的交互式Duo提示,但会捕获客户端IP信息,以便与Duo策略(如地理位置和授权网络)结合使用。
本文将指导您通过RADIUS将双因素认证添加到FTD,使用Firepower管理中心(FMC)控制台进行配置。假设您已经有一个运作正常的FTD远程访问SSL VPN部署,并使用现有的AAA认证服务器(如本地AD/LDAP目录)。
Duo从FTD和FMC版本6.3.0开始支持RADIUS 2FA配置。
连接要求
此应用程序通过SSL TCP端口443与Duo的服务进行通信。建议避免使用基于IP地址的防火墙配置,以限制对Duo服务的出站访问,因为这些地址可能会随时间变化以维护服务的高可用性。
首步
在开始部署步骤之前,熟悉Duo管理概念及功能是个好主意,例如应用程序选项、可用的Duo用户注册方法以及Duo策略设置及其应用方式。请确保在部署Duo之前,您的Cisco FTD SSL VPN用户已经有一个正常工作的主要认证配置。
要将Duo与您的Cisco FTD SSL VPN集成,您需要在您的网络中安装一个本地Duo代理服务。此Duo代理服务器将接收来自Cisco FTD SSL VPN的RADIUS请求,联系现有的本地LDAP/AD或RADIUS服务器进行主要认证,然后联系Duo的云服务进行二次认证。
安装Duo认证代理
如果您将重用现有的Duo认证代理服务器用于此新应用程序,可以跳过安装步骤,直接进行代理配置。
Duo认证代理可以安装在物理或虚拟主机上。我们推荐至少1个CPU、200MB磁盘空间和4GB RAM的系统。请参考Duo认证代理参考文档获取更多性能建议。
Windows
- 从官方网站下载最新的Windows认证代理。
- 以管理员身份运行安装程序,按照屏幕提示进行安装。
- 在安装过程中,您可以选择是否要安装Proxy Manager。Proxy Manager是一个Windows实用程序,可以帮助您编辑Duo认证代理配置、确定代理状态以及启动或停止代理服务。
Linux
在Linux系统上,您可以使用包管理工具进行安装,具体步骤请参考Duo认证代理文档。
配置代理
安装完成后,您需要配置代理以与您的主要身份验证器(如Active Directory或RADIUS)进行通信。确保您已经获得Duo的集成密钥、秘密密钥和API主机名,这些信息是完成设置所必需的。
启动代理
在完成配置后,启动Duo认证代理以开始处理RADIUS请求。确保您的Cisco FTD设备能够与代理通信。
配置Cisco FTD使用FMC
- 登录到FMC控制台。
- 添加Duo RADIUS服务器。
- 将远程访问VPN的认证方法更改为Duo RADIUS。
测试您的设置
完成上述步骤后,进行测试以确保Duo MFA成功集成到您的Cisco FTD SSL VPN中。
故障排除
如遇问题,请参考Duo的知识库和支持文档,以获取进一步的故障排除指南。
网络图
在实施过程中,建议绘制网络图,以便清晰展示Duo代理、Cisco FTD和其他相关服务之间的连接关系。
相关内容
- Duo与AnyConnect或Cisco Secure Client概述
- FTD SSL VPN与SAML集成
- ASA SSL VPN与SAML集成
- ASA SSL VPN与RADIUS集成
- ASA SSL VPN与LDAPS集成
- ASA IPsec VPN
常见问题解答
如有任何疑问,欢迎查阅Duo的FAQ部分,获取更多信息。
通过以上步骤,您可以成功将Duo MFA集成到Cisco FTD SSL VPN中,为您的网络安全提供额外的保护。
