Firepower Threat Defense Dynamic Access Policy 정보
VPN 게이트웨이는 동적 환경에서 작동합니다. 자주 변경되는 인트라넷 구성, 각 사용자가 조직 내에서 담당할 수 있는 여러 역할, 구성 및 보안 수준이 서로 다른 원격 액세스 사이트에서의 로그인 등 다양한 변수가 각 VPN 연결에 영향을 줄 수 있습니다. VPN 환경은 정적 구성의 네트워크보다 사용자 인증 작업이 훨씬 복잡합니다.
특정 사용자 터널 또는 세션과 연계되는 액세스 제어 특성 모음을 설정하여 동적 액세스 정책을 만들 수 있습니다. 이러한 특성은 여러 그룹 멤버십 및 엔드포인트 보안 문제를 처리합니다. 즉, FTD에서는 정의한 정책을 기반으로 특정 사용자에게 특정 세션에 대한 액세스 권한을 부여합니다. 사용자 인증 중에 하나 이상의 DAP 레코드에서 속성을 선택하거나 집계하여 DAP를 생성합니다. 또한 원격 디바이스의 엔드포인트 보안 정보 및 인증된 사용자에 대한 AAA 권한 부여 정보를 기반으로 이러한 DAP 레코드를 선택합니다. 그런 다음 DAP 레코드를 사용자 터널 또는 세션에 적용합니다.
FTD에서 권한 및 속성 정책 시행 계층 구조
FTD 디바이스는 VPN 연결에 사용자 권한 부여 특성(사용자 권한 또는 허가라고도 함)을 적용할 수 있습니다. 특성은 FTD, 외부 인증 서버 및/또는 권한 부여 AAA 서버(RADIUS)의 DAP 또는 FTD 디바이스의 그룹 정책에서 적용됩니다.
FTD 디바이스에서 모든 소스의 특성을 수신하면 특성이 평가 및 병합되어 사용자 정책에 적용됩니다. DAP, AAA 서버 또는 그룹 정책에서 제공하는 특성 간에 충돌이 있는 경우 DAP에서 가져온 특성이 항상 우선적으로 적용됩니다.
FTD 디바이스에서는 다음 순서로 속성을 적용합니다.
-
FTD의 DAP 속성 — DAP 속성은 다른 모든 속성보다 우선적으로 적용됩니다.
-
AAA 서버의 사용자 속성 - 사용자 인증 및/또는 권한 부여가 성공적으로 수행되면 서버에서 이러한 특성을 반환합니다.
-
FTD 에 구성된 그룹 정책 - RADIUS 서버에서 사용자에 대해 RADIUS 클래스 속성 IETF-Class-25(OU=group-policy) 값을 반환하면 FTD 디바이스에서는 해당 사용자를 이름이 같은 그룹 정책에 배치하고 서버에서 반환하지 않은 그룹 정책의 모든 속성을 적용합니다.
-
연결 프로파일에서 할당한 그룹 정책(터널 그룹으로 알려짐) - 연결 프로파일에는 연결을 위한 예비 설정이 있으며 인증 전에 사용자에게 적용되는 기본 그룹 정책을 포함합니다.
참고 |
FTD 디바이스는 기본 그룹 정책인 DfltGrpPolicy에서 시스템 기본 속성 상속을 지원하지 않습니다. 연결 프로파일에 할당된 그룹 정책의 속성은 사용자 속성이나 AAA 서버의 그룹 정책에 의해 재정의되지 않는 경우 위에서 설명한 대로 사용자 세션에 사용됩니다. |