Cisco AnyConnect 安全移动客户端管理员指南，版本 3.1

Transcription

1 Cisco, 版本 3.1 文档修订日期 : 文档发布日期 : 2014 年 6 月 12 日 2012 年 10 月 10 日 Cisco Systems, Inc. 思科在全球设有 200 多个办事处 地址 电话号码和传真号码在思科网站上列出, 网址为 :

2 本手册中有关产品的规格和信息如有更改, 恕不另行通知 我们相信本手册中的所有声明 信息和建议均准确可靠, 但不提供任何明示或暗示的担保 用户应承担使用产品的全部责任 产品配套的软件许可和有限担保在随产品一起提供的信息包中提供, 且构成本文的一部分 如果您找不到软件许可或有限担保, 请与思科代表联系以索取副本 思科所采用的 TCP 报头压缩是加州大学伯克莱分校 (UCB) 开发的一个程序的改版, 是 UCB 的 UNIX 操作系统公共域版本的一部分 保留所有权利 版权所有 1981, 加州大学董事 无论在该手册中是否作出了其他担保, 来自这些供应商的所有文档文件和软件都按 原样 提供且仍有可能存在缺陷 思科和上述供应商不承诺所有明示或暗示的担保, 包括 ( 但不限于 ) 对特定用途的适销性 适用性 非侵权性以及因交易 使用或商业惯例所衍生的担保 在任何情况下, 对于任何间接 特殊 连带发生或偶发的损坏, 包括 ( 但不限于 ) 因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏, 思科及其供应商概不负责, 即使思科及其供应商已获知此类损坏的可能性也不例外 思科和思科徽标是思科和 / 或其附属公司在美国和其他国家 / 地区的商标或册商标 要查看思科商标的列表, 请访问以下 URL: 文中提及的第三方商标为其相应所有者的财产 合作伙伴 一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系 (1110R) 本文档中使用的任何互联网协议 (IP) 地址和电话号码并不代表实际地址和电话号码 本文档中包括的任何示例 命令显示输出 网络拓扑图和其他图形仅用于说明目的 在图示内容中使用的 IP 地址或电话号码纯属虚构, 如有雷同, 纯属巧合 Cisco AnyConnect 安全移动客户端, 版本 Cisco Systems, Inc. 保留所有权利

3

4 指南简介 1-xix AnyConnect 安全移动客户端简介 1-1 AnyConnect 许可证选项 1-2 概述 1-2 AnyConnect Essentials 许可证和 AnyConnect Premium 许可证 1-3 AnyConnect Mobile 许可证 1-3 AnyConnect Flex 许可证 1-3 高级终端评估许可证 1-4 适用于 AnyConnect 的思科安全移动许可证 1-4 合并 AnyConnect 许可证 1-5 独立选项和 WebLaunch 选项 1-5 配置和部署概述 1-6 AnyConnect 安全移动功能配置指南 1-6 API 1-7 AnyConnect 辅助功能 1-7 部署 AnyConnect 安全移动客户端 2-1 AnyConnect 客户端配置文件简介 2-1 使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 2-2 部署 AnyConnect 客户端配置文件 2-3 从 ASA 部署 AnyConnect 客户端配置文件 2-4 部署由独立配置文件编辑器创建的客户端配置文件 2-4 网络部署 AnyConnect 2-5 ASA 部署的 AnyConnect 文件包 2-6 确保成功安装 AnyConnect 2-7 免除对 AnyConnect 流量的网络地址转换 (NAT) 2-7 不推荐为仅 DES SSL 加密进行 ASA 配置 2-12 连接移动宽带卡 2-12 禁用组策略设置 2-12 修改网络部署时的安装程序行为 2-13 配置 ASA 以下载 AnyConnect 2-13 配置地址分配方法 2-14 书名 iv

5 提示远程用户下载 AnyConnect 2-14 用户升级控制 2-15 延迟更新自定义属性 2-15 延迟更新 GUI 2-17 启用其他功能模块 2-17 启用 IPsec IKEv2 连接 2-18 预部署启用 IKEv2 的客户端配置文件 2-19 预部署 AnyConnect 2-20 预部署软件包文件信息 2-21 预部署至 Windows 计算机 2-21 使用 ISO 文件 2-21 准则和限制 2-22 重置系统 MTU 2-22 启动 ActiveX 控件 2-22 使用预部署安装实用程序 2-22 使用 SMS 预部署 AnyConnect 模块 2-23 为 Windows 安装 AnyConnect 模块 ( 推荐顺序 ) 2-24 为 Windows 卸载 AnyConnect 模块 ( 推荐顺序 ) 2-25 打包企业软件部署系统的 MSI 文件 2-25 提示用户将网络接入管理器和网络安全作为独立应用进行安装 2-27 修改预部署期间的安装程序行为 2-27 预部署到 Linux 和 Mac OS X 计算机 2-27 修改安装程序行为 2-28 禁用 Mac OS X 客户体验反馈模块安装 2-28 禁用 Linux 客户体验反馈模块安装 2-28 禁用预部署客户体验反馈模块 2-28 安装 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 2-29 卸载 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 2-29 限制系统上的应用 2-29 使用 Firefox 验证服务器证书 2-30 AnyConnect 文件信息 2-30 终端计算机上的模块文件名 2-30 部署 AnyConnect 配置文件的位置 2-32 安装于本地计算机的用户首选项文件 2-34 使用独立的 AnyConnect 配置文件编辑器 2-34 独立配置文件编辑器的系统要求 2-34 支持的操作系统 2-34 Java 要求 2-34 浏览器要求 2-35

6 所需的硬盘空间 2-35 安装独立 AnyConnect 配置文件编辑器 2-35 修改独立 AnyConnect 配置文件编辑器安装 2-36 卸载独立 AnyConnect 配置文件编辑器 2-36 使用独立配置文件编辑器创建客户端配置文件 2-36 使用独立配置文件编辑器编辑客户端配置文件 2-37 配置 VPN 接入 3-1 配置 AnyConnect 客户端的 IP 地址 3-2 IP 地址分配策略 3-2 使用 ASDM 配置 IPv4 和 IPv6 地址分配 3-2 内部 IP 地址池 3-3 使用 ASDM 配置本地 IPv4 地址池 3-3 使用 ASDM 配置本地 IPv6 地址池 3-4 分配 IP 地址到 AnyConnect 连接 3-4 使用内部地址池分配 IP 地址 3-5 使用 DHCP 分配 IP 地址 3-5 向本地用户分配 IP 地址 3-5 配置 IPv4 或 IPv6 流量以绕过 VPN 3-8 创建和编辑 AnyConnect 配置文件 3-8 部署 AnyConnect 配置文件 3-11 配置 VPN 负载均衡 3-11 配置登录前启动 3-12 安装登录前启动组件 ( 仅适用于 Windows) 3-12 登录前启动在 Windows 版本之间的差异 3-13 在 AnyConnect 配置文件中启用 SBL 3-13 在安全设备上启用 SBL 3-13 排除 SBL 故障 3-14 在 Windows 7 和 Vista 系统上配置登录前启动 (PLAP) 3-14 安装 PLAP 3-14 使用 PLAP 登录 Windows 7 或 Windows Vista PC 3-15 使用 PLAP 从 AnyConnect 断开连接 3-19 受信任网络检测 3-19 受信任网络检测要求 3-19 配置受信任网络检测 3-19 有多个配置文件连接到多个安全设备的 TND 和用户 3-21 永远在线 VPN 3-21 永远在线 VPN 要求 3-22 向服务器列表添加负载均衡备份集群成员 3-24

7 配置永远在线 VPN 3-25 配置一项策略豁免用户的永远在线 VPN 责任 3-25 永远在线 VPN 的断开连接按钮 3-26 断开连接按钮的要求 3-26 启用和禁用断开连接按钮 3-26 永远在线 VPN 的连接故障策略 3-27 连接故障策略要求 3-27 配置连接故障策略 3-28 强制网络门户热点检测和修复 3-28 强制网络门户修复要求 3-28 强制网络门户热点检测 3-28 强制网络门户热点修复 3-29 配置强制网络门户热点修复的支持 3-29 如果用户无法接入强制网络门户页面 3-30 错误的强制网络门户检测 3-30 支持本地打印机和系留设备的客户端防火墙 3-30 防火墙行为的用法说明 3-31 为本地打印机支持部署客户端防火墙 3-31 系留设备支持 3-33 Mac OS X 的新安装目录结构 3-33 Web Security 客户端配置文件的 ScanCenter 托管配置支持 3-33 配置 AnyConnect 的 DNS 和 WINS 服务器 3-34 配置分割隧道 3-34 分离 DNS 3-34 分离 DNS 的要求 3-34 配置分离 DNS 3-35 使用 AnyConnect 日志验证分离 DNS 3-35 检查哪些域使用分离 DNS 3-35 网络漫游 3-36 必备条件 3-36 在 IPv4 与 IPv6 网络之间配置网络漫游 3-36 使用 SCEP 配置证书册 3-37 有关使用 SCEP 的证书册 3-37 SCEP 代理册 3-37 传统 SCEP 册 3-37 SCEP 指南和限制 3-38 Windows 证书警告 3-38 识别册连接以应用策略 3-39 ASA 上的仅通过证书身份验证和证书映射 3-39

8 配置 SCEP 代理证书册 3-39 配置 SCEP 代理册的 VPN 客户端配置文件 3-39 配置 ASA 以支持 SCEP 代理册 3-39 配置传统 SCEP 证书册 3-40 为传统 SCEP 册配置一个 VPN 客户端配置文件 3-40 配置 ASA 以支持传统的 SCEP 册 3-41 为 SCEP 使用 Windows 2008 Server 认证中心 3-42 配置证书期满通知书 3-43 配置证书存储区 3-44 控制 Windows 上的证书存储区 3-44 创建适用于 Mac 和 Linux 的 PEM 证书存储区 3-46 PEM 文件的文件名限制 3-46 存储用户证书 3-47 配置证书匹配 3-47 证书密钥用途匹配 3-48 扩展证书密钥用途匹配 3-48 自定义扩展匹配密钥 3-48 证书可识别名映射 3-49 证书匹配示例 3-50 提示用户选择身份验证证书 3-51 用户在 AnyConnect 首选项中配置自动证书选择 3-51 配置服务器列表 3-52 配置移动设备的连接 3-54 配置备份服务器列表 3-56 配置启动时连接 3-56 配置自动重新连接 3-56 代理连接 3-57 限制 3-57 本地代理连接 3-57 限制 3-57 指南 3-58 禁用本地代理连接 3-58 私有代理连接 3-58 限制 3-58 配置私有代理连接 3-58 验证代理设置 3-58 公共代理连接 3-59 限制 3-59 配置公共代理 3-59

9 最佳网关选择 3-59 最佳网关选择要求 3-60 配置最佳网关选择 3-60 OGS 和睡眠模式 3-61 OGS 和代理检测 3-61 编写和部署脚本 3-61 脚本要求和限制 3-62 编写 测试和部署脚本 3-63 配置脚本的 AnyConnect 配置文件 3-64 故障排除脚本 3-64 身份验证超时控制 3-65 身份验证超时控制要求 3-65 配置身份验证超时 3-65 代理支持 3-65 配置客户端以忽略浏览器代理设置 3-65 私有代理 3-66 私有代理要求 3-66 配置组策略以下载私有代理 3-66 Internet Explorer 连接选项卡锁定 3-66 用于无客户端支持的代理自动配置文件生成 3-67 使用 Windows RDP 会话来启动 VPN 会话 3-67 通过 L2TP 或 PPTP 的 AnyConnect 3-68 通过 L2TP 或 PPTP 配置 AnyConnect 3-69 指导用户覆盖 PPP 排除 3-69 AnyConnect VPN 配置文件编辑器参数说明 3-70 AnyConnect 配置文件编辑器, 首选项 ( 第 1 部分 ) 3-70 AnyConnect 配置文件编辑器, 首选项 ( 第 2 部分 ) 3-72 AnyConnect 配置文件编辑器, 备份服务器 3-75 AnyConnect 配置文件编辑器, 证书匹配 3-76 AnyConnect 配置文件编辑器, 证书册 3-78 AnyConnect 配置文件编辑器, 移动策略 3-79 AnyConnect 配置文件编辑器, 服务器列表 3-79 AnyConnect 配置文件编辑器, 添加 / 编辑服务器列表 3-80 配置 AnyConnect 客户端连接超时 3-81 终止 AnyConnect 连接 3-81 重新协商和维护 AnyConnect 连接 3-81 最佳实践 3-82

10 配置网络接入管理器 4-1 简介 4-1 Suite B 和 FIPS 4-2 单点登录 单一用户 强制执行 4-2 对单点登录 单一用户 强制执行进行配置 4-3 指南 4-3 Windows 网络状态任务托盘图标 4-3 Windows 7 的隐藏网络和网络选择 4-3 Windows 定义的网络 4-3 网络接入管理器的系统要求 4-4 许可和升级要求 4-4 部署网络接入管理器 4-4 创建网络接入管理器配置文件 4-4 从 ASDM 添加新配置文件 4-5 配置网络接入管理器配置文件 4-6 客户端策略窗口 4-6 身份验证策略窗口 4-8 网络窗口 4-9 网络 - 媒体类型页面 4-11 网络 - 安全级别页面 4-12 配置身份验证网络 4-12 配置开放网络 4-14 配置共享密钥网络 4-14 网络 - 网络连接类型窗格 4-16 网络 - 用户或计算机身份验证页面 4-17 EAP 概述 4-18 配置 EAP-GTC 4-18 配置 EAP-TLS 4-19 配置 EAP-TTLS 4-19 配置 PEAP 选项 4-20 配置 EAP-FAST 设置 4-21 配置 LEAP 设置 4-23 定义网络凭证 4-23 配置受信任服务器验证规则 4-28 网络组窗口 4-29 配置 HostScan 5-1 HostScan 工作流程 5-2 随 AnyConnect 状态模块启用的功能 5-2

11 登录前评估 5-3 登录前策略 5-3 按键记录器检测 5-4 主机仿真检测 5-5 支持按键记录器检测和主机仿真检测的操作系统 5-5 缓存清理器 5-6 HostScan 5-6 基本 HostScan 功能 5-7 终端评估 5-7 高级终端评估 - 防病毒软件 反间谍软件和防火墙修复 5-7 HostScan 支持图表 5-8 为 HostScan 配置防病毒软件应用 5-8 与动态访问策略相集成 5-8 状态模块和独立 HostScan 程序包之间的区别 5-9 AnyConnect 状态模块相关项和系统要求 5-9 相关项 5-9 HostScan CSD 和 AnyConnect 安全移动客户端的互操作性 5-9 系统要求 5-10 许可 5-10 输入激活密钥以支持高级终端评估 5-10 HostScan 程序包 5-10 将多个 HostScan 映像加载至 ASA 时, 启用哪个映像? 5-11 部署 AnyConnect 状态模块和 HostScan 5-12 预部署 AnyConnect 状态模块 5-12 在 ASA 上安装并启用 HostScan 5-13 下载最新的 HostScan 引擎更新 5-13 安装或升级 HostScan 5-13 在 ASA 上启用或禁用 HostScan 5-15 在 ASA 上启用或禁用 CSD 5-15 HostScan 和 CSD 升级和降级 5-15 确定 ASA 上启用的 HostScan 映像 5-16 卸载 HostScan 5-16 卸载 HostScan 程序包 5-16 从 ASA 上卸载 CSD 5-16 将 AnyConnect 状态模块分配至组策略 5-17 HostScan 日志 5-17 为所有的状态模块组件配置日志级别 5-17 状态模块日志文件和位置 5-18

12 在 DAP 中使用 BIOS 序列号 5-18 指定 BIOS 作为 DAP 终端属性 5-19 如何获取 BIOS 序列号 5-19 配置网络安全 6-1 系统要求 6-2 AnyConnect 网络安全模块 6-2 ASA 和 ASDM 要求 6-2 系统限制 6-2 许可要求 6-2 作为独立组件部署的网络安全模块 6-3 作为 AnyConnect 组件部署的网络安全模块 6-3 IPv6 网络流量网络安全行为用户指南 6-3 使用 ASA 时的 AnyConnect 网络安全模块安装步骤 6-3 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 6-4 使用 AnyConnect 安装程序在 Windows 系统中安装网络安全模块 6-4 使用 AnyConnect 安装程序在 Mac OS X 系统中安装网络安全模块 6-5 使用命令行安装操作在 Windows 系统中安装网页安全模块 6-6 创建 AnyConnect 网络安全客户端配置文件 6-7 在客户端配置文件中配置 Cisco Cloud Web Security 扫描代理 6-8 更新扫描代理列表 6-8 网络安全客户端配置文件中的默认扫描代理设置 6-9 对用户显示或隐藏扫描代理 6-9 选择默认扫描代理 6-10 用户如何连接至扫描代理 6-10 指定 HTTP(S) 流量侦听端口 6-11 从网络扫描服务中排除终端流量 6-11 主机例外 6-12 代理例外 6-13 静态例外 6-13 配置网络扫描服务首选项 6-14 配置用户控制和计算扫描代理最快响应时间 6-14 配置安全受信任网络检测 6-15 配置身份验证和发送组成员身份至 Cisco Cloud Web Security 代理 6-16 配置高级网络安全设置 6-18 配置 KDF 侦听端口 6-19 配置服务通信端口 6-20 配置连接超时 6-20 配置 DNS 缓存故障查找 6-21

13 配置调试设置 6-21 配置失效行为 6-21 网络安全日志 6-21 网络安全客户端配置文件 6-21 导出纯文本网络安全客户端配置文件 6-22 导出 DART 套件的纯文本网络安全客户端配置文件 6-22 编辑并从 ASDM 导入纯文本网络安全客户端配置文件 6-22 导出模糊处理网络安全客户端配置文件 6-23 使用独立编辑器创建网络安全客户端配置文件 6-23 配置网络安全的分隔排除策略 6-23 为网络安全客户端配置文件配置 Cisco ScanCenter 托管配置支持 6-24 安全受信任网络检测 6-25 关闭和启用 Cisco AnyConnect 网络安全代理 6-26 使用 Windows 关闭并启用过滤器 6-26 使用 Mac OS X 打开或关闭过滤 6-26 配置 AnyConnect 遥测至 WSA 7-1 系统要求 7-1 ASA 和 ASDM 要求 7-2 AnyConnect 安全移动客户端模块要求 7-2 Cisco IronPort 网络安全设备互操作性的要求 7-2 启用 Cisco IronPort 网络安全设备上的 SenderBase 7-2 安装 AnyConnect 遥测模块 7-3 快速部署 AnyConnect 遥测模块 7-3 AnyConnect 遥测模块互操作性 7-4 AnyConnect VPN 模块 7-5 AnyConnect 模块状态 7-5 第三方防病毒软件 7-5 遥测活动历史记录存储库 7-5 遥测报告 7-6 遥测模块可能对个人信息进行的转移 7-6 遥测工作流程 7-7 URL 加密 7-7 遥测报告加密 7-8 配置遥测客户端配置文件 7-8 配置文件层次结构 7-9 使用 Cisco AnyConnect 客户体验反馈模块 8-1 配置客户体验反馈模块 8-2

14 安装时禁用 8-2 NGE FIPS 和其他安全 9-1 NGE 和 AnyConnect 相关信息 9-1 要求 9-2 指南和限制 9-3 有关使用 NGE 的 AnyConnect 模块 9-3 启用 AnyConnect 核心 VPN 客户端的 FIPS 9-4 使用 MST 文件为 Windows 客户端启用 FIPS 9-4 在 MST 文件中启用 FIPS 和其他本地策略参数 9-4 通过启用 FIPS 工具启用 FIPS 和其他参数 9-5 在本地策略中手动更改本地策略参数 9-6 避免 AnyConnect FIPS 册表更改导致的终端问题 9-6 配置您的更新策略 9-7 更新策略概述 9-7 授权服务器更新行为 9-7 未授权的服务器更新行为 9-8 更新策略指南 9-8 更新策略示例 9-9 AnyConnect 本地策略参数和值 9-10 本地策略文件示例 9-12 为网络接入管理器启用 FIPS 9-13 在网络接入管理器中强制执行 FIPS 模式 9-13 安装 3eTI 驱动程序 9-13 重要说明 eTI CKL 驱动安装程序概述 9-14 不使用命令行选项运行安装程序 9-15 卸载之前的 3eTI 驱动程序软件 9-18 企业部署的无提示驱动程序安装 9-19 在之前未安装网络适配器的情况下安装驱动程序 9-19 手动升级 3eTI 驱动程序软件 9-20 获取 3eTI 驱动安装程序软件 9-25 互操作性指南和要求 10-1 使用隔离限制不合规的客户端 10-1 隔离要求 10-1 配置隔离 10-2 使用 Microsoft Active Directory, 为域用户将安全设备添加至 Internet Explorer 受信任站点列表 10-2 配置与 AnyConnect 和思科安全桌面的 CSA 互操作性 10-3

15 AnyConnect 和传统 VPN 客户端端口信息 10-3 针对子网络流量的客户端分割隧道行为差别 10-4 管理 VPN 身份验证 11-1 配置仅证书身份验证 11-1 AnyConnect 智能卡支持 11-2 避免 SHA 2 证书验证失败 11-2 SDI 令牌 (SoftID) 集成 11-3 本地 SDI 与 RADIUS SDI 对比 11-4 使用 SDI 身份验证 11-4 SDI 身份验证交换类别 11-6 正常 SDI 身份验证登录 11-7 新用户 清除 PIN 和新 PIN 模式 11-7 获得新 PIN 11-7 下一个密码 和 下一个令牌代码 质询 11-9 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 11-9 AnyConnect 和 RADIUS/SDI 服务器交互 11-9 配置安全设备, 以支持 RADIUS/SDI 消息 11-9 自定义和本地化 AnyConnect 客户端和安装程序 12-1 自定义 AnyConnect 12-1 什么可以自定义? 12-2 安装程序 12-2 AnyConnect UI 12-2 用您的自定义组件替换单个 GUI 组件 12-2 用转换文件自定义 GUI 12-4 转换文件示例 12-6 部署使用客户端 API 的可执行文件 12-6 有关创建自定义图标和徽标的信息 12-7 AnyConnect 3.0 及更高版本的推荐图像格式 12-7 对于 Windows 12-7 对于 Linux 对于 Mac OS X 创建和上传 AnyConnect 客户端帮助文件 更改默认的 AnyConnect 英文消息 本地化 AnyConnect 客户端 GUI 和安装程序 本地化 AnyConnect GUI 指定 AnyConnect 客户端平台的系统区域设置 导入可用翻译表格至 ASA 12-18

16 使用 ASDM 翻译表格编辑器进行翻译 通过导出用于编辑的翻译表格进行翻译 本地化 AnyConnect 安装程序屏幕 使用工具创建企业部署的消息目录 AnyConnect 消息模板目录 创建消息目录 合并较新的翻译模板与翻译表格 AnyConnect 会话的管理 监控和故障排除 13-1 AnyConnect 客户端 IGMP v3 数据包的系统日志消息 13-1 断开所有 VPN 会话连接 13-2 断开单个 VPN 会话连接 13-2 查看详细统计信息 13-2 解决 VPN 连接问题 13-3 调整 MTU 大小 13-3 最佳 MTU (OMTU) 13-3 使用 DART 收集故障排除信息 13-3 获取 DART 软件 13-4 安装 DART 13-5 随 AnyConnect 一起安装 DART 13-5 在 Windows 设备上手动安装 DART 13-6 在 Linux 设备上手动安装 DART 13-6 在 Mac OS X 设备上手动安装 DART 13-6 在 Windows 上运行 DART 13-7 在 Linux 或 Mac OS X 上运行 DART 13-8 安装 AnyConnect 客户端 13-9 安装日志文件 13-9 日志文件的网络安装 独立安装日志文件 断开 AnyConnect 或建立初始连接时出现问题 传送流量时出现问题 AnyConnect 发生崩溃 连接至 VPN 服务时出现问题 网络接入管理器的连接 / 驱动程序问题 响应 Microsoft Internet Explorer 的安全警告 响应 由未知颁发机构认证 警告 获取计算机系统信息 获取 Systeminfo 文件转储 13-16

17 检查册表文件 与第三方应用存在冲突 Adobe 和 Apple Bonjour 打印服务 AT&T Communications Manager 6.2 和 6.7 版 AT&T 全球拨号器 Citrix 高级网关客户端版本 防火墙冲突 Juniper Odyssey 客户端 Kaspersky AV 工作站 6.x McAfee 防火墙 Microsoft Internet Explorer Microsoft 路由和远程接入服务器 Microsoft Windows 更新 Microsoft Windows XP Service Pack OpenVPN 客户端 负载平衡器 Wave EMBASSY Trust Suite 分层服务提供程序 (LSP) 模块和 NOD32 AV LSP 故障 2 冲突 LSP 数据吞吐量小故障 3 冲突 EVDO 无线网卡和 Venturi 驱动程序 DSL 路由器无法进行协商 Checkpoint ( 和 Kaspersky 等其他第三方软件 ) 虚拟机网络服务驱动程序的性能问题 Kaspersky 防病毒软件和遥测模块 VPN XML 参考 A-1 本地代理连接 A-2 最佳网关选择 (OGS) A-2 受信任网络检测 A-3 永远在线 VPN 和辅助功能 A-4 采用负载均衡的永远在线 VPN A-6 登录前启动 A-6 Windows 的证书存储区 A-7 限制证书存储区使用 A-7 调配和更新证书的 SCEP 协议 A-7 证书匹配 A-9 自动证书选择 A-13 备份服务器列表参数 A-14

18 Windows 移动策略 A-14 启动时自动连接 A-15 自动重新连接 A-16 服务器列表 A-16 脚本 A-18 身份验证超时控制 A-19 忽略代理 A-19 针对 Windows 用户允许来自 RDP 会话的 AnyConnect 会话 A-20 L2TP 或 PPTP 上的 AnyConnect A-20 其他 AnyConnect 配置文件设置 A-21 遥测 XML 参考 B-1

19 指南简介 本指南介绍如何在中心站点 ASA 上安装 Cisco AnyConnect 安全移动客户端映像, 如何配置部署至远程用户计算机的 AnyConnect, 如何在 ASDM 上为 AnyConnect 配置连接配置文件和组策略, 如何在移动设备上安装 AnyConnect, 以及如何对 AnyConnect 连接进行监控和故障排除 本指南中, 术语 ASA 适用于 Cisco ASA 5500 系列的所有型号 (ASA 5505 和更高版本 ) 对象 本指南适用于执行以下任务之一的管理员 : 管理网络安全 安装和配置 ASA 配置 VPN 约定 本文档使用下列约定 : 约定粗体 说明 命令和关键字及用户输入的文本以粗体显示 斜体 文档标题 新增或强调的术语以及要为其提供值的参数以斜体表示 [ ] 方括号中的元素是可选项 {x y z } 必须的备选关键字集中在大括号内, 以竖线分隔 [ x y z ] 可选的备选关键字集中在方括号内, 以竖线分隔 字符串 不加引号的字符集 请勿将字符串用引号引起来, 否则会将字符串和引号 视为一个整体 courier 字体 系统显示的终端会话和信息以 courier 字体显示 < > 非打印字符 ( 如密码 ) 括在尖括号中 [ ] 系统提示的默认回复括在方括号中!, # 代码行开头的感叹号 (!) 或井字号 (#) 表示释行 xix

20 指南简介 表示读者需要意的地方 提示 表示以下信息有助于您解决问题 意事项 表示读者应当小心 在这种情况下, 操作可能会导致设备损坏或数据丢失 小窍门 表示所述操作可以节省时间 按照该段落中的描述执行操作可以帮助节省时间 相关文档 AnyConnect 安全移动客户端 3.0 版本说明 AnyConnect 安全移动客户端功能 许可证和操作系统, 版本 2.5 Cisco ASA 5500 系列自适应安全设备版本说明 Cisco ASA 5500 系列自适应安全设备安装和升级指南 Cisco ASA 5500 系列自适应安全设备配置指南 Cisco ASA 5500 系列自适应安全设备命令参考 Cisco ASA 5500 系列自适应安全设备错误和系统消息 思科自适应安全设备管理器版本说明 思科自适应安全设备管理器配置指南 ASDM 的在线帮助 思科安全桌面版本说明 思科安全桌面配置指南 有关此产品的开放源代码许可信息, 请访问 获取文档和提交服务请求 关于如何获取文档 提交服务请求和收集详情, 请参阅每月的 What s New in Cisco Product Documentation ( 其中还含有所有最新及修订的思科技术文档 ) 要查看文档, 请前往 : 通过 Really Simple Syndication (RSS) 源的方式订阅思科产品文档更新, 相关内容将通过阅读器应用程序直接发送至您的桌面 RSS 源是一项免费服务, 思科目前支持 RSS 2.0 版本 xx

21 1 第章 AnyConnect 安全移动客户端简介 Cisco AnyConnect 安全移动客户端是下一代 VPN 客户端, 它为远程用户提供到思科 5500 系列自适应安全设备 (ASA) 的安全 IPsec (IKEv2) 或 SSL VPN 连接 AnyConnect 为最终用户提供智能 无缝且 永远在线 的连接体验, 以及覆盖当前激增的受管和非受管移动设备的安全移动性 可从 ASA 或从企业软件部署系统部署 AnyConnect 可以从 ASA 或使用企业软件部署系统部署到远程用户 从 ASA 部署时, 远程用户通过在浏览器中输入配置为接受无客户端 SSL VPN 连接的 ASA 的 IP 地址或 DNS 名称, 建立与该 ASA 的初始 SSL 连接 ASA 会在浏览器窗口中显示登录屏幕 ; 如果用户能通过身份验证并完成登录, ASA 会下载与计算机操作系统匹配的客户端 完成下载后, 客户端会自行安装和配置, 并建立到 ASA 的 IPsec (IKEv2) 或 SSL 连接 可定制和翻译 您可以定制 AnyConnect, 向远程用户显示您自己的公司图像 您可以通过替换默认 GUI 组件对 AnyConnect 进行品牌重塑, 部署您为更广泛的品牌重塑创建的变形, 或部署您自己的使用 AnyConnect API 的客户端 GUI 您还可以将 AnyConnect 或安装程序显示的消息翻译为远程客户所需的语言 可轻松配置您可以使用 ASDM 在客户端配置文件中轻松配置 AnyConnect 的功能, 以及登录前启动 (SBL) 等高级功能 配置文件是提供有关连接设置的基本信息的 XML 文件 对于某些功能, 您还需要配置 ASA ASA 会在 AnyConnect 安装和更新期间部署配置文件 支持的其他模块 Cisco AnyConnect 安全移动客户端 3.1 版将下述模块集成到 AnyConnect 客户端程序包中 : AnyConnect 网络接入管理器 - ( 以前称为思科安全服务客户端 ) 此模块提供第 2 层最佳接入网络的检测和选择, 并对有线网络和无线网络的接入进行设备身份验证 AnyConnect 状态评估 - 为 AnyConnect 安全移动客户端提供识别功能, 让后者能够在创建到 ASA 的远程接入连接前识别安装于主机上的操作系统 防病毒软件 反间谍软件和防火墙软件 根据此登录前评估, 您可以控制允许哪些主机与安全设备建立远程接入连接 主机扫描应用与状态模块一起提供, 用于收集这些信息 AnyConnect 遥感勘测 - 将防病毒软件检测到的有关恶意内容来源的信息发送至 Cisco IronPort 网络安全设备 (WSA) 的网络过滤基础设施, 以便后者利用此数据提供更好的 URL 过滤规则 AnyConnect 网络安全 - 将 HTTP 流量路由至 ScanSafe 网络安全扫描代理服务器, 以进行内容分析 恶意软件检测以及可接受使用政策管理 AnyConnect 诊断和报告工具 (DART) - 捕获系统日志和其他诊断信息的快照并在桌面上创建一个.zip 文件, 以便您可以轻松将故障排除信息发送给 Cisco TAC 1-1

22 AnyConnect 许可证选项 第 1 章 AnyConnect 安全移动客户端简介 AnyConnect 登录前启动 (SBL) - 在 Windows 登录对话框出现前启动 AnyConnect, 并通过此举强制用户在登录至 Windows 前通过 VPN 连接连接至企业基础设施 AnyConnect 客户体验反馈 - 此功能向思科提供客户端信息, 使我们能够深入了解用户体验统计数据 故障事件原因等情况, 以便进一步提高软件质量和用户体验 本章包含以下小节 : 第 1-2 页的 AnyConnect 许可证选项 第 1-5 页的独立选项和 WebLaunch 选项 第 1-6 页的配置和部署概述 第 1-6 页的 AnyConnect 安全移动功能配置指南 第 1-7 页的 API AnyConnect 许可证选项 概述 AnyConnect 安全移动客户端需要激活许可证才能支持 VPN 会话和网络安全 所需许可证数量取决于要使用的 AnyConnect VPN 客户端和安全移动功能, 以及要支持的会话数量 您的部署可能需要以下一个或多个 AnyConnect 许可证 : 许可证说明适用于 : AnyConnect Essentials AnyConnect Premium AnyConnect Mobile AnyConnect Flex 高级终端评估 适用于 AnyConnect 的思科安全移动 适用于思科云网络安全的思科安全移动 支持用于 SSL 和 IPSec VPN 连接的基本 AnyConnect 功能 此许可证规定了可同时支持的远程接入会话的最大数量 支持所有基本 AnyConnect Essentials 功能以及 Premium AnyConnect 客户端功能, 例如 : 基于浏览器的 VPN 接入 思科安全桌面, 以及主机扫描 / 状态模块功能 此许可证规定了可同时支持的远程接入会话的最大数量, 并且此许可证类型可以共享 支持对安全设备的 AnyConnect 移动接入 它可作为 AnyConnect Essentials 或 AnyConnect Premium 许可证的补充, 并需要 AnyConnect Essentials 或 AnyConnect Premium 许可证 Flex 许可证为所有获得许可的功能提供业务连续性支持 启用高级终端评估功能, 如自动修复 需要已激活的 AnyConnect Premium 许可证 支持由 Cisco IronPort 网络安全设备 (WSA) 提供的网络安全功能 许可证名称为 Essentials 或 Premium, 由 ASA 上激活的 AnyConnect 许可证决定 还需要 Cisco IronPort 网络安全设备许可证 支持通过 AnyConnect 网络安全模块提供的安全功能, 使漫游用户受到思科云网络安全 (ScanSafe) 的保护 除思科云网络安全网络过滤和 / 或思科云网络安全恶意软件扫描许可证之外, 此许可证也是必需的 Cisco ASA 8.0(x) 或更高版本 Cisco ASA 8.0(x) 或更高版本 Cisco ASA 8.0(x) 或更高版本 Cisco ASA 8.0(x) 或更高版本 Cisco ASA Cisco WSA 7.0 或更高版本 1-2

23 第 1 章 AnyConnect 安全移动客户端简介 AnyConnect 许可证选项 AnyConnect Essentials 许可证和 AnyConnect Premium 许可证 您可以在 Cisco ASA 8.0(x) 或更高版本上激活 AnyConnect Essentials 许可证或 AnyConnect Premium 许可证, 但不能两种同时激活 如功能表所示, 某些功能需要较新版本的 ASA 请根据您将要使用的 AnyConnect 安全移动功能来选择您要激活的许可证 除 AnyConnect 连接外, 在 ASA 上激活的 AnyConnect Essentials 支持使用思科旧版 VPN 客户端建立的会话, 以及对企业应用的全隧道接入 AnyConnect Essentials 许可证对无客户端 VPN 接入和思科安全桌面无效 用 AnyConnect Premium 许可证激活的 ASA 支持 AnyConnect Essentials 许可证允许的所有接入, 以及下列 AnyConnect 高级功能 : 无客户端 VPN 接入 : 允许远程用户使用浏览器建立 VPN 会话, 并允许特定应用使用浏览器接入该会话 思科安全桌面 : 对基于浏览器的会话和 AnyConnect 会话均适用 登录后永远在线的 VPN: 用户登录计算机后, 自动创建永远在线的 VPN 会话 有关详细信息, 请参阅永远在线 VPN 此功能还包括连接失败策略, 及强制网络门户热点检测和修复 通过在 WSA 上激活适用于 AnyConnect 的思科安全移动许可证, 同时在 ASA 上激活 AnyConnect Essentials 许可证, 也可以启用 永远在线 终端评估 : 确保防病毒软件版本 反间谍软件版本 相关更新定义 防火墙软件版本和企业产权验证检查的选择符合策略, 使会话有权接入 VPN 除如下所述的 AnyConnect Premium 许可证外, 终端修复还需要高级终端评估许可证 隔离 : 使用动态接入策略隔离不合规的 AnyConnect 用户 可使用自定义消息通知用户 以下情况既不需要 AnyConnect Essentials 许可证, 也不需要 AnyConnect Premium 许可证 : 网络接入管理器模块 可免费获得许可, 配合思科无线接入点 无线 LAN 控制器 交换机和 RADIUS 服务器使用 如需在相关思科设备上使用, 必须具备有效的 SMARTnet 合同 DART 模块和客户反馈功能 AnyConnect Mobile 许可证 ASA 上激活的 AnyConnect Mobile 许可证支持移动接入, 但不支持 AnyConnect 功能 它可作为 AnyConnect Essentials 或 AnyConnect Premium 许可证的选配项 AnyConnect 3.1 当前不支持移动设备, 如果您希望连接运行早期版本 AnyConnect 的 Android 或 Apple ios 设备, 则需要在 ASA 上激活此许可证 AnyConnect Flex 许可证 AnyConnect Flex 许可证仅为获得许可的功能提供业务连续性支持 突发事件 ( 如病毒流行 ) 期间, 业务连续性使获得许可的远程接入 VPN 会话的数量增加, 为临时的使用高峰做准备 每个 Flex 许可证都对应特定的 ASA, 可提供 60 天支持 此天数可同时包含连续和间断的天数 1-3

24 AnyConnect 许可证选项 第 1 章 AnyConnect 安全移动客户端简介 高级终端评估许可证 高级终端评估许可证必须与 AnyConnect Premium 许可证一起激活 它可用于启动终端修复 当 ASA 上的连接被动态接入策略 (DAP) 禁止时, 会启动终端修复 仅当软件允许由单独应用启动修复时, 终端修复才会尝试对终端上的防病毒软件 反间谍软件以及个人防火墙保护进行全面修复 如果终端修复成功, DAP 将允许后续连接 适用于 AnyConnect 的思科安全移动许可证 WSA 上激活的适用于 AnyConnect 的思科安全移动许可证, 可为基于浏览器的 SSL 会话和 AnyConnect VPN 会话提供服务, 例如 : 恶意软件防护 可接受使用政策的实施 网络数据泄露防护 通过批准或拒绝所有 HTTP 和 HTTPS 请求, 保护终端不受不安全网站的侵害 为所有 VPN 会话提供互联网使用报告的管理员接入权限 下述情况必须激活适用于 AnyConnect 的思科安全移动许可证 : 要激活 WSA 上的适用于 AnyConnect 的思科安全移动 Premium 许可证, 需要激活 ASA 上的 AnyConnect Premium 许可证或 AnyConnect Essentials 许可证 要激活 WSA 上的适用于 AnyConnect 的思科安全移动 Essentials 许可证, 需要激活 ASA 上的 AnyConnect Essentials 许可证 您无法同时使用 ASA 上激活的 AnyConnect Premium 许可证, 和 WSA 上激活的适用于 AnyConnect 的思科安全移动 Essentials 许可证 登录后永远在线的 VPN 为 Premium 功能, 可通过激活 WSA 上的适用于 AnyConnect 的思科安全移动许可证和 ASA 上的 AnyConnect Essentials 许可证来启用 WSA 上激活的适用于 AnyConnect 的思科安全移动许可证的数量, 必须等于或超出于 ASA 上激活的 AnyConnect 许可证支持的 VPN 会话数量 这种适用于 AnyConnect 的思科安全移动许可证, 无论是 Premium 还是 Essentials, 都是对激活的 Cisco IronPort 网络安全设备许可证的补充 有关详细信息, 请参阅 Cisco IronPort 网络安全设备简介 1-4

25 第 1 章 AnyConnect 安全移动客户端简介 独立选项和 WebLaunch 选项 合并 AnyConnect 许可证 表 1-1 会话许可证许可证选项基本接入移动接入 无客户端接入 登录后永远在线的 VPN 恶意软件防护 可接受使用政策实施和网络数据泄露防护 终端评估 终端修复 AnyConnect Essentials ( 基础许可证 ) + AnyConnect Mobile + 适用于 AnyConnect 的思科安全移动 Essentials + AnyConnect Flex 1 AnyConnect Premium SSL VPN 版本 ( 基础许可证 ) + AnyConnect Mobile + 适用于 AnyConnect 的思科安全移动 Premium + 高级终端评估 + AnyConnect Flex 1 1. Flex 许可证为移动接入 恶意软件防护 可接受使用政策实施 网络数据泄露防护和终端修复功能提供业务连续性支持, 前提是这些功能已获得授权 独立选项和 WebLaunch 选项 用户可在以下模式中使用 AnyConnect: 独立模式 - 允许用户在不使用网络浏览器的情况下建立 AnyConnect 连接 如果您已经在用户 PC 上永久安装 AnyConnect, 用户就可以在独立模式下运行 在独立模式下, 用户像打开其他应用一样打开 AnyConnect, 并在 AnyConnect GUI 字段输入用户名和密码凭证 根据您的系统配置, 用户可能还需要选择组 建立连接后, ASA 检查用户 PC 上的 AnyConnect 版本, 如果需要, 客户端将下载最新版本 WebLaunch 模式 - 允许用户在使用 HTTPS 协议的浏览器的地址或位置字段输入 ASA 的 URL 随后, 用户在登录屏幕输入用户名和密码信息, 选择组, 然后点击提交 (Submit) 如果您指定了标语, 此时会显示该信息, 然后用户通过点击继续 (Continue) 确认该标语 1-5

26 配置和部署概述 第 1 章 AnyConnect 安全移动客户端简介 门户窗口出现 用户点击主窗格上的启动 AnyConnect (Start AnyConnect), 启动 AnyConnect 一系列文档窗口出现 当 连接已建立 (Connection Established) 对话框出现时, 即表示连接已开始工作, 用户可以继续进行在线活动 如需为部署 AnyConnect 程序包而配置 ASA, 务必确保 ASA 是可创建会话的 AnyConnect 版本的单一执行点, 即使您是通过企业软件部署系统部署 AnyConnect 在 ASA 上载入 AnyConnect 程序包时, 请实施一条策略, 仅限不低于 ASA 上所加载版本的版本进行连接 连接至 ASA 时, AnyConnect 会自动升级 或者, 您可以部署一个本地策略文件, 指定客户端是否绕过客户端下载程序, 而不请求 ASA 上的客户端程序包文件 不过, Weblaunch 和自动更新等其他功能会被禁用 配置和部署概述 使用 AnyConnect 配置文件编辑器对配置文件中的 AnyConnect 功能进行配置 ; 然后配置 ASA, 使其在用户通过浏览器与 ASA 建立 VPN 连接时, 自动同时下载该文件和 AnyConnect 客户端 配置文件决定用户界面的显示内容并定义主机计算机的名称和地址 通过为 ASA 上配置的组策略创建并分配不同的配置文件, 可以区分对此类功能的接入 分配到各个组策略后, ASA 根据连接设置自动将配置文件分配给用户 配置文件提供有关连接设置的基本信息, 用户无法对其进行管理或修改 配置文件是 XML 文件, 可用于确定希望允许接入的安全网关 (ASA) 主机 此外, 配置文件还包含其他连接属性和用户限制 对于某些功能, 您可以将配置文件中的部分设置指定为用户可控 AnyConnect GUI 会向终端用户显示这些设置的控件 如果用户具有单一配置文件, 则该配置文件会包含用户所需的所有主机以及所需的其他设置 在某些情况下, 您可能需要向一个用户提供多个配置文件 例如, 在多个地点工作的人员可能需要多个配置文件 但是请意, 配置文件中的某些设置控制着全局的连接体验, 例如 登录前启动 其他设置, 例如适用于特定主机的单独设置, 取决于所选主机 或者, 您可以使用企业软件部署系统将配置文件和客户端作为应用安装到计算机上, 以备稍后接入 AnyConnect 安全移动功能配置指南 AnyConnect 安全移动是可以由您配置的一个功能集, 用于优化 VPN 终端的安全性 要配置所有 AnyConnect 安全移动客户端选项, 请参阅以下部分 : 步骤 1 参考 Cisco AnyConnect 安全移动解决方案指南第 17 页的 配置 AnyConnect 安全移动解决方案的 WSA 支持 一节, 作为配置 WSA 以支持 AnyConnect 的指导 步骤 2 使用 AnyConnect 配置文件编辑器配置以下功能 : 第 3-19 页的受信任网络检测 第 3-21 页的永远在线 VPN 第 3-26 页的永远在线 VPN 的断开连接按钮 第 3-27 页的永远在线 VPN 的连接故障策略 第 3-28 页的强制网络门户热点检测和修复 第 3-37 页的使用 SCEP 配置证书册 1-6

27 第 1 章 AnyConnect 安全移动客户端简介 API API 如需通过其他应用自动建立与 AnyConnect 的 VPN 连接, 可使用应用编程接口 (API), 包括 : 首选项 设置隧道组方法 API 程序包包含文档 源文件和库文件, 可支持 AnyConnect C++ 界面 您可以使用库和示例程序在 Windows Linux 和 Mac OS X 上构建 AnyConnect API 程序包包括 Windows 平台的项目文件 ( 生成文件 ) 对于其他平台, 特定平台脚本会显示如何编译示例代码 您可以将应用 (GUI CLI 或嵌入式应用 ) 链接到此类文件和库 API 仅支持客户端的 VPN 功能 它不支持可选 AnyConnect 模块, 例如网络接入管理器 网络安全和遥感勘测 AnyConnect 辅助功能 AnyConnect 为用户提供不使用鼠标便可控制窗口按钮的功能 以下导航快捷键可协助视力障碍或失明人士使用应用 按键输入 Alt Enter Alt + 箭头键 Alt + 带下划线的字母空格键 Tab Shift+Tab 箭头键 Home End Page Up Page Down 操作将光标移至浏览器菜单栏 用光标选择项目 在浏览器菜单之间移动 转到菜单 切换控制 ; 例如选中和取消选中复选框 移动光标至定位顺序中的下一项或下一个控件组 移动光标至定位顺序中的上一项或上一组 在组内的控件间移动 如果信息长度超过一屏, 可移至窗口顶部 移至用户输入文本行的初始位置 移至用户输入文本行的结尾位置 如果信息长度超过一屏, 可移至窗口底部 向上滚动一个屏幕 向下滚动一个屏幕 1-7

28 AnyConnect 辅助功能 第 1 章 AnyConnect 安全移动客户端简介 1-8

29 2 第章 部署 AnyConnect 安全移动客户端 您可以从 ASA 或通过使用企业软件管理系统 (SMS) 将 Cisco AnyConnect 安全移动客户端部署至远程用户 本章对预部署和网络部署两种情形进行介绍 VPN 隧道由独立启动模式 (AnyConnect 客户端基于 VPN API 组件启动下载程序进程 ) 或网络启动模式 (ActiveX/Java 组件通过网络浏览器从无客户端门户启动下载程序进程 ) 启动 本章包含对所有 AnyConnect 软件包文件名的说明 : 对于 Windows, 我们为每个模块提供标准 Windows 安装程序文件 (.msi) 这些文件使用名为 msiexec 的 Windows 实用程序进行安装 要减小网络部署情形中安装程序的文件大小, 我们还可以提供包含此类.msi 文件的自解压.exe 文件 对于 Mac OS X, 我们提供包含 OS X 标准.pkg ( 或.mpkg) 安装程序的磁盘映像, 使用 OS X 安装程序实用程序进行安装 对于 Linux, 我们提供 GZIP 压缩的.tar 存档文件.tgz 文件 存档文件包含安装文件以及将文件复制到适当位置的安装脚本 除了提供到 ASA 的 SSL 和 IPsec (IKEv2) 安全 VPN 连接的核心 AnyConnect VPN 客户端外, 版本 3.1 还具有以下模块 : 网络接入管理器 状况评估 遥测 网络安全 AnyConnect 诊断和报告工具 (DART) 登录前启动 (SBL) AnyConnect 客户端配置文件简介 Cisco AnyConnect 安全移动客户端功能在 AnyConnect 配置文件中启用 这些配置文件包含核心客户端 VPN 功能的配置设置, 以及可选客户端模块网络接入管理器 状态 遥测和网络安全的配置设置 在 AnyConnect 安装和升级期间, ASA 部署配置文件 用户无法管理或修改配置文件 配置文件可使用 AnyConnect 配置文件编辑器创建, 配置文件编辑器是从 ASDM 启动的基于 GUI 的配置工具 还有面向 Windows 的独立配置文件编辑器, 可作为与 ASDM 集成的配置文件编辑器的备选方案 如果进行客户端的预部署, 您可以使用独立配置文件编辑器创建 VPN 服务和使用软件管理系统部署至计算机的其他模块的配置文件 完整安装配置文件编辑器还为网络接入管理器 网络安全 遥测 客户体验反馈模块和 AnyConnect 客户端本地策略提供了独立编辑器 2-1

30 使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 第 2 章 部署 AnyConnect 安全移动客户端 出于安全考虑, 思科建议您使用配置文件编辑器, 而非手动编辑客户端配置文件 XML 文件 您可以对 ASA 进行配置, 以为所有 AnyConnect 用户全局部署配置文件, 或根据其组策略为用户部署配置文件 通常, 用户安装的每个 AnyConnect 模块均有独立配置文件 在某些情况下, 您可能希望为用户提供多个 VPN 配置文件 在多个地点工作的人员可能需要多个 VPN 配置文件 请意, 某些配置文件设置控制着全局连接体验, 例如 登录前启动 其他设置为特定组策略的独特设置, 取决于客户端下载了哪些组策略 当多个服务器同时可用于一个连接配置文件时,AnyConnect 将配置文件中的服务器列表合并, 并在下拉列表中显示所有服务器 当用户选择某个服务器时,AnyConnect 使用其中包含该服务器的配置文件 但是, 一旦连接, 它便使用 ASA 上配置的配置文件 某些配置文件设置本地存储于用户计算机上的用户首选项文件或全局首选项文件中 用户文件包含 AnyConnect 客户端在客户端 GUI 的 首选项 (Preferences) 选项卡中显示用户可控设置所需的信息, 以及有关用户 组和主机等最新连接信息 网络部署期间, 下载程序将 ASA 上配置的 AnyConnect 配置文件复制到最终用户设备的适当位置 现在, 在预部署期间, 您可以将配置文件放置在与.msi 文件同属的特别命名目录下, 运行时, 安装程序自动将其复制到适当位置 全局文件包含了有关用户可控设置的信息, 以便您在登录前应用此类设置 ( 因无用户 ) 例如, 客户端需要了解 登录前启动 和 / 或 启动时自动连接 在登录前是否启动 有关每个操作系统的文件名和路径信息, 请参阅表 2-13 所有操作系统的配置文件位置 有关创建客户端配置文件的详细信息, 请参阅以下部分 : 第 2-2 页的使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 第 2-34 页的使用独立的 AnyConnect 配置文件编辑器 使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 本节介绍了如何从 ASDM 启动配置文件编辑器并创建新的配置文件 Cisco AnyConnect 安全移动客户端软件包包含可用于所有操作系统的配置文件编辑器 当加载 ASA 上的 AnyConnect 客户端图像时, ASDM 激活配置文件编辑器 如果加载多个 AnyConnect 软件包, 则 ASDM 激活来自最新 AnyConnect 软件包的客户端配置文件编辑器 此方法可确保编辑器显示加载的最新 AnyConnect 的功能, 以及较早版本的客户端 步骤 1 步骤 2 如果未按此完成, 加载 ASA 上的 AnyConnect 客户端图像 请参阅第 2-13 页的配置 ASA 以下载 AnyConnect 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) AnyConnect 客户端配置文件 (AnyConnect Client Profile) 窗格打开 点击添加 (Add) 此时将打开 添加 AnyConnect 客户端配置文件 (Add AnyConnect Client Profile) 窗口 2-2

31 第 2 章 部署 AnyConnect 安全移动客户端 部署 AnyConnect 客户端配置文件 图 2-1 添加 AnyConnect 配置文件 步骤 3 步骤 4 步骤 5 步骤 6 步骤 7 为配置文件指定名称 除非为 配置文件位置 (Profile Location) 指定其他值, 否则, ASDM 会以相同名称在 ASA 闪存上创建客户端配置文件 在 配置文件使用 (Profile Usage) 字段中, 识别正在创建的客户端配置文件类型 :AnyConnect VPN 配置文件 网络接入管理器服务配置文件 网络安全服务配置文件 遥测服务配置文件或客户体验反馈配置文件 选择组策略 ( 可选 ) ASA 将此配置文件应用到组策略中的所有 AnyConnect 用户 点击确定 (OK) ASDM 创建配置文件, 配置文件显示在配置文件表中 选择您刚从配置文件表中创建的配置文件 点击编辑 (Edit) 此时将显示配置文件编辑器 步骤 8 在配置文件编辑器窗格中启用 AnyConnect 功能 完成后, 点击确定 (OK) 步骤 9 点击应用 (Apply), 然后点击保存 (Save) 步骤 10 关闭 ASDM 再重新启动 部署 AnyConnect 客户端配置文件 第 2-4 页的从 ASA 部署 AnyConnect 客户端配置文件 第 2-4 页的部署由独立配置文件编辑器创建的客户端配置文件 2-3

32 部署 AnyConnect 客户端配置文件 第 2 章 部署 AnyConnect 安全移动客户端 从 ASA 部署 AnyConnect 客户端配置文件 按照以下步骤配置 ASA, 以通过 AnyConnect 部署配置文件 : 步骤 1 使用第 2-2 页的 使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 部分创建客户端配置文件 步骤 2 使用与 ASDM 集成的配置文件编辑器为想要安装的模块创建客户端配置文件 请参阅以下章节, 了解有关配置各种客户端配置文件的说明 : 第 3 章, 配置 VPN 接入 客户端 GUI 的 VPN 配置文件服务器列表中必须包含 ASA, 以在第一次连接时显示所有用户可控设置 否则, 无法应用过滤器 例如, 如果创建了证书匹配, 且证书正确匹配标准, 但 ASA 不是该配置文件中的主机条目, 则匹配被忽略 有关更多信息, 请参阅第 3-52 页的 配置服务器列表 部分 步骤 3 第 4 章, 配置网络接入管理器 第 6 章, 配置网络安全 第 7 章, 配置 AnyConnect 遥测至 WSA 第 8 章, 使用 Cisco AnyConnect 客户体验反馈模块 AnyConnect 本地策略参数和值在第 9 章, NGE FIPS 和其他安全 将客户端配置文件与组策略关联 在 ASDM 上, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 步骤 4 选择您要与组关联的客户端配置文件, 点击更改组策略 (Change Group Policy) 步骤 5 在更改配置文件组策略 (Change Group Policy for Profile) 策略名称窗口中, 从 可用组策略 (Available Group Policies) 字段中选择组策略, 点击右箭头将其移至 所选组策略 (Selected Group Policies) 字段 步骤 6 点击确定 (OK) 步骤 7 在 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 页面, 点击应用 (Apply) 步骤 8 点击保存 (Save) 步骤 9 完成配置后, 点击确定 (OK) 部署由独立配置文件编辑器创建的客户端配置文件 请参阅第 2-23 页的使用 SMS 预部署 AnyConnect 模块, 了解有关使用独立配置文件编辑器部署您所创建客户端配置文件的说明 请参阅第 2-34 页的使用独立的 AnyConnect 配置文件编辑器, 了解有关安装和使用独立 AnyConnect 配置文件编辑器的说明 2-4

33 第 2 章 部署 AnyConnect 安全移动客户端 网络部署 AnyConnect 网络部署 AnyConnect 要求 Cisco AnyConnect 安全移动客户端版本 3.1 将模块集成到 AnyConnect 客户端软件包中 如果使用 ASA 部署 AnyConnect,ASA 还可以部署所有可选模块 在网络部署情形中, 由 ASA 头端上部署的软件包中的 AnyConnect 下载程序自动执行安装和升级 在此方案中, 由已安装的 AnyConnect 客户端 ( 独立 ) 或 ActiveX/Java 组件 ( 网络启动 ) 启动下载程序 从 ASA 部署时, 远程用户建立到 ASA 的初始 SSL 连接 远程用户在浏览器中输入已配置为可接受无客户端 SSL VPN 连接的 ASA 的 IP 地址或 DNS 名称 ASA 在浏览器窗口中显示登录屏幕, 如果用户完成登录并通过身份验证, 则可下载匹配计算机操作系统的客户端 完成下载后, 客户端自行安装和配置, 并建立到 ASA 的 IPsec (IKEv2) 或 SSL 连接 第 2-6 页的 ASA 部署的 AnyConnect 文件包 第 2-7 页的确保成功安装 AnyConnect 第 2-13 页的配置 ASA 以下载 AnyConnect 第 2-17 页的启用其他功能模块 第 2-13 页的修改网络部署时的安装程序行为 网络部署使用代码签名进行验证 AnyConnect 代码签名证书的根证书由 VeriSign 发出, 并且具有通用名 : VeriSign 3 级主要公共证书颁发机构 - G5 此证书的可用性和正确配置因客户端操作系统而异 Windows 受信任的根证书颁发机构证书存储区必须有软件制造商安装和信任的 AnyConnect 代码签名证书的 VeriSign CA 根证书 此证书通常由 Microsoft 操作系统更新进行安装, 无需用户或管理员进行操作 OS X 系统密钥链必须有软件制造商安装和受信任的 AnyConnect 代码签名证书的 VeriSign CA 根证书 此证书通常由 Apple 操作系统更新进行安装, 无需用户或管理员进行操作 Linux PEM 证书文件存储区必须有软件制造商安装和受信任的 VeriSign CA 根证书 安装 AnyConnect ( 从 AnyConnect 版本 开始, 位于 /opt/.cisco/certificates/ca) 后, VeriSign CA 根证书存储于 PEM 证书文件存储区 如果证书不在该存储区, 则您必须添加 : 步骤 1 步骤 2 安装 Firefox VeriSign 3 级主要公共证书颁发机构 - G5 根证书颁发机构的信任设置包括对软件制造商进行识别的信任 Firefox 的现代版本包含此 VeriSign CA 根证书 安装 AnyConnect 客户端后, 无需用户或管理员进行其他操作 Firefox 证书存储区的这一要求不适用于在 Linux 上预部署 ( 手动 ) 安装 3.1 AnyConnect 客户端 2-5

34 网络部署 AnyConnect 第 2 章 部署 AnyConnect 安全移动客户端 如果证书和信任不正确, 则网络部署无法安装客户端,AnyConnect 网络门户显示用户可手动下载和安装客户端的链接 用户可以在其 Firefox 浏览器中编辑信任设置并再试一次, 也可以下载客户端自行安装 在安装期间, 客户端用 VeriSign 根对 PEM 存储区进行配置, 检验代码签名证书, 并对 VeriSign 根进行配置 AnyConnect 启动时, 其使用 PEM 存储区的 VeriSign 根进行代码签名验证 在 Firefox 中为 Linux 网络部署设置信任的方法 1. 在 Firefox 工具栏中, 选择编辑 (Edit)-> 首选项 (Preferences) 2. 选择高级 (Advance) 选项卡, 然后选择加密 (Encryption) 子选项卡 3. 选择查看证书 (View Certificates), 然后选择颁发机构 (Authorities) 选项卡 4. 向下滚动并选择 VeriSign 3 级主要公共证书颁发机构 - G5 (VeriSign Class 3 Public Primary Certification Authority - G5) 5. 点击编辑信任 (Edit Trust), 然后选中此证书可识别软件制造商 (This certificate can identify software makers) 限制 不支持相同操作系统加载多个 AnyConnect 软件包到 ASA 如果 ASA 仅有默认内部闪存空间或默认 DRAM 空间 ( 对于高速缓冲存储器 ), 则在 ASA 上存储和加载多个 AnyConnect 客户端软件包时可能出现问题 即使有足够的闪存空间保存软件包文件, 但其解压缩和加载客户端图像时, ASA 可能会耗尽高速缓冲存储器的空间 有关部署 AnyConnect 时及可能对 ASA 内存进行升级时 ASA 内存要求的更多信息, 请参阅 Cisco ASA 5500 系列的最新版本说明 如果升级旧版客户端或可选模块, 将发生以下情况 : 核心客户端的所有以前版本升级, 并保留所有 VPN 配置 思科 SSC 5.x 升级为网络接入管理器模块, 保留所有 SSC 配置, 以与网络接入管理器结合使用, 并删除 SSC 5.x 思科安全桌面使用的主机扫描文件升级, 且两者可共存 不升级或删除思科 IPsec VPN 客户端 ; 但是, 两者可共存 不升级 ScanSafe 网络安全功能, 且不能共存 必须卸载 AnyWhere+ ASA 部署的 AnyConnect 文件包 表 2-1 显示以 ASA 部署 AnyConnect 的 AnyConnect 文件包名称 : 表 2-1 ASA 部署的 AnyConnect 软件包文件名 操作系统加载至 ASA 的 AnyConnect 3.1 网络部署软件包名称 Windows anyconnect-win-(ver)-k9.pkg Mac anyconnect-macosx-i386-(ver)-k9.pkg Linux (32 位 ) anyconnect-linux-(ver)-k9.pkg Linux (64 位 ) anyconnect-linux-64-(ver)-k9.pkg 2-6

35 第 2 章 部署 AnyConnect 安全移动客户端 网络部署 AnyConnect 确保成功安装 AnyConnect 要确保成功将 AnyConnect 安全移动客户端安装于用户计算机, 查看以下章节 : 第 2-7 页的免除对 AnyConnect 流量的网络地址转换 (NAT) 第 2-12 页的不推荐为仅 DES SSL 加密进行 ASA 配置 第 2-12 页的连接移动宽带卡 第 2-12 页的禁用组策略设置 免除对 AnyConnect 流量的网络地址转换 (NAT) 如果您已经配置了 ASA 以实施网络地址转换 (NAT), 您必须免除对 AnyConnect 客户端流量的转换, 以便 AnyConnect 客户端 内部网络和 DMZ 公司资源可以相互发起网络连接 未能免除 AnyConnect 客户端流量转换会阻碍 AnyConnect 客户端和其他公司资源之间的通信 身份 NAT ( 也称为 NAT 免除 ) 允许将地址转换为自身, 有效跳过 NAT 身份 NAT 可应用于两个地址池之间 地址池和子网络之间或两个子网络之间 此过程说明了如何在示例网络拓扑中配置此类假定网络对象 ( 工程 VPN 地址池 销售 VPN 地址池 内部网络 DMZ 网络和互联网 ) 之间的 身份 NAT 每个 身份 NAT 配置需要一个 NAT 规则 表 2-2 配置 VPN 客户端 身份 NAT 的网络寻址 网络或地址池 网络或地址池名称 地址范围 内部网络 内部网络 工程 VPN 地址池 工程 VPN 销售 VPN 地址池 销售 VPN DMZ 网络 DMZ 网络 步骤 1 登录 ASDM 并选择配置 (Configuration) > 防火墙 (Firewall) > NAT 规则 (NAT Rule) 步骤 2 创建 NAT 规则, 以便工程 VPN 地址池的主机可以接入销售 VPN 地址池的主机 在 NAT 规则窗格中, 选择添加 (Add) > 在 网络对象 NAT 规则前添加 NAT 规则 (Add NAT Rule Before Network Object NAT rules), 以便 ASA 在评估 统一 NAT 表的其他规则之前评估此规则 添加 NAT 规则 (Add NAT Rule) 对话框的示例, 请参阅第 2-8 页的图 2-2 在 ASA 软件版本 8.3 中, 以自上而下 首先匹配的方式执行 NAT 规则评估 ASA 将数据包与特定 NAT 规则匹配后, 其不会实施进一步评估 将最确切的 NAT 规则放置于 统一 NAT 表的顶部, 以使 ASA 无法过早地将其与更宽泛的 NAT 规则匹配, 这一点非常重要 2-7

36 网络部署 AnyConnect 第 2 章 部署 AnyConnect 安全移动客户端 图 2-2 添加 NAT 规则 (Add NAT Rule) 对话框 a. 在匹配条件 : 原始数据包 (Match criteria: Original Packet) 区域中, 配置下列字段 : 源接口 (Source Interface): 任意 (Any) 目标接口 (Destination Interface): 任意 (Any) 源地址 (Source Address): 点击 源地址 (Source Address) 浏览按钮, 创建代表工程 VPN 地址池的网络对象 将对象类型定义为地址范围 (Range) 请不要添加自动地址转换规则 示例请参阅图 2-3 目标地址 (Destination Address): 点击 目标地址 (Destination Address) 浏览按钮, 创建代表销售 VPN 地址池的网络对象 将对象类型定义为地址范围 (Range) 请不要添加自动地址转换规则 2-8

37 第 2 章 部署 AnyConnect 安全移动客户端 网络部署 AnyConnect 图 2-3 创建 VPN 地址池的网络对象 步骤 3 b. 在操作 : 转换数据包 (Action: Translated Packet) 区域中, 配置下列字段 : 源 NAT 类型 (Source NAT Type): 静态 (Static) 源地址 (Source Address): 原始 (Original) 目标地址 (Destination Address): 原始 (Original) 服务 (Service): 原始 (Original) c. 在选项 (Options) 区域中, 配置下列字段 : 选中启用规则 (Enable rule) 取消选中或留空转换与此规则匹配的 DNS 应答 (Translate DNS replies that match this rule) 方向 (Direction): 双向 (Both) 说明 (Description): 添加此规则的说明 d. 点击确定 (OK) e. 点击应用 (Apply) 您的规则应类似于第 2-12 页的图 2-5 中统一 NAT 表的规则 1 CLI 示例 : NAT 源静态工程 VPN 工程 VPN 目标静态销售 VPN 销售 VPN (nat source static Engineering-VPN Engineering-VPN destination static Sales-VPN Sales-VPN) f. 点击发送 (Send) 当 ASA 执行 NAT 时, 为使相同 VPN 池中两台主机相互连接, 或是多台主机通过 VPN 隧道接入互联网, 您必须启用启用连接至相同接口的两台或以上主机之间的流量 (Enable traffic between two or more hosts connected to the same interface) 选项 为此, 在 ASDM 上, 选择配置 (Configuration) > 设备设置 (Device Setup) > 接口 (Interfaces) 在接口面板底部, 选中启用连接至相同接口的两台或以上主机之间的流量 (Enable traffic between two or more hosts connected to the same interface), 然后点击应用 (Apply) CLI 示例 : 相同 - 安全 - 流量允许接口 - 接口 (same-security-traffic permit inter-interface) 2-9

38 网络部署 AnyConnect 第 2 章 部署 AnyConnect 安全移动客户端 步骤 4 创建 NAT 规则, 以便工程 VPN 地址池中的主机可以接入工程 VPN 地址池中的其他主机 按步骤 2 的创建流程创建此规则, 但需要将工程 VPN 地址池指定为匹配条件 : 原始数据包 (Match criteria: Original Packet) 区域中的源地址和目标地址 步骤 5 创建 NAT 规则, 以便工程 VPN 远程接入客户端可以接入 内部 网络 在 NAT 规则 (NAT Rules) 窗格中, 选择添加 (Add) > 在 网络对象 NAT 规则前添加 NAT 规则 (Add NAT Rule Before Network Object NAT rules), 以使此规则在其他规则之前进行处理 a. 在匹配条件 : 原始数据包 (Match criteria: Original Packet) 区域中, 配置下列字段 : 源接口 (Source Interface): 任意 (Any) 目标接口 (Destination Interface): 任意 (Any) 源地址 (Source Address): 点击 源地址 (Source Address) 浏览按钮, 并创建代表内部网络的网络对象 将对象类型定义为地址网络 (Network) 请不要添加自动地址转换规则 目标地址 (Destination Address): 点击 目标地址 (Destination Address) 浏览按钮, 选择代表工程 VPN 地址池的网络对象 图 2-4 添加内部网络对象 b. 在操作 : 转换数据包 (Action: Translated Packet) 区域中, 配置下列字段 : 源 NAT 类型 (Source NAT Type): 静态 (Static) 源地址 (Source Address): 原始 (Original) 目标地址 (Destination Address): 原始 (Original) 服务 (Service): 原始 (Original) c. 在选项 (Options) 区域中, 配置下列字段 : 选中启用规则 (Enable rule) 取消选中或留空转换与此规则匹配的 DNS 应答 (Translate DNS replies that match this rule) 方向 (Direction): 双向 (Both) 说明 (Description): 添加此规则的说明 d. 点击确定 (OK) 2-10

39 第 2 章 部署 AnyConnect 安全移动客户端 网络部署 AnyConnect 步骤 6 步骤 7 e. 点击应用 (Apply) 您的规则应类似第 2-12 页的图 2-5 中统一 NAT 表的规则 2 CLI 示例 : NAT 源静态内部网络内部网络目标静态工程 VPN 工程 VPN (nat source static inside-network inside-network destination static Engineering-VPN Engineering-VPN) 按步骤 5 方法创建新规则, 为工程 VPN 地址池和 DMZ 网络之间的连接配置身份 NAT 使用 DMZ 网络作为源地址, 并使用工程 VPN 地址池作为目标地址 创建新的 NAT 规则, 允许工程 VPN 地址池通过隧道接入互联网 在这种情况下, 因为要将源地址从私有地址更改为互联网路由地址, 所以不使用身份 NAT 要创建此规则, 请遵循以下步骤 : a. 在 NAT 规则 (NAT Rules) 窗格中, 选择添加 (Add) > 在 网络对象 NAT 规则前添加 NAT 规则 (Add NAT Rule Before Network Object NAT rules), 以使此规则在其他规则之前进行处理 b. 在匹配条件 : 原始数据包 (Match criteria: Original Packet) 区域中, 配置下列字段 : 源接口 (Source Interface): 任意 (Any) 目标接口 (Destination Interface): 任意 (Any) 选择外部作为操作 : 转换数据包 (Action: Translated Packet) 区域的源地址后, 该字段自动填写为 outside 源地址 (Source Address): 点击 源地址 (Source Address) 浏览按钮, 选择代表工程 VPN 地址池的网络对象 目标地址 (Destination Address): 任意 (Any) c. 在操作 : 转换数据包 (Action: Translated Packet) 区域中, 配置下列字段 : 源 NAT 类型 (Source NAT Type): 动态 PAT ( 隐藏 ) (Dynamic PAT [Hide]) 源地址 (Source Address): 点击 源地址 (Source Address) 浏览按钮, 选择外部 (outside) 接口 目标地址 (Destination Address): 原始 (Original) 服务 (Service): 原始 (Original) d. 在选项 (Options) 区域中, 配置下列字段 : 选中启用规则 (Enable rule) 取消选中或留空转换与此规则匹配的 DNS 应答 (Translate DNS replies that match this rule) 方向 (Direction): 双向 (Both) 说明 (Description): 添加此规则的说明 e. 点击确定 (OK) f. 点击应用 (Apply) 您的规则应类似第 2-12 页的图 2-5 中统一 NAT 表的规则 5 CLI 示例 : NAT( 任意 外部 ) 源动态工程 VPN 接口 (nat (any,outside) source dynamic Engineering-VPN interface) 2-11

40 网络部署 AnyConnect 第 2 章 部署 AnyConnect 安全移动客户端 图 2-5 统一 NAT 表 步骤 8 步骤 9 在配置工程 VPN 地址池以接入自身 销售 VPN 地址池 内部网络 DMZ 网络和互联网后, 您必须为销售 VPN 地址池重复此过程 使用身份 NAT, 以免除对销售 VPN 地址池与自身 内部网络 DMZ 网络以及互联网之间的流量进行网络地址转换 从 ASA 的文件 (File) 菜单中选择保存运行配置到闪存 (Save Running Configuration to Flash), 以执行您的身份 NAT 规则 不推荐为仅 DES SSL 加密进行 ASA 配置 默认情况下,Windows Vista 和 Windows 7 不支持 DES SSL 加密 如果在 ASA 上配置仅 DES, 则 AnyConnect 连接失败 由于为此类操作系统配置 DES 非常困难, 我们不建议针对仅 DES SSL 加密进行 ASA 配置 连接移动宽带卡 禁用组策略设置 一些 3G 或 4G 卡在连接至 AnyConnect 前需要进行配置 例如,Verizon 接入管理器有三种设置 : 调制解调器手动连接 调制解调器自动连接, 漫游时除外 LAN 适配器自动连接如果选择 LAN 适配器自动连接 (lan adapter auto connect), 您可以将首选项设置为 NDIS 模式 NDIS 始终保持连接, 即使 VZAccess 管理器关闭也可保持连接 当为 AnyConnect 安装准备就绪时, VZAccess 管理器将自动连接 LAN 适配器显示为设备连接首选项 检测到 AnyConnect 接口时, 3G 管理器丢弃接口并允许 AnyConnect 连接 当您进入优先级较高的连接时, 有线网络为最高优先级, 之后为 Wi-Fi 移动宽带, AnyConnect 会在断开旧连接之前建立新连接 在 Windows 7 或 Windows Vista 上安装 AnyConnect 时, 必须禁用 AlwaysInstallElevated 或 Windows 用户帐户控制 (UAC) 组策略设置 2-12

41 第 2 章 部署 AnyConnect 安全移动客户端 配置 ASA 以下载 AnyConnect 修改网络部署时的安装程序行为 在 Windows 中, 您可以采用转换方式修改用安装程序实用程序 msiexec 解释属性表的方式 在 ASA 上, 上传转换文件 (.mst), 下载程序在执行安装时会将这些文件应用于.msi ( 如 msiexec /package vpn.msi TRANSFORMS=hello.mst) 思科在下载区为样本转换提供 AnyConnect 说明 未提供用于 Mac OS X 或 Linux 自定义.pkg 行为的标准方式 为允许自定义, 我们创建 ACTtransforms.xml, 它由安装程序进行定位, 并在安装程序运行时进行读取 文件具有以下格式 : <ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms> 例如, 要禁用 Linux 或 Mac OS X 网络部署的 客户体验反馈模块 : 步骤 1 创建 ACTransforms.xml 文件, 然后添加以下要素 : <DisableCustomerExperiencefeedback>true</DisableCustomerExperiencefeedback> 步骤 2 步骤 3 在 ASDM 上, 转到 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 自定义安装程序转换 (Customized Installer Transforms) 上传 ACTransforms.xml 文件 ; 不要更改文件名称 配置 ASA 以下载 AnyConnect 必备条件 详细步骤 回顾第 2-7 页的 确保成功安装 AnyConnect 部分中的步骤, 并执行适用于您企业的步骤 当您启用 AnyConnect 功能时, 必须更新 VPN 终端的模块以使用新功能 为了尽量缩短下载时间, AnyConnect 请求仅下载 ( 从 ASA) 支持其每项功能所需的模块 确定要部署的 AnyConnect 程序包 步骤 1 步骤 2 步骤 3 从思科 AnyConnect 软件下载网页下载最新的 Cisco AnyConnect 安全移动客户端软件包 AnyConnect 文件包列表, 请参阅第 2-6 页的 ASA 部署的 AnyConnect 文件包 部分 指定 Cisco AnyConnect 安全移动客户端软件包文件作为客户端图像 在 ASDM 上, 导航至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端软件 (AnyConnect Client Software) AnyConnect 客户端软件面板显示列出识别为 AnyConnect 图像的客户端文件 ( 可选 ) 默认启用 客户体验反馈 模块 此反馈模块可查看客户使用和已启用的功能和模块 此客户端信息的收集使我们了解了用户体验, 使思科可以继续改善 AnyConnect 的质量 可靠性 性能和用户体验 如果要禁用此功能, 浏览至 ASDM 中的配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 自定义安装程序转换 (Customized Installer Transforms), 选择导入 (Import), 然后导入设置 DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK 属性的转换 2-13

42 配置地址分配方法 第 2 章 部署 AnyConnect 安全移动客户端 步骤 4 要添加 AnyConnect 图像, 点击添加 (Add) 点击浏览闪存 (Browse Flash), 以选择已上传至 ASA 的 AnyConnect 图像 点击上传 (Upload) 浏览至您存储于本地计算机上的 AnyConnect 图像 步骤 5 点击确定 (OK) 或上传 (Upload) 步骤 6 点击应用 (Apply) 配置地址分配方法 您可以使用 DHCP 和 / 或用户指定寻址 您还可以创建本地 IP 地址池并为连接配置文件分配池 本指南以常用地址池方法为例 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 步骤 6 步骤 7 在 ASDM 上, 导航至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 地址池 (Address Pools) 请在 添加 (Add) 窗口中输入地址池信息 导航到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) < AnyConnect 连接配置文件 (AnyConnect Connection Profiles), 并点击启用下表中所选接口的思科 AnyConnect VPN 客户端接入 (Enable Cisco AnyConnect VPN Client access on the interfaces selected in the table below) 复选框 在 连接配置文件 (Connection Profiles) 下, 点击编辑 (Edit), 在连接配置文件中为 AnyConnect 分配地址池 在 编辑 AnyConnect 连接配置文件 (Edit AnyConnect Connection Profile) 窗口中, 从客户端或客户端 IPv6 地址池中进行选择 点击 选择地址池 (Select Address Pools) 窗口中的添加 (Add), 为接口分配地址池 您必须指定允许哪些客户端为组策略的 VPN 隧道协议 导航至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 组策略 (Group Policies) 面板显示 点击编辑 (Edit), 并选择 SSL VPN 作为隧道协议 提示远程用户下载 AnyConnect 默认情况下, 当远程用户使用浏览器进行初始连接时, ASA 不会下载 AnyConnect 用户进行身份验证之后, 默认的无客户端门户页面显示用户可选择下载 AnyConnect 的 启动 AnyConnect 客户端 抽屉 或者, 您可以对 ASA 进行配置, 以立即下载 AnyConnect, 而不会显示无客户端门户页面 您还可以对 ASA 进行配置, 提示远程用户, 在配置时间段内可选择下载 AnyConnect, 或转到无客户端门户页面 您可以为组策略或用户配置该功能 要更改此类登录设置, 请遵循以下步骤 : 步骤 1 在 ASDM 上, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 选择组策略, 然后点击编辑 (Edit) 编辑内部组策略 (Edit Internal Group Policy) 窗口显示 2-14

43 第 2 章 部署 AnyConnect 安全移动客户端 用户升级控制 步骤 2 步骤 3 在导航窗格中, 选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) > 登录设置 (Login Settings) 登录后 (Post Login) 设置显示 如果需要, 取消选中继承 (Inherit) 复选框, 然后选择 登录后 (Post Login) 设置 如果选择提示用户, 请指定超时时段并选择该时段在 默认登录后选择 (Default Post Login Selection) 区域截止时的默认操作 点击确定 (OK), 并确保将更改应用至组策略 如果选择提示用户选择 (Prompt user to choose) 和下载 AnyConnect 客户端 (Download AnyConnect Client), 图 2-6 会显示向远程用户显示的提示 : 图 2-6 向远程用户显示的 登录后 提示 步骤 4 点击保存 (Save) 用户升级控制 您可以强制用户接受客户端更新, 或允许其延迟更新 自动更新 (Auto Update) - 在 VPN 配置文件上启用时, 强制用户接受更新 您还可以配置自动更新, 以便用户可将其禁用, 但这将导致客户端不再获得任何更新 在第 3 章, AnyConnect VPN 配置文件编辑器参数说明 中对自动更新进行了介绍 延迟更新 (Deferred Update) - 当客户端更新可用时,AnyConnect 打开对话框, 询问用户想要现在更新还是延迟更新 通过向 ASA 添加所有自定义属性来启用 延迟更新 (Deferred Update), 然后通过引用和配置将这些组策略归类 Windows Linux 和 OS X 均支持延迟更新 延迟更新自定义属性 采用以下属性和值对 延迟更新 进行配置 要求 必须添加和配置所有自定义属性 自定义属性值区分大小写 2-15

44 用户升级控制 第 2 章 部署 AnyConnect 安全移动客户端 自定义属性 * 有效值默认值备 DeferredUpdateAll owed DeferredUpdateMin imumversion DeferredUpdateDis misstimeout DeferredUpdateDis missresponse true False False True 将启用延迟更新 如果禁用延迟更新 (false), 则忽略以下设置 x.y.z 必须安装可以延迟更新的最低 AnyConnect 版本 最低版本检查适用于在头端上启用的所有模块 如果任何已启用模块 ( 包括 VPN ) 未安装或未达到最低版本, 则连接不符合延迟更新 如果该属性未指定, 则会显示延期提示 ( 或自动取消 ), 无论终端上安装了何种版本 ( 秒 ) 150 秒在自动取消前, 延迟升级提示显示的秒数 此属性只在延迟更新提示显示时适用 ( 首先评估最低版本属性 ) 如果此属性缺失, 禁用自动取消功能, 则会在用户响应前一直显示对话框 ( 如有需要 ) 将此属性设置为零, 在以下情形中强制自动延迟或升级 : DeferredUpdateMinimumVersion 的安装版本和值 DeferredUpdateDismissResponse 的值 延迟更新 更新 发生 DeferredUpdateDismissTimeout 的情况时, 采取行动 步骤 1 连接到 ASDM, 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 高级 (Advanced) > AnyConnect 自定义属性 (AnyConnect Custom Attributes) 步骤 2 点击添加 (Add), 并创建 延迟更新 的自定义属性, 例如 : 图 2-7 添加 自定义属性 到 ASA 步骤 3 步骤 4 步骤 5 点击应用 (Apply), 然后点击保存 (Save) 您可能需要重复此步骤, 对自定义属性的测试进行定义 选择配置 (Configuration) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 编辑要为 延迟更新 进行配置的组策略, 请选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) > 自定义属性 (Custom Attributes) 步骤 6 点击添加 (Add) 2-16

45 第 2 章 部署 AnyConnect 安全移动客户端 启用其他功能模块 步骤 7 步骤 8 选择声明属性名称 (Declared Attribute Name), 选择待配置属性, 并对其进行配置 将剩余的 延迟升级 自定义属性添加至策略, 并使用第 2-15 页的延迟更新自定义属性中的信息对其进行配置 延迟更新 GUI 下图显示了更新可用时用户可见的 UI, 并进行了 延迟更新 配置 图的右边显示了对 DeferredUpdateDismissTimeout 进行配置的 UI 图 2-8 延迟更新 UI 启用其他功能模块 当您启用 AnyConnect 功能时, 必须更新 VPN 终端的模块以使用新功能 为了尽量缩短下载时间, AnyConnect 请求仅下载 ( 从 ASA) 支持其每项功能所需的模块 为启用新功能, 在组策略或用户名配置中, 您必须指定新模块名称 要启用组策略的模块下载, 请遵循以下步骤 : 步骤 1 在 ASDM 上, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 选择组策略, 然后点击编辑 (Edit) 编辑内部组策略 (Edit Internal Group Policy) 窗口显示 步骤 2 在导航窗格中, 选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 在待下载客户端配置文件 (Client Profiles to Download), 点击添加 (Add) 并选择显示关联配置文件用途的所需配置文件名称 将显示以下配置文件用途 : AnyConnect DART - 下载 DART 可用于收集对 AnyConnect 安装和汇总问题有用的故障排除数据 AnyConnect 网络接入管理器 - 此模块提供最佳第 2 层接入网络的检测和选择, 并对有线网络和无线网络的接入进行设备身份验证 AnyConnect SBL - 通过在 Windows 登录对话框出现前启动 AnyConnect, 登录前启动 (SBL) 模块强制用户在登录 Windows 之前连接至企业基础设施 有关您可能要启用 SBL 的原因, 请参阅第 3-12 页的 配置登录前启动 部分 AnyConnect 网络安全 - 将 HTTP 流量路由至 ScanSafe 网络安全扫描代理服务器, 以进行内容分析 恶意软件检测以及可接受使用策略管理 AnyConnect 遥测 - 遥测模块发送有关恶意内容来源的信息至思科 IronPort 网络安全设备 (WSA) 的网络过滤基础设施 2-17

46 启用 IPsec IKEv2 连接 第 2 章 部署 AnyConnect 安全移动客户端 AnyConnect 状态 - 在创建到 ASA 的远程接入连接前, 为 AnyConnect 安全移动客户端提供识别安装于主机上的操作系统 防毒软件 防间谍软件和防火墙软件的功能 根据此登录前评估, 您可以控制哪些主机可获准与安全设备建立远程接入连接 主机扫描应用通过状态模块实现, 是收集此信息的应用 AnyConnect 客户体验反馈 - 此功能向思科提供了客户端信息, 使我们对用户体验统计数据和死机事件等的原因有了深入了解, 以便进一步提高软件质量和用户体验 步骤 3 点击应用 (Apply) 并保存对组策略的更改 如果选择 登录前启动 (Start Before Logon), 您还必须启用 AnyConnect 客户端配置文件上的此功能 有关详细信息, 请参阅第 3 章, 配置 VPN 接入 启用 IPsec IKEv2 连接 此部分提供在 ASA 上启用 IPsec IKEv2 连接的步骤 在 ASA 上加载 AnyConnect 客户端软件包后, 请按照以下步骤为 IPsec IKEv2 连接配置 ASA : 步骤 1 运行 AnyConnect VPN 向导 选择向导 (Wizards) > VPN 向导 (VPN Wizards) > AnyConnect VPN 向导 (AnyConnect VPN Wizard)( 图 2-9) 按向导步骤创建 IPsec IKEv2 连接的基本 VPN 连接 图 2-9 AnyConnect VPN 向导 步骤 2 步骤 3 步骤 4 步骤 5 步骤 6 使用配置编辑器, 编辑 VPN 配置文件的服务器列表条目 在 ASDM 上, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 点击编辑 (Edit) 并从 AnyConnect 客户端配置文件编辑器 (AnyConnect Client Profile Editor) 窗口中选择服务器列表 (Server List) 高亮显示要编辑的服务器, 点击编辑 (Edit), 并选择主要协议 将 VPN 配置文件与要使用的组策略关联 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 编辑组策略并导航至高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 在 待下载客户端配置文件 (Client Profiles to Download) 中, 点击添加 (Add) 并选择配置文件用途 2-18

47 第 2 章 部署 AnyConnect 安全移动客户端 启用 IPsec IKEv2 连接 预部署启用 IKEv2 的客户端配置文件 如果您正在使用软件管理系统对客户端进行预部署, 则必须也同时对启用 IKEv2 的客户端配置文件进行预部署 步骤 1 使用 Winzip 或 7-zip 或类似实用程序, 解压缩.ISO 步骤 2 浏览至此文件夹 : anyconnect-win-3.1.0xxx-pre-deploy-k9\profiles\vpn 步骤 3 步骤 4 步骤 5 复制您用配置文件编辑器 (ASDM 版本或独立版本 ) 创建的 IKEv2/IPSec VPN 配置文件到此文件夹 运行 Setup.exe 以运行安装程序, 并取消选中全选 (Select all), 仅选中 AnyConnect VPN 模块 (AnyConnect VPN Module) 在 ASA 上, 上传相同的客户端配置文件 用虚拟 CD 安装软件预部署客户端配置文件 您也可以使用虚拟 CD 安装软件 ( 如 SlySoft 或 PowerISO) 预部署客户端配置文件 步骤 1 用虚拟 CD 安装软件安装.ISO 步骤 2 安装软件后, 将配置文件部署至相应文件夹, 如表 2-3 所示 : 表 2-3 部署客户端的路径 操作系统 Windows 7 和 Vista Windows XP Mac OS X 和 Linux 目录路径 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\ C:\Document and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile /opt/cisco/anyconnect/profile/ 其他预部署技巧 如果使用的是 MSI 安装程序, MSI 选取放置于客户端配置文件 (Profiles\VPN 文件夹 ) 的任何配置文件, 在安装期间将其放置于相应文件夹 如果安装后手动预部署配置文件, 请手动复制配置文件或使用 SMS ( 例如 Altiris) 部署配置文件到相应文件夹 确保在 ASA 中放置了相同的客户端配置文件 如果客户端配置文件与头端配置文件不匹配, 则可能得到不一致的行为, 包括连接被拒 如果进行预部署, 则有责任确保 ASA 的配置文件与客户端的配置文件匹配 在预部署期间, 如果对 VPN 客户端配置文件进行分配, 则还必须在 ASA 上加载该配置文件 当具有 VPN 配置文件的客户端连接到 ASA 时, 客户端将其配置文件与 ASA 上的配置文件进行对比 如果 ASA 没有配置文件, 则客户端连接可能不会使用预期策略, 如下所述 : 如果 ASA 上的 VPN 客户端配置文件与客户端上的配置文件不同, 且不会对客户端用于连接至 ASA 的组策略进行配置以下载 VPN 配置文件, 则客户端终止连接尝试 这是因为无法执行 ASA 上的 VPN 客户端配置文件定义的策略 如果 ASA 上无 VPN 客户端配置文件, 则客户端使用硬编码 VPN 客户端配置文件设置进行 VPN 连接 ( 包含于预部署安装程序的客户端配置文件属性 ) 2-19

48 预部署 AnyConnect 第 2 章 部署 AnyConnect 安全移动客户端 网络启动客户端 要网络启动 AnyConnect 客户端, 提示用户在浏览器中输入 ASA 的 URL, 登录并下载 AnyConnect 客户端, 格式如下 : 其中 <asa> 是 IP 地址或 ASA 的 FQDN 如果使用 IP 地址, 则请使用公共 IPv4 或安全网关的全局 IPv6 地址 不支持使用链路本地安全网关地址 预部署 AnyConnect 限制 如果在终端连接至 ASA 前, 使用 SMS 为终端提供和安装 AnyConnect 软件, 我们称之为 预部署 如果使用预部署, 则必须特别意安装顺序和其他详细信息 第 2-21 页的预部署软件包文件信息 第 2-21 页的预部署至 Windows 计算机 第 2-27 页的预部署到 Linux 和 Mac OS X 计算机 第 2-30 页的 AnyConnect 文件信息 如果升级旧版客户端或可选模块, 将发生以下情况 : 核心客户端的所有以前版本升级, 并保留所有 VPN 配置 思科 SSC 5.x 升级为网络接入管理器模块, 保留所有 SSC 配置, 以与网络接入管理器结合使用, 并删除 SSC 5.x 思科安全桌面使用的主机扫描文件升级, 且两者可共存 不升级或删除思科 IPsec VPN 客户端 ; 但是, 两者可共存 不升级 ScanSafe 网络安全功能, 且不能共存 必须卸载 AnyWhere+ 在预部署期间, 如果对 VPN 客户端配置文件进行分配, 则还必须在 ASA 上加载该配置文件 当具有 VPN 配置文件的客户端连接到 ASA 时, 客户端将其配置文件与 ASA 上的配置文件进行对比 如果 ASA 没有配置文件, 则客户端连接可能不会使用预期策略, 如下所述 : 如果 ASA 上的 VPN 客户端配置文件与客户端上的配置文件不同, 且不会对客户端用于连接至 ASA 的组策略进行配置以下载 VPN 配置文件, 则客户端终止连接尝试 这是因为无法执行 ASA 上的 VPN 客户端配置文件定义的策略 如果 ASA 上无 VPN 客户端配置文件, 则客户端使用硬编码 VPN 客户端配置文件设置进行 VPN 连接 ( 包含于预部署安装程序的客户端配置文件属性 ) 2-20

49 第 2 章 部署 AnyConnect 安全移动客户端 预部署至 Windows 计算机 预部署软件包文件信息 核心 AnyConnect VPN 客户端和可选模块 ( 例如 SBL AnyConnect 诊断报告工具等 ), 由其自身安装文件或程序进行安装和更新 对于 AnyConnect 版本 3.1,Windows 桌面安装文件包含于 ISO 映像 (*.iso) 中 对于所有其他平台, 您可以按 AnyConnect 版本 2.5 或更早版本的相同方式分配单个安装文件, 分别由您自行决定 操作系统 Windows Mac OS X Linux (32 位 ) Linux (64 位 ) AnyConnect 3.1 预部署软件包名称 anyconnect-win-<version>-k9.iso anyconnect-macosx-i386-<version>-k9.dmg anyconnect-linux-<version>-k9.tar.gz anyconnect-linux-64-<version>-k9.tar.gz 预部署至 Windows 计算机 适用于 Windows 计算机 ( 台式机, 非笔记本 ) 的 AnyConnect 3.1 预部署安装位于一个 ISO 映像中 ISO 软件包文件包含安装实用程序 启动单个组件安装程序的选择器菜单程序以及核心和可选 AnyConnect 模块的 MSI 以下章节介绍如何对 Windows 计算机进行预部署 : 第 2-21 页的使用 ISO 文件 第 2-22 页的准则和限制 第 2-22 页的使用预部署安装实用程序 第 2-23 页的使用 SMS 预部署 AnyConnect 模块 第 2-27 页的修改预部署期间的安装程序行为 使用 ISO 文件 包含程序和执行安装程序以部署至用户计算机的 ISO 软件包文件中捆绑了预部署软件包 当您部署 ISO 软件包文件时, 安装程序 (setup.exe) 运行和部署安装实用程序菜单, 这是一个可让用户选择要安装的 AnyConnect 模块的方便 GUI 如果愿意, 可以将 ISO 映像的单个安装程序拆分, 进行手动分配 预部署软件包内的每个安装程序可以单独运行 当您启动 AnyConnect 核心客户端的.msi 安装程序时, 管理员必须接受终端用户许可协议 (EULA) 部署文件的顺序非常重要 有关详情, 请参阅使用 SMS 预部署 AnyConnect 模块 文件 目的 GUI.ico AnyConnect 图标图像 Setup.exe 启动安装实用程序 (setup.hta) anyconnect-dart-win-<version>-k9.msi DART 可选模块的 MSI 安装程序文件 anyconnect-gina-win-<version>-pre-deploy-k9.msi SBL 可选模块的 MSI 安装程序文件 anyconnect-nam-win-<version>.msi 网络接入管理器可选模块的 MSI 安装程序文件 anyconnect-posture-win-<version>-pre-deploy-k9.msi 状态可选模块的 MSI 安装程序文件 2-21

50 预部署至 Windows 计算机 第 2 章 部署 AnyConnect 安全移动客户端 文件 anyconnect-telemetry-win-<version>-pre-deploy-k9.msi anyconnect-websecurity-win-<version>-pre-deploy-k9.msi anyconnect-win-<version>-pre-deploy-k9.msi autorun.inf cues_bg.jpg setup.hta update.txt 目的遥测可选模块的 MSI 安装程序文件 网络安全可选模块的 MSI 安装程序文件 AnyConnect 核心客户端的 MSI 安装程序文件 setup.exe 的设置信息文件 安装实用程序 GUI 的背景图像 安装实用程序 HTML 应用 (HTA) 您可以自定义此程序 列出 AnyConnect 版本号的文本文件 准则和限制 重置系统 MTU 使用 Windows 安装程序选项, 您可以选择重置所有适配器的 MTU 每个 MSI 安装程序均支持通用属性 (RESET_ADAPTER_MTU), 当设置为 1 时, 该属性会使安装程序将所有 Windows 网络适配器 MTU 重置为默认值 您必须重新启动以使更改生效 仅 VPN 安装程序包含此选项 如下设置命令行参数 :msiexec/package anyconnect-win-ver-pre-deploy-k9.msi/passive RESET_ADAPTER_MTU=1 启动 ActiveX 控件 AnyConnect 预部署 VPN 软件包之前默认安装了 VPN WebLaunch ActiveX 控件 启动 AnyConnect 3.1, VPN ActiveX 控件的安装默认关闭 此更改支持最安全配置为默认行为 预部署 AnyConnect 客户端和可选模块时, 如果要随 AnyConnect 一起安装 VPN ActiveX 控件, 则必须使用 msiexec 或转换 NOINSTALLACTIVEX=0 选项 使用预部署安装实用程序 用户采用安装实用程序选择想要安装的项目 默认情况下, 选中所有组件的复选框 如果可接受, 用户可以点击 安装 (Install) 按钮, 并同意列于 待安装选项 (Selections To Install) 对话框的组件 程序根据其选择确定了要安装的组件 安装实用程序是包含在 ISO 软件包文件中名为 setup.hta 的 HTML 应用 (HTA) 您可以根据需要任意更改此程序 根据您的偏好对实用程序进行自定义 每个安装程序安静地运行 如果安装程序需要用户重新启动计算机, 则会在最后的安装程序运行后通知用户 安装实用程序无法启动重新启动 如果部署核心客户端和一个或多个可选模块, 您必须为每个安装程序应用锁定属性 此操作为单向操作, 无法删除, 除非重新安装产品 此选项可用于 VPN 安装程序 网络接入管理器安装程序和网络安全安装程序 2-22

51 第 2 章 部署 AnyConnect 安全移动客户端 预部署至 Windows 计算机 使用 SMS 预部署 AnyConnect 模块 预部署 AnyConnect 模块时, 管理员需要将预部署模块和相应客户端配置文件 ( 如果模块需要 ) 复制到终端 对于此类预部署, 您不需要安装 VPN 客户端, 某些模块可以在独立模式下运行 如果使用网络接入管理器, 则预部署 Windows 时, 您应该选择隐藏图标和通知 (Hide icon and notifications) 选项隐藏 Microsoft 网络 (Network) 图标 默认情况下, 图标为仅显示通知模式, 提醒您更改和更新 这些模块需要 AnyConnect 客户端配置文件 : AnyConnect VPN 模块 AnyConnect 遥测模块 AnyConnect 网络接入管理器模块 AnyConnect 网络安全模块这些功能不需要 AnyConnect 客户端配置文件 : AnyConnect VPN 登录前启动 AnyConnect 诊断和报告工具 AnyConnect 状态模块 AnyConnect 客户体验反馈模块预部署模块需要按第 2-23 页的 使用 SMS 预部署 AnyConnect 模块 部分所述的顺序安装 要求 在 Windows 7 或 Windows Vista 上安装 AnyConnect 时, 必须禁用 AlwaysInstallElevated 或 Windows 用户帐户控制 (UAC) 组策略设置 如果预部署客户端配置文件, 请确保将相同客户端配置文件放置于 ASA 如果客户端尝试连接与头端上的配置文件不匹配的配置文件, 则可能得到不一致的行为, 包括连接被拒 在预部署期间, 如果对 VPN 客户端配置文件进行分配, 则还必须在 ASA 上加载该配置文件 当具有 VPN 配置文件的客户端连接到 ASA 时, 客户端将其配置文件与 ASA 上的配置文件进行对比 如果 ASA 没有配置文件, 则客户端连接可能不会使用预期策略, 如下所述 : 如果 ASA 上的 VPN 客户端配置文件与客户端上的配置文件不同, 且不会对客户端用于连接至 ASA 的组策略进行配置以下载 VPN 配置文件, 则客户端终止连接尝试 这是因为无法执行 ASA 上的 VPN 客户端配置文件定义的策略 如果 ASA 上无 VPN 客户端配置文件, 则客户端使用硬编码 VPN 客户端配置文件设置进行 VPN 连接 ( 包含于预部署安装程序的客户端配置文件属性 ) 详细步骤 步骤 1 从 cisco.com 下载 anyconnect-win-<version>-pre-deploy-k9.iso 步骤 2 步骤 3 使用 Winzip 或 7-zip 或类似实用程序解压缩.iso 文件内容 对于需要客户端配置文件的模块, 请使用与 ASDM 集成的配置文件编辑器或独立的配置文件编辑器创建待安装模块的客户端配置文件 请参阅以下章节, 了解有关配置各种客户端配置文件的说明 : 第 3 章, 配置 VPN 接入 第 4 章, 配置网络接入管理器 2-23

52 预部署至 Windows 计算机 第 2 章 部署 AnyConnect 安全移动客户端 第 6 章, 配置网络安全 第 7 章, 配置 AnyConnect 遥测至 WSA 第 8 章, 使用 Cisco AnyConnect 客户体验反馈模块 第 9 章, NGE FIPS 和其他安全 步骤 4 一旦创建客户端配置文件, 请将其复制到您从.iso 文件中解压缩的相应目录中 : Profiles\vpn Profiles\nam Profiles\websecurity Profiles\telemetry 步骤 5 参阅第 2-21 页的 使用 ISO 文件 部分, 识别专为预部署 AnyConnect 模块设计的软件包 在 Windows 7 或 Windows Vista 上安装 AnyConnect 时, 必须禁用 AlwaysInstallElevated 或 Windows 用户帐户控制 (UAC) 组策略设置 步骤 6 步骤 7 通过软件管理系统, 将预部署软件包和包含客户端配置文件的配置文件 (Profiles) 目录部署到终端 确保在 ASA 上的配置文件与客户端上的配置文件匹配 用第 2-25 页的 打包企业软件部署系统的 MSI 文件 部分中所述的步骤按第 2-23 页的 使用 SMS 预部署 AnyConnect 模块 部分中定义的顺序安装 AnyConnect 模块 为 Windows 安装 AnyConnect 模块 ( 推荐顺序 ) 必备条件 详细步骤 如果愿意, 可以将 ISO 映像的单个安装程序拆分, 进行手动分配 预部署软件包内的每个安装程序可以单独运行 使用压缩文件实用程序查看和解压缩.iso 文件中的文件 如果您手动分配文件, 则必须处理所选组件之间的相关性 核心客户端 MSI 包含所有 VPN 功能组件和可选模块需要使用的通用组件 进行安装前, 这些安装程序会检查是否存在相同版本的核心客户端 可选模块的安装程序需要安装相同版本的 AnyConnect 3.1 核心客户端 如果不匹配, 则无法安装可选模块, 安装程序通知用户不匹配 如果您使用安装实用程序, 则同时构建和打包软件包模块, 版本始终匹配 步骤 1 安装 AnyConnect 核心客户端模块, 以安装 GUI 和 VPN 功能 (SSL 和 IPsec) 步骤 2 步骤 3 安装 AnyConnect 诊断和报告工具 (DART) 模块, 以提供有关 AnyConnect 核心客户端安装的有用诊断信息 以任意顺序安装 SBL 网络接入管理器 网络安全或状态模块 2-24

53 第 2 章 部署 AnyConnect 安全移动客户端 预部署至 Windows 计算机 如果有 Windows 2008R2 服务器, 在尝试安装 AnyConnect 网络接入管理器时, 可能会发生安装错误 默认情况下, 服务器操作系统上未安装 WLAN 服务, 因此, 您必须安装并重新启动 PC 步骤 4 安装遥测模块, 这需要状态模块 可选模块的单个安装程序在安装前检查所安装核心 VPN 客户端的版本 核心和可选模块的版本必须匹配 如果不匹配, 则无法安装可选模块, 安装程序通知用户不匹配 如果您使用安装实用程序, 则同时构建和打包软件包模块, 版本始终匹配 为 Windows 卸载 AnyConnect 模块 ( 推荐顺序 ) 详细步骤 步骤 1 卸载遥测模块 步骤 2 以任意顺序卸载网络接入管理器 网络安全 状态或 SBL 步骤 3 卸载 AnyConnect 核心客户端 步骤 4 卸载 DART 如果卸载过程失败, DART 信息会很有用 根据设计, 卸载 AnyConnect 后, 一些 XML 文件仍然保留 打包企业软件部署系统的 MSI 文件 该部分提供使用企业软件部署系统部署 AnyConnect 客户端和可选模块所需的信息, 包括 MSI 安装命令行调用和部署配置文件的位置 : 第 2-26 页的 MSI 安装命令行调用 第 2-26 页的 Windows 锁定选项 第 2-32 页的部署 AnyConnect 配置文件的位置 第 2-26 页的隐藏添加 / 删除程序列表中的 AnyConnect 2-25

54 预部署至 Windows 计算机 第 2 章 部署 AnyConnect 安全移动客户端 MSI 安装命令行调用 安装模块 AnyConnect 核心客户端无 VPN 功能 安装独立网络接入管理器或网络安全模块时, 请使用 AnyConnect 核心客户端有 VPN 功能 客户体验反馈 诊断和报告工具 (DART) SBL 网络接入管理器 网络安全 状态 遥测 命令和日志文件 msiexec /package anyconnect-win-ver-pre-deploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* anyconnect-win-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-win-ver-pre-deploy-k9.msi /norestart /passive /lvx* anyconnect-win-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-win-ver-pre-deploy-k9.msi /norestart /passive DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK=1 /lvx* anyconnect-win-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-dart-win-ver-k9.msi /norestart /passive /lvx* anyconnect-dart-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-gina-win-ver-k9.msi /norestart /passive /lvx* anyconnect-gina-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-nam-win-ver-k9.msi /norestart /passive /lvx* anyconnect-nam-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-websecurity-win-ver-pre-deploy-k9.msi /norestart/passive /lvx* anyconnect-websecurity-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-posture-win-ver-pre-deploy-k9.msi /norestart/passive /lvx* anyconnect-posture-<version>-pre-deploy-k9-install-datetimestamp.log msiexec /package anyconnect-telemetry-win-ver-pre-deploy-k9.msi /norestart /passive /lvx* anyconnect-telemetry-<version>-pre-deploy-k9-install-datetimestamp.log Windows 锁定选项 对于托管 AnyConnect 安全移动客户端的设备, 思科建议对最终用户给予有限权限 如果最终用户确保其他权利, 则安装程序可提供锁定功能, 防止用户和本地管理员关闭或停止终端上设置为锁定的 Windows 服务 在网络安全模块中, 您可以使用服务密码将客户端设置为绕过模式 每个 MSI 安装程序支持通用属性 (LOCKDOWN), 当该属性为非零值设置时, 可防止与安装程序相关的 Windows 服务被终端设备上的用户或本地管理员控制 我们建议您使用安装时提供的示例转换来设置该属性, 并将转换应用至您想锁定的每个 MSI 安装程序 锁定选项也是 ISO 安装实用程序中的一个复选框 隐藏添加 / 删除程序列表中的 AnyConnect 您可以对查看 Windows 添加 / 删除程序列表的用户隐藏安装的 AnyConnect 模块 如果使用 ARPSYSTEMCOMPONENT=1 启动任何安装程序, 模块不会在 Windows 添加 / 删除程序列表中显示 我们建议您使用我们提供的示例转换来设置该属性, 并将转换应用至您想隐藏的每个模块的 MSI 安装程序 2-26

55 第 2 章 部署 AnyConnect 安全移动客户端 预部署到 Linux 和 Mac OS X 计算机 提示用户将网络接入管理器和网络安全作为独立应用进行安装 您可以使用上述 MSI 安装命令行调用表中的命令, 在用户计算机上将 AnyConnect 模块网络接入管理器和网络安全作为独立应用部署 客户端读取所有 VPN 客户端配置文件 如果任何配置文件的 <ServiceDisable> 设置为 true, 则 VPN 被禁用 详细步骤 步骤 1 如果为用户部署安装实用程序, 提示用户检查 : AnyConnect 网络接入管理器和 / 或 AnyConnect 网络安全模块 步骤 2 提示用户取消选中思科 AnyConnect VPN 模块 这样会禁用核心客户端的 VPN 功能, 并且, 安装实用程序将网络接入管理器和网络安全作为无 VPN 功能的独立应用进行安装 步骤 3 运行可选模块的安装程序, 其可在没有 VPN 服务的情况下使用 AnyConnect GUI 1. 弹出对话框确认了独立网络接入管理器和 / 或独立网络安全模块的选择 2. 当用户点击 确定 (OK) 后, 安装实用程序调用带 PRE_DEPLOY_DISABLE_VPN=1 设置的 AnyConnect 3.1 核心安装程序 3. 安装实用程序删除所有的现有 VPN 配置文件, 然后安装 VPNDisable_ServiceProfile.xml 4. 安装实用程序调用网络接入管理器安装程序和 / 或网络安全安装程序 5. 在计算机上启用不带 VPN 服务的 AnyConnect 3.1 网络接入管理器和 / 或网络安全模块 如果之前安装于计算机的网络接入管理器不存在, 则用户必须重新启动计算机以完成网络接入管理器安装 此外, 如果是需要升级一些系统文件的安装升级, 则用户必须重新启动 修改预部署期间的安装程序行为 您可以使用命令行指定安装程序属性和控制正常安装行为 如 msiexec /package vpn.msi SOME_PROPERTY=1 等命令将安装程序参数传递至 msiexec 您可以在同一命令行上传递多个属性 在 Windows 中, 您还可以采用转换方式修改用安装程序实用程序 msiexec 解释属性表的方式 在 ASA 上, 上传转换文件 (.mst), 下载程序在执行安装时会将这些文件应用于.msi ( 如 msiexec /package vpn.msi TRANSFORMS=hello.mst) 预部署到 Linux 和 Mac OS X 计算机 以下部分包含有关预部署到 Linux 和 Mac OS X 计算机的具体信息, 并包含以下章节 : 第 2-28 页的修改安装程序行为 第 2-28 页的禁用 Mac OS X 客户体验反馈模块安装 第 2-29 页的安装 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 2-27

56 预部署到 Linux 和 Mac OS X 计算机 第 2 章 部署 AnyConnect 安全移动客户端 第 2-29 页的卸载 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 第 2-29 页的限制系统上的应用 第 2-30 页的使用 Firefox 验证服务器证书 修改安装程序行为 未提供用于 Mac OS X 或 Linux 自定义.pkg 行为的标准方式 要允许执行所需的自定义, 我们创建 ACTtransforms.xml, 它由安装程序进行定位, 并在安装程序运行时进行读取 您必须将文件放置于与安装程序相关的特定位置 安装程序按此顺序搜索, 查看是否找到修改 : 1. 与.pkg 安装程序文件相同目录中的 配置文件 目录中 2. 安装的磁盘映像卷的根中的 配置文件 目录中 3. 与.dmg 文件相同目录中的 配置文件 目录中 XML 文件具有以下格式 : <ACTransforms> <PropertyName1>Value</PropertyName1> <PropertyName2>Value</PropertyName2> </ACTransforms> 例如, ACTtransforms.xml 属性为 DisableVPN, 以创建网络接入管理器或网络安全的 独立 部署 禁用 Mac OS X 客户体验反馈模块安装 默认启用 客户体验反馈 模块 此反馈模块可查看客户使用和已启用的功能和模块 此客户端信息的收集使我们了解了用户体验, 使思科可以继续改善 AnyConnect 的质量 可靠性 性能和用户体验 在预部署期间, 禁用 Mac OS X 的此功能 步骤 1 创建 ACTransforms.xml 文件, 然后添加以下要素 : <DisableCustomerExperiencefeedback>true</DisableCustomerExperiencefeedback> 步骤 2 使用磁盘实用程序或命令将 dmg 从 只读 转换为 可读写 hdiutil convert anyconnect-macosx-i386-ver-k9.dmg -format UDRW -o anyconnect-macosx-i386-ver-k9-rw.dmg 禁用 Linux 客户体验反馈模块安装 禁用预部署客户体验反馈模块 步骤 1 创建 ACTransforms.xml 文件, 然后添加以下要素 : <DisableCustomerExperiencefeedback>true</DisableCustomerExperiencefeedback> 步骤 2 解压缩 AnyConnect 预部署文件, anyconnect-predeploy-<os, version>.tar.gz 2-28

57 第 2 章 部署 AnyConnect 安全移动客户端 预部署到 Linux 和 Mac OS X 计算机 步骤 3 步骤 4 在扩展目录中创建 /profile 目录, 并添加编辑的 ACTransforms.xml 文件到预部署安装包的 /profiles 目录中 压缩并备份更新的安装包 安装 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 要求 详细步骤 您可以拆分 Linux 和 Mac 的单个安装程序并进行手动分配 预部署软件包内的每个安装程序可以单独运行 使用压缩文件实用程序查看和解压缩 tar.gz 或.dmg 文件中的文件 要正确操作 Mac OS X, AnyConnect 需要的最小显示分辨率为 1024 * 640 步骤 1 安装 AnyConnect 核心客户端模块, 以安装 GUI 和 VPN 功能 (SSL 和 IPsec) 步骤 2 安装 DART 模块, 以为 AnyConnect 核心客户端安装提供有用的诊断信息 步骤 3 安装状态模块 卸载 Linux 和 Mac OS X 模块 ( 推荐顺序 ) 详细步骤 步骤 1 卸载状态模块 步骤 2 卸载 AnyConnect 核心客户端 步骤 3 卸载 DART 如果卸载过程失败, DART 信息会很有用 限制系统上的应用 Mac OS X 10.8 引入了名为 网关守卫 的新功能, 该功能对允许在系统上运行的应用进行了限制 您可以选择允许从以下途径下载应用 : Mac 应用商店 (Mac App Store) Mac 应用商店和指定开发人员 (Mac App Store and identified developers) 任何地点 (Anywhere) 默认设置为 Mac 应用商店和指定开发人员 (Mac App Store and identified developers) ( 签名的应用 ) AnyConnect 版本 3.1 是签名的应用, 但并非以 Apple 证书签署 这意味着您必须选择 任何地点 (Anywhere) 设置或使用 Ctrl 键绕过选定的设置, 以从预部署安装实现 AnyConnect 的安装和运行 进行网络部署或已安装 AnyConnect 的用户不受影响 有关详细信息, 请参阅 :

58 AnyConnect 文件信息 第 2 章 部署 AnyConnect 安全移动客户端 使用 Firefox 验证服务器证书 在 Linux 设备上安装 AnyConnect 后, 以及首次尝试 AnyConnect 连接之前, 请打开 Firefox 浏览器 AnyConnect 使用 Firefox 验证服务器证书 打开 Firefox 时, 创建配置文件, 未创建配置文件便无法将服务器证书验证为受信任证书 如果选择不使用 Firefox, 则您必须配置本地策略以排除 Firefox 证书存储区, 同时还需要配置 PEM 存储区 AnyConnect 文件信息 本部分通过以下章节提供用户计算机上 AnyConnect 文件的位置信息 : 第 2-30 页的终端计算机上的模块文件名 第 2-34 页的安装于本地计算机的用户首选项文件 第 2-32 页的部署 AnyConnect 配置文件的位置 终端计算机上的模块文件名 当您预部署或 ASA 部署客户端时, 表 2-4 为每种操作系统类型在终端计算机上显示 AnyConnect 文件名 : 表 2-4 ASA 或预部署的 AnyConnect 核心文件名 AnyConnect 3.1 核心 网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-win-(ver)-web-deploy-k9.exe anyconnect-win-(ver)-pre-deploy-k9.msi Mac anyconnectsetup.dmg anyconnect-macosx-i386-(ver)-k9.dmg Linux anyconnectsetup.sh anyconnect-linux-(ver)-k9.tar.gz (32-bit) anyconnect-linux-64-(ver)-k9.tar.gz (64-bit) 当您预部署或 ASA 部署客户端时, 表 2-5 为每种操作系统类型在终端计算机上显示 DART 文件名 在版本 之前, 需要单独下载 (.dmg.sh 或.msi 文件 ) 网络部署的 DART 组件 而版本 或更高版本将 DART 组件包含于.pkg 文件中 表 2-5 ASA 或预部署的 DART 软件包文件名 议价授权请求工具 (DART) 网络部署文件名和软件包 ( 已下载 ) 预部署安装程序 Windows 版本 或更高版本 : anyconnect-win-(ver)-k9.pkg anyconnect-win-(ver)-pre-deploy-k9.iso 版本 之前 : anyconnect-dart-win-(ver)-k9.msi* Mac 版本 或更高版本 : anyconnect-macosx-i386-(ver)-k9.pkg anyconnect-dart-win-(ver)-k9.msi* anyconnect-macosx-i386-(ver)-k9.dmg 2-30

59 第 2 章 部署 AnyConnect 安全移动客户端 AnyConnect 文件信息 议价授权请求工 具 (DART) 网络部署文件名和软件包 ( 已下载 ) 预部署安装程序 版本 之前 : anyconnect-dartsetup.dmg Linux 版本 或更高版本 : anyconnect-linux-(ver)-k9.pkg (32-bit) anyconnect-linux-64-(ver)-k9.pkg (64-bit) 版本 之前 : anyconnect-dartsetup.sh anyconnect-dart-macosx-i386-(ver)-k9.dmg anyconnect-predeploy-linux-(ver)-k9.tar.gz (32-bit) anyconnect-predeploy-linux-64-(ver)-k9.tar.gz (64-bit) anyconnect-dart-linux-(ver)-k9.tar.gz *ISO 映像 (*.iso) 中包含网络部署和预部署软件包 ISO 映像文件包含程序和要部署至用户计算机的 MSI 安装程序文件 当您预部署或 ASA 部署客户端到 Windows 计算机时, 表 2-6 显示在终端计算机上的 SBL 文件名 : 表 2-6 ASA 或预部署的登录前启动软件包文件名 SBL (Gina) 网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-gina-win-(ver)-web-deploy-k9.exe anyconnect-gina-win-(ver)-pre-deploy-k9.msi 当您预部署或 ASA 部署客户端到 Windows 计算机时, 表 2-7 显示在终端计算机上的网络接入管理器文件名 : 表 2-7 ASA 或预部署的网络接入管理器文件名 网络接入管理器 网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-nam-win-(ver)-k9.msi anyconnect-nam-win-(ver)-k9.msi 当您预部署或 ASA 部署客户端时, 表 2-8 为每种操作系统类型在终端计算机上显示状态模块文件名 : 表 2-8 ASA 或预部署的状态模块文件名 状态 网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-posture-win-(ver)-web-deploy-k9.msi anyconnect-posture-win-(ver)-pre-deploy-k9.msi Mac anyconnect-posturesetup.dmg anyconnect-posture-macosx-i386-(ver)-k9.dmg Linux anyconnect-posturesetup.sh anyconnect-posture-linux-(ver)-k9.tar.gz Linux-64 anyconnect-posturesetup.sh anyconnect-posture-linux-(ver)-k9.tar.gz 2-31

60 AnyConnect 文件信息 第 2 章 部署 AnyConnect 安全移动客户端 当您预部署或 ASA 部署客户端时, 表 2-9 显示在终端计算机上的遥测模块文件名 : 表 2-9 ASA 或预部署的遥测文件名 遥测 网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-telemetry-win-(ver)-web-deploy-k9.exe Dependent upon installation of anyconnect-posture-win-(ver)-web-deploy-k9.msi anyconnect-telemetry-win-(ver)-pre-deploy-k9.msi Dependent upon installation of anyconnect-posture-win-(ver)-pre-deploy-k9.msi 当您预部署或 ASA 部署客户端时, 表 2-10 显示在终端计算机上的网络安全模块文件名 : 表 2-10 ASA 或预部署的网络安全文件名 网络安全网络部署安装程序 ( 已下载 ) 预部署安装程序 Windows anyconnect-websecurity-win-(ver)-web-deploy-k9.exe anyconnect-websecurity-win-(ver)-pre-deploy-k9.msi 部署 AnyConnect 配置文件的位置 表 2-11 显示了本地计算机上下载的 AnyConnect 相关配置文件及其用途 : 表 2-11 表 2-12 终端上的配置文件 文件 说明 anyfilename.xml AnyConnect 配置文件 此文件指定了为特定用户类型配置的功能和属性值 AnyConnectProfile.tmpl 随 AnyConnect 软件提供的示例客户端配置文件 AnyConnectProfile.xsd 定义 XML 架构格式 AnyConnect 使用此文件验证配置文件 2-32

61 第 2 章 部署 AnyConnect 安全移动客户端 AnyConnect 文件信息 表 2-13 显示所有操作系统中 AnyConnect 配置文件的位置 : 表 2-13 所有操作系统的配置文件位置 操作系统 模块 位置 Windows XP 带 VPN 的核 %ALLUSERSPROFILE%\Application Data\Cisco\ 心客户端 Cisco AnyConnect Secure Mobility Client\Profile Windows Vista Windows 7 网络接入管理器遥测 网络安全 客户体验反馈 带 VPN 的核心客户端网络接入管理器遥测 网络安全 客户体验反馈 带 VPN 的核心客户端网络接入管理器遥测 网络安全 客户体验反馈 %ALLUSERSPROFILE%\Application Data\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles %ALLUSERSPROFILE%\Application Data\Cisco\ Cisco AnyConnect Secure Mobility Client\Telemetry %ALLUSERSPROFILE%\Application Data\Cisco\ Cisco AnyConnect Secure Mobility Client\Web Security %ALLUSERSPROFILE%\Application Data\Cisco\ Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Telemetry %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Web Security %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Telemetry %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Web Security %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback Mac OS X 所有其他 /opt/cisco/anyconnect/profile 模块 客户体验 /opt/cisco/anyconnect/customerexperiencefeedback 反馈 Linux 所有模块 /opt/cisco/anyconnect/profile 2-33

62 使用独立的 AnyConnect 配置文件编辑器 第 2 章 部署 AnyConnect 安全移动客户端 安装于本地计算机的用户首选项文件 某些配置文件设置存储于本地用户计算机上的用户首选项文件或全局首选项文件中 用户文件包含客户端在客户端 GUI 的首选项选项卡中显示用户可控设置所需的信息, 以及有关用户 组和主机等最新连接信息 全局文件有与用户可控设置相关的信息, 以便在登录前应用此类设置 ( 因无用户 ) 例如, 客户端需要知道在登录前 登录前启动 和 / 或 启动时自动连接 是否启动 表 2-14 显示文件名, 以及客户端计算机上首选项文件的安装路径 : 表 2-14 用户首选项文件和安装路径 操作系统类型文件和路径 Windows Vista Windows 7 用户 C:\Users\username\AppData\Local\Cisco\ Cisco AnyConnect VPN Client\preferences.xml 全球 C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\ preferences_global.xml Windows XP 用户 C:\Documents and Settings\username\Local Settings\ApplicationData\ Cisco\Cisco AnyConnect VPN Client\preferences.xml 全球 C:\Documents and Settings\AllUsers\Application Data\Cisco\ Cisco AnyConnect VPN Client\preferences_global.xml Mac OS X 用户 /Users/username/.anyconnect 全球 /opt/cisco/anyconnect/.anyconnect_global Linux 用户 /home/username/.anyconnect 全球 /opt/cisco/anyconnect/.anyconnect_global 使用独立的 AnyConnect 配置文件编辑器 独立 AnyConnect 配置文件编辑器允许管理员为 AnyConnect 安全移动客户端配置 VPN 网络接入管理器 网络安全 遥测和客户体验反馈模块的客户端配置文件 可使用预部署套件将这些配置文件分配至 VPN 网络接入管理器 网络安全和客户体验反馈模块 独立配置文件编辑器的系统要求 支持的操作系统 仅 Windows 支持独立的配置文件编辑器 Java 要求 该应用需要 JRE 1.6 如果未安装, MSI 安装程序将自动安装 2-34

63 第 2 章 部署 AnyConnect 安全移动客户端 使用独立的 AnyConnect 配置文件编辑器 浏览器要求 Firefox 和 Internet Explorer 支持此应用的帮助文件 其未在其他浏览器上测试过 所需的硬盘空间 思科 AnyConnect 配置文件编辑器应用需要的硬盘空间小于 5 MB JRE 1.6 需要的硬盘空间小于 100 MB 安装独立 AnyConnect 配置文件编辑器 分别从 AnyConnect ISO 和.pkg 文件将独立 AnyConnect 配置文件编辑器作为 Windows 可执行文件 (.exe) 进行分配, 并遵循该文件命名规范 :anyconnect-profileeditor-win-<version>-k9.exe 要安装独立配置文件编辑器, 请遵循以下步骤 : 步骤 1 从 Cisco.com. 下载 anyconnect-profileeditor-win-<version>-k9.exe 步骤 2 双击 anyconnect-profileeditor-win-<version>-k9.exe, 启动安装向导 步骤 3 在欢迎屏幕点击下一步 (Next) 步骤 4 在选择安装类型 (Choose Setup Type) 窗口点击下列按钮之一, 并点击下一步 (Next): 典型 (Typical) - 仅自动安装网络接入管理器配置文件编辑器 自定义 (Custom) - 允许您选择安装以下配置文件编辑器 : 网络接入管理器配置文件编辑器 网络安全配置文件编辑器 客户体验反馈配置文件编辑器和 VPN 配置文件编辑器 完整 (Complete) - 自动安装网络接入管理器配置文件编辑器 网络安全配置文件编辑器 客户体验反馈配置文件编辑器 遥测 VPN 本地策略编辑器和 VPN 配置文件编辑器 步骤 5 步骤 6 步骤 7 如果您在上一步点击典型 (Typical) 或完整 (Complete), 请转至步骤 6 如果在上一步点击自定义 (Custom), 点击您要安装的独立配置文件编辑器的图标, 并选择在本地硬盘驱动器上安装 (Will be installed on local hard drive) 或点击整个功能将不可用 (Entire Feature will be unavailable) 来阻止独立配置文件编辑器的安装 点击下一步 (Next) 在 安装就绪 (Ready to Install) 屏幕, 点击安装 (Install) 安装思科 AnyConnect 配置文件编辑器 (Installing Cisco AnyConnect Profile Editor) 屏幕显示安装进度 在 完成思科 AnyConnect 配置文件编辑器设置向导 (Completing the Cisco AnyConnect Profile Editor Setup Wizard) 中点击完成 (Finish) 独立 AnyConnect 配置文件编辑器安装于 C:\Program Files\Cisco\Cisco AnyConnect Profile Editor 目录 通过选择开始 (Start) > 所有程序 (All Programs) > 思科 (Cisco) > 思科 AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor), 再从子菜单点击独立配置文件编辑器, 或通过点击安装于桌面的相应配置文件编辑器快捷图标, 您可以启动 VPN 网络接入管理器和网络安全配置文件编辑器 2-35

64 使用独立的 AnyConnect 配置文件编辑器 第 2 章 部署 AnyConnect 安全移动客户端 修改独立 AnyConnect 配置文件编辑器安装 您可以通过以下步骤修改独立思科 AnyConnect 配置文件编辑器, 从而安装或删除 VPN 网络接入管理器 网络安全 遥测或客户体验反馈配置文件编辑器 : 步骤 1 打开 Windows 控制面板, 点击添加或删除程序 (Add or Remove Programs) 步骤 2 选择思科 AnyConnect 配置文件编辑器并点击更改 (Change) 步骤 3 点击下一步 (Next) 步骤 4 点击修改 (Modify) 步骤 5 编辑您想要安装或删除的配置文件编辑器列表, 点击下一步 (Next) 步骤 6 点击安装 (Install) 步骤 7 点击完成 (Finish) 卸载独立 AnyConnect 配置文件编辑器 步骤 1 打开 Windows 控制面板, 点击添加或删除程序 (Add or Remove Programs) 步骤 2 选择思科 AnyConnect 配置文件编辑器并点击删除 (Remove) 步骤 3 点击是 (Yes), 确定您想要卸载思科 AnyConnect 配置文件编辑器 请意, 卸载独立配置文件编辑器时不会自动卸载 JRE 1.6 您需要单独卸载它 使用独立配置文件编辑器创建客户端配置文件 步骤 1 步骤 2 步骤 3 通过双击桌面上的快捷图标或导航至开始 (Start) > 所有程序 (All Programs) > 思科 (Cisco) > 思科 AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor), 并从子菜单选择 VPN 网络接入管理器 网络安全或客户体验反馈配置文件编辑器, 启动 VPN 网络接入管理器 网络安全或客户体验反馈配置文件编辑器 遵循 AnyConnect 管理员指南 的以下章节中有关创建客户端配置文件的说明 第 3 章, 配置 VPN 接入 第 4 章, 配置网络接入管理器 第 6 章, 配置网络安全 第 7 章, 配置 AnyConnect 遥测至 WSA 第 8 章, 使用 Cisco AnyConnect 客户体验反馈模块 AnyConnect 本地策略参数和值在第 9 章, NGE FIPS 和其他安全 选择文件 (File) > 保存 (Save), 保存客户端配置文件 配置文件编辑器的每个面板显示客户端配置文件的路径和文件名 2-36

65 第 2 章 部署 AnyConnect 安全移动客户端 使用独立的 AnyConnect 配置文件编辑器 使用独立配置文件编辑器编辑客户端配置文件 步骤 1 步骤 2 通过双击桌面上的快捷图标或导航至开始 (Start) > 所有程序 (All Programs) > 思科 (Cisco) > 思科 AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) 并从子菜单中选择所需配置文件编辑器, 启动所需配置文件编辑器 选择文件 (File) > 打开 (Open) 并导航至您想要编辑的客户端配置文件 XML 文件 如果使用另一种功能 ( 如 VPN) 的配置文件编辑器错误地尝试打开某种功能 ( 如网络安全 ) 的客户端配置文件, 您会收到架构验证失败 (Schema Validation failed) 消息, 并且无法编辑配置文件 步骤 3 对配置文件进行更改并选择文件 (File) > 保存 (Save), 以保存您的更改 如果无意中尝试编辑相同配置文件编辑器的两种实例下的相同客户端配置文件, 则会保存对客户端配置文件所做的最后编辑 2-37

66 使用独立的 AnyConnect 配置文件编辑器 第 2 章 部署 AnyConnect 安全移动客户端 2-38

67 3 第章 配置 VPN 接入 以下部分描述 Cisco AnyConnect 安全移动客户端 VPN 配置文件和功能以及它们的配置方式 : 第 3-2 页的配置 AnyConnect 客户端的 IP 地址 第 3-8 页的创建和编辑 AnyConnect 配置文件 第 3-11 页的部署 AnyConnect 配置文件 第 3-11 页的配置 VPN 负载均衡 第 3-12 页的配置登录前启动 第 3-19 页的受信任网络检测 第 3-21 页的永远在线 VPN 第 3-27 页的永远在线 VPN 的连接故障策略 第 3-28 页的强制网络门户热点检测和修复 第 3-34 页的配置分割隧道 第 3-34 页的配置 AnyConnect 的 DNS 和 WINS 服务器 第 3-34 页的分离 DNS 第 3-37 页的使用 SCEP 配置证书册 第 3-43 页的配置证书期满通知书 第 3-47 页的配置证书匹配 第 3-51 页的提示用户选择身份验证证书 第 3-52 页的配置服务器列表 第 3-56 页的配置备份服务器列表 第 3-56 页的配置启动时连接 第 3-56 页的配置自动重新连接 第 3-57 页的代理连接 第 3-59 页的最佳网关选择 第 3-61 页的编写和部署脚本 第 3-65 页的身份验证超时控制 第 3-65 页的代理支持 第 3-67 页的使用 Windows RDP 会话来启动 VPN 会话 3-1

68 配置 AnyConnect 客户端的 IP 地址 第 3 章 配置 VPN 接入 第 3-68 页的通过 L2TP 或 PPTP 的 AnyConnect 第 3-70 页的 AnyConnect VPN 配置文件编辑器参数说明 配置 AnyConnect 客户端的 IP 地址 IP 地址使互联网络连接成为可能 它们就像电话号码 : 发送方和接收方必须分配有一个连接号码 但在使用 VPN 的情况下, 实际上有两组地址 : 第一组连接公共网络上的客户端和服务器 一旦该连接建立后, 第二组通过 VPN 隧道连接客户端和服务器 在 ASA 地址管理中, 您可以配置客户端用于连接私有网络的 IP 地址 分配给您的私有网络上的其他资源的 IP 地址是您的网络管理职责的一部分, 而不是 VPN 管理的一部分 在本节中, 我们提到的 IP 地址可用于客户端 VPN 的私有网络寻址方案 本节包括以下主题 : 第 3-2 页的 IP 地址分配策略 第 3-3 页的内部 IP 地址池 第 3-4 页的分配 IP 地址到 AnyConnect 连接 IP 地址分配策略 使用身份验证服务器 (Use authentication server) - 在每个用户的基础上从外部身份验证 授权和计费服务器中检索地址 如果您使用配置了 IP 地址的身份验证服务器, 我们建议使用这种方法 您可以在 配置 (Configuration) > AAA 设置 (AAA Setup) 窗格中配置 AAA 服务器 此方法适用于 IPv4 和 IPv6 分配策略 使用 DHCP (Use DHCP) - 从 DHCP 服务器获取 IP 地址 要使用 DHCP, 请在 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > DHCP 服务器 (DHCP Server) 窗格中配置服务器 此方法适用于 IPv4 分配策略 使用内部地址池 (Use an internal address pool) - 内部配置地址池是分配地址池的最简单方法 如果使用此方法, 请在 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 地址池 (Address Pools) 窗格中配置 IP 地址池 此方法适用于 IPv4 和 IPv6 分配策略 使用 ASDM 配置 IPv4 和 IPv6 地址分配 允许在 IP 地址发布很多分钟后重复使用该 IP 地址 - 在 IP 地址返回地址池以后延迟该 IP 地址的重复使用 增加延迟有助于防止防火墙在快速重新分配 IP 地址时遇到的问题 默认情况下, 该方框未选中, 这表示 ASA 未施加延迟 如果您想要施加延迟, 请选中该框并输入范围在 之间的分钟数, 以延迟 IP 地址的重新分配 该可配置元素可用于 IPv4 分配策略 步骤 1 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 分配策略 (Assignment Policy) 步骤 2 在 IPv4 策略区, 选中地址分配方法以启用它, 或取消选中地址分配方法以禁用它 默认情况下, 这些方法都是启用的 : 使用身份验证服务器 启用您配置的身份验证授权和计费 (AAA) 服务器, 以提供 IP 地址 使用 DHCP 启用您配置的动态主机配置协议 (DHCP) 服务器, 以提供 IP 地址 使用内部地址池 : 启用 ASA 上配置的本地地址池 3-2

69 第 3 章 配置 VPN 接入 配置 AnyConnect 客户端的 IP 地址 如果您启用使用内部地址池 (Use internal address pools), 您还可以在 IPv4 地址释放后启用该地址的重复使用 您可以在 IPv4 地址可以重复使用后, 指定范围从 0 到 480 之间的分钟数 步骤 3 在 IPv6 策略区, 选中地址分配方法以启用它, 或取消选中地址分配方法以禁用它 默认情况下, 这些方法都是启用的 : 使用身份验证服务器 启用您配置的身份验证授权和计费 (AAA) 服务器, 以提供 IP 地址 使用内部地址池 : 启用 ASA 上配置的本地地址池 步骤 4 点击应用 (Apply) 步骤 5 点击确定 (OK) 内部 IP 地址池 要想配置 IPv4 或 IPv6 地址池以用于 VPN 远程接入隧道, 请打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址管理 (Address Management) > 地址池 (Address Pools) > 添加 / 编辑 IP 池 (Add/Edit IP Pool) 要删除地址池, 请打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址管理 (Address Management) > 地址池 (Address Pools) 选择要删除的地址池, 点击删除 (Delete) ASA 基于连接配置文件或用于连接的组策略使用地址池 您指定地址池的顺序非常重要 如果您为连接配置文件或组策略配置了多个地址池, 则 ASA 会按您在 ASA 中添加它们的顺序使用它们 如果您从非本地子网分配地址, 我们建议您添加位于子网边界的地址池, 从而更加轻松地为这些网络添加路由 ASA 适用于 IPv4 和 IPv6 的外部接口地址无法与地址池所定义的私有侧地址空间重叠 使用 ASDM 配置本地 IPv4 地址池 IP 地址池区域按名称及其 IP 地址范围显示已配置的每个地址池, 例如 : 到 如果地址池不存在, 则该区域为空 ASA 按所列顺序使用这些地址池 : 如果第一个地址池中的所有地址都已分配, 它将使用下一个地址池, 以此类推 如果您从非本地子网分配地址, 我们建议您添加位于子网边界的地址池, 从而更加轻松地为这些网络添加路由 步骤 1 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 地址池 (Address Pools) 步骤 2 要添加 IPv4 地址, 请点击添加 (Add) > IPv4 地址池 (IPv4 Address pool) 要编辑现有的地址池, 请在地址池表中选择地址池, 然后点击编辑 (Edit) 步骤 3 在 添加 / 编辑 IP 地址池 (Add/Edit IP Pool) 对话框中, 输入该信息 : 地址池名称 (Pool Name) - 输入地址池的名称 它最多可以是 64 个字符 起始地址 (Starting Address) - 输入已配置的每个地址池提供的第一个 IP 地址 使用点分十进制记法, 例如 :

70 配置 AnyConnect 客户端的 IP 地址 第 3 章 配置 VPN 接入 终结地址 (Ending Address) - 输入已配置的每个地址池提供的最后一个 IP 地址 使用点分十进制记法, 例如 : 子网掩码 (Subnet Mask) - 标识此 IP 地址池所在的子网 步骤 4 点击确定 (OK) 步骤 5 点击应用 (Apply) 使用 ASDM 配置本地 IPv6 地址池 该 IP 地址池区域按名称及起始 IP 地址范围 地址前缀和地址池中可配置的地址数量显示已配置的每一个地址池 如果地址池不存在, 则该区域为空 ASA 按所列顺序使用这些地址池 : 如果第一个地址池中的所有地址都已分配, 它将使用下一个地址池, 以此类推 如果您从非本地子网分配地址, 我们建议您添加位于子网边界的地址池, 从而更加轻松地为这些网络添加路由 步骤 1 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 地址池 (Address Pools) 步骤 2 要添加 IPv6 地址, 请点击添加 (Add) > IPv6 地址池 (IPv6 Address pool) 要编辑现有的地址池, 请在地址池表中选择地址池, 然后点击编辑 (Edit) 步骤 3 在 添加 / 编辑 IP 地址池 (Add/Edit IP Pool) 对话框中, 输入该信息 : 名称 (Name) - 显示每个已配置地址池的名称 起始 IP 地址 (Starting IP Address) - 输入已配置的地址池提供的第一个 IP 地址 例如 : 2001:DB8::1 前缀长度 (Prefix Length) - 输入以比特为单位的 IP 地址前缀长度 例如,32 代表以 CIDR 标记的 /32 前缀长度定义 IP 地址池所在的子网 地址数 (Number of Addresses) - 标识从起始 IP 地址开始, 地址池中 IPv6 地址的数量 步骤 4 点击确定 (OK) 步骤 5 点击应用 (Apply) 分配 IP 地址到 AnyConnect 连接 使用以下方法中的一种向 VPN 连接分配一个 IP 地址 : 第 3-5 页的使用内部地址池分配 IP 地址 - 内部地址池与组策略相关联, 并配置在 ASA 上 这些地址可以是 IPv4 或 IPv6 第 3-5 页的使用 DHCP 分配 IP 地址 - 将 DHCP 服务器与 ASA 上所配置的组策略关联起来 这些地址只能是 IPv4 第 3-5 页的向本地用户分配 IP 地址 - 向 ASA 上所配置的用户分配一个 IP 地址 这些地址可以是 IPv4 或 IPv6 3-4

71 第 3 章 配置 VPN 接入 配置 AnyConnect 客户端的 IP 地址 使用内部地址池分配 IP 地址 您可以在 添加或编辑组策略 (Add or Edit Group Policy) 对话框中指定地址池 隧道协议 过滤器 连接设置以及待添加或修改的内部网络 ( 客户端 ) 接入组策略的服务器 对于此对话框中的每个字段, 选中 继承 (Inherit) 复选框会使对应的设置从默认组策略中获取值 继承 (Inherit) 是此对话框中所有属性的默认值 您可以为同一组策略配置 IPv4 和 IPv6 地址池 如果同一组策略中配置了两个版本的 IP 地址, 配置了 IPv4 的客户端将获得 IPv4 地址, 配置了 IPv6 的客户端将获得 IPv6 地址, 而配置了 IPv4 和 IPv6 地址的客户端将同时获得 IPv4 和 IPv6 地址 步骤 1 使用 ASDM 连接到 ASA, 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 步骤 2 创建新的组策略或您想使用内部地址池配置的组策略, 然后点击编辑 (Edit) 默认情况下, 组策略对话框中的 一般属性 (General attributes) 窗格处于选中状态 步骤 3 步骤 4 使用 地址池 (Address Pools) 字段为此组策略指定一个 IPv4 地址 点击 选择 (Select) 以添加或编辑 IPv4 地址池 有关更多信息, 请参阅第 3-3 页的使用 ASDM 配置本地 IPv4 地址池 使用 IPv6 地址池 (IPv6 Address Pools) 字段指定一个 IPv6 地址池以用于此组策略 点击 选择 (Select) 以添加或编辑 IPv6 地址池 请参阅第 3-4 页的使用 ASDM 配置本地 IPv6 地址池 步骤 5 点击确定 (OK) 步骤 6 点击应用 (Apply) 使用 DHCP 分配 IP 地址 要想使用 DHCP 服务器分配 IPv4 地址, 请配置 IP 地址分配策略以按照下述说明使用 DHCP 不能使用 DHCP 服务器将 IPv6 地址分配至 AnyConnect 客户端 步骤 1 使用 ASDM 连接到 ASA 步骤 2 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 地址分配 (Address Assignment) > 分配策略 (Assignment Policy) 步骤 3 点击使用 DHCP (Use DHCP) 步骤 4 点击应用 (Apply) 步骤 5 通过选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > DHCP 服务器 (DHCP Server) 配置您的 DHCP 服务器 向本地用户分配 IP 地址 ASA 管理员可以在 ASA 上为个人用户创建帐户 可以将这些帐户配置为使用组策略, 或者它们可以拥有专为本地用户策略配置的组策略中所显示的很多同样的 VPN 属性 这些个人用户还可以拥有为其帐户定义的一些 AnyConnect 属性 本节介绍如何配置本地用户的所有属性 3-5

72 配置 AnyConnect 客户端的 IP 地址 第 3 章 配置 VPN 接入 必备条件 此步骤描述如何编辑现有用户 要添加用户, 请选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > AAA/ 本地用户 (AAA/Local Users) > 本地用户 (Local Users), 然后点击添加 (Add) 有关更多信息, 请参阅第 42 章中的 向本地数据库添加用户帐户 Cisco ASA 5500 使用 ASDM 配置指南中的配置 AAA 服务器和本地数据库 指南 默认情况下, 编辑用户帐户 (Edit User Account) 屏幕上每个设置的继承 (Inherit) 复选框都处于选中状态, 这表示用户帐户会继承默认组策略 DfltGrpPolicy 中的该设置值 要想覆盖每项设置, 请取消选中继承 (Inherit) 复选框, 然后输入一个新值 下面的详细步骤介绍 编辑用户帐户 (Edit User Account) 屏幕上的每个设置 详细步骤 步骤 1 启动 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > AAA/ 本地用户 (AAA/Local Users) > 本地用户 (Local Users) 步骤 2 选择您要配置的用户, 然后点击编辑 (Edit) 编辑用户帐户 (Edit User Account) 屏幕将打开 步骤 3 在左窗格中, 点击 VPN 策略 (VPN Policy) 步骤 4 步骤 5 为用户指定一个组策略 用户策略将继承该组策略的属性 如果此屏幕上有其他字段被设置为从默认组策略继承配置, 该组策略中规定的属性将优先于默认组策略中的属性 指定哪些隧道协议可供用户使用, 或者该值是否继承自组策略 选中所需的隧道协议 (Tunneling Protocols) 复选框, 选择可供使用的 VPN 隧道协议 仅选中的协议可供使用 相应选项如下所示 : 无客户端的 SSL VPN( 通过 SSL/TLS 的 VPN) 使用 Web 浏览器建立至 VPN 集中器的安全远程接入隧道 ; 它既不需要软件也不需要硬件客户端 无客户端的 SSL VPN 可提供至各种企业资源的轻松接入, 包括公司网站 Web 启用型应用 NT/AD 文件共享 (Web 启用型 ) 邮件以及能够接入 HTTPS 互联网网站的几乎所有计算机中的其他基于 TCP 的应用 SSL VPN 客户端可让用户在下载 Cisco AnyConnect 客户端应用后进行连接 用户第一次下载该应用时可使用无客户端的 SSL VPN 连接 然后, 在用户连接时, 会视需要自动发生客户端更新 IPsec IKEv1 - IP 安全协议 IPsec 被视为最安全的协议, 可为 VPN 隧道提供最完整的架构 站到站 (P2P) 连接和 Cisco VPN 客户端到 LAN 连接都可使用 IPsec IKEv1 IPsec IKEv2 - 受 AnyConnect 安全移动客户端支持的 IPsec IKEv2 使用 IPsec IKEv2 的 AnyConnect 连接可以使用 SSL VPN 连接可用的相同功能组 IPsec 上的 L2TP 可使安装了 VPN 客户端 具有几个共同的 PC 和移动 PC 操作系统的远程用户通过公共 IP 网络建立至 ASA 和私有公司网络的安全连接 如果未选择协议, 则会显示错误消息 步骤 6 指定要使用的过滤器 (IPv4 或 IPv6), 或是否从组策略继承该值 过滤器包含规则, 这些规则根据源地址 目标地址和协议等条件决定是否允许或拒绝从 ASA 传出的隧道式数据包 要配置过滤器和规则, 请选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 添加 / 编辑 (Add/Edit) > 一般 (General) > 更多选项 (More Options) > 过滤器 (Filter) 3-6

73 第 3 章 配置 VPN 接入 配置 AnyConnect 客户端的 IP 地址 步骤 7 步骤 8 步骤 9 步骤 10 点击管理 (Manage) 以显示 ACL 管理器 (ACL Manager) 窗格, 您可以在该窗格中添加 编辑并删除 ACL 和 ACE 指定是继承连接配置文件 ( 隧道组 ) 锁还是使用选中的隧道组锁 ( 如有 ) 选择特定的锁会限制用户只能通过该组进行远程接入 隧道组锁通过检查 VPN 客户端中配置的组是否与用户分配到的组相同来限制用户 如果不一样, ASA 会阻止用户进行连接 如果 继承 (Inherit) 复选框未选中, 则默认值为 无 (None) 指定是否从组继承 在客户端系统上存储密码 (Store Password on Client System) 设置 请取消选中继承 (Inherit) 复选框以激活 是 (Yes) 和 否 (No) 单选按钮 点击是 (Yes) 以将登录密码存储在客户端系统上 ( 可能是安全性较低的选项 ) 点击否 (No) ( 默认值 ) 以要求用户在每次连接时输入密码 为获得最大安全性, 我们建议您不要允许密码存储 指定应用到此用户的接入时间策略, 为该用户创建新的接入时间策略, 或保留 继承 (Inherit) 复选框的选中状态 默认值为 继承 (Inherit), 或者, 如果 继承 (Inherit) 复选框未选中, 默认值则为 不受限制 (Unrestricted) 点击管理 (Manage) 以打开 添加时间范围 (Add Time Range) 对话框, 您可以在该对话框中指定一组新的接入时间 按用户指定同时登录数 同时登录参数指定了该用户允许的同时登录最大数 默认值为 3 最小值为 0, 表示禁止登录且阻止用户接入 该值没有最大限度, 因此允许多个同时连接会损害安全性并影响性能 步骤 11 指定用户连接的最大连接时间 ( 以分钟为单位 ) 此时间结束时, 系统会终止连接 最小值为 1 分钟, 而最大值为 分钟 (4000 多年 ) 要允许无限连接时间, 请选中无限 (Unlimited) 复选框 ( 默认 ) 步骤 12 步骤 13 步骤 14 步骤 15 步骤 16 步骤 17 指定用户的闲置超时 ( 以分钟为单位 ) 如果在此期间用户没有通过连接进行通信活动, 则系统会终止连接 最短时间为 1 分钟, 而最长时间为 分钟 此值不适用于使用无客户端 SSL VPN 连接的用户 配置会话警报间隔 如果您取消选中 继承 (Inherit) 复选框, 默认值 (Default) 复选框会自动选中 这样会将会话警报间隔设置为 30 分钟 如果您要指定新值, 请取消选中 默认值 (Default) 复选框, 然后在分钟框中将会话警报间隔指定为 1 到 30 分钟之间的某个值 配置闲置警报间隔 如果您取消选中 继承 (Inherit) 复选框, 默认值 (Default) 复选框会自动选中 这样会将闲置警报间隔设置为 30 分钟 如果您要指定新值, 请取消选中 默认值 (Default) 复选框, 然后在分钟框中将会话警报间隔指定为 1 到 30 分钟之间的某个值 要设置此用户的专用 IPv4 地址, 请在 专用 IPv4 地址 (Dedicated IPv4 Address) ( 可选 ) 区域输入 IPv4 地址和子网掩码 要设置此用户的专用 IPv6 地址, 请在 专用 IPv6 地址 (Dedicated IPv6 Address) ( 可选 ) 字段输入带 IPv6 前缀的 IPv6 地址 IPv6 前缀表示 IPv6 地址所在的子网 要配置无客户端 SSL 设置, 请在左窗格中点击无客户端 SSL VPN (Clientless SSL VPN) 要想覆盖每项设置, 请取消选中继承 (Inherit) 复选框, 然后输入一个新值 步骤 18 点击应用 (Apply) 更改会保存到运行配置中 3-7

74 创建和编辑 AnyConnect 配置文件 第 3 章 配置 VPN 接入 配置 IPv4 或 IPv6 流量以绕过 VPN 客户端绕过协议功能可使您配置 AnyConnect 客户端在 ASA 只期望 IPv6 流量的时候对 IPv4 流量进行管理的方式, 或 AnyConnect 在 ASA 只期望 IPv4 流量的时候对 IPv6 流量的管理方式 当 AnyConnect 客户端对 ASA 进行 VPN 连接时,ASA 可以为客户端分配一个 IPv4 IPv6 或 IPv4 和 IPv6 两个地址 如果一个 IP 协议的客户端绕过协议启用且该协议未配置地址池 ( 换句话说, 没有通过 ASA 推送该协议的 IP 地址到客户端 ), 则使用该协议的任何 IP 流量都将不会通过 VPN 隧道发送, 它将通过 AnyConnect 客户端不受阻碍的发送 另一方面, 如果禁用客户端绕过协议, 且该协议未配置地址池, 则一旦 VPN 隧道建立完成, 客户端就会终止该 IP 协议的所有流量 举例来说, 假设 ASA 只分配一个 IPv4 地址到 AnyConnect 连接且终端被双堆叠 当终端尝试接入 IPv6 地址时, 如果客户端绕过协议被禁用,IPv6 流量会终止, 如果客户端绕过协议被启用,IPv6 流量会通过客户端不受阻碍的发送 在 ASA 上配置组策略的客户端绕过协议 步骤 1 使用 ASDM 连接到 ASA 步骤 2 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 步骤 3 选择一个组策略, 然后点击编辑 (Edit) 步骤 4 选择高级 (Advanced) > AnyConnect 步骤 5 如果该组策略不是默认组策略, 请取消选中客户端绕过协议 (Client Bypass Protocol) 旁的继承 (Inherit) 步骤 6 选择下列选项之一 : 点击禁用 (Disable) 以终止 ASA 没有为其分配地址的 IP 流量 点击启用 (Enable) 以不受阻碍的发送该 IP 流量 步骤 7 点击确定 (OK) 步骤 8 点击应用 (Apply) 创建和编辑 AnyConnect 配置文件 本节介绍如何从 ASDM 启动配置文件编辑器以及创建新配置文件 Cisco AnyConnect 安全移动客户端软件包 2.5 版及以上 ( 所有操作系统 ) 包含配置文件编辑器 当您在 ASA 上以 SSL VPN 客户端映像的形式加载 AnyConnect 软件包时, ASDM 将激活配置文件编辑器 如果您加载多个 AnyConnect 软件包,ASDM 会从最新的 AnyConnect 软件包中加载配置文件编辑器 此方法确保编辑器显示所加载最新 AnyConnect 以及其他旧版客户端的功能 3-8

75 第 3 章 配置 VPN 接入 创建和编辑 AnyConnect 配置文件 如果您手动部署 VPN 配置文件, 您还必须上传配置文件到 ASA 中 当客户端系统连接时, AnyConnect 会验证客户端上的配置文件与 ASA 上的配置文件匹配 如果您禁用配置文件更新, 且 ASA 上的配置文件与客户端不同, 则不能手动部署配置文件 要想在 ASDM 中激活配置文件编辑器, 请遵照以下步骤 : 步骤 1 以 AnyConnect 客户端映像形式加载 AnyConnect 软件包 如果您还没有完成该步骤, 请参阅第 2 章, 配置 ASA 以下载 AnyConnect 步骤 2 步骤 3 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) AnyConnect 客户端配置文件 (AnyConnect Client Profile) 窗格打开 点击添加 (Add) 添加 AnyConnect 客户端配置文件 (Add AnyConnect Client Profile) 窗口打开 ( 图 3-1) 图 3-1 添加 AnyConnect 配置文件 步骤 4 为配置文件指定名称 除非您为配置文件位置指定一个不同的值, 否则 ASDM 会在 ASA 闪存中用同一个名称创建一个 XML 文件 指定名称时, 请避免包含.xml 扩展名 如果您将配置文件命名为 example.xml, ASDM 会自动添加一个.xml 扩展名并将该名称更改为 example.xml.xml 即使您在 ASA 的 配置文件位置 (Profile Location) 字段中将该名称改回 example.xml, 当您通过远程接入连接 AnyConnect 时, 该名称又会重新变回 example.xml.xml 如果配置文件名称不被 AnyConnect 识别 ( 由于重复的.xml 扩展名 ), IKEv2 连接可能会失败 3-9

76 创建和编辑 AnyConnect 配置文件 第 3 章 配置 VPN 接入 步骤 5 步骤 6 步骤 7 选择组策略 ( 可选 ) ASA 将此配置文件应用至组策略中的所有 AnyConnect 用户 点击确定 (OK) ASDM 创建配置文件, 然后配置文件出现在配置文件表中 选择您刚从配置文件表中创建的配置文件 点击编辑 (Edit) 配置文件编辑器的显示如图 3-2 所示 在配置文件编辑器窗格中, 启用 AnyConnect 功能 完成后, 请点击确定 (OK) 图 3-2 编辑配置文件 3-10

77 第 3 章 配置 VPN 接入 部署 AnyConnect 配置文件 部署 AnyConnect 配置文件 您必须在配置文件的主机列表中包含 ASA, 这样一来, 客户端 GUI 会在初次进行 VPN 连接时显示所有的用户可控设置 如果您不在配置文件中添加 ASA 地址或 FQDN 作为主机条目, 则过滤器不会申请会话 例如, 如果您创建证书匹配且证书适当匹配条件, 但您未在该配置文件中将 ASA 添加为主机条目, 证书匹配会被忽略 有关添加主机条目到配置文件的更多信息, 请参阅第 3-52 页的配置服务器列表 步骤 1 将客户端配置文件与组策略相关联 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 步骤 2 添加新的组策略或从组策略表中选择一个组策略, 然后点击编辑 (Edit) 步骤 3 选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 步骤 4 取消选中继承 (Inherit), 然后选择 AnyConnect 配置文件以在 选择 AnyConnect 客户端配置文件 (Select AnyConnect Client Profile) 对话框中进行下载 步骤 5 当配置完成时, 请点击确定 (OK), 然后点击应用 (Apply) 配置 VPN 负载均衡 配置 AnyConnect 客户端的负载均衡全部归档在第 67 章的 配置负载均衡 和 Cisco ASA 5500 系列使用 ASDM 配置指南 6.4 和 6.6 中的配置 IKE 负载均衡和 NAC 中 除上述文档中定义的指南外, 还请意以下指南 : 使用 IPv6 地址的客户端可通过 ASA 集群面向公众的 IPv6 地址或全球网站选择器 (GSS) 服务器进行 AnyConnect 连接 同样地, 使用 IPv6 地址的客户端可通过 ASA 集群面向公众的 IPv4 地址或 GSS 服务器进行 AnyConnect VPN 连接 任何一种类型的连接都可在 ASA 集群内进行负载均衡 如果 GSS DNS 服务器中条目的 DNS 生存时间 (TTL) 少于 AnyConnect 完全连接所花的时间, 连接可能会失败 我们建议将 DNS TTL 设置为至少 300 秒 (5 分钟 ) 使用 IPv6 地址的客户端要想成功连接 ASA 面向公众的 IPv4 地址, 网络中需要有能够执行从 IPv6 到 IPv4 网络地址转换的设备 当执行证书验证以与 AnyConnect 进行负载均衡且连接被 IP 地址重定向时, 客户端会通过此 IP 地址进行所有名称的检查 客户需要确保此 IP 地址列在证书常用名或主题可选名中 如果 IP 地址不存在于这些字段中, 该证书将被视为不可信 根据 RFC 2818 中定义的指南, 如果证书中包含主题可选名, 我们只要使用主题可选名进行名称检查, 并将忽略常用名 确保提供证书之服务器的 IP 地址在证书的主题可选名中进行了定义 对于独立的 ASA, 其 IP 地址为该 ASA 的 IP 在集群状况下, 它取决于证书配置 如果集群使用一个证书, 则它将是集群的 IP, 且该证书将包含具有每个 ASA 的 IP 和 FQDN 的主题可选名扩展名 如果集群使用多个证书, 则它还应是 ASA 的 IP 地址 3-11

78 配置登录前启动 第 3 章 配置 VPN 接入 配置登录前启动 登录前启动 (SBL) 可使用户在登录到 Windows 之前建立至企业基础设施的 VPN 连接 通过在 Windows 登录对话框出现之前启动 AnyConnect, 强制用户在登录到 Windows 之前通过 VPN 连接来连接到企业基础设施 对 ASA 进行身份验证后, 会显示 Windows 登录对话框, 用户将在其中如常登录 SBL 只能供 Windows 使用, 您可以用它对登录脚本的使用 密码缓存 将网络驱动映射到本地驱动的过程等等进行控制 AnyConnect 不支持 Windows XP x64 (64 位 ) 版本的 SBL 您在为您的用户启用 SBL 时考虑的原因可能包括 : 用户的计算机加入了活动目录基础设施 用户无法在计算机上缓存凭证 ( 组策略不允许缓存的凭证 ) 用户必须运行通过网络资源执行或需要接入网络资源的登录脚本 用户具有网络映射驱动, 该驱动需要通过 Microsoft 活动目录基础设施进行身份验证 存在的联网组件 ( 如 MS NAP/CS NAC) 可能需要连接到该基础设施 要启用 SBL 功能, 您必须对 AnyConnect 配置文件进行更改, 并启用 ASA 来下载 SBL 的 AnyConnect 模块 SBL 需要的唯一一项配置是启用此功能 网络管理员根据他们的状况要求处理登录前继续的过程 登录脚本可以分配给域或个人用户 一般情况下, 域管理员拥有批处理文件或用户或群组在 Microsoft 活动目录中定义的类似文件 用户登录后, 登录脚本即会运行 SBL 创建的网络相当于在本地公司 LAN 上 举例来说, 在 SBL 启用时, 由于用户有权接入本地基础设施, 正常情况下当用户在办公室时运行的登录脚本也可提供给远程用户使用 这包括域登录脚本 组策略对象以及正常情况下在用户登录到系统时发生的其他活动目录功能 又例如, 可将系统配置为, 不允许使用缓存的凭证登录计算机 在这种情况下, 用户必须能够通过域控制器在公司网络上进行通信, 从而在获取对计算机的接入权前对其凭证进行验证 SBL 要求在其调用时存在网络连接 有时候, 这可能难以实现, 因为无线连接可能会依靠用户的凭证连接到无线基础设施 由于 SBL 模式先于登录的凭证阶段存在, 此情况下连接不可用 此情况下, 需要配置无线连接以在登录上缓存凭证, 或需要配置另一个无线身份验证, 从而让 SBL 运行 如果安装了网络接入管理器, 您必须部署计算机连接以确保合适的连接可用 有关更多信息, 请参阅第 4 章, 配置网络接入管理器 AnyConnect 不兼容快速用户切换 本节包含以下主题 : 第 3-12 页的安装登录前启动组件 ( 仅适用于 Windows) 第 3-14 页的在 Windows 7 和 Vista 系统上配置登录前启动 (PLAP) 安装登录前启动组件 ( 仅适用于 Windows) 核心客户端安装后必须安装登录前启动组件 此外, 登录前启动组件还需要安装核心客户端软件 如果您使用 MSI 文件预部署 AnyConnect 和登录前启动组件 ( 例如, 您供职于一家大公司, 有自己的软件部署 - Altiris 活动目录或 SMS), 则您必须确保顺序正确 如果它进行的是 Web 部署或 Web 更新, 当管理员加载 AnyConnect 时会自动处理安装顺序 3-12

79 第 3 章 配置 VPN 接入 配置登录前启动 AnyConnect 无法通过第三方登录前启动应用启动 登录前启动在 Windows 版本之间的差异 SBL 的启用程序在 Windows 7 和 Vista 系统上略有不同 预 Vista 系统使用称为 VPNGINA( 它代表虚拟私有网络图形识别和身份验证 ) 的组件来执行 SBL Windows 7 和 Vista 系统使用称为 PLAP 的组件执行 SBL 在 AnyConnect 中,Windows 7 或 Vista SBL 功能被称为登录前接入提供商 (PLAP), 它是一个可连接的凭证提供商 此功能可让网络管理员在登录前执行特定的任务, 如收集凭证或连接到网络资源 PLAP 在 Windows 7 和 Vista 上提供 SBL 功能 PLAP 分别以 vpnplap.dll 和 vpnplap64.dll 支持 32 位和 64 位版本的操作系统 PLAP 功能支持 Windows 7 以及 Vista x86 和 x64 版本 在本节中, VPNGINA 指的是预 Vista 平台的登录前启动功能, 而 PLAP 指的是 Windows 7 和 Vista 系统的登录前启动功能 用户按下 Ctrl+Alt+Del 组合键时会激活 GINA 使用 PLAP 时, 按下 Ctrl+Alt+Del 组合键会打开一个窗口, 用户可在该窗口中使用窗口右下角的 网络连接 (Network Connect) 按钮选择登录到系统或激活任何网络连接 (PLAP 组件 ) 接下来的章节介绍 VPNGINA 和 PLAP SBL 的设置和程序 有关在 Windows 7 或 Vista 平台上启用和使用 SBL 功能 (PLAP) 的完整描述, 请参阅第 3-14 页的 在 Windows 7 和 Vista 系统上配置登录前启动 (PLAP) 部分 在 AnyConnect 配置文件中启用 SBL 要在 AnyConnect 配置文件中启用 SBL, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 请转至 首选项 (Preferences) 窗格, 然后选中使用登录前启动 (Use Start Before Logon) 步骤 3 ( 可选 ) 要使用 SBL 给予远程用户控制权, 请选择用户可控制 (User Controllable) 用户必须在 SBL 生效之前重启远程计算机 在安全设备上启用 SBL 为了最大程度减少下载时间, AnyConnect 请求只下载 ( 从 ASA) 核心模块, 该模块为它支持的每个功能所需要 要启用 SBL, 您必须在 ASA 上的组策略中指定 SBL 模块名称 遵循此程序 : 步骤 1 转至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 步骤 2 选择一个组策略, 然后点击编辑 (Edit) 步骤 3 在左导航窗格中选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 将显示 AnyConnect 客户端设置 3-13

80 配置登录前启动 第 3 章 配置 VPN 接入 步骤 4 步骤 5 取消选中可选客户端模块的继承 (Inherit) 以进行下载设置 从下拉列表中选择 AnyConnect SBL 模块 排除 SBL 故障 如果您遇到 SBL 方面的问题, 请使用以下步骤 : 步骤 1 确保 AnyConnect 配置文件已加载到 ASA 上, 做好了部署准备 步骤 2 删除之前的配置文件 ( 在硬盘上搜索它们, 以找到位置, *.xml) 步骤 3 步骤 4 使用 Windows 添加 / 删除程序, 卸载 SBL 组件 重新启动计算机并重复测试 在 事件查看器 (Event Viewer) 中清除用户的 AnyConnect 日志并重复测试 步骤 5 浏览回安全设备以再次安装 AnyConnect 步骤 6 步骤 7 重新启动一次 下次重新启动时, 您应该看到登录前启动提示消息 收集一个 DART 套件并将其发送给您的 AnyConnect 管理员 请参阅第 13-3 页的 使用 DART 收集故障排除信息 部分 步骤 8 如果您看到以下错误消息, 请删除用户的 AnyConnect 配置文件 : 步骤 9 描述 : 无法解析配置文件 C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\VABaseProfile.xml. 主机数据不可用 (Description: Unable to parse the profile C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Profile\VABaseProfile.xml. Host data not available.) 返回.tmpl 文件, 将副本另存为.xml 文件, 然后将该 XML 文件用作默认配置文件 在 Windows 7 和 Vista 系统上配置登录前启动 (PLAP) 就像在其他 Windows 平台上一样, 登录前启动 (SBL) 功能在用户登录到 Windows 之前启动一个 VPN 连接 这将确保用户在登录他们的计算机之前连接其公司基础设施 Microsoft Windows 7 和 Vista 使用的机制与 Windows XP 不同, 因此 Windows 7 和 Vista 上的 SBL 功能也使用不同的机制 SBL AnyConnect 功能被称为登录前接入提供商 (PLAP), 它是一个可连接的凭证提供商 此功能可让编程网络管理员在登录前执行特定的任务, 如收集凭证或连接到网络资源 PLAP 在 Windows 7 和 Vista 上提供 SBL 功能 PLAP 分别以 vpnplap.dll 和 vpnplap64.dll 支持 32 位和 64 位版本的操作系统 PLAP 功能支持 x86 和 x64 在本节中, VPNGINA 指的是 Windows XP 的登录前启动功能, 而 PLAP 指的是 Windows 7 和 Vista 的登录前启动功能 安装 PLAP vpnplap.dll 和 vpnplap64.dll 组件是现有 GINA 安装包的一部分, 因此您可以在安全设备上加载一个单一的扩展 SBL 软件包, 然后, 该软件包将为目标平台安装适当的组件 PLAP 是一项可选功能 安装程序软件检测底层操作系统, 并将适当的 DLL 放入系统目录中 对于 Windows 7 和 3-14

81 第 3 章 配置 VPN 接入 配置登录前启动 Vista 之前的系统, 安装程序会在 32 位版的操作系统上安装 vpngina.dll 组件 在 Windows 7 或 Vista 又或 Windows 2008 服务器中, 安装程序会确定 32 位或 64 位版操作系统是否在使用中, 以及是否安装了合适的 PLAP 组件 如果您在卸载 AnyConnect 的同时保留 VPNGINA 或 PLAP 组件的安装,VPNGINA 或 PLAP 组件会被禁用, 且远程用户看不到它们 安装后, 在您修改用户配置文件 <profile.xml> 以激活 SBL 之前, PLAP 处于不活动状态 请参阅第 3-13 页的 在 AnyConnect 配置文件中启用 SBL 部分 激活后, 用户通过点击切换用户 (Switch User) 调用网络连接组件, 然后, 屏幕右下部分会显示网络连接 (Network Connect) 图标 如果用户误将用户界面最小化, 用户可以通过按下 Alt+Tab 组合键还原界面 使用 PLAP 登录 Windows 7 或 Windows Vista PC 用户可以按照以下步骤在启用 PLAP 的情况下登录 Windows 7 或 Windows Vista, 这是 Microsoft 的要求 以下示例屏幕适用于 Windows Vista: 步骤 1 用户在 Windows 启动窗口按下 Ctrl+Alt+Delete 组合键 ( 图 3-3) 图 3-3 显示网络连接按钮的示例登录窗口 3-15

82 配置登录前启动 第 3 章 配置 VPN 接入 Vista 登录窗口显示有一个 切换用户 (Switch User) 按钮 ( 图 3-4) 图 3-4 显示有切换用户 (Switch User) 按钮的示例登录窗口 步骤 2 用户点击切换用户 (Switch User) 按钮 ( 图中用红色圈出的部分 ) 显示 Vista 网络连接窗口 网络登录图标以红色圈出 如果用户已通过 AnyConnect 连接建立其连接并点击了切换用户 (Switch User), 该 VPN 连接将保持 如果用户点击网络连接 (Network Connect), 原来的 VPN 连接将终止 如果用户点击取消 (Cancel), VPN 连接将终止 3-16

83 第 3 章 配置 VPN 接入 配置登录前启动 图 3-5 示例网络连接窗口 步骤 3 步骤 4 用户点击窗口右下角的网络连接 (Network Connect) 按钮启动 AnyConnect AnyConnect 登录窗口打开 用户可以使用此 GUI 照常登录 此示例假设 AnyConnect 是唯一安装的连接提供商 如果安装了多个提供商, 用户必须从此窗口中显示的项目中选择一个来使用 步骤 5 当用户连接时, 用户将看到一个类似于 Vista 网络连接窗口的屏幕, 但该屏幕的右下角有一个 Microsoft 断开连接 (Disconnect) 按钮 ( 图 3-6) 连接成功只能由该按钮表示 3-17

84 配置登录前启动 第 3 章 配置 VPN 接入 图 3-6 示例断开连接窗口 用户点击与其登录相关的图标 在此示例中, 用户点击 VistaAdmin 完成对计算机的登录 意事项 一旦连接建立, 用户即可不限时登录 如果用户在连接后忘记登录, VPN 会话会无限期继续 3-18

85 第 3 章 配置 VPN 接入 受信任网络检测 使用 PLAP 从 AnyConnect 断开连接 成功建立 VPN 会话后, PLAP 组件会返回原窗口, 此时窗口的右下角会显示一个 断开连接 (Disconnect) 按钮 ( 在图 3-6 中圈出 ) 当用户点击断开连接 (Disconnect), VPN 隧道将断开连接 除了在响应断开连接 (Disconnect) 按钮时显式断开连接外, 隧道还在以下情况下断开连接 : 在用户使用 PLAP 登录 PC 但按下取消 (Cancel) 时 当 PC 在用户登录到系统之前关机时 此行为是 Windows Vista PLAP 架构的功能, 而不是 AnyConnect 的 受信任网络检测 受信任网络检测 (TND) 可让您在用户处于公司网络 ( 受信任网络 ) 内时让 AnyConnect 自动断开 VPN 连接, 并在用户处于公司网络 ( 非受信任网络 ) 之外时启动 VPN 连接 此功能通过在用户处于受信任网络外时启动 VPN 连接来促进更大的安全意识 有关 Web 安全模块的等效功能, 请参阅第 6-25 页的安全受信任网络检测 如果 AnyConnect 也运行登录前启动 (SBL) 且用户移动到受信任网络, 计算机上显示的 SBL 窗口将自动关闭 TND 不会对用户手动建立 VPN 连接的能力造成影响 它不会断开用户在受信任网络中手动启动的 VPN 连接 如果用户首先在非受信任网络中建立连接然后再移动到受信任网络中, TND 只会断开 VPN 会话的连接 举例来说, 如果用户在家建立 VPN 连接, 然后移动到公司办公室, 则 TND 会断开 VPN 会话的连接 由于 TND 功能用于控制 AnyConnect GUI 和自动启动连接, GUI 应一直运行 如果用户退出 GUI, TND 将不会自动启动 VPN 连接 您可以在 AnyConnect VPN 客户端配置文件中配置 TND 不需要对 ASA 配置进行更改 受信任网络检测要求 运行此版 AnyConnect 所支持的 Microsoft Windows 和 Mac OS X 操作系统的计算机支持受信任网络检测 (TND) 已配置或未配置 永远在线 的受信任网络检测在通过 IPv4 和 IPv6 网络对 ASA 建立起的 IPv6 和 IPv4 VPN 连接上受支持 配置受信任网络检测 要想在客户端配置文件中配置 TND, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 转至首选项 ( 第 2 部分 ) (Preferences [Part 2]) 窗格 步骤 3 选中自动 VPN 策略 (Automatic VPN Policy) 3-19

86 受信任网络检测 第 3 章 配置 VPN 接入 自动 VPN 策略不会阻止用户手动控制 VPN 连接 步骤 4 步骤 5 步骤 6 步骤 7 选择受信任网络策略 (Trusted Network Policy) - 客户在用户处于公司网络 ( 受信任网络 ) 内时采取该措施 选项有 : 断开连接 (Disconnect) - 客户端在受信任网络中终止 VPN 连接 连接 (Connect) - 客户端在受信任网络中启动 VPN 连接 什么也不做 (Do Nothing) - 客户端在受信任网络中不采取任何措施 将 受信任网络策略 (Trusted Network Policy) 和 非受信任网络策略 (Untrusted Network Policy) 设置为什么也不做 (Do Nothing) 会禁用受信任网络检测 (TND) 暂停 (Pause) - 如果用户在受信任网络外建立 VPN 会话之后进入配置为受信任的网络, AnyConnect 会暂停 VPN 会话 ( 而不是断开它的连接 ) 当用户再次离开受信任网络时, AnyConnect 会恢复该会话 此功能是为了给用户提供方便, 因为有了它, 在离开受信任网络后不需要建立新的 VPN 会话 选择非受信任网络策略 (Untrusted Network Policy) - 客户端会在用户处于公司网络之外时采取该措施 选项有 : 连接 (Connect) - 客户端在检测到非受信任网络时启动 VPN 连接 什么也不做 (Do Nothing) - 客户端在检测到非受信任网络时启动 VPN 连接 此选项会禁用永远在线的 VPN 将 受信任网络策略 (Trusted Network Policy) 和 非受信任网络策略 (Untrusted Network Policy) 设置为什么也不做 (Do Nothing) 会禁用受信任网络检测 指定受信任 DNS 域 (Trusted DNS Domains) - 指定客户端处于受信任网络时网络接口可能会具有的 DNS 后缀 ( 用逗号隔开的字符串 ) 如果您将 DNS 后缀添加到分离 DNS 列表中并在 ASA 上指定默认的域, 您可以分配多个 DNS 后缀 请参阅表 3-1 了解 DNS 后缀匹配的示例 AnyConnect 客户端按以下顺序构建 DNS 后缀列表 : 头端通过的域 头端通过的分离 DNS 后缀列表 公共接口的 DNS 后缀 ( 若配置 ) 若未配置, 则为主后缀和连接特定的后缀, 以及主 DNS 后缀的父后缀 ( 如果 高级 TCP/IP 设置 [Advanced TCP/IP Settings] 中相应的框被选中 ) 指定受信任 DNS 服务器 (Trusted DNS Servers) - 在客户端处于受信任网络时网络接口可能会拥有的所有 DNS 服务器地址 ( 用逗号隔开的字符串 ) 例如 : ,2001:DB8::1 通配符 (*) 不可用于 DNS 服务器地址中 您可以配置 TrustedDNSDomains TrustedDNSServers 或此两者 如果您配置 TrustedDNSServers, 请确保输入您所有的 DNS 服务器, 这样一来, 您的站点都将是受信任网络的一部分 活动接口如果与 VPN 配置文件中的所有规则相匹配, 将被视为处于受信任网络中 表 3-1 DNS 后缀匹配示例 要匹配此 DNS 后缀 : example.com ( 仅限 ) example.com 和 anyconnect.cisco.com 请将此值用于 TrustedDNSDomains: *example.com *.example.com 或 example.com anyconnect.example.com 3-20

87 第 3 章 配置 VPN 接入 永远在线 VPN 表 3-1 DNS 后缀匹配示例 ( 续 ) 要匹配此 DNS 后缀 : asa.example.com 和 example.cisco.com 请将此值用于 TrustedDNSDomains: *.example.com 或 asa.example.com anyconnect.example.com 通配符 (*) 可用于 DNS 后缀 有多个配置文件连接到多个安全设备的 TND 和用户 如果用户交替连接启用了 TND 的安全设备和未启用 TND 的设备, 则一台用户计算机上存在多个配置文件可能会存在问题 如果用户过去已连接启用了 TND 的安全设备, 该用户已收到启用了 TND 的配置文件 如果用户在离开受信任网络时重启了计算机, 则启用了 TND 的客户端 GUI 将显示并尝试连接它上一次连接的安全设备, 该设备可以是未启用 TND 的设备 如果客户端连接启用了 TND 的安全设备, 且用户希望连接非 TND ASA, 用户必须手动断开连接, 然后再连接上非 TND 安全设备 在用户可能会连接有 TND 和无 TND 的安全设备时, 在启用 TND 前考虑这些问题 以下变通方法将帮助您防止此问题 : 在您公司网络的所有 ASA 上加载的客户端配置文件中启用 TND 创建在主机条目部分列出所有 ASA 的一个配置文件, 并在您所有的 ASA 上加载该配置文件 如果用户不需要拥有多个不同的配置文件, 请为所有 ASA 上的配置文件使用同一个配置文件名 每个 ASA 都会覆盖现有的配置文件 永远在线 VPN 您可以将 AnyConnect 配置为在用户登录计算机后自动建立 VPN 会话 VPN 会话在用户销计算机前, 或会话计时器或闲置会话计时器到期前都保持打开状态 分配给该会话的组策略指定这些计时器的值 如果 AnyConnect 失去了与 ASA 的连接,ASA 和客户端会在其中一个计时器到期之前保留分配给该会话的资源 AnyConnect 持续尝试重新建立连接以重新激活仍处于打开状态的会话 ; 否则, 它将持续尝试建立新的 VPN 会话 如果启用永远在线但用户未登录, AnyConnect 则不会建立 VPN 连接 AnyConnect 仅在登录后启动 VPN 连接 ( 登录后 ) 永远在线 VPN 强制执行公司策略, 通过在计算机不处于受信任网络时阻止对互联网资源的接入来保护计算机不受安全威胁 意事项 永远在线 VPN 不支持通过代理连接 当 AnyConnect 在配置文件中检测到永远在线 VPN 时, 它将删除所有其他 AnyConnect 配置文件来保护终端, 并会忽略任何配置为连接到 ASA 的公共代理 3-21

88 永远在线 VPN 第 3 章 配置 VPN 接入 为了提高威胁保护, 我们建议您在配置永远在线 VPN 时采取以下附加保护措施 : 将配置了永远在线 VPN 的配置文件预部署到终端, 以限制对预定义 ASA 的连接 预部署可阻止与欺诈服务器的联系 限制管理员权限以使用户无法终止进程 拥有管理权限的 PC 用户可以通过停止代理来绕过永远在线 VPN 策略 如果您想确保永远在线 VPN 的充分安全, 您必须拒绝给予用户本地管理权限 限制对 Windows 计算机上的以下文件夹或思科子文件夹的接入权 : 对于 Windows XP 用户 :C:\Document and Settings\All Users 对于 Windows Vista 和 Windows 7 用户 :C:\ProgramData 具有有限或标准权限的用户有时候可能会对其程序数据文件夹享有写入权限 他们可以用此接入权限删除 AnyConnect 配置文件, 由此规避永远在线功能 为 Windows 用户预部署一个组策略对象 (GPO), 以防止具有有限权限的用户终止 GUI 为 Mac OS 用户预部署等效措施 永远在线 VPN 要求 支持永远在线 VPN 需要具备以下许可配置之一 : ASA 上的 AnyConnect Premium 许可证 ASA 上的 AnyConnect Essentials 许可证, 以及 WSA 上适用于 AnyConnect 的思科安全移动许可证 永远在线 VPN 需要有在 ASA 上配置的有效服务器证书 ; 否则它将失败并记录一个表示证书无效的事件 如果您配置了永远在线 VPN, 请确保您的服务器证书可以通过严格模式 永远在线的 VPN 支持运行此版本所支持 Microsoft Windows 和 Mac OS X 操作系统的计算机 为阻止下载锁定欺诈服务器的 VPN 连接的永远在线 VPN 配置文件,AnyConnect 客户端需要有效的受信任服务器证书连接到安全的网关 提示 我们强烈建议从认证中心 (CA) 购买数字证书, 并在安全网关上册该证书 如果生成自签署证书, 连接用户会收到证书警告 您可以将浏览器配置为信任此证书来作出回应, 以避免后续警告 我们不建议使用自签署证书, 因为用户可能会一不小心在欺诈服务器上将浏览器配置为信任某个证书, 而且用户在连接到安全网关时不便于响应安全警告 ASDM 提供册 ASA SSL VPN 功能, 该功能可通过配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 证书管理 (Certificate Management) > 身份证书 (Identity Certificates) 窗格中的 委托 (Entrust) 按钮实现, 以促进公共证书的册, 从而解决 ASA 上的此问题 此窗格中的添加 (Add) 按钮可让您从文件中导入一个公共证书, 或生成自签署证书 : 3-22

89 第 3 章 配置 VPN 接入 永远在线 VPN 图 3-7 添加身份证书对话框 这些说明仅用作配置证书的指南 有关详细信息, 请点击 ASDM 的帮助 (Help) 按钮, 或查看您正在配置的安全网关的 ASDM 或 CLI 指导 如果生成自签署接口, 请使用高级 (Advanced) 按钮指定外部接口的域名和 IP 地址 在证书登记后, 即将它分配至外部接口 要执行此操作, 请选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 高级 (Advanced) > SSL 设置 (SSL Settings), 在 证书 (Certificates) 区域编辑 外部 条目, 然后从 主要登记证书 (Primary Enrolled Certificate) 下拉列表中选择证书 3-23

90 永远在线 VPN 第 3 章 配置 VPN 接入 图 3-8 将证书分配至外部接口 (ASDM 6.3 示例 ) 将证书添加到所有的安全网关, 并将其与外部接口的 IP 地址相关联 向服务器列表添加负载均衡备份集群成员 永远在线 VPN 会影响 AnyConnect VPN 会话的负载均衡 在禁用永远在线 VPN 的情况下, 当客户端在负载均衡集群中连接到主设备时, 客户端会遵守从主设备到任何备份集群成员的重定向 在启用永远在线的情况下, 客户端不会遵守从主设备的重定向, 除非在客户端配置文件的服务器列表中指定了备份集群成员的地址 因此, 请确保向服务器列表中添加任何备份集群成员 要想在客户端配置文件中指定备份集群成员的地址, 请使用 ASDM 按以下步骤添加负载均衡备份服务器列表 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 请转至服务器列表 (Server List) 窗格 步骤 3 选择一个作为负载均衡集群主设备的服务器, 然后点击编辑 (Edit) 步骤 4 输入任何负载均衡集群成员的 FQDN 或 IP 地址 3-24

91 第 3 章 配置 VPN 接入 永远在线 VPN 配置永远在线 VPN 要配置 AnyConnect, 以仅在其检测到计算机处于非受信任网络时自动建立 VPN 会话, 步骤 1 请配置 TND ( 请参阅第 3-19 页的配置受信任网络检测 ) 步骤 2 请选中永远在线 (Always On) 配置一项策略豁免用户的永远在线 VPN 责任 默认情况下, 永远在线 VPN 是禁用的 您可以配置豁免条款来覆盖永远在线策略 例如, 您可能希望让某些个人与其他公司建立 VPN 会话, 或为非公司资产豁免永远在线 VPN 策略 您可以在组策略和动态接入策略中设置永远在线 VPN 参数, 以覆盖永远在线策略 这样一来, 您可以根据分配策略所用的匹配条件来指定豁免条款 如果 AnyConnect 策略启用永远在线 VPN 和一个动态接入策略, 或组策略禁用它, 则只要它的条件在建立每个新会话时匹配动态接入策略或组策略, 客户端就会保留当前及未来 VPN 会话的禁用设置 要配置使用 AAA 或终端条件的动态接入策略来匹配非公司资产的会话, 请采用以下步骤 : 步骤 1 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 动态接入策略 (Dynamic Access Policies) > 添加 (Add) 或编辑 (Edit) 图 3-9 豁免用户的永远在线 VPN 责任 3-25

92 永远在线 VPN 第 3 章 配置 VPN 接入 步骤 2 步骤 3 配置条件以豁免用户的永远在线 VPN 责任 例如, 使用 选择条件 (Selection Criteria) 区域指定匹配用户登录 ID 的 AAA 属性 点击 添加或编辑动态接入策略 (Add or Edit Dynamic Access Policy) 窗口下半部分的 AnyConnect 选项卡 步骤 4 点击 AnyConnect VPN 永远在线 客户端旁的禁用 (Disable) 如果 Cisco AnyConnect 安全移动客户端策略启用永远在线 VPN 和一个动态接入策略, 或组策略禁用它, 则只要它的条件在建立每个新会话时匹配动态接入策略或组策略, 客户端就会保留当前及未来 VPN 会话的禁用设置 永远在线 VPN 的断开连接按钮 AnyConnect 支持永远在线 VPN 会话的 断开连接 (Disconnect) 按钮 如果启用, AnyConnect 会在建立 VPN 会话时显示 断开连接 (Disconnect) 按钮 永远在线 VPN 会话的用户可能想点击 断开连接 (Disconnect) 按钮, 这样他们就可以出于以下之类的原因来选择替代安全网关 : 当前 VPN 会话的性能问题 VPN 会话中断后发生的重新连接问题 断开连接 (Disconnect) 按钮会锁定所有的接口以防数据泄露出去, 并防止计算机受到除建立 VPN 会话之外的互联网接入 意事项 禁用 断开连接 (Disconnect) 按钮有时可能会阻碍或防止 VPN 接入 如果用户在永远在线 VPN 会话期间点击 断开连接 (Disconnect), AnyConnect 会锁定所有的接口以防数据泄露出去, 并防止计算机受到除所要求的建立新 VPN 会话之外的互联网接入 AnyConnect 会锁定所有的接口, 无论连接故障策略如何 意事项 断开连接 (Disconnect) 会锁定所有的接口以防数据泄露出去, 并防止计算机受到除建立 VPN 会话之外的互联网接入 出于上述原因, 禁用 断开连接 (Disconnect) 按钮有时可能会阻碍或防止 VPN 接入 断开连接按钮的要求 永远在线 VPN 的断开连接选项的要求与第 3-22 页的 永远在线 VPN 要求 部分中的相匹配 启用和禁用断开连接按钮 默认情况下, 当您启用永远在线 VPN 时, 配置文件编辑器即会启用 断开连接 (Disconnect) 按钮 您可以查看和更改 断开连接 (Disconnect) 按钮的设置, 如下所示 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 转至首选项 ( 第 2 部分 ) (Preferences [Part 2]) 窗格 步骤 3 选中或取消选中允许 VPN 断开连接 (Allow VPN Disconnect) 3-26

93 第 3 章 配置 VPN 接入 永远在线 VPN 的连接故障策略 永远在线 VPN 的连接故障策略 连接故障策略用于确定计算机在永远在线 VPN 被启用且 AnyConnect 无法建立 VPN 会话时 ( 例如, 当安全网关无法接入时 ) 是否可以接入互联网 故障关闭策略会禁用除 VPN 接入之外的网络连接 故障打开策略会允许网络连接 无论连接故障策略如何,AnyConnect 都会继续尝试建立 VPN 连接 下表对故障打开和故障关闭策略进行了说明 : 永远在线 VPN 连接策略 方案 优势 权衡 故障打开 AnyConnect 无法建立或重新建立 VPN 会话 如果安全网关不可用, 或者 AnyConnect 检测不到强制网络门户的存在 ( 常见于机场 咖啡店和酒店 ), 则会发生此故障 授予完全网络接入权限, 从而让用户在需要对互联网或其他本地网络资源的接入权时继续执行任务 在 VPN 会话建立之前, 安全和保护不可用 因此, 终端设备可能会受到基于 Web 的恶意软件感染, 或者敏感数据可能会泄露 故障关闭 同上, 只不过该选项主要面向异常安全的组织, 在该类组织中, 对安全持久性的关比永远可用的网络接入更大 终端始终处于保护之中, 以防止受到基于 Web 的恶意软件的侵害和敏感数据泄露, 因为除了分割隧道所允许的打印机和系留设备之类的本地资源以外, 所有的网络接入均被阻止 直到 VPN 会话建立, 此选项都会阻止所有的网络接入, 除打印机和系留设备之类的本地资源外 如果用户需要 VPN 之外的互联网接入且安全网关不可接入, 它可导致工作停止 意事项 如果 AnyConnect 未能建立 VPN 会话, 连接故障关闭策略会阻止网络接入 AnyConnect 可检测到第 3-28 页的 强制网络门户热点检测和修复 部分中介绍的大多数强制网络门户 ; 然而, 如果它无法检测强制网络门户, 连接故障关闭策略会阻止所有的网络连接 实施连接故障关闭策略时要极度小心谨慎 如果您部署关闭连接策略, 我们强烈建议您遵照分阶段办法 例如, 首先用连接故障打开策略部署永远在线 VPN, 然后调查用户以了解 AnyConnect 未无缝连接的频率 然后在早期用户中部署连接故障关闭策略的试部署, 并征求他们的意见 逐步扩展试验计划, 同时在考虑全面部署前继续征求意见 当您部署连接故障关闭策略时, 请确保告知 VPN 用户网络接入限制以及连接故障关闭策略的优势 连接故障策略要求 支持连接故障策略功能需要以下许可证之一 : AnyConnect Premium (SSL VPN 版 ) Cisco AnyConnect 安全移动您可以使用 Cisco AnyConnect 安全移动许可证与 AnyConnect Essentials 许可证或 AnyConnect Premium 许可证提供对连接故障策略的支持 连接故障策略仅支持运行 Microsoft Windows 7 Vista 或 XP 以及 Mac OS X 10.6 和 10.7 的计算机 3-27

94 强制网络门户热点检测和修复 第 3 章 配置 VPN 接入 配置连接故障策略 默认情况下, 如果配置了永远在线 VPN 且 VPN 不可接入, 连接故障策略会阻止互联网接入 要配置连接故障策略, 步骤 1 请配置 TND ( 请参阅第 3-19 页的配置受信任网络检测 ) 步骤 2 请选中永远在线 (Always On) 步骤 3 将连接故障策略参数设置为以下设置之一 : 关闭 (Closed) - ( 默认 ) 在安全网关不可接入时限制网络接入 AnyConnect 通过启用阻塞终端中所有流量的数据包过滤器来执行此操作, 该终端不受计算机可连接的安全网关束缚 故障关闭策略会阻止强制网络门户的修复措施 ( 见下一节描述 ), 除非您以策略的一部分特别启用它 如果在客户端配置文件中启用应用上一个 VPN 本地资源 (Apply Last VPN Local Resources), 受限状态会允许最新的 VPN 会话施加的本地资源规则应用 例如, 这些规则可确定至活动同步和本地打印的接入权 当永远在线启用时, 在 AnyConnect 软件升级期间, 网络畅通无阻且处于开启状态 关闭 (Closed) 设置的目的在于, 在私有网络中保护终端的资源不可用时帮助防止公司资产受到网络威胁 打开 (Open) - 此设置在客户端无法连接 ASA 时通过浏览器和其他应用允许网络接入 如果您启用 断开连接 (Disconnect) 按钮且用户点击断开连接 (Disconnect), 打开连接故障策略不适用 强制网络门户热点检测和修复 很多提供 Wi-Fi 和有线接入的设施, 如机场 咖啡店和酒店, 需要用户在获取接入前进行付款 同意遵守可接受使用策略, 或此两者 这些设施使用称为强制网络门户的技术在用户打开浏览器和接受接入条件之前阻止应用连接 以下章节介绍强制网络门户检测和修复功能 强制网络门户修复要求 对强制网络门户检测和修复的支持需要以下许可证之一 : AnyConnect Premium (SSL VPN 版 ) Cisco AnyConnect 安全移动您可以使用 Cisco AnyConnect 安全移动许可证与 AnyConnect Essentials 许可证或 AnyConnect Premium 许可证提供对强制网络门户检测和修复的支持 强制网络门户检测和修复受此版本 AnyConnect 所支持的 Microsoft Windows 和 Mac OS X 操作系统支持 强制网络门户热点检测 如果无法连接, 则 AnyConnect 会在 GUI 上显示 无法与 VPN 服务器通信 (Unable to contact VPN server) 消息, 无论原因为何 VPN 服务器指定安全网关 如果启用永远在线, 且强制网络门户不存在, 客户端会继续尝试连接 VPN 并相应更新状态消息 3-28

95 第 3 章 配置 VPN 接入 强制网络门户热点检测和修复 如果启用永远在线 VPN, 连接故障策略关闭, 强制网络门户修复被禁用且 AnyConnect 检测到强制网络门户的存在, 则每次连接和重新连接时, AnyConnect GUI 都会显示以下消息一次 : 您目前所在位置的运营商限制对互联网的接入 您要登录到该运营商, 则必须降低 AnyConnect 保护设置 您目前的企业安全策略不允许这样做 (The service provider in your current location is restricting access to the Internet. The AnyConnect protection settings must be lowered for you to log on with the service provider. Your current enterprise security policy does not allow this.) 如果 AnyConnect 检测到强制网络门户的存在且 AnyConnect 配置与上面所描述的不同, 则每次连接和重新连接时, AnyConnect GUI 都会显示以下消息一次 : 您目前所在位置的运营商限制对互联网的接入 在建立 VPN 会话之前您需要登录到该运营商 您可以通过在浏览器中接入任何网站来对此进行尝试 (The service provider in your current location is restricting access to the Internet. You need to log on with the service provider before you can establish a VPN session. You can try this by visiting any website with your browser.) 默认情况下, 强制网络门户处于启用状态, 且不可配置 AnyConnect 不会在强制网络门户检测期间修改任何浏览器配置设置 强制网络门户热点修复 强制网络门户修复是满足强制网络门户热点要求以获取网络接入的过程 AnyConnect 不会修复强制网络门户, 它依靠最终用户执行修复操作 最终用户通过满足热点提供商的要求来执行强制网络门户修复操作 这些要求可以是付费接入网络 签署可接受使用策略 此两者或提供商规定的一些其他要求 如果 AnyConnect 永远在线启用且连接故障策略被设置为关闭 (Closed), 则需要在 AnyConnect VPN 客户端配置文件中明确允许强制网络门户修复 如果永远在线启用且连接故障策略被设置为打开 (Open), 则您不需要在 AnyConnect VPN 客户端配置文件中明确允许强制网络门户修复, 因为用户对网络的接入是不受限制的 配置强制网络门户热点修复的支持 如果永远在线功能启用且连接故障策略被设置为关闭, 则您需要在 AnyConnect VPN 客户端策略中启用强制网络门户修复 如果连接故障策略被设置为打开, 则您的用户对网络的接入权不受限制, 因此能够修复强制网络门户, 且不需要对 AnyConnect VPN 客户端策略进行任何其他配置 默认情况下, 对强制网络门户修复的支持禁用 请按此步骤启用强制网络门户修复 : 步骤 1 配置连接故障策略 ( 请参阅第 3-28 页的配置连接故障策略 ) 步骤 2 如果您将连接故障策略设置为关闭, 请配置以下参数 : 允许强制网络门户修复 (Allow Captive Portal Remediation) - 选中该参数以让 Cisco AnyConnect 安全移动客户端提升关闭连接故障策略所施加的网络接入限制 默认情况下, 为提供最大的安全性, 该参数未选中 ; 然而, 如果您想让客户端连接到 VPN 而强制网络门户阻止客户端这样做, 您必须启用该参数 修复超时 (Remediation Timeout) - 输入 AnyConnect 提升网络接入限制的分钟数 要满足强制网络门户要求, 用户需要足够的时间 如果永远在线 VPN 启用且用户点击连接 (Connect), 或正在进行重新连接, 消息窗口会显示存在强制网络门户 然后, 用户可以打开 Web 浏览器窗口来修复此强制网络门户 3-29

96 支持本地打印机和系留设备的客户端防火墙 第 3 章 配置 VPN 接入 如果用户无法接入强制网络门户页面 如果用户无法接入强制网络门户修复页面, 请让他们在可以进行修复之前尝试以下步骤 : 步骤 1 步骤 2 禁用和重新启用网络接口 此操作会触发强制网络门户检测重试 终止使用 HTTP 的任何应用, 如即时通讯程序 邮件客户端 IP 电话客户端, 以及除了执行修复操作的浏览器之外的一切应用 强制网络门户可通过忽略重复的连接尝试来主动抑制 DoS 攻击, 从而使其在客户端超时 若很多应用都尝试进行 HTTP 连接, 会加剧此问题 步骤 3 尝试第 1 步 步骤 4 重启计算机 错误的强制网络门户检测 AnyConnect 能够在以下情况下错误地假定其处于强制网络门户中 如果 AnyConnect 尝试与具有包含不正确服务器名称 (CN) 的证书的 ASA 通信, 则 AnyConnect 客户端会认为它处于 强制网络门户 环境中 为防止这一点, 请确保 ASA 证书进行了适当配置 该证书中的 CN 值必须与 VPN 客户端配置文件中的 ASA 服务器名称匹配 如果网络上在 ASA 之前有另一个设备, 且该设备会阻止对 ASA 的 HTTPS 接入以响应客户端与 ASA 通信的尝试, 则 AnyConnect 客户端将认为它处于 强制网络门户 环境中 当用户处于内部网络中且通过防火墙连接 ASA 时, 此情况会发生 如果您需要从公司内部限制对 ASA 的接入, 请配置您的防火墙以使至 ASA 地址的 HTTP 和 HTTPS 流量不会返回 HTTP 状态 应允许和完全阻止 ( 也称为黑洞 ) 对 ASA 的 HTTP/HTTPS 接入, 从而确保发送至 ASA 的 HTTP/HTTPS 请求不会返回意外响应 支持本地打印机和系留设备的客户端防火墙 当用户连接 ASA 时, 所有流量都会通过连接进入隧道, 且用户无法接入其本地网络上的资源 这包括打印机 相机以及与本地计算机同步的系留设备 在客户端配置文件中启用 本地 LAN 接入 (Local LAN Access) 可解决此问题, 但对于有些企业, 它会带来安全或策略问题, 因为它允许对本地网络的无限制接入 您可以使用 ASA 来部署终端 OS 防火墙功能, 从而限制对特定类型本地资源的接入, 如打印机和系留设备 为执行此操作, 请启用特定打印端口的客户端防火墙规则 客户端有入站和出站规则的区分 对于打印功能, 客户端会打开出站连接所需的端口, 但会阻止所有的传入流量 客户端防火墙功能在此版本所支持的 Windows Mac OS X 和 Linux 操作系统上受支持 请意, 以管理员身份登录的用户能够修改 ASA 部署到客户端上的防火墙规则 具有有限权限的用户无法修改规则 对于以上任一种用户, 客户端会在连接终止时再次应用防火墙规则 如果您配置了客户端防火墙, 且用户通过了活动目录 (AD) 服务器的身份验证, 客户端仍适用 ASA 的防火墙策略 但是, AD 组策略中定义的规则优先于客户端防火墙规则 3-30

97 第 3 章 配置 VPN 接入 支持本地打印机和系留设备的客户端防火墙 以下章节介绍此操作的执行方法步骤 : 第 3-31 页的为本地打印机支持部署客户端防火墙 第 3-33 页的系留设备支持 防火墙行为的用法说明 以下说明阐明了 AnyConnect 客户端如何使用防火墙 : 源 IP 不能用于防火墙规则 客户端将忽视防火墙规则中从 ASA 发送来的源 IP 信息 客户端将根据规则是公共还是私有来确定源 IP 公共规则适用于客户端上的所有接口 私有规则适用于虚拟适配器 ASA 支持 ACL 规则的很多协议 但是, AnyConnect 防火墙功能仅支持 TCP UDP ICMP 和 IP 如果客户端收到一条具有不同协议的规则, 它会将它视为无效的防火墙规则, 然后禁用分割隧道并出于安全考虑使用完整隧道 由 ASA 9.0 开始, 公共网络规则和私有网络规则支持统一的接入控制列表 可使用这些接入控制列表以相同的规则定义 IPv4 和 IPv6 流量 请意每个操作系统的以下行为差异 : 对于 Windows 计算机, 拒绝规则在 Windows 防火墙中优先于允许规则 如果 ASA 将一条允许规则下推到 AnyConnect 客户端, 但用户创建了一条自定义拒绝规则, 则不会实施 AnyConnect 规则 在 Windows Vista 上, 当创建了防火墙规则时, Vista 会将端口号范围当作逗号隔开的字符串 端口范围最多可以是 300 个端口 例如, 从 或 如果您将范围指定为大于 300 个端口, 防火墙规则将只适用于前 300 个端口 防火墙服务必须由 AnyConnect 客户端启动 ( 不能由系统自动启动 ) 的 Windows 用户在建立 VPN 连接时所花的时间可能会显著增加 在 Mac 计算机上, AnyConnect 客户端以相同于 ASA 对规则的采用顺序来采用规则 全局规则始终都在最后 对于第三方防火墙, 只有当 AnyConnect 客户端防火墙和第三方防火墙都允许该流量类型时才能通过流量 如果第三方防火墙阻止 AnyConnect 客户端允许的特定流量类型, 客户端会阻止该流量 对于 Linux 系统, 由 AnyConnect 版开始, 您可以配置 AnyConnect 来评估客户端防火墙和过滤规则 要配置 AnyConnect 以允许本地防火墙和过滤规则, 请添加一个名为 规避 - 主机 - 过滤 (circumvent-host-filtering) 的自定义属性到组配置文件中, 并将其设置为 true 为本地打印机支持部署客户端防火墙 ASA 通过 ASA 8.3(1) 版或更高版以及 ASDM 6.3(1) 版或更高版支持 AnyConnect 客户端防火墙功能 此节介绍如何配置客户端防火墙以允许对本地打印机的接入, 以及如何在 VPN 连接失败时配置客户端配置文件以使用防火墙 客户端防火墙的局限和限制以下局限和限制适用于使用客户端防火墙限制本地 LAN 接入 : 由于操作系统的限制, 运行 Windows XP 的计算机上的客户端防火墙策略仅对入站流量强制实施 出站规则和双向规则将被忽视 这包括 任何时候都允许 IP 等防火墙规则 主机扫描和某些第三方防火墙可能会干扰防火墙 3-31

98 支持本地打印机和系留设备的客户端防火墙 第 3 章 配置 VPN 接入 下表阐明了哪个方向的流量会受源端口和目标端口设置的影响 : 源端口 目标端口 受影响的流量方向 特定端口号 特定端口号 入站和出站 范围或 全部 (0 值 ) 范围或 全部 (0 值 ) 入站和出站 特定端口号 范围或 全部 (0 值 ) 仅限入站 范围或 全部 (0 值 ) 特定端口号 仅限出站 本地打印的示例 ACL 规则 ACL AnyConnect_Client_Local_Print 具备 ASDM, 可用于轻松配置客户端防火墙 当您在组策略的 客户端防火墙 (Client Firewall) 窗格中选择公共网络规则的该 ACL 时, 该列表会包含以下 ACE: 表 3-2 AnyConnect_Client_Local_Print 中的 ACL 规则 说明 权限 接口 协议 源端口 目标地址 目标端口 全部拒绝 拒绝 公共 任何地址 1 默认 任何地址 默认 LPD 允许 公共 TCP 默认 任何地址 515 IPP 允许 公共 TCP 默认 任何地址 631 打印机 允许 公共 TCP 默认 任何地址 9100 mdns 允许 公共 UDP 默认 LLMNR 允许 公共 UDP 默认 NetBios 允许 公共 TCP 默认 任何地址 137 NetBios 允许 公共 UDP 默认 任何地址 端口范围从 1 到 要启用本地打印, 您必须在客户端配置文件中启用本地 LAN 接入 (Local LAN Access) 功能 如果您用 CLI 执行此操作, 您必须添加 ACL 规则允许全部 (allow Any Any) 配置本地打印支持 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 在组策略中启用 AnyConnect 客户端防火墙 转至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 选择一个组策略, 然后点击编辑 (Edit) 将显示 编辑内部组策略 (Edit Internal Group Policy) 窗口 选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) > 客户端防火墙 (Client Firewall) 为私有网络规则点击管理 (Manage) 使用表 3-2 中的规则创建 ACL 并指定 ACE 将此 ACL 添加为公共网络规则 如果您启用了自动 VPN 策略永远在线并指定了关闭策略, 如果发生 VPN 故障, 用户无权接入本地资源 您可以在此情况中转至配置文件编辑器中的 首选项 ( 续 ) (Preferences [Cont]) 并选中应用上个本地 VPN 资源规则 (Apply last local VPN resource rules) 应用防火墙规则 3-32

99 第 3 章 配置 VPN 接入 Mac OS X 的新安装目录结构 系留设备支持 为了支持系留设备和保护公司网络, 请在组策略中创建标准的 ACL, 从而在系留设备使用的范围内指定目标地址 然后将分割隧道的 ACL 指定为网络列表, 从而排除进入隧道的 VPN 流量 要在 VPN 故障的情况下使用上一个 VPN 本地资源规则, 您还必须配置客户端配置文件 请按以下步骤操作 : 步骤 1 在 ASDM 中, 转至组策略 (Group Policy) > 高级 (Advanced) > 分割隧道 (Split Tunneling) 步骤 2 步骤 3 步骤 4 步骤 5 步骤 6 步骤 7 取消选中 网络列表 (Network List) 字段旁的继承 (Inherit), 然后点击管理 (Manage) 将显示 ACL 管理器 点击扩展 ACL (Extended ACL) 选项卡 点击添加 (Add), 然后点击添加 ACL (Add ACL) 为新 ACL 指定名称 在表中选择新的 ACL, 点击添加 (Add), 然后点击添加 ACE (Add ACE) 将显示 编辑 ACE (Edit ACE) 窗口 对于操作, 请选择允许 (Permit) 单选按钮 在目的地条件区域中, 将 IPv4 目标地址指定为 , 或将 IPv6 目标地址指定为 fe80::/64 步骤 8 对于服务, 请选择 IP 步骤 9 点击确定 (OK) 步骤 10 点击 确定 (OK) 以保存 ACL 步骤 11 在内部组策略的 分割隧道 (Split Tunneling) 窗格中, 根据您在第 7 步中规定的 IP 地址为该策略或 IPv6 策略取消选中 继承 (Inherit), 然后选择排除下面的网络列表 (Exclude Network List Below) 对于网络列表, 请选择您创建的 ACL 步骤 12 点击确定 (OK) 步骤 13 点击应用 (Apply) Mac OS X 的新安装目录结构 在 AnyConnect 的先前版本中, AnyConnect 组件安装在 opt/cisco/vpn 路径中 在 版本或更高版本中, AnyConnect 组件安装在 /opt/cisco/anyconnect 路径中 Web Security 客户端配置文件的 ScanCenter 托管配置支持 Web Security 托管客户端配置文件的 ScanCenter 托管配置让管理员能够为 Web Security 客户端提供新的 Web Security 客户端配置文件 具有 Web Security 功能的设备可从云中下载新的客户端配置文件 ( 托管配置文件位于 ScanCenter 服务器上 ) 此功能的唯一必备条件是, 设备的 Web Security 安装有有效的客户端配置文件 管理员使用 Web Security 配置文件编辑器创建客户端配置文件, 然后将明文 XML 文件上传到 ScanCenter 服务器中 此 XML 文件必须包含 ScanSafe 的有效许可密钥 托管配置功能在从托管配置 (ScanCenter) 服务器中检索新的客户端配置文件时使用许可密钥 一旦新的客户端配置文件处于服务器上, 具有 Web Security 功能的设备将自动轮询服务器并下载新的客户端配置文件, 前 3-33

100 配置 AnyConnect 的 DNS 和 WINS 服务器 第 3 章 配置 VPN 接入 提条件是现有 Web Security 客户端配置文件中的许可证与托管服务器上的客户端配置文件之相关许可证相同 一旦新的客户端配置文件下载完成, Web Security 将不会再次下载同一文件, 直到管理员将新的客户端配置文件提供使用 Web Security 客户端设备必须在其可以使用托管配置功能之前预安装含有 ScanSafe 许可密钥的有效客户端配置文件 配置 AnyConnect 的 DNS 和 WINS 服务器 DNS 服务器和 WINS 服务器在网络 ( 客户端 ) 接入组策略中配置 请参阅 Cisco ASA 系列 VPN ASDM 配置指南的 VPN 一般设置章节中的为内部组策略配置服务器属性 在对 ASDM 中的组策略进行更改之后, 请确保组策略与配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) > 添加 / 编辑 (Add/Edit) > 组策略 (Group Policy) 中的连接配置文件相关联 配置分割隧道 分割隧道在 网络 ( 客户端 ) 接入 (Network [Client] Access) 组策略中配置 请参阅 Cisco ASA 系列 VPN ASDM 配置指南的 VPN 一般设置章节中的为内部组策略配置分割隧道 在对 ASDM 中的组策略进行更改之后, 请确保组策略与配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) > 添加 / 编辑 (Add/Edit) > 组策略 (Group Policy) 中的连接配置文件相关联 分离 DNS 在网络 ( 客户端 ) 接入组策略中配置分离 DNS 时, AnyConnect 会将特定 DNS 查询通过隧道传入私有 DNS 服务器中 ( 同时还在组策略中配置 ) 其他所有 DNS 查询将不受障碍地转至客户端操作系统上的 DNS 解析器中, 用于 DNS 解析 如果未配置分离 DNS, AnyConnect 将通过隧道传输所有的 DNS 查询 分离 DNS 的要求 分离 DNS 支持标准和更新查询 ( 包括 A AAAA NS TXT MX SOA ANY SRV PTR 和 CNAME) 允许与任何一个隧道网络匹配的 PTR 查询通过隧道 AnyConnect 分离 DNS 在 Windows 和 Mac OS X 平台上受支持 对于 Mac OS X, 只有符合以下条件之一,AnyConnect 才能将真正的分离 DNS 用于特定的 IP 协议 : 在组策略中为一个 IP 协议 ( 如 IPv4) 配置好分离 DNS, 为另一个 IP 协议 ( 如 IPv6) 配置好客户端绕过协议 ( 不为后面的 IP 协议配置地址池 ) 为两个 IP 协议都配置好分离 DNS 3-34

101 第 3 章 配置 VPN 接入 分离 DNS 配置分离 DNS 要在组策略中配置分离 DNS, 请执行以下措施 : 1. 至少配置一个 DNS 服务器 : 请参阅 Cisco ASA 系列 VPN ASDM 配置指南的 VPN 一般设置章节中的为内部组策略配置服务器属性 确保指定的私有 DNS 服务器不与为客户端平台配置的 DNS 服务器重叠 如果重叠, 域名解析不会正常运转, 且查询可能会终止 请参阅 Cisco ASA 系列 VPN ASDM 配置指南的 VPN 一般设置章节中的为内部组策略配置分割隧道了解余下的配置步骤 2. 配置分割隧道 : 在配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 高级 (Advanced) > 分割隧道 (Split Tunneling) 窗格中, 选择下面的隧道网络列表 (Tunnel Network List Below) 策略, 并指定要进行隧道传输的地址网络列表 分离 DNS 不支持 排除下面的网络列表 分割隧道策略 您必须使用 下面的隧道网络列表 (Tunnel Network List Below) 分割隧道策略配置分离 DNS 3. 配置分离 DNS: 在配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 高级 (Advanced) > 分割隧道 (Split Tunneling) 窗格中, 取消选中通过隧道以及指定其查询将由隧道传输到 DNS 域名中的域名来发送所有的 DNS 查询 (Send All DNS lookups through tunnel, and specifying the names of the domains whose queries will be tunneled in DNS Names) 在对 ASDM 中的组策略进行更改之后, 请确保组策略与配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) > 添加 / 编辑 (Add/Edit) > 组策略 (Group Policy) 中的连接配置文件相关联 使用 AnyConnect 日志验证分离 DNS 要想验证分离 DNS 是否已启用, 请搜索 AnyConnect 日志以查看包含 已接收 VPN 会话配置设置 的条目 该条目在启用时指示分离 DNS: 已启用 (Split DNS:enabled) IPv4 和 IPv6 分离 DNS 具有单独的日志条目 检查哪些域使用分离 DNS 您可以使用依靠操作系统 DNS 解析器的任何工具或应用进行域名解析 例如, 您可以使用 Ping 或 Web 浏览器测试分离 DNS 解决方案 其他工具 ( 如 nslookup 或 dig) 会规避 OS DNS 解析器 要想使用客户端检查分离 DNS 使用了哪些域, 请遵照以下步骤 : 步骤 1 步骤 2 运行 ipconfig/all 并记录 DNS 后缀搜索列表旁列的域 建立 VPN 连接, 然后再次检查 DNS 后缀搜索列表旁列的域 建立隧道后额外添加的这些域是分离 DNS 所用的域 3-35

102 网络漫游 第 3 章 配置 VPN 接入 此过程假设, 从 ASA 推送来的域与已在客户端主机上配置的域不重叠 网络漫游 AnyConnect 3.1 支持 IPv4 与 IPv6 网络之前的漫游 AnyConnect 客户端使用 ASA 的全称域名 (FQDN), 以在 AnyConnect 在两种类型的网络之间移动时维持至该安全网关的连接 为了适应 NAT46 和 NAT64 启用网络之间的漫游 ( 一般还涉及 DNS46 和 DNS64 配置 ), 客户端在 VPN 会话期间检测到网络漫游的任何时候执行 ASA FQDN 的域名解析, 以确定用于重新建立 VPN 会话的 ASA IP 地址 在使用负载均衡的 ASA 环境中, 在不设置 ASA 的 FQDN 的情况下, 无法确定配置文件 FQDN 在漫游期间无法解析的原因 这是因为, 您无法保证, 客户端首次接入的 ASA 的 IP 地址属于它们所连接设备的 ASA 提及的 ASA FQDN 不是用于原始建立 VPN 隧道的配置文件 FQDN, 它是在隧道建立期间推送到客户端的 ASA 设备 FQDN 必备条件 IPv4 与 IPv6 网络之间的网络漫游配置在 ASA 上的组策略中进行配置 请参阅第 73 章中的 配置网络 ( 客户端 ) 接入内部组策略 ASA 系列 ASDM 配置指南中的 VPN 一般设置了解有关如何添加或编辑内部组策略的说明 在 IPv4 与 IPv6 网络之间配置网络漫游 步骤 1 启动 ASDM 并选择远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 组策略 (Group Policies) 步骤 2 选择您打算配置的组策略, 然后点击编辑 (Edit) 步骤 3 点击 编辑内部组策略 (Edit Internal Group Policy) 页面中的高级 (Advanced) > AnyConnect 步骤 4 在 FQDN 行, 取消选中 FQDN, 然后在 FQDN 文本框中添加 ASA 的 FQDN 如果以上内容未设置,ASA 将在此位置中推送 ASA 上的 主机名 (Hostname) 和 域名 (Domain Name) 字段中定义的 FQDN: 配置 (Configuration) > 设备设置 (Device Setup) > 设备名称 / 密码 (Device Name/Password) 要使其成为 FQDN, 必须填写域名 如果将其以 FQDN 发送, 客户端仅执行 ASA 的域名解析 否则, AnyConnect 将使用启动隧道以重新建立 VPN 会话时确定的 IP 地址 步骤 5 将更改保存到组策略或设备名 / 密码设备设置中 3-36

103 第 3 章 配置 VPN 接入 使用 SCEP 配置证书册 使用 SCEP 配置证书册 有关使用 SCEP 的证书册 AnyConnect 安全移动客户端可以使用单证书册协议 (SCEP) 作为客户端身份验证的一部分来调配和续订证书 SCEP 的目标是使用现有技术以可扩展的方法支持证书向网络设备的安全发行 AnyConnect IPsec 和至 ASA 的 SSL VPN 连接通过以下方法支持使用 SCEP 的证书册 : SCEP 代理 :ASA 作为客户端与 CA 之间的 SCEP 请求和响应的代理 CA 必须能够接入 ASA, 而不是 AnyConnect 客户端, 因为客户端不会直接接入 CA 册始终会由客户端自动发起 不需要用户参与 SCEP 代理在 AnyConnect 3.0 及更高版本中受支持 传统 SCEP:AnyConnect 客户端与 CA 直接通信以册和获取证书 CA 必须能够通过已建立的 VPN 隧道或直接通过客户端所处的同一网络接入 AnyConnect 客户端而不是 ASA 册由客户端自动发起, 若进行了配置, 也可能由用户手动发起 传统 SCEP 在 AnyConnect 2.4 及更高版本中受支持 SCEP 代理册 以下步骤说明了为 SCEP 代理配置 AnyConnect 和 ASA 时获取证书的过程和建立基于证书的连接的过程 1. 用户使用为证书和 AAA 身份验证配置的连接配置文件连接 ASA 头端 ASA 从客户端请求用于身份验证的证书和 AAA 凭证 2. 用户输入其 AAA 凭证, 但有效的证书不可用 此情况会触发客户在使用输入的 AAA 凭证建立隧道后发送自动 SCEP 册请求 3. ASA 将册请求转发给 CA 并将 CA 的响应返回给客户端 4. 如果 SCEP 册成功, 客户端会向用户显示一条 ( 可配置 ) 消息并断开当前会话 现在, 用户可以使用证书身份验证连接 ASA 隧道组 如果 SCEP 册失败, 客户端会向用户显示一条 ( 可配置 ) 消息并断开当前会话 用户应与他们的管理员联系 SCEP 代理说明 如果在 VPN 配置文件中设置了证书过期阈值 (Certificate Expiration Threshold) 字段, 客户端会在证书过期前自动续订证书而无需用户干预 SCEP 代理册需要使用 SSL 进行 SSL 和 IPsec 隧道证书身份验证 传统 SCEP 册 以下步骤说明了为传统 SCEP 配置 AnyConnect 时获取证书的过程和建立基于证书的连接的过程 1. 用户使用为证书身份验证配置的隧道组发起至 ASA 头端的连接 ASA 从客户端请求用于身份验证的证书 2. 有效证书在客户端不可用, 连接无法建立 此证书故障表示需要进行 SCEP 册 3-37

104 使用 SCEP 配置证书册 第 3 章 配置 VPN 接入 3. 然后, 用户必须使用仅为 AAA 身份验证配置的隧道组发起至 ASA 头端的连接, 而该头端的地址与客户端配置文件中所配置的自动 SCEP 主机 (Automatic SCEP Host) 相匹配 ASA 从客户端请求 AAA 凭证 4. 客户端向用户显示输入 AAA 凭证的对话框 如果客户端配置为手动册, 且该客户端了解它需要发起 SCEP 册 ( 请参阅第 2 步 ), 凭证对话框中将显示一个获取证书 (Get Certificate) 按钮 如果客户端对其网络上的 CA 有直接接入权, 此时, 用户将能够通过点击此按钮手动获取证书 如果对 CA 的接入权依赖于正在建立的 VPN 隧道, 则此时无法完成手动册, 因为目前未建立 VPN 隧道 (AAA 凭证尚未输入 ) 5. 用户输入其 AAA 凭证并建立 VPN 连接 6. 客户端了解它需要发起 SCEP 册 ( 请参阅第 2 步 ), 它通过建立的 VPN 隧道向 CA 发起册请求, 并从 CA 接收响应 7. 如果 SCEP 册成功, 客户端会向用户显示一条 ( 可配置 ) 消息并断开当前会话 现在, 用户可以使用证书身份验证连接 ASA 隧道组 如果 SCEP 册失败, 客户端会向用户显示一条 ( 可配置 ) 消息并断开当前会话 用户应与他们的管理员联系 8. 如果客户端配置为手动册且满足证书过期阈值 (Certificate Expiration Threshold), 显示的隧道组选择对话框中将显示获取证书 (Get Certificate) 按钮 用户将可以通过单击此按钮手动续订其证书 传统 SCEP 说明 如果您使用手动传统 SCEP 册, 我们建议您在客户端配置文件中启用 CA 密码 CA 密码是发送到认证中心以识别用户的质询码或令牌 如果证书过期且客户端不再具有有效证书, 客户端将重复传统的 SCEP 册过程 SCEP 指南和限制 ASA 负载均衡支持 SCEP 册 至 ASA 的无客户端 ( 基于浏览器 ) VPN 接入不支持 SCEP 代理, 但 WebLaunch ( 无客户端发起的 AnyConnect) 支持 ASA 不能指示册失败的原因, 虽然它确实记录了从客户端接收到的请求 连接问题必须在 CA 或客户端上进行调试 所有的 SCEP 兼容 CA, 包括 IOS CS Windows Server 2003 CA 和 Windows Server 2008 CA 均受支持 CA 必须处于自动授予模式, 不支持轮询证书 有些 CA 可以配置为以邮件形式向用户发送册密码, 这提供了额外的安全 密码还能在 AnyConnect 客户端配置文件中进行配置, 它将成为 CA 在授予证书前验证的 SCEP 请求的一部分 Windows 证书警告 当 Windows 客户端首次尝试从认证中心检索证书时, 它们可能会看到一条警告 出现提示时, 用户必须点击是 (Yes), 以导入根证书 这不会影响他们连接客户端证书 3-38

105 第 3 章 配置 VPN 接入 使用 SCEP 配置证书册 识别册连接以应用策略 在 ASA 上,aaa.cisco.sceprequired 属性可用于缓存册连接并在所选择的 DAP 记录中应用合适的策略 ASA 上的仅通过证书身份验证和证书映射 要在使用多个组的环境中支持仅通过证书身份验证, 您可以调配多个组 URL 每个组 URL 将包含具有一些自定义数据的不同客户端配置文件, 这些数据可用于进行待创建的组特定证书映射 例如, 在本过程中的证书呈现到 ASA 上时, 可在 ASA 上调配工程 Department_OU 值, 从而将用户置入此隧道组 配置 SCEP 代理证书册 配置 SCEP 代理册的 VPN 客户端配置文件 步骤 1 步骤 2 步骤 3 从 ASDM 中启动配置文件编辑器, 或使用独立的 VPN 配置文件编辑器 ( 请参阅第 3-8 页的创建和编辑 AnyConnect 配置文件 ) 在 ASDM 中, 点击添加 (Add) ( 或编辑 [Edit]) 以创建 ( 或编辑 ) AnyConnect 配置文件 在独立编辑器中, 打开一个现有的配置文件或继续创建一个新文件 在左侧的 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 树状菜单中点击证书册 (Certificate Enrollment) 步骤 4 在证书册 (Certificate Enrollment) 窗格中, 选中证书册 (Certificate Enrollment) 步骤 5 配置册证书中请求的证书内容 有关证书字段的定义, 请参阅第 3-78 页的 AnyConnect 配置文件编辑器, 证书册 如果您使用 %machineid%, 则必须为桌面客户端下载 Hostscan/ 状态 (Hostscan/Posture) 对于移动客户端, 必须至少指定一个证书字段 配置 ASA 以支持 SCEP 代理册 对于 SCEP 代理, 由一个 ASA 连接配置文件支持证书册和证书的授权 VPN 连接 必备条件 为 SCEP 代理配置一个客户端配置文件, 例如 ac_vpn_scep_proxy 请参阅第 3-39 页的配置 SCEP 代理册的 VPN 客户端配置文件 步骤 1 创建组策略, 例如 cert_group 设置以下字段 : 在 一般 (General) 选项卡中, 向 SCEP 转发 URL (SCEP Forwarding URL) 的 CA 中输入 URL 在 高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 窗格中, 取消选中继承客户端配置文件进行下载 (Inherit for Client Profiles to Download) 并指定为 SCEP 代理配置的客户端配置文件 例如, 指定 ac_vpn_scep_proxy 客户端配置文件 3-39

106 使用 SCEP 配置证书册 第 3 章 配置 VPN 接入 步骤 2 为证书册和证书授权连接创建连接配置文件, 例如 cert_tunnel 身份验证 : 两者 (AAA 和证书 ) 默认组策略 :cert_group 在 高级 (Advanced) > 一般 (General) 上, 选中启用此连接配置文件的 SCEP 册 (Enable SCEP Enrollment for this Connction Profile) 在 高级 (Advanced) > 组别名 / 组 URL (GroupAlias/Group URL) 上, 创建一个包含该连接配置文件组 (cert_group) 的组 URL 配置传统 SCEP 证书册 为传统 SCEP 册配置一个 VPN 客户端配置文件 步骤 1 步骤 2 步骤 3 从 ASDM 中启动配置文件编辑器, 或使用独立的 VPN 配置文件编辑器 ( 请参阅第 3-8 页的创建和编辑 AnyConnect 配置文件 ) 在 ASDM 中, 点击添加 (Add) ( 或编辑 [Edit]) 以创建 ( 或编辑 ) AnyConnect 配置文件 在独立编辑器中, 打开一个现有的配置文件或继续创建一个新文件 在左侧的 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 树状菜单中点击证书册 (Certificate Enrollment) 步骤 4 在证书册 (Certificate Enrollment) 窗格中, 选中证书册 (Certificate Enrollment) 步骤 5 指定自动 SCEP 主机 (Automatic SCEP Host) 以指导客户端检索证书 输入 FQDN 或 IP 地址以及为 SCEP 证书检索配置的连接配置文件 ( 隧道组 ) 的别名 举例来说, 如果 asa.cisco.com 是 ASA 的主机名称, scep_eng 是连接配置文件的别名, 则输入 asa.cisco.com/scep-eng 当用户启动连接时, 要想成功连接, 所选择或指定的地址必须准确匹配传统 SCEP 册的该值 例如, 如果此字段被设置为 FQDN, 但用户指定 IP 地址, 则 SCEP 册将失败 步骤 6 配置认证中心属性 : 您的 CA 服务器管理员可以提供 CA URL 和指纹 直接从服务器中检索指纹, 而不是从已签发的证书中的 手印 或 指纹 属性字段 步骤 7 a. 指定一个 CA URL 以识别 SCEP CA 服务器 输入 FQDN 或 IP 地址 例如 : b. ( 可选 ) 选择质询码提示 (Prompt For Challenge PW) 以向用户提示其用户名和一次性密码 c. ( 可选 ) 输入 CA 证书的指纹 使用 SHA1 或 MD5 哈希 例如 : 8475B661202E3414D4BB223A464E6AAB8CA123AB 配置册证书中请求的证书内容 有关证书字段的定义, 请参阅第 3-78 页的 AnyConnect 配置文件编辑器, 证书册 如果您使用 %machineid%, 在客户端上加载 Hostscan/ 状态 (Hostscan/Posture) 步骤 8 ( 可选 ) 选中显示获取证书按钮 (Display Get Certificate Button) 以允许用户手动请求调配或身份验证证书的更新 如果证书身份验证失败, 用户可看到此按钮 3-40

107 第 3 章 配置 VPN 接入 使用 SCEP 配置证书册 步骤 9 ( 可选 ) 在服务器列表中启用特定主机的 SCEP 执行此操作将覆盖上述 证书册 (Certificate Enrollment) 窗格中的 SCEP 设置 a. 点击左侧 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 树状菜单中的服务器列表 (Server List), 以转至 服务器列表 (Server List) 窗格 b. 添加 (Add) 或编辑 (Edit) 服务器列表条目 c. 指定上述第 5 和第 6 步中描述的自动 SCEP 主机和证书认证属性 配置 ASA 以支持传统的 SCEP 册 对于 ASA 上的传统 SCEP, 必须为证书册创建一个连接配置文件和组策略, 并为证书授权 VPN 连接创建第二个连接配置文件和组策略 必备条件配置传统 SCEP 的客户端配置文件, 例如 ac_vpn legacy_scep 请参阅第 3-40 页的为传统 SCEP 册配置一个 VPN 客户端配置文件 步骤 1 创建册的组策略, 例如 cert_enroll_group 设置以下字段 : 在 高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) 窗格中, 取消选中继承客户端配置文件以下载 (Inherit for Client Profiles to Download) 并指定为传统 SCEP 配置的客户端配置文件 例如, 指定 ac_vpn_legacy_scep 客户端配置文件 步骤 2 创建第二个授权组策略, 例如 cert_auth_group 步骤 3 创建用于册的连接配置文件, 例如 cert_enroll_tunnel 设置以下字段 : 在 基本 (Basic) 窗格中, 将 身份验证方法 (Authentication Method) 设置为 AAA 在 基本 (Basic) 窗格中, 将 默认组策略 (Default Group Policy) 设置为 cert_enroll_group 在 高级 (Advanced) > 组别名 / 组 URL (GroupAlias/Group URL) 中, 为此连接配置文件创建一个包含册组 (cert_enroll_group) 的组 URL 请勿在 ASA 上启用连接配置文件 没有必要为了使用户具有对组的访问权, 而将该组公开给用户 步骤 4 创建用于授权的连接配置文件, 例如 cert_auth_tunnel 设置以下字段 : 步骤 5 在 基本 (Basic) 窗格中, 将 身份验证方法 (Authentication Method) 设置为 证书 (Certificate) 在 基本 (Basic) 窗格中, 将 默认组策略 (Default Group Policy) 设置为 cert_auth_group 请勿在 ASA 上启用此连接配置文件 没有必要为了使用户具有对组的访问权, 而将该组公开给用户 ( 可选 ) 在每个组策略的 一般 (General) 窗格中, 将连接配置文件 ( 隧道组 ) 锁 (Connection Profile (Tunnel Group) Lock) 设置为相应的 SCEP 连接配置文件, 以限制到 SCEP 所配置的连接配置文件的流量 3-41

108 使用 SCEP 配置证书册 第 3 章 配置 VPN 接入 为 SCEP 使用 Windows 2008 Server 认证中心 如果您的认证中心软件在 Windows 2008 服务器上运行, 您可能需要对服务器进行以下配置更改之一, 从而支持 SCEP 用于 AnyConnect 禁用认证中心的 SCEP 密码 以下步骤说明如何禁用 SCEP 质询码, 因此客户端无需在 SCEP 册前提供带外密码 步骤 1 步骤 2 在认证中心服务器上, 启动册编辑器 您可以通过选择 启动 (Start) > 运行 (Run), 输入 regedit, 然后点击确定 (OK) 执行此操作 导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EnforcePassword 如果 EnforcePassword 密钥不存在, 请将其创建为新密钥 步骤 3 编辑 EnforcePassword, 并将其设置为 '0' 如果它不存在, 则将其创建为 REG-DWORD 步骤 4 退出 regedit, 然后重启认证中心服务器 在认证中心上设置 SCEP 模板 以下步骤说明如何创建证书模板, 将其分配为默认 SCEP 模板 步骤 1 启动 服务器管理器 (Server Manager) 您可以通过选择 启动 (Start) > 管理工具 (Admin Tools) > 服务器管理器 (Server Manager) 执行此操作 步骤 2 展开 角色 (Roles) > 证书服务 (Certificate Services) ( 或 AD 证书服务 ) 步骤 3 导航到 CA 名称 (CA Name) > 证书模板 (Certificate Templates) 步骤 4 右键点击 证书模板 (Certificate Templates) > 管理 (Manage) 步骤 5 从 证书模板 (Cert Templates) 控制台中, 右键点击 用户模板 (User template) 并选择 复制 (Duplicate) 步骤 6 选择适用于新模板的 Windows Server 2008 版本, 然后点击确定 (OK) 步骤 7 将模板显示名更改为描述性名称, 如 NDES-IPSec-SSL 步骤 8 步骤 9 调整您的站点的有效期 大多数站点选择三年或以上以避免证书过期 在 密码 (Cryptography) 选项卡上, 为您的部署设置最小密钥大小 我们建议您将密钥大小至少指定为 2048 步骤 10 在 主题名 (Subject Name) 选项卡中, 选择按请求供应 (Supply in Request) 步骤 11 步骤 12 在 扩展名 (Extensions) 选项卡上, 将 应用策略 (Application Policies) 设置为至少包括以下内容 : 客户端身份验证 IP 安全端系统 IP 安全网络密钥互换居间 IP 安全隧道终止 IP 安全用户这些值对 SSL 或 IPSec 有效 点击应用 (Apply), 然后点击确定 (OK) 保存新模板 3-42

109 第 3 章 配置 VPN 接入 配置证书期满通知书 步骤 13 步骤 14 从 服务器管理器 (Server manager) > 证书服务 -CA 名称 (Certificate Services-CA Name) 中, 右键点击 证书模板 (Certificate Templates), 选择 新建 (New) > 待签发的证书模板 (Certificate Template to Issue), 再选择您创建的新模板 ( 在此示例中为 NDES-IPSec-SSL), 然后点击确定 (OK) 编辑册表 您可以通过选择 启动 (Start) > 运行 (Run) regedit, 然后点击确定 (OK) 执行此操作 步骤 15 导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 步骤 16 将以下 3 个密钥的值设置为 NDES-IPSec-SSL 步骤 17 EncryptionTemplate GeneralPurposeTemplate SignatureTemplate 点击保存 (Save), 然后重启认证中心服务器 配置证书期满通知书 配置 AnyConnect 以向用户警告其身份验证证书即将到期 证书期满阈值 (Certificate Expiration Threshold) 设置指定 AnyConnect 向用户警告的证书到期日之前的天数 AnyConnect 在每次连接时都会警告用户, 直到证书实际过期或取得新证书时为止 证书期满阈值 (Certificate Expiration Threshold) 功能不能用于 RADIUS 步骤 1 步骤 2 步骤 3 从 ASDM 中启动配置文件编辑器, 或使用独立的 VPN 配置文件编辑器 ( 请参阅第 3-8 页的创建和编辑 AnyConnect 配置文件 ) 在 ASDM 中, 点击添加 (Add) ( 或编辑 [Edit]) 以创建 ( 或编辑 ) AnyConnect 配置文件 在独立编辑器中, 打开一个现有的配置文件或继续创建一个新文件 在左侧的 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 树状菜单中点击证书册 (Certificate Enrollment) 步骤 4 在证书册 (Certificate Enrollment) 窗格中, 选中证书册 (Certificate Enrollment) 步骤 5 指定证书期满阈值 (Certificate Expiration Threshold) 该日期是 AnyConnect 向用户警告其证书即将过期的证书期满日期前的天数 默认值为 0 ( 不显示警告 ) 范围为 天 步骤 6 点击确定 (OK) 3-43

110 配置证书存储区 第 3 章 配置 VPN 接入 配置证书存储区 您可以配置 AnyConnect 在客户端系统上查找和处理证书存储区的方式 根据平台的不同, 这可能涉及限制对特定存储区的接入权或允许使用文件而不是基于浏览器的存储区 此目的是将 AnyConnect 导向到所需位置以进行客户端证书使用和服务器证书验证 对于 Windows, 您可以控制客户端使用哪个证书存储区来查找证书 您可能想将客户端配置为, 将证书搜索限制为仅用户存储区或计算机存储区 对于 Mac 和 Linux, 您可以为 PEM 格式的证书文件创建证书存储区 这些证书存储区搜索配置存储在 AnyConnect 客户端配置文件中 您还可以在 AnyConnect 本地策略中配置更多的证书存储区限制 AnyConnect 本地策略是您使用企业软件部署系统部署的 XML 文件, 与 AnyConnect 客户端配置文件是分开的 该文件中的设置将限制对 Firefox NSS (Linux 和 Mac) PEM 文件 Mac 本机 ( 密钥链 ) 和 Windows Internet Explorer 本机证书存储区的使用 有关更多信息, 请参阅第 8 章 启用 FIPS 和其他安全 以下部分说明配置证书存储区和控制其使用的步骤 : 第 3-44 页的控制 Windows 上的证书存储区 第 3-46 页的创建适用于 Mac 和 Linux 的 PEM 证书存储区 控制 Windows 上的证书存储区 Windows 为本地计算机和当前用户提供单独的证书存储区 客户端配置文件指定 AnyConnect 客户端搜索证书的证书存储区 拥有计算机管理权限的用户有权访问两个证书存储区 没有管理权限的用户只能访问用户证书存储区 Windows XP 用户通常具有管理权限, 而 Windows 7 用户通常没有 在 配置文件编辑器 (Profile Editor) 的 首选项 ( 第一部分 ) (Preferences [Part 1]) 窗格中, 使用证书存储区 (Certificate Store) 列表框以配置 AnyConnect 在哪个证书存储区中搜索证书 使用证书存储区覆盖 (Certificate Store Override) 复选框以允许 AnyConnect 为非管理权限用户搜索计算机证书存储区 3-44

111 第 3 章 配置 VPN 接入 配置证书存储区 图 3-10 证书存储区 (Certificate Store) 列表框和证书存储区覆盖 (Certificate Store Override) 复选框 证书存储区 (Certificate Store) 具有三种可能的设置 : 全部 (All) - ( 默认 ) 搜索所有的证书存储区 计算机 (Machine) - 搜索计算机证书存储区 ( 与计算机一致的证书 ) 用户 (User) - 搜索用户证书存储区 证书存储区覆盖 (Certificate Store Override) 具有两种可能的设置 : 已选中 (checked) - 允许 AnyConnect 搜索计算机证书存储区, 即使用户没有管理权限 已清除 (cleared) - ( 默认 ) 不允许 AnyConnect 搜索没有管理权限的用户的计算机证书存储区 表 3-3 显示 证书存储区 (Certificate Store) 和 证书存储区覆盖 (Certificate Store Override) 配置的示例 3-45

112 配置证书存储区 第 3 章 配置 VPN 接入 表 3-3 证书存储区 (Certificate Store) 和证书存储区覆盖 (Certificate Store Override) 配置的示例 证书存储区 (Certificate Store) 设置 证书存储区覆盖 (Certificate Store Override) 设置 全部 (All) 已清除 (cleared) 全部 (All) 已选中 (checked) 计算机 (Machine) 计算机 (Machine) 已选中 (checked) 已清除 (cleared) AnyConnect 操作 AnyConnect 搜索所有的证书存储区 当用户拥有非管理权限时, AnyConnect 不允许接入计算机存储区 这是默认设置 此设置适用于大多数情况 除非您有这样做的特定理由或方案要求, 否则请勿更改此设置 计算机存储区的接入控制可根据 Windows 版本和安全设置的不同而不同 鉴于此, 用户可能无法在计算机存储区中使用证书, 即使他们有管理权限 在这种情况下, 允许 证书存储区覆盖 (Certificate Store Override) 来允许计算机存储区接入 AnyConnect 搜索所有的证书存储区 当用户拥有非管理权限时, AnyConnect 可接入计算机存储区 AnyConnect 搜索计算机证书存储区 AnyConnect 可搜索非管理帐户的计算机存储区 AnyConnect 搜索计算机证书存储区 当用户拥有非管理权限时, AnyConnect 不允许搜索计算机存储区 当只有有限的一组用户可以使用证书进行身份验证时, 可使用此配置 用户 (User) 不适用 AnyConnect 只在用户证书存储中进行搜索 由于非管理帐户具有对此证书存储区的访问权, 证书存储区覆盖不适用 创建适用于 Mac 和 Linux 的 PEM 证书存储区 AnyConnect 支持使用保密邮件 (PEM) 格式文件存储区的证书身份验证 客户端从远程计算机上的文件系统中读取 PEM 格式的证书文件并验证和签署它们, 而不是依靠浏览器来验证和签署证书 PEM 文件的文件名限制 为了使客户端在所有情况下都能获得合适的证书, 请确保您的文件满足以下要求 : 所有的证书文件都必须以扩展名.pem 结尾 所有的私钥文件都必须以扩展名.key 结尾 客户端证书及其对应的私钥必须具有相同的文件名 例如 :client.pem 和 client.key 您可以使用至 PEM 文件的软链接, 而不是保存 PEM 文件的副本 3-46

113 第 3 章 配置 VPN 接入 配置证书匹配 存储用户证书 要创建 PEM 文件证书存储区, 请创建表 3-4 中所列的路径和文件夹 将合适的证书放置在这些文件夹内 : 表 3-4 PEM 文件证书存储文件夹及所存储的证书类型 PEM 文件证书存储文件夹 ~/.cisco/certificates/ca 1 ~/.cisco/certificates/client ~/.cisco/certificates/client/private 所存储证书的类型受信任 CA 和根证书客户端证书私钥 1. ~ 是主目录 计算机证书的要求与 PEM 文件证书的相同, 但除根目录外 对于计算机证书, 用 /opt/.cisco 替代 ~/.cisco 否则, 应用表 3-4 中所列的路径 文件夹和证书类型 配置证书匹配 AnyConnect 支持以下证书匹配类型 部分或全部类型可用于客户端证书匹配 证书匹配是在证书匹配 (Certificate Matching) 窗格中的 AnyConnect VPN 客户端配置文件中设置的全局条件 条件如下 : 密钥用途 扩展密钥用途 可识别名配置文件可以不包含匹配条件, 或包含多个匹配条件 证书必须匹配所有指定条件方可视为匹配证书 我们不建议使用自签署证书, 因为用户可能会一不小心在欺诈服务器上将浏览器配置为信任某个证书, 而且用户在连接到安全网关时不便于响应安全警告 AnyConnect 客户端不支持使用证书撤销列表 (CRL) 的证书验证 很多站点将它们所使用的认证中心用于在公司网络内验证服务器证书 这意味着客户端无法在尝试连接头端时验证 CRL, 因为 CRL 在公共网络上不可接入 可配置客户端操作系统在 Windows 和 Mac OS X 中验证 CRL, 但我们忽略该设置 3-47

114 配置证书匹配 第 3 章 配置 VPN 接入 证书密钥用途匹配 证书匹配密钥用途在可通过给定证书执行的各种操作类型上设置了一组约束条件 受支持的组列示于 VPN 客户端配置文件上的密钥用途 (Key Usage) 列表中, 其包括 : DECIPHER_ONLY ENCIPHER_ONLY CRL_SIGN KEY_CERT_SIGN KEY_AGREEMENT DATA_ENCIPHERMENT KEY_ENCIPHERMENT NON_REPUDIATION DIGITAL_SIGNATURE 配置文件可以不包含匹配条件, 或包含多个匹配条件 如果指定一个或多个条件, 证书必须匹配至少一个条件方可视为匹配证书 第 3-50 页的 证书匹配示例 部分中的示例向您显示了如何配置这些属性 扩展证书密钥用途匹配 这种匹配可使管理员根据 VPN 客户端配置文件中的扩展密钥用途 (Extended Key Usage) 字段对可供客户端使用的证书加以限制 表 3-5 列出了常见的一组约束条件及其对应的对象标识符 (OID) 表 3-5 扩展证书密钥用途 约束条件 OID ServerAuth ClientAuth :2 CodeSign :3 Protect :4 IPSecEndSystem :5 IPSecTunnel IPSecUser TimeStamp :8 OCSPSign :9 DVCS :10 网络密钥互换居间 自定义扩展匹配密钥 所有其他 OID ( 如本文档一些示例中所用的 ) 都被认为是 自定义的 作为管理员, 如果您想要的 OID 不在常见组中, 您可以添加自己的 OID 3-48

115 第 3 章 配置 VPN 接入 配置证书匹配 证书可识别名映射 客户端配置文件 证书匹配 (Certificate Matching) 窗格的可识别名称表中包含证书标识符, 该标识符将可供客户端使用的证书限制为匹配特定条件和条件匹配条件的证书 当您点击添加 (Add) 按钮时, 您可以将其中一个条件添加到列表中, 并将值或通配符设置为匹配该条件的内容 表 3-6 列出了受支持的条件 : 表 3-6 证书可识别名映射的条件 标识符 CN SN GN N I GENQ DNQ C L SP ST O OU T EA DC ISSUER-CN ISSUER-SN ISSUER-GN ISSUER-N ISSUER-I ISSUER-GENQ ISSUER-DNQ ISSUER-C ISSUER-L ISSUER-SP ISSUER-ST ISSUER-O ISSUER-OU ISSUER-T 说明 SubjectCommonName SubjectSurName SubjectGivenName SubjectUnstructName SubjectInitials SubjectGenQualifier SubjectDnQualifier SubjectCountry SubjectCity SubjectState SubjectState SubjectCompany SubjectDept SubjectTitle Subject Addr DomainComponent IssuerCommonName IssuerSurName IssuerGivenName IssuerUnstructName IssuerInitials IssuerGenQualifier IssuerDnQualifier IssuerCountry IssuerCity IssuerState IssuerState IssuerCompany IssuerDept IssuerTitle 3-49

116 配置证书匹配 第 3 章 配置 VPN 接入 表 3-6 证书可识别名映射的条件 ( 续 ) 标识符 CN ISSUER-EA ISSUER-DC 说明 SubjectCommonName Issuer Addr IssuerDomainComponent 配置文件可以不包含或包含多个匹配条件 证书必须匹配所有指定条件方可视为匹配证书 可识别名匹配提供附加匹配条件, 包括管理员指定证书必须或不必具有特定字符串的能力, 以及该字符串的通配符是否被允许 证书匹配示例 在此示例和所有后续示例中,KeyUsage ExtendedKeyUsage 和 DistinguishedName 的配置文件值只是示例 您应仅配置适用于您的证书的证书匹配条件 要想在客户端配置文件中配置证书匹配, 请遵循下述步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 步骤 3 步骤 4 步骤 5 转至证书匹配 (Certificate Matching) 窗格 检查 密钥用途 (Key Usage) 和 扩展密钥用途 (Extended Key Usage) 设置以选择可接受的客户端证书 证书必须至少匹配一个要选择的特定密钥 有关这些用途设置的说明, 请参阅第 3-76 页的 AnyConnect 配置文件编辑器, 证书匹配 部分 指定任何自定义扩展匹配密钥 这些应为常见的 MIB OID 值, 如 您可以不指定或指定多个自定义扩展匹配密钥 证书必须与要选择的所有指定密钥匹配 密钥必须为 OID 形式 例如 : 点击 可识别名 (Distinguished Names) 表旁边的添加 (Add) 以启动 可识别名条目 (Distinguished Name Entry) 窗口 : 名称 (Name) - 可识别名 模式 (Pattern) - 要在匹配中使用的字符串 要匹配的模式应该仅包含您想匹配的字符串的一部分 不需要包含模式匹配或正则表达式语法 如果输入, 此语法将被视为待搜索字符串的一部分 例如, 如果示例字符串为 abc.cisco.com 且其目的是在 cisco.com 上进行匹配, 则输入的模式应为 cisco.com 运算符 (Operator) - 执行匹配所用的运算符 Equal-Equivalent to == Not Equal-Equivalent to!= 通配符 (Wildcard) - 包含通配符模式匹配 该模式可以位于字符串中的任何位置 区分大小写 (Match Case) - 启用与模式匹配的区分大小写 3-50

117 第 3 章 配置 VPN 接入 提示用户选择身份验证证书 提示用户选择身份验证证书 您可以配置 AnyConnect, 以向用户显示有效证书列表, 并让他们选择他们想用于对会话进行身份验证的证书 此配置仅可用于 Windows 7 XP 和 Vista 默认情况下, 用户证书选择禁用 我们不建议使用自签署证书, 因为用户可能会一不小心在欺诈服务器上将浏览器配置为信任某个证书, 而且用户在连接到安全网关时不便于响应安全警告 要启用证书选择, 请遵循 AnyConnect 配置文件中的以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 请转至首选项 ( 第 2 部分 ) (Preferences [Part 2]) 窗格, 然后取消选中禁用证书选择 (Disable Certificate Selection) 现在, 客户端向用户提示选择身份验证证书 用户在 AnyConnect 首选项中配置自动证书选择 启用用户证书选择会使 AnyConnect 首选项 (AnyConnect Preferences) 对话框中显示 自动证书选择 (Automatic certificate selection) 复选框 用户将能够通过选中或取消选中 自动证书选择 (Automatic certificate selection) 来开启和关闭自动证书选择 图 3-11 显示了用户可在 首选项 (Preferences) 窗口中看到的 自动证书选择 (Automatic certificate selection) 复选框 : 图 3-11 自动证书选择 (Automatic certificate selection) 复选框 3-51

118 配置服务器列表 第 3 章 配置 VPN 接入 配置服务器列表 配置文件的主要用途之一是让用户列出连接服务器 此服务器列表由主机名和主机地址对组成 主机名可以是用于指示主机 FQDN 或 IP 地址的别名 服务器列表在 AnyConnect GUI 上的连接至 (Connect to) 下拉列表中显示服务器主机名列表 ( 图 3-12) 用户可以从此列表中选择一个服务器 图 3-12 主机显示于连接至 (Connect to) 下拉列表中的用户 GUI 最初, 列表顶部的主机是默认服务器, 且出现在 GUI 下拉列表的首个位置 如果用户从该列表中选择一个备用服务器, 客户端会在远程计算机的用户首选项文件中记录该选择, 然后所选的服务器成为新的默认服务器 要配置服务器列表, 请遵照此步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 点击服务器列表 (Server List) 服务器列表 (Server List) 窗格将打开 步骤 3 点击添加 (Add) 服务器列表条目 (Server List Entry) 窗口将打开 ( 图 3-13) 图 3-13 添加服务器列表 3-52

119 第 3 章 配置 VPN 接入 配置服务器列表 步骤 4 步骤 5 步骤 6 输入主机显示名 (Host Display Name), 该名称是指示安全网关的别名 如果您在此输入 FQDN 或 IP 地址, 则 主机名 (Host Name) 字段中的条目将成为 AnyConnect 客户端托盘弹出式菜单的连接下拉列表中的服务器标签 如果您只在此指定 FQDN, FQDN 或 IP 字段中没有 IP 地址, 则 主机名 (Hostname) 字段中的 FQDN 将由 DNS 服务器解析 如果您输入 IP 地址, 则使用安全网关的公共 IPv4 或全局 IPv6 地址 不支持使用本地链路安全网关地址 如果需要, 请输入头端的 FQDN 或 IP 地址 指定用户组 (User Group) ( 可选 ) 客户端使用 用户组 (User Group) 连同 主机地址 (Host Address) 形成基于组的 URL 如果您将主协议指定为 IPsec, 用户组 (User Group) 必须是连接配置文件 ( 隧道组 ) 的准确名称 对于 SSL 而言, 该用户组为连接配置文件的组 URL 或组别名 步骤 7 步骤 8 步骤 9 步骤 10 步骤 11 ( 对于 AnyConnect 版或更高版本 ) 要设置移动设备的服务器列表设置, 请选中仅适用移动设备的附加设置 (Additional mobile-only settings) 复选框, 然后点击编辑 (Edit) 有关更多信息, 请参阅配置移动设备的服务器列表条目 在备份服务器列表 (Backup Server List) 下, 您可以配置在用户所选服务器故障时可供客户端接入的备份服务器列表 如果该服务器故障, 客户端首先将尝试连接列表顶部的服务器, 然后在需要时在列表中向下移 为每个备份安全网关输入 IP 地址或 FQDN 在负载均衡服务器列表 (Load Balancing Server List) 下 ( 可选 ) 如果主机安全网关是安全设备负载均衡集群的一部分, 且永远在线功能启用, 则在集群中添加备份设备 如果您不在此添加这些服务器, 永远在线功能会阻止对负载均衡集群中备份设备的接入 在连接到此 ASA 时指定客户端的主协议 ( 可选 ), 可选择 SSL 或使用 IKEv2 的 IPsec 默认值是 SSL 要禁用默认的身份验证方法 ( 专有的 AnyConnect EAP 方法 ), 请点击仅限标准身份验证 (Standard Authentication Only), 然后从下拉列表中选择一种方法 将身份验证方法从专有的 AnyConnect EAP 更改为基于标准的方法会禁用 ASA 配置会话超时 闲置超时 连接断开超时 分割隧道 分离 DNS MSIE 代理配置及其他功能的能力 步骤 12 如果您选择 IKE 作为主协议, 请输入 IKE 身份 (IKE Identity), 它是用作客户端身份的一个组或域 客户端会将字符串以 ID_GROUP 型 IDi 有效负载形式发送 默认情况下, 该字符串为 *$AnyConnectClient$* 步骤 13 在 CA URL 中, 指定 SCEP CA 服务器的 URL ( 可选 ) 输入 FQDN 或 IP 地址 例如, a. 选中质询码提示 (Prompt For Challenge Password) ( 可选 ) 以使用户手动发出证书请求 当用户点击获取证书 (Get Certificate) 时, 客户端会向用户提示用户名和一次性密码 b. 输入 CA 的证书指纹 使用 SHA1 或 MD5 哈希 您的 CA 服务器管理员可以提供 CA URL 和指纹, 并且应从服务器中直接检索指纹, 而不是从其所签发的证书的 手印 或 指纹 属性字段中检索 步骤 14 点击确定 (OK) 您配置的新服务器列表条目将出现在服务器列表表格中 ( 图 3-14) 3-53

120 配置服务器列表 第 3 章 配置 VPN 接入 图 3-14 新服务器列表条目 配置移动设备的连接 必备条件 指南 详细步骤 执行第 3-52 页的配置服务器列表的第 1-6 步 您必须使用 版或更高版本配置文件编辑器 在运行 Apple ios 4.1 版或更高版本的 Apple 移动设备上受支持 从 ASA 传送到移动设备的 AnyConnect VPN 客户端配置文件无法重新配置或从移动设备中删除 当用户在其设备上为新的 VPN 连接创建其自己的客户端配置文件时, 他们将能够配置 编辑和删除这些配置文件 步骤 1 步骤 2 在 服务器列表条目 (Server List Entry) 对话框中, 选中仅适用于移动设备的附加设置 (Additional mobile-only settings), 然后点击编辑 (Edit) 在 Apple ios / Android 设置 (Apple ios / Android Settings) 区域, 您可以为运行 Apple ios 或 Android 操作系统的设备配置以下属性 : a. 选择 证书身份验证 (Certificate Authentication) 类型 : 自动 (Automatic) - AnyConnect 自动选择用于进行身份验证的客户端证书 在此情况下, AnyConnect 会查看安装的所有证书, 忽略那些过期的证书, 应用 VPN 客户端配置文件中定义的证书匹配条件, 然后使用匹配条件的证书进行身份验证 每当用户尝试建立 VPN 连接时就会发生这种情况 手动 (Manual) - AnyConnect 搜索用于类似自动身份验证那样进行身份验证的证书 然而, 对于手动证书身份验证类型, 一旦 AnyConnect 找到匹配 VPN 客户端配置文件中所定义的证书匹配条件的证书, 它会将该证书分配至连接, 并且当用户尝试建立新的 VPN 连接时不会搜索新证书 已禁用 (Disabled) - 客户端证书不会用于身份验证 3-54

121 第 3 章 配置 VPN 接入 配置服务器列表 步骤 3 b. 如果您选中在导入配置文件时激活此服务器列表条目 (Make this Server List Entry active when profile is imported) 复选框, 一旦 VPN 配置文件被下载到设备中, 您即将此服务器列表条目定义为默认连接 只有一个服务器列表条目可以具有此名称 默认值为 已取消选中 (unchecked) 在 仅限 Apple ios 设置 (Apple ios Only Settings) 区域, 您只可以配置运行 Apple ios 操作系统的设备的这些属性 : a. 配置在 3G/Wifi 网络之间漫游时重新连接 (Reconnect when roaming between 3G/Wifi networks) 复选框 默认情况下, 此框被选中, 所以 AnyConnect 将尝试在 3G 与 Wifi 网络之间进行切换时维持 VPN 连接 如果您取消选中该框, AnyConnect 将不会尝试在 3G 与 Wifi 网络之间进行切换时维持 VPN 连接 b. 配置按需连接 (Connect on Demand) 复选框 您可以在此区域配置 Apple ios 提供的 按需连接 (Connect on Demand) 功能 您可以创建将在其他应用发起网络连接的任何时候被选中的规则列表, 而这些网络连接使用域名系统 (DNS) 进行解析 按需连接 (Connect on Demand) 复选框只能在 证书身份验证 (Certificate Authentication) 字段被设置为手动 (Manual) 或自动 (Automatic) 时被选中 如果 证书身份验证 (Certificate Authentication) 字段被设置为已禁用 (Disabled), 此复选框将变灰 匹配域或主机 (Match Domain or Host) 和按需操作 (On Demand Action) 字段中定义的 按需连接 (Connect on Demand) 规则在该复选框变灰时仍能配置和保存 c. 在匹配域或主机 (Match Domain or Host) 字段中, 输入您想为其创建 按需连接 (Connect on Demand) 规则的主机名 (host.example.com) 域名 (.example.com) 或部分域 (.internal.example.com) 请勿在此字段中输入 IP 地址 ( ) d. 在按需操作 (On Demand Action) 字段中, 在用户尝试连接上一步中所定义域或主机时指定以下操作之一 : 始终连接 - ios 将始终尝试在此列表中的规则匹配时发起 VPN 连接 在需要时连接 - 只有当系统无法使用 DNS 解析地址时, ios 将尝试在此列表中的规则匹配时发起 VPN 连接 从不连接 - ios 从不尝试在此列表中的规则匹配时发起 VPN 连接 此列表中的任何规则都优先于始终连接或需要时连接规则 当 按需连接 (Connect on Demand) 启用时, 应用会将服务器地址自动添加到此列表中 如果您尝试通过 Web 浏览器接入服务器的无客户端门户, 此操作会阻止 VPN 连接自动建立 如果您不想执行此行为, 此规则将删除 e. 一旦您使用匹配域或主机 (Match Domain or Host) 字段和按需操作 (On Demand Action) 字段创建了一个规则, 请点击添加 (Add) 该规则将显示在下面的规则列表中 步骤 4 点击确定 (OK) 步骤 5 返回第 3-52 页的配置服务器列表的第 8 步 3-55

122 配置备份服务器列表 第 3 章 配置 VPN 接入 配置备份服务器列表 您可以配置备份服务器列表, 供客户端在用户所选择的服务器故障时使用 这些服务器在 AnyConnect 配置文件的 备份服务器 (Backup Servers) 窗格中指定 有时, 此列表可能会指定主机特定的覆盖 请按以下步骤操作 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 转至备份服务器 (Backup Servers) 窗格并输入备份服务器的主机地址 配置启动时连接 启动时连接 (Connect On Start-up) 会通过 VPN 客户端配置文件指定的安全网关自动建立 VPN 连接 连接时, 客户端会将本地配置文件替换为安全网关提供的文件 ( 如果这两者不匹配 ), 并应用该配置文件的设置 默认情况下, 启动时连接 (Connect On Start-up) 是禁用的 当用户启动 AnyConnect 客户端时, GUI 会将默认情况下配置的设置显示为用户可控制 用户必须在 GUI 中的 连接至 (Connect to) 下拉列表中选择安全网关的名称, 然后点击连接 (Connect) 连接时, 客户端应用安全设备提供的客户端配置文件的设置 AnyConnect 功能得到了升级, 从能够在 AnyConnect 启动时自动建立 VPN 连接发展到通过 登录后永远在线 (Post logon Always-on) 功能使该 VPN 连接 永远在线 启动时连接 (Connect On Start-up) 元素的默认禁用配置就反映了这种升级 如果您的企业部署使用 启动时连接 (Connect On Start-up) 功能, 请考虑使用 受信任网络检测 (Trusted Network Detection) 功能替代之 受信任网络检测 (TND) 可让您在用户处于公司网络 ( 受信任网络 ) 内时让 AnyConnect 自动断开 VPN 连接, 并在用户处于公司网络 ( 非受信任网络 ) 之外时启动 VPN 连接 此功能通过在用户处于受信任网络外时启动 VPN 连接来促进更大的安全意识 有关配置 受信任网络检测 (Trusted Network Detection) 的信息, 请参阅第 3-19 页的 配置受信任网络检测 部分 默认情况下, 启动时连接 (Connect On Start-up) 是禁用的 要启用它, 请执行以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 在导航窗格中选择首选项 (Preferences) 步骤 3 选中启动时连接 (Connect On Start-up) 配置自动重新连接 与 IPsec VPN 客户端不同的是, AnyConnect 可以从 VPN 会话中断中恢复, 并能重新建立一个会话, 无论初始连接所用的媒介为何 例如, 它可以在有线 无线或 3G 网络上重新建立会话 您可以配置 自动重新连接 (Auto Reconnect) 功能以在您丢失连接时尝试重新建立 VPN 连接 ( 默认行为 ) 您还可以在系统暂停或系统恢复期间及之后定义重新连接行为 系统暂停是低功率待机 (Windows 的 休眠 或 Mac OS 或 Linux 的 睡眠 ) 系统恢复是系统暂停之后的恢复 3-56

123 第 3 章 配置 VPN 接入 代理连接 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 在导航窗格中选择首选项 ( 第 1 部分 ) (Preferences [Part 1]) 步骤 3 选中自动重新连接 (Auto Reconnect) 如果您取消选中自动重新连接 (Auto Reconnect), 客户端不会尝试重新连接, 无论连接断开的原因为何 思科强烈建议为此功能使用默认设置 ( 已启用 ) 禁用此设置可导致 VPN 连接在不稳定的连接下中断 步骤 4 选中 自动重新连接行为 (Auto Reconnect Behavior) (Linux 不支持 ): 暂停时断开连接 (Disconnect On Suspend) - AnyConnect 会在系统暂停时释放分配至 VPN 会话的资源, 并且不会在系统恢复后尝试重新连接 恢复后重新连接 (Reconnect After Resume) - 客户端会在系统暂停期间保留分配至 VPN 会话的资源, 并在系统恢复后尝试重新连接 代理连接 AnyConnect 通过透明或不透明的代理服务器支持 VPN 会话 支持本地 私有和公共代理, 但是存在一些限制 限制 不支持 IPv6 代理 这将在适用于 Windows Vista 及更高版本的 AnyConnect 未来版本中添加 本地代理连接 本地代理与 AnyConnect 运行在同一台 PC 上, 有时会用作透明代理 一些透明代理服务的示例包括 : 一些无线通信数据卡提供的加速软件 某些防病毒软件上的的网络组件, 如卡巴斯基 限制 需要 AnyConnect Essentials 许可证或 AnyConnect Premium SSL VPN 版许可证 本地代理只在 Microsoft Windows 上受支持 : Windows 7 (32 位和 64 位 ) Windows Vista (32 位和 64 位 ) - SP2 或带有 KB 的 Vista Service Pack 1 Windows

124 代理连接 第 3 章 配置 VPN 接入 指南 本地代理在 AnyConnect VPN 客户端配置文件中进行定义 默认情况下,AnyConnect 被配置为支持本地代理服务建立 VPN 会话 禁用本地代理连接 步骤 1 从 ASDM 中启动配置文件编辑器, 或独立的 VPN 配置文件编辑器 步骤 2 在导航窗格中选择 首选项 ( 第二部分 ) (Preferences [Part 2]) 步骤 3 取消选中面板顶部旁的允许本地代理连接 (Allow Local Proxy Connections) 私有代理连接 限制 私有代理服务器用在公司网络上, 用于根据公司使用策略阻止公司用户接入某些网站, 例如色情网站 赌博网站或游戏网站 ASA 上的组策略在 VPN 连接建立时执行客户端系统上的私有代理设置 当客户端断开连接时, 这些设置会回复其原值 这将使管理员能够在 VPN 用户连接其公司网络时实施公司使用策略 Linux 不受支持 配置私有代理连接 验证代理设置 私有代理在组策略中进行配置 在 ASA CLI 中, 组策略子模式的命令为 'msie-proxy' 在 ASDM 中编辑组策略, 并在 高级 (Advanced) > 浏览器代理 (Browser Proxy) 下配置代理服务器 对于 Windows: 在 册表 (Registry) 中查找代理设置, 路径如下 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings 对于 Mac OSX: 打开 终端 (Terminal) 窗口, 然后输入 : scutil --proxy 3-58

125 第 3 章 配置 VPN 接入 最佳网关选择 公共代理连接 限制 配置公共代理 公共代理通常用于匿名化网络流量 公共代理服务器可能还需要用户名和密码, 并且被称为身份验证代理服务器 AnyConnect 支持的身份验证类型有两种 : 基本和 NTLM 当代理服务器被配置为要求身份验证, AnyConnect 对话将管理身份验证过程 在对代理服务器成功进行身份验证之后, AnyConnect 菜单会提示输入 ASA 用户名和密码 仅 TLS 受支持, 而不是 DTLS 公共代理在 Mac 和 Linux 上不受支持 当 Windows Internet 选项 (Windows Internet Options) 被配置为在客户端上使用公共代理时, AnyConnect 将使用该连接 步骤 1 通过 Internet Explorer 或控制面板打开 Internet 选项 (Internet Options) 步骤 2 选择 连接 (Connections) 选项卡, 然后点击 LAN 设置 (LAN Settings) 按钮 步骤 3 配置 LAN 以使用代理服务器, 然后输入该代理服务器的 IP 地址 最佳网关选择 使用最佳网关选择 (OGS) 功能, 您可以在无需用户干预的情况下最大程度降低互联网流量延迟 利用 OGS, AnyConnect 能确定并选择出哪个安全网关最适合连接或重新连接 OGS 在第一次连接或上一次断开连接后至少四小时进行重新连接时开始 为了获得最佳性能, 身处异地出差的用户将连接距其所在位置最近的安全网关 您在家和在办公室使用同一网关将获得类似的结果, 因此, 在此情况下, 一般不会发生安全网关的切换 连接至另一个安全网关的情况很少发生, 它只会在性能提高至少 20% 时发生 OGS 不是安全功能, 它不会在安全网关集群之间或集群内执行负载均衡 您可以视需要给予最终用户启用或禁用该功能的能力 最小往返时间 (RTT) 解决方案可选择在客户端与所有其他网关之间具有最快 RTT 的安全网关 如果逝去的时间小于四小时, 客户端始终会重新连接到上一个安全网关 负载和网络连接的临时波动等因素可能会影响选择过程以及互联网流量的延迟 OGS 会维护其 RTT 结果的缓存, 从而最大程度减少它必须在未来执行的测量次数 在 OGS 启用的情况下启动 AnyConnect 时,OGS 会通过获取网络信息 ( 如 DNS 后缀和 DNS 服务器 IP) 确定用户所在位置 RTT 结果及其位置存储在 OGS 缓存中 在接下来的 14 天里, 在 AC 重启的任何时候, 都通过这一相同的方法确定位置, 而缓存会解码它是否已有 RTT 结果 头端根据缓存进行选择, 无需重新对头端进行 RTT 计算 14 天结束后, 此位置的结果将从缓存中删除, 重启 AC 会形成一组新的 RTT 它只与主服务器通信, 以确定最佳的一个 一旦确定, 连接算法即如下所示 : 1. 尝试连接到最佳的服务器 2. 如果该尝试失败, 则尝试最佳服务器的备份服务器列表 3-59

126 最佳网关选择 第 3 章 配置 VPN 接入 3. 如果该尝试失败, 则尝试 OGS 选择列表中的每个剩余服务器, 依照其选择结果进行 有关备份服务器的更多信息, 请参阅第 3-75 页的 AnyConnect 配置文件编辑器, 备份服务器 部分 最佳网关选择要求 AnyConnect 在运行适用于此版本的 Windows 和 Mac OS X 操作系统的 VPN 终端上支持最佳网关选择 该功能仅对 IPv4 客户端可用 配置最佳网关选择 请控制 OGS 的激活和停用, 并指定最终用户是否可以在 AnyConnect 配置文件中自行控制该功能 要使用配置文件编辑器配置 OGS, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 选中启用最佳网关选择 (Enable Optimal Gateway Selection) 复选框以激活 OGS 步骤 3 选中用户可控制 (User Controllable) 复选框, 从而使接入客户端 GUI 的远程用户可配置 OGS 当 OGS 启用时, 我们建议您也让用户可控制该功能 如果 AnyConnect 客户端无法建立至 OGS 选择网关的连接, 用户可能需要从配置文件中选择其他网关的能力 步骤 4 在 暂停时间阈值 (Suspension Time Threshold) 参数中输入 VPN 在调用新的网关选择计算时必须暂停的最小时间 ( 以小时为单位 ) 默认值为 4 小时 您可以使用配置文件编辑器配置此阈值 通过结合下一个可配置参数 ( 性能提高阈值 [Performance Improvement Threshold]) 对此值进行优化, 您可以在选择最佳网关与减少次数之间找到适当平衡, 从而强制重新输入凭证 步骤 5 在 性能提高阈值 (Performance Improvement Threshold) 参数中, 输入在系统恢复后触发客户端以重新连接另一个安全网关之前所需的性能提高百分比 默认值为 20% 如果发生的转换太多且用户必须非常频繁地重新输入凭证, 您应该提高这两个阈值之一或其两者 为您的特定网络调整这些值, 以在选择最佳网关与减少次数之间找到合适的平衡, 从而强制重新输入凭证 如果 OGS 在客户端 GUI 启动时启用, 自动选择 (Automatic Selection) 会显示在 连接 (Connect) 按钮旁的 VPN: 准备连接 (VPN: Ready to connect) 面板中 您不能更改此选择 OGS 自动选择最佳安全网关并在状态栏中显示所选择的网关 要开始连接过程, 您可能需要点击选择 (Select) 3-60

127 第 3 章 配置 VPN 接入 编写和部署脚本 如果您让用户可控制该功能, 用户可通过以下步骤手动覆盖所选的安全网关 : 步骤 1 如果目前已连接, 请点击断开连接 (Disconnect) 步骤 2 点击高级 (Advanced) 步骤 3 步骤 4 打开 首选项 (Preferences) 选项卡并取消选中启用最佳网关选择 (Enable Optimal Gateway Selection) 选择所需的安全网关 如果使用 AAA, 最终用户可能必须在转换到其他安全网关时重新输入其凭证 使用证书将不需要这样 OGS 和睡眠模式 在终端进入睡眠或休眠模式时, AnyConnect 必须拥有已建立的连接 您必须在 ASDM 的配置文件编辑器上启用 AutoReconnect (ReconnectAfterResume) 设置 ( 配置 [Configuration] > 远程接入 VPN [Remote Access VPN] > 网络 ( 客户端 ) 接入 [Network {Client} Access] > AnyConnect 客户端配置文件 [AnyConnect Client Profile]) 如果您在此让用户可控制该设置, 您可以在设备进入睡眠模式前在 AnyConnect 安全移动客户端首选项 (AnyConnect Secure Mobility Client Preferences) 选项卡上进行配置 当设置了以上两项时, 设备会离开睡眠模式, AC 将使用所选择的头端自动运行 OGS 以尝试重新连接 OGS 和代理检测 如果配置自动代理检测, 您将无法执行 OGS OGS 也不能在配置了代理自动配置 (PAC) 文件的情况下运行 编写和部署脚本 AnyConnect 让您可以在发生以下事件时下载和运行脚本 : 用安全设备建立新的客户端 VPN 会话时 我们将此事件触发的脚本称为 OnConnect 脚本, 因为它需要此文件名前缀 用安全设备终止客户端 VPN 会话时 我们将此事件触发的脚本称为 OnDisconnect 脚本, 因为它需要此文件名前缀 因此, 建立 受信任网络检测 (Trusted Network Detection) 所发起的新客户端 VPN 会话将触发 OnConnect 脚本 ( 假定符合运行该脚本的要求 ) 在网络中断后重新连接永久性 VPN 会话不会触发 OnConnect 脚本 可展示如何使用此功能的一些示例包括 : 在 VPN 连接时刷新组策略 在 VPN 连接时映射网络驱动, 在连接断开后不对其进行映射 在 VPN 连接时登录服务, 在连接断开后销 AnyConnect 支持在 WebLaunch 期间启动脚本和独立启动 3-61

128 编写和部署脚本 第 3 章 配置 VPN 接入 这些说明假设您知道如何编写脚本, 以及如何通过目标终端的命令行运行脚本以对脚本进行测试 AnyConnect 软件下载网站提供了一些示例脚本 ; 如果您要检查它们, 请记住它们只是示例 它们可能无法满足本地计算机对它们的运行要求, 并且若不根据您的网络和用户需求对其进行自定义, 它们不大可能有用 Cisco 不支持示例脚本或客户编写的脚本 本节包含以下主题 : 第 3-62 页的脚本要求和限制 第 3-63 页的编写 测试和部署脚本 第 3-64 页的配置脚本的 AnyConnect 配置文件 第 3-64 页的故障排除脚本 脚本要求和限制 请意脚本的以下要求和限制 : 受支持脚本数 AnyConnect 只运行一个 OnConnect 和一个 OnDisconnect 脚本 ; 然而, 这些脚本可能会启动其他脚本 文件格式 AnyConnect 按文件名识别 OnConnect 和 ondisconnect 脚本 它查找名称开头为 OnConnect 或 OnDisconnect 的文件, 不管文件扩展名为何 执行遇到的第一个匹配前缀的脚本 它可识别解释脚本 ( 如 VBS Perl 或 Bash) 或可执行脚本 脚本语言 客户端不要求以特定语言编写脚本, 但要求在客户端计算机上安装可运行该脚本的应用 因此, 为了使客户端启动该脚本, 该脚本必须能够通过命令行运行 Windows 安全环境对脚本的限制 在 Microsoft Windows 上,AnyConnect 只能在用户登录到 Windows 并建立 VPN 会话时启动脚本 因此, 用户安全环境强加的限制条件适用于这些脚本 ; 脚本只能执行用户有权调用的功能 AnyConnect 在 Windows 上执行脚本期间会隐藏 cmd 窗口, 因此不能通过执行脚本在.bat 文件中显示消息来实现测试目的 启用脚本默认情况下, 客户端不会启动脚本 使用 AnyConnect 配置文件的 EnableScripting 参数启用脚本 如果您这样做, 客户端不需要有脚本 客户端 GUI 终端 客户端 GUI 终端不一定会终止 VPN 会话 ;OnDisconnect 脚本在会话终止后运行 在 64 位的 Windows 上运行脚本 AnyConnect 客户端是 32 位应用 当运行在 64 位 Windows 版本 ( 如 Windows 7 x64 和 Windows Vista SP2 x64) 上时, 若它执行批处理脚本, 则会使用 32 位版本的 cmd.exe 3-62

129 第 3 章 配置 VPN 接入 编写和部署脚本 由于 32 位 cmd.exe 缺乏 64 位 cmd.exe 支持的一些命令, 有些脚本会在尝试运行不受支持的命令或部分运行和停止时停止执行 例如, 受 64 位 cmd.exe 支持的 msg 命令可能无法被 32 位版本的 Windows 7 所理解 ( 见 %WINDIR%\SysWOW64) 因此, 在您创建脚本时, 请使用 32 位 cmd.exe 支持的命令 编写 测试和部署脚本 部署 AnyConnect 脚本如下 : 步骤 1 使用脚本在 AnyConnect 启动时在其上运行的操作系统类型编写和测试脚本 在 Microsoft Windows 计算机上编写的脚本的行尾与 Mac OS 和 Linux 上所编写脚本的不同 因此, 您应该在目标操作系统上编写和测试脚本 如果脚本无法从本地操作系统上的命令行中正确运行, AnyConnect 将无法正确运行该脚本 步骤 2 执行以下操作之一以部署脚本 : 使用 ASDM 将脚本以二进制文件形式导入 ASA 请转至网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 定制化 / 本地化 (AnyConnect Customization/Localization) > 脚本 (Script) 如果您使用 ASDM 6.3 版或更高版本, ASA 会在您的文件名中添加前缀 scripts_ 和前缀 OnConnect 或 OnDisconnect, 以将文件识别为脚本 当客户端连接时, 安全设备会将该脚本下载到远程计算机上适当的目标目录中, 从而删除 scripts_ 前缀并保留剩余的 OnConnect 或 OnDisconnect 前缀 例如, 如果您导入脚本 myscript.bat, 该脚本将在安全设备上显示为 scripts_onconnect_myscript.bat 在远程计算机上, 该脚本显示为 OnConnect_myscript.bat 如果您使用 6.3 版之前的 ASDM 版本, 您必须导入具有以下前缀的脚本 : scripts_onconnect scripts_ondisconnect 要确保这些脚本可靠运行, 请将所有的 ASA 配置为部署相同的脚本 如果您想修改或替换脚本, 请使用与以前的版本相同的名称, 并将替换脚本分配至用户可能连接的所有 ASA 当用户连接时, 新脚本会覆盖具有相同名称的脚本 使用企业软件部署系统, 将脚本手动部署至您想要在其上运行脚本的 VPN 终端 如果您使用此方法, 请使用下面的脚本文件名前缀 : OnConnect OnDisconnect 在表 3-7 所示的目录中安装脚本 3-63

130 编写和部署脚本 第 3 章 配置 VPN 接入 表 3-7 所需脚本位置 操作系统 Microsoft Windows 7 和 Vista Microsoft Windows XP Linux ( 在 Linux 上, 为用户 组和其他角色分配文件的执行权限 ) Mac OS X 目录 %ALLUSERSPROFILE%\Cisco\Cisco AnyConnect Secure Mobility Client\Script %ALLUSERSPROFILE%\Application Data\Cisco\ Cisco AnyConnect Secure Mobility Client\Script /opt/cisco/anyconnect /opt/cisco/anyconnect/script 配置脚本的 AnyConnect 配置文件 要想在客户端配置文件中启用脚本, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 在导航窗格中选择首选项 ( 第 2 部分 ) (Preferences [Part 2]) 步骤 3 步骤 4 步骤 5 步骤 6 选中启用脚本 (Enable Scripting) 客户端在连接或断开 VPN 连接时启动脚本 选中用户可控制 (User Controllable) 让用户启用或禁用 On Connect 和 OnDisconnect 脚本的运行 选中在下一个事件中终止脚本 (Terminate Script On Next Event) 以启用客户端, 从而在至另一个可编写脚本事件的转换发生时终止脚本运行过程 例如, 客户端会在 VPN 会话结束时终止 On Connect 脚本的运行, 并在 AnyConnect 开始新的 VPN 会话时终止 OnDisconnect 脚本的运行 在 Microsoft Windows 上, 客户端还会终止 On Connect 或 OnDisconnect 脚本启动的任何脚本以及它们所有的脚本子代 在 Mac OS 和 Linux 上, 客户端只会终止 On Connect 或 OnDisconnect 脚本 ; 它不会终止子脚本 选中启用后 SBL On Connect 脚本 (Enable Post SBL On Connect Script)( 默认情况下启用 ), 让客户端在 SBL 建立 VPN 会话时启动 On Connect 脚本 ( 如有 ) 务必将客户端配置文件添加到 ASA 组策略中, 以将其下载到 VPN 终端 故障排除脚本 如果脚本不能运行, 请尝试按以下方法解决问题 : 步骤 1 步骤 2 步骤 3 确保该脚本具有 OnConnect 或 OnDisconnect 前缀名称 表 3-7 显示每个操作系统的必需脚本目录 尝试从命令行运行脚本 客户端如果无法通过命令行运行, 则无法运行脚本 如果脚本无法在命令行上运行, 则确保安装运行该脚本的应用, 并尝试在该操作系统上重新编写脚本 确保 VPN 终端上的脚本目录只包含一个 OnConnect 和一个 OnDisconnect 脚本 如果一个 ASA 下载一个 OnConnect 脚本, 且在后续连接期间, 另一个 ASA 下载一个文件名后缀不同的 OnConnect 脚本, 客户端可能会运行不必要的脚本 如果脚本路径中包含多个 OnConnect 或 OnDisconnect 脚 3-64

131 第 3 章 配置 VPN 接入 身份验证超时控制 步骤 4 步骤 5 本且您在使用 ASA 部署脚本, 则请删除脚本目录中的内容并重新建立 VPN 会话 如果脚本路径中包含多个 OnConnect 或 OnDisconnect 脚本且您在使用手动部署方法, 则请删除不必要的脚本并重新建立 VPN 会话 如果操作系统是 Linux, 请确保脚本文件的权限被设置为执行 确保客户端配置文件的脚本被启用 身份验证超时控制 默认情况下, AnyConnect 在终止连接尝试前, 要等待长达 12 秒才能从安全网关获得身份验证 然后,AnyConnect 显示了一条指示身份验证超时的消息 使用以下章节中的说明更改此计时器的值 身份验证超时控制要求 AnyConnect 在受 AnyConnect 支持的所有操作系统上支持此功能 支持此功能需要 AnyConnect Essentials 许可证或 AnyConnect Premium SSL VPN 版许可证 配置身份验证超时 要更改 AnyConnect 在终止连接尝试前等待通过安全网关进行身份验证的秒数, 请遵照以下操作 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 在导航窗格中选择首选项 ( 第 2 部分 ) (Preferences [Part 2]) 步骤 3 在身份验证超时值 (Authentication Timeout Values) 文本框中输入介于 10 到 120 之间的秒数 代理支持 以下部分说明如何使用代理支持增强功能 配置客户端以忽略浏览器代理设置 您可以在 AnyConnect 配置文件中指定一个策略, 以绕过用户 PC 上的 Microsoft Internet Explorer 代理配置设置 这在代理配置阻止用户从公司网络外部建立隧道时很有用 在永远在线功能启用时, 通过代理连接不受支持 因此, 如果您启用永远在线, 则没必要配置客户端以忽略代理设置 3-65

132 代理支持 第 3 章 配置 VPN 接入 请按照以下步骤来启用 AnyConnect, 从而忽略 Internet Explorer 代理设置 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 步骤 3 转至首选项 ( 第 2 部分 ) (Preferences [Part 2]) 窗格 在 代理设置 (Proxy Settings) 下拉列表中, 选择 IgnoreProxy 忽略代理会导致客户端忽略所有的代理设置 未对可接入 ASA 的代理采取任何措施 AnyConnect 不支持将 覆盖 (Override) 作为一种代理设置 私有代理 您可以配置一个组策略, 用于在隧道建立后, 将组策略中配置的私有代理设置下载到浏览器中 当 VPN 会话结束后, 设置会返回其原始状态 私有代理要求 AnyConnect Essentials 许可证是此功能的最低 ASA 许可证激活要求 AnyConnect 在运行以下应用的计算机上支持此功能 : Windows 的 Internet Explorer Mac OS 的 Safari 配置组策略以下载私有代理 要配置代理设置, 请使用安全设备建立一个 ASDM 会话, 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 添加 (Add) 或编辑 (Edit) > 高级 (Advanced) > 浏览器代理 (Browser Proxy) 6.3(1) 前的 ASDM 版本将此选项显示为 IE 浏览器代理 ; 然而, AnyConnect 不再限制 Internet Explorer 的私有代理的配置, 无论您用的是何 ASDM 版本 在 Mac 环境中, 由 ASA 下推 (VPN 连接时 ) 的代理信息不能在浏览器中查看, 直到您打开终端并签发 scutil --proxy 如果启用 请勿使用代理 (Do not use proxy) 参数, 将会在会话期间从浏览器中删除代理设置 Internet Explorer 连接选项卡锁定 在某些条件下,AnyConnect 会隐藏 Internet Explorer 工具 (Internet Explorer Tools) > Internet 选项 (Internet Options) > 连接选项卡 (Connections) 选项卡 显示时, 用户可通过此选项卡设置代理信息 隐藏此选项卡可阻止用户有意或无意地绕过隧道 选项卡锁定会在连接断开时撤销, 并且会被应用至该选项卡的任何管理员定义策略所取代 发生该锁定的条件为以下任一种 : ASA 配置指定 连接 (Connections) 选项卡锁定 ASA 配置指定私有方代理 3-66

133 第 3 章 配置 VPN 接入 使用 Windows RDP 会话来启动 VPN 会话 Windows 组策略之前锁定了 连接 (Connections) 选项卡 ( 覆盖未锁定 [no lockdown] ASA 组策略设置 ) 您可以在组策略中配置 ASA 以允许或不允许代理锁定 要使用 ASDM 执行此操作, 请按照此程序 : 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 步骤 6 步骤 7 请转至配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) 选择一个组策略, 然后点击编辑 (Edit) 将显示 编辑内部组策略 (Edit Internal Group Policy) 窗口 在导航窗格中, 转至高级 (Advanced) > 浏览器代理 (Browser Proxy) 将显示 代理服务器策略 (Proxy Server Policy) 窗格 点击代理锁定 (Proxy Lockdown) 以显示更多代理设置 取消选中继承 (Inherit) 并选择是 (Yes) 以启用代理锁定, 并在 AnyConnect 会话期间隐藏 Internet Explorer 连接 (Connections) 选项卡, 或选择否 (No) 以禁用代理锁定并在 AnyConnect 会话期间显示 Internet Explorer 连接 (Connections) 选项卡 点击确定 (OK) 以保存 代理服务器策略 (Proxy Server Policy) 更改 点击应用 (Apply) 以保存 组策略 (Group Policy) 更改 用于无客户端支持的代理自动配置文件生成 有些 ASA 版本需要额外的 AnyConnect 配置以在建立 AnyConnect 会话后通过代理服务器继续允许无客户端门户接入 为使此情况发生,AnyConnect 使用代理自动配置 (PAC) 文件修改客户端代理设置 AnyConnect 仅在 ASA 未指定私有方代理设置时生成此文件 使用 Windows RDP 会话来启动 VPN 会话 利用 Windows 远程桌面协议 (RDP), 您可以允许用户登录运行 Cisco AnyConnect 安全移动客户端的计算机, 并通过 RDP 会话创建至安全网关的 VPN 连接 为使此功能适当运行, 需要分割隧道 VPN 配置 默认情况下, 仅当没有其他本地用户登录时, 本地登录的用户才能建立 VPN 连接 当用户销时 VPN 连接会终止, 在 VPN 连接期间进行其他本地登录会导致连接被终止 在 VPN 连接期间进行远程登录和销不受限制 利用此功能,AnyConnect 会在建立 VPN 连接的用户销时断开 VPN 连接 如果连接由远程用户建立且该远程用户已销, 则 VPN 连接会终止 您可以使用以下设置进行 Windows 登录实施 : 单个本地登录 (Single Local Logon) - 在整个 VPN 连接期间只允许一个本地用户登录 通过此设置, 本地用户可以在一个或多个远程用户登录客户端 PC 的同时建立 VPN 连接, 但是如果 VPN 连接进行了极端隧道配置, 则远程登录会因 VPN 连接的客户端 PC 路由表产生的修改而断开连接 如果 VPN 连接进行了分割隧道配置, 远程登录可能会也可能不会断开连接, 这取决于 VPN 连接的路由配置 SingleLocalLogin 设置对通过 VPN 连接从企业网络登录的远程用户没有影响 3-67

134 通过 L2TP 或 PPTP 的 AnyConnect 第 3 章 配置 VPN 接入 SingleLogon - 在整个 VPN 连接期间只允许一个用户登录 如果登录的用户不止一个, 且具有已建立的 VPN 连接 ( 本地或远程 ), 则该连接不被允许 如果有第二个用户通过本地或远程登录, 则 VPN 连接会终止 当您选择 SingleLogon 设置时, 在 VPN 连接期间不会允许任何其他的登录, 因此通过 VPN 连接进行远程登录是不可能的 客户端配置文件中的 Windows VPN 建立设置指定客户端在远程登录运行 AnyConnect 的计算机的用户建立 VPN 连接时的行为 可能的值为 : 仅限本地用户 (Local Users Only) - 阻止远程登录的用户建立 VPN 连接 AnyConnect 客户端 2.3 版及较早版以此方式运行 允许远程用户 (Allow Remote Users) - 允许远程用户建立 VPN 连接 但是, 如果已配置的 VPN 连接路由导致远程用户的连接断开,VPN 连接会停止允许远程用户重新获取客户端计算机的接入权 远程用户如果想在不导致 VPN 会话终止的情况下断开其 RDP 会话的连接, 他们必须在 VPN 建立后等待 90 秒 在 Vista 上, 目前不在登录前启动 (SBL) 期间实施 Windows VPN 建立配置文件设置 AnyConnect 不能确定 VPN 连接是否由远程用户在登录前建立 ; 因此, 远程用户可以通过 SBL 建立 VPN 连接, 甚至是在 Windows VPN 建立设置为仅限本地用户 (Local Users Only) 时 要从 Windows RDP 会话中启用 AnyConnect 会话, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 转至首选项 (Preferences) 窗格 步骤 3 选择 Windows 登录实施方法 : 单个本地登录 (Single Local Logon) - 在整个 VPN 连接期间只允许一个本地用户登录 单个登录 (Single Logon) - 在整个 VPN 连接期间只允许一个用户登录 步骤 4 选择一个 Windows VPN 建立方法, 该方法指定客户端在远程登录用户建立 VPN 连接时的行为 : 仅限本地用户 (Local Users Only) - 阻止远程登录的用户建立 VPN 连接 允许远程用户 (Allow Remote Users) - 允许远程用户建立 VPN 连接 在 Vista 上, 目前不在登录前启动 (SBL) 期间实施 Windows VPN 建立设置 通过 L2TP 或 PPTP 的 AnyConnect 部分国家的 ISP 需要支持 L2TP 和 PPTP 隧道协议 要想通过 PPP 连接发送去往安全网关的流量, AnyConnect 使用外部隧道生成的点对点适配器 当通过 PPP 连接建立 VPN 隧道时, 客户端必须将去往 ASA 的流量从为 ASA 之外的目的地而准备的隧道流量中排除 要指定是否确定和如何确定排除路线, 请使用 AnyConnect 配置文件中的 PPP 排除设置 排除路线以非安全路线的形式显示在 AnyConnect GUI 的 路线详细信息 (Route Details) 显示中 3-68

135 第 3 章 配置 VPN 接入 通过 L2TP 或 PPTP 的 AnyConnect 以下章节说明如何设置 PPP 排除 : 通过 L2TP 或 PPTP 配置 AnyConnect 指导用户覆盖 PPP 排除 通过 L2TP 或 PPTP 配置 AnyConnect 默认情况下, PPP 排除是禁用的 要在配置文件中启用 PPP 排除, 请遵照以下步骤 : 步骤 1 从 ASDM 启动配置文件编辑器 ( 请参阅第 3-8 页的 创建和编辑 AnyConnect 配置文件 部分 ) 步骤 2 转至首选项 ( 第 2 部分 ) (Preferences [Part 2]) 窗格 步骤 3 选择 PPP 排除法 选中此字段的用户可控制 (User Controllable) 让用户能够查看并更改这些设置 : 步骤 4 自动 (Automatic) - 启用 PPP 排除 AnyConnect 自动使用 PPP 服务器的 IP 地址 只有当自动检测无法获取 IP 地址时才能指导用户更改该值 覆盖 (Override) - 也会启用 PPP 排除 如果自动检测无法获取 PPP 服务器的 IP 地址, 且 PPPExclusion UserControllable 值为 true, 则指导用户按照下一节的说明使用此设置 已禁用 (Disabled) - PPP 排除不适用 在 PPP 排除服务器 IP (PPP Exclusion Server IP) 字段中, 输入 PPP 排除所用安全网关的 IP 地址 选中此字段的用户可控制 (User Controllable) 让用户能够查看并更改此 IP 地址 : 指导用户覆盖 PPP 排除 如果自动检测无法运行, 且您将 PPP 排除配置成了用户可控制, 则用户可以通过编辑本地计算机上的 AnyConnect 首选项文件来覆盖设置 以下步骤说明了如何执行此操作 : 步骤 1 步骤 2 使用 Notepad 之类的编辑器打开首选项 XML 文件 此文件位于用户计算机上的以下路径之一 : Windows:%LOCAL_APPDATA%\Cisco\Cisco AnyConnect Secure Mobility Client\preferences.xml 例如, Windows Vista - C:\Users\username\AppData\Local\Cisco\Cisco AnyConnect Secure Mobility Client\preferences.xml Windows XP - C:\Documents and Secure Mobility VPN Client\preferences.xml Mac OS X:/Users/username/.anyconnect Linux:/home/username/.anyconnect 在 <ControllablePreferences> 下插入 PPPExclusion 详细信息, 同时指定 覆盖 (Override) 值和 PPP 服务器的 IP 地址 该地址必须是格式正确的 IPv4 地址 例如 : <AnyConnectPreferences> <ControllablePreferences> <PPPExclusion>Override <PPPExclusionServerIP> </PPPExclusionServerIP></PPPExclusion> </ControllablePreferences> </AnyConnectPreferences> 3-69

136 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 步骤 3 保存文件 步骤 4 退出后重启 AnyConnect AnyConnect VPN 配置文件编辑器参数说明 以下章节介绍在配置文件编辑器各个不同窗格中显示的所有设置 AnyConnect 配置文件编辑器, 首选项 ( 第 1 部分 ) 使用登录前启动 ( 仅限 Windows) (Use Start Before Logon [Windows Only]) - 通过在 Windows 登录对话框出现之前启动 AnyConnect, 强制用户在登录到 Windows 之前通过 VPN 连接来连接到企业基础设施 在身份验证后, 登录对话框出现, 用户将如常登录 SBL 还能让您控制登录脚本的使用 密码缓存以及如何将网络驱动映射到本地驱动等等 显示预连接消息 (Show Pre-connect Message) - 在用户进行第一次连接尝试前向用户显示消息 例如, 您可以提醒用户在读卡器中插入智能卡 有关设置或更改预连接消息的信息, 请参阅第 页的更改默认的 AnyConnect 英文消息 证书存储区 (Certificate Store) - 控制 AnyConnect 使用哪一个证书存储区来存储和读取证书 Windows 为本地计算机和当前用户提供单独的证书存储区 默认设置 ( 全部 ) 适合于大多数情况 除非您有这样做的特定理由或方案要求, 否则请勿更改此设置 全部 (All) - ( 默认 ) 证书存储在两种存储区中 计算机 (Machine) - 使用计算机存储区 用户 (User) - 使用用户证书存储区 证书存储区覆盖 (Certificate Store Override) - 允许您指导 AnyConnect 在 Windows 计算机证书存储区中搜索证书 当证书位于计算机存储区中, 且用户没有其计算机的管理员权限时, 此选项有用 启动时自动连接 (Auto Connect on Start) - AnyConnect 在启动时会使用 AnyConnect 配置文件指定的安全网关建立 VPN 连接, 或建立至客户端连接的上一个网关的连接 连接时最小化 (Minimize On Connect) - VPN 连接建立后, AnyConnect GUI 会最小化 本地 LAN 接入 (Local LAN Access) - 允许用户在 ASA 的 VPN 会话期间完成对远程计算机连接的本地 LAN 的接入 启用本地 LAN 接入可能会导致公共网络通过用户计算机给公司网络带来安全漏洞 或者, 您可以配置安全设备 ( 版本 8.3[1] 或更新版本 ) 以部署使用默认组策略中所包含 AnyConnect 客户端本地打印防火墙规则的 SSL 客户端防火墙 要启用此防火墙规则, 您还必须在此编辑器的 首选项 ( 第 2 部分 ) (Preferences [Part 2]) 中启用自动 VPN 策略 (Automatic VPN Policy) 永远在线 (Always On) 和允许 VPN 断开连接 (Allow VPN Disconnect) 自动重新连接 (Auto Reconnect) - AnyConnect 在您丢失连接时尝试重新建立 VPN 连接 ( 默认情况下启用 ) 如果您禁用 自动重新连接 (Auto Reconnect), 将不会尝试重新连接, 无论连接断开的原因为何 3-70

137 第 3 章 配置 VPN 接入 AnyConnect VPN 配置文件编辑器参数说明 自动重新连接行为 : DisconnectOnSuspend ( 默认 ) - AnyConnect 在系统暂停时释放分配至 VPN 会话的资源, 并且不会在系统恢复后尝试重新连接 ReconnectAfterResume - AnyConnect 尝试在您丢失连接时重新建立 VPN 连接 对于 AnyConnect 2.3 之前的版本, 响应系统暂停的默认行为是保留分配至 VPN 会话的资源, 以及在系统恢复后重新建立 VPN 连接 要保留该行为, 请为自动重新连接行为选择 ReconnectAfterResume 自动更新 (Auto Update) - 选中时, 请启用客户端的自动更新 如果您选中 用户可控制 (User Controllable), 则用户可以在客户端中覆盖此设置 RSA 安全 ID 集成 ( 仅限 Windows) (RSA Secure ID Integration [Windows only]) - 控制用户与 RSA 的互动方式 默认情况下, AnyConnect 确定 RSA 互动的正确方法 ( 自动设置 ) 自动 (Automatic) - 接受软件或硬件令牌 软件令牌 (Software Token) - 仅接受软件令牌 硬件令牌 (Hardware Token) - 仅接受硬件令牌 Windows 登录实施 (Windows Logon Enforcement) - 允许从远程桌面协议 (RDP) 会话建立 VPN 会话 分割隧道必须在组策略中配置 AnyConnect 在建立 VPN 连接的用户销时断开 VPN 连接 如果连接由远程用户建立且该远程用户已销, 则 VPN 连接会终止 单个本地登录 (Single Local Logon) - 在整个 VPN 连接期间只允许一个本地用户登录 本地用户可在一个或多个远程用户登录到客户端 PC 时建立 VPN 连接 单个登录 (Single Logon) - 在整个 VPN 连接期间只允许一个用户登录 如果通过本地或远程登录的用户不止一个, 当 VPN 连接建立时, 该连接不被允许 如果 VPN 连接期间有第二个用户通过本地或远程登录, 则 VPN 连接将终止 VPN 连接期间不允许进行额外的登录, 因此通过 VPN 连接进行远程登录不大可能 Windows VPN 建立 (Windows VPN Establishment) - 在远程登录客户端 PC 的用户建立 VPN 连接时确定 AnyConnect 的行为 可能的值为 : 仅限本地用户 (Local Users Only) - 阻止远程登录的用户建立 VPN 连接 这跟 AnyConnect 的以前版本具有相同的功能 允许远程用户 (Allow Remote Users) - 允许远程用户建立 VPN 连接 但是, 如果已配置的 VPN 连接路由导致远程用户的连接断开, VPN 连接会停止允许远程用户重新获取客户端 PC 的接入权 远程用户如果想在不导致 VPN 会话终止的情况下断开其远程登录会话的连接, 他们必须在 VPN 建立后等待 90 秒 在 Vista 上, 目前不在登录前启动 (SBL) 期间实施 Windows VPN 建立设置 AnyConnect 不能确定 VPN 连接是否由远程用户在登录前建立 ; 因此, 远程用户可以通过 SBL 建立 VPN 连接, 甚至是在 Windows VPN 建立设置为仅限本地用户 (Local Users Only) 时 清除智能卡 PIN (Clear SmartCard PIN) - 在建立至 ASA 的连接时, 在开始使用证书之前, 从 AnyConnect 缓存中清除 PIN 这将确保用户始终都需要输入其 PIN 进行连接 ; 他们无法只用证书连接 VPN 受支持的 IP 协议 (IP Protocol Supported) - 对于具有 IPv4 和 IPv6 地址 尝试使用 AnyConnect 连接 ASA 的客户端,AnyConnect 需要决定使用哪个 IP 协议来发起连接 默认情况下,AnyConnect 最初使用 IPv4 尝试连接 如果这样不成功,AnyConnect 将尝试使用 IPv6 发起连接 3-71

138 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 此字段配置最初的 IP 协议和回退顺序 IPv4 - 只能对 ASA 进行 IPv4 连接 IPv6 - 只能对 ASA 进行 IPv6 连接 IPv4, IPv6 - 首先尝试对 ASA 进行 IPv4 连接 如果客户端无法使用 IPv4 进行连接, 则尝试进行 IPv6 连接 IPv6, IPv4 - 首先尝试对 ASA 进行 IPv6 连接 如果客户端无法使用 IPv6 进行连接, 则尝试进行 IPv4 连接 在 VPN 会话期间, 也会发生 IPv4 至 IPv6 和 IPv6 至 IPv4 协议故障转移 如果主 IP 协议丢失, 在可能的情况下将通过副 IP 协议重新建立 VPN 会话 有关此窗格中显示的客户端功能的更多详细配置信息, 请参阅以下章节 : 第 3-14 页的在 Windows 7 和 Vista 系统上配置登录前启动 (PLAP) 第 3-43 页的配置证书期满通知书 第 3-56 页的配置自动重新连接 第 3-67 页的使用 Windows RDP 会话来启动 VPN 会话 AnyConnect 配置文件编辑器, 首选项 ( 第 2 部分 ) 禁用证书选择 (Disable Certificate Selection) - 禁止客户端自动进行证书选择, 并提示用户选择身份验证证书 允许本地代理连接 (Allow Local Proxy Connections) - 默认情况下, AnyConnect 让 Windows 用户通过本地 PC 上的透明或非透明代理服务建立 VPN 会话 提供透明代理服务的一些示例元素包括 : 一些无线通信数据卡提供的加速软件 某些防病毒上的网络组件如果您想禁用对本地代理连接的支持, 请取消选中此参数 代理设置 (Proxy Settings) - 在 AnyConnect 配置文件中指定策略, 以绕过远程计算机上的 Microsoft Internet Explorer 或 Mac Safari 代理设置 这在代理配置在阻止用户从公司网络外部建立隧道时很有用 与 ASA 上的代理设置结合使用 本地 (Native) - 使客户端使用客户端配置代理设置和 Internet Explorer 配置代理设置 使用本地操作系统代理设置 ( 如配置到 Windows 的 MSIE 中的设置 ), 且全局用户首选项中配置的代理设置会预先挂起这些本地设置 IgnoreProxy - 忽略用户计算机上所有的 Microsoft Internet Explorer 或 Mac Safari 代理设置 未对可接入 ASA 的代理采取任何措施 覆盖 ( 不支持 ) 启用最佳网关选择 (Enable Optimal Gateway Selection) - AnyConnect 根据往返时间 (RTT) 确定和选择最适合连接或重新连接的安全网关, 从而在无需用户干预的情况下最大程度降低互联网流量的延迟 自动选择 (Automatic Selection) 显示在客户端 GUI 的 连接 (Connection) 选项卡上的 连接至 (Connect To) 下拉列表中 暂停时间阈值 ( 小时 ) (Suspension Time Threshold [hours]) - 从断开当前安全网关的连接到重新连接另一个安全网关这一过程经过的时间 如果用户经历了太多网关间的转换, 请提高该时间 3-72

139 第 3 章 配置 VPN 接入 AnyConnect VPN 配置文件编辑器参数说明 性能改进阈值 (%) (Performance Improvement Threshold [%]) - 触发客户端连接另一个安全网关的性能改进 默认值为 20% 如果使用 AAA, 最终用户可能必须在转换到其他安全网关时重新输入其凭证 使用证书可消除此问题 自动 VPN 策略 ( 仅限 Windows 和 Mac) (Automatic VPN Policy [Windows and Mac only]) - 根据受信任网络策略和非受信任网络策略自动管理应开始或停止 VPN 连接的时间 如果禁用, 只能手动开始和停止 VPN 连接 自动 VPN 策略不会阻止用户手动控制 VPN 连接 受信任网络策略 (Trusted Network Policy) - AnyConnect 在用户处于公司网络 ( 受信任网络 ) 内时自动断开 VPN 连接 断开连接 (Disconnect) - 在检测到受信任网络时断开 VPN 连接 连接 (Connect) - 在检测到受信任网络时发起 VPN 连接 什么也不做 (Do Nothing) - 不对受信任网络进行任何操作 将 受信任网络策略 (Trusted Network Policy) 和 非受信任网络策略 (Untrusted Network Policy) 设置为 什么也不做 (Do Nothing) 会禁用受信任网络检测 暂停 (Pause) - 如果用户在受信任网络外建立 VPN 会话之后进入配置为受信任的网络, AnyConnect 会暂停 VPN 会话, 而不是断开它的连接 当用户再次离开受信任网络时, AnyConnect 会恢复该会话 此功能是为了给用户提供方便, 因为有了它, 在离开受信任网络后不需要建立新的 VPN 会话 非受信任网络策略 (Untrusted Network Policy) - AnyConnect 在用户处于公司网络外 ( 非受信任网络 ) 时开始 VPN 连接 此功能通过在用户处于受信任网络外时启动 VPN 连接来促进更大的安全意识 连接 (Connect) - 在检测到非受信任网络时发起 VPN 连接 什么也不做 (Do Nothing) - 在检测到非受信任网络时发起 VPN 连接 此选项会禁用永远在线的 VPN 将 受信任网络策略 (Trusted Network Policy) 和 非受信任网络策略 (Untrusted Network Policy) 设置为什么也不做 (Do Nothing) 会禁用受信任网络检测 受信任 DNS 域 (Trusted DNS Domains) - 客户端处于受信任网络时网络接口可能会具有的 DNS 后缀 ( 用逗号隔开的字符串 ) 例如 :*.cisco.com 通配符 (*) 可用于 DNS 后缀 受信任 DNS 服务器 (Trusted DNS Servers) - 客户端处于受信任网络时网络接口可能会具有的 DNS 服务器地址 ( 用逗号隔开的字符串 ) 例如 : , 2001:DB8::1 永远在线 (Always On) - 确定 AnyConnect 是否在用户登录到运行其中一个受支持的 Windows 或 Mac OS X 操作系统的计算机上时自动连接 VPN 使用此功能可在不处于受信任网络时阻止对互联网资源的接入, 从而实施公司策略以防止计算机遭到安全威胁 您可以在组策略和动态接入策略中设置永远在线 VPN 参数, 以覆盖此设置 这样一来, 您可以根据分配策略所用的匹配条件来指定豁免条款 如果 AnyConnect 策略启用永远在线 VPN 和一个动态接入策略, 或组策略禁用它, 则只要它的条件在建立每个新会话时匹配动态接入策略或组策略, 客户端就会保留当前及未来 VPN 会话的禁用设置 选中永远在线 (Always On) 后, 您将可以选中允许 VPN 断开连接 (Allow VPN Disconnect) 3-73

140 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 允许 VPN 断开连接 (Allow VPN Disconnect) - 确定 AnyConnect 是否为永远在线 VPN 会话显示 断开连接 (Disconnect) 按钮 永远在线 VPN 会话的用户可能想点击 断开连接 (Disconnect) 按钮, 这样他们就可以出于以下之类的原因来选择替代安全网关 : 当前 VPN 会话的性能问题 VPN 会话中断后发生的重新连接问题 意事项 断开连接 (Disconnect) 会锁定所有的接口以防数据泄露出去, 并防止计算机受到除建立 VPN 会话之外的互联网接入 出于上述原因, 禁用 断开连接 (Disconnect) 按钮有时可能会阻碍或防止 VPN 接入 有关此功能的更多信息, 请参阅第 3-26 页的 永远在线 VPN 的断开连接按钮 部分 在启用允许 VPN 断开连接 (AllowVPN Disconnect) 后, 您将可以配置连接故障策略 (Connect Failure Policy) 允许强制网络门户修复 (Allow Captive Portal Remediation) 和应用上个 VPN 本地资源规则 (Apply Last VPN Local Resource Rules) 连接故障策略 (Connect Failure Policy) - 确定计算机是否能在 AnyConnect 无法建立 VPN 会话 ( 例如, 无法接入 ASA 时 ) 时接入互联网 此参数只在永远在线 VPN 启用时适用 意事项 如果 AnyConnect 未能建立 VPN 会话, 连接故障关闭策略会阻止网络接入 AnyConnect 可检测到大多数强制网络门户 ; 然而, 如果它无法检测强制网络门户, 连接故障关闭策略会阻止所有的网络连接 请务必在配置连接故障策略前阅读 第 3-27 页的永远在线 VPN 的连接故障策略 已关闭 (Closed) - 在无法接入 VPN 时限制网络接入 此设置的目的在于, 当私有网络中负责保护终端的资源不可用时, 帮助防止公司资产受到网络威胁 打开 (Open) - 在无法接入 VPN 时允许网络接入 连接故障策略 (Connect Failure Policy) - 如果 连接故障策略 (Connect Failure Policy) 关闭, 您可以配置下一步设置 允许强制网络门户修复 (Allow Captive Portal Remediation) - 让 AnyConnect 提升关闭连接故障策略在客户端检测到强制网络门户 ( 热点 ) 时强加的网络接入限制 酒店和机场一般使用强制网络门户要求用户打开浏览器并满足允许互联网接入所需的条件 默认情况下, 为提供最大的安全性, 该参数未选中 ; 然而, 如果您想让客户端连接到 VPN 而强制网络门户阻止客户端这样做, 您必须启用该参数 修复超时 (Remediation Timeout) - AnyConnect 提升网络接入限制的分钟数 如果选中 允许强制网络门户修复 (Allow Captive Portal Remediation) 参数且客户端检测到强制网络门户, 此参数适用 指定满足一般强制网络门户要求所需的足够时间 ( 例如, 5 分钟 ) 应用上个 VPN 本地资源规则 (Apply Last VPN Local Resource Rules) - 如果 VPN 无法接入, 客户端将应用它从 ASA 中接收的上个客户端防火墙, 这可能包括允许对本地 LAN 上的资源进行接入的 ACL PPP 排除 (PPP Exclusion) - 对于通过 PPP 连接的 VPN 隧道, 指定是否确定和如何确定排除路线, 从而使客户端能够将去往安全网关的流量从为安全网关之外的目的地而准备的隧道流量中排除 排除路线以非安全路线的形式显示在 AnyConnect GUI 的 路线详细信息 (Route Details) 显示中 如果您让用户可控制此功能, 用户可以读取并更改 PPP 排除设置 自动 (Automatic) - 启用 PPP 排除 AnyConnect 自动使用 PPP 服务器的 IP 地址 只有当自动检测无法获取 IP 地址时才能指导用户更改该值 已禁用 (Disabled) - PPP 排除不适用 3-74

141 第 3 章 配置 VPN 接入 AnyConnect VPN 配置文件编辑器参数说明 覆盖 (Override) - 也会启用 PPP 排除 如果自动检测无法获取 PPP 服务器的 IP 地址, 且您已将 PPP 排除配置为用户可控制, 则指导用户遵照第 3-69 页的 指导用户覆盖 PPP 排除 部分中的说明 PPP 排除服务器 IP (PPP Exclusion Server IP) - 用于 PPP 排除的安全网关 IP 地址 启用脚本 (Enable Scripting) - 如果 OnConnect 和 OnDisconnect 脚本在安全设备闪存上, 请启动它们 终止下一个事件上的脚本 (Terminate Script On Next Event) - 如果至另一个可编写脚本事件的转换发生, 请终止运行中的脚本过程 例如, AnyConnect 会在 VPN 会话结束时终止 OnConnect 脚本的运行, 并在客户端开始新的 VPN 会话时终止 OnDisconnect 脚本的运行 在 Microsoft Windows 上, 客户端还会终止 OnConnect 或 OnDisconnect 脚本启动的任何脚本以及它们所有的脚本子代 在 Mac OS 和 Linux 上, 客户端只会终止 OnConnect 或 OnDisconnect 脚本 ; 它不会终止子脚本 启用后 SBL On Connect 脚本 (Enable Post SBL On Connect Script) - 启动 OnConnect 脚本 ( 如有 ) 且 SBL 建立 VPN 会话 ( 只在 VPN 终端运行 Microsoft Windows 7 XP 或 Vista 时受支持 ) 销时保留 VPN (Retain VPN On Logoff) - 确定是否在用户销 Windows 操作系统时保持 VPN 会话 用户实施 (User Enforcement) - 指定是否在其他用户登录时结束 VPN 会话 只有当 销时保留 VPN (Retain VPN On Logoff) 被选中且原用户在 VPN 会话结束时销了 Windows 时, 此参数才适用 身份验证超时值 (Authentication Timeout Values) - 默认情况下,AnyConnect 在终止连接尝试前, 要等待长达 12 秒才能从安全网关获得身份验证 然后, AnyConnect 显示了一条指示身份验证超时的消息 输入介于 之间的秒数 有关此窗格中显示的客户端功能的更多详细配置信息, 请参阅以下章节 : 第 3-57 页的代理连接 第 3-65 页的配置客户端以忽略浏览器代理设置 第 3-59 页的最佳网关选择 第 3-19 页的配置受信任网络检测 第 3-21 页的永远在线 VPN 第 3-27 页的永远在线 VPN 的连接故障策略 第 3-28 页的强制网络门户热点检测和修复 第 3-68 页的通过 L2TP 或 PPTP 的 AnyConnect 第 3-65 页的身份验证超时控制 AnyConnect 配置文件编辑器, 备份服务器 您可以配置备份服务器列表, 供客户端在用户所选择的服务器故障时使用 如果该用户所选服务器故障, 客户端首先将尝试连接列表顶部的服务器, 然后在需要时在列表中向下移 主机地址 (Host Address) - 指定要包含在备份服务器列表中的 IP 地址或完全限定域名 (FQDN) 添加 (Add) - 向备份服务器列表中添加主机地址 向上移动 (Move Up) - 在列表中向上移动所选备份服务器的位置 如果该用户所选服务器故障, 客户端首先将尝试连接列表顶部的备份服务器, 然后在需要时在列表中向下移 向下移动 (Move Down) - 在列表中向下移动所选备份服务器的位置 3-75

142 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 删除 (Delete) - 将备份服务器从服务器列表中删除 有关配置备份服务器的更多信息, 请参阅第 3-56 页的 配置备份服务器列表 部分 AnyConnect 配置文件编辑器, 证书匹配 启用可用于在此窗格中改进自动客户端证书选择的各种属性的定义 密钥用途 (Key Usage) - 使用以下证书密钥属性来选择可接受的客户端证书 : Decipher_Only - 解密数据, 以及未设置其他位 (Key_Agreement 除外 ) Encipher_Only - 加密数据, 以及未设置任何其他位 (Key_Agreement 除外 ) CRL_Sign - 验证 CRL 上的 CA 签名 Key_Cert_Sign - 验证证书上的 CA 签名 Key_Agreement - 密钥协议 Data_Encipherment - 加密除 Key_Encipherment 之外的数据 Key_Encipherment - 加密密钥 Non_Repudiation - 验证防止错误拒绝一些操作的数字签名, Key_Cert_sign 或 CRL_Sign 除外 Digital_Signature - 验证除 Non_Repudiation Key_Cert_Sign 或 CRL_Sign 之外的数字签名 扩展密钥用途 (Extended Key Usage) - 使用上述扩展密钥用途设置 OID 包含在括号 () 中 : ServerAuth ( ) ClientAuth ( ) CodeSign ( ) Protect ( ) IPSecEndSystem ( ) IPSecTunnel ( ) IPSecUser ( ) TimeStamp ( ) OCSPSign ( ) DVCS ( ) 自定义扩展匹配密钥 ( 最大 10) (Custom Extended Match Key [Max 10]) - 指定自定义扩展匹配密钥 ( 如有 )( 最大 10) 证书必须与您输入的所有指定密钥匹配 以 OID 格式输入密钥 ( 例如, ) 可识别名 ( 最大 10) (Distinguished Name [Max 10]):- 为准确匹配条件指定可识别名 (DN) 以选择可接受的客户端证书 名称 (Name) - 用于匹配的可识别名 (DN): CN - 主题常用名 C - 主题国家 DC - 域组件 DNQ - 主题 Dn 限定符 EA - 主题邮件地址 GENQ - 主题代限定符 3-76

143 第 3 章 配置 VPN 接入 AnyConnect VPN 配置文件编辑器参数说明 GN - 主题给定名称 I - 主题首字母缩写 L - 主题城市 N - 主题 Unstruct 名称 O - 主题公司 OU - 主题部门 SN - 主题姓氏 SP - 主题州 ST - 主题州 T - 主题称谓 ISSUER-CN - 颁发者常用名 ISSUER-DC - 颁发者组件 ISSUER-SN - 颁发者姓氏 ISSUER-GN - 颁发者给定名称 ISSUER-N - 颁发者 Unstruct 名称 ISSUER-I - 颁发者首字母缩写 ISSUER-GENQ - 颁发者代限定符 ISSUER-DNQ - 颁发者 Dn 限定符 ISSUER-C - 颁发者国家 ISSUER-L - 颁发者城市 ISSUER-SP - 颁发者所在州 ISSUER-ST - 颁发者所在州 ISSUER-O - 颁发者公司 ISSUER-OU - 颁发者部门 ISSUER-T - 颁发者称谓 ISSUER-EA - 颁发者邮件地址模式 (Pattern) - 指定要匹配的字符串 要匹配的模式应该仅包含您想匹配的字符串的一部分 不需要包含模式匹配或正则表达式语法 如果输入, 此语法将被视为待搜索字符串的一部分 例如, 如果示例字符串是 abc.cisco.com, 而目的是为了匹配 cisco.com, 则输入的模式应该是 cisco.com 通配符 (Wildcard) - 已启用的包含通配符模式匹配 在通配符启用的情况下, 该模式可以位于字符串的任何位置 运算符 (Operator) - 为此 DN 执行匹配时要用的运算符 Equal-equivalent to == Not Equal-equivalent to!= 区分大小写 (Match Case) - 启用与模式匹配的区分大小写 有关证书匹配的更多详细配置信息, 请参阅第 3-47 页的 配置证书匹配 部分 3-77

144 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 AnyConnect 配置文件编辑器, 证书册 证书册 (Certificate Enrollment) - 启用 AnyConnect 以使用单证书册协议 (SCEP) 来调配和续订客户端身份验证的证书 证书期满阈值 (Certificate Expiration Threshold) - 证书期满日前 AnyConnect 向用户警告其证书即将到期的天数 ( 不受 RADIUS 密码管理支持 ) 默认值为零 ( 不显示警告 ) 阈值的范围从零到 180 天 自动 SCEP 主机 (Automatic SCEP Host) - 对于传统 SECP, 指定已配置 SCEP 证书检索的 ASA 的主机名和连接配置文件 ( 隧道组 ) 输入 ASA 的完全限定域名 (FQDN) 或连接配置文件名称 例如, 主机名为 asa.cisco.com, 而连接配置文件名称为 scep_eng CA URL - 对于传统 SCEP, 识别 SCEP CA 服务器 输入 CA 服务器的 FQDN 或 IP 地址 例如, 质询码提示 (Prompt For Challenge PW) - 启用此设置以允许用户手动进行证书请求 当用户点击获取证书 (Get Certificate) 时, 客户端会向用户提示用户名和一次性密码 指纹 (Thumbprint) - CA 的证书指纹 使用 SHA1 或 MD5 哈希 您的 CA 服务器管理员可以提供 CA URL 和指纹, 并且应从服务器中直接检索指纹, 而不是从其所签发的服务器证书的 手印 或 指纹 属性字段中检索 证书内容 (Certificate Contents) - 指定要包含在 SCEP 册请求中的证书内容 : 名称 (CN) - 证书的常用名 部门 (OU) - 证书中指定的部门名称 公司 (O) - 证书中指定的公司名称 州 (ST) - 证书中命名的州标识符 州 (SP) - 另一个州标识符 国家 (C) - 证书中命名的国家标识符 邮件 (EA) - 邮件地址 以下示例中, 邮件地址 (EA) 为 %USER%@cisco.com %USER% 对应于用户的 ASA 用户名登录凭证 域 (DC) - 域组件 在以下示例中, 域 (DC) 设置为 cisco.com 姓氏 (SN) - 家族名或姓 给定名称 (GN) - 通常为名 UnstructName (N) - 未定义的名称 首字母缩写 (I) - 用户的首字母缩写 限定符 (GEN) - 用户的代限定符 例如, Jr. 或 III 限定符 (DN) - 整个 DN 的限定符 城市 (L) - 城市标识符 称谓 (T) - 人员称谓 例如, 女士 夫人 先生 CA 域 - 用于 SCEP 册, 一般为 CA 域 密钥大小 - 为待册证书所生成的 RSA 密钥的大小 我们建议使用至少为 2048 的密钥大小 3-78

145 第 3 章 配置 VPN 接入 AnyConnect VPN 配置文件编辑器参数说明 显示获取证书按钮 (Display Get Certificate Button) - 启用 AnyConnect GUI 以在下列条件下显示 获取证书 (Get Certificate) 按钮 : 证书被设置为在 证书期满阈值 (Certificate Expiration Threshold) 所定义的期限内过期 ( 不受 RADIUS 支持 ) 证书已过期 证书不存在 证书匹配失败 有关证书册的更多详细配置信息, 请参阅第 3-37 页的 使用 SCEP 配置证书册 部分 AnyConnect 配置文件编辑器, 移动策略 在此窗格中设置在 Windows Mobile 上运行的 AnyConnect 的参数 : AnyConnect 3.0 版及更高版本不支持 Windows Mobile 设备 请参阅 Cisco 2.5 版了解有关 Windows Mobile 设备的信息 要求设备锁定 (Device Lock Required) - 在建立 VPN 连接之前必须给 Windows Mobile 设备配置密码或 PIN 这仅适用于使用 Microsoft 本地身份验证插件 (LAP) 的 Windows Mobile 设备 最大超时分钟数 (Maximum Timeout Minutes) - 必须在设备锁生效前配置的最大分钟数 最小密码长度 (Minimum Password Length) - 指定设备锁密码或 PIN 的最小字符数 密码复杂性 (Password Complexity) - 指定所需设备锁密码的复杂性 : alpha - 需要一个字母数字密码 pin - 需要一个数字 PIN 强密码 - 需要一个必须至少包含 7 个字符的强字母数字密码, 其中最少包含 3 个大写字母 小写字母 数字和标点字符的组合 AnyConnect 配置文件编辑器, 服务器列表 您可以配置在客户端 GUI 中显示的服务器列表 用户可以在该列表中选择服务器以建立 VPN 连接 服务器列表表列 : 主机名 (Hostname) - 用于指称主机 IP 地址或完全限定域名 (FQDN) 的别名 主机地址 (Host Address) - 服务器的 IP 地址或 FQDN 用户组 (User Group) - 与 主机地址 (Host Address) 结合使用以形成基于组的 URL 自动 SCEP 主机 (Automatic SCEP Host) - 为调配和续订客户端身份验证所用证书指定的简单证书册协议 CA URL - 该服务器用于连接认证中心 (CA) 的 URL 添加 / 编辑 (Add/Edit) - 启动您可以在其中指定服务器参数的 服务器列表条目 对话框 删除 (Delete) - 将服务器从服务器列表中删除 详细信息 (Details) - 显示有关备份服务器或服务器 CA URL 的更多详细信息 3-79

146 AnyConnect VPN 配置文件编辑器参数说明 第 3 章 配置 VPN 接入 AnyConnect 配置文件编辑器, 添加 / 编辑服务器列表 在此窗格中添加服务器及其备份服务器或负载均衡备份设备 主机名 (Hostname) - 输入用于指称主机 IP 地址或完全限定域名 (FQDN) 的别名 主机地址 (Host Address) - 指定服务器的 IP 地址或 FQDN 如果您在 主机地址 (Host Address) 字段中输入 IP 地址或 FQDN, 则 主机名 (Host Name) 字段中的条目将成为 AnyConnect 客户端托盘弹出式菜单的连接下拉列表中的服务器标签 如果您只在 主机名称 (Hostname) 字段中指定 FQDN, 不在 主机地址 (Host Address) 字段中指定 IP 地址, 则 主机名称 (Hostname) 字段中的 FQDN 将由 DNS 服务器解析 如果您输入 IP 地址, 则使用安全网关的公共 IPv4 或全局 IPv6 地址 不支持使用本地链路安全网关地址 用户组 (User Group) - 指定用户组 用户组与 主机地址 (Host Address) 结合使用以形成基于组的 URL 如果您将主协议指定为 IPsec, 用户组 (User Group) 必须是连接配置文件 ( 隧道组 ) 的准确名称 对于 SSL 而言, 该用户组为连接配置文件的组 URL 或组别名 备份服务器列表 (Backup Server List) - 您可以配置备份服务器列表供客户端在用户所选服务器故障时使用 如果该服务器故障, 客户端首先将尝试连接列表顶部的服务器, 然后在需要时在列表中向下移 主机地址 (Host Address) - 指定要包含在备份服务器列表中的 IP 地址或 FQDN 如果客户端无法连接到主机, 它将尝试连接备份服务器 添加 (Add) - 向备份服务器列表中添加主机地址 向上移动 (Move Up) - 在列表中向上移动所选备份服务器的位置 如果该用户所选服务器故障, 客户端首先将尝试连接列表顶部的备份服务器, 然后在需要时在列表中向下移 向下移动 (Move Down) - 在列表中向下移动所选备份服务器的位置 删除 (Delete) - 将备份服务器从服务器列表中删除 负载均衡服务器列表 (Load Balancing Server List) - 如果此服务器列表条目的主机是安全设备的负载均衡集群, 且永远在线功能已启用, 请在此列表中指定集群的备份设备 如果不指定, 则永远在线功能会阻止对负载均衡集群中的备份设备的接入 主机地址 (Host Address) - 指定负载均衡集群中备份设备的 IP 地址或 FQDN 添加 (Add) - 向负载均衡备份服务器列表中添加地址 删除 (Delete) - 从列表中删除负载均衡备份服务器 主协议 (Primary Protocol) - 指定连接此 ASA 的协议, 可选择 SSL 或 IPsec IKEv2 默认值是 SSL 仅限标准身份验证 (Standard Authentication Only) - 默认情况下,AnyConnect 客户端使用专有的 AnyConnect EAP 身份验证方法 选中以将客户端配置为使用基于标准的方法 但是, 执行此操作会限制客户端的动态下载功能, 并禁用一些功能 将身份验证方法从专有的 AnyConnect EAP 更改为基于标准的方法会禁用 ASA 配置会话超时 闲置超时 连接断开超时 分割隧道 分离 DNS MSIE 代理配置及其他功能的能力 3-80

147 第 3 章 配置 VPN 接入 配置 AnyConnect 客户端连接超时 IKE 身份 (IKE Identity) - 如果您选择基于标准的 EAP 身份验证方法, 您可以在此字段中输入组或域作为客户端身份 客户端会将字符串以 ID_GROUP 型 IDi 有效负载形式发送 默认情况下, 该字符串为 *$AnyConnectClient$* CA URL - 指定 SCEP CA 服务器的 URL 输入 FQDN 或 IP 地址 例如, 质询码提示 (Prompt For Challenge PW) - 使用户手动进行证书请求 当用户点击获取证书 (Get Certificate) 时, 客户端会向用户提示用户名和一次性密码 指纹 (Thumbprint) - CA 的证书指纹 使用 SHA1 或 MD5 哈希 您的 CA 服务器管理员可以提供 CA URL 和指纹, 并且应从服务器中直接检索指纹, 而不是从其所签发的证书的 手印 或 指纹 属性字段中检索 有关创建服务器列表的更多详细配置信息, 请参阅第 3-52 页的 配置服务器列表 部分 配置 AnyConnect 客户端连接超时 使用以下步骤终止或维护闲置的 AnyConnect VPN 连接 您可以对 ASA 保持 AnyConnect VPN 连接对用户可用的时长进行限制 ( 甚至在没有活动时 ) 如果 VPN 会话进入闲置状态, 您可以终止连接或重新协商连接 终止 AnyConnect 连接 终止 AnyConnect 连接要求用户在安全网关上对其终端重新进行身份验证, 并创建新的 VPN 连接 以下配置参数基于简单的超时终止 VPN 会话 : 默认闲置超时 (Default Idle Timeout) - 当会话在特定时间内暂停时, 终止任何用户的会话 默认值为 30 分钟 您可以使用 CLI 在 webvpn 配置模式下修改 default-idle-timeout 默认值为 1800 秒 有关配置 default-idle-timeout 的说明, 请参阅 Cisco ASA 5500 系列使用 CLI 的配置指南中的配置会话超时 VPN 闲置超时 (VPN Idle Timeout) - 当会话在特定时间内暂停时, 终止任何用户的会话 仅限于 SSL-VPN, 如果未配置 vpn-idle-timeout, 则使用 default-idle-timeout 有关使用 ASDM 配置 VPN 闲置超时的说明, 请参阅 Cisco ASA 5500 系列使用 ASDM 的配置指南中的添加或编辑远程接入内部组策略, 一般属性 有关使用 CLI 配置 VPN 闲置超时的说明, 请参阅 Cisco ASA 5500 系列使用 CLI 的配置指南中的配置 VPN 特定属性第 4 步 重新协商和维护 AnyConnect 连接 以下配置参数会终止或重新协商隧道, 但不会终止会话 : 保持连接 (Keepalive) - ASA 定期发送保持连接消息 这些消息会被 ASA 忽略, 但对于维持客户端与 ASA 之间设备的连接很有用 有关使用 ASDM 配置 保持连接 (Keepalive) 的说明, 请参阅 Cisco ASA 5500 系列使用 ASDM 的配置指南中的配置 AnyConnect VPN 客户端连接 有关使用 CLI 配置 保持连接 (Keepalive) 的说明, 请参阅 Cisco ASA 5500 系列使用 CLI 的配置指南中的 AnyConnect 安全移动客户端连接之组策略属性的第 5 步 3-81

148 配置 AnyConnect 客户端连接超时 第 3 章 配置 VPN 接入 失效对端检测 (Dead Peer Detection) - ASA 和 AnyConnect 客户端发送 R-U-There 消息 这些消息的发送频率比 IPsec 的保持连接消息低 如果客户端未响应 ASA 的 DPD 消息, ASA 会在使会话进入 等待恢复 模式前再尝试三次 此模式可使用户漫游网络, 或进入睡眠模式, 然后恢复连接 如果用户没有在默认闲置超时发生前重新连接, ASA 将终止隧道 建议的网关 DPD 间隔为 300 秒 如果 ASA 不响应客户端的 DPD 消息, 客户端将在终止隧道前再尝试三次 建议的客户端 DPD 间隔为 30 秒 您可以启用 ASA ( 网关 ) 和客户端来发送 DPD 消息, 以及配置超时间隔 有关使用 ASDM 配置 DPD 的说明, 请参阅 Cisco ASA 5500 系列使用 ASDM 的配置指南的失效对端检测 有关使用 CLI 配置 DPD 的说明, 请参阅 Cisco ASA 5500 系列使用 CLI 的配置指南中的 AnyConnect 安全移动客户端连接之组策略属性配置的第 4 步 最佳实践 将客户端 DPD 设置为 30 秒 ( 组策略 [Group Policy] > 高级 [Advanced] > AnyConnect 客户端 [AnyConnect Client] > 失效对端检测 [Dead Peer Detection]) 将服务器 DPD 设置为 300 秒 ( 组策略 [Group Policy] > 高级 [Advanced] > AnyConnect 客户端 [AnyConnect Client] > 失效对端检测 [Dead Peer Detection]) 将 SSL 和 IPsec 的密钥重新生成均设置为 1 小时 ( 组策略 [Group Policy] > 高级 [Advanced] > AnyConnect 客户端 [AnyConnect Client] > 密钥重新生成 [Key Regeneration]) 3-82

149 4 第章 配置网络接入管理器 本章对网络接入管理器配置进行了概述, 并就添加和配置用户策略和网络配置文件进行说明 本章节包括以下部分 : 第 4-1 页的简介 第 4-4 页的网络接入管理器的系统要求 第 4-4 页的创建网络接入管理器配置文件 第 4-6 页的配置网络接入管理器配置文件 简介 网络接入管理器为客户端软件, 根据企业网络管理员设定的策略提供第 2 层安全网络 网络接入管理器检测并选择最佳第 2 层接入网络, 并对接入有线网络和无线网络的设备进行身份验证 网络接入管理器对用户 设备身份以及安全接入所需的网络接入协议进行管理 以智能化工作模式防止最终用户建立违反管理员所制定策略的连接 AnyConnect 安全移动客户端的网络接入管理器组件支持以下主要功能 : 有线 (IEEE 802.3) 无线 (IEEE ) 和 Windows 7 上的部分移动宽带 (3G) 网络适配器 有关所支持适配器的完整列表, 请参阅 Cisco AnyConnect 安全移动客户端版本 3.1 的版本说明 使用 Windows 计算机凭证的登录前身份验证 使用 Windows 登录凭证的单点登录用户身份验证 简单易用的 IEEE 802.1X 配置 IEEE MACsec 有线加密和企业策略控制 EAP 方法 : EAP-FAST PEAP EAP-TTLS EAP-TLS 和 LEAP (EAP-MD5 EAP-GTC 和仅用于有线 IEEE 的 EAP-MSCHAPv2) 内部 EAP 方法 : PEAP-EAP-GTC EAP-MSCHAPv2 和 EAP-TLS EAP-TTLS-EAP-MD5 和 EAP-MSCHAPv2 以及传统方法 (PAP CHAP MSCHAP 和 MSCHAPv2) EAP-FAST-GTC EAP-MSCHAPv2 和 EAP-TLS 加密模式 : 静态 WEP ( 打开或共享 ) 动态 WEP TKIP 和 AES 4-1

150 简介 第 4 章 配置网络接入管理器 密钥建立协议 : WPA WPA2/802.11i 和 CCKM ( 根据 IEEE NIC 卡选择 ) Windows XP 上唯一支持 CCKM 的适配器是 Cisco CB21AG 智能卡提供凭证 AnyConnect 在以下环境中支持智能卡 : Windows XP Windows 7 和 Windows Vista 上的 Microsoft CAPI 1.0 和 CAPI 2.0 (CNG) Windows 登录不支持 ECDSA 证书, 因此网络接入管理器的单点登录 (SSO) 不支持 ECDSA 客户端证书 MAC 或 Linux 不支持网络接入管理器 Suite B 和 FIPS 以下为 FIPS 认证功能, 例外情况列示如下 : ACS 和 ISE 不支持 Suite B, 但 FreeRADIUS 2.x + OpenSSL 1.x 支持 Microsoft NPS 2008 部分支 Suite B (NPS 证书仍然必须是 RSA) 802.1X/EAP 仅支持过渡 Suite B 配置文件 ( 如 RFC5430 中定义 ); 不支持 TLS 1.2 MACsec 仅在 Windows 7 上兼容 FIPS Windows 7 和 XP 的椭圆曲线 Diffie-Hellman (ECDH) 密钥交换 仅 Windows 7 和 Vista 支持 ECDSA 客户端证书 仅 Windows 7 和 Vista 支持操作系统存储区的 ECDSA CA 证书 Windows XP/7/Vista 支持网络配置文件 (PEM 编码 ) 的 ECDSA CA 证书 Windows XP/7/Vista 支持服务器的 ECDSA 证书链验证 单点登录 单一用户 强制执行 Microsoft Windows XP Windows 7 和 Vista 允许多个用户同时登录, 但 AnyConnect 网络接入管理器对网络身份验证进行了限制, 仅验证单一用户 无论多少用户登录,AnyConnect 网络接入管理器仅可为每个桌面设备 / 服务器的一位用户激活 单一用户登录强制执行表明, 任何时候仅一位用户可以登录系统, 管理员无法强制销当前登录的用户 网络接入管理器客户端模块安装于 Windows 桌面时, 默认行为是强制执行单一用户登录 安装于服务器时, 默认行为是解除单一用户登录的强制执行 两种情况下, 均可通过修改或添加册表项更改默认行为 单点登录单一用户强制执行具有以下功能和限制 : Windows 管理员无法强制销当前登录的用户 支持同一用户 RDP 至连接工作站 欲被视为同一用户, 凭证必须为相同格式 例如, me/mydomain 和 me@mydomain.com 是不相同的 欲被视为同一用户, 智能卡用户也必须有相同的 PIN 4-2

151 第 4 章 配置网络接入管理器 简介 对单点登录 单一用户 强制执行进行配置 要更改 Window 工作站或服务器处理多位用户的方式, 则更改册表中的 EnforceSingleLogon 的值 网络接入管理器不会将该册表项添加到 Windows XP, 但如果您想更改 Windows 登录接入, 则可以添加 在 Windows 7 中, 该册表项为 EnforceSingleLogon, 并与 OverlayIcon 册表项位于册表中同一位置 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002} 在 Windows XP 中, 该册表项为 : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\acnamsso 要配置单一或多个用户登录, 添加名为 EnforceSingleLogon 的 DWORD, 并将其值设置为 1 或 0 对于 Windows 7 和 XP: 1 仅限单一用户登录 0 允许多个用户登录工作站的默认配置为 1; 服务器的默认值为 0 如果您正在工作站或服务器上使用单点登录, 则必须将工作站和服务器上 EnforceSingleLogon 的值均设置为 1 指南 Windows 网络状态任务托盘图标 网络接入管理器覆盖 Windows 网络管理 安装网络接入管理器后, 任务栏中的 Windows 网络图标可能会使用户感到混乱, 因为用户无法再使用网络状态图标连接到网络 通过在 Windows 组策略中设置 删除网络图标, 您可以从任务栏删除 Windows 网络图标 此设置仅影响托盘图标, 用户仍然可以使用 控制面板 创建本地无线网络 Windows 7 的隐藏网络和网络选择 Windows 定义的网络 网络接入管理器仅尝试连接到在网络接入管理器的网络扫描列表中配置的网络 在 Windows 7 中, 网络接入管理器会查找隐藏 SSID 当发现首个隐藏 SSID 时, 便停止查找 配置多个隐藏网络时, 网络接入管理器按以下方式选择 SSID: 首个管理员定义的隐藏公司网络 管理员定义的隐藏网络 首个用户定义的隐藏网络 我们建议仅在您的站点设一个隐藏公司网络, 因为网络接入管理器一次只能查找一个非广播 SSID 如果用户在安装网络接入管理器之前对 Windows 网络进行了定义, 则 Windows 连接管理器可能会不时尝试连接此网络 这可能会导致网络连接短暂断开和 / 或较长的初始连接时间 当该网络为 Windows 定义的网络时, 关闭自动连接 删除所有 Windows 定义的网络 4-3

152 网络接入管理器的系统要求 第 4 章 配置网络接入管理器 网络接入管理器的系统要求 网络接入管理器模块的系统要求如下 : ASDM 版本 6.8 独立网络接入管理器编辑器是支持网络接入管理器配置文件配置的替代方案 出于安全原因, AnyConnect 不接受外部 AnyConnect 配置文件编辑器编辑的网络接入管理器配置文件 以下操作系统支持网络接入管理器 : Windows 7 x86 (32 位 ) 和 x64 (64 位 ) Windows Vista SP2 x86 (32 位 ) 和 x64 (64 位 ) Windows XP x86 SP3 (32 位 ) 不支持 Windows Server 2003 SP2 x86 (32 位 ) IPv6 和 Suite B Windows Server 2008 R2 许可和升级要求 可获得 AnyConnect 网络接入管理器免费许可, 与思科无线接入点 无线 LAN 控制器 交换机和 RADIUS 服务器配合使用 不需要 AnyConnect Essentials 或 Premium 许可证 相关思科设备需要当前有效的 SmartNet 合约 部署网络接入管理器 将网络接入管理器视为 AnyConnect 的一部分进行部署 有关如何连同网络接入管理器和其他模块一起安装 AnyConnect 的信息, 请参阅第 2-1 页的 部署 AnyConnect 安全移动客户端 部分 创建网络接入管理器配置文件 将网络接入管理器配置文件视为 AnyConnect 的一部分在终端设备上进行部署, 以便网络接入管理器可以从管理角度强制执行定义的最终用户要求和身份验证策略, 使预配置网络配置文件可用于最终用户 使用网络接入管理器配置文件编辑器创建并配置一个或多个网络接入管理器配置文件 作为 ASDM 的一部分和独立 Windows 版本, AnyConnect 包含了配置文件编辑器 配置文件编辑器要求和部署说明, 请参阅第 2 章, 部署 AnyConnect 安全移动客户端 上传客户端图像前, 您无法创建客户端配置文件 4-4

153 第 4 章 配置网络接入管理器 创建网络接入管理器配置文件 从 ASDM 添加新配置文件 按照以下步骤从 ASDM 添加新网络接入管理器客户端配置文件到 ASA 步骤 1 打开 ASDM 并选择 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 步骤 2 点击添加 (Add) 步骤 3 添加 AnyConnect 客户端配置文件 (Add AnyConnect Client Profile) 窗口打开 ( 请参阅图 4-1) 图 4-1 添加 AnyConnect 客户端配置文件 (Add AnyConnect Client Profile) 窗口 步骤 4 步骤 5 步骤 6 步骤 7 步骤 8 输入配置文件名称 从 配置文件用途 (Profile Usage) 下拉列表中, 选择网络接入管理器 (Network Access Manager) ( 可选 ) 在 配置文件位置 (Profile Location) 字段, 点击浏览器闪存 (Browse Flash) 并为 ASA 上的 XML 文件选择设备文件路径 ( 可选 ) 如果用独立编辑器创建网络接入管理器配置文件, 则点击上传 (Upload) 使用该配置文件定义 ( 可选 ) 从下拉列表中选择 AnyConnect 组策略 步骤 9 点击确定 (OK) 4-5

154 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 在网络接入管理器配置文件编辑器中, 对网络接入管理器配置文件进行配置, 编辑器由 ASDM 提供或为独立 Windows 应用 客户端策略窗口 可通过 客户端策略 (Client Policy) 窗口配置客户端策略选项 ( 参阅图 4-2) 图 4-2 客户端策略 (Client Policy) 窗口 四个部分包括 : 连接设置 (Connection Settings) - 允许就用户登录前或登录后尝试网络连接进行定义 默认连接超时 (Default Connection Timeout) - 用户创建网络连接超时的秒数 默认值为 40 秒 用户登录前 (Before User Logon) - 在用户登录前连接网络 支持的用户登录类型包括用户帐户 (Kerberos) 身份验证 加载用户 GPO 和基于 GPO 的登录脚本执行 如果选择 用户登录前 (Before User Logon), 您还可以设置 允许用户登录前的等待时间 (Time to Wait Before Allowing a User to Logon): 4-6

155 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 允许用户登录前的等待时间 (Time to Wait Before Allowing a User to Logon) - 指定等待网络接入管理器完成网络连接的最大秒数 ( 最坏情况 ) 如果无法在该时间段内建立网络连接, Windows 登录流程会继续用户登录 默认值为 5 秒 如果将网络接入管理器配置为管理无线连接, 则将允许用户登录前的等待时间 (Time to wait before allowing user to logon) 设置为 30 秒或更长时间, 因为可能需要额外时间建立无线连接 您必须考虑通过 DHCP 获取 IP 地址所需的时间 如果对两个或多个网络配置文件进行了配置, 您可能要增大值以进行两次或更多次连接尝试 用户登录后 (After User Logon) - 指定用户登录 Windows 后网络接入管理器将尝试建立网络连接 媒体 (Media) - 指定哪些类型的媒体由网络接入管理器客户端控制 管理 Wi-Fi( 无线 ) 媒体 (Manage Wi-Fi [wireless] Media) - 启用 WiFi 媒体管理, 并选择性验证 WPA/WPA2 握手 IEEE i 无线网络标准指定请求方 ( 在此情况下为网络接入管理器 ) 必须确认, 在密钥导出过程中, 在 IEEE 801.X 协议包的 EAPOL Key 数据中发送的接入点 RSN IE 与信标 / 探测响应帧中找到的接入点 RSN IE 匹配 如果启用 WPA/WPA2 握手验证, 您必须指定默认关联超时 如果取消选中启用 WPA/WPA2 握手验证设置, 则跳过验证步骤 部分适配器不会始终提供接入点的 RSN IE, 因此, 身份验证尝试失败且客户端无法连接 管理有线 (IEEE 802.3) 媒体 (Manage Wired [IEEE 802.3] Media) - 启用有线连接管理 管理移动宽带 (3G) 媒体 (Manage Mobile Broadband [3G] Media) - 启用 Windows 7 移动宽带适配器管理, 以及是否允许数据漫游 该功能为测试版本状态 Cisco TAC 不支持试用版本 最终用户控制 (End-user Control) - 允许您配置以下用户控制设置 : 禁用客户端 (Disable Client) - 允许用户通过 AnyConnect UI 禁用和启用有线和无线媒体的网络接入管理器管理 显示用户组 (Display User Groups) - 即使不对应于管理员定义组, 也可查看用户创建的组 ( 由 CSSC 5.x 创建 ) 并进行连接 指定连接时运行的脚本或应用 (Specify a Script or Application To Run When Connected) - 当网络连接时, 允许用户指定要运行的脚本或应用 脚本设置特定于某个用户配置网络, 当该网络处于连接状态时, 允许用户指定要运行的本地文件 (.exe.bat 或.cmd) 为避免冲突, 脚本功能仅允许用户为用户定义网络 ( 而非管理员定义网络 ) 配置脚本或应用 该功能不允许用户更改与运行脚本相关的管理员网络, 因此, 用户无法使用管理员网络界面 此外, 如果不允许用户配置运行脚本, 则该功能不会出现在网络接入管理器 GUI 中 自动连接 (Auto-connect) - 如果选择了自动连接, 则网络接入管理器自动连接到网络, 无需用户选择 默认为自动连接 4-7

156 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 管理状态 (Administrative Status) 维护操作 (Service Operation) - 如果禁用维护, 使用该配置文件的客户端将无法连接建立第 2 层连接 FIPS 模式 (FIPS Mode) - 联邦信息处理标准 (FIPS 第 1 级 ) 是美国政府标准, 为加密模块指定了安全要求 如果启用 FIPS 模式, 网络接入管理器以符合政府要求的方式执行加密操作 请参阅第 9 章, NGE FIPS 和其他安全 获得更多信息 MACsec 或 Wifi 的网络接入管理器支持 FIPS, 取决于软件和硬件类型, 如下表所示 : 表 4-1 网络接入管理器支持 FIPS 媒体 / 操作系统 Windows XP/2003 Windows 7/Vista MACsec 有线 不兼容 FIPS 当 Intel HW MACsec 支持 NIC 或使用任何非硬件 MACsec 时, 可兼容 FIPS WiFi 安装 3eti 驱动器时, 兼容 FIPS 不兼容 FIPS 身份验证策略窗口 身份验证策略 (Authentication Policy) 窗口允许创建可应用于所有网络连接的关联和身份验证网络过滤器 如果未选中任何关联或身份验证模式, 用户无法连接至验证的 wi-fi 网络 如果选择模式的子集, 用户仅能连接到此类网络 选择每个所需的关联或身份验证模式, 或选择 全选 (Select All) 请意, 内部方法也可能仅限于特定身份验证协议 在 允许身份验证模式 (Allowed Authentication Modes) 窗格中, 内部方法在外部方法 ( 隧道技术 ) 下以缩进形式显示 选择身份验证协议的机制集成于当前客户端身份验证数据库 安全无线 LAN 部署无需为用户创建新身份验证系统 可用于内部隧道技术的 EPA 方法以内部方法凭证类型和外部隧道技术方法为基础 在以下列表中, 每个外部隧道方法均列出了用于支持每种凭证类型的内部方法类型 PEAP 密码凭证 :EAP-MSCHAPv2 或 EAP-GTC 令牌凭证 :EAP-GTC 证书凭证 :EAP-TLS EAP-FAST 密码凭证 :EAP-MSCHAPv2 或 EAP-GTC 令牌凭证 :EAP-GTC 证书凭证 :EAP-TLS EAP-TTLS 密码凭证 :EAP-MSCHAPv2 EAP-MD5 PAP (L) CHAP (L) MSCHAP (L) MSCHAP-v2 ( 旧版 ) 令牌凭证 :PAP ( 旧版 ) NAM 支持的默认令牌选项是 PAP, 因为质询 / 响应方法并不是非常适用于基于令牌的身份验证 证书凭证 :N/A 4-8

157 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 图 4-3 身份验证策略 (Authentication Policy) 窗口 网络窗口 网络 (Networks) 窗口可以为您的企业用户配置预定义网络 您可以配置可用于所有组的网络, 或创建特定网络的组 网络 (Networks) 窗口运行不时为现有窗口添加窗格的向导, 点击下一步 (Next), 可前进至更多配置选项 从根本而言, 组是配置连接 ( 网络 ) 的集合 每个配置连接必须属于组或所有组的成员 为实现向后兼容性, 部署了思科安全服务客户端的管理员创建的网络被视为隐藏网络, 不广播 SSID 但是, 用户网络被视为广播其 SSID 的网络 仅管理员可以创建新组 如果未在配置中定义组, 则配置文件编辑器会创建自动生成组 自动生成组包含未分配给任何管理员定义组的网络 客户端尝试使用活动组中定义的连接建立网络连接 根据 网络组 (Network Groups) 窗口中创建网络 (Create networks) 选项的设置, 最终用户可以向活动组添加用户网络, 也可从活动组删除用户网络 定义的网络可用于列表顶部的所有组 因为控制了全局网络中的网络组成, 即使在存在用户定义网络的情况下, 您也可以指定最终用户可以连接的企业网络 最终用户无法修改或删除管理员配置网络 4-9

158 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 除 globalnetworks 部分的网络外 ( 因为这些网络存在于所有组中 ), 最终用户可以向组添加网络, 并仅可使用配置文件编辑器创建网络 请意, 企业网络的典型最终用户无需为使用此客户端而具备与组相关的知识 活动组是配置中的第一组, 但如果仅一组可用, 则客户端无从知晓且不会显示活动组 然而, 如果有多个组存在, 则 UI 会显示指示已选活动组的组合框 然后, 用户可以从活动组选择, 且设置在重启后仍会保留 根据 网络组 (Network Groups) 窗口中创建网络 (Create networks) 选项的设置, 最终用户可以添加或删除自己的网络而无需使用组 重启及网络修复后组选择仍然保留 ( 通过右键点击托盘图标并选择网络修复 [Network Repair] 完成 ) 修复或重启网络接入管理器时, 用之前的活动组启动网络接入管理器 当您从网络接入管理器菜单中选择网络 (Networks), 图 4-4 中所示窗口出现 图 4-4 网络 (Networks) 窗口 选择如下操作之一 : 点击添加 (Add) 创建新网络 如果选择创建新网络, 请使用以下部分的信息配置客户端配置文件, 从下面的网络 - 媒体类型页面部分开始 4-10

159 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 选择要更改的网络, 然后点击编辑 (Edit) 选择要删除的网络, 然后点击删除 (Delete) 网络 - 媒体类型页面 网络 (Networks) 窗口 媒体类型 (Media Type) 页面可创建或编辑有线或无线网络 设置有所不同, 视您选择有线或无线而定 图 4-5 显示您选择 Wi-Fi 网络时出现的窗口, 但该部分涵盖有线和 Wi-Fi 选项 图 4-5 媒体类型 (Media Type) 页面 第一个对话框中包含四部分 : 组成员身份 (Group Membership) - 选择此配置文件应可用于哪个或哪些网络组 名称 (Name) - 输入该网络显示的名称 网络媒体 (Network Media) - 选择有线或 Wi-Fi ( 无线 ) 如果选择 Wi-Fi, 您还可以配置以下参数 : 在 SSID 参数中, 请输入您无线网络的 SSID ( 服务集标识符 ) 即使未广播其 SSID, 选择隐藏网络 (Hidden Network) 也可连接至网络 如果附近有公司网络, 选择公司网络 (Corporate Network), 以强制连接至首先配置为公司网络的网络 当公司网络使用非广播 ( 隐藏 ) SSID 并配置为隐藏时, NAM 会主动搜索隐藏 SSID, 并当 SSID 出现在范围内时建立连接 4-11

160 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 关联超时 (Association Timeout) - 输入在其重新评估可用网络前网络接入管理器等待与特定无线网络进行关联的时长 默认关联超时值为 5 秒 通用设置 (Common Settings) - 脚本或应用 (Script or application) - 输入您要在本地系统上运行文件的路径和文件名, 或浏览到文件夹并选择一个文件 以下规则适用于脚本和应用 : 接受带有.exe.bat 或.cmd 扩展名的文件 用户不能改动管理员创建网络中定义的脚本或应用 您只能使用配置文件编辑器指定路径和脚本或应用文件名 如果用户计算机上不存在脚本或应用, 则会显示错误信息 告知用户计算机上不存在脚本或应用, 且用户需要联系其系统管理员 您必须指定要运行应用的完整路径, 除非用户路径中存在该应用 如果用户路径中存在该应用, 则仅可以指定应用或脚本名称 连接超时 (Connection Timeout) - 输入网络接入管理器尝试连接至另一网络 ( 当连接模式为自动时 ) 或使用另一适配器前其等待建立网络连接的秒数 部分智能卡身份验证系统需要大约 60 秒完成身份验证 使用智能卡时, 可能需要提高连接超时值, 尤其是在智能卡连接成功前可能需要尝试多个网络的情况下 当您完成网络配置时, 点击下一步 (Next) 显示 网络 (Network) 向导的 安全级别 (Security Level) 窗格 网络 - 安全级别页面 配置身份验证网络 802.1X 设置窗格 在 网络 (Network) 向导的 安全级别 (Security Level) 页面, 选择 开放网络 (Open Network) 身份验证网络 (Authentication Network) 或 ( 仅为 无线网络媒体 [Wireless Network Media] 显示 ) 共享密钥网络 (Shared Key Network) 这些网络类型中每种配置流程各不相同, 将在以下章节进行介绍 配置身份验证网络 - 推荐用于安全企业 配置开放网络 - 不推荐, 但可用于通过强制网络门户环境提供访客接入 配置共享密钥网络 - 推荐用于无线网络 ( 如小型办公室或家庭办公室 ) 如果您在 安全级别 部分中选择 身份验证网络 (Authenticating Network), 则其他窗格出现, 如下所述 当您完成此窗格的配置时, 点击下一步 (Next) 按钮或选择 连接类型 (Connection Type) 选项卡打开 网络连接类型 (Network Connection Type) 对话框 根据网络配置调整 IEEE 802.1X 设置 : authperiod(sec.) - 身份验证开始时, 该时间决定了其超时和需要身份验证器再次启动身份验证前请求方等待身份验证消息的时长 heldperiod(sec) - 身份验证失败时, 该时间定义了另一次身份验证尝试开始前请求方等待的时长 startperiod(sec) - 如果对从身份验证器接收到的任何 EAPOL-Start 消息无响应, 再次传送 EAPOL-Start 消息的间隔时长 ( 以秒为单位 ) 4-12

161 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 maxstart - 请求方认定无身份验证器前, 请求方通过发送 IEEE 801.X 协议包 EAPOL Key 数据 EAPoL-Start 采用身份验证器启动身份验证的次数 这种情况发生时, 请求方允许数据流量 提示 通过仔细设置 startperiod 和 maxstart, 您可以配置可同时用于开放网络和身份验证网络的单一身份验证有线连接, 从而使尝试启动身份验证的总时长小于网络连接定时器时长 (startperiod x maxstart < 网络连接定时器时长 ) 请意 : 在这种方案下, 您应该将网络连接定时器时长增加 (startperiod x maxstart) 秒, 使客户端有足够时间获取 DHCP 地址并完成网络连接 相反, 如果且仅当身份验证成功后, 要允许数据流量的管理员应确保 startperiod 和 maxstart 符合尝试启动身份验证的总时长大于网络连接定时器时长的情况 (start Period x maxstart > 网络连接定时器时长 ) 安全窗格 仅为有线网络显示 在 安全 (Security) 窗格中, 选择以下参数的值 : 密钥管理 (Key Management) - 使用下拉列表确定您的启用 MACsec 的有线网络要使用的密钥管理协议 无 (None) - 未使用密钥管理协议, 未执行有线加密 MKA - 请求方尝试协商 MACsec 密钥协商协议策略和加密密钥 MACsec 是 MAC 层安全, 为有线网络提供 MAC 层加密 MACsec 协议代表保护 MAC 级别加密框架的方式, 基于 MACsec 密钥协议 (MKA) 实体协商和分配加密密钥 有关 MACsec 密钥协议的详细定义参阅 IEEE-802.1X-Rev, 有关 MACsec 加密协议的详细定义参阅 IEEE 802.1AE-2006 此外, 有关 MACsec 的更多信息, 包括优势和局限性 功能概述 设计意事项 部署和故障排除, 请参阅 uide_c html 端口身份验证异常策略窗格 加密 (Encryption) 无 (None) - 对数据流量进行完整性检查, 但不加密 MACsec:AES-GCM 仅当选择 MKA 进行密钥管理时, 该选项可用 其使用 AES-GCM-128 对数据流量进行加密 仅为有线网络显示 端口身份验证异常策略允许您在身份验证期间定制 IEEE 802.1X 请求方的行为 如果端口异常未启用, 则请求方继续其当前行为, 并仅在成功完成完整配置时打开端口 ( 或如本章节稍早所述, 在身份验证器无响应的情况下, 身份验证的 maxstarts 次启动后 ) 选择如下选项之一: 身份验证前允许数据流量 (Allow data traffic before authentication) - 该选项允许身份验证尝试前的数据流量 允许身份验证后数据流量, 即使 : EAP 失败 (EAP Fails) - 选择后, 请求方尝试身份验证 但如果身份验证失败, 请求方也允许数据流量 4-13

162 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 EAP 成功, 但密钥管理失败 (EAP succeeds but key management fails) - 选择后, 请求方尝试与密钥服务器协商密钥, 但无论密钥协商出于任何原因而失败, 仍允许数据流量 该设置仅在配置了密钥管理的情况下有效 如果密钥管理设置为无, 则复选框显示为灰色 MACsec 需要 ACS 版本 5.1 或更高版本以及支持 MACsec 的交换机 关于 ACS 或交换机配置, 请参阅 Catalyst 3750-X 和 3560-X 交换机软件配置指南 关联模式 仅为无线网络显示 选择关联模式, 选项包括 : WEP WAP Enterprise (TKIP) WPA Enterprise (AES) WPA 2 Enterprise (TKIP) WPA 2 Enterprise (AES) CCKM (TKIP) - ( 需要思科 CB21AG 无线 NIC) CCKM (AES) - ( 需要思科 CB21AG 无线 NIC) 配置开放网络 开放网络不使用身份验证和加密 如果要创建开放 ( 不安全 ) 网络, 请执行以下步骤 步骤 1 从 安全级别 (Security Level) 页面选择开放网络 (Open Network) 此选择提供最不安全的网络, 推荐设为访客接入无线网络 步骤 2 点击下一步 (Next) 步骤 3 确定连接类型 请参阅网络 - 网络连接类型窗格 点击下一步 (Next) 或选择 连接类型 (Connection Type) 选项卡, 打开网络连接类型 (Network Connection Type) 对话框 配置共享密钥网络 Wi-Fi 网络可使用共享密钥派生加密密钥, 以用于在终端之间和网络接入点之间对数据加密 使用 WPA 或 WPA2 Personal 共享密钥提供适合小型办公室或家庭办公室的中级安全保护等级 不推荐企业无线网络使用共享密钥安全保护 如果以共享密钥网络作为安全保护级别, 请执行以下步骤 步骤 1 选择共享密钥网络 (Shared Key Network) 步骤 2 在 安全保护级别 (Security Level) 窗口中点击下一步 (Next) 4-14

163 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 步骤 3 指定用户连接 (User Connection) 或计算机连接 (Machine Connection) 有关详情, 请参阅第 4-16 页的 网络 - 网络连接类型窗格 部分 步骤 4 点击下一步 (Next) 共享密钥 (Shared Key) 窗格显示 ( 参阅图 4-6) 图 4-6 共享密钥 (Shared Key) 窗格 步骤 5 共享密钥类型 - 指定决定共享密钥类型的共享密钥关联模式 相应选项如下所示 : 步骤 6 步骤 7 WEP - 与静态 WEP 加密关联的传统 IEEE 开放系统 共享 (Shared) - 与静态 WEP 加密关联的传统 IEEE 共享密钥 WPA/WPA2-Personal - 从密码短语预共享密钥 (PSK) 派生加密密钥的 Wi-Fi 安全协议 如果选择传统 IEEE WEP 或共享密钥, 则请选择 40 位 64 位 104 位或 128 位 40 或 64 位 WEP 密钥必须是 5 个 ASCII 字符或 10 个十六进制数字 104 或 128 位 WEP 密钥必须是 13 个 ASCII 字符或 26 个十六进制数字 如果选择 WPA 或 WPA2 Personal, 请选择要使用的加密类型 (TKIP/AES), 然后输入共享密钥 输入的密钥必须为 8 至 63 个 ASCII 字符或 64 个十六进制数字 如果共享密钥由 ASCII 字符组成, 请选择 ASCII 如果共享密钥包含 64 个十六进制数字, 请选择十六进制 (Hexadecimal) 步骤 8 点击完成 (Done) 点击确定 (OK) 4-15

164 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 网络 - 网络连接类型窗格 继网络接入管理器配置文件编辑器的安全保护级别 (Security Level) 之后, 本章节介绍了网络 (Networks) 窗口的网络连接类型 (Network Connection Type) 窗格 图 4-7 中显示了 开放网络 (Open Network) 窗格 选择以下连接类型之一 : 计算机连接 (Machine Connection) - 使用计算机的 Windows 动态目录 ID 进行授权 当连接不需要用户凭证时, 通常使用计算机连接 即使用户退出且用户凭证不可用时, 如果终端站应登录网络, 则选择该选项 通常, 该选项用于在用户接入前连接至网域并获取 GPO 和来自网络的其他更新 如果无已知网络可用, VPN 登录前启动 (SBL) 将失败 但是, 如果为用户登录前 (Before user logon) 和计算机连接授权配置了网络接入管理器, 则网络接入管理器会要求用户提供网络信息, 且 VPN SBL 将成功 用户连接 (User Connection) - 用户凭证用于授权 如果在 客户端策略 (Client Policy) 窗格选择了用户登录前 (Before user logon), 用户在 Windows 开始屏幕上输入其登录凭证后, 网络接入管理器会收集用户凭证 当 Windows 开始用户窗口会话时, 网络接入管理器建立网络连接 如果在 客户端策略 (Client Policy) 窗格中选择用户登录后 (After user logon), 则网络接入管理器在用户登录 Windows 后启动连接 当用户退出时, 当前用户网络连接终止 如果有可用的计算机网络配置文件,NAM 会重新连接至计算机网络 计算机和用户连接 (Machine and User Connection) - 仅在配置身份验证网络 (Authenticating Network) 后可用, 如 安全保护级别 (Security Level) 窗格中所选 同时使用计算机 ID 和用户凭证, 但是, 计算机部分仅在用户未登录 PC 的情况下有效 两个部分的配置相同, 但计算机连接的身份验证类型和凭证可能与用户连接的身份验证类型和凭证不同 选择该选项使 PC 始终连接至网络 ( 用户未登录时使用 计算机连接 [Machine Connection], 用户登录时使用 用户连接 [User Connection]) 当 EAP-FAST 配置为 EAP 方法 ( 在下一窗格中 ) 时, 支持 EAP 链接 这表示网络接入管理器将验证计算机和用户是否为已知实体, 以及是否由公司进行管理, 这对自带设备 (BYOD) 非常有用 当选择 网络连接类型 (Network Connection Type) 时, 其他选项卡显示于 网络 (Networks) 对话框中, 允许您为所选 网络连接类型 (Network Connection Type) 设置 EAP 方法和凭证 4-16

165 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 图 4-7 开放网络的网络连接类型 (Network Connection Type) 窗格 网络 - 用户或计算机身份验证页面 选择 网络连接类型 (Network Connection Type) 后, 为这些连接类型选择身份验证方法 选择身份验证方法后, 窗口中心调节为您所选的方法, 且需要您提供其他信息 如果启用 MACsec, 请确保选择了支持 MSK 密钥派生的 EAP 方法, 如 PEAP EAP-TLS 或 EAP-FAST 等 您可以在该窗格中进行其他配置, 取决于您所选的 EAP 方法 EAP-GTC - 请参阅第 4-18 页的配置 EAP-GTC EAP-TLS - 请参阅第 4-19 页的配置 EAP-TLS EAP-TTLS - 请参阅第 4-19 页的配置 EAP-TTLS PEAP - 请参阅第 4-20 页的配置 PEAP 选项 4-17

166 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 EAP-FAST - 请参阅第 4-21 页的配置 EAP-FAST 设置 LEAP - 请参阅第 4-23 页的配置 LEAP 设置 EAP 概述 EAP 是处理从携带其的传输协议中分离出来的身份验证协议要求的 IETF RFC 这种分离允许传输协议 ( 如 IEEE 802.1X UDP 或 RADIUS 等 ) 在不更改身份验证协议的情况下携带 EAP 协议 基本 EAP 协议相对简单, 由 4 类数据包构成 : EAP 请求 - 身份验证器向请求方发送请求数据包 每个请求均包含表明请求内容的类型字段, 如请求方身份和要使用的 EAP 类型 序列号允许身份验证器及对等机为每个 EAP 请求匹配 EAP 响应 EAP 响应 - 请求方向身份验证器发送响应数据包, 并使用序列号与初始 EAP 请求匹配 EAP 响应类型通常与 EAP 请求匹配, 除非响应为负值 (NAK) EAP 成功 - 如果身份验证成功, 身份验证器向请求方发送成功数据包 EAP 失败 - 如果身份验证失败, 身份验证器向请求方发送失败数据包 在 IEEE X 系统中使用 EAP 时, 接入点以 EAP 直通模式运行 在此模式下, 接入点检查代码 标识符和长度字段, 然后将收到的来自请求方的 EAP 数据包转发至 AAA 服务器 在身份验证器上收到的来自 AAA 服务器的数据包将转发给请求方 配置 EAP-GTC EAP-GTC 是以简易用户名和密码身份验证为基础的 EAP 身份验证方法 在不使用质询 - 响应方法的情况下, 以明文传递用户名和密码 该方法建议用于隧道技术 EAP 方法 ( 参阅下方隧道技术 EAP 方法 ) 内或带 OTP ( 令牌 ) 的隧道技术 EAP 方法 EAP-GTC 不提供相互身份验证 它只对客户端进行身份验证, 因此, 欺诈服务器可能会获取用户的凭证 如果需要相互身份验证, 在隧道技术 EAP 方法内使用 EAP-GTC 提供服务器身份验证 EAP-GTC 不提供无密钥材料 ; 因此, 您无法将该方法用于 MACsec 如果需要进一步流量加密的密钥材料, 则在隧道技术 EAP 方法中使用 EAP-GTC, 提供密钥材料 ( 以及内部和外部 EAP 方法加密绑定, 如需要 ) 您有两个密码源选项 : 使用密码进行身份验证 - 仅适用于保护良好的有线环境 使用令牌进行身份验证 - 因为令牌代码使用寿命短 ( 通常约为 10 秒 ) 或为 OTP, 所以更安全 网络接入管理器 身份验证器或 EAP-GTC 协议均无法区分密码和令牌代码 这些选项仅影响网络接入管理器内凭证的使用寿命 可在退出或之后记住密码, 但无法记住令牌代码 ( 因为每次身份验证时会提示用户输入令牌代码 ) 如果使用密码进行身份验证, 您可以使用散列 ( 或以不可逆方式加密 ) 密码使用该协议对数据库进行身份验证, 因为密码是以明文方式传递至身份验证器 我们建议将该方法用于可能存在数据库泄露的情况 4-18

167 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 配置 EAP-TLS EAP 安全传输层协议 (EAP-TLS) 是基于 TLS 协议 (RFC 2246) 的 IEEE 802.1X EAP 验证算法 TLS 使用基于 X.509 数字证书的相互身份验证 EAP-TLS 消息交换提供相互身份验证 密码套件协商 密钥交换 客户端和身份验证服务器之间的验证以及可用于流量加密的密钥材料 以下列表说明了 EAP-TLS 客户端证书可为有线和无线连接提供强身份验证的主要原因 : 自动进行身份验证, 通常无需用户干预 用户密码不相关 数字证书提供强身份验证保护 用公共密钥加密对消息交换进行保护 不易受到字典攻击 身份验证过程产生针对数据加密和签名的相互确定密钥 EAP-TLS 包含两个选项 : 验证服务器证书 (Validate Server Certificate) - 启用服务器证书验证 启用快速重连 (Enable Fast Reconnect) - 启用 TLS 会话恢复, 只要 TLS 会话数据同时保存于客户端和服务器上, 便可通过使用简短 TLS 握手启用更加快速的重新身份验证 使用智能卡时禁用 (Disable when using a Smart Card) 选项不可用于计算机连接身份验证 配置 EAP-TTLS EAP 隧道传输层安全 (EAP-TTLS) 是扩展 EAP-TLS 功能的两阶段协议 第 1 阶段执行完整的 TLS 会话, 并派生用于第 2 阶段的会话密钥, 以为服务器和客户端之间的属性建立安全隧道 您可以使用在第 2 阶段期间建立了隧道的属性, 使用各种不同机制执行其他身份验证 网络接入管理器不支持 EAP-TTLS 身份验证期间使用的内部和外部方法的加密绑定 如果需要加密绑定, 则必须使用 EAP-FAST 加密绑定为特殊等级的中间人攻击提供了保护, 此类攻击可在无凭证的情况下劫持用户的连接 可在第 2 阶段使用的身份验证机制包括以下协议 : PAP ( 密码身份验证协议 ) - 使用双向握手为对等机提供简易方法以验证其身份 身份验证确认或失败前, 对等机一直向身份验证器重复发送 ID/ 密码对 如果需要相互身份验证, 则必须配置 EAP-TTLS 对第 1 阶段的服务器证书进行验证 由于密码传递至身份验证器, 您可以使用散列 ( 或以不可逆方式加密 ) 密码使用该协议对数据库进行身份验证 我们建议将该方法用于可能存在数据库泄露的情况 您可以为令牌和基于 OTP 的身份验证使用 EAP-TTLS PAP CHAP ( 质询握手验证协议 ) - 使用三向交握验证对等机的身份 如果需要相互身份验证, 则应配置 EAP-TTLS 对第 1 阶段的服务器证书进行验证 使用此质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码 MS-CHAP (Microsoft CHAP) - 使用三向交握验证对等机的身份 如果需要相互身份验证, 则应配置 EAP-TTLS 验证第 1 阶段的服务器证书 使用基于 NT 散列密码的此质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码或至少 NT 散列密码 4-19

168 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 MS-CHAPv2 - 通过包含响应数据包中的对等机质询和成功数据包中的身份验证器响应, 提供对等机之间的相互身份验证 在服务器之前验证客户端 如果服务器需要在客户端之前进行身份验证 ( 以防止字典攻击 ), 则应配置 EAP-TTLS 验证第 1 阶段的服务器证书 使用基于 NT 散列密码的此质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码或至少 NT 散列密码 EAP-TTLS 配置 EAP - 允许使用这些 EAP 方法 : EAP-MD5 (EAP-Message Digest 5) - 使用三向交握验证对等机的身份 ( 类似于 CHAP) 使用此质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码 EAP MSCHAPv2 - 使用三向交握验证对等机的身份 在服务器之前验证客户端 如果服务器需要在客户端之前进行身份验证 ( 例如防止字典攻击 ), 则应配置 EAP-TTLS 验证第 1 阶段的服务器证书 使用基于 NT 散列密码的此质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码或至少 NT 散列密码 EAP-TTLS 设置 验证服务器身份 (Validate Server Identity) - 启用服务器证书验证 启用快速重连 (Enable Fast Reconnect) - 仅启用外部 TLS 会话恢复, 无论是否跳过内部身份验证或内部身份验证是否由身份验证器控制 使用智能卡时禁用 (Disable when using a Smart Card) 在计算机连接身份验证上不可用 内部方法 (Inner Methods) - TLS 隧道创建后, 指定使用的内部方法 仅对 Wi-Fi 媒体类型可用 配置 PEAP 选项 受保护的 EAP (PEAP) 是隧道基于 TLS 的 EAP 方法 在为内部身份验证方法加密而进行客户端身份验证之前, 它使用 TLS 对服务器进行身份验证 在信任的加密保护隧道内进行内部身份验证, 并支持包括证书 令牌和密码在内的各种不同的内部身份验证方法 网络接入管理器不支持 PEAP 身份验证期间使用的内部和外部方法的加密绑定 如果需要加密绑定, 则必须使用 EAP-FAST 加密绑定为特殊等级的中间人攻击提供了保护, 此类攻击可在无凭证的情况下劫持用户的连接 PEAP 通过提供以下服务保护 EAP 方法 : 为 EAP 数据包创建 TLS 隧道 消息身份验证 消息加密 服务器到客户端身份验证您可以使用以下身份验证方法 : 使用密码进行身份验证 EAP MSCHAPv2 - 使用三向交握验证对等机的身份 在服务器之前验证客户端 如果服务器需要在客户端之前进行身份验证 ( 例如防止字典攻击 ), 则必须配置 PEAP 以验证服务器证书 使用基于 NT 散列密码的质询 - 响应方法, 您需要在身份验证器的数据库中保存明文密码或至少 NT 散列密码 4-20

169 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 EAP-GTC (EAP 通用令牌卡 ) - 定义载有用户名和密码的 EAP 信封 如果需要相互身份验证, 您必须配置 PEAP 以验证服务器证书 由于密码以明文形式传递至身份验证器, 您可以使用散列 ( 或以不可逆方式加密 ) 密码使用该协议对数据库进行身份验证 我们建议将该方法用于可能存在数据库泄露的情况 EAP-TLS, 使用证书 EAP-TLS - 定义 EAP 信封以携带用户证书 为避免中间人攻击 ( 对有效用户连接的劫持 ), 我们建议您不要混合用于相同身份验证器验证的 PEAP [EAP-TLS] 和 EAP-TLS 配置文件 您应对身份验证器进行相应配置 ( 不要同时启用无格式和隧道 EAP-TLS) PEAP 配置 PEAP-EAP 设置 验证服务器身份 (Validate Server Identity) - 启用服务器证书验证 启用快速重连 (Enable Fast Reconnect) - 仅启用外部 TLS 会话恢复 由身份验证器控制是否跳过内部身份验证 使用智能卡时禁用 (Disable when using a Smart Card) - 使用智能卡进行身份验证时, 请勿使用快速重连 仅对用户连接应用智能卡 使用令牌和 EAP GTC 进行身份验证 - 计算机身份验证不可用 基于凭证源的内部方法 使用密码进行 EAP-MSCHAPv2 和 / 或 EAP-GTC 身份验证 EAP-TLS, 使用证书进行身份验证 使用令牌和 EAP GTC 进行身份验证 - 计算机身份验证不可用 用户登录前, 智能卡支持在 Windows Vista 和 Windows 7 上不可用 配置 EAP-FAST 设置 EAP-FAST 是提供灵活 简单部署和管理的 IEEE 802.1X 身份验证类型 它支持多种用户和密码数据库类型 服务器启动的密码过期和更改以及数字证书 ( 可选 ) EAP-FAST 专为想要部署不使用证书并提供字典攻击保护的 IEEE 802.1X EAP 类型的客户而开发 自 AnyConnect 3.1 起, 在同时配置计算机和用户连接的情况下支持 EAP 链接 这表示网络接入管理器将验证计算机和用户是否为已知实体, 以及是否由公司进行管理, 这对自带设备 (BYOD) 非常有用 有关 EAP 链接的更多信息, 请参阅 RFC 3748 EAP-FAST 将 TLS 消息封装于 EAP 内, 由以下 3 个协议阶段构成 : 1. 使用身份验证 Diffie-Hellman 协议 (ADHP) 为客户端调配名为保护接入凭证 (PAC) 的共享秘密凭证的调配阶段 2. 使用 PAC 建立隧道的隧道建立阶段 3. 验证服务器对用户凭证 ( 令牌 用户名 / 密码或数字证书 ) 进行身份验证的身份验证阶段 与其他两种隧道技术 EAP 方法不同,EAP-FAST 提供内部方法和外部方法之间的加密绑定, 防止特殊等级的中间人攻击 ( 攻击者会劫持有效用户的连接 ) 4-21

170 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 EAP-FAST 配置 EAP-FAST 设置 验证服务器身份 (Validate Server Identity) - 启用服务器证书验证 启用该功能为管理实用工具引入了两个额外对话框, 向网络接入管理器配置文件编辑器任务列表添加了其他 证书 窗格 启用快速重连 (Enable Fast Reconnec) - 启用会话恢复 恢复 EAP-FAST 中身份验证会话的两种机制包括替代内部身份验证的用户授权 PAC, 以及允许简短外部 TLS 握手的 TLS 会话恢复 该 启用快速重连 (Enable Fast Reconnect) 参数启用或禁用两种机制 身份验证器决定使用哪个机制 计算机 PAC 提供简短 TLS 握手, 并省略了内部身份验证 通过启用 / 禁用 PAC 参数来处理该控制 使用智能卡时禁用 (Disable when using a Smart Card) 选项仅可用于用户连接授权 基于凭证源的内部方法 - 使用密码或证书启用身份验证 使用密码进行 EAP-MSCHAPv2 或 EAP-GTC 身份验证 EAP-MSCHAPv2 提供相互身份验证, 但在身份验证服务器前, 它会对客户端进行身份验证 如果想要以首先被验证的服务器进行相互身份验证, 仅针对身份验证调配配置 EAP-FAST, 并验证服务器证书 使用基于 NT 散列密码的质询 - 响应方法, 需要在身份验证器的数据库中保存明文密码或至少 NT 散列密码 由于密码在 EAP-GTC 内以明文形式传递至身份验证器, 您可以使用散列 ( 或以不可逆方式加密 ) 密码使用该协议对数据库进行身份验证 如果使用基于密码的内部方法, 可用其他选项允许未经身份验证的 PAC 调配 使用证书进行身份验证 - 使用证书确定以下身份验证条件 : 请求时, 以明文发送客户端证书, 在隧道内仅发送客户端证书, 或在隧道中使用 EAP-TLS 发送客户端证书 使用令牌和 EAP-GTC 进行身份验证 使用 PAC - 您可以为 EAP-FAST 身份验证指定使用 PAC PAC 为分配至客户端用于优化网络身份验证的凭证 通常会使用 PAC 选项, 因为大多数验证服务器将 PAC 用于 EAP-FAST 删除此选项之前, 验证您的验证服务器未将 PAC 用于 EAP-FAST; 否则, 客户端身份验证尝试不会成功 如果您的验证服务器支持经身份验证的 PAC 调配, 我们建议您禁用未经身份验证的调配 未经身份验证的调配不会使服务器的证书生效, 从而允许欺诈身份验证器加载字典攻击 通过选择 PAC 文件 (PAC Files) 窗格并点击添加 (Add), 您可以手动提供一个或多个用于分配和身份验证的具体 PAC 文件 还可以突出显示 PAC 文件, 并点击删除 (Remove), 以从列表中删除 PAC 文件 密码保护 - 如果因密码保护而导出 PAC, 则选中密码保护 (Password Protected) 复选框并提供与以 PAC 加密的密码相匹配的密码 4-22

171 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 配置 LEAP 设置 LEAP ( 轻量级 EAP) 支持无线网络 它由思科开发, 并基于可扩展鉴权协议 (EAP) 架构, 从而创建比 WEP 更安全的协议 定义网络凭证 配置用户凭证 LEAP 容易受到字典攻击, 除非您使用强密码并定期更换密码 思科建议您使用 EAP-FAST PEAP 或 EAP-TLS, 这些身份验证方法不易受到字典攻击 有关 LEAP 安全问题的详细信息, 请参阅 仅可用于用户身份验证的 LEAP 设置 : 扩展退出后的用户连接 - 仅用于用户身份验证, 在用户退出时保持连接打开 如果同一用户再次登录, 网络连接仍将有效 在 网络 (Networks) > 凭证 (Credentials) 窗格中, 指定是否使用用户和 / 或计算机凭证, 并对信任服务器验证规则进行配置 配置用户凭证 配置计算机凭证 配置受信任服务器验证规则 在 凭证 (Credentials) 窗格, 可以指定所需的凭证用以对关联网络进行身份验证 ( 请参阅图 4-8) 4-23

172 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 图 4-8 EAP-TLS 用户凭证 (User Credentials) 窗格 步骤 1 您必须为保护身份模式确定用户身份 网络接入管理器支持以下身份占位符模式 : [username] - 指定用户名 如果用户输入 username@domain 或 domain\username, 则去掉域名部分 [raw] - 指定用户名, 正如用户所输入的用户名 [domain] - 指定用户 PC 的域名 对于用户连接, 在使用 [username] 和 [domain] 占位符模式时, 应用以下条件 : 如果客户端证书用于身份验证, 则从不同的 X509 证书属性为 [username] 和 [password] 获取占位符值 根据首次匹配, 按以下所示顺序对属性进行分析 例如, 如果用户身份验证的身份为 usera@cisco.com ( 其中 username=usera 和 domain=cisco.com), 计算机身份验证的身份为 hosta.cisco.com ( 其中 username=hosta 和 domain=cisco.com), 进行以下属性分析 : 基于证书的用户身份验证 : SubjectAlternativeName: UPN = usera@cisco.com Subject =.../CN=userA@cisco.com/... Subject = usera@cisco.com 4-24

173 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 Subject =.../CN=userA/DC=cisco/DC=com/... Subject = usera (no domain) 基于证书的计算机身份验证 : SubjectAlternativeName: DNS = hosta.cisco.com Subject =.../DC=hostA.cisco.com/... Subject =.../CN=hostA.cisco.com/... Subject = hosta.cisco.com 如果凭证源是最终用户, 从用户输入的信息中获取占位符值 如果从操作系统获取凭证, 则从登录信息中获得占位符值 如果凭证为静态, 则不应使用任何占位符 还未进行协商的会话将获得无完整性保护或身份验证的明文身份请求和响应 将对这些会话进行监听和数据包修改 典型的未受保护的身份模式如下 : anonymous@[domain] - 通常用于隧道方法中, 当以明文形式发送值时, 隐藏用户身份 实际用户身份在内部方法中以受保护身份予以提供 [username]@[domain] - 针对非隧道方法 以明文形式发送未受保护的身份 如果最初的明文身份请求或响应被篡改, 则 TLS 会话建立后, 服务器可能会发现其无法验证身份 例如, 用户 ID 可能无效或不在 EAP 服务器处理的范围内 受保护的身份以不同方式显示明文身份 为保护用户 ID 不受监听, 明文身份可能仅提供足够信息, 启用到正确范围的身份验证请求路由 典型的受保护的身份模式如下 : [username]@[domain] 用作用户身份的实际字符串 ( 无占位符 ) EAP 对话可能涉及多个 EAP 身份验证方法, 对每个此类身份验证要求的身份可能不同 ( 如用户身份验证之后的计算机身份验证 ) 例如, 对等机最初可能要求 nouser@cisco.com 的身份, 以将身份验证请求路由至 cisco.com EAP 服务器 然而, 对 TLS 会话进行协商后, 对等机可能要求 johndoe@cisco.com 的身份 因此, 即使已通过用户身份提供保护, 目标范围可能并非必然匹配, 除非对话在本地验证服务器上终止 步骤 2 进一步提供用户凭证信息 : 使用单点登录凭证 (Use Single Sign On Credentials) - 从操作系统的登录信息获取凭证 如果登录凭证无效, 网络接入管理器暂时 ( 直至下次登录 ) 切换, 并通过 GUI 提示用户提供凭证 使用静态凭证 (Use Static Credentials) - 从该配置文件编辑器提供的网络配置文件中获取用户凭证 如果静态凭证无效, 在新配置加载前, 网络接入管理器不会再次使用凭证 凭证提示 - 通过 AnyConnect GUI 从最终用户处获取凭证, 如下所示 : 永久记住 (Remember Forever) - 永久记住凭证 如果所记住的凭证失效, 会再次提示用户提供凭证 在文件中保存凭证, 并使用本地计算机密码进行加密 用户登录时记住凭证 (Remember while User is Logged On) - 用户退出前, 会一直记住凭证 如果所记住的凭证失效, 会再次提示用户提供凭证 从不记住 (Never Remember) - 从不记住凭证 网络接入管理器每次会向用户提示其身份验证所需的凭证信息 4-25

174 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 步骤 3 需要证书时, 确定使用哪个证书源进行身份验证 : 步骤 4 智能卡或操作系统证书 (Smart Card or OS certificates) - 网络接入管理器使用在操作系统证书存储区或智能卡上找到的证书 仅智能卡证书 (Smart Card certificates only) - 网络接入管理器仅使用智能卡上找到的证书 在 记住智能卡 PIN 码 (Remember Smart Card Pin) 参数中, 确定网络接入管理器需要记住用于从智能卡上检索证书的 PIN 码的时长 请参阅可用选项的第 2 步 PIN 的保存时间应不长于证书本身的保存时间 部分智能卡可能比其他智能卡需要更长的连接时间, 取决于智能卡芯片和驱动器 ( 即加密运营商 [CSP] 和密钥保存供应商 [KSP]) 您可能需要增大连接超时时长, 使网络有足够时间执行基于智能卡的身份验证 配置计算机凭证 通过 凭证 (Credentials) 面板, 您可以指定所需的计算机凭证 ( 请参阅图 4-9) 4-26

175 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 图 4-9 计算机凭证 步骤 1 您必须具有用于 受保护身份模式 (Protected Identity Pattern) 的计算机身份 网络接入管理器支持以下身份占位符模式 : [username] - 指定用户名 如果用户输入 username@domain 或 domain\username, 则去掉域名部分 [raw] - 指定用户名, 正如用户所输入的用户名 [domain] - 指定用户 PC 的域名 对于计算机连接, 使用 [username] 和 [domain] 占位符时, 应用以下条件 : 如果客户端证书用于身份验证, 则从不同的 X509 证书属性为 [username] 和 [password] 获取占位符值 根据首次匹配, 按以下所示顺序对属性进行分析 例如, 如果用户身份验证的身份为 usera@cisco.com ( 其中 username=usera 和 domain=cisco.com), 计算机身份验证的身份为 hosta.cisco.com ( 其中 username=hosta 和 domain=cisco.com), 进行以下属性分析 : 基于证书的用户身份验证 : SubjectAlternativeName: UPN = usera@cisco.com Subject =.../CN=userA@cisco.com/

176 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 Subject = usera@cisco.com Subject =.../CN=userA/DC=cisco/DC=com/... Subject = usera (no domain) 基于证书的计算机身份验证 : SubjectAlternativeName: DNS = hosta.cisco.com Subject =.../DC=hostA.cisco.com/... Subject =.../CN=hostA.cisco.com/... Subject = hosta.cisco.com 如果客户端证书未用于身份验证, 则从操作系统获取凭证, 且 [username] 占位符表示分配的计算机名称 还未进行协商的会话将获得无完整性保护或身份验证的明文身份请求和响应 将对这些会话进行监听和数据包修改 典型的未受保护的计算机身份模式如下 : host/anonymous@[domain] 作为计算机身份发送的实际字符串 ( 无占位符 ) 受保护的身份以不同方式显示明文身份 为保护用户 ID 不受监听, 明文身份可能仅提供足够信息, 启用到正确范围的身份验证请求路由 典型的受保护的计算机身份模式如下 : host/[username]@[domain] 用作用户身份的实际字符串 ( 无占位符 ) EAP 对话可能涉及多个 EAP 身份验证方法, 对每个此类身份验证要求的身份可能不同 ( 如用户身份验证之后的计算机身份验证 ) 例如, 对等机最初可能要求 nouser@cisco.com 的身份, 以将身份验证请求路由至 cisco.com EAP 服务器 然而, 对 TLS 会话进行协商后, 对等机可能要求 johndoe@cisco.com 的身份 因此, 即使已通过用户身份提供保护, 目标范围可能并非必然匹配, 除非对话在本地验证服务器上终止 步骤 2 进一步提供计算机凭证信息 : 使用计算机凭证 (Use Machine Credentials) - 从操作系统获取凭证 使用静态凭证 (Use Static Credentials) - 如果您选择使用静态凭证, 可以指定要在部署文件中发送的实际静态密码 静态凭证不适用于基于证书的身份验证 配置受信任服务器验证规则 当为 EAP 方法配置 验证服务器身份 (Validate Server Identity) 选项时, 启用 证书 (Certificate) 面板, 以允许您为证书服务器或认证中心配置验证规则 验证的结果决定了证书服务器或认证中心是否可信 要定义证书服务器验证规则, 请执行以下步骤 : 步骤 1 步骤 2 当证书字段和匹配 (Certificate Field and the Match) 列出现可选设置时, 点击下拉箭头并高亮显示所需的设置 在 值 (Value) 字段中输入一个值 步骤 3 根据规则, 点击添加 (Add) 步骤 4 在 受信任认证中心 (Certificate Trusted Authority) 部分, 选择以下选项之一 : 4-28

177 第 4 章 配置网络接入管理器 配置网络接入管理器配置文件 信任安装于操作系统上的任何根认证中心 (CA) (Trust any Root Certificate Authority [CA] Installed on the OS) - 如果选择, 则仅本地计算机或证书存储区会进行服务器证书链接验证 包括根认证中心 (CA) 证书 (Include Root Certificate Authority [CA] Certificates) 如果选择 包括根认证中心 (CA) 证书 (Include Root Certificate Authority [CA] Certificates), 您必须点击添加 (Add) 将 CA 证书导入配置 网络组窗口 在 网络组 (Network Groups) 窗口, 将网络连接指派到特定组 ( 请参阅图 4-10) 将连接分组会提供多种优势 : 在尝试建立连接时改善用户体验 配置多个隐藏网络时, 客户端按定义的顺序遍历隐藏网络列表, 直到成功建立连接 在这些情况下, 组用于大幅减少建立连接所需的时间 简化配置连接的管理 如果您想要并允许在公司担任多个职位的用户 ( 或经常接入同一区域的用户 ) 在组内定制网络, 则该优势可允许您将管理员网络与用户网络分隔, 使可选网络列表更易于管理 锁定被定义为分配数据包的一部分的网络, 防止用户编辑配置设置或删除网络配置文件 您可以将网络定义为全局网络 在执行此操作时, 它将出现在 全局网络 (Global Networks) 部分 该部分分为有线网络类型和无线网络类型 您在此类网络中仅能执行排列顺序编辑 所有非全局网络必须存在于组中 在默认情况下创建了一个组, 如果所有网络为全局网络, 则用户可以删除该组 4-29

178 配置网络接入管理器配置文件 第 4 章 配置网络接入管理器 图 4-10 网络组 (Network Groups) 窗口 步骤 1 在下拉列表中选择一个组 步骤 2 选择创建网络 (Create networks), 允许最终用户在该组创建网络 部署时, 如果您取消选中该选项, 网络接入管理器会从该组中删除任何由用户创建的网络, 强制用户在另一组中重新输入网络配置 步骤 3 选择参阅扫描列表 (See scan list), 允许最终用户在使用 AnyConnect GUI 将组选为活动组时查看扫描列表 或者, 清除复选框, 限制用户查看扫描列表 例如, 如果您要阻止用户意外连接至相邻设备, 则应限制扫描列表访问 对每组应用此类设置 步骤 4 使用右箭头和左箭头插入和删除来自 组 (Group) 下拉列表中所选组的网络 如果网络从当前组中移出, 则放入默认组中 编辑默认组时, 不能从中移出网络 ( 使用 > 按钮 ) 在给定网络中, 每个网络的显示名称必须是唯一的 ; 因此, 任何一组也不能包含拥有同一显示名称的两个或多个网络 步骤 5 使用向上和向下箭头更改组内的网络优先顺序 4-30

179 5 第章 配置 HostScan AnyConnect 状态模块为 AnyConnect 安全移动客户端提供识别主机上安装的操作系统 防病毒软件 反间谍软件和防火墙软件的功能 HostScan 应用作为状态模块的组件之一, 用于收集这些信息 在自适应安全设备 (ASA) 中, 您可以创建用于评估终端属性的策略, 这些属性包括操作系统 IP 地址 册表项 本地证书和文件名 根据策略的评估结果, 您可以控制允许哪些主机与安全设备建立远程接入连接 从 AnyConnect 3.0 开始, HostScan 程序包成为 AnyConnect 安全移动客户端和思科安全桌面 (CSD) 的共享组件 过去, 只有通过安装 CSD, 包括 HostScan 程序包在内的几个组件才可用 从 CSD 中分离出 HostScan 程序包的目的在于, 支持您比之前更频繁地更新 HostScan 支持图表 HostScan 支持图表包含用于分配动态访问策略 (DAP) 的防病毒软件 反间谍软件和防火墙应用的产品名称和版本信息 HostScan 程序包包含 HostScan 应用 HostScan 支持图表以及其他组件 独立 HostScan 程序包与随状态模块一起提供的 HostScan 程序包拥有相同功能 我们提供独立 HostScan 程序包的目的在于让您轻松更新 HostScan 支持图表 现在, HostScan 程序包通过三种方式提供 : 随 AnyConnect 状态模块提供 随 CSD 提供或作为独立程序包提供 有两种类型的 AnyConnect 状态模块 : 一种是随 AnyConnect 安装由 ASA 下推的版本, 另一种是作为预部署模块配置的版本 预部署模块可以在终端与 ASA 建立初始连接之前安装在终端上 除了识别安装在终端上的操作系统 防病毒软件 反间谍软件和防火墙软件以外, HostScan 程序包还提供用于执行评估 识别按键记录器和检测终端上所运行主机仿真和虚拟机的组件 按键记录器检测 主机仿真和虚拟机检测以前也是 CSD 的功能, 现在则被纳入 HostScan 程序包中 但 HostScan 程序包仍无法替代 CSD 如果客户想使用缓存清除或安全库功能, 除了 HostScan 程序包外, 还需要安装和启用 CSD 请参阅 在 CSD 配置指南中了解安全库功能 您可以使用 ASA 的自适应安全设备管理器 (ASDM) 或命令行界面来安装 卸载 启用和禁用 HostScan 您可以使用 ASDM 上的安全桌面管理器工具来配置策略 要使用状态评估和 AnyConnect 遥测模块, 需要在主机上安装 HostScan 本章包含以下小节 : 第 5-2 页的 HostScan 工作流程 第 5-2 页的随 AnyConnect 状态模块启用的功能 第 5-9 页的 AnyConnect 状态模块相关项和系统要求 第 5-10 页的 HostScan 程序包 第 5-13 页的在 ASA 上安装并启用 HostScan 第 5-12 页的部署 AnyConnect 状态模块和 HostScan 5-1

180 HostScan 工作流程 第 5 章 配置 HostScan 第 5-15 页的 HostScan 和 CSD 升级和降级 第 5-16 页的确定 ASA 上启用的 HostScan 映像 第 5-16 页的卸载 HostScan 第 5-17 页的 HostScan 日志 第 5-18 页的在 DAP 中使用 BIOS 序列号 HostScan 工作流程 HostScan 与 ASA 相互配合, 按以下所述工作流程保护公司网络 : 1. 远程设备尝试与 ASA 建立 AnyConnect 客户端会话 2. ASA 将 HostScan 下载到终端上, 确保 ASA 和终端使用相同版本的 HostScan 为了匹配 ASA 上的 HostScan 版本, 可以升级或降级终端上的 HostScan 版本 3. 登录前评估旨在检查终端的以下项目 : 操作系统 您指定的任何文件是否存在 您指定的任何册表项是否存在 此检查仅适用于运行 Microsoft Windows 的计算机 您指定的任何数字证书是否存在 此检查同样仅适用于运行 Microsoft Windows 的计算机 IPv4 或 IPv6 地址是否处于您指定的范围内 4. 当终端进行登录前评估时, 主机扫描功能会收集防病毒软件 防火墙和反间谍软件的版本信息 5. 根据登录前评估的结果, 将出现以下情形之一 : 终端属性不符合登录前评估的要求, 终端上会显示 登录被拒绝 (Login Denied) 消息 在这种情况下, ASA 和终端之间的交互将停止 终端属性符合登录前评估的要求 登录前评估为终端分配一个登录前策略名称, 并向 ASA 报告该登录前策略名称 在这种情况下, ASA 和终端之间的交互将继续 6. 根据评估后为远程计算机分配的策略的配置, HostScan 检查远程计算机的按键记录器和主机仿真 7. 如果属于保修范围, 且您拥有高级终端评估许可证, 则进行防病毒软件 防火墙或反间谍软件修复 8. 用户登录 9. 通常, ASA 使用 3. 中收集的身份验证数据和 4. 中收集的任何已配置终端属性标准 ( 可能包含策略值和 HostScan 结果值等 ), 将动态访问策略应用于会话 10. 用户会话终止后, HostScan 退出, 缓存清理器执行清理功能 随 AnyConnect 状态模块启用的功能 登录前评估 登录前策略 按键记录器检测 5-2

181 第 5 章 配置 HostScan 随 AnyConnect 状态模块启用的功能 主机仿真检测 缓存清理器 HostScan 与动态访问策略相集成 登录前评估 该评估在用户连接至 ASA 之后, 用户登录之前进行 该评估可以检查远程设备上的文件 数字证书 操作系统 IP 地址以及 Microsoft Windows 册表项 作为 HostScan 的管理员界面, 安全桌面管理器为简化评估模块的配置提供了一个图形序列编辑器 配置评估模块时, HostScan 管理员创建称为序列的节点分支 每个序列以 开始 (Start) 节点开始, 随后是终端检查 检查结果决定是执行另一项终端检查, 还是以末端节点终止该序列 末端节点确定是否显示 登录被拒绝 (Login Denied) 消息, 是否为设备分配策略, 或是否执行称为 子序列 的第二组检查 子序列是序列的延续, 通常由多项终端检查和一个末端节点构成 该功能对以下情况有用 : 在部分情况下重复使用检查序列 使用子序列名称创建您想要进行记录且具有总体目标的条件组 限制图形序列编辑器占据的水平空间 图 5-1 已完成评估的示例 登录前策略 在图形序列编辑器中配置的评估检查的结果 ( 图 5-1), 确定该评估的结果是分配一项特定策略还是拒绝远程接入连接 5-3

182 随 AnyConnect 状态模块启用的功能 第 5 章 配置 HostScan 创建每项策略时, 安全桌面管理器都会添加一个按该策略命名的菜单 每个策略菜单允许您为该策略分配唯一设置 这些设置确定是否将按键记录器检测 主机仿真检测或缓存清理器安装在与分配给该策略的标准匹配的远程设备上 通常, 管理员会将这些模块分配给非公司计算机, 以防止会话结束后访问公司数据和文件 有关配置 HostScan 和策略的完整讨论, 请参阅 Cisco ASA 5500 系列管理员思科安全桌面配置指南 ( 版本 3.6) 的以下章节 : 配置 HostScan 教程 : 分配策略标准 详细说明 : 分配策略标准 图 5-2 策略 按键记录器检测 意事项 本节介绍一项已经弃用的功能 思科于 2012 年 11 月 20 日停止了按键记录器检测 (KSL) 的开发 有关详细信息, 请参阅弃用字段通知 安全桌面 ( 库 ) 缓存清理器 按键记录器检测和主机仿真检测功能已弃用 您可以配置所选策略, 对记录用户所输入按键操作的进程或模块进行扫描, 如果出现可疑按键记录应用, 则拒绝 VPN 访问 默认情况下, 每项策略的按键记录器检测均禁用 您可以使用安全桌面管理器启用或禁用按键记录器检测 您可以指定安全的按键记录器, 或允许远程用户以交互方式接受扫描程序确定为在远程计算机上运行缓存清理器或 HostScan 的条件的按键记录器 5-4

183 第 5 章 配置 HostScan 随 AnyConnect 状态模块启用的功能 如果启用, 按键记录器检测程序会随缓存清理器或 HostScan 一起下载到远程计算机上 下载后, 按键记录器检测程序仅在操作系统为 Windows 且用户登录拥有管理员权限的情况下才运行 相关模块仅在扫描结果正常的情况下才运行, 或仅在您为用户分配管理控制权限且用户接受该扫描识别的应用时才运行 只要最终用户以管理员权限登录, 则按键记录器检测可同时适用于用户模式和核心模式记录器 按键记录器检测只能在 32 位 Microsoft Windows 操作系统上运行 请参阅第 5-5 页的 支持按键记录器检测和主机仿真检测的操作系统 部分 按键记录器检测可能无法检测每个潜在的恶意按键记录器 它无法检测硬件按键记录设备 主机仿真检测 意事项 本节介绍一项已经弃用的功能 思科于 2012 年 11 月 20 日停止了主机仿真检测的开发 有关详细信息, 请参阅弃用字段通知 安全桌面 ( 库 ) 缓存清理器 按键记录器检测和主机仿真检测功能已弃用 作为策略的另一项功能, 主机仿真检测确定远程 Microsoft Windows 操作系统是否在通过虚拟化软件运行 您可以使用安全桌面管理器启用或禁用此功能, 如果存在主机仿真程序则拒绝访问, 或向用户报告检测结果, 允许用户决定是继续还是终止操作 默认情况下, 每项策略的主机仿真检测均禁用 如果启用, 主机仿真检测程序会随安全桌面 缓存清理器或 HostScan 一起下载到远程计算机上 下载后, 如果进行了相关配置, 则主机仿真检测随按键记录器检测一起运行 如果满足以下条件, 则运行相关模块 : 主机不通过仿真程序 ( 或虚拟化软件 ) 运行 未将其配置为始终拒绝访问, 且用户接受所检测的主机仿真程序 请参阅第 5-5 页的 支持按键记录器检测和主机仿真检测的操作系统 部分 支持按键记录器检测和主机仿真检测的操作系统 按键记录器检测在以下操作系统上运行 : Windows 7 x86 (32 位 ) Windows Vista SP1 和 SP2 x86 (32 位 ) Windows XP SP3 x86 (32 位 ) 主机仿真检测在以下操作系统上运行 : Windows 7 x86 (32 位 ) 和 x64 (64 位 ) Windows Vista SP1 和 SP2 x86 (32 位 ) 和 x64 (64 位 ) Windows XP SP3 x86 (32 位 ) 和 x64 (64 位 ) 5-5

184 随 AnyConnect 状态模块启用的功能 第 5 章 配置 HostScan 缓存清理器 意事项 本节介绍一项已经弃用的功能 思科于 2012 年 11 月 20 日停止了缓存清理器的开发 有关详细信息, 请参阅弃用字段通知 安全桌面 ( 库 ) 缓存清理器 按键记录器检测和主机仿真检测功能已弃用 在无客户端 SSL VPN 会话结束时或通过 Web 启动 AnyConnect 客户端会话后, 缓存清理器会尝试清除浏览器缓存中的信息 该信息包括输入的密码 自动完成的文本 浏览器缓存的文件 会话期间的浏览器配置更改和 Cookie 缓存清理器是安全桌面 ( 库 ) 的替代方案 其功能更有限, 但具有支持更多操作系统的灵活性 缓存清理器可在 Microsoft Windows Apple Mac OS 和 Linux 系统上运行 有关详细系统要求, 请参阅思科安全桌面版本说明 以下是缓存清理器部署完成后终端尝试创建无客户端 SSL VPN 连接或尝试使用网络启动功能来启动 AnyConnect 的典型事件顺序 : 步骤 1 用户在浏览器中输入 URL 后, 终端连接至 ASA 步骤 2 步骤 3 步骤 4 步骤 5 Hostscan 执行评估 如果终端通过了评估, 则开始 AnyConnect 身份验证 用户可以输入密码或使用证书进行身份验证 对于在未启用清理当前会话缓存并清理全部缓存 ( 仅 IE) (Clean the whole cache in addition to the current session cache [IE only]) 情况下运行 Internet Explorer 的用户, 或运行 Safari 或 Firefox 的用户, 缓存清理器会在用户进行身份验证后约 1 分钟拍摄浏览器缓存快照 用户工作时, 浏览器会缓存信息 步骤 6 当用户退出 VPN 会话时 : 对于在启用清理当前会话缓存并清理全部缓存 ( 仅 IE)(Clean the whole cache in addition to the current session cache [IE only]) 情况下运行 Internet Explorer 的用户, 缓存清理器会尝试删除浏览器的全部缓存 对于在未启用清理当前会话缓存并清理全部缓存 ( 仅 IE)(Clean the whole cache in addition to the current session cache [IE only]) 情况下运行 Internet Explorer 的用户, 或运行 Safari 或 Firefox 的用户, 缓存清理器会尝试删除浏览器的所有缓存, 然后恢复其拍摄的缓存快照 为了防止恢复计算机上的任何敏感信息, 我们建议您在会话结束后手动清理浏览器缓存, 并关闭浏览器 我们建议配置缓存清理器时启用清理当前会话缓存并清理全部缓存 ( 仅 IE) (Clean the whole cache in addition to the current session cache [IE only]) 选项 HostScan HostScan 是在用户连接至 ASA 后且在用户登录之前安装于远程设备上的一个程序包 HostScan 由基本 HostScan 模块 终端评估模块和高级终端评估模块基于 CSD 管理员设置的配置任意组合而成 HostScan 可在 Microsoft Windows Apple Mac OS X 和 Linux 上运行 有关详细要求, 请参阅第 5-10 页的系统要求 5-6

185 第 5 章 配置 HostScan 随 AnyConnect 状态模块启用的功能 HostScan 程序包捆绑于以下软件包中 : 思科安全桌面 (CSD) 如果启用 CSD, ASA 可以将 HostScan 程序包部署到终端上 AnyConnect 程序包 如果 AnyConnect 程序包配置为 HostScan 程序包且启用了 HostScan, 则 ASA 可以将 HostScan 程序包部署到终端上 预部署的状态模块 如果 HostScan 作为预部署状态模块的一部分安装在终端上, 但未在 ASA 上启用 HostScan 程序包, 当终端连接至 ASA 时, 终端上的 HostScan 程序包将不会执行终端评估 基本 HostScan 功能 终端评估 在建立思科无客户端 SSL VPN 或 AnyConnect 客户端会话的任何远程设备上, 当 ASA 上启用了 CSD 或 HostScan/CSD 时, HostScan 都会自动识别操作系统和服务包 您还可以对 HostScan 进行配置, 以使用安全桌面管理器检查终端的特定进程 文件 册表项 数字证书和 IP 地址 安全桌面管理器已与 ASA 上的自适应安全设备管理器 (ASDM) 集成 在完全建立隧道前, HostScan 会执行所有这些检查 从终端收集操作系统和服务包信息, 以及根据配置收集的进程 文件 册表项 数字证书和 IP 地址相关信息后, HostScan 将这些信息发送给 ASA, 以便 ASA 对公司拥有的计算机 个人计算机和公共计算机进行区分 这些信息也可用于评估 有关详细信息, 请参阅第 5-3 页的登录前评估 根据已配置的 DAP 终端标准, HostScan 还会自动返回以下其他值用于评估 : Microsoft Windows Mac OS 和 Linux 版本 运行 Microsoft Windows 的连接主机上的有效侦听端口 安装在连接主机上的 CSD 组件 Microsoft 知识库编号 (KB) 有关 DAP 和 Lua 表达的详细信息, 请参阅第 5-8 页的与动态访问策略相集成和 Cisco ASA 5500 系列管理员思科安全桌面配置指南的第 7 章 使用匹配标准配置动态访问策略 终端评估是一项 HostScan 扩展功能, 用于检查远程计算机上是否存在大量防病毒软件 反间谍软件应用 相关定义更新以及防火墙 在 ASA 为会话分配具体的动态访问策略 (DAP) 之前, 您可以根据需要使用该功能合并终端标准 有关 DAP 的详细信息, 请参阅 Cisco ASA 5500 系列管理员思科安全桌面配置指南的第 7 章 使用匹配标准配置动态访问策略 高级终端评估 - 防病毒软件 反间谍软件和防火墙修复 修复 购买安装于 ASA 上的高级终端评估许可证后, 您便可使用 HostScan 的以下高级功能 : 在 Windows Mac OS X 和 Linux 桌面上, 如果相应软件允许某个独立应用启动修复, 则高级终端评估可以尝试对防病毒软件 反间谍软件和个人防火墙保护的各个方面进行修复 防病毒软件 - 高级终端评估可以尝试修复防病毒软件的以下组件 : 强制文件系统保护 - 如果禁用了防病毒软件, 高级终端评估可以启用它 5-7

186 随 AnyConnect 状态模块启用的功能 第 5 章 配置 HostScan 强制病毒定义更新 - 如果在高级终端评估配置定义的数天内未更新防病毒定义, 高级终端评估可以尝试启动病毒定义更新 反间谍软件 - 如果在高级终端评估配置定义的数天内未更新防病毒定义, 高级终端评估可以尝试启动病毒定义更新 个人防火墙 - 如果未满足高级终端评估配置中定义的要求, 高级终端评估模块可以尝试重新配置防火墙设置和规则 可以启用或禁用防火墙 可以阻止或允许应用运行 可以阻止或打开端口 并非所有个人防火墙均支持该功能 如果最终用户禁用防病毒软件或个人防火墙, 则成功建立 VPN 连接后, 高级终端评估功能将尝试在约 60 秒内重新启用该应用 HostScan 支持图表 HostScan 支持图表包含您在动态访问策略中使用的防病毒软件 反间谍软件和防火墙应用的产品名称和版本信息 在此版本的 AnyConnect 安全移动客户端上, 可以从思科安全桌面 (CSD) 单独上传 HostScan 程序包 这表示, 您可以在不安装 CSD 的情况下部署 HostScan 功能, 且可以通过升级至最新的 HostScan 程序包来升级您的 HostScan 支持图表 您可以从 cisco.com 下载 HostScan 支持图表, 地址为 可以使用 Microsoft Excel Microsoft Excel 查看器或 OpenOffice 查看这些支持图表 Firefox Chrome 和 Safari 等浏览器可提供最佳下载体验 为 HostScan 配置防病毒软件应用 安装状态模块或 HostScan 程序包之前, 将您的防病毒软件配置到 白名单 或将以下 HostScan 应用归为安全例外项 防病毒软件应用可能会将这些应用的行为误判为恶意行为 cscan.exe ciscod.exe cstub.exe 与动态访问策略相集成 ASA 将 HostScan 功能集成到动态访问策略 (DAP) 中 根据配置, ASA 将一个或多个终端属性值与可选的 AAA 属性值结合使用, 作为分配 DAP 的条件 受终端 DAP 属性支持的 HostScan 功能包括操作系统检测 策略 基本 HostScan 结果和终端评估 要启用 HostScan 功能, 您必须在 ASA 上安装 AnyConnect 高级版许可证 5-8

187 第 5 章 配置 HostScan 状态模块和独立 HostScan 程序包之间的区别 作为管理员, 您可以指定单个属性或组合多个属性, 作为为会话分配 DAP 所需的条件 DAP 提供适用于终端 AAA 属性值级别的网络访问 当满足其所有配置的终端标准时, ASA 就会应用 DAP 有关如何使用 ASDM 在 ASA 上配置 DAP 的完整讨论, 请查找您所用 ASDM 版本的自适应安全设备管理器 (ASDM) 配置指南并阅读 配置动态访问策略 一章 状态模块和独立 HostScan 程序包之间的区别 AnyConnect 状态模块可以由 ASA 部署到终端, 也可以在终端与 ASA 建立初始连接之前使用预部署套件安装在终端上 状态模块包含 HostScan 程序包 评估 按键记录器检测 主机仿真检测和缓存清理器, 以及 HostScan 应用所需的其他模块 即使终端用户不是管理员, 部署状态模块也允许 HostScan 运行特权操作, 还允许其他 AnyConnect 模块开始使用 HostScan 独立 HostScan 程序包提供 HostScan 引擎 评估模块 按键记录器检测和主机仿真检测 AnyConnect 状态模块相关项和系统要求 AnyConnect 状态模块包含 HostScan 程序包和其他组件 相关项 含状态模块的 AnyConnect 移动客户端至少需要以下 ASA 组件 : ASA 8.4 ASDM 6.4 要使用这些 AnyConnect 功能, 需要安装状态模块 HostScan SCEP 身份验证 AnyConnect 遥测模块 HostScan CSD 和 AnyConnect 安全移动客户端的互操作性 意事项 如果您随 AnyConnect 安全移动客户端 ( 版本 3.0.x) 一起部署了 HostScan, 则 AnyConnect 安全移动客户端要求 HostScan 具有不低于它自身的版本号 如果您在 ASA 上启用了 3.5 或更早版本的思科安全桌面 (CSD), 并且未升级 HostScan 程序包以匹配或超越当前部署的 AnyConnect 安全移动客户端 ( 版本 3.0.x), 则评估将会失败, 且用户将无法建立 VPN 会话 即使终端上预部署了 AnyConnect 3.0.x 状态模块, 这种情况也会发生, 因为 ASA 会自动对终端上的 HostScan 程序包进行降级, 以匹配 ASA 上启用的 HostScan 程序包 AnyConnect 及更早版本不兼容任何版本的 HostScan 5-9

188 HostScan 程序包 第 5 章 配置 HostScan 系统要求 可以在以下任意平台上安装状态模块 : Windows XP (x86 版本和运行在 x64 系统上的 x86 版本 ) Windows Vista (x86 版本和运行在 x64 系统上的 x86 版本 ) Windows 7 (x86 版本和运行在 x64 系统上的 x86 版本 ) Mac OS X 和 10.9 (32 位版本和运行在 64 位系统上的 32 位版本 ) Red Hat Enterprise Linux 6.x (64 位 ) 和 Red Hat Enterprise Linux 5.x (32 位版本和运行在 64 位系统上的 32 位版本 ) HostScan 为 32 位应用, 需要在 64 位 Linux 操作系统上安装核心 32 位库 安装时, HostScan 不提供此类 32 位库 如果未提供, 则客户需要自行在终端上安装 32 位库 许可 以下是 AnyConnect 许可要求 : 要使用 HostScan 提供的所有功能, 包括基本 HostScan 终端评估和高级终端评估, 必须安装 AnyConnect 高级版许可证 高级终端评估许可证是修复所需的附加许可证 输入激活密钥以支持高级终端评估 高级终端评估包括所有的终端评估功能, 支持您尝试更新不兼容的计算机以满足版本要求 您可以使用 ASDM 激活密钥, 以支持高级终端评估 从思科获取该密钥的方式如下 : 步骤 1 步骤 2 选择配置 (Configuration) > 设备管理 (Device Management) > 许可 (Licensing) > 激活密钥 (Activation Key) 在新激活密钥 (New Activation Key) 字段中输入密钥 步骤 3 点击更新激活密钥 (Update Activation Key) 步骤 4 选择文件 (File) > 保存运行配置到闪存 (Save Running Configuration to Flash) 高级终端评估条目出现, 并且配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > HostScan 窗格 ( 该窗格仅在启用 CSD 的情况下可访问 ) 中的 HostScan 扩展 (HostScan Extensions) 区域中的 配置 (Configure) 按钮被激活 HostScan 程序包 您可以采用以下方式之一将 HostScan 程序包加载至 ASA: 您可以通过上传 AnyConnect 安全移动程序包 anyconnect-win-version-k9.pkg 来上传 HostScan 程序包 您可以通过上传思科安全桌面程序包 csd_version-k9.pkg 来上传 HostScan 程序包 5-10

189 第 5 章 配置 HostScan HostScan 程序包 您可以以独立程序包 hostscan-version-k9.pkg 形式上传 HostScan 程序包 表 5-1 您加载至 ASA 的 HostScan 程序包 文件 anyconnect-win-version-k9.pkg csd_version-k9.pkg hostscan-version-k9.pkg 说明 该程序包包含 Cisco AnyConnect 安全移动客户端的所有功能, 包括 hostscan-version-k9.pkg 文件 此文件包含所有的思科安全桌面功能, 包括 HostScan 软件以及 HostScan 支持图表 安全桌面 ( 库 ) 缓存清理器 按键记录器检测和主机仿真检测 此文件包含 HostScan 映像 HostScan 支持图表 评估模块 缓存清理器 按键记录器检测和主机仿真检测 将多个 HostScan 映像加载至 ASA 时, 启用哪个映像? HostScan 映像随 HostScan 程序包一起提供 可从独立 HostScan 程序包 完整 AnyConnect 安全移动客户端程序包和思科安全桌面部署至终端 根据您安装于 ASA 上的许可证, 您可能需要将所有这些程序包加载至您的 ASA 在这种情况下, ASA 启用您首先指定为 HostScan 映像的映像, 如果未指定, 则 ASA 从思科安全桌面上启用 HostScan 功能 请参阅第 5-13 页的 安装或升级 HostScan 部分 如果卸载 HostScan 程序包, 则 ASA 无法启用其 HostScan 映像 以下说明了加载超过一个 HostScan 程序包时 ASA 应分配哪个程序包 在这些条件下您上传独立 HostScan 程序包到 ASA 您将其指定为 HostScan 映像 您启用了 CSD/HostScan 您上传独立 HostScan 程序包到 ASA 您将其指定为 HostScan 映像 您上传 CSD 映像到 ASA 您启用了 CSD/HostScan 您上传 HostScan 映像到 ASA 您未启用它 您上传 CSD 映像到 ASA 您启用了 CSD/HostScan 您上传 AnyConnect 安全移动客户端程序包到 ASA 您将其指定为 HostScan 映像 ASA 分配此程序包 ASA 分配独立 HostScan 程序包 ASA 分配独立 HostScan 程序包 ASA 分配独立 HostScan 映像, 因为该映像未被卸载 ASA 分配来自该程序包的 HostScan 映像 5-11

190 部署 AnyConnect 状态模块和 HostScan 第 5 章 配置 HostScan 在这些条件下 您上传 AnyConnect 安全移动客户端程序包文件到 ASA 您未将其指定为 HostScan 映像 您已上传 HostScan 程序包或 CSD 程序包至 ASA 您启用了 CSD/HostScan ASA 分配此程序包 ASA 分配已安装的 HostScan 程序包或 CSD 程序包 ASA 不分配与该 AnyConnect 程序包相关的 HostScan 程序包 部署 AnyConnect 状态模块和 HostScan 状态模块和 HostScan 有两种不同的部署方案 预部署. 使用预部署方法, 您可以在终端尝试连接至 ASA 之前, 安装 AnyConnect 客户端和状态模块 预部署状态模块程序包包含可以用于收集状态属性的每个组件 库和支持图表, 以及提供第 5-2 页的 随 AnyConnect 状态模块启用的功能 部分中所述功能的应用 如果您将安装于 ASA 上相同版本的 AnyConnect 客户端和状态模块预部署至终端, 则当终端连接至 ASA 时, 不会从 ASA 下推出任何其他状态模块文件 网络部署. 使用网络部署方法, 当终端连接至 ASA 时, ASA 将 AnyConnect 客户端和状态模块下推至终端 为了尽可能快且高效地完成下载, ASA 仅下载基本的状态模块文件 终端再次连接时, 基本状态模块文件决定了执行终端评估所需的其他库或文件, 然后从 ASA 检索这些文件 例如, 状态模块可能会检索所有 Norton 杀毒软件的 HostScan 支持图表, 因为终端上运行了某个版本的 Norton 杀毒软件 状态模块检索了其所需的其他文件后, 它会执行终端评估并将属性转发至 ASA 如果终端属性足以满足动态访问策略 (DAP) 规则, 则 ASA 允许终端进行连接 由于满足了 DAP, 可对 ASA 进行配置, 以确定是否将状态模块的剩余部分下推至终端 如果不希望以网络部署方式将整个状态模块部署至终端, 则您可以执行有限的网络部署 在此情况下, 仅将一个状态文件下载到终端, 且该文件仅需要执行终端评估所需的 HostScan 库 在此方案中, 从 ASA 下载文件至终端所需的时间非常短, 但您将会失去执行高级终端评估的能力, 以及执行防病毒 反间谍或防火墙修复任务的能力 预部署 AnyConnect 状态模块 预部署状态模块时, 在 AnyConnect 客户端初始连接至 ASA 前, 将该模块安装于终端 在安装状态模块之前, 您需要在终端上安装 AnyConnect 安全移动客户端 有关使用网络部署和预部署方法安装 AnyConnect 安全移动客户端和状态模块的说明, 请参阅第 2 章, 部署 AnyConnect 客户端配置文件 表 5-2 列出了状态模块预部署套件 : 表 5-2 状态模块预部署套件 文件 Windows Linux Mac OS X 说明 anyconnect-posture-win-version-pre-deploy-k9.msi anyconnect-linux-version-posture-k9.tar.gz anyconnect-macosx-posture-i386-version-i386-k9.dmg 5-12

191 第 5 章 配置 HostScan 在 ASA 上安装并启用 HostScan 在 ASA 上安装并启用 HostScan 以下任务介绍了在 ASA 上安装和启用 HostScan 的操作 : 下载最新的 HostScan 引擎更新 安装或升级 HostScan 在 ASA 上启用或禁用 HostScan 卸载 HostScan 将 AnyConnect 状态模块分配至组策略 下载最新的 HostScan 引擎更新 要下载最新的 Cisco HostScan 引擎更新, 您必须是 Cisco.com 的册用户 步骤 1 点击此链接访问 Cisco VPN 客户端工具的软件下载区 : &release=Engine%20Updates&relind=AVAILABLE&rellifecycle=&reltype=latest 步骤 2 展开产品目录树中的最新版本 (Latest Releases) 步骤 3 点击引擎更新 (Engine Updates) 步骤 4 在右列中查找最新版本的 hostscan_3.0.xxxx-k9.pkg, 并点击立即下载 (Download Now) 步骤 5 输入您的 cisco.com 凭证并点击登录 (Login) 步骤 6 点击继续下载 (Proceed with Download) 步骤 7 阅读最终用户许可协议, 然后点击同意 (Agree) 步骤 8 选择下载管理器选项, 并点击下载 (download) 链接进行下载 安装或升级 HostScan 采用该步骤上传或升级, 并在 ASA 上启用新的 HostScan 映像 使用映像启用 AnyConnect 的 HostScan 功能, 或为当前部署的思科安全桌面 (CSD) 升级 HostScan 支持图表 您可以在字段中指定一个独立 HostScan 程序包, 或 AnyConnect 安全移动客户端 3.0 或更高版本程序包 如果您之前上传了 CSD 映像到 ASA, 则您指定的 HostScan 映像将对该 CSD 程序包中提供的现有 HostScan 文件进行升级或降级 安装或升级 HostScan 后, 您无需重启安全设备 但是, 您必须退出并重启自适应安全设备管理器 (ASDM) 以访问 ASDM 上的安全桌面管理器工具 HostScan 需要 AnyConnect 安全移动客户端高级许可证 步骤 1 使用第 5-13 页的下载最新的 HostScan 引擎更新下载最新版本的 HostScan 程序包 5-13

192 在 ASA 上安装并启用 HostScan 第 5 章 配置 HostScan 您需要拥有一个 Cisco.com 帐户并登录该帐户以下载软件 步骤 2 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > HostScan 映像 (HostScan Image) ASDM 打开 HostScan 映像 (HostScan Image) 面板 ( 图 5-3) 图 5-3 HostScan 映像 面板 步骤 3 步骤 4 步骤 5 步骤 6 点击上传 (Upload), 准备从您的计算机上将 HostScan 程序包副本传输至 ASA 的驱动器 在 上传映像 (Upload Image) 对话框中, 点击浏览器本地文件 (Browse Local Files), 在本地计算机上搜索 HostScan 程序包 选择 hostscan_version.pkg 文件或在步骤 1 中下载的 anyconnect-win-version-k9.pkg 文件, 并点击选择 (Select) 您所选文件的路径显示在 本地文件路径 (Local File Path) 字段中, 而 闪存文件系统路径 (Flash File System Path) 字段显示的是 HostScan 程序包的目标路径 如果 ASA 有超过一个闪存盘, 您可以编辑 闪存文件系统路径 (Flash File System Path) 以指定另一个闪存盘 点击上传文件 (Upload File) ASDM 将文件副本传输至闪存卡 信息 (Information) 对话框显示以下消息 : 文件已成功上传至闪存盘 (File has been uploaded to flash successfully.) 步骤 7 点击确定 (OK) 步骤 8 在 使用上传的映像 (Use Uploaded Image) 对话框中, 点击确定 (OK) 使用您刚上传的 HostScan 程序包文件作为当前映像 步骤 9 如果尚未选中, 则请选中启用 HostScan/CSD (Enable HostScan/CSD) 步骤 10 点击应用 (Apply) 如果 ASA 上启用了 AnyConnect Essentials, 您将收到一则消息, 指明 HostScan 和 CSD 与之不兼容 您可以选择禁用 (Disable) 或保留 (Keep) AnyConnect Essentials 步骤 11 点击保存 (Save) 5-14

193 第 5 章 配置 HostScan HostScan 和 CSD 升级和降级 在 ASA 上启用或禁用 HostScan 首次使用 ASDM 上传或升级 HostScan 映像时, 作为该步骤的一部分, 需要启用该映像 请参阅第 5-13 页的 在 ASA 上安装并启用 HostScan 部分 否则, 要使用 ASDM 启用或禁用 HostScan 映像, 请遵循以下步骤 : 步骤 1 步骤 2 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > HostScan 映像 (HostScan Image) ASDM 打开 HostScan 映像 (HostScan Image) 面板 ( 图 5-3) 选中启用 HostScan/CSD (Enable HostScan/CSD) 启用 HostScan, 或取消选中启用 HostScan/CSD (Enable HostScan/CSD) 禁用 HostScan 步骤 3 点击应用 (Apply) 步骤 4 点击保存 (Save) 在 ASA 上启用或禁用 CSD 启用思科安全桌面 (CSD) 会通过闪存设备将 CSD 配置文件和 data.xml 加载到运行配置中 禁用 CSD 不会改变 CSD 配置 按以下操作使用 ASDM 启用或禁用 CSD: 步骤 1 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > 设置 (Setup) ASDM 打开 设置 (Setup) 窗格 ( 图 5-3) 安全桌面映像 (Secure Desktop Image) 字段显示了当前安装的映像 ( 及其版本 ) 启用安全桌面 (Enable Secure Desktop) 复选框显示 CSD 是否已启用 步骤 2 选中启用安全桌面 (Enable Secure Desktop) 启用 CSD, 或取消选中启用安全桌面 (Enable Secure Desktop) 禁用 CSD 步骤 3 关闭 ASDM 窗口显示以下消息 : 步骤 4 配置已修改 是否将运行配置保存至闪存? (The configuration has been modified. Do you want to save the running configuration to flash memory?) 点击保存 (Save) ASDM 保存配置并关闭 HostScan 和 CSD 升级和降级 无论是独立 HostScan 程序包 包含于 AnyConnect 安全移动客户端的程序包, 还是包含于思科安全桌面的程序包, ASA 均会自动将启用的 HostScan 程序包分配至终端 如果终端上安装了较低版本的 HostScan 程序包, 则对终端上的程序包进行升级 ; 如果终端有更新版本的 HostScan 程序包, 则对终端上的程序包进行降级 5-15

194 确定 ASA 上启用的 HostScan 映像 第 5 章 配置 HostScan 确定 ASA 上启用的 HostScan 映像 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > HostScan 映像 (HostScan Image) 如果 HostScan 映像 (HostScan Image) 位置字段中有指定的 HostScan 映像, 则 启用 HostScan/CSD (Enable HostScan/CSD) 框被选中, 该映像版本为 ASA 所使用的 HostScan 版本 如果 HostScan 映像 (HostScan Image) 字段为空, 且选中了 启用 HostScan/CSD (Enable HostScan/CSD) 框, 则选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) 安全桌面映像位置 (Secure Desktop Image Location) 字段中的 CSD 版本为 ASA 使用的 HostScan 版本 卸载 HostScan 卸载 HostScan 程序包 卸载 HostScan 程序包会将其从 ASDM 界面的视图中移除并防止 ASA 部署该程序包, 即使启用了 HostScan 或 CSD 也是如此 卸载 HostScan 不会从闪存盘上删除 HostScan 程序包 使用此步骤卸载安全设备上的 HostScan: 步骤 1 步骤 2 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > HostScan 映像 (HostScan Image) 在 HostScan 映像 (HostScan Image) 窗格上, 点击卸载 (Uninstall) ASDM 从 位置 (Location) 文本框中移除文本 步骤 3 点击保存 (Save) 从 ASA 上卸载 CSD 卸载思科安全桌面 (CSD) 会从闪存卡上的桌面目录中移除 CSD 配置文件 data.xml 如果您希望保留文件, 则在卸载 CSD 前使用另一个名称将之复制或下载到您的工作站 使用此步骤卸载安全设备上的 CSD: 步骤 1 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > 设置 (Setup) ASDM 打开 设置 (Setup) 窗格 ( 图 5-3) 步骤 2 点击卸载 (Uninstall) 确认窗口显示以下消息 : 是否要删除 disk0:/csd_<n>.<n>.*.pkg 和所有的 CSD 数据文件? (Do you want to delete disk0:/csd_<n>.<n>.*.pkg and all CSD data files?) 步骤 3 点击是 (Yes) ASDM 从 位置 (Location) 文本框中移除文本并移除 设置 (Setup) 下的 安全桌面管理器 (Secure Desktop Manager) 菜单选项 5-16

195 第 5 章 配置 HostScan HostScan 日志 步骤 4 关闭 ASDM 窗口显示以下消息 : 配置已修改 是否将运行配置保存至闪存? (The configuration has been modified. Do you want to save the running configuration to flash memory?) 步骤 5 点击保存 (Save) ASDM 保存配置并关闭 将 AnyConnect 状态模块分配至组策略 步骤 1 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 访问 (Network [Client] Access) > 组策略 (Group Policies) 步骤 2 步骤 3 步骤 4 步骤 5 在 组策略 (Group Policies) 面板中, 点击添加 (Add) 创建新的组策略, 或选择您想要分配至 HostScan 程序包的组策略, 并点击编辑 (Edit) 在 编辑内部组策略 (Edit Internal Group Policy) 面板中, 展开面板左侧的高级 (Advanced) 导航树并选择 AnyConnect 客户端 (AnyConnect Client) 取消选中 要下载 Inherit 的可选客户端模块 (Optional Client Modules to Download Inherit) 复选框 在 要下载的可选客户端模块 (Optional Client Modules to Download) 的下拉菜单中, 选中 AnyConnect 状态模块 (AnyConnect Posture Module) 并点击确定 (OK) 步骤 6 点击确定 (OK) HostScan 日志 HostScan 日志记录在 Windows 平台上的事件查看器, 以及非 Windows 平台上的系统日志 在事件查看器中, 所有日志均位于其各自的 Cisco AnyConnect 安全移动客户端状态 文件夹中 为所有的状态模块组件配置日志级别 默认情况下, 状况模块的组件记录严重级别为 错误 的事件 使用这些说明更改状态模块的所有组件的日志严重级别 状态模块在用户的主文件夹中安装了 cscan.log 文件 cscan.log 文件仅显示来自上次 VPN 会话的记录 每次用户连接到 ASA 时, HostScan 会以新日志数据覆盖此文件中的记录 要查看或更改状态日志级别 : 步骤 1 在 ASDM 界面上选择配置 (Configuration > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > 全局设置 (Global Settings) 全局设置 (Global Settings) 面板打开 5-17

196 在 DAP 中使用 BIOS 序列号 第 5 章 配置 HostScan 步骤 2 步骤 3 使用面板上的 日志级别定义 (Logging Level Definitions) 作为设置日志级别 (Logging Level) 的指南 点击全部应用 (Apply All), 将更改保存至运行配置 如果某个特定连接配置文件禁用了 HostScan, 系统将不会为该连接配置文件的用户生成 HostScan 日志 状态模块日志文件和位置 根据您的操作系统 权限级别和启动机制 ( 网络启动或 AnyConnect), 状态模块组件会输出最多 3 份日志 : cstub.log - 使用 AnyConnect 网络启动时, 捕获日志 libcsd.log - 由使用 HostScan API 的 AnyConnect 线程创建 根据日志级别配置, 可在该日志中加入调试记录 cscan.log - 由扫描可执行文件 (cscan.exe) 创建, 是有关状态和 HostScan 的主日志 根据日志级别配置, 可在该日志中加入调试记录 状态模块将这些日志文件保存在用户的主文件夹中 该位置取决于所使用的操作系统和 VPN 方法 如果需要, 思科技术支持中心 (TAC) 可使用这些日志文件调试问题 您不需要查看这些文件 如有需要, 思科 TAC 将要求您随 DART 捆绑包一起提供这些文件 DART 实用程序将收集所有需要的 AnyConnect 配置和日志文件, 并将其保存于压缩文件中, 供您随后发送至 TAC 有关 DART 的详细信息, 请参阅第 13-3 页的 使用 DART 收集故障排除信息 部分 在 DAP 中使用 BIOS 序列号 HostScan 可以检索主机的 BIOS 序列号 您可以使用动态访问策略 (DAP) 允许或阻止基于该 BIOS 序列号建立到 ASA 的 VPN 连接 5-18

197 第 5 章 配置 HostScan 在 DAP 中使用 BIOS 序列号 指定 BIOS 作为 DAP 终端属性 步骤 1 登录 ASDM 步骤 2 步骤 3 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 访问 (Network [Client] Access) 或无客户端 SSL VPN 访问 (Clientless SSL VPN Access) > 动态访问策略 (Dynamic Access Policies) 在 配置动态访问策略 (Configure Dynamic Access Policies) 面板中, 点击添加 (Add) 或编辑 (Edit) 将 BIOS 配置为 DAP 终端属性 步骤 4 在终端 ID 表右侧, 点击添加 (Add) 步骤 5 在 终端属性类型 (Endpoint Attribute Type) 字段中, 选择设备 (Device) 步骤 6 选中 BIOS 序列号 (BIOS Serial Number) 复选框, 选择 = ( 等号 ) 或!= ( 不等号 ), 并在 BIOS 序列号 (BIOS Serial Number) 字段中输入 BIOS 号 步骤 7 点击确定 (OK), 保存 终端属性 (Endpoint Attribute) 对话框中所做的更改 步骤 8 点击确定 (OK), 保存对 编辑动态访问策略 (Edit Dynamic Access Policy) 所做的更改 步骤 9 点击应用 (Apply), 保存对 动态访问策略 (Dynamic Access Policy) 所作的更改 步骤 10 点击保存 (Save) 如何获取 BIOS 序列号 以下资源介绍了在不同的终端上获取 BIOS 序列号的方法 Windows: Mac OS X: Linux: 使用以下命令 : /usr/bin/hal-get-property --udi /org/freedesktop/hal/devices/computer --key system.hardware.serial 5-19

198 在 DAP 中使用 BIOS 序列号 第 5 章 配置 HostScan 5-20

199 6 第章 配置网络安全 AnyConnect 网络安全模块为终端设备组件, 可将 HTTP 流量路由至 Cisco Cloud Web Security 扫描代理, 以便 Cisco Cloud Web Security 对其进行评估 Cisco Cloud Web Security 会对网页元素进行解构, 以便可以同时分析每个元素 例如, 如果特定网页结合了 HTTP Flash 和 Java 元素, 则会有多个独立的 scanlet 并行分析其中的每个元素 之后, Cisco Cloud Web Security 会根据 Cisco ScanCenter 管理门户中定义的安全策略放行良性或可接受的内容, 或终止恶意或不可接受的内容 这有助于防止 过度拦截 ( 因网页中存在少量不可接受的内容而限制整个网页 ) 或 拦截不足 ( 在网页中仍存在某些不可接受或可能有害的内容时允许整个网页 ) 的情况 Cisco Cloud Web Security 可在用户连接 / 断开公司网络时为其提供保护 借助遍布全球的众多 Cisco Cloud Web Security 扫描代理, 采用 AnyConnect 网络安全解决方案的用户可以最大限度地减少延迟, 在最快的响应时间内将其流量路由至 Cisco Cloud Web Security 扫描代理 您可以对 安全信任网络检测 (Secure Trusted Network Detection) 功能进行配置, 以识别公司 LAN 上的终端设备 如果启用此功能, 来自公司 LAN 的任何网络流量都将绕过 Cisco Cloud Web Security 扫描代理 此类流量的安全性会通过其他方法和位于公司 LAN 上的设备 ( 而非 Cisco Cloud Web Security) 进行管理 AnyConnect 网络安全模块的特性和功能使用 AnyConnect 网络安全客户端配置文件 ( 通过 AnyConnect 配置文件编辑器编辑 ) 进行配置 Cisco ScanCenter 是 Cisco Cloud Web Security 的管理门户 部分使用 Cisco ScanCenter 创建或配置的组件也会包含在 AnyConnect 网络安全客户端配置文件中 AnyConnect 网络安全客户端配置文件及其功能和配置方法在以下章节详细介绍 : 系统要求 许可要求 使用 ASA 时的 AnyConnect 网络安全模块安装步骤 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 创建 AnyConnect 网络安全客户端配置文件 在客户端配置文件中配置 Cisco Cloud Web Security 扫描代理 从网络扫描服务中排除终端流量 配置网络扫描服务首选项 配置身份验证和发送组成员身份至 Cisco Cloud Web Security 代理 网络安全客户端配置文件 使用独立编辑器创建网络安全客户端配置文件 6-1

200 系统要求 第 6 章 配置网络安全 配置网络安全的分隔排除策略 为网络安全客户端配置文件配置 Cisco ScanCenter 托管配置支持 关闭和启用 Cisco AnyConnect 网络安全代理您可以通过创建 AnyConnect 网络安全客户端配置文件启动 AnyConnect 网络安全模块配置流程 系统要求 AnyConnect 网络安全模块的系统要求列示如下 : AnyConnect 网络安全模块 ASA 和 ASDM 要求 AnyConnect 网络安全模块 网络安全模块支持以下操作系统 : Windows XP SP3 x86 (32 位 ) Windows Vista x86 (32 位 ) 或 x64 (64 位 ) Windows 7 x86 (32 位 ) 或 x64 (64 位 ) Mac OS X v10.6 x86 (32 位 ) 或 x64 (64 位 ) Mac OS X v10.7 x86 (32 位 ) 或 x64 (64 位 ) Mac OS X v10.8 x64 (64 位 ) ASA 和 ASDM 要求 具有网络安全模块的 AnyConnect 安全移动客户端所需 ASA 组件的最低版本为 : ASA 8.4(1) ASDM 6.4(0)104 系统限制 运行网络安全模块的用户不可同时运行 Anywhere Plus 安装网络安全模块前, 您需要删除 Anywhere Plus 许可要求 下列章节介绍了 AnyConnect 网络安全模块不同部署方法的许可要求 : 第 6-3 页的作为独立组件部署的网络安全模块 第 6-3 页的作为 AnyConnect 组件部署的网络安全模块 6-2

201 第 6 章 配置网络安全 IPv6 网络流量网络安全行为用户指南 作为独立组件部署的网络安全模块 您可以在无需安装 ASA 且无需启用 AnyConnect 安全移动客户端 VPN 功能的情况下部署网络安全模块, 受益于 Cisco Cloud Web Security 但是, 您需要获取 Cisco Cloud Web Security 许可证, 以及用于为漫游用户部署 AnyConnect 的 Cisco Cloud Web Security 安全移动许可证 使用仅带有网络安全模块的 AnyConnect 安全移动客户端时, 无需 AnyConnect Essentials 许可证或 AnyConnect Premium 许可证 作为 AnyConnect 组件部署的网络安全模块 AnyConnect 许可证 没有特定用于网络安全模块的 AnyConnect 许可证 网络安全模块将结合 AnyConnect Essentials 许可证或 AnyConnect Premium 许可证一起使用 Cisco Cloud Web Security 许可证 为使漫游用户获得 Cisco Cloud Web Security 的保护, 除了 Cisco Cloud Web Security 网页过滤和 / 或 Cisco Cloud Web Security 恶意软件扫描许可证外, 您还需要获取 Cisco Cloud Web Security 安全移动许可证 IPv6 网络流量网络安全行为用户指南 除非已指定 IPv6 地址 域名 地址范围或通配符, IPv6 网络流量将被发送至扫描代理, 由扫描代理执行 DNS 查找, 以确定是否存在与用户尝试连接的 URL 对应的 IPv4 地址 如果扫描代理找到 IPv4 地址, 则会使用该地址进行连接 如果未找到 IPv4 地址, 则会终止连接 如果希望所有 IPv6 流量绕过扫描代理, 您可以为所有 IPv6 流量添加此静态例外 ::/0 这意味着 IPv6 流量将不受网络安全模块保护 使用 ASA 时的 AnyConnect 网络安全模块安装步骤 与 AnyConnect 配合部署或作为独立模块部署时, 网络安全模块需要客户端配置文件 步骤 1 步骤 2 按照第 6-7 页的 创建 AnyConnect 网络安全客户端配置文件 部分的步骤, 创建网络安全客户端配置文件 阅读第 2 章, 部署 AnyConnect 安全移动客户端, 了解有关使用网络部署和预部署方法安装网络安全模块的说明 6-3

202 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 第 6 章 配置网络安全 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 您可以将网络安全模块作为独立应用部署, 以便与未启用 AnyConnect VPN 模块且不带 ASA 的 Cisco Cloud Web Security 结合使用 本部分包括以下信息 : 使用 AnyConnect 安装程序在 Windows 系统中安装网络安全模块 使用 AnyConnect 安装程序在 Mac OS X 系统中安装网络安全模块 在运行 Windows 的计算机上, 如果 AnyConnect 无法确定用户 ID, 则会将内部 IP 地址用作用户 ID 例如, 如果未指定 enterprise_domains 配置文件条目, 则会出现这种情况 之后, 您需要使用内部 IP 地址在 Cisco ScanCenter 中生成报告 在运行 Mac OS X 的计算机上, 如果 Mac 绑定到域, 则网络安全模块可以报告计算机所登录的域 如果 Mac 未绑定到域, 网络安全模块可以报告 Mac 的 IP 地址或当前登录的用户名 使用 AnyConnect 安装程序在 Windows 系统中安装网络安全模块 本部分说明如何在 Windows 系统中配置 Cisco AnyConnect 安全移动客户端网络安全模块, 以便与 Cisco Cloud Web Security 结合使用 一般而言, 您需要执行以下步骤 : 有关包括启用 Windows 锁定在内的一般安装说明, 请参阅第 2 章 1. 下载 Cisco AnyConnect 安全移动客户端 ISO 映像 2. 解压缩 ISO 文件获得其中的内容 3. 执行以下操作, 对网络安全模块进行自定义 : 安装独立配置文件编辑器 创建网络安全配置文件, 然后将网络安全配置文件添加至 ISO 文件解压缩内容 4. 安装自定义网络安全模块 按照以下步骤, 在 Windows 系统中配置 Cisco AnyConnect 安全移动客户端网络安全模块, 以便与 Cisco Cloud Web Security 结合使用 步骤 1 步骤 2 步骤 3 从 Cisco ScanCenter 支持区域或 Cisco.com 下载 Cisco AnyConnect 安全移动客户端数据包 创建新目录 使用 WinZip 或 7-Zip 应用, 将 ISO 文件的内容解压缩至新创建的目录 此时, 请勿安装网络安全模块 步骤 4 安装独立 AnyConnect 配置文件编辑器 有关详情, 请参阅第 2-35 页的 安装独立 AnyConnect 配置文件编辑器 部分 默认情况下不会安装网络安全配置文件编辑器组件 您必须将其选为 自定义 (Custom) 安装的一部分, 或选择 完整 (Complete) 安装 6-4

203 第 6 章 配置网络安全 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 步骤 5 按照第 6-7 页的 创建 AnyConnect 网络安全客户端配置文件 部分, 启动网络安全配置文件编辑器并创建配置文件 步骤 6 在安全位置将配置文件另存为 WebSecurity_ServiceProfile.xml 网络安全配置文件编辑器会创建名为 WebSecurity_ServiceProfile.wso 的附加模糊处理版本配置文件, 并将其保存至您保存 WebSecurity_ServiceProfile.xml 文件的相同位置 步骤 7 步骤 8 将名为 WebSecurity_ServiceProfile.wso 的模糊处理版本网络安全配置文件复制到您在步骤 3 中解压缩的 Profiles\websecurity 文件夹 启动 Setup.exe 安装客户端软件 步骤 9 在 Cisco AnyConnect 安全移动客户端安装选择器中 : 步骤 10 确保选中 AnyConnect 网络安全模块 (AnyConnect Web Security Module) 复选框 确保取消选中 Cisco AnyConnect VPN 模块 (Cisco AnyConnect VPN Module) 这样会关闭核心客户端的 VPN 功能, 而且安装实用程序会将网络接入管理器和网络安全模块作为不带 VPN 功能的独立应用进行安装 ( 可选 ) 选中锁定组件服务 (Lock Down Component Services) 复选框 锁定组件服务可阻止用户关闭或停止 Windows 网络安全服务 点击安装所选项 (Install Selected), 然后点击确定 (OK) 安装成功完成后, 您将在系统托盘中看到 Cisco AnyConnect 安全移动客户端图标 使用 AnyConnect 安装程序在 Mac OS X 系统中安装网络安全模块 本部分说明如何通过安装独立配置文件编辑器 创建网络安全配置文件并将该网络安全配置文件添加至 DMG 数据包, 来自定义网络安全模块 步骤 1 步骤 2 从 Cisco ScanCenter 支持区域或 Cisco.com 下载区域下载 Cisco AnyConnect 安全移动客户端 DMG 数据包 打开文件接入安装程序 ( 图 6-1) 下载的映像为只读文件 图 6-1 AnyConnect 安装程序映像 步骤 3 运行磁盘实用程序 (Disk Utility) 或使用终端 (Terminal) 应用, 将安装程序映像改为可写状态, 命令如下 : Hdiutil convert <source dmg> -format UDRW -o <output dmg> 6-5

204 不使用 ASA 时的 AnyConnect 网络安全模块安装步骤 第 6 章 配置网络安全 步骤 4 在运行 Windows 操作系统的计算机上安装独立 AnyConnect 配置文件编辑器 有关详情, 请参阅第 2-35 页的 安装独立 AnyConnect 配置文件编辑器 部分 默认情况下不会安装网络安全配置文件编辑器组件 您必须将其选为 自定义 (Custom) 安装的一部分, 或选择 完整 (Complete) 安装 步骤 5 按照第 6-7 页的 创建 AnyConnect 网络安全客户端配置文件 部分, 启动网络安全配置文件编辑器并创建配置文件 步骤 6 在安全位置将配置文件另存为 WebSecurity_ServiceProfile.xml 网络安全配置文件编辑器会创建名为 WebSecurity_ServiceProfile.wso 的附加模糊处理版本配置文件, 并将其保存至您保存 WebSecurity_ServiceProfile.xml 文件的相同位置 步骤 7 从 Windows 计算机上将 WebSecurity_ServiceProfile.wso 文件复制到 AnyConnect 3.x.xxxxx/ Profiles/websecurity Mac OS X 安装程序数据包 或者, 您也可以使用终端 (Terminal) 应用, 命令如下 : Copy WebSecurity_ServiceProfile.wso cp <path to the wso> \Volumes\"AnyConnect <VERSION>"\Profiles\websecurity\ 步骤 8 步骤 9 步骤 10 在 Mac OS X 安装程序中, 转到 AnyConnect 3.x.xxxxx/Profiles 目录, 在 TextEdit 中打开 ACTransforms.xml 文件进行编辑 将 <DisableVPN> 元素设置为 True, 确保未安装 VPN 功能 : <ACTransforms> <DisableVPN>True</DisableVPN> <ACTransforms> 在 Cisco.com 的 AnyConnect 安全移动客户端 3.x.xxxxx 下载区域查找 VPNDisable_ServiceProfile.xml 文件, 并将其下载至您即将安装 AnyConnect 网络安全模块的计算机 将 VPNDisable_ServiceProfile.xml 文件保存至 AnyConnect 安装程序的 AnyConnect 3.x.xxxxx/ profiles/vpn 目录 在 Mac OS X 系统中安装仅用于 AnyConnect 3.x.xxxxx 的网络安全模块时, 应将 AnyConnect 用户界面设置为开机时自动启动 这样, AnyConnect 将能够为网络安全模块提供必要的用户信息和组信息 步骤 9 和 10 中提供了允许 AnyConnect 用户界面在开机时自动启动的正确配置 步骤 11 AnyConnect DMG 数据包现在已准备就绪, 可分配给您的用户 使用命令行安装操作在 Windows 系统中安装网页安全模块 要从命令提示行安装网络安全模块, 请遵循以下步骤 : 步骤 1 遵循使用 AnyConnect 安装程序在 Windows 系统中安装网络安全模块中的步骤 1 - 步骤 6 步骤 2 安装关闭 VPN 功能的 AnyConnect 安全移动客户端 VPN 模块 : msiexec /package anyconnect-win-<version>-pre-deploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* c:\test.log 6-6

205 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 步骤 3 安装网络安全模块 msiexec /package anyconnect-websecurity-win-<version>-pre-deploy-k9.msi /norestart /passive /lvx* c:\test.log 步骤 4 ( 可选 ) 安装 DART misexec /package annyconnect-dart-win-<version>-k9.msi /norestart /passive /lvx* c:\test.log 步骤 5 步骤 6 将网络安全客户端配置文件模糊处理副本保存到第 2-33 页的表 2-13 中定义的适用 Windows 文件夹 使用第 6-26 页的 关闭和启用 Cisco AnyConnect 网络安全代理 部分重新启动 Cisco AnyConnect 网络安全代理窗口服务 这些命令还可用于系统管理服务器 (SMS) 部署 创建 AnyConnect 网络安全客户端配置文件 要创建 AnyConnect 网络安全客户端配置文件, 请遵循以下步骤 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile), 然后点击添加 (Add) 创建客户端配置文件 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 步骤 2 如果使用独立配置文件编辑器, 请为客户端配置文件的指定名称 (name) 步骤 3 点击配置文件使用情况 (Profile Usage) 字段, 并选择网络安全 (Web Security) 步骤 4 步骤 5 步骤 6 接受默认的配置文件位置, 或点击浏览 (Browse) 指定其他文件位置 ( 可选 ) 选择组策略 (Group Policy) 附加客户端配置文件, 或将客户端配置文件保留为 <Unassigned> 保存 AnyConnect 网络安全客户端配置文件 完成 AnyConnect 网络安全客户端配置文件的创建后, 您需要对配置文件进行以下几项配置 : 第 6-8 页的在客户端配置文件中配置 Cisco Cloud Web Security 扫描代理 第 6-11 页的从网络扫描服务中排除终端流量 第 6-14 页的配置用户控制和计算扫描代理最快响应时间 第 6-15 页的配置安全受信任网络检测 第 6-16 页的配置身份验证和发送组成员身份至 Cisco Cloud Web Security 代理 创建和保存 AnyConnect 网络安全客户端配置文件后,ASDM 会生成两个 XML 文件副本 ; 一个为模糊处理文件, 另一个为纯文本文件 要了解更多关于这些文件的信息, 请参阅第 6-21 页的 网络安全客户端配置文件 部分 6-7

206 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 在客户端配置文件中配置 Cisco Cloud Web Security 扫描代理 Cisco Cloud Web Security 会对网络内容进行分析 ; 它将根据安全策略允许良性内容传送至浏览器, 并阻止恶意内容 扫描代理为 Cisco Cloud Web Security 代理服务器, Cisco Cloud Web Security 通过其对网络内容进行分析 通过 AnyConnect 网络安全配置文件编辑器的 扫描代理 (Scanning Proxy) 面板, 可以定义 AnyConnect 网络安全模块将网络流量发送至哪个 Cisco Cloud Web Security 扫描代理 图 6-2 网络安全客户端配置文件扫描代理面板 更新扫描代理列表 请参照以下步骤说明在 AnyConnect 网络安全客户端配置文件中定义 Cisco Cloud Web Security 扫描代理 : 第 6-7 页的创建 AnyConnect 网络安全客户端配置文件 第 6-9 页的对用户显示或隐藏扫描代理 第 6-10 页的选择默认扫描代理 第 6-11 页的指定 HTTP(S) 流量侦听端口 网络安全配置文件编辑器的 扫描代理 (Scanning Proxy) 列表不可编辑, 因此无法从网络安全配置文件编辑器的表格添加或删除 Cisco Cloud Web Security 扫描代理 启动网络安全配置文件编辑器后, 该编辑器会与维护最新扫描代理列表的 Cisco Cloud Web Security 网站进行通信, 从而自动更新扫描代理列表 6-8

207 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 添加或编辑 AnyConnect 网络安全客户端配置文件时, 配置文件编辑器会比较 Cisco Cloud Web Security 扫描代理的现有列表与从 下载的扫描代理列表中的内容 如果列表过期, 您会看到 扫描代理列表过期 (Scanning Proxy list is out of date) 消息和标有 更新列表 (Update List) 的命令按钮 点击更新列表 (Update List) 按钮, 用 Cisco Cloud Web Security 扫描代理的最新列表更新扫描代理列表 点击更新列表 (Update List) 时, 请意尽量维持配置文件编辑器的现有配置 配置文件编辑器会保留您的默认扫描代理设置以及现有 Cisco Cloud Web Security 扫描代理的显示 / 隐藏设置 网络安全客户端配置文件中的默认扫描代理设置 对用户显示或隐藏扫描代理 默认情况下, 您创建的配置文件具有以下 Cisco Cloud Web Security 扫描代理属性 : 在扫描代理列表中列出您的用户有权接入的所有 Cisco Cloud Web Security 扫描代理, 并将它们全部标记为 显示 (Display) 有关详情, 请参阅第 6-9 页的 对用户显示或隐藏扫描代理 部分 预先选择一个默认的 Cisco Cloud Web Security 扫描代理 要配置默认 Cisco Cloud Web Security 扫描代理, 请参阅第 6-10 页的 选择默认扫描代理 部分 在侦听 HTTP 流量的 AnyConnect 网络安全模块端口列表中调配若干端口 有关详情, 请参阅第 6-11 页的 指定 HTTP(S) 流量侦听端口 部分 在用户建立了到 ASA 的 VPN 连接后, ASA 会将客户端配置文件下载到终端设备 AnyConnect 网络安全客户端配置文件决定了向用户显示哪些 Cisco Cloud Web Security 扫描代理 用户采用以下方式, 与 AnyConnect 网络安全客户端配置文件扫描代理列表中标示为 显示 (Display) 的扫描代理进行交互 : Cisco Cloud Web Security 扫描代理在 Cisco AnyConnect 安全移动客户端界面 网络安全 (Web Security) 面板的 高级 (Advanced) 设置中向用户显示 按响应时间对扫描代理进行排序时,AnyConnect 网络安全模块会测试标示为 显示 (Display) 的 Cisco Cloud Web Security 扫描代理 如果其配置文件允许用户控制, 用户可以选择所连接的 Cisco Cloud Web Security 扫描代理 按响应时间对扫描代理进行排序时, AnyConnect 网络安全客户端配置文件扫描代理表格中标示为 隐藏 (Hide) 的 Cisco Cloud Web Security 扫描代理不会向用户显示, 也不会进行评估 用户无法连接至标示为 隐藏 (Hide) 的扫描代理 为了漫游用户的最大利益, 我们建议您向所有用户 显示 (Display) 全部 Cisco Cloud Web Security 扫描代理 要向用户隐藏或显示 Cisco Cloud Web Security 扫描代理, 请遵循以下步骤 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 6-9

208 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 步骤 2 打开要编辑的网络安全客户端配置文件 步骤 3 执行以下操作, 隐藏或显示 Cisco Cloud Web Security 扫描代理 : 步骤 4 要隐藏扫描代理, 选择要隐藏的扫描代理, 并点击隐藏 (Hide) 要显示扫描代理, 选择要显示的扫描代理名称, 并点击显示 (Display) 建议配置为显示所有 Cisco Cloud Web Security 扫描代理 保存 AnyConnect 网络安全客户端配置文件 选择默认扫描代理 要定义默认 Cisco Cloud Web Security 扫描代理, 请执行以下步骤 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 步骤 3 步骤 4 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 从默认扫描代理 (Default Scanning Proxy) 字段选择默认扫描代理 保存 AnyConnect 网络安全客户端配置文件 用户如何连接至扫描代理 1. 用户首次连接网络时, 会被路由至其默认扫描代理 2. 之后, 根据用户配置文件的具体配置, 用户可选择扫描代理, 或由 AnyConnect 网络安全模块将用户连接至具有最快响应速度的扫描代理 如果用户的客户端配置文件允许用户控制, 用户可以从 Cisco AnyConnect 安全移动客户端网络安全任务栏的 设置 (Settings) 选项卡中选择扫描代理 如果用户的客户端配置文件启用了自动扫描代理选择首选项, 则 AnyConnect 网络安全按最快到最慢的顺序对扫描代理进行排序, 并将用户连接至具有最快响应速度的扫描代理 如果用户的客户端配置文件不允许用户控制, 但启用了自动扫描代理选择 (Automatic Scanning Proxy Selection), 则 AnyConnect 网络安全会将用户从默认扫描代理切换至具最快响应时间的扫描代理, 前提是该扫描代理的响应时间明显快于用户最初连接的默认扫描代理 如果用户从其当前的扫描代理漫游, 且在其客户端配置文件中对自动扫描代理选择 (Automatic Scanning Proxy Selection) 进行了配置, 则 AnyConnect 网络安全可能将用户切换至新的扫描代理, 前提是该扫描代理的响应时间明显快于用户当前的扫描代理 用户将知晓其所连接的扫描代理, 因为 AnyConnect 网络安全在 Windows 的扩展 AnyConnect 任务栏图标 高级设置 (Advanced Settings) 选项卡和 AnyConnect GUI 的 高级统计信息 (Advanced Statistics) 选项卡上显示了启用的扫描代理名称 6-10

209 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 指定 HTTP(S) 流量侦听端口 默认情况下, 扫描安全网络扫描服务会分析 HTTP 网络流量, 并可以配置为对 HTTPS 网络流量进行过滤 在网络安全客户端配置文件中, 您可以指定您希望网络安全对这些类型的网络流量进行 侦听 的端口 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 步骤 3 步骤 4 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 在流量侦听端口 (Traffic Listen Port) 字段中, 输入您希望网络安全模块对 HTTP 流量或 HTTPS 流量或两种流量进行 侦听 的逻辑端口编号 保存网络安全客户端配置文件 从网络扫描服务中排除终端流量 如果您不希望 Cisco Cloud Web Security 对来自特定 IP 地址的网络流量进行评估, 则您可以按以下分类对该地址配置例外 : 主机例外 代理例外 静态例外主机例外将绕过网络安全代理, 但 AnyConnect 仍可能拦截互联网流量 为阻止网络安全和 AnyConnect, 配置静态例外 在网络安全配置文件编辑器的 例外 (Exceptions) 面板中对这些排除进行配置 请参阅图

210 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 图 6-3 网络安全配置文件编辑器例外面板 主机例外 在 主机例外 (Host Exceptions) 列表中, 添加您想要绕过 Cisco Cloud Web Security 的内部子网和任何公共网站 HTTPS 主机例外必须为 IP 格式 主机名称不起作用, 因为 HTTPS 通信中对主机名称进行了加密 有关 例外 (Exceptions) 面板的图片, 请参阅图 6-3 您应添加默认设置中已经不包含的您所使用的内部子网, 例如 : /8 您还应添加您要启用直接访问的所有内部或外部网站 例如 : update.microsoft.com *.salesforce.com *.mycompanydomain.com 同样地, 您必须添加您用于内部网服务的所有公共 IP 地址 ; 否则, 您无法通过网络安全访问某些内部网服务器 6-12

211 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 您可以使用以下语法输入子网和 IP 地址 : 语法 示例 单个 IPv4 和 IPv6 地址 :0000:0234:C1AB:0000:00A0:AABC:003F 无类别域间路由 (CIDR) 标记 /8 2001:DB8::/48 完全限定域名 (FQDN) windowsupdate.microsoft.com ipv6.google.com 不支持部分域 ; 例如, 不支持 example.com 完全限定域名或 IP 地址中的通配符 * *.cisco.com 意事项 请勿在顶级域名的两侧使用通配符, 例如 *.cisco.*, 因为这可能包含钓鱼网站 意事项 切勿删除或更改任何默认主机例外条目 代理例外 在 代理例外 (Proxy Exceptions) 区域中, 输入授权内部代理的 IP 地址 例如 : 有关 例外 (Exceptions) 面板的图片, 请参阅图 6-3 您可以在字段中指定 IPv4 和 IPv6 地址, 但您无法用它们指定端口编号 使用 CIDR 标记, 您无法指定 IP 地址 指定 IP 地址, 防止 Cisco Cloud Web Security 使用 SSL 拦截前往这些服务器的网络数据, 以及通过这些服务器传输数据 这使得代理服务器可以不中断运行 如果您未在此添加代理服务器, 其会将 Cisco Cloud Web Security 流量视为 SSL 隧道 对于不在该列表上的代理, 网络安全尝试使用 SSL 来通过它们, 因此如果您的用户位于需要代理退出网络进行互联网接入的其他公司网站, 则 Cisco Cloud Web Security 将提供如同开放互联网连接的同级别支持 静态例外 添加单独 IP 地址列表或无类别域间路由 (CIDR) 标记的 IP 地址范围列表, 而在无类别域间路由 (CIDR) 标记的 IP 地址范围中, 流量应绕过 Cisco Cloud Web Security 和 AnyConnect 在列表中, 请包括您的 VPN 网关的入口 IP 地址 请参阅图 6-3 RFC 1918 中描述的私有 IP 地址默认包含于静态例外列表中 6-13

212 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 如果您的代理服务器的 IP 地址位于静态例外列表中的某个范围内, 则您必须将该例外移至主机例外列表 例如, /8 会出现在静态例外列表中 如果您有一个位于 的代理, 则您必须将 /8 移至主机例外列表, 否则, 发送至该代理的流量将绕过 Cloud Web Security 您可以使用 CIDR 标记指定 IPv4 和 IPv6 地址或地址范围 您无法指定完全限定域名或在 IP 地址中使用通配符 以下是正确语法的示例 : /24 确保将您的 SSL VPN 集中器的 IP 地址添加至静态排除列表 IPv6 网络流量用户指南 除非已指定 IPv6 地址 域名 地址范围或通配符, IPv6 网络流量将被发送至扫描代理, 由扫描代理执行 DNS 查找, 以确定是否存在与用户尝试连接的 URL 对应的 IPv4 地址 如果扫描代理查找到 IPv4 地址, 将使用该地址进行连接 如果未找到 IPv4 地址, 将终止连接 如果希望所有 IPv6 流量绕过扫描代理, 您可以为所有 IPv6 流量添加此静态例外 ::/0 执行此操作将使所有 IPv6 流量绕过所有扫描代理 这意味着 IPv6 流量不受网络安全保护 配置网络扫描服务首选项 使用此面板配置以下首选项 : 第 6-14 页的配置用户控制和计算扫描代理最快响应时间 第 6-15 页的配置安全受信任网络检测 配置用户控制和计算扫描代理最快响应时间 要允许用户选择其连接的 Cisco Cloud Web Security 扫描代理, 请遵循以下步骤 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 步骤 3 点击首选项 (Preferences) 步骤 4 步骤 5 选择用户可控 (User Controllable) ( 这是默认设置 ) 用户可控 (User Controllable) 决定了用户是否可以在 AnyConnect 界面更改 自动塔选择 (Automatic Tower Selection) 和 按响应时间排序扫描代理 (Order Scanning Proxies by Response Time) 设置 选择启用云托管配置 (Enable Cloud-Hosted Configuration) 启用通过 Cisco ScanCenter 更新配置文件 有关详细信息, 请参阅 ScanCenter 管理员指南, 版本

213 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 步骤 6 如果您想要网络安全自动选择扫描代理, 则选择自动扫描代理选择 (Automatic Scanning Proxy Selection) 这样做将自动选择按响应时间排序扫描代理 (Order Scanning Proxies by Response Time) 如果您选择自动扫描代理选择 (Automatic Scanning Proxy Selection), 则网络安全将确定具有最快响应时间的扫描代理, 并自动将用户连接至该扫描代理 如果没有选择自动扫描代理选择 (Automatic Scanning Proxy Selection), 并仍然选择了按响应时间排序扫描代理 (Order Scanning Proxies by Response Time), 则将为用户提供可以连接的扫描代理列表, 按最快响应时间到最慢响应时间进行排序 如果没有选择自动扫描代理选择 (Automatic Scanning Proxy Selection), 则用户仍然可以从 AnyConnect 用户界面自由启用该功能, 但启用后则无法再关闭 启用 自动扫描代理选择 (Automatic Scanning Proxy Selection) 时, 临时通信中断和故障可能导致活动扫描代理选择自动更改 有时不需要更改扫描代理, 因为可能导致意外行为, 如从使用不同语言的不同国家的扫描代理返回搜索结果 步骤 7 如果选择了按响应时间排序扫描代理 (Order Scanning Proxies by Response Time), 则对这些设置进行配置, 以计算具有最快响应时间的扫描代理 测试间隔 : 运行每个性能测试的时间间隔 ( 以分钟为单位 ), 默认为两分钟 您可以关闭测试间隔, 通过清除启用测试间隔 (Enable Test Interval) 复选框防止测试运行 测试非活动状态超时 : 网络安全因用户处于非活动状态而挂起响应时间测试的时间 ( 以分钟为单位 ) 扫描代理一进行连接尝试, 网络安全便恢复测试 除非客户支持明确要求, 请勿更改此设置 按响应时间排序扫描代理 (Order Scanning Proxies by Response Time) 测试根据测试间隔时间连续运行, 但存在以下例外 : 安全受信任网络检测启用, 并且检测到计算机位于公司 LAN 网络安全许可证密钥丢失或无效 用户在配置的时长内处于非活动状态, 从而达到 测试非活动状态超时 (Test Inactivity Timeout) 阈值 步骤 8 保存网络安全客户端配置文件 配置安全受信任网络检测 安全受信任网络检测 (Secure Trusted Network Detection) 功能检测终端何时位于公司 LAN 上 ( 无论其是通过实际连接或是 VPN 连接 ) 如果启用 安全受信任网络检测 (Secure Trusted Network Detection) 功能, 所有来自公司 LAN 的网络流量都会绕过 Cisco Cloud Web Security 扫描代理 此类流量的安全性会通过其他方法和位于公司 LAN 上的设备 ( 而非 Cisco Cloud Web Security) 进行管理 有关 VPN 模块的等效功能, 请参阅第 3-19 页的受信任网络检测 6-15

214 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 安全受信任网络检测 (Secure Trusted Network Detection) 验证, 客户端使用位于已知 URL ( 地址 IP 或 FQDN) 的服务器上 SSL 证书的 SHA-256 哈希 ( 指纹 ) 连接至公司网络 证书使用的加密算法无关紧要, 但仅可使用 SHA-256 哈希 如果您选择不使用 安全受信任网络检测 (Secure Trusted Network Detection), 并且您的网络上有任意代理 ( 例如 Cisco Cloud Web Security Connector), 则您必须将每个代理添加至配置文件编辑器 例外 (Exceptions) 面板上的代理例外列表中 请参阅第 6-13 页的代理例外 从内部网络外运行时, 安全受信任网络检测 (Secure Trusted Network Detection) 发出 DNS 请求并尝试与您调配的 HTTPS 服务器通信 思科强烈建议使用别名, 从而确保您组织的名称和内部结构, 不会因为在内部网络以外使用的计算机的此类请求而显示 多台服务器 - 如果定义了多台服务器, 则客户端在两次连续尝试后仍无法连接至第一台服务器时, 将尝试连接第二台服务器 在对列表中的所有服务器进行尝试后, 客户端等待五分钟后再次尝试连接第一台服务器 确保您直接连接至托管 SSL 证书的服务器, 然后遵循以下步骤对网络安全与 安全受信任网络检测 (Secure Trusted Network Detection) 的交互进行配置 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 步骤 3 在网络安全树窗格中点击首选项 (Preferences) 步骤 4 选择启用受信任网络检测 (Enable Trusted Network Detection) 步骤 5 在 https 方框中, 输入希望添加的每个受信任服务器的 URL, 然后点击添加 (Add) URL 可能包含端口地址 ( 默认 443) 配置文件编辑器尝试连接至受信任服务器 如果由于某种原因无法实现, 但您知晓服务器证书的 SHA-256 哈希, 则您可以将其输入证书哈希 (Certificate hash) 方框并点击设置 (Set) 不支持代理后的受信任服务器 步骤 6 保存网络安全客户端配置文件 配置身份验证和发送组成员身份至 Cisco Cloud Web Security 代理 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 6-16

215 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 步骤 2 打开要编辑的网络安全客户端配置文件 步骤 3 点击身份验证 (Authentication) 有关您在该步骤中所配置字段的图解, 请参阅图 6-4 步骤 4 步骤 5 在代理身份验证许可证密钥 (Proxy Authentication License Key field) 字段中, 输入与您在 Cisco ScanCenter 中创建的公司密钥 组密钥或用户密钥相对应的许可证密钥 如果您将根据其 企业 (Enterprise) 域对用户进行身份验证, 请输入您创建的公司密钥 如果您将根据其 Cisco ScanCenter 或 Active Directory 组对用户进行身份验证, 则请输入您创建的组密钥 默认情况下标记为空 如果保留为空, 则网络安全在直通模式下运行 输入服务密码 网络安全的默认密码是 websecurity 自定义配置文件时, 可以更改此密码 密码必须仅包含字母数字字符 (a-z, A-Z, 0-9) 和以下特殊字符, 而其他字符可能被 Windows 命令 shell 误认为控制字符或可能在 XML 中有特殊含义 # $ % * - _ + = { } [ ] :,.?/ 步骤 6 凭借该密码, 具有管理员权限的用户可以停止网络安全服务 具有或不具有管理员权限的用户可以无需该密码即可启动网络安全服务 有关详情, 请参阅第 6-26 页的 在网络安全配置文件编辑器的 身份验证 (Authentication) 面板中配置用于该步骤的服务密码 部分 您可以通过每个 HTTP 请求发送扫描代理服务器企业域信息和 Cisco Cloud Web Security 或 Active Directory 组信息 扫描代理会根据其所知的用户域和组成员身份应用流量过滤规则 如果要向扫描服务器代理发送用户的自定义用户名和自定义组信息, 或您的企业不使用 Active Directory, 则跳过此步骤, 转到步骤 7 点击启用企业域 (Enable Enterprise Domains) 在列表中, 点击所有域 (All Domains) 选择所有域 (All Domains) 选项后, 如果计算机位于某个域上, 则无论用户属于哪个域都将匹配, 且用户名和组成员身份信息将发送至 Cisco Cloud Web Security 扫描代理 这对于拥有超过一个域的公司而言, 非常有用 或者, 点击指定单个域 (Specify Individual Domains) 以 NetBIOS 格式输入每个域名, 然后点击添加 (Add) 例如 example.cisco.com 的 NetBIOS 格式为 cisco 请勿输入 DNS 格式的域名 :abc.def.com 如果您在 企业域名 (Enterprise Domain Name) 字段指定域名, 则 Cisco Cloud Web Security 会识别当前登录的 Active Directory 用户并枚举该用户的 Active Directory 组, 并将该信息随每个请求发送至扫描代理 在使用 (Use) 列表中, 点击组包括列表 (Group Include List) 或组排除列表 (Group Exclude List) 以在 Cisco Cloud Web Security 扫描代理的 HTTP 请求中包括或排除组信息 值可以是待匹配字符串的任何子字符串 组包括列表 (Group Include List) 选择组包括列表 (Group Include List) 后, 向您希望随 HTTP 请求一起发送至 Cisco Cloud Web Security 扫描代理服务器的 组包括列表 (Group Include List) 添加 Cisco Cloud Web Security 或 Active Directory 组名 如果请求来自指定 企业域 (Enterprise Domain) 中的用户, 则会根据用户的组成员身份过滤 HTTP 请求 如果用户没有组成员身份, 则会根据默认过滤规则集过滤 HTTP 请求 组排除列表 (Group Exclude List) 选择组排除列表 (Group Exclude List) 后, 向您不希望随 HTTP 请求一起发送至 Cisco Cloud Web Security 扫描代理服务器的 组排除列表 (Group Exclude List) 添加 Cisco Cloud Web Security 或 Active Directory 组名 如果用户属于组排除列表 (Group Exclude List) 中的一个组, 则该组名不会被发送至扫描代理服务器, 且会根据其他组成员身份对用户 HTTP 请求进行过滤, 或至少根据为非 Active Directory 或 Cisco Cloud Web Security 组联盟用户定义的默认过滤规则集对用户 HTTP 请求进行过滤 现在转至第 8 步 6-17

216 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 步骤 7 步骤 8 点击未加入域的计算机的自定义匹配和报告 (Custom matching and reporting for machines not joined to domains), 向扫描代理服务器发送自定义名称 在列表中, 点击计算机名 (Computer Name) 使用计算机的名称 或者, 点击本地用户 (Local User) 使用本地用户名称 或者, 点击自定义名称 (Custom Name) 并输入自定义用户名 可通过任何字符串进行定义 如果不输入字符串, 则计算机的 IP 地址将被发送至扫描代理服务器 该用户名或 IP 地址将用于从自定义用户中识别 HTTP 流量的所有 Cisco ScanCenter 报告 在身份验证组 (Authentication Group) 字段中, 输入不超过 256 个字母数字字符的自定义组名, 然后点击添加 (Add) 向扫描代理服务器发送 HTTP 请求时, 如果发送了自定义组名, 且扫描代理服务器上存在对应的组名, 则会根据与自定义组名相关的规则对 HTTP 流量进行过滤 如果扫描代理服务器上没有定义对应的自定义组, 则会根据默认规则对 HTTP 请求进行过滤 如果只配置了自定义用户名且无自定义组, 则会根据扫描代理服务器默认规则对 HTTP 请求进行过滤 保存网络安全客户端配置文件 图 6-4 配置 Cisco Cloud Web Security 扫描代理身份验证 配置高级网络安全设置 网络安全客户端配置文件的 高级 (Advanced) 面板提供了一些可以帮助思科客户支持工程师处理故障排除问题的设置 除非客户支持明确要求, 请勿更改该面板上的设置 6-18

217 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 图 6-5 网络安全客户端配置文件高级面板 配置 KDF 侦听端口 使用配置文件编辑器的 高级 (Advanced) 面板, 您可以执行以下任务 : 第 6-19 页的配置 KDF 侦听端口 第 6-20 页的配置服务通信端口 第 6-20 页的配置连接超时 第 6-21 页的配置 DNS 缓存故障查找 第 6-21 页的配置调试设置 第 6-21 页的配置失效行为 内核驱动器框架 (KDF) 会拦截所有将流量侦听端口作为其目标端口的连接, 并将流量转发至 KDF 侦听端口 网络扫描服务将对转发至 KDF 侦听端口的所有流量进行分析 除非客户支持明确要求, 请勿更改此设置 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 步骤 3 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 在网络安全树窗格中, 点击高级 (Advanced) 有关网络安全配置文件编辑器高级 (Advanced) 面板的图示, 请参阅图

218 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 步骤 4 步骤 5 在 KDF 侦听端口 (KDF Listen Port) 字段中指定 KDF 侦听端口 保存网络安全客户端配置文件 配置服务通信端口 服务通信端口是网络扫描服务侦听来自 AnyConnect GUI 组件和某些其他实用程序组件的传入连接的端口 除非客户支持明确要求, 请勿更改此设置 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 步骤 3 步骤 4 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 选择所要编辑的网络安全客户端配置文件, 然后点击编辑 (Edit) 在网络安全树窗格中, 点击高级 (Advanced) 有关网络安全配置文件编辑器高级 (Advanced) 面板的图示, 请参阅图 6-5 编辑服务通信端口 (Service Communication Port) 字段 保存网络安全客户端配置文件 如果您更改默认端口值 5300, 则必须重新启动网络安全服务和 AnyConnect GUI 组件 配置连接超时 连接超时设置可用于设置在网络安全尝试不使用扫描代理直接连接互联网之前的等待时间 如果保留为空, 则会使用默认值 4 秒 这可以使用户更快接入付费网络服务, 而不必在重试之前等待过长时间 配置 连接超时 (Connection Timeout) 字段的步骤具体如下 : 步骤 1 使用以下其中一种方法启动网络安全配置文件编辑器 : 步骤 2 步骤 3 在 ASDM 中, 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 在 Windows 独立模式下, 选择开始 (Start) > 程序 (Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor) 打开要编辑的网络安全客户端配置文件 在网络安全树窗格中, 点击高级 (Advanced) 有关网络安全配置文件编辑器高级 (Advanced) 面板的图示, 请参阅图

219 第 6 章 配置网络安全 创建 AnyConnect 网络安全客户端配置文件 步骤 4 步骤 5 更改连接超时 (Connection Timeout) 字段 保存网络安全客户端配置文件 配置 DNS 缓存故障查找 在配置文件编辑器的 高级 (Advanced) 面板中, 可以看到几个用于管理域名服务器查找的字段 这些设置已使用适合 DNS 查找的最佳值进行配置 除非客户支持明确要求, 请勿更改此设置 配置调试设置 调试级别 (Debug Level) 为可配置字段 但是, 除非客户支持明确要求, 请勿更改此设置 配置失效行为 在连接故障策略 (Connection Failure Policy) 列表中, 选择失效关闭 (Fail Close) 可在无法与 Cisco Cloud Web Security 代理服务器建立连接时阻止流量 ; 选择失效打开 (Fail Open) 则可以接受流量 在检测到强制网络门户时 (When a captive portal is detected) 列表中, 选择失效打开 (Fail Open) 可在无法与 Cisco Cloud Web Security 代理服务器建立连接, 但检测到 Wi-Fi 热点等强制网络门户时允许流量 ; 选择失效关闭 (Fail Close) 则会阻止流量 如果配置的主机 代理或静态例外包含强制网络门户地址, 则失效关闭 (Fail Close) 不会阻止流量 网络安全日志 Windows Event Viewer (Local)\Cisco AnyConect Web Security Module 文件夹中的 Windows 事件查看器记录了网络安全模块的所有消息 网络安全模块在事件查看器中记录的事件专供思科技术支持中心的工程师用于进行分析 Mac OS X 您可以查看系统日志或控制台的网络安全消息 网络安全客户端配置文件 使用与 AnyConnect 绑定的配置文件编辑器创建和保存网络安全客户端配置文件后, 配置文件编辑器会生成两个 XML 文件副本 : 一个为模糊处理副本, 文件命名惯例为 filename.wso; 另一个为纯文本副本, 文件命名惯例为 filename.wsp 若使用独立配置文件编辑器创建并保存网络安全客户端配置文件, 客户端配置文件的纯文本文件的命名惯例为 filename.xml, 模糊处理文件的命名惯例为 filename.wso 提供这两种格式的文件可使管理员根据需要执行以下特殊处理 : 从 ASA 导出模糊处理版本的网络安全客户端配置文件, 并将其分发到终端设备 对纯文本网络安全客户端配置文件进行编辑, 并执行 AnyConnect 网络安全配置文件编辑器不支持的编辑 除非客户支持明确要求, 请勿更改网络安全客户端配置文件的纯文本版本 6-21

220 创建 AnyConnect 网络安全客户端配置文件 第 6 章 配置网络安全 导出纯文本网络安全客户端配置文件 步骤 1 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 步骤 2 选择所要编辑的网络安全客户端配置文件, 然后点击导出 (Export) 步骤 3 浏览到用于保存导出文件的本地文件夹 编辑 本地路径 (Local Path) 字段中的文件名, 可使用此新文件名保存网络安全客户端配置文件 步骤 4 点击导出 (Export) ASDM 会导出纯文本版本的网络安全客户端配置文件 (filename.wsp) 导出 DART 套件的纯文本网络安全客户端配置文件 如果需要向思科客户服务发送诊断 AnyConnect 报告工具 (DART) 套件, 您需要随 DART 套件一起发送纯文本版本的网络安全客户端配置文件 (filename.wsp 或 filename.xml) 思科客户服务无法读取模糊处理版本 要获取配置文件编辑器在 ASDM 中创建的纯文本版本的网络安全客户端配置文件, 请参照导出纯文本网络安全客户端配置文件的步骤 独立版本的配置文件编辑器创建了两个版本的网络安全配置文件 : 一个为模糊处理版本, 文件命名惯例为 filename.wso; 另一个为纯文本版本, 文件命名惯例为 filename.wsp 获取纯文本版文件 filename.xml 向思科客户服务发送 DART 套件前, 将纯文本版本的网络安全客户端配置文件添加到 DART 套件中 编辑并从 ASDM 导入纯文本网络安全客户端配置文件 导出纯文本网络安全客户端配置文件后, 您可以在本地计算机上使用任何纯文本编辑器或 XML 编辑器对其进行编辑 使用以下步骤进行导入 意事项 导入文件会覆盖您所选的网络安全客户端配置文件的内容 步骤 1 打开 ASDM, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 步骤 2 选择所要编辑的网络安全客户端配置文件, 然后点击导出 (Export) 步骤 3 更改 filename.wsp 文件后, 返回 AnyConnect 客户端配置文件页面, 并选择您编辑好的文件的 配置文件名称 (Profile Name) 步骤 4 点击导入 (Import) 步骤 5 浏览至网络安全客户端配置文件的编辑版本, 并点击导入 (Import) 6-22

221 第 6 章 配置网络安全 使用独立编辑器创建网络安全客户端配置文件 导出模糊处理网络安全客户端配置文件 步骤 1 打开 ASDM, 选择工具 (Tools) > 文件管理 (File Management) 步骤 2 在 文件管理 (File Management) 屏幕中, 点击文件传输 (File Transfer) > 在本地 PC 和闪存之间 (Between Local PC and Flash), 然后使用文件传输对话框将模糊处理客户端配置文件 (filename.wso) 传输至您的本地计算机 使用独立编辑器创建网络安全客户端配置文件 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 选择启动 (Start) > 所有程序 (All Programs) > 思科 (Cisco) > Cisco AnyConnect 配置文件编辑器 (Cisco AnyConnect Profile Editor) > 网络安全配置文件编辑器 (Web Security Profile Editor), 打开网络安全模块独立配置文件编辑器 按照第 6-7 页的 创建 AnyConnect 网络安全客户端配置文件 部分创建网络安全客户端配置文件 选择文件 (File) > 保存 (Save), 保存网络安全客户端配置文件 独立配置文件编辑器会生成两份 XML 文件 : 一个为模糊处理版本, 文件命名惯例为 filename.wso; 另一个为纯文本版本, 文件命名惯例为 filename.xml ( 等同于 ASDM 工具生成的 wsp 文件 ) 将模糊处理客户端配置文件 filename.wso 重命名为 WebSecurity_ServiceProfile.wso, 或将其保存至以下其中一个目录 : 对于 Windows XP 用户, 请将文件放置到以下文件夹 : %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Web Security 对于 Windows Vista 和 Windows 7 用户, 请将文件放置到以下文件夹 : %ALLUSERSPROFILE%\Cisco\Cisco AnyConnect Secure Mobility Client\Web Security 对于 Mac 用户, 请将文件放置到以下文件夹 : /opt/cisco/anyconnect/websecurity 使用第 6-26 页的 关闭和启用 Cisco AnyConnect 网络安全代理 部分重新启动 Cisco AnyConnect 网络安全代理窗口服务 配置网络安全的分隔排除策略 分隔排除策略相关信息 当用户已建立 VPN 会话时, 所有网络流量通过 VPN 隧道发送 然而, 当 AnyConnect 用户使用网络安全时, 需要从隧道中排除来自终端的 HTTP 流量, 并直接发送至 Cloud Web Security 扫描代理 要对用于 Cloud Web Security 扫描代理的流量分隔隧道排除进行设置, 使用组策略中的为网络安全设置分隔排除 (Set up split exclusion for Web Security) 按钮 6-23

222 为网络安全客户端配置文件配置 Cisco ScanCenter 托管配置支持 第 6 章 配置网络安全 必备条件 需要对网络安全进行配置, 以与 AnyConnect 客户端配合使用 您已创建了组策略, 并为其分配配置了网络安全的 AnyConnect 客户端的 连接配置文件 (Connection Profile) 详细步骤 步骤 1 为要配置的头端启动 ASDM 会话, 并选择远程接入 VPN (Remote Access VPN) > 配置 (Configuration) > 组策略 (Group Policies) 步骤 2 选择要配置的 组策略 (Group Policy), 然后点击编辑 (Edit) 步骤 3 选择高级 (Advanced) > 分隔隧道 (Split Tunneling) 步骤 4 点击为网络安全设置分隔排除 (Set up split exclusion for Web Security) 步骤 5 步骤 6 输入新的或选择现有的用于网络安全分隔排除的接入列表 ASDM 将设置用于网络列表的接入列表 对于新列表, 点击创建接入列表 (Create Access List); 对于现有列表, 点击更新接入列表 (Update Access List) 步骤 7 点击确定 (OK) 提示 如果您使用 安全受信任网络检测 (Secure Trusted Network Detection) 功能并希望确保网络安全和 VPN 同时处于活动状态, 则对您的网络进行配置, 以使 HTTPS 服务器无法通过 VPN 隧道进行连接 这样, 仅当用户位于公司 LAN 时, 网络安全功能才会进入绕过模式 下一步工作 添加了其他扫描代理时, 更新您在该步骤中以新信息创建的统一接入列表 为网络安全客户端配置文件配置 Cisco ScanCenter 托管配置支持 从 AnyConnect 版本 开始, 网络安全托管客户端配置文件的 Cisco ScanCenter 托管配置使管理员能够向网络安全客户端提供新配置 通过允许配有网络安全的设备从云端下载新网络安全托管客户端配置文件来完成该流程 ( 托管配置文件位于 Cisco ScanCenter 服务器 ) 该功能的唯一前提条件是设备上安装了包含有效客户端配置文件的网络安全 管理员使用网络安全配置文件编辑器创建客户端配置文件, 然后将明文 XML 文件上传到 Cisco ScanCenter 服务器 该 XML 文件必须包含来自 Cisco Cloud Web Security 的有效许可证密钥 客户端最多在其应用至托管配置服务器 8 小时后检索新配置文件 从托管配置 (Cisco ScanCenter) 服务器检索新客户端配置文件时, 托管配置 (Hosted Configuration) 功能使用许可证密钥 一旦新客户端配置文件到达服务器, 配有网络安全的设备自动轮询服务器, 并下载新客户端配置文件, 前提是现有网络安全客户端配置文件的许可证与托管服务器上关联客户端配置文件的许可证相同 下载新客户端配置文件后, 在管理员上传新客户端配置文件前, 网络安全不会再次下载相同文件 6-24

223 第 6 章 配置网络安全 安全受信任网络检测 创建客户端配置文件并使其可用于网络安全设备下载的流程如下 : 在可以使用 托管配置 (Hosted Configuration) 功能前, 必须使用包含 Cisco Cloud Web Security 许可证密钥的有效客户端配置文件对网络安全客户端设备进行预安装 步骤 1 使用网络安全配置文件编辑器, 为网络安全设备创建新客户端配置文件 该客户端配置文件必须包含 Cisco Cloud Web Security 许可证密钥 关于许可证密钥的更多信息, 请参阅 Cisco ScanCenter 管理指南, 版本 5.2 步骤 2 将客户端配置文件另存为明文 XML 文件 上传此文件到 Cisco ScanCenter 服务器 上传文件时, 可以将新客户端配置文件提供给网络安全客户端 有关 Cisco Cloud Web Security 托管配置的更多信息, 请参阅 Cisco ScanCenter 管理指南, 版本 5.2 步骤 3 可以上传新客户端配置文件, 并通过 Cisco ScanCenter 应用于公司, 前提是为该公司启用了 托管配置 (Hosted Configuration) 功能 托管客户端配置文件与许可证关联 这意味着, 如果有其他许可证在使用中 ( 例如, 其他组许可证密钥 ), 则每个许可证可以有自己的与之关联的客户端配置文件 这使管理员可以为不同的用户下推不同的客户端配置文件, 具体取决于用户配置为使用哪个许可证 管理员可以为每个许可证存储不同配置, 并设置默认客户端配置文件供客户端下载 之后, 通过选择该客户端配置文件为默认配置文件, 可以切换至存储于 Cisco ScanCenter 托管配置区的其他修订配置版本之一 仅一个客户端配置文件可以与许可证关联, 这意味着如果有超过一个修订版本与许可证关联, 则仅有一个可为默认 仅拥有重启服务所需权限的用户可以重启网络安全代理服务 安全受信任网络检测 安全受信任网络检测 (Secure Trusted Network Detection) 功能检测终端何时位于公司 LAN 上 ( 无论其是通过实际连接或是 VPN 连接 ) 如果启用 安全受信任网络检测 (Secure Trusted Network Detection) 功能, 所有来自公司 LAN 的网络流量都会绕过 Cisco Cloud Web Security 扫描代理 此类流量的安全性会通过其他方法和位于公司 LAN 上的设备 ( 而非 Cisco Cloud Web Security) 进行管理 如果您选择不使用 安全受信任网络检测 (Secure Trusted Network Detection), 并且您的网络上有任意代理 ( 例如 Cisco Cloud Web Security Connector), 则您必须将每个代理添加至配置文件编辑器 例外 (Exceptions) 面板上的代理例外列表中 更多信息, 请参阅第 6-13 页的代理例外 部分第三方解决方案也需要配置 安全受信任网络检测 (Secure Trusted Network Detection), 如数据丢失防护 (DLP) 设备, 要求流量不受网络安全干扰 6-25

224 关闭和启用 Cisco AnyConnect 网络安全代理 第 6 章 配置网络安全 关闭和启用 Cisco AnyConnect 网络安全代理 管理员可以关闭和启用 Cisco AnyConnect 网络安全代理功能, 通过执行以下步骤拦截网络流量 : 使用 Windows 关闭并启用过滤器 在网络安全配置文件编辑器的 身份验证 (Authentication) 面板中配置用于该步骤的服务密码 步骤 1 打开命令提示符窗口 步骤 2 更改至 %PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client 文件夹 步骤 3 打开或关闭过滤 : 要启用过滤, 输入 acwebsecagent.exe -enablesvc 要关闭过滤, 输入 acwebsecagent.exe -disablesvc -servicepassword 使用 Mac OS X 打开或关闭过滤 在网络安全配置文件编辑器的 身份验证 (Authentication) 面板中配置用于该步骤的服务密码 步骤 1 启动 终端 (Terminal) 应用 步骤 2 更改至 /opt/cisco/anyconnect/bin 文件夹 步骤 3 关闭或启用过滤 : 要启用过滤, 输入./acwebsecagent -enablesvc 要关闭过滤, 输入./acwebsecagent -disablesvc -servicepassword 6-26

225 7 第章 配置 AnyConnect 遥测至 WSA AnyConnect 安全移动客户端的 AnyConnect 遥测模块发送有关恶意内容来源的信息至 Cisco IronPort 网络安全设备 (WSA) 的网络筛选基础设施 网络筛选基础设施使用此数据强化其网络安全扫描算法, 提高 URL 类别和网络声誉数据库的准确性, 并最终提供更好的 URL 筛选规则 AnyConnect 遥测模块执行以下功能 : 监控终端的接收内容 尽可能随时识别并记录终端接收的所有内容的来源 向思科威胁运营中心报告检测到的恶意内容及其来源 每 24 小时检查一次 ASA, 以便获取主机扫描图像更新 如果主机扫描图像更新可用, 则会将图像下拉至终端 如已安装和启用客户体验反馈模块, 反馈模块会将遥测报告随客户反馈数据一同发送至客户反馈服务器 如果反馈模块未启用, 遥测模块会将报告发送至 Cisco IronPort 网络安全设备 (WSA) 以下是本章涵盖的主题 : 系统要求 安装 AnyConnect 遥测模块 AnyConnect 遥测模块互操作性 遥测活动历史记录存储库 遥测报告 配置遥测客户端配置文件 配置文件层次结构 系统要求 AnyConnect 遥测模块, 下文称为 遥测模块, 适用于在以下平台上运行的该版本 AnyConnect 安全移动客户端 : Windows 7 (x86 [32 位 ] 和 x64 [64 位 ]) Windows Vista SP2 (x86 [32 位 ] 和 x64 [64 位 ]) Windows XP SP3 (x86 [32 位 ] 和 x64 [64 位 ]) 7-1

226 系统要求 第 7 章 配置 AnyConnect 遥测至 WSA 遥测模块仅能针对使用 wininit.dll 的浏览器进行 URL 来源跟踪, 如 Internet Explorer 7 和 Internet Explorer 8 如果使用未使用 wininit.dll 的浏览器下载文件, 例如 Firefox 或 Chrome, 则仅能识别用于下载文件的浏览器, 而非下载文件的 URL 遥测模块需要在终端安装 AnyConnect 状态模块支持的防病毒软件应用 AnyConnect 状态模块包含与 CSD 所配备的图像相同的主机扫描图像 主机扫描支持的防病毒软件 反间谍软件和防火墙应用列表与 AnyConnect 和 CSD 的列表相同 ASA 和 ASDM 要求 带遥测模块的 AnyConnect 安全移动客户端模块要求以下最低版本的 ASA 组件 : ASA 8.4 ASDM AnyConnect 安全移动客户端模块要求 遥测模块是 AnyConnect 安全移动客户端的附加组件, 需要按以下顺序在终端安装这些模块 : 1. AnyConnect VPN 模块 2. AnyConnect 状态模块 3. AnyConnect 遥测模块 Cisco IronPort 网络安全设备互操作性的要求 如果正在使用的 AnyConnect 安全移动解决方案配有需要 WSA 安全移动解决方案许可证的 Cisco IronPort 网络安全设备 (WSA), 则您仅能启用遥测功能 所需 WSA 的最低版本为 7.1 AnyConnect 遥测功能需要适当配置的安全移动解决方案 如果尚未配置, 请参阅 Cisco AnyConnect 安全移动解决方案指南, 了解有关如何配置 ASA 以与 WSA 正确配合使用的说明 启用 Cisco IronPort 网络安全设备上的 SenderBase 遥测模块发送病毒攻击事件和活动信息至 WSA, 以便将其转发至威胁运营中心, 并与其他威胁信息相汇总 要实现以上功能, WSA 必须在独立模式下启用 SenderBase 网络参与 以下是启用 SenderBase 安全服务的步骤描述 查阅 WSA 文档中对 SenderBase 安全服务的完整说明 1. 使用 Web 浏览器登录 WSA 管理员 GUI 2. 选择安全服务 (Security Services) > SenderBase 3. 如果 SenderBase 网络参与已禁用, 则点击禁用 (Enable), 然后点击编辑全局设置 (Edit Global Settings) 配置参与级别 思科推荐标准 ( 完全 ) 参与 有关限制和标准参与级别之间区别的更多信息, 请参阅 IronPort AsyncOS 网络用户指南 4. 提交并确认更改 7-2

227 第 7 章 配置 AnyConnect 遥测至 WSA 安装 AnyConnect 遥测模块 安装 AnyConnect 遥测模块 在安装遥测模块之前, 需要在终端安装 AnyConnect 安全移动客户端和 AnyConnect 状态模块 有关使用网络部署和预部署方法安装遥测模块的说明, 请参阅第 2 章, 部署 AnyConnect 安全移动客户端 如要阅读有关部署遥测模块的基本信息, 请参阅快速部署 AnyConnect 遥测模块 安装后遥测模块将立即开始记录启动的任何新进程的操作 ; 但对于安装前在计算机上运行的进程操作, 遥测模块则无法记录 安装后遥测模块在用户退出并再次登录前, 将不会跟踪 Windows Explorer (explorer.exe) 的进程, 包括文件复制和重命名 此外, 在用户重启计算机前, 遥测模块无法记录用户登录前启动的其他进程操作 虽然未作要求, 但我们强烈建议在安装遥测模块后重启终端 快速部署 AnyConnect 遥测模块 以下是部署 AnyConnect 遥测模块时所要执行的步骤总结 该步骤假定已为 AnyConnect VPN 用户配置了组策略和连接配置文件 要部署 AnyConnect 遥测模块, 请执行以下步骤 步骤 1 从 Cisco.com 下载 AnyConnect Windows 数据包 文件具有以下命名惯例 : anyconnect-win-<version>-k9.pkg 步骤 2 上传 AnyConnect Windows 数据包到 ASA: a. 启动 ASDM 并选择 - 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > AnyConnect 客户端设置 (AnyConnect Client Settings) b. 点击添加 (Add) c. 上传 AnyConnect Windows 数据包到 ASDM 出现提示时, 点击确定 (OK), 将 AnyConnect 数据包用作新的当前图像 d. 点击确定 (OK) 点击应用 (Apply) e. 重新启动 ASDM 步骤 3 指定 AnyConnect 数据包作为主机扫描数据包, 并启用主机扫描 : a. 在 ASDM 中选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 主机扫描图像 (Host Scan Image) b. 点击浏览器闪存 (Browse Flash) 并选择您在前一步上传的 anyconnect-win-<version>-k9.pkg 作为主机扫描图像 c. 选中启用主机扫描 /CSD (Enable Host Scan/CSD) d. 点击应用 (Apply) e. 重新启动 ASDM 此步骤还会启用无客户端 SSL VPN 接入的主机扫描 7-3

228 AnyConnect 遥测模块互操作性 第 7 章 配置 AnyConnect 遥测至 WSA 步骤 4 配置组策略, 将遥测部署为可选模块 : 步骤 5 a. 在 ASDM 中选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > 组策略 (Group Policies), 选择要编辑的组策略, 单击编辑 (Edit) b. 选择高级 (Advanced) > AnyConnect 客户端 (AnyConnect Client) c. 取消选中可选客户端模块, 下载继承 (Inherit) 复选框 从下拉框中选择 AnyConnect 遥测和 AnyConnect 状态 d. 点击确定 (OK) 点击应用 (Apply) 点击保存 (Save) 配置连接配置文件, 指定您刚配置的组策略 a. 在 ASDM 中选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) 并选择要用于遥测配置的连接配置文件 点击编辑 (Edit) 基本配置面板自动打开 b. 在 默认组策略 (Default Group Policy) 区域中, 从前一步选择要用于部署遥测的组策略 c. 点击确定 (OK) 点击应用 (Apply) 点击保存 (Save) 步骤 6 创建遥测客户端配置文件并启用遥测 : a. 在 ASDM 中选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profiles) b. 点击添加 (Add) 创建遥测配置文件 为配置文件命名, 并在 配置文件使用 (Profile Usage) 字段选择 遥测 (Telemetry) c. 在 组策略 (Group Policy) 字段中选择您创建的将遥测部署为可选模块的组策略 点击确定 (OK) d. 从文件名称列表中选择您刚创建的遥测客户端配置文件, 然后点击编辑 (Edit) e. 点击 遥测策略 (Telemetry Policy) 面板上的 启用服务 (Enable Service), 并接受遥测客户端配置文件的所有默认值 f. 点击确定 (OK) 点击应用 (Apply) 点击保存 (Save) 步骤 7 启用安全移动解决方案 : a. 在 ASDM 中选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > 安全移动解决方案 (Secure Mobility Solution) b. 在 服务设置 (Service Setup) 区域中选中启用移动用户安全服务 (Enable Mobile User Security Service) c. 点击应用 (Apply) 点击保存 (Save) AnyConnect 遥测模块互操作性 本部分介绍了遥测模块与其他 AnyConnect 安全移动客户端组件的互操作性 : AnyConnect VPN 模块 AnyConnect 模块状态 第三方防病毒软件 7-4

229 第 7 章 配置 AnyConnect 遥测至 WSA 遥测活动历史记录存储库 AnyConnect VPN 模块 AnyConnect VPN 模块采用以下方式与遥测模块进行交互 : AnyConnect 的 VPN 服务进程在服务开始时随所有其他插件模块一同加载并初始化遥测模块 状态改变时, AnyConnect VPN 模块将提供会话状态和 AnyConnect 安全移动 (ACSM) 状态信息 AnyConnect VPN 模块提供来自 WSA 的安全移动服务状态响应的 XML, 以便从 WSA 获得遥测设置 除此之外, 遥测模块与 VPN 模块少有交互并独立运行, 直到 VPN 模块将其关闭, 或者直到 VPN 进程终止 AnyConnect 模块状态 AnyConect 状态模块, 下文称为 状态模块, 包含主机扫描图像 主机扫描图像将病毒检测信息从主机兼容的防病毒软件传递至遥测模块 如果遥测报告需要, 主机扫描也可以传递系统状态信息至 AnyConnect 遥测模块 遥测模块每 24 小时检查一次 ASA, 以便获取主机扫描图像更新 如果在 ASA 上安装了主机扫描图像更新, 遥测模块将下拉图像并自动为终端安装更新 第三方防病毒软件 AnyConnect 遥测模块需要主机扫描兼容的防病毒应用, 以便对病毒和恶意软件进行检测 主机扫描定期检查防病毒应用的威胁日志, 并将病毒检测事件转发至遥测模块 应始终启用防病毒应用的威胁日志, 否则主机扫描将无法触发遥测报告 遥测活动历史记录存储库 遥测活动历史记录存储库是遥测模块在终端上存储活动文件的目录 活动历史记录存储库的位置 : %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Telemetry\data\ 遥测模块可拦截系统运行 用户操作和 API 函数调用, 而遥测模块可利用该功能识别进入终端的内容来源 它会将该信息汇总至应用活动, 如通过 Internet Explorer (iexplorer.exe) 从 URL 下载文件, 或通过 Internet Explorer (iexplorer.exe) 从移动设备复制文件 遥测模块收集此活动并将其记录于 activity.dat 文件 activity.dat 文件是活动历史记录文件 当 activity.dat 文件大小达到约 1 MB 时, 遥测模块会将当前的 activity.dat 文件另存为新文件, 并以保存时的时间戳命名该文件 ; 例如, dat 之后, 遥测模块将创建新的 activity.dat 文件, 并在文件中继续保存最新活动历史记录 当活动历史记录存储库达到一定大小时, 遥测模块会删除最旧的活动历史记录文件 活动历史记录存储库大小由遥测配置文件中配置的最大历史记录日志变量进行管理 当活动历史记录文件达到一定时限后, 遥测模块会从活动历史存储库中将其删除 活动历史记录文件时限由遥测配置文件中配置的最大历史记录 ( 天 ) 变量进行定义 有关如何配置这些变量的说明, 请参阅第 7-8 页的 配置遥测客户端配置文件 部分 7-5

230 遥测报告 第 7 章 配置 AnyConnect 遥测至 WSA 遥测模块从 Windows 函数 ( 例如 winnit.dll 和 Kerel32.dll) 接收其活动信息 如果浏览器或电子邮件应用不使用这些函数, 则遥测模块无法接收任何活动数据 这便是遥测模块无法从 Firefox 和 Chrome 等浏览器接收活动历史记录的原因 存储于活动历史记录存储库的 URL 被视为敏感信息 遥测模块对这些 URL 进行加密, 以便阻止未经授权的接入 有关详细信息, 请参阅第 7-7 页的 URL 加密 部分 如已安装和启用客户体验反馈模块, 反馈模块会将遥测报告随客户反馈数据一同发送至客户反馈服务器 如果反馈模块未启用, 遥测模块会将报告发送至 Cisco IronPort 网络安全设备 (WSA) 遥测报告 遥测报告包含本地防病毒软件识别的病毒信息, 以及防病毒软件为保护终端免遭病毒入侵所执行的操作 遥测模块对报告进行加密, 并将其发送至 WSA, 而 WSA 则会将其转发至思科威胁运营中心 (TOC) TOC 将这些报告与其他报告进行汇总, 生成新的 URL 筛选器和恶意软件筛选器引擎更新, 并将更新分发至所有 WSA 每份遥测报告的事件部分之后都会紧随一个或多个活动部分 事件部分包含以下相关信息 : 恶意软件 本地防病毒应用 防病毒软件为阻止恶意软件所执行的操作, 以及终端的系统信息 活动部分包含引发事件的活动相关信息, 以及病毒的可能来源 当终端通过虚拟私有网络连接到 ASA 时, 遥测模块立即以 ASA 方式发送报告至 WSA 遥测模块发送报告至 WSA 后, 会删除本地副本 如果终端未通过 VPN 连接至 ASA, 遥测模块将在终端上存储报告, 存储地址为 : %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Telemetry\reports\ 遥测报告文件名使用的命名惯例为 :YYYYMMDDHHSSmmm.trt, 反映报告创建的年 月 日 时 分 秒和百分之一秒 存储于遥测报告的 URL 被视为敏感信息 遥测模块对这些 URL 进行加密, 以便阻止未经授权的接入 有关详细信息, 请参阅第 7-7 页的 URL 加密 部分 遥测模块可能对个人信息进行的转移 遥测事件报告包含恶意软件的名称以及在本地系统检测到的恶意软件的位置 该位置的目录路径通常包含下载该恶意软件的用户 ID 例如, 如果 Jonathan Doe 下载了 malware.txt, 则遥测报告中包含的目录名称可能是 C:\Documents and Settings\jdoe\Local Settings\Temp\Cookies\jdoe@malware[1].txt 如果您接受思科终端用户许可证协议, 并安装遥测模块, 则表明您同意思科收集 使用 处理和存储个人信息和非个人信息 此个人信息和非个人信息会被转移至思科, 包括被转移至美国和 / 或欧洲经济区以外的其他国家 / 地区, 以便思科可以确定用户与我们的产品交互的方式, 以及用于为您提供技术网络支持和改善我们的产品和服务的用途 思科可通过匿名汇总表格与选定的第三方共享此信息 我们不会利用此个人信息和非个人信息识别或联系您, 且对该个人信息和非个人信 7-6

231 第 7 章 配置 AnyConnect 遥测至 WSA 遥测报告 息的使用应遵守思科隐私权声明 : 任何时候您均可通过关闭遥测模块或卸载遥测模块的方式撤销对收集 使用 处理和存储个人信息和非个人信息的同意 遥测工作流程 以下步骤提供了遥测模块如何收集信息并将其报告至 WSA 的示例 1. 用户接入网站 并下载压缩文件 myriad_evils.zip 遥测模块记录该两项活动, 并将其保存于 activity.dat 2. 一段时间后, 用户从压缩文件提取内容 evil_virus.exe 遥测模块记录该活动并将其保存于 activity.dat 3. 主机扫描兼容的防病毒应用在 evil_virus.exe 识别到病毒并删除文件 防病毒应用活动提示遥测模块创建有关事件的报告 4. 现在, 遥测模块通过 activity.dat 文件中的信息向后推导, 确定病毒来源 从防病毒应用事件中, 遥测模块确定 evil_virus.exe 是病毒, 并由防病毒应用删除 从 activity.dat 文件中, 遥测模块确定 evil_virus.exe 提取自 myriad_evils.zip, 且该压缩文件从 下载而来 所有这些信息均包含于报告中 5. 遥测模块将遥测报告转发至 WSA 如果终端通过虚拟私有网络连接至 ASA, 则遥测模块会立即发送报告至 WSA, 并删除报告的本地副本 如果终端未通过 VPN 连接至 ASA, 则遥测模块会将报告保存于报告存储库, 并等下一次机会将其发送至 WSA 如果终端安装和启用了客户体验反馈模块, 则由该模块发送遥测报告 6. 如果 WSA 启用了 SenderBase 网络参与, 则会将报告转发至威胁运营中心, 中心与其他来源的数据一起进行分析 WSA 收到其 URL 类别和网络声誉数据库的签名更新 ( 网络声誉数据库将汇总多个来源的信息, 包括遥测数据 ) 凭借这些签名更新并基于 WSA 上配置的不同策略, 可阻止用户接入 和下载 myriad_evils.zip URL 加密 存储于活动历史记录存储库和遥测报告存储库的 URL 被视为敏感信息 遥测模块对这些 URL 进行加密, 以便阻止未经授权的接入 遥测模块将 URL 视为 内部 或 外部 URL 内部 URL 的示例可能包括公司的内部网主页 外部 URL 的示例可能包括在 Internet 上接入的任何 URL 从 SenderBase 网络参与中排除的在 WSA 上配置的所有域和 IP 地址均被遥测模块定义为内部 URL 如果未从 SenderBase 网络参与中排除任何域或 IP 地址, 则遥测模块会将所有 URL 视为外部 URL 内部和外部 URL 均以加密形式包含于遥测报告中, 并发送至 WSA 遥测报告和活动历史记录存储库中指定的所有内部 URL 均采用内部 URL 的 AES 对称密钥进行了加密 遥测报告和活动历史记录存储库中指定的所有外部 URL 均采用外部 URL 的 AES 对称密钥进行了加密 每个 VPN 会话开始时或在遥测服务开始时, 都会随机生成这些 AES 对称密钥 7-7

232 配置遥测客户端配置文件 第 7 章 配置 AnyConnect 遥测至 WSA 用于加密内部 URL 的 AES 密钥由您公司的公共密钥进行加密, 并随遥测报告中 AES 加密的内部 URL 一同发送 您可以在 客户证书 (Custom Certificates) 区域的遥测配置文件中指定公共密钥 您的公共密钥可以是您公司提供的 PEM 格式的任何 X.509 公共密钥证书 用于加密外部 URL 的 AES 密钥由思科公共密钥和您公司的公共密钥进行加密 随遥测报告中的 AES 加密外部 URL 一同发送两个加密版本的 AES 密钥 思科公共密钥是思科公共证书之一, 随遥测模块提供 您无法使用 ASDM 或 ASA 更改思科公共密钥 因此, 您可以用公司的私有密钥解密内部 URL 您可以用思科或您公司的私有密钥解密外部 URL 这样可让思科威胁运营中心对外部 URL 进行检查, 因为它有思科私有密钥, 但因其没有您公司的私有密钥, 因而无法解密您的内部 URL 最终, WSA SenderBase 参与级别将决定加密和报告的 URL 的数量 : 标准版 整个 URL 由思科公共密钥进行加密和报告 限制版 URL 的 URI 部分由您的私有密钥进行加密, 之后生成的 URL 完全由思科公共密钥进行加密 例如, 当遥测报告位于 URL 时, 将用您的私有密钥对 Doc?docid=a1b2c3d4e5f6g7h8=en 进行加密 根据所使用的私有密钥, 生成的 URL 可能与下列字符串相似 : 该字符串由思科公共密钥进行加密和报告 最终, 思科威胁运营中心将仅能解密 URL 中的域名 遥测报告加密 当遥测模块准备发送新的遥测报告至 WSA 时, 它将根据终端 ASA 和 WSA 间配置的共享机密对报告进行加密 之后, 遥测模块向 WSA 发送 HTTP POST 请求, 并由 WSA 汇总数据并使用 SenderBase 网络参与将其发送至威胁运营中心, 从而发布加密报告 如果 POST 请求成功, 遥测模块将从本地报告存储库删除报告 配置遥测客户端配置文件 步骤 1 步骤 2 步骤 3 打开 ASDM 并选择 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network[Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profiles) 点击添加 (Add) 创建客户端配置文件 为客户端配置文件命名 步骤 4 点击配置文件使用 (Profile Usage) 字段并选择遥测 (Telemetry) 步骤 5 接受默认配置文件位置或点击浏览 (Browse) 指定其他文件位置 步骤 6 ( 可选 ) 选择组策略 (Group Policy), 附上客户端配置文件或保留客户端配置文件 <Unassigned> 步骤 7 步骤 8 步骤 9 在 AnyConnect 客户端配置文件 (AnyConnect Client Profile) 页面, 选择您刚创建的遥测配置文件, 并点击编辑 (Edit) 现在, 您可以在遥测配置文件编辑器屏幕编辑遥测配置文件 选中启用服务 (Enable Service) 复选框启用遥测 在最大历史记录日志 (MB) (Maximum History Log [MB]) 字段中, 指定活动历史记录存储库的最大容量 值范围 :2-1,000 MB 默认值 :100 MB 7-8

233 第 7 章 配置 AnyConnect 遥测至 WSA 配置文件层次结构 步骤 10 步骤 11 步骤 12 步骤 13 在最大历史记录 ( 天 ) (Maximum History [Days]) 字段中, 指定保留活动历史记录的最大天数 值范围 :1-1,000 天 默认值 :180 天 在防病毒检查间隔 ( 秒 ) (Antivirus Check Interval [secs]) 字段中, 指定遥测模块提示状态模块查看新防病毒威胁日志的间隔 值范围 :5-300 秒 默认值 :60 秒 在重试发送提示 (Retry Send Attempts) 字段中, 指定 ( 如果初始尝试失败 ) 遥测模块尝试向 WSA 发送遥测报告的次数 值范围 :0-10 默认值 :2 在管理员定义的异常情况 (Administrator Defined Exceptions) 字段中, 指定您想要从遥测报告中排除其行为的应用的可执行文件 您可以通过以下两种方式添加可执行文件 : 在管理员定义的异常情况 (Administrator Defined Exceptions) 文本框中, 输入您想要从遥测报告中排除的文件的文件名或完整文件路径, 并点击添加 (Add) 例如: trusted.exe C:\Program Files\trusted.exe 步骤 14 如果仅指定文件名, 则不会在其所在的任何目录中跟踪该文件的行为 如果添加完整的目录路径和文件名, 则当其位于您所指定的目录时, 不会跟踪该文件的行为 点击浏览 (Browse) 按钮并选择您想要从遥测报告中排除的本地文件 当您浏览添加文件时, 遥感配置文件编辑器将输入文件的完整路径 遥测模块会在使用该遥测配置文件的所有终端 ( 路径终点 ) 上查找此文件 对于该遥测配置文件的所有用户 ( 不仅限于管理员 ) 而言, 路径和文件名必须正确 在以上两种情况下, 文件都会被列于管理员定义的异常情况 (Administrator Defined Exceptions) 列表框内 在从文件自定义证书选择 (Custom Certificate Select from file) 字段中, 点击浏览 (Browse) 查找加密邮件 (.pem) 类型的证书, 以便生成包含 XML 格式证书的配置文件 步骤 15 点击确定 (OK) 步骤 16 点击应用 (Apply) 配置文件层次结构 有 3 种管理遥测行为的客户端配置文件资源 文件按优先顺序操作 表 7-1 遥测客户端配置文件 文件名 位置 说明和优先级 actsettings.xml 安装于以下终端 : %ALLUSERSPROFILE%\Application Data \Cisco\Cisco AnyConnect Secure Mobility Client \Telemetry 文件包含遥测的基本配置 7-9

234 配置文件层次结构 第 7 章 配置 AnyConnect 遥测至 WSA 表 7-1 遥测客户端配置文件 文件名位置说明和优先级 telemetry_profile.tsp 此文件名称由 ASA 管理员指定 WSA 发送的遥测配置文件消息 存储在 ASA 上 在此屏幕上指定其位置 : 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 不适用 这不是文件 遥测客户端配置文件 创建并存储在 ASA 上 此消息中定义的所有元素将覆盖 actsettings.xml 文件中的元素 WSA 上无 XML 文件, 但在回复状态查询请求时, WSA 将以 XML 格式发送消息 此消息中定义的所有元素将覆盖 telemetry_profile.tsp 文件中的元素 7-10

235 8 第章 使用 Cisco AnyConnect 客户体验反馈模块 默认情况下, 此功能启用 思科创建了客户体验反馈模块, 以便我们了解客户使用并启用了哪些功能和模块 我们收集这些客户端信息以了解用户体验, 从而帮助思科继续提高 AnyConnect 的质量 可靠性 性能和用户体验 所有数据采用匿名的方式收集, 不包括可识别个人身份的数据 数据的发送也同样安全无虞 更多信息, 请查看 关于 (About) 菜单下的 最终用户许可协议 (End User License Agreement) 或 隐私政策 (Privacy Policy) 在思科在线隐私声明要点 (Cisco Online Privacy Statement Highlights) 页面上, 您可以接入 Cisco AnyConnect 安全移动客户端补充资料 (AnyConnect Secure Mobility Client Supplement), 了解有关信息收集和使用的详细信息 为客户体验反馈收集的 3 种类型的数据包括 : 可用性数据 - 详情请参阅隐私政策 每月收集并发送此数据一次 网络威胁数据 - 如果安装并启用了遥测模块, 您可以使用客户体验反馈模块来传输遥测收集数据 报告威胁时, 发送此数据 有关遥测模块的详情, 请参阅第 7 章, 配置 AnyConnect 遥测至 WSA 故障报告 - 每 24 小时检查一次 AnyConnect 生成的故障转储文件, 收集并发送至客户体验反馈服务器 客户体验反馈模块的主要组件如下 : 反馈模块 - 收集信息并定期将信息发送至服务器的 AnyConnect 软件组件 思科反馈服务器 - 收集客户体验反馈数据, 并将数据以原始格式存储于临时存储区的思科所有的云基础设施 ASA 和 ASDM 要求 配有客户体验反馈模块的 AnyConnect 安全移动客户端需要以下最低版本的 ASA 组件 : ASA 8.4(1) ASDM

236 配置客户体验反馈模块 第 8 章 使用 Cisco AnyConnect 客户体验反馈模块 配置客户体验反馈模块 AnyConnect 客户体验反馈模块默认启用 采用推荐设置对配置文件进行设置, 管理员可以选择退出反馈 最终用户必须遵守管理员建立的设置 要求 Windows 和 Mac OS X 支持客户体验反馈模块 详细步骤 步骤 1 要从 ASDM 启动配置文件编辑器和创建新的配置文件, 请遵循第 2-2 页的 使用集成 AnyConnect 配置文件编辑器创建和编辑 AnyConnect 客户端配置文件 部分中的步骤 使用与 ASDM 集成的配置文件编辑器创建客户反馈模块的客户端配置文件后, 继续至第 2 步 步骤 2 打开 ASDM 并选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile) 步骤 3 步骤 4 选择您创建的 AnyConnect 客户体验反馈客户端配置文件, 然后点击编辑 (Edit) 客户体验反馈配置文件编辑器打开 客户体验反馈模块默认启用 如果不希望提供反馈, 必须禁用该项 安装后可随时禁用, 这是退出客户反馈体验的首选方法 如果启用客户体验反馈, 则不使用思科网络安全设备 (WSA), 因为使用客户体验反馈模块的设备接替了遥测功能 禁用客户体验反馈时, 遥测数据发送至 WSA 步骤 5 步骤 6 默认包含故障报告 如果不想收集 AnyConnect 生成的故障报告, 管理员必须清除复选框 思科建议管理员选择输入客户密钥或 ID 如果允许思科明确识别来自您组织的信息, 则此密钥将数据附加至您的组织, 否则, 思科无法按组织对报告进行分组 安装时禁用 安装时, 您也可以删除整个客户体验反馈模块 关于网络部署 请参阅第 2-13 页的 配置 ASA 以下载 AnyConnect 部分 关于 Windows 预部署 请参阅第 2-23 页的 使用 SMS 预部署 AnyConnect 模块 部分 关于 Linux 或 Mac 预部署 请参阅第 2-27 页的 预部署到 Linux 和 Mac OS X 计算机 部分 此流程不是禁用客户体验反馈模块的首选项 首选方法请参阅上述步骤 4 8-2

237 9 第章 NGE FIPS 和其他安全 为满足升级安全和性能要求, 下一代加密 (NGE) 引入了加密 身份验证 数字签名和密钥交换的新算法 美国国家标准与技术研究院 (NIST) 指定了设备必须支持的一组密码算法, 以满足美国联邦密码强度标准 RFC 6379 定义了 Suite B 加密套件 因为定义为 NIST Suite B 的算法集合正在成为标准, 所以现在 AnyConnect IPsec VPN( 仅 IKEv2) PKI 802.1X 和 EAP 子系统可为其提供支持 AnyConnect 3.1 使用 CiscoSSL 0.9.8r.1.3 FIPS 认证执行的 Suite B 密码 (AnyConnect 3.1 不支持 TLS/DTLS SRTP 和 SSH Suite B ) 思科执行的 Suite B 规范为 FIPS 认证, 经过 AnyConnect 和 ASDM 配置后, NGE 功能被称为 FIPS 功能 AnyConnect VPN 组件可以连接到两个 VPN 头端之一 : ASA IOS 此功能无需客户端配置 AnyConnect 组件根据自适应安全设备 (ASA) 配置协商和使用 NGE AnyConnect 客户端的 统计 (Statistics) 面板 ( 在 传输信息 [Transport Information] 标题下方 ) 显示所使用密码的名称 本章包含了以下部分 : 第 9-1 页的 NGE 和 AnyConnect 相关信息 第 9-4 页的启用 AnyConnect 核心 VPN 客户端的 FIPS 第 9-7 页的配置您的更新策略 第 9-10 页的 AnyConnect 本地策略参数和值 第 9-13 页的为网络接入管理器启用 FIPS NGE 和 AnyConnect 相关信息 AnyConnect 3.1 VPN 和网络接入管理器的下一代加密 (NGE) 包括以下功能 : 对称加密和完整性的 AES-GCM 支持 ( 网络接入管理器 ) 802.1AE (MACsec) 有线软件流量加密的 128 位密钥 (Windows 7) (VPN) IKEv2 负载加密和身份验证的 128 位密钥 192 位密钥和 256 位密钥 (VPN) ESP 数据包加密与身份验证 哈希的 SHA-2 (256/384/512 位 SHA) 支持 ( 网络接入管理器 ) 在基于 TLS 的 EAP 方法中使用 SHA-2 证书的功能 9-1

238 NGE 和 AnyConnect 相关信息 第 9 章 NGE FIPS 和其他安全 (VPN) IKEv2 负载身份验证 (Windows Vista 或更高版本, Mac OS X 10.6 或更高版本 ) (VPN) ESP 数据包身份验证 (Windows Vista 或更高版本, Mac OS X 10.6 或更高版本 ) 密钥交换的 ECDH 支持 ( 网络接入管理器 ) 在基于 TLS 的 EAP 方法中使用 ECDHE 的功能 (Windows 7 和 Windows XP) (VPN) 第 和 21 组 IKEv2 密钥交换和 IKEv2 PFS 数字签名 非对称加密和身份验证的 ECDSA 支持 (256 位 384 位 521 位椭圆曲线 ) ( 网络接入管理器 ) 在基于 TLS 的 EAP 方法中使用 ECDSA 证书的功能 ( 客户端证书仅支持 Windows 7 和 Vista 智能卡仅支持 Windows 7 ) (VPN) IKEv2 用户身份验证和服务器证书验证 在 Linux 上,AnyConnect 可以使用 Firefox 证书存储区或 AnyConnect 文件证书存储区 对于 ECDSA 证书, 仅支持 AnyConnect 文件存储区 要将证书添加至文件存储区, 请参阅为 Mac 和 Linux 创建 PEM 证书存储区 IPsecV3 VPN 的新密码算法 除 NULL 加密外, AnyConnect 3.1 支持 IPsecV3 所需的算法 IPsecV3 还指定了必须支持扩展序列号 (ESN), 但 AnyConnect 3.1 不支持 ESN 算法之间的其他密码套件相关性可在以下方面促进对 AnyConnect 3.1 的支持 : IKEv2 的第 14 和 24 Diffie-Hellman 组 DTLS 和 IKEv2 带 4096 位密钥的 RSA 证书 要求 仅在带硬件密码加速的 SMP ASA 网关 ( 如 5585 和 5515-X) 上支持加密和完整性均在一次操作中执行的组合模式加密算法 AES-GCM 是思科支持的组合模式加密算法 IKEv2 策略仅能包含正常或组合模式加密算法, 但无法同时支持两种类型 在 IKEv2 策略中配置组合模式算法时, 禁用所有正常模式算法, 因此唯一有效的完整性算法是 NULL IKEv2 IPsec 提议使用不同的模型, 可以在同一提议中同时指定正常和组合模式加密算法 在这种情况下, 您需要为两者配置完整性算法, 保留以 AES-GCM 加密配置的非 NULL 完整性算法 对于使用 NIST Suite B 算法的 IKEv2 远程接入连接,NGE 需要 AnyConnect Premium 许可证 其他连接或用途 ( 如 PKI) 的 Suite B 算法使用没有限制 为远程接入连接执行许可证检查 如果您收到消息, 指出您正在无 AnyConnect Premium 许可证的情况下尝试使用 NIST Suite B 密码算法, 则您可以选择安装 Premium 证书或将密码设置重新配置至适用级别 IPSec 连接需要包含数字签名和密钥加密的 密钥使用 属性的服务器证书, 以及服务器身份验证或 IKE 中级的 增强型密钥使用 属性 意, 不包含 密钥使用 的 IPsec 服务器证书被所有 密钥使用 视为无效, 类似地, 不包含 增强型密钥使用 的 IPSec 服务器证书也被所有 增强型密钥使用 视为无效 9-2

239 第 9 章 NGE FIPS 和其他安全 NGE 和 AnyConnect 相关信息 指南和限制 本部分包括该功能的指南和限制 Suite B 仅可用于 IKEv2/IPsec 验证使用 SHA-2 签署的证书时, 除基于 TLS 的 EAP 外, 无 EAP 方法支持 SHA-2 AnyConnect 3.1 不支持 TLS v1.2 握手 AnyConnect 3.1 不支持 TLS v1.2 证书身份验证 Windows Vista 或更高版本 Mac OS X 10.6 或更高版本 Red Hat Enterprise Linux 6.x (32 位 ) 或 6.4 (64 位 ) 以及 Ubuntu 9.x 10.x 和 11.x (32 位 ) Ubuntu 12.4 和 (64 位 ) 支持 ECDSA 证书 仅 Windows 7 支持 ECDSA 智能卡 ECDSA 证书的 摘要 (Digest) 强度必须等于或大于 曲线 (Curve) 强度 例如, EC-384 密钥必须使用 SHA2-384 或更高版本 Suite B 配置文件可能需要证书中的某些策略属性 ; 但这些要求在 ASA 上强制执行且不由 AnyConnect 执行 由于 ASA 不支持 SSL VPN 的 ECDSA 证书, 您不应将该证书用于 SSL VPN 以不同服务器证书为 SSL 和 IPsec 配置 ASA 时, 使用受信任证书 如果使用具有不同 IPsec 和 SSL 证书的 Suite B (ECDSA) 不受信任证书, 则状态评估 WebLaunch 或下载程序可能发生故障 由于 AES-GCM 为计算密集型算法, 所以在使用这些算法时, 您可能遇到较低的整体数据速率 部分新 Intel 处理器包含专门引进以提升 AES-GCM 性能的特别说明 AnyConnect 3.1 自动检测运行其的处理器是否支持这些新说明 如果支持, 则相比没有特别说明的处理器, AnyConnect 可使用新说明显著提升 VPN 数据速率 支持新说明的处理器列表, 请参阅 有关更多信息, 请参阅 r-computing-the-gcm-mode/ IPSec 连接在服务器证书上执行名称验证 在 IPSec 名称验证中应用了以下规则 : 如果主题备用名称扩展存在相关属性, 则名称验证仅使用主题备用名称 如果连接至 IP 地址, 则相关属性包括所有证书的 DNS 名称属性, 还包括 IP 地址属性 如果主题备用名称扩展不存在, 或存在但不包含相关属性, 则名称验证使用在证书主题中找到的任何通用名称属性 如果证书出于名称验证目的使用通配符, 则通配符必须仅出现在第一个 ( 最左 ) 子域中, 此外, 必须为子域 ( 最右 ) 的最后一个字符 在名称验证中, 忽略任何不合规的通配符输入 有关使用 NGE 的 AnyConnect 模块 基于每个型号, 对 ASA 授权了 AnyConnect FIPS 认证功能 以下 AnyConnect 客户端模块具有自己的 FIPS 配置和要求 : AnyConnect 核心 VPN 客户端 - FIPS 合规性由用户计算机上本地策略文件中的 FIPS 模式参数启用 XML 文件 AnyConnectLocalPolicy 包含安全设置, 但不是由 ASA 部署 它必须手动安装, 或使用企业软件部署系统部署 您必须为客户端连接的每个 ASA 购买 FIPS 许可证 AnyConnect 网络接入管理器 - 网络接入管理器支持的 FIPS 由用户计算机上 AnyConnectLocalPolicy.xml 中的 FIPS 模式参数以及网络接入管理器组策略中的 FIPS 模式参数启用 9-3

240 启用 AnyConnect 核心 VPN 客户端的 FIPS 第 9 章 NGE FIPS 和其他安全 Windows 7/Vista 和 Windows XP 支持网络接入管理器 FIPS Windows XP 需要 3e Technologies International 的 3eTI FIPS 验证的密码内核库 (CKL), 以及与网络接入管理器集成的支持驱动程序 使用部件号 AIR-SSCFIPS-DRV 从思科订购支持 FIPS 3eTI CKL 的驱动安装程序 ( 随 CD 提供 ) 有关驱动程序和支持芯片集的信息, 请参阅 AnyConnect 软件下载页面上的 3eTI 密码客户端软件型号 3e-010F-3-IA 版本说明 启用 AnyConnect 核心 VPN 客户端的 FIPS 您可以在用户计算机上的本地策略文件中, 为核心 AnyConnect 安全移动客户端启用 FIPS 合规性 此文件为包含安全设置的 XML 文件, 但不是由 ASA 部署 该文件必须手动安装, 或使用企业软件部署系统部署至用户计算机 您必须为客户端连接的 ASA 购买 FIPS 许可证 AnyConnect 本地策略参数位于 XML 文件 AnyConnectLocalPolicy.xml 中 该文件不是由 ASA 部署 必须使用公司软件部署系统部署该文件, 在用户计算机上手动更改文件, 或将其包含于预部署 AnyConnect 安装程序中 如果在用户系统上对现有本地策略文件进行了更改, 则应重启该系统 通过禁止远程更新防止中间人攻击, 以及通过防止非管理员或非根用户修改客户端设置, AnyConnect 本地策略的其他参数提高了安全性 本部分介绍如何为 AnyConnect 核心 VPN 客户端启用 FIPS 模式和其他安全性, 包括以下主题 : 第 9-4 页的使用 MST 文件为 Windows 客户端启用 FIPS 第 9-4 页的在 MST 文件中启用 FIPS 和其他本地策略参数 第 9-5 页的通过启用 FIPS 工具启用 FIPS 和其他参数 第 9-6 页的在本地策略中手动更改本地策略参数 第 9-6 页的避免 AnyConnect FIPS 册表更改导致的终端问题 第 9-10 页的 AnyConnect 本地策略参数和值 使用 MST 文件为 Windows 客户端启用 FIPS 对于 Windows 安装, 您可以将思科 MST 文件应用至标准 MSI 安装文件, 以在 AnyConnect 本地策略中启用 FIPS 该 MST 仅会启用 FIPS, 不会更改其他参数 安装将生成启用 FIPS 的 AnyConnect 本地策略文件 在运行此实用程序后, 更新用户系统 有关何处可下载 AnyConnect MST 的信息, 请参阅您从 FIPS 客户端接收的侦听信息 在 MST 文件中启用 FIPS 和其他本地策略参数 您可以创建 MST 文件来更改任何本地策略参数 MST 参数名称对应于 AnyConnect 本地策略文件 (AnyConnectLocalPolicy.xml) 中的参数 有关说明和您可以为以下参数设置的值, 请参阅 AnyConnect 本地策略参数和值 : LOCAL_POLICY_BYPASS_DOWNLOADER LOCAL_POLICY_FIPS_MODE LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS LOCAL_POLICY_RESTRICT_WEB_LAUNCH LOCAL_POLICY_STRICT_CERTIFICATE_TRUST 9-4

241 第 9 章 NGE FIPS 和其他安全 启用 AnyConnect 核心 VPN 客户端的 FIPS AnyConnect 安装不会自动覆盖用户计算机上的现有本地策略文件 您必须首先删除用户计算机上的现有策略文件, 以便客户端安装程序可以创建新的策略文件 对本地策略文件的任何更改均需重启系统 通过启用 FIPS 工具启用 FIPS 和其他参数 对于所有操作系统, 您可以使用思科的启用 FIPS 工具创建启用了 FIPS 的 AnyConnect 本地策略文件 启用 FIPS 工具是使用 Windows 管理员权限或 Linux 和 Mac 根用户身份运行的命令行工具 有关何处可下载启用 FIPS 工具的信息, 请参阅您从 FIPS 客户端接收的侦听信息 表 9-1 显示了可以指定的策略设置以及要使用的参数和语法 参数值的行为与 AnyConnect 本地策略参数和值的 AnyConnect 本地策略文件中参数指定的行为相同 从计算机命令行输入命令 EnableFIPS <arguments> 运行启用 FIPS 工具 将以下使用说明应用至启用 FIPS 工具 : 如果不提供任何参数, 工具启用 FIPS 并重新启动 vpnagent 服务 (Windows) 或 vpnagent 守护程序 (MAC 和 Linux) 使用空格分隔多个参数 以下示例显示了在 Windows 计算机上运行的启用 FIPS 工具命令 : EnableFIPS rwl=false sct=true bd=true fm=false 下一个示例显示了在 Linux 或 Mac 计算机上运行的命令 :./EnableFIPS rwl=false sct=true bd=true fm=false 表 9-1 显示策略设置和启用 FIPS 工具的参数 第 9-10 页的 AnyConnect 本地策略参数和值中提供了策略设置的说明 表 9-1 启用 FIPS 工具的策略设置和参数 策略设置 参数和语法 FIPS 模式 fm=[true false] 绕过下载程序 bd=[true false] 限制网络启动 rwl=[true false] 严格证书信任 sct=[true false] 限制首选缓存 rpc=[credentials Thumbprints CredentialsAndThumbprints All false] 排除 Firefox NSS 证书存储区 efn=[true false] (Linux 和 Mac) 排除 PEM 文件证书存储区 epf=[true false] (Linux 和 Mac) 排除 Mac 本地证书存储区 emn=[true false] ( 仅 Mac) 9-5

242 启用 AnyConnect 核心 VPN 客户端的 FIPS 第 9 章 NGE FIPS 和其他安全 在本地策略中手动更改本地策略参数 要手动更改 AnyConnect 本地策略参数, 请遵循以下步骤 : 步骤 1 从客户端安装检索 AnyConnect 本地策略文件 (AnyConnectLocalPolicy.xml) 的副本 下表显示了各操作系统的安装路径 表 9-2 操作系统和 AnyConnect 本地策略文件安装路径 操作系统 安装路径 Windows 7 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client Windows Vista C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client Windows XP C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client Windows Mobile %PROGRAMFILES%\Cisco AnyConnect VPN Client 1 Linux Mac OS X /opt/cisco/anyconnect /opt/cisco/anyconnect 1. AnyConnect 3.0+ 不支持 Windows Mobile 该路径是 AnyConnect 2.5 本地策略文件 步骤 2 步骤 3 步骤 4 编辑参数设置 您可以手动编辑 AnyConnectLocalPolicy 文件, 或者使用 AnyConnect 配置文件编辑器安装程序分配的 VPN 本地策略编辑器进行编辑 第 9-10 页的 AnyConnect 本地策略参数和值对参数进行了介绍 将文件另存为 AnyConnectLocalPolicy.xml, 并使用公司软件部署系统将文件部署至远程计算机 重启远程计算机, 以使本地策略文件的更改生效 避免 AnyConnect FIPS 册表更改导致的终端问题 为核心 AnyConnect 客户端启用 FIPS, 将给终端设备带来系统范围内的后果 AnyConnect 更改终端上的 Windows 册表设置 终端的其他组件可能检测到 AnyConnect 已启用 FIPS 并开始使用加密 例如, Microsoft 终端服务客户端远程桌面协议 (RDP) 将无法工作, 因为 RDP 需要该服务器使用符合 FIPS 的加密 要避免上述问题, 您可以通过将参数使用符合 FIPS 的算法进行加密 哈希和签名 (Use FIPS compliant algorithms for encryption, hashing, and signing) 更改为禁用 (Disabled), 在 Windows 本地系统加密设置中临时禁用 FIPS 加密 意, 重启终端设备会使该设置更改回启用 表 9-3 显示了 AnyConnect 执行的 Windows 册表更改, 您应当予以关 : 表 9-3 启用 AnyConnect FIPS 时执行的 Windows 册表项更改 Windows 版本 册表项 执行的操作 Windows XP 及更高版本 HKLM\System\CurrentControlSet\Control\Lsa FIPSAlgorithmPolicy 从 0 更改为 1 9-6

243 第 9 章 NGE FIPS 和其他安全 配置您的更新策略 Windows 版本册表项执行的操作 Windows Vista 及更高版本 HKLM\System\CurrentControlSet\Control\Lsa\ FIPSAlgorithmPolicy HKCU\Software\Microsoft\Windows\ CurrentVersion\Internet Settings HKLM\Software\Policies\Microsoft\Windows\ CurrentVersion\Internet Enabled 从 0 更改为 1 通过以原始设置执行 0x080 的逐位 或 操作, 将 SecureProtocols 设置更改为 TLSV1 通过以原始设置执行 0x080 的逐位 或 操作, 将 SecureProtocols 设置更改为 TLSV1 这一流程为组策略设置了 TLSv1 配置您的更新策略 更新策略概述 连接至头端时更新可用, 且客户端允许更新, AnyConnect 软件和配置文件便会进行更新 为 AnyConnect 更新配置头端以使更新可用,VPN 本地策略文件中的 更新策略 (Update Policy) 设置决定了是否允许更新 有时, 将更新策略称为软件锁定 配置多个头端时, 更新策略称为多域策略 默认情况下, 更新策略 (Update Policy) 设置允许来自任何头端的软件和配置文件更新 设置 更新策略 (Update Policy) 参数, 对此进行如下限制 : 通过在服务器名称 (Server Name) 列表中指定, 允许或授权特定头端更新所有 AnyConnect 软件和配置文件 头端服务器名称可以是 FQDN 或 IP 地址 也可以是通配符, 例如 :*.example.com 有关如何更新的完整说明, 请参阅下面的授权服务器更新行为 对于所有其他未指定或未授权的头端 : 使用允许来自任何服务器的软件更新 (Allow Software Updates From Any Server) 选项, 允许或禁止 VPN 核心模块和其他可选模块的软件更新 使用允许来自任何服务器的 VPN 配置文件更新 (Allow VPN Profile Updates From Any Server) 选项, 允许或禁止 VPN 配置文件更新 使用允许来自任何服务器的服务配置文件更新 (Allow Service Profile Updates From Any Server) 选项, 允许或禁止其他服务模块配置文件更新 有关如何更新的完整说明, 请参阅下面的未授权的服务器更新行为 授权服务器更新行为 连接至在 服务器名称 (Server Name) 列表中标识的授权头端时, 其他 更新策略 (Update Policy) 参数无法应用, 并将出现以下情况 : 头端上 AnyConnect 程序包的版本与客户端版本进行比较, 以确定软件是否应该更新 如果 AnyConnect 程序包的版本比客户端的版本旧, 则不会进行软件更新 如果 AnyConnect 程序包的版本与客户端的版本相同, 则仅下载和安装头端上为下载配置的软件模块和客户端上没有的软件模块 9-7

244 配置您的更新策略 第 9 章 NGE FIPS 和其他安全 未授权的服务器更新行为 如果 AnyConnect 程序包的版本比客户端的版本新, 则下载和安装头端上为下载配置的软件模块以及客户端上已安装的软件模块 头端上的 VPN 配置文件和每个服务配置文件与客户端上的相应配置文件进行比较, 以确定是否应该更新 : 如果头端的配置文件与客户端的配置文件相同, 则不会进行更新 如果头端的配置文件与客户端的配置文件不同, 则会进行下载 连接至未授权头端时, 允许来自任何服务器的... 更新 (Allow... Updates From Any Server) 选项用于决定 AnyConnect 如何进行以下更新 : 允许来自任何服务器的软件更新 (Allow Software Updates From Any Server): 如果选中此选项, 则允许该未授权的 ASA 进行软件更新 根据对上述授权头端的版本比较进行更新 如果未选中此选项, 则不会进行软件更新 此外, 根据版本比较, 如果本来应该进行更新, 则 VPN 连接尝试将终止 允许来自任何服务器的 VPN 配置文件更新 (Allow VPN Profile Updates From Any Server): 如果选中此选项, 则当头端的 VPN 配置文件与客户端的配置文件不同时, 对 VPN 配置文件进行更新 如果未选中此选项, 则不会更新 VPN 配置文件 此外, 根据版本不同, 如果 VPN 配置文件本来应该进行更新, 则 VPN 连接尝试将终止 允许来自任何服务器的服务配置文件更新 (Allow Service Profile Updates From Any Server): 如果选中此选项, 则当头端的配置文件与客户端的配置文件不同时, 对每个服务配置文件进行更新 如果未选中此选项, 则不会更新服务配置文件 更新策略指南 通过将服务器的 IP 地址列于授权服务器名称 (Server Name) 列表, 使远程用户可使用其 IP 地址连接至头端 如果用户尝试使用 IP 地址连接, 但头端被列为 FQDN, 该尝试将被视为连接至未授权的域 软件更新包括下载自定义 本地化和转换 禁止进行软件更新时, 便不会下载上述项目 下载启用了 永远在线 (Always-On) 的 VPN 配置文件会删除客户端上的所有其他 VPN 配置文件 在决定允许或禁止来自未授权或非公司头端的 VPN 配置文件更新时, 考虑以上因素 如果因安装和更新策略而未下载 VPN 配置文件至客户端, 则以下功能不可用 : 服务禁用证书存储区覆盖显示预连接消息本地 LAN 接入登录前启动 不受信任网络策略受信任 DNS 域受信任 DNS 服务器 永远在线强制网络门户修复 9-8

245 第 9 章 NGE FIPS 和其他安全 配置您的更新策略 本地代理连接 PPP 排除自动 VPN 策略受信任网络策略 脚本语言支持销时保留 VPN 所需的设备锁定自动服务器选择 下载程序创建记录下载历史记录的单独文本日志 (UpdateHistory.log) 此日志包含更新时间 更新客户端的 ASA 更新模块以及升级前后所安装的版本 此日志文件存储于: %AllUsers%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Logs directory. 更新策略示例 该示例显示了客户端上的 AnyConnect 版本不同于各种 ASA 头端上的版本时的客户端更新行为 鉴于以下 VPN 本地策略 XML 文件中的更新策略 : <?xml version="1.0" encoding="utf-8"?> <AnyConnectLocalPolicy acversion=" " xmlns= xmlns:xsi= xsi:schemalocation=" AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader><RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> <UpdatePolicy> <AllowSoftwareUpdatesFromAnyServer>true</AllowSoftwareUpdatesFromAnyServer> <AllowVPNProfileUpdatesFromAnyServer>false</AllowVPNProfileUpdatesFromAnyServer> <AllowServiceProfileUpdatesFromAnyServer>false</AllowServiceProfileUpdatesFromAnyS erver> <AuthorizedServerList> <ServerName>seattle.example.com</ServerName> <ServerName>newyork.example.com</ServerName> </AuthorizedServerList> </UpdatePolicy> </AnyConnectLocalPolicy> 有以下 ASA 头端配置 : 表 9-4 ASA 头端 加载的 AnyConnect 程序包 待下载模块 seattle.example.com 版本 VPN 网络接入管理器 网络安全 newyork.example.com 版本 VPN 网络接入管理器 raleigh.example.com 版本 VPN 状态 当客户端当前运行 AnyConnect VPN 和网络接入管理器模块版本 时, 可能出现以下更新序列 : 客户端连接到 seattle.example.com ( 以相同版本 AnyConnect 配置的授权服务器 ) 将下载和安装网络安全软件模块, 如果可用, 还会下载和安装网络安全配置文件 如果 VPN 和网络接入管理器的配置文件可下载, 且不同于客户端上的配置文件, 将下载这些配置文件 9-9

246 AnyConnect 本地策略参数和值 第 9 章 NGE FIPS 和其他安全 之后, 客户端连接到 newyork.example.com ( 以较新版本 AnyConnect 配置的授权 ASA) 将下载并安装 VPN 网络接入管理器和网络安全模块 还将下载可下载且不同于客户端的配置文件 之后, 客户端连接到 raleigh.example.com ( 未授权 ASA) 因为允许软件更新, 所以 VPN 网络接入管理器 网络安全和状态模块均升级到 由于不允许更新 VPN 配置文件和服务配置文件, 所以无法下载这些配置文件 如果本来可以更新 VPN 配置文件 ( 前提是存在不同 ), 则连接将会终止 AnyConnect 本地策略参数和值 以下参数是 VPN 本地策略编辑器和 AnyConnectLocalPolicy.xml 文件中的元素 XML 元素在括号 <> 中显示 如果您手动编辑文件, 并忽略了策略参数, 则该功能诉诸默认行为 <acversion> 指定能够解读该文件中所有参数的最低版本的 AnyConnect 客户端 如果运行 AnyConnect 版本的客户端比读取文件的该版本旧, 则会发出事件日志警告 格式为 acversion="<version number>" FIPS 模式 <FipsMode> 为客户端启用 FIPS 模式 这会强制客户端仅使用 FIPS 标准认可的算法和协议 绕过下载程序 <BypassDownloader> 选择后, 禁用 VPNDownloader.exe 模块启动, 该模块负责检测本地版本动态内容的存在和更新 客户端不检查 ASA 上动态内容的状态, 包括转换 自定义 可选模块和核心软件更新 选择 绕过下载程序 (Bypass Downloader) 后, 该客户端连接到 ASA 时会出现以下两种情况之一 : 如果 ASA 上的 VPN 客户端配置文件不同于客户端上的配置文件, 则客户端中止连接尝试 如果 ASA 上无 VPN 客户端配置文件, 则客户端建立 VPN 连接, 但它会使用硬编码 VPN 客户端配置文件设置 如果您在 ASA 上配置了 VPN 客户端配置文件, 则必须在客户端连接至将 BypassDownloader 设置为 true 的 ASA 之前, 将配置文件安装于客户端 因为配置文件可包含管理员定义的策略, 所以仅在不依赖 ASA 对客户端配置文件进行中央管理的情况下, 建议将 BypassDownloader 设置为 true 限制网络启动 <RestrictWebLaunch> 阻止用户使用不符合 FIPS 的浏览器启动 WebLaunch 这通过阻止客户端获取用于启动 AnyConnect 隧道的安全 Cookie 来实现 客户端向用户显示一般消息 9-10

247 第 9 章 NGE FIPS 和其他安全 AnyConnect 本地策略参数和值 严格证书信任 <StrictCertificateTrust> 如果选择, 则验证远程安全网关时,AnyConnect 会禁止所有无法验证的证书 客户端使用自签名证书连接至安全网关失败时, 不会提示用户接受这些证书, 而是显示以下消息 : 本地策略禁止接受不受信任的服务器证书 不会建立连接 如果未选择, 则客户端的默认行为是提示用户接受证书, 符合之前版本的 AnyConnect 出于以下原因, 我们强烈建议您为 AnyConnect 客户端启用 严格证书信任 (Strict Certificate Trust): 随着目标攻击增加, 当用户连接来自不受信任网络 ( 如公共接入网络 ) 时, 在本地策略中启用 严格证书信任 (Strict Certificate Trust) 帮助阻止 中间人 攻击 即使您使用完全可验证和受信任证书, 默认情况下, AnyConnect 客户端也会允许最终用户接受不可验证的证书 如果您的最终用户受到中间人攻击, 则可能会提示他们接受恶意证书 要为您的最终用户删除此决策, 启用 严格证书信任 (Strict Certificate Trust) 限制首选缓存 <RestrictPreferenceCaching> 根据设计, AnyConnect 不会缓存敏感信息到磁盘 启用此参数将该策略扩展至存储于 AnyConnect 首选项中的任何类型的用户信息 凭据 (Credentials) - 未缓存用户名称和第二用户名称 指纹 (Thumbprints) - 未缓存客户端和服务器证书指纹 凭据和指纹 (CredentialsAndThumbprints) - 未缓存证书指纹和用户名 全部 (All) - 未缓存自动首选项 错误 (false) - 将所有首选项写入磁盘 ( 默认行为符合 AnyConnect 2.3 或更早版本 ) 排除 PEM 文件证书存储区 (Linux 和 Mac) <ExcludePemFileCertStore> 防止客户端使用 PEM 文件证书存储区验证服务器证书和搜索客户端证书 存储区使用支持 FIPS 的 OpenSSL, 并有关于在何处为客户端证书身份验证取得证书的信息 允许 PEM 文件证书存储区确保远程用户正在使用符合 FIPS 的证书存储区 排除 Mac 本地证书存储区 ( 仅 Mac) <ExcludeMacNativeCertStore> 防止客户端使用 Mac 本地 (keychain) 证书存储区验证服务器证书和搜索客户端证书 排除 Firefox NSS 证书存储区 (Linux 和 Mac) <ExcludeFirefoxNSSCertStore> 防止客户端使用 Firefox NSS 证书存储区验证服务器证书和搜索客户端证书 存储区有关于在何处为客户端证书身份验证取得证书的信息 更新策略 <UpdatePolicy> 9-11

248 AnyConnect 本地策略参数和值 第 9 章 NGE FIPS 和其他安全 本部分允许您控制客户端可以从哪些 ASA 获得软件或配置文件更新 有关软件和配置文件更新设置会如何影响客户端更新的更多信息, 请参阅第 9-7 页的配置您的更新策略 允许来自任何服务器的软件更新 <AllowSoftwareUpdatesFromAnyServer> 允许或禁止来自未授权服务器 ( 未列于 服务器名称 [Server Name] 列表中 ) 的 VPN 核心模块和其他可选模块的软件更新 允许来自任何服务器的 VPN 策略更新 <AllowVPNProfileUpdatesFromAnyServer> 允许或禁止来自未授权服务器 ( 未列于 服务器名称 [Server Name] 列表中 ) 的 VPN 配置文件更新 允许来自任何服务器的服务配置文件更新 <AllowServiceProfileUpdatesFromAnyServer> 允许或禁止来自未授权服务器 ( 未列于 服务器名称 [Server Name] 列表中 ) 的其他服务模块配置文件更新 服务器名称 <ServerName> 指定该列表中授权的服务器 允许对头端上与 VPN 连接相关的所有 AnyConnect 软件和配置文件进行完整更新 ServerName 可以为 FQDN IP 地址 域名或带域名的通配符 本地策略文件示例 <?xml version="1.0" encoding="utf-8"?> <AnyConnectLocalPolicy xmlns=" xmlns:xsi=" xsi:schemalocation=" AnyConnectLocalPolicy.xsd" acversion=" "> <FipsMode>true</FipsMode> <BypassDownloader>true</BypassDownloader> <RestrictWebLaunch>true</RestrictWebLaunch> <StrictCertificateTrust>true</StrictCertificateTrust> <RestrictTunnelProtocols>IPSec</RestrictTunnelProtocols> <RestrictPreferenceCaching>Credentials</RestrictPreferenceCaching> <ExcludePemFileCertStore>true</ExcludePemFileCertStore> <ExcludeWinNativeCertStore>true</ExcludeWinNativeCertStore> <ExcludeMacNativeCertStore>true</ExcludeMacNativeCertStore> <ExcludeFirefoxNSSCertStore>true</ExcludeFirefoxNSSCertStore> <UpdatePolicy> <AllowSoftwareUpdatesFromAnyServer>true</AllowSoftwareUpdatesFromAnyServer> <AllowVPNProfileUpdatesFromAnyServer>true</AllowVPNProfileUpdatesFromAnyServer> <AuthorizedServerList> <ServerName>asa.one</ServerName> <ServerName>asa.two</ServerName> </AuthorizedServerList> </UpdatePolicy> </AnyConnectLocalPolicy> 9-12

249 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 为网络接入管理器启用 FIPS 启用 AnyConnect 网络接入管理器客户端配置文件中的 FIPS 模式和启用本地策略中的 FIPS 模式, 支持网络接入管理器的 FIPS 合规性 Windows XP 也需要部署 3eTI FIPS 认证的密码内核库 (CKL) 至连接到 FIPS 网络的用户计算机 凭借进行了 FIPS 合规性配置的网络接入管理器, 用户仍可连接至非 FIPS 网络 但当用户选择连接至符合 FIPS 的网络时, 网络接入管理器使用 3eTI FIPS CKL, 并在 AnyConnect GUI 的 网络接入管理器 (Network Access Manager) 窗格中显示 FIPS 合规性状态 ( 如果册表项 FIPSAlgorithmPolicy 为非零 ) 本章介绍如何为网络接入管理器启用 FIPS 合规性, 并包含以下部分 : 第 9-13 页的在网络接入管理器中强制执行 FIPS 模式 第 9-13 页的安装 3eTI 驱动程序 第 9-25 页的获取 3eTI 驱动安装程序软件 在网络接入管理器中强制执行 FIPS 模式 通过在 AnyConnect 配置文件的网络接入管理器配置部分, 对允许的关联和加密模式进行限制, 您可以强制企业员工仅连接至符合 FIPS 的网络 网络接入管理器 FIPS 合规性需要 FIPS 认证的 AES 加密模式 ( 包含 WPA2 Personal [WPA2-PSK] 和 WPA2 Enterprise [802.1X]) 网络接入管理器 FIPS 支持包括 EAP 方法 :EAP-TLS EAP-TTLS PEAP EAP-FAST 和 LEAP 网络接入管理器可以同时启用符合 FIPS 的 WLAN 配置文件以及可选的非合规配置, 如接入具有客户端 VPN 安全的 Wi-Fi 热点 作为管理员, 您负责命名配置文件, 适当指出网络是否启用了 FIPS 完全符合 FIPS 的客户端需要 3 个组件 : 网络接入管理器模块 符合 FIPS 的本地策略文件 仅适用于 Windows XP, 带有支持 NIC 适配器驱动程序的 3eTI FIPS 认证的密码内核库您使用网络接入管理器配置文件编辑器在本地策略文件中启用 FIPS 模式, 更多信息, 请参阅第 4-6 页的 客户端策略窗口 部分 安装 3eTI 驱动程序 重要说明 本部分提供 3eTI FIPS 验证的密码内核库 (CKL) 的安装说明, 使用与网络接入管理器集成以提供完整 FIPS 解决方案的支持驱动程序进行安装 对于 Windows XP 系统, 网络接入管理器日志包装程序实用程序收集 3eTI 数据包日志 1. 3eTI CKL 驱动安装程序设计用于在任何特定时间仅允许系统安装一个 3eTI 无线驱动程序 安装不同类型的驱动程序前, 必须卸载之前的驱动程序 对于同一类型的驱动程序, 则不需要卸载之前的驱动程序, 因为下一个安装仅更新了当前驱动程序 2. 硬件存在且安装于系统中时, 安装程序通过支持 3eTI CKL 的 3eTI 修订驱动程序对相应 OEM 无线 NIC 适配器驱动程序进行更新 9-13

250 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 3eTI CKL 驱动安装程序概述 使用以下方法之一启动 3eTI CKL 驱动安装程序 : 双击.exe 文件 - 仅可用于正常驱动程序安装, 其中, 在安装程序运行前,PC 上已安装了 NIC 适配器 使用无命令行选项的安装程序命令 - 仅可用于正常驱动程序安装 使用有命令行选项的安装程序命令 - 可以用于正常和预安装驱动程序安装 当您双击.exe 文件或使用无命令行选项的运行命令启动驱动安装程序时, 安装程序执行以下操作 : 通过用于 FIPS 操作的支持 NIC 适配器驱动程序检测并安装 3eTI CKL 如果检测到多个支持 3eTI CKL 的 NIC 适配器, 则安装程序提示用户选择适配器 如果未在 PC 上找到兼容的 NIC 适配器, 安装程序中止安装, 并显示以下错误消息 : 安装程序无法自动检测提供 FIPS 支持的 NIC 芯片集 要执行预安装, 您需要使用命令行运行安装程序 有关说明或进一步协助, 请联系您的网络管理员 (The installer cannot auto-detect a NIC chipset to provide FIPS support. To enforce a pre-installation, you are required to run the installer using the command line. For instructions or further assistance, please contact your network administrator.) 允许您指定特定安装选项的命令行选项, 可为预安装应用场景提供最佳支持 通常由您或网络管理员执行预安装, 而非新手用户 安装程序命令和命令行选项 安装程序支持以下命令和命令行选项 : 3eTI-drv-installer.exe s auto Type= XXXX s 用于执行无提示安装, 不会提示用户 auto Type=XXXX 用于执行智能安装, 由安装程序确定 PC 中的支持 NIC 适配器并安装适当的驱动程序 这会使安装程序执行与输入无命令行选项的命令相同的操作 用于指定用于预安装或正常安装的 NIC 适配器芯片集 预安装 (Pre-installation) 表示在指定 NIC 适配器安装于 PC 前安装驱动程序 正常安装 (Normal installation) 表示在安装驱动程序前安装 NIC 适配器 XXXX 值说明 Intel3945 Centrino Broadcom Atheros Cisco 为 Intel3945 芯片集指定驱动程序 为 Intel 2100 l2200 和 2915 芯片集指定驱动程序 为安装程序支持的 Broadcom 芯片集指定驱动程序 为 Atheros AR5211 和 AR5212 芯片集指定驱动程序 为带 Atheros 芯片集的 Cisco AIR-CB21 卡指定驱动程序 为无提示安装使用 s 时, 您必须也指定 auto 或 Type=XXXX, 或同时指定 auto 和 Type=XXXX 9-14

251 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 示例 : 连同 s 使用 auto: 通过自动检测安装的 NIC 适配器执行智能安装 执行无提示安装, 不会提示用户 如果检测到多个 NIC 适配器, 选择任何支持的芯片集 连同 Type=XXXX 使用 auto: 尝试为 Type=XXXX 指定的 NIC 适配器芯片集安装驱动程序 如果检测到的 NIC 适配器不支持指定芯片集, 则为具有支持芯片集的任何 NIC 适配器安装驱动程序 使用 3eTI-drv-installer.exe Type=Intel3945 auto s: 尝试在不提示用户的情况下为 Intel3945 芯片集安装驱动程序 如果未检测到具有 Intel3945 芯片集的 NIC 适配器, 则在不提示用户的情况下, 为任何检测到的其他具有支持芯片集的 NIC 适配器安装驱动程序 如果未检测到具有支持芯片集的 NIC 适配器, 则不预安装任何驱动程序 使用 3eTI-drv-installer.exe Type=Intel3945 s: 尝试在不提示用户的情况下为 Intel3945 芯片集安装驱动程序 如果未检测到支持的 NIC 适配器芯片集, 则通过安装指定的芯片集驱动程序执行预安装 不使用命令行选项运行安装程序 要以 PC 上安装的 NIC 适配器执行正常安装, 遵循以下说明 : 步骤 1 按照以下步骤之一启动安装程序 : a. 使用 Windows Explorer 定位 PC 上的 3eTI-drv-installer.exe 文件并双击文件名 b. 点击启动 (Start) > 运行 (Run), 并输入以下安装程序运行命令 : path / 3eTI-drv-installer.exe 其中, 路径 (path) 是到安装程序文件的目录路径 9-15

252 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 驱动程序欢迎窗口显示 ( 图 9-1) 图 9-1 驱动程序欢迎窗口 步骤 2 点击下一步 (Next), 许可协议显示 ( 参阅图 9-2) 图 9-2 许可协议 步骤 3 阅读并接受许可协议, 点击下一步 (Next) 目标位置窗口打开图

253 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 图 9-3 目标位置窗口 步骤 4 接受驱动程序软件默认的目标文件夹, 或点击浏览 (Browse) 定位至所需的文件夹 步骤 5 点击下一步 (Next) 准备安装窗口打开 ( 图 9-4) 图 9-4 准备安装窗口 步骤 6 点击安装 (Install) 开始安装过程 完成安装后, 向导完成窗口打开,( 图 9-5) 9-17

254 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 图 9-5 向导完成窗口 步骤 7 点击完成 (Finish) 卸载之前的 3eTI 驱动程序软件 要卸载之前的 3eTI 驱动程序软件, 请遵循以下步骤 : 步骤 1 卸载之前的 3eTI 驱动程序软件, 请点击开始 (Start) > 设置 (Settings) > 控制面板 (Control Panel) > 添加或删除程序 (Add or Remove Programs) 步骤 2 选择 3eTI 驱动程序软件, 例如 3e-010F-3 并点击删除 (Remove) 卸载驱动程序软件窗口打开 ( 参阅图 9-6) 图 9-6 卸载驱动程序软件弹出窗口 步骤 3 点击是 (Yes), 卸载驱动程序软件 重启计算机窗口打开, 图

255 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 图 9-7 立即重启计算机窗口 步骤 4 选中是 (Yes), 重启计算机 步骤 5 点击完成 (Finish) 重启 PC, 以彻底删除驱动程序软件 企业部署的无提示驱动程序安装 使用无提示模式运行安装程序, 请执行以下步骤 : 步骤 1 输入以下命令, 运行安装程序 : path / 3eTI-drv-installer.exe -s Type=XXXX 其中 : 路径 (path) 是到安装程序文件的目录路径 -s 表示无提示安装 Type= XXXX 指定芯片集, 如 Centrino Intel3945 或 Cisco ( 参阅第 9-14 页的 安装程序命令和命令行选项 部分 ) 状态弹出窗口显示, 表明驱动程序安装正在进行, 之后在安装完成时消失 在之前未安装网络适配器的情况下安装驱动程序 要在未安装 NIC 适配器的 PC 上安装 3eTI 驱动程序, 请遵循以下步骤 : 步骤 1 点击开始 (Start) > 运行 (Run) 启动安装程序, 并输入以下安装程序运行命令 : 9-19

256 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 path / 3eTI-drv-installer.exe Type = XXXX 其中 : 路径 (path) 是到安装程序文件的目录路径 Type= XXXX 指定芯片集, 如 Centrino Intel3945 或 Cisco ( 参阅第 9-14 页的 安装程序命令和命令行选项 部分 ) 图 9-1 显示 步骤 2 执行第 9-15 页的 不使用命令行选项运行安装程序 部分中的步骤 2 至步骤 7 步骤 3 驱动程序安装完成时, 在 PC 上插入或安装 NIC 适配器 手动升级 3eTI 驱动程序软件 提供手动升级说明, 以帮助对驱动程序安装问题进行故障排除 这不是企业范围内部署的一部分 使用 Windows 设备管理器, 按照以下步骤手动升级 3eTI 驱动程序软件 : 步骤 1 在桌面上右击我的电脑 (My Computer) 图标, 选择属性 (Properties) 步骤 2 点击 系统属性 (System Properties) 窗口中的硬件 (Hardware), 点击设备管理器 (Device Manager) Windows 设备管理器 (Device Manager) 窗口打开, 图 9-8 图 9-8 Windows 设备管理器 (Windows Device Manager) 窗口 步骤 3 如果已安装或插入网络适配器, 并且未安装驱动程序软件, 设备将列于 其他 (Other) 设备下, 并以黄色问号显示 右键点击网络适配器并选择属性 (Properties) 网络控制器属性 (Network Controller Properties) 窗口打开, 图

257 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 图 9-9 网络控制器属性 (Network Controller Properties) 窗口 步骤 4 点击驱动程序 (Driver) > 更新驱动程序 (Update Driver) Windows 硬件更新向导 (Hardware Update Wizard) 窗口打开, 图 9-10 图 9-10 Windows 硬件更新向导 (Hardware Update Wizard) 窗口 步骤 5 点击否 (No), 阻止 Windows 搜索驱动程序软件, 并点击下一步 (Next) 9-21

258 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 硬件更新向导继续, 图 9-11 图 9-11 安装 CD 或软盘选项窗口 步骤 6 选中从列表或特定位置安装 ( 高级 )(Install from a list or specific location [Advanced]) 并点击下一步 (Next) 搜索和安装选项 (Search and Installation Options) 窗口打开, 图 9-12 图 9-12 搜索和安装选项 (Search and Installation Options) 窗口 9-22

259 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 步骤 7 选中不搜索 (Don t search) 我要选择待安装的驱动程序 (I will choose the driver to install) 并点击下一步 (Next) Windows 硬件类型窗口打开, 图 9-13 图 9-13 Windows 硬件类型窗口 步骤 8 选择网络适配器并点击下一步 (Next) 步骤 9 选择网络适配器窗口打开, 图 9-14 图 9-14 选择网络适配器窗口 9-23

260 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 步骤 10 选择 3eTI 网络连接并点击下一步 (Next) 安装完成窗口打开, 图 9-15 图 9-15 安装完成窗口 步骤 11 硬件驱动程序安装完成 点击完成 (Finish) 设备管理器 (Device Manager) 窗口再次出现 ( 请参阅图 9-16) 图 9-16 更新的 Windows 设备管理器窗口 9-24

261 第 9 章 NGE FIPS 和其他安全 为网络接入管理器启用 FIPS 步骤 12 要验证驱动程序是否已正确安装, 请右键点击 3eTI 网络连接并选择属性 (Properties) 确保适配器属性窗口在 设备 (Device) 状态下指示此设备正常工作 (This device is working properly) 获取 3eTI 驱动安装程序软件 无法从思科软件中心下载 FIPS 3eTI CKL 支持驱动安装程序, 必须从思科订购 使用产品号 AIR-SSCFIPS-DRV 从思科订购驱动安装程序的未逾期许可证 通过产品 CD 为您提供订购的 3eTI CKL 支持驱动安装程序软件 9-25

262 为网络接入管理器启用 FIPS 第 9 章 NGE FIPS 和其他安全 9-26

263 10 第章 互操作性指南和要求 本章提供以下说明 : 第 10-1 页的使用隔离限制不合规的客户端 第 10-2 页的使用 Microsoft Active Directory, 为域用户将安全设备添加至 Internet Explorer 受信任站点列表 第 10-3 页的配置与 AnyConnect 和思科安全桌面的 CSA 互操作性 第 10-3 页的 AnyConnect 和传统 VPN 客户端端口信息 第 10-4 页的针对子网络流量的客户端分割隧道行为差别 使用隔离限制不合规的客户端 隔离要求 通过使用隔离, 可以限制尝试发起 VPN 连接的特定客户端 基于在 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入或无客户端 SSL VPN 接入 (Network [Client] Access or Clientless SSL VPN Access) > 动态接入策略 (Dynamic Access Policies) 中配置的动态接入策略, ASA 将受限 ACL 应用至会话, 以形成受限组 当终端不符合管理上定义的策略时, 用户仍可接入服务进行修复 ( 如更新杀毒应用 ), 但会对用户进行限制 修复后, 用户可以重新连接, 调用新的状态评估 如果此评估通过, 则用户可在无任何限制的情况下进行连接 隔离需要在自适应安全设备上激活的 AnyConnect Premium 许可证 高级终端设备评估对不符合防病毒 反间谍软件和防火墙应用动态策略要求和任何相关应用定义文件要求的终端进行修复 高级终端设备评估是思科安全桌面主机扫描功能, 因此 AnyConnect 支持所有 AnyConnect 支持的操作系统隔离 ASA 版本 8.3(1) 或更高版本具有动态接入策略和组策略功能, 支持在首次通知用户隔离时在 AnyConnect GUI 上显示用户消息 可报告其他隔离消息 ( 如 隔离 - 需要修复 [Quarantined - Remediation Required] 和 要尝试正常连接, 请重新连接 [To attempt a normal connection, please reconnect]), 但管理员不能将上述消息定义为可向用户显示 隔离不需要 ASA 升级 ; 仅用户消息需要这样做 如果升级 ASA 软件, 建议您也将 ASDM 升级到版本 6.3(1) 或更高版本, 以便用以配置新功能 AnyConnect 支持在所有 AnyConnect 支持的操作系统上进行隔离 客户端在 Windows 7 Vista XP 和 Mac OS 以及 Linux 上支持隔离用户消息 10-1

264 使用 Microsoft Active Directory, 为域用户将安全设备添加至 Internet Explorer 受信任站点列表 第 10 章 互操作性指南和要求 配置隔离 要配置隔离 : 步骤 1 步骤 2 步骤 3 ( 可选 ) 如果要配置主机扫描以修复非合规计算机, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > 主机扫描 (Host Scan) > 高级终端评估 (Advanced Endpoint Assessment) 选择远程接入 VPN (Remote Access VPN > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 动态接入策略 (Dynamic Access Policies), 点击添加 (Add), 创建使用识别非合规计算机的终端属性的 DAP, 点击操作 (Action) 选项卡, 并点击隔离 (Quarantine) ( 可选 ) 在隔离会话中输入向用户显示的消息 如果需要有关配置动态接入策略的更多信息, 使用 ASDM 提供帮助 使用 Microsoft Active Directory, 为域用户将安全设备添加至 Internet Explorer 受信任站点列表 Active Directory 域管理员可以将组策略推送至添加安全设备至 Internet Explorer 受信任任站点列表的域用户 请意, 上述步骤与个人用户添加安全设备至受信任站点列表的步骤不同 此步骤仅适用于受域管理员管理的 Windows 计算机上的 Internet Explorer 安全设备使用存储于过滤表中的数据评估和匹配 URL 请求属性, 如域名和带有本地维护数据库记录的 IP 地址路径段 如果匹配, 则要阻止或监控流量的操作取决于接入策略设置 如果不匹配, 则继续 要在 Windows Vista 或 Windows 7 上使用 WebLaunch, 需要向 Internet Explorer 受信任站点列表添加安全设备 要通过使用 Active Directory 的组策略, 创建将安全设备添加至 Internet Explorer 受信任站点安全区的策略, 请执行以下步骤 : 步骤 1 步骤 2 作为域管理员组成员登录 打开 Active Directory 用户和计算机 MMC 管理单元 步骤 3 右键点击要创建组策略对象的域或组织单位, 并点击属性 (Properties) 步骤 4 选择组策略 (Group Policy) 选项卡并点击新建 (New) 步骤 5 为新的组策略对象键入名称, 并按输入 (Enter) 步骤 6 为防止此新策略应用于部分用户或组, 请点击属性 (Properties) 选择安全 (Security) 选项卡 添加想要阻止其使用此策略的用户或组, 然后在 允许 (Allow) 列中清除读取 (Read) 和应用组策略 (Apply Group Policy) 复选框 点击确定 (OK) 步骤 7 点击编辑 (Edit) 并选择用户配置 (User Configuration) > Windows 设置 (Windows Settings) > Internet Explorer 维护 (Internet Explorer Maintenance) > 安全 (Security) 步骤 8 右键点击右侧窗格中的安全区和内容分级 (Security Zones and Content Ratings), 然后点击属性 (Properties) 10-2

265 第 10 章 互操作性指南和要求 配置与 AnyConnect 和思科安全桌面的 CSA 互操作性 步骤 9 选择导入当前安全区和隐私设置 (Import the current security zones and privacy settings) 如果出现提示, 请点击继续 (Continue) 步骤 10 点击修改设置 (Modify Settings), 选择受信任站点 (Trusted Sites), 点击站点 (Sites) 步骤 11 步骤 12 步骤 13 键入想要添加至受信任站点列表的安全设备的 URL, 然后点击添加 (Add) 格式可能包含主机名 ( 或 IP 地址 ( 它可以是完全匹配 ( 或含有通配符 ( 点击关闭 (Close), 并连续点击确定 (OK), 直至所有对话框关闭 允许有充足的时间在整个域或林中传播策略 步骤 14 在 Internet 选项 (Internet Options) 窗口点击确定 (OK) 配置与 AnyConnect 和思科安全桌面的 CSA 互操作性 如果您的远程用户安装了思科安全代理 (CSA), 您必须为远程用户导入 CSA 策略, 以启用 AnyConnect 和思科安全桌面, 实现与 ASA 的互操作 为此, 请执行下列步骤 : 步骤 1 检索 AnyConnect 和思科安全桌面的 CSA 策略 您可以通过以下途径获取文件 : 步骤 2 步骤 3 步骤 4 步骤 5 随 ASA 提供的 CD ASA 5500 系列自适应安全设备软件下载页面 文件名为 AnyConnectCSA.zip 和 CSD-for-CSA-updates.zip 从.zip 数据包文件中解压缩.export 文件 选择正确版本的.export 文件导入 版本 5.2 导出文件可用于 CSA 版本 5.2 和更高版本 5.x 导出文件用于 CSA 版本 5.0 和 5.1 使用 CSA 管理中心上的 维护 (Maintenance) > 导出 / 导入 (Export/Import) 选项卡导入文件 为您的 VPN 策略附上新规则模块, 并生成规则 有关详细信息, 请参阅 CSA 文档使用思科安全代理管理中心, 5.2 版 有关导出策略的特定信息位于导出和导入配置部分 AnyConnect 和传统 VPN 客户端端口信息 表 10-1 和表 10-2 提供了可以帮助您将用户从传统思科 VPN 客户端迁移至 Cisco AnyConnect 安全移动客户端的端口信息 : 表 10-1 供 AnyConnect 客户端使用的端口 协议 Cisco AnyConnect 客户端端口 TLS (SSL) TCP 443 SSL 重定向 TCP 80 ( 可选 ) 10-3

266 针对子网络流量的客户端分割隧道行为差别 第 10 章 互操作性指南和要求 协议 Cisco AnyConnect 客户端端口 DTLS UDP 443 ( 可选, 但强烈推荐 ) IPsec/IKEv2 UDP 500 UDP 4500 表 10-2 思科 VPN (IPsec) 客户端使用的端口 协议 思科 VPN 客户端 (IPsec) 端口 IPsec/NATT UDP 500 UDP 4500 IPsec/NATT UDP 500 UDP 4500 IPsec/TCP TCP ( 可配置 ) IPsec/UDP UDP 500 UDP X ( 可配置 ) 针对子网络流量的客户端分割隧道行为差别 当传递流量至与 ASA 分配的 IP 地址相同的子网络内的站点时, AnyConnect 客户端和传统思科 VPN 客户端 (IPsec/IKEv1 客户端 ) 表现不同 通过 AnyConnect, 客户端将流量传递至您配置的分割隧道策略中指定的所有站点, 并传递至与 ASA 分配的 IP 地址相同的子网络内的所有站点 例如, 如果 ASA 分配的 IP 地址为 ( 掩码为 ), 则终端将所有流量传递至 /8, 无论分割隧道策略如何 相比之下, 传统思科 VPN 客户端仅将流量传递至分割隧道策略指定的地址, 无论分配至客户端的子网络如何 因此, 为正确引用预期本地子网络的分配 IP 地址使用网络掩码 10-4

267 11 第章 管理 VPN 身份验证 本章介绍使用 Cisco AnyConnect 安全移动客户端的用户如何管理 VPN 身份验证, 包括以下主题和任务 : 第 11-1 页的配置仅证书身份验证 第 11-2 页的 AnyConnect 智能卡支持 第 11-2 页的避免 SHA 2 证书验证失败 第 11-3 页的 SDI 令牌 (SoftID) 集成 第 11-4 页的本地 SDI 与 RADIUS SDI 对比 第 11-4 页的使用 SDI 身份验证 第 11-9 页的确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 配置仅证书身份验证 您可以指定用户使用带用户名和密码的 AAA 或使用数字证书 ( 或两者同时使用 ) 进行身份验证 当您配置仅证书身份验证时, 用户可以通过数字证书连接, 且不需要提供用户 ID 和密码 您可以在连接配置文件中对仅证书身份验证进行配置 要启用此设置, 请遵循以下步骤 : 步骤 1 步骤 2 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) 选择连接配置文件, 然后点击编辑 (Edit) 编辑 AnyConnect 连接配置文件 (Edit AnyConnect Connection Profile) 窗口打开 如果没有, 则点击窗口左窗格的导航树的基本 (Basic) 节点 在窗口右窗格的身份验证 (Authentication) 区域, 启用方法证书 (Certificate) 步骤 3 点击确定 (OK) 步骤 4 步骤 5 步骤 6 ( 可选 ) 您可以指定希望在每个接口上用于 SSL 身份验证的证书 ( 如有 ) 如果没有为特定接口指定证书, 将使用回退证书 为此, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) 在右窗格的接入接口 (Access Interfaces) 区域, 选择希望为其指定证书的接口, 然后点击 设备证书 (Device Certificate) 在 指定设备证书 (Specify Device Certificate) 对话框中, 点击设备证书 (Device Certificate) 字段选择证书, 或点击管理 (Manage) 将您希望用于身份验证连接的证书添加至选择的接口 点击确定 (OK) 并应用更改 11-1

268 AnyConnect 智能卡支持 第 11 章 管理 VPN 身份验证 要配置 AnyConnect 客户端在哪个证书存储区中搜索身份验证证书, 请参阅第 3-43 页的 配置证书期满通知书 部分 您还可以找到为 Linux 和 Mac OS X 操作系统配置证书限制的相关信息 用于对安全网关的客户端进行身份验证的证书必须有效且受信 ( 由 CA 签署 ) 不接受自签署客户端证书 AnyConnect 智能卡支持 AnyConnect 在以下环境中支持智能卡 : Windows XP 7 Vista 和所有版本的 Windows 8 上的 Microsoft CAPI 1.0 和 CAPI 2.0 Mac OS X 10.4 和更高版本上通过令牌实现的密钥链 AnyConnect 不支持 Linux 或 PKCS #11 设备上的智能卡 避免 SHA 2 证书验证失败 AnyConnect 客户端利用证书的 Windows 密码运营商 (CSP) 对 IPsec/IKEv2 VPN 连接的 IKEv2 身份验证阶段所需数据进行哈希和签名 如果 CSP 不支持 SHA 2 算法, 且 ASA 配置为伪随机功能 (PRF) SHA256 SHA384 或 SHA512 配置, 同时为证书或证书和 AAA 身份验证配置了连接配置文件 ( 隧道组 ), 则证书验证失败 用户收到证书验证失败 (Certificate Validation Failure) 消息 对于属于不支持 SHA 2 类算法的 CSP 的证书, 此验证失败仅发生在 Windows 上 其他支持的操作系统不存在此问题 要避免此问题, 您可以将 ASA 上 IKEv2 策略的 PRF 配置为 md5 或 sha (SHA 1) 或者, 您可以为本地 CSP 修改证书 CSP 值, 这是我们已知有效的方法 : 对于 Windows XP - Microsoft 增强型 RSA 和 AES 加密提供程序 ( 原型 ) 对于 Windows 7 和 Microsoft Vista - Microsoft 增强型 RSA 和 AES 加密提供程序 意事项 请勿将此变通方法应用于智能卡证书 CSP 名称不能更改 应联系智能卡提供商, 获取支持 SHA 2 算法的更新 CSP 意事项 如果未能正确执行下述变通操作, 则可能会损坏用户证书 指定证书更改时, 请格外谨慎 您可以使用 Microsoft Certutil.exe 实用程序修改证书 CSP 值 Certutil 是管理 Windows CA 的命令行实用程序, 在 Microsoft Windows Server 2003 管理工具包中提供 您可以从以下 URL 下载工具包 : e3&displaylang=en 11-2

269 第 11 章 管理 VPN 身份验证 SDI 令牌 (SoftID) 集成 按以下步骤运行 Certutil.exe 和更改证书 CSP 值 : 步骤 1 打开终端计算机上的命令窗口 步骤 2 使用以下命令, 查看用户存储区中的证书及其当前的 CSP 值 : certutil -store -user My 以下示例显示了通过此命令显示的证书内容 : ================ Certificate 0 ================ Serial Number: 3b3be b Issuer: CN=cert-issuer, OU=Boston Sales, O=Example Company, L=San Jose, S=CA, C=US, E=csmith@example.com NotBefore: 2/16/ :18 AM NotAfter: 5/20/2024 8:34 AM Subject: CN=Carol Smith, OU=Sales Department, O=Example Company, L=San Jose, S=C A, C=US, E=csmith@example.com Non-root Certificate Template: Cert Hash(sha1): b e6 77 5f aa 8e ad e6 20 a b4 ee 7f Key Container = {F62E9BE8-B32F CCC86455FB} Unique container name: 46ab1403b52c6305cb226edd f_c50140b9-ffef-4600-ada 6-d09eb97a30f1 Provider = Microsoft Enhanced RSA and AES Cryptographic Provider Signature test passed 步骤 3 步骤 4 识别证书的 <CN> 属性 在示例中, CN 是 Carol Smith 您会在下一步中需要此信息 使用以下命令修改证书 CSP 以下示例使用主题 <CN> 值选择要修改的证书 您也可以使用其他属性 在 Windows Vista 和 Windows 7 中, 使用以下命令 : certutil -csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -f -repairstore -user My <CN> carol smith 在 Windows XP 中, 请使用以下命令 : certutil -csp "Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)" -f -repairstore -user My <CN> carol smith 步骤 5 重复第 2 步并验证证书出现的新 CSP 值 SDI 令牌 (SoftID) 集成 AnyConnect 集成了对运行于 Windows 7 x86(32 位 ) 和 x64(64 位 ) Vista x86 和 x64 以及 XP x86 上的 RSA SecurID 客户端软件版本 1.1 和更高版本的支持 RSA SecurID 软件验证器会减少用户为确保安全和公司资产的安全接入需要管理的项目数量 位于远程设备的 RSA SecurID 软件令牌生成随机的一次性密码, 每 60 秒变更一次 术语 SDI 代表 Security Dynamics, Inc. 技术, 是指使用硬件和软件令牌的上述一次性密码生成技术 RSASecureIDIntegration 配置文件设置有 3 种可能的值 : 自动 - 客户端首先尝试一种方法, 如果失败, 则再尝试另一种方法 默认将用户输入视为令牌密码 (HardwareToken), 如果失败, 则将其视为软件令牌 PIN (SoftwareToken) 如果身份验证成功, 则将成功的方法设置为新的 SDI 令牌类型, 并缓存于用户首选项文件中 对于下 11-3

270 本地 SDI 与 RADIUS SDI 对比 第 11 章 管理 VPN 身份验证 一次身份验证尝试, SDI 令牌类型规定了首先尝试哪种方法 通常, 用于当前身份验证尝试的令牌与上次成功身份验证尝试中使用的令牌相同 但是, 当用户名或组选择更改时, 则恢复首先尝试默认方法, 如输入字段标签所示 SDI 令牌类型仅在自动设置中有意义 在身份验证模式不是自动时, 您可以忽略 SKI 令牌类型的日志 作为默认设置的硬件令牌 (HardwareToken) 避免触发下一个令牌模式 软件令牌 - 客户端始终将用户输入解读为软件令牌 PIN, 且输入字段标签为 PIN: 硬件令牌 - 客户端始终将用户输入解读为令牌密码, 且输入字段标签为 Passcode: AnyConnect 不支持来自于导入至 RSA 软件令牌客户端软件的多个令牌的令牌选择 相反, 客户端使用通过 RSA SecurID 软件令牌 GUI 选择的默认设置 本地 SDI 与 RADIUS SDI 对比 网络管理员可以配置安全网关, 允许采用以下模式之一进行 SDI 身份验证 : 本地 SDI 是指安全网关直接与 SDI 服务器进行通信以处理 SDI 身份验证的本地功能 RADIUS SDI 是指安全网关使用 RADIUS SDI 代理与 SDI 服务器进行通信以执行 SDI 身份验证的过程 在版本 2.1 和更高版本中, 除一个案例 ( 如稍后所述 ) 外, 本地 SDI 和 RADIUS SDI 对远程用户而言是相同的 由于可在 SDI 服务器上对 SDI 消息进行配置,ASA 上的消息文本 ( 参阅第 页的表 11-1) 必须与 SDI 服务器上的消息文本匹配 否则, 向远程客户端用户显示的提示可能不适用于身份验证期间所需的操作 AnyConnect 可能无法响应, 并且身份验证可能失败 除极少数例外情况, RADIUS SDI 质询从本质上反映了本地 SDI 交换 由于两者最终都要与 SDI 服务器进行通信, 客户端所需的信息以及请求的信息顺序都是相同的 除非特别说明, 本部分的剩余部分均涉及本地 SDI 当远程用户使用 RADIUS SDI 身份验证连接至配有 AnyConnect 的 ASA 并尝试使用 RSA SecurID 令牌进行身份验证时, ASA 与 RADIUS 服务器进行通信, 后者又与 SDI 服务器通信以进行身份验证 有关配置 ASA 以确保 AnyConnect 兼容性的更多信息, 请参阅第 11-9 页的 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 部分 使用 SDI 身份验证 登录 ( 质询 ) 对话框与根据用户所属的隧道组配置的身份验证类型匹配 登录对话框的输入字段明确指示了身份验证所需的输入种类 通常, 用户通过点击工具栏上的 AnyConnect 图标连接 AnyConnect, 选择其希望连接的连接配置文件, 之后在身份验证对话框中输入适当的凭证 利用用户名 / 密码进行身份验证的用户会看到对话框, 如图 11-1 所示 11-4

271 第 11 章 管理 VPN 身份验证 使用 SDI 身份验证 图 11-1 用户名 / 密码身份验证登录对话框 对于 SDI 身份验证, 远程用户输入 PIN ( 个人识别码 ) 至 AnyConnect 软件界面并收到一个 RSA SecurID 密码 用户输入密码至安全应用后, RSA 身份验证管理器对密码进行验证, 并允许用户获得接入权限 使用 RSA SecurID 硬件或软件令牌的用户会看到指示用户应输入密码或 PIN 的输入字段, 对话框底部的 PIN/ 密码和状态行会提供有关要求的更多信息 用户直接向 AnyConnect 用户界面输入软件令牌 PIN 或密码 请参阅图 11-2 图 11-3 和图 11-4 图 11-2 密码或 PIN 对话框 图 11-3 PIN 对话框 11-5

272 使用 SDI 身份验证 第 11 章 管理 VPN 身份验证 图 11-4 密码对话框 首次登录对话框的外观取决于安全网关设置 : 用户可以通过主登录页面 主要索引 URL 隧道组登录页面或隧道组 URL (URL/ 隧道组 ) 接入安全网关 要通过主登录页面接入安全网关, 则必须在 网络 ( 客户端 ) 接入 AnyConnect 连接配置文件 (Network [Client] Access AnyConnect Connection Profiles) 页面设置 允许用户选择连接 (Allow user to select connection) 复选框 在任意情形下, 安全网关均会向客户端发送登录页面 主登录页面包含用户可在其中选择隧道组的下拉列表, 而隧道组登录页面不包含该下拉列表, 因为隧道组在 URL 中指定 对于主登录页面 ( 配有连接配置文件或隧道组的下拉列表 ), 默认隧道组的身份验证类型决定了密码输入字段标签的初始设置 例如, 如果默认隧道组使用 SDI 身份验证, 则字段标签为 Passcode;, 但如果默认隧道组使用 NTLM 身份验证, 则字段标签为 Password. 在版本 2.1 和更高版本中, 字段标签不会随用户选择其他隧道组进行动态更新 对于隧道组登录页面, 字段标签与隧道组要求匹配 客户端支持密码输入字段中的 RSA SecurID 软件令牌 PIN 的输入 如果安装了 RSA SecurID 软件令牌软件, 且隧道组身份验证类型为 SDI, 则字段标签为 Passcode 且状态栏显示 输入用户名和密码或软件令牌 PIN (Enter a username and passcode or software token PIN) 如果使用了 PIN, 则相同隧道组和用户名的后续连续登录具有字段标签 PIN. 客户端使用输入的 PIN 从 RSA SecurID 软件令牌 DLL 检索密码 随着每个身份验证成功, 客户端保存隧道组 用户名和身份验证类型, 保存的隧道组成为新的默认隧道组 AnyConnect 接受任何 SDI 身份验证的密码 即使密码输入标签为 PIN 时, 用户仍可以按状态栏指示输入密码 客户端原样发送密码至安全网关 如果使用密码, 相同隧道组和用户名的后续连续登录具有字段标签 Passcode SDI 身份验证交换类别 所有 SDI 身份验证交换均属于以下类别之一 : 正常 SDI 身份验证登录 正常登录质询 新用户模式 新 PIN 模式 清除 PIN 模式 下一个令牌代码模式 11-6

273 第 11 章 管理 VPN 身份验证 使用 SDI 身份验证 正常 SDI 身份验证登录 正常登录质询始终为首个质询 SDI 身份验证用户必须分别在用户名和密码或 PIN 字段中提供用户名和令牌密码 ( 或 PIN, 对于软件令牌 ) 客户端返回信息至安全网关 ( 中心站点设备 ), 安全网关通过身份验证服务器 (SDI 或通过 RADIUS 代理的 SDI) 验证身份验证 如果身份验证服务器接受身份验证请求, 则安全网关发送成功页面返回客户端, 身份验证交换完成 如果不接受密码, 身份验证失败, 安全网关随错误信息发送新的登录质询页面 如果已经达到 SDI 服务器上的密码失效阈值, 则 SDI 服务器将令牌放置到下一个令牌代码模式 请参阅第 11-9 页的 下一个密码 和 下一个令牌代码 质询 部分 新用户 清除 PIN 和新 PIN 模式 获得新 PIN 创建新的 PIN 仅能在 SDI 服务器上由网络管理员清除 PIN 在 新用户 (New User) 清除 PIN (Clear PIN) 和 新 PIN (New PIN) 模式下,AnyConnect 对用户创建的 PIN 或系统分配的 PIN 进行缓存, 以在稍后的 下一个密码 登录质询中使用 对远程用户而言, 清除 PIN (Clear PIN) 模式和 新用户 (New User) 模式是相同的, 安全网关以相同方式处理两者 在两种情况下, 远程用户都必须输入新 PIN 或由 SDI 服务器分配新 PIN 唯一的区别在于用户对初始质询的响应 对于 新 PIN (New PIN) 模式, 当前 PIN 用于生成密码, 因为其可能处于任何正常质询中 对于 清除 PIN (Clear PIN) 模式, 用户仅输入令牌代码时, 没有用于硬件令牌的 PIN 8 个连续零 ( ) 的 PIN 用于生成 RSA 软件令牌的密码 在任何一种情况下,SDI 服务器管理员必须通知用户要使用的 PIN 值 ( 如有 ) 将新用户添加到 SDI 服务器的结果与清除现有用户的 PIN 的结果相同 在这两种情况下, 用户必须提供新的 PIN 或由 SDI 服务器分配新的 PIN 在上述模式下, 针对硬件令牌, 用户仅输入来自 RSA 设备的令牌代码 在任何一种情况下, SDI 服务器管理员必须通知用户要使用的 PIN 值 ( 如有 ) 如果当前没有 PIN, 根据系统配置方式, SDI 需要满足以下条件之一 : 用户可以选择创建 PIN 或由系统分配 PIN 用户必须创建新的 PIN 系统必须为用户分配新的 PIN 默认情况下, 系统仅分配 PIN 如果 SDI 服务器配置为允许远程用户选择创建 PIN 或由系统分配 PIN, 则登录屏幕出现显示选项的下拉列表 状态行提供提示消息 在任何一种情况下, 用户必须记住用于未来登录身份验证的新 PIN 如果用户选择创建新的 PIN 并点击继续 (Continue) ( 图 11-5), AnyConnect 显示输入该 PIN 的对话框 ( 图 11-6) PIN 必须由 4-8 个数字组成 11-7

274 使用 SDI 身份验证 第 11 章 管理 VPN 身份验证 图 11-5 用户选择创建 PIN 图 11-6 创建新的 PIN 对于用户创建的 PIN, 输入并确认新 PIN 后, 用户点击继续 (Continue) 因为 PIN 是一种密码, 所以用户输入至此类输入字段中的任何字符均显示为星号 使用 RADIUS 代理, PIN 确认作为独立质询出现在原始对话框之后 客户端发送新的 PIN 到安全网关, 且安全网关继续 下一个密码 质询 针对系统分配的 PIN, 如果 SDI 服务器接受用户在登录页面上输入的密码, 则安全网关向客户端发送系统分配的 PIN 用户必须点击继续 (Continue) 客户端发送返回至安全网关的响应, 指示用户已看到新的 PIN, 且系统继续 下一个密码 质询 在这两种情况下, 用户必须记住用于后续登录身份验证的 PIN 11-8

275 第 11 章 管理 VPN 身份验证 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 下一个密码 和 下一个令牌代码 质询 对于 下一个密码 质询, 客户端使用创建或分配新 PIN 期间缓存的 PIN 值从 RSA SecurID 软件令牌 DLL 检索下一个密码, 并在不提示用户的情况下将其返回至安全网关 同样, 对于软件令牌的 下一个令牌代码 质询, 客户端从 RSA SecurID 软件令牌 DLL 检索下一个令牌代码 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 本部分介绍确认使用 RSA SecureID 软件令牌的 AnyConnect 可以对通过 RADIUS 服务器代理至 SDI 服务器或多个服务器发送至客户端的用户提示进行适当响应的步骤 本部分包含以下主题 : AnyConnect 和 RADIUS/SDI 服务器交互 配置安全设备, 以支持 RADIUS/SDI 消息 AnyConnect 和 RADIUS/SDI 服务器交互 当远程用户使用 RSA SecurID 令牌连接至配有 AnyConnect 的 ASA 并尝试进行身份验证时,ASA 与 RADIUS 服务器进行通信, 后者又与 SDI 服务器通信以进行身份验证 在身份验证期间, RADIUS 服务器向 ASA 显示接入质询消息 上述质询消息为包含来自 SDI 服务器的文本的应答消息 ASA 直接与 SDI 服务器进行通信时的消息文本与通过 RADIUS 代理进行通信时的消息文本不同 因此, 要作为 AnyConnect 的本地 SDI 服务器进行显示, ASA 必须对来自 RADIUS 服务器的消息进行解释 此外, 因为可对 SDI 服务器上的 SDI 消息进行配置, 所以 ASA 上的消息文本必须与 SDI 服务器上的消息文本匹配 ( 全部或部分 ) 否则, 向远程客户端用户显示的提示可能不适用于身份验证期间所需的操作 AnyConnect 可能无法响应, 并且身份验证可能失败 配置安全设备, 以支持 RADIUS/SDI 消息 以下部分介绍对 ASA 进行配置的步骤, 以解释 SDI 特定的 RADIUS 应答消息并向 AnyConnect 用户提示适当操作 对连接配置文件 ( 隧道组 ) 进行配置, 以模拟与 SDI 服务器直接通信的方式转发 RADIUS 应答消息 用户对 SDI 服务器进行身份验证时, 必须连接该连接配置文件 步骤 1 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 连接配置文件 (AnyConnect Connection Profiles) 步骤 2 选择要配置的连接配置文件, 解释 SDI 特定的 RADIUS 应答消息并点击编辑 (Edit) 步骤 3 步骤 4 在编辑 AnyConnect 连接配置文件 (Edit AnyConnect Connection Profile) 窗口中, 展开左侧导航窗格中的 高级 (Advanced) 节点, 选择组别名 / 组 URL (Group Alias / Group URL) 选中启用登录屏幕上的 SecurID 消息显示 (Enable the display of SecurID messages on the login screen) 步骤 5 点击确定 (OK) 步骤 6 步骤 7 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > AAA/ 本地用户 (AAA/Local Users) > AAA 服务器组 (AAA Server Groups) 点击添加 (Add), 以添加 AAA 服务器组 11-9

276 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 第 11 章 管理 VPN 身份验证 步骤 8 步骤 9 在 编辑 AAA 服务器组 (Edit AAA Server Group) 对话框中配置 AAA 服务器组并点击确定 (OK) 在 AAA 服务器组 (AAA Server Groups) 区域, 选择您刚刚创建的 AAA 服务器组, 然后点击 所选组中的服务器 (Servers in the Selected Group) 区域中的添加 (Add) 步骤 10 在 SDI 消息 (SDI Messages) 区域中, 展开消息表 (Message Table) 区域 双击消息文本字段, 编辑消息 配置 ASA 上的 RADIUS 应答消息文本, 以匹配 RADIUS 服务器发送的消息文本 ( 整体或部分 ) 步骤 11 点击确定 (OK) 点击应用 (Apply) 点击保存 (Save) 图 11-7 添加 / 编辑 AnyConnect 连接配置文件屏幕 ASA 所使用的默认消息文本是思科安全接入控制服务器 (ACS) 使用的默认消息文本 如果您正在使用思科安全 ACS, 且后者使用默认消息文本, 则不需要配置 ASA 上的消息文本 否则, 配置消息以确保消息文本匹配 表 11-1 显示消息代码 默认 RADIUS 应答消息文本和每条消息的功能 由于安全设备按其在表格中出现的顺序搜索字符串, 您必须确保在消息文本中使用的字符串不是其他字符串的子集 例如, new PIN 是 new-pin-sup 和 next-ccode-and-reauth 的默认消息文本的子集 如果将 new-pin-sup 配置为 new PIN, 当安全设备从 RADIUS 服务器接收 有下一个卡代码的新 PIN 时, 会将文本与 new-pin-sup 代码匹配, 而非 next-ccode-and-reauth 代码 11-10

277 第 11 章 管理 VPN 身份验证 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 表 11-1 SDI Opcodes 默认消息文本和消息功能 消息代码 默认 RADIUS 应答消息文本 功能 next-code 输入下一个密码 (Enter 表示用户必须输入下一个令牌代码, 无需 PIN Next PASSCODE) new-pin-sup 请记住您的新 PIN (Please remember your new PIN) 表示已经提供了新系统 PIN, 并为用户显示该 PIN new-pin-meth new-pin-req new-pin-reenter new-pin-sys-ok next-ccode-andreauth ready-for-syspin 是否输入您自己的 PIN (Do you want to enter your own pin) 输入您的新字母数字 PIN (Enter your new Alpha-Numerical PIN) 重新输入 PIN: (Reenter PIN:) 已接受新 PIN (New PIN Accepted) 有下一个卡代码的新 PIN (new PIN with the next card code) 接受系统生成的 PIN (ACCEPT A SYSTEM GENERATED PIN) 来自于用户要使用哪个新 PIN 方法创建新 PIN 的请求 表示用户生成的 PIN 和用户输入 PIN 的请求 在 ASA 内部用于确认用户提供的 PIN 客户端确认 PIN, 无需提示用户 表示接受用户提供的 PIN 遵循 PIN 操作, 并指示用户必须等待下一个令牌代码, 以输入新 PIN 和下一个令牌代码进行身份验证 在 ASA 内部用于表示用户已准备好接受系统生成的 PIN 11-11

278 确保 RADIUS/SDI 代理与 AnyConnect 的兼容性 第 11 章 管理 VPN 身份验证 11-12

279 12 第章 自定义和本地化 AnyConnect 客户端和安装程序 您可以对 Cisco AnyConnect 安全移动客户端进行配置, 向远程用户显示您自己的公司图像, 包括在 Windows Linux 和 Mac OS X 计算机上运行的客户端 您可以将客户端和所有可选模块本地化 ( 翻译 ) 为不同语言 您还可以本地化核心 VPN 客户端的安装程序 本章包含自定义和本地化的步骤, 分为以下部分 : 第 12-1 页的自定义 AnyConnect 第 页的创建和上传 AnyConnect 客户端帮助文件 第 页的更改默认的 AnyConnect 英文消息 第 页的本地化 AnyConnect 客户端 GUI 和安装程序 自定义 AnyConnect 您可以自定义 AnyConnect 客户端 ( 包括在 Windows Linux 和 Mac OS X 计算机上运行的客户端 ), 向远程用户显示您自己的公司图像 您可以使用以下三种方式之一自定义客户端 : 通过导入单个客户端 GUI 组件 ( 如公司徽标和图标 ) 至 ASA 为客户端更名, 后者会使用安装程序将其部署至远程计算机 请参阅第 12-2 页的用您的自定义组件替换单个 GUI 组件 导入您为进行更广泛的品牌重塑而创建的转换文件 ( 仅限 Windows 请参阅第 12-4 页的用转换文件自定义 GUI.y) ASA 使用安装程序对其进行部署 导入您自己的自带 GUI 或 CLI 并使用 AnyConnect API 的程序 ( 仅限 Windows 和 Linux) 请参阅第 12-6 页的部署使用客户端 API 的可执行文件 网络接入管理器和网络安全不支持 AnyConnect API 如果部署了网络安全或网络接入管理器, 则您必须部署核心 AnyConnect 客户端 您也可以自定义 AnyConnect 安装程序, 以便进行网络部署和预部署 12-1

280 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 什么可以自定义? 可以自定义 AnyConnect 客户端和安装程序 安装程序 Windows 预部署 预部署 - 可以通过创建转换文件或使用 msiexec 修改预部署安装程序 ISO - 在 ISO 映像中,setup.hta 是可编辑 HTML, 但不明确支持自定义, 因为仅管理员可以操作 ISO 卸载程序 - 卸载提示不可自定义 OSX 预部署 OSX 支持本地化 安装程序使用的字符串来自 Mac 安装程序应用, 而不是我们的安装程序 Linux 预部署 安装程序是 Shell 脚本, 因此, 自定义不适用 网络部署 网络部署使用无客户端 SSL 门户提供的浏览器网络启动 无客户端 SSL 门户可以自定义, 但门户的 AnyConnect 部分不可以 例如, 启动 Anyconnect (Start Anyconnect) 按钮就无法自定义 AnyConnect UI 下载程序 - 部分状态消息不可自定义, 例如 : 更新过程中的状态消息 不受信任的服务器 延迟的更新请意, 显示在 UI 中的所有消息均可本地化 AnyConnect 对话 /UI 可以通过创建或更新 PO 或 MO 文件对消息进行自定义 可以通过用 ASDM 替换图像和文本对 UI 组件进行自定义 用您的自定义组件替换单个 GUI 组件 您可以通过导入您的自定义文件到安全设备来对 AnyConnect 进行自定义, 后者会将新文件部署到客户端 表 12-2 表 12-3 和表 12-4 包含原始 GUI 图标的图像示例和关于其大小的信息 如要导入您的自定义文件并部署到客户端, 请遵循以下步骤 : 步骤 1 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 资源 (Resources) 12-2

281 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 自定义 AnyConnect 点击导入 (Import) 导入 AnyConnect 自定义对象 (Import AnyConnect Customization Object) 窗口显示 ( 图 12-1) 图 12-1 导入自定义对象 步骤 2 输入要导入的文件名 有关您可以替换的所有 GUI 组件的文件名, 请参阅表 12-2 表 12-3 和表 12-4 您自定义组件的文件名必须与 AnyConnect GUI 使用的文件名匹配, 每个操作系统有所不同, 且 Mac 和 Linux 区分大小写 例如, 如果您要替换 Windows 客户端的公司徽标, 则您导入的公司徽标文件名必须是 company_logo.png 如果以其他文件名导入, AnyConnect 安装程序将不会更改组件 但是, 如果您部署自己的可执行文件用于自定义 GUI, 则该可执行文件可以用任何文件名调用资源文件 步骤 3 选择平台并指定要导入的文件 点击现在导入 (Import Now) 文件即显示于表格中 ( 图 12-2) 图 12-2 在表格中显示导入的文件 12-3

282 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 如果您将图像作为资源文件 ( 如 company_logo.bmp) 导入, 则在您使用相同文件名再次导入另一图像之前, 导入的图像将对 AnyConnect 进行自定义 例如, 如果以自定义图像替换 company_logo.bmp, 之后删除图像, 则在使用相同文件名导入新图像 ( 或原始思科徽标图像 ) 之前, 客户端将继续显示该图像 用转换文件自定义 GUI 通过创建您自己的使用客户端安装程序进行部署的转换文件, 您可以对 AnyConnect GUI ( 仅限 Windows) 进行更广泛的自定义 您将转换文件导入 ASA, 以便其使用安装程序部署该转换文件 如要创建 MSI 转换文件, 您可以从 Microsoft 下载并安装名为 Orca 的免费数据库编辑器 您可以使用此工具修改现有安装, 甚至添加新文件 Orca 工具是 Microsoft Windows 安装程序软件开发套件 (SDK) 的组成部分, 包含于 Microsoft Windows SDK 中 以下链接导向含有 Orca 程序的套件 : 安装 SDK 后, Orca MSI 位于 : C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi 安装 Orca 软件, 然后从 开始 (Start) > 所有程序 (All Programs) 菜单接入 Orca 程序 如要导入您的转换文件, 请执行以下步骤 : 步骤 1 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 自定义安装程序转换文件 (Customized Installer Transforms) 点击导入 (Import) 导入 AnyConnect 自定义对象 (Import AnyConnect Customization Objects) 窗口显示 ( 图 12-3) 12-4

283 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 自定义 AnyConnect 图 12-3 导入自定义转换文件 步骤 2 输入要导入的文件名 不同于其他自定义对象的名称, 该名称对于 ASA 并不重要, 仅为了方便您自己 步骤 3 选择平台并指定要导入的文件 点击现在导入 (Import Now) 文件即显示于表格中 ( 图 12-4) Windows 是应用转换文件的唯一有效选择 图 12-4 在表格中显示自定义转换文件 12-5

284 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 转换文件示例 当提供的有关创建转换文件的教程超出了该文档的范围时, 我们将提供以下文本作为转换文件中部分条目的代表 这些条目将以本地副本替换 company_logo.bmp, 并安装自定义配置文件 MyProfile.xml DATA CHANGE - Component Component ComponentId + MyProfile.xml { A C D8180} Directory_ Attributes Condition KeyPath Profile_DIR 0 MyProfile.xml DATA CHANGE - FeatureComponents Feature_ Component_ + MainFeature MyProfile.xml DATA CHANGE - File File Component_ FileName FileSize Version Language Attributes Sequence + MyProfile.xml MyProfile.xml MyProf~1.xml MyProfile.xml <> company_logo.bmp 37302{39430} 8192{0} DATA CHANGE - Media DiskId LastSequence DiskPrompt Cabinet VolumeLabel Source 部署使用客户端 API 的可执行文件 对于 Windows Linux 或 Mac 计算机, 您可以使用 AnyConnect API 部署您自己的用户界面 (UI) 您可以通过替换客户端二进制文件来替换 AnyConnect GUI 或 AnyConnect CLI 您必须分配您的自定义 UI, 并管理 AnyConnect 软件更新 以下 AnyConnect 功能与自定义 AnyConnect UI 不兼容 : ASA 上的 AnyConnect 软件部署 如果您更新了 ASA 上的 AnyConnect 数据包版本, 则可以更新终端用户的客户端, 并将替换您的自定义 UI 您必须对 AnyConnect 软件分发和您的自定义客户端进行管理 尽管您可以通过 ASDM 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 二进制 (Binary) 对话框, 上传二进制文件替换 AnyConnect 客户端, 但不支持该功能 网络接入管理器和网络安全 如果部署了网络安全或网络接入管理器, 您必须使用 Cisco AnyConnect 安全移动客户端 GUI 不支持登录前启动 以下表格列出了不同操作系统的客户端可执行文件的文件名 表 12-1 客户端可执行文件的文件名 客户端操作系统 客户端 GUI 文件 客户端 CLI 文件 Windows vpnui.exe vpncli.exe Linux vpnui vpn Mac 1 不支持 vpn 1. ASA 部署不支持 但是, 您可以使用其他方法 ( 如 Altiris 代理 ) 为 Mac 部署可替换客户端 GUI 的可执行文件 您的可执行文件可以调用导入至 ASA 的所有资源文件, 例如徽标图像 ( 请参阅图 12-1) 不同于替换预定义的 GUI 组件, 部署您自己的可执行文件时, 您可以为您的资源文件使用任何文件名 12-6

285 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 自定义 AnyConnect 有关创建自定义图标和徽标的信息 以下表格列出了您可以为每个操作系统替换的受 AnyConnect 支持的文件 表格中的图像用于 AnyConnect VPN 客户端 网络接入管理器和网络安全模块 AnyConnect 版本 3.1 另外添加了两个 UI 对话框, 一个用于显示网络连接状态, 另一个可允许用户更新网络连接密码 AnyConnect 3.0 及更高版本的推荐图像格式 对于 AnyConnect 3.0 及更高版本, 建议您出于以下原因使用可移植网络图形 (PNG) 图像 : 与其他图像格式相比, PNG 图像文件更小, 占用更少的磁盘空间 PNG 图像在本机支持透明模式 AnyConnect 3.0 和更高版本的 GUI 在 高级 (Advanced) 窗口和任务栏浮出控件中提供的标题邻近徽标图像 因此, 对于较早版客户端, 您为图像提供的任何标题都可能会干扰用户 对于 Windows 在表 12-2 中的所有 Windows 文件位于 : %PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\res\ %PROGRAMFILES% 指相同名称的环境变量 在大多数 Windows 安装中, 是 C:\Program 文件 表 12-2 列出了可替换文件和受影响的客户端 GUI 区域 : 表 12-2 Windows 上的 AnyConnect - 图标文件 Windows 安装中的文件名和描述 about.png 在 高级 (Advanced) 对话框右上角的 关于 (About) 按钮 尺寸不可调整 图像尺寸 ( 像素, l x h ) 和类型 24 x 24 PNG about_hover.png 在 高级 (Advanced) 对话框右上角的 关于 (About) 按钮 尺寸不可调整 24 x 24 PNG 12-7

286 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 表 12-2 Windows 上的 AnyConnect - 图标文件 ( 续 ) Windows 安装中的文件名和描述 app_logo.png 128 x 128 为最大尺寸 如果您的自定义文件不是该尺寸, 则将在应用中重新调整为 128 X 128 如果不在同一比率, 则将进行拉伸 图像尺寸 ( 像素, l x h ) 和类型 128 X 128 PNG attention.ico 系统托盘图标警告用户需要意或交互的情况 例如, 有关用户凭据的对话框 尺寸不可调整 16 x 16 ICO company_logo.png 公司徽标显示于任务栏浮出控件和 高级 (Advanced) 对话框的左上角 97x58 为最大尺寸 如果您的自定义文件不是该尺寸, 则将在应用中重新调整为 97x58 如果不在同一比率, 则将进行拉伸 97 x 58 ( 最大 ) PNG company_logo_alt.png 公司徽标显示于 关于 (About) 对话框的右下角 97x58 为最大尺寸 如果您的自定义文件不是该尺寸, 则将在应用中重新调整为 97x58 如果不在同一比率, 则将进行拉伸 97 X 58 PNG 12-8

287 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 自定义 AnyConnect 表 12-2 Windows 上的 AnyConnect - 图标文件 ( 续 ) Windows 安装中的文件名和描述 cues_bg.jpg 任务栏浮出控件 高级 (Advanced) 窗口和 关于 (About) 对话框的背景图像 因为图像未进行拉伸, 因此使用过小的替换图像会导致出现黑色区域 I 图像尺寸 ( 像素, l x h ) 和类型 1260 x 1024 JPEG error.ico 系统托盘图标警告用户有一个或多个组件出现严重错误 尺寸不可调整 16 x 16 ICO neutral.ico 系统托盘图标指示客户端组件正常运行 尺寸不可调整 16 x 16 ICO transition_1.ico 与 transition_2.ico 和 transition_3.ico 一同显示的系统托盘图标指示一个或多个客户端组件正在进行状态转换 ( 例如, VPN 连接时或网络接入管理器连接时 ) 3 个图标文件连续显示, 并显示为从左至右跳动的单个图标 尺寸不可调整 16 x 16 PNG transition_2.ico 与 transition_1.ico 和 transition_3.ico 一同显示的系统托盘图标指示一个或多个客户端组件正在进行状态转换 ( 例如, VPN 连接时或网络接入管理器连接时 ) 3 个图标文件连续显示, 并显示为从左至右跳动的单个图标 尺寸不可调整 16 x 16 PNG 12-9

288 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 表 12-2 Windows 上的 AnyConnect - 图标文件 ( 续 ) Windows 安装中的文件名和描述 transition_3.ico 与 transition_1.ico 和 transition_2.ico 一同显示的系统托盘图标指示一个或多个客户端组件正在进行状态转换 ( 例如, VPN 连接时或网络接入管理器连接时 ) 3 个图标文件连续显示, 并显示为从左至右跳动的单个图标 尺寸不可调整 图像尺寸 ( 像素, l x h ) 和类型 16 x 16 PNG vpn_connected.ico 系统托盘图标指示 VPN 已连接 尺寸不可调整 16 x 16 ICO 对于 Linux Linux 的所有文件位于 : /opt/cisco/anyconnect/pixmaps/ 表 12-3 列出可替换文件和受影响的客户端 GUI 区域 表 12-3 Linux 上的 AnyConnect - 图标文件 Linux 安装中的文件名和描述 company-logo.png 出现在用户界面各个选项卡上的公司徽标 对于 AnyConnect 3.0 及更高版本, 使用大小不超过 62x33 像素的 PNG 图像 图像尺寸 ( 像素, l x h ) 和类型 142 x 92 PNG cvc-about.png 显示于 关于 (About) 选项卡的图标 16 x 16 PNG 12-10

289 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 自定义 AnyConnect 表 12-3 Linux 上的 AnyConnect - 图标文件 Linux 安装中的文件名和描述 cvc-connect.png 显示于 连接 (Connect) 按钮旁和 连接 (Connection) 选项卡上的图标 图像尺寸 ( 像素, l x h ) 和类型 16 x 16 PNG cvc-disconnect.png 显示于 断开连接 (Disconnect) 按钮旁的图标 16 x 16 PNG cvc-info.png 显示于 统计 (Statistics) 选项卡的图标 16 x 16 PNG systray_connected.png 客户端连接时显示的任务栏图标 16 x 16 PNG systray_notconnected.png 客户端未连接时显示的任务栏图标 16 x 16 PNG systray_disconnecting.png 客户端断开连接时显示的任务栏图标 16 x 16 PNG systray_quarantined.png 客户端已隔离时显示的任务栏图标 16x16 PNG 12-11

290 自定义 AnyConnect 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 表 12-3 Linux 上的 AnyConnect - 图标文件 Linux 安装中的文件名和描述 systray_reconnecting.png 客户端重新连接时显示的任务栏图标 图像尺寸 ( 像素, l x h ) 和类型 16 x 16 PNG vpnui48.png 主程序图标 48 x 48 PNG 对于 Mac OS X OS X 的所有文件位于 : /Applications/Cisco AnyConnect Secure Mobility Client/Contents/Resources 转到应用 (Applications) > 思科 (Cisco), 点击 Cisco AnyConnect 安全移动客户端, 之后选择显示数据包内容 (Show Package Contents), 即可找到 资源 (Resources) 文件夹 表 12-4 列出了可替换文件和受影响的客户端 GUI 区域 表 12-4 Mac OS X 上的 AnyConnect - 图标文件 Mac OS X 安装中的文件名 bubble.png 客户端连接或断开连接时显示的通知气泡 图像尺寸 ( 像素, l x h) 142 x 92 PNG logo.png 显示于主屏幕右上角的徽标图标 50 x 33 PNG 12-12

291 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 创建和上传 AnyConnect 客户端帮助文件 表 12-4 Mac OS X 上的 AnyConnect - 图标文件 Mac OS X 安装中的文件名 vpngui.icns 用于所有图标服务 ( 如 Dock Sheets 和 Finder) 的 Mac OS X 图标文件格式 图像尺寸 ( 像素, l x h) 128 x 128 PNG Mac OS X 状态图标 16 X 16 PNG 创建和上传 AnyConnect 客户端帮助文件 如要为 AnyConnect 用户提供帮助文件, 请依据有关您站点的说明创建 HTML 文件, 并将其加载至 ASA 当用户通过 AnyConnect 连接时, AnyConnect 将下载帮助文件, 并在 AnyConnect 用户界面显示帮助图标 当用户点击帮助图标时, 浏览器将打开帮助文件 步骤 1 创建名为 help_anyconnect.html 的 HTML 文件 步骤 2 用 ASDM 登录到 ASA, 并选择 : 配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 二进制 (Binary) 步骤 3 导入 help_anyconnect.xxx 文件 支持如下格式 :PDF HTML HTM 和 MHT 步骤 4 在 PC 上启动 AnyConnect 并连接到 ASA 将帮助文件下载至客户端 PC 步骤 5 您应该看到帮助图标自动添加至 UI 步骤 6 点击帮助图标, 帮助文件将在浏览器中打开 如果帮助图标未出现, 请检查帮助目录, 确认 AnyConnect 下载程序能否检索帮助文件 下载程序将删除文件名的 help_ 部分, 因此您应该在以下目录之一看到 AnyConnect.html ( 具体因操作系统而异 ): Windows 7 和 Vista - C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Help Windows XP - C:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Help Mac OS - /opt/cisco/anyconnect/help 12-13

292 更改默认的 AnyConnect 英文消息 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 更改默认的 AnyConnect 英文消息 通过打开 ( 添加或编辑 ) 英文翻译表格, 并针对一个或多个消息 ID 更改消息文本, 即可更改 AnyConnect GUI 上显示的英文消息 打开消息文件后, 您可以通过以下方式对其进行编辑 : 在打开的对话框中, 将更改的内容键入文本 将打开的对话框中的文本复制至文本编辑器, 进行更改, 并将文本粘贴回对话框 通过点击 保存至文件 (Save to File), 编辑文件并将其导入 ASDM, 即可导出消息文件 请意, 可通过 本地化 (Localization) 菜单 ( 配置 [Configuration] > 远程接入 VPN [Remote Access VPN] > 语言本地化 [Language Localization]) 获取英文翻译表格 在第 页的本地化 AnyConnect 客户端 GUI 和安装程序中对本地化进行了介绍 以下步骤说明了如何通过编辑对话框更改默认英文消息 : 步骤 1 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > GUI 文本和消息 (GUI Text and Messages) 点击添加 (Add) 添加语言本地化条目 (Add Language Localization Entry) 窗口显示 ( 图 12-5) 图 12-5 添加英文翻译表格 12-14

293 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 更改默认的 AnyConnect 英文消息 步骤 2 步骤 3 点击 语言 (Language) 下拉列表并将语言指定为英文 (en) 英文翻译表格将显示于窗格中的语言列表上 点击编辑 (Edit), 开始编辑消息 编辑语言本地化条目 (Edit Language Localization Entry) 窗口显示 ( 图 12-6) msgid 引号之间的文本为客户端显示的默认英文文本, 且不得更改 msgstr 字符串包含客户端用于替换 msgid 默认文本的文本 在 msgstr 引号之间插入您自己的文本 在以下示例中, 我们插入了 致电 联系您的网络管理员 图 12-6 编辑消息文本 步骤 4 点击确定 (OK), 之后于 GUI 文本和消息 (GUI Text and Messages) 窗格点击应用 (Apply), 以便保存更改 12-15

294 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 您可以将客户端和所有可选模块本地化 ( 翻译 ) 为不同语言 您还可以为提供 VPN 服务的核心 VPN 客户端本地化安装程序 以下部分包含配置此功能的信息和步骤 : 第 页的本地化 AnyConnect GUI 第 页的本地化 AnyConnect 安装程序屏幕 第 页的使用工具创建企业部署的消息目录 第 页的合并较新的翻译模板与翻译表格 本地化 AnyConnect GUI 安全设备使用翻译表格翻译由 AnyConnect 显示的用户消息 翻译表格为包含已翻译的消息文本字符串的文本文件 Windows AnyConnect 数据包文件包含 AnyConnect 消息的英文模板 当您加载客户端图像时, ASA 将自动导入此文件 此文件包含 AnyConnect 软件中关于消息字符串的最新更改 您可以使用它创建其他语言的新翻译表格, 也可以导入 上提供的以下翻译表格之一, 请参阅导入可用翻译表格至 ASA: 日语 加拿大法语 德语 中文 韩语 西班牙语 ( 拉美 ) 捷克语 波兰语以下部分包含翻译 GUI 文本和消息的步骤, 如果所需语言不可用, 或希望进一步自定义导入的翻译表格 : 第 页的使用 ASDM 翻译表格编辑器进行翻译 通过打开 ( 添加或编辑 ) 文件, 并针对一个或多个消息 ID 更改消息文本, 您即可使用该方法更改消息文件 打开消息文件后, 您可以通过以下方式对其进行编辑 : 在打开的对话框中, 将更改的内容键入文本 将打开的对话框中的文本复制至文本编辑器, 进行更改, 并将文本粘贴回对话框 第 页的通过导出用于编辑的翻译表格进行翻译 通过点击 保存至文件 (Save to File), 编辑文件并将其导入 ASDM, 即可导出消息文件更新 ASA 上的翻译表格后, 客户端重启并再次成功连接前, 更新消息将无法应用 如果您未从 ASA 部署客户端, 并正在使用公司软件部署系统 ( 如 Altiris 代理 ), 您可以使用目录实用程序 ( 如 Gettext) 手动将 AnyConnect 翻译表格 (anyconnect.po) 转换为.mo 文件, 并将.mo 文件安装至客户端计算机的相应文件夹中 有关详细信息, 请参阅第 页的 使用工具创建企业部署的消息目录 部分 12-16

295 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 指定 AnyConnect 客户端平台的系统区域设置 当远程用户连接至 ASA, 并下载客户端时, AnyConnect 将检测计算机的首选语言并检测指定的系统区域设置, 以便应用相应的翻译表格 如要在 Windows 客户端平台查看或更改指定的系统区域设置 : 步骤 1 导航至控制面板 (Control Panel) > 地区和语言 (Region and Languages) 对话框 如果您正在按类别查看 控制面板 (Control Panel), 请选择时钟 语言和地区 (Clock, Language, and Region) > 更改显示语言 (Change display language) Windows XP 和 7 的对话框示例如下所示 : 步骤 2 指定语言 / 区域设置, 使用针对您的 Windows 版本以红色圈出的选项 12-17

296 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 步骤 3 步骤 4 指定针对所有用户账户将这些设置用作默认设置, 使用针对您的 Windows 版本以黄色圈出的选项 如果您的部署使用了网络安全, 则重新启动网络安全代理, 以便获得新翻译 如果未指定位置, AnyConnect 将仅默认使用该语言 例如, 如果未找到 fr-ca 目录, AnyConnect 将查找 fr 目录 您不需要通过更改显示语言 位置或键盘来查看翻译 导入可用翻译表格至 ASA 步骤 1 从 下载所需的翻译表格 步骤 2 在 ASA 上, 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > GUI 文本和消息 (GUI Text and Messages) 步骤 3 步骤 4 步骤 5 步骤 6 点击导入 (Import) 导入语言本地化条目 (Import Language Localization Entry) 窗口显示 从下拉列表中选择适用语言 指定从何处导入翻译表格 点击现在导入 (Import Now) 即可将此翻译表格部署至 AnyConnect 客户端, 并将其用作首选语言 将在 AnyConnect 重启和连接后应用本地化 同时必须将思科安全桌面翻译表格导入 ASA, 以便对主机扫描消息进行本地化 ( 即使在未使用思科安全桌面时 ) 使用 ASDM 翻译表格编辑器进行翻译 以下步骤介绍了如何使用 ASDM 本地化 AnyConnect GUI: 步骤 1 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 语言本地化 (Language Localization) 点击添加 (Add) 添加语言本地化条目 (Add Language Localization Entry) 窗口显示 ( 图 12-7) 12-18

297 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 图 12-7 语言本地化窗格 步骤 2 点击翻译域 (Translation Domain) 下拉列表并选择 AnyConnect ( 图 12-8) 此选择确保了仅显示待编辑的 AnyConnect GUI 相关消息 图 12-8 翻译域 12-19

298 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 步骤 3 为该翻译表格指定语言 ( 图 12-9) ASDM 使用 Windows 和浏览器认可的标准语言缩写对该表格进行标记 ( 例如, es 表示西班牙语 ) 图 12-9 选择语言 12-20

299 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 步骤 4 现在, 翻译表格将显示于窗格中的语言列表上 ( 本示例中为 es) 但其中没有已翻译的消息 如要开始添加翻译文本, 点击编辑 (Edit) 编辑语言本地化条目 (Edit Language Localization Entry) 窗口显示 ( 图 12-10) 在消息字符串 (msgstr) 的引号之间添加已翻译文本 在以下示例中, 我们在其消息字符串的引号之间插入了 Connectado ( Connected [ 已连接 ] 的西班牙语文本 ) 确保于语言本地化窗格中点击确定 (OK), 之后点击应用 (Apply), 以便保存更改 图 编辑翻译表格 12-21

300 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 通过导出用于编辑的翻译表格进行翻译 该步骤显示了如何将 AnyConnect 翻译模板导出至远程计算机, 以便您可以在远程计算机上使用文本编辑器或第三方工具 ( 如 Gettext 或 Poedit) 编辑表格 来自 GNU 项目的 Gettext 实用程序可用于 Windows, 并可在命令窗口中运行 有关详细信息, 请参阅 GNU 网站 :gnu.org 您还可以使用基于 GUI 使用 Gettext 的实用程序, 如 Poedit 此软件在 poedit.net 上提供 步骤 1 导出 AnyConnect 翻译模板 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 语言本地化 (Language Localization) 语言本地化窗格显示 ( 图 12-11) 点击模板(Templates) 链接, 显示可用的模板表格 选择 AnyConnect 模板并点击导出 (Export) 导出语言本地化 (Export Language Localization) 窗口显示 图 导出翻译模板 步骤 2 选择导出的目标位置并提供文件名 在图 中, 导出至本地计算机, 文件名为 AnyConnect_translation_table 12-22

301 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 步骤 3 编辑翻译表格 以下示例显示了一部分 AnyConnect 模板 此输出内容的结尾包含了已连接消息的消息 ID 字段 (msgid) 和消息字符串字段 (msgstr), 当客户端建立 VPN 连接时, 该消息将显示于 AnyConnect GUI 上 ( 完整模板包含多对消息字段 ): # SOME DESCRIPTIVE TITLE. # Copyright (C) YEAR THE PACKAGE'S COPYRIGHT HOLDER # This file is distributed under the same license as the PACKAGE package. # FIRST AUTHOR < @ADDRESS>, YEAR. # #, fuzzy msgid "" msgstr "" "Project-Id-Version: PACKAGE VERSION\n" "Report-Msgid-Bugs-To: \n" "POT-Creation-Date: : \n" "PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n" "Last-Translator: FULL NAME < @ADDRESS>\n" "Language-Team: LANGUAGE <LL@li.org>\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=charset\n" "Content-Transfer-Encoding: 8bit\n" 步骤 4 步骤 5 msgid "Connected" msgstr "" msgid 包含默认翻译 msgid 之后的 msgstr 提供翻译 如要创建翻译, 请在 msgstr 字符串的引号之间输入翻译文本 例如, 如要将 "Connected" ( 已连接 ) 消息翻译成西班牙语, 则在引号之间插入西班牙语文本 : msgid "Connected" msgstr "Conectado" 请务必保存文件 将翻译模板作为特定语言的新翻译表格导入 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 语言本地化 (Language Localization) 语言本地化窗格显示 ( 图 12-12) 点击导入 (Import) 导入语言本地化 (Import Language Localization Entry) 窗口显示 点击语言 (Language) 下拉列表, 为该翻译表格选择语言 ( 和行业认可的缩写 ) 如果手动输入缩写, 请务必使用浏览器和操作系统认可的缩写 步骤 6 指定翻译域为 AnyConnect, 选择导入的来源位置, 并提供文件名 点击现在导入 (Import Now) 将显示已成功导入表格的提示消息 请务必点击应用 (Apply) 保存更改 12-23

302 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 在图 中, 我们指定的语言为西班牙语 (es) 并导入在步骤 1 中导出的同一文件 (AnyConnect_translation_table) 图 显示了 AnyConnect 语言列表中西班牙语的新翻译表格 图 将翻译模板作为新翻译表格导入 图 在语言表格中显示的新语言 12-24

303 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 本地化 AnyConnect 安装程序屏幕 通过 AnyConnect GUI, 您可以翻译安装 VPN 服务的客户端安装程序显示的消息 ASA 使用转换文件翻译安装程序显示的消息 转换文件将更改安装, 但已签署安全性的原始 MSI 将保持原样 这些转换文件仅翻译安装程序屏幕, 不会翻译客户端 GUI 屏幕 AnyConnect 的各个版本均包含本地化的转换文件, 管理员可在使用新软件上传 AnyConnect 数据包时, 将本地化转换文件上传至 ASA 如果您正在使用我们的本地化转换文件, 请确保在上传新 AnyConnect 数据包时, 使用来自 CCO 的最新版本更新本地化转换文件 每个语言都有各自的转换文件 您可以用转换文件编辑器 ( 如 Orca) 编辑转换文件, 并更改消息字符串 之后将转换文件导入至 ASA 当用户下载客户端时, 客户端会检测计算机的首选语言 ( 在操作系统安装过程中指定的区域设置 ) 并应用相应的转换文件 我们目前提供 30 种语言的转换文件 可在 cisco.com AnyConnect 的软件下载页面下载包含这些转换文件的以下.zip 文件 : anyconnect-win-<version>-web-deploy-k9-lang.zip 此文件中, <VERSION> 是 AnyConnect 的发行版本 ( 例如 3.1.xxxxx) 数据包包含可用翻译的转换文件 (.mst 文件 ) 如果您需要向远程用户提供的语言不是我们所提供的 30 种语言之一, 您可以创建自己的转换文件, 并将其作为新语言导入 ASA 您可以使用 Microsoft 的数据库编辑器 Orca 修改现有安装和新文件 Orca 是 Microsoft Windows 安装程序软件开发套件 (SDK) 的组成部分, 包含于 Microsoft Windows SDK 中 以下链接导向含有 Orca 程序的套件 : 安装 SDK 后, Orca MSI 位于 : C:\Program Files\Microsoft SDK SP1\Microsoft Platform SDK\Bin\Orca.msi 12-25

304 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 以下步骤显示了如何使用 ASDM 将转换文件导入 ASA: 步骤 1 导入转换文件 转到配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > AnyConnect 自定义 / 本地化 (AnyConnect Customization/Localization) > 本地化安装程序转换文件 (Localized Installer Transforms) 点击导入 (Import) 导入 MST 语言本地化 (Import MST Language Localization) 窗口打开 ( 图 12-14): 图 导入转换文件以翻译安装程序 步骤 2 步骤 3 点击语言 (Language) 下拉列表, 为该转换文件选择一种语言 ( 和行业认可的缩写 ) 如果手动输入缩写, 请务必使用浏览器和操作系统认可的缩写 点击现在导入 (Import Now) 将显示已成功导入表格的提示消息 请务必点击应用 (Apply) 保存更改 在图 中, 我们指定的语言为西班牙语 (es) 图 显示了 AnyConnect 语言列表中西班牙语的新转换文件 图 在表格中显示已导入的转换文件 12-26

305 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 本地化 AnyConnect 客户端 GUI 和安装程序 使用工具创建企业部署的消息目录 如果您未采用 ASA 部署客户端, 且正在使用企业软件部署系统 ( 如 Altiris 代理 ), 则您可以使用 Gettext 等实用程序手动将 AnyConnect 翻译表格转换为消息目录 将表格从.po 文件转换为.mo 文件, 之后将文件置于客户端计算机上相应的文件夹内 Gettext 是来自 GNU 项目的实用程序, 并可在命令窗口中运行 有关详细信息, 请参阅 GNU 网站 :gnu.org 您还可以使用基于 GUI 使用 Gettext 的实用程序, 如 Poedit 此软件在 poedit.net 上提供 AnyConnect 消息模板目录 AnyConnect 消息模板位于如下所列的文件夹中 \l10n 目录是如下所列的每个目录路径的一部分 目录名称拼写 : 小写 l ("el") 1 0 小写 n Windows 7 和 Windows Vista <DriveLetter>:\Program Data\Cisco\Cisco AnyConnect Secure Mobility Client\l10n\<LANGUAGE-CODE>\LC_MESSAGES 例如 <DriveLetter>:\Program Data\Cisco\Cisco AnyConnect Secure Mobility Client\l10n\en-us\LC_MESSAGES Windows XP: %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\l10n\<LANGUAGE-CODE>\LC_MESSAGES Mac OS X 和 Linux: /opt/cisco/anyconnect/l10n/<language-code>/lc_messages 创建消息目录 使用 Gettext, 按照以下步骤创建消息对话框 : 步骤 1 从 下载 Gettext 实用程序并在用于管理的计算机上 ( 非远程用户计算机 ) 安装 Gettext 步骤 2 在安装了 AnyConnect 的计算机上检索 AnyConnect 消息模板副本 AnyConnect.po 步骤 3 编辑 AnyConnect.po 文件 ( 使用 notepad.exe 或任何纯文本编辑器 ), 视需要更改字符串 步骤 4 运行 Gettext 消息文件编译器, 从.po 文件创建.mo 文件 : msgfmt -o AnyConnect.mo AnyConnect.po 步骤 5 将.mo 文件副本置于用户计算机上正确的消息模板目录下 有关详细信息, 请参阅 AnyConnect 消息模板目录 12-27

306 本地化 AnyConnect 客户端 GUI 和安装程序 第 12 章 自定义和本地化 AnyConnect 客户端和安装程序 合并较新的翻译模板与翻译表格 有时, 我们会添加为 AnyConnect 用户显示的新消息, 提供有关客户端连接的有用信息 为了启用这些新消息的翻译文本, 我们将创建新消息字符串并将其包含于与最新的客户端图像相打包的翻译模板中 因此, 如果升级至最新的可用客户端, 您同样可以收到新消息模板 但是, 如果您已基于之前客户端上包含的模板创建了翻译表格, 则新消息不会自动向远程用户显示 您必须合并最新模板与翻译表格, 确保您的翻译表格中包含这些新消息 您可以使用便利的第三方工具进行合并 来自 GNU 项目的 Gettext 实用程序可用于 Windows, 并可在命令窗口中运行 有关详细信息, 请参阅 GNU 网站 :gnu.org 您还可以使用基于 GUI 使用 Gettext 的实用程序, 如 Poedit 此软件在 poedit.net 上提供 在以下步骤中介绍了两种方法 步骤 1 从远程接入 VPN (Remote Access VPN) > 语言本地化 (Language Localization) > 模板 (Templates) 导出最新 AnyConnect 翻译模板 导出的模板文件名为 AnyConnect.pot 此文件名确保 msgmerge.exe 程序将文件识别为消息目录模板 该步骤假定您已经将最新 AnyConnect 图像数据包加载至 ASA 在您导出模板前, 模板不可用于导出 步骤 2 步骤 3 合并 AnyConnect 模板与翻译表格 如果您正在 Windows 上使用 Gettext 实用程序, 则打开命令提示窗口并运行以下命令 该命令将合并 AnyConnect 翻译表格 (.po) 和模板 (.pot), 创建新的 AnyConnect_merged.po 文件 : msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot 以下示例显示了该命令结果 : C:\Program Files\GnuWin32\bin> msgmerge -o AnyConnect_merged.po AnyConnect.po AnyConnect.pot... done. 如果您正在使用 Poedit, 则首先打开 AnyConnect.po 文件 ; 转到文件 (File) > 打开 (Open) > <AnyConnect.po> 然后将其与模板合并 ; 转到 POT 文件 <AnyConnect.pot> 的目录 (Catalog) > 更新 (Update) Poedit 将在 更新摘要 (Update Summary) 窗口显示新字符串和模糊字符串 保存将在下一步导入的文件 将合并的翻译表格导入至远程接入 VPN (Remote Access VPN) > 语言本地化 (Language Localization) 点击导入 (Import), 指定语言, 并选择 AnyConnect 作为翻译域 将要导入的文件指定为 AnyConnect_merged.po 12-28

307 13 第章 AnyConnect 会话的管理 监控和故障排除 本章介绍以下主题和任务 : 第 13-1 页的 AnyConnect 客户端 IGMP v3 数据包的系统日志消息 第 13-2 页的断开所有 VPN 会话连接 第 13-2 页的断开单个 VPN 会话连接 第 13-2 页的查看详细统计信息 第 13-3 页的解决 VPN 连接问题 第 13-3 页的使用 DART 收集故障排除信息 第 13-9 页的安装 AnyConnect 客户端 第 13-9 页的安装日志文件 第 页的断开 AnyConnect 或建立初始连接时出现问题 第 页的传送流量时出现问题 第 页的 AnyConnect 发生崩溃 第 页的连接至 VPN 服务时出现问题 第 页的响应 Microsoft Internet Explorer 的安全警告 第 页的响应 由未知颁发机构认证 警告 第 页的获取计算机系统信息 第 页的与第三方应用存在冲突 AnyConnect 客户端 IGMP v3 数据包的系统日志消息 当 AnyConnect 客户端连接到 ASA 时, 它会发送 IGMP v3 数据包, 而 ASA 会丢弃该数据包 ASA 不支持源特定组播, 因此, 丢弃数据包是预期行为 从 ASA 版本 9.1(3) 开始, ASA 使用系统日志 ID 和 生成拒绝和丢弃 IGMP v3 数据包的系统日志消息 这种数据包丢弃行为在过去是不会生成系统日志消息的 13-1

308 断开所有 VPN 会话连接 第 13 章 AnyConnect 会话的管理 监控和故障排除 断开所有 VPN 会话连接 要退出所有 SSL VPN 会话, 包括 Cisco AnyConnect 安全移动客户端会话, 在全局配置模式中使用 vpn-sessiondb logoff anyconnect 命令 : vpn-sessiondb logoff anyconnect 作为回应, 系统要求您确认是否要退出 VPN 会话 要确认, 按 Enter 键或 y 键 按其他任意键取消退出 以下是退出所有 SSL VPN 会话的示例 : hostname# vpn-sessiondb logoff anyconnect INFO: Number of sessions of type "svc" logged off : 1 Do you want to logoff the VPN session(s)?[confirm] INFO: Number of sessions logged off : 6 hostname# 断开单个 VPN 会话连接 您可以使用 name ( 用户名 ) 选项或 index ( 索引 ) 选项退出单个会话 : vpn-sessiondb logoff name name vpn-sessiondb logoff index index 例如, 要退出名为 tester 的用户, 输入以下命令 : hostname# vpn-sessiondb logoff name tester Do you want to logoff the VPN session(s)?[confirm] INFO: Number of sessions with name "tester" logged off : 1 hostname# 您可以在 show vpn-sessiondb anyconnect 命令的输出中同时找到用户名和索引号 ( 根据客户端映像的顺序建立 ) 以下示例说明如何用 vpn-sessiondb logoff 命令的 name ( 用户名 ) 选项终止会话 : hostname# vpn-sessiondb logoff name testuser INFO: Number of sessions with name "testuser" logged off : 1 查看详细统计信息 您或用户可以查看当前 AnyConnect 会话的统计信息 在 Windows 上, 导航至高级窗口 (Advanced Window) > VPN 抽屉 (VPN drawer) > 统计 (Statistics) 或者, 在 Linux 上, 点击用户 GUI 上的详细信息 (Details) 按钮 这将打开 统计详细信息 (Statistics Detail) 对话框 在此窗口的 统计 (Statistics) 选项卡上, 您可以重置统计, 导出统计, 并收集文件用于故障排除 该窗口中可用的选项取决于加载至客户端计算机的数据包 如果某个选项不可用, 则其按钮不处于活动状态, 并且在对话框的选项名称旁会出现 ( 未安装 ) (Not Installed) 指示标识 选项如下 : 点击重置 (Reset), 将连接信息重置为零 AnyConnect 立即开始收集新数据 点击导出统计 (Export Stats ) 将连接统计保存为文本文件, 用于后续分析和调试 13-2

309 第 13 章 AnyConnect 会话的管理 监控和故障排除 解决 VPN 连接问题 点击故障排除 (Troubleshoot ) 启动 AnyConnect 诊断和报告工具 (DART) 向导, 向导中捆绑了指定的日志文件和诊断信息, 可用于分析和调试客户端连接 有关 DART 数据包的信息, 请参阅第 13-3 页的 使用 DART 收集故障排除信息 部分 解决 VPN 连接问题 使用以下部分解决 VPN 连接问题 调整 MTU 大小 许多消费级最终用户终端设备 ( 例如家用路由器 ) 不能正确处理 IP 分段的创建和组合, 特别是 UDP 由于 DTLS 是基于 UDP 的协议, 所以有时需要减少 MTU 大小以防止分段 MTU 参数设置了将通过客户端和 ASA 的隧道进行传输的数据包的最大尺寸 如果 VPN 用户遭遇了大量丢包, 或如果 Microsoft Outlook 等应用在隧道上不能正常运行, 则可能表明存在分段问题 减小该用户或用户组的 MTU 可能会解决此问题 要调整由 AnyConnect 建立的 SSL VPN 连接的最大传输单元 (MTU) 大小 ( 从 256 至 1406 字节 ), 步骤 1 从 ASDM 接口, 选择配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) > 添加 (Add) 或编辑 (Edit) 编辑内部组策略 (Edit Internal Group Policy) 对话框打开 步骤 2 选择高级 (Advanced) > SSL VPN 客户端 (SSL VPN Client) 步骤 3 取消选中继承 (Inherit) 复选框, 并在 MTU 字段中指定一个适当的值 默认组策略中该命令的默认大小为 1406 根据连接所使用界面的 MTU, 减去 IP/UDP/DTLS 开销, MTU 大小会自动调整 此设置仅影响在 SSL 中建立的 AnyConnect 连接和 SSL 中用 DTLS 建立的连接 最佳 MTU (OMTU) 使用最佳 MTU (OMTU) 功能查找客户端可以成功发送 DTLS 数据包的最大终端设备 MTU 通过发送填补至最大 MTU 的 DPD 数据包实施 OMTU 如果从头端获得负载的正确回显, 则 MTU 大小可接受 否则, 减少 MTU 尺寸, 并再次发送探测器, 直至达到协议允许的最小 MTU 使用 OMTU 不会影响现有的隧道 DPD 功能 要使用此功能, 必须启用 ASA 上的 DPD 此功能不与 IPsec 配合使用, 因为 DPD 是基于不允许填充的标准实施 使用 DART 收集故障排除信息 DART 是 AnyConnect 诊断和报告工具, 可用于收集对 AnyConnect 安装和连接问题进行故障排除有用的数据 DART 支持 Windows 7 Windows Vista 和 Windows XP Mac OS X v10.6 v10.7 和 v10.8 以及 Red Hat Enterprise Linux 5.x (32 位 ) 或 6.x (64 位 ) 13-3

310 使用 DART 收集故障排除信息 第 13 章 AnyConnect 会话的管理 监控和故障排除 DART 向导在运行 AnyConnect 的计算机上运行 DART 收集供思科技术支持中心 (TAC) 分析用的日志 状态和诊断信息 DART 不需要管理员权限 DART 不依赖 AnyConnect 软件的任何组件运行, 但是您可以从 AnyConnect 启动 DART, 且 DART 会收集 AnyConnect 日志文件 ( 如可用 ) 目前,DART 可用于独立安装, 或者管理员可以将该应用推送至客户端计算机, 作为 AnyConnect 动态下载基础设施的一部分 安装后, 终端用户可以通过 开始 (Start) 按钮从思科文件夹启用 DART 向导 DART 捆绑包无法通过 Mac OS X v10.6 的 Achieve 实用程序解压 获取 DART 软件 您可以使用 AnyConnect 网络部署或预部署方法将 DART 安装至客户端 任何版本的 DART 版本均可与任何版本的 AnyConnect 配合使用 ; 每个版本的版本号不再同步 表 13-1 提供包含用于预部署和网络部署 ( 下载 ) 安装程序的 DART 的 AnyConnect 下载 ( 包括文件和数据包 ) 在版本 之前, 用于网络部署的 DART 组件需要单独下载 (.dmg.sh 或.msi 文件 ) 版本 或更高版本中, DART 组件包含于.pkg 文件中 表 13-1 用于 ASA 或预部署的 DART 文件或数据包文件名 DART 网络部署文件名和数据包 ( 下载 ) 预部署安装程序 Windows 版本 或更高版本 : anyconnect-win-(ver)-k9.pkg 版本 之前 : anyconnect-dart-win-(ver)-k9.msi* Mac OS X 版本 或更高版本 : anyconnect-macosx-i386-(ver)-k9.pkg 版本 之前 : anyconnect-dartsetup.dmg Linux 版本 或更高版本 : anyconnect-linux-(ver)-k9.pkg 版本 之前 : anyconnect-dartsetup.sh Linux-64 版本 或更高版本 : anyconnect-linux-64-(ver)-k9.pkg 版本 之前 : anyconnect-dartsetup.sh anyconnect-win-(ver)-pre-deploy-k9.iso anyconnect-dart-win-(ver)-k9.msi* anyconnect-macosx-i386-(ver)-k9.dmg anyconnect-dart-macosx-i386-(ver)-k9.dmg anyconnect-predeploy-linux-(ver)-k9.tar.gz anyconnect-dart-linux-(ver)-k9.tar.gz anyconnect-predeploy-linux-64-(ver)-k9.tar.gz anyconnect-dart-linux-64-(ver)-k9.tar.gz * 网络部署和预部署程序包包含于 ISO 映像 (*.iso) 中 ISO 映像文件包含程序和 MSI 安装程序文件, 用于部署至用户计算机 有关.iso 映像及其内容的详细信息, 请参阅第 2-21 页的 预部署软件包文件信息 部分 13-4

311 第 13 章 AnyConnect 会话的管理 监控和故障排除 使用 DART 收集故障排除信息 安装 DART 管理员可以将 DART 纳入 AnyConnect 安装中 当 AnyConnect 下载至运行 Windows 的计算机时, 新版本的 DART ( 如有 ) 也会随之下载 当以自动升级的形式下载新版本 AnyConnect 时, 其中会包含新版本 DART ( 如有 ) 如果 dart 关键字未出现在组策略配置中 ( 通过 anyconnect modules 命令或相应 ASDM 对话框进行配置 ), 则 AnyConnect 下载不会安装 DART, 即使其存在于数据包中 随 AnyConnect 一起安装 DART 此步骤将下载 DART 至用户下次连接的远程用户计算机 步骤 1 像加载其他思科软件数据包一样, 将包含 DART 的 AnyConnect 数据包加载至 ASA 步骤 2 在安全设备上安装包含 DART 的 AnyConnect.pkg 文件后, 您必须指定组策略的 DART, 以便能够随 AnyConnect 一起安装 DART 您可以使用 ASDM 或 CLI 实施上述操作, 如下所示 : 如果使用 ASDM: a. 点击配置 (Configuration), 再点击远程接入 VPN (Remote Access VPN) > 网络 ( 客户端 ) 接入 (Network [Client] Access) > 组策略 (Group Policies) b. 添加新的组策略或编辑现有组策略 在 组策略 (Group Policy) 对话框中, 展开高级 (Advanced) 并点击 SSL VPN 客户端 (SSL VPN Client) c. 在 SSL VPN 客户端 (SSL VPN Client) 对话框中, 取消选中待下载可选客户端模块 (Optional Client Modules to Download) 选项的继承 (Inherit) 选择选项下拉列表中的 DART 模块 d. 如果正在使用的 ASDM 版本没有 DART 选项复选框, 则在字段中输入关键字 dart 如果要同时启用 DART 和 登录前启动 (Start Before Logon), 则以任意顺序在该字段中同时输入 dart 和 vpngina, 以逗号隔开 点击确定 (OK), 然后点击应用 (Apply) 如果使用 CLI, 则请使用 anyconnect modules value dart 命令 如果随后更改为 anyconnect modules none 或如果在待下载可选客户端模块 (Optional Client Modules to Download) 字段中删除了 DART 选择, 则 DART 维持已安装状态 安全设备不会卸载 DART 但是, 您可以通过使用 Windows 控制面板 (Control Panel) 中的 添加 / 删除程序 (Add/Remove Programs) 删除 DART 如果利用这种方式删除 DART, 则当用户使用 AnyConnect 重新连接时, 会自动重新安装 DART 当用户连接时, 在上传含有更高版本 DART 的 AnyConnect 数据包并在 ASA 上进行配置的情况下, DART 自动升级 要运行 DART, 请参阅第 13-7 页的 在 Windows 上运行 DART 部分 13-5

312 使用 DART 收集故障排除信息 第 13 章 AnyConnect 会话的管理 监控和故障排除 在 Windows 设备上手动安装 DART 执行以下步骤在 Windows 设备上安装 DART 步骤 1 在本地保存 anyconnect-dart-win-(ver)-k9.msi 如果安装了版本 或更高版本, 则此 DART 组件包含于 anyconnect-win-(ver)-k9.pkg 下载中 步骤 2 双击 anyconnect-dart-win-(ver)-k9.msi 文件启动 DART 设置向导 (DART Setup Wizard) 步骤 3 在 欢迎 (Welcome) 屏幕上点击下一步 (Next) 步骤 4 步骤 5 步骤 6 选择我接受许可协议条款 (I accept the terms in the License Agreement) 接受终端用户许可协议并点击下一步 (Next) 点击安装 (Install), 安装 DART 安装向导将 DartOffline.exe 安装至 <System Drive>:\Program Files\Cisco\Cisco DART 目录中 点击完成 (Finish) 以完成安装 要运行 DART, 请参阅第 13-7 页的 在 Windows 上运行 DART 部分 在 Linux 设备上手动安装 DART 执行以下步骤在 Linux 设备上安装 DART 步骤 1 步骤 2 在本地保存 anyconnect-dart-linux-(ver)-k9.tar.gz 如果安装了版本 或更高版本, 则此 DART 组件包含于 anyconnect-linux-(ver)-k9 下载中 使用 tar -zxvf <path to tar.gz file including the file name> 命令, 从终端提取 tar.gz 文件 步骤 3 从终端导航至提取的文件夹, 并使用 sudo./dart_install.sh 命令运行 dart_install.sh 步骤 4 接受许可协议并等待安装完成 只能使用 /opt/cisco/anyconnect/dart/dart_uninstall.sh 卸载 DART 在 Mac OS X 设备上手动安装 DART 执行以下步骤在 Mac OS X 设备上安装 DART 步骤 1 步骤 2 步骤 3 步骤 4 在本地保存 anyconnect-dart-macosx-i386-(ver)-k0.dmg 如果安装了版本 或更高版本, 则此 DART 组件包含于 anyconnect-macosx-i386-(ver)-k9.pkg 下载中 完成下载后,.dmg 文件自动安装到桌面,DART 安装向导自动启动 要手动启动安装向导, 请转到下载文件夹, 双击下载的.dmg 文件, 将其安装至桌面, 并从安装的设备上双击 dart.pkg 安装向导显示 此程序包将运行程序, 以确定软件是否可安装 (This package will run a program to determine if the software can be installed) 消息 点击继续 (Continue) 许可证协议在向导上显示 点击继续 (Continue) 然后点击接受 (Accept), 同意许可协议 13-6

313 第 13 章 AnyConnect 会话的管理 监控和故障排除 使用 DART 收集故障排除信息 步骤 5 系统提示您更改安装位置 进行必要的更改并点击继续 (Continue) 步骤 6 您必须输入管理员凭据才能开始安装 输入凭据后, 点击继续 (Continue) 安装开始 步骤 7 等待安装完成并点击取消 (Cancel) 退出程序 只能使用 /opt/cisco/anyconnect/bin/dart_uninstall.sh 卸载 DART 在 Windows 上运行 DART 要运行 DART 向导并为 Windows 创建 DART 捆绑包, 请遵循以下步骤 : 步骤 1 如果正在运行 Windows 设备, 则启动 AnyConnect GUI 步骤 2 点击统计 (Statistics) 选项卡, 然后点击对话框底部的详细信息 (Details) 按钮 这将打开 统计详细信息 (Statistics Details) 对话框 步骤 3 点击 统计详细信息 (Statistics Details) 窗口底部的故障排除 (Troubleshoot) 步骤 4 在 欢迎 (Welcome) 屏幕上点击下一步 (Next) 这将打开 捆绑包创建选项 (Bundle Creation Option) 对话框 步骤 5 在 捆绑包创建选项 (Bundle Creation Options) 区域, 选择默认 (Default) 或自定义 (Custom) 默认 (Default) 选项包括常见日志文件和诊断信息, 例如 AnyConnect 和思科安全桌面日志文件 有关计算机的一般信息以及 DART 执行和不执行的功能 选择默认 (Default), 然后点击对话框底部的下一步 (Next), DART 立即开始创建捆绑包 捆绑包的默认名称是 DARTBundle.zip, 其将被保存到本地桌面 如果您选择自定义 (Custom), 点击下一步 (Next) 后, DART 向导将为您提供更多对话框, 以便您可以指定捆绑包需要包含的文件以及用于保存捆绑包的位置 提示 通过选择自定义 (Custom), 您可以接受捆绑包需要包含的默认文件, 然后仅为文件指定不同的保存位置 步骤 6 步骤 7 步骤 8 步骤 9 如果要对 DART 捆绑包进行加密, 则在加密选项 (Encryption Option) 区域内选中启用捆绑包加密 (Enable Bundle Encryption); 之后, 在加密密码 (Encryption Password) 字段输入密码 或者, 选择屏蔽密码 (Mask Password), 您在加密密码 (Encryption Password ) 和再次输入密码 (Reenter Password) 字段中输入的密码将以星号 (*) 屏蔽 点击下一步 (Next) 如果选择了默认 (Default), 则 DART 开始创建捆绑包 如果选择了自定义 (Custom), 则向导继续下一步 在日志文件选择 (Log File Selection) 对话框中, 选择需要包含于捆绑包中的日志文件和首选项文件 您可以选择网络接入管理器 遥测 状态和网络安全日志 如果要恢复为通常由 DART 收集的默认文件列表, 则点击恢复默认 (Restore Default) 点击下一步 (Next) 在 诊断信息选择 (Diagnostic Information Selection) 对话框中, 选择需要包含于捆绑包中的诊断信息 如果要恢复为通常由 DART 收集的默认文件列表, 则点击恢复默认 (Restore Default) 点击下一步 (Next) 步骤 10 在 备和目标捆绑包位置 (Comments and Target Bundle Location) 对话框中, 配置以下字段 : 在备 (Comments) 区域中, 输入您想要包含于捆绑包中的备 DART 将此类备存储于捆绑包中包含的 comments.txt 文件 13-7

314 使用 DART 收集故障排除信息 第 13 章 AnyConnect 会话的管理 监控和故障排除 步骤 11 在目标捆绑包位置 (Target Bundle Location) 字段, 浏览用于保存捆绑包的位置 点击下一步 (Next) 点击 摘要 (Summary) 对话框, 查看您的自定义内容并点击下一步 (Next) 创建捆绑包, 或点击返回 (Back) 更改自定义内容 步骤 12 DART 完成捆绑包创建后, 点击完成 (Finish) 提示 在某些情况下, 客户报告称 DART 已经运行了数分钟 如果 DART 似乎需要较长时间来收集文件的默认列表, 点击取消 (Cancel), 之后重新运行向导, 并选择创建自定义 (Custom) DART 捆绑包并仅选择您所需的文件 在 Linux 或 Mac OS X 上运行 DART 要运行 DART 向导并为 Linux 或 Mac 创建 DART 捆绑包, 请遵循以下步骤 : 步骤 1 对于 Linux 设备, 您可从 -> 应用 (Applications) -> Internet-> Cisco DART 或 /opt/cisco/anyconnect/dart/dartui 启动 DART 步骤 2 对于 Mac 设备, 您可从 -> 应用 (Applications) -> 思科 (Cisco) -> Cisco DART 启动 DART 点击统计 (Statistics) 选项卡, 然后点击对话框底部的详细信息 (Details) 按钮 这将打开 统计详细信息 (Statistics Details) 对话框 步骤 3 在 捆绑包创建选项 (Bundle Creation Options) 区域, 选择默认 (Default) 或自定义 (Custom) 默认 (Default) 选项包括常见日志文件和诊断信息, 例如 AnyConnect 和思科安全桌面日志文件 有关计算机的一般信息以及 DART 执行和不执行的功能 选择默认 (Default), 然后点击对话框底部的下一步 (Next), DART 立即开始创建捆绑包 捆绑包的默认名称是 DARTBundle.zip, 其将被保存到本地桌面 默认 (Default) 是适用于 Mac OS X 的唯一选项 您无法自定义捆绑包需要包括的文件 如果您选择自定义 (Custom), 点击下一步 (Next) 后, DART 向导将为您提供更多对话框, 以便您可以指定捆绑包需要包含的文件以及用于保存捆绑包的位置 提示 步骤 4 步骤 5 通过选择自定义 (Custom), 您可以接受捆绑包需要包含的默认文件, 然后仅为文件指定不同的保存位置 点击下一步 (Next) 如果选择了默认 (Default), 则 DART 开始创建捆绑包 如果选择了自定义 (Custom), 则向导继续下一步 在日志文件选择 (Log File Selection) 对话框中, 选择需要包含于捆绑包中的日志文件和首选项文件 您可以选择网络接入管理器 遥测 状态和网络安全日志 如果要恢复为通常由 DART 收集的默认文件列表, 则点击恢复默认 (Restore Default) 点击下一步 (Next) 13-8

315 第 13 章 AnyConnect 会话的管理 监控和故障排除 安装 AnyConnect 客户端 步骤 6 在 诊断信息选择 (Diagnostic Information Selection) 对话框中, 选择需要包含于捆绑包中的诊断信息 如果要恢复为通常由 DART 收集的默认文件列表, 则点击恢复默认 (Restore Default) 点击下一步 (Next) 步骤 7 在 备和目标捆绑包位置 (Comments and Target Bundle Location) 对话框中, 配置以下字段 : 步骤 8 在备 (Comments) 区域中, 输入您想要包含于捆绑包中的备 DART 将此类备存储于捆绑包中包含的 comments.txt 文件 在目标捆绑包位置 (Target Bundle Location) 字段, 浏览用于保存捆绑包的位置 点击下一步 (Next) 如果要对 DART 捆绑包进行加密, 则在加密选项 (Encryption Option) 区域内选中启用捆绑包加密 (Enable Bundle Encryption); 之后, 在加密密码 (Encryption Password) 字段输入密码 或者, 选择屏蔽密码 (Mask Password), 您在加密密码 (Encryption Password ) 和再次输入密码 (Reenter Password) 字段中输入的密码将以星号 (*) 屏蔽 屏蔽密码选项不适用于 Mac OS X 操作系统 步骤 9 点击完成 (Finish) 退出向导 提示 在某些情况下, 客户报告称 DART 已经运行了数分钟 如果 DART 似乎需要较长时间来收集文件的默认列表, 点击取消 (Cancel), 之后重新运行向导, 并选择创建自定义 (Custom) DART 捆绑包并仅选择您所需的文件 安装 AnyConnect 客户端 如果用 anyconnect image xyz 命令配置 AnyConnect 映像, 则必须发出 anyconnect enable 命令 不发出此命令, AnyConnect 便不能实现预期功能, show webvpn anyconnect 表示 未启用 SSL VPN 客户端, 而非列出已安装的 AnyConnect 数据包 安装日志文件 日志文件保留在以下文件中 : \Windows\setupapi.log Windows XP 和 Windows 2000 \Windows\Inf\setupapi.app.log Windows 7 和 Windows Vista \Windows\Inf\setupapi.dev.log Windows 7 和 Windows Vista 在 Windows 7 和 Windows Vista 中, 您必须取消隐藏文件 如果 setupapi.log 文件中缺少册表信息, 则启用 Windows XP 计算机上的详细日志记录 按照以下步骤启用 Windows XP 计算机上的详细日志记录 : 如果错误地修改册表, 则可能引发严重问题 在修改前, 备份册表, 以进行额外保护 13-9

316 安装日志文件 第 13 章 AnyConnect 会话的管理 监控和故障排除 步骤 1 点击开始 (Start) > 运行 (Run) 步骤 2 在 打开 (Open) 字段中键入 regedit 并点击确定 (OK) 步骤 3 定位并双击 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup 册表子项中的 LogLevel 步骤 4 在 编辑 DWORD 值 (Edit DWORD Value) 窗口的 基准 (Base) 窗格中选择 Hexadecimal 步骤 5 在 值 (Value) 数据框中键入 0x2000FFFF 步骤 6 点击确定 (OK) 当您启用详细日志记录时,Setupapi.log 文件将增加至约 4 兆 (MB) 大小 再次按以上步骤重置册表值, 但需要将 DWORD 值 ( 在第 5 步中 ) 设置为 0 日志文件的网络安装 如果是初次网络部署安装, 则日志文件位于每位用户的临时目录下 : %TEMP%\anyconnect-win-3.X.xxxxx-k9-install-yyyyyyyyyyyyyy.log 如果升级来自于最佳网关推送, 则日志文件位于以下位置 : %WINDIR%\TEMP\anyconnect-win-3.X.xxxxx-k9-install-yyyyyyyyyyyyyy.log 获取您要安装的客户端版本的最新文件 xxx 根据版本而有所不同, yyyyyyyyyyyyyy 指定了安装的日期和时间 独立安装日志文件 要打开 MSI 日志并获取安装日志, 运行以下文件 : MSIExec.exe/i anyconnect-win-3x.xxxx-pre-deploy-k9.msi/lvx* c:\anyconnect.log 其中, anyconnect-win-3.x.xxxx-pre-deplay-k9.msi 是要安装的实际 msi 文件的全名 日志位于以下路径 : \Documents and Settings\<username>\Local Settings\Temp 在 Windows XP 和 Windows 2000 上 \Users\<username>\AppData\Local\Temp 在 Windows 7 和 Windows Vista 上 \Windows\Temp 如果为自动升级如果仅打算独立使用 ( 或不想在系统上安装 ActiveX 控件 ), 则执行以下步骤之一 : 若不执行上述操作, 您可能收到 Cisco AnyConnect VPN 错误 1722, 指示 Windows 安装程序数据包出现问题 创建 MSI 转换文件, 将 ActiveX 属性设置为禁用 (NOINSTALLACTIVEX=1): MISExec /i anyconnect-win-x.x.xxxxx-pre-deploy-k9.msi NOINSTALLACTIVEX=

317 第 13 章 AnyConnect 会话的管理 监控和故障排除 断开 AnyConnect 或建立初始连接时出现问题 执行无提示安装, 无需重新启动 : msiexec /quiet /i "anyconnect-gina-x.x.xxxxx-pre-deploy-k9.msi" REBOOT=ReallySuppress msiexec /quiet /norestart /i"anyconnect-gina-x.x.xxxxx-pre-deploy-k9.msi 执行无提示卸载, 无需重新启动 : msiexec /quiet /x "anyconnect-gina-x.x.xxxxx-pre-deploy-k9.msi" REBOOT=ReallySuppress x.x.xxxxx 的值取决于安装的版本 断开 AnyConnect 或建立初始连接时出现问题 如果您在断开 AnyConnect 客户端连接或建立初始连接时遇到问题, 则请遵循以下建议 : 1. 从 ASA 获取配置文件, 查找连接失败的标志 : 从 ASA 控制台键入 write net x.x.x.x:asa-config.txt, 其中 x.x.x.x 是 TFTP 服务器在网络中的 IP 地址 从 ASA 控制台键入 show running-config 剪切并粘贴配置文件到文本编辑器并保存 2. 查看 ASA 事件日志 a. 在 ASA 控制台上, 添加以下命令行以查看 ssl webvpn anyconnect 和 auth 事件 : config terminal logging enable logging timestamp logging class auth console debugging logging class webvpn console debugging logging class ssl console debugging logging class anyconnect console debugging b. 尝试连接 AnyConnect 客户端, 发生连接错误时, 则将日志信息从控制台上剪切并粘贴至文本编辑器并保存 c. 键入 no logging enable 禁用日志记录 3. 在客户端计算机上, 从 Windows 事件查看器中获取 Cisco AnyConnect VPN 客户端日志 a. 选择开始 (Start) > 运行 (Run) 并键入 eventvwr.msc /s b. 在 应用和服务日志 (Applications and Services Logs) 下 (Windows Vista 和 Windows 7), 查找 Cisco AnyConnect VPN 客户端 (Cisco AnyConnect VPN Client), 并选择将日志文件另存为... (Save Log File As...) c. 指定文件名, 例如 AnyConnectClientLog.evt 您必须使用.evt 文件格式 4. 如果在断开或关闭 AnyConnect GUI 时遇到问题, 则将 vpnagent.exe 进程附加到 Windows 诊断调试实用程序上 请参阅 WinDbg 文档了解更多信息 5. 如果识别到 IPv6/IPv4 IP 地址分配存在冲突, 则获取探查器跟踪, 并将其他路由调试添加至正在使用的客户端计算机的册表 上述冲突可能会出现在 AnyConnect 事件日志中, 如下所示 : Function: CRouteMgr:modifyRoutingTable Return code: 0xFE06000E File:.\VpnMgr.cpp Line:1122 Description: ROUTEMGR_ERROR_ROUTE_TABLE_VERIFICATION_FAILED. Termination reason code 27: Unable to successfully verify all routing table modifications are correct. Function: CChangeRouteTable::VerifyRouteTable Return code: 0xFE File:.\RouteMgr.cpp Line: 615 Description: ROUTETABLE_ERROR_NOT_INITIALIZED 13-11

318 传送流量时出现问题 第 13 章 AnyConnect 会话的管理 监控和故障排除 在进行 VPN 连接前, 通过添加特定册表项 (Windows) 或文件 (Linux 和 Mac OS X), 可以为连接启用一次性路由调试 在 32 位 Windows 系统上 :DWORD 册表值必须是 : HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\Cisco AnyConnect Secure Mobility Client\DebugRoutesEnabled 在 64 位 Windows 系统上, DWORD 册表值必须是 : HKEY_LOCAL_MACHINE\Software\WOW6432node\Cisco\Cisco AnyConnect Secure Mobility Client\DebugRoutesEnabled 在 Linux 或 Mac OS X 上, 使用 sudo touch 命令在以下路径中创建文件 : /opt/cisco/anyconnect/debugroutes 隧道连接启动时, 删除册表项或文件 有足够用于调试的册表项或文件, 比册表项的值或文件内容更重要 隧道连接启动后, 且找到该册表项或文件, 系统临时目录下 ( 通常为 C:\Windows\Temp on Windows and /tmp on Mac or Linux) 将生成两个路由调试文本文件 如果已经存在, 这两个文件 (debug_routechangesv4.txt4 和 debug_routechangesv6.txt) 将会被覆盖 传送流量时出现问题 如果在连接完成后, AnyConnect 客户端无法将数据发送至专用网络, 则请遵循以下建议 : 1. 获取 show vpn-sessiondb detail anyconnect filter name <username> 命令的输出结果 如果输出结果指定了 Filter Name: XXXXX, 则还需获取 show access-list XXXXX 命令的输出结果 确认 ACL 未阻止预期流量 2. 从 AnyConnect VPN 客户端 (AnyConnect VPN Client) > 统计 (Statistics) > 详细信息 (Details) > 导出 (Export) (AnyConnect-ExportedStats.txt) 获取 DART 文件或输出结果 观察统计 界面和路由表 3. 检查 ASA 配置文件中的 NAT 语句 如果已启用 NAT, 则必须禁用返回至客户端的数据的网络地址转换 例如, 要使 NAT 在 AnyConnect 池中免除 IP 地址转换, 可以使用以下代码 : access-list in_nat0_out extended permit ip any ip local pool IPPool mask nat (inside) 0 access-list in_nat0_out 4. 验证设备上是否启用了隧道默认网关 传统默认网关是非解密流量的最终网关选项 : route outside route inside tunneled 如果 VPN 客户端需要接入不在 VPN 网关路由表中的资源, 则由标准默认网关对数据包进行路由 VPN 网关不需要接入完整的内部路由表 如果您使用隧道关键字, 则路由对来自 IPsec/SSL VPN 连接的解密流量进行处理 标准流量路由至最终地址选项 , 而来自 VPN 的流量路由至 , 并进行解密 5. 收集 ipconfig /all 的文本转储以及与 AnyConnect 建立隧道连接前后的路由打印输出 6. 在客户端上进行网络数据包获取, 或在 ASA 上启用获取 13-12

319 第 13 章 AnyConnect 会话的管理 监控和故障排除 AnyConnect 发生崩溃 如果部分应用 ( 例如 Microsoft Outlook) 不能在隧道中运行, 则用一组扩展的 ping 对网络中的某个已知设备进行 ping 操作, 以查看可接受的尺寸大小 ( 例如, ping ping ping 和 ping ) ping 结果为网络中的分片问题提供线索 之后, 您可以为可能遇到分片问题的用户配置特殊组, 并将该组的 anyconnect mtu 设置为 1200 您也可以从旧 IPsec 客户端复制 Set MTU.exe 实用程序, 并将物理适配器 MTU 强制设置为 1300 重启后, 查看是否有区别 AnyConnect 发生崩溃 当 UI 发生故障时, 其结果会写入 %temp% 目录 ( 如 C:\DOCUME~1\jsmith\LOCALS~1\Temp) 如果重启后收到 系统已经从一个严重错误中恢复 (The System has recovered from a serious error) 消息, 则从 C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson 或类似应用中收集.log 和.dmp 生成文件 复制这些文件或遵循以下步骤备份文件 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 步骤 6 从 开始 (Start) > 运行 (Run) 菜单, 运行名为 Dr. Watson (Drwtsn32.exe) 的 Microsoft 实用程序 进行以下配置, 并点击确定 (OK): Number of Instructions : 25 Number of Errors to Save : 25 Crash Dump Type : Mini Dump Symbol Table : Checked Dump All Thread Contexts : Checked Append to Existing Log File : Checked Visual Notification : Checked Create Crash Dump File : Checked 在客户端计算机上, 在 开始 (Start) > 运行 (Run) 菜单中输入 eventvwr.msc /s, 从 Windows 事件查看器中获取 Cisco AnyConnect VPN 客户端日志 在 应用和服务日志 (Applications and Services Logs) 下 (Windows Vista 和 Windows 7), 查找 Cisco AnyConnect VPN 客户端 (Cisco AnyConnect VPN Client), 并选择将日志文件另存为... (Save Log File As...) 指定文件名, 例如 AnyConnectClientLog.evt 如果驱动程序崩溃发生于 VPNVA.sys, 则查看是否有任何中间驱动程序绑定至 Cisco AnyConnect 虚拟适配器, 如有, 取消绑定 如果驱动程序崩溃发生于 vpnagent.exe, 则将 vpnagent.exe 进程附加至 Windows 调试工具 工具安装后, 执行以下操作 : a. 创建名为 c:\vpnagent 的目录 b. 查看 任务管理器 (Task Manager) 中的 进程 (Process) 选项卡, 确定 vpnagent.exe 中的进程 PID c. 打开命令提示符并更改安装了调试工具的目录 默认情况下, Windows 的调试工具位于 C:\Program Files\Debugging Tools d. 键入 cscript vpnagent4.vbs -crash -p PID -o c:\vpnagent -nodumponfirst, 其中 PID 为第 b 步中确定的数字 使打开窗口以最小化状态运行 监控期间, 不能退出系统 e. 如果出现崩溃事件, 将 c:\vpnagent 的内容压缩为 zip 文件 f. 使用!analyze -v 进一步诊断 crashdmp 文件 13-13

320 连接至 VPN 服务时出现问题 第 13 章 AnyConnect 会话的管理 监控和故障排除 连接至 VPN 服务时出现问题 如果收到 无法继续, 无法连接到 VPN 服务 (Unable to Proceed, Cannot Connect to the VPN Service) 消息, 则表示 AnyConnect 的 VPN 服务未运行 可能是 VPN 代理意外退出 要确认是否有另一项应用与该服务冲突, 请遵循以下步骤进行故障排除 : 步骤 1 步骤 2 步骤 3 步骤 4 查看 Windows 管理工具下的服务, 以确保 Cisco AnyConnect VPN 代理未运行 如果该代理正在运行而错误消息仍然出现, 则可能需要禁用工作站上的另一项 VPN 应用, 甚至可能需要卸载 重启并重新测试 尝试启动 Cisco AnyConnect VPN 代理 这可以确定冲突由启动时服务器初始化引起还是由另一项运行服务引起 ( 因为服务无法启动 ) 在 事件查看器 (Event Viewer) 中, 查看 AnyConnect 日志中是否有表明服务无法启动的消息 意从第 2 步开始的手动重启时间戳, 以及工作站启动时的时间戳 在 事件查看器 (Event Viewer) 中, 查看系统和应用日志中是否有冲突消息的相同普通时间戳 步骤 5 如果日志指出服务启动失败, 则查找相同时间戳附近的信息消息, 其中指出以下内容之一 : 缺失文件 - 从独立 MSI 安装重新安装 AnyConnect 客户端, 以确定缺失的文件 另一项从属服务延迟 - 禁用启动活动, 加快工作站开机速度 与另一项应用或服务冲突 - 确定是否有另一项服务正在侦听与 vpnagent 正在使用的端口相同的端口, 或者是否有部分 HIDS 软件正在阻止我们的软件侦听该端口 如果日志未直接指出原因, 则使用试验和错误方法来识别冲突 识别出最可能的潜在冲突后, 从 服务 (Services) 面板禁用这些服务 ( 例如 VPN 产品 HIDS 软件 Spybot 清理器 探查器 防病毒软件等 ) 在重新启动后, 如果 VPN 代理服务仍不能启动, 开始关闭操作系统默认安装中未安装的服务 网络接入管理器的连接 / 驱动程序问题 如果网络接入管理器无法识别您的有线适配器, 尝试拔出网线并重新插入 如果无法正常工作, 则可能出现了连接问题 网络接入管理器可能无法确定适配器的正确连接状态 查看 NIC 驱动程序的连接属性 高级 (Advanced) 面板中可能有 等待连接 (Wait for Link) 选项 设置为 开 (On) 时, 有线 NIC 驱动程序初始化代码等待自动协商完成, 再确定连接是否有效 响应 Microsoft Internet Explorer 的安全警告 建立到未认可为受信任站点的 ASA 的 Microsoft Internet Explorer 连接时, 会显示安全警告窗口 要响应上述警告, 在客户端上将自签名证书作为受信任根证书进行安装 安全警告 (Security Alert) 窗口的上半部分显示以下文本 : 您与该站点交换的信息无法查看或由他人更改 但站点的安全证书存在问题 该安全证书是由您未选择信任的公司发布 查看证书, 确定是否信任该证书颁发机构 因为用户可能无意间将浏览器配置为信任伪冒服务器上的证书, 且因为连接至安全网关时用户不方便响应安全警告, 所以我们不建议使用自签名证书 13-14

321 第 13 章 AnyConnect 会话的管理 监控和故障排除 响应 由未知颁发机构认证 警告 详细步骤 步骤 1 点击 安全警告 (Security Alert) 窗口中的查看证书 (View Certificate) 步骤 2 点击安装证书 (Install Certificate) 步骤 3 点击下一步 (Next) 步骤 4 选择将所有证书放入下列存储 (Place all certificates in the following store) 步骤 5 点击浏览 (Browse) 步骤 6 在下拉列表中, 选择 受信任的根证书颁发机构 (Trusted Root Certification Authorities) 步骤 7 点击下一步 (Next) 步骤 8 点击完成 (Finish) 步骤 9 步骤 10 步骤 11 步骤 12 安全警告 (Security Warning) 窗口出现时, 点击是 (Yes) 证书导入向导 (Certificate Import Wizard) 窗口指示导入成功 点击确定 (OK) 关闭此窗口 点击确定 (OK) 关闭 证书 (Certificate) 窗口 点击是 (Yes) 关闭 安全警告 (Security Alert) 窗口 ASA 窗口打开, 表示证书受信任 响应 由未知颁发机构认证 警告 建立到未认可为受信任站点的 ASA 的 Netscape Mozilla 或 Firefox 连接时, 会出现 由未知颁发机构认证的网站 (Web Site Certified by an Unknown Authority) 警告窗口 要响应上述警告, 在客户端上将自签名证书作为受信任根证书进行安装 安全警告 (Security Alert) 窗口的上半部分显示以下文本 : 无法验证 <Hostname_or_IP_address> 的受信任站点身份 因为用户可能无意间将浏览器配置为信任伪冒服务器上的证书, 且因为连接至安全网关时用户不方便响应安全警告, 所以我们不建议使用自签名证书 详细步骤 步骤 1 步骤 2 步骤 3 点击 由未知颁发机构认证的网站 (Web Site Certified by an Unknown Authority) 窗口中的检查证书 (Examine Certificate) 证书查看器 (Certificate Viewer) 窗口打开 点击永久接受此证书 (Accept this certificate permanently) 选项 点击确定 (OK) ASA 窗口打开, 表示证书受信任 获取计算机系统信息 键入以下内容并等待约 2 分钟获取计算机系统信息 : winmsd /nfo c:\msinfo.nfo Windows XP 或 Windows

322 与第三方应用存在冲突 第 13 章 AnyConnect 会话的管理 监控和故障排除 msinfo32 /nfo c:\msinfo.nfo Vista 获取 Systeminfo 文件转储 在 Windows XP 或 Vista 上, 在命令提示符处键入以下内容, 获取 systeminfo 文件转储 : systeminfo >> c:\sysinfo.txt 检查册表文件 SetupAPI 日志文件中的如下条目表明无法找到文件 : E122 Device install failed.error 2: The system cannot find the file specified. E154 Class installer failed.error 2: The system cannot fine the file specified. 确保存在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 册表项 若没有此册表项, 所有的 inf 安装数据包会被禁止 与第三方应用存在冲突 部分第三方应用禁止安装 AnyConnect 虚拟适配器驱动程序 这种情况可能导致蓝屏以及路由表升级失败 使用 DART 工具 ( 如第 13-3 页的 使用 DART 收集故障排除信息 部分所述 ), 您可以收集客户的操作系统环境信息 基于此诊断, 思科已经识别了以下与第三方应用存在的冲突, 并推荐了以下解决方案 Adobe 和 Apple Bonjour 打印服务 Adobe Creative Suite 3 BonJour 打印服务 itunes 症状 无法成功验证 IP 转发表 可能的原因 AnyConnect 事件日志表明 IP 转发表识别失败, 并在路由表中指出以下条目 : Destination Netmask Gateway Interface Metric 29 建议的操作在命令提示符处键入 net stop bonjour service, 禁用 BonJour 打印服务 Apple 公司已经推出了新版 mdnsresponder ( ) 要解决此问题, 将新版本 Bonjour 新版本捆绑至 itunes, 且作为单独程序从 Apple 网站下载 13-16

323 第 13 章 AnyConnect 会话的管理 监控和故障排除 与第三方应用存在冲突 AT&T Communications Manager 6.2 和 6.7 版 症状客户将 AT&T Sierra Wireless 875 卡用于数台计算机时, 会造成连接失败或无法传送流量 版本 6.2 至 6.7 可能会与 AnyConnect 冲突 可能的原因 CSTP 传输故障表明传输层的性能受 AnyConnect 虚拟适配器的影响 建议的操作执行以下步骤纠正问题 : 1. 在 Aircard 上禁用加速 2. 启动 AT&T Communications Manager > 工具 (Tools) > 设置 (Settings) > 加速 (Acceleration) > 启动 (Startup) 3. 键入手动 (manual) 4. 点击停止 (Stop) AT&T 全球拨号器 症状 客户端操作系统有时会出现蓝屏, 这会生成迷你转储文件 可能的原因 AT&T 拨号器中间驱动程序无法正确处理挂起数据包, 导致操作系统崩溃 其他 NIC 卡驱动程序 ( 例如 Broadcom) 不显示此问题 建议的操作升级至最新的 版 AT&T Global Network Client Citrix 高级网关客户端版本 症状断开 AnyConnect 会话连接时, 可能发生以下错误 : VPN 代理服务遇到问题需要关闭 很抱歉给您带来不便 (VPN Agent Service has encountered a problem and needs to close. We are sorry for the inconvenience.) 可能的原因崩溃 建议的操作为止 释放内存期间, 加载至使用 Winsock 的每个进程中的 Citrix CtxLsp.dll 会导致系统 删除 Citrix Advanced Gateway Client, 直到 Citrix 可以解决 CtxLsp.dll 的此类问题 防火墙冲突 第三方防火墙会妨碍配置在 ASA 组策略上的防火墙功能 13-17

324 与第三方应用存在冲突 第 13 章 AnyConnect 会话的管理 监控和故障排除 Juniper Odyssey 客户端 症状启用无线抑制功能时, 如果进行有线连接, 则无线连接会断开 在禁用无线抑制功能的情况下, 无线运行正常 可能的原因 Odyssey 客户端不应管理网络适配器 建议的操作按以下步骤配置 Odyssey 客户端 : 1. 在 网络连接 (Network Connections) 中, 复制适配器在其连接属性中出现的名称 如果编辑册表, 则在更改前进行备份, 请意, 因为如果进行了不当修改, 可能会导致严重问题 2. 打开册表并转到 HKEY_LOCAL_MACHINE\SOFTWARE\Funk Software, Inc.\odyssey\client\configuration\options\adapterType\virtual 3. 在 virtual 项下创建一个新的字符串值 将 网络属性 (Network properties) 中的适配器名称复制至册表 创建客户 MSI 并下推至其他客户端后, 保存后的其他册表设置将被移植 Kaspersky AV 工作站 6.x 症状如果安装了 Kaspersky 6.0.3( 即使禁用 ),CSTP 状态 = CONNECTED 后,AnyConnect 连接至 ASA 失败 会出现以下消息 : SVC 消息 :t/s=3/16: 未能建立至安全网关的完整连接 ( 代理身份验证 握手 无效证书等 ) (SVC message: t/s=3/16: Failed to fully establish a connection to the secure gateway (proxy authentication, handshake, bad cert, etc.).) 可能的原因 建议的操作 Kaspersky AV Workstation 6.x 和 AnyConnect 之间存在已知的不兼容性 卸载 Kaspersky 并查阅论坛以获取额外更新 McAfee 防火墙 5 症状 无法建立 UDP DTLS 连接 可能的原因 McAfee 防火墙默认阻止传入 IP 分段, 从而阻止分片的 DTLS 建议的操作在 McAfee 防火墙中心控制台中, 选择高级任务 (Advanced Tasks) > 高级选项和日志记录 (Advanced options and Logging) 并取消选中 McAfee 防火墙的自动阻止传入分段 (Block incoming fragments automatically) 复选框 13-18

325 第 13 章 AnyConnect 会话的管理 监控和故障排除 与第三方应用存在冲突 Microsoft Internet Explorer 8 症状使用 Windows XP SP3 下的 Internet Explorer 8 时, 无法从 WebVPN 门户安装 AnyConnect 可能的原因 安装过程中浏览器会崩溃 建议的操作根据 Microsoft 的建议, 删除 MSJVM 参阅 Microsoft 知识文章 KB Microsoft 路由和远程接入服务器 症状当 AnyConnect 尝试建立与主机设备的连接时, 以下终止错误返回至事件日志 : 终止原因代码 29 [ 路由和远程接入服务正在运行 ] Windows 服务 路由和远程接入 与 Cisco AnyConnect VPN 客户端不兼容 (Termination reason code 29 [Routing and Remote Access service is running]. The Windows service "Routing and Remote Access" is incompatible with the Cisco AnyConnect VPN Client.) 可能的原因 RRAS 与 AnyConnect 在路由表中的冲突 利用 RRAS, 计算机可充当 Ethernet 路由器, 因此采用与 AnyConnect 相同的方式修改路由表 两者无法同时运行, 因为 AnyConnect 根据路由表适当导向流量 建议的操作 禁用 RRAS 服务 Microsoft Windows 更新 症状尝试建立 VPN 连接时, 会出现以下消息 : VPN 客户端驱动程序发生错误 (The VPN client driver has encountered an error.) 可能的原因对 certclass.inf 文件进行了最新 Microsoft 更新 C:\WINDOWS\setupapi.log 中出现以下错误 : #W239 驱动程序签名类列表 "C:\WINDOWS\INF\certclass.inf" 缺失或无效 错误 0xfffffbf8: 未知错误 假设所有设备类均受驱动程序签名策略支配 (#W239 The driver signing class list "C:\WINDOWS\INF\certclass.inf" was missing or invalid. Error 0xfffffbf8: Unknown Error. Assuming all device classes are subject to driver signing policy.) 建议的操作在命令提示符处输入 C:\>systeminfo 或查看 C:\WINDOWS\WindowsUpdate.log, 查看最近安装的更新 要尝试修复, 请采用以下步骤 : 1. 以管理员身份打开命令提示符 2. 输入 net stop CryptSvc 3. 输入 esentutl /g %systemroot%\system32\catroot2\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\catdb 分析数据库, 验证其有效性, 或重命名以下目录 : %/WINDIR%\system32\catroot2 to catroot2_old 4. 出现提示时, 选择确定 (OK) 尝试修复 退出命令提示符并重新启动 即使所采取的上述步骤可能表明目录未损坏, 未签名文件也仍可能覆盖密钥文件 如果仍然失败, 则用 Microsoft 打开案例, 确定驱动程序签名数据库被损坏的原因 13-19

326 与第三方应用存在冲突 第 13 章 AnyConnect 会话的管理 监控和故障排除 Microsoft Windows XP Service Pack 3 症状无法安装 AnyConnect 客户端 会显示以下错误信息 : 应用未能启动, 因为未找到 dot3api.dll 重新安装该应用可能有助于解决此问题 (This application has failed to start because dot3api.dll was not found. Re-installing the application may fix this problem.) 可能的原因 建议的操作 缺失 dot3api.dll 文件是一个已知问题 重新安装 regsvr32 dot3api.dll 并重新启动操作系统 OpenVPN 客户端 症状 提示错误, 表明此系统已安装了该版本 TUN, 且该 TUN 与 AnyConnect 客户端不兼容 可能的原因 建议的操作 Mac OS X Shimo VPN 客户端可能会导致这一问题 卸载 Viscosity OpenVPN 客户端 负载平衡器 症状 由于缺乏凭据, 连接失败 可能的原因浏览器可能缓存 DNS 结果, 其他应用 ( 如端口转发器和智能隧道 ) 可能不会缓存这些结果 如果您登录 X.4, 并且 DNS 解析程序设置为使用 x.15,pf 小程序或智能隧道应用会对 DNS 进行解析并连接到 X.15 由于未建立任何会话, 所以由于缺乏凭据而导致连接失败 建议的操作第三方负载平衡器未深入了解 ASA 设备的负载 因为 ASA 上的负载平衡功能足够智能, 可在设备之间均匀分配 VPN 负载, 所以我们建议使用内部 ASA 负载平衡 Wave EMBASSY Trust Suite 症状 AnyConnect 客户端无法下载并产生以下错误消息 : Cisco AnyConnect VPN 客户端下载程序遇到问题需要关闭 ("Cisco AnyConnect VPN Client Downloader has encountered a problem and needs to close.") 可能的原因 建议的操作 如果收集 mdmp 文件, 崩溃 mdmp 文件的解码结果表明存在第三方 dll 驻留 上传补丁更新到版本 解决所有 dll 问题 13-20

327 第 13 章 AnyConnect 会话的管理 监控和故障排除 与第三方应用存在冲突 分层服务提供程序 (LSP) 模块和 NOD32 AV 症状 AnyConnect 尝试建立连接时, 其成功通过身份验证并建立 SSL 会话, 但之后 AnyConnect 客户端在 vpndownloader 中崩溃 可能的原因 LSP 组件 imon.dll 存在不兼容问题 建议的操作删除版本 2.7 中的 Internet Monitor 组件并升级至 ESET NOD32 AV 版本 3.0 LSP 故障 2 冲突 症状 如果客户端上存在 LSP 模块, 则可能出现 Winsock 目录冲突 可能的原因 建议的操作 Intel 移动带宽 LSP 模块 ( 例如 impbw.dll) 可能导致 Intel 代码错误 卸载 LSP 模块 LSP 数据吞吐量小故障 3 冲突 症状 数据吞吐量小可能会在使用 NOD32 V4.0 时发生 可能的原因冲突涉及在 Windows 7 上同时使用 Cisco AnyConnect 和 NOD32 杀毒软件 x64 建议的操作转到 高级设置 (Advanced Setup) 中的协议筛选 (Protocol Filtering) > SSL, 启用 SSL 协议扫描 现在, 转到网络接入保护 (Web access protection) > HTTP, HTTPS 并选中不使用 HTTPS 协议检查 (Do not use HTTPS protocol checking) 启用设置后, 返回协议筛选 (Protocol Filtering) > SSL 并禁用 SSL 协议扫描 (SSL protocol scanning) EVDO 无线网卡和 Venturi 驱动程序 症状客户端断开连接, 并在事件日志中生成以下内容 : %ASA : 组 < 组名 > 用户 < 用户名 > IP <IP 地址 > SVC 正在关闭连接 :DPD 故障 (%ASA : Group <Group-Name> User <User-Name> IP <IP-Address> SVC closing connection: DPD failure.) 可能的原因检查应用 系统和 AnyConnect 事件日志中是否相关的连接断开事件, 确定是否同时应用了 NIC 卡重置 建议的操作确保 Venturi 驱动程序为最新版本 禁用 AT&T Communications Manager 版本 6.7 的使用规则引擎 (Use Rules Engine) 13-21

328 与第三方应用存在冲突 第 13 章 AnyConnect 会话的管理 监控和故障排除 DSL 路由器无法进行协商 症状 DTLS 流量正在下降, 即使已成功协商 可能的原因 DSL 路由器阻止返回 DTLS 流量 Air Link 未设置允许稳定的 DTLS 连接 建议的操作以出厂设置连接至 Linksys 路由器可实现稳定的 DTLS 会话, 且 ping 不会中断 添加允许 DTLS 返回流量的规则 Checkpoint ( 和 Kaspersky 等其他第三方软件 ) 症状 AnyConnect 日志表明无法完全建立到安全网关的连接 可能的原因客户端日志表明 NETINTERFACE_ERROR_INTERFACE_NOT_AVAILABLE 多次出现 客户端尝试检索有关计算机网络界面 ( 用于安全网关的 SSL 连接 ) 的操作系统信息时, 会发生上述错误 建议的操作如果您卸载 Integrity Agent 后安装了 AnyConnect, 则启用 TCP/IP 如果在安装 Integrity Agent 时禁用 SmartDefense, 则选中 TCP/IP 如果第三方软件在检索网络界面信息的同时拦截或阻止操作系统 API 调用, 则检查任何可疑 AV FW AS 等 确认仅一个 AnyConnect 适配器实例出现在设备管理器中 如果仅有一个实例, 用 AnyConnect 进行身份验证, 5 秒后, 手动从设备管理器启用适配器 如果 AnyConnect 适配器中启用了任何可疑驱动程序, 则通过在 Cisco AnyConnect VPN 客户端连接 (Cisco AnyConnect VPN Client Connection) 窗口取消选中可疑驱动程序 虚拟机网络服务驱动程序的性能问题 症状 在部分客户端计算机上使用 AnyConnect 时可能会遇到性能问题 可能的原因虚拟机网络驱动程序将物理网卡或连接虚拟化 当绑定其他虚拟机网络服务到 Cisco AnyConnect VPN 客户端连接网络适配器时, 会出现性能问题 客户端设备受一些恶意软件感染, 导致 SSL_write() 延迟 建议的操作取消选中 AnyConnect 虚拟适配器中的所有 IM 设备的绑定 应用 dsagent.exe 驻留在 C:\Windows\System\dgagent 虽然其未出现在进程列表中, 您可以用 TCPview (sysinternals) 打开套接字进行查看 终止此进程后, AnyConnect 正常运行 Kaspersky 防病毒软件和遥测模块 症状 安装遥测模块时,AnyConnect 可删除 Kaspersky AntiVirus 8 suite (avp.exe) 的主要可执行文件 可能的原因在 Windows 7 64 位德语版上同时使用 AnyConnect 或更高版本和 Kaspersky AV 8 可能会引起冲突 建议的操作 删除遥测模块 13-22

329 附录 A VPN XML 参考 如果使用 AnyConnect 或 2.5 以及 ASDM 6.3(1) 或更高版本, 则不需要此参考 您将使用 ASDM 启动的配置文件编辑器或可从 Cisco.com 下载的独立配置文件编辑器创建并编辑客户端配置文件 有关详情, 请参阅第 2-1 页的 AnyConnect 客户端配置文件简介 部分 仅在不升级 ASDM 到 6.3(1) 或更高版本的情况下使用本附录 AnyConnect 2.5 支持您可以接入以配置 AnyConnect 功能的配置文件编辑器 但仅能以 ASDM 6.3(1) 或更高版本对其进行接入 早期的 AnyConnect 版本提供了可在 Windows 上安装的独立配置文件编辑器, 但未对其进行记录和予以支持, 现已不再作为独立编辑器提供 我们强烈建议升级到 ASDM, 因为与传统编辑器相比, 直接使用 AnyConnect 配置文件编辑器创建 编辑和管理配置文件要容易得多 对新的配置文件编辑器进行了记录和支持, 且其带有自己的在线帮助 通过 AnyConnect 2.5 由 ASDM 6.3(1) 支持的 ASA 软件最低版本为 ASA 8.0(2) 但是, 我们建议升级到 ASA 8.3(1) 或更高版本, 以充分利用新客户端的功能 阅读第 3 章配置 AnyConnect 客户端功能, 熟悉 AnyConnect 配置文件和功能 本附录为本章节提供备用 以下部分简要介绍每个客户端的功能, 并提供 XML 标记名称 选项 说明和示例代码 如果配置文件未予指定, AnyConnect 将使用默认值 输入所有配置文件标记和每个值内的特定选项时, 考虑大小写情况 必须与本章节中出现的大写或小写值匹配, 避免出现错误 请勿剪切和粘贴本文档的示例 这样做会出现换行符, 从而破坏 XML 改为在文本编辑器中打开配置文件模板文件 ( 例如 Notepad 或 Wordpad) 第 A-2 页的本地代理连接 第 A-2 页的最佳网关选择 (OGS) 第 A-3 页的受信任网络检测 第 A-4 页的永远在线 VPN 和辅助功能 第 A-6 页的采用负载均衡的永远在线 VPN 第 A-7 页的 Windows 的证书存储区 第 A-7 页的限制证书存储区使用 第 A-7 页的调配和更新证书的 SCEP 协议 第 A-13 页的自动证书选择 第 A-14 页的备份服务器列表参数 第 A-14 页的 Windows 移动策略 第 A-16 页的服务器列表 书名 A-1

330 本地代理连接 附录 A VPN XML 参考 第 A-18 页的脚本 第 A-19 页的身份验证超时控制 第 A-20 页的针对 Windows 用户允许来自 RDP 会话的 AnyConnect 会话 第 A-20 页的 L2TP 或 PPTP 上的 AnyConnect 第 A-21 页的其他 AnyConnect 配置文件设置 本地代理连接 表 A-1 显示用于配置本地代理连接支持的标记名称 选项和说明 表 A-1 本地代理连接设置 XML 标记名称 选项 说明 AllowLocalProxyConnections true ( 默认 ) 启用本地代理连接 false 禁用本地代理连接 示例 : 禁用本地代理连接请参阅以下示例, 禁用本地代理连接的 AnyConnect 支持 : <ClientInitialization> <AllowLocalProxyConnections>false</AllowLocalProxyConnections> </ClientInitialization> 最佳网关选择 (OGS) 表 A-2 OGS 设置 表 A-2 显示配置 OGS 的标记名称 选项和说明 XML 标记名称 选项 说明 EnableAutomaticServerSelection true 默认启用 OGS false 默认禁用 OGS EnableAutomaticServerSelection true 允许用户在客户端首选项中启用或禁用 OGS * UserControllable false 自动服务器选择不是用户可控制时, 恢复默认设置 AutoServerSelectionImprovement 整数 默认值为 20% 触发客户端连接至另一安全网关的性能改善百分比 AutoServerSelectionSuspendTime 整数 默认值为 4 小时 指定从当前安全网关断开并重新连接至另一安全网关 的间隔时间 ( 按小时计算 ) * 启用 OGS 时, 我们建议您将此功能设为用户可控制 示例 :OGS 参阅以下示例, 对 OGS 进行配置 : <ClientInitialization> <EnableAutomaticServerSelection UserControllable="true"> A-2 书名

331 附录 A VPN XML 参考 受信任网络检测 true <AutoServerSelectionImprovement>20</AutoServerSelectionImprovement> <AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime> </EnableAutomaticServerSelection> </ClientInitialization> 受信任网络检测 表 A-3 受信任网络检测设置 表 A-3 显示配置受信任网络检测的标记名称 选项和说明 XML 标记名称 选项 说明 AutomaticVPNPolicy true 启用 TND 根据 TrustedNetworkPolicy 和 UntrustedNetworkPolicy 参数, 在 VPN 连接应启动或停止时, 自动进行管理 false 禁用 TND VPN 连接仅能手动启动和停止 TrustedNetworkPolicy 断开连接 断开受信任网络的 VPN 连接 (Disconnect) 连接 (Connect) 发起受信任网络的 VPN 连接 ( 如果不存在 ) 什么也不做 不对受信任网络进行任何操作 (DoNothing) 暂停 (Pause) UntrustedNetworkPolicy 连接 (Connect) 什么也不做 (DoNothing) 如果用户在受信任网络外建立 VPN 会话之后进入配置为受信任的网络, 则挂起 VPN 会话, 而不是断开它的连接 用户再次离开受信任网络时, AnyConnect 恢复对话 此功能用于方便用户, 因为它无需在离开受信任网络之后建立新的 VPN 会话 检测到非受信任网络后, 发起 VPN 连接 检测到非受信任网络后, 发起 VPN 连接 该选项与永远在线 VPN 不兼容 将 受信任网络策略 (Trusted Network Policy) 和 非受信任网络策略 (Untrusted Network Policy) 设置为 什么也不做 (Do Nothing) 会禁用受信任网络检测 TrustedDNSDomains 字符串 客户端在受信任网络中时, 网络接口可能具有的 DNS 后缀列表 ( 用逗号 隔开的字符串 ) 以下是 TrustedDNSDomain 字符串示例 : *.cisco.com DNS 后缀支持通配符 (*) TrustedDNSServers 字符串 客户端在受信任网络中时, 网络接口可能具有的 DNS 服务器地址 ( 用逗号隔开的字符串 ) 以下是 TrustedDNSServers 字符串示例 : *, DNS 服务器地址支持通配符 (*) 示例 : 受信任网络检测请参阅以下配置受信任网络检测的示例 在示例中, 客户端配置为在受信任网络中时自动断开 VPN 连接, 在非受信任网络中时发起 VPN 连接 : <AutomaticVPNPolicy>true <TrustedDNSDomains>*.cisco.com</TrustedDNSDomains> 书名 A-3

332 永远在线 VPN 和辅助功能 附录 A VPN XML 参考 <TrustedDNSServers> *, </TrustedDNSServers> <TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy> <UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy> </AutomaticVPNPolicy> 永远在线 VPN 和辅助功能 表 A-4 永远在线 VPN 设置 如果选择永远在线 VPN, 故障开放策略允许网络连接, 故障关闭策略禁用网络连接 表 A-4 显示配置永远在线 VPN 的标记名称 选项和说明 XML 标记名称 选项 说明 AutomaticVPNPolicy true 启用自动 VPN 策略 false 禁用自动 VPN 策略 TrustedDNSDomains 字符串 指定受信任网络中网络接口可能具有的 DNS 后缀 TrustedDNSServers 字符串 指定客户端在受信任网络中时网络接口可能具有的 DNS 服务器地址 TrustedNetworkPolicy 断开连接 检测到受信任网络后, 断开 VPN (disconnect) 连接 检测到受信任网络后, 连接 VPN (connect) 什么也不做 检测到受信任网络后, 不连接至 VPN 或断开 VPN 的连接 (donothing) UntrustedNetworkPolicy 连接 检测到非受信任网络后, 断开 VPN (connect) 断开连接 检测到非受信任网络后, 连接 VPN (disconnect) 什么也不做 检测到非受信任网络后, 不连接至 VPN 或断开 VPN 的连接 (donothing) 永远在线 (AlwaysOn) true 启用永远在线 VPN false 禁用永远在线 VPN ConnectFailurePolicy 打开 (open) AnyConnect 无法建立 VPN 会话时, 不限制网络接入 ( 例如, 无法接入自适应安全设备时 ) 关闭 (closed) 当 VPN 无法接入时, 限制网络接入 受限状态仅允许接入计算机允许连接的安全网关 AllowCaptivePortalRemedi ation CaptivePortalRemediationT imeout ApplyLastVPNLocalResour cerules true false 整数 true false 放宽由 CaptivePortalRemediationTimeout 标记指定分钟数的关闭连接故障策略对网络要求的限制, 以便用户可以修复强制网络门户 即使 AnyConnect 检测到强制网络门户, 也要强制执行关闭连接故障策略要求的网络限制 AnyConnect 提升的网络接入限制分钟数 应用其从安全设备收到的最新客户端防火墙, 其中可能包含允许接入本地 LAN 资源的 ACL 不应用从安全设备收到的最新客户端防火墙 A-4 书名

333 附录 A VPN XML 参考 永远在线 VPN 和辅助功能 表 A-4 永远在线 VPN 设置 ( 续 ) XML 标记名称 选项 说明 AllowVPNDisconnect true 显示 断开连接 (Disconnect) 按钮, 为客户提供断开永远在线 VPN 会话的选项 用户可能希望这样做, 以在重新连接之前选择其他安全网关 false 不显示 断开连接 (Disconnect) 按钮 此选项阻止使用 AnyConnect GUI 断开 VPN 意事项 如果 AnyConnect 未能建立 VPN 会话, 则连接故障关闭策略会阻止网络接入 主要用于极为安全的组织, 在此类组织中, 安全持久性比不间断网络接入更为重要 除本地资源外 ( 如分隔隧道允许和 ACL 限制的打印机和系留设备等 ), 它会阻止所有网络接入 如果用户在安全网关不可用时需要 VPN 以外的互联网接入, 它可能停止运行 AnyConnect 可检测到大多数强制网络门户 ( 说明参阅第 3-28 页的强制网络门户热点检测 ) 如果它不能检测到强制网络门户, 连接故障关闭策略会阻止所有网络连接 如果部署关闭连接策略, 我们强烈建议您采用分阶段方法 例如, 首先使用连接故障打开策略部署永远在线 VPN, 并针对 AnyConnect 未无缝连接的频率进行用户调查 然后, 在早期用户中进行连接故障关闭策略的小型试部署, 并征求用户反馈 在考虑全面部署前, 继续征求反馈, 逐步扩展试点程序 部署连接故障关闭策略时, 务必使 VPN 用户知悉网络接入限制以及连接故障关闭策略的优势 永远在线 VPN-XML 示例如果正在使用 6.3(1) 之前版本的 ASDM, 则使用以下示例手动编辑 AnyConnect XML 配置文件 此永远在线 VPN 示例执行以下操作 : 启用 断开连接 (Disconnect) 按钮 (AllowVPNDisconnect), 使用户与另一安全网关建立 VPN 会话 指定连接故障策略关闭 将连接故障策略要求的网络限制放宽 5 分钟, 以修复强制网络门户 应用最新 VPN 会话期间指派的 ACL 规则 <ClientInitialization> <AutomaticVPNPolicy>true <TrustedDNSDomains>example.com</TrustedDNSDomains> <TrustedDNSServers> </TrustedDNSServers> <TrustedNetworkPolicy>Disconnect</TrustedNetworkPolicy> <UntrustedNetworkPolicy>Connect</UntrustedNetworkPolicy> <AlwaysOn>true <AllowVPNDisconnect>true</AllowVPNDisconnect> <ConnectFailurePolicy>Closed <AllowCaptivePortalRemediation>true <CaptivePortalRemediationTimeout>5</CaptivePortalRemediationTimeout> </AllowCaptivePortalRemediation> <ApplyLastVPNLocalResourceRules>true</ApplyLastVPNLocalResourceRules> </ConnectFailurePolicy> </AlwaysOn> </AutomaticVPNPolicy> </ClientInitialization> 书名 A-5

334 采用负载均衡的永远在线 VPN 附录 A VPN XML 参考 采用负载均衡的永远在线 VPN 表 A-5 显示配置采用负载均衡的永远在线 VPN 的标记名称 选项和说明 表 A-5 使用采用负载均衡的永远在线 VPN 设置 XML 标记名称 选项 说明 LoadBalancingServerList FQDN 或 IP 地址 指定集群的备份设备 如果没有此选项并启用了永远在线 VPN, 则 AnyConnect 将阻止对负载均衡集群中备份设备的接入 示例 : 采用负载均衡的永远在线 VPN <ServerList> <!-- This is the data needed to attempt a connection to a specific host. --> <HostEntry> <HostName>ASA</HostName> <HostAddress> </HostAddress> <LoadBalancingServerList> <!-- Can be a FQDN or IP address. --> <HostAddress>loadbalancing1.domain.com</HostAddress> <HostAddress>loadbalancing2.domain.com</HostAddress> <HostAddress> </HostAddress> </LoadBalancingServerList> </HostEntry> </ServerList> 登录前启动 表 A-6 显示配置登录前启动的标记名称 选项和说明 表 A-6 登录前启动设置 XML 标记名称 选项 说明 UseStartBeforeLogon true 启用登录前启动 false 禁用登录前启动 UseStartBeforeLogon UserControllable true 使 SBL 变为用户可控制 false SBL 为非用户可控制时, 恢复默认设置 示例 : 登录前启动参阅以下示例, 对 SBL 进行配置 : <ClientInitialization> <UseStartBeforeLogon>true</UseStartBeforeLogon> </ClientInitialization> A-6 书名

335 附录 A VPN XML 参考 Windows 的证书存储区 Windows 的证书存储区 表 A-7 证书存储区设置 表 A-7 显示配置证书存储区的标记名称 选项和说明 XML 标记名称 选项 说明 CertificateStore 全部 ( 默认 ) 指导 AnyConnect 客户端在所有证书存储区中查找证书 (All) 计算机 指导 AnyConnect 客户端将证书查找限制于 Windows 本地计算机证书存储区 (Machine) 用户 (User) 指导 AnyConnect 客户端将证书查找限制于本地用户证书存储区 示例 : 证书存储区参阅以下示例, 对证书存储区进行配置 : <CertificateStore>Machine</CertificateStore> 限制证书存储区使用 表 A-8 限制证书存储区设置 表 A-8 显示限制证书存储区使用的标记名称 选项和说明 XML 标记名称 选项 说明 ExcludeFirefoxNSSCertStore (Linux 和 true 排除 Firefox NSS 证书存储区 Mac ) false 许可 Firefox NSS 证书存储区 ( 默认 ) ExcludePemFileCertStore (Linux 和 Mac) true 排除 PEM 文件证书存储区 false 许可 PEM 文件证书存储区 ( 默认 ) ExcludeMacNativeCertStore ( 仅 Mac) true 排除 Mac 本地证书存储区 false 许可 Mac 本地证书存储区 ( 默认 ) ExcludeWinNativeCertStore true 排除 Windows Internet Explorer 证书存储区 ( 仅 Windows, 当前不支持 ) false 许可 Windows Internet Explorer 证书存储区 ( 默认 ) 调配和更新证书的 SCEP 协议 表 A-9 显示配置 SCEP 协议以调配和更新证书的标记名称 选项和说明 表 A-9 SCEP 协议设置 XML 标记名称 选项 说明 CertificateEnrollment 证书册的开始标记 CertificateExpirationThreshold 天数 指定 AnyConnect 应警告用户其证书即将逾期的时间 书名 A-7

336 调配和更新证书的 SCEP 协议 附录 A VPN XML 参考 表 A-9 SCEP 协议设置 ( 续 ) AutomaticSCEPHost ASA/ 组别名的完全限定域名 如果该属性指定了 ASA 主机名, 且 SCEP 证书检 ASA/ 组别名的 IP 地址索的连接配置文件 ( 隧道组 ) 已配置, 则主机会尝试自动证书检索 CAURL 完全限定域名 CA 服务器的 IP 地址 CertificateSCEP 定义请求证书内容的方法 CADomain 认证中心的域 Name_CN 证书中的通用名称 Department_OU 证书中指定的部门名称 Company_O 证书中指定的公司名称 State_ST 证书中命名的州标识符 Country_C 证书中命名的国家 / 地区标识符 _EA 邮件地址 Domain_DC 域组件 SurName (SN) 姓氏 GivenName (GN) 通常为名字 UnstructName (N) 未定义名称 Initials (I) 用户首字母缩写 Qualifier (GEN) 用户的代限定符 例如, Jr. 或 III. Qualifier (DN) 整个 DN 的限定符 City (L) 城市标识符 Title (T) 人员称谓 例如, 女士 夫人 先生 CA Domain 用于 SCEP 册, 通常为 CA 域 Key Size 为待册证书生成的 RSA 密钥的大小 DisplayGetCertButton true 允许用户手动请求调配或更新身份验证证书 通常, 无需首先创建 VPN 隧道, 上述用户也可接入认证中心 false 不允许用户手动请求调配或更新身份验证证书 ServerList 服务器列表的开始标记 首次启动 AnyConnect 时, 向用户显示服务器列表 用户可选择要登录的 ASA HostEntry 配置 ASA 的开始标记 HostName ASA 的主机名 HostAddress ASA 的完全限定域名 示例 :SCEP 协议请参阅以下示例, 配置用户配置文件中的 SCEP 要素 : <AnyConnectProfile> <ClientInitialization> <CertificateEnrollment> <CertificateExpirationThreshold>14</CertificateExpirationThreshold> A-8 书名

337 附录 A VPN XML 参考 证书匹配 <AutomaticSCEPHost>asa.cisco.com/scep_eng</AutomaticSCEPHost> <CAURL PromptForChallengePW="true" Thumbprint="8475B661202E3414D4BB223A464E6AAB8CA123AB"> <CertificateSCEP> <CADomain>cisco.com</CADomain> <Name_CN>%USER%</Name_CN> <Department_OU>Engineering</Department_OU> <Company_O>Cisco Systems</Company_O> <State_ST>Colorado</State_ST> <Country_C>US</Country_C> < _EA>%USER%@cisco.com</ _EA> <Domain_DC>cisco.com</Domain_DC> <DisplayGetCertButton>false</DisplayGetCertButton> </CertificateSCEP> </CertificateEnrollment> </ClientInitialization> <ServerList> <HostEntry> <HostName>ABC-ASA</HostName> <HostAddress>ABC-asa-cluster.cisco.com</HostAddress> </HostEntry> <HostEntry> <HostName>Certificate Enroll</HostName> <HostAddress>ourasa.cisco.com</HostAddress> <AutomaticSCEPHost>ourasa.cisco.com/scep_eng</AutomaticSCEPHost> <CAURL PromptForChallengePW="false" Thumbprint="8475B655202E3414D4BB223A464E6AAB8CA123AB"> </HostEntry> </ServerList> </AnyConnectProfile> 证书匹配 如果未指定证书匹配标准, 则 AnyConnect 应用以下证书匹配规则 : Key Usage: Digital_Signature Extended Key Usage: Client Auth 如果配置文件中规定了任何标准匹配规范, 则上述匹配规则不适用, 除非在配置文件中明确列出 表 A-10 证书匹配 表 A-10 显示配置证书匹配的标记名称 选项和说明 XML 标记名称 选项 说明 CertificateExpirationThreshold 指定证书逾期日期前的天数 警告用户证书即将逾期 CertificateMatch n/a 定义优化客户端证书选择的首选项 仅在证书用作身份验证的一部分时包括 仅上述用于唯一识别用户证书的 CertificateMatch 子部分 (KeyUsage ExtendedKeyUsage 和 DistinguishedName) 应包含于配置文件中 KeyUsage n/a 组标识符, 从属于 CertificateMatch 使用这些属性指定 可接受客户端证书 书名 A-9

338 证书匹配 附录 A VPN XML 参考 表 A-10 证书匹配 ( 续 ) XML 标记名称选项说明 MatchKey Decipher_Only Encipher_Only CRL_Sign Key_Cert_Sign Key_Agreement Data_Encipherment Key_Encipherment Non_Repudiation Digital_Signature 在 KeyUsage 组内,MatchKey 属性指定了可用于选择可接受客户端证书的属性 指定一个或多个匹配密钥 证书必须与待选择的至少一个指定密钥匹配 ExtendedKeyUsage n/a 组标识符, 从属于 CertificateMatch 使用这些属性选择 可接受客户端证书 ExtendedMatchKey CustomExtendedMatchKey ClientAuth ServerAuth CodeSign Protect IPSecEndSystem IPSecUsers Timestamp OCSPSigns DVCS 常见 MIB OID 值, 例如 在 ExtendedKeyUsage 组内,ExtendedMatchKey 指定了可用于选择可接受客户端证书的属性 指定零个或多个扩展匹配密钥 证书必须与待选择的所有指定密钥匹配 在 ExtendedKeyUsage 组内, 您可以指定零个或多个自定义扩展匹配密钥 证书必须与待选择的所有指定密钥匹配 密钥必须为 OID 形式 ( 例如, ) DistinguishedName n/a 组标识符 在 DistinguishedName 组内, 证书 可识别 名 (Distinguished Name) 匹配可指定用于选择可接受客 户端证书的匹配条件 A-10 书名

339 附录 A VPN XML 参考 证书匹配 表 A-10 证书匹配 ( 续 ) XML 标记名称选项说明 DistinguishedNameDefinition 粗体文本表示默认值 通配符 (Wildcard): Enabled Disabled 运算符 (Operator): Equal (==) NotEqual (!==) 区分大小写 (MatchCase): Enabled Disabled DistinguishedNameDefinition 指定用于定义将在匹配中使用的单个 可识别名 (Distinguished Name) 属性的运算符集 运算符指定在执行匹配时使用的运算 区分大小写 (MatchCase) 指定模式匹配是否需要区分大小写 书名 A-11

340 证书匹配 附录 A VPN XML 参考 表 A-10 证书匹配 ( 续 ) XML 标记名称选项说明 Name CN DC SN GN N I GENQ DNQ C L SP ST O OU T EA ISSUER-CN ISSUER-DC ISSUER-SN ISSUER-GN ISSUER-N ISSUER-I ISSUER-GENQ ISSUER-DNQ ISSUER-C ISSUER-L ISSUER-SP ISSUER-ST ISSUER-O ISSUER-OU ISSUER-T ISSUER-EA Pattern 双引号包含的字符串 (1 30 个字符 ) 启用通配符时, 模式可以位于字符串中的任何位置 匹配中使用的 DistinguishedName 属性 您可以指定多达 10 个属性 指定要在匹配中使用的字符串 ( 模式 ) 此定义默认禁用通配符模式匹配 A-12 书名

341 附录 A VPN XML 参考 自动证书选择 示例 : 证书匹配请参阅以下示例启用可以用于优化客户端证书选择的属性 : 在本示例中, KeyUsage ExtendedKeyUsage 和 DistinguishedName 的配置文件选项仅用作示例 您应当仅配置适用于您的证书的 CertificateMatch 标准 <CertificateMatch> <!-- Specifies Certificate Key attributes that can be used for choosing acceptable client certificates. --> <KeyUsage> <MatchKey>Non_Repudiation</MatchKey> <MatchKey>Digital_Signature</MatchKey> </KeyUsage> <!-- Specifies Certificate Extended Key attributes that can be used for choosing acceptable client certificates. --> <ExtendedKeyUsage> <ExtendedMatchKey>ClientAuth</ExtendedMatchKey> <ExtendedMatchKey>ServerAuth</ExtendedMatchKey> <CustomExtendedMatchKey> </CustomExtendedMatchKey> </ExtendedKeyUsage> <!-- Certificate Distinguished Name matching allows for exact match criteria in the choosing of acceptable client certificates. --> <DistinguishedName> <DistinguishedNameDefinition Operator="Equal" Wildcard="Enabled"> <Name>CN</Name> <Pattern>ASASecurity</Pattern> </DistinguishedNameDefinition> <DistinguishedNameDefinition Operator="Equal" Wildcard="Disabled"> <Name>L</Name> <Pattern>Boulder</Pattern> </DistinguishedNameDefinition> </DistinguishedName> </CertificateMatch> 自动证书选择. 表 A-11 自动证书选择设置 表 A-11 显示配置自动证书选择的标记名称 选项和说明 XML 标记名称 选项 说明 AutomaticCertSelection true 允许 AnyConnect 自动选择身份验证证书 false 提示用户选择身份验证证书 示例 :AutomaticCertSelection 请参阅以下示例, 使用 AutomaticCertSelection 配置客户端配置文件 : <AnyConnectProfile> <ClientInitialization> 书名 A-13

342 备份服务器列表参数 附录 A VPN XML 参考 <AutomaticCertSelection>false</AutomaticCertSelection> </ClientInitialization> </AnyConnectProfile> 备份服务器列表参数 表 A-12 显示配置备份服务器列表的标记名称 选项和说明 表 A-12 备份服务器列表设置 XML 标记名称 选项 说明 BackupServerList n/a 确定组标识符 HostAddress IP 地址或完全限定域名 (FQDN) 指定包含于备份服务器列表的主机地址 示例 : 备份服务器列表请参阅以下示例, 配置备份服务器列表参数 : <BackupServerList> <HostAddress>bos</HostAddress> <HostAddress>bos.example.com</HostAddress> </BackupServerList> Windows 移动策略 此配置仅验证已存在的策略 ; 不对其进行更改 AnyConnect 版本 3.0 和更高版本不支持 Windows Mobile 设备 Windows Mobile 设备的相关信息, 请参阅 Cisco, 版本 2.5 XML 标记名称 选项 说明 MobilePolicy n/a 确定组标识符 DeviceLockRequired n/a 组标识符 在 MobilePolicy 组内,DeviceLockRequired 表示在建立 VPN 连接前必须用密码或 PIN 配置 Windows Mobile 设备 此配置仅在使用 Microsoft 默认本地身份验证提供商 (LAP) 的 Windows Mobile 设备上有效 AnyConnect 客户端支持 Windows Mobile 5.0 WM5AKU2+ 和 Windows Mobile 6.0 上的移动设备锁定, 但不支持 Windows Mobile 6.1 MaximumTimeoutMinutes 任何非负整数 在 DeviceLockRequired 组内, 设置为非负整数时, 此 参数指定设备锁定生效前必须配置的最大分钟数 A-14 书名

343 附录 A VPN XML 参考 启动时自动连接 XML 标记名称 选项 说明 MinimumPasswordLength 任何非负整数 在 DeviceLockRequired 组内, 设置为非负整数时, 此参数指定用于设备锁定的任何 PIN/ 密码必须有指定的最小字符数 通过在强制执行前与交换服务器同步, 必须将该设置下推至移动设备 (WM5AKU2+) PasswordComplexity "alpha" - 需要字母数字密码 显示时, 查看左列中列出的密码子类型 "pin" - 需要数字 PIN "strong" - 需要强字母数字密码, 由 Microsoft 定义为至少包含 7 个字符, 其中至少包含 3 个大写字母 小写字母 数字和标点的组合 通过在强制执行前与交换服务器同步, 必须将该设置下推至移动设备 (WM5AKU2+) 示例 :Windows 移动策略请参阅以下示例, 使用 XML 配置 Windows Mobile 策略 : <MobilePolicy> <DeviceLockRequired> MaximumTimeoutMinutes= 60 MinimumPasswordLength= 4 PasswordComplexity= pin </DeviceLockRequired> </MobilePolicy> 启动时自动连接 表 A-13 显示配置启动时自动连接的标记名称 选项和说明 表 A-13 启动时自动连接设置 XML 标记名称 选项 说明 AutoConnectOnStart true 启动自动连接设置 false 返回至默认自动连接设置 AutoConnectOnStart UserControllable true 插入用户控制属性 false 删除用户控制属性 示例 : 启动时自动连接请参阅以下示例, 配置启动时自动连接 : <AutoConnectOnStart> true </AutoConnectOnStart> 书名 A-15

344 自动重新连接 附录 A VPN XML 参考 自动重新连接 表 A-14 自动重新连接设置 表 A-14 显示配置自动重新连接的标记名称 选项和说明 XML 标记名称 选项 说明 AutoReconnect true 如果中断并尝试重新连接, 客户端会保留分配至 VPN 会话的资源 false 如果中断且未尝试重新连接, 客户端会释放分配至 VPN 会话的资源 AutoReconnectBehavior DisconnectOnSuspend 系统挂起且在系统恢复后未尝试重新连接时, AnyConnect 释放分配至 VPN 会话的资源 ReconnectAfterResume 系统挂起期间, 客户端保留分配至 VPN 会话的资源 系统恢复后, 客户端尝试重新连接 示例 : 自动重新连接请参阅以下示例, 在客户端初始化部分中配置 AnyConnect VPN 重新连接行为 : <AutoReconnect UserControllable= true >true <AutoReconnectBehavior UserControllable= true >ReconnectAfterResume</AutoReconnectBehavior> </AutoReconnect> 服务器列表. 表 A-15 服务器列表设置 表 A-15 显示配置服务器列表的标记名称 选项和说明 XML 标记名称 选项 说明 ServerList n/a 指定组标识符 HostEntry n/a 组标识符, 从属于 ServerList 这是尝试连接至特定主机时所需的数据 HostName 用于指称主机 FQDN 或 IP 地址的别名 如果这是 FQDN 或 IP 地址, 则不需要 HostAddress 在 HostEntry 组内,HostName 参数指定服务器列表中的主机名称 HostAddress 用于指称主机的 IP 地址或完全限定域名 (FQDN) 如果 HostName 为 FQDN 或 IP 地址, 则不需要 HostAddress 组标识符, 从属于 CertificateMatch 使用这些属性选择可接受客户端证书 PrimaryProtocol SSL 或 IPsec VPN 隧道的加密协议, 可选择 SSL ( 默认 ) 或 IPsec IKEv2 对于 IPsec, 客户端默认使用专用 AnyConnect EAP 身份验证方法 A-16 书名

345 附录 A VPN XML 参考 服务器列表 表 A-15 服务器列表设置 XML 标记名称 选项 说明 StandardAuthenticationOnly n/a 使用 StandardAuthenticationOnly 参数将身份验证方法从默认专用 AnyConnect EAP 身份验证方法更改为标准方法 请意, 该操作会限制客户端的动态下载功能, 并禁用部分功能, 同时禁用 ASA 配置会话超时 闲置超时 断开连接超时 分隔隧道 分隔 DNS MSIE 代理配置的功能和其他功能 AuthMethodDuringIKENegotiation IKE-RSA EAP-MD5 指定标准身份验证的身份验证方法 EAP-MSCHAPv2 EAP-GTC IKEIdentity 字母数字字符串 如果选择标准 EAP 身份验证方法, 则您可以在该字段中将组或域作为客户端身份输入 客户端将字符串作为 ID_GROUP 类 IDi 负载发送 默认情况下, 该字符串为 *$AnyConnectClient$* 字符串不能包含任何终止符 ( 例如, null 或 CR) UserGroup 连接至指定主机时, 要使用的连接配置文件 ( 隧道组 ) 此参数为可选 如果有, 则与 HostAddress 配合使用, 形成基于组的 URL 如果将主要协议指定为 IPsec, 则 用户组 (User Group) 必须为连接配置文件的确切名称 ( 隧道组 ) 对于 SSL, 用户组为连接配置文件的组 URL 或组别名 需要 ASA 版本 或更高版本支持基于组的 URL 示例 : 服务器列表请参阅以下示例, 配置服务器列表 : <ServerList> <HostEntry> <HostName>ASA-01</HostName> <HostAddress>cvc-asa01.cisco.com </HostAddress> </HostEntry> <HostEntry> <HostName>ASA-02</HostName> <HostAddress>cvc-asa02.cisco.com </HostAddress> <UserGroup>StandardUser</UserGroup> <BackupServerList> <HostAddress>cvc-asa03.cisco.com </HostAddress> </BackupServerList> </HostEntry> </ServerList> 书名 A-17

346 脚本 附录 A VPN XML 参考 脚本. 表 A-16 脚本设置 表 A-16 显示配置脚本的标记名称 选项和说明 XML 标记名称 选项 说明 EnableScripting true 如果有, 则启动 OnConnect 和 OnDisconnect 脚本 false ( 默认值 ) 不启动脚本 UserControllable true 让用户启用或禁用 OnConnect 和 OnDisconnect 脚本的运行 false ( 默认 ) 阻止用户控制脚本功能 TerminateScriptOnNextEvent true 如果切换至另一个可编写脚本事件, 则终止运行脚本进程 例如, 如果 VPN 会话结束, 则 AnyConnect 终止运行 OnConnect 脚本, 如果 AnyConnect 启动新的 VPN 会话, 则 AnyConnect 终止运行 OnDisconnect 脚本 在 Microsoft Windows 上, AnyConnect 也会终止 OnConnect 或 OnDisconnect 脚本启动的任何脚本及其所有脚本子代 在 MAC OS 和 Linux 上,AnyConnect 仅终止 OnConnect 或 OnDisconnect 脚本 ; 它不会终止子脚本 false ( 默认 ) 如果切换至另一个可编写脚本事件, 则不终止脚本进程 EnablePostSBLOnConnectScript true 如果 SBL 建立 VPN 会话, 则阻止 OnConnect 脚本启动 false ( 默认 ) 当 SBL 建立 VPN 会话时, 启动 OnConnect 脚本 ( 如有 ) 示例 : 脚本参阅以下示例, 对脚本进行配置 : <ClientInitialization> <EnableScripting>true</EnableScripting> </ClientInitialization> 此示例启用脚本并覆盖其他脚本参数的默认选项 : <ClientInitialization> <EnableScripting UserControllable="true">true <TerminateScriptOnNextEvent>true</TerminateScriptOnNextEvent> <EnablePostSBLOnConnectScript>false</EnablePostSBLOnConnectScript> </EnableScripting> </ClientInitialization> A-18 书名

347 附录 A VPN XML 参考 身份验证超时控制 身份验证超时控制 表 A-17 身份验证超时控制 默认情况下, 在终止连接尝试前, AnyConnect 为安全网关的身份验证等待 12 秒 之后, AnyConnect 显示身份验证超时的消息 表 A-17 显示更改身份验证计时器的标记名称 选项和说明 XML 标记名称 选项 说明 AuthenticationTimeout 介于 的整数 输入更改此计时器的秒数 示例 : 身份验证超时控制以下示例将身份验证超时时间更改为 20 秒 : <ClientInitialization> <AuthenticationTimeout>20</AuthenticationTimeout> </ClientInitialization> 忽略代理 表 A-18 显示配置忽略代理的标记名称 选项和说明 表 A-18 忽略代理设置 XML 标记名称 选项 说明 ProxySettings 忽略代理 (IgnoreProxy) 启用忽略代理 本地 (native) 不支持 覆盖 (override) 不支持 示例 : 忽略代理请参阅以下示例, 配置客户端初始化部分的忽略代理 : <ProxySettings>IgnoreProxy</ProxySettings> 书名 A-19

348 针对 Windows 用户允许来自 RDP 会话的 AnyConnect 会话 附录 A VPN XML 参考 针对 Windows 用户允许来自 RDP 会话的 AnyConnect 会话 表 A-19 显示配置 RDP 会话的标记名称 选项和说明 表 A-19 允许来自 RDP 会话的 AnyConnect 会话 XML 标记名称 选项 说明 WindowsLogonEnforcement SingleLocalLogon 在整个 VPN 连接期间, 仅允许一个本地用户登录 通过此设置, 一个或多个远程用户登录客户端 PC 时, 本地用户可以建立 VPN 连接 如果 VPN 连接配置了 全或无 隧道, 则远程登录会因 VPN 连接的客户端 PC 路由表产生的修改而断开连接 如果 VPN 连接配置为分隔隧道, 则远程登录可能会或不会断开连接, 这取决于 VPN 连接的路由配置 SingleLocalLogin 设置对通过 VPN 连接从企业网络登录的远程用户没有影响 SingleLogon 在整个 VPN 连接期间, 仅允许一个用户登录 如果建立 VPN 连接时有多个用户登录 ( 本地或远程 ), 则该连接不被允许 如果 VPN 连接期间第二个用户登录 ( 无论本地或远程 ), 则 VPN 连接会终止 WindowsVPNEstablishment LocalUsersOnly 阻止远程登录用户建立 VPN 连接 这与之前版本的 AnyConnect 客户端功能相同 AllowRemoteUsers 允许远程用户建立 VPN 连接 但是, 如果配置的 VPN 连接路由使远程用户断开连接, 则 VPN 连接终止, 以允许远程用户再次接入客户端 PC 示例 : 针对 Windows 用户允许来自 RDP 会话的 AnyConnect 会话请参阅以下示例, 配置来自 RDP 会话的 AnyConnect 会话 : <WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement> <WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment> L2TP 或 PPTP 上的 AnyConnect 表 A-20 显示配置 L2TP 或 PPTP 上的 AnyConnect 的标记名称 选项和说明 表 A-20 L2TP 或 PPTP 上的 AnyConnect XML 标记名称选项说明 PPPExclusion 自动 (automatic) 覆盖 (override) 禁用 PPP 排除不适用 (disabled) PPPExclusionServerIP true 使用 PPP 服务器的 IP 地址 false 不使用 PPP 服务器的 IP 地址 启用 PPP 排除 AnyConnect 自动使用 PPP 服务器的 IP 地址 仅在自动检测无法获取 IP 地址的情况下, 指示用户更改该值 同时启用 PPP 排除 如果自动检测无法获取 PPP 服务器的 IP 地址, 且 PPPExclusion UserControllable 值为 true, 则遵循第 3-69 页的 指导用户覆盖 PPP 排除 部分中的步骤 A-20 书名

349 附录 A VPN XML 参考 其他 AnyConnect 配置文件设置 表 A-20 L2TP 或 PPTP 上的 AnyConnect XML 标记名称 选项 说明 PPPExclusion UserControllable= true 允许用户读取和更改 PPP 排除设置 false 阻止用户查看和更改 PPP 排除设置 示例 :L2TP 或 PPTP 上的 AnyConnect 请参阅以下示例, 配置 L2TP 或 PPTP 上的 AnyConnect: <ClientInitialization> <PPPExclusion UserControllable="true">Automatic <PPPExclusionServerIP UserControllable="true"> </PPPExclusionServerIP> </PPPExclusion> </ClientInitialization> <ServerList> <HostEntry> <HostName>DomainNameofASA</HostName> <HostAddress>IPaddressOfASA</HostAddress> </HostEntry> </ServerList> </AnyConnectProfile> 其他 AnyConnect 配置文件设置 表 A-21 显示您可以插入 ClientInitialization 部分的其他参数 表 A-21 其他 AnyConnect 配置文件设置 XML 标记名称 选项 说明 CertificateStoreOverride true 允许管理员指导 AnyConnect 在 Windows 计算机证书存储区搜索证书 证书位于上述存储区且用户在设备上无管理员权限时, 该标记有用 为了与使用计算机证书的 Windows 7 或 VISTA 连接, 您必须具有启用了该选项的预部署配置文件 如果连接前该配置文件不存在于 Windows 7 或 VISTA 设备上, 则计算机存储区的证书不可接入, 且连接失败 false ( 默认 ) AnyConnect 不会在 Windows 计算机证书存储区中搜索证书 ShowPreConnectMessage true 在用户首次尝试连接前, 使管理员可以向用户显示一次性消息 例如, 消息可以提醒用户将智能卡插入读卡器 消息显示于 AnyConnect 消息目录中, 并进行了本地化 false ( 默认 ) 在用户首次尝试连接前, 无消息显示 MinimizeOnConnect true ( 默认 ) 建立 VPN 隧道时, 控制 AnyConnect GUI 行为 默认情况下, 建立 VPN 隧道时, 最小化 GUI false 对 AnyConnect GUI 行为无控制 LocalLanAccess true 为安全网关的远程客户端启用时, 允许用户接受或拒绝本地 LAN 接入 false ( 默认 ) 拒绝本地 LAN 接入 AutoUpdate true ( 默认 ) 自动安装新数据包 false 不安装新数据包 书名 A-21

350 其他 AnyConnect 配置文件设置 附录 A VPN XML 参考 表 A-21 其他 AnyConnect 配置文件设置 XML 标记名称选项说明 RSASecurIDIntegration 自动 (automatic) ( 默认 ) 允许管理员控制用户与 RSA 交互的方式 默认情况下, AnyConnect 确定 RSA 交互的正确方法 管理员可以锁定 RSA 或将控制权交予用户 软件标记 (software token) 硬件标记 (hardware token) RetainVPNOnLogoff true 当用户销 Windows 操作系统时, 保留 VPN 会话 false ( 默认 ) 当用户销 Windows 操作系统时, 停止 VPN 会话 UserEnforcement AnyUser 即使其他用户登录, 也要继续 VPN 会话 仅在 RetainVPNPnLogoff 为 true, 且 VPN 会话开启时销 Windows 的原始用户销的情况下, 适用此值 SameUserOnly 其他用户登录时, 结束 VPN 会话 A-22 书名

351 附录 B 遥测 XML 参考 本附录介绍用于遥测客户端配置文件的 XML 元素 如果您正在对遥测客户端配置文件进行故障排除, 或您尚未升级至 ASDM 6.4(1) 且未使用 AnyConnect 配置文件编辑器工具, 则以本附录为参考 如果已升级至 ASDM 6.4(1), 则我们强烈建议您使用 AnyConnect 配置文件编辑器创建和维护 AnyConnect 客户端配置文件, 而非以纯文本或 XML 编辑器编辑配置文件 AnyConnect 配置文件编辑器带有自己的在线帮助 阅读第 7-1 页的配置 AnyConnect 遥测至 WSA, 熟悉 AnyConnect 遥测模块 客户端配置文件和功能 表 B-1 提供用于配置 AnyConnect 遥测客户端配置文件的 XML 标记名称 选项 说明和示例代码 如果配置文件未予指定, AnyConnect 将使用默认值 actsettings.xml 文件提供默认遥测客户端配置文件设置 用 telemetry_profile.tsp 文件中的参数取代 actsettings.xml 文件中指定的参数 有关 telemetry_profile.tsp 文件的更多信息, 请参阅第 7-8 页的 配置遥测客户端配置文件 部分 WSA 为响应服务状态请求而发送的遥测客户端配置文件参数取代 telemetry_profile.tsp 文件中指定的参数 遥测模块在终端册表上存储遥测模块 收到来自 WSA 的新设置时, 遥测模块会更新册表 VPN 处于非活动状态时, 这允许遥测模块使用相同设置 WSA 为响应服务状态请求而发送的参数需要在 WSA 版本 7.1 或更高版本上配置 意事项 请勿从本文档中剪切和粘贴示例 这样会引入破坏 XML 的换行符 应在文本编辑器 ( 如 Notepad 或 Wordpad) 中打开配置文件模板文件 表 B-1 XML 配置文件中定义的遥测参数 元素名称 说明 范围 默认值 由 ASDM 上的配置文件编辑器指定 Telemetry 所有遥测模块元素的母元素 ServiceDisable 启用或禁用遥测服务 false false 是 true 编辑并保存遥测 配置文件后, 默 认启用遥测 MaxHistLog 活动历史记录库的最大尺寸 (MB) 由 WSA 指定 否 100 是否 书名 B-1