了解Cisco AnyConnect安全移动客户端

下载选项

  • PDF     (415.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (82.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (70.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 12 日
文档 ID:SMB5284

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

了解Cisco AnyConnect安全移动客户端4.2版

目标

本文重点介绍使用Cisco AnyConnect的功能、规格和优点。有关RV340系列路由器上的AnyConnect许可的信息,请参阅RV340系列路由器的AnyConnect许可一文。

软件版本

功能和规格

功能 优势和详细信息
远程访问 VPN
广泛的操作系统支持

● Windows 10、8.1、8和7
● Mac OS X 10.8及更高版本
● Linux Intel(x64)
●请参阅AnyConnect Mobile数据表,以获取移动平台信息。
优化的网络访问:VPN协议选择SSL 
(TLS和DTLS);IPsec IKEv2

● AnyConnect提供多种VPN协议,因此管理员可以使用最适合其业务需求的协议。
●隧道支持包括SSL(TLS 1.2和DTLS)和下一代IPsec IKEv2。
● DTLS为延迟敏感型流量(例如VoIP流量或基于TCP的应用访问)提供优化的连接。
● TLS 1.2(HTTP over TLS或SSL)有助于确保通过锁定环境(包括使用Web代理服务器的环境)的网络连接的可用性。
●当安全策略需要使用IPsec时,IPsec IKEv2为延迟敏感型流量提供优化连接。
最佳网关选择

●确定并建立与最佳网络接入点的连接,无需最终用户确定最近的位置。
便于移动

●专为移动用户设计
●可以配置,以便在IP地址更改、连接中断或休眠或待机期间保持VPN连接。
●通过受信任网络检测,当最终用户在办公室时,VPN连接会自动断开,而当用户在远程位置时,VPN连接会自动断开。
加密

● AES-256和3DES-168。(安全网关设备必须启用强加密许可证。)
● NSA Suite B算法、具有IKEv2的ESPv3、4096位RSA密钥、Diffie-Hellman组24和增强型SHA2(SHA-256和SHA-384)。 仅适用于IPsec IKEv2连接。需要AnyConnect Apex许可证。
广泛的部署和连接选项

部署选项:
●预部署,包括Microsoft Installer
● ActiveX(仅限Windows)和Java自动安全网关部署(初始安装需要管理权限)
连接模式:
● Standalone by system图标
●浏览器启动(Web启动)
●无客户端门户已启动
● CLI启动
● API启动

广泛的身份验证选项

● RADIUS
● RADIUS with password expiry(MSCHAPv2)到NT LAN Manager(NTLM)
● RADIUS一次性密码(OTP)支持(状态和回复消息属性)
● RSA SecurID(包括SoftID集成)
● Active Directory或Kerberos
●嵌入式证书颁发机构(CA)
●自动或用户选择的数字证书或智能卡(包括机器证书支持)
●具有密码到期和老化的轻量级目录访问协议(LDAP)
●通用LDAP支持
●结合使用证书和用户名 — 密码多重身份验证(双重身份验证)
一致的用户体验

●全通道客户端模式支持需要一致类似LAN的用户体验的远程访问用户。
●多种交付方法有助于确保AnyConnect的广泛兼容性。
●用户可能会推迟推送的更新。
●提供客户体验反馈选项。
集中式策略控制和管理

●策略可以在本地预配置或配置,并且可以从VPN安全网关自动更新。
●于AnyConnect的API通过网页或应用简化了部署。
●为不受信任的证书发出检查和用户警告。
●可以在本地查看和管理证书。
高级IP网络连接

●与IPv4和IPv6网络之间的公共连接
●访问内部IPv4和IPv6网络资源
●管理员控制的拆分隧道和全隧道网络访问策略
●访问控制策略
● Google Android(Lollipop)和Samsung KNOX(4.0版中的新功能)每应用VPN策略;需要Cisco ASA 5500-X和OS 9.3或更高版本,以及AnyConnect 4.0许可证)
IP地址分配机制:
●静态
●内部池
●动态主机配置协议(DHCP)
● RADIUS/LDAP
强大的统一端点合规性
(需要Apex许可证)

●有线和无线环境支持终端状态评估和补救(替换思科身份服务引擎NAC代理)。 需要身份服务引擎1.3或更高版本以及身份服务引擎Apex许可证。
● Cisco Hostscan会在授予网络访问权限之前检测终端系统上是否存在防病毒软件、个人防火墙软件和Windows服务包。
●管理员还可以根据是否存在正在运行的进程定义自定义状况检查。
● Hostscan检测远程系统上是否存在水印。水印可用于识别企业拥有的资产,从而提供差异化访问。水印检查功能包括系统注册表值、匹配所需CRC32校验和的文件存在、IP地址范围匹配以及由匹配证书颁发机构颁发或向其颁发的证书。对于不合规应用,支持其他功能。
●功能因操作系统而异。有关详细信息,请参阅主机扫描支持图表。
客户端防火墙策略

●为分割隧道配置提供额外保护。
●与AnyConnect客户端配合使用以允许本地访问例外(例如,打印、系绳设备支持等)。
●支持IPv4的基于端口的规则,以及IPv6的网络和IP访问控制列表(ACL)。
●适用于Windows和Mac OS X平台。
本地化

除英语外,还包括以下语言翻译:
●捷克语(cs-cz)
●德语(de-de)
●西班牙语(es-es)
●法语(fr-fr)
●日语(ja-jp)
●韩语(ko-kr)
●波兰语(pl-pl)
●简体中文(zh-cn)
●中文(台湾)(zh-tw)
●荷兰语(nl-nl)
●匈牙利语(hu-hu)
●意大利语(it-it)
●葡萄牙语(巴西)(pt-br)
●俄语(ru-ru)
轻松进行客户端管理

●管理员可以从头端安全设备自动分发软件和策略更新,从而消除与客户端软件更新相关的管理。
●管理员可以确定哪些功能可用于最终用户配置。
●当域登录脚本无法使用时,管理员可以在连接和断开连接时触发终端脚本。
●管理员可以完全自定义和本地化最终用户可见的消息。
配置文件编辑器

●可以直接从思科自适应安全设备管理器(ASDM)自定义AnyConnect策略。
诊断

●设备上的统计信息和日志记录信息可用。
●可以在设备上查看日志。
●日志可以轻松地通过邮件发送给思科或管理员进行分析。

联邦信息处理标准(FIPS)

●符合FIPS 140-2 2级标准(平台、功能和版本限制适用)
安全移动性和网络可视性
Web安全集成
(需要云网络安全许可证)

●使用云网络安全(Cloud Web Security)(这是全球最大的软件即服务(SaaS)网络安全提供商),使恶意软件远离企业网络,并控制和保障员工的网络使用。
●支持云托管配置和动态加载。
●通过支持基于云的服务以及基于现场的服务,为组织提供灵活性和选择。
●与网络安全设备集成。
●支持受信任网络检测。
●在每个事务中实施安全策略,不受用户位置的影响。
●需要始终在线且高度安全的网络连接,以及允许或拒绝网络连接在访问不可用时的策略。
●检测热点和强制网络门户。
网络可视性模块
(需要Apex许可证)

●通过监控应用使用情况发现潜在的行为异常。
●支持更明智的网络设计决策。
●可与越来越多的支持Internet协议流信息导出(IPFIX)的网络分析工具共享使用数据。
面向终端的高级恶意软件防护(AMP)启用程序
(面向终端的AMP需单独许可)

●通过分发和启用面向终端的CiscoAMP,简化对AnyConnect终端启用威胁服务的过程。
●将终端威胁服务扩展到远程终端,增加终端威胁覆盖范围。
●提供更主动的保护,进一步确保在远程终端迅速缓解攻击。
广泛的操作系统支持

● Windows 10、8.1、8和7
● Mac OS X 10.8及更高版本
网络接入管理器和802.1X
媒体支持

●以太网(IEEE 802.3)
● Wi-Fi(IEEE 802.11a/b/g/n)
网络身份验证

● IEEE 802.1X-2001、802.1X-2004和802.1X-2010
●使企业能够部署单个802.1X身份验证框架来访问有线和无线网络。
●管理高度安全访问所需的用户和设备身份以及网络访问协议。
●在连接到思科统一有线和无线网络时优化用户体验。
可扩展身份验证协议(EAP)方法

● EAP — 传输层安全(TLS)
●EAP-Protected Extensible Authentication Protocol(PEAP),使用以下内部方法:
- EAP-TLS
- EAP-MSCHAPv2
- EAP — 通用令牌卡(GTC)
●EAP — 通过安全隧道(FAST)进行灵活身份验证,采用以下内部方法:
- EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
●EAP — 隧道TLS(TTLS)使用以下内部方法:
— 密码身份验证协议(PAP)。
— 质询握手身份验证协议(CHAP)。
- Microsoft CHAP(MSCHAP)。
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
●轻量EAP(LEAP),仅Wi-Fi
● EAP — 消息摘要5(MD5),已配置管理功能,仅以太网
● EAP-MSCHAPv2,已配置管理,仅以太网
● EAP-GTC,已配置管理,仅以太网
无线加密方法(需要相应的802.11 NIC支持)

●打开
●有线等效保密(WEP)
●动态WEP
● Wi-Fi保护访问(WPA)企业
● WPA2企业版
● WPA个人(WPA-PSK)
● WPA2个人(WPA2-PSK)
● CCKM(需要思科CB21AG无线网卡)
无线加密协议

●使用高级加密标准(AES)算法的密码块链消息验证码协议(CCMP)的计数器模式
●使用Rivest Cipher 4(RC4)流密码的临时密钥完整性协议(TKIP)
会话恢复

●用EAP-TLS、EAP-FAST、EAP-PEAP和EAP-TTLS恢复RFC2716(EAP-TLS)会话
● EAP-FAST无状态会话恢复
● PMK-ID缓存(主动密钥缓存或机会密钥缓存),仅Windows XP
以太网加密

●介质访问控制:IEEE 802.1AE(MACsec)
●密钥管理:MACsec密钥协议(MKA)
●定义有线以太网络上的安全基础设施,以提供数据机密性、数据完整性和数据来源验证。
●保护网络受信任组件之间的通信。
一次一个连接

●仅允许单一网络连接,断开所有其他连接。
●适配器之间没有桥接。
●以太网连接自动优先。
复杂的服务器验证

●支持“结尾为”和“完全匹配”规则。
●支持超过30个无名称通用性的服务器规则。
EAP-Chaining(EAP-FASTv2)

●根据企业资产和非企业资产区分访问权限。
●验证单个EAP事务中的用户和设备。
企业连接实施(ECE)

●帮助确保用户仅连接到正确的公司网络。
●防止用户在办公室时连接到第三方接入点上网。
●阻止用户建立对访客网络的访问。
●消除繁琐的黑名单。
下一代加密(套件B)

●支持最新的加密标准。
●椭圆曲线Diffie-Hellman密钥交换
●椭圆曲线数字签名算法(ECDSA)证书
凭证类型

●交互式用户密码或Windows密码
● RSA SecurID令牌
●一次性密码(OTP)令牌
●智能卡(Axalto、Gemplus、SafeNet iKey、Alladin)。
● X.509证书。
●椭圆曲线数字签名算法(ECDSA)证书。
远程桌面支持

●使用远程桌面协议(RDP)时,对本地网络的远程用户凭证进行身份验证。
支持的操作系统

● Windows 10、8.1、8和7

此文档是否有帮助?

Feedback反馈

联系我们