关于网络可视性模块
由于用户越来越多地在非托管设备上操作,因此企业管理员对网络内部和外部的可视性下降。网络可视性模块 (NVM) 可以从本地或外部终端收集丰富的流上下文信息;当与 Stealthwatch 等思科解决方案或 Splunk 等第三方解决方案配合使用时,它能够提供对网络连接设备和用户行为的可视性。然后,企业管理员可以执行容量和服务规划、审计、合规性检查和安全性分析。NVM 提供以下服务:
-
通过监控应用的使用情况,更好地依据事实改进网络设计(对 nvzFlow 协议规范中的 IPFIX 收集器元素加以扩展:https://developer.cisco.com/site/network-visibility-module/)。
-
对应用、用户或终端进行逻辑分组。
-
通过查找潜在异常,帮助跟踪企业资产并规划迁移活动。
利用此功能,您可以选择是否不将整个基础设施部署作为遥测对象。NVM 可收集终端遥测信息,提高以下内容的可视性:
-
设备 - 终端,不考虑其位置
-
用户 - 登录到终端的用户
-
应用 - 生成流量的应用
-
位置 - 生成流量的网络位置
-
目的地 - 流量发往地的实际域名 (FQDN)
在一个受信任的网络中,AnyConnect NVM 将流记录导出到收集器(例如思科 Stealthwatch)或第三方供应商(例如 Splunk),由其进行文件分析并提供 UI 接口和报告。流记录提供关于用户功能的信息,相关值按 ID 导出(例如 LoggedInUserAccountType 导出为 12361,ProcessUserAccountType 导出为 12362,ParentProcessUserAccountType 导出为 12363)。有关在 Splunk 上构建的思科终端安全分析 (CESA) 的详细信息, 请参阅 http://www.cisco.com/go/cesa。由于大多数企业 IT 管理员可能需要利用该数据构建各自的可视化模板,因此我们通过 Splunk 应用插件提供了一些示例基础模板。
桌面 AnyConnect 上的 NVM
过去,流量收集器提供相应功能来收集出入交换机或路由器的一个接口的 IP 网络流量。它可以确定网络中的拥塞来源、流量路径,但没有多少其他信息。在终端上使用 NVM 时,会通过丰富的终端上下文(如设备类型、用户、应用等)来增强流。这将使流记录更具可操作性,具体取决于收集平台的功能。通过 IPFIX 发送的 NVM 所提供的导出数据与思科 NetFlow 收集器以及其他第三方流收集平台(如 Splunk、IBM Qradar、LiveAction)兼容。有关其他信息,请参阅特定于平台的集成文档,例如,可访问以下网址了解 Splunk 集成的信息:https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200600-Install-and-Configure-Cisco-Network-Visi.html。
如果您选择安装网络可视性模块,在 AnyConnect 安全移动客户端 UI 的 About 屏幕上会将其列为已安装。当 NVM 运行时,AnyConnect UI 上将不存在任何其他指示。
如果此功能为启用状态,NVM 的 AnyConnect 配置文件将从 ISE 或 ASA 头端推送。与您在网络安全产品、网络访问管理器等程序上的操作一样,在 ISE 头端,您可以使用独立配置文件编辑器,生成 NVM 服务配置文件 XML,上传至 ISE 并对照新的 NVM 模块进行映射。在 ASA 头端,您可以使用独立配置文件编辑器或 ASDM 配置文件编辑器。
当 VPN 状态更改为已连接,或者当终端处于受信任的网络中时,NVM 会收到提示。
注 |
如果您将 NVM 与 Linux 一起使用,请确保已完成在 Linux 上使用 NVM中的预备步骤。 |
移动 AnyConnect 上的 NVM
Android 版思科 AnyConnect 安全移动客户端版本 4.0.09xxx(可通过 Google playstore 获取)中包括网络可见性模块 (NVM)。运行 Samsung Knox 版本 2.8 或更高版本的 Samsung 设备上支持 NVM。目前不支持任何其他移动设备。
Android 上的网络可见性是服务配置文件配置的一部分。要在 Android 上配置 NVM,需使用 AnyConnect NVM 配置文件编辑器生成 AnyConnect NVM 配置文件,然后再使用移动设备管理 (MDM) 将该配置文件推送到 Samsung 移动设备。需要有 AnyConnect 版本 4.4.3 或更高版本中的 AnyConnect NVM 配置文件编辑器,才能为移动设备配置 NVM。
指南
-
运行 Samsung Knox 版本 3.0 或更高版本的 Samsung 设备上支持 NVM。目前不支持任何其他移动设备。
-
在移动设备上,支持通过 IPv4 或 IPv6 连接到收集器。
-
不支持在基于 Java 的应用上收集数据流量。