移动设备上的 AnyConnect 操作和选项
关于 AnyConnect 移动 VPN 连接
此版本的 AnyConnect 安全移动客户端可用于以下移动平台:
-
Android
每个受支持平台的应用商店都提供了思科 AnyConnect。它在 www.cisco.com 上不可用,也无法从安全网关进行分发。
AnyConnect 移动应用程序仅包含核心 VPN 客户端。它们不包括网络访问管理器、安全评估或网络安全等其他 AnyConnect 模块。在连接 VPN 的状态下,此应用使用 AnyConnect Identify Extensions (ACIDex) 向前端提供终端安全评估信息(称为“移动终端安全评估”)。
AnyConnect VPN 连接可以通过以下方法之一建立:
-
用户手动建立。
-
用户在点击管理员提供的自动连接操作时手动建立(仅适用于 Android 和 Apple iOS)。
-
通过按需连接功能自动建立(仅适用于 Apple iOS)。
移动设备上的 AnyConnect VPN 连接条目
连接条目通过安全网关的完全限定域名或 IP 地址(如有需要,包括隧道组 URL)识别安全网关地址。该连接条目还可以包括其他连接属性。
AnyConnect 支持在一个移动设备上拥有多个连接条目,以便寻址不同安全网关和/或 VPN 隧道组。如果配置了多个连接条目,则用户应了解使用哪个条目来发起 VPN 连接。通过以下方法之一来配置连接条目:
-
用户手动配置。有关在移动设备上配置连接条目的过程,请参阅相应平台的用户指南。
-
连接条目将在用户点击管理员提供的用于配置连接条目的链接后添加。
请参阅生成 VPN 连接条目可向用户提供此类连接条目配置。
-
由 Anyconnect VPN 客户端配置文件定义。
AnyConnect VPN 客户端配置文件指定客户端行为并定义 VPN 连接条目。有关详细信息,请参阅在 AnyConnect VPN 配置文件中配置移动设备连接。
隧道模式
AnyConnect 可以在托管或未托管的自带设备 (BYOD) 环境中运行。这些环境中的 VPN 隧道只在以下一种模式中运行:
-
系统隧道模式 - VPN 连接用于传送所有数据(全隧道),或仅传送流入/流出特定域或地址的数据(拆分隧道)。此模式可在所有移动平台上使用。
-
Per App VPN 模式 - VPN 连接用于移动设备上的特定应用集(仅限 Android 和 Apple iOS)。
AnyConnect 允许管理员在头端上定义一组应用。此列表使用 ASA 自定义属性机制来定义。此列表将发送给 AnyConnect 客户端,并在设备上实施。对于所有其他应用,在隧道之外或以明文形式发送数据。
在 Apple iOS 上,需要有受管环境才能在此模式下运行。在 Android 上,受管和非受管环境均受支持。在这两个平台上的托管环境中,移动设备管理器还必须将设备配置为传送与 AnyConnect 配置传送相同的应用列表。
AnyConnect 的运行模式由从 ASA 头端收到的配置信息决定。特别是,与连接相关的组策略或动态访问策略 (DAP) 中是否存在 Per App VPN 列表。如果 Per App VPN 列表存在,AnyConnect 会在 Per App VPN 模式下运行;如果列表不存在,AnyConnect 会在系统隧道连接模式下运行。
移动设备的安全网关身份验证
阻止不受信任的服务器
建立 VPN 连接时,AnyConnect 将使用从安全网关接收的数字证书来验证服务器的身份。如果服务器证书无效(因过期或日期无效、密钥使用错误或名称不匹配导致证书错误),或证书不受信任(证书无法由证书颁发机构验证),抑或同时出现上述两种情况,则连接将被阻止。此时将显示一条阻止消息,用户必须选择如何处理。
阻止不受信任的服务器 (Block Untrusted Servers) 应用设置确定 AnyConnect 在无法识别安全网关时的响应方式。默认情况下开启此保护;用户可关闭此保护,但不建议这样做。
当阻止不受信任的服务器 (Block Untrusted Servers) 开启后,将向用户显示一条不受信任的 VPN 服务器 (Untrusted VPN Server) 阻止通知,告知此安全威胁。用户可选择:
-
保持我的安全状态 (Keep Me Safe) 以终止此连接,保持安全。
-
更改设置 (Change Settings) 以关闭“阻止不受信任的服务器”(Block Untrusted Servers) 应用首选项,但不建议这样做。用户禁用此安全保护功能后,必须重新初始化 VPN 连接。
当阻止不受信任的服务器 (Block Untrusted Servers) 关闭后,将向用户显示一条不受信任的 VPN 服务器 (Untrusted VPN Server) 取消阻止通知,告知此安全威胁。用户可选择:
-
取消 (Cancel) 以取消连接并保持安全。
-
继续 (Continue) 以继续连接,但不建议这样做。
-
查看详细信息 (View Details) 以查看证书详细信息,更直观地判断证书的可接受性。
如果用户正在查看的证书有效但不受信任,则用户可以:
-
选择导入并继续 (Import and Continue) 将服务器证书导入 AnyConnect 证书存储区供以后使用,并继续连接。
当此证书导入 AnyConnect 存储区后,使用此数字证书与服务器建立的后续连接将被自动接受。
-
返回上一屏幕并选择取消 (Cancel) 或继续 (Continue)。
如果证书因任何原因无效,用户只能返回上一屏幕并选择取消 (Cancel) 或继续 (Continue)。
-
最安全的网络 VPN 连接配置是:开启“阻止不受信任的服务器”(Block Untrusted Servers) 设置(默认设置),在安全网关上配置有效且受信任的服务器证书,并指示移动用户始终选择“保持我的安全状态”(Keep Me Safe)。
注 |
严格证书信任将覆盖此设置,请参阅以下说明。 |
OCSP 吊销
AnyConnect 客户端支持 OCSP(在线证书状态协议)。由此,使客户端可以实时查询各个证书的状态,具体方法为:向 OCSP 响应程序发送请求,并解析 OCSP 响应,即可获得证书状况。OCSP 用于验证整个证书链。对于每个证书,访问 OCSP 响应程序设有五秒的超时间隔。
用户可以在 AnyConnect 设置活动中启用或禁用 OCSP 验证,详细信息请参阅思科 AnyConnect 安全移动客户端用户指南 (Android),版本 4.6。此外,我们还在框架中添加了新 API 验证,MDM 管理员可使用其远程控制此功能。目前支持 Samsung 和 Google MDM。
严格证书信任
如果用户启用此项,在验证远程安全网关时,AnyConnect 将禁用任何无法验证的证书。客户端会连接安全网关失败,而不是提示用户接受这些证书。
注 |
此设置将覆盖阻止不受信任的服务器。 |
如果未选中,客户端将提示用户接受证书。此为默认行为。
我们强烈建议您为 AnyConnect 客户端启用 Strict Certificate Trust,原因如下:
-
随着有针对性攻击的日益增多,在本地策略中启用 Strict Certificate Turst 有助于在用户从不受信任网络(例如公共访问网络)连接时,防止受到“中间人”攻击。
-
即使您使用完全可验证且受信任的证书,默认情况下 AnyConnect 客户端也允许最终用户接受不可验证的证书。如果最终用户受到中间人攻击,他们可能会被提示接受恶意证书。要从最终用户删除此决定,请启用 Strict Certificate Turst。
移动设备上的客户端身份验证
要完成 VPN 连接,用户必须提供用户名和密码、数字证书或这两种形式的凭证进行身份验证。管理员可以定义隧道组上的身份验证方法。为了保证在移动设备上提供最佳用户体验,思科建议根据身份验证配置情况使用多个 AnyConnect 连接配置文件。您必须确定平衡用户体验和安全的最佳方法。我们的建议如下:
-
对于移动设备的基于 AAA 的身份验证隧道组,组策略应有很长的空闲超时(例如 24 小时),以让客户端在无需用户重新进行身份验证的情况下即可保持重新连接状态。
-
要实现最透明的最终用户体验,请仅使用证书进行身份验证。使用数字证书时,无需用户交互即可建立 VPN 连接。
为了使用证书对连接安全网关的移动设备进行身份验证,最终用户必须在其设备上导入证书。之后,此证书可用于自动证书选择,也可以手动将其与特定连接条目关联。可使用以下方法导入证书:
在移动设备上本地化
适用于 Android 和 Apple iOS 的 AnyConnect 安全移动客户端支持本地化,可根据用户的区域设置调整 AnyConnect 用户界面和消息。
预包装的本地化
AnyConnect 和 Apple iOS 应用包括以下语言翻译:
-
加拿大法语 (fr-ca)
-
中文(台湾地区)(zh-tw)
-
捷克语 (cs-cz)
-
荷兰语 (nl-nl)
-
法语 (fr-fr)
-
德语 (de-de)
-
匈牙利语 (hu-hu)
-
意大利语 (it-it)
-
日语 (ja-jp)
-
韩语 (ko-kr)
-
拉丁美洲西班牙语 (es-co)
-
波兰语 (pl-pl)
-
葡萄牙语(巴西)(pt-br)
-
俄语 (ru-ru)
-
简体中文 (zh-cn)
-
西班牙语 (es-es)
安装 AnyConnect 时,这些语言的本地化数据会安装到移动设备上。移动设备上指定的本地化设置决定显示的语言。AnyConnect 会依次使用语言规范和地区规范来确定最佳匹配设置。例如,安装完成后,在法语-瑞士 (fr-ch) 区域设置下,最终的显示为法语-加拿大 (fr-ca)。AnyConnect 启动后,AnyConnect 用户界面和消息会被翻译为本地语言。
下载的本地化
对于不在 AnyConnect 软件包中的语言,管理员向 ASA 添加要通过 AnyConnect VPN 连接下载到设备的本地化数据。
思科在 Cisco.com 的产品下载中心提供 anyconnect.po 文件,其中包括所有可本地化的 AnyConnect 字符串。AnyConnect 管理员可下载 anyconnect.po 文件,提供可用字符串的翻译,然后将文件上传到 ASA。已将 anyconnect.po 文件安装到 ASA 上的 AnyConnect 管理员可下载此更新版本。
最初,AnyConnect 用户界面和消息以安装语言向用户显示。在设备用户建立了与 ASA 的第一个连接后,AnyConnect 将比较设备的首选语言与 ASA 上的可用本地化语言。如果 AnyConnect 找到匹配的本地化文件,则下载该本地化文件。下载完成后,AnyConnect 将使用已添加到 anyconnect.po 文件的翻译字符串显示用户界面和用户消息。如果字符串未翻译,AnyConnect 将显示默认的英语字符串。
有关在 ASA 上配置本地化的说明,请参阅将转换表导入自适应安全设备。如果 ASA 不包含设备区域设置的本地化数据,将继续使用 AnyConnect 应用软件包中预装的本地化数据。
在移动设备上提供本地化的更多方式
本地化 AnyConnect 用户界面和消息 通过为用户提供 URI 链接。
要求移动设备用户在自己的设备上管理本地化数据。有关执行以下本地化活动的程序,请参阅相应的用户指南:
-
从指定服务器导入本地化数据。用户选择导入本地化数据并指定安全网关的地址和区域设置。根据 ISO 639-1 指定区域设置,如适用,可添加国家代码(例如,en-US、fr-CA、ar-IQ 等等)。此本地化数据用来替代预先打包的已安装本地化数据。
-
恢复默认的本地化数据。此操作将恢复使用 AnyConnect 软件包中预装的本地化数据,并删除已导入的所有本地化数据。
将转换表导入自适应安全设备
过程
步骤 1 |
从 www.cisco.com 下载所需的转换表。 |
步骤 2 |
在 ASDM 中,转到 。 |
步骤 3 |
单击 Import。系统会显示 Import Language Localization Entry 窗口。 |
步骤 4 |
从下拉列表中选择适合的语言。 |
步骤 5 |
指定从何处导入转换表。 |
步骤 6 |
单击 Import Now。即可将此转换表部署至 AnyConnect 客户端,并将其用作首选语言。本地化将在 AnyConnect 重新启动并连接后应用。 |
注 |
对于在非移动设备上运行的 AnyConnect,即使没有使用思科安全桌面,也必须将思科安全桌面转换表导入自适应安全设备,这样 HostScan 消息才会进行本地化。 |
移动设备上的 FIPS 和套件 B 加密
用于移动设备的 AnyConnect 包含思科通用加密模块 (C3M),该 Cisco SSL 实现包括 FIPS 140-2 兼容的加密模块和 NSA 套件 B 加密,是下一代加密 (NGE) 算法的一部分。套件 B 加密仅适用于 IPsec VPN;FIPS 兼容加密同时适用于 IPsec 和 SSL VPN。
连接时与前端协商加密算法的使用。协商取决于 VPN 连接两端的功能。因此,安全网关还必须支持 FIPS 兼容加密和套件 B 加密。
用户可将 AnyConnect 配置为仅在协商期间接受 NGE 算法,方法是在 AnyConnect 应用设置中启用 FIPS 模式 (FIPS Mode)。当“FIPS 模式”(FIPS Mode) 处于禁用状态时,AnyConnect 也接受 VPN 连接使用非 FIPS 加密算法。
其他移动准则和限制
-
套件 B 加密要求 Apple iOS 5.0 或更高版本;这是支持套件 B 中使用的 ECDSA 证书的 Apple iOS 最低版本。
-
套件 B 加密要求 Android 4.0 (Ice Cream Sandwich) 或更高版本;这是支持套件 B 中使用的 ECDSA 证书的 Android 最低版本。
-
在 FIPS 模式下运行的设备与按代理方法或传统方法使用 SCEP 为移动用户提供数字证书的方式不兼容。请相应计划您的部署。