移动设备上的 AnyConnect 操作和选项
关于 AnyConnect 移动 VPN 连接
此版本的 AnyConnect 安全移动客户端可用于以下移动平台:
-
Android
-
Apple iOS
-
Chromebook
-
Windows Phone
每个受支持平台的应用商店都提供了思科 AnyConnect。它在 www.cisco.com 上不可用,或无法从安全网关进行分发。
AnyConnect 移动应用仅包含核心 VPN 客户端。它们不包括网络访问管理器、终端安全评估或网络安全等其他 AnyConnect 模块。在连接 VPN 的状态下,此应用使用 AnyConnect Identify Extensions (ACIDex) 向前端提供终端安全评估信息(称为“移动终端安全评估”)。
AnyConnect VPN 连接可以通过以下方法之一建立:
-
用户手动建立。
-
用户在单击管理员提供的自动连接操作时手动建立(仅适用于 Android 和 Apple iOS)。
-
通过按需连接功能自动建立(仅适用于 Apple iOS)。
移动设备上的 AnyConnect VPN 连接条目
连接条目通过安全网关的完全限定域名或 IP 地址(如有需要,包括隧道组 URL)识别安全网关地址。该连接条目还可以包括其他连接属性。
AnyConnect 支持在一个移动设备上拥有多个连接条目,以便寻址不同安全网关和/或 VPN 隧道组。如果配置了多个连接条目,则用户应了解使用哪个条目来发起 VPN 连接。通过以下方法之一来配置连接条目:
-
用户手动配置。有关在移动设备上配置连接条目的过程,请参阅相应平台的用户指南。
-
连接条目将在用户单击管理员提供的用于配置连接条目的链接后添加。
请参阅生成 VPN 连接条目可向用户提供此类连接条目配置。
-
由 Anyconnect VPN 客户端配置文件定义。
AnyConnect VPN 客户端配置文件指定客户端行为并定义 VPN 连接条目。有关详细信息,请参阅在 AnyConnect VPN 配置文件中配置移动设备连接。
隧道型号
AnyConnect 可以在托管或未托管的自带设备 (BYOD) 环境中运行。这些环境中的 VPN 隧道只在以下一种型号中运行:
-
系统隧道型号 - VPN 连接用于传送所有数据(全隧道),或仅传送流入/流出特定域或地址的数据(拆分隧道)。此型号可在所有移动平台上使用。
-
Per App VPN 模式 - VPN 连接用于移动设备上的特定应用集(仅限 Android 和 Apple iOS)。
AnyConnect 允许管理员在前端上定义一组应用。此列表使用 ASA 自定义属性机制来定义。此列表将发送给 AnyConnect 客户端,并在设备上实施。对于所有其他应用,在隧道之外或以明文形式发送数据。
在 Apple iOS 上,需要有受管环境才能在此型号下运行。在 Android 上,受管和非受管环境均受支持。在这两个平台上的托管环境中,移动设备管理器还必须将设备配置为传送与 AnyConnect 配置传送相同的应用列表。
AnyConnect 的运行型号由从 ASA 前端收到的配置信息决定。特别是,与连接相关的组策略或动态访问策略 (DAP) 中是否存在 Per App VPN 列表。如果 Per App VPN 列表存在,AnyConnect 会在 Per App VPN 型号下运行;如果列表不存在,AnyConnect 会在系统隧道连接型号下运行。
移动设备的安全网关身份验证
阻止不受信任的服务器
建立 VPN 连接时,AnyConnect 将使用从安全网关接收的数字证书来验证服务器的身份。如果服务器证书无效(因过期或日期无效、密钥使用错误或名称不匹配导致证书错误),或证书不受信任(证书无法由证书颁发机构验证),抑或同时出现上述两种情况,则连接将被阻止。此时将显示一条阻止消息,用户必须选择如何处理。
阻止不受信任的服务器 (Block Untrusted Servers) 应用设置确定 AnyConnect 在无法识别安全网关时的响应方式。默认情况下开启此保护;用户可关闭此保护,但不建议这样做。
当阻止不受信任的服务器 (Block Untrusted Servers) 开启后,将向用户显示一条不受信任的 VPN 服务器 (Untrusted VPN Server) 阻止通知,告知此安全威胁。用户可选择:
-
保持我的安全状态 (Keep Me Safe) 以终止此连接,保持安全。
-
更改设置 (Change Settings) 以关闭“阻止不受信任的服务器”(Block Untrusted Servers) 应用首选项,但不建议这样做。用户禁用此安全保护功能后,必须重新初始化 VPN 连接。
当阻止不受信任的服务器 (Block Untrusted Servers) 关闭后,将向用户显示一条不受信任的 VPN 服务器 (Untrusted VPN Server) 取消阻止通知,告知此安全威胁。用户可选择:
-
取消 (Cancel) 以取消连接并保持安全。
-
继续 (Continue) 以继续连接,但不建议这样做。
-
查看详细信息 (View Details) 以查看证书详细信息,更直观地判断证书的可接受性。
如果用户正在查看的证书有效但不受信任,则用户可以:
-
选择导入并继续 (Import and Continue) 将服务器证书导入 AnyConnect 证书存储区供以后使用,并继续连接。
当此证书导入 AnyConnect 存储区后,使用此数字证书与服务器建立的后续连接将被自动接受。
-
返回上一屏幕并选择取消 (Cancel) 或继续 (Continue)。
如果证书因任何原因无效,用户只能返回上一屏幕并选择取消 (Cancel) 或继续 (Continue)。
-
最安全的网络 VPN 连接配置是:开启“阻止不受信任的服务器”(Block Untrusted Servers) 设置(默认设置),在安全网关上配置有效且受信任的服务器证书,并指示移动用户始终选择“保持我的安全状态”(Keep Me Safe)。
注 |
严格证书信任将覆盖此设置,请参阅以下说明。 |
OCSP 吊销
AnyConnect 客户端支持 OCSP(在线证书状态协议)。由此,使客户端可以实时查询各个证书的状态,具体方法为:向 OCSP 响应程序发送请求,并解析 OCSP 响应,即可获得证书状况。OCSP 用于验证整个证书链。对于每个证书,访问 OCSP 响应程序设有五秒的超时间隔。
用户可以在 Anyconnect 设置活动中启用或禁用 OCSP 验证,详细信息请参阅Cisco AnyConnect Secure Mobility Client 用户指南 (Android),版本 4.6。此外,我们还在框架中添加了新 API 验证,MDM 管理员可使用其远程控制此功能。目前支持 Samsung 和 Google MDM。
严格证书信任
如果用户启用此项,在验证远程安全网关时,AnyConnect 将禁用任何无法验证的证书。客户端会连接安全网关失败,而不是提示用户接受这些证书。
注 |
此设置将覆盖 阻止不受信任的服务器。 |
如果未选中,客户端将提示用户接受证书。这是默认行为。
我们强烈建议您为 AnyConnect 客户端启用“严格证书信任”,原因如下:
-
随着有针对性攻击的日益增多,在本地策略中启用 Strict Certificate Turst 有助于在用户从不受信任网络(例如公共访问网络)连接时,防止受到“中间人”攻击。
-
即使您使用完全可验证且受信任的证书,默认情况下 AnyConnect 客户端也允许最终用户接受不可验证的证书。如果最终用户受到中间人攻击,他们可能会被提示接受恶意证书。要从最终用户删除此决定,请启用 Strict Certificate Turst。
移动设备上的客户端身份验证
要完成 VPN 连接,用户必须提供用户名和密码、数字证书或这两种形式的凭证进行身份验证。管理员可以定义隧道组上的身份验证方法。为了保证在移动设备上提供最佳用户体验,思科建议根据身份验证配置情况使用多个 AnyConnect 连接配置文件。您必须确定平衡用户体验和安全的最佳方法。我们的建议如下:
-
对于移动设备的基于 AAA 的身份验证隧道组,组策略应有很长的空闲超时(例如 24 小时),以让客户端在无需用户重新进行身份验证的情况下即可保持重新连接状态。
-
要实现最透明的最终用户体验,请仅使用证书进行身份验证。使用数字证书时,无需用户交互即可建立 VPN 连接。
为了使用证书对连接安全网关的移动设备进行身份验证,最终用户必须在其设备上导入证书。之后,此证书可用于自动证书选择,也可以手动将其与特定连接条目关联。可使用以下方法导入证书:
使用 SAML 进行 VPN 身份验证
可以使用与 ASA 版本 9.7.1 集成的 SAML 2.0 进行初始会话身份验证。AnyConnect 4.6 引入了一个增强版的与嵌入浏览器的 SAML 集成,以替换以前版本中的本机(外部)浏览器集成。当连接到为 SAML 身份验证配置的隧道组时,AnyConnect 会打开一个嵌入式浏览器窗口以完成身份验证过程。每次 SAML 尝试都使用新的浏览器会话,而浏览器会话特定于 AnyConnect(会话状态不与任何其他浏览器共享)。尽管每次 SAML 身份验证尝试在开始时都没有会话状态,但尝试之间仍保持永久 cookie。
平台特定的要求
-
Windows - Windows 7(和更高版本)、Internet Explorer 11(和更高版本)
-
macOS - macOS 10.10(或更高版本)(AnyConnect 正式支持 macOS 10.11 或更高版本)
-
Linux - WebKitGTK+ 2.1 x(或更高版本)、Red Hat 7.4(或更高版本)官方软件包和 Ubuntu 16.04(或更高版本)
升级过程
具有本机(外部)浏览器的 SAML 2.0 在 AnyConnect 4.4 和 AnyConnect 4.5 以及 ASA 9.7.x、9.8.x 和 9.9.1 版中可用。具有嵌入式浏览器的全新增强版本要求升级到 AnyConnect 4.6 和 ASA 9.7.1.24(或更高版本)、9.8.2.28(或更高版本)或 9.9.2.1(或更高版本)。
在升级或部署具有嵌入式浏览器 SAML 集成的前端或客户端设备时,请注意以下情况:
-
如果您先部署 AnyConnect 4.6,则本机(外部)浏览器和嵌入式浏览器 SAML 集成将按预期进行,无需进一步操作。AnyConnect 4.6 支持现有的或已更新的 ASA 版本,即使首先部署 AnyConnect 也是如此。
-
如果您首先部署更新的 ASA 版本(具有嵌入式浏览器 SAML 集成),则必须依次升级 AnyConnect,因为默认情况下,更新的 ASA 版本与 AnyConnect 4.6 之前版本的本机(外部)浏览器 SAML 集成不向后兼容。任何现有 AnyConnect 4.4 或 4.5 客户端的升级都在身份验证之后进行,并且要求您在隧道组配置中启用 saml external-browser 命令。
在使用 SAML 时,请遵循以下指导原则:
-
如果在故障转移型号下使用永远在线 VPN,则不支持外部 SAML IdP(但是,使用内部 SAML IdP,ASA 会代理到 IdP 的所有流量并且受支持)
-
在嵌入式浏览器中不允许不受信任的服务器证书。
-
CLI 或 SBL 型号中不支持嵌入式浏览器 SAML 集成。
-
(仅移动设备)不支持单一注销。
-
在网络浏览器中建立的 SAML 身份验证不会与 AnyConnect 共享,反之亦然。
-
根据具体配置,在使用嵌入式浏览器连接到前端时,会使用各种不同的方法。例如,尽管 AnyConnect 相比于 IPv6 连接更喜欢 IPv4 连接,但嵌入式浏览器可能更喜欢 IPv6,或反之亦然。同样,在尝试代理和收到失败后,AnyConnect 可能会回退到没有代理状态,而嵌入式浏览器在尝试代理并收到失败后可能会停止导航。
-
为了使用 SAML 功能,必须使您的 ASA 网络时间协议 (NTP) 服务器与 IdP NTP 服务器同步。
-
ASDM 上的 VPN 向导目前不支持 SAML 配置。
-
SAML IdP NameID 属性确定用户的用户名,并且用于授权、记帐和 VPN 会话数据库。
-
如果您希望用户每次通过 SAML 建立 VPN 会话时,都使用身份提供程序 (IdP) 重新进行身份验证,则应该在 AnyConnect 配置文件编辑器,首选项(第 1 部分)中将 Auto Reconnect 设置为 ReconnectAfterResume。
-
由于具有嵌入式浏览器的 AnyConnect 会针对每个 VPN 尝试使用新的浏览器会话,因此,如果 IdP 使用 HTTP 会话 cookie 来跟踪登录状态,则用户每次都必须重新进行身份验证。这种情况下,
中的强制重新验证设置对 AnyConnect 启动的 SAML 身份验证没有任何影响。
有关其他配置详细信息,请参阅相应版本(9.7 或更高版本)的思科 ASA 系列 VPN 配置指南中的使用 SAML 2.0 的 SSO 部分。
在移动设备上本地化
适用于 Android 和 Apple iOS 的 AnyConnect 安全移动客户端支持本地化,可根据用户的区域设置调整 AnyConnect 用户界面和消息。
预包装的本地化
AnyConnect 和 Apple iOS 应用包括以下语言翻译:
-
加拿大法语 (fr-ca)
-
中文(台湾地区)(zh-tw)
-
捷克语 (cs-cz)
-
荷兰语 (nl-nl)
-
法语 (fr-fr)
-
德语 (de-de)
-
匈牙利语 (hu-hu)
-
意大利语 (it-it)
-
日语 (ja-jp)
-
韩语 (ko-kr)
-
拉丁美洲西班牙语 (es-co)
-
波兰语 (pl-pl)
-
葡萄牙语(巴西)(pt-br)
-
俄语 (ru-ru)
-
简体中文 (zh-cn)
-
西班牙语 (es-es)
安装 AnyConnect 时,这些语言的本地化数据会安装到移动设备上。移动设备上指定的本地化设置决定显示的语言。AnyConnect 会依次使用语言规范和地区规范来确定最佳匹配设置。例如,安装完成后,在法语-瑞士 (fr-ch) 区域设置下,最终的显示为法语-加拿大 (fr-ca)。AnyConnect 启动后,AnyConnect 用户界面和消息会被翻译为本地语言。
下载的本地化
对于不在 AnyConnect 软件包中的语言,管理员向 ASA 添加要通过 AnyConnect VPN 连接下载到设备的本地化数据。
思科在 Cisco.com 的产品下载中心提供 anyconnect.po 文件,其中包括所有可本地化的 AnyConnect 字符串。AnyConnect 管理员可下载 anyconnect.po 文件,提供可用字符串的翻译,然后将文件上传到 ASA。已将 anyconnect.po 文件安装到 ASA 上的 AnyConnect 管理员可下载此更新版本。
最初,AnyConnect 用户界面和消息以安装语言向用户显示。在设备用户建立了与 ASA 的第一个连接后,AnyConnect 将比较设备的首选语言与 ASA 上的可用本地化语言。如果 AnyConnect 找到匹配的本地化文件,则下载该本地化文件。下载完成后,AnyConnect 将使用已添加到 anyconnect.po 文件的翻译字符串显示用户界面和用户消息。如果字符串未翻译,AnyConnect 将显示默认的英语字符串。
有关在 ASA 上配置本地化的说明,请参阅将转换表导入自适应安全设备。如果 ASA 不包含设备区域设置的本地化数据,将继续使用 AnyConnect 应用软件包中预装的本地化数据。
在移动设备上提供本地化的更多方式
本地化 AnyConnect 用户界面和消息可为用户提供 URI 链接。
要求移动设备用户在自己的设备上管理本地化数据。有关执行以下本地化活动的程序,请参阅相应的用户指南:
-
从指定服务器导入本地化数据。用户选择导入本地化数据并指定安全网关的地址和区域设置。根据 ISO 639-1 指定区域设置,如适用,可添加国家代码(例如,en-US、fr-CA、ar-IQ 等等)。此本地化数据用来替代预先打包的已安装本地化数据。
-
恢复默认的本地化数据。此操作将恢复使用 AnyConnect 软件包中预装的本地化数据,并删除已导入的所有本地化数据。
将转换表导入自适应安全设备
过程
步骤 1 |
从 www.cisco.com 下载所需的转换表。 |
步骤 2 |
在 ASDM 中,转到 。 |
步骤 3 |
单击 Import。系统会显示 Import Language Localization Entry 窗口。 |
步骤 4 |
从下拉列表中选择适合的语言。 |
步骤 5 |
指定从何处导入转换表。 |
步骤 6 |
单击 Import Now。即可将此转换表部署至 AnyConnect 客户端,并将其用作首选语言。本地化将在 AnyConnect 重新启动并连接后应用。 |
注 |
对于在非移动设备上运行的 AnyConnect,即使没有使用思科安全桌面,也必须将思科安全桌面转换表导入自适应安全设备,这样 HostScan 消息才会进行本地化。 |
移动设备上的 FIPS 和套件 B 加密
用于移动设备的 AnyConnect 包含思科通用加密模块 (C3M),该 Cisco SSL 实现包括 FIPS 140-2 兼容的加密模块和 NSA 套件 B 加密,是下一代加密 (NGE) 算法的一部分。套件 B 加密仅适用于 IPsec VPN;FIPS 兼容加密同时适用于 IPsec 和 SSL VPN。
连接时与前端协商加密算法的使用。协商取决于 VPN 连接两端的功能。因此,安全网关还必须支持 FIPS 兼容加密和套件 B 加密。
用户可将 AnyConnect 配置为仅在协商期间接受 NGE 算法,方法是在 AnyConnect 应用设置中启用 FIPS 型号 (FIPS Mode)。当“FIPS 型号”(FIPS Mode) 处于禁用状态时,AnyConnect 也接受 VPN 连接使用非 FIPS 加密算法。
其他移动准则和限制
-
套件 B 加密要求 Apple iOS 5.0 或更高版本;这是支持套件 B 中使用的 ECDSA 证书的 Apple iOS 最低版本。
-
套件 B 加密要求 Android 4.0 (Ice Cream Sandwich) 或更高版本;这是支持套件 B 中使用的 ECDSA 证书的 Android 最低版本。
-
在 FIPS 型号下运行的设备与按代理方法或传统方法使用 SCEP 为移动用户提供数字证书的方式不兼容。请相应计划您的部署。