关于网络可视性模块
由于用户越来越多地在非托管设备上操作,因此企业管理员对网络内部和外部的可视性下降。网络可视性模块 (NVM) 可以从本地或外部终端收集丰富的流上下文信息;当与 Stealthwatch 等思科解决方案或 Splunk 等第三方解决方案配合使用时,它能够提供对网络连接设备和用户行为的可视性。然后,企业管理员可以执行容量和服务规划、审计、合规性检查和安全性分析。NVM 提供以下服务:
-
通过监控应用的使用情况,更好地依据事实改进网络设计(对 nvzFlow 协议规范中的 IPFIX 收集器元素加以扩展:https://developer.cisco.com/site/network-visibility-module/)。
-
对应用、用户或终端进行逻辑分组。
-
通过查找潜在异常,帮助跟踪企业资产并规划迁移活动。
利用此功能,您可以选择是否不将整个基础设施部署作为遥测对象。NVM 可收集终端遥测信息,提高以下内容的可视性:
-
设备 - 终端,不考虑其位置
-
用户 - 登录到终端的用户
-
应用 - 生成流量的应用
-
位置 - 生成流量的网络位置
-
目的地 - 流量发往地的实际域名 (FQDN)
在一个受信任的网络中,AnyConnect NVM 将流记录导出到收集器(例如思科 Stealthwatch)或第三方供应商(例如 Splunk),由其进行文件分析并提供 UI 接口和报告。流记录提供关于用户功能的信息,相关值按 ID 导出(例如 LoggedInUserAccountType 导出为 12361,ProcessUserAccountType 导出为 12362,ParentProcessUserAccountType 导出为 12363)。有关在 Splunk 上构建的思科终端安全分析 (CESA) 的详细信息, 请参阅 http://www.cisco.com/go/cesa。由于大多数企业 IT 管理员可能需要利用该数据构建各自的可视化模板,因此我们通过 Splunk 应用插件提供了一些示例基础模板。
桌面 AnyConnect 上的 NVM
过去,流量收集器提供相应功能来收集出入交换机或路由器的一个接口的 IP 网络流量。它可以确定网络中的拥塞来源、流量路径,但没有多少其他信息。在终端上使用 NVM 时,会通过丰富的终端上下文(如设备类型、用户、应用等)来增强流。这将使流记录更具可操作性,具体取决于收集平台的功能。通过 IPFIX 发送的 NVM 所提供的导出数据与思科 NetFlow 收集器以及其他第三方流收集平台(如 Splunk、IBM Qradar、LiveAction)兼容。有关其他信息,请参阅特定于平台的集成文档,例如,可访问以下网址了解 Splunk 集成的信息:https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200600-Install-and-Configure-Cisco-Network-Visi.html。
如果此功能为启用状态,NVM 的 AnyConnect 配置文件将从 ISE 或 ASA 头端推送。与您在网络安全产品、网络访问管理器等程序上的操作一样,在 ISE 头端,您可以使用独立配置文件编辑器,生成 NVM 服务配置文件 XML,上传至 ISE 并对照新的 NVM 模块进行映射。在 ASA 头端,您可以使用独立配置文件编辑器或 ASDM 配置文件编辑器。
当 VPN 状态更改为已连接,或者当终端处于受信任的网络中时,NVM 会收到提示。
注 |
如果您将 NVM 与 Linux 一起使用,请确保已完成在 Linux 上使用 NVM中的预备步骤。 |
独立 NVM
对于没有 AnyConnect 部署或正在使用其他 VPN 解决方案的用户,您可以安装 NVM 独立软件包以满足您的 NVM 需求。此软件包独立运行,但它提供与现有 AnyConnect NVM 解决方案相同的流收集级别。如果安装独立 NVM,活动进程(例如 MacOS 上的活动监视器)指出其使用情况。
独立 NVM 使用 NVM 配置文件编辑器 进行配置,且值得信赖的网络检测 (TND) 配置为必填项。使用 TND 配置,NVM 确定终端是否在企业网络上,然后应用适当的策略。
故障排除和日志记录仍通过 AnyConnect DART (可从 AnyConnect 软件包进行安装)完成。
部署模式
-
anyconnect-win-[version]-nvm-standalone-k9 (适用于 Windows)
-
anyconnect-macos-[version]-nvm-standalone. dmg (适用于 macOS)
-
anyconnect-linux64-[version]-nvm-standalone. tar gz (适用于 Linux)
独立 NVM 的正常运行不依赖于 VPN;因此,您可以将其部署在终端上,而无需安装 VPN。
如果已安装独立 NVM,则可以无缝地迁移到相同或更高版本的完整 AnyConnect 安装,并且所有 NVM 数据文件和配置文件都将保留。
-
降级独立 NVM
-
使用 NVM 安装较旧版本的 AnyConnect VPN,其中已存在较新版本的独立 NVM。这种情况会导致卸载独立 NVM。
-
安装任何版本的独立 NVM,其中 AnyConnect VPN 和 NVM 已存在
移动 AnyConnect 上的 NVM
Android 版 Cisco AnyConnect Secure Mobility Client 版本 4.0.09xxx(可通过 Google playstore 获取)中包括网络可见性模块 (NVM)。运行 Samsung Knox 版本 2.8 或更高版本的 Samsung 设备上支持 NVM。目前不支持任何其他移动设备。
Android 上的网络可见性是服务配置文件配置的一部分。要在 Android 上配置 NVM,需使用 AnyConnect NVM 配置文件编辑器生成 AnyConnect NVM 配置文件,然后再使用移动设备管理 (MDM) 将该配置文件推送到 Samsung 移动设备。需要有 AnyConnect 版本 4.4.3 或更高版本中的 AnyConnect NVM 配置文件编辑器,才能为移动设备配置 NVM。
指南
-
运行 Samsung Knox 版本 3.0 或更高版本的 Samsung 设备上支持 NVM。目前不支持任何其他移动设备。
-
在移动设备上,支持通过 IPv4 或 IPv6 连接到收集器。
-
不支持在基于 Java 的应用上收集数据流量。