瞭解Cisco AnyConnect安全移動客戶端

下載選項

  • PDF     (444.8 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (82.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (70.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 12 月 12 日
文件 ID:SMB5284

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

瞭解Cisco AnyConnect安全移動客戶端4.2版

目標

本文重點介紹使用Cisco AnyConnect的功能、規格和優點。有關RV340系列路由器上的AnyConnect許可的資訊,請參閱RV340系列路由器的AnyConnect許可一文。

軟體版本

功能和規格

功能 優勢和詳細資訊
遠端存取VPN
廣泛的作業系統支援

● Windows 10、8.1、8和7
● Mac OS X 10.8及更高版本
● Linux Intel(x64)
●請參閱AnyConnect Mobile資料表,以獲取移動平台資訊。
最佳化網路訪問:VPN協定選擇SSL 
(TLS和DTLS);IPsec IKEv2

● AnyConnect提供各種VPN協定,因此管理員可以使用最適合其業務需求的協定。
●隧道支援包括SSL(TLS 1.2和DTLS)和下一代IPsec IKEv2。
● DTLS為延遲敏感型流量(例如VoIP流量或基於TCP的應用訪問)提供最佳化連線。
● TLS 1.2(HTTP over TLS或SSL)有助於確保通過鎖定環境(包括使用Web代理伺服器的環境)的網路連線的可用性。
● IPsec IKEv2在安全策略要求使用IPsec時為延遲敏感型流量提供最佳化連線。
最佳網關選擇

●確定並建立到最佳網路接入點的連線,無需終端使用者確定最近的位置。
便於移動

●專為行動使用者設計
●可以配置為在IP地址更改、連線丟失或休眠或待機期間保持VPN連線。
●通過受信任網路檢測,當終端使用者在辦公室時,VPN連線會自動斷開;而當使用者在遠端位置時,VPN連線會自動斷開。
加密

● AES-256和3DES-168。(安全網關裝置必須啟用強加密許可證。)
● NSA Suite B演算法、具有IKEv2的ESPv3、4096位RSA金鑰、Diffie-Hellman組24和增強型SHA2(SHA-256和SHA-384)。 僅適用於IPsec IKEv2連線。需要AnyConnect Apex許可證。
廣泛的部署和連線選項

部署選項:
●預部署,包括Microsoft Installer
● ActiveX(僅限Windows)和Java自動安全網關部署(初始安裝需要管理許可權)
連線模式:
● Standalone by system(按系統顯示獨立)圖示
●瀏覽器啟動(Web啟動)
● Clientless portal initiated
● CLI已啟動
● API已啟動

廣泛的身份驗證選項

● RADIUS
● RADIUS(密碼到期(MSCHAPv2)到NT LAN Manager(NTLM)
● RADIUS一次性密碼(OTP)支援(狀態和回複訊息屬性)
● RSA SecurID(包括SoftID整合)
● Active Directory或Kerberos
●內嵌式憑證授權單位(CA)
●數位證書或智慧卡(包括機器證書支援),自動或使用者選擇
●密碼到期和老化的輕量型目錄存取通訊協定(LDAP)
●通用LDAP支援
●組合的憑證和使用者名稱 — 密碼多重驗證(雙重驗證)
一致的使用者體驗

●全通道客戶端模式支援需要一致類LAN使用者體驗的遠端訪問使用者。
●多種交付方法有助於確保AnyConnect的廣泛相容性。
●使用者可能推遲推送的更新。
●提供客戶體驗反饋選項。
集中策略控制和管理

●策略可在本地預配置或配置,並可從VPN安全網關自動更新。
●於AnyConnect的API通過網頁或應用程式簡化部署。
●對不受信任的證書發出檢查和使用者警告。
●可以在本地檢視和管理證書。
高級IP網路連線

●與IPv4和IPv6網路之間的公共連線
●訪問內部IPv4和IPv6網路資源
●管理員控制的拆分隧道和全隧道網路訪問策略
●訪問控制策略
● Google Android(Lollipop)和Samsung KNOX(4.0版中的新功能)的每應用VPN策略;需要具有OS 9.3或更高版本以及AnyConnect 4.0許可證的Cisco ASA 5500-X)
IP地址分配機制:
● Static
●內部池
●動態主機設定通訊協定(DHCP)
● RADIUS/LDAP
強大的統一端點合規性
(需要Apex許可證)

●有線和無線環境支援終端狀態評估和補救(替換思科身份服務引擎NAC代理)。 需要具有身份服務引擎Apex許可證的身份服務引擎1.3或更高版本。
● Cisco Hostscan在授予網路訪問權之前,會嘗試檢測終端系統上是否存在防病毒軟體、個人防火牆軟體和Windows服務包。
●管理員還可以根據是否存在正在運行的進程定義自定義狀態檢查。
● Hostscan檢測遠端系統上是否存在水印。水印可用於標識企業擁有的資產,從而提供差異化訪問。水印檢查功能包括系統登錄檔值、匹配所需CRC32校驗和的檔案存在、IP地址範圍匹配以及由匹配證書頒發機構頒發或發給匹配證書頒發機構的證書。支援針對不合規應用程式的附加功能。
●功能因作業系統而異。有關詳細資訊,請參閱主機掃描支援圖表。
客戶端防火牆策略

●為分割隧道配置提供額外的保護。
●與AnyConnect客戶端結合使用以允許本地訪問異常(例如,列印、繫結裝置支援等)。
●支援IPv4的基於埠的規則,以及IPv6的網路和IP訪問控制清單(ACL)。
●可用於Windows和Mac OS X平台。
本地化

除英語外,還包括以下語言翻譯:
●捷克語(cs-cz)
●德語(de-de)
●西班牙語(es-es)
●法語(fr-fr)
●日語(ja-jp)
●朝鮮語(ko-kr)
●波蘭語(pl-pl)
●簡體中文(zh-cn)
●中文(台灣)(zh-tw)
●荷蘭語(nl-nl)
●匈牙利語(hu-hu)
●義大利語(it-it)
●葡萄牙語(巴西)(pt-br)
●俄語(ru-ru)
易於進行客戶端管理

●管理員可以從頭端安全裝置自動分發軟體和策略更新,從而消除與客戶端軟體更新相關的管理。
●管理員可以確定哪些功能可用於終端使用者配置。
●當無法使用域登入指令碼時,管理員可以在連線和斷開連線時觸發終端指令碼。
●管理員可以完全自定義和本地化終端使用者可見消息。
配置檔案編輯器

●可以直接從思科自適應安全裝置管理器(ASDM)自定義AnyConnect策略。
診斷

●裝置上的統計資訊和日誌記錄資訊可用。
●可以在裝置上檢視日誌。
●日誌可以輕鬆地通過電子郵件傳送給思科或管理員進行分析。

聯邦資訊處理標準(FIPS)

● FIPS 140-2 2級相容(平台、功能和版本限制適用)
安全移動性和網路可視性
Web安全整合
(需要雲網路安全許可證)

●使用雲網路安全(Cloud Web Security)(全球最大的軟體即服務(SaaS)網路安全提供商)將惡意軟體隔離於公司網路之外,並控制和保護員工的Web使用。
●支援雲託管配置和動態載入。
●通過支援基於雲的服務以及基於內部部署的服務,為組織提供靈活性和選擇。
●與網路安全裝置整合。
●支援可信網路檢測。
●在每個事務中實施安全策略,與使用者位置無關。
●要求始終處於開啟狀態的高度安全網路連線,並且策略允許或拒絕在訪問不可用時的網路連線。
●檢測熱點和強制網路門戶。
網路能見度模組
(需要Apex許可證)

●通過監控應用程式使用情況發現潛在的行為異常。
●允許做出更明智的網路設計決策。
●可與越來越多的支援Internet協定流資訊匯出(IPFIX)的網路分析工具共用使用資料。
面向終端的高級惡意軟體防護(AMP)啟用程式
(面向終端的AMP需單獨許可)

●通過分發和啟用面向終端的CiscoAMP,簡化對AnyConnect終端的威脅服務啟用。
●將終端威脅服務擴展到遠端終端,增加終端威脅覆蓋範圍。
●提供更主動的保護,以進一步確保在遠端終端快速緩解攻擊。
廣泛的作業系統支援

● Windows 10、8.1、8和7
● Mac OS X 10.8及更高版本
網路存取管理員和802.1X
媒體支援

●乙太網路(IEEE 802.3)
● Wi-Fi(IEEE 802.11a/b/g/n)
網路身份驗證

● IEEE 802.1X-2001、802.1X-2004和802.1X-2010
●使企業能夠部署單個802.1X身份驗證框架來訪問有線和無線網路。
●管理高度安全訪問所需的使用者和裝置身份以及網路訪問協定。
●最佳化連線到思科統一有線和無線網路的使用者體驗。
可擴展身份驗證協定(EAP)方法

● EAP — 傳輸層安全(TLS)
●EAP保護的可擴展身份驗證協定(PEAP)具有以下內部方法:
- EAP-TLS
- EAP-MSCHAPv2
- EAP — 通用令牌卡(GTC)
●EAP — 通過安全隧道(FAST)進行靈活身份驗證,採用以下內部方法:
- EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
●EAP隧道TLS(TTLS)使用以下內部方法:
— 密碼驗證通訊協定(PAP)。
— 質詢握手身份驗證協定(CHAP)。
- Microsoft CHAP(MSCHAP)。
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
●輕量EAP(LEAP),僅Wi-Fi
● EAP-Message Digest 5(MD5),已配置管理,僅乙太網
● EAP-MSCHAPv2,已配置管理,僅乙太網
● EAP-GTC,已配置管理,僅乙太網
無線加密方法(需要相應的802.11 NIC支援)

● Open
●有線等效保密(WEP)
●動態WEP
● Wi-Fi保護存取(WPA)企業版
● WPA2企業版
● WPA個人(WPA-PSK)
● WPA2個人(WPA2-PSK)
● CCKM(需要Cisco CB21AG無線網絡卡)
無線加密協定

●用進階加密標準(AES)演演算法的密碼塊鏈結訊息驗證碼通訊協定(CCMP)的計數器模式
●使用Rivest Cipher 4(RC4)串流密碼的時間金鑰完整性通訊協定(TKIP)
會話恢復

●用EAP-TLS、EAP-FAST、EAP-PEAP和EAP-TTLS的RFC2716(EAP-TLS)會話恢復
● EAP-FAST無狀態作業階段恢復
● PMK-ID快取(主動金鑰快取或機會金鑰快取),僅Windows XP
乙太網路加密

● Media Access Control:IEEE 802.1AE(MACsec)
●金鑰管理:MACsec金鑰協定(MKA)
●定義有線乙太網上的安全基礎設施,以提供資料機密性、資料完整性和資料來源驗證。
●保護網路受信任元件之間的通訊。
一次一個連線

●僅允許到網路的單一連線,斷開所有其他連線。
●介面卡之間沒有橋接。
●乙太網連線自動優先。
複雜的伺服器驗證

●支援「結尾為」和「完全匹配」規則。
●對於沒有名稱通用性的伺服器,支援超過30個規則。
EAP-Chaining(EAP-FASTv2)

●根據企業資產和非企業資產區分訪問許可權。
●在單個EAP事務中驗證使用者和裝置。
企業連線執行(ECE)

●幫助確保使用者僅連線到正確的公司網路。
●防止使用者在辦公室內連線到第三方接入點上網。
●阻止使用者建立對訪客網路的訪問許可權。
●消除繁瑣的黑名單。
下一代加密(套件B)

●支援最新的加密標準。
●橢圓曲線Diffie-Hellman金鑰交換
●橢圓曲線數位簽章演算法(ECDSA)證書
憑據型別

●互動式使用者密碼或Windows密碼
● RSA SecurID令牌
●一次性密碼(OTP)令牌
●智慧卡(Axalto、Gemplus、SafeNet iKey、Alladin)。
● X.509憑證。
●橢圓曲線數位簽章演算法(ECDSA)證書。
遠端案頭支援

●使用遠端案頭協定(RDP)時向本地網路驗證遠端使用者憑據。
支援的作業系統

● Windows 10、8.1、8和7

這份文件是否有所幫助?

Feedback意見

讓思科協助您