Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide

为永远在线设置连接失败策略

关于连接失败策略

如果永远在线 VPN 已启用且 AnyConnect 无法建立 VPN 会话，连接失败策略会确定计算机是否可
以访问互联网。当安全网关无法访问，或者 AnyConnect 无法检测到强制网络门户热点的存在时，
就会出现这种情况。

开放策略允许完全网络访问，从而使用户可在需要访问互联网或其他本地网络资源时继续执行任务。

封闭策略在 VPN 会话建立前禁用所有网络连接。为此，AnyConnect 启用阻止来自终端（对于允许
计算机连接的安全网关不受限制）的所有流量的数据包过滤器。

尽管采用了连接失败策略，AnyConnect 仍会继续尝试建立 VPN 连接。

设置连接失败策略指南

使用允许完全网络访问的开放策略时，请考虑以下内容：

• 直到建立 VPN 会话之后，安全和保护才可用；因此，终端设备可能会受到基于 Web 的恶意软

件感染或者泄漏敏感数据。

• 如果启用了 Disconnect 按钮且用户点击 Disconnect，则打开连接失败策略不适用。

使用在建立 VPN 会话之前一直禁用所有网络连接的关闭策略时，请考虑以下内容：

• 如果用户需要 VPN 之外的互联网访问，则关闭策略会停止工作。

• 关闭策略旨在当保护终端的专用网络中的资源不可用时帮助保护企业资产免受网络威胁。终端

始终受到保护以免遭基于 Web 的恶意软件攻击和防止敏感数据泄漏，因为除拆分隧道允许的本
地资源（如打印机和外围设备）之外，所有网络访问都被阻止。

• 此选项主要用在网络访问的安全持久性比始终可用性更重要的企业中。

• 关闭策略会阻止强制网络门户补救，除非您专门启用它。

• 如果客户端配置文件中启用了 Apply Last VPN Local Resources，则您可以允许应用最新 VPN

会话实施的本地资源规则。例如，这些规则可以确定对活动同步和本地打印的访问权限。

• 若不顾关闭策略而启用了永远在线，则在 AnyConnect 软件升级期间，网络是畅通且开放的。

• 如果您部署关闭连接策略，我们强烈建议您采用分阶段方法。例如，首先利用连接失败打开策

略部署永远在线，并向用户调查 AnyConnect 不能无缝连接的频率。然后，在早期采用者用户
中部署连接失败关闭策略的一个小型试点部署，并征求他们的反馈。逐步扩展试点计划，同时
继续征求反馈，再考虑全面部署。部署连接失败关闭策略时，请确保向 VPN 用户告知网络访
问限制以及连接失败关闭策略的优点。

如果 AnyConnect 未能建立 VPN 会话，连接故障关闭策略会阻止网络访问。实
施连接故障关闭策略时要极度小心谨慎。

注意

Cisco AnyConnect 安全移动客户端管理员指南，4.1 版

102

配置 VPN 接入

需要使用永远在线的 VPN 连接