Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
• 阻止或允许应用运行。
• 阻止或打开端口。
并非所有个人防火墙都支持此功能。
注释
如果最终用户在成功建立VPN连接后禁用防病毒或个人防火墙,我们的高级终端评估功能会在大约
60 秒内尝试重新启用该应用。
60 秒内尝试重新启用该应用。
为 HostScan 配置防病毒应用
在安装 ASA 终端安全评估模块或 HostScan 之前,将防病毒软件配置到“白名单”中或者将以下这
些应用归为安全例项。 防病毒应用可能会将这些应用的行为误判为恶意行为。
些应用归为安全例项。 防病毒应用可能会将这些应用的行为误判为恶意行为。
• cscan.exe
• ciscod.exe
• cstub.exe
与动态访问策略集成
ASA 将 HostScan 功能集成到动态访问策略 (DAP) 中。 根据配置,ASA 将一个或多个终端属性值与
可选 AAA 属性值组合作为分配 DAP 的条件。 DAP 的终端属性支持的 HostScan 功能包括操作系统
检测、策略、基本结果和终端评估。
可选 AAA 属性值组合作为分配 DAP 的条件。 DAP 的终端属性支持的 HostScan 功能包括操作系统
检测、策略、基本结果和终端评估。
可以指定单个属性或组合多个属性来构成将 DAP 分配到会话所需的条件。 DAP 提供适用于终端
AAA 属性值级别的网络访问。 当满足所有已配置的终端条件后,ASA 应用 DAP。
AAA 属性值级别的网络访问。 当满足所有已配置的终端条件后,ASA 应用 DAP。
请参阅 Cisco ASA 系列 VPN ASDM 配置指南中的配置动态访问策略。
DAP 中的 BIOS 序列号
ASA 终端安全评估可以检索主机的 BIOS 序列号。 您可以使用动态访问策略 (DAP) 允许或阻止基于
该 BIOS 序列号建立到 ASA 的 VPN 连接。
该 BIOS 序列号建立到 ASA 的 VPN 连接。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
172
配置终端安全评估
与动态访问策略集成