Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
按 Disconnect 按钮将锁定所有接口以防止数据泄漏以及保护计算机免受互联网访问(除非为了
建立 VPN 会话)。 永远在线 VPN 会话的用户可能希望点击 Disconnect,这样,在当前 VPN
会话出现性能问题或 VPN 会话中断后的重新连接问题时,他们可以选择备用安全网关。
建立 VPN 会话)。 永远在线 VPN 会话的用户可能希望点击 Disconnect,这样,在当前 VPN
会话出现性能问题或 VPN 会话中断后的重新连接问题时,他们可以选择备用安全网关。
• 设置连接失败策略:如果 永远在线 VPN 已启用且 AnyConnect 无法建立 VPN 会话,则连接失
败策略确定计算机是否可以访问互联网。 请参阅
设置连接失败策略
。
• 处理强制网络门户热点:请参阅
。
永远在线 VPN 的限制
• 如果启用了 永远在线,但用户没有登录,则 AnyConnect 不建立 VPN 连接。 AnyConnect 仅在
登录后启动 VPN 连接。
• 永远在线 VPN 不支持通过代理进行连接。
永远在线 VPN 指南
为增强威胁防范,如果您配置了 永远在线 VPN,我们建议采取以下额外保护措施:
• 我们强烈建议从证书颁发机构 (CA) 购买数字证书并在安全网关上注册。 ASDM 在 Configuration
> Remote Access VPN > Certificate Management > Identity Certificates 面板上提供一个 Enroll
ASA SSL VPN with Entrust 按钮,以方便公共证书注册。
• 向终端预部署一个配置有 永远在线 的配置文件,以限制只能连接到预定义的 ASA。 预部署可
以防止与欺诈服务器联系。
• 限制管理员权限,以便用户无法终止进程。 具有管理权限的 PC 用户可以通过停止代理而忽略
永远在线 策略。 如果想要确保 永远在线 绝对安全,您必须拒绝给用户分配本地管理权限。
• 限制对 Windows 计算机上思科子文件夹的访问,通常是 C:\ProgramData。
• 具有有限或标准权限的用户有时可能对其程序数据文件夹具有写访问权限。 他们可以利用这种
访问权限删除 AnyConnect 配置文件,从而避开 永远在线 功能。
• 为 Windows 用户预部署一个组策略对象 (GPO),以防止具有有限权限的用户终止 GUI。 为 Mac
OS 用户预部署相应的措施。
配置 永远在线 VPN
过程
步骤 1
步骤 2 (可选)
步骤 3 (可选)
。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
99
配置 VPN 接入
需要使用 永远在线 的 VPN 连接