Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet

Always-On을 활성화할 때는 다음 AnyConnect 옵션도 고려해야 합니다.

• 사용자의 Always-On VPN 세션 연결 끊기 허용: AnyConnect는 사용자에게 Always-On VPN 세션

연결 끊기 기능을 제공합니다. Allow VPN Disconnect(VPN 연결 끊기 허용)를 활성화하면 VPN
세션을 설정하는 즉시 AnyConnect에 Disconnect(연결 끊기) 버튼이 표시됩니다. 기본적으로
Always-On VPN을 활성화하면 프로파일 편집기에서 Disconnect(연결 끊기) 버튼을 활성화할 수
있습니다.

Disconnect(연결 끊기) 버튼을 누르면 모든 인터페이스가 잠기므로 데이터 유출이 방지되고 VPN
세션 설정을 제외한 인터넷 액세스로부터 컴퓨터가 보호됩니다. Always-On VPN 세션 사용자는
Disconnect(연결 끊기)를 클릭하여 현재 VPN 세션의 성능 문제 또는 VPN 세션 중단 이후의 재연
결 문제 발생 시 사용할 대체 보안 게이트웨이를 선택할 수 있습니다.

• 연결 실패 정책 설정: 연결 실패 정책은 Always-On VPN이 활성화되어 있는데 AnyConnect에서

VPN 세션을 설정할 수 없는 경우 컴퓨터가 인터넷에 액세스 가능한지를 결정합니다. 을 참조하
십시오.

• 종속 포털 핫스팟 처리:

을 참조하십시오.

Always-On VPN 제한 사항

• Always-On이 활성화되어 있지만 사용자가 로그온하지 않은 경우, AnyConnect에서 VPN 연결을

설정하지 않습니다. AnyConnect는 로그인 후에 VPN 연결을 시작합니다.

• Always-On VPN은 프록시를 통한 연결을 지원하지 않습니다.

Always-On VPN 지침

위협에 대한 보호를 강화하기 위해 Always-On VPN을 구성하는 경우에는 다음과 같이 추가적인 보호
수단을 사용하는 것이 좋습니다.

• CA(Certificate Authority, 인증 기관)로부터 디지털 인증서를 구매하고 보안 게이트웨이에 등록

할 것을 적극 권장합니다. ASDM은 Configuration(구성) > Remote Access VPN(원격 액세스 VPN)
> Certificate Management(인증서 관리) > Identity Certificates(ID 인증서) 패널에서 Enroll ASA

SSL VPN with Entrust(Entrust를 통해 ASA SSL VPN 등록) 버튼을 제공하여 공용 인증서를 편
리하게 등록하도록 해줍니다.

• 미리 정의된 ASA에만 연결하도록 Always-On 이 구성되어 있는 프로파일을 엔드포인트에 대해

사전 구축합니다. 사전 구축은 Rogue 서버와의 접속을 방지합니다.

• 사용자가 프로세스를 종료할 수 없도록 관리자 권한을 제한합니다. 관리자 권한이 있는 PC 사용

자는 에이전트를 중지하여 Always-On 정책을 우회할 수 있습니다. Always-On의 보안을 완전히
유지하려는 경우, 사용자에 대한 로컬 관리자 권한을 거부해야 합니다.

• Windows 컴퓨터의 Cisco 하위 폴더, 일반적으로 C:\ProgramData로 액세스를 제한합니다.

• 제한된 권한 또는 표준 권한이 있는 사용자는 종종 프로그램 데이터 폴더에 대한 쓰기 액세스

권한을 가질 수 있습니다. 사용자는 이 액세스 권한을 사용하여 AnyConnect 프로파일 파일을 삭
제하는 방법으로 Always-On 기능을 우회할 수 있습니다.

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1

VPN 액세스 구성

Always-On을 사용하는 VPN 연결 필요