Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
第
6
章
配置终端安全评估
AnyConnect 安全移动客户端提供 ASA 终端安全评估模块和 ISE 终端安全评估模块。 这两个模块都
为 Cisco AnyConnect 安全移动客户端提供了评估终端在以下方面是否合规的功能,例如主机上所安
装的防病毒、反间谍软件以及防火墙软件。 您可以限制网络访问权限直至终端合规,或者提高本
地用户的权限,使其可以制定补救措施。
为 Cisco AnyConnect 安全移动客户端提供了评估终端在以下方面是否合规的功能,例如主机上所安
装的防病毒、反间谍软件以及防火墙软件。 您可以限制网络访问权限直至终端合规,或者提高本
地用户的权限,使其可以制定补救措施。
ASA 终端安全评估与 hostscan_version.pkg 捆绑在一起,后者是一款收集主机上安装了哪些操作系
统、防病毒、反间谍软件和软件信息的应用。 AnyConnect 4.0 提供 ISE 终端安全评估,因此您可以
在访问 ISE 控制的网络时部署一个客户端,而不必部署 AnyConnect 和 NAC 代理。 ISE 终端安全评
估是一个模块,可选作额外的安全组件安装到 AnyConnect 产品中(就像网络安全、网络访问管理
器等)。 HostScan 过去包含在 AnyConnect 捆绑包 4.0 版之前的版本中,但现在用户需要单独安装。
统、防病毒、反间谍软件和软件信息的应用。 AnyConnect 4.0 提供 ISE 终端安全评估,因此您可以
在访问 ISE 控制的网络时部署一个客户端,而不必部署 AnyConnect 和 NAC 代理。 ISE 终端安全评
估是一个模块,可选作额外的安全组件安装到 AnyConnect 产品中(就像网络安全、网络访问管理
器等)。 HostScan 过去包含在 AnyConnect 捆绑包 4.0 版之前的版本中,但现在用户需要单独安装。
ISE 终端安全评估可执行客户端评估。 客户端从头端获得终端安全评估要求策略、执行终端安全评
估数据收集、将结果与策略进行比较,并将评估结果发送回头端。 尽管 ISE 实际确定终端是否合
规,但它依赖终端自己的策略评估结果。
估数据收集、将结果与策略进行比较,并将评估结果发送回头端。 尽管 ISE 实际确定终端是否合
规,但它依赖终端自己的策略评估结果。
相反,HostScan 将执行服务器端评估,其中 ASA 仅请求终端属性(例如操作系统、IP 地址、注册
表项、本地证书和文件名)的列表,而且这些属性由 HostScan 返回。 根据策略评估的结果,您可
以控制哪些主机可获准与安全设备建立远程访问连接。
表项、本地证书和文件名)的列表,而且这些属性由 HostScan 返回。 根据策略评估的结果,您可
以控制哪些主机可获准与安全设备建立远程访问连接。
建议不要将 HostScan 与 ESS 终端安全评估代理混合使用,因为两种不同的终端安全评估代理运
行时会造成出乎意料的结果。
行时会造成出乎意料的结果。
注
释
释
以下是 HostScan 支持而 ISE 终端安全评估不支持的终端安全评估检查:
• 主机名
• IP 地址
• MAC 地址
• 端口号
• OPSWAT 版本
• BIOS 序列号
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
163