Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
第
6
章
配置终端安全评估
AnyConnect 安全移动客户端包含 ASA 终端安全评估模块和 ISE 终端安全评估模块。 这两个模块都
为 Cisco AnyConnect 安全移动客户端提供了评估终端在以下方面是否合规的功能:主机上所安装的
防病毒、反间谍软件以及防火墙软件。 您可以限制网络访问权限直至终端合规,或者提高本地用
户的权限,使其可以制定补救措施。
为 Cisco AnyConnect 安全移动客户端提供了评估终端在以下方面是否合规的功能:主机上所安装的
防病毒、反间谍软件以及防火墙软件。 您可以限制网络访问权限直至终端合规,或者提高本地用
户的权限,使其可以制定补救措施。
ASA 终端安全评估与 hostscan_version.pkg 捆绑在一起,后者是一款收集主机所安装的操作系统、
防病毒、反间谍软件和软件等信息的应用。 AnyConnect 4.0 包含 ISE 终端安全评估,因此您可以在
访问 ISE 控制的网络时部署一个客户端,不必同时部署 AnyConnect 和 NAC 代理。 ISE 终端安全评
估模块可作为额外的安全组件安装到 AnyConnect 产品中(就像网络安全、网络访问管理器等模块
一样)。 HostScan 过去包含在 AnyConnect 捆绑 4.0 版之前的版本中,但现在用户需要单独安装。
防病毒、反间谍软件和软件等信息的应用。 AnyConnect 4.0 包含 ISE 终端安全评估,因此您可以在
访问 ISE 控制的网络时部署一个客户端,不必同时部署 AnyConnect 和 NAC 代理。 ISE 终端安全评
估模块可作为额外的安全组件安装到 AnyConnect 产品中(就像网络安全、网络访问管理器等模块
一样)。 HostScan 过去包含在 AnyConnect 捆绑 4.0 版之前的版本中,但现在用户需要单独安装。
ISE 终端安全评估可执行客户端评估。 客户端从头端获得终端安全评估要求策略、执行终端安全评
估数据收集、将结果与策略进行比较,并将评估结果返回头端。 尽管 ISE 实际确定终端是否合规,
但它依赖终端自己的策略评估结果。
估数据收集、将结果与策略进行比较,并将评估结果返回头端。 尽管 ISE 实际确定终端是否合规,
但它依赖终端自己的策略评估结果。
相反,HostScan 将执行服务器端评估,其中 ASA 仅需要终端属性(例如操作系统、IP 地址、注册
表项、本地证书和文件名)的列表,而且这些属性由 HostScan 返回。 根据策略评估的结果,您可
以控制哪些主机可获准与安全设备建立远程访问连接。
表项、本地证书和文件名)的列表,而且这些属性由 HostScan 返回。 根据策略评估的结果,您可
以控制哪些主机可获准与安全设备建立远程访问连接。
以下是 HostScan 支持而 ISE 终端安全评估不支持的终端安全评估检查:
• 主机名
• IP 地址
• MAC 地址
• 端口号
• OPSWAT 版本
• BIOS 序列号
• 个人防火墙
• 包含校验和验证的文件检查
• 证书字段属性
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
163