Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
接下来的操作
请参阅 ScanCenter 管理员指南,版本 5.2 以获取更多信息。
使用安全值得信赖的网络检测
当终端通过物理方式或 VPN 连接方式接入企业局域网时,安全值得信赖的网络检测功能将进行检
测。 如果启用安全值得信赖的网络检测功能,源自企业局域网的任何网络流量均将避开思科云网络
安全扫描代理。 这类流量的安全将通过其他方式和位于企业局域网中的设备(而非思科云网络安
全)进行管理。
测。 如果启用安全值得信赖的网络检测功能,源自企业局域网的任何网络流量均将避开思科云网络
安全扫描代理。 这类流量的安全将通过其他方式和位于企业局域网中的设备(而非思科云网络安
全)进行管理。
安全值得信赖的网络检测将使用已知 URL(地址、IP 或 FQDN)的服务器上 SSL 证书的 SHA-256
哈希值(拇指指纹)验证客户端是否连接到企业网络。 证书可采用各种加密算法,但只能使用
哈希值(拇指指纹)验证客户端是否连接到企业网络。 证书可采用各种加密算法,但只能使用
SHA-256 哈希值。
如果您选择不使用安全值得信赖的网络检测,且网络中存在代理(例如思科云网络安全连接器),
则必须在配置文件编辑器中,将每个代理添加到 Exceptions(例外)面板的代理例外列表中。
则必须在配置文件编辑器中,将每个代理添加到 Exceptions(例外)面板的代理例外列表中。
多个服务器:如果您定义一台以上的服务器,客户端在连续两次尝试后仍无法连接到第一台服务器
时将尝试连接到第二台服务器。 尝试连接列表中的所有服务器之后,客户端将等待五分钟,然后再
次尝试连接第一台服务器。
时将尝试连接到第二台服务器。 尝试连接列表中的所有服务器之后,客户端将等待五分钟,然后再
次尝试连接第一台服务器。
当安全值得信赖的网络检测在内部网络以外运行时,它将发出 DNS 请求,并尝试与您调配的
HTTPS 服务器通信。 思科强烈建议使用别名,以确保在内部网络以外使用的机器不会因这些请
求而泄露您组织的名称和内部结构。
HTTPS 服务器通信。 思科强烈建议使用别名,以确保在内部网络以外使用的机器不会因这些请
求而泄露您组织的名称和内部结构。
注释
开始之前
•
• 对防数据丢失 (DLP) 设备等这类要求流量不受网络安全影响的第三方解决方案而言,您必须配
置安全值得信赖的网络检测功能。
• 编辑配置文件时,请确保您与托管 SSL 证书的服务器建立了直接连接。
过程
步骤 1 使用以下方法之一启动网络安全配置文件编辑器:
• 打开 ASDM,选择 Configuration(配置) > Remote Access VPN(远程访问 VPN) > Network
(Client) Access(网络 (客户端) 访问) > AnyConnect Client Profile(AnyConnect 客户端配置
文件)。
文件)。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
186
配置网络安全
使用安全值得信赖的网络检测