Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
• 在以下操作系统上受支持:Windows 7 或更高版本、Mac OS X 10.7 或更高版本、Red Hat
Enterprise Linux 6.x 或 6.4(64 位),以及 Ubuntu 12.4 和 12.10(64 位)。 ECDSA 智能
卡仅在 Windows 7 中受支持。
卡仅在 Windows 7 中受支持。
AnyConnect FIPS 的限制
• AnyConnect 不支持 TLS/DTLS、SRTP 和 SSH Suite B。
• 在验证使用 SHA-2 签署的证书时,除了在基于 TLS 的 EAP 中,没有 EAP 方法支持 SHA-2。
• 不支持 TLS v1.2 握手。
• 不支持 TLS v1.2 证书身份验证。
AnyConnect FIPS 指南
• AnyConnect 客户端的 Statistics(统计信息)面板(在 Transport Information(传输信息)标题
下)显示正在使用的密码名称。
• 由于 AES-GCM 是计算密集型的算法,使用这些算法时您可能会体验到整体数据速率降低。 一
些新的英特尔处理器特别引入了特殊指令来改善 AES-GCM 性能。 AnyConnect 会自动检测正
在运行的处理器是否支持这些新指令。 若支持,AnyConnect 将使用新指令,从而相对于那些
没有特殊指令的处理器来说,可以显著提高 VPN 数据速率。 请参阅
在运行的处理器是否支持这些新指令。 若支持,AnyConnect 将使用新指令,从而相对于那些
没有特殊指令的处理器来说,可以显著提高 VPN 数据速率。 请参阅
,了解支持新指令的处理器列表。 有关详细信息,请参阅
。
• 组合模式加密算法(它在一次操作中同时执行加密和完整性验证)仅在具有硬件加密加速的
SMP ASA 网关(例如 5585 和 5515-X)上受支持。 AES-GCM 是思科支持的组合模式加密算
法。
法。
IKEv2 策略既可以包含普通模式加密算法,也可以包含组合模式加密算法,但不
能同时包含这两种类型。 当组合模式算法配置在 IKEv2 策略中时,所有普通模
式算法都被禁用,因此唯一有效的完整性算法为 NULL。
能同时包含这两种类型。 当组合模式算法配置在 IKEv2 策略中时,所有普通模
式算法都被禁用,因此唯一有效的完整性算法为 NULL。
IKEv2 IPsec 提议使用其他模型,可以在同一提议中同时指定普通模式和组合模
式加密算法。 对于这种用法,您需要为这两种算法都配置完整性算法,给
式加密算法。 对于这种用法,您需要为这两种算法都配置完整性算法,给
AES-GCM 加密算法配置的是非 NULL 完整性算法。
注释
• 当 ASA 配置为对 SSL 和 IPsec 使用不同服务器证书时,请使用受信任证书。 如果使用具有不
同 IPsec 和 SSL 证书的 Suite B (ECDSA) 不受信任证书,就会出现 Posture Assessment(终端安
全评估)、WebLaunch(Web 启动)或 Downloader(下载程序)故障。
全评估)、WebLaunch(Web 启动)或 Downloader(下载程序)故障。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
199
在本地策略中启用 FIPS
AnyConnect FIPS 的限制