Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
需要使用永远在线的 VPN 连接
关于 永远在线 VPN
除非 VPN 会话处于活动状态,否则计算机不在受信任网络中时,永远在线 操作将阻止对互联网资
源的访问。 在此情况下,始终将 VPN 设置为开启可保护计算机免受安全威胁。
源的访问。 在此情况下,始终将 VPN 设置为开启可保护计算机免受安全威胁。
启用了 永远在线 时,它在用户登录并检测到不受信任网络后自动建立 VPN 会话。 VPN 会话保持打
开状态,直到用户从计算机中注销,或者会话计时器或空闲会话计时器(在 ASA组策略中指定)到
期为止。 AnyConnect 连续尝试重新建立连接以重新激活会话(如果它仍然打开);否则,它连续尝
试建立新 VPN 会话。
开状态,直到用户从计算机中注销,或者会话计时器或空闲会话计时器(在 ASA组策略中指定)到
期为止。 AnyConnect 连续尝试重新建立连接以重新激活会话(如果它仍然打开);否则,它连续尝
试建立新 VPN 会话。
在 VPN 配置文件中启用了 永远在线 时,AnyConnect 可通过删除其他任何下载的 AnyConnect 配置
文件并忽略配置来连接到 ASA 的所有公共代理来保护终端。
文件并忽略配置来连接到 ASA 的所有公共代理来保护终端。
启用 永远在线 时,还需要考虑以下 AnyConnect 选项:
• 允许用户将 永远在线 VPN 会话断开连接:AnyConnect 使用户可以将 永远在线 VPN 会话断开
连接。 如果启用 Allow VPN Disconnect(允许 VPN 断开连接),则 AnyConnect 在 VPN 会话
建立后显示 Disconnect(断开连接)按钮。 默认情况下,启用了 永远在线 VPN 时,配置文件
编辑器启用 Disconnect(断开连接)按钮。
建立后显示 Disconnect(断开连接)按钮。 默认情况下,启用了 永远在线 VPN 时,配置文件
编辑器启用 Disconnect(断开连接)按钮。
按 Disconnect(断开连接)按钮将锁定所有接口以防止数据泄漏以及保护计算机免受互联网访
问(除非为了建立 VPN 会话)。 永远在线 VPN 会话的用户可能希望点击 Disconnect(断开连
接),这样,在当前 VPN 会话出现性能问题或 VPN 会话中断后的重新连接问题时,他们可以
选择备用安全网关。
问(除非为了建立 VPN 会话)。 永远在线 VPN 会话的用户可能希望点击 Disconnect(断开连
接),这样,在当前 VPN 会话出现性能问题或 VPN 会话中断后的重新连接问题时,他们可以
选择备用安全网关。
• 设置连接失败策略:如果 永远在线 VPN 已启用且 AnyConnect 无法建立 VPN 会话,则连接失
败策略确定计算机是否可以访问互联网。 请参阅
设置连接失败策略
。
• 处理强制网络门户热点:请参阅
。
永远在线 VPN 的限制
• 如果启用了 永远在线,但用户没有登录,则 AnyConnect 不建立 VPN 连接。 AnyConnect 仅在
登录后启动 VPN 连接。
• 永远在线 VPN 不支持通过代理进行连接。
永远在线 VPN 指南
为增强威胁防范,如果您配置了 永远在线 VPN,我们建议采取以下额外保护措施:
• 我们强烈建议从证书颁发机构 (CA) 购买数字证书并在安全网关上注册。 ASDM 在 Configuration
(配置)> Remote Access VPN(远程访问 VPN)> Certificate Management(证书管理)>
Identity Certificates(身份证书)面板上提供一个 Enroll ASA SSL VPN with Entrust(委托注
册 ASA SSL VPN)按钮,以方便公共证书注册。
Identity Certificates(身份证书)面板上提供一个 Enroll ASA SSL VPN with Entrust(委托注
册 ASA SSL VPN)按钮,以方便公共证书注册。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
99
配置 VPN 接入
需要使用永远在线的 VPN 连接