Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
• 在 Windows 单机模式下,选择开始 > 所有程序 > Cisco > Cisco AnyConnect Profile Editor(Cisco
AnyConnect 配置文件编辑器) > Web Security Profile Editor(网络安全配置文件编辑器)。
步骤 2 打开要编辑的网络安全客户端配置文件。
步骤 3 在 Traffic Listen Port(流量侦听端口)字段中,输入要让网络安全模块“侦听”HTTP 流量和/或
HTTPS 流量的逻辑端口号。
步骤 4 保存网络安全客户端配置文件。
从 Web 扫描服务排除终端流量
要从思科云网络安全扫描中排除特定网络流量,请使用网络安全配置文件编辑器配置该流量的例外。
可配置以下几种类别的例外:
可配置以下几种类别的例外:
• 主机例外或包含 - 此处列出的内部子网和公共网站从扫描中排除,或明确配置为待扫描。 请注
意,AnyConnect 仍可以截取在“主机例外”中列出的流量。
• 代理例外 - 此处列出的内部代理服务器从扫描中排除。
• 静态例外 - 此处列出的 IP 地址从扫描中排除,也被 AnyConnect 排除。
ISE 服务器要求
ISE 服务器必须始终列在静态例外列表中,该列表在网络安全客户端配置文件的 Exceptions(例外)
窗格中配置。 此外,网络安全模块必须绕过 ISE 终端安全评估探测,以使 ISE 终端安全评估客户端
可访问 ISE 服务器。 ISE 终端安全评估配置文件发送网络探头以查找 ISE 服务器,顺序如下:
窗格中配置。 此外,网络安全模块必须绕过 ISE 终端安全评估探测,以使 ISE 终端安全评估客户端
可访问 ISE 服务器。 ISE 终端安全评估配置文件发送网络探头以查找 ISE 服务器,顺序如下:
1
默认网关
2
发现主机
3
enroll.cisco.com
4
以前连接过的 ISE 服务器
排除或包含主机例外
在主机例外列表中,添加要绕过思科云网络安全的内部子网和所有公用网站。
开始之前
• HTTPS 的主机例外必须采用 IP 格式。 主机名将无法工作,因为在 HTTPS 通信中,主机名会
加密。
• 勿在顶级域的两端使用通配符(如 *.cisco.*),因为这可能包括网络钓鱼网站。
• 勿删除或更改任何默认主机例外条目。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
182
配置网络安全
从 Web 扫描服务排除终端流量