Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
书无法由证书颁发机构验证),抑或同时出现上述两种情况,则连接将被阻止。 此时将显示一条阻
止消息,用户必须选择如何处理。
止消息,用户必须选择如何处理。
Block Untrusted Servers(阻止不受信任的服务器)应用设置决定 AnyConnect 在无法识别安全网关
时的响应方式。 默认情况下开启此保护;用户可关闭此保护,但不建议这样做。
时的响应方式。 默认情况下开启此保护;用户可关闭此保护,但不建议这样做。
当 Block Untrusted Servers(阻止不受信任的服务器)开启后,将向用户显示一条 Untrusted VPN
Server(不受信任的 VPN 服务器)阻止通知,告知此安全威胁。 用户可选择:
Server(不受信任的 VPN 服务器)阻止通知,告知此安全威胁。 用户可选择:
• Keep Me Safe(保持我的安全状态)以终止此连接,保持安全。
• Change Settings(更改设置)以关闭“Block Untrusted Servers(阻止不受信任的服务器)”应
用首选项,但不建议这样做。 禁用此安全保护功能后,用户必须重新初始化 VPN 连接。
当 Block Untrusted Servers(阻止不受信任的服务器)关闭后,将向用户显示一条 Untrusted VPN
Server(不受信任的 VPN 服务器)取消阻止通知,告知此安全威胁。 用户可选择:
Server(不受信任的 VPN 服务器)取消阻止通知,告知此安全威胁。 用户可选择:
• Cancel(取消)以取消连接并保持安全。
• Continue(继续)以继续连接,但不建议这样做。
• View Details(查看详细信息)以查看证书详细信息,更直观地判断证书的可接受性。
如果用户正在查看的证书有效但不受信任,则用户可以:
选择 Import and Continue(导入并继续)将服务器证书导入 AnyConnect 证书存储区供以
后使用,并继续连接。
后使用,并继续连接。
当此证书导入 AnyConnect 存储区后,使用此数字证书与服务器建立的后续连接将被自动
接受。
接受。
返回上一屏幕并选择 Cancel(取消)或 Continue(继续)。
如果证书因任何原因无效,用户只能返回上一屏幕并选择 Cancel(取消)或Continue(继续)。
最安全的网络 VPN 连接配置是:开启“Block Untrusted Servers(阻止不受信任的服务器)”设置,
在安全网关上配置有效、受信任的服务器证书,并指示移动用户始终选择“Keep Me Safe(保持我
的安全状态)”。
在安全网关上配置有效、受信任的服务器证书,并指示移动用户始终选择“Keep Me Safe(保持我
的安全状态)”。
移动设备上的客户端身份验证
要完成 VPN 连接,用户必须提供用户名和密码、数字证书或这两种形式的凭证进行身份验证。 管
理员可以定义隧道组上的身份验证方法。 为了保证在移动设备上提供最佳用户体验,思科建议根据
身份验证配置情况使用多个 AnyConnect 连接配置文件。 您必须确定平衡用户体验和安全的最佳方
法。 我们的建议如下:
理员可以定义隧道组上的身份验证方法。 为了保证在移动设备上提供最佳用户体验,思科建议根据
身份验证配置情况使用多个 AnyConnect 连接配置文件。 您必须确定平衡用户体验和安全的最佳方
法。 我们的建议如下:
• 对于移动设备的基于 AAA 的身份验证隧道组,组策略应有很长的空闲超时,例如 24 小时,以
让客户端在无需用户重新进行身份验证的情况下即可保持重新连接状态。
• 要实现最透明的最终用户体验,请使用仅证书身份验证。 如果使用数字证书,则无需用户交互
即可建立 VPN 连接。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
207
移动设备上的 AnyConnect
移动设备上的客户端身份验证