Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
15-23
思科 ASA 系列命令参考,S 命令
第 15 章 shun 至 snmp-server user-list 命令
smart-tunnel list
如果
OS 与条目中指定的操作系统不匹配,会话将忽略列表条目。如果应用的路径不存在,它也
会忽略条目。
要查看
SSL VPN 配置中的智能隧道列表条目,请在特权 EXEC 模式下输入
show running-config webvpn smart-tunnel
命令。
path
必须与计算机上的路径匹配,但不一定要完整。例如,path 可以只包含可执行文件及其扩
展名。
智能隧道有以下要求:
•
生成智能隧道连接的远程主机必须运行
Microsoft Windows Vista、Windows XP 或 Windows
2000 的 32 位版本;或者 Mac OS 10.4 或 10.5。
•
使用智能隧道或端口转发的
Microsoft Windows Vista 的用户必须将 ASA 的 URL 添加到 “ 受
信任的站点 ” 区域。要访问 “ 受信任的站点 ” 区域,他们必须启动
Internet Explorer 并选
择 “ 工具 ”
>“Internet 选项 ”>“ 安全 ” 选项卡。Vista 用户也可以禁用受保护模式,以
简化智能隧道访问;但我们不建议这种方法,因为它会增大计算机受到攻击的风险。
•
必须为浏览器启用
Java、Microsoft ActiveX 或两者。
•
Mac OS 需要 Safari 3.1.1 或更高版本才可支持智能隧道。
在
Microsoft Windows 上,仅 Winsock 2、基于 TCP 的应用可用于智能隧道访问。
在
Mac OS 上,使用 TCP、动态链接到 SSL 库的应用可在智能隧道上运行。以下类型的应用无法
在智能隧道上运行:
•
使用
dlopen 或 dlsym 查找 libsocket 调用的应用
•
查找
libsocket 调用的静态链接应用
•
使用两级名称空间的
Mac OS 应用。
•
Mac OS 基于控制台的应用,如 Telnet、SSH 和 cURL。
•
Mac OS PowerPC 类型的应用。要确定 Mac OS 应用的类型,请右键点击其图标并选择 Get
Info(获取信息)。
Info(获取信息)。
在
Mac OS 上,只有从门户网站页面启动的应用才可建立智能隧道会话。此要求包括 Firefox 对智
能隧道的支持。第一次使用智能隧道时使用
Firefox 启动另一个 Firefox 实例需要名为 csco_st 的用
户配置文件。如果此用户配置文件不存在,会话将提示用户创建一个。
以下限制适用于智能隧道:
•
如果远程计算机需要代理服务器来连接
ASA,连接终端的 URL 必须在代理服务排除的 URL
列表中。在此配置中,智能隧道仅支持基本身份验证。
•
智能隧道自动登录功能仅支持在
Microsoft Windows 操作系统上使用 Microsoft WININET 库进
行
HTTP 和 HTTPS 通信的应用。例如,Microsoft Internet Explorer 使用 WININET 动态链接
库与网络服务器通信。
•
组策略或本地用户政策支持不超过一个适合智能隧道访问的应用列表和一个智能隧道自动登
录服务器列表。
录服务器列表。
•
状态故障切换不保留智能隧道连接。用户在故障切换后必须重新连接。
注
智能隧道访问突发问题可能表示:由于应用升级,
path
值不是最新的。例如,在生产应用的公司
被收购和应用升级后,应用的默认路径通常会改变。
输入
hash 可以合理保证无客户端 SSL VPN 不会允许与 path 中指定的字符串匹配的非法文件。由
于应用的每个版本或补丁具有不同的校验和,因此您输入的
hash 只能与远程主机上的一个版本或
补丁匹配。要为应用的多个版本指定
hash,请为每个版本输入一次 smart-tunnel list 命令,并且
输入相同的
list 字符串,但在每个命令中指定唯一的 application 字符串和唯一的 hash 值。