Cisco Cisco AnyConnect Secure Mobility Client v4.x 管理员指南
• 在 Windows 单机模式下,选择 Start > All Programs > Cisco > Cisco AnyConnect Profile Editor
> Web Security Profile Editor。
步骤 2 打开要编辑的网络安全客户端配置文件。
步骤 3 点击 Authentication。
步骤 4 在 Proxy Authentication License Key 字段中,输入与在 Cisco ScanCenter 中创建的公司密钥、组密
钥或用户密钥对应的许可证密钥。 要根据用户的企业域对用户进行身份验证,请输入您创建的公司
密钥。 要根据用户的 Cisco ScanCenter 或 Active Directory 组对用户进行身份验证,请输入您创建的
组密钥。 该标记默认为空。 如果将其留空,网络安全以直通模式运行。
密钥。 要根据用户的 Cisco ScanCenter 或 Active Directory 组对用户进行身份验证,请输入您创建的
组密钥。 该标记默认为空。 如果将其留空,网络安全以直通模式运行。
步骤 5 输入 Service Password。 网络安全的默认密码是 websecurity。 请在定制配置文件时更改此密码。 密
码只能包含字母数字字符(a-z、A-Z、0-9)和以下特殊字符,因为其他字符可能被 Windows 命令外
壳误认为控制字符或在 XML 中有特殊意义。
壳误认为控制字符或在 XML 中有特殊意义。
~ @ # $ % * - _ + = { } [ ] : , . ? /
使用此密码时,具有管理员权限的用户可以停止网络安全服务。 无论是否具有管理员权限,用户都
可以在不提供此密码的情况下启动网络安全服务。
可以在不提供此密码的情况下启动网络安全服务。
步骤 6 随每个 HTTP 请求发送扫描代理服务器企业域信息和思科云网络安全或 Active Directory 组信息。 扫
描代理根据其对用户域和组成员身份的了解应用流量过滤规则。
要将用户的定制用户名和定制组信息发送到扫描服务器代理,请跳过此步骤并转到步骤 7。
如果企业不使用 Active Directory,也请跳到步骤 7。
如果企业不使用 Active Directory,也请跳到步骤 7。
注释
a)
点击 Enable Enterprise Domains。 在列表中,点击 All Domains。 当选择 All Domains 选项并且
计算机在域中时,则将匹配用户所属的域,并且将用户名和组成员身份信息发送到思科云网络安
全扫描代理。 此选项适用于具有多个域的公司。
计算机在域中时,则将匹配用户所属的域,并且将用户名和组成员身份信息发送到思科云网络安
全扫描代理。 此选项适用于具有多个域的公司。
b)
或者,点击 Specify Individual Domains。
以 NetBIOS 格式输入每个域名,然后点击 Add。 例如,
以 NetBIOS 格式输入每个域名,然后点击 Add。 例如,
example.cisco.com
的 NetBIOS 格式是
cisco。 使用 DNS 格式,请不要输入域:abc.def.com。
如果在 Enterprise Domain name 字段中指定域名,思科云网络安全会识别当前登录的 Active Directory
用户、枚举该用户的 Active Directory 组,并将该信息随每个请求发送到扫描代理。
用户、枚举该用户的 Active Directory 组,并将该信息随每个请求发送到扫描代理。
c)
在 Use 列表中,点击 Group Include List 或 Group Exclude List,以在发送到思科云网络安全扫
描代理的 HTTP 请求中包含或排除组信息。 值可以是要匹配的字符串的任何子字符串。
Group Include List。 选择 Group Include List 之后,将思科云网络安全或 Active Directory 组名
称添加到 Group Include List 中。 这些组名称将随 HTTP 请求发送到思科云网络安全扫描代理服
务器。 如果请求来自指定企业域中的用户,将根据用户的组成员身份对 HTTP 请求进行过滤。
如果用户没有组成员身份,将使用一组默认的规则对 HTTP 请求进行过滤。
描代理的 HTTP 请求中包含或排除组信息。 值可以是要匹配的字符串的任何子字符串。
Group Include List。 选择 Group Include List 之后,将思科云网络安全或 Active Directory 组名
称添加到 Group Include List 中。 这些组名称将随 HTTP 请求发送到思科云网络安全扫描代理服
务器。 如果请求来自指定企业域中的用户,将根据用户的组成员身份对 HTTP 请求进行过滤。
如果用户没有组成员身份,将使用一组默认的规则对 HTTP 请求进行过滤。
Group Exclude List. 将思科云网络安全或 Active Directory 组名称添加到 Group Exclude List。 这
些组名不发送到 HTTP 请求的思科云网络安全扫描代理服务器。 如果用户属于 Group Exclude List
中的一个组,该组名称不会发送到扫描代理服务器,并将根据其他组成员身份或至少根据一组默
认过滤规则对用户的 HTTP 请求进行过滤,该组规则为没有 Active Directory 或思科云网络安全组
附属关系的用户进行定义。
些组名不发送到 HTTP 请求的思科云网络安全扫描代理服务器。 如果用户属于 Group Exclude List
中的一个组,该组名称不会发送到扫描代理服务器,并将根据其他组成员身份或至少根据一组默
认过滤规则对用户的 HTTP 请求进行过滤,该组规则为没有 Active Directory 或思科云网络安全组
附属关系的用户进行定义。
步骤 7 点击 Custom matching and reporting for machines not joined to domains 可发送扫描代理服务器定制
名称。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
188
配置网络安全
配置身份验证和将组成员身份发送到思科云网络安全代理