思科设置了移动安全的吧
组合始终在客户端,VPN /防火墙和Web安全网关可为移动终端用户的安全访问。
思科自1999年以来,AnyConnect一直是远程访问vpn的领导者,其最新发布的AnyConnect安全移动解决方案将使终端用户和网络管理人员都非常高兴,尽管存在一些困难。
该AnyConnect安全移动解决方案(思科无边界网络计划的一部分)由三种无缝集成的产品组成:AnyConnect安全移动客户端3.0、theASA自适应安全设备(防火墙/VPN) 8.4和Cisco IronPort s系列网络安全设备7.1。
客户不需要购买所有这三种产品,但我们发现,如果你这样做,你会得到更好的性能和功能。在我们的测试中,AnyConnect安全移动解决方案是关于始终处于活动状态的管理终端客户端软件,保护企业用户并执行安全策略,无论他们在什么地方,在多种设备和平台上。
而企业网络管理人员将特别满意于诸如最佳网关选择(根据网络特征自动为用户选择最佳网关)、端点态势评估和在更多样化的网络类型上的更好性能等特性。
这一切都始于VPN集中器
对于任何远程访问VPN讨论的出发点是思科ASA 5500系列自适应安全设备,结合VPN和防火墙,可选的反恶意软件和IPS功能。
虽然旧的Cisco VPN客户端可以连接到非VPN设备,如PIX防火墙和IOS路由器,但与新客户端的连接受到了更大的限制。要获得AnyConnect客户机的完整特性集的好处,您需要一个ASA设备。包括2851、1951、3800和3900在内的IOS路由器也可以接受AnyConnect客户端,但不支持全部功能集。
你最好的选择,那么,是使用ASA设备,从ASA 5505(10至25个用户)的范围到ASA 5585X(5,000至10,000个用户)。
所有ASA设备都有SSL VPN功能,包括反向代理(网关Web)应用在应用程序层)和应用程序隧道(使用加密的隧道通过VPN设备公开单个应用程序),尽管我们在此测试期间没有关注这些特性。我们花了大部分的测试来研究网络扩展,将远程设备带到公司局域网,以及思科保护这些远程设备的方法——这就是现在传统的远程访问用例。(读代理配置:两害相权取其轻)。
接下来是客户端软件
思科远程访问解决方案的下一个关键组件是其新的AnyConnect安全移动客户端。AnyConnect客户端具有成熟产品中的基本特性集:端点安全检测和控制、简化部署和直接从VPN网关下载策略、广泛的用户身份验证选项和远程用户策略实施特性。
思科将AnyConnect客户端作为一个安装包提供给所有用户窗户版本返回XP和Mac OS X 10.5和10.6,基于IntelLinux内核的发行版,苹果iOS 4 (苹果手机和iPad的操作系统)和Windows Mobile版本5和6。
AnyConnect VPN客户端不需要让亚撒的VPN连接设备——你仍然可以使用内置的VPN客户端在Windows和Mac OS X中,诺基亚的塞班手机,iphone、ipad和ipod,以及思科的老多平台思科VPN客户端,和大量的第三方客户。
但是,如果不使用它,就会放弃很多性能、功能和特性。例如,AnyConnect客户端可以使用IPSec、SSL/TLS或DTLS (SSL/TLS运行在UDP上,而不是正常的TCP)。我们发现,在AnyConnect客户端上从SSL/TLS (TCP)转移到DTLS (UDP),根据Internet连接的特征,总性能提高了40%到45%。DTLS和传统IPSec具有类似的性能特征。在我们的测试中,在大多数测试中,传统的IPSec比DTLS高出几个百分点,但是性能差异很难察觉。
AnyConnect客户机的另一个关键特性是思科旧的IPSec客户机所没有的端点安全检查、补救和控制。SSL VPN和南汽的启示世界,思科折叠思科安全桌面到AnyConnect客户机(价格-有一个执照费),并将桌面安全管理合并为VPN集中器,极大的简化了的任务,就是要把桌面和VPN安全策略和避免潜在的下降之间的裂缝。
Web安全是最后一块
思科的远程访问解决方案的最后一个主要部分是新增加了:思科IronPort S系列Web安全设备。该IronPort S系列是一个安全的Web网关,以保护免受恶意软件的Web浏览最终用户和执行上,人们可以浏览访问控制的主要目标。
我们没有做该产品的全面评价,只注重它与ASA和VPN客户端的集成。但是,IronPort S系列有一个Web安全网关的预期功能集:使用多个引擎,URL过滤,以避免恶邻和执行可接受的使用策略,带宽管理恶意软件扫描,并执行一般安全策略的能力,看内容如堵PowerPoint附件。
IronPort s系列包括“中间人”SSL解密,它可以扫描加密和未加密的连接,并利用IronPort声誉服务对url和Web服务器进行基于声誉的查找。这个特性集使它成为一个相当完整的Web安全网关,与其他市场领先的产品没有什么不同。
我们专注于IronPort S系列与ASA设备集成和应用Web安全网关策略来远程访问VPN用户。愤世嫉俗的人可能会说,思科需要网络管理人员购买了全独立的盒子 - 而且是一个昂贵的 - 因为他们没有内置防火墙网络安全做。这是真的,当然,但它也确实在IronPort S系列网络安全比你可以用内置于统一威胁管理防火墙的网络安全功能得到了什么更强大。
老一套
即使你满意当前的VPN部署,并在升级周期,没有计划将任何新的功能,你会发现新的产品,因为它们使生活变得更轻松。
例如,如果您已经知道如何运行Cisco的旧的VPN 3000 GUI,您将看到大部分VPN部件已经移植到ASDM中,ASDM是Cisco基于java的ASA设备管理工具Adaptive Security Device Manager。
ASA设备可以作为您的VPN客户机软件的源,并且您不必构建在安装时粘在AnyConnect客户机上的讨厌策略,因此您可以启动并运行VPN部署,这比使用旧客户机和旧硬件更快。
AnyConnect客户端也更加防火墙友好,通过Secure-HTTP(443)端口返回到SSL/TLS加密,这意味着终端用户在使用过程中较少遇到挫折。ASDM还包括一个VPN向导,可以一步一步地指导你,并自动将需要匹配的部分粘合在一起。
遗留的许可
好吧,实际上有一个问题会困扰VPN 3000用户:许可。ASA设备是真正的下一代PIX防火墙,用最好的VPN无论从PIX和老VPN功能合并3000一从PIX结转的特征是基于特征的许可,而ASA许可证可以被描述为“你一定是在开玩笑“。
对于单独的远程访问功能集,有6种类型的许可证,与另一半打类型平台本身。对于莫名其妙的原因,你需要一个特殊的许可证也使用移动设备与ASA设备,虽然只有当你使用的AnyConnect客户端软件,而不是如果他们使用的老客户了,别忘了特别许可证为您的IronPort S-系列WSA,使其成为安全移动解决方案的一部分。
幸运的是,这可以解释这一切一个48页的手册 - 确保你坐下来,然后再开始通过几次读它。我们唯一的建议就是一定要得到你的强加密许可证(它是免费的,快速的,和网上,你只需要保证不会让你的ASA滑落入坏人之手),然后再开始,因为加密的配置文件将只正确设置使用向导,如果已经安装了强大的加密许可证。
把碎片拼在一起
思科安全移动解决方案不只是一个VPN工具;它是关于实施企业安全策略时,工作人员进出办公室的两个。这意味着你将需要花一些时间来考虑您的安全策略开始配置之前。
关于AnyConnect客户机,需要记住的重要事情之一是,它“总是打开”,这意味着它会根据用户的位置执行安全策略,即使在没有隧道的情况下也是如此。AnyConnect客户端定期地连接到ASA,即使客户端没有运行——你会看到这些小小的20个包交换到ASA的HTTPS端口,因为它验证ASA是活着的和良好的,没有一个新的策略来分发。
你可以改变安全策略上的苍蝇,所以你没有得到你开始部署之前它完美,但它是一个好主意,知道你要在开始前结束。由于内ASDM的配置工具是如此复杂,为了避免迷路的唯一方法是在零上你想要完成的任务。如果你知道你想要什么强制建立政策只是很容易做到。
思科能够成功的东西一致和可用的ASDM做了更好的工作。仅在GUI的VPN部分,有几十种选择和混乱和矛盾的一套术语。这使得它容易犯错误,或建立一个安全性较低的部署,因为你没有得到的一切正确。
例如,拆分隧道可以使用比以前更高的粒度级别来完成,这是一个很大的安全性改进。但是挖掘出不同的功能并正确配置它们涉及到多个屏幕和需要打开的“高级”标签。其结果是,不使用这个新特性更容易,部署的安全性也更低。
虽然可以使用命令行界面(CLI)配置大部分VPN特性集,但要充分利用特性集,需要使用ASDM。基本的加密和隧道工具都是基于clio并可调试clio的,但是客户端策略配置的某些部分依赖于内部flash上的隐藏文件,这些文件最好留给ASDM来处理。
我们使用CLI构建了一个基本的ASA防火墙,然后完全使用ASDM。一旦我们完成了所有的许可部分,我们的最终配置(包括RADIUS身份验证、端点安全检查和从ASA设备下载AnyConnect客户机的基于web的配置)只花了大约一个小时。
但配置是在思科培训师的帮助下完成的。这个解决方案有很多移动的部分,如果没有实际的指导,我们可能要花几天时间来研究相同的领域。如果你有足够的时间,坐下来通读文档或者接受一些培训。
快乐的最终用户
好消息是,尽管安全移动性解决方案对于网络管理员来说可能很复杂,但对于终端用户来说,这是一种很棒的体验。把自己想象成是在向所有将要使用远程访问VPN的人提供帮助。不管我们测试的是什么平台——在我们的实验室里是Mac、Windows和iPhone——客户端安装和操作都很简单。如果终端用户喜欢老的Cisco VPN客户端,他们会喜欢AnyConnect,它有一种现代的感觉,而且带来的好处不仅仅是VPN隧道。
例如,在Windows平台上,AnyConnect客户端包括网络访问管理器(NAM),这是一个完整的802.1X恳求连线和无线网络。因为AnyConnect客户端既可以用于公司网络,也可以用于漫游,802.1X功能的集成让单个客户端包处理端点安全和连接。
AnyConnect在办公室是您的网络访问控制(NAC)客户端(带有802.1X和端点安全检查、补救和强制),在路上是您的VPN客户端(带有IPSec和SSL传输,以及相同的端点安全特性)。更妙的是,AnyConnect客户端可以通过使用一个名为可信网络检测的特性来确定你的位置,该特性可以查看通过DHCP发送的域名和DNS服务器。这可以帮助自动选择是使用802.1X和NAC还是启用VPN隧道。在我们使用Enterasys C2以太网交换机进行的测试中,可信网络检测和802.1X supplicant都没有任何故障。