取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

December 2020

【CSC公开课】第十八期 问题解答:思科 AnyConnect 安全接入

3132
查看次数
50
有帮助
4
评论
思科技术支持专家 Yang Gao 2016年2月24日【CSC公开课】第十八期在线讲座中,介绍了在开通远程接入后,如何保证终端和公司内部安全。
思科技术支持专家 Fangxin Ni 在讲座中在线解答了用户提出的问题。
演讲嘉宾:
Yang Gao
职称:Customer Support Engineer
产品:ASA
解决方案:ASA
客户领域:Enterprise, OTT

答疑专家:
Fangxin Ni
职称:Customer Support Engineer

点击下载查看问题解答列表
【CSC公开课】问题解答:思科 AnyConnect 安全接入

问题:-ASA上怎么实现 token的双重认证?
回答:你所说的双认证,是指 token + 静态密码,双认证? 是针对于VPN的拨入认证吗 -
问题:是的。动态密码+静态密码-
回答:常见搭配是与3a服务器联动,比如ACS。动态认证使用token与ACS来结合,同时,asa的静态认证使用secondary authentication

问题:这个token是单独的一套系统或软件吗
回答:是的
问题:-思科自己有吗?还是必须使用第三方的?
回答:-据我所知,思科没有自己的。如有相关深入的咨询,建议咨询相关的思科销售。

问题:外部用户拨入公司VPN后,怎么实现通过公司ASA访问公网?(VPN用户数据达到ASA后再访问公网)
回答:按照文档说的,U-turn
问题:-token设备比较靠谱的设备都有哪些?
回答:-对于这点思科并没有相关官方推荐,很抱歉

问题:VPN的licesen分哪些?有什么区别?-
回答:
问题:-anyconnect客户端上能否隐藏 组选择 的选项?-
回答:你说的组选项,若是指拨入界面看到的group name,那客户端上没有选项去隐藏它

问题:输入用户名和密码后 自动识别所在组
回答:可以使用profile来,从asa 推给客户端,从而实现绑定组。也可以使用直接拨入group-url,来实现绑定组。
问题:-恩是说的拨入界面看到的group name, 您的意思是只是输入用户密码后,无法自动识别属于哪个group,是吗?
回答:可以使用profile来,从asa 推给客户端,从而实现绑定组。也可以使用直接拨入group-url,来实现绑定组

问题:group-url 有没有配置案例啊,我在官网没有找到相关的案例-
回答:
问题:DAP上面设置信息提示,能否使用中文字符?ASA + Anyconnect 可否审计哪些用户曾经连接VPN? 能否审计用户通过Anyconnect连接VPN后访问过一些什么网络资源(IP add/URL)?-
回答:-DAP使用建议都用英文。你这样的审计需求,asa无法实现。建议使用3a服务器。通过vpn后访问的资源统计,可以咨询一下思科的firepower

问题:架设环境需要的硬件设备需要哪些
回答:acs, asa,anyconnect客户端
问题:-U-Turn 能否在同一ASA上实现?即客户端VPN拨号后,所以有流量都走ASA,并且通过这台ASA访问Internet?
回答: -可以在同一asa实现。比如:nat (outside,outside) xxx

问题:ASA升级到9.0以上版本,在做访问控制列表的时候,对于ipv4流量,必须写ipv4吗?? 发现5510设备用9.1的时候写访问控制列表只用协议ip的时候流量不通。
回答:不是必须写any4。当9.1不通的时候,可以考虑看下nat 和 acl的配置。并不仅仅是acl的配置。若有未解决的,建议开case看一下
问题:思科是否有IDP类设备-
回答:建议你咨询并了解一下 思科的Firepower。可以联系思科销售-

问题:我生产的ASA5550系列软件版本8.2,出现问题是:ASDM可以登录,但是配置菜单载入到50%就停止了,最终结果是我无法用ASDM来管理配置了,请问如何解决,是否可以重启。现在我只能通过命令行来处理了。-
回答:-检查一下java版本,查一下asd的releasenote,java和浏览器的兼容性。-
问题:-anyconnect手机端 只需要license支持,配置上有特殊之处吗?-
回答:-licenseok后,asa上没有特殊配置之处。

问题:-webvpn的页面定制,除了用ASDM之外,还有什么更方便的方法吗?-
回答:并没有
问题:tunnel-groupsslvpn webvpn-attributes group-alias sslvpn enable-------//这个命令是啥意思啊,为啥一定要配呢?-
回答:根据不通的条件,比如部门,设定不通的alias。在登录的时候选择正确的alias登录。

问题:ASA5520IOS 9.17现在是不是有漏洞了?我看前几天还是推荐使用版本呢
回答:具体是指的哪一个漏洞呢?
问题:cisco公司内部vpn 用的是什么协议?webssl or ?
回答:ssl

问题:是否有mtu需要考虑?大包可否分片?
回答:没有
问题:hello包timeout是多少?在家连接时VPN老是断线可能是什么问题?(不连vpn线路很好)
回答:断线的原因是多样化的。建议开TAC case深入检查。
评论
hammer64
Community Member
非常感谢!
dml444988615
Beginner
好 好
apollo-shenq
Community Member
这就是思科的终端安全解决方案?了解一下!
Yanli Sun
Community Manager
apollo-shenq 发表于 2016-8-31 14:14 back.gif
这就是思科的终端安全解决方案?了解一下!

多多支持!)
创建
认可您的同行
Content for Community-Ad