思科为移动安全设置了标杆

思科自1999年以来，它的最新版本已经在远程访问VPN的领导者，在AnyConnect安全移动解决方案，将使最终用户和网络管理员很开心，虽然有一些粗糙的部位。

的AnyConnect安全移动解决方案（思科无边界网络计划的一部分），由三个无缝集成产品：AnyConnect安全移动客户端3.0中，自适应安全设备（防火墙/ VPN）8.4和Cisco IronPort S系列Web安全设备7.1。

中小企业可能会觉得被冷落了

客户不需要购买这三个产品，但我们发现，如果你这样做，你会得到更好的性能和更好的功能。在我们的测试中，AnyConnect安全移动解决方案是所有关于管理的端点客户端软件，总是活跃，保护企业用户和强制执行安全策略，无论他们在哪里，在设备和平台的，众说纷纭。

而企业网络管理人员将特别满意于诸如最佳网关选择(根据网络特征自动为用户选择最佳网关)、端点态势评估和在更多样化的网络类型上的更好性能等特性。

这一切都始于VPN集中器

任何远程访问VPN讨论的起点都是思科的as5500系列自适应安全设备，这是一个VPN和防火墙的组合，具有可选的反恶意软件和IPS功能。

虽然旧的Cisco VPN客户端可以连接到非VPN设备，如PIX防火墙和IOS路由器，但与新客户端的连接受到了更大的限制。要获得AnyConnect客户机的完整特性集的好处，您需要一个ASA设备。包括2851、1951、3800和3900在内的IOS路由器也可以接受AnyConnect客户端，但不支持全部功能集。

因此，最好的选择是使用ASA设备，范围从ASA 5505(10到25个用户)到ASA 5585X(5,000到10,000个用户)。

所有ASA设备有SSL VPN功能，包括反向代理（建立通路网应用在应用程序层)和应用程序隧道(使用加密的隧道通过VPN设备公开单个应用程序)，尽管我们在此测试期间没有关注这些特性。我们花了大部分的测试来研究网络扩展，将远程设备带到公司局域网，以及思科保护这些远程设备的方法——这就是现在传统的远程访问用例。(读代理配置:两害相权取其轻。）

接下来是客户端软件

思科远程访问解决方案的下一个关键组件是其新的AnyConnect安全移动客户端。AnyConnect客户端具有成熟产品中的基本特性集:端点安全检测和控制、简化部署和直接从VPN网关下载策略、广泛的用户身份验证选项和远程用户策略实施特性。

思科提供的AnyConnect客户端为适用于所有已安装的软件包视窗版本回到XP, Mac OS X 10.5和10.6，基于英特尔Linux的与2.6内核发行，苹果的iOS 4（iPhone和iPad以及Windows Mobile版本5和6。

AnyConnect VPN客户端不需要让亚撒的VPN连接设备——你仍然可以使用内置的VPN客户端在Windows和Mac OS X中,诺基亚的塞班手机,iphone、ipad和ipod,以及思科的老多平台思科VPN客户端,和大量的第三方客户。

但是，你放弃了很多的性能，功能，如果你不使用它的功能。例如，AnyConnect客户端可以使用IPSec，SSL / TLS，或DTLS（SSL / TLS在UDP上运行，而不是正常的TCP的）。我们发现，从SSL / TLS（TCP）来DTLS（UDP）与AnyConnect客户端转移40％和45％提高整体性能，这取决于互联网连接的特性之间给了我们。DTLS和传统的IPSec也有类似的性能特征。在我们的测试中，传统的IPSec在大多数测试中惜败DTLS由几个百分点，但性能差异是难以察觉。

在思科的旧的IPsec客户端没有找到AnyConnect客户端的另一个重要特点是端点安全检查，整治和控制。从SSL VPN和NAC世界得到暗示，思科已经收拢了思科安全桌面到AnyConnect客户端（以优惠的价格 - 有一个许可费），并先后兼并桌面安全管理到VPN集中器，极大地简化了任务连接桌面和VPN安全策略，并避免了东西之间的缝隙掉落的可能性。

Web安全是最后一块

思科远程访问解决方案的最后一个主要部分是新增的:思科IronPort s系列网络安全设备。IronPort s系列是一个安全的网络网关，其主要目标是保护网络浏览终端用户免受恶意软件的侵害，并对用户浏览的地方实施访问控制。

我们没有对产品进行全面评估，只关注它与ASA和VPN客户端的集成。但IronPort s系列具备了Web安全网关的预期功能:使用多个引擎进行恶意软件扫描、URL过滤以避免不良社区并执行可接受的使用策略、带宽管理，以及查看内容以执行一般安全策略的能力，比如阻止PowerPoint附件。

该IronPort S系列包括“人在中间人” SSL解密，这让它扫描加密和未加密的连接，并利用IronPort的信誉服务做信誉为本的URL和Web服务器的查找。此特性集使其成为一个相当完整的Web安全网关，不是所有从其他市场领先的产品不同。

我们主要关注的是IronPort s系列与ASA设备的集成，以及为远程访问VPN用户应用Web安全网关策略。愤世嫉俗者可能会说，思科要求网络管理人员购买一个完整的单独的机顶盒——而且是一个昂贵的机顶盒——因为他们没有在防火墙内内置网络安全。当然，这是真的，但是IronPort s系列中的网络安全功能比内置在统一威胁管理防火墙中的网络安全功能更强大也是真的。

踢它老学校

即使您对当前的VPN部署感到满意，并且处于升级周期，不打算启用任何新特性，您也会对新产品感到满意，因为它们使工作变得更轻松了。

强制升级激怒思科客户

例如，如果你已经知道如何运行思科的VPN年长3000图形用户界面，你会看到，大多数VPN部分已经被移植到ASDM，思科的基于Java的ASA设备管理工具自适应安全设备管理器。

该ASA设备可以成为你的VPN客户端软件源，和你没有在安装时建立讨厌的政策，GET粘成的AnyConnect客户端，让你可以有一个VPN的部署和运行的速度比使用旧客户端和旧的硬件。

AnyConnect客户端也更加防火墙友好，通过Secure-HTTP(443)端口返回到SSL/TLS加密，这意味着终端用户在使用过程中较少遇到挫折。ASDM还包括一个VPN向导，可以一步一步地指导你，并自动将需要匹配的部分粘合在一起。

传统许可

嗯，实际上是一个问题，这将阻碍VPN 3000用户：许可。在ASA设备是真正的下一代PIX防火墙，用最好的VPN无论从PIX和老VPN功能合并3000一从PIX结转的特征是基于特征的许可，而ASA许可证可​​以被描述为“你一定是在开玩笑“。

仅对于远程访问特性集，就有6种类型的许可证，对于平台本身还有6种类型。令人费解的原因,您还需要一个特殊的许可使用移动设备ASA设备,尽管只有如果你使用AnyConnect客户端软件,而不是如果他们使用老客户,不要忘记的特别许可证钢铁端口s系列WSA使它安全的移动解决方案的一部分。

幸运的是，有一本长达48页的手册来解释这一切——确保你坐下来，在开始之前通读几遍。我们唯一的其他建议是，一定要获得你强大的加密许可证(它是免费的，快速的，在线的;在开始之前，您只需要保证不会让ASA落入坏人之手)，因为只有在已经安装了强加密许可证的情况下，才能使用向导正确地设置加密配置文件。

把拼在一起

思科安全移动解决方案不仅仅是一个VPN工具包;它是关于员工在办公室内外执行企业安全政策的。这意味着在开始配置之前，您需要花一些时间考虑您的安全策略。

关于AnyConnect客户机，需要记住的重要事情之一是，它“总是打开”，这意味着它会根据用户的位置执行安全策略，即使在没有隧道的情况下也是如此。AnyConnect客户端定期地连接到ASA，即使客户端没有运行——你会看到这些小小的20个包交换到ASA的HTTPS端口，因为它验证ASA是活着的和良好的，没有一个新的策略来分发。

您可以随时更改安全策略，因此不必在开始部署之前就将其修改得完美无缺，但是在开始部署之前，最好知道您希望在哪里结束。因为ASDM中的配置工具是如此的复杂，所以避免迷失的唯一方法就是专注于你想要完成的事情。只有当您知道您想要执行什么时，构建策略才容易执行。

思科本可以在ASDM方面做得更好，使事情更加一致和可用。仅在GUI的VPN部分，就有许多选项和一组令人困惑和矛盾的术语。这就很容易犯错误，或者构建一个不太安全的部署，因为您没有正确地完成所有工作。

例如，分离隧道可与粒度的更高水平的操作比可用之前，有很大的安全改进。但是，挖掘出不同的特点，让他们正确地配置涉及多个屏幕和“高级”选项卡，必须打开。其结果是，它更容易不使用这一新功能，并有一个不太安全的部署。

虽然许多VPN功能设置可以使用命令行界面（CLI），使配置充分利用的功能集的要求您使用ASDM。基本的加密和隧道工具都是基于CLI和CLI-调试的，但客户端策略配置的一些地区依靠内置闪光灯隐藏文件最好留给ASDM保持挺直。

我们使用CLI构建了一个基本的ASA防火墙，然后完全使用ASDM。一旦我们完成了所有的许可部分，我们的最终配置(包括RADIUS身份验证、端点安全检查和从ASA设备下载AnyConnect客户机的基于web的配置)只花了大约一个小时。

但是，配置与思科的培训师之一的帮助下完成。该解决方案有很多运动部件的，没有动手的指导下，我们可以花几天覆盖相同的领土。如果你能买不起的时候，坐下来，通过文档阅读，或采取一些训练。

幸福的最终用户

好消息是，尽管安全移动性解决方案对于网络管理员来说可能很复杂，但对于终端用户来说，这是一种很棒的体验。把自己想象成是在向所有将要使用远程访问VPN的人提供帮助。不管我们测试的是什么平台——在我们的实验室里是Mac、Windows和iPhone——客户端安装和操作都很简单。如果终端用户喜欢老的Cisco VPN客户端，他们会喜欢AnyConnect，它有一种现代的感觉，而且带来的好处不仅仅是VPN隧道。

例如，在Windows平台上，AnyConnect客户端包括网络访问管理器(NAM)，这是一个成熟的802.1倍请求者的有线和无线网络。因为AnyConnect客户端既可以用于公司网络，也可以用于漫游，802.1X功能的集成让单个客户端包处理端点安全和连接。

AnyConnect在办公室是您的网络访问控制(NAC)客户端(带有802.1X和端点安全检查、补救和强制)，在路上是您的VPN客户端(带有IPSec和SSL传输，以及相同的端点安全特性)。更妙的是，AnyConnect客户端可以通过使用一个名为可信网络检测的特性来确定你的位置，该特性可以查看通过DHCP发送的域名和DNS服务器。这可以帮助自动选择是使用802.1X和NAC还是启用VPN隧道。在我们使用Enterasys C2以太网交换机进行的测试中，可信网络检测和802.1X supplicant都没有任何故障。