思科设置​​了移动安全的酒吧

思科自1999年以来一直是远程访问vpn的领导者，其最新发布的AnyConnect安全移动解决方案将使终端用户和网络管理人员非常高兴，尽管有一些粗糙的部分。

这AnyConnect安全移动解决方案(思科无国界网络倡议的一部分)由三种无缝集成的产品组成:AnyConnect安全移动客户端3.0ASA自适应安全设备(防火墙/VPN) 8.4和思科IronPort s系列Web安全设备7.1。

中小企业可能会觉得被冷落了

我们并不要求客户全部购买这三种产品，但我们发现，如果你这样做，你会得到更好的性能和功能。在我们的测试中,AnyConnect安全移动解决方案是关于始终处于活动状态的托管终端客户端软件，保护企业用户并执行安全策略，无论他们在什么地方，在各种设备和平台上。

企业网络管理人员将特别满意的功能包括:最优网关选择(根据网络特征自动为用户选择最佳网关)、端点姿态评估和在更多类型的网络中获得更好的性能。

这一切都以VPN集中器开头

任何远程访问VPN讨论的起点是Cisco的ASA 5500系列自适应安全设备，组合VPN和防火墙，可选的防恶意软件和IPS功能。

虽然旧的Cisco VPN客户端可以连接到非VPN设备，如PIX防火墙和IOS路由器，但与新客户端的连接更加有限。要获得AnyConnect客户机的完整特性集的好处，您将需要一个ASA设备。IOS路由器，包括2851、1951、3800和3900，也可以接受AnyConnect客户端，但不支持完整的特性集。

那么，您最好的赌注是使用ASA设备，从ASA 5505（10到25个用户）到ASA 5585x（5,000到10,000个用户）。

所有ASA设备都具有SSL VPN功能，包括反向代理(网关Web)应用程序在应用程序层)和应用程序隧道(使用加密隧道通过VPN设备公开单个应用程序)，尽管我们在此测试中没有重点关注这些特性。我们的大部分测试都花在网络扩展、将远程设备引入企业局域网以及思科保护这些远程设备的方法上——这就是现在传统的远程访问用例。(读代理配置：两个邪恶的较小者.）

接下来是客户端软件

思科远程访问解决方案的下一个关键组件是其新的AnyConnect安全移动客户端。AnyConnect客户端具有成熟产品所需的基本特性集:终端安全检测和控制、直接从VPN网关下载简化部署和策略、广泛的用户身份验证选项和远程用户策略实施特性。

思科提供AnyConnect客户端作为一个安装包，可用于所有人窗户版本返回XP，Mac OS x 10.5和10.6，基于英特尔Linux使用2.6内核的发行版，苹果iOS 4 (苹果手机和iPad.操作系统）和Windows Mobile版本5和6。

AnyConnect VPN客户端不需要让亚撒的VPN连接设备——你仍然可以使用内置的VPN客户端在Windows和Mac OS X中,诺基亚的塞班手机,iphone、ipad和ipod,以及思科的老多平台思科VPN客户端,和大量的第三方客户。

但是，如果不使用它，就会放弃很多性能、功能和特性。例如，AnyConnect客户端可以使用IPSec、SSL/TLS或DTLS (SSL/TLS运行在UDP上，而不是正常的TCP)。我们发现使用AnyConnect客户端从SSL/TLS (TCP)转换到DTLS (UDP)给我们带来了总性能40%到45%的提升，这取决于互联网连接的特性。DTLS与传统的IPSec具有相似的性能特征。在我们的测试中，在大多数测试中，传统IPSec比DTLS高出几个百分点，但性能差异很难察觉。

AnyConnect客户端的另一个关键特性在思科的旧的IPSec客户端中没有发现端点安全检查、补救和控制。从SSL VPN和NAC世界中得到启示，思科将其思科安全桌面折叠到AnyConnect客户端(价格-并将桌面安全管理合并到VPN集中器中，极大地简化了连接桌面和VPN安全策略的任务，并避免了潜在的漏洞。

Web安全性是最后一部分

思科的最后一部主要代表思科的远程访问解决方案是一种新的补充：Cisco IronPort S系列Web安全设备。IronPort S系列是一个安全的Web网关，具有保护Web浏览最终用户免受恶意软件和执行人员浏览的访问控制的主要目标。

我们没有完全评估产品，只关注其与ASA和VPN客户的集成。但IronPort S系列具有Web安全网关的预期功能集：使用多个引擎进行恶意软件扫描，URL过滤以避免不良街区，并强制使用可接受的使用策略，带宽管理以及查看内容以强制执行通用安全策略的能力，例如阻止PowerPoint附件。

IronPort s系列包括“中间人”SSL解密功能，它可以扫描加密和未加密的连接，并利用IronPort声誉服务对url和Web服务器进行基于声誉的查询。这个特性集使它成为一个相当完整的Web安全网关，与其他市场领先的产品没有太大区别。

我们专注于将IronPort S系列与ASA设备集成，并将Web安全网关策略应用于远程访问VPN用户。愤世嫉俗者可能会说思科需要网络管理员购买一个整个单独的盒子 - 而且在这方面是昂贵的盒子 - 因为它们在防火墙中没有内置的Web安全性。当然，这是真的，但它也是如此，IronPort S系列的Web安全性比你可以在Web安全功能内置到统一的威胁管理防火墙上更强大。

踢复古风

即使您对当前的VPN部署并在升级周期中满意，也没有计划打开任何新功能，您将对新产品感到满意，因为它们使生活变得更轻松。

强制升级惹恼了思科的客户

例如，如果您已经知道如何运行思科的旧的VPN 3000 GUI，您将看到大多数VPN部件已经移植到ASDM，思科基于java的ASA设备管理工具Adaptive Security Device Manager。

ASA设备可以是您的VPN客户端软件的源，而且您不必在安装时构建粘在AnyConnect客户端上的讨厌的策略，这样您就可以比使用旧的客户端和旧的硬件更快地启动和运行VPN部署。

AnyConnect客户端对防火墙也更友好，通过Secure-HTTP(443)端口退回到SSL/TLS加密，这意味着终端用户在旅途中更少受挫。ASDM还包括一个VPN向导，可以一步一步地指导您，并帮助您自动地将所有必须匹配的部件粘合在一起，使其工作。

遗留的许可

实际上，有一个问题会让VPN 3000的用户感到沮丧:授权。ASA设备实际上是下一代PIX防火墙它融合了PIX和旧VPN 3000的最佳VPN特性。PIX遗留下来的特性之一是基于特性的许可，而ASA许可最好的描述是“你一定是在开玩笑”。

对于单独设置的远程访问功能，有6种类型的许可证，平台本身的另一个六种类型的类型。出于卓越的原因，您需要特殊的许可证还可以使用带有您的ASA设备的移动设备，但只有您使用AnyConnect客户端软件，而且如果他们使用旧客户端，并且不要忘记Ironport的特殊许可证系列WSA使其成为安全的移动解决方案的一部分。

幸运的是，有一个48页的手册解释了这一切 - 确保在开始之前坐下来阅读它并通过几次阅读。我们唯一的其他建议是肯定会获得强烈的加密许可证（它是免费的，快速的，在线;您只需承诺不要让您的ASA在您开始之前进入错误的手中），因为加密配置文件只会正确如果已安装强加密许可证，请使用向导设置。

把碎片拼在一起

思科安全移动解决方案不仅仅是VPN工具包;当工作人员既进出办公室时，这是关于执行企业安全政策。这意味着在开始配置之前，您需要花一些时间考虑您的安全策略。

关于AnyConnect客户端，需要记住的重要一点是，它“始终处于开启状态”，这意味着它基于用户的位置实施安全策略，即使没有隧道也如此。AnyConnect客户端定期连接到ASA，即使客户端不运行-你会看到这些小的20个包交换到ASA的HTTPS端口，因为它验证ASA是活的，并且没有新的策略可以分发。

您可以在飞行中更改安全策略，因此在开始部署之前，您不必将其完美，但在您开始之前了解您想要结束的位置是一个好主意。因为ASDM中的配置工具如此复杂，所以避免丢失的唯一方法是在您想要完成的内容中为零。如果您知道要强制执行内容，建设政策只是易于做到的。

思科可以在ASDM中做得更好的工作，使事情一致和可用。在仅限GUI的VPN部分中，有几十个选项和令人困惑和矛盾的术语。这使得很容易造成错误，或建立一个不太安全的部署，因为您没有完成所有工作。

例如，可以使用比以前高得多的粒度级别来完成分割隧道，这是一个很大的安全性改进。但要找出不同的功能并正确配置它们，需要多个屏幕和必须打开的“高级”标签。其结果是，不使用这个新特性更容易，部署的安全性也更低。

虽然可以使用命令行接口(CLI)配置VPN特性集，但要充分利用特性集，您需要使用ASDM。基本的加密和隧道工具都是基于cli和cli可调试的，但是客户端策略配置的某些部分依赖于内部flash上的隐藏文件，这些文件最好留给ASDM来处理。

我们使用CLI建立了一个基本的ASA防火墙，然后我们完全使用ASDM。一旦我们完成了所有许可部分，我们使用RADIUS身份验证、端点安全检查和从ASA设备基于web下载AnyConnect客户机的最终配置只用了大约一个小时。

但这个配置是在思科的一位培训师的帮助下完成的。这个解决方案有很多可移动的部分，如果没有实际的指导，我们可能要花几天时间在相同的领土上。如果你有时间，坐下来阅读文档或进行一些培训。

快乐的最终用户

好消息是，尽管安全移动解决方案对于网络管理者来说可能很复杂，但对于最终用户来说却是一个极好的体验。把你自己想象成是为了帮助那些将要使用远程访问VPN的人。无论我们测试的是什么平台——Mac、Windows和iPhone都在我们的实验室里——安装和操作客户端都很简单。如果终端用户喜欢旧的思科VPN客户端，他们会喜欢AnyConnect，它有现代的感觉，带来的好处不仅仅是VPN隧道。

例如，在Windows平台上，AnyConnect客户端包括网络访问管理器（NAM），这是一个完整的802.1x.申请有线和无线网络。由于AnyConnect客户端既可用于公司网络，也可用于漫游，802.1X功能的集成让单个客户端包处理端点安全性和连通性。

AnyConnect是您在办公室时的网络访问控制(NAC)客户端(具有802.1X和端点安全检查、修复和强制)，在路上时是您的VPN客户端(具有IPSec和SSL传输，以及相同的端点安全特性)。更好的是，AnyConnect客户端可以通过一种名为“可信网络检测”(Trusted Network Detection)的功能来确定你的位置，该功能可以查看通过DHCP分发的域名和DNS服务器。这可以帮助自动化选择是否使用802.1X和NAC或启用VPN隧道的过程。在我们使用Enterasys C2以太网交换机进行的测试中，可信网络检测和802.1X请求程序都没有出现任何故障。