🏛️ 📄 ♟️ 为什么Cisco AnyConnect不仅是VPN客户端 👩🏼‍🏫 🍸 🚒

上周，我讨论了远程访问和各种VPN客户端的主题，这些客户端可以放在派遣员工回家的工作场所中。一位同事捍卫了一种“爱国”立场，即“订户点”应用于家用加密器。另一位则坚持使用国外VPN解决方案的客户端。我坚持第三点，这是因为这样的解决方案不应是外围编码器的附件，甚至不能是VPN网关的客户端部分。即使在高效的计算机上，安装多个可以解决不同任务的安全客户端也不是正确的选择-VPN，标识/身份验证，安全访问，一致性评估等。理想情况下，将所有这些功能以及其他功能组合在一个客户端中，这样可以减轻系统的负担，以及不同安全软件之间不兼容的可能性。其中一位客户是思科AnyConnect，关于功能我想简单介绍一下。

Cisco AnyConnect是Cisco VPN Client的逻辑开发，多年来，不仅已被Russified，而且还提供了许多不同的特性和功能，可使用TLS，DTLS和IPSec三种协议（也受支持）安全地远程访问公司或云基础架构弹性VPN）第一个对于VPN客户端非常传统，并且使用TCP作为其工作的传输方式。但是，通过TLS进行隧道传输意味着基于TCP的应用程序将对其进行复制（一次用于组织TLS，第二次用于组织TLS中的工作）。而且基于UDP的协议仍将使用TCP。例如，这可能会导致某些延迟，例如对于多媒体应用程序，这对于远程工作非常普遍。解决此问题的方法是开发DTLS协议，该协议代替TCP使用UDP作为TLS。 AnyConnect支持基于TCP和UDP的两种TLS实施，这使得它们可以根据远程工作条件灵活使用。通常，防火墙或代理服务器上允许使用TCP / 443或UDP / 443，因此使用TLS和DTLS并不是一个大问题。但是在某些情况下，可能必须使用IPSec协议，AnyConnect（IPSec / IKEv2）也支持该协议。

由AnyConnect创建的VPN隧道可以在哪些设备上终止？我将简单列出它们：

Cisco ASA 5500和Cisco ASA 5500-X防火墙
思科Firepower多合一保护设备
AWS和Azure中的Cisco ASAv和Cisco ASAv虚拟ITU
具有Cisco IOS或Cisco IOS XE网络OS的Cisco ISR 800/1000/4000和ASR 1000路由器
虚拟路由器Cisco CSR 1000v，并且已部署，其中包括许多俄罗斯云提供商。

可以注意到，在企业或部门网络的外围已经很有可能出现上述情况，并且可以使用这些设备来组织安全的远程访问（主要是因为它们可以应付不断增加的负载）。此外，思科现在提供免费的 AnyConnect许可证。

有趣的是，与许多其他VPN客户端不同，您有许多选择可在个人计算机或移动设备上安装Cisco AnyConnect。如果您从自己的库存中给他们提供了这样的设备，或者专门为员工购买了笔记本电脑，则只需预安装保护性客户端即可，而不是远程工作所需的其余软件。但是，对于远离公司IT专业人员且无法为他们提供笔记本电脑来安装必要软件的用户，该怎么办？您当然可以使用SMS，SCCM或Microsoft Installer之类的专用软件，但是Cisco AnyConnect具有另一种安装方法-访问上述VPN网关时，客户端本身将下载到运行Windows，Linux或macOS的用户计算机上。这样，即使在派遣到远程工作的工作人员的个人设备上，您也可以快速部署VPN网络。移动用户只需从Apple AppStore或Google Play下载Cisco AnyConnect。

但是正如我在上面写的，Cisco AnyConnect不仅是VPN客户端，它还具有更多功能。但是我不想在这里重写文档，而是尝试以问答形式（FAQ）描述关键功能。

以及如何保证家庭用户不会在Internet上收到任何东西？

AnyConnect具有这样的功能-永远在线VPN，如果用户不在所谓的受信任网络（可以是您的企业基础结构）中，它可以阻止直接访问Internet。但是请注意，此功能非常灵活。如果用户在公司网络上，则VPN会自动断开连接，离开时（例如，如果用户使用笔记本电脑，平板电脑或智能手机工作），VPN会再次打开；而且对用户是透明和不可见的。因此，始终将通过安装在外围的公司安全工具（防火墙，入侵防御系统，异常分析系统，代理等）来保护用户。许多公司向远程工作者发布公司设备设置仅将它们用于官方目的的条件。为了监视此要求的实施，AnyConnect包含禁止用户直接访问Internet的设置。

但是我可以加密所有流量，而不能加密公司流量吗？

Always-On VPN功能对于保护从您发布的设备进行的远程访问非常有用，但是我们远不能总是强迫用户执行我们想要的操作，尤其是当涉及到无法设置自己的规则的个人计算机时。用户将不希望他的个人流量通过公司范围，并且管理员将监视用户在家庭工作期间访问了哪些站点。正如他们所说，“很难与查看代理日志的管理员谈论道德” ：-)

在这种情况下，您可以在Cisco AnyConnect上启用拆分隧道功能，即隧道分离。某些类型的流量，例如到公司基础结构和工作云的流量，将被加密，并且到社交网络或在线电影院的流量将照常进行，而不受AnyConnect的保护。这样一来，您就可以考虑到公司及其员工的利益，他们被迫在个人和企业两个生活领域之间共享员工的个人计算机。但是值得记住的是，拆分隧道功能会降低网络的安全性，因为用户可以在Internet上感染某种感染，然后通过安全通道进入公司。

我可以加密某些（例如公司）应用程序的流量吗？

除信任/不信任流量分离外，Cisco AnyConnect还支持Per App VPN功能，该功能允许对单个应用程序（甚至在移动设备上）的流量进行加密。这样，您就可以仅加密（读取，在公司网络上启动）某些应用程序，例如1C，SAP，Sharepoint，Oracle，并允许Facebook，LinkedIn或个人Office365遍及公司范围。在这种情况下，对于不同的远程设备组或用户，可能会有自己的安全规则。

但是用户可以在家用计算机上拾取恶意软件，然后将其进入公司网络。该如何处理？

一方面，Cisco AnyConnect可以检查您是否具有Cisco AMP for Endpoints安全性，如果没有，请进行安装。但是，也许用户已经安装了自己的防病毒软件，或者您在将员工转移到远程工作时已经安装了此防病毒软件。但是，我们都知道，当今的反病毒几乎没有什么严重的威胁，最好用更先进的解决方案来补充它，以检测恶意软件，异常和其他攻击。如果在企业基础架构中部署了Cisco Stealthwatch，则可以轻松地将安装在员工家庭计算机上的Cisco AnyConnect代理与其集成在一起。 AnyConnect集成了特殊的网络可见性模块（NVM）模块，该模块将节点的活动转换为专门为此任务开发的nvzFlow协议。它补充了附加信息并传输给Netflow-collector可以是Cisco Stealthwatch Enterprise和任何SIEM，例如Splunk。NVM模块可以传输以下信息，在此基础上，有可能检测家用计算机上的异常和恶意活动，这些活动对于已安装的防病毒软件仍然不可见：

网络活动数据，格式类似于IPFIX
设备ID，地址和名称
用户名
用户帐号类型
正在运行的进程和应用程序的名称和标识符，包括其“父级”上的数据。

此功能本质上是轻量级的UEBA（用户实体行为分析），这是一种用于分析用户及其代表的应用程序/进程的行为的新技术。

如何验证用户？

用户在公司计算机上工作时，通常会在Active Directory或另一个LDAP目录中进行身份验证。我想获得与远程访问相同的机会，Cisco AnyConnect允许通过支持登录名/密码进行身份验证来实现它，包括一次性密码（例如LinOTP），用户或机器证书，硬件令牌（例如智能卡或Yubikey），甚至是生物识别技术和其他多因素身份验证方法。所有这些选项都可以使用RADIUS，RSA SecurID，SAML，Kerberos等协议轻松地与您的身份验证和身份验证管理解决方案集成。

而且，如果我使用云平台（例如Amazon AWS或MS Azure），那么如何保护家庭用户访问它们？

思科拥有Cisco CSR 1000虚拟路由器，该路由器可以部署在Amazon AWS或MS Azure等云环境中，并且可以终止Cisco AnyConnect创建的VPN隧道。

如果用户使用个人设备工作，那么如何通过此访问权限来提高网络的安全性？

让我们尝试找出用户在远程工作时可以在计算机上做坏事吗？安装包含漏洞的软件，或者简单地不及时通过补丁修复它们。不要更新您的防病毒软件或完全不安装它。使用弱密码。安装具有恶意功能的软件。这可能会使您的公司网络面临风险，并且没有VPN会保护您免受其侵害。但是，由于符合性评估功能，Cisco AnyConnect可以使您检查所有必要和必需的IT / IB策略的设置-补丁的可用性，最新软件版本，更新的防病毒软件，安全功能以及正确的密码长度，然后再提供对公司资源的远程计算机访问权限。，硬盘驱动器加密，某些注册表设置等。使用主机扫描功能（为此您需要Cisco ASA作为远程访问网关）或使用由以下人员提供的系统扫描功能，可以实现此功能：网络访问控制系统Cisco ISE。

而且，如果我使用平板电脑或智能手机并不断移动。我的VPN连接会中断吗，每次都需要重新建立连接吗？

不，不要Cisco AnyConnect具有一个特殊的漫游模块，它使您不仅可以在不同类型的连接（3G / 4G，Wi-Fi等）之间切换时自动透明地重新连接VPN，而且还可以自动保护您的移动设备（毕竟，您不太可能使用Cisco Umbrella解决方案携带一台固定式家用计算机）设备，该设备将检查所有DNS流量以访问钓鱼网站，团队服务器，僵尸网络等。如果您为用户启用了拆分隧道功能，并且该用户可以绕过远程访问网关直接连接到各种Internet资源，则需要连接到伞。即使您未使用VPN，用于连接到Cisco Umbrella的模块也将非常有用-然后将通过此安全服务检查所有流量。

而且您的AnyConnect不会降低视频和语音电话会议的质量吗？

没有。如上所述，Cisco AnyConnect支持DTLS协议，该协议专门用于保护多媒体流量。

实际上，Cisco AnyConnect具有更多功能。它可以在隐身模式下工作，动态选择最佳的远程访问网关，支持IPv6，具有内置的个人防火墙，可以进行远程监控，提供访问控制，支持RDP等。它也被弄混了，以使用户对Cisco AnyConnect可以发出的那些稀有消息没有疑问。因此，Cisco AnyConnect不仅是VPN客户端，而且是提供安全远程访问的更有趣的解决方案，由于冠状病毒大流行，迫使雇主将某些类别的员工转移到远程位置，最近几周它开始流行。

为什么Cisco AnyConnect不仅是VPN客户端