• 身份验证方法- 确定在允许用户访问网络和网络服务之前对其进行标识的方式这种方法通过要求提供有效的用户凭据（通常是用户名和密码）来控制访问。它也可能包括来自客户端的证书。受支持的身份验证方法有仅 AAA、仅客户端证书和 AAA + 客户端证书。

  何时选择以下身份验证方法：

  • 仅 AAA - 如果选择 RADIUS 作为身份验证服务器，则授权服务器默认也采用此选择。从下拉列表中选择记帐服务器。每当从“身份验证服务器”下拉列表中选择 AD 和 LDAP 时，必须手动选择 授权服务器 和 记帐服务器 。

  • SAML-使用 SAML 单点登录服务器对每个用户进行身份验证。有关详细信息，请参阅使用 SAML 2.0 的单点登录身份验证。

    覆盖身份提供程序证书-选择此选项可使用连接配置文件或 SAML 应用特定的 IdP 证书覆盖 SAML 提供程序的主身份提供程序证书。从 IdP 下拉列表中选择证书。

    Microsoft Azure 可以为同一实体 ID 支持多个应用。每个应用（映射到不同的连接配置文件）都需要唯一的证书。如果要在当前连接配置文件中保留单点登录对象的现有实体 ID 并使用其他 IdP 证书，则可以选择此选项。

    这启用每个 Microsoft Azure SAML 身份提供程序支持多个 SAML 应用。

    主身份证书在单点登录服务器对象中配置。

    有关配置单点登陆服务器对象的详细信息，请参阅添加单点登录服务器。

    选择您的 SAML 登录体验 以配置用于 SAML Web 身份验证的浏览器：

    • VPN 客户端嵌入式浏览器-选择此选项可使用 VPN 客户端嵌入式浏览器进行 Web 身份验证。身份验证仅适用于 VPN 连接。

    • 默认操作系统浏览器-选择此选项可配置默认操作系统或支持 WebAuthN（用于 Web 身份验证的 FIDO2 标准）的本地浏览器。此选项启用单点登录 (SSO) 支持 Web 身份验证方法，例如生物识别身份验证。

      默认浏览器需要外部浏览器软件包进行 Web 身份验证。默认情况下配置软件包 默认-外部-浏览器-软件包。您可以通过编辑远程访问 VPN 策略并选择高级 (Advanced) > AnyConnect 客户端映像 (AnyConnect Client Images) > 软件包文件 (Package File) 下的文件来更改默认外部浏览器软件包。

      您还可以通过选择添加新的软件包文件。对象 (Objects) > 对象管理 (Object Management) > VPN > AnyConnect 文件 (AnyConnect File) > 添加 AnyConnect 文件 (Add AnyConnect File)。

  • 仅客户端证书- 使用客户端证书对每个用户进行身份验证。客户端证书必须在 VPN 客户端终端上配置。默认情况下，用户名派生自客户端证书字段 CN 和 OU。如果在客户端证书的其他字段中指定了用户名，请使用“主”字段和“辅助”字段来映射适当的字段。

    选择 启用多个证书身份验证 以使用计算机和用户证书对 VPN 客户端进行身份验证。

    如果已启用多个证书身份验证，则可以选择以下证书之一来映射用户名和对 VPN 用户进行身份验证：

    • 第一个证书-选择此选项以映射从 VPN 客户端发送的计算机证书中的用户名。

    • 第二个证书-选择此选项以映射从客户端发送的用户证书中的用户名。

    注	如果未启用多证书身份验证，则默认情况下使用用户证书（第二证书）进行身份验证。

    如果选择映射特定字段选项（包括客户端证书中的用户名），则主字段和辅助字段将分别显示默认值：CN（公用名）和 OU（组织单位）。如果选择使用整个 DN 作为用户名选项，系统将自动检索用户身份。可分辨名称 (DN) 是由单个字段组成的唯一标识，将用户与连接配置文件匹配时用作标识符。DN 规则用于增强的证书身份验证。

    与映射特定字段选项相关的“主”字段和“辅助”字段包含以下公用值：

    • C（国家/地区）

    • CN（公用名）

    • DNQ（DN 限定符）

    • EA（邮件地址）

    • GENQ（代系限定符）

    • GN（名字）

    • I（首字母）

    • L（地区）

    • N（名字）

    • O（组织）

    • OU（组织单位）

    • SER（序列号）

    • SN（姓氏）

    • SP（省）

    • T（职务）

    • UID（用户 ID）

    • UPN（用户主体名称）

  • 客户端证书和 AAA-每个用户都使用客户端证书和 AAA 服务器进行身份验证。选择身份验证所需的证书和 AAA 配置。

    无论选择哪种身份验证方法，选择或取消选择仅当用户位于授权数据库中时才允许连接。

  • 客户端证书和 SAML-每个用户都使用客户端证书和 AAA 服务器进行身份验证。选择所需的证书和 SAML 配置以进行身份验证。

    • 允许仅在证书中的用户名与 SAML 相同时允许连接-仅当证书中的用户名与 SAML 单点登录用户名匹配时，选择仅允许 VPN 连接。

    • 从客户端证书中使用用户名进行授权-选择从客户端证书中选择用户名进行授权时，必须配置要从客户端证书中选择的字段。

      您可以选择将特定字段映射为用户名，也可以使用整个可分辨名称 (DN) 进行授权：

      • 映射特定字段- 从客户端证书中选择要包含的用户名，则 主要 和 辅助 字段将分别显示默认值： CN（公用名） 和 OU（组织单位） 。

      • 使用整个 DN 作为用户名- 系统将自动检索用户身份用于授权。

    您还可以创建动态访问策略 (DAP)，以将用户特定的 SAML 断言属性或用户名与 DAP 证书属性进行匹配。请参阅配置 DAP 的 AAA 标准设置。

• 身份验证服务器 - 身份验证是在允许用户访问网络和网络服务之前对其进行标识的方式。身份验证需要有效的用户凭证和/或证书。您可以单独使用身份验证功能，也可以将其与授权和记帐功能配合使用。

  如果您已添加服务器或创建身份验证服务器，请从列表中选择身份验证服务器：

  • LOCAL-使用来自 威胁防御 的本地数据库进行用户身份验证。

    • 本地领域-选择本地领域或点击 添加 以配置领域。请参阅创建 Active Directory 领域和领域目录。

  • 领域-配置 LDAP 或 AD 领域。请参阅创建 Active Directory 领域和领域目录。

  • RADIUS 服务器组-使用 RADIUS 服务器添加 RADIUS 服务器组对象。请参阅添加 RADIUS 服务器组。

  • 单点登录服务器-为 SAML 身份验证创建单点登录服务器对象。请参阅添加单点登录服务器。

回退到本地身份验证-使用本地数据库对用户进行身份验证，即使 AAA 服务器组不可用，只要已配置本地数据库，即可建立 VPN 隧道。

• 使用辅助身份验证 - 除主身份验证之外，还配置了辅助身份验证，以便为 VPN 会话提供额外的安全保护。辅助身份验证是仅适用于仅 AAA 和客户端证书和 AAA 身份验证方法。

  辅助身份验证是一项可选功能，该功能要求 VPN 用户在 AnyConnect 登录屏幕上输入两组用户名和密码。您还可以配置为从身份验证服务器或客户端证书预填充辅助用户名。仅当主身份验证和辅助身份验证均成功时，才会授予远程访问 VPN 身份验证。如果任何一个身份验证服务器无法访问或一个身份验证失败，VPN 身份验证将被拒绝。

  必须在配置辅助身份验证前，为辅助用户名和密码配置辅助身份验证服务器组（AAA 服务器）。例如，可以将主身份验证服务器设置为 LDAP 或 Active Directory 领域，将辅助身份验证设置为 RADIUS 服务器。

  注	默认情况下，无需辅助身份验证。

  身份验证服务器 - 为 VPN 用户提供辅助用户名和密码的辅助身份验证服务器。

  • 回退到本地身份验证-使用本地数据库对此用户进行身份验证，即使 AAA 服务器组不可用，只要已配置本地数据库，即可建立 VPN 隧道。

  选择 辅助身份验证的用户名以下的选项：

  • 提示： 在登录 VPN 网关时，提示用户输入用户名和密码。

  • 使用主身份验证用户名： 用户名从主身份验证服务器获取，用于主身份验证和辅助身份验证；必须输入两个密码。

  • 映射客户端证书中的用户名： 预填充客户端证书中的辅助用户名。

    如果已启用多个证书身份验证，则可以选择以下证书之一：

    • 第一个证书-选择此选项以映射从 VPN 客户端发送的计算机证书中的用户名。

    • 第二个证书-选择此选项以映射从客户端发送的用户证书中的用户名。

    • 如果选择映射特定字段选项，其中包括来自客户端证书的用户名。则主和辅助字段将显示默认值：CN (公用名称) 和 OU (组织单位)。如果选择使用整个 DN（可分辨名称）作为用户名选项，系统将自动检索用户身份。

      有关主字段和辅助字段映射的详细信息，请参阅身份验证方法说明。

    • 在用户登录窗口预填证书中的用户名 (Prefill username from certificate on user login window)： 用户通过 AnyConnect VPN 客户端连接时，预填充客户端证书中的辅助用户名。

      • 在登录窗口隐藏用户名： 辅助用户名是从客户端证书预填充的，但对用户隐藏，确保用户不会修改预填充的用户名。

  • 使用 VPN 会话的辅助用户名： 辅助用户名用于在 VPN 会话期间报告用户活动。

• 身份验证服务器-身份验证完成后，授权将控制对每个经过身份验证的用户都可用的服务和命令。授权通过组合一组描述用户被授权执行的操作、其实际功能和限制的属性来工作。当您不使用授权，则单独的身份验证将为所有经过身份验证的用户提供相同的访问权限。授权需要进行身份验证。

  要了解有关远程访问 VPN 授权工作原理的更多信息，请参阅 了解权限和属性的策略实施。

  在连接配置文件中配置了 RADIUS 服务器以进行用户授权时，远程访问 VPN 系统管理员可以为用户或用户组配置多个授权属性。在 RADIUS 服务器上配置的授权属性可以特定于用户或用户组。用户通过身份验证后，这些特定的授权属性将被推送到 威胁防御设备。

  注	从授权服务器获得的 AAA 服务器属性覆盖了之前在组策略或连接配置文件上可能已经配置的属性值。

• 如果需要，请选择仅当用户位于授权数据库中时才允许连接。

  启用该选项后，系统检查客户端的用户名必须存在于授权数据库中，才可以成功进行连接。如果授权数据库中不存在该用户名，则连接被拒绝。

• 当您选择领域作为授权服务器时，必须配置 LDAP 属性映射。您可以选择用于身份验证和授权的单个服务器或其他服务器。点击 配置 LDAP 属性映射 以添加用于授权的 LDAP属性映射。

  注	威胁防御 不支持将 SAML 身份提供程序用作授权服务器。如果 SAML 身份提供程序后面的 Active Directory 可通过 管理中心 和 威胁防御 访问，则可以按照以下步骤配置授权： 为 AD 服务器添加领域。请参阅创建 Active Directory 领域和领域目录。 选择领域对象作为远程访问 VPN 连接配置文件中的授权服务器。 为所选领域配置 LDAP 属性映射。

  有关配置 LDAP 属性映射的信息，请参阅 配置 LDAP 属性映射。

• 记账服务器-记账用于跟踪用户正在访问的服务和他们正在使用的网络资源量。当激活 AAA 记帐时，网络访问服务器会向 RADIUS 服务器报告用户活动。记账信息包括每个会话的开始和停止时间、用户名、会话时通过设备的字节数、使用的服务以及每个会话的持续时间。然后系统可以分析该数据，以进行网络管理、客户端计费或审核。您可以单独使用记帐功能，也可以将其与身份验证和授权功能配合使用。

  指定将用于对远程访问 VPN 会话进行记帐的 RADIUS 服务器组对象。

• 从用户名删除领域- 在将用户名传递到 AAA 服务器之前，选择要从用户名删除领域。例如，如果选择此选项并提供域\用户名，则该域将从用户名中删除，并发送到 AAA 服务器进行身份验证。默认情况下，此选项处于取消选中状态。

• 从用户名删除组- 在将用户名传递到 AAA 服务器之前，选择要从用户名删除组名称。默认情况下，此选项处于取消选中状态。

  注	领域是管理域。启用这些选项将允许仅基于用户名进行身份验证。您可以启用这些选项的任意组合。但是，如果服务器无法分析分隔符，则必须选中这两个复选框。

• 密码管理 (Password Management)：启用远程访问 VPN 用户的密码管理。选择以提前通知密码到期或密码到期的日期。

客户端服务服务器提供 HTTPS (SSL) 访问，以允许 AnyConnect下载程序接收软件升级、配置文件、本地化和自定义文档、CSD、SCEP 以及客户端所需的其他文件下载。如果选择此选项，请指定客户端服务端口号。如果不启用客户端服务服务器，用户将无法下载 AnyConnect可能需要的任何文件。

使用完美前向保密 (PFS) 为每个加密交换生成和使用唯一会话密钥。唯一会话密钥可保护交换免于后续解密，即使整个交换已被记录且攻击者已经获得终端设备使用的预共享或私有密钥。如果选择此选项，也请选择在模数组 (Modulus Group) 列表中生成 PFS 会话密钥时使用的 Diffie-Hellman 密钥导出算法。

模数组是用于在两个 IPsec 对等体之间派生共享密钥而不将其相互传输的 Diffie-Hellman 组。模数更大则安全性越高，但需要更多的处理时间。两个对等体必须具有匹配的模数组。选择要在远程接入 VPN 配置中允许的模数组。

• 1 - Diffie-Hellman 组 1（768 位模数）。

• 2 - Diffie-Hellman 组 2（1024 位模数）。

• 5 - Diffie-Hellman 组 5（1536 位模数，可为 128 为密钥提供较好的保护，但组 14 更好）。如果使用的是 AES 加密，请使用此组（或更高的组）。

• 14 - Diffie-Hellman 组 14（2048 位模数，可为 128 为密钥提供较好的保护）。

• 19 - Diffie-Hellman 组 19（256 位椭圆曲线字段大小）。

• 20 - Diffie-Hellman 组 20（384 位椭圆曲线字段大小）。

• 21 - Diffie-Hellman 组 21（521 位椭圆曲线字段大小）。

• 24 - Diffie-Hellman 组 24（2048 位模数和 256 位素数阶子组）。

安全关联 (SA) 的生命周期（以秒为单位）。当超过生命周期时，SA 到期且必须在两个对等体之间重新协商。通常，持续期限越短（某种程度上），IKE 协商就越安全。但是，生命周期越长，将来设置 IPsec 安全关联的速度比生命周期较短时更快。

可指定 120 到 2147483647 秒之间的值。默认值为 28800 秒。

使用特定安全关联的 Ipsec 对等体之间在该安全关联到期前可通过的流量（以千字节为单位）。

可指定 10 到 2147483647 千字节之间的值。默认值为 4,608,000 千字节。没有规范允许使用无限数据。

• 验证传入 ICMP 错误消息 (Validate incoming ICMP error messages) - 选择是否验证通过 IPsec 隧道接收，并发往专用网络上的内部主机的 ICMP 错误消息。

• 启用“不分段”策略 (Enable 'Do Not Fragment' Policy) - 定义 IPsec 子系统如何处理大型数据包，这些数据包在 IP 报头中设置了不分片 (DF) 位，然后从策略 (Policy) 列表选择以下一项。

  • 复制 - 维护 DF 位。

  • 清除 - 忽略 DF 位。

  • 设置 - 设置和使用 DF 位。

• 选择启用数据流机密性 (TFC) 数据包 (Enable Traffic Flow Confidentiality [TFC] Packets) - 启用虚拟 TFC 数据包，这些数据包会通过隧道，用于屏蔽流量配置文件。可以使用 Burst、Payload Size 和 Timeout 参数生成穿过指定 SA 的随机长度的数据包。

  注	启用流量保密性 (TFC) 数据包可防止 VPN 隧道处于空闲状态。因此，如果启用了 TFC 数据包，则组策略中配置的 VPN 空闲超时不会按预期工作。请参阅组策略高级选项。

  • 突发 - 指定 1 到 16 字节之间的值。

  • 负载大小 - 指定 64 到 1024 字节之间的值。

  • 超时 - 指定 10 到 60 秒之间的值。

• 发送至对等体的身份-选择对等体将在 IKE 协商期间用于标识自身的身份：

  • 自动-按连接类型确定 IKE 协商：用于预共享密钥的 IP 地址或用于证书身份验证的证书 DN（不受支持）。

  • IP 地址-使用交换 ISAKMP 身份信息的主机的 IP 地址。

  • 主机名称-使用交换 ISAKMP 身份信息的主机的完全限定域名 (FQDN) 。此名称包含主机名和域名。

• 在断联隧道上启用通知-当 SA 上接收的入站数据包与该 SA 的流量选择器不匹配时，允许管理员启用或禁用向对等体发送 IKE 通知。默认情况下会禁用发送此通知。

• 请勿允许设备重新引导直至所有会话被终止-选中以支持等待所有活动在系统重启之前自动终止。默认情况下将禁用此复选框。

• Cookie 质询-是否向对等体设备发送 Cookie 质询，以响应 SA 发起的数据包，这可以帮助阻止拒绝服务 (DoS) 攻击。默认情况下，当 50% 的可用 SA 正在协商时使用 Cookie 质询。选择以下选项之一：

  • 自定义-指定 向质询传入 Cookie 发出挑战的阈值，这是指允许进行协商的总 SA 数的百分比。这将对未来的任何 SA 协商都触发 Cookie 质询。范围为 0 到 100%。默认为 50%。

  • 始终-始终选择向对等设备发送 cookie 质询。

  • 从不-选择从不向对等设备发送 cookie 质询。

• 允许协商的 SA 数量-限制可以随时协商的 SA 的最大数量。如果与 Cookie 质询配合使用，可以配置低于此限制的 Cookie 质询阈值，以便实现有效的交叉检查。默认为 100 %。

• 允许的最大 SA 数量-限制 ASA 上允许的 IKEv2 连接的数量。

• 解密前启用分片-此选项允许流量通过不支持 IP 分片的 NAT 设备。这不影响支持 IP 分片的 NAT 设备的运行。

• 路径最大传输单元老化-选中以启用 PMTU（路径最大传输单元）老化，设置 SA（安全关联）的 PMTU 的间隔。

• 值重置间隔-输入 SA（安全关联）的 PMTU 值重置为其原始值的分钟数。有效范围是 10 到 30 分钟，默认值为不受限制。

• 保持连接消息穿越 - 选择是否启用 NAT 保持连接消息穿越。NAT 遍历保持连接用于在 VPN 连接的中心和分支之间存在设备（中间设备）并且该设备对 IPsec 流执行 NAT 时，传输保持连接消息时。如果选择此选项，请配置在分支和中间设备之间发送的保持连接信号之间的间隔（以秒为单位），以指示会话处于活动状态。此值可以介于 10 到 3600 秒之间。默认值为 20 秒。

• 间隔-设置 NAT 保持连接间隔，范围从 10 秒到 3600 秒。默认值为 20 秒。