支持的操作系统
Cisco AnyConnect Secure Mobility Client 4.9 支持以下操作系统。
|
|
|
|
Windows
|
Microsoft 支持的 Windows 10 版本,适用于基于 ARM64 的 PC(仅在 VPN 客户端和 DART 中受支持)
Microsoft 当前支持的 Windows 10 x86(32 位)和 x64(64 位)版本
Windows 8.1 x86(32 位)和 x64(64 位)
Windows 8 x86(32 位)和 x64(64 位)
Windows 7 SP1 x86(32 位)和 x64(64 位)
|
|
|
|
Mac
|
macOS 10.13*、10.14(64 位)和 10.15(64 位)
|
|
Linux
|
Red Hat 6 和 7(64 位)
|
|
Ubuntu 16.04 (LTS)、18.04 (LTS) 和 20.04 (LTS)(均为 64 位)
|
注: 思科不再支持适用于 Windows XP 的 AnyConnect 版本。
有关操作系统要求和支持说明,请参阅
Cisco AnyConnect Secure Mobility Client 版本说明
。有关许可条款和条件,请参阅
补充最终用户协议 (SEULA)
。有关各类许可证的订购信息明细以及具体条款和条件,请参阅Cisco
AnyConnect
订购指南
。
有关适用于 AnyConnect 模块和功能的许可证信息及操作系统限制,请参阅以下功能表。
AnyConnect 4.3(及更高版本)已移至 Visual Studio (VS) 2015 版本环境,并且需要可再分发的 VS 文件以实现其网络访问管理器模块的功能。这些文件作为安装文件包的组成部分安装。您可以使用 .msi 文件将网络访问管理器模块升级到 4.3(或更高版本),但必须先升级 AnyConnect 安全移动客户端并运行版本 4.3(或更高版本)。
此外,由于添加了 AnyConnect Umbrella 漫游安全模块,因此需要 Microsoft .NET 4.0。
许可证选项
要使用 AnyConnect 安全移动客户端 4.9,您需要购买 AnyConnect Plus 许可证或 AnyConnect Apex 许可证。具体需要哪类许可证,应根据您计划使用的 AnyConnect VPN 客户端和安全移动功能以及要支持的会话数量而定。这些基于用户的许可证包含支持和软件更新访问权限,以便用户能够紧跟 BYOD 总体趋势。
AnyConnect 4.9 许可证用于思科 ASA 5500 系列自适应安全设备 (ASA)、集成服务路由器 (ISR)、云服务路由器 (CSR)、聚合服务路由器 (ASR) 以及其他非 VPN 前端(如身份服务引擎 (ISE)、云网络安全 (CWS) 和网络安全设备 (WSA))。各类头端均使用一致的模型,因此即使发生头端迁移,也不会造成任何影响。
您的部署可能需要以下一个或多个 AnyConnect 许可证:
|
|
|
|
AnyConnect Plus
|
支持基本 AnyConnect 功能,例如面向 PC 和移动平台的 VPN 功能(AnyConnect 和基于标准的 IPsec IKEv2 软件客户端)、FIPS、基本终端情景集合、802.1x Windows 请求方和网络安全 SSL VPN。Plus 许可证最适用于先前使用 AnyConnect 基础版许可证的环境以及网络访问管理器或网络安全模块的用户。
|
|
AnyConnect Apex
|
支持所有基本 AnyConnect Plus 功能以及一些高级功能,例如无客户端 VPN、VPN 终端安全评估代理、统一终端安全评估代理、下一代加密/Suite B、SAML、所有 Plus 服务和 Flex 许可证。Apex 许可证最适合以前由 AnyConnect 高级版、共享版、Flex 版和高级终端评估许可证提供支持的环境。
|
|
仅 VPN(永久)
|
支持 PC 和移动平台的 VPN 功能、ASA 上的无客户端(基于浏览器)VPN 终端、与 ASA 相结合的仅 VPN 合规性和安全评估代理、FIPS 合规性以及使用 AnyConnect 和第三方 IKEv2 VPN 客户端的下一代加密 (Suite B)。仅 VPN 许可证最适合具有以下特征的环境:要将 AnyConnect 专门用于远程访问 VPN 服务,但是用户总数很大或不可预知。此许可证不提供任何其他 AnyConnect 功能或服务(如网络安全模块、思科 Umbrella 漫游、ISE 安全评估、Network Visibility Module 或网络访问管理器)。
|
AnyConnect Plus 版和 Apex 版许可证
在思科商务工作空间网站上选择服务级别(Apex 或 Plus)和期限(1 年、3 年或 5 年)。需要的许可证数量取决于将要使用 AnyConnect 的独立用户或授权用户的数量。AnyConnect 4.9 不基于同时连接数获得许可证。您可以在同一个环境中混合使用 Apex 和 Plus 许可证,每位用户只需要一个许可证。
获得 AnyConnect 4.9 许可证的客户也有权使用先前的 AnyConnect 版本。
功能表
以下各部分列出了 AnyConnect 4.9 模块和功能、其最低版本要求、许可证要求和支持的操作系统:
- 核心功能
- 连接和断开连接功能
- 身份验证和加密功能
- 接口
- HostScan 和终端安全评估
- ISE 终端安全评估
- 客户体验反馈
- 诊断和报告工具 (DART)
AnyConnect 部署和配置
|
|
|
|
|
|
|
|
延迟升级
|
ASA 9.0
ASDM 7.0
|
Plus
|
是
|
是
|
是
|
|
Windows 服务锁定
|
ASA 8.0(4)
ASDM 6.4(1)
|
Plus
|
是
|
否
|
否
|
|
更新策略、软件和配置文件锁定
|
ASA 8.0(4)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
自动更新
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
Web 启动
(仅限 32 位浏览器)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
预部署
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
自动更新客户端配置文件
|
ASA 8.0(4)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
AnyConnect 配置文件编辑器
|
ASA 8.4(1)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
用户可控制的功能
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
核心功能
|
|
|
|
|
|
|
|
SSL(TLS 和 DTLS),包括 Per App VPN
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
TLS 压缩
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
DTLS 回退到 TLS
|
ASA 8.4.2.8
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
IPsec/IKEv2
|
ASA 8.4(1)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
拆分隧道
|
ASA 8.0(x)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
动态拆分隧道
|
ASA 9.0
|
Plus、Apex
或仅 VPN
|
是
|
是
|
否
|
|
增强型动态分割隧道
|
ASA 9.0
|
Plus、Apex
或仅 VPN
|
是
|
是
|
否
|
|
拆分 DNS
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
忽略浏览器代理
|
ASA 8.3(1)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
代理自动配置 (PAC)
文件生成
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
Internet Explorer
连接选项卡锁定
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
最佳网关选择
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
全球站点选择器 (GSS) 兼容性
|
ASA 8.0(4)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
本地局域网接入
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
通过客户端防火墙规则访问受限设备以进行同步
|
ASA 8.3(1)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
通过客户端防火墙规则访问本地打印机
|
ASA 8.3(1)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
IPv6
|
ASA 9.0
ASDM 7.0
|
Plus
|
是
|
是
|
否
|
|
进一步 IPv6 实施
|
ASA 9.7.1
ASDM 7.7.1
|
Plus
|
是
|
是
|
是
|
|
证书固定
|
无依赖性
|
Plus、Apex
或仅 VPN
|
是
|
是
|
是
|
|
管理 VPN 隧道
|
ASA 9.0
ASDM 7.10.1
|
Apex
|
是
|
否
|
否
|
连接和断开连接功能
|
|
|
|
|
|
|
|
无客户端和 AnyConnect 同步连接
|
ASA8.0(4)
ASDM 6.3(1)
|
Apex
|
是
|
是
|
是
|
|
登录前启动 (SBL)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
连接和断开连接时运行脚本
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
连接时最小化
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
启动时自动连接
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
自动重新连接(系统挂起时断开,系统恢复时重新连接)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
建立远程用户 VPN
(允许或拒绝)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
登录强制(如果其他用户登录,则终止 VPN
会话)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
保留 VPN 会话(用户注销,然后此用户或其他用户登录时)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
否
|
否
|
|
值得信赖的网络检测 (TND)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
永远在线(必须连接 VPN 才能访问网络)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
通过 DAP 的“永远在线”例外
|
ASA 8.3(1)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
连接失败策略(VPN 连接失败时允许或不允许互联网访问)
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
强制网络门户检测
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
强制网络门户补救
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
否
|
|
增强的强制网络门户补救
|
无依赖性
|
Plus
|
是
|
否
|
否
|
身份验证和加密功能
|
|
|
|
|
|
|
|
仅使用证书的身份验证
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
RSA SecurID/SoftID 集成
|
Plus
|
是
|
否
|
否
|
|
智能卡支持
|
Plus
|
是
|
是
|
否
|
|
SCEP(如果使用了计算机 ID,则需要终端安全评估模块)
|
Plus
|
是
|
是
|
否
|
|
列出和选择证书
|
Plus
|
是
|
否
|
否
|
|
FIPS
|
Plus
|
是
|
是
|
是
|
|
适用于 IPsec IKEv2 的 SHA-2(数字签名、
完整性和 PRF)
|
ASA 8.0(4)
ASDM 6.4(1)
|
Plus
|
是
|
是
|
是
|
|
强加密(AES-256 和 3des-168)
|
Plus
|
是
|
是
|
是
|
|
NSA Suite-B(仅 IPsec)
|
ASA 9.0
ASDM 7.0
|
Apex
|
是
|
是
|
是
|
|
启用 CRL 检查
|
n/a
|
Apex
|
是
|
否
|
否
|
|
SAML 2.0 SSO
|
ASA 9.7.1
ASDM 7.7.1
|
仅 Apex 或 VPN
|
是
|
是
|
是
|
|
增强型 SAML 2.0
|
ASA 9.7.1.24
ASA 9.8.2.28
ASA 9.9.2.1
|
仅 Apex 或 VPN
|
是
|
是
|
是
|
|
多重证书验证
|
ASA 9.7.1
ASDM 7.7.1
|
Plus、Apex 或仅 VPN
|
是
|
是
|
是
|
接口
|
|
|
|
|
|
|
|
GUI
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
|
是
|
是
|
是
|
|
命令行
|
是
|
是
|
是
|
|
API
|
是
|
是
|
是
|
|
Microsoft 组件对象模块 (COM)
|
是
|
否
|
否
|
|
用户消息本地化
|
是
|
是
|
否
|
|
自定义 MSI 转换
|
是
|
否
|
否
|
|
用户定义的资源文件
|
是
|
是
|
否
|
|
客户端帮助
|
ASA 9.0
ASDM 7.0
|
是
|
是
|
是
|
AnyConnect 网络访问管理器
|
|
|
|
|
|
|
|
核心
|
ASA 8.4(1)
ASDM 6.4(1)
|
Plus
|
是
|
否
|
否
|
|
有线支持 IEEE 802.3
|
是
|
|
无线支持 IEEE 802.11
|
是
|
|
登录前和单点登录身份验证
|
是
|
|
IEEE 802.1X
|
是
|
|
IEEE 802.1AE MACsec
|
是
|
|
EAP 方法
|
是
|
|
FIPS 140-2 第 1 层
|
是
|
|
移动宽带支持
|
ASA 8.4(1)
ASDM 7.0
|
是
|
|
IPv6
|
ASA 9.0
ASDM 7.0
|
是
|
|
NGE 和 NSA Suite B
|
是
|
|
用于 VPN 连接的 TLS 1.2*
|
n/a
|
|
是
|
否
|
否
|
* 如果您使用 ISE 作为 RADIUS 服务器,请注意以下准则:
ISE 在版本 2.0 中开始支持 TLS 1.2。如果您具有 AnyConnect 版本 4.7 以及 TLS 1.2 和低于版本 2.0 的 ISE 版本,则网络访问管理器和 ISE 将协商为 TLS 1.0。因此,如果您将 AnyConnect 网络访问管理器升级到 4.7,并将 EAP-FAST 与 ISE 2.0(或更高版本)一起用于 RADIUS 服务器,则必须升级至 ISE 的 2.4p5 版本。
HostScan 和终端安全评估
|
|
|
|
|
|
|
|
终端评估
|
ASA 8.0(4)
ASDM 6.3(1)
|
Apex
|
是
|
是
|
是
|
|
终端补救
|
Apex
|
是
|
是
|
是
|
|
隔离
|
Apex
|
是
|
是
|
是
|
|
隔离状态和终止消息
|
ASA 8.3(1)
ASDM 6.3(1)
|
Apex
|
是
|
是
|
是
|
|
HostScan 数据包更新
|
ASA 8.4(1)
ASDM 6.4(1)
|
Apex
|
是
|
是
|
是
|
|
主机仿真检测
|
Apex
|
是
|
否
|
否
|
|
OPSWAT v4
|
ASA 9.9(1)
ASDM 7.9(1)
|
Apex
|
是
|
是
|
是
|
ISE 终端安全评估
|
|
|
|
|
|
|
|
|
|
授权更改 (CoA)
|
4.0
|
ASA 9.2.1
ASDM 7.2.1
|
2.0
|
Plus
|
是
|
是
|
是
|
|
ISE 终端安全评估配置文件编辑器
|
4.0
|
ASA 9.2.1
ASDM 7.2.1
|
n/a
|
Apex
|
是
|
是
|
是
|
|
AC 身份扩展 (ACIDex)
|
4.0
|
n/a
|
2.0
|
Plus
|
是
|
是
|
是
|
|
ISE 终端安全评估模块
|
4.0
|
n/a
|
2.0
|
Apex
|
是
|
是
|
否
|
|
检测 USB 大容量存储设备(仅限 v4)
|
4.3
|
n/a
|
2.1
|
Apex
|
是
|
否
|
否
|
|
OPSWAT v4
|
4.3
|
n/a
|
2.1
|
Apex
|
是
|
是
|
否
|
|
用于终端安全评估的隐形代理
|
4.4
|
n/a
|
2.2
|
Apex
|
是
|
是
|
否
|
|
持续终端监控
|
4.4
|
n/a
|
2.2
|
Apex
|
是
|
是
|
否
|
|
下一代调配和发现
|
4.4
|
n/a
|
2.2
|
Apex
|
是
|
是
|
否
|
|
应用终止和卸载功能
|
4.4
|
n/a
|
2.2
|
Apex
|
是
|
是
|
否
|
|
思科临时代理
|
4.5
|
n/a
|
2.3
|
ISE Apex
|
是
|
是
|
否
|
|
增强的 SCCM 方法
|
4.5
|
n/a
|
2.3
|
AC Apex 和 ISE Apex
|
是
|
否
|
否
|
|
用于可选模式的终端安全评估策略增强功能
|
4.5
|
n/a
|
2.3
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
配置文件编辑器中的定期检测间隔
|
4.5
|
n/a
|
2.3
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
硬件清单的可视性
|
4.5
|
n/a
|
2.3
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
不兼容设备的宽限期
|
4.6
|
不适用
|
2.4
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
安全状态重新扫描
|
4.6
|
不适用
|
2.4
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
AnyConnect
隐身模式通知
|
4.6
|
不适用
|
2.4
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
禁用 UAC 提示
|
4.6
|
不适用
|
2.4
|
AC Apex 和 ISE Apex
|
是
|
否
|
否
|
|
增强的宽限期
|
4.7
|
不适用
|
2.6
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
|
补救窗口的自定义通知控制和修补
|
4.7
|
不适用
|
2.6
|
AC Apex 和 ISE Apex
|
是
|
是
|
否
|
警告!
不兼容警告:如果您是运行 2.0 或更高版本的 ISE 客户,则必须先阅读此信息,然后再继续!
自版本 2.0 起,ISE RADIUS 支持 TLS 1.2;但是,在使用 TLS 1.2,由 CSCvm03681 跟踪时,EAP-FAST 的 ISE 实施中存在缺陷。 此缺陷已在 ISE 的 2.4p5 版本中得到修复。
如果 NAM 4.7 用于将 EAP-FAST 与上述版本之前支持 TLS 1.2 的任何 ISE 版本配合使用来进行身份验证,则身份验证将失败,且终端将无法访问网络。
Web 安全
|
|
|
|
|
|
|
|
核心
|
ASA 8.4(1)
ASDM 6.4(1)
|
Plus
|
支持
支持
|
是
|
否
|
|
云托管配置
|
|
安全的值得信赖的网络检测
|
ASA 8.4(1)
ASDM 7.0
|
|
动态配置元素
|
|
Fail Close/Fail Open 策略
|
AMP 启用程序
|
|
|
|
|
|
|
|
|
AMP 启用程序
|
ASDM 7.4.2
ASA 9.4.1
|
ISE 1.4
|
Plus
|
支持
|
支持
|
不支持
|
网络可视性模块
|
|
|
|
|
|
|
|
|
网络可视性模块
|
ASDM 7.5.1
ASA 9.5.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
调整数据的发送速率
|
ASDM 7.5.1
ASA 9.5.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
自定义 NVM 计时器
|
ASDM 7.5.1
ASA 9.5.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
用于数据收集的广播和多播选项
|
ASDM 7.5.1
ASA 9.5.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
创建匿名配置文件
|
ASDM 7.5.1
ASA 9.5.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
使用散列的更广泛的数据收集和匿名化
|
ASDM 7.7.1
ASA 9.7.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
支持 Java 作为容器
|
ASDM 7.7.1
ASA 9.7.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
自定义缓存配置
|
ASDM 7.7.1
ASA 9.7.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
定期流报告
|
ASDM 7.7.1
ASA 9.7.1
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
流过滤器
|
不适用
|
不依赖于 ISE
|
Apex
|
支持
|
支持
|
支持
|
|
独立 NVM
|
n/a
|
n/a
|
Apex
|
支持
|
支持
|
支持
|
客户体验反馈
|
|
|
|
|
|
|
|
客户体验反馈
|
ASA 8.4(1)
ASDM 7.0
|
Plus
|
是
|
是
|
否
|
诊断和报告工具 (DART)
|
|
|
|
|
|
|
|
VPN
|
ASA 8.0(4)
ASDM 6.3(1)
|
Plus
Apex
|
是
|
是
|
是
|
|
网络访问管理器
|
ASA 8.4(1)
ASDM 6.4(1)
|
是
|
否
|
否
|
|
终端安全评估
|
是
|
是
|
是
|
|
网络安全
|
是
|
是
|
否
|
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表,请转至此 URL:
www.cisco.com/go/trademarks
。文中提及的第三方商标为其相应所有者的财产。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。(1110R)
本文档中使用的任何互联网协议 (IP) 地址和电话号码并非实际地址和电话号码。本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。说明性内容中用到的任何真实 IP 地址或电话号码纯属巧合,并非有意使用。
反餽