ASA 7.2.x for Windows上的Cisco Secure Desktop (CSD 3.1.x)使用ASDM的配置示例

簡介

Cisco Secure Desktop (CSD)擴展了SSL VPN技術的安全性。CSD在使用者的工作站上為會話活動提供單獨的分割槽。此保管庫區域在會話期間加密，並在SSL VPN會話結束時完全刪除。Windows可以配置CSD的全部安全優勢。Macintosh、Linux和Windows CE只能訪問Cache Cleaner、Web Browsing和File Access功能。CSD可以配置給Windows、Macintosh、Windows CE和Linux裝置在以下平台上：

• 思科調適型安全裝置(ASA) 5500系列

• 執行Cisco IOS^®軟體版本12.4(6)T和更新版本的Cisco路由器

• Cisco VPN 3000系列集中器4.7版及更高版本

• Catalyst 6500和7600系列路由器上的Cisco WebVPN模組

注意：CSD版本3.3現在允許您將Cisco Secure Desktop配置為在運行Microsoft Windows Vista的遠端電腦上運行。以前，Cisco Secure Desktop僅限於運行Windows XP或2000的電腦。有關詳細資訊，請參閱《Cisco Secure Desktop發行版本註釋（3.3版）》的新增強功能- Vista上的Secure Desktop部分。

本示例主要包括如何在ASA 5500系列上為Windows客戶端安裝和配置CSD。增加了Windows CE、Mac和Linux客戶端的可選配置以便完成。

CSD可與SSL VPN技術(無客戶端SSL VPN、瘦客戶端SSL VPN或SSL VPN客戶端(SVC))配合使用。CSD為SSL VPN技術的安全會話增加了價值。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

ASA裝置要求

• Cisco CSD版本3.1或更高版本

• Cisco ASA軟體版本7.1.1或更高版本

• 思科自適應安全裝置管理器(ASDM)版本5.1.1或更高版本

  注意：僅ASA 8.x版支援CSD 3.2版

  注意：要使ASDM可配置ASA，請參閱允許ASDM進行HTTPS訪問。

使用者端電腦的需求

• 遠端客戶端應具有本地管理許可權；這不是必需的，但強烈建議這樣做。

• 遠端客戶端必須具有Java Runtime Environment (JRE) 1.4版或更高版本。

• 遠端客戶端瀏覽器：Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2或Firefox 1.0

• 遠端使用者端上啟用Cookie和允許快顯

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco ASDM版本5.2(1)

• Cisco ASA版本7.2(1)

• Cisco CSD版本securedesktop-asa-3.1.1.32-k9.pkg

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態開始。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。此配置中使用的IP地址為RFC 1918地址。這些IP地址在Internet上不合法，只能在測試實驗室環境中使用。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

CSD使用SSL VPN技術運行，因此應在配置CSD之前啟用無客戶端、瘦客戶端或SVC。

網路圖表

不同的Windows位置可以配置CSD的完整安全功能。Macintosh、Linux和Windows CE只能訪問Cache Cleaner和/或Web瀏覽和檔案訪問。

此文件使用以下網路設定：

在ASA上為Windows客戶端配置CSD

在ASA上為Windows客戶端配置CSD，主要步驟有五個：

• 在Cisco ASA上獲取、安裝和啟用CSD軟體。

• 定義Windows位置。

• 定義Windows位置標識。

• 配置Windows位置模組。

• 配置Windows位置功能。

• Windows CE、Macintosh和Linux客戶端的可選配置。

獲取、安裝和啟用CSD軟體

完成以下步驟可在Cisco ASA上獲取、安裝和啟用CSD軟體。

1. 從Cisco軟體下載網站將CSD軟體securedesktop-asa*.pkg和自述檔案下載到您的管理站。

2. 登入到ASDM並按一下Configuration按鈕。在左選單中，按一下CSD Manager按鈕，然後按一下Cisco Secure Desktop連結。

   

3. 按一下Upload顯示「Upload Image」窗口。

   1. 輸入新.pkg檔案在管理站上的路徑，或者按一下Browse Local Files查詢檔案。

   2. 輸入要在快閃記憶體上存放檔案的位置，或者按一下Browse Flash。

   3. 按一下Upload File。

   4. 出現提示時，按一下OK > Close > OK。

   

4. 客戶端映像載入到快閃記憶體後，選中Enable SSL VPN Client覈取方塊，然後按一下Apply。

5. 按一下Save，然後按一下Yes接受更改。

定義Windows位置

完成以下步驟以定義Windows位置。

1. 按一下Configuration按鈕。

2. 在左選單中，按一下CSD Manager按鈕，然後按一下Cisco Secure Desktop連結。

3. 從導航窗格中按一下Windows Location Settings。

4. 在Location to Add欄位中鍵入位置名稱，然後按一下Add。

   請注意本示例中的三個位置：Office、Home和Others。

   • Office代表位於公司安全邊界內的工作站。

   • 「首頁」代表在家工作的使用者。

   • 「其他」表示上述兩個位置以外的任何位置。

   

5. 根據銷售人員、訪客、合作夥伴和其他人的網路架構佈局，建立您自己的位置。

6. 當您建立Windows位置時，導覽窗格會針對每個新位置展開可設定的模組。按一下Apply All。

7. 按一下Save，然後按一下Yes接受更改。

Windows位置標識

完成以下步驟以定義Windows位置標識。

1. 標識在定義Windows位置中建立的位置。

   

2. 要標識位置「Office」，請在導航窗格中按一下Office。

   1. 取消選中Secure Desktop和Cache Cleaner，這是因為它們不是內部電腦。

   2. 選中Enable identification using IP criteria。

   3. 輸入內部電腦的IP地址範圍。

   4. 選中Enable identification using registry or file criteria。這就將內部辦公室員工與網路中的臨時訪客區分開來。

   

3. 按一下Configure Criteria。配置了一個簡單的檔案「DoNotDelete.txt」示例。此檔案必須存在於您的內部Windows電腦上，而且只是預留位置。您也可以設定Windows登入機碼，以辨識內部辦公室電腦。在「Add File Criterion」窗口中按一下OK。在「Registry and File Criteria」窗口中按一下OK。

   

4. 在「Identification for Office」窗口中按一下Apply All。按一下Save，然後按一下Yes接受更改。

5. 要標識位置「Home」，請在導航窗格中按一下Home。

   1. 選中Enable identification using registry or file criteria。

   2. 按一下Configure Criteria。

   

6. 家庭電腦使用者端必須由系統管理員設定此登入機碼。在「Add Registry Criterion」窗口中按一下OK。在「Registry and File Criteria」窗口中按一下OK。

   

7. 在Location Module下，選中Secure Desktop。在「Identification for Home」窗口中按一下Apply All。按一下Save，然後按一下Yes接受更改。

8. 要標識位置Other，請在導航窗格中按一下Other。

   1. 僅選中Cache Cleaner框，並取消選中所有其他框。

   2. 在「Identification for Other」窗口中按一下Apply All。

   3. 按一下Save，然後按一下Yes接受更改。

   

設定Windows位置模組

完成以下步驟，在您建立的三個位置下配置模組。

1. 對於Office客戶端，不要執行任何操作，因為在上面的步驟中未選擇Secure Desktop和Cache Cleaner。ASDM應用程式允許您配置Cache Cleaner，即使在上一步中未選擇它。保留Office位置的預設設定。

   注意：此步驟中未討論VPN功能策略，但將在後續步驟中對所有位置進行討論。

2. 對於「Home」客戶端，請在導航窗格中按一下Home和Keystroke Logger。

   1. 在「Keystroke Logger」窗口中，選中Check for keystroke loggers。

   2. 在「Keystroke Logger」窗口中按一下Apply All。

   3. 按一下Save，然後按一下Yes接受更改。

   

3. 在「Home」下選擇Cache Cleaner和適合您的環境的引數。

   

4. 在「Home」下選擇Secure Desktop General和適合您的環境的引數。

   

5. 在「Home」下選擇Secure Desktop Settings。

   1. 選中Allow email applications to work transparently，並配置適合您的環境的其他設定。

   2. 按一下Apply All。

   3. 按一下Save，然後按一下Yes接受更改。

   

配置Windows位置功能

為建立的每個位置配置VPN功能策略。

1. 在導航窗格中，按一下「Office」，然後按一下VPN Feature Policy。

2. 按一下Group-Based Policy頁籤。

   1. 按一下Always use Success Group-Policy單選按鈕。

   2. 按一下Web browsing頁籤，並選中Always Enabled單選按鈕。

   3. 針對「File access」、「Port forwarding」和「Full tunneling」頁籤執行相同步驟。

   4. 按一下Apply All。

   5. 按一下Save，然後按一下Yes接受更改。

   

3. 對於家庭使用者，每個公司都可以在允許訪問之前要求特定的策略。在導航窗格中，按一下Home，然後按一下VPN Feature Policy。

   1. 按一下Group-Based Policy頁籤。

   2. 如果預先配置的標準（如特定登錄檔項、已知檔名或數位證書）匹配，請按一下Use Success Group-Policy單選按鈕。

   3. 選中Location Module覈取方塊並選擇Secure Desktop。

   4. 根據公司安全策略選擇Anti-Virus， Anti-Spyware， Firewall和OS區域。除非家庭使用者的電腦滿足配置的標準，否則不允許他們訪問網路。

   

4. 在導航窗格中，按一下Other，然後按一下VPN Feature Policy。

   1. 按一下Group-Based Policy頁籤。

   2. 按一下Always use Success Group-Policy單選按鈕。

   

5. 對於此VPN Feature Policy位置中的客戶端，請按一下Web Browsing頁籤，然後按一下Always Enabled單選按鈕。

   1. 按一下File Access頁籤，然後按一下Disable單選按鈕。

   2. 請對Port Forwarding和Full Tunneling頁籤重複此步驟。

   3. 按一下Apply All。

   4. 按一下Save，然後按一下Yes接受更改。

   

Windows CE、Macintosh和Linux客戶端的可選配置

這些配置是可選的。

1. 如果在導航窗格選擇了Windows CE，請選中Web browsing覈取方塊。

   

2. 如果在導航窗格選擇了Mac and Linux Cache Cleaner，請選中Launch cleanup upon global timeout單選按鈕。

   1. 將逾時變更為您的規格。

   2. 在VPN Feature Policy區域下，為這些客戶端選中Web browsing 、File access和Port forwarding單選按鈕。

   

3. 無論您選擇Windows CE還是Mac and Linux Cache Cleaner，請按一下Apply All。

4. 按一下Save，然後按一下Yes接受更改。

設定

組態

此配置反映了ASDM對啟用CSD所做的更改：大多數CSD配置儲存在快閃記憶體上的單獨檔案中。

ciscoasa#show running-config 
 Building configuration...
ASA Version 7.2(1) 

!

hostname ciscoasa

domain-name cisco.com

enable password 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 172.22.1.160 255.255.255.0 

!

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 10.2.2.1 255.255.255.0 

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

 management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

dns server-group DefaultDNS

 domain-name cisco.com

no pager

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500


!--- ASDM location on disk0


asdm image disk0:/asdm521.bin

no asdm history enable

arp timeout 14400

nat-control

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

!--- some group policy attributes

group-policy GroupPolicy1 internal

group-policy GroupPolicy1 attributes

 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

 webvpn

  functions url-entry file-access file-entry file-browsing

username user1 password mbO2jYs13AXlIAGa encrypted privilege 15

username user1 attributes

 vpn-group-policy GroupPolicy1

username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

username cisco attributes

 vpn-group-policy DfltGrpPolicy

 webvpn

  port-forward none

  port-forward-name value Application Access

http server enable

http 10.2.2.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- tunnel group information

tunnel-group DefaultWEBVPNGroup general-attributes

 default-group-policy GroupPolicy1

tunnel-group DefaultWEBVPNGroup webvpn-attributes

 hic-fail-group-policy GroupPolicy1

 nbns-server 10.2.2.30 timeout 2 retry 2

telnet timeout 5

ssh timeout 5

console timeout 0

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect netbios 

  inspect rsh 

  inspect rtsp 

  inspect skinny 

  inspect esmtp 

  inspect sqlnet 

  inspect sunrpc 

  inspect tftp 

  inspect sip 

  inspect xdmcp 

!

service-policy global_policy global

!--- webvpn parameters

webvpn

 port 1443

 enable outside

 enable inside

!--- csd location

 csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg

 csd enable

 customization DfltCustomization

  title text YOUR-COMPANY SSL VPN Services

  title style background-color: rgb(204,204,255);color: rgb(51,0,255);

  border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align:

  left;font-weight:bold

 url-list ServerList "Windows Shares" cifs://10.2.2.30 1

 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2

 tunnel-group-list enable

prompt hostname context 

Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0

: end
 !
 end

驗證

使用本節內容，確認無客戶端SSL VPN、瘦客戶端SSL VPN或SSL VPN客戶端(SVC)的配置是否正常運行。

使用配置了各種Windows位置的PC測試CSD。每個測試應根據您在上例中配置的策略提供不同的訪問許可權。

您可以更改Cisco ASA監聽WebVPN連線的埠號和介面。

• 預設埠為443。如果使用預設埠，則訪問地址為https://ASA IP地址。

• 使用不同埠可將訪問地址更改為https://ASA IP地址：newportnumber。

命令

有若干show命令與WebVPN關聯。您可以在命令列介面(CLI)執行這些命令以顯示統計資訊和其他資訊。要詳細檢視show命令的用法，請參閱驗證WebVPN配置。

注意：輸出直譯器工具(僅限註冊客戶)(OIT)支援某些show命令。使用OIT檢視對show命令輸出的分析。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

如果遠端客戶端出現問題，請檢查以下內容：

1. 在Web瀏覽器中是否已啟用彈出窗口、Java和/或ActiveX？可能需要根據使用的SSL VPN連線型別啟用這些連線。

2. 客戶端必須接受會話開始時提供的數位證書。

命令

有若干debug命令與WebVPN關聯。有關這些命令的詳細資訊，請參閱使用WebVPN Debug命令。

注意：使用debug命令可能會對Cisco裝置造成負面影響。使用 debug 命令之前，請先參閱有關偵錯命令的重要資訊。

相關資訊

• Cisco ASA 5500系列調適型安全裝置
• 使用ASDM和NTLMv1的WebVPN和單一登入的ASA配置示例
• 技術支援與文件 - Cisco Systems