以下字段会显示在表格中：

• ACL Priority - 显示 DAP 记录的优先级。

  ASA 在汇聚来自多个 DAP 记录的网络和 Web 类型 ACL 时，会使用此值来对 ACL 进行逻辑排序。ASA 会将记录按优先级数值从大到小排序，数值最小的位于表格底部。较大的数值拥有较高的优先级，即值为 4 的 DAP 记录的优先级高于值为 2 的记录。您不能对其进行手动排序。

• Name - 显示 DAP 记录的名称。

• Network ACL List - 显示对会话应用的防火墙 ACL 的名称。

• Web-Type ACL List - 显示对会话应用的 SSL VPN ACL 的名称。

• Description - 描述 DAP 记录的用途。

在该字段中开始键入字符时，该工具将会搜索 DAP 表的每个字段的起始字符以获取匹配项。您可以使用通配符扩大搜索。

例如，在 Find 字段中键入 sal 匹配名为 Sales 的 DAP，但不会匹配名为 Wholesalers 的 DAP。如果您在查找字段中键入 *sal，搜索结果会找到表中的第一个 Sales 或 Wholesalers 实例。

AAA Attributes Type - 使用下拉列表选择 Cisco、LDAP 或 RADIUS 属性：

• Cisco - 指存储在 AAA 层次模型中的用户授权属性。您可以为 DAP 记录中的 AAA 选择属性指定这些属性的一小部分。这些属性包括：

  • Group Policy - 与 VPN 用户会话关联的组策略名称。该名称可以在安全设备上本地设置，也可以作为 IETF-Class (25) 属性通过 RADIUS/LDAP 服务器发送。最多 64 个字符。

  • Assigned IP Address - 输入要为策略指定的 IPv4 地址。

  • Assigned IPv6 Address - 输入要为策略指定的 IPv6 地址。

  • Connection Profile - 连接或隧道组的名称。最多 64 个字符。

  • Username - 经过身份验证的用户的用户名。最多 64 个字符。使用 Local、RADIUS、LDAP 身份验证/授权，或者任何其他身份验证类型（例如 RSA/SDI、NT Domain 等）时适用。

  • =/!= - 等于/不等于。

• LDAP - LDAP 客户端（安全设备）会将所有本机 LDAP 响应属性值对存储在与用户的 AAA 会话关联的数据库中。LDAP 客户端会按收到响应属性的顺序将响应属性写入数据库。它会丢弃使用该名称的所有后续属性。当从 LDAP 服务器读取用户记录和组记录时，可能会发生此情况。用户记录属性会先被读取，而且其优先级始终高于组记录属性。

  为支持 Active Directory 组成员资格，AAA LDAP 客户端会对 LDAP memberOf 响应属性进行特殊处理。AD memberOf 属性指定 AD 中的组记录的 DN 字符串。组的名称是 DN 字符串中的第一个 CN 值。LDAP 客户端从 DN 字符串中提取组名，将它作为 AAA memberOf 属性存储，并作为 LDAP memberOf 属性存储在响应属性数据库中。如果在 LDAP 响应消息中有其他的 memberOf 属性，则会从这些属性中提取组名称，然后将组名称与之前的 AAA memberOf 属性结合，形成以逗号分隔的组名称字符串，这些字符串也会在响应属性数据库中更新。

  在与 LDAP 身份验证/授权服务器进行 VPN 远程访问会话的情况下，会返回以下三个 Active Directory 组（memberOf 枚举）：

  cn=Engineering,ou=People,dc=company,dc=com

  cn=Employees,ou=People,dc=company,dc=com

  cn=EastCoastast,ou=People,dc=company,dc=com

  ASA 会处理三个 Active Directory 组：Engineering、Employees 和 EastCoast，可以将其随意组合用作 aaa.ldap 选择条件。

  LDAP 属性包含 DAP 记录中的属性名称和属性值对。LDAP 属性名称与语法有关且区分大小写。例如，如果您指定 LDAP 属性 Department，用来代替 AD 服务器作为 department 返回的属性，DAP 记录不会根据此属性设置进行匹配。

  注	要在 Value 字段中输入多个值，请使用分号 (;) 作为分隔符。例如： eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

• RADIUS - RADIUS 客户端会将所有本机 RADIUS 响应属性值对存储在与用户的 AAA 会话关联的数据库中。RADIUS 客户端会按接收到响应属性的顺序，将响应属性写入数据库。它会丢弃使用该名称的所有后续属性。当从 RADIUS 服务器读取用户记录和组记录时，可能会发生此情况。用户记录属性会先被读取，而且其优先级始终高于组记录属性。

  RADIUS 属性包含 DAP 记录中的属性编号和属性值对。

  注	对于 RADIUS 属性，DAP 定义 Attribute ID = 4096 + RADIUS ID。 例如： RADIUS 属性“Access Hours”的 Radius ID = 1，因此 DAP 属性值 = 4096 + 1 = 4097。 RADIUS 属性“Member Of”的 Radius ID = 146，因此 DAP 属性值 = 4096 + 146 = 4242。

• LDAP 和 RADIUS 属性包括：

  • Attribute ID - 属性的名称/编号。最多 64 个字符。

  • Value - 属性名称 (LDAP) 或编号 (RADIUS)。

    要在 Value 字段中输入多个值，请使用分号 (;) 作为分隔符。例如：eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

  • =/!= - 等于/不等于。

• LDAP 包含 Gep AD Groups 按钮。请参阅检索 Active Directory 组。

您可以创建每个终端属性类型的多个实例。每个 DAP 记录的终端属性数量没有限制。

• 向 DAP 添加防恶意软件终端属性

• 向 DAP 添加应用属性

• 向 DAP 添加 Secure Client 终端属性

• 向 DAP 添加文件终端属性

• 向 DAP 添加设备终端属性

• 向 DAP 添加 NAC 终端属性

• 向 DAP 添加操作系统终端属性

• 向 DAP 添加个人防火墙终端属性

• 向 DAP 添加策略终端属性

• 向 DAP 添加流程终端属性

• 向 DAP 添加注册表终端属性

• 向 DAP 添加多证书身份验证属性

对于每个此类终端属性类型，请确定 DAP 策略应要求用户是配置一个类型的所有实例（Match All = AND，默认设置），还是仅配置其中的一个实例 （Match Any = OR)。

• Continue -（默认值）点击以将访问策略属性应用于会话。

• Quarantine - 通过使用隔离，您可以限制已通过 VPN 建立隧道的特定客户端。ASA 可根据选定的 DAP 记录，将受限的 ACL 应用于会话，以形成一个受限组。当终端不符合管理定义策略时，用户仍然可以访问补救服务，但会对用户施加限制。修复后，用户可以重新连接，调用新的终端安全评估。如果通过此评估，用户可进行连接。此参数需要支持 安全客户端 功能的发行版 Secure Client 。

• Terminate - 点击以终止会话。

• User Message - 输入一条文本消息，当此 DAP 记录选定时，该消息会显示在门户页面上。最多 490 个字符。用户消息显示为黄色球体。当用户登录时，它会闪烁三次以引起注意，然后停止闪烁。如果选择了多条 DAP 记录，并且它们都有用户消息，系统会显示所有用户信息。

  您可以包含 URL 或其他嵌入式文本，这需要您使用正确的 HTML 标记。例如：有关升级防恶意软件的程序，请所有承包商阅读<a href='http://wwwin.example.com/procedure.html'>说明</a>。

DAP 的 ACL 可以包含允许或拒绝规则，但不能同时包含二者。如果 ACL 同时包含允许和拒绝规则，则 ASA 会拒绝它。

• Network ACL 下拉列表 - 选择已配置的网络 ACL，以便添加至此 DAP 记录。ACL 可以是允许和拒绝规则的任意组合。此字段支持可定义 IPv4 和 IPv6 网络流量访问规则的统一 ACL。

• Manage - 点击以便添加、编辑和删除网络 ACL。

• Network ACL list - 显示此 DAP 记录的网络 ACL。

• 添加 - 点击以便将下拉列表中选定的网络 ACL 添加至右侧的网络 ACL 列表。

• Delete - 点击以便将突出显示的网络 ACL 从 Network ACL 列表中删除。您不能从 ASA 中删除 ACL，除非您先将其从 DAP 记录中删除。

• Web-Type ACL 下拉列表 - 选择已配置的 Web 类型 ACL，以便添加至此 DAP 记录。ACL 可以是允许和拒绝规则的任意组合。

• 管理 - 点击以便添加、编辑和删除 Web 类型 ACL。

• Web-Type ACL 列表 - 显示此 DAP 记录的 Web 类型 ACL。

• 添加 - 点击以便将下拉列表中选定的 Web 类型 ACL 添加至右侧的 Web 类型 ACL 列表。

• Delete - 点击以便将 Web 类型 ACL 从 Web 类型 ACL 列表中删除。您不能从 ASA 中删除 ACL，除非您先将其从 DAP 记录中删除。

• File Server Browsing - 启用或禁用文件服务器或共享功能的 CIFS 浏览。

  浏览要求使用 NBNS（主浏览器或 WINS）。如果该协议发生故障或未配置，则使用 DNS。CIFS 浏览功能不支持国际化。

• File Server Entry - 允许或阻止用户在门户页面上输入文件服务器路径和名称。启用时，系统会将文件服务器条目部分放在门户页面上。用户可以直接输入 Windows 文件的路径名。可以下载、编辑、删除、重命名和移动文件。还可以添加文件和文件夹。另外还必须在适用的 Windows 服务器上为用户访问配置共享。用户可能必须通过身份验证才能访问文件，具体取决于网络要求。

• HTTP Proxy - 能够影响 HTTP 小应用程序代理向客户端的转发。对于使用适当内容转换进行介入的技术（如 Java、ActiveX 和 Flash），代理十分有用。它会绕过处理，同时确保安全设备的持续使用。转发的代理自动修改浏览器的原有代理配置，并将所有 HTTP 和 HTTPS 请求重定向到新的代理配置。支持几乎所有客户端技术，包括 HTML、CSS、JavaScript、VBScript、ActiveX 和 Java。唯一支持的浏览器是 Microsoft Internet Explorer。

• URL Entry - 允许或阻止用户在门户页面上输入 HTTP/HTTPS URL。如果启用此功能，用户可在 URL 输入框中输入 Web 地址。

使用 SSL VPN 不能保证与每个站点的通信是安全的。SSL VPN 可确保远程用户 PC 或工作站与企业网络上的 ASA 之间数据传输的安全性。如果用户届时访问非 HTTPS Web 资源（位于互联网或内部网络上），则从企业 ASA 到目的 Web 服务器之间的通信不安全。

在无客户端 VPN 连接中，ASA 用作最终用户 Web 浏览器和目标 Web 服务器之间的代理。当用户连接到支持 SSL 的 Web 服务器时，ASA 将建立安全连接，并验证服务器的 SSL 证书。最终用户浏览器从不接收提供的证书，因此无法检查并验证证书。SSL VPN 的当前实施不允许与提供已到期证书的站点进行通信。ASA 也不会执行可信 CA 证书验证。因此，用户在与支持 SSL 的 Web 服务器通信前，无法分析其提供的证书。

要限制用户访问互联网，请为 URL Entry 字段选择 Disable。这可以防止 SSL VPN 用户在进行无客户端 VPN 连接的过程中使用 Web。

• Unchanged -（默认值）点击以便使用应用至此会话的组策略中的值。

• Enable/Disable - 点击以便启用或禁用该功能。

• Auto-start - 点击以启用 HTTP 代理，并让 DAP 记录自动启动与这些功能关联的小应用程序。

端口转发为此组中的远程用户提供对客户端/服务器应用的访问权限，这些应用经由已知的固定 TCP/IP 端口进行通信。远程用户可以使用安装在其本地 PC 上的客户端应用，并安全访问支持该应用的远程服务器。思科已经测试了以下应用：Windows Terminal Services、Telnet、Secure FTP (FTP over SSH)、Perforce、Outlook Express 和 Lotus Notes。其他基于 TCP 的应用可能也可以正常使用，但是思科没有对其进行过测试。

• Port Forwarding - 为应用于此 DAP 记录的端口转发列表选择一个选项。此字段中的其他属性只在您将 Port Forwarding 设为 Enable 或 Auto-start 时启用。

• Unchanged - 点击以将属性从运行配置中删除。

• Enable/Disable - 点击以启用或禁用端口转发。

• Auto-start - 点击以启用端口转发，并让 DAP 记录自动启动与此端口转发列表关联的端口转发小应用程序。

• Port Forwarding List 下拉列表 - 选择已经配置的端口转发列表，以添加至 DAP 记录。

• New... - 点击以配置新的端口转发列表。

• Port Forwarding Lists（未标记）- 显示 DAP 记录的端口转发列表。

• Add - 点击以将下拉列表中的选定端口转发列表添加至右侧的 Network ACL 列表。

• Delete - 点击以从 Port Forwarding 列表中删除选定的端口转发列表。不能从 ASA 中删除端口转发列表，除非您先将其从 DAP 记录中删除。

• Enable bookmarks - 点击以便启用。如果取消选中，连接的门户页面中不会显示书签。

• Bookmark 下拉列表 - 选择已配置的书签，以便添加至 DAP 记录。

• 管理... - 点击以添加、导入、导出和删除书签。

• Bookmarks (unlabeled) - 显示 DAP 记录的 URL 列表。

• Add>> - 点击以将下拉列表中的选定书签添加至右侧的 URL 区域。

• Delete - 点击以从 URL 列表区域中删除选定书签。您不能从 ASA 中删除书签，除非您先将其从 DAP 记录中删除。

• Unchanged - 继续使用当前的远程访问方式。

• Secure Client-使用 Cisco Secure 客户端映像的 AnyConnect VPN 模块连接

  。

• Web-Portal - 使用无客户端 VPN 进行连接。

• Both-default-Web-Portal-通过无客户端或 Secure Client客户端进行连接，默认使用无客户端。

• Both-default-Secure Client-通过无客户端或 Secure Client进行连接，默认使用 Secure Client。

• Secure Client Always-On VPN - 确定是否没有改变、禁用了 Secure Client 服务配置文件中的永久在线 VPN 标志设置，或者是否应使用 Secure Client 服务配置文件设置。

  此参数需要为 Cisco 安全客户端的 AnyConnect VPN 模块提供安全移动解决方案许可支持的思科网络安全设备版本。它还需要支持“安全移动解决方案”功能的 Secure Client 版本。有关其他信息，请参阅《思科 AnyConnect VPN 客户端管理员指南》。

自定义属性会被发送到 Secure Client ，并且该客户端用其配置诸如延迟升级的功能。一个自定义属性有一个类型和一个命名值。先定义属性的类型，然后可以定义此类型的一个或多个命名值。有关为某个功能配置特定自定义属性的详细信息，请参阅所用 Secure Client 版本的 Cisco Secure Client管理员指南。

自定义属性可以在配置 > 远程访问 VPN > 网络（客户端）访问 > 高级 > Secure Client自定义属性和 Secure ClientYY 自定义属性名称中预定义。动态访问策略和组策略都可使用预定义的自定义属性。

在 Privileged Exec 模式中，ASA 会提示：hostname#。

hostname# debug dap trace
endpoint.anyconnect.clientversion="0.16.0021";
endpoint.anyconnect.platform="apple-ios";
endpoint.anyconnect.platformversion="4.1";
endpoint.anyconnect.devicetype="iPhone1,2";
endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75";