请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 1545|回复: 69

【专家问答】思科保障远程办公安全

[复制链接]
发表于 2020-3-23 11:44:01 | 显示全部楼层 |阅读模式
本次活动为大家解答Cisco 远程办公安全技术的相关问题,包括AnyConnect,ASA,FTD,Duo和Umbrella等产品技术,专家将解答您有关紧急许可证、设计、配置和故障排除等问题。 本次问答为全球思科社区联合活动,我们的专家跨越12个时区。 同时我们将把问答内容翻译成多种语言,为您提供最佳体验。
对于不熟悉这些安全解决方案和/或最近开始使用这些安全解决方案的用户,此论坛活动也可以为您提供入门介绍。

活动主题:远程办公安全 常见问题解答

活动时间:即日起 - 2020 年 4月 3 日

参与方式:在本主题帖下跟贴提出问题即可

问答专家:
Divya Nair,安全业务组技术市场工程师,Raleigh,美国北卡罗来纳州
她在思科网络安全技术领域拥有10多年的经验,包括防火墙、IPS、VPN和AAA,目前专注于VPN和防火墙管理平台。 Divya拥有计算机科学与工程学士学位。

Jonny Noble,领导Cisco云安全技术营销团队
拥有Cisco Umbrella和周边技术方面的专业知识。 Jonny拥有二十多年面向全球高科技组织客户的经验。 多次在Cisco Live活动中参与分组讨论会和指导实验室,并在许多客户和合作伙伴活动、贸易展览中代表Cisco。 Jonny拥有电子学、社会学、商业MBA学位,并获得CISSP认证。

Aditya Ganjoo,印度班加罗尔技术营销工程师
在过去的七年中,一直在Cisco的防火墙、VPN和AAA等安全领域工作,ASA和VPN技术培训讲师;拥有信息技术学士学位。 此外还是安全性CCIE(CCIE#58938)。 Aditya一直是Cisco社区的贡献者,并在Cisco Live上进行了多次演讲。

本次活动为全球思科社区同步活动(点击这里查看英文社区活动帖),由于预期的问题数量,以上三位专家可能无法回答每个问题。您也可以在我们的安全版块继续提问获得帮助。

***请注意,您在本次活动中发布问题的同时,即同意授权我们将您的问题翻译成全球思科社区中所有的语言,以帮助更多有同样问题的人。
更多全球社区活动,请关注 https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=technology-support

如果专家的解答对您有帮助的话,记得给出星级评分哦。

本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:21:44 | 显示全部楼层
问题 from elite2010
你好
有没有针对DNS查询的故障排除指南?使用Anyconnet VPN连接时,解决本地dns总是很麻烦
谢谢

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:23:43 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:21
问题 from elite2010
你好
有没有针对DNS查询的故障排除指南?使用Anyconnet VPN连接时,解决本地dns总是 ...

回复 from Aditya Ganjoo
你好,

您是否遇到通过VPN tunnel的本地DNS解析问题?


如果是,则可以检查组策略属性中的特定值。


如果您正在寻找最佳实践,则可以使用Anyconnect为DNS配置以下三个选项:

  • 拆分DNS-与域名匹配的DNS查询在CiscoAdaptive Security Appliance(ASA)上配置。它们通过tunnel移动(例如,移动到ASA上定义的DNS服务器),而其它的则不这样做。
  • Tunnel-all-DNS-仅允许到ASA定义的DNS服务器的DNS通信。此设置在组策略中配置。
  • 标准DNS-所有DNS查询都在ASA定义的DNS服务器中移动。在否定响应的情况下,DNS查询也可能会转到物理适配器上配置的DNS服务器。


您也可以查看以下链接,以更清楚地了解Anyconnect的DNS行为:


谢谢 Aditya
如果觉得帖子有帮助,请记得评分。



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:30:27 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:23
回复 from Aditya Ganjoo
你好,
您是否遇到通过VPN tunnel的本地DNS解析问题?
问题 from elite2010

你好
谢谢回复
“拆分DNS-与域名匹配的DNS查询是在Cisco自适应安全设备(ASA)上配置的。它们通过隧道移动(例如,移动到ASA上定义的DNS服务器),而其他则没有。 ”

当您说“在ASA上定义的DNS服务器”时,表示在ASA防火墙或隧道或组策略中配置了DNS服务器

与域名匹配的DNS查询,您是说域名是在防火墙上还是在组策略中配置的?

如果我们拥有类似test.local和test.com这样的域名怎么办?
  test.com(这是test.local dns 同一服务器中的转发区域(例如:192.168.1.100)
test.com也解析为私有IP地址

这是我当前的配置:
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local

谢谢。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:31:36 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:30
你好
谢谢回复
“拆分DNS-与域名匹配的DNS查询是在Cisco自适应安全设备(ASA)上配置的。它们通过隧道 ...
回复 from Aditya Ganjoo
你好,

所有值都将在组策略下。 您可以在组策略下添加多个值/域。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:34:40 | 显示全部楼层
问题 from  BasavarajNingappa6558
你好
在cisco anyconnect中,我们是否可以使用FTD防火墙阻止非Windows连接的计算机并仅允许域计算机连接到anyconnect?

谢谢

Basavaraj
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:37:26 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:34
问题 from  BasavarajNingappa6558
你好
在cisco anyconnect中,我们是否可以使用FTD防火墙阻止非Windows ...

回复 from Divya Nair
你好,Basavaraj,


您可以对AnyConnect用户使用计算机证书身份验证,以确保只有域计算机可以加入。 配置指南-https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/firepower_threat_defense_remote_access_vpns.html#id_login_via_clientcert
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:45:55 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:37
回复 from Divya Nair
你好,Basavaraj,

问题 from  BasavarajNingappa6558
你好, Divya,

谢谢你的回复。


基本上,我想知道的是,我已经在执行DLP的域计算机,他们都不能从计算机上复制任何东西,以及所有计算机,例如,如果我的员工使用他们的个人计算机连接到公司网络,我如何能防止他们不复制任何东西,除了使用必需的应用程序工作等等,基本上,我不想让他们在连接到网络时从网络复制任何数据。
我怎样才能做到这一点? 如何为加入域的计算机创建一个隧道组(tunnel-group),为非加入域的计算机创建另一个隧道组并执行策略?

谢谢。
Basavaraj


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:47:48 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:45
问题 from  BasavarajNingappa6558
你好, Divya,

回复 from Aditya Ganjoo         

Hi Basavaraj,

是的,您需要创建其他连接配置文件并强制执行策略。

这可以通过不同的方式来完成,例如通过为用户提供组URL,通过Radius属性或通过ASA上的组锁定功能。


Regards.
Aditya
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-3-24 14:51:21 | 显示全部楼层
CSC_小M 发表于 2020-3-24 14:47
回复 from  Aditya Ganjoo         

Hi Basavaraj,

问题 from  BasavarajNingappa6558
Hi Aditya,

你能不能提供一个我可以参考的配置指南示例?

谢谢。
Basavaraj



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-4-7 14:44 , Processed in 0.118776 second(s), 55 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表