(ASA) Cisco CSD 配置详解 [三部曲之三]
 
 
CSD全称Cisco Secure Desktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司买来的,本文将对其特性及配置作详细介绍。

CSD可以让×××用户在一个全新的虚拟桌面中完成Web×××连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲ⅰ⑼充赖取P槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全,×××用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。

关于CSD的一些介绍就写到这里,有疑问的去cisco.com查资料吧。

在阅读本文之前,请仔细阅读本版中的“Cisco Web ××× 配置详解 ”和“Cisco SSL ××× 配置详解”,前两篇文章中出现的内容本文不再敷述。
sslweb_PqT6nSOpF3zn.jpg
attachimg.gif
p_w_picpath.gif sslweb.jpg (42.91 KB)
06-11-23 20:53



1、按照前面的文章配置好Web×××或SSL ×××,本例使用SSL ×××配置,本例中所涉及的配置都是在SSL ×××配置并测试好的情况下完成的。

SSL ×××配置输出省略。

-----------------------------------------------------

2、在ASA上启动安全桌面。

ciscoasa(config)# web***
ciscoasa(config-web***)# csd p_w_picpath disk0:/securedesktop-asa-3.1.1.45-k9.pkg
ciscoasa(config-web***)# csd enable
-----------------------------------------------------

3、为配置CSD策略作准备。
由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。
ciscoasa(config)# asdm p_w_picpath disk0:/asdm521-54.bin
ciscoasa(config)# http 10.10.1.0 255.255.255.0 inside
!设置允许对ASA进行WEB管理的主机
!
ciscoasa(config)# http server enable 444
!为什么要444端口呢?443已经被Web×××占用啦!
-----------------------------------------------------

4、配置CSD策略。
在内网主机的浏览器中输入[url]https://10.10.1.1:444[/url]访问ASDM配置页面。
c1_NfSeuHNdY7Kq.gif
attachimg.gif
p_w_picpath.gif c1.gif (68.44 KB)
06-11-23 21:33

CSD策略配置

进入配置选项卡,选中CSD配置。
c2_1o4PCoEVMVzO.gif
attachimg.gif
p_w_picpath.gif c2.gif (54.93 KB)
06-11-23 21:35


设置Windows Location,Windows Location用于对用户进行分组。可以根据“证书”、“IP地址”、“注册表”来区分用户,例如:满足某段IP的属于一个Location,注册表某个键值满足要求的属于一Location等等。
c3_x2Wir1KypXQv.gif
attachimg.gif
p_w_picpath.gif c3.gif (58.38 KB)
06-11-23 21:35



创建两个location,其中第一个location以IP地址为198.1.1.2来区分某个用户,不满足该条件的用户被送入第二个location;第二个localtion可以不设置任何条件限制,即其余用户都将被分到这个location上去。
为什么要对用户区分location呢?区分localtion以后,可以限制用户使用Web×××功能,例如:某×××用户即使用户名密码对了,但是Location不满足条件,那么在安全桌面里它也仅仅只能使用一些有限的功能。下面的配置仅对第一个localtion作介绍,其余的大家举一反三吧。
c4_RYKwWQAtxVAL.gif
attachimg.gif
p_w_picpath.gif c4.gif (69.5 KB)
06-11-23 21:35



设置第一个location的检测语句。
c5_ozVykvJMAf7S.gif
attachimg.gif
p_w_picpath.gif c5.gif (72.14 KB)
06-11-23 21:35



设置匹配该localtion的用户具备的权限,也同时可以检测用户是否安装了某个杀毒软件等等。
c6_6gRWoRS5EP7y.gif
attachimg.gif
p_w_picpath.gif c6.gif (96.4 KB)
06-11-23 21:35



允许匹配该localtion的用户进行SSL ×××连接。
c7_00d742DmNkfd.gif
attachimg.gif
p_w_picpath.gif c7.gif (91.24 KB)
06-11-23 21:35



设置常规选项,例如是否允许在虚拟桌面和真实桌面切换等等。
c8_iv3Wnxgw40aA.gif
attachimg.gif
p_w_picpath.gif c8.gif (74.04 KB)
06-11-23 21:35



设置虚拟桌面选项,例如是否允许用户运行虚拟桌面里的CMD等等。
c9_CxbXYVjtOzvH.gif
attachimg.gif
p_w_picpath.gif c9.gif (69.6 KB)
06-11-23 21:35



自定义虚拟桌面里IE的收藏夹内容。
c10_btGlWgP1Uv3q.gif
attachimg.gif
p_w_picpath.gif c10.gif (61.92 KB)
06-11-23 21:35

测试CSD功能

在外网用户的浏览器中输入[url]https://198.1.1.1[/url],ASA会提示用户安装CSD,点击确认进行安装。

安装完成后,出现以下界面,点击界面上的按钮可以切换到安全桌面。
1_NWaD7jjhjNcM.gif
attachimg.gif
p_w_picpath.gif 1.gif (7.55 KB)
06-11-24 09:10



看一下CSD版本信息,呵呵,又是Cisco的废话。
2_N3upstmFCZ_PL.jpg
attachimg.gif
p_w_picpath.gif 2.jpg (26.65 KB)
06-11-24 09:10



切换至安全桌面,这可不是我自己设置的桌面背景哦,在这个桌面下,用户可以进行先前所讲的Web×××连接和SSL连接,但是他可以访问的本地资源是受CSD策略限制的。
3_wHW9RNNAJAuP.gif
attachimg.gif
p_w_picpath.gif 3.gif (34.52 KB)
06-11-24 09:10



如果用户退出安全桌面,CSD会将刚才用户通过×××下载到本地的文件全部删除,这个是挺酷的!
有个图忘了截屏,在虚拟桌面里访问你的本地硬盘时,你会发现,除了C盘里有windows系统文件之外,其它盘都为空,此时你是无法将虚拟桌面里的内容和真实桌面共享的,换句话讲,公司内部的文件你只能看,嘿嘿,不能下载到本地。

注意:有一点很值得注意,在虚拟桌面里如果允许用户进行SSL ×××连接的话,SSL的隧道分离是极不推荐打开的。为什么呢?如果你在虚拟桌面里面都可以自由的访问外网,那么公司内部的资源还能受到保护吗?这样CSD也就失去的它存在的意义了!
4_CYcBKw4EQaaZ.gif
attachimg.gif
p_w_picpath.gif 4.gif (37.1 KB)
06-11-24 09:10



开始删除了!
5_TUwQ8C2GGYso.gif
attachimg.gif
p_w_picpath.gif 5.gif (51.21 KB)
06-11-24 09:10



由于CSD本身是利用图形界面配置的,因此CSD配置并没有多少命令行,这里就不给show run了,记住在做CSD实验之前先把Web×××和SSL×××实验做熟练,不然,太多的东西搅和在一起,排错会变得很复杂。