(ASA) Cisco CSD 配置详解 [三部曲之三]
CSD全称Cisco Secure Desktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司买来的,本文将对其特性及配置作详细介绍。
CSD可以让×××用户在一个全新的虚拟桌面中完成Web×××连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲ⅰ⑼充赖取P槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全,×××用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。 关于CSD的一些介绍就写到这里,有疑问的去cisco.com查资料吧。 在阅读本文之前,请仔细阅读本版中的“Cisco Web ××× 配置详解 ”和“Cisco SSL ××× 配置详解”,前两篇文章中出现的内容本文不再敷述。 ![]() ![]() 1、按照前面的文章配置好Web×××或SSL ×××,本例使用SSL ×××配置,本例中所涉及的配置都是在SSL ×××配置并测试好的情况下完成的。 SSL ×××配置输出省略。 ----------------------------------------------------- 2、在ASA上启动安全桌面。 ciscoasa(config)# web*** ciscoasa(config-web***)# csd p_w_picpath disk0:/securedesktop-asa-3.1.1.45-k9.pkg ciscoasa(config-web***)# csd enable ----------------------------------------------------- 3、为配置CSD策略作准备。 由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。 ciscoasa(config)# asdm p_w_picpath disk0:/asdm521-54.bin ciscoasa(config)# http 10.10.1.0 255.255.255.0 inside !设置允许对ASA进行WEB管理的主机 ! ciscoasa(config)# http server enable 444 !为什么要444端口呢?443已经被Web×××占用啦! ----------------------------------------------------- 4、配置CSD策略。 在内网主机的浏览器中输入[url]https://10.10.1.1:444[/url]访问ASDM配置页面。 ![]() ![]() ![]()
06-11-23 21:33
CSD策略配置
进入配置选项卡,选中CSD配置。
![]() ![]() 设置Windows Location,Windows Location用于对用户进行分组。可以根据“证书”、“IP地址”、“注册表”来区分用户,例如:满足某段IP的属于一个Location,注册表某个键值满足要求的属于一Location等等。 ![]() ![]() 创建两个location,其中第一个location以IP地址为198.1.1.2来区分某个用户,不满足该条件的用户被送入第二个location;第二个localtion可以不设置任何条件限制,即其余用户都将被分到这个location上去。 为什么要对用户区分location呢?区分localtion以后,可以限制用户使用Web×××功能,例如:某×××用户即使用户名密码对了,但是Location不满足条件,那么在安全桌面里它也仅仅只能使用一些有限的功能。下面的配置仅对第一个localtion作介绍,其余的大家举一反三吧。 ![]() ![]() 设置第一个location的检测语句。 ![]() ![]() 设置匹配该localtion的用户具备的权限,也同时可以检测用户是否安装了某个杀毒软件等等。 ![]() ![]() 允许匹配该localtion的用户进行SSL ×××连接。 ![]() ![]() 设置常规选项,例如是否允许在虚拟桌面和真实桌面切换等等。 ![]() ![]() 设置虚拟桌面选项,例如是否允许用户运行虚拟桌面里的CMD等等。 ![]() ![]() 自定义虚拟桌面里IE的收藏夹内容。 ![]() ![]() ![]()
06-11-23 21:35
测试CSD功能
在外网用户的浏览器中输入[url]https://198.1.1.1[/url],ASA会提示用户安装CSD,点击确认进行安装。
安装完成后,出现以下界面,点击界面上的按钮可以切换到安全桌面。 ![]() ![]() 看一下CSD版本信息,呵呵,又是Cisco的废话。 ![]() ![]() 切换至安全桌面,这可不是我自己设置的桌面背景哦,在这个桌面下,用户可以进行先前所讲的Web×××连接和SSL连接,但是他可以访问的本地资源是受CSD策略限制的。 ![]() ![]() 如果用户退出安全桌面,CSD会将刚才用户通过×××下载到本地的文件全部删除,这个是挺酷的! 有个图忘了截屏,在虚拟桌面里访问你的本地硬盘时,你会发现,除了C盘里有windows系统文件之外,其它盘都为空,此时你是无法将虚拟桌面里的内容和真实桌面共享的,换句话讲,公司内部的文件你只能看,嘿嘿,不能下载到本地。 注意:有一点很值得注意,在虚拟桌面里如果允许用户进行SSL ×××连接的话,SSL的隧道分离是极不推荐打开的。为什么呢?如果你在虚拟桌面里面都可以自由的访问外网,那么公司内部的资源还能受到保护吗?这样CSD也就失去的它存在的意义了! ![]() ![]() 开始删除了! ![]() ![]() 由于CSD本身是利用图形界面配置的,因此CSD配置并没有多少命令行,这里就不给show run了,记住在做CSD实验之前先把Web×××和SSL×××实验做熟练,不然,太多的东西搅和在一起,排错会变得很复杂。 |
转载于:https://blog.51cto.com/shijie/68080