(ASA) Cisco CSD 配置详解 [三部曲之三]
CSD全称Cisco Secure Desktop,即思科安全桌面技术,据说是思科花了500w美金从一家公司买来的,本文将对其特性及配置作详细介绍。 CSD可以让***用户在一个全新的虚拟桌面中完成Web***连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离,包括文件娲ⅰ⑼充赖取P槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后,虚拟桌面里的一切东西都将被自动删除,包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全,***用户的一切操作都被限制在内网,所有的文件只能存储在公司内部。关于CSD的一些介绍就写到这里,有疑问的去cisco.com查资料吧。
在阅读本文之前,请仔细阅读本版中的“Cisco Web *** 配置详解 ”和“Cisco SSL *** 配置详解”,前两篇文章中出现的内容本文不再敷述。
http://cisco.***easy.net/bbs/attachments/sslweb_PqT6nSOpF3zn.jpg
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifsslweb.jpg (42.91 KB)06-11-23 20:53 1、按照前面的文章配置好Web***或SSL ***,本例使用SSL ***配置,本例中所涉及的配置都是在SSL ***配置并测试好的情况下完成的。
SSL ***配置输出省略。
-----------------------------------------------------
2、在ASA上启动安全桌面。
ciscoasa(config)# web***
ciscoasa(config-web***)# csd image disk0:/securedesktop-asa-3.1.1.45-k9.pkg
ciscoasa(config-web***)# csd enable
-----------------------------------------------------
3、为配置CSD策略作准备。
由于CSD是收购过来的,因此命令行是配不了的,所有的CSD的策略都必须在ASDM(即WEB管理页面)里面完成。
ciscoasa(config)# asdm image disk0:/asdm521-54.bin
ciscoasa(config)# http 10.10.1.0 255.255.255.0 inside
!设置允许对ASA进行WEB管理的主机
!
ciscoasa(config)# http server enable 444
!为什么要444端口呢?443已经被Web***占用啦!
-----------------------------------------------------
4、配置CSD策略。
在内网主机的浏览器中输入https://10.10.1.1:444访问ASDM配置页面。
http://cisco.***easy.net/bbs/attachments/c1_NfSeuHNdY7Kq.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc1.gif (68.44 KB)06-11-23 21:33CSD策略配置
进入配置选项卡,选中CSD配置。http://cisco.***easy.net/bbs/attachments/c2_1o4PCoEVMVzO.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc2.gif (54.93 KB)06-11-23 21:35 设置Windows Location,Windows Location用于对用户进行分组。可以根据“证书”、“IP地址”、“注册表”来区分用户,例如:满足某段IP的属于一个Location,注册表某个键值满足要求的属于一Location等等。
http://cisco.***easy.net/bbs/attachments/c3_x2Wir1KypXQv.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc3.gif (58.38 KB)06-11-23 21:35 创建两个location,其中第一个location以IP地址为198.1.1.2来区分某个用户,不满足该条件的用户被送入第二个location;第二个localtion可以不设置任何条件限制,即其余用户都将被分到这个location上去。
为什么要对用户区分location呢?区分localtion以后,可以限制用户使用Web***功能,例如:某***用户即使用户名密码对了,但是Location不满足条件,那么在安全桌面里它也仅仅只能使用一些有限的功能。下面的配置仅对第一个localtion作介绍,其余的大家举一反三吧。
http://cisco.***easy.net/bbs/attachments/c4_RYKwWQAtxVAL.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc4.gif (69.5 KB)06-11-23 21:35 设置第一个location的检测语句。
http://cisco.***easy.net/bbs/attachments/c5_ozVykvJMAf7S.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc5.gif (72.14 KB)06-11-23 21:35 设置匹配该localtion的用户具备的权限,也同时可以检测用户是否安装了某个杀毒软件等等。
http://cisco.***easy.net/bbs/attachments/c6_6gRWoRS5EP7y.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc6.gif (96.4 KB)06-11-23 21:35 允许匹配该localtion的用户进行SSL ***连接。
http://cisco.***easy.net/bbs/attachments/c7_00d742DmNkfd.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc7.gif (91.24 KB)06-11-23 21:35 设置常规选项,例如是否允许在虚拟桌面和真实桌面切换等等。
http://cisco.***easy.net/bbs/attachments/c8_iv3Wnxgw40aA.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc8.gif (74.04 KB)06-11-23 21:35 设置虚拟桌面选项,例如是否允许用户运行虚拟桌面里的CMD等等。
http://cisco.***easy.net/bbs/attachments/c9_CxbXYVjtOzvH.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc9.gif (69.6 KB)06-11-23 21:35 自定义虚拟桌面里IE的收藏夹内容。
http://cisco.***easy.net/bbs/attachments/c10_btGlWgP1Uv3q.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc10.gif (61.92 KB)06-11-23 21:35测试CSD功能
在外网用户的浏览器中输入https://198.1.1.1,ASA会提示用户安装CSD,点击确认进行安装。 安装完成后,出现以下界面,点击界面上的按钮可以切换到安全桌面。
http://cisco.***easy.net/bbs/attachments/1_NWaD7jjhjNcM.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif1.gif (7.55 KB)06-11-24 09:10 看一下CSD版本信息,呵呵,又是Cisco的废话。
http://cisco.***easy.net/bbs/attachments/2_N3upstmFCZ_PL.jpg
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif2.jpg (26.65 KB)06-11-24 09:10 切换至安全桌面,这可不是我自己设置的桌面背景哦,在这个桌面下,用户可以进行先前所讲的Web***连接和SSL连接,但是他可以访问的本地资源是受CSD策略限制的。
http://cisco.***easy.net/bbs/attachments/3_wHW9RNNAJAuP.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif3.gif (34.52 KB)06-11-24 09:10 如果用户退出安全桌面,CSD会将刚才用户通过***下载到本地的文件全部删除,这个是挺酷的!
有个图忘了截屏,在虚拟桌面里访问你的本地硬盘时,你会发现,除了C盘里有windows系统文件之外,其它盘都为空,此时你是无法将虚拟桌面里的内容和真实桌面共享的,换句话讲,公司内部的文件你只能看,嘿嘿,不能下载到本地。
注意:有一点很值得注意,在虚拟桌面里如果允许用户进行SSL ***连接的话,SSL的隧道分离是极不推荐打开的。为什么呢?如果你在虚拟桌面里面都可以自由的访问外网,那么公司内部的资源还能受到保护吗?这样CSD也就失去的它存在的意义了!
http://cisco.***easy.net/bbs/attachments/4_CYcBKw4EQaaZ.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif4.gif (37.1 KB)06-11-24 09:10 开始删除了!
http://cisco.***easy.net/bbs/attachments/5_TUwQ8C2GGYso.gif
http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif5.gif (51.21 KB)06-11-24 09:10 由于CSD本身是利用图形界面配置的,因此CSD配置并没有多少命令行,这里就不给show run了,记住在做CSD实验之前先把Web***和SSL***实验做熟练,不然,太多的东西搅和在一起,排错会变得很复杂。
页:
[1]