(ASA) Cisco CSD 配置详解 [三部曲之三]

xuol001

CSD全称Cisco Secure Desktop，即思科安全桌面技术，据说是思科花了500w美金从一家公司买来的，本文将对其特性及配置作详细介绍。　　CSD可以让***用户在一个全新的虚拟桌面中完成Web***连接。在虚拟桌面中所做的一切操作均与真实桌面环境隔离，包括文件娲ⅰ⑼充赖取Ｐ槟庾烂婧驼媸底烂娴奈募俏薹ü蚕淼模庇没Ч叶螩SD以后，虚拟桌面里的一切东西都将被自动删除，包括存储在虚拟硬盘上的文件、浏览器的cookies等。虚拟桌面可以有效地保护企业的信息财产安全，***用户的一切操作都被限制在内网，所有的文件只能存储在公司内部。
　　关于CSD的一些介绍就写到这里，有疑问的去cisco.com查资料吧。
　　在阅读本文之前，请仔细阅读本版中的“Cisco Web *** 配置详解 ”和“Cisco SSL *** 配置详解”，前两篇文章中出现的内容本文不再敷述。

http://cisco.***easy.net/bbs/attachments/sslweb_PqT6nSOpF3zn.jpg

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifsslweb.jpg (42.91 KB)06-11-23 20:53　　1、按照前面的文章配置好Web***或SSL ***，本例使用SSL ***配置，本例中所涉及的配置都是在SSL ***配置并测试好的情况下完成的。
　　SSL ***配置输出省略。
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　2、在ASA上启动安全桌面。
　　ciscoasa(config)# web***
　　ciscoasa(config-web***)# csd image disk0:/securedesktop-asa-3.1.1.45-k9.pkg
　　ciscoasa(config-web***)# csd enable
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　3、为配置CSD策略作准备。
　　由于CSD是收购过来的，因此命令行是配不了的，所有的CSD的策略都必须在ASDM（即WEB管理页面）里面完成。
　　ciscoasa(config)# asdm image disk0:/asdm521-54.bin
　　ciscoasa(config)# http 10.10.1.0 255.255.255.0 inside
　　!设置允许对ASA进行WEB管理的主机
　　!
　　ciscoasa(config)# http server enable 444
　　!为什么要444端口呢？443已经被Web***占用啦！
　　－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　　4、配置CSD策略。
　　在内网主机的浏览器中输入https://10.10.1.1:444访问ASDM配置页面。

http://cisco.***easy.net/bbs/attachments/c1_NfSeuHNdY7Kq.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc1.gif (68.44 KB)06-11-23 21:33CSD策略配置
进入配置选项卡，选中CSD配置。

http://cisco.***easy.net/bbs/attachments/c2_1o4PCoEVMVzO.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc2.gif (54.93 KB)06-11-23 21:35　　设置Windows Location，Windows Location用于对用户进行分组。可以根据“证书”、“IP地址”、“注册表”来区分用户，例如：满足某段IP的属于一个Location，注册表某个键值满足要求的属于一Location等等。

http://cisco.***easy.net/bbs/attachments/c3_x2Wir1KypXQv.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc3.gif (58.38 KB)06-11-23 21:35　　创建两个location，其中第一个location以IP地址为198.1.1.2来区分某个用户，不满足该条件的用户被送入第二个location；第二个localtion可以不设置任何条件限制，即其余用户都将被分到这个location上去。
　　为什么要对用户区分location呢？区分localtion以后，可以限制用户使用Web***功能，例如：某***用户即使用户名密码对了，但是Location不满足条件，那么在安全桌面里它也仅仅只能使用一些有限的功能。下面的配置仅对第一个localtion作介绍，其余的大家举一反三吧。

http://cisco.***easy.net/bbs/attachments/c4_RYKwWQAtxVAL.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc4.gif (69.5 KB)06-11-23 21:35　　设置第一个location的检测语句。

http://cisco.***easy.net/bbs/attachments/c5_ozVykvJMAf7S.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc5.gif (72.14 KB)06-11-23 21:35　　设置匹配该localtion的用户具备的权限，也同时可以检测用户是否安装了某个杀毒软件等等。

http://cisco.***easy.net/bbs/attachments/c6_6gRWoRS5EP7y.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc6.gif (96.4 KB)06-11-23 21:35　　允许匹配该localtion的用户进行SSL ***连接。

http://cisco.***easy.net/bbs/attachments/c7_00d742DmNkfd.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc7.gif (91.24 KB)06-11-23 21:35　　设置常规选项，例如是否允许在虚拟桌面和真实桌面切换等等。

http://cisco.***easy.net/bbs/attachments/c8_iv3Wnxgw40aA.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc8.gif (74.04 KB)06-11-23 21:35　　设置虚拟桌面选项，例如是否允许用户运行虚拟桌面里的CMD等等。

http://cisco.***easy.net/bbs/attachments/c9_CxbXYVjtOzvH.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc9.gif (69.6 KB)06-11-23 21:35　　自定义虚拟桌面里IE的收藏夹内容。

http://cisco.***easy.net/bbs/attachments/c10_btGlWgP1Uv3q.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gifc10.gif (61.92 KB)06-11-23 21:35测试CSD功能
在外网用户的浏览器中输入https://198.1.1.1，ASA会提示用户安装CSD，点击确认进行安装。　　安装完成后，出现以下界面，点击界面上的按钮可以切换到安全桌面。

http://cisco.***easy.net/bbs/attachments/1_NWaD7jjhjNcM.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif1.gif (7.55 KB)06-11-24 09:10　　看一下CSD版本信息，呵呵，又是Cisco的废话。

http://cisco.***easy.net/bbs/attachments/2_N3upstmFCZ_PL.jpg

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif2.jpg (26.65 KB)06-11-24 09:10　　切换至安全桌面，这可不是我自己设置的桌面背景哦，在这个桌面下，用户可以进行先前所讲的Web***连接和SSL连接，但是他可以访问的本地资源是受CSD策略限制的。

http://cisco.***easy.net/bbs/attachments/3_wHW9RNNAJAuP.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif3.gif (34.52 KB)06-11-24 09:10　　如果用户退出安全桌面，CSD会将刚才用户通过***下载到本地的文件全部删除，这个是挺酷的！
　　有个图忘了截屏，在虚拟桌面里访问你的本地硬盘时，你会发现，除了C盘里有windows系统文件之外，其它盘都为空，此时你是无法将虚拟桌面里的内容和真实桌面共享的，换句话讲，公司内部的文件你只能看，嘿嘿，不能下载到本地。
　　注意：有一点很值得注意，在虚拟桌面里如果允许用户进行SSL ***连接的话，SSL的隧道分离是极不推荐打开的。为什么呢？如果你在虚拟桌面里面都可以自由的访问外网，那么公司内部的资源还能受到保护吗？这样CSD也就失去的它存在的意义了！

http://cisco.***easy.net/bbs/attachments/4_CYcBKw4EQaaZ.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif4.gif (37.1 KB)06-11-24 09:10　　开始删除了！

http://cisco.***easy.net/bbs/attachments/5_TUwQ8C2GGYso.gif

http://cisco.***easy.net/bbs/images/dz6/attachimg.gifhttp://cisco.***easy.net/bbs/images/attachicons/image.gif5.gif (51.21 KB)06-11-24 09:10　　由于CSD本身是利用图形界面配置的，因此CSD配置并没有多少命令行，这里就不给show run了，记住在做CSD实验之前先把Web***和SSL***实验做熟练，不然，太多的东西搅和在一起，排错会变得很复杂。