现在我已将远程访问 VPN 配置为使用 fulltunnel。现在,当我关闭 VPN 时,我仍然可以浏览使用本地 ISP 的外部站点(谷歌、雅虎等)。如果我想通过 VPN 进入我的网络,我需要打开 Cisco Anyconnect 桌面客户端并输入 VPN URL 和我的凭据。连接后,我的所有流量都将通过我公司的 ISP 电路/ASA 防火墙。
有没有办法在 Cisco ASA 防火墙上强制使用 VPN,这样用户就不能使用他们的计算机,除非他们通过 VPN 进入公司网络?这意味着一旦他们登录,他们就无法浏览互联网或接收电子邮件,直到他们通过 VPN 进入网络。
意思是,ASA 中是否有设置告诉它在有互联网连接时自动连接到 VPN?
任何信息都会是最有帮助的。
谢谢,
是的,它可以。
Anyconnect VPN 客户端有一个名为“永远在线”的功能:
当计算机不在受信任的网络上时,永远在线操作会阻止访问 Internet 资源,除非 VPN 会话处于活动状态。在这种情况下强制 VPN 始终开启可以保护计算机免受安全威胁。
Cisco 文档:需要使用 Always-On 的 VPN 连接
请注意,此功能在 Anyconnect 客户端配置文件中配置,可以预先部署或从 ASA 推送。显然,如果您希望该功能从第 0 天开始激活,甚至在用户建立他的第一个 VPN 连接之前,那么您需要预先部署配置文件。
另请注意,评论中提到了有关用户能够通过在 Windows 防火墙设置中将其家庭(或咖啡店)网络定义为“受信任”来规避此功能的担忧。的AnyConnect并没有对可信网络使用的Windows防火墙设置。相反,它使用另一个名为受信任网络检测(TND) 功能的Anyconnect 功能,该功能允许 ASA 管理员根据客户端的 DNS 设置控制哪些网络被视为受信任网络。
参考文献 配置可信网络检测