અત્યંત સુરક્ષિત રિમોટ એક્સેસની વિભાવનાનું અમલીકરણ

સંસ્થાના વિષય પર લેખોની શ્રેણી ચાલુ રાખવી રીમોટ એક્સેસ VPN ઍક્સેસ હું મદદ કરી શકતો નથી પરંતુ એક રસપ્રદ જમાવટ અનુભવ શેર કરી શકું છું અત્યંત સુરક્ષિત VPN ગોઠવણી. બિન-તુચ્છ કાર્ય એક ગ્રાહક દ્વારા ફેંકવામાં આવ્યું હતું (ત્યાં રશિયન ગામોમાં શોધકો છે), પરંતુ પડકાર સ્વીકૃત સર્જનાત્મક રીતે અમલમાં મૂકવામાં આવ્યો હતો. પરિણામ એ નીચેની લાક્ષણિકતાઓ સાથેનો એક રસપ્રદ ખ્યાલ છે:

1. ટર્મિનલ ઉપકરણના અવેજી સામે રક્ષણના કેટલાક પરિબળો (વપરાશકર્તાને સખત બંધનકર્તા સાથે);
   • પ્રમાણીકરણ આધારમાં માન્ય પીસીના અસાઇન કરેલ UDID સાથે વપરાશકર્તાના પીસીના અનુપાલનનું મૂલ્યાંકન;
   • સિસ્કો ડીયુઓ દ્વારા ગૌણ પ્રમાણીકરણ માટે પ્રમાણપત્રમાંથી PC UDID નો ઉપયોગ કરીને MFA સાથે (તમે કોઈપણ SAML / ત્રિજ્યા સુસંગત સ્ક્રૂ કરી શકો છો);
2. બહુ-પરિબળ પ્રમાણીકરણ:
   • તેમાંના એક માટે ફીલ્ડ માન્યતા અને ગૌણ પ્રમાણીકરણ સાથે વપરાશકર્તા પ્રમાણપત્ર;
   • લૉગિન (અપરિવર્તનક્ષમ, પ્રમાણપત્રમાંથી લેવામાં આવેલ) અને પાસવર્ડ;
3. કનેક્ટિંગ હોસ્ટની સ્થિતિનો અંદાજ લગાવો (પોસ્ચર)

વપરાયેલ ઉકેલ ઘટકો:

• સિસ્કો ASA (VPN ગેટવે);
• સિસ્કો ISE (પ્રમાણીકરણ / અધિકૃતતા / એકાઉન્ટિંગ, રાજ્ય અંદાજ, CA);
• સિસ્કો ડીયુઓ (મલ્ટિ-ફેક્ટર ઓથેન્ટિકેશન) (તમે કોઈપણ SAML / ત્રિજ્યા સુસંગત સ્ક્રૂ કરી શકો છો);
• Cisco AnyConnect (વર્કસ્ટેશનો અને મોબાઇલ OS માટે બહુહેતુક એજન્ટ);

ચાલો ગ્રાહક જરૂરિયાતો સાથે પ્રારંભ કરીએ:

1. વપરાશકર્તા તેના લૉગિન/પાસવર્ડ પ્રમાણીકરણ દ્વારા VPN ગેટવેમાંથી AnyConnect ક્લાયંટને ડાઉનલોડ કરવા માટે સક્ષમ હોવા જોઈએ, બધા જરૂરી AnyConnect મોડ્યુલ્સ વપરાશકર્તાની નીતિ અનુસાર આપમેળે ઇન્સ્ટોલ કરેલા હોવા જોઈએ;
2. વપરાશકર્તા આપમેળે પ્રમાણપત્ર જારી કરવા સક્ષમ હોવા જોઈએ (એક દૃશ્યો માટે, મુખ્ય દૃશ્ય મેન્યુઅલ ઇશ્યૂ અને PC પર ભરવાનું છે), પરંતુ મેં પ્રદર્શન માટે સ્વતઃ-ઇશ્યૂ અમલમાં મૂક્યું છે (તેને દૂર કરવામાં ક્યારેય મોડું થયું નથી).
3. મૂળભૂત પ્રમાણીકરણ ઘણા તબક્કામાં થવું જોઈએ, પ્રથમ પ્રમાણપત્રને જરૂરી ક્ષેત્રો અને તેમના મૂલ્યોના વિશ્લેષણ સાથે પ્રમાણિત કરવામાં આવે છે, પછી લૉગિન / પાસવર્ડ, ફક્ત આ વખતે પ્રમાણપત્ર ક્ષેત્રમાં ઉલ્લેખિત વપરાશકર્તાનામ લોગિન વિંડોમાં બદલવું જોઈએ. વિષયનું નામ (CN) સંપાદનની શક્યતા વિના.
4. તમારે ખાતરી કરવાની જરૂર છે કે તમે જે ઉપકરણમાંથી લોગ ઇન કરી રહ્યાં છો તે કોર્પોરેટ લેપટોપ છે જે વપરાશકર્તાને રિમોટ એક્સેસ માટે જારી કરવામાં આવે છે, અને બીજું કંઈ નથી. (આ જરૂરિયાતને પહોંચી વળવા માટે ઘણી વિવિધતાઓ કરવામાં આવી છે)
5. કનેક્ટિંગ ડિવાઇસની સ્થિતિનું મૂલ્યાંકન કરવું જોઈએ (આ તબક્કે, પીસી) ગ્રાહકની આવશ્યકતાઓ (સારાંશ) ના સમગ્ર વિશાળ કોષ્ટકની તપાસ સાથે:
   • ફાઇલો અને તેમની મિલકતો;
   • રજિસ્ટ્રી એન્ટ્રીઓ;
   • પ્રદાન કરેલ સૂચિમાંથી OS પેચો (વધુ SCCM એકીકરણ);
   • ચોક્કસ ઉત્પાદકના એન્ટિ-વાયરસની ઉપલબ્ધતા અને સહીઓની સુસંગતતા;
   • ચોક્કસ સેવાઓની પ્રવૃત્તિ;
   • ચોક્કસ ઇન્સ્ટોલ કરેલ પ્રોગ્રામ્સની હાજરી;

શરૂ કરવા માટે, હું સૂચવે છે કે તમે ચોક્કસપણે પરિણામી અમલીકરણના વિડિઓ પ્રદર્શનને જુઓ યુટ્યુબ (5 મિનિટ).

હવે હું વિડીયો ક્લિપમાં આવરી લેવામાં આવેલ નથી તે અમલીકરણ વિગતોને ધ્યાનમાં લેવાનો પ્રસ્તાવ મૂકું છું.

ચાલો AnyConnect પ્રોફાઇલ તૈયાર કરીએ:

પ્રોફાઇલ બનાવવાનું ઉદાહરણ (ASDM માં મેનૂ આઇટમના સંદર્ભમાં) મેં અગાઉ સેટઅપ પરના મારા લેખમાં આપ્યું હતું VPN લોડ-બેલેન્સિંગ ક્લસ્ટર. હવે હું જરૂરી વિકલ્પોને અલગથી નોંધવા માંગુ છું:

પ્રોફાઇલમાં, અંતિમ ક્લાયંટ પર જોડાણ માટે VPN ગેટવે અને પ્રોફાઇલ નામનો ઉલ્લેખ કરો:

ચાલો પ્રોફાઇલની બાજુથી પ્રમાણપત્રનું આપમેળે જારી કરવાનું સેટ કરીએ, ખાસ કરીને, પ્રમાણપત્રના પરિમાણોનો ઉલ્લેખ કરીને અને, જે લાક્ષણિક છે, ક્ષેત્ર પર ધ્યાન આપો. આદ્યાક્ષરો (I), જ્યાં ચોક્કસ મૂલ્ય મેન્યુઅલી દાખલ કરવામાં આવે છે યુડીઆઈડી ટેસ્ટ મશીન (સિસ્કો કોઈપણ કનેક્ટ ક્લાયંટ દ્વારા જનરેટ કરાયેલ અનન્ય ઉપકરણ ઓળખકર્તા).

અહીં હું એક ગીતાત્મક વિષયાંતર કરવા માંગુ છું, કારણ કે આ લેખ ખ્યાલનું વર્ણન કરે છે, નિદર્શનના હેતુઓ માટે, અહીં AnyConnect પ્રોફાઇલના પ્રારંભિક ક્ષેત્રમાં પ્રમાણપત્ર આપવા માટે UDID છે. અલબત્ત, વાસ્તવિક જીવનમાં, જો તમે આ કરો છો, તો પછી બધા ગ્રાહકોને આ ક્ષેત્રમાં સમાન UDID સાથે પ્રમાણપત્ર પ્રાપ્ત થશે અને તેમના માટે કંઈ કામ કરશે નહીં, કારણ કે તેમને તેમના ચોક્કસ PCના UDIDની જરૂર છે. AnyConnect, કમનસીબે, પર્યાવરણ વેરીએબલ દ્વારા પ્રમાણપત્ર વિનંતી પ્રોફાઇલમાં UDID ફીલ્ડના અવેજીનો હજુ અમલ કરતું નથી, ઉદાહરણ તરીકે, તે વેરીએબલ સાથે કરે છે. %USER%.

એ નોંધવું જોઈએ કે ગ્રાહક (આ દૃશ્યમાં) શરૂઆતમાં આવા પ્રોટેક્ટેડ પીસીને જાતે જ નિર્દિષ્ટ UDID સાથે પ્રમાણપત્રો જારી કરવાની યોજના ધરાવે છે, જે તેના માટે કોઈ સમસ્યા નથી. જો કે, આપણામાંના મોટાભાગના લોકો માટે, અમે ઓટોમેશન ઈચ્છીએ છીએ (સારી રીતે, મારા માટે, તે ખાતરી માટે છે =)).

અને તે જ હું ઓટોમેશનના સંદર્ભમાં ઓફર કરી શકું છું. જો આપમેળે પ્રમાણપત્ર આપવાનું હજી શક્ય ન હોય તો, કોઈપણ કનેક્ટ ગતિશીલ રીતે યુડીઆઈડીને બદલીને, તો બીજી રીત છે જેમાં થોડો સર્જનાત્મક વિચાર અને કુશળ હાથની જરૂર પડશે - હું તમને ખ્યાલ કહીશ. પ્રથમ, ચાલો જોઈએ કે કોઈપણ કનેક્ટ એજન્ટ દ્વારા વિવિધ ઓપરેટિંગ સિસ્ટમો પર UDID કેવી રીતે રચાય છે:

• વિન્ડોઝ - DigitalProductID અને મશીન SID રજિસ્ટ્રી કીના સંયોજનનું SHA-256 હેશ
• OSX - SHA-256 હેશ પ્લેટફોર્મ UUID
• Linux - રૂટ પાર્ટીશનના UUID ની SHA-256 હેશ.
• એપલ આઇઓએસ - SHA-256 હેશ પ્લેટફોર્મ UUID
• , Android - પર દસ્તાવેજ જુઓ કડી

તદનુસાર, અમે અમારા કોર્પોરેટ વિન્ડોઝ ઓએસ માટે એક સ્ક્રિપ્ટ બનાવીએ છીએ, આ સ્ક્રિપ્ટ સાથે અમે જાણીતા ઇનપુટ્સનો ઉપયોગ કરીને સ્થાનિક રીતે UDID ની ગણતરી કરીએ છીએ અને જરૂરી ફીલ્ડમાં આ UDID દાખલ કરીને પ્રમાણપત્ર જારી કરવાની વિનંતી જનરેટ કરીએ છીએ, જો કે, તમે મશીનનો ઉપયોગ પણ કરી શકો છો. એડી દ્વારા જારી કરાયેલ પ્રમાણપત્ર (સ્કીમમાં પ્રમાણપત્ર દ્વારા ડબલ પ્રમાણીકરણ ઉમેરવું બહુવિધ પ્રમાણપત્ર).

ચાલો Cisco ASA બાજુથી સેટિંગ્સ તૈયાર કરીએ:

ચાલો ISE CA સર્વર માટે એક TrustPoint બનાવીએ, તે ગ્રાહકોને પ્રમાણપત્રો આપશે. હું કી-ચેન આયાત પ્રક્રિયાને ધ્યાનમાં લઈશ નહીં, એક ઉદાહરણ મારા સેટઅપ લેખમાં વર્ણવેલ છે VPN લોડ-બેલેન્સિંગ ક્લસ્ટર.

crypto ca trustpoint ISE-CA
 enrollment terminal
 crl configure

પ્રમાણીકરણ માટે ઉપયોગમાં લેવાતા પ્રમાણપત્રમાંના ક્ષેત્રો અનુસાર નિયમોના આધારે અમે ટનલ-ગ્રુપ પર વિતરણ સેટ કર્યું છે. ઉપરાંત, AnyConnect પ્રોફાઇલ, જે અમે છેલ્લા તબક્કે બનાવેલ છે, તે અહીં ગોઠવેલ છે. મહેરબાની કરીને નોંધ કરો કે હું મૂલ્યનો ઉપયોગ કરું છું સિક્યોરબેંક-આરએ, જારી કરાયેલ પ્રમાણપત્ર સાથે વપરાશકર્તાઓને ટનલ જૂથમાં સ્થાનાંતરિત કરવા માટે સિક્યોર-બેંક-વીપીએન, કૃપા કરીને નોંધો કે મારી પાસે AnyConnect પ્રોફાઇલ પ્રમાણપત્ર વિનંતી કૉલમમાં આ ફીલ્ડ છે.

tunnel-group-map enable rules
!
crypto ca certificate map OU-Map 6
 subject-name attr ou eq securebank-ra
!
webvpn
 anyconnect profiles SECUREBANK disk0:/securebank.xml
 certificate-group-map OU-Map 6 SECURE-BANK-VPN
!

પ્રમાણીકરણ સર્વર સેટ કરો. મારા કિસ્સામાં, આ પ્રમાણીકરણના પ્રથમ તબક્કા માટે અને MFA તરીકે DUO (રેડિયસ પ્રોક્સી) માટે ISE છે.

! CISCO ISE
aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 24
 dynamic-authorization
aaa-server ISE (inside) host 192.168.99.134
 key *****
!
! DUO RADIUS PROXY
aaa-server DUO protocol radius
aaa-server DUO (inside) host 192.168.99.136
 timeout 60
 key *****
 authentication-port 1812
 accounting-port 1813
 no mschapv2-capable
!

અમે જૂથ નીતિઓ અને ટનલ જૂથો અને તેમના સહાયક ઘટકો બનાવીએ છીએ:

ટનલ જૂથ ડિફૉલ્ટWEBVPNGજૂથ તેનો ઉપયોગ મુખ્યત્વે AnyConnect VPN ક્લાયંટને ડાઉનલોડ કરવા અને ASA ના SCEP-Proxy ફંક્શનનો ઉપયોગ કરીને વપરાશકર્તા પ્રમાણપત્ર આપવા માટે કરવામાં આવશે, આ માટે અમે ટનલ ગ્રૂપ પર અને સંબંધિત જૂથ નીતિ બંને પર યોગ્ય વિકલ્પો સક્રિય કર્યા છે. એસી ડાઉનલોડ કરો, અને લોડ કરેલ AnyConnect પ્રોફાઇલ પર (પ્રમાણપત્ર ઇશ્યુ કરવાની ફીલ્ડ્સ, વગેરે). આ જૂથ નીતિમાં પણ અમે ડાઉનલોડ કરવાની જરૂરિયાત સૂચવીએ છીએ ISE પોશ્ચર મોડ્યુલ.

ટનલ જૂથ સિક્યોર-બેંક-વીપીએન અગાઉના પગલામાં જારી કરાયેલ પ્રમાણપત્ર સાથે પ્રમાણીકરણ કરતી વખતે ક્લાયંટ દ્વારા આપમેળે ઉપયોગ કરવામાં આવશે, કારણ કે, પ્રમાણપત્ર નકશા અનુસાર, કનેક્શન આ ટનલ જૂથ પર આવશે. હું તમને અહીં રસપ્રદ વિકલ્પો વિશે કહીશ:

• ગૌણ-પ્રમાણીકરણ-સર્વર-જૂથ DUO # DUO સર્વર (રેડિયસ પ્રોક્સી) પર ગૌણ પ્રમાણીકરણ સેટ કરો
• પ્રમાણપત્રમાંથી વપરાશકર્તા નામ CN # વપરાશકર્તાના લૉગિનને વારસામાં મેળવવા માટે પ્રાથમિક પ્રમાણીકરણ માટે પ્રમાણપત્રના CN ફીલ્ડનો ઉપયોગ કરો
• ગૌણ-વપરાશકર્તા નામ-પ્રમાણપત્ર I # DUO સર્વર પર ગૌણ પ્રમાણીકરણ માટે, પ્રમાણપત્રના એક્સટ્રેક્ટેડ યુઝરનેમ અને ઇનિશિયલ્સ (I) ફીલ્ડનો ઉપયોગ કરો.
• પ્રી-ફિલ-યુઝરનેમ ક્લાયંટ # વપરાશકર્તાનામ બદલવાની શક્યતા વિના પ્રમાણીકરણ વિંડોમાં પહેલાથી ભરેલું બનાવો
• સેકન્ડરી-પ્રી-ફિલ-યુઝરનેમ ક્લાયંટ હાઇડ યુઝ-કોમન-પાસવર્ડ પુશ # DUO ગૌણ પ્રમાણીકરણ માટે લોગિન/પાસવર્ડ ઇનપુટ વિન્ડોને છુપાવો અને પ્રમાણીકરણની વિનંતી કરવા માટે પાસવર્ડ ફીલ્ડને બદલે સૂચના પદ્ધતિ (sms/push/phone) નો ઉપયોગ કરો - doc અહીં

!
access-list posture-redirect extended permit tcp any host 72.163.1.80 
access-list posture-redirect extended deny ip any any
!
access-list VPN-Filter extended permit ip any any
!
ip local pool vpn-pool 192.168.100.33-192.168.100.63 mask 255.255.255.224
!
group-policy SECURE-BANK-VPN internal
group-policy SECURE-BANK-VPN attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
group-policy AC-DOWNLOAD internal
group-policy AC-DOWNLOAD attributes
 dns-server value 192.168.99.155 192.168.99.130
 vpn-filter value VPN-Filter
 vpn-tunnel-protocol ssl-client 
 split-tunnel-policy tunnelall
 default-domain value ashes.cc
 address-pools value vpn-pool
 scep-forwarding-url value http://ise.ashes.cc:9090/auth/caservice/pkiclient.exe
 webvpn
  anyconnect ssl dtls enable
  anyconnect mtu 1300
  anyconnect keep-installer installed
  anyconnect ssl keepalive 20
  anyconnect ssl rekey time none
  anyconnect ssl rekey method ssl
  anyconnect dpd-interval client 30
  anyconnect dpd-interval gateway 30
  anyconnect ssl compression lzs
  anyconnect dtls compression lzs
  anyconnect modules value iseposture
  anyconnect profiles value SECUREBANK type user
!
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy AC-DOWNLOAD
 scep-enrollment enable
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 authentication aaa certificate
!
tunnel-group SECURE-BANK-VPN type remote-access
tunnel-group SECURE-BANK-VPN general-attributes
 address-pool vpn-pool
 authentication-server-group ISE
 secondary-authentication-server-group DUO
 accounting-server-group ISE
 default-group-policy SECURE-BANK-VPN
 username-from-certificate CN
 secondary-username-from-certificate I
tunnel-group SECURE-BANK-VPN webvpn-attributes
 authentication aaa certificate
 pre-fill-username client
 secondary-pre-fill-username client hide use-common-password push
 group-alias SECURE-BANK-VPN enable
 dns-group ASHES-DNS
!

આગળ, ચાલો ISE પર આગળ વધીએ:

અમે સ્થાનિક વપરાશકર્તા (તમે AD / LDAP / ODBC વગેરેનો ઉપયોગ પણ કરી શકો છો), સરળતા માટે, મેં ISE માં જ સ્થાનિક વપરાશકર્તા બનાવ્યો અને તેને ફીલ્ડમાં સોંપ્યો વર્ણન પીસી યુડીઆઈડી જેમાંથી તેને VPN દ્વારા લોગ ઇન કરવાની છૂટ છે. ISE પર સ્થાનિક પ્રમાણીકરણનો ઉપયોગ કરવાના કિસ્સામાં, હું ફક્ત એક ઉપકરણ સુધી મર્યાદિત રહીશ, કારણ કે ત્યાં ઘણા ક્ષેત્રો નથી, પરંતુ તૃતીય-પક્ષ પ્રમાણીકરણ ડેટાબેસેસમાં મારી પાસે આવા પ્રતિબંધો હશે નહીં.

ચાલો અધિકૃતતા નીતિ જોઈએ, તે જોડાણના ચાર તબક્કામાં વહેંચાયેલું છે:

• સ્ટેજ 1 - AnyConnect એજન્ટ ડાઉનલોડ કરવા અને પ્રમાણપત્ર જારી કરવા માટેની નીતિ
• સ્ટેજ 2 — પ્રાથમિક પ્રમાણીકરણ નીતિ લોગિન (પ્રમાણપત્રમાંથી)/પાસવર્ડ + UDID માન્યતા સાથેનું પ્રમાણપત્ર
• સ્ટેજ 3 - યુઝરનેમ + સ્ટેટ એસેસમેન્ટ તરીકે UDID દ્વારા Cisco DUO (MFA) દ્વારા પ્રમાણીકરણ ગૌણ
• સ્ટેજ 4 - રાજ્યમાં અંતિમ અધિકૃતતા:
  • સુસંગત;
  • UDID માન્યતા (પ્રમાણપત્રમાંથી + લોગિન માટે બંધનકર્તા),
  • સિસ્કો ડીયુઓ એમએફએ
  • લૉગિન પ્રમાણીકરણ;
  • પ્રમાણપત્ર પ્રમાણીકરણ;

ચાલો એક રસપ્રદ સ્થિતિ જોઈએ UUID_VALIDATED, એવું લાગે છે કે અધિકૃત વપરાશકર્તા ખરેખર પીસીમાંથી આવ્યો છે જેમાં સંબંધિત UDID ફીલ્ડમાં માન્ય છે વર્ણન એકાઉન્ટ, શરતો આના જેવી દેખાય છે:

તબક્કા 1,2,3 માં વપરાયેલ અધિકૃતતા પ્રોફાઇલ આના જેવી દેખાય છે:

તમે ISE માં ક્લાયંટ સત્રની વિગતો જોઈને કોઈપણ કનેક્ટ ક્લાયંટમાંથી UDID કેવી રીતે આવે છે તે બરાબર ચકાસી શકો છો. અમે વિગતવાર જોઈશું કે મિકેનિઝમ દ્વારા AnyConnect ACIDEX પ્લેટફોર્મ વિશે માત્ર ડેટા જ નહીં, પણ ઉપકરણના UDID તરીકે પણ મોકલે છે Cisco-AV-PAIR:

વપરાશકર્તા અને ક્ષેત્રને જારી કરાયેલ પ્રમાણપત્ર પર ધ્યાન આપો આદ્યાક્ષરો (I), જેનો ઉપયોગ Cisco DUO પર MFA ગૌણ પ્રમાણીકરણ માટે લોગિન તરીકે લેવા માટે થાય છે:

DUO ત્રિજ્યા પ્રોક્સી બાજુ પર, અમે સ્પષ્ટપણે લોગમાં જોઈ શકીએ છીએ કે પ્રમાણીકરણની વિનંતી કેવી રીતે થાય છે, તે વપરાશકર્તાનામ તરીકે UDID નો ઉપયોગ કરે છે:

DUO પોર્ટલ પરથી, અમે સફળ પ્રમાણીકરણ ઇવેન્ટ જોયે છે:

અને મેં સેટ કરેલ યુઝર પ્રોપર્ટીઝમાં ઉપનામ, જેનો ઉપયોગ હું લૉગિન કરવા માટે કરતો હતો, બદલામાં, આ લૉગિન માટે માન્ય પીસીનો UDID છે:

પરિણામે, અમને મળ્યું:

• બહુ-પરિબળ વપરાશકર્તા અને ઉપકરણ પ્રમાણીકરણ;
• વપરાશકર્તાના ઉપકરણના અવેજી સામે રક્ષણ;
• ઉપકરણની સ્થિતિનું મૂલ્યાંકન;
• ડોમેન મશીન પ્રમાણપત્ર, વગેરે સાથે વધેલા નિયંત્રણ માટે સંભવિત;
• આપમેળે તૈનાત સુરક્ષા મોડ્યુલો સાથે દૂરસ્થ કાર્યસ્થળનું વ્યાપક રક્ષણ;

સિસ્કો VPN શ્રેણીના લેખોની લિંક્સ:

• ASA VPN લોડ-બેલેન્સિંગ ક્લસ્ટરનો ઉપયોગ
• Cisco ASA પર AnyConnect VPN ટનલમાં ક્લાઉડ સેવાઓનું ઑપ્ટિમાઇઝિંગ

સોર્સ: www.habr.com