清默网络——CISCO ASA SSL VPN详解

网友投稿 264 2022-10-29


清默网络——CISCO ASA SSL VPN详解

CISCO ASA SSL ×××详解

清默网络 CCIE Team 制作清默网络 CCIE Team 制作oCisco ASAWebN××× 配置详解实验环境如拓朴图。在做实验之前让我们先来了解一下 SSL ×××。目前市场上 ××× 产品很多,而且技术各异,就比如传统的 IPSec ××× 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL ××× 作为远程安全接入技术,主要看重的是其接入控制功能。SSL ××× 提供增强的远程安全接入功能。          IPSec××× 通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。 SSL ××× 提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。 SSL ××× 能对加密隧道进行细分,从而使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可控功能。另外, SSL ××× 还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入 IPSec××× 来说几乎是不可能实现的。SSL ××× 基本上不受接入位置限制, 可以从众多 Internet 接入设备、 任何远程位置访问网络资源。          SSL××× 通信基于标准 TCP/UDP 协议传输,因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。 IPSec ××× 在稍复杂的网络结构中难于实现,因为它很难实现防火墙和 NAT 遍历,无力解决 IP地址冲突。另外, SSL ××× 能实现从可管理企业设备或非管理设备接入,如家用 PC 或公共 Internet接入场所,而 IPSec ××× 客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入 IPSec ××× 在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入, SSL ××× 要理想得多。SSL ××× 不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。            IPSec ××× 需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于升级, 对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。 IPSec 解决方案初始成本较低,但运行支撑成本高。如今,已有 SSL 开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于 LAN 中一样;同时提供应用层接入,进行 Web 应用和许多客户端/服务器应用访问。了解了上述基本因素之后,下面我们将开始实验: 第一步,ASA 的基本配置: QM_ASA(config)# int e0/0 QM_ASA (config-if)# ip add 192.168.0.1 255.255.255.0QM_ASA (config-if)# nameif outsideQM_ASA (config-if)# no shutQM_ASA (config-if)# exitQM_ASA (config)# int e0/1QM_ASA (config-if)# ip add 172.20.59.10 255.255.255.0QM_ASA (config-if)# nameif insideQM_ASA (config-if)# no shutQM_ASA (config-if)# exitQM_ASA (config)# webvpnQM_ASA (config-webvpn)# enable outsideQM_ASA (config-webvpn)# svc p_w_picpath disk0:/sslclient-win-1.1.2.169.pkgQM_ASA (config-webvpn)# svc enable#          上述配置是在外网口上启动 WEB×××,并同时启动 SSL ××× 功能2、SSL ××× 配置准备工作#创建 SSL ×××用户地址池QM_ASA (config)# ip local pool ssl-user 10.10.10.1-10.10.10.50#配置 SSL ×××数据流不做 NAT 翻译QM_ASA (config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0255.255.255.0QM_ASA (config)# nat (inside) 0 access-list go-vpn3、WEB ××× 隧道组与策略组的配置#创建名为 mysslvpn-group-policy 的组策略QM_ASA (config)# group-policy mysslvpn-group-policy internalQM_ASA (config)# group-policy mysslvpn-group-policy attributesQM_ASA (config-group-policy)# vpn-tunnel-protocol webvpnQM_ASA (config-group-policy)# webvpn#在组策略中启用 SSL ×××QM_ASA (config-group-webvpn)# svc enableQM_ASA (config-group-webvpn)# exitQM_ASA (config-group-policy)# exitQM_ASA (config)##创建 SSL ×××用户QM_ASA (config-webvpn)# username qm password qmcisco#把 mysslvpn-group-plicy 策略赋予用户 testQM_ASA (config)# username qm attributesQM_ASA (config-username)# vpn-group-policy mysslvpn-group-policyQM_ASA (config-username)# exitQM_ASA (config)# tunnel-group mysslvpn-group type webvpnQM_ASA (config)# tunnel-group mysslvpn-group general-attributes#使用用户地址池QM_ASA (config-tunnel-general)# address-pool ssl-userQM_ASA (config-tunnel-general)# exit          QM_ASA (config)# tunnel-group mysslvpn-group webvpn-attributesQM_ASA (config-tunnel-webvpn)#group-alias group2 enableQM_ASA (config-tunnel-webvpn)#exitQM_ASA (config)# webvpnQM_ASA (config-webvpn)# tunnel-group-list enable4、配置 SSL ××× 隧道分离#注意,SSL ×××隧道分离是可选取的,可根据实际需求来做。#这里的源地址是 ASA 的 INSIDE 地址,目标地址始终是 ANYQM_ASA (config)# access-list split-ssl extendedpermit ip 10.10.1.0 255.255.255.0 anyQM_ASA (config)# group-policy mysslvpn-group-policy attributesQM_ASA (config-group-policy)# split-tunnel-policy tunnelspecifiedQM_ASA (config-group-policy)# split-tunnel-network-list value split-ssl基本上整个配置就完成了,          下面可以进行测试:在浏览器中输入 访问 WEB ×××,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装 SSL ×××CLIENT 程序,单击“YES” ,系统自动安装并连接 SSL×××,在 SSL×××连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。草率此就,有不对的地方请予以指正,谢谢!


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:java进行数据的比较的实例方法
下一篇:清默网络——我的CCIE考试经验与心得(2)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~