如何配置思科ASA防護墻Web
如何配置思科ASA防護墻Web
思科擁有豐富的行業經驗、先進的技術,路由器功能也在世界遙遙領先,那么你知道如何配置思科ASA防護墻Web嗎?下面是學習啦小編整理的一些關于如何配置思科ASA防護墻Web的相關資料,供你參考。
SSL :
目前市場上 產品很多,而且技術各異,就比如傳統的IPSec 來講, SSL能讓公司實現更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶 采納SSL 作為遠程安全接入技術,主要看重的是其接入控制功能。
SSL 提供增強的遠程安全接入功能。 IPSec 通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶PC 就如同物理地處于企業LAN 中。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下。
SSL 提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問,這就安全多了。 SSL 能對加密隧道進行細分,從而使得終端用戶能夠同時接入 Internet 和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL 還能細化接入控制功能,易于將不同訪問權限賦予不同用戶,實現伸縮性訪問;這種精確的接入控制功能對遠程接入IPSec 來說幾乎是不可能實現的。
SSL 基本上不受接入位置限制,可以從眾多 Internet 接入設備、任何遠程位置訪問網絡資源。SSL 通信基于標準 TCP/UDP 協議傳輸,因而能遍歷所有NAT設備、基于代理的防火墻和狀態檢測防火墻。這使得用戶能夠從任何地方接入,無論是處于其他公司網絡中基于代理的防火墻之 后,或是寬帶連接中。IPSec 在稍復雜的網絡結構中難于實現,因為它很難實現防火墻和NAT遍歷,無力解決IP地址沖突。
另外,SSL能實現從可管理企業設備或非管理設備接入,如家用PC或公共Internet 接入場所,而IPSec 客戶端只能從可管理或固定設備接入。隨著遠程接入需求的不斷增長,遠程接入IPSec 在訪問控制方面受到極大挑戰,而且管理和運行支撐成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入,SSL 要理想得多。
SSL 不需要復雜的客戶端支撐,這就易于安裝和配置,明顯降低成本。IPSec 需要在遠程終端用戶一方安裝特定設備,以建立安全隧道,而且很多情況下在外部(或非企業控制)設備中建立隧道相當困難。另外,這類復雜的客戶端難于升級, 對新用戶來說面臨的麻煩可能更多,如系統運行支撐問題、時間開銷問題、管理問題等。 IPSec 解決方案初始成本較低,但運行支撐成本高。
如今,已有 SSL 開發商能提供網絡層支持,進行網絡應用訪問,就如同遠程機器處于 LAN 中一樣;同時提供應用層接入,進行 Web 應用和許多客戶端/服務器應用訪問。
配置思科ASA防護墻Web的方法:
1,ASA 的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# web
Archasa(config-web)# enable outside
Archasa(config-web)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-web)# svc enable
#上述配置是在外網口上啟動WEB ,并同時啟動SSL 功能
2、SSL 配置準備工作
#創建SSL 用戶地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL 數據流不做NAT翻譯
Archasa(config)# access-list go- permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-
3、WEB 隧道組與策略組的配置
#創建名為myssl-group-policy 的組策略
Archasa(config)# group-policy myssl-group-policy internal
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# -tunnel-protocol web
Archasa(config-group-policy)# web
#在組策略中啟用SSL
Archasa(config-group-web)# svc enable
Archasa(config-group-web)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#創建SSL 用戶
Archasa(config-web)# username test password woaicisco
#把myssl-group-plicy 策略賦予用戶test
Archasa(config)# username test attributes
Archasa(config-username)# -group-policy myssl-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group myssl-group type web
Archasa(config)# tunnel-group myssl-group general-attributes
#使用用戶地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group myssl-group web-attributes
Archasa(config-tunnel-web)# group-alias group2 enable
Archasa(config-tunnel-web)# exit
Archasa(config)# web
Archasa(config-web)# tunnel-group-list enable
4、配置SSL 隧道分離
#注意,SSL 隧道分離是可選取的,可根據實際需求來做。
#這里的源地址是ASA 的INSIDE 地址,目標地址始終是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整個配置就完成了,下面可以進行測試:在瀏覽器中輸入
https://192.168.0.1
訪問WEB,在隨后彈出的對話框中輸入用戶名和密碼單擊登陸。這時系統會彈出要求安裝SSL CLIENT 程序,單擊“YES”,系統自動安裝并連接SSL ,在SSL 連通之后在您的右下角的任務欄上會出現一個小鑰匙狀,你可以雙擊打開查看其狀態。
看過文章“如何配置思科ASA防護墻Web"的人還看了: