如何配置思科ASA防護(hù)墻Web
如何配置思科ASA防護(hù)墻Web
思科擁有豐富的行業(yè)經(jīng)驗(yàn)、先進(jìn)的技術(shù),路由器功能也在世界遙遙領(lǐng)先,那么你知道如何配置思科ASA防護(hù)墻Web嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于如何配置思科ASA防護(hù)墻Web的相關(guān)資料,供你參考。
SSL :
目前市場(chǎng)上 產(chǎn)品很多,而且技術(shù)各異,就比如傳統(tǒng)的IPSec 來(lái)講, SSL能讓公司實(shí)現(xiàn)更多遠(yuǎn)程用戶在不同地點(diǎn)接入,實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪問(wèn),且對(duì)客戶端設(shè)備要求低,因而降低了配置和運(yùn)行支撐成本。很多企業(yè)用戶 采納SSL 作為遠(yuǎn)程安全接入技術(shù),主要看重的是其接入控制功能。
SSL 提供增強(qiáng)的遠(yuǎn)程安全接入功能。 IPSec 通過(guò)在兩站點(diǎn)間創(chuàng)建隧道提供直接(非代理方式)接入,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問(wèn);一旦隧道創(chuàng)建,用戶PC 就如同物理地處于企業(yè)LAN 中。這帶來(lái)很多安全風(fēng)險(xiǎn),尤其是在接入用戶權(quán)限過(guò)大的情況下。
SSL 提供安全、可代理連接,只有經(jīng)認(rèn)證的用戶才能對(duì)資源進(jìn)行訪問(wèn),這就安全多了。 SSL 能對(duì)加密隧道進(jìn)行細(xì)分,從而使得終端用戶能夠同時(shí)接入 Internet 和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源,也就是說(shuō)它具備可控功能。另外,SSL 還能細(xì)化接入控制功能,易于將不同訪問(wèn)權(quán)限賦予不同用戶,實(shí)現(xiàn)伸縮性訪問(wèn);這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSec 來(lái)說(shuō)幾乎是不可能實(shí)現(xiàn)的。
SSL 基本上不受接入位置限制,可以從眾多 Internet 接入設(shè)備、任何遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò)資源。SSL 通信基于標(biāo)準(zhǔn) TCP/UDP 協(xié)議傳輸,因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻。這使得用戶能夠從任何地方接入,無(wú)論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之 后,或是寬帶連接中。IPSec 在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實(shí)現(xiàn),因?yàn)樗茈y實(shí)現(xiàn)防火墻和NAT遍歷,無(wú)力解決IP地址沖突。
另外,SSL能實(shí)現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入,如家用PC或公共Internet 接入場(chǎng)所,而IPSec 客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長(zhǎng),遠(yuǎn)程接入IPSec 在訪問(wèn)控制方面受到極大挑戰(zhàn),而且管理和運(yùn)行支撐成本較高,它是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)連接的最佳解決方案,但要實(shí)現(xiàn)任意位置的遠(yuǎn)程安全接入,SSL 要理想得多。
SSL 不需要復(fù)雜的客戶端支撐,這就易于安裝和配置,明顯降低成本。IPSec 需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備,以建立安全隧道,而且很多情況下在外部(或非企業(yè)控制)設(shè)備中建立隧道相當(dāng)困難。另外,這類復(fù)雜的客戶端難于升級(jí), 對(duì)新用戶來(lái)說(shuō)面臨的麻煩可能更多,如系統(tǒng)運(yùn)行支撐問(wèn)題、時(shí)間開(kāi)銷問(wèn)題、管理問(wèn)題等。 IPSec 解決方案初始成本較低,但運(yùn)行支撐成本高。
如今,已有 SSL 開(kāi)發(fā)商能提供網(wǎng)絡(luò)層支持,進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問(wèn),就如同遠(yuǎn)程機(jī)器處于 LAN 中一樣;同時(shí)提供應(yīng)用層接入,進(jìn)行 Web 應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問(wèn)。
配置思科ASA防護(hù)墻Web的方法:
1,ASA 的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# web
Archasa(config-web)# enable outside
Archasa(config-web)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-web)# svc enable
#上述配置是在外網(wǎng)口上啟動(dòng)WEB ,并同時(shí)啟動(dòng)SSL 功能
2、SSL 配置準(zhǔn)備工作
#創(chuàng)建SSL 用戶地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL 數(shù)據(jù)流不做NAT翻譯
Archasa(config)# access-list go- permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-
3、WEB 隧道組與策略組的配置
#創(chuàng)建名為myssl-group-policy 的組策略
Archasa(config)# group-policy myssl-group-policy internal
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# -tunnel-protocol web
Archasa(config-group-policy)# web
#在組策略中啟用SSL
Archasa(config-group-web)# svc enable
Archasa(config-group-web)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#創(chuàng)建SSL 用戶
Archasa(config-web)# username test password woaicisco
#把myssl-group-plicy 策略賦予用戶test
Archasa(config)# username test attributes
Archasa(config-username)# -group-policy myssl-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group myssl-group type web
Archasa(config)# tunnel-group myssl-group general-attributes
#使用用戶地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group myssl-group web-attributes
Archasa(config-tunnel-web)# group-alias group2 enable
Archasa(config-tunnel-web)# exit
Archasa(config)# web
Archasa(config-web)# tunnel-group-list enable
4、配置SSL 隧道分離
#注意,SSL 隧道分離是可選取的,可根據(jù)實(shí)際需求來(lái)做。
#這里的源地址是ASA 的INSIDE 地址,目標(biāo)地址始終是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy myssl-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整個(gè)配置就完成了,下面可以進(jìn)行測(cè)試:在瀏覽器中輸入
https://192.168.0.1
訪問(wèn)WEB,在隨后彈出的對(duì)話框中輸入用戶名和密碼單擊登陸。這時(shí)系統(tǒng)會(huì)彈出要求安裝SSL CLIENT 程序,單擊“YES”,系統(tǒng)自動(dòng)安裝并連接SSL ,在SSL 連通之后在您的右下角的任務(wù)欄上會(huì)出現(xiàn)一個(gè)小鑰匙狀,你可以雙擊打開(kāi)查看其狀態(tài)。
看過(guò)文章“如何配置思科ASA防護(hù)墻Web"的人還看了:
2.思科路由器怎么設(shè)置橋接(bridging)實(shí)例
4.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置
7.Cisco 路由器訪問(wèn)權(quán)限的設(shè)置