ASA防火墙设置SSL VPN.docx

1、ASA防火墙设置SSL VPNSSL VPN ： 在做实验之前让咱们先来明白一下 现在市场上VPN 产品许多，并且技术各异，就比如传统的IPSec VPN来讲， SSL能让公司完成更多远程用户在不一样地点接入，完成更多网络资源访问，且对客户端装备要求低，因而降低了配置和运转支撑本钱。许多企业用户 采用SSL VPN作为远程安全接入技术，首要看重的是其接入控制功用。 SSL VPN 提供加强的远程安全接入功用。 IPSec VPN 议决在两站点间树立隧道提供直接（非代理方式）接入，完成对整个网络的透明访问；一旦隧道树立，用户PC 就好像物理地处于企业LAN 中。这带来许多安全风险，尤其是在接入用

2、户权限过大的情况下。 SSLVPN 提供安全、可代理衔接，只需经认证的用户才干对资源执行访问，这就安全多了。 SSLVPN 能对加密隧道执行细分，从而使得终端用户能够同时接入 Internet 和访问内部企业网资源，也就是说它具有可控功用。另外，SSLVPN 还能细化接入控制功用，易于将不一样访问权限赋予不一样用户，完成伸缩性访问；这种准确的接入控制功用对远程接入IPSec VPN 来说几乎是不能够完成的。 SSL VPN 基本上不受接入位置限定，能够从众多 Internet 接入装备、任何远程位置访问网络资源。SSLVPN 通讯基于规范 TCP/UDP 协议传输，因而能遍历一切NAT装备、基

3、于代理的防火墙和形态检测防火墙。这使得用户能够从任何地点接入，无论是处于其他公司网络中基于代理的防火墙之 后，或是宽带衔接中。IPSec VPN 在稍庞杂的网络结构中难于完成，由于它很难完成防火墙和NAT遍历，没力处理IP地址冲突。 另外，SSLVPN能完成从可维护企业装备或非维护装备接入，如家用PC或公共Internet 接入场所，而IPSec VPN 客户端只好从可维护或固定装备接入。随着远程接入需求的不时增长，远程接入IPSec VPN 在访问控制方面遭到极大挑衅，并且维护和运转支撑本钱较高，它是完成点对点衔接的最好处理方案，但要完成恣意位置的远程安全接入，SSLVPN 要理想得多。 S

4、SL VPN 不须要庞杂的客户端支撑，这就易于安装和配置，清楚降低本钱。IPSec VPN 须要在远程终端用户一方安装特定装备，以树立安全隧道，并且许多情况下在外部（或非企业控制）装备中树立隧道相当难处。另外，这类庞杂的客户端难于晋级， 对新用户来说面对的费事能够更多，如系统运转支撑疑问、时间开支疑问、维护疑问等。 IPSec 处理方案原始本钱较低，但运转支撑本钱高。 如今，已有 SSL 开发商能提供网络层支持，执行网络运用访问，就好像远程机器处于 LAN 中一样；同时提供运用层接入，执行 Web 运用和许多客户端/服务器运用访问。明白了上述基本要素之后，下面咱们将开端实验： 1，ASA 的基

5、本配置： Archasa(config)# int e0/0 Archasa(config-if)# ip add 192.168.0.1 255.255.255.0 Archasa(config-if)# nameif outside Archasa(config-if)# no shut Archasa(config-if)# exit Archasa(config)# int e0/1 Archasa(config-if)# ip add 172.20.59.10 255.255.255.0 Archasa(config-if)# nameif inside Archasa(config

6、-if)# no shut Archasa(config-if)# exit Archasa(config)# webvpn Archasa(config-webvpn)# enable outside Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg Archasa(config-webvpn)# svc enable #上述配置是在外网口上启动WEBVPN ，并同时启动SSL VPN 功用 2、SSL VPN 配置预备任务 #树立SSL VPN 用户地址池 Archasa(config)# ip loc

7、al pool ssl-user 10.10.10.1-10.10.10.50 #配置SSL VPN 数据流不做NAT翻译 Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0 Archasa(config)# nat (inside) 0 access-list go-vpn 3、WEB VPN 隧道组与战略组的配置 #树立名为mysslvpn-group-policy 的组战略 Archasa(config)# group-policy mysslvp

8、n-group-policy internal Archasa(config)# group-policy mysslvpn-group-policy attributes Archasa(config-group-policy)# vpn-tunnel-protocol webvpn Archasa(config-group-policy)# webvpn #在组战略中启用SSL VPN Archasa(config-group-webvpn)# svc enable Archasa(config-group-webvpn)# exit Archasa(config-group-policy

9、)# exit Archasa(config)# #树立SSL VPN 用户 Archasa(config-webvpn)# username test password woaicisco #把mysslvpn-group-plicy 战略赋予用户test Archasa(config)# username test attributes Archasa(config-username)# vpn-group-policy mysslvpn-group-policy Archasa(config-username)# exit Archasa(config)# tunnel-group my

10、sslvpn-group type webvpn Archasa(config)# tunnel-group mysslvpn-group general-attributes #运用用户地址池 Archasa(config-tunnel-general)# address-pool ssl-user Archasa(config-tunnel-general)# exit Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes Archasa(config-tunnel-webvpn)# group-alias group

11、2 enable Archasa(config-tunnel-webvpn)# exit Archasa(config)# webvpn Archasa(config-webvpn)# tunnel-group-list enable 4、配置SSL VPN 隧道分别 #留意，SSL VPN 隧道分别是可选取的，可依据理论需求来做。 #这里的源地址是ASA 的INSIDE 地址，目标地址一直是ANY Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any Archasa(conf

12、ig)# group-policy mysslvpn-group-policy attributes Archasa(config-group-policy)# split-tunnel-policy tunnelspecified Archasa(config-group-policy)# split-tunnel-network-list value split-ssl 基本上整个配置就完成了，下面能够执行测试：在浏览器中输入 https:/192.168.0.1 访问WEBVPN，在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL VPN CLIENT 顺序，单击

13、“YES”，系统自动安装并衔接SSLVPN ，在SSLVPN 连通之后在您的右下角的职务栏上会呈现一个小钥匙状，你能够双击翻开检查其形态。 随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。SSL VPN设备有很多。如Cisco 路由器、Cisco PIX防火墙、Cisco ASA 防火墙、Cisco VPN3002 硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server 端配置复杂的策略和密钥管理等命令，而在我

14、们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。那么今天我们看看我们要实现的是SSL VPN，那什么是SSL VPN呢？SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。什么是SSL VPN？从概念角度来说，SSL VPN即指采用SSL （Security Socket Laye

15、r）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之

16、间的差别就类似C/S构架和B/S构架的区别。一般而言，SSL VPN必须满足最基本的两个要求：1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。2. 直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。SSL VPN的特点SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已

17、经预装在了终端设备中，因此不需要再次安装；SSL VPN可在NAT代理装置上以透明模式工作；SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用； 客户端安全检查和授权访问等操作，实现起来更加方便。SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于

18、管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。但是虽然SSL VPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。SSL VPN的优点1、方便。实施ssl vpn之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。2、容易维护。ssl vpn 维护起来简单，出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可

19、以了。3、安全。ssl vpn 是一个安全协议，数据全程加密传输的。另外，由于ssl网关隔离了内部服务器和客户端，只留下一个web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。而ipsec vpn 就不一样，实现的是ip级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过vpn一样能够传播。那么我们也了解了这么多了，我们来看看如何配置它呢？第一步：配置身份证书在这里我们生成一个名为sslvpnkeypair的自签名证书，并将这个自答名证书应用在“outside”接口上面。默认情况下，我们的安全设备每次重新启动以后，都全重新生成我们的证书，这个证书我们也可以从厂商购买自己

20、的证书，这个证书即使我们的网络设备重启了它仍然存在。 /生成一个RSA密钥的证书，该名称是是唯一的。CISCOASA(config)# crypto key generate rsa label sslvpnkeypairINFO: The name for the keys will be: sslvpnkeypairKeypair generation process begin. Please wait./建立一个自我信任点颁发的证书CISCOASA(config)# crypto ca trustpoint localtrustCISCOASA(config-ca-trustpoint

21、)# enrollment selfCISCOASA(config-ca-trustpoint)# fqdn CISCOASA(config-ca-trustpoint)# subject-name CN=CISCOASA(config-ca-trustpoint)# keypair sslvpnkeypairCISCOASA(config-ca-trustpoint)# crypto ca enroll localtrust noconfirm% The fully-qualified domain name in the certificate will be: CISCOASA(conf

22、ig)# ssl trust-point localtrust outside第二步：将SSL VPN客户端映象上传到ASA用户可以从思科的网站()获得客户端映象。在选择要下载哪个映象给TFTP服务器时，记住你需要为用户所使用的每种操作系统下载单独的映象。在选择并下载客户端软件后，就可以将其TFTP到ASA。如果没有的话，我可以提供一个给大家测试用用。 CISCOASA(config)# copy tftp:/192.168. 1.50/sslclient-win-1.1.3.173.pkg flash在将文件上传到ASA之后,配置一下这个文件,使其可用作Web VPN会话.注意,如果你有多个

23、客户端,就应当配置最常用的客户,使其拥有最高的优先权。在本文中，我们将仅使用一个客户端并为其设置优先权为1： CISCOASA(config)# webvpnCISCOASA(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkg 1INFO: Image does not contain head-end configuration.第三步：启用SSL VPN访问如何不启用的话，那么我们输入网址将打不开该SSL VPN的页面。 CISCOASA(config-webvpn)# enable outsideCISCOASA(co

24、nfig-webvpn)# svc enableCISCOASA(config-webvpn)# exit第四步：建立SSL VPN拨号地址池远程访问客户端需要在登录期间分配一个IP地址，所以我们还需要为这些客户端建立一个DHCP地址池，不过如果你有DHCP服务器，还可以使用DHCP服务器。 CISCOASA(config)# ip local pool SSLClientPool 192.168.10.1-192.168.10.100 mask 255.255.255.0第五步：创建组策略组策略用于指定应用于所连接客户端的参数。在本文中，我们将创建一个称之为SSLCLientPolicy的组

25、策略。 CISCOASA(config)# group-policy SSLCLientPolicy internalCISCOASA(config)# group-policy SSLCLientPolicy attributesCISCOASA(config-group-policy)# dns-server value 61.139.2.69CISCOASA(config-group-policy)# vpn-tunnel-protocol svcCISCOASA(config-group-policy)# default-domain value tsweb.localCISCOASA

26、(config-group-policy)# address-pools value SSLClientPoolCISCOASA(config-group-policy)# exit第六步：配置访问列表旁路通过使用sysopt connect命令，我们告诉ASA准许SSL/IPsec客户端绕过接口的访问列表 CISCOASA(config)# sysopt connection permit-vpn第七步：创建连接配置文件和隧道组在远程访问客户端连接到ASA时，也就连接到了connection profile连接配置文件，也称为隧道组。我们将用这个隧道组来定义其使用的特定连接参数。在本文中，我

27、们将配置这些远程访问客户端使用Cisco SSL VPN客户端，不过，你还可以配置隧道组使用IPsec、L2L等。首先，创建隧道组SSL 客户端： CISCOASA(config)# tunnel-group SSLClientProfile type remote-access下一步就是给这个SSL VPN隧道分配特定的属性 CISCOASA(config)# tunnel-group SSLClientProfile general-attributesCISCOASA(config-tunnel-general)# default-group-policy SSLCLientPolicy

28、CISCOASA(config-tunnel-general)# tunnel-group SSLClientProfile webvpn-attributesCISCOASA(config-tunnel-webvpn)# group-alias SSLVPNClient enable CISCOASA(config-tunnel-webvpn)# exit在上在group-alias后面的SSLVPNClient这个就是我们在登陆页面提示进行登录时看见的组。（如下图：）第八步：将隧道组列表在webvpn中开启开启之后，在我们登录的时候才会有“GROUP”，如果没有开启的话，在上图就没有“GR

29、OUP”这个列表。 CISCOASA(config)# webvpnCISCOASA(config-webvpn)# tunnel-group-list enableCISCOASA(config-webvpn)# exit第九步：配置NAT免除现在，我们需要告诉ASA不要对远程访问客户端和要访问的内部网络之间的通信进行网络地址转换(NAT)。首先，我们要创建一个可定义通信的访问列表，然后，我们将此列表用于接口的NAT语句： CISCOASA(config)# access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.0.

30、0.0 192.168.10.0 255.255.255.0CISCOASA(config)# nat (inside) 0 access-list inside_nat0_outbound第十步：配置用户账户现在我们已经为配置用户账户做好了准备。在此，我们要创建一个用户并且将此用户指派给我们的SSL VPN： CISCOASA(config)# username liuty password yjtfpddcCISCOASA(config)# username liuty attributesCISCOASA(config-username)# service-type remote-acc

31、essCISCOASA(config-username)# exit第十一步：保存 CISCOASA(config)# write memory好了，上面设置就差不多了。那么我们现在打开网站来试试看。打开IE浏览器输入https:/xxx.xxx.xxx.xxx/如果你的是IP地址那么XXX就输入IP地址，如果有域名就输入域名。打开以后，会出现一个安全警报，这里直接点击“是”。打开我们的SSL VPN界面如下：从上图我们可以看见，在login下面选择我们SSLVPN的组，再输入组下面的用户名及密码。来进行登录。当我们用户名及密码认证成功以后，就会进入下面这个页面，进行activeX下载及安装。在这里如果你的计算机安装了JAVA虚拟机的话会提示出来窗口。并且JAVA虚拟机会自动帮你下载及安装。因为我们站点名称与我们开始生成的证书的名称不一致导致的，这里不用管它，直接点击“是”这时候我们的JAVA虚拟机就会自动来帮我们下载及安装。如果我们的PC上面没有安装