資源描述:
《ASA防火墻設(shè)置SSL VPN》由會(huì)員上傳分享�,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1����、SSLVPN: 在做實(shí)驗(yàn)之前讓咱們先來(lái)明白一下 現(xiàn)在市場(chǎng)上VPN產(chǎn)品許多,并且技術(shù)各異����,就比如傳統(tǒng)的IPSecVPN來(lái)講,SSL能讓公司完成更多遠(yuǎn)程用戶在不一樣地點(diǎn)接入���,完成更多網(wǎng)絡(luò)資源訪問�����,且對(duì)客戶端裝備要求低����,因而降低了配置和運(yùn)轉(zhuǎn)支撐本錢。許多企業(yè)用戶采用SSLVPN作為遠(yuǎn)程安全接入技術(shù)����,首要看重的是其接入控制功用?���! SLVPN提供加強(qiáng)的遠(yuǎn)程安全接入功用。IPSecVPN議決在兩站點(diǎn)間樹立隧道提供直接(非代理方式)接入�����,完成對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問�;一旦隧道樹立�,用戶PC就好像物理地處于企業(yè)LA
2、N中��。這帶來(lái)許多安全風(fēng)險(xiǎn),尤其是在接入用戶權(quán)限過大的情況下�����?���! SLVPN提供安全、可代理銜接���,只需經(jīng)認(rèn)證的用戶才干對(duì)資源執(zhí)行訪問�,這就安全多了�����。SSLVPN能對(duì)加密隧道執(zhí)行細(xì)分���,從而使得終端用戶能夠同時(shí)接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源�,也就是說它具有可控功用�����。另外,SSLVPN還能細(xì)化接入控制功用���,易于將不一樣訪問權(quán)限賦予不一樣用戶��,完成伸縮性訪問�����;這種準(zhǔn)確的接入控制功用對(duì)遠(yuǎn)程接入IPSecVPN來(lái)說幾乎是不能夠完成的�����?����! SLVPN基本上不受接入位置限定����,能夠從眾多Internet接入裝
3����、備、任何遠(yuǎn)程位置訪問網(wǎng)絡(luò)資源���。SSLVPN通訊基于規(guī)范TCP/UDP協(xié)議傳輸����,因而能遍歷一切NAT裝備���、基于代理的防火墻和形態(tài)檢測(cè)防火墻�����。這使得用戶能夠從任何地點(diǎn)接入�����,無(wú)論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后�����,或是寬帶銜接中�����。IPSecVPN在稍龐雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于完成�����,由于它很難完成防火墻和NAT遍歷��,沒力處理IP地址沖突��?��! ×硗?���,SSLVPN能完成從可維護(hù)企業(yè)裝備或非維護(hù)裝備接入��,如家用PC或公共Internet接入場(chǎng)所�����,而IPSecVPN客戶端只好從可維護(hù)或固定裝備接入�����。隨著遠(yuǎn)程接入需求的不
4��、時(shí)增長(zhǎng)�,遠(yuǎn)程接入IPSecVPN在訪問控制方面遭到極大挑釁,并且維護(hù)和運(yùn)轉(zhuǎn)支撐本錢較高����,它是完成點(diǎn)對(duì)點(diǎn)銜接的最好處理方案�,但要完成恣意位置的遠(yuǎn)程安全接入�����,SSLVPN要理想得多���。 SSLVPN不須要龐雜的客戶端支撐�����,這就易于安裝和配置����,清楚降低本錢。IPSecVPN須要在遠(yuǎn)程終端用戶一方安裝特定裝備�,以樹立安全隧道,并且許多情況下在外部(或非企業(yè)控制)裝備中樹立隧道相當(dāng)難處�����。另外�,這類龐雜的客戶端難于晉級(jí)����,對(duì)新用戶來(lái)說面對(duì)的費(fèi)事能夠更多���,如系統(tǒng)運(yùn)轉(zhuǎn)支撐疑問��、時(shí)間開支疑問����、維護(hù)疑問等����。IPSec處理方案
5、原始本錢較低�����,但運(yùn)轉(zhuǎn)支撐本錢高���?���! ∪缃?,已有SSL開發(fā)商能提供網(wǎng)絡(luò)層支持��,執(zhí)行網(wǎng)絡(luò)運(yùn)用訪問���,就好像遠(yuǎn)程機(jī)器處于LAN中一樣;同時(shí)提供運(yùn)用層接入��,執(zhí)行Web運(yùn)用和許多客戶端/服務(wù)器運(yùn)用訪問�����。明白了上述基本要素之后�����,下面咱們將開端實(shí)驗(yàn): 1��,ASA的基本配置: Archasa(config)#inte0/0 Archasa(config-if)#ipadd192.168.0.1255.255.255.0Archasa(config-if)#nameifoutside Archasa(config-
6�、if)#noshut Archasa(config-if)#exit Archasa(config)#inte0/1 Archasa(config-if)#ipadd172.20.59.10255.255.255.0 Archasa(config-if)#nameifinside Archasa(config-if)#noshut Archasa(config-if)#exit Archasa(config)#webvpn Archasa(config-webvpn)#enableout
7��、side Archasa(config-webvpn)#svcimagedisk0:/sslclient-win-1.1.2.169.pkg Archasa(config-webvpn)#svcenable #上述配置是在外網(wǎng)口上啟動(dòng)WEBVPN����,并同時(shí)啟動(dòng)SSLVPN功用 2、SSLVPN配置預(yù)備任務(wù) #樹立SSLVPN用戶地址池 Archasa(config)#iplocalpoolssl-user10.10.10.1-10.10.10.50 #配置SSLVPN數(shù)據(jù)流不做NAT翻譯
8��、Archasa(config)#access-listgo-vpnpermitip172.20.50.0255.255.255.010.10.10.0255.255.255.0 Archasa(config)#nat(inside)0access-listgo-vpn 3、WEBVPN隧道組與戰(zhàn)略組的配置 #樹立名為mysslvpn-group-policy的組戰(zhàn)略 Archasa(config)#group-policymyssl
