資源描述:
《ASA防火墻設(shè)置SSL VPN》由會員上傳分享��,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�、SSLVPN: 在做實驗之前讓咱們先來明白一下 現(xiàn)在市場上VPN產(chǎn)品許多���,并且技術(shù)各異��,就比如傳統(tǒng)的IPSecVPN來講��,SSL能讓公司完成更多遠程用戶在不一樣地點接入�,完成更多網(wǎng)絡(luò)資源訪問��,且對客戶端裝備要求低�,因而降低了配置和運轉(zhuǎn)支撐本錢。許多企業(yè)用戶采用SSLVPN作為遠程安全接入技術(shù)��,首要看重的是其接入控制功用��?���! SLVPN提供加強的遠程安全接入功用。IPSecVPN議決在兩站點間樹立隧道提供直接(非代理方式)接入�,完成對整個網(wǎng)絡(luò)的透明訪問�;一旦隧道樹立���,用戶PC就好像物理地處于企業(yè)LA
2����、N中�。這帶來許多安全風(fēng)險,尤其是在接入用戶權(quán)限過大的情況下����。 SSLVPN提供安全�、可代理銜接,只需經(jīng)認證的用戶才干對資源執(zhí)行訪問��,這就安全多了����。SSLVPN能對加密隧道執(zhí)行細分,從而使得終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源��,也就是說它具有可控功用�。另外,SSLVPN還能細化接入控制功用����,易于將不一樣訪問權(quán)限賦予不一樣用戶,完成伸縮性訪問��;這種準確的接入控制功用對遠程接入IPSecVPN來說幾乎是不能夠完成的��?����! SLVPN基本上不受接入位置限定��,能夠從眾多Internet接入裝
3����、備、任何遠程位置訪問網(wǎng)絡(luò)資源�。SSLVPN通訊基于規(guī)范TCP/UDP協(xié)議傳輸,因而能遍歷一切NAT裝備�����、基于代理的防火墻和形態(tài)檢測防火墻���。這使得用戶能夠從任何地點接入��,無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后��,或是寬帶銜接中�����。IPSecVPN在稍龐雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于完成�,由于它很難完成防火墻和NAT遍歷,沒力處理IP地址沖突���?���! ×硗?����,SSLVPN能完成從可維護企業(yè)裝備或非維護裝備接入���,如家用PC或公共Internet接入場所��,而IPSecVPN客戶端只好從可維護或固定裝備接入����。隨著遠程接入需求的不
4、時增長�����,遠程接入IPSecVPN在訪問控制方面遭到極大挑釁����,并且維護和運轉(zhuǎn)支撐本錢較高���,它是完成點對點銜接的最好處理方案����,但要完成恣意位置的遠程安全接入��,SSLVPN要理想得多���?����! SLVPN不須要龐雜的客戶端支撐��,這就易于安裝和配置���,清楚降低本錢����。IPSecVPN須要在遠程終端用戶一方安裝特定裝備�����,以樹立安全隧道�����,并且許多情況下在外部(或非企業(yè)控制)裝備中樹立隧道相當難處����。另外,這類龐雜的客戶端難于晉級��,對新用戶來說面對的費事能夠更多�,如系統(tǒng)運轉(zhuǎn)支撐疑問、時間開支疑問�、維護疑問等。IPSec處理方案
5����、原始本錢較低�,但運轉(zhuǎn)支撐本錢高�。 如今�,已有SSL開發(fā)商能提供網(wǎng)絡(luò)層支持,執(zhí)行網(wǎng)絡(luò)運用訪問��,就好像遠程機器處于LAN中一樣���;同時提供運用層接入,執(zhí)行Web運用和許多客戶端/服務(wù)器運用訪問����。明白了上述基本要素之后,下面咱們將開端實驗: 1�����,ASA的基本配置: Archasa(config)#inte0/0 Archasa(config-if)#ipadd192.168.0.1255.255.255.0Archasa(config-if)#nameifoutside Archasa(config-
6����、if)#noshut Archasa(config-if)#exit Archasa(config)#inte0/1 Archasa(config-if)#ipadd172.20.59.10255.255.255.0 Archasa(config-if)#nameifinside Archasa(config-if)#noshut Archasa(config-if)#exit Archasa(config)#webvpn Archasa(config-webvpn)#enableout
7、side Archasa(config-webvpn)#svcimagedisk0:/sslclient-win-1.1.2.169.pkg Archasa(config-webvpn)#svcenable #上述配置是在外網(wǎng)口上啟動WEBVPN��,并同時啟動SSLVPN功用 2、SSLVPN配置預(yù)備任務(wù) #樹立SSLVPN用戶地址池 Archasa(config)#iplocalpoolssl-user10.10.10.1-10.10.10.50 #配置SSLVPN數(shù)據(jù)流不做NAT翻譯
8�、Archasa(config)#access-listgo-vpnpermitip172.20.50.0255.255.255.010.10.10.0255.255.255.0 Archasa(config)#nat(inside)0access-listgo-vpn 3、WEBVPN隧道組與戰(zhàn)略組的配置 #樹立名為mysslvpn-group-policy的組戰(zhàn)略 Archasa(config)#group-policymyssl
