資源描述:
《圖解Cisco ASA防火墻SSL VPN的配置》由會員上傳分享����,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1��、圖解CiscoASA防火墻SSLVPN的配置(圖)隨著現(xiàn)在互聯(lián)網(wǎng)的飛速發(fā)展����,企業(yè)規(guī)模也越來越大,一些分支企業(yè)�、在外辦公以及SOHO一族們,需要隨時隨地的接入到我們企業(yè)的網(wǎng)絡(luò)中�����,來完成我們一些日常的工作�����,這時我們VPN在這里就成了一個比較重要的一個角色了�。SSLVPN設(shè)備有很多。如Cisco路由器���、CiscoPIX防火墻�、CiscoASA防火墻���、CiscoVPN3002硬件客戶端或軟件客戶端�。這極大地簡化了遠程端管理和配置�����。說的簡單點就是在Server端配置復(fù)雜的策略和密鑰管理等命令,而在我們的客戶端上只要配置很簡單的幾條命令就能和Server端建立VPN鏈路的一種技術(shù)�,主要的目的當然就是
2、簡化遠端設(shè)備的配置和管理����。那么今天我們看看我們要實現(xiàn)的是SSLVPN,那什么是SSLVPN呢�����?SSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)�。與復(fù)雜的IPSecVPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠程連通���。任何安裝瀏覽器的機器都可以使用SSLVPN��,這是因為SSL內(nèi)嵌在瀏覽器中����,它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件��。什么是SSLVPN��?從概念角度來說,SSLVPN即指采用SSL(SecuritySocketLayer)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)���。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認證���、客戶
3���、認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性����。對于內(nèi)、外部應(yīng)用來說����,使用SSL可保證信息的真實性、完整性和保密性�。目前SSL協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用�。正因為SSL協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL協(xié)議進行認證和數(shù)據(jù)加密的SSLVPN就可以免于安裝客戶端���。相對于傳統(tǒng)的IPSECVPN而言���,SSLVPN具有部署簡單��,無客戶端�����,維護成本低�,網(wǎng)絡(luò)適應(yīng)強等特點��,這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別����。一般而言,SSLVPN必須滿足最基本的兩個要求:1.使用SSL協(xié)議進行認證和加密����;
4、沒有采用SSL協(xié)議的VPN產(chǎn)品自然不能稱為SSLVPN���,其安全性也需要進一步考證����。2.直接使用瀏覽器完成操作���,無需安裝獨立的客戶端��;即使使用了SSL協(xié)議���,但仍然需要分發(fā)和安裝獨立的VPN客戶端(如OpenVPN)不能稱為SSLVPN��,否則就失去了SSLVPN易于部署,免維護的優(yōu)點了�。SSLVPN的特點SSLVPN的客戶端程序,如MicrosoftInternetExplorer��、NetscapeCommunicator���、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中����,因此不需要再次安裝����;SSLVPN可在NAT代理裝置上以透明模式工作;SSLVPN不會受到安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)
5����、備的影響�����,穿透能力強��;SSLVPN將遠程安全接入延伸到IPSecVPN擴展不到的地方��,使更多的員工�����,在更多的地方����,使用更多的設(shè)備��,安全訪問到更多的企業(yè)網(wǎng)絡(luò)資源���,同時降低了部署和支持費用�����;客戶端安全檢查和授權(quán)訪問等操作��,實現(xiàn)起來更加方便�。SSLVPN可以在任何地點,利用任何設(shè)備����,連接到相應(yīng)的網(wǎng)絡(luò)資源上。IPSecVPN通常不能支持復(fù)雜的網(wǎng)絡(luò)����,這是因為它們需要克服穿透防火墻、IP地址沖突等困難����。所以IPSecVPN實際上只適用于易于管理的或者位置固定的地方��??梢哉f從功能上講,SSLVPN是企業(yè)遠程安全接入的最佳選擇��。但是雖然SSLVPN具有以上眾多的優(yōu)點����,卻由于SSL協(xié)議本身的局限性,使得性
6����、能遠低于使用IPSec協(xié)議的設(shè)備�。用戶往往需要在簡便使用與性能之間進行痛苦選擇���。這也是第二代VPN始終無法取代第一代VPN的原因���。SSLVPN的優(yōu)點1、方便��。實施sslvpn之需要安裝配置好中心網(wǎng)關(guān)即可����。其余的客戶端是免安裝的,因此�,實施工期很短,如果網(wǎng)絡(luò)條件具備��,連安裝帶調(diào)試�,1-2天即可投入運營。2�、容易維護。sslvpn維護起來簡單���,出現(xiàn)問題���,就維護網(wǎng)關(guān)就可以了�。實在不行�����,換一臺��,如果有雙機備份的話�����,備份機器啟動就可以了���。3����、安全��。sslvpn是一個安全協(xié)議����,數(shù)據(jù)全程加密傳輸?shù)?���。另外��,由于ssl網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端���,只留下一個web瀏覽接口,客戶端的大多數(shù)病毒木馬感染不倒內(nèi)
7�、部服務(wù)器。而ipsecvpn就不一樣�����,實現(xiàn)的是ip級別的訪問��,遠程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別��。局域網(wǎng)能夠傳播的病毒�����,通過vpn一樣能夠傳播�����。那么我們也了解了這么多了��,我們來看看如何配置它呢?第一步:配置身份證書在這里我們生成一個名為sslvpnkeypair的自簽名證書��,并將這個自答名證書應(yīng)用在“outside”接口上面���。默認情況下�,我們的安全設(shè)備每次重新啟動以后���,都全重新生成我們的證書����,這個證書我們也可以從廠商購買自己的證書�����,這個
