实例展示通过Cisco ASA防火墙配置WebVPN

安全
目前市场上VPN 产品很多,而且技术各异,就比如传统的IPSec VPN来讲, SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。

VPN的出现使得企业在远程访问上的安全性大大提高,并且降低了企业的网络成本。那么本篇文章就通过实例展示如何利用Cisco ASA防火墙配置WebVPN。希望通过此实例可以加强企业网络管理员之间的交流。

1,Cisco ASA的基本配置:

Archasa(config)# int e0/0

Archasa(config-if)# ip add 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside

Archasa(config-if)# no shut

Archasa(config-if)# exit

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

Archasa(config-if)# no shut

Archasa(config-if)# exit

Archasa(config)# webvpn

Archasa(config-webvpn)# enable outside

Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg

Archasa(config-webvpn)# svc enable

#上述配置是在外网口上启动WEBVPN ,并同时启动SSL VPN 功能

2、SSL VPN 配置准备工作

#创建SSL VPN 用户地址池

Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50

#配置SSL VPN 数据流不做NAT翻译

Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0

Archasa(config)# nat (inside) 0 access-list go-vpn

3、WEB VPN 隧道组与策略组的配置

#创建名为mysslvpn-group-policy 的组策略

Archasa(config)# group-policy mysslvpn-group-policy internal

Archasa(config)# group-policy mysslvpn-group-policy attributes

Archasa(config-group-policy)# vpn-tunnel-protocol webvpn

Archasa(config-group-policy)# webvpn

#在组策略中启用SSL VPN

Archasa(config-group-webvpn)# svc enable

Archasa(config-group-webvpn)# exit

Archasa(config-group-policy)# exit

Archasa(config)#

#创建SSL VPN 用户

Archasa(config-webvpn)# username test password woaicisco

#把mysslvpn-group-plicy 策略赋予用户test

Archasa(config)# username test attributes

Archasa(config-username)# vpn-group-policy mysslvpn-group-policy

Archasa(config-username)# exit

Archasa(config)# tunnel-group mysslvpn-group type webvpn

Archasa(config)# tunnel-group mysslvpn-group general-attributes

#使用用户地址池

Archasa(config-tunnel-general)# address-pool ssl-user

Archasa(config-tunnel-general)# exit

Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes

Archasa(config-tunnel-webvpn)# group-alias group2 enable

Archasa(config-tunnel-webvpn)# exit

Archasa(config)# webvpn

Archasa(config-webvpn)# tunnel-group-list enable

4、配置SSL VPN 隧道分离

#注意,SSL VPN 隧道分离是可选取的,可根据实际需求来做。

#这里的源地址是ASA 的INSIDE 地址,目标地址始终是ANY

Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any

Archasa(config)# group-policy mysslvpn-group-policy attributes

Archasa(config-group-policy)# split-tunnel-policy tunnelspecified

Archasa(config-group-policy)# split-tunnel-network-list value split-ssl

基本上整个配置就完成了,下面可以进行测试:在浏览器中输入

https://192.168.0.1

访问WEBVPN,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL VPN CLIENT 程序,单击“YES”,系统自动安装并连接SSLVPN ,在SSLVPN 连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。至此我们就成功的通过Cisco ASA防火墙配置WebVPN。
 

【编辑推荐】

  1. 防火墙安全测试之漏洞扫描
  2. 防火墙安全测试之数据包侦听
  3. 防火墙安全测试之规则分析工具
  4. Web应用防火墙的主要特性
  5. 防止入侵从Web应用安全漏洞做起
责任编辑:张启峰 来源: 中国IT实验室
相关推荐

2010-09-25 16:34:30

CISCO ASA

2010-10-08 14:29:21

ASA防火墙

2010-08-05 14:22:35

2014-08-05 09:50:40

CentOS防火墙

2010-08-03 09:39:45

路由器

2010-08-13 13:40:34

2010-09-14 10:30:55

Cisco PIX防火

2010-07-12 11:33:52

2009-12-25 13:36:41

2010-08-10 10:05:29

思科路由器配置防火墙

2009-09-25 11:25:39

2010-11-26 09:25:28

2010-09-13 16:32:58

2010-09-14 14:26:50

2011-03-15 15:47:15

Iptables防火墙

2009-12-09 14:34:58

2009-02-22 09:30:24

2011-09-29 10:38:46

IPv6防火墙

2010-09-14 09:44:06

2009-12-01 17:13:35

点赞
收藏

51CTO技术栈公众号