ASA防火墙设置SSL VPN

SSLVPN：在做实验之前让咱们先来明白一下现在市场上VPN产品许多，并且技术各异，就比如传统的IPSecVPN来讲，SSL能让公司完成更多远程用户在不一样地点接入，完成更多网络资源访问，且对客户端装备要求低，因而降低了配置和运转支撑本钱。许多企业用户采用SSLVPN作为远程安全接入技术，首要看重的是其接入控制功用。SSLVPN提供加强的远程安全接入功用。IPSecVPN议决在两站点间树立隧道提供直接（非代理方式）接入，完成对整个网络的透明访问；一旦隧道树立，用户PC就好像物理地处于企业LAN中。这带来许多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN提供安全、可代理衔接，只需经认证的用户才干对资源执行访问，这就安全多了。SSLVPN能对加密隧道执行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具有可控功用。另外，SSLVPN还能细化接入控制功用，易于将不一样访问权限赋予不一样用户，完成伸缩性访问；这种准确的接入控制功用对远程接入IPSecVPN来说几乎是不能够完成的。SSLVPN基本上不受接入位置限定，能够从众多Internet接入装备、任何远程位置访问网络资源。SSLVPN通讯基于规范TCP/UDP协议传输，因而能遍历一切NAT装备、基于代理的防火墙和形态检测防火墙。这使得用户能够从任何地点接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带衔接中。IPSecVPN在稍庞杂的网络结构中难于完成，由于它很难完成防火墙和NAT遍历，没力处理IP地址冲突。另外，SSLVPN能完成从可维护企业装备或非维护装备接入，如家用PC或公共Internet接入场所，而IPSecVPN客户端只好从可维护或固定装备接入。随着远程接入需求的不时增长，远程接入IPSecVPN在访问控制方面遭到极大挑衅，并且维护和运转支撑本钱较高，它是完成点对点衔接的最好处理方案，但要完成恣意位置的远程安全接入，SSLVPN要理想得多。SSLVPN不须要庞杂的客户端支撑，这就易于安装和配置，清楚降低本钱。IPSecVPN须要在远程终端用户一方安装特定装备，以树立安全隧道，并且许多情况下在外部（或非企业控制）装备中树立隧道相当难处。另外，这类庞杂的客户端难于晋级，对新用户来说面对的费事能够更多，如系统运转支撑疑问、时间开支疑问、维护疑问等。IPSec处理方案原始本钱较低，但运转支撑本钱高。如今，已有SSL开发商能提供网络层支持，执行网络运用访问，就好像远程机器处于LAN中一样；同时提供运用层接入，执行Web运用和许多客户端/服务器运用访问。明白了上述基本要素之后，下面咱们将开端实验：1，ASA的基本配置：Archasa(config)#inte0/0Archasa(config-if)#ipadd192.168.0.1255.255.255.0Archasa(config-if)#nameifoutsideArchasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#inte0/1Archasa(config-if)#ipadd172.20.59.10255.255.255.0Archasa(config-if)#nameifinsideArchasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#webvpnArchasa(config-webvpn)#enableoutsideArchasa(config-webvpn)#svcimagedisk0:/sslclient-win-1.1.2.169.pkgArchasa(config-webvpn)#svcenable#上述配置是在外网口上启动WEBVPN，并同时启动SSLVPN功用2、SSLVPN配置预备任务#树立SSLVPN用户地址池Archasa(config)#iplocalpoolssl-user10.10.10.1-10.10.10.50#配置SSLVPN数据流不做NAT翻译Archasa(config)#access-listgo-vpnpermitip172.20.50.0255.255.255.010.10.10.0255.255.255.0Archasa(config)#nat(inside)0access-listgo-vpn3、WEBVPN隧道组与战略组的配置#树立名为mysslvpn-group-policy的组战略Archasa(config)#group-policymysslvpn-group-policyinternalArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#vpn-tunnel-protocolwebvpnArchasa(config-group-policy)#webvpn#在组战略中启用SSLVPNArchasa(config-group-webvpn)#svcenableArchasa(config-group-webvpn)#exitArchasa(config-group-policy)#exitArchasa(config)##树立SSLVPN用户Archasa(config-webvpn)#usernametestpasswordwoaicisco#把mysslvpn-group-plicy战略赋予用户testArchasa(config)#usernametestattributesArchasa(config-username)#vpn-group-policymysslvpn-group-policyArchasa(config-username)#exitArchasa(config)#tunnel-groupmysslvpn-grouptypewebvpnArchasa(config)#tunnel-groupmysslvpn-groupgeneral-attributes#运用用户地址池Archasa(config-tunnel-general)#address-poolssl-userArchasa(config-tunnel-general)#exitArchasa(config)#tunnel-groupmysslvpn-groupwebvpn-attributesArchasa(config-tunnel-webvpn)#group-aliasgroup2enableArchasa(config-tunnel-webvpn)#exitArchasa(config)#webvpnArchasa(config-webvpn)#tunnel-group-listenable4、配置SSLVPN隧道分别#留意，SSLVPN隧道分别是可选取的，可依据理论需求来做。#这里的源地址是ASA的INSIDE地址，目标地址一直是ANYArchasa(config)#access-listsplit-sslextendedpermitip10.10.1.0255.255.255.0anyArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#split-tunnel-policytunnelspecifiedArchasa(config-group-policy)#split-tunnel-network-listvaluesplit-ssl基本上整个配置就完成了，下面能够执行测试：在浏览器中输入，在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSLVPNCLIENT顺序，单击“YES”，系统自动安装并衔接SSLVPN，在SSLVPN连通之后在您的右下角的职务栏上会呈现一个小钥匙状，你能够双击翻开检查其形态。随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。SSLVPN设备有很多。如Cisco路由器、CiscoPIX防火墙、CiscoASA防火墙、CiscoVPN3002硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。那么今天我们看看我们要实现的是SSLVPN，那什么是SSLVPN呢？SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。什么是SSLVPN？从概念角度来说，SSLVPN即指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。相对于传统的IPSECVPN而言，SSLVPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。一般而言，SSLVPN必须满足最基本的两个要求：1.使用SSL协议进行认证和加密；没有采用SSL协议的VPN产品自然不能称为SSLVPN，其安全性也需要进一步考证。2.直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL协议，但仍然需要分发和安装独立的VPN客户端(如OpenVPN)不能称为SSLVPN，否则就失去了SSLVPN易于部署，免维护的优点了。SSLVPN的特点SSLVPN的客户端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；SSLVPN可在NAT代理装置上以透明模式工作；SSLVPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；SSLVPN将远程安全接入延伸到IPSecVPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用；客户端安全检查和授权访问等操作，实现起来更加方便。SSLVPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSecVPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSecVPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSLVPN是企业远程安全接入的最佳选择。但是虽然SSLVPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。SSLVPN的优点1、方便。实施sslvpn之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调