如何配置思科ASA防護(hù)墻Web

如何配置思科ASA防護(hù)墻Web

　　思科擁有豐富的行業(yè)經(jīng)驗(yàn)、先進(jìn)的技術(shù)，路由器功能也在世界遙遙領(lǐng)先，那么你知道如何配置思科ASA防護(hù)墻Web嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于如何配置思科ASA防護(hù)墻Web的相關(guān)資料，供你參考。

　　SSL ：

　　目前市場上 產(chǎn)品很多，而且技術(shù)各異，就比如傳統(tǒng)的IPSec 來講， SSL能讓公司實(shí)現(xiàn)更多遠(yuǎn)程用戶在不同地點(diǎn)接入，實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運(yùn)行支撐成本。很多企業(yè)用戶 采納SSL 作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。

　　SSL 提供增強(qiáng)的遠(yuǎn)程安全接入功能。 IPSec 通過在兩站點(diǎn)間創(chuàng)建隧道提供直接(非代理方式)接入，實(shí)現(xiàn)對整個網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建，用戶PC 就如同物理地處于企業(yè)LAN 中。這帶來很多安全風(fēng)險，尤其是在接入用戶權(quán)限過大的情況下。

　　SSL 提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶才能對資源進(jìn)行訪問，這就安全多了。 SSL 能對加密隧道進(jìn)行細(xì)分，從而使得終端用戶能夠同時接入 Internet 和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。另外，SSL 還能細(xì)化接入控制功能，易于將不同訪問權(quán)限賦予不同用戶，實(shí)現(xiàn)伸縮性訪問;這種精確的接入控制功能對遠(yuǎn)程接入IPSec 來說幾乎是不可能實(shí)現(xiàn)的。

　　SSL 基本上不受接入位置限制，可以從眾多 Internet 接入設(shè)備、任何遠(yuǎn)程位置訪問網(wǎng)絡(luò)資源。SSL 通信基于標(biāo)準(zhǔn) TCP/UDP 協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之 后，或是寬帶連接中。IPSec 在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實(shí)現(xiàn)，因?yàn)樗茈y實(shí)現(xiàn)防火墻和NAT遍歷，無力解決IP地址沖突。

　　另外，SSL能實(shí)現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用PC或公共Internet 接入場所，而IPSec 客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長，遠(yuǎn)程接入IPSec 在訪問控制方面受到極大挑戰(zhàn)，而且管理和運(yùn)行支撐成本較高，它是實(shí)現(xiàn)點(diǎn)對點(diǎn)連接的最佳解決方案，但要實(shí)現(xiàn)任意位置的遠(yuǎn)程安全接入，SSL 要理想得多。

　　SSL 不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSec 需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部(或非企業(yè)控制)設(shè)備中建立隧道相當(dāng)困難。另外，這類復(fù)雜的客戶端難于升級， 對新用戶來說面臨的麻煩可能更多，如系統(tǒng)運(yùn)行支撐問題、時間開銷問題、管理問題等。 IPSec 解決方案初始成本較低，但運(yùn)行支撐成本高。

　　如今，已有 SSL 開發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問，就如同遠(yuǎn)程機(jī)器處于 LAN 中一樣;同時提供應(yīng)用層接入，進(jìn)行 Web 應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問。

　　配置思科ASA防護(hù)墻Web的方法：

　　1，ASA 的基本配置：

　　Archasa(config)# int e0/0

　　Archasa(config-if)# ip add 192.168.0.1 255.255.255.0

　　Archasa(config-if)# nameif outside

　　Archasa(config-if)# no shut

　　Archasa(config-if)# exit

　　Archasa(config)# int e0/1

　　Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

　　Archasa(config-if)# nameif inside

　　Archasa(config-if)# no shut

　　Archasa(config-if)# exit

　　Archasa(config)# web

　　Archasa(config-web)# enable outside

　　Archasa(config-web)# svc image disk0:/sslclient-win-1.1.2.169.pkg

　　Archasa(config-web)# svc enable

　　#上述配置是在外網(wǎng)口上啟動WEB ，并同時啟動SSL 功能

　　2、SSL 配置準(zhǔn)備工作

　　#創(chuàng)建SSL 用戶地址池

　　Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50

　　#配置SSL 數(shù)據(jù)流不做NAT翻譯

　　Archasa(config)# access-list go- permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0

　　Archasa(config)# nat (inside) 0 access-list go-

　　3、WEB 隧道組與策略組的配置

　　#創(chuàng)建名為myssl-group-policy 的組策略

　　Archasa(config)# group-policy myssl-group-policy internal

　　Archasa(config)# group-policy myssl-group-policy attributes

　　Archasa(config-group-policy)# -tunnel-protocol web

　　Archasa(config-group-policy)# web

　　#在組策略中啟用SSL

　　Archasa(config-group-web)# svc enable

　　Archasa(config-group-web)# exit

　　Archasa(config-group-policy)# exit

　　Archasa(config)#

　　#創(chuàng)建SSL 用戶

　　Archasa(config-web)# username test password woaicisco

　　#把myssl-group-plicy 策略賦予用戶test

　　Archasa(config)# username test attributes

　　Archasa(config-username)# -group-policy myssl-group-policy

　　Archasa(config-username)# exit

　　Archasa(config)# tunnel-group myssl-group type web

　　Archasa(config)# tunnel-group myssl-group general-attributes

　　#使用用戶地址池

　　Archasa(config-tunnel-general)# address-pool ssl-user

　　Archasa(config-tunnel-general)# exit

　　Archasa(config)# tunnel-group myssl-group web-attributes

　　Archasa(config-tunnel-web)# group-alias group2 enable

　　Archasa(config-tunnel-web)# exit

　　Archasa(config)# web

　　Archasa(config-web)# tunnel-group-list enable

　　4、配置SSL 隧道分離

　　#注意，SSL 隧道分離是可選取的，可根據(jù)實(shí)際需求來做。

　　#這里的源地址是ASA 的INSIDE 地址，目標(biāo)地址始終是ANY

　　Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any

　　Archasa(config)# group-policy myssl-group-policy attributes

　　Archasa(config-group-policy)# split-tunnel-policy tunnelspecified

　　Archasa(config-group-policy)# split-tunnel-network-list value split-ssl

　　基本上整個配置就完成了，下面可以進(jìn)行測試：在瀏覽器中輸入

　　https://192.168.0.1

　　訪問WEB，在隨后彈出的對話框中輸入用戶名和密碼單擊登陸。這時系統(tǒng)會彈出要求安裝SSL CLIENT 程序，單擊“YES”，系統(tǒng)自動安裝并連接SSL ，在SSL 連通之后在您的右下角的任務(wù)欄上會出現(xiàn)一個小鑰匙狀，你可以雙擊打開查看其狀態(tài)。

　　看過文章“如何配置思科ASA防護(hù)墻Web"的人還看了：

　　1.思科路由器怎么阻斷局域網(wǎng)病毒傳播

　　2.思科路由器怎么設(shè)置橋接(bridging)實(shí)例

　　3.思科路由器控制端口連接圖解

　　4.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

　　5.思科路由器基本配置教程

　　6.詳解Cisco(思科)路由器的故障日志

　　7.Cisco 路由器訪問權(quán)限的設(shè)置

　　8.如何連接cisco路由器

　　9.思科路由器使用IS-IS路由IP的基本設(shè)置方法

　　10.如何利用腳本配置思科路由器