北京思科交换机代理为您提供:思科交换机、思科防火墙
您所在的位置:首页 > 新闻中心  > 新闻中心 > 产品知识
干货分享——思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析
来源:www.010cisco.cn 发布时间:2020年09月01日

 

北京思科防火墙

 

 

 

今天北京思科防火墙代理给大家带来的是思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析。

安全套接层-俗称Secure Socket Layer (SSL) 是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。

SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based运用安全,SSLTCP层和应用层之间,就像应用层连接到TCP连接的一个插口。这是和IPSEC进行的对比,因为IPSec不仅对应用层负载加密,对TCP包头也会加密。

那么?

为什么实际环境中远程拨号的VPN我们基本上都是选择SSL 这种VPN呢,为什么不选择IPSEC 呢,L2TP或者是PPTP呢?

首先,IPSEC VPN做远程拨号,每个厂家都有一个独立的客户端,并且需要提前准备(SSL VPN支持无客户端模式并且如果需要下载也是网页直接推送,不需要提前准备),而PPTPL2TP这两种基于VPDN技术的VPN技术功能非常有限,基本也就只能保证网络通。

SSL VPN有三种工作模型,分别为无客户端、瘦客户端和厚客户端。

无客户端只能支持浏览器所支持的一些应用,比如HTTPHTTPSCIFS等。

瘦客户端使用起来非常不方便,因为不建议使用。下面我要介绍的是最常用的一种模型---厚客户端模型,厚客户端支持所有的IP协议,但是需要下载一个思科的应用程序。

下面我在SSL VPN设备(思科ASA防火墙)做相关配置:

首先查看ASA的硬盘里面是否有SSL VPN的客户端文件,如果没有需要自己搭建FTP服务器进行上传,或者直接通过思科ASDM管理端直接加载,下面我演示一下通过CLIFTP服务器(一台WIN7PC)里面anyconnect插件上传到ASAvFlash里面,

ASA(config)#copyftp://admin:Admin123@10.1.1.101/anyconnect-k9.pkg flash/anyconnect-k9.pkg

adminFTP服务器的登录用户名,Admin123FTP服务器登录密码,10.1.1.101FTP服务器IP地址,anyconnect-k9.kpg是上传的文件,flash:意思是上传到flash的根目录。

ip local pool CCIESEC 172.16.3.100-172.16.3.200 ||创建一个SSL VPN拨号地址池

username ssluser password CCIEo123 ||创建SSL VPN拨号的用户名和密码

webvpn ||进入到webvpn配置视图

anyconnect image flash:/anyconnect-k9.pkg ||ssl vpn所需插件目录

anyconnect enable ||开启anyconnect服务

group-policy CCIE internal ||创建一个名字叫CCIE的组策略

group-policy CCIE attributes ||为名字叫CCIE的组策略关联属性

vpn-tunnel-protocol ssl-client ssl-clientless ||开启客户端和无客户端协议的功能,默认只开启了无客户端协议的功能

address-pools value CCIESEC ||SSL VPN地址池赋予给名字叫CCIE的组

username ssluser attributes ||给用户赋予属性

vpn-group-policy CCIE

以上就是北京联信永成整理的思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析。如果您还有其它相关问题,欢迎联系我们。

 

 

 

 

相关文章