今天北京思科防火墙代理给大家带来的是思科ASA防火墙SSL（远程拨号虚拟专用网络）理论配置解析。

安全套接层-俗称Secure Socket Layer (SSL) 是由 Netscape Communication（网景公司）于 1990年开发，用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性，信息完整性和身份认证。

SSL是一个不依赖于平台和应用程序的协议，用于保障TCP-based运用安全，SSL在TCP层和应用层之间，就像应用层连接到TCP连接的一个插口。这是和IPSEC进行的对比，因为IPSec不仅对应用层负载加密，对TCP包头也会加密。

那么？

为什么实际环境中远程拨号的VPN我们基本上都是选择SSL 这种VPN呢，为什么不选择IPSEC 呢，L2TP或者是PPTP呢？

首先，IPSEC VPN做远程拨号，每个厂家都有一个独立的客户端，并且需要提前准备（SSL VPN支持无客户端模式并且如果需要下载也是网页直接推送，不需要提前准备），而PPTP和L2TP这两种基于VPDN技术的VPN技术功能非常有限，基本也就只能保证网络通。

SSL VPN有三种工作模型，分别为无客户端、瘦客户端和厚客户端。

无客户端只能支持浏览器所支持的一些应用，比如HTTP、HTTPS、CIFS等。

瘦客户端使用起来非常不方便，因为不建议使用。下面我要介绍的是最常用的一种模型---厚客户端模型，厚客户端支持所有的IP协议，但是需要下载一个思科的应用程序。

下面我在SSL VPN设备（思科ASA防火墙）做相关配置：

首先查看ASA的硬盘里面是否有SSL VPN的客户端文件，如果没有需要自己搭建FTP服务器进行上传，或者直接通过思科ASDM管理端直接加载，下面我演示一下通过CLI把FTP服务器（一台WIN7的PC）里面anyconnect插件上传到ASAv的Flash里面，

ASA(config)#copyftp://admin:Admin123@10.1.1.101/anyconnect-k9.pkg flash：/anyconnect-k9.pkg。

admin是FTP服务器的登录用户名，Admin123是FTP服务器登录密码，10.1.1.101是FTP服务器IP地址，anyconnect-k9.kpg是上传的文件，flash：意思是上传到flash的根目录。

ip local pool CCIESEC 172.16.3.100-172.16.3.200 ||创建一个SSL VPN拨号地址池

username ssluser password CCIEo123 ||创建SSL VPN拨号的用户名和密码

webvpn ||进入到webvpn配置视图

anyconnect image flash:/anyconnect-k9.pkg ||ssl vpn所需插件目录

anyconnect enable ||开启anyconnect服务

group-policy CCIE internal ||创建一个名字叫CCIE的组策略

group-policy CCIE attributes ||为名字叫CCIE的组策略关联属性

vpn-tunnel-protocol ssl-client ssl-clientless ||开启客户端和无客户端协议的功能，默认只开启了无客户端协议的功能

address-pools value CCIESEC ||把SSL VPN地址池赋予给名字叫CCIE的组

username ssluser attributes ||给用户赋予属性

vpn-group-policy CCIE

以上就是北京联信永成整理的思科ASA防火墙SSL（远程拨号虚拟专用网络）理论配置解析。如果您还有其它相关问题，欢迎联系我们。