思科ASA防火墙配置SSL远程VPN

简介: 使用SSL(Secure Socket Layer,安全套接层);VPN可以更加方便地实现远程安全接入。SSL VPN不需要在用户计算机安装特殊软件,可以使用当前用户计算机地浏览器安全地访问公司内部服务器。SSL VPN除了浏览器外,还可以通过浏览器自动安装客户端软件到用户计算机上,本章主要介绍SSL VPN地原理,配置与实现。

⭐本文介绍⭐

使用SSL(Secure Socket Layer,安全套接层);VPN可以更加方便地实现远程安全接入。SSL VPN不需要在用户计算机安装特殊软件,可以使用当前用户计算机地浏览器安全地访问公司内部服务器。SSL VPN除了浏览器外,还可以通过浏览器自动安装客户端软件到用户计算机上,本章主要介绍SSL VPN地原理,配置与实现。



📝理论讲解:


SSL VPN的工作原理


SSL VPN是一种新兴的技术,此技术通过网页浏览器的本地SSL加密,提供灵活、低成本的基于Internet 的远程访问解决方案。SSL VPN不需要在计算机中预先安装专用的客户端软件,任何可以访问Internet的计算机都能够建立SSL VPN会话,从而实现随时随地的网络访问。


SSL客户端的三种模式


1)无客户端模式:

无客户端模式其实并不是完全没有客户端,而是使用用户计算机上的Web浏览器进行远程访问,而不是其他软件

无客户端模式提供对网页资源的安全访问,以及基于网页内容的访问,无客户端模式还可以通过通用Internet文件系统(Common Internet System,CIFS)提供远程文件共享。CIFS在门户网站网页中列出一个文件服务器连接列表,从而使远程用户能够浏览列出的域、服务器、目录文件夹、文件等。无客户端模式的缺点是其只能保护Web流量

2)瘦客户端模式(也称为端口转发模式)

瘦客户端模式提供对基于TCP服务的远程访问,如邮局协议(Post Office Protocol POP)POP3、简单邮件传输协议(Simple Mail Transfer Protocol,SMTP),远程登陆(SSH)等。瘦客户端模式在建立SSL VPN应用程序动态得下载Java或者ActiveX程序到用户桌面,其允许一些非Web得程序通过SSL VPN进行传输。瘦客户端模式扩展了网页浏览器得加密功能。

3)胖客户端模式(也称为隧道模式或者全隧道客户端模式)

胖客户端模式提供对大量应用程序支持得远程访问,可以通过下载SSL VPN 客户端(SSL VPN Client,SVC)软件,提供对所有应用程序得全网络层(第3层)访问。使用胖客户端模式时,其客户端软件一般在客户端到中心站点建立SSL VPN后,动态下载安装到用户计算机上。

由于需要在用户计算机上安装客户端,所有用户必须拥有其计算机得管理员权限。若没有管理员权限则无法安装客户端,只能使用无客户端或者瘦客户端模式。


📢友情提示:

在选择实施SSL VPN时,应该根据客户端得需求和计算机环境选择合适得客户端模式。如果先择瘦客户端模式,需要查看厂商设备瘦客户端模式所支持得非Web程序列表是否满足企业需求。


SSL VPN得优缺点

SSL VPN对于使用Web浏览器与公司服务器进行相互访问的用户来说无疑是非常理想的。SSL VPN的优点主要体现在以下方面。

SSL VPN的无客户端、瘦客户端方式可以做到用户端无须安装任何 软件(除Web浏览器等系统自带的软件外)。可以从任何地方安全地访问公司内部服务器。支持多种类型地浏览器。用户不需要进行特殊地培训。SSL VPN可以和地址转换设备一起使用。可以对各种应用程序进行更加细致的控制。由于SSL VPN是建立在TCP协议的基础之上,所以其加密内容为应用层内容,并且比较容易受到DOS等拒绝服务公鸡🐓。并且,SSL VPN对数据的验证功能仅使用TCP序列号进行数据验证,而IPsec VPN使用HMAC进行验证,比SSL VPN效果更好。对于IPsec VPN的配置方法已经在《 ASA防火墙和路由器配置IPsec VPN》一文中介绍过了,所以本文对于IPsec VPN理论和配置方面不再赘述,感兴趣的小伙伴可以参考上一篇文章。

SSL VPN与IPsec VPN比较

2b5e08899c6bca03ef775363fb0e657.pngb21314bf31d08b9871059a67a1647fb.png

📢友情提示:

SSL VPN与IPsec VPN各有各的特点,在进行选择时应该根据实际企业环境进行部署,这两种VPN技术可以同时使用。例如,公司到分公司使用IPsec VPN配置为站点到站点,而对于经常出差的员工则使用SSL VPN访问公司内部服务器。使用哪种技术不仅仅是考虑企业的环境,也要考虑成本及企业未来的发展,选择最合适的技术而不一定是最新的技术。

📖实验配置与实现:


拓扑图:

151e05c74bad1e11fc89fd19e7ecbe9.png


📕推荐步骤:

PC机、防火墙、路由器Web_Server配置IP地址

ASA访问ISP的网站使用默认路由,R1访问ISP的网站使用默认路由,ISP访问PC1和PC2使用静态路由全网互通

ASA防火墙配置Easy VPN,PC2使用Easy VPN客户端访问PC1的网站服务


实验步骤:


一、PC机、防火墙、路由器Web_Server配置IP地址


1、PC1配置IP地址开启远程管理


1)给PC1接口配置IP地址

PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1
PC1(config)#end
PC1#show ip inter b

25d85c2819e83340dc7bdde6b2fe925.png2、ASA防火墙配置IP地址

1)SA接口配置IP地址

ASA1(config)#interface ethernet 0/0
ASA1(config-if)#nameif inside
ASA1(config-if)#ip address 192.168.10.1 255.255.255.0
ASA1(config-if)#no shutdown
ASA1(config-if)#exit
ASA1(config)#interface ethernet 0/1
ASA1(config-if)#nameif outside
ASA1(config-if)#ip address 192.168.20.1 255.255.255.0
ASA1(config-if)#no shutdown
ASA1(config-if)end
ASA1#show interface ip brief


3、给ISP路由器配置IP地址

1)给ISP接口配置IP地址

ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.20.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.30.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface fastEthernet 2/0
ISP(config-if)#ip address 192.168.40.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#end
ISP#show ip inter b

2816ad94e92fe3535052eb7a7a507a0.png4、Web_Server配置IP地址地址开启网站功能

1)给Web_Server配置IP地址

WEB_Server(config)#interface fastEthernet 0/0
WEB_Server(config-if)#ip address 192.168.40.2 255.255.255.0
WEB_Server(config-if)#no shutdown
WEB_Server(config-if)#exit
WEB_Server(config)#ip default-gateway 192.168.40.1
WEB_Server(confiig)#end
WEB_Server#show ip inter b

3d3d35d40e36762311a82f0b5d7dadd.png5、桥接的PC2配置IP地址

1)给桥接PC2配置IP地址

fd4e5e4861761cbce5f008e2676ca75.png

2)查看桥接PC2配置的IP地址

1d4406b38e1093e6a35dc4a6f8f1625.png

二、PC1访问PC2和ISP的WEB_Server服务器使用默认路由,PC2访问PC1使用静态路由,PC1访问ISP的Web_Server经过NAT地址转换


1、ASA1配置默认路由


1)在ASA1配置默认路由

ASA1(config)#route outside 0 0 192.168.20.2
ASA1(config)#end
ASA1#show route

ae9eddccdb685c08907457b0cd2156d.png2、在ISP配置静态路由实现PC2访问PC1

1)在ISP配置静态路由

ISP(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.1
ISP(config)#end
ISP#show route

71d974c8a195736616fbcb922c360b2.png3、在ASA1配置NAT实现PC1访问ISP的Web_Server服务器

1)创建NAT转换规则识别走NAT的流量

ASA1(config)#nat (inside) 1 192.168.10.0 255.255.255.0
ASA1(config)#global (outside) 1 interface

d8c7378822b432fdb9ca096323a0261.png2)将icmp协议添加防火墙状态列表

ASA1(config)#fixup protocol icmp

374d67c71c9b0a262b73bb210a75420.png3)PC1测试访问Web_Server

PC1#ping 192.168.40.2

14bef3017d72e732bad23638a3ef751.png4)查看ASA1地址转换列表

ASA1(config)#show xlate detail

d525f26caa4a5834388d218f03187fe.png4、配置允许安全级别访问高

ASA1(config)#access-list out_to_in permit ip any any
ASA1(config)#access-group out_to_in in interface outside

4e7ac9084a91c9fa9af8cbe84580689.png三、ASA防火墙配置SSL VPN


1、开启防火墙SSL VPN功能设置验证账户密码

1)开启SSL VPN功能

ASA1(config)#webvpn
ASA1(config-webvpn)#enable outside

712d07719107bce78fe911adf2c382f.png2)设置SSL VPN验证账户密码

ASA1(config)#username admin password pwf@123

510533e993ecede66d68d4e17d77f8c.png2、配置组策略使用SSL VPN为无客户端模式

1)创建本地组策略名字local-policy

ASA1(config)#group-policy local-group internal

0b4583ac2cbcbfd0d5db8f82dbbf9f8.png2)配置本地组策略属性

ASA1(config)#group-policy local-group attributes

221cb44bb4ea3a5626f6a7af81118a6.png3)配置SSL VPN为无客户端模式

ASA1(config-group-policy)#vpn-tunnel-protocol webvpn
ASA1(config-group-policy)#exit

69c6b04d2aea8084765b957674a9ffa.png3、配置隧道组

1)创建隧道组名字为vpn-tunnel-group,VPN类型为SSL VPN

ASA1(config)#tunnel-group vpn-tunnel-group type webvpn

e57546f3543f34faf1dc5e89283e965.png2)配置隧道组属性

ASA1(config)#tunnel-group vpn-tunnel-group general-attributes

7b0f7a3ed881c46b43e8cdd7a02e163.png

3)隧道组调用本地组测率

ASA1(config-tunnel-general)#default-group-policy local-group

9c0294e0dabb0a7a3ac6b5f879352a1.png4)配置验证使用本地验证

ASA1(config-tunnel-general)#authentication-server-group LOCAL

ed54cf22a29df5dbd02b26a0b92ed87.png4、配置下拉列表

1)隧道组指定下拉列表名字为benet.com

ASA1(config)#tunnel-group vpn-tunnel-group webvpn-attributes
ASA1(config-tunnel-webvpn)#group-alias benet.com enable
ASA1(config-tunnel-webvpn)#exit

cf635ff86edab414ccc8e160fba9df0.png2)开启下拉列表

ASA1(config)#webvpn
ASA1(config-webvpn)#tunnel-group-list enable
ASA1(coniig-webvpn)#end

7469001a80a684f0237a5c4b1fcaaa8.png5、客户端给访问SSL VPN

1)访问PC1网站

8199c0f09befbb80993e7de03c16efb.pngc01d468b486f02eaa00390115570307.png

4)PC2访问ISP的Web_Server

cc39e115fabe14886f21927dae7fbfe.png8a5d47accbf502ffe3193ce1f9d6941.png

💻好吧好吧本文到这就结束了

🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!5fb298c7c53a32ae011c5dae6a60853.png

相关文章
|
28天前
|
运维 安全 Linux
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
52 12
|
29天前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
52 3
|
29天前
|
安全 应用服务中间件 网络安全
配置Nginx反向代理实现SSL加密访问的步骤是什么?
我们可以成功地配置 Nginx 反向代理实现 SSL 加密访问,为用户提供更安全、可靠的网络服务。同时,在实际应用中,还需要根据具体情况进行进一步的优化和调整,以满足不同的需求。SSL 加密是网络安全的重要保障,合理配置和维护是确保系统安全稳定运行的关键。
103 3
|
1月前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
113 10
|
2月前
|
网络协议 Ubuntu 网络安全
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
Linux 应用服务中间件 Shell
利用 ACME 实现SSL证书自动化配置更新
【10月更文挑战第11天】多项式承诺原理是密码学中的重要工具,允许证明者向验证者承诺一个多项式并证明其某些性质。Kate多项式承诺是一种知名方案,基于有限域上的多项式表示,通过生成和验证简洁的证明来确保多项式的正确性和隐私。其安全性基于离散对数假设。应用场景包括区块链中的零知识证明和可验证计算,以及多方计算和身份认证协议。在区块链中,Kate多项式承诺可用于保护隐私币和智能合约中的敏感信息。
138 2
|
2月前
|
弹性计算 应用服务中间件 网络安全
ECS服务器使用:SSL证书安装、配置和问题定位指南
本文简要介绍了SSL证书的生成与部署方法,包括使用OpenSSL生成自签名证书和从CA获取证书的步骤,以及在Apache和Nginx服务器上的配置方法。此外,还提供了测试证书是否生效的方法和常见问题的解决策略,帮助确保证书正确安装并解决调试过程中可能遇到的问题。
197 0
|
3月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
111 1
|
4月前
|
监控 安全 Linux
在Linux中,如何配置VPN服务?
在Linux中,如何配置VPN服务?