从outside对ASA防火墙身后ACS4.x进行管理测试

简介:

一.概述:

   ACS4.x初始http访问端口为2002,后续的端口默认会从1024~65535随机变化,从ASA的inside区域访问outside区域的ACS4.x没有问题,但是如果从ASA的outside区域访问inside区域的ACS4.x,就会带来问题,不可能把所有的TCP1024~65535端口都放开。

二.基本思路:

A.限定ACS4.x动态端口的变化范围

---值得注意的是ASC4.x的动态端口根据每个session来变化,如果设定变化访问只为一个值,比如:2003~2003,则会导致同时只能一个session连接ACS4.x进行管理。

B.配置为https访问(可选)

---刚开始以为配置https后就不会动态端口,实际测试发现https采用的初始端口也是2002,后面端口还是会随机变化

三.配置方法:

A.限定ACS4.x动态端口的变化范围

---Administration Control->Access Policy->HTTP Port Allocation,设定变化的端口范围,假定设置范围为2003~2004。

B.配置为https访问(可选)

参考链接:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487

配置HTTPS的证书有多种方式,可以向CA申请,也可以创建自签名的证书,我测试的是自签名证书:

①生成自签名证书

---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate

②根据提示进行重启ACS

③修改访问策略,设置为https访问

---Administration Control->Access Policy->Secure Socket Layer Setup勾选:Use HTTPS Transport for Administration Access

C.防火墙放行策略

---根据前面的动态端口范围设置,以及初始端口2002,那样只需放行TCP 2002~2004即可,这样可以允许同时有两个用户来管理ACS4.x。

①拓扑:

           202.100.1.0/24                            10.1.1.0/24

PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x

②防火墙ASA842配置:

1.内网PAT出公网:

object network Inside_net

 subnet 10.1.1.0 255.255.255.0

 nat (inside,outside) dynamic interface

2.映射端口范围:

object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004

nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports

3.配置策略:

policy-map global_policy
class inspection_default
 inspect icmp

access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004 
access-group Outside in interface Outside




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1220918,如需转载请自行联系原作者

相关文章
|
5月前
|
测试技术 API
使用 Postman 工具高效管理和测试 SAP ABAP OData 服务的试读版
使用 Postman 工具高效管理和测试 SAP ABAP OData 服务的试读版
57 1
|
21天前
|
JSON 前端开发 测试技术
接口管理测试繁琐复杂?何不试试Eolink
接口管理测试繁琐复杂?何不试试Eolink
18 0
|
1月前
|
监控 网络协议 Linux
防火墙规则动态管理器 - firewalld
【1月更文挑战第11天】
38 0
|
1月前
|
前端开发 JavaScript API
React 生态系统:路由、状态管理、调试、测试、组件库、文档……
React 生态系统:路由、状态管理、调试、测试、组件库、文档……
32 0
|
2月前
|
算法 关系型数据库 API
Python【算法中心 02】Web框架Django管理页面使用(管理员账号创建+API使用+应用添加)GreenPlum数据库引擎及API测试
Python【算法中心 02】Web框架Django管理页面使用(管理员账号创建+API使用+应用添加)GreenPlum数据库引擎及API测试
33 0
|
2月前
|
测试技术
『测试基础』| 如何理解测试用例管理和缺陷管理?
『测试基础』| 如何理解测试用例管理和缺陷管理?
62 1
|
6月前
|
安全 Linux 网络安全
简化防火墙管理:探索Linux防火墙工具UFW
在网络安全领域,防火墙是保护计算机网络免受恶意攻击和未经授权访问的重要工具。然而,防火墙的配置和管理可能变得复杂,特别是对于不熟悉网络安全的人来说。幸运的是,Linux系统提供了一个名为UFW(Uncomplicated Firewall)的工具,它简化了防火墙的配置和管理。本文将深入探讨UFW的基本概念、用法以及如何在Linux系统中使用它来实现防火墙规则。
141 0
|
9月前
|
云安全 安全 Cloud Native
首家+满分+最高等级!阿里云通过《云防火墙能力要求》测试
近日,中国信通院牵头制定了《云防火墙能力要求》标准,并依据标准开展首批评估试点,阿里云成为国内首家满分通过最高等级增强级测试厂商,云上原生防火墙的高弹性、高安全、更智能的优势再次得到认证!
119 0
|
Java 测试技术 开发工具
软件测试技术实战 设计、工具及管理》联载-36
软件测试技术实战 设计、工具及管理》联载-36
81 0
软件测试技术实战 设计、工具及管理》联载-36
|
网络安全 网络虚拟化 数据安全/隐私保护
ASA防火墙和路由器配置IPSec VPN
ASA防火墙和路由器配置IPSec VPN
ASA防火墙和路由器配置IPSec VPN