cisco防火(huǒ)牆vpn方式有很多種,cisco 防火(huǒ)牆同時也支持用web撥入vpn,用戶隻需要在有網絡的地方打開(kāi)IE,輸入用戶名和密碼就可以通過vpn鏈接到公司内網絡了。asa系列都可以支持web vpn的。
目前市場上VPN産品很多,而且技術各異,就比如傳統的 IPSec VPN 來講, SSL 能讓公司實現更多遠程用戶在不同地點接入,實現更多網絡資(zī)源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶采納 SSL VPN 作爲遠程安全接入技術,主要看重的是其接入控制功能。
SSL VPN 提供增強的遠程安全接入功能。 IPSec VPN 通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一(yī)旦隧道創建,用戶 PC 就如同物(wù)理地處于企業 LAN 中(zhōng)。這帶來很多安全風險,尤其是在接入用戶權限過大(dà)的情況下(xià)。 SSL VPN 提供安全、可代理連接,隻有經認證的用戶才能對資(zī)源進行訪問,這就安全多了。 SSL VPN 能對加密隧道進行細分(fēn),從而使得終端用戶能夠同時接入 Internet 和訪問内部企業網資(zī)源,也就是說它具備可控功能。另外(wài), SSL VPN 還能細化接入控制功能,易于将不同訪問權限賦予不同用戶,實現伸縮性訪問;這種精确的接入控制功能對遠程接入 IPSec VPN 來說幾乎是不可能實現的。
SSL VPN 基本上不受接入位置限制,可以從衆多 Internet 接入設備、任何遠程位置訪問網絡資(zī)源。 SSL VPN 通信基于标準 TCP/UDP 協議傳輸,因而能遍曆所有 NAT 設備、基于代理的防火(huǒ)牆和狀态檢測防火(huǒ)牆。這使得用戶能夠從任何地方接入,無論是處于其他公司網絡中(zhōng)基于代理的防火(huǒ)牆之後,或是寬帶連接中(zhōng)。 IPSec VPN 在稍複雜(zá)的網絡結構中(zhōng)難于實現,因爲它很難實現防火(huǒ)牆和 NAT 遍曆,無力解決 IP 地址沖突。另外(wài), SSL VPN 能實現從可管理企業設備或非管理設備接入,如家用 PC 或公共 Internet 接入場所,而 IPSec VPN 客戶端隻能從可管理或固定設備接入。随着遠程接入需求的不斷增長,遠程接入 IPSec VPN 在訪問控制方面受到極大(dà)挑戰,而且管理和運行支撐成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入, SSL VPN 要理想得多。
SSL VPN 不需要複雜(zá)的客戶端支撐,這就易于安裝和配置,明顯降低成本。 IPSec VPN 需要在遠程終端用戶一(yī)方安裝特定設備,以建立安全隧道,而且很多情況下(xià)在外(wài)部(或非企業控制)設備中(zhōng)建立隧道相當困難。另外(wài),這類複雜(zá)的客戶端難于升級,對新用戶來說面臨的麻煩可能更多,如系統運行支撐問題、時間開(kāi)銷問題、管理問題等。 IPSec 解決方案初始成本較低,但運行支撐成本高。如今,已有 SSL 開(kāi)發商(shāng)能提供網絡層支持,進行網絡應用訪問,就如同遠程機器處于 LAN 中(zhōng)一(yī)樣;同時提供應用層接入,進行 Web 應用和許多客戶端 / 服務器應用訪問。
第一(yī)步,ASA的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# enable outside
Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-webvpn)# svc enable
上述配置是在外(wài)網口上啓動WEBVPN,并同時啓動SSL VPN功能
2、SSL VPN配置準備工(gōng)作
#創建SSL VPN用戶地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL VPN數據流不做NAT翻譯
Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0
255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-vpn
3、WEB VPN隧道組與策略組的配置
#創建名爲mysslvpn-group-policy的組策略
Archasa(config)# group-policy mysslvpn-group-policy internal
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# vpn-tunnel-protocol webvpn
Archasa(config-group-policy)# webvpn
#在組策略中(zhōng)啓用SSL VPN
Archasa(config-group-webvpn)# svc enable
Archasa(config-group-webvpn)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#創建SSL VPN用戶
Archasa(config-webvpn)# username test password woaicisco
#把mysslvpn-group-plicy策略賦予用戶test
Archasa(config)# username test attributes
Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group mysslvpn-group type webvpn
Archasa(config)# tunnel-group mysslvpn-group general-attributes
#使用用戶地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
Archasa(config-tunnel-webvpn)# group-alias group2 enable
Archasa(config-tunnel-webvpn)# exit
Archasa(config)# webvpn
Archasa(config-webvpn)# tunnel-group-list enable
4、配置SSL VPN隧道分(fēn)離(lí)
#注意,SSL VPN隧道分(fēn)離(lí)是可選取的,可根據實際需求來做。
#這裏的源地址是ASA的INSIDE地址,目标地址始終是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy mysslvpn-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整個配置就完成了,以下(xià)是測試:
在浏覽器中(zhōng)輸入https://192.168.0.1訪問WEB VPN,在随後彈出的對話(huà)框中(zhōng)輸入用戶名和密碼單擊登陸。
這時系統會彈出要求安裝SSL VPN CLIENT程序,單擊"YES",系統自動安裝并連接SSLVPN,在SSLVPN連通之後在您的右下(xià)角的任務欄上會出現一(yī)個小(xiǎo)鑰匙狀,你可以雙擊打開(kāi)查看其狀态。
聯系電話(huà):020-87518715
聯系郵箱:services@picusit.com
公司名稱:鄭州易科計算機服務有限公司
公司地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601
