科学的出现使得企业在远程访问上的安全性大大提高,并且降低了企业的网络成本。那么本篇文章就通过实例展示如何利用Cisco ASA防火墙配置Web科学。希望通过此实例可以加强企业网络管理员之间的交流。
1,Cisco ASA的基本配置:
Archasa(config)# int e0/0
Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
Archasa(config-if)# nameif outside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# int e0/1
Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
Archasa(config-if)# nameif inside
Archasa(config-if)# no shut
Archasa(config-if)# exit
Archasa(config)# web科学
Archasa(config-web科学)# enable outside
Archasa(config-web科学)# svc image disk0:/sslclient-win-1.1.2.169.pkg
Archasa(config-web科学)# svc enable
#上述配置是在外网口上启动WEB科学 ,并同时启动SSL 科学 功能
2、SSL 科学 配置准备工作
#创建SSL 科学 用户地址池
Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
#配置SSL 科学 数据流不做NAT翻译
Archasa(config)# access-list go-科学 permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
Archasa(config)# nat (inside) 0 access-list go-科学
3、WEB 科学 隧道组与策略组的配置
#创建名为myssl科学-group-policy 的组策略
Archasa(config)# group-policy myssl科学-group-policy internal
Archasa(config)# group-policy myssl科学-group-policy attributes
Archasa(config-group-policy)# 科学-tunnel-protocol web科学
Archasa(config-group-policy)# web科学
#在组策略中启用SSL 科学
Archasa(config-group-web科学)# svc enable
Archasa(config-group-web科学)# exit
Archasa(config-group-policy)# exit
Archasa(config)#
#创建SSL 科学 用户
Archasa(config-web科学)# username test password woaicisco
#把myssl科学-group-plicy 策略赋予用户test
Archasa(config)# username test attributes
Archasa(config-username)# 科学-group-policy myssl科学-group-policy
Archasa(config-username)# exit
Archasa(config)# tunnel-group myssl科学-group type web科学
Archasa(config)# tunnel-group myssl科学-group general-attributes
#使用用户地址池
Archasa(config-tunnel-general)# address-pool ssl-user
Archasa(config-tunnel-general)# exit
Archasa(config)# tunnel-group myssl科学-group web科学-attributes
Archasa(config-tunnel-web科学)# group-alias group2 enable
Archasa(config-tunnel-web科学)# exit
Archasa(config)# web科学
Archasa(config-web科学)# tunnel-group-list enable
4、配置SSL 科学 隧道分离
#注意,SSL 科学 隧道分离是可选取的,可根据实际需求来做。
#这里的源地址是ASA 的INSIDE 地址,目标地址始终是ANY
Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
Archasa(config)# group-policy myssl科学-group-policy attributes
Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
基本上整个配置就完成了,下面可以进行测试:在浏览器中输入
https://192.168.0.1
访问WEB科学,在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL 科学 CLIENT 程序,单击“YES”,系统自动安装并连接SSL科学 ,在SSL科学 连通之后在您的右下角的任务栏上会出现一个小钥匙状,你可以双击打开查看其状态。至此我们就成功的通过Cisco ASA防火墙配置Web科学。
【编辑推荐】
- 防火墙安全测试之漏洞扫描
- 防火墙安全测试之数据包侦听
- 防火墙安全测试之规则分析工具
- Web应用防火墙的主要特性
- 防止入侵从Web应用安全漏洞做起
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/123552.html<
