简单八步 安全高效设定思科ASA远程访问

ZDNet安全频道原创翻译 转载请注明作者以及出处

对用户进行远程访问功能的设置经常会导致混乱，因此，怎样才能方便快速地设置用户远程访问的功能?不过，现在你就不用再担心了。在本文中，洛里·海德将告诉你怎样通过简单操作方便实现这一功能。
---------------------------------------------------------------------------------------------

　　对思科ASA远程访问功能进行设置的话，需要8个基本的步骤。

　　1. 配置身份证书

　　2. 上传采用安全套接层协议的虚拟专用网客户端镜象到ASA上

　　3. 启用AnyConnect虚拟专用网连接

　　4. 创建组策略

　　5. 创建旁路访问列表

　　6. 创建连接配置文件和通道组

　　7. 配置网络地址转换豁免功能

　　8. 配置用户帐户

　　现在就让我们一步步开始来进行操作!

　　第一步.配置身份证书

　　在这里，我创建了一个普通用途的自签署身份证书，将其命名为sslvpnkey，下面，就可以利用该证书和“外部”接口进行联系了。如果你希望的话，也可以采用数字认证服务提供商VeriSign之类专业厂商提供的证书。不过这样通常情况下是需要付费的。

　　corpasa(config)#crypto key generate rsa label sslvpnkey

　　corpasa(config)#crypto ca trustpoint localtrust

　　corpasa(config-ca-trustpoint)#enrollment self

　　corpasa(config-ca-trustpoint)#fqdn sslvpn. mycompany.com

　　corpasa(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com

　　corpasa(config-ca-trustpoint)#keypair sslvpnkey

　　corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

　　corpasa(config)# ssl trust-point localtrust outside

　　第二步.上传采用安全套接层协议的虚拟专用网客户端镜象到ASA上

　　你可以到思科的官方网站上下载客户端的镜象。如果你选择利用简单文件传输协议服务器下载镜象的话，务必记住需要为用户所有版本的操作系统都下载相应的镜象。在下载完镜象后，就可以将户端软件利用简单文件传输协议上传到ASA上。

　　corpasa(config)#copy tftp://192.168.81.50/anyconnect-win-2.0.0343-k9.pkg flash

　　在文件上传到ASA后，你可以选择利用webvpn对其进行配置。请务必注意，如果有多个客户端的话，最经常使用的客户端具有最高优先地位。在这种情况下，我们选择只使用单个客户端并将优先级定为一。

　　corpasa(config)#webvpn

　　corpasa(config-webvpn)#svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1

　　第三步.启用AnyConnect虚拟专用网连接

　　corpasa(config)#webvpn

　　corpasa(config-webvpn)#enable outside

　　corpasa(config-webvpn)#svc enable

　　第四步.创建组策略

　　组策略会在客户端连接时发挥作用，因此，需要对参数进行设置。在这里，我们将创建一个组策略，并命名为SSLClient。当客户端进行远程登陆的时间需要一个网络IP地址，因此，我们还需要建立一个动态主机分配协议池，不过如果网络中已经存在动态主机分配协议服务器的话，你也可以选择使用。

　　corpasa(config)#ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0

　　corpasa(config)#group-policy SSLCLient internal

　　corpasa(config)#group-policy SSLCLient attributes

　　corpasa(config-group-policy)#dns-server value 192.168.200.5

　　corpasa(config-group-policy)#vpn-tunnel-protocol svc

　　corpasa(config-group-policy)#default-domain value mysite.com

　　corpasa(config-group-policy)#address-pools value SSLClientPool

　　第五步.创建旁路访问列表

　　通过使用sysopt connect命令，我们可以告诉ASA容许采用了安全套接层协议/IP层协议安全结构的客户端绕过访问控制列表。

　　corpasa(config)#sysopt connection permit-vpn

　　第六步.创建连接配置文件和通道组

　　作为连接到ASA上的远程访问客户端，它们需要一个连接配置文件，通常也被叫做通道组。我们可以利用该文件设定具体的参数，为客户端提供应有的权限。在这里，我们将利用思科AnyConnect安全套接层协议客户端工具对远程访问客户端进行配置，不过你也可以选择使用IP层协议安全结构、站到站之类的其它协议。

　　首先，让我们创建通道组采用安全套接层协议的客户端

　　corpasa(config)#tunnel-group SSLClient type remote-access

　　接下来，我们就将对具体参数进行设置：

　　corpasa(config)#tunnel-group SSLClient general-attributes

　　corpasa(config-tunnel-general)#default-group-policy SSLCLient

　　corpasa(config-tunnel-general)#tunnel-group SSLClient webvpn-attributes

　　corpasa(config-tunnel-webvpn)#group-alias MY_RA enable

　　corpasa(config-tunnel-webvpn)#webvpn

　　corpasa(config-webvpn)#tunnel-group-list enable

　　请注意，在这里MY_RA是属于该组的用户进行登陆的时间看到的提示信息。

　　第七步.配置网络地址转换豁免功能

　　现在，我们就需要告诉ASA不必在对远程访问客户端和内部网络之间的数据传输进行网络地址转换操作了，它们之间可以直接访问了。首先，我们将创建一个访问控制列表，对这样的数据传输进行定义，接下来，我们将这一列表加入网络地址转换功能的项目中。

　　corpasa(config)#access-list no_nat extended permit

　　ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

　　corpasa(config)#nat (inside) 0 access-list no_nat

　　第八步.配置用户帐户

　　现在我们就可以建立需要的用户帐户了。在这里，我们将创建一个用户帐户，可以支持通过虚拟专用网进行远程访问。

　　corpasa(config)#username hyde password l3tm3in

　　corpasa(config)#username hyde attributes

　　corpasa(config-username)#service-type remote-access

　　设置完成了。

　　不要忘记将完成的配置保存在内存中。

　　corpasa#write memory

　　建立一个远程连接来验证刚才创建的配置是否正确，并利用show命令查看连接的具体情况。

　　corpasa #show vpn-sessiondb svc

　　这个指南可以在你为用户提供远程访问功能的任何时间提供帮助。如果你在操作过程中遇到了问题，可以使用debug webvpn命令来进行分析，确认问题的根源。