科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道简单八步 安全高效设定思科ASA远程访问

简单八步 安全高效设定思科ASA远程访问

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对用户进行远程访问功能的设置经常会导致混乱,因此,怎样才能方便快速地设置用户远程访问的功能?不过,现在你就不用再担心了。在本文中,洛里·海德将告诉你怎样通过简单操作方便实现这一功能。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2009年5月15日

关键字: CISCO 思科ASA防火墙 ASA 思科

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

对用户进行远程访问功能的设置经常会导致混乱,因此,怎样才能方便快速地设置用户远程访问的功能?不过,现在你就不用再担心了。在本文中,洛里·海德将告诉你怎样通过简单操作方便实现这一功能。
---------------------------------------------------------------------------------------------

  对思科ASA远程访问功能进行设置的话,需要8个基本的步骤。

  1. 配置身份证书

  2. 上传采用安全套接层协议的虚拟专用网客户端镜象到ASA上

  3. 启用AnyConnect虚拟专用网连接

  4. 创建组策略

  5. 创建旁路访问列表

  6. 创建连接配置文件和通道组

  7. 配置网络地址转换豁免功能

  8. 配置用户帐户

  现在就让我们一步步开始来进行操作!

  第一步.配置身份证书

  在这里,我创建了一个普通用途的自签署身份证书,将其命名为sslvpnkey,下面,就可以利用该证书和“外部”接口进行联系了。如果你希望的话,也可以采用数字认证服务提供商VeriSign之类专业厂商提供的证书。不过这样通常情况下是需要付费的。

  corpasa(config)#crypto key generate rsa label sslvpnkey

  corpasa(config)#crypto ca trustpoint localtrust

  corpasa(config-ca-trustpoint)#enrollment self

  corpasa(config-ca-trustpoint)#fqdn sslvpn. mycompany.com

  corpasa(config-ca-trustpoint)#subject-name CN=sslvpn.mycompany.com

  corpasa(config-ca-trustpoint)#keypair sslvpnkey

  corpasa(config-ca-trustpoint)#crypto ca enroll localtrust noconfirm

  corpasa(config)# ssl trust-point localtrust outside

  第二步.上传采用安全套接层协议的虚拟专用网客户端镜象到ASA上

  你可以到思科的官方网站上下载客户端的镜象。如果你选择利用简单文件传输协议服务器下载镜象的话,务必记住需要为用户所有版本的操作系统都下载相应的镜象。在下载完镜象后,就可以将户端软件利用简单文件传输协议上传到ASA上。

  corpasa(config)#copy tftp://192.168.81.50/anyconnect-win-2.0.0343-k9.pkg flash

  在文件上传到ASA后,你可以选择利用webvpn对其进行配置。请务必注意,如果有多个客户端的话,最经常使用的客户端具有最高优先地位。在这种情况下,我们选择只使用单个客户端并将优先级定为一。

  corpasa(config)#webvpn

  corpasa(config-webvpn)#svc image disk0:/anyconnect-win-2.3.0254-k9.pkg 1

  第三步.启用AnyConnect虚拟专用网连接

  corpasa(config)#webvpn

  corpasa(config-webvpn)#enable outside

  corpasa(config-webvpn)#svc enable

  第四步.创建组策略

  组策略会在客户端连接时发挥作用,因此,需要对参数进行设置。在这里,我们将创建一个组策略,并命名为SSLClient。当客户端进行远程登陆的时间需要一个网络IP地址,因此,我们还需要建立一个动态主机分配协议池,不过如果网络中已经存在动态主机分配协议服务器的话,你也可以选择使用。

  corpasa(config)#ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0

  corpasa(config)#group-policy SSLCLient internal

  corpasa(config)#group-policy SSLCLient attributes

  corpasa(config-group-policy)#dns-server value 192.168.200.5

  corpasa(config-group-policy)#vpn-tunnel-protocol svc

  corpasa(config-group-policy)#default-domain value mysite.com

  corpasa(config-group-policy)#address-pools value SSLClientPool

  第五步.创建旁路访问列表

  通过使用sysopt connect命令,我们可以告诉ASA容许采用了安全套接层协议/IP层协议安全结构的客户端绕过访问控制列表。

  corpasa(config)#sysopt connection permit-vpn

  第六步.创建连接配置文件和通道组

  作为连接到ASA上的远程访问客户端,它们需要一个连接配置文件,通常也被叫做通道组。我们可以利用该文件设定具体的参数,为客户端提供应有的权限。在这里,我们将利用思科AnyConnect安全套接层协议客户端工具对远程访问客户端进行配置,不过你也可以选择使用IP层协议安全结构、站到站之类的其它协议。

  首先,让我们创建通道组采用安全套接层协议的客户端

  corpasa(config)#tunnel-group SSLClient type remote-access

  接下来,我们就将对具体参数进行设置:

  corpasa(config)#tunnel-group SSLClient general-attributes

  corpasa(config-tunnel-general)#default-group-policy SSLCLient

  corpasa(config-tunnel-general)#tunnel-group SSLClient webvpn-attributes

  corpasa(config-tunnel-webvpn)#group-alias MY_RA enable

  corpasa(config-tunnel-webvpn)#webvpn

  corpasa(config-webvpn)#tunnel-group-list enable

  请注意,在这里MY_RA是属于该组的用户进行登陆的时间看到的提示信息。

  第七步.配置网络地址转换豁免功能

  现在,我们就需要告诉ASA不必在对远程访问客户端和内部网络之间的数据传输进行网络地址转换操作了,它们之间可以直接访问了。首先,我们将创建一个访问控制列表,对这样的数据传输进行定义,接下来,我们将这一列表加入网络地址转换功能的项目中。

  corpasa(config)#access-list no_nat extended permit

  ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

  corpasa(config)#nat (inside) 0 access-list no_nat

  第八步.配置用户帐户

  现在我们就可以建立需要的用户帐户了。在这里,我们将创建一个用户帐户,可以支持通过虚拟专用网进行远程访问。

  corpasa(config)#username hyde password l3tm3in

  corpasa(config)#username hyde attributes

  corpasa(config-username)#service-type remote-access

  设置完成了。

  不要忘记将完成的配置保存在内存中。

  corpasa#write memory

  建立一个远程连接来验证刚才创建的配置是否正确,并利用show命令查看连接的具体情况。

  corpasa #show vpn-sessiondb svc

  这个指南可以在你为用户提供远程访问功能的任何时间提供帮助。如果你在操作过程中遇到了问题,可以使用debug webvpn命令来进行分析,确认问题的根源。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章