如何配置思科ASA防护墙Web

发布网友发布时间：2022-05-19 19:15

共1个回答

热心网友时间：2023-10-16 11:53

配置思科ASA防护墙WebVPN的方法：
　　1，ASA 的基本配置：
　　Archasa(config)# int e0/0
　　Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
　　Archasa(config-if)# nameif outside
　　Archasa(config-if)# no shut
　　Archasa(config-if)# exit
　　Archasa(config)# int e0/1
　　Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
　　Archasa(config-if)# nameif inside
　　Archasa(config-if)# no shut
　　Archasa(config-if)# exit
　　Archasa(config)# web*
　　Archasa(config-web*)# enable outside
　　Archasa(config-web*)# svc image disk0:/sslclient-win-1.1.2.169.pkg
　　Archasa(config-web*)# svc enable
　　#上述配置是在*口上启动WEBVPN ，并同时启动SSL VPN 功能
　　2、SSL VPN 配置准备工作
　　#创建SSL VPN 用户地址池
　　Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
　　#配置SSL VPN 数据流不做NAT翻译
　　Archasa(config)# access-list go-* permit ip 172.20.50.0 255.255.255.0 10.10.10.0 255.255.255.0
　　Archasa(config)# nat (inside) 0 access-list go-*
　　3、WEB VPN 隧道组与策略组的配置
　　#创建名为myssl*-group-policy 的组策略
　　Archasa(config)# group-policy myssl*-group-policy internal
　　Archasa(config)# group-policy myssl*-group-policy attributes
　　Archasa(config-group-policy)# *-tunnel-protocol web*
　　Archasa(config-group-policy)# web*
　　#在组策略中启用SSL VPN
　　Archasa(config-group-web*)# svc enable
　　Archasa(config-group-web*)# exit
　　Archasa(config-group-policy)# exit
　　Archasa(config)#
　　#创建SSL VPN 用户
　　Archasa(config-web*)# username test password woaicisco
　　#把myssl*-group-plicy 策略赋予用户test
　　Archasa(config)# username test attributes
　　Archasa(config-username)# *-group-policy myssl*-group-policy
　　Archasa(config-username)# exit
　　Archasa(config)# tunnel-group myssl*-group type web*
　　Archasa(config)# tunnel-group myssl*-group general-attributes
　　#使用用户地址池
　　Archasa(config-tunnel-general)# address-pool ssl-user
　　Archasa(config-tunnel-general)# exit
　　Archasa(config)# tunnel-group myssl*-group web*-attributes
　　Archasa(config-tunnel-web*)# group-alias group2 enable
　　Archasa(config-tunnel-web*)# exit
　　Archasa(config)# web*
　　Archasa(config-web*)# tunnel-group-list enable
　　4、配置SSL VPN 隧道分离
　　#注意，SSL VPN 隧道分离是可选取的，可根据实际需求来做。
　　#这里的源地址是ASA 的INSIDE 地址，目标地址始终是ANY
　　Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
　　Archasa(config)# group-policy myssl*-group-policy attributes
　　Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
　　Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
　　基本上整个配置就完成了，下面可以进行测试：在浏览器中输入
　　https://192.168.0.1
　　访问WEBVPN，在随后弹出的对话框中输入用户名和密码单击登陆。这时系统会弹出要求安装SSL VPN CLIENT 程序，单击“YES”，系统自动安装并连接SSLVPN ，在SSLVPN 连通之后在您的右下角的任务栏上会出现一个小钥匙状，你可以双击打开查看其状态。