用ASA931做SSL ***

最新推荐文章于 2019-12-05 16:01:04 发布
最新推荐文章于 2019-12-05 16:01:04 发布
阅读量190 收藏
点赞数
文章标签: 运维 网络
原文链接:http://blog.51cto.com/285297/2072834
版权

1、拓扑图

用ASA931做SSL ***
过程:
1、首先实现ASA931(虚拟机方式)实现连接
1、 用VMware打开防火墙的虚拟文件,然后开机
2、 打开named pipe tcp proxy,然后新建连接,连接的pipe用虚拟机的穿想得开管道名
3、用securecrt连接2002端口,就可以正常连接了,注意一点,虚拟机防火墙的的第一个端口为管理接口,接下来做基本配置
ASA:
interface Management0/0
nameif mgmt
ip address 192.168.1.200 255.255.255.0
no shutdown4
4、开一台电脑xp直接和管理接口连接,配置相同网段,并且能相互ping通,在xp上开tftpserver 后开始上传anyconnect-win-4.3.05017-k9.pkg,上传完后在ASAS上dir flash:或者dir disk0: 可以看到刚才上传的文件

2、设备的基本配置和主机的ip地址配置和服务搭建
ASA:
nterface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
no shut
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 100.0.0.1 255.255.255.0
no sh
route outside 0 0 100.0.0.2
R1:
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.0
no shut
interface FastEthernet0/1
ip address 200.0.0.1 255.255.255.0
no shut

host1:win2003 ip 192.168.100.2 gw 192.168.100.1
DNS WEB FTP 共享
host3:win7 ip 200.0.0.2 gw 200.0.0.1

3、开始在ASA防火墙上配置SSL ×××
1、无客户端模式
ASA# conf t
ASA(config)# web***
ASA(config-web***)# enable outside
ASA(config-web***)# exit
ASA(config)# username cisco password 123
ASA(config)# group-policy ***-group internal
\策略定义在本地,external定义在第三方服务器
ASA(config)# group-policy ***-group attributes
ASA(config-group-policy)# ***-tunnel-protocol ssl-clientless #asa8xx版本要用web***的隧道协议
ASA(config-group-policy)# exit
ASA(config)# tunnel-group ***-tunnel-group type web***
ASA(config)# tunnel-group ***-tunnel-group general-attributes
ASA(config-tunnel-general)# default-group-policy ***-group
ASA(config-tunnel-general)# authentication-server-group LOCAL
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***-tunnel-group web***-attributes
ASA(config-tunnel-web***)# group-alias groups enable
ASA(config-tunnel-web***)# exit
ASA(config)# web***
ASA(config-web***)# tunnel-group-list enable
ASA(config-web***)# no anyconnect-essentials
#asa8xx版本中不需要关闭此功能
ASA(config-web***)# exit
//anyconnect-essentials指的是***许可证
测试:
在客户机上打开浏览器输入https://100.0.0.1 输入cisco 密码123登录
然后可以用http https ftp cifs方式访问服务器了
如:http://192.168.100.2
cifs://192.168.100.2

禁用无客户端模式的访问权限:
ASA (config)# group-policy ***_group attributes
ASA (config-group-policy)# web***
ASA (config-group-web***)# url-entry disable
ASA (config-group-web***)# file-entry disable

利用现有的ftp服务器上传url文件
ASA# import web*** url-list url_list1 ftp://10.0.0.1/url_list1.xml
ASA# show import web*** url-list
ASA# conf t
ASA(config)# group-policy ***_group attributes
ASA(config-group-policy)# web***
ASA(config-group-web***)# url-list value url_list1

如果想要删除url_list1,可执行下列两条语句
ASA(config-group-web***)# no url-list value url_list1 \删除
ASA(config-group-web***)# revert web*** url-list url_list1

验证:
客户端登陆到200.0.0.1,发现输入地址的地方已经没有了,只有指定的web1可以访问
注意:
这种限制只对无客户端有效,在胖客户端下,由于用户可以全网络层访问,所以客户可以在连接成功后直接访问所需的资源。
2、胖客户端模式
ASA(config)# username ciscot password 123
ASA(config)# web*** \进入ssl ***配置视图
ASA(config-web***)# enable outside \在outside接口启用ssl ***功能
ASA(config-web***)# anyconnect-essentials
ASA(config-web***)# anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg
ASA(config-web***)# anyconnect enable
ASA(config-web***)# tunnel-group-list enable \启用下拉列表
ASA(config-web***)# exit
ASA(config)# ip local pool ssl***_pool 192.169.1.100-192.169.1.200
//定义组策略
ASA(config)# group-policy ***_group_policy internal \配置本地组策略属性
ASA(config)# group-policy ***_group_policy attributes \配置组策略的属性
ASA(config-group-policy)# ***-tunnel-protocol ssl-client ssl-clientless
ASA(config-group-policy)# web***
ASA(config-group-web***)# anyconnect ask enable \允许客户端下载
ASA(config-group-web***)# exit
ASA(config-group-policy)# exit

//定义隧道组(第一个隧道组,组名为***_group)
ASA(config)# tunnel-group ***_group type web*** \定义隧道组,类型为ssl ***
ASA(config)# tunnel-group ***_group general-attributes \配置隧道组通用属性
ASA(config-tunnel-general)# address-pool ssl***_pool \指定隧道组的地址池
ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定该组的组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***_group web***-attributes \定义隧道组的ssl ***属性
ASA(config-tunnel-web***)# group-alias jishubu enable \为该隧道组设置别名
ASA(config-tunnel-web***)# exit

//配置隧道分离和DNS分离
ASA(config)# access-list split_tunnel permit ip 10.0.0.0 255.255.255.0 any
ASA(config)# group-policy ***_group_policy attributes
ASA(config-group-policy)# split-tunnel-policy tunnelspecified

//配置隧道分离:tunnelspecified匹配的走隧道
tunnall 所有的都走隧道
untunnelspecified不匹配的走隧道

ASA(config-group-policy)# split-tunnel-network-list value split_tunnel
ASA(config-group-policy)# dns value 10.0.0.1 \设置dns分离
ASA(config-group-policy)# split-dns value benet.com \需要分离的域名
ASA(config-group-policy)# exit

//配置用户属于固定隧道组(第二个隧道组,组名为***_group1)
ASA(config)# tunnel-group ***_group1 type web*** \设置第二个隧道则
ASA(config)# tunnel-group ***_group1 general-attributes \定义隧道通用属性
ASA(config-tunnel-general)# address-pool ssl***_pool \设置地址池
ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定组策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***_group1 web***-attributes \设置隧道的***属性
ASA(config-tunnel-web***)# group-alias caiwubu enable \指定别名
ASA(config-tunnel-web***)# exit
ASA(config)# username cisco attributes \定义用户属性
ASA(config-username)# group-lock value ***_group \将用户锁定在***_group组中,这样,该用户就不能使用其他组的组名登录

测试:
在客户端第一次访问还是用https://100.0.0.1,然后下载客户端,并安装(一定要有管理员权限),然后用客户端连接就可以了,和easy ***的客户端类似了
http://192.168.100.2
ftp://192.168.100.2
\192.168.100.2

转载于:https://blog.51cto.com/285297/2072834

weixin_34007906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
串口登录virtual-box中的ubuntu
qq_40807194的博客
04-06 705
串口登录virtual-box中的ubuntu 在学习使用ubuntu的驱动过程中发现使用dmesg十分的不方便,且有时有的虚拟机UI界面被修改来不能用了,只能通过串口访问,所以使用串口登录virtual-box中的ubuntu。 1.配置named pipe TCP Proxy 可以通过一下链接先下载named pipe TCP Proxy。 链接: Named pipe TCP Proxy下载. 安装完成之后打开named pipe TCP Proxy; 选择Edit中的New选项; 在pipe下面
思科ASA防火墙SSL理论配置解析.docx
12-24
安全套接层,俗称Secure Socket Layer (SSL) ,是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
Named pipe tcp proxy.zip
08-05
Named Pipe TCP Proxy 终端控制台与模拟器连接: 串口重定向工具,在vmware ORACLE VirtualBox等模拟器下使用。 作为虚拟机之间的管理桥梁,很多时候还能非常有帮助的。
一个字母之差造成的DNS解析问题
weixin_34319999的博客
05-20 76
问题:通过客户端拨上Cisco ×××后,其他工作都正常,除了不可以通过主机名来访问内网的机器。登录到×××服务器上查看了一下这组×××的属性,如下: group-policy user_*** attributes dns-server value 172.29.X.X ***-idle-timeout 10 split-tunnel-policy tu...
部署DNS split分离解析服务
weixin_42825965的博客
09-09 897
DNS分离解析(视图解析) – 能够区分客户机的来源地址 – 为不同类别的客户机提供不同的解析结果(IP地址) – 当不同的客户端解析同一域名,得到的结果不同 – 为客户端提供网络最近的资源 • 环境及需求 – 权威DNS:svr7.tedu.cn 192.168.4.7 – 负责区域:tedu.cn – A记录分离解析 —— 以 www.tedu.cn 为例 客户机来自 解析结...
asa ssl首页无法打开说明
03-28
ASA SSL VPN 首页无法打开是指在 Windows 7 操作系统下无法访问 ASA SSL VPN 首页的现象。客户反映无法打开 ASA SSL VPN 登陆页面,而 Windows XP 一切正常。 二、问题分析 通过分析日志信息,我们可以看到 SSL ...
ASA-SSL配置指南
10-15
### ASA-SSL配置指南知识点详解 #### 一、概述 本文档旨在提供关于Cisco Adaptive Security Appliance (ASA) SSL-VPN实施配置的详细指南。它不仅适用于初学者,也适合有一定经验的技术人员作为参考,帮助他们更好地...
思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析.doc
10-16
安全套接层俗称Secure Socket Layer (SSL) 是由 Netscape Communication(网景公司)于 1990年开发,用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。
ipsec+ssl+acs+asa5520配置命令
12-14
以上是基于给定配置文件内容的关键知识点总结,这些配置覆盖了ASA防火墙的基本配置、安全策略制定、地址转换以及高级安全功能(如IPsec和SSL)等方面。对于实际操作Cisco ASA设备的人来说,理解这些配置及其作用至关...
Split DNS
achejq的专栏
01-18 1775
http://www.cs.miami.edu/~burt/local/cs-arch-2002/split-dns.htmlSplit DNSOverview Broadly speaking, computer resources in the department of computer science are divided into internal resources and external resources. External hosts can access external reso
cisco 常用命令
weixin_33725239的博客
06-05 1353
1、show running 查看临时配置2、show start-up 查看启动配置3、copy run start 将临时配置保存4、write 将临时配置保存5、erase nvram: 删除nvram中的内容6、line console 0 进入console口password xxx 设置密码login ...
网络安全】Easy虚拟专网实验
命运的旋律的博客
12-05 2711
Easy虚拟专网实验 文章目录Easy虚拟专网实验01.实验拓扑02.实验命令Easy虚拟专网03.实验过程Easy虚拟专网 01.实验拓扑 02.实验命令 Easy虚拟专网 1.配置ISAKMP安全策略(可以和IPsec共用一个策略) ASA12(config)# crypto isakmp enable outside ASA1(config)# crypto isakmp policy 1...
裂脑DNS(Split DNS)的那点旧事研究
weixin_33998125的博客
06-26 163
裂脑DNS(Split DNS)的那点旧事研究     昨天夜里发生的事情        今天看到了老黄在夜里1点多更新了blog,并针对运维业务知识谈来自己的看法,这种很好的理念促动了我懒惰的双手.今天想对一个几乎是所有拥有自己DNS服务器的企业来说都存在的一个问题,如何设计和规划DNS,乍看起来我们要谈的题目有些大,所以我缩小了这个范围,将上一次和学生讨论的Split DNS问题在这里...
Cisco ASA5510配置 远程访问×××
weixin_34221773的博客
01-30 329
1、网络拓扑图 网络拓扑图 2、ASA具体配置 部分已经省略 ASA5510# show run : Saved : ASA Version 7.2(3) ! hostname ASA5510 domain-name zqy.com enable password oQMJ3TXqSC.skFhg encrypted names ! int...
在防火墙(ASA)上配置四种类型的NAT
weixin_33800593的博客
09-17 1638
前面已经介绍了网络地址转换(NAT)的原理和基于路由器的配置,ASA上的NAT配置相对于路由器来说要复制一些,ASA上的NAT有动态NAT、动态PAT、静态NAT、静态PAT。下面的链接是我以前写的NAT原理,在路由器上配置NAT的命令http://yangshufan.blog.51cto.com/13004230/1959448动态NAT 动态NAT将一组I...
防火墙(ASA)的基本配置与远程管理
weixin_34290000的博客
09-15 876
在目前大多数安全解决方案中,防火墙的实施是最为重要的需求,它是每个网络基础设施必要且不可分割的组成部分。这篇博客主要介绍防火墙安全算法的原理与基本配置以及远程管理防火墙的几种方式硬件与软件防火墙1.软件防火墙 软件防火墙单独使用软件系统来完成防火墙功能,将软件部署到系统主机上,其安全性较硬件防火墙差,同时占用系统资源,在一定程度上影响系统性能。其一般用于单机系统或...
Cisco ASA SSL ×××远程访问设置指南
weixin_34007906的博客
01-16 126
Cisco ASA SSL ×××远程访问设置指南 非客户端的SSL ×××远程访问由于不需要安装客户端因此使用起来比较方便省事儿。相对来说自设备的配置和自定义设置会比基于客户端的***复杂一些。然而,只要有点耐心,你会发现它实际上相当灵活,之需要相当有限的资源就可以对用户提供快捷的远程访问了,无需安装和管理客户端。 这篇文章分两个部分来介绍配置和设置。文章的第一部分...
探索Cisco ASA-NGFW:下一代防火墙部署与管理
"BRKSEC-2699会议专注于部署Cisco下一代防火墙(Cisco ASA-NGFW),这是一款具有创新性的、基于上下文感知的防火墙解决方案。该课程旨在帮助安全管理员理解并掌握这种新型防火墙技术,以便更有效地保护组织的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值