(ASA) Cisco Web ××× 配置详解 [三部曲之一]
注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍。
首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。
ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)
下面列出在ASDM中看到的默认值:
默认IPSec-l2l隧道组: DefaultL2LGroup
默认IPSec-ra隧道组: DefaultRAGroup
默认Web×××隧道组: DefaultWEB×××Group
默认组策略: DfltGrpPolicy
默认组策略的默认隧道协议: IPSec-l2l
可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载Web×××时默认采用DefaultWEB×××Group,用户自定义的Web×××组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。
在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。
1、Web×××服务基本配置。
-----------------------------------------
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip address 198.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no sh
ciscoasa(config-if)# exit
!
ciscoasa(config)# web***
ciscoasa(config-web***)# enable outside
!在外网接口上启动Web×××
!
-----------------------------------------
ciscoasa(config)# group-policy myweb***-group-policy ?
configure mode commands/options:
external Enter this keyword to specify an external group policy
internal Enter this keyword to specify an internal group policy
!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。
!
ciscoasa(config)# group-policy myweb***-group-policy internal
!创建了一个名为myweb***-group-policy的Internal类型Policy。
-----------------------------------------
!
ciscoasa(config)# group-policy myweb***-group-policy ?
configure mode commands/options:
attributes Enter the attributes sub-command mode
external Enter this keyword to specify an external group policy
internal Enter this keyword to specify an internal group policy
!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。
-----------------------------------------
!
ciscoasa(config)# username steve6307 password cisco
!创建一个本地用户
ciscoasa(config)# username steve6307 attributes
ciscoasa(config-username)# ***-group-policy myweb***-group-policy
!将用户加入刚才创建的×××策略组中
注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的×××策略组,直接赋予策略(俗曰“权限”)。
注意:不过这是不推荐的,因为这样配置的可扩展性太差。
-----------------------------------------
!
ciscoasa(config)# tunnel-group myweb***-group type web***
!创建一个名为myweb***-group的web***隧道组。
!
ciscoasa(config)# tunnel-group myweb***-group general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group LOCAL
!定义该隧道组用户使用的认证服务器,这里为本地认证
-----------------------------------------
ciscoasa(config)# web***
ciscoasa(config-web***)# tunnel-group-list enable
!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆
!
ciscoasa(config)# tunnel-group myweb***-group web***-attributes
ciscoasa(config-tunnel-web***)# group-alias group1 enable
!为改组定义别名,用于显示给用户进行选择。
-----------------------------------------
!
!到此为止,Web×××基本配置完毕,可以开始让外网用户使用浏览器测试了。
2、Web×××测试。
本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。
在浏览器中输入 [url]https://198.1.1.1[/url]即可访问到Web×××主页。
由于只定义了一个Web×××隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。
如下图:
在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这里是使用***easy.net和itdomino.com的联盟首页做的一台内网测试用的Web服务器。
t3.gif (70.82 KB)
![sslweb_NsiuynqGIqVw.jpg](/bbs/p_w_uploads/sslweb_NsiuynqGIqVw.jpg)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。
ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)
下面列出在ASDM中看到的默认值:
默认IPSec-l2l隧道组: DefaultL2LGroup
默认IPSec-ra隧道组: DefaultRAGroup
默认Web×××隧道组: DefaultWEB×××Group
默认组策略: DfltGrpPolicy
默认组策略的默认隧道协议: IPSec-l2l
可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载Web×××时默认采用DefaultWEB×××Group,用户自定义的Web×××组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。
在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。
1、Web×××服务基本配置。
-----------------------------------------
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip address 198.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no sh
ciscoasa(config-if)# exit
!
ciscoasa(config)# web***
ciscoasa(config-web***)# enable outside
!在外网接口上启动Web×××
!
-----------------------------------------
ciscoasa(config)# group-policy myweb***-group-policy ?
configure mode commands/options:
external Enter this keyword to specify an external group policy
internal Enter this keyword to specify an internal group policy
!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。
!
ciscoasa(config)# group-policy myweb***-group-policy internal
!创建了一个名为myweb***-group-policy的Internal类型Policy。
-----------------------------------------
!
ciscoasa(config)# group-policy myweb***-group-policy ?
configure mode commands/options:
attributes Enter the attributes sub-command mode
external Enter this keyword to specify an external group policy
internal Enter this keyword to specify an internal group policy
!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。
-----------------------------------------
!
ciscoasa(config)# username steve6307 password cisco
!创建一个本地用户
ciscoasa(config)# username steve6307 attributes
ciscoasa(config-username)# ***-group-policy myweb***-group-policy
!将用户加入刚才创建的×××策略组中
注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的×××策略组,直接赋予策略(俗曰“权限”)。
注意:不过这是不推荐的,因为这样配置的可扩展性太差。
-----------------------------------------
!
ciscoasa(config)# tunnel-group myweb***-group type web***
!创建一个名为myweb***-group的web***隧道组。
!
ciscoasa(config)# tunnel-group myweb***-group general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group LOCAL
!定义该隧道组用户使用的认证服务器,这里为本地认证
-----------------------------------------
ciscoasa(config)# web***
ciscoasa(config-web***)# tunnel-group-list enable
!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆
!
ciscoasa(config)# tunnel-group myweb***-group web***-attributes
ciscoasa(config-tunnel-web***)# group-alias group1 enable
!为改组定义别名,用于显示给用户进行选择。
-----------------------------------------
!
!到此为止,Web×××基本配置完毕,可以开始让外网用户使用浏览器测试了。
2、Web×××测试。
本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。
在浏览器中输入 [url]https://198.1.1.1[/url]即可访问到Web×××主页。
由于只定义了一个Web×××隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。
如下图:
![t1_sfx50UWozX5h.gif](/bbs/p_w_uploads/t1_sfx50UWozX5h.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
![t2_UfxelNbPLRRD.gif](/bbs/p_w_uploads/t2_UfxelNbPLRRD.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这里是使用***easy.net和itdomino.com的联盟首页做的一台内网测试用的Web服务器。
![t3_QMkpIuFXYdii.gif](/bbs/p_w_uploads/t3_QMkpIuFXYdii.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
![p_w_picpath.gif](/bbs/p_w_picpaths/attachicons/p_w_picpath.gif)
06-11-23 15:28
Web×××扩展功能
在实现Web×××的基本功能以后,我们来看看Web×××的扩展功能。主要包含以下三部分:
1、文件服务器浏览
2、自定义url-list
3、port-forward
1、文件服务器浏览
File-access功能可以让Web×××用户使用windows共享来访问内网的Windows文件服务器。
用户要使用File-access功能,必须具备file-access file-entry file-browsing权限。
注意:用户默认具备url-entry权限,即可以用url访问内网的web网页。
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing
测试:
重新登陆Web×××,可以看到以下界面:
输入\\10.10.1.2以后可以访问到内网的共享资源。
2、自定义url-list
ciscoasa(config)# url-list mylist "Test Home Page" [url]http://10.10.1.2[/url]
ciscoasa(config)# url-list mylist "Test Site 2" [url]http://10.10.1.3[/url]
!
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-web***)# url-list value mylist
测试:
重新登陆Web×××,可以在首页上看到预定义的url列表。
3、自定义port-forward
port-forward可以让Web×××用户在外网通过Web×××使用内网的非HTTP服务。
ciscoasa(config)# port-forward port-forward-list 2323 10.10.1.2 23
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing port-forward
ciscoasa(config-group-web***)# port-forward value port-forward-list
经过上面的配置以后,Web×××用户加载Web×××提供的JAVA App,就可以通过telnet到自身的2323端口登陆到内网服务器的23端口。
测试:
重新登陆Web×××,界面如下:
点击Application Access即可加载Web×××的Java Apps
t8.gif (51.93 KB)
1、文件服务器浏览
2、自定义url-list
3、port-forward
1、文件服务器浏览
File-access功能可以让Web×××用户使用windows共享来访问内网的Windows文件服务器。
用户要使用File-access功能,必须具备file-access file-entry file-browsing权限。
注意:用户默认具备url-entry权限,即可以用url访问内网的web网页。
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing
测试:
重新登陆Web×××,可以看到以下界面:
![t4_m6ZnKuyneRg2.gif](/bbs/p_w_uploads/t4_m6ZnKuyneRg2.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
输入\\10.10.1.2以后可以访问到内网的共享资源。
![t5_ounsJM6mmQ1h.gif](/bbs/p_w_uploads/t5_ounsJM6mmQ1h.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
2、自定义url-list
ciscoasa(config)# url-list mylist "Test Home Page" [url]http://10.10.1.2[/url]
ciscoasa(config)# url-list mylist "Test Site 2" [url]http://10.10.1.3[/url]
!
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-web***)# url-list value mylist
测试:
重新登陆Web×××,可以在首页上看到预定义的url列表。
![t6_bGvTvtEIsWTn.gif](/bbs/p_w_uploads/t6_bGvTvtEIsWTn.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
3、自定义port-forward
port-forward可以让Web×××用户在外网通过Web×××使用内网的非HTTP服务。
ciscoasa(config)# port-forward port-forward-list 2323 10.10.1.2 23
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing port-forward
ciscoasa(config-group-web***)# port-forward value port-forward-list
经过上面的配置以后,Web×××用户加载Web×××提供的JAVA App,就可以通过telnet到自身的2323端口登陆到内网服务器的23端口。
测试:
重新登陆Web×××,界面如下:
![t7_qn10AC7cR7w3.gif](/bbs/p_w_uploads/t7_qn10AC7cR7w3.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
点击Application Access即可加载Web×××的Java Apps
![t8_yRhsYmuf5z4m.gif](/bbs/p_w_uploads/t8_yRhsYmuf5z4m.gif)
![attachimg.gif](/bbs/p_w_picpaths/dz6/attachimg.gif)
![p_w_picpath.gif](/bbs/p_w_picpaths/attachicons/p_w_picpath.gif)
06-11-23 16:23
最后给出show run,全文完。
ciscoasa# sh run
: Saved
:
ASA Version 7.2(1)24
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.10.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
asdm p_w_picpath disk0:/asdm521-54.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
port-forward port-forward-list 2323 10.10.1.2 telnet
group-policy myweb***-group-policy internal
group-policy myweb***-group-policy attributes
web***
functions url-entry file-access file-entry file-browsing port-forward
url-list value mylist
port-forward value port-forward-list
username steve6307 password Dt4qNrv3ojM/D.Cn encrypted
username steve6307 attributes
***-group-policy myweb***-group-policy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group myweb***-group type web***
tunnel-group myweb***-group web***-attributes
group-alias group1 enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
web***
enable outside
url-list mylist "Test Home Page" [url]http://10.10.1.2[/url] 1
url-list mylist "Test Site 2" [url]http://10.10.1.3[/url] 2
port-forward port-forward-list 2323 10.10.1.2 telnet
tunnel-group-list enable
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
ciscoasa# sh run
: Saved
:
ASA Version 7.2(1)24
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.10.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
asdm p_w_picpath disk0:/asdm521-54.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
port-forward port-forward-list 2323 10.10.1.2 telnet
group-policy myweb***-group-policy internal
group-policy myweb***-group-policy attributes
web***
functions url-entry file-access file-entry file-browsing port-forward
url-list value mylist
port-forward value port-forward-list
username steve6307 password Dt4qNrv3ojM/D.Cn encrypted
username steve6307 attributes
***-group-policy myweb***-group-policy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group myweb***-group type web***
tunnel-group myweb***-group web***-attributes
group-alias group1 enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
web***
enable outside
url-list mylist "Test Home Page" [url]http://10.10.1.2[/url] 1
url-list mylist "Test Site 2" [url]http://10.10.1.3[/url] 2
port-forward port-forward-list 2323 10.10.1.2 telnet
tunnel-group-list enable
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end
转载于:https://blog.51cto.com/shijie/68074