实验目的:

通过下放XML,限制不客户端SSL ×××能访问的服务器。

实验拓扑:

ASA配置:

interface GigabitEthernet0
 nameif inside
 security-level 100
 ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
 nameif outside
 security-level 0
 ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
 key cisco  
web***
 enable outside
 anyconnect p_w_picpath disk0:/anyconnect-win-3.0.0629-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
group-policy ssl***-group-policy internal
group-policy ssl***-group-policy attributes
 web***
  anyconnect ask enable default web***
 tunnel-group ssl***-group type remote-access
tunnel-group ssl***-group general-attributes
 authentication-server-group aaa
 default-group-policy ssl***-group-policy
tunnel-group ssl***-group web***-attributes
 group-alias groups enable

配置AAA client 和AAA服务器,添加用户root,加入group,在此不在说明,可以参考网上的文章,或者查看我的有关文章。

分析:

1 登陆

从上面可以看出这样做给公司内部网络带来安全隐患,通过关闭SSL ×××页面的地址栏输入,可以解决这个问题。

Conf t
group-policy ssl***-group-policy attributes
web***
url-entry disable
file-entry disable
file-browsing disable

下面通过,在ASA上定义一个URL列表,只允许PC访问这个LIST-URL。

编辑一个list.xml文件

由于条件问题,两个服务器IP配置成了相同。

验证文件的正确性。

一定要能显示,不提手错误。

上传文件

命令方式,应用URL列表。在此只给出命令不做验证

Conf t
group-policy ssl***-group-policy attributes
web***
url-list value list

下面重点介绍AAA 配置:

 

查看效果: