目录
实验难度 | 2 |
实验复杂度 | 2 |
一、实验原理
在一般情况下,我们如果是使用HTTP用户认证的话,相关的明文身份信息会被发送到被访问的WEB服务器,那么这种情况是十分危险的,很容易被黑客进行数据包捕捉分析出相关的身份验证信息。我们肯定是希望自己的认证信息是安全送到服务器的,这里我们可以使用HTTP的重定向技术来提升这个安全度,需要对内部用户的outbound访问进行认证,身份信息会在不受信任的网络中传输,目前WEB服务器需要使用不同的用户数据库来实现认证。我们可以在思科ASA上配置对HTTP的直接认证,认证的方式有三种:
1.HTTP重定向
2.虚拟HTTP
3.Secure HTTP
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑图;
2.初始化路由器设备,配置IP地址;
3.配置ASA的初始相关参数:
防火墙的名称为ASA
接口 | 接口名称 | 安全级别 | IP地址 |
G0 | inside | 100 | 192.168.1.254/24 |
G1 | dmz | 50 | 192.168.100.254/24 |
G2 | outside | 0 | 50.100.200.254/24 |
4.配置好三个路由器Windows 10的默认路由,下一跳都指向ASA;
5.配置AAA服务器,相关的配置信息如下:
配置设备的名称为ASA,采用TACACS+与 RADIUS协议认证,认证的设备防火墙的IP地址为192.168.100.254,认证密码为ccie;
配置验证用户名分别为dmz/outside/inside,它们的密码都为ccie;
6.配置防火墙ASA与ACS的认证信息:
(1)认证的密码为ccie;
(2)aaa服务器的名称为ACS,协议为radius;
(3)与aaa服务器连接的接口为inside,服务器IP地址为192.168.100.1;
(4)测试ASA防火墙与ACS服务器是否验证成功。
7.配置ACL名称为“in-out”的认证流量条目,放行192.168.1.10这个主机到outside区域50.100.200.1这个主机的http流量;
8.对inside接口匹配“in-out”ACL流量进行aaa的认证;
9.在outside路由器上启用http功能;
10.配置HTTP重定向。
四、实验过程
1.搭建如图所示的网络拓扑图;
使用GNS3来搭建网络拓扑图,过程略。
2.初始化路由器设备,配置IP地址;
inside路由器:
dmz路由器:
outside路由器:
3.配置ASA的初始相关参数:
防火墙的名称为ASA
接口 | 接口名称 | 安全级别 | IP地址 |
G0 | inside | 100 | 192.168.1.254/24 |
G1 | dmz | 50 | 192.168.100.254/24 |
G2 | outside | 0 | 50.100.200.254/24 |
测试直连网络的连通性:ASA防火墙与所有直连设备的网络连通性都没有问题
4.配置好三个路由器与Windows 10的默认路由,下一跳都指向ASA;
注意:在测试静态路由的时候,记得在ASA防火墙上配置一条放行所有ICMP流量的条目。
5.配置AAA服务器,相关的配置信息如下:
配置设备的名称为ASA,采用TACACS+与 RADIUS协议认证,认证的设备防火墙的IP地址为192.168.100.254,认证密码为ccie;
配置验证用户名分别为dmz/outside/inside,它们的密码都为ccie;
6.配置防火墙ASA与ACS的认证信息:
(1)认证的密码为ccie;
(2)aaa服务器的名称为ACS,协议为radius;
(3)与aaa服务器连接的接口为inside,服务器IP地址为192.168.100.1;
(4)测试ASA防火墙与ACS服务器是否验证成功。
7.配置ACL名称为“in-out”的认证流量条目,放行192.168.1.10这个主机到outside区域50.100.200.1这个主机的http流量;
8.对inside接口匹配“in-out”ACL流量进行aaa的认证;
9.在outside路由器上启用http功能;
10.配置HTTP重定向。
在Windows 10上进行验证:
原本网页上输入的是50.100.200.1的,现在是192.168.1.254,说明重定向成功了。
点击log in Now,输入ACS服务器上的用户名与密码
代码解析:
ASA(config)# aaa authentication listener http inside port 80 redirect //把监听到的inside区域HTTP 80端口的流量发送给ACS服务器进行重定向
总结
最近这几个实验难度都不高,而且它们的相似度很高,所以朋友们,记得多花点时间来敲一下这些实验。好了,本章节的实验就到了这里,我们在下一个章节再见,加油!