目前市場上×××產(chǎn)品很多，而且技術(shù)各異，就比如傳統(tǒng)的 IPSec ××× 來講， SSL 能讓公司實現(xiàn)更多遠(yuǎn)程用戶在不同地點接入，實現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運行支撐成本。很多企業(yè)用戶采納 SSL ××× 作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。
????? SSL ××× 提供增強的遠(yuǎn)程安全接入功能。 IPSec ××× 通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶 PC 就如同物理地處于企業(yè) LAN 中。這帶來很多安全風(fēng)險，尤其是在接入用戶權(quán)限過大的情況下。 SSL ××× 提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶才能對資源進行訪問，這就安全多了。 SSL ××× 能對加密隧道進行細(xì)分，從而使得終端用戶能夠同時接入 Internet 和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。另外， SSL ××× 還能細(xì)化接入控制功能，易于將不同訪問權(quán)限賦予不同用戶，實現(xiàn)伸縮性訪問；這種精確的接入控制功能對遠(yuǎn)程接入 IPSec ××× 來說幾乎是不可能實現(xiàn)的。
????? SSL ××× 基本上不受接入位置限制，可以從眾多 Internet 接入設(shè)備、任何遠(yuǎn)程位置訪問網(wǎng)絡(luò)資源。 SSL ××× 通信基于標(biāo)準(zhǔn) TCP/UDP 協(xié)議傳輸，因而能遍歷所有 NAT 設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。 IPSec ××× 在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實現(xiàn)，因為它很難實現(xiàn)防火墻和 NAT 遍歷，無力解決 IP 地址沖突。另外， SSL ××× 能實現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用 PC 或公共 Internet 接入場所，而 IPSec ××× 客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長，遠(yuǎn)程接入 IPSec ××× 在訪問控制方面受到極大挑戰(zhàn)，而且管理和運行支撐成本較高，它是實現(xiàn)點對點連接的最佳解決方案，但要實現(xiàn)任意位置的遠(yuǎn)程安全接入， SSL ××× 要理想得多。
????? SSL ××× 不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。 IPSec ××× 需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類復(fù)雜的客戶端難于升級，對新用戶來說面臨的麻煩可能更多，如系統(tǒng)運行支撐問題、時間開銷問題、管理問題等。 IPSec 解決方案初始成本較低，但運行支撐成本高。如今，已有 SSL 開發(fā)商能提供網(wǎng)絡(luò)層支持，進行網(wǎng)絡(luò)應(yīng)用訪問，就如同遠(yuǎn)程機器處于 LAN 中一樣；同時提供應(yīng)用層接入，進行 Web 應(yīng)用和許多客戶端 / 服務(wù)器應(yīng)用訪問。

了解了上述基本因素之后，下面我們將開始實驗：

第一步，ASA的基本配置：

Archasa(config)# int e0/0????

Archasa(config-if)# ip add 192.168.0.1 255.255.255.0

Archasa(config-if)# nameif outside?

Archasa(config-if)# no shut

Archasa(config-if)# exit

Archasa(config)# int e0/1

Archasa(config-if)# ip add 172.20.59.10 255.255.255.0

Archasa(config-if)# nameif inside

Archasa(config-if)# no shut

Archasa(config-if)# exit

Archasa(config)# web***

Archasa(config-web***)# enable outside

Archasa(config-web***)# svc image disk0:/sslclient-win-1.1.2.169.pkg

Archasa(config-web***)# svc enable

#上述配置是在外網(wǎng)口上啟動WEB×××，并同時啟動SSL ×××功能

2、SSL ×××配置準(zhǔn)備工作

#創(chuàng)建SSL ×××用戶地址池

Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50

#配置SSL ×××數(shù)據(jù)流不做NAT翻譯

Archasa(config)# access-list go-*** permit ip 172.20.50.0 255.255.255.0 10.10.10.0

255.255.255.0

Archasa(config)# nat (inside) 0 access-list go-***

3、WEB ×××隧道組與策略組的配置

#創(chuàng)建名為myssl***-group-policy的組策略

Archasa(config)# group-policy myssl***-group-policy internal

Archasa(config)# group-policy myssl***-group-policy attributes

Archasa(config-group-policy)# ***-tunnel-protocol web***

Archasa(config-group-policy)# web***

#在組策略中啟用SSL ×××

Archasa(config-group-web***)# svc enable

Archasa(config-group-web***)# exit

Archasa(config-group-policy)# exit

Archasa(config)#?

#創(chuàng)建SSL ×××用戶

Archasa(config-web***)# username test password woaicisco

#把myssl***-group-plicy策略賦予用戶test

Archasa(config)# username test attributes

Archasa(config-username)# ***-group-policy myssl***-group-policy

Archasa(config-username)# exit

Archasa(config)# tunnel-group myssl***-group type web***

Archasa(config)# tunnel-group myssl***-group general-attributes

#使用用戶地址池

Archasa(config-tunnel-general)# address-pool ssl-user

Archasa(config-tunnel-general)# exit

Archasa(config)# tunnel-group myssl***-group web***-attributes

Archasa(config-tunnel-web***)# group-alias group2 enable??

Archasa(config-tunnel-web***)# exit

Archasa(config)# web***

Archasa(config-web***)# tunnel-group-list enable

4、配置SSL ×××隧道分離

#注意，SSL ×××隧道分離是可選取的，可根據(jù)實際需求來做。

#這里的源地址是ASA的INSIDE地址，目標(biāo)地址始終是ANY

Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any

Archasa(config)# group-policy myssl***-group-policy attributes

Archasa(config-group-policy)# split-tunnel-policy tunnelspecified

Archasa(config-group-policy)# split-tunnel-network-list value split-ssl

基本上整個配置就完成了，下面可以進行測試：

在瀏覽器中輸入[url]https://192.168.0.1[/url]訪問WEB ×××，在隨后彈出的對話框中輸入用戶名和密碼單擊登陸。

這時系統(tǒng)會彈出要求安裝SSL ××× CLIENT程序，單擊“YES”，系統(tǒng)自動安裝并連接SSL×××，在SSL×××連通之后在您的右下角的任務(wù)欄上會出現(xiàn)一個小鑰匙狀，你可以雙擊打開查看其狀態(tài)。

轉(zhuǎn)載于:https://blog.51cto.com/weixianfei/892600

總結(jié)

以上是生活随笔為你收集整理的在CISCO ASA 防火墙上配置Web ×××的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。