【技术分享】思科ASA防火墙SSL(远程拨号虚拟专用网络)理论配置解析!

点击蓝字关注我们

今天，小盟也是陪伴大家的一天。

今天小盟给大家带来的是思科ASA防火墙SSL（远程拨号虚拟专用网络）理论配置解析。

安全套接层

-俗称Secure Socket Layer (SSL) 

是由 Netscape Communication（网景公司）于 1990年开发，用于保障Word Wide Web (WWW)通讯的安全。主要任务是提供私密性，信息完整性和身份认证。

说到这里我提一下网景这家公司：

在科技工业史上乃至整个工业史上，能超过微软发展速度并盖过它的风头的公司屈指可数。能否超越微软，哪怕暂时地超越微软也就成为了伟大公司的试金石。网景公司是少数曾经盖过微软风头的公司之一。网景公司和微软公司的网络浏览器（Web Browser )之争已经成为 IT史上最为人津津乐道的话题。

当然，虽然网景公司赢得了浏览器大战但是随后却被微软干掉。因为微软在操作系统领域的垄断地位，从而使它便成了所有公司最可怕的敌人，像苹果公司，IBM等互联网巨头都曾经栽在微软手下，微软靠它在操作系统上的垄断地位和无比雄厚的财力在计算机领域几乎无往不胜（软件模仿并且捆绑到自己的操作系统等看似低级手段而又最高明的手段）。

SSL是一个不依赖于平台和应用程序的协议，用于保障TCP-based运用安全，SSL在TCP层和应用层之间，就像应用层连接到TCP连接的一个插口。这是和IPSEC进行的对比，因为IPSec不仅对应用层负载加密，对TCP包头也会加密。

那么？

为什么实际环境中远程拨号的VPN我们基本上都是选择SSL 这种VPN呢，为什么不选择IPSEC 呢，L2TP或者是PPTP呢？

首先，IPSEC VPN做远程拨号，每个厂家都有一个独立的客户端，并且需要提前准备（SSL VPN支持无客户端模式并且如果需要下载也是网页直接推送，不需要提前准备），而PPTP和L2TP这两种基于VPDN技术的VPN技术功能非常有限，基本也就只能保证网络通。

SSL VPN有三种工作模型，分别为无客户端、瘦客户端和厚客户端。

无客户端只能支持浏览器所支持的一些应用，比如HTTP、HTTPS、CIFS等。

瘦客户端使用起来非常不方便，因为不建议使用。下面我要介绍的是最常用的一种模型---厚客户端模型，厚客户端支持所有的IP协议，但是需要下载一个思科的应用程序。

下面我在SSL VPN设备（思科ASA防火墙）做相关配置：

首先查看ASA的硬盘里面是否有SSL VPN的客户端文件，如果没有需要自己搭建FTP服务器进行上传，或者直接通过思科ASDM管理端直接加载，下面我演示一下通过CLI把FTP服务器（一台WIN7的PC）里面anyconnect插件上传到ASAv的Flash里面，如下：

ASA(config)#copyftp://admin:[email protected]/anyconnect-k9.pkg flash：/anyconnect-k9.pkg

admin是FTP服务器的登录用户名，Admin123是FTP服务器登录密码，10.1.1.101是FTP服务器IP地址，anyconnect-k9.kpg是上传的文件，flash：意思是上传到flash的根目录。

ip local pool CCIESEC 172.16.3.100-172.16.3.200 ||创建一个SSL VPN拨号地址池

username ssluser password CCIEo123 ||创建SSL VPN拨号的用户名和密码

webvpn ||进入到webvpn配置视图

anyconnect image flash:/anyconnect-k9.pkg ||ssl vpn所需插件目录

anyconnect enable ||开启anyconnect服务

group-policy CCIE internal ||创建一个名字叫CCIE的组策略

group-policy CCIE attributes ||为名字叫CCIE的组策略关联属性

vpn-tunnel-protocol ssl-client ssl-clientless ||开启客户端和无客户端协议的功能，默认只开启了无客户端协议的功能

address-pools value CCIESEC ||把SSL VPN地址池赋予给名字叫CCIE的组

username ssluser attributes ||给用户赋予属性

vpn-group-policy CCIE

下面我们可以做一个测试：

SSL VPN拨号成功

下载思科Anyconnect客户端

然后，我用拨号的PC通过SSL VPN访问内网中的一个PC的3389端口号：

成功访问内网资源

可以看到172.16.2.100的高位随机端口号已经成功访问10.1.1.101的3389端口号。

扫码

加入课堂

每晚七点半

腾讯课堂  精彩开启

为方便来自五湖四海的网络爱好者

能共同讨（吹）论（牛）交（逗）流（趣），

热烈欢迎大家加入专属群：

加入即可领取：

1、实用模拟器安装包

2、内部精选电子书籍

3、精品实用工程案例

特殊时期，自我充实

群内资料定期上传更有讲师全天技术答疑 

点亮“在看”让更多人发现小技巧