《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第4章 任務(wù)4.3.1 配置無客戶端SSL VPN

第4章虛擬專用網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)4.3.1配置無客戶端SSLVPN

SSL（SecureSocketsLayer，安全套接層）是一個(gè)工作在TCP與應(yīng)用層之間的安全協(xié)議。它綜合運(yùn)用了各種加密技術(shù)，實(shí)現(xiàn)了私密性、信息完整性和身份認(rèn)證等特性，可用于加密HTTP、郵件、VPN等。

第3章中介紹了SSL在加密HTTP方面的應(yīng)用，下面，分別對(duì)無客戶端SSLVPN，瘦客戶端SSLVPN，厚客戶端SSLVPN進(jìn)行講解。4.3SSLVPN

如圖4-3-1所示，打開EVE-NG，搭建實(shí)驗(yàn)拓?fù)?。任?wù)4.3.1配置無客戶端SSLVPN圖4-3-1SSLVPN實(shí)驗(yàn)拓?fù)鋱D

無客戶端的Web接入是SSLVPN最常見的接入方式，采用Web反向代理技術(shù)。具體配置如下：

一、外網(wǎng)Win7主機(jī)的配置外網(wǎng)Win7主機(jī)用于模擬在外出差員工電腦，同時(shí)用作圖形界面網(wǎng)管防火墻的電腦。方法是通過VMware打開第二章防火墻實(shí)驗(yàn)中的Win7網(wǎng)管電腦，將其恢復(fù)到第二章實(shí)驗(yàn)時(shí)保存的快照，即恢復(fù)到已經(jīng)安裝好“JRE和ASDM”狀態(tài)的快照，并將IP地址等基本配置按新實(shí)驗(yàn)更改如下：IP地址：子網(wǎng)掩碼:缺省網(wǎng)關(guān):不要配置網(wǎng)絡(luò)連接到：VMnet1二、內(nèi)網(wǎng)服務(wù)器及外網(wǎng)電腦的配置通過VMware打開第二章防火墻實(shí)驗(yàn)中的DMZ服務(wù)器Win2003，將其恢復(fù)到第二章實(shí)驗(yàn)時(shí)保存的快照，即已經(jīng)安裝好“IIS”狀態(tài)的快照，并將IP地址等基本配置更改如下：IP地址：子網(wǎng)掩碼：缺省網(wǎng)關(guān):54網(wǎng)絡(luò)連接到：VMnet2在IIS中，停用之前的網(wǎng)站，并新建一個(gè)網(wǎng)站，本機(jī)上測(cè)試能正常訪問。三、路由器和防火墻的基本配置1.路由器R1的基本配置，命令如下：R1(config)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshu2.防火墻的IP地址、接口命名、接口安全級(jí)別等配置，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.ciscoasa(config-if)#intg0/0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.3.啟用對(duì)ASAv防火墻的圖形界面管理，命令如下：ciscoasa(config)#httpserverenableciscoasa(config)#http00Outside四、內(nèi)網(wǎng)路由表的配置內(nèi)網(wǎng)有兩個(gè)網(wǎng)段。內(nèi)網(wǎng)路由器與兩個(gè)網(wǎng)段都直連，無需配置路由表；防火墻只直連了內(nèi)網(wǎng)的一個(gè)網(wǎng)段，需要為另一個(gè)網(wǎng)段配置靜態(tài)路由，配置命令如下：ciscoasa(config)#routeinside五、檢測(cè)防火墻的當(dāng)前日期和時(shí)間，將其設(shè)置成與Win7電腦的日期和時(shí)間同步ciscoasa(config)#showclock//查看當(dāng)前日期和時(shí)間ciscoasa(config)#clockset18:32:0030Dec2023//設(shè)置日期和時(shí)間六、SSLVPN無客戶端方式的配置（一）圖形界面的配置1.在外網(wǎng)的Win7上，運(yùn)行ASDM，輸入防火墻外網(wǎng)接口地址54，用戶名和密碼留空，點(diǎn)擊“OK”按鈕，進(jìn)入防火墻的圖形管理界面。2.如圖4-3-2所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點(diǎn)擊“Apply”按鈕。允許無客戶端SSLVPN從防火墻外網(wǎng)接口連接。圖4-3-2SSLVPN無客戶端方式的配置13.如圖4-3-3所示，找到Configuation>RemmoteAccessVPN>AAA/LocalUsers>LocalUsers>點(diǎn)擊“Add”按鈕>創(chuàng)建新用戶“user1”，密碼設(shè)為“cisco@1234”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-3SSLVPN無客戶端方式的配置2（二）字符界面的配置與圖形界面類似，可用字符界面實(shí)現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideINFO:WebVPNandDTLSareenabledon'Outside'.ciscoasa(config-webvpn)#exitciscoasa(config)#usernameuser1passwordcisco@1234六、測(cè)試1.在外網(wǎng)的Win7電腦上，打開瀏覽器，輸入54，訪問防火墻的SSLVPN服務(wù)。2.出現(xiàn)“此網(wǎng)站的安全證書有問題”的提示時(shí)，點(diǎn)擊“繼續(xù)瀏覽此網(wǎng)站（不推薦）”繼續(xù)。3.輸入用戶名user1及密碼cisco@1234，點(diǎn)擊“Login”按鈕。用win7訪問https是正常的，但若采用Win2003訪問https會(huì)失敗。這是因?yàn)閣in2003及其早期版本不支持SHA2，導(dǎo)致HTTPS交互失敗。若要使用Win2003訪問，解決的方法一是給win2003打上968730的補(bǔ)丁，重啟win2003服務(wù)器；二是為win2003安裝支持SHA2的瀏覽器，如：百度瀏覽器、oprea瀏覽器等。