《計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第4章 任務(wù)4.3.2 配置瘦客戶端SSL VPN

第4章虛擬專(zhuān)用網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)4.3.2配置瘦客戶端SSLVPN

無(wú)客戶端的Web接入方式不需要客戶端，適用于訪問(wèn)Web類(lèi)資源。目前很多網(wǎng)絡(luò)應(yīng)用有各自的應(yīng)用層協(xié)議和不同的Web瀏覽器客戶端，需要使用瘦客戶端的TCP接入方式。瘦客戶端方式也稱(chēng)為端口轉(zhuǎn)發(fā)方式。以遠(yuǎn)程桌面遠(yuǎn)程控制內(nèi)網(wǎng)服務(wù)器為例，具體配置方法如下：一、內(nèi)網(wǎng)Win2003服務(wù)器的配置1.為內(nèi)網(wǎng)Win2003服務(wù)器的administrator帳戶設(shè)置密碼。2.為內(nèi)網(wǎng)Win2003服務(wù)器開(kāi)啟3389遠(yuǎn)程桌面。方法是：右擊“我的電腦”，選“屬性”，再選擇“遠(yuǎn)程”選項(xiàng)夾，勾選“遠(yuǎn)程桌面”框中的“啟用這臺(tái)計(jì)算機(jī)上的遠(yuǎn)程桌面”選項(xiàng)，點(diǎn)擊“確定”按鈕。任務(wù)4.3.2配置瘦客戶端SSLVPN二、在ASAv防火墻上定義webvpn的端口轉(zhuǎn)發(fā)策略并在組策略中應(yīng)用（一）圖形界面的配置

1.在外網(wǎng)的Win7上運(yùn)行ASDM，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點(diǎn)擊“Apply”按鈕。允許無(wú)客戶端SSLVPN從防火墻外網(wǎng)接口連接。

2.如圖4-3-5所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>Portal>PortForwarding>點(diǎn)擊“Add”按鈕>在“AddPortForwardingEntry”對(duì)話框的“ListName”中輸入自定義名稱(chēng)“pforward1”>點(diǎn)擊“Add”按鈕>在“AddPortForwardingEntry”對(duì)話框中>為“LocalTCPPort”欄輸入“54321”>為“RemoteServer”欄輸入“”>為“RemoteTCPPort”欄輸入“3389”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。

圖4-3-5SSLVPN瘦客戶端方式的配置13.如圖4-3-6所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>點(diǎn)擊“Add”按鈕>在“AddInternalGroupPolicy”對(duì)話框中，保留該新建的組策略的默認(rèn)名稱(chēng)“GroupPolicy1”>點(diǎn)擊左側(cè)的“Portal”分支>在右側(cè)的“PortForwardingControl”欄中，去掉“Inherit”選項(xiàng)前的復(fù)選框，保留出現(xiàn)的“pforward1”值>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-6SSLVPN瘦客戶端方式的配置24.如圖4-3-7所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>選中“GroupPolicy1”>點(diǎn)擊“Assign”按鈕>勾選“user1”>點(diǎn)擊“OK”按鈕>點(diǎn)擊“Apply”按鈕。圖4-3-7SSLVPN瘦客戶端方式的配置3（二）字符界面的配置與圖形界面類(lèi)似，可用字符界面實(shí)現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config)#enableOutsideciscoasa(config-webvpn)#port-forwardpforward1543213389//其中，54321是防火墻上的端口號(hào)，3389是內(nèi)網(wǎng)Web服務(wù)器的端口號(hào)。端口轉(zhuǎn)發(fā)策略將在后面定義的組策略中應(yīng)用。ciscoasa(config-webvpn)#exitciscoasa(config)#group-policyGroupPolicy1internal//因?yàn)榻M策略配置在ASA本地，所以組策略的類(lèi)型選擇Internal。ciscoasa(config)#group-policyGroupPolicy1attributes//定義組策略屬性，放入VPN策略；隨后再把組策略關(guān)聯(lián)給用戶。ciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#port-forwardenablepforward1ciscoasa(config-group-webvpn)#exitciscoasa(config-group-policy)#exitciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy1三、外網(wǎng)計(jì)算機(jī)win7的配置1.確認(rèn)外網(wǎng)計(jì)算機(jī)win7上已經(jīng)安裝java運(yùn)行環(huán)境。因?yàn)橥饩W(wǎng)計(jì)算機(jī)Win7已經(jīng)恢復(fù)到了第二章實(shí)驗(yàn)時(shí)保存的快照（“J2RE和ASDM”已經(jīng)安裝的狀態(tài)），所以不需要重新安裝J2RE。若外網(wǎng)計(jì)算機(jī)win7還沒(méi)安裝32位的Java運(yùn)行環(huán)境，需要雙擊jre-8u101-windows-i586安裝包進(jìn)行安裝。注意，win2003不支持此版本的J2RE，所以外部計(jì)算機(jī)不要采用win2003操作系統(tǒng)。安裝完成后，在Win7的控制面板>程序中，可以看到“Java（32位）”程序。2.在外網(wǎng)計(jì)算機(jī)win7上為“Java（32位）”程序增加信任列表。方法是在外網(wǎng)計(jì)算機(jī)win7上依次找到：開(kāi)始菜單>控制面板>程序>Java（32位）>“安全”選項(xiàng)夾>在“例外站點(diǎn)”列表欄中點(diǎn)擊“編輯站點(diǎn)列表”按鈕>在“例外站點(diǎn)”列表對(duì)話框中點(diǎn)擊“添加”按鈕>輸入“54”>點(diǎn)擊“確定”按鈕>在“Java控制面板”中點(diǎn)擊“確定”按鈕。3.在外網(wǎng)計(jì)算機(jī)win7上為瀏覽器添加可信站點(diǎn)。方法是在外網(wǎng)計(jì)算機(jī)win7上打開(kāi)32位的IE瀏覽器，點(diǎn)擊“工具”菜單>“Internet選項(xiàng)”>“安全”選項(xiàng)卡>選擇“可信站點(diǎn)”>點(diǎn)擊“站點(diǎn)”按鈕>在“將該網(wǎng)站添加到區(qū)域”欄中輸入“54”>點(diǎn)擊“添加”按鈕>點(diǎn)擊“關(guān)閉”按鈕>點(diǎn)擊“確定”按鈕。四、在外網(wǎng)計(jì)算機(jī)win7上通過(guò)SSLVPN控制內(nèi)網(wǎng)服務(wù)器1.在外部計(jì)算機(jī)上，打開(kāi)32位的IE瀏覽器，輸入54，使用用戶名user1和密碼cisco@1234進(jìn)行登錄。2.如圖4-3-8所示，選擇“ApplicationAccess”，再選擇“StartApplications”。圖4-3-8SSLVPN的瘦客戶端方式訪問(wèn)界面3.出現(xiàn)如圖4-3-9所示的成功連接提示。此時(shí)，若外網(wǎng)計(jì)算機(jī)Win7通過(guò)遠(yuǎn)程桌面連接:54321時(shí)，將重定向到內(nèi)網(wǎng)服務(wù)器的:3389。圖4-3-9SSLVPN的瘦客戶端方式成功界面4.在外部計(jì)算機(jī)Win7上，打開(kāi)開(kāi)始菜單>所有程序>遠(yuǎn)程桌面連接，在“連接到計(jì)