《計算機網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第4章 任務(wù)4.3.3 配置厚客戶端SSL VPN

第4章虛擬專用網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)4.3.3配置厚客戶端SSLVPN

有些網(wǎng)絡(luò)應(yīng)用的通訊機制比較復(fù)雜，尤其是一些采用動態(tài)端口建立連接的通訊方式，往往需要SSLVPN解析應(yīng)用層的協(xié)議報文才能確定通訊雙方所要采用的端口，上述兩種接入方式就沒辦法做到這點了，對于這些通訊機制比較復(fù)雜的網(wǎng)絡(luò)應(yīng)用，可采用厚客戶端的IP接入方式，也稱為網(wǎng)絡(luò)擴(kuò)展方式。厚客戶端方式處于三層工作模型。下面以anyconnect客戶端為例，具體配置方法如下：

一、內(nèi)網(wǎng)Win2003服務(wù)器的配置與廋客戶端方式SSLVPN實驗的配置相同。

二、外網(wǎng)計算機win7的配置與廋客戶端方式SSLVPN實驗的配置相同。任務(wù)4.3.3配置厚客戶端SSLVPN三、上傳客戶端到防火墻上傳anyconnect客戶端anyconnect-win-4.4.00243-webdeploy-k9.pkg到ASA防火墻，供客戶第一次連接時自動下載安裝。1.將anyconnect-win-4.4.00243-webdeploy-k9.pkg復(fù)制到外網(wǎng)Win7電腦的C:盤上。2.在ASDM圖形管理界面，選擇“Tools”菜單，然后選擇“FileManagment...”。3.如圖4-3-10所示，在彈出的“FileManagement”對話框中，選擇“FileTransfer”，然后選擇”BetweenLocalPCandFlash...“。圖4-3-10

文件管理-文件傳輸14.如圖4-3-11所示，在左側(cè)的“LocalComputer”中選擇C:盤中的“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件，然后點擊“-->”按鈕，將anyconnect客戶端軟件上傳到ASA防火墻的disk0:中。5.在ASAv防火墻上，使用命令showflash:查看，可以看到anyconnect-win-4.4.00243-webdeploy-k9.pkg已經(jīng)上傳成功。命令如下：ciscoasa(config)#showflash:#length----date/time----path8430095556Dec11201803:55:22anyconnect-win-4.4.00243-webdeploy-k9.pkg圖4-3-11

文件管理-文件傳輸2四、防火墻上的厚客戶端方式SSLVPN配置（一）圖形界面的配置1.如圖4-3-12所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectClientSoftware>點擊“Add”按鈕>點擊“BrowseFlash...”按鈕>選中“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件>點擊“OK”按鈕>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-12

厚客戶端方式SSLVPN配置12.如圖4-3-13所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectConnectionProfiles>勾選“EnableCiscoAnyConnectVPNClientaccessontheinterfacesselectedinthetablebelow”>勾選“Outside”的AllowAccess和EnableDTLS選項>點擊“Apply”按鈕。圖4-3-13

厚客戶端方式SSLVPN配置23.如圖4-3-14所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AddressPools>點擊“Add”按鈕>Name填寫“pool1”>startingIPAddress填寫“00”>EndingIPAddress填寫“20”>SubnetMask填寫“”>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-14

厚客戶端方式SSLVPN配置34.如圖4-3-15所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>GroupPolicies>點擊“Add”按鈕>Name保留默認(rèn)值“GroupPolicy2”>AddressPools取消“Inherit”復(fù)選框，點擊其后的“Select...”按鈕>在彈出的“SelectAddressPools”對話框中選擇“pool1”>點擊“Assign”按鈕>點擊“OK”按鈕>取消“TunnelingProtocols”后的“Inherit”復(fù)選框>勾選“ClientlessSSLVPN”復(fù)選框>勾選“SSLVPNClient”復(fù)選框>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-15

厚客戶端方式SSLVPN配置45.如圖4-3-16所示，選擇“GroupPolicy2”，點擊“Assign”按鈕，勾選“user1”，點擊“OK”按鈕，點擊“Apply”按鈕。圖4-3-16

厚客戶端方式SSLVPN配置5（二）字符界面的配置與圖形界面類似，可用字符界面實現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideciscoasa(config-webvpn)#anyconnectimageflash:/anyconnect-win-4.4.00243-webdeploy-k9.pkgciscoasa(config-webvpn)#anyconnectenableciscoasa(config-webvpn)#exitciscoasa(config)#iplocalpoolpool100-20mask//定義分配給客戶端的IP地址池ciscoasa(config)#group-policyGroupPolicy2internalciscoasa(config)#group-policyGroupPolicy2attributesciscoasa(config-group-policy)#address-poolsvaluepool1ciscoasa(config-group-policy)#vpn-tunnel-protocolssl-clientssl-clientless//ssl-clientless包含了無客戶端和瘦客戶端。此命令用來限制用戶能夠使用哪些VPN的協(xié)議，默認(rèn)除了ssl-client（即anyconnect），其它都允許。

ciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy2五、在外網(wǎng)的電腦win7上連接VPN1.在外部計算機上win7上，重新打開32位的IE瀏覽器，輸入54，輸入用戶名“user1”和密碼“cisco@1234”登錄。2.如圖4-3-17所示，點擊“Anyconnect”，再點擊“StartAnyConnect”。圖4-3-17SSLVPNService–AnyConnect界面3.如圖4-3-18所示，等待一段時間后，在出現(xiàn)的“如果您信任該網(wǎng)站和該加載項并打算安裝該加載項，請點擊這里……”上點擊，選擇“為此計算機上的所有用戶安裝此加載項”。圖4-3-18

為此計算機上的所有用戶安裝此加載項4.如圖4-3-19所示，在彈出的對話框中，點擊“是”按鈕。5.接著出現(xiàn)如圖4-3-20所示的UntrustedServerBlocked信息，點擊“ChangeSetting...”按鈕。圖4-3-19允許更改界面圖4-3-20AnyConnectDownloader–UntrustedServerBlocked信息6.如圖4-3-21所示，點擊“ApplyChange”按鈕。7.如圖4-3-22所示，點擊“retrytheconnection”鏈接。圖4-3-21ChangetheSetting對話框圖4-3-22Retrytheconnection選項框8.如圖4-3-23所示，點擊“ConnectAnyway”按鈕。9.如圖4-3-24所示，在彈出的對話框中，點擊“是”按鈕。圖4-3-23UntrustedServerCertificate警告框圖4-3-24UntrustedServerCertificate警告框10.如圖4-3-25所示，出現(xiàn)成功連接提示和成功連接圖標(biāo)。圖4