一本伊大人香蕉久久网手机/欧洲一级视频/国产片尤物网站在线观看/被多个强壮的黑人灌满精 - 久久免费视频网

行業(yè)資訊
   
廣州IT外包-cisco防火墻vpn配置實戰(zhàn)
發(fā)布時間:2012-5-16
瀏覽人數(shù):3333

          cisco防火墻vpn方式有很多種,cisco 防火墻同時也支持用web撥入vpn,用戶只需要在有網(wǎng)絡(luò)的地方打開IE,輸入用戶名和密碼就可以通過vpn鏈接到公司內(nèi)網(wǎng)絡(luò)了。asa系列都可以支持web vpn的。
   
    目前市場上VPN產(chǎn)品很多,而且技術(shù)各異,就比如傳統(tǒng)的 IPSec VPN 來講, SSL 能讓公司實現(xiàn)更多遠程用戶在不同地點接入,實現(xiàn)更多網(wǎng)絡(luò)資源訪問,且對客戶端設(shè)備要求低,因而降低了配置和運行支撐成本。很多企業(yè)用戶采納 SSL VPN 作為遠程安全接入技術(shù),主要看重的是其接入控制功能。

   
    SSL VPN 提供增強的遠程安全接入功能。 IPSec VPN 通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入,實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建,用戶 PC 就如同物理地處于企業(yè) LAN 中。這帶來很多安全風(fēng)險,尤其是在接入用戶權(quán)限過大的情況下。 SSL VPN 提供安全、可代理連接,只有經(jīng)認證的用戶才能對資源進行訪問,這就安全多了。 SSL VPN 能對加密隧道進行細分,從而使得終端用戶能夠同時接入 Internet 和訪問內(nèi)部企業(yè)網(wǎng)資源,也就是說它具備可控功能。另外, SSL VPN 還能細化接入控制功能,易于將不同訪問權(quán)限賦予不同用戶,實現(xiàn)伸縮性訪問;這種精確的接入控制功能對遠程接入 IPSec VPN 來說幾乎是不可能實現(xiàn)的。
   
    SSL VPN 基本上不受接入位置限制,可以從眾多 Internet 接入設(shè)備、任何遠程位置訪問網(wǎng)絡(luò)資源。 SSL VPN 通信基于標準 TCP/UDP 協(xié)議傳輸,因而能遍歷所有 NAT 設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入,無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后,或是寬帶連接中。 IPSec VPN 在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實現(xiàn),因為它很難實現(xiàn)防火墻和 NAT 遍歷,無力解決 IP 地址沖突。另外, SSL VPN 能實現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入,如家用 PC 或公共 Internet 接入場所,而 IPSec VPN 客戶端只能從可管理或固定設(shè)備接入。隨著遠程接入需求的不斷增長,遠程接入 IPSec VPN 在訪問控制方面受到極大挑戰(zhàn),而且管理和運行支撐成本較高,它是實現(xiàn)點對點連接的最佳解決方案,但要實現(xiàn)任意位置的遠程安全接入, SSL VPN 要理想得多。
   
    SSL VPN 不需要復(fù)雜的客戶端支撐,這就易于安裝和配置,明顯降低成本。 IPSec VPN 需要在遠程終端用戶一方安裝特定設(shè)備,以建立安全隧道,而且很多情況下在外部(或非企業(yè)控制)設(shè)備中建立隧道相當困難。另外,這類復(fù)雜的客戶端難于升級,對新用戶來說面臨的麻煩可能更多,如系統(tǒng)運行支撐問題、時間開銷問題、管理問題等。 IPSec 解決方案初始成本較低,但運行支撐成本高。如今,已有 SSL 開發(fā)商能提供網(wǎng)絡(luò)層支持,進行網(wǎng)絡(luò)應(yīng)用訪問,就如同遠程機器處于 LAN 中一樣;同時提供應(yīng)用層接入,進行 Web 應(yīng)用和許多客戶端 / 服務(wù)器應(yīng)用訪問。
   
   
    第一步,ASA的基本配置:
   
    Archasa(config)# int e0/0
   
    Archasa(config-if)# ip add 192.168.0.1 255.255.255.0
   
    Archasa(config-if)# nameif outside
   
    Archasa(config-if)# no shut
   
    Archasa(config-if)# exit
   
    Archasa(config)# int e0/1
   
    Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
   
    Archasa(config-if)# nameif inside
   
    Archasa(config-if)# no shut
   
    Archasa(config-if)# exit
   
    Archasa(config)# webvpn
   
    Archasa(config-webvpn)# enable outside
   
    Archasa(config-webvpn)# svc image disk0:/sslclient-win-1.1.2.169.pkg
   
    Archasa(config-webvpn)# svc enable
   
   上述配置是在外網(wǎng)口上啟動WEBVPN,并同時啟動SSL VPN功能
2、SSL VPN配置準備工作
   
    #創(chuàng)建SSL VPN用戶地址池
   
    Archasa(config)# ip local pool ssl-user 10.10.10.1-10.10.10.50
   
    #配置SSL VPN數(shù)據(jù)流不做NAT翻譯
   
    Archasa(config)# access-list go-vpn permit ip 172.20.50.0 255.255.255.0 10.10.10.0
   
    255.255.255.0
   
    Archasa(config)# nat (inside) 0 access-list go-vpn
   
    3、WEB VPN隧道組與策略組的配置
   
    #創(chuàng)建名為mysslvpn-group-policy的組策略
   
    Archasa(config)# group-policy mysslvpn-group-policy internal
   
    Archasa(config)# group-policy mysslvpn-group-policy attributes
   
    Archasa(config-group-policy)# vpn-tunnel-protocol webvpn
   
    Archasa(config-group-policy)# webvpn
   
    #在組策略中啟用SSL VPN
   
    Archasa(config-group-webvpn)# svc enable
   
    Archasa(config-group-webvpn)# exit
   
    Archasa(config-group-policy)# exit
   
    Archasa(config)#
   
    #創(chuàng)建SSL VPN用戶
   
    Archasa(config-webvpn)# username test password woaicisco
   
    #把mysslvpn-group-plicy策略賦予用戶test
   
    Archasa(config)# username test attributes
   
    Archasa(config-username)# vpn-group-policy mysslvpn-group-policy
   
    Archasa(config-username)# exit
   
    Archasa(config)# tunnel-group mysslvpn-group type webvpn
   
    Archasa(config)# tunnel-group mysslvpn-group general-attributes
   
    #使用用戶地址池
   
    Archasa(config-tunnel-general)# address-pool ssl-user
   
    Archasa(config-tunnel-general)# exit
   
    Archasa(config)# tunnel-group mysslvpn-group webvpn-attributes
   
    Archasa(config-tunnel-webvpn)# group-alias group2 enable
   
    Archasa(config-tunnel-webvpn)# exit
   
    Archasa(config)# webvpn
   
    Archasa(config-webvpn)# tunnel-group-list enable
   
    4、配置SSL VPN隧道分離
   
    #注意,SSL VPN隧道分離是可選取的,可根據(jù)實際需求來做。
   
    #這里的源地址是ASA的INSIDE地址,目標地址始終是ANY
   
    Archasa(config)# access-list split-ssl extended permit ip 10.10.1.0 255.255.255.0 any
   
    Archasa(config)# group-policy mysslvpn-group-policy attributes
   
    Archasa(config-group-policy)# split-tunnel-policy tunnelspecified
   
    Archasa(config-group-policy)# split-tunnel-network-list value split-ssl
   
    基本上整個配置就完成了,以下是測試:
   
    在瀏覽器中輸入https://192.168.0.1訪問WEB VPN,在隨后彈出的對話框中輸入用戶名和密碼單擊登陸。
   
    這時系統(tǒng)會彈出要求安裝SSL VPN CLIENT程序,單擊"YES",系統(tǒng)自動安裝并連接SSLVPN,在SSLVPN連通之后在您的右下角的任務(wù)欄上會出現(xiàn)一個小鑰匙狀,你可以雙擊打開查看其狀態(tài)。

新聞資訊
聯(lián)系我們

聯(lián)系電話:020-87518715

聯(lián)系郵箱:services@picusit.com

公司名稱:廣州啄木鳥計算機服務(wù)有限公司

公司地址:廣州市天河區(qū)龍口西路100號中明大廈1601

熱線咨詢電話:

020-87518715

公司地址:
廣州市天河區(qū)龍口西路100號中明大廈1601
手機掃碼查看更多
如有問題咨詢請及時與我們溝通,我們會為您詳細解答!
Copyright ? 廣州啄木鳥計算機服務(wù)有限公司 地址:廣州市天河區(qū)龍口西路100號中明大廈1601

網(wǎng)站首頁

公司介紹

服務(wù)項目

成功案例

技術(shù)動態(tài)

聯(lián)系方式