《计算机网络安全防护技术（第二版）》 课件 第4章 任务4.3.1 配置无客户端SSL VPN

第4章虚拟专用网技术编著：

秦燊劳翠金

任务4.3.1配置无客户端SSLVPN

SSL（SecureSocketsLayer，安全套接层）是一个工作在TCP与应用层之间的安全协议。它综合运用了各种加密技术，实现了私密性、信息完整性和身份认证等特性，可用于加密HTTP、邮件、VPN等。

第3章中介绍了SSL在加密HTTP方面的应用，下面，分别对无客户端SSLVPN，瘦客户端SSLVPN，厚客户端SSLVPN进行讲解。4.3SSLVPN

如图4-3-1所示，打开EVE-NG，搭建实验拓扑。任务4.3.1配置无客户端SSLVPN图4-3-1SSLVPN实验拓扑图

无客户端的Web接入是SSLVPN最常见的接入方式，采用Web反向代理技术。具体配置如下：

一、外网Win7主机的配置外网Win7主机用于模拟在外出差员工电脑，同时用作图形界面网管防火墙的电脑。方法是通过VMware打开第二章防火墙实验中的Win7网管电脑，将其恢复到第二章实验时保存的快照，即恢复到已经安装好“JRE和ASDM”状态的快照，并将IP地址等基本配置按新实验更改如下：IP地址：子网掩码:缺省网关:不要配置网络连接到：VMnet1二、内网服务器及外网电脑的配置通过VMware打开第二章防火墙实验中的DMZ服务器Win2003，将其恢复到第二章实验时保存的快照，即已经安装好“IIS”状态的快照，并将IP地址等基本配置更改如下：IP地址：子网掩码：缺省网关:54网络连接到：VMnet2在IIS中，停用之前的网站，并新建一个网站，本机上测试能正常访问。三、路由器和防火墙的基本配置1.路由器R1的基本配置，命令如下：R1(config)#intg0/0R1(config-if)#ipaddR1(config-if)#noshuR1(config)#intg0/1R1(config-if)#ipadd54R1(config-if)#noshu2.防火墙的IP地址、接口命名、接口安全级别等配置，命令如下：ciscoasa(config)#intg0/1ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifOutsideINFO:Securitylevelfor"Outside"setto0bydefault.ciscoasa(config-if)#intg0/0ciscoasa(config-if)#ipadd54ciscoasa(config-if)#noshuciscoasa(config-if)#nameifInsideINFO:Securitylevelfor"Inside"setto100bydefault.3.启用对ASAv防火墙的图形界面管理，命令如下：ciscoasa(config)#httpserverenableciscoasa(config)#http00Outside四、内网路由表的配置内网有两个网段。内网路由器与两个网段都直连，无需配置路由表；防火墙只直连了内网的一个网段，需要为另一个网段配置静态路由，配置命令如下：ciscoasa(config)#routeinside五、检测防火墙的当前日期和时间，将其设置成与Win7电脑的日期和时间同步ciscoasa(config)#showclock//查看当前日期和时间ciscoasa(config)#clockset18:32:0030Dec2023//设置日期和时间六、SSLVPN无客户端方式的配置（一）图形界面的配置1.在外网的Win7上，运行ASDM，输入防火墙外网接口地址54，用户名和密码留空，点击“OK”按钮，进入防火墙的图形管理界面。2.如图4-3-2所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾选Outside接口>点击“Apply”按钮。允许无客户端SSLVPN从防火墙外网接口连接。图4-3-2SSLVPN无客户端方式的配置13.如图4-3-3所示，找到Configuation>RemmoteAccessVPN>AAA/LocalUsers>LocalUsers>点击“Add”按钮>创建新用户“user1”，密码设为“cisco@1234”>点击“OK”按钮>点击“Apply”按钮。图4-3-3SSLVPN无客户端方式的配置2（二）字符界面的配置与图形界面类似，可用字符界面实现同样的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideINFO:WebVPNandDTLSareenabledon'Outside'.ciscoasa(config-webvpn)#exitciscoasa(config)#usernameuser1passwordcisco@1234六、测试1.在外网的Win7电脑上，打开浏览器，输入54，访问防火墙的SSLVPN服务。2.出现“此网站的安全证书有问题”的提示时，点击“继续浏览此网站（不推荐）”继续。3.输入用户名user1及密码cisco@1234，点击“Login”按钮。用win7访问https是正常的，但若采用Win2003访问https会失败。这是因为win2003及其早期版本不支持SHA2，导致HTTPS交互失败。若要使用Win2003访问，解决的方法一是给win2003打上968730的补丁，重启win2003服务器；二是为win2003安装支持SHA2的浏览器，如：百度浏览器、oprea浏览器等。