《计算机网络安全防护技术（第二版）》 课件 第4章 任务4.3.2 配置瘦客户端SSL VPN

第4章虚拟专用网技术编著：

秦燊劳翠金

任务4.3.2配置瘦客户端SSLVPN

无客户端的Web接入方式不需要客户端，适用于访问Web类资源。目前很多网络应用有各自的应用层协议和不同的Web浏览器客户端，需要使用瘦客户端的TCP接入方式。瘦客户端方式也称为端口转发方式。以远程桌面远程控制内网服务器为例，具体配置方法如下：一、内网Win2003服务器的配置1.为内网Win2003服务器的administrator帐户设置密码。2.为内网Win2003服务器开启3389远程桌面。方法是：右击“我的电脑”，选“属性”，再选择“远程”选项夹，勾选“远程桌面”框中的“启用这台计算机上的远程桌面”选项，点击“确定”按钮。任务4.3.2配置瘦客户端SSLVPN二、在ASAv防火墙上定义webvpn的端口转发策略并在组策略中应用（一）图形界面的配置

1.在外网的Win7上运行ASDM，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾选Outside接口>点击“Apply”按钮。允许无客户端SSLVPN从防火墙外网接口连接。

2.如图4-3-5所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>Portal>PortForwarding>点击“Add”按钮>在“AddPortForwardingEntry”对话框的“ListName”中输入自定义名称“pforward1”>点击“Add”按钮>在“AddPortForwardingEntry”对话框中>为“LocalTCPPort”栏输入“54321”>为“RemoteServer”栏输入“”>为“RemoteTCPPort”栏输入“3389”>点击“OK”按钮>点击“OK”按钮>点击“Apply”按钮。

图4-3-5SSLVPN瘦客户端方式的配置13.如图4-3-6所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>点击“Add”按钮>在“AddInternalGroupPolicy”对话框中，保留该新建的组策略的默认名称“GroupPolicy1”>点击左侧的“Portal”分支>在右侧的“PortForwardingControl”栏中，去掉“Inherit”选项前的复选框，保留出现的“pforward1”值>点击“OK”按钮>点击“Apply”按钮。图4-3-6SSLVPN瘦客户端方式的配置24.如图4-3-7所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>选中“GroupPolicy1”>点击“Assign”按钮>勾选“user1”>点击“OK”按钮>点击“Apply”按钮。图4-3-7SSLVPN瘦客户端方式的配置3（二）字符界面的配置与图形界面类似，可用字符界面实现同样的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config)#enableOutsideciscoasa(config-webvpn)#port-forwardpforward1543213389//其中，54321是防火墙上的端口号，3389是内网Web服务器的端口号。端口转发策略将在后面定义的组策略中应用。ciscoasa(config-webvpn)#exitciscoasa(config)#group-policyGroupPolicy1internal//因为组策略配置在ASA本地，所以组策略的类型选择Internal。ciscoasa(config)#group-policyGroupPolicy1attributes//定义组策略属性，放入VPN策略；随后再把组策略关联给用户。ciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#port-forwardenablepforward1ciscoasa(config-group-webvpn)#exitciscoasa(config-group-policy)#exitciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy1三、外网计算机win7的配置1.确认外网计算机win7上已经安装java运行环境。因为外网计算机Win7已经恢复到了第二章实验时保存的快照（“J2RE和ASDM”已经安装的状态），所以不需要重新安装J2RE。若外网计算机win7还没安装32位的Java运行环境，需要双击jre-8u101-windows-i586安装包进行安装。注意，win2003不支持此版本的J2RE，所以外部计算机不要采用win2003操作系统。安装完成后，在Win7的控制面板>程序中，可以看到“Java（32位）”程序。2.在外网计算机win7上为“Java（32位）”程序增加信任列表。方法是在外网计算机win7上依次找到：开始菜单>控制面板>程序>Java（32位）>“安全”选项夹>在“例外站点”列表栏中点击“编辑站点列表”按钮>在“例外站点”列表对话框中点击“添加”按钮>输入“54”>点击“确定”按钮>在“Java控制面板”中点击“确定”按钮。3.在外网计算机win7上为浏览器添加可信站点。方法是在外网计算机win7上打开32位的IE浏览器，点击“工具”菜单>“Internet选项”>“安全”选项卡>选择“可信站点”>点击“站点”按钮>在“将该网站添加到区域”栏中输入“54”>点击“添加”按钮>点击“关闭”按钮>点击“确定”按钮。四、在外网计算机win7上通过SSLVPN控制内网服务器1.在外部计算机上，打开32位的IE浏览器，输入54，使用用户名user1和密码cisco@1234进行登录。2.如图4-3-8所示，选择“ApplicationAccess”，再选择“StartApplications”。图4-3-8SSLVPN的瘦客户端方式访问界面3.出现如图4-3-9所示的成功连接提示。此时，若外网计算机Win7通过远程桌面连接:54321时，将重定向到内网服务器的:3389。图4-3-9SSLVPN的瘦客户端方式成功界面4.在外部计算机Win7上，打开开始菜单>所有程序>远程桌面连接，在“连接到计