《计算机网络安全防护技术（第二版）》 课件 第4章 任务4.3.3 配置厚客户端SSL VPN

第4章虚拟专用网技术编著：

秦燊劳翠金

任务4.3.3配置厚客户端SSLVPN

有些网络应用的通讯机制比较复杂，尤其是一些采用动态端口建立连接的通讯方式，往往需要SSLVPN解析应用层的协议报文才能确定通讯双方所要采用的端口，上述两种接入方式就没办法做到这点了，对于这些通讯机制比较复杂的网络应用，可采用厚客户端的IP接入方式，也称为网络扩展方式。厚客户端方式处于三层工作模型。下面以anyconnect客户端为例，具体配置方法如下：

一、内网Win2003服务器的配置与廋客户端方式SSLVPN实验的配置相同。

二、外网计算机win7的配置与廋客户端方式SSLVPN实验的配置相同。任务4.3.3配置厚客户端SSLVPN三、上传客户端到防火墙上传anyconnect客户端anyconnect-win-4.4.00243-webdeploy-k9.pkg到ASA防火墙，供客户第一次连接时自动下载安装。1.将anyconnect-win-4.4.00243-webdeploy-k9.pkg复制到外网Win7电脑的C:盘上。2.在ASDM图形管理界面，选择“Tools”菜单，然后选择“FileManagment...”。3.如图4-3-10所示，在弹出的“FileManagement”对话框中，选择“FileTransfer”，然后选择”BetweenLocalPCandFlash...“。图4-3-10

文件管理-文件传输14.如图4-3-11所示，在左侧的“LocalComputer”中选择C:盘中的“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件，然后点击“-->”按钮，将anyconnect客户端软件上传到ASA防火墙的disk0:中。5.在ASAv防火墙上，使用命令showflash:查看，可以看到anyconnect-win-4.4.00243-webdeploy-k9.pkg已经上传成功。命令如下：ciscoasa(config)#showflash:#length----date/time----path8430095556Dec11201803:55:22anyconnect-win-4.4.00243-webdeploy-k9.pkg图4-3-11

文件管理-文件传输2四、防火墙上的厚客户端方式SSLVPN配置（一）图形界面的配置1.如图4-3-12所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectClientSoftware>点击“Add”按钮>点击“BrowseFlash...”按钮>选中“anyconnect-win-4.4.00243-webdeploy-k9.pkg”文件>点击“OK”按钮>点击“OK”按钮>点击“Apply”按钮。图4-3-12

厚客户端方式SSLVPN配置12.如图4-3-13所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AnyConnectConnectionProfiles>勾选“EnableCiscoAnyConnectVPNClientaccessontheinterfacesselectedinthetablebelow”>勾选“Outside”的AllowAccess和EnableDTLS选项>点击“Apply”按钮。图4-3-13

厚客户端方式SSLVPN配置23.如图4-3-14所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>AddressPools>点击“Add”按钮>Name填写“pool1”>startingIPAddress填写“00”>EndingIPAddress填写“20”>SubnetMask填写“”>点击“OK”按钮>点击“Apply”按钮。图4-3-14

厚客户端方式SSLVPN配置34.如图4-3-15所示，找到Configuation>RemmoteAccessVPN>Network(Client)Access>GroupPolicies>点击“Add”按钮>Name保留默认值“GroupPolicy2”>AddressPools取消“Inherit”复选框，点击其后的“Select...”按钮>在弹出的“SelectAddressPools”对话框中选择“pool1”>点击“Assign”按钮>点击“OK”按钮>取消“TunnelingProtocols”后的“Inherit”复选框>勾选“ClientlessSSLVPN”复选框>勾选“SSLVPNClient”复选框>点击“OK”按钮>点击“Apply”按钮。图4-3-15

厚客户端方式SSLVPN配置45.如图4-3-16所示，选择“GroupPolicy2”，点击“Assign”按钮，勾选“user1”，点击“OK”按钮，点击“Apply”按钮。图4-3-16

厚客户端方式SSLVPN配置5（二）字符界面的配置与图形界面类似，可用字符界面实现同样的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config-webvpn)#enableOutsideciscoasa(config-webvpn)#anyconnectimageflash:/anyconnect-win-4.4.00243-webdeploy-k9.pkgciscoasa(config-webvpn)#anyconnectenableciscoasa(config-webvpn)#exitciscoasa(config)#iplocalpoolpool100-20mask//定义分配给客户端的IP地址池ciscoasa(config)#group-policyGroupPolicy2internalciscoasa(config)#group-policyGroupPolicy2attributesciscoasa(config-group-policy)#address-poolsvaluepool1ciscoasa(config-group-policy)#vpn-tunnel-protocolssl-clientssl-clientless//ssl-clientless包含了无客户端和瘦客户端。此命令用来限制用户能够使用哪些VPN的协议，默认除了ssl-client（即anyconnect），其它都允许。

ciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy2五、在外网的电脑win7上连接VPN1.在外部计算机上win7上，重新打开32位的IE浏览器，输入54，输入用户名“user1”和密码“cisco@1234”登录。2.如图4-3-17所示，点击“Anyconnect”，再点击“StartAnyConnect”。图4-3-17SSLVPNService–AnyConnect界面3.如图4-3-18所示，等待一段时间后，在出现的“如果您信任该网站和该加载项并打算安装该加载项，请点击这里……”上点击，选择“为此计算机上的所有用户安装此加载项”。图4-3-18

为此计算机上的所有用户安装此加载项4.如图4-3-19所示，在弹出的对话框中，点击“是”按钮。5.接着出现如图4-3-20所示的UntrustedServerBlocked信息，点击“ChangeSetting...”按钮。图4-3-19允许更改界面图4-3-20AnyConnectDownloader–UntrustedServerBlocked信息6.如图4-3-21所示，点击“ApplyChange”按钮。7.如图4-3-22所示，点击“retrytheconnection”链接。图4-3-21ChangetheSetting对话框图4-3-22Retrytheconnection选项框8.如图4-3-23所示，点击“ConnectAnyway”按钮。9.如图4-3-24所示，在弹出的对话框中，点击“是”按钮。图4-3-23UntrustedServerCertificate警告框图4-3-24UntrustedServerCertificate警告框10.如图4-3-25所示，出现成功连接提示和成功连接图标。图4