在做實(shí)驗(yàn)之前讓我們先來(lái)了解一下SSL

在做實(shí)驗(yàn)之前讓我們先來(lái)了解一下SSLVPN。

目前市場(chǎng)上VPN產(chǎn)品很多，而且技術(shù)各異，就比如傳統(tǒng)的IPSecVPN來(lái)講，SSL能讓公司實(shí)現(xiàn)更多遠(yuǎn)程用戶在不同地點(diǎn)接入，實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪問(wèn)，且對(duì)客戶端設(shè)備要求低，因而降低了配置和運(yùn)行支撐成本。很多企業(yè)用戶采納SSLVPN作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。

SSLVPN提供增強(qiáng)的遠(yuǎn)程安全接入功能。IPSecVPN通過(guò)在兩站點(diǎn)間創(chuàng)建隧道提供直接（非代理方式）接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問(wèn)；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。這帶來(lái)很多安全風(fēng)險(xiǎn)，尤其是在接入用戶權(quán)限過(guò)大的情況下。SSLVPN提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶才能對(duì)資源進(jìn)行訪問(wèn)，這就安全多了。SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分，從而使得終端用戶能夠同時(shí)接入Internet和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源，也就是說(shuō)它具備可控功能。另外，SSLVPN還能細(xì)化接入控制功能，易于將不同訪問(wèn)權(quán)限賦予不同用戶，實(shí)現(xiàn)伸縮性訪問(wèn)；這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSecVPN來(lái)說(shuō)幾乎是不可能實(shí)現(xiàn)的。

SSLVPN基本上不受接入位置限制，可以從眾多Internet接入設(shè)備、任何遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò)資源。SSLVPN通信基于標(biāo)準(zhǔn)TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻。這使得用戶能夠從任何地方接入，無(wú)論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。IPSecVPN在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實(shí)現(xiàn)，因?yàn)樗茈y實(shí)現(xiàn)防火墻和NAT遍歷，無(wú)力解決IP地址沖突。另外，SSLVPN能實(shí)現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用PC或公共Internet接入場(chǎng)所，而IPSecVPN客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長(zhǎng)，遠(yuǎn)程接入IPSecVPN在訪問(wèn)控制方面受到極大挑戰(zhàn)，而且管理和運(yùn)行支撐成本較高，它是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)連接的最佳解決方案，但要實(shí)現(xiàn)任意位置的遠(yuǎn)程安全接入，SSLVPN要理想得多。

SSLVPN不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSecVPN需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類復(fù)雜的客戶端難于升級(jí)，對(duì)新用戶來(lái)說(shuō)面臨的麻煩可能更多，如系統(tǒng)運(yùn)行支撐問(wèn)題、時(shí)間開(kāi)銷問(wèn)題、管理問(wèn)題等。IPSec解決方案初始成本較低，但運(yùn)行支撐成本高。如今，已有SSL開(kāi)發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問(wèn)，就如同遠(yuǎn)程機(jī)器處于LAN中一樣；同時(shí)提供應(yīng)用層接入，進(jìn)行Web應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問(wèn)。了解了上述基本因素之后，下面我們將開(kāi)始實(shí)驗(yàn)：第一步，ASA的基本配置：Archasa(config)#inte0/0

Archasa(config-if)#nameifoutside

Archasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#inte0/1Archasa(config-if)#nameifinsideArchasa(config-if)#noshutArchasa(config-if)#exitArchasa(config)#webvpnArchasa(config-webvpn)#enableoutsideArchasa(config-webvpn)#svcimagedisk0:/sslclient-win-.169.pkgArchasa(config-webvpn)#svcenable#上述配置是在外網(wǎng)口上啟動(dòng)WEBVPN，并同時(shí)啟動(dòng)SSLVPN功能2、SSLVPN配置準(zhǔn)備工作#創(chuàng)建SSLVPN用戶地址池Archasa(config)#iplocalpoolssl-user#配置SSLVPN數(shù)據(jù)流不做NAT翻譯.0Archasa(config)#nat(inside)0access-listgo-vpn3、WEBVPN隧道組與策略組的配置#創(chuàng)建名為mysslvpn-group-policy的組策略Archasa(config)#group-policymysslvpn-group-policyinternalArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#vpn-tunnel-protocolwebvpnArchasa(config-group-policy)#webvpn#在組策略中啟用SSLVPNArchasa(config-group-webvpn)#svcenableArchasa(config-group-webvpn)#exitArchasa(config-group-policy)#exitArchasa(config)#

#創(chuàng)建SSLVPN用戶Archasa(config-webvpn)#usernametestpasswordwoaicisco#把mysslvpn-group-plicy策略賦予用戶testArchasa(config)#usernametestattributesArchasa(config-username)#vpn-group-policymysslvpn-group-policyArchasa(config-username)#exitArchasa(config)#tunnel-groupmysslvpn-grouptypewebvpnArchasa(config)#tunnel-groupmysslvpn-groupgeneral-attributes#使用用戶地址池Archasa(config-tunnel-general)#address-poolssl-userArchasa(config-tunnel-general)#exitArchasa(config)#tunnel-groupmysslvpn-groupwebvpn-attributesArchasa(config-tunnel-webvpn)#group-aliasgroup2enable

Archasa(config-tunnel-webvpn)#exitArchasa(config)#webvpnArchasa(config-webvpn)#tunnel-group-listenable4、配置SSLVPN隧道分離#注意，SSLVPN隧道分離是可選取的，可根據(jù)實(shí)際需求來(lái)做。#這里的源地址是ASA的INSIDE地址，目標(biāo)地址始終是ANYArchasa(config)#access-listsplit-sslextendedpermitiArchasa(config)#group-policymysslvpn-group-policyattributesArchasa(config-group-policy)#split-tunnel-policytunnelspecifiedArchasa(config-group-policy)#split-tunnel-network-list