用ASA931做SSL ***

1、拓撲圖

過程：
1、首先實現ASA931（虛擬機方式）實現連接
1、 用VMware打開防火牆的虛擬文件，然後開機
2、 打開named pipe tcp proxy，然後新建連接，連接的pipe用虛擬機的穿想得開管道名
3、用securecrt連接2002端口，就可以正常連接了，注意一點，虛擬機防火牆的的第一個端口爲管理接口，接下來做基本配置
ASA:
interface Management0/0
nameif mgmt
ip address 192.168.1.200 255.255.255.0
no shutdown4
4、開一臺電腦xp直接和管理接口連接，配置相同網段，並且能相互ping通，在xp上開tftpserver 後開始上傳anyconnect-win-4.3.05017-k9.pkg,上傳完後在ASAS上dir flash：或者dir disk0: 可以看到剛纔上傳的文件

2、設備的基本配置和主機的ip地址配置和服務搭建
ASA:
nterface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
no shut
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 100.0.0.1 255.255.255.0
no sh
route outside 0 0 100.0.0.2
R1：
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.0
no shut
interface FastEthernet0/1
ip address 200.0.0.1 255.255.255.0
no shut

host1：win2003 ip 192.168.100.2 gw 192.168.100.1
DNS WEB FTP 共享
host3:win7 ip 200.0.0.2 gw 200.0.0.1

3、開始在ASA防火牆上配置SSL ***
1、無客戶端模式
ASA# conf t
ASA(config)# web***
ASA(config-web***)# enable outside
ASA(config-web***)# exit
ASA(config)# username cisco password 123
ASA(config)# group-policy ***-group internal
\策略定義在本地，external定義在第三方服務器
ASA(config)# group-policy ***-group attributes
ASA(config-group-policy)# ***-tunnel-protocol ssl-clientless #asa8xx版本要用web***的隧道協議
ASA(config-group-policy)# exit
ASA(config)# tunnel-group ***-tunnel-group type web***
ASA(config)# tunnel-group ***-tunnel-group general-attributes
ASA(config-tunnel-general)# default-group-policy ***-group
ASA(config-tunnel-general)# authentication-server-group LOCAL
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***-tunnel-group web***-attributes
ASA(config-tunnel-web***)# group-alias groups enable
ASA(config-tunnel-web***)# exit
ASA(config)# web***
ASA(config-web***)# tunnel-group-list enable
ASA(config-web***)# no anyconnect-essentials
#asa8xx版本中不需要關閉此功能
ASA(config-web***)# exit
//anyconnect-essentials指的是***許可證
測試：
在客戶機上打開瀏覽器輸入https://100.0.0.1 輸入cisco 密碼123登錄
然後可以用http https ftp cifs方式訪問服務器了
如：http：//192.168.100.2
cifs://192.168.100.2

禁用無客戶端模式的訪問權限：
ASA (config)# group-policy ***_group attributes
ASA (config-group-policy)# web***
ASA (config-group-web***)# url-entry disable
ASA (config-group-web***)# file-entry disable

利用現有的ftp服務器上傳url文件
ASA# import web*** url-list url_list1 ftp://10.0.0.1/url_list1.xml
ASA# show import web*** url-list
ASA# conf t
ASA(config)# group-policy ***_group attributes
ASA(config-group-policy)# web***
ASA(config-group-web***)# url-list value url_list1

如果想要刪除url_list1，可執行下列兩條語句
ASA(config-group-web***)# no url-list value url_list1 \刪除
ASA(config-group-web***)# revert web*** url-list url_list1

驗證：
客戶端登陸到200.0.0.1，發現輸入地址的地方已經沒有了，只有指定的web1可以訪問
注意：
這種限制只對無客戶端有效，在胖客戶端下，由於用戶可以全網絡層訪問，所以客戶可以在連接成功後直接訪問所需的資源。
2、胖客戶端模式
ASA(config)# username ciscot password 123
ASA(config)# web*** \進入ssl ***配置視圖
ASA(config-web***)# enable outside \在outside接口啓用ssl ***功能
ASA(config-web***)# anyconnect-essentials
ASA(config-web***)# anyconnect image disk0:/anyconnect-win-4.3.05017-k9.pkg
ASA(config-web***)# anyconnect enable
ASA(config-web***)# tunnel-group-list enable \啓用下拉列表
ASA(config-web***)# exit
ASA(config)# ip local pool ssl***_pool 192.169.1.100-192.169.1.200
//定義組策略
ASA(config)# group-policy ***_group_policy internal \配置本地組策略屬性
ASA(config)# group-policy ***_group_policy attributes \配置組策略的屬性
ASA(config-group-policy)# ***-tunnel-protocol ssl-client ssl-clientless
ASA(config-group-policy)# web***
ASA(config-group-web***)# anyconnect ask enable \允許客戶端下載
ASA(config-group-web***)# exit
ASA(config-group-policy)# exit

//定義隧道組（第一個隧道組，組名爲***_group）
ASA(config)# tunnel-group ***_group type web*** \定義隧道組，類型爲ssl ***
ASA(config)# tunnel-group ***_group general-attributes \配置隧道組通用屬性
ASA(config-tunnel-general)# address-pool ssl***_pool \指定隧道組的地址池
ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定該組的組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***_group web***-attributes \定義隧道組的ssl ***屬性
ASA(config-tunnel-web***)# group-alias jishubu enable \爲該隧道組設置別名
ASA(config-tunnel-web***)# exit

//配置隧道分離和DNS分離
ASA(config)# access-list split_tunnel permit ip 10.0.0.0 255.255.255.0 any
ASA(config)# group-policy ***_group_policy attributes
ASA(config-group-policy)# split-tunnel-policy tunnelspecified

//配置隧道分離：tunnelspecified匹配的走隧道
tunnall 所有的都走隧道
untunnelspecified不匹配的走隧道

ASA(config-group-policy)# split-tunnel-network-list value split_tunnel
ASA(config-group-policy)# dns value 10.0.0.1 \設置dns分離
ASA(config-group-policy)# split-dns value benet.com \需要分離的域名
ASA(config-group-policy)# exit

//配置用戶屬於固定隧道組（第二個隧道組，組名爲***_group1）
ASA(config)# tunnel-group ***_group1 type web*** \設置第二個隧道則
ASA(config)# tunnel-group ***_group1 general-attributes \定義隧道通用屬性
ASA(config-tunnel-general)# address-pool ssl***_pool \設置地址池
ASA(config-tunnel-general)# default-group-policy ***_group_policy \指定組策略
ASA(config-tunnel-general)# exit
ASA(config)# tunnel-group ***_group1 web***-attributes \設置隧道的***屬性
ASA(config-tunnel-web***)# group-alias caiwubu enable \指定別名
ASA(config-tunnel-web***)# exit
ASA(config)# username cisco attributes \定義用戶屬性
ASA(config-username)# group-lock value ***_group \將用戶鎖定在***_group組中，這樣，該用戶就不能使用其他組的組名登錄

測試：
在客戶端第一次訪問還是用https://100.0.0.1，然後下載客戶端，並安裝（一定要有管理員權限），然後用客戶端連接就可以了，和easy ***的客戶端類似了
http：//192.168.100.2
ftp://192.168.100.2
\192.168.100.2