隨着現在互聯網的飛速發展,企業規模也越來越大,一些分支企業、在外辦公以及SOHO一族們,需要隨時隨地的接入到我們企業的網絡中,來完成我們一些日常的工作,這時我們***在這裏就成了一個比較重要的一個角色了。
SSL ***設備有很多。如Cisco 路由器、Cisco PIX防火牆、Cisco ASA 防火牆、Cisco ***3002 硬件客戶端或軟件客戶端。這極大地簡化了遠程端管理和配置。說的簡單點就是在Server 端配置複雜的策略和密鑰管理等命令,而在我們的客戶端上只要配置很簡單的幾條命令就能和Server端建立***鏈路的一種技術,主要的目的當然就是簡化遠端設備的配置和管理。
那麼今天我們看看我們要實現的是SSL ***,那什麼是SSL ***呢?
SSL ***是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與複雜的IPSec ***相比,SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL ***, 這是因爲SSL 內嵌在瀏覽器中,它不需要象傳統IPSec ***一樣必須爲每一臺客戶機安裝客戶端軟件。
什麼是SSL ***?
從概念角度來說,SSL ***即指採用SSL (Security Socket Layer)協議來實現遠程接入的一種新型***技術。SSL協議是網景公司提出的基於WEB應用的安全協議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於內、外部應用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用於各種瀏覽器應用,也可以應用於Outlook等使用TCP協議傳輸數據的C/S應用。正因爲SSL 協議被內置於IE等瀏覽器中,使用SSL 協議進行認證和數據加密的SSL ***就可以免於安裝客戶端。相對於傳統的IPSEC ***而言,SSL ***具有部署簡單,無客戶端,維護成本低,網絡適應強等特點,這兩種類型的***之間的差別就類似C/S構架和B/S構架的區別。
一般而言,SSL ***必須滿足最基本的兩個要求:
1. 使用SSL 協議進行認證和加密;沒有采用SSL 協議的***產品自然不能稱爲SSL ***,其安全性也需要進一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨立的客戶端;即使使用了SSL 協議,但仍然需要分發和安裝獨立的***客戶端 (如Open ***)不能稱爲SSL ***,否則就失去了SSL ***易於部署,免維護的優點了。
SSL ***的特點
SSL ***的客戶端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中,因此不需要再次安裝;
SSL ***可在NAT代理裝置上以透明模式工作;
SSL ***不會受到安裝在客戶端與服務器之間的防火牆等NAT設備的影響,穿透能力強;
SSL ***將遠程安全接入延伸到IPSec ***擴展不到的地方,使更多的員工,在更多的地方,使用更多的設備,安全訪問到更多的企業網絡資源,同時降低了部署和支持費用; 客戶端安全檢查和授權訪問等操作,實現起來更加方便。
SSL ***可以在任何地點,利用任何設備,連接到相應的網絡資源上。IPSec ***通常不能支持複雜的網絡,這是因爲它們需要克服穿透防火牆、IP地址衝突等困難。所以IPSec ***實際上只適用於易於管理的或者位置固定的地方。可以說從功能上講,SSL ***是企業遠程安全接入的最佳選擇。
但是雖然SSL ***具有以上衆多的優點,卻由於SSL協議本身的侷限性,使得性能遠低於使用IPSec協議的設備。用戶往往需要在簡便使用與性能之間進行痛苦選擇。這也是第二代***始終無法取代第一代***的原因。
SSL ***的優點
1、方便。實施ssl ***之需要安裝配置好中心網關即可。其餘的客戶端是免安裝的,因此,實施工期很短,如果網絡條件具備,連安裝帶調試,1-2天即可投入運營。
2、容易維護。ssl *** 維護起來簡單,出現問題,就維護網關就可以了。實在不行,換一臺,如果有雙機備份的話,備份機器啓動就可以了。
3、安全。ssl *** 是一個安全協議,數據全程加密傳輸的。另外,由於ssl網關隔離了內部服務器和客戶端,只留下一個web瀏覽接口,客戶端的大多數病毒***感染不倒內部服務器。而ipsec *** 就不一樣,實現的是ip級別的訪問,遠程網絡和本地網絡幾乎沒有區別。局域網能夠傳播的病毒,通過***一樣能夠傳播。
那麼我們也瞭解了這麼多了,我們來看看如何配置它呢?
第一步:配置身份證書
在這裏我們生成一個名爲ssl***keypair的自簽名證書,並將這個自答名證書應用在“outside”接口上面。默認情況下,我們的安全設備每次重新啓動以後,都全重新生成我們的證書,這個證書我們也可以從廠商購買自己的證書,這個證書即使我們的網絡設備重啓了它仍然存在。
|
//生成一個RSA密鑰的證書,該名稱是是唯一的。
CISCOASA(config)# crypto key generate rsa label ssl***keypair
INFO: The name for the keys will be: ssl***keypair
Keypair generation process begin. Please wait...
//建立一個自我信任點頒發的證書
CISCOASA(config)# crypto ca trustpoint localtrust
CISCOASA(config-ca-trustpoint)# enrollment self
CISCOASA(config-ca-trustpoint)# fqdn ssl***.cisco.com
CISCOASA(config-ca-trustpoint)# subject-name CN=ssl***.cisco.com
CISCOASA(config-ca-trustpoint)# keypair ssl***keypair
CISCOASA(config-ca-trustpoint)# crypto ca enroll localtrust noconfirm
% The fully-qualified domain name in the certificate will be: ssl***.cisco.com
CISCOASA(config)# ssl trust-point localtrust outside |
第二步:將SSL ***客戶端映象上傳到ASA
用戶可以從思科的網站(cisco.com)獲得客戶端映象。在選擇要下載哪個映象給TFTP服務器時,記住你需要爲用戶所使用的每種操作系統下載單獨的映象。在選擇並下載客戶端軟件後,就可以將其TFTP到ASA。如果沒有的話,我可以提供一個給大家測試用用。
|
CISCOASA(config)# copy tftp://192.168. 1.50/sslclient-win-1.1.3.173.pkg flash |
在將文件上傳到ASA之後,配置一下這個文件,使其可用作Web ***會話.注意,如果你有多個客戶端,就應當配置最常用的客戶,使其擁有最高的優先權。在本文中,我們將僅使用一個客戶端併爲其設置優先權爲1:
|
CISCOASA(config)# web***
CISCOASA(config-web***)# svc p_w_picpath disk0:/sslclient-win-1.1.3.173.pkg 1
INFO: Image does not contain head-end configuration. |
第三步:啓用SSL ***訪問
如何不啓用的話,那麼我們輸入網址將打不開該SSL ***的頁面。
|
CISCOASA(config-web***)# enable outside
CISCOASA(config-web***)# svc enable
CISCOASA(config-web***)# exit |
第四步:建立SSL ***撥號地址池
遠程訪問客戶端需要在登錄期間分配一個IP地址,所以我們還需要爲這些客戶端建立一個DHCP地址池,不過如果你有DHCP服務器,還可以使用DHCP服務器。
|
CISCOASA(config)# ip local pool SSLClientPool 192.168.10.1-192.168.10.100 mask 255.255.255.0 |
第五步:創建組策略
組策略用於指定應用於所連接客戶端的參數。在本文中,我們將創建一個稱之爲SSLCLientPolicy的組策略。
|
CISCOASA(config)# group-policy SSLCLientPolicy internal
CISCOASA(config)# group-policy SSLCLientPolicy attributes
CISCOASA(config-group-policy)# dns-server value 61.139.2.69
CISCOASA(config-group-policy)# ***-tunnel-protocol svc
CISCOASA(config-group-policy)# default-domain value tsweb.local
CISCOASA(config-group-policy)# address-pools value SSLClientPool
CISCOASA(config-group-policy)# exit |
第六步:配置訪問列表旁路
通過使用sysopt connect命令,我們告訴ASA准許SSL/IPsec客戶端繞過接口的訪問列表
|
CISCOASA(config)# sysopt connection permit-*** |
第七步:創建連接配置文件和隧道組
在遠程訪問客戶端連接到ASA時,也就連接到了connection profile連接配置文件,也稱爲隧道組。我們將用這個隧道組來定義其使用的特定連接參數。在本文中,我們將配置這些遠程訪問客戶端使用Cisco SSL ***客戶端,不過,你還可以配置隧道組使用IPsec、L2L等。
首先,創建隧道組SSL 客戶端:
|
CISCOASA(config)# tunnel-group SSLClientProfile type remote-access |
下一步就是給這個SSL ***隧道分配特定的屬性
|
CISCOASA(config)# tunnel-group SSLClientProfile general-attributes
CISCOASA(config-tunnel-general)# default-group-policy SSLCLientPolicy
CISCOASA(config-tunnel-general)# tunnel-group SSLClientProfile web***-attributes
CISCOASA(config-tunnel-web***)# group-alias SSL***Client enable
CISCOASA(config-tunnel-web***)# exit |
在上在group-alias後面的SSL***Client這個就是我們在登陸頁面提示進行登錄時看見的組。(如下圖:)
第八步:將隧道組列表在web***中開啓
開啓之後,在我們登錄的時候纔會有“GROUP”,如果沒有開啓的話,在上圖就沒有“GROUP”這個列表。
|
CISCOASA(config)# web***
CISCOASA(config-web***)# tunnel-group-list enable
CISCOASA(config-web***)# exit |
第九步:配置NAT免除
現在,我們需要告訴ASA不要對遠程訪問客戶端和要訪問的內部網絡之間的通信進行網絡地址轉換
(NAT)。首先,我們要創建一個可定義通信的訪問列表,然後,我們將此列表用於接口的NAT語句:
|
CISCOASA(config)# access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.0.0.0 192.168.10.0 255.255.255.0
CISCOASA(config)# nat (inside) 0 access-list inside_nat0_outbound |
第十步:配置用戶賬戶
現在我們已經爲配置用戶賬戶做好了準備。在此,我們要創建一個用戶並且將此用戶指派給我們的SSL ***:
|
CISCOASA(config)# username liuty password yjtfpddc
CISCOASA(config)# username liuty attributes
CISCOASA(config-username)# service-type remote-access
CISCOASA(config-username)# exit |
第十一步:保存
|
CISCOASA(config)# write memory |
好了,上面設置就差不多了。那麼我們現在打開網站來試試看。
打開IE瀏覽器輸入https://xxx.xxx.xxx.xxx/如果你的是IP地址那麼XXX就輸入IP地址,如果有域名就輸入域名。打開以後,會出現一個安全警報,這裏直接點擊“是”。
打開我們的SSL ***界面如下:
從上圖我們可以看見,在login下面選擇我們SSL***的組,再輸入組下面的用戶名及密碼。來進行登錄。
當我們用戶名及密碼認證成功以後,就會進入下面這個頁面,進行activeX下載及安裝。
在這裏如果你的計算機安裝了JAVA虛擬機的話會提示出來窗口。並且JAVA虛擬機會自動幫你下載及安裝。
因爲我們站點名稱與我們開始生成的證書的名稱不一致導致的,這裏不用管它,直接點擊“是”這時候我們的JAVA虛擬機就會自動來幫我們下載及安裝。
如果我們的PC上面沒有安裝JAVA虛擬機的話,我們就需要自己手動安裝一下,安裝圖片如下:
當我們安裝完Cisco SSL *** Client以後,會自動給我們連接。
在我們連接的時候會提示我們安裝證書,如下圖:
這裏我們點擊“是”來進行證書的安裝。
點擊“安裝證書”進入“證書安裝嚮導”
點擊“下一步”,進入“證書存儲”
而我們這裏就使用默認值“根據證書類型,自動選擇證書存儲區”,然後點擊“下一步”進入“正在完成證書導入嚮導”
點擊“完成”,證書導入成功。
這裏他提示說我們安裝的證書在我們***證書服務器上面沒有找到。所以所示錯誤,這裏不用管他,直接點擊“是”。就開始我們SSL ***的連接。
當連接成功以後,SSL *** CLINET for WEB***就會自動消息。而在我們通知區域會顯示一把點鑰匙。
而只要當我SSL ***一連成功以後,我的QQ以及飛信就立刻掉線了。如下圖:
這時我們可以點擊右鍵看看他的一些狀態信息。
右擊小鑰匙,我們可以看見有四個選項,我們這裏選擇“Statistics”查看狀態信息。如下圖:
從上圖我們可以看見,其實這個界面與我們Cisco *** Client軟件的狀態信息都差不多。
從上圖我們可以看見Server端的IP地址,以及Client所分配得到的IP地址。在這裏我們還可以看見一些SSL的信息。
下面我們再來看看Route Details。
從這裏我們可以看見,我們所有的數據都走向我們SSL ***服務端去了。所以我們現在就只能訪問SSL ***服務端的網絡了。但是我自己這邊的網絡以及互聯網都不能訪問,這樣我們就非常不方便。那麼我們如何來解決這個問題呢?我們在這裏就必須使用隧道分離技術了。那麼下面我們來看看隧道分離如何配置呢?
|
CISCOASA(config)# access-list ***client_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
CISCOASA(config)# group-policy SSLCLientPolicy attributes
CISCOASA(config-group-policy)# split-tunnel-policy tunnelspecified
CISCOASA(config-group-policy)# split-tunnel-network-list value ***client_splitTunnelAcl
CISCOASA(config-group-policy)# exit |
當我們將這幾條隧道分離設置好了以後呢,我們再撥號上來看看我們的路由狀態表。
我們從上面就可以看見,只有去往10.0.0.0/8這個網段的才走我們的SSL ***,而其他數據還是走我這邊默認的網絡出去,這樣即不影響辦公,又不影響我們正常使用網絡。
下面我們來測方式
