《计算机网络安全防护技术（第二版）》 课件 第4章 任务4.3.1 配置无客户端SSL VPN.pptx

第4章虚拟专用网技术;SSL（SecureSocketsLayer，安全套接层）是一个工作在TCP与应用层之间的安全协议。它综合运用了各种加密技术，实现了私密性、信息完整性和身份认证等特性，可用于加密HTTP、邮件、VPN等。

第3章中介绍了SSL在加密HTTP方面的应用，下面，分别对无客户端SSLVPN，瘦客户端SSLVPN，厚客户端SSLVPN进行讲解。;如图4-3-1所示，打开EVE-NG，搭建实验拓扑。;无客户端的Web接入是SSLVPN最常见的接入方式，采用Web反向代理技术。具体配置如下：

一、外网Win7主机的配置

外网Win7主机用于模拟在外出差员工电脑，同时用作图形界面网管防火墙的电脑。方法是通过VMware打开第二章防火墙实验中的Win7网管电脑，将其恢复到第二章实验时保存的快照，即恢复到已经安装好“JRE和ASDM”状态的快照，并将IP地址等基本配置按新实验更改如下：

IP地址：

子网掩码:

缺省网关:不要配置

网络连接到：VMnet1

;二、内网服务器及外网电脑的配置

通过VMware打开第二章防火墙实验中的DMZ服务器Win2003，将其恢复到第二章实验时保存的快照，即已经安装好“IIS”状态的快照，并将IP地址等基本配置更改如下：

IP地址：

子网掩码：

缺省网关:54

网络连接到：VMnet2

在IIS中，停用之前的网站，并新建一个网站，本机上测试能正常访问。;三、路由器和防火墙的基本配置

1.路由器R1的基本配置，命令如下：

R1(config)#intg0/0

R1(config-if)#ipadd

R1(config-if)#noshu

R1(config)#intg0/1

R1(config-if)#ipadd54

R1(config-if)#noshu;2.防火墙的IP地址、接口命名、接口安全级别等配置，命令如下：

ciscoasa(config)#intg0/1

ciscoasa(config-if)#ipadd54

ciscoasa(config-if)#noshu

ciscoasa(config-if)#nameifOutside

INFO:SecuritylevelforOutsidesetto0bydefault.

ciscoasa(config-if)#intg0/0

ciscoasa(config-if)#ipadd54

ciscoasa(config-if)#noshu

ciscoasa(config-if)#nameifInside

INFO:SecuritylevelforInsidesetto100bydefault.

3.启用对ASAv防火墙的图形界面管理，命令如下：

ciscoasa(config)#httpserverenable

ciscoasa(config)#http00Outside;四、内网路由表的配置

内???有两个网段。内网路由器与两个网段都直连，无需配置路由表；防火墙只直连了内网的一个网段，需要为另一个网段配置静态路由，配置命令如下：

ciscoasa(config)#routeinside

五、检测防火墙的当前日期和时间，将其设置成与Win7电脑的日期和时间同步

ciscoasa(config)#showclock//查看当前日期和时间

ciscoasa(config)#clockset18:32:0030Dec2023//设置日期和时间;六、SSLVPN无客户端方式的配置

（一）图形界面的配置

1.在外网的Win7上，运行ASDM，输入防火墙外网接口地址54，用户名和密码留空，点击“OK”按钮，进入防火墙的图形管理界面。

2.如图4-3-2所示，找到ConfiguationRemmoteAccessVPNClientlessSSLVPNAccessConnectionProfiles在“EnableinterfacesforclientlessSSLVPNaccess”中勾选Outside接口点击“Apply”按钮。允许无客户端SSLVPN从防火墙外网接口连接。;3.如图4-3-3所示，找到ConfiguationRemmoteAccessVPNAAA/LocalUsersLocalUsers点击“Add”按钮创建新用户“user1”，密码设为“cisco@1234”点击“OK”按钮点击“Apply”按钮。

;（二）字符界面的配置

与图形界面类似，可用字符界面实现同样的功能，命令如下