Cisco ASA Web VPN 配置詳解

在實(shí)驗(yàn)開始這前先來談一談ASA7.X系統(tǒng)中的默認(rèn)隧道組和組策略。
    ASA/PIX 7.x系統(tǒng)默認(rèn)在show run時(shí)不顯示默認(rèn)組策略和默認(rèn)隧道組，只有使用ASDM才能看到。下面列出在ASDM中看到的默認(rèn)值：
    默認(rèn)IPSec-l2l隧道組: DefaultL2LGroup
    默認(rèn)IPSec-ra隧道組: DefaultRAGroup
    默認(rèn)WebVPN隧道組: DefaultWEBVPNGroup
    默認(rèn)組策略: DfltGrpPolicy
    默認(rèn)組策略的默認(rèn)隧道協(xié)議: IPSec-l2l
    可以在命令行中直接對(duì)以上隧道組和組策略進(jìn)行編輯，ASA在加載WebVPN時(shí)默認(rèn)采用DefaultWEBVPNGroup，用戶自定義的WebVPN組必須在啟動(dòng) “tunnel-group-list”和“group-alias” 后才會(huì)出現(xiàn)。
    在下面的例子中，我沒有使用ASA的默認(rèn)隧道組，所以會(huì)有tunel-group-list和group-alias配置出現(xiàn)。
    1、WebVPN服務(wù)基本配置。
    Archasa(config)# int e0/0
    Archasa(config-if)# ip address 192.168.0.1 255.255.255.0
    Archasa(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    Archasa(config-if)# no shut
    Archasa(config-if)# exit!
    Archasa(config)# int e0/1
    Archasa(config-if)# ip add 172.20.59.10 255.255.255.0
    Archasa(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    Archasa(config-if)# no sh
    Archasa(config-if)# exit
    Archasa(config)# web*
    Archasa(config-web*)# enable outside
    #在外網(wǎng)接口上啟動(dòng)WebVPN!
    Archasa(config)# group-policy myweb*-group-policy ?
    configure mode commands/options:
     external Enter this keyword to specify an external group policy
     internal Enter this keyword to specify an internal group policy
    #此處需要選擇組策略的類型，因?yàn)槲覀兪菍⒉呗耘渲迷贏SA本地的，所以選擇Internal。
    Archasa(config)# group-policy myweb*-group-policy internal
    #創(chuàng)建了一個(gè)名為myweb*-group-policy的Internal類型Policy。
    Archasa(config)# group-policy myweb*-group-policy ?
    configure mode commands/options:
     attributes Enter the attributes sub-command mode
     external Enter this keyword to specify an external group policy
     internal Enter this keyword to specify an internal group policy
    #組策略一旦創(chuàng)建，命令行參數(shù)中就會(huì)多出attributes選項(xiàng)，這是用于后面定義具體的組策略用的，目前可以保留為空。
    Archasa(config)# username test password woaicisco
    #創(chuàng)建一個(gè)本地用戶
    Archasa(config)# username test attributes
    Archasa(config-username)# *-group-policy myweb*-group-policy
    #將用戶加入剛才創(chuàng)建的VPN策略組中
    注意：ASA也支持為每用戶定義單獨(dú)的策略，即不用將用戶加入特定的VPN策略組，直接賦予權(quán)限。
    注意：不過這是不推薦的，因?yàn)檫@樣配置的可擴(kuò)展性太差。
    Archasa(config)# tunnel-group myweb*-group type web*
    #創(chuàng)建一個(gè)名為myweb*-group的web*隧道組。
    Archasa(config)# tunnel-group myweb*-group general-attributes
    Archasa(config-tunnel-general)# authentication-server-group LOCAL
    #定義該隧道組用戶使用的認(rèn)證服務(wù)器，這里為本地認(rèn)證
    Archasa(config)# web*
    Archasa(config-web*)# tunnel-group-list enable
    #啟動(dòng)組列表，讓用戶在登陸的時(shí)候可以選擇使用哪個(gè)組進(jìn)行登陸
    Archasa(config)# tunnel-group myweb*-group web*-attributes
    Archasa(config-tunnel-web*)# group-alias group1 enable
    #為改組定義別名，用于顯示給用戶進(jìn)行選擇。
    #到此為止，WebVPN基本配置完畢，可以開始讓外網(wǎng)用戶使用瀏覽器測(cè)試了。
    WebVPN擴(kuò)展功能
    在實(shí)現(xiàn)WebVPN的基本功能以后，我們來看看WebVPN的擴(kuò)展功能。主要包含以下三部分：
    1、文件服務(wù)器瀏覽
    2、自定義url-list
    3、port-forward
    1、文件服務(wù)器瀏覽
    File-access功能可以讓W(xué)ebVPN用戶使用windows共享來訪問內(nèi)網(wǎng)的Windows文件服務(wù)器。
    用戶要使用File-access功能，必須具備file-access file-entry file-browsing權(quán)限。
    注意：用戶默認(rèn)具備url-entry權(quán)限，即可以用url訪問內(nèi)網(wǎng)的web網(wǎng)頁(yè)。
    Archasa(config)# group-policy myweb*-group-policy attributes
    Archasa(config-group-policy)# web*
    Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing
    輸入\172.20.59.11以后可以訪問到內(nèi)網(wǎng)的共享資源。2、自定義url-list
    Archasa(config)# url-list mylist "Test Home Page" http://172.20.59.12
    Archasa(config)# url-list mylist "Test Site 2" http:// 172.20.59.12
    Archasa(config)# group-policy myweb*-group-policy attributes
    Archasa(config-group-web*)# url-list value mylist
    3、自定義port-forward
    port-forward可以讓W(xué)ebVPN用戶在外網(wǎng)通過WebVPN使用內(nèi)網(wǎng)的非HTTP服務(wù)。
    Archasa(config)# port-forward port-forward-list 2323 192.20.59.11 23
    Archasa(config)# group-policy myweb*-group-policy attributes
    Archasa(config-group-policy)# web*
    Archasa(config-group-web*)# functions url-entry file-access file-entry file-browsing port-forward
    Archasa(config-group-web*)# port-forward value port-forward-list
    經(jīng)過上面的配置以后，WebVPN用戶加載WebVPN提供的JAVA App，就可以通過telnet到自身的2323端口登陸到內(nèi)網(wǎng)服務(wù)器的23端口。