cjh ASA防火墙 2022-08-21 此文章访问量 642

12.2.1 思科ASA：思科ASA的SSLVPN配置（无客户端模式）

asa1_2022.08.21.22时55分44秒.txt

isp_2022.08.21.22时55分59秒.txt

在ASA 上配置无客户端 SSL VPN (WebVPN).pdf.pdf

clientless: 无客户端

拓扑图

（1）PC1配置好WEB与FTP服务

（2.1）配置管理接口的ip地址、安全区域与配置ASDM访问

interface Ethernet0

nameif manager

security-level 90

ip address 10.12.5.5 255.255.0.0

no shutdown

（2.2）访问规则：允许所有

命令行配置：permit any any

ciscoasa(config)# access-list global_access_1 extended permit ip any any

ciscoasa(config)# access-group global_access_1 global

access-list global_access_1 extended permit ip any any

access-group global_access_1 global

（2.3）配置ASDM来管理ASA防火墙（图形化界面管理防火墙）

ciscoasa(config)# username admin password admin privilege 15 //创建15级帐户

ciscoasa(config)# http server enable

ciscoasa(config)# http 0.0.0.0 0.0.0.0 manager //开启http的访问的范围

username admin password admin privilege 15

http server enable

http 0.0.0.0 0.0.0.0 manager

（2.4）ASA配置业务接口

interface Ethernet1

nameif inside

security-level 80

ip address 192.168.1.254 255.255.255.0

no shutdown

interface Ethernet2

nameif outside

security-level 20

ip address 11.11.11.1 255.255.255.0

no shutdown

（2.5）ASA配置默认路由

route outside 0.0.0.0 0.0.0.0 11.11.11.254 1

（3）配置ISP路由器：

interface GigabitEthernet0/0

ip address 11.11.11.254 255.255.255.0

duplex auto

speed auto

media-type rj45

interface GigabitEthernet0/1

ip address 200.200.200.254 255.255.255.0

duplex auto

speed auto

media-type rj45

配置组策略使用SSL VPN为无客户端模式

（4.1）创建本地组策略名字g1

asa1(config)# group-policy g1 internal

（4.2）配置本地组策略属性

asa1(config)# group-policy g1 attributes

（4.3）配置SSL VPN为无客户端模式

asa1(config-group-policy)# vpn-tunnel-protocol ssl-client

asa1(config-group-policy)# vpn-tunnel-protocol ssl-client ssl-clientless

ASA1(config-group-policy)# exit

配置隧道组

（5.1）创建隧道组名字为g1，VPN类型为webvpn

asa1(config)# tunnel-group t1 type webvpn

（5.2）配置隧道组属性

asa1(config)# tunnel-group t1 general-attributes

（5.3）隧道组调用本地组测率

asa1(config-tunnel-general)# default-group-policy g1

（5.4）配置验证使用本地验证

asa1(config-tunnel-general)# authentication-server-group LoCAL

ASA1(config-tunnel-general)# exit

配置下拉列表

（6.1）隧道组指定下拉列表名字为benet.com

asa1(config)# tunnel-group t1 webvpn-attributes

asa1(config-tunnel-webvpn)# group-alias zh-cjh.com enable

（6.2）开启下俩列表

asa1(config)# webvpn

asa1(config-webvpn)# tunnel-group-list enable

（7）启用基于SSL协议的VPN连接

asa1(config)# webvpn

asa1(config-webvpn)# enable outside

INFO: WebVPN and DTLS are enabled on 'outside'.

asa1(config-webvpn)# exit

（8）设置SSL VPN验证账户密码

asa1(config)# username user1 password cisco privilege 0

asa1(config)#

（9）使用浏览器给访问SSL VPN

使用浏览器访问SSL VPN服务器

登录失败：

clientless(browser) ssl vpn access is not allowed

尝试登录失败后，浏览器中显示“Clientless (browser) SSL VPN access is not allowed.” （不允许无客户端（浏览器）SSL VPN 访问。）消息。如果显示“Premium AnyConnect license is not enabled on the ASA.”（ASA 上未启用高级 AnyConnect 许可证）消息，则表明 AnyConnect 高级版许可证未安装在 ASA 上或未使用。

解决方案

使用以下命令启用高级 AnyConnect 许可证：

asa1(config)# webvpn

asa1(config-webvpn)# no anyconnect-essentials

在PC2上测试：登录成功