思科ASA防火墙配置SSL远程VPN

🎉欢迎关注🔎点赞👍收藏⭐留言📝

📌本文由微笑的段嘉许原创！

📆51CTO首发时间：🌴2022年9月22日🌴

✉️坚持和努力一定能换来诗与远方！

🙏作者水平很有限，如果发现错误，一定要及时告知作者哦！感谢感谢！

⭐本文介绍⭐

使用SSL（Secure Socket Layer，安全套接层）；VPN可以更加方便地实现远程安全接入。SSL VPN不需要在用户计算机安装特殊软件，可以使用当前用户计算机地浏览器安全地访问公司内部服务器。SSL VPN除了浏览器外，还可以通过浏览器自动安装客户端软件到用户计算机上，本章主要介绍SSL VPN地原理，配置与实现。

📝理论讲解：

SSL VPN的工作原理

SSL VPN是一种新兴的技术，此技术通过网页浏览器的本地SSL加密，提供灵活、低成本的基于Internet 的远程访问解决方案。SSL VPN不需要在计算机中预先安装专用的客户端软件，任何可以访问Internet的计算机都能够建立SSL VPN会话，从而实现随时随地的网络访问。

SSL客户端的三种模式

1）无客户端模式：

无客户端模式其实并不是完全没有客户端，而是使用用户计算机上的Web浏览器进行远程访问，而不是其他软件

无客户端模式提供对网页资源的安全访问，以及基于网页内容的访问，无客户端模式还可以通过通用Internet文件系统（Common Internet System，CIFS）提供远程文件共享。CIFS在门户网站网页中列出一个文件服务器连接列表，从而使远程用户能够浏览列出的域、服务器、目录文件夹、文件等。无客户端模式的缺点是其只能保护Web流量

2）瘦客户端模式（也称为端口转发模式）

瘦客户端模式提供对基于TCP服务的远程访问，如邮局协议（Post Office Protocol POP）POP3、简单邮件传输协议（Simple Mail Transfer Protocol，SMTP），远程登陆（SSH）等。瘦客户端模式在建立SSL VPN应用程序动态得下载Java或者ActiveX程序到用户桌面，其允许一些非Web得程序通过SSL VPN进行传输。瘦客户端模式扩展了网页浏览器得加密功能。

3）胖客户端模式（也称为隧道模式或者全隧道客户端模式）

胖客户端模式提供对大量应用程序支持得远程访问，可以通过下载SSL VPN 客户端（SSL VPN Client，SVC）软件，提供对所有应用程序得全网络层（第3层）访问。使用胖客户端模式时，其客户端软件一般在客户端到中心站点建立SSL VPN后，动态下载安装到用户计算机上。

由于需要在用户计算机上安装客户端，所有用户必须拥有其计算机得管理员权限。若没有管理员权限则无法安装客户端，只能使用无客户端或者瘦客户端模式。

📢友情提示：

在选择实施SSL VPN时，应该根据客户端得需求和计算机环境选择合适得客户端模式。如果先择瘦客户端模式，需要查看厂商设备瘦客户端模式所支持得非Web程序列表是否满足企业需求。

SSL VPN得优缺点

SSL VPN对于使用Web浏览器与公司服务器进行相互访问的用户来说无疑是非常理想的。SSL VPN的优点主要体现在以下方面。

SSL VPN的无客户端、瘦客户端方式可以做到用户端无须安装任何软件（除Web浏览器等系统自带的软件外）。
可以从任何地方安全地访问公司内部服务器。
支持多种类型地浏览器。
用户不需要进行特殊地培训。
SSL VPN可以和地址转换设备一起使用。
可以对各种应用程序进行更加细致的控制。

由于SSL VPN是建立在TCP协议的基础之上，所以其加密内容为应用层内容，并且比较容易受到DOS等拒绝服务公鸡🐓。并且，SSL VPN对数据的验证功能仅使用TCP序列号进行数据验证，而IPsec VPN使用HMAC进行验证，比SSL VPN效果更好。对于IPsec VPN的配置方法已经在《 ASA防火墙和路由器配置IPsec VPN》一文中介绍过了，所以本文对于IPsec VPN理论和配置方面不再赘述，感兴趣的小伙伴可以参考上一篇文章。

SSL VPN与IPsec VPN比较

	SSL VPN	IPsec VPN（Easy vpn)
	只支持远程访问	支持站点到站点和远程访问（Easy VPN）
	进行证书验证	共享密钥、证书、RSA加密随机数
	只对TCP数据进行加密保护，容易受到公鸡🐓，未对第3层数据进行保护	使用隧道模式保护整个IP数据包；使用传输模式保护用户数据
	一般浏览器支持RC4、DES、3DES等加密算法，而SSL/TLS还支持RC2、AES等加密算法	支持DES、3DES、AES等加密算法
消息完整性	SSL使用TCP序列号验证完整性	IPSec使用HMAC验证数据完整性
	使用知名端口443，可以穿过一个地址转换设备	需要使用NAT-T增加IPsec的复杂度
	无客户端不需要特殊部署，需要有Web浏览器；瘦客户端需要安装Java/ActiveX的Web浏览器；胖客户端需要从页面安装客户端	Esay VPN需要为每个客户端安装客户端软件。站点到站点需要在双方设备进行相应的配置。另外，由于需要安装软件，所以只有厂商支持的操作系统才能安装使用

📢友情提示：

SSL VPN与IPsec VPN各有各的特点，在进行选择时应该根据实际企业环境进行部署，这两种VPN技术可以同时使用。例如，公司到分公司使用IPsec VPN配置为站点到站点，而对于经常出差的员工则使用SSL VPN访问公司内部服务器。使用哪种技术不仅仅是考虑企业的环境，也要考虑成本及企业未来的发展，选择最合适的技术而不一定是最新的技术。

📖实验配置与实现：

拓扑图：

📕推荐步骤：

PC机、防火墙、路由器Web_Server配置IP地址
ASA访问ISP的网站使用默认路由，R1访问ISP的网站使用默认路由，ISP访问PC1和PC2使用静态路由全网互通
ASA防火墙配置Easy VPN，PC2使用Easy VPN客户端访问PC1的网站服务

实验步骤：

一、PC机、防火墙、路由器Web_Server配置IP地址

1、PC1配置IP地址开启远程管理

1）给PC1接口配置IP地址

PC1(config)#no ip routing
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#ip address 192.168.10.2 255.255.255.0
PC1(config-if)#no shutdown
PC1(config-if)#exit
PC1(config)#ip default-gateway 192.168.10.1
PC1(config)#end
PC1#show ip inter b

2、ASA防火墙配置IP地址

1）SA接口配置IP地址

ASA1(config)#interface ethernet 0/0
ASA1(config-if)#nameif inside
ASA1(config-if)#ip address 192.168.10.1 255.255.255.0
ASA1(config-if)#no shutdown
ASA1(config-if)#exit

ASA1(config)#interface ethernet 0/1
ASA1(config-if)#nameif outside
ASA1(config-if)#ip address 192.168.20.1 255.255.255.0
ASA1(config-if)#no shutdown
ASA1(config-if)end
ASA1#show interface ip brief

3、给ISP路由器配置IP地址

1）给ISP接口配置IP地址

ISP(config)#interface fastEthernet 0/0
ISP(config-if)#ip address 192.168.20.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit

ISP(config)#interface fastEthernet 1/0
ISP(config-if)#ip address 192.168.30.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit

ISP(config)#interface fastEthernet 2/0
ISP(config-if)#ip address 192.168.40.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#end
ISP#show ip inter b

4、Web_Server配置IP地址地址开启网站功能

1）给Web_Server配置IP地址

WEB_Server(config)#interface fastEthernet 0/0
WEB_Server(config-if)#ip address 192.168.40.2 255.255.255.0
WEB_Server(config-if)#no shutdown
WEB_Server(config-if)#exit
WEB_Server(config)#ip default-gateway 192.168.40.1
WEB_Server(confiig)#end
WEB_Server#show ip inter b