《計算機網(wǎng)絡(luò)安全防護技術(shù)（第二版）》 課件 第4章 任務(wù)4.3.2 配置瘦客戶端SSL VPN

第4章虛擬專用網(wǎng)技術(shù)編著：

秦?zé)鰟诖浣?/p>

任務(wù)4.3.2配置瘦客戶端SSLVPN

無客戶端的Web接入方式不需要客戶端，適用于訪問Web類資源。目前很多網(wǎng)絡(luò)應(yīng)用有各自的應(yīng)用層協(xié)議和不同的Web瀏覽器客戶端，需要使用瘦客戶端的TCP接入方式。瘦客戶端方式也稱為端口轉(zhuǎn)發(fā)方式。以遠程桌面遠程控制內(nèi)網(wǎng)服務(wù)器為例，具體配置方法如下：一、內(nèi)網(wǎng)Win2003服務(wù)器的配置1.為內(nèi)網(wǎng)Win2003服務(wù)器的administrator帳戶設(shè)置密碼。2.為內(nèi)網(wǎng)Win2003服務(wù)器開啟3389遠程桌面。方法是：右擊“我的電腦”，選“屬性”，再選擇“遠程”選項夾，勾選“遠程桌面”框中的“啟用這臺計算機上的遠程桌面”選項，點擊“確定”按鈕。任務(wù)4.3.2配置瘦客戶端SSLVPN二、在ASAv防火墻上定義webvpn的端口轉(zhuǎn)發(fā)策略并在組策略中應(yīng)用（一）圖形界面的配置

1.在外網(wǎng)的Win7上運行ASDM，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>ConnectionProfiles>在“EnableinterfacesforclientlessSSLVPNaccess”中勾選Outside接口>點擊“Apply”按鈕。允許無客戶端SSLVPN從防火墻外網(wǎng)接口連接。

2.如圖4-3-5所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>Portal>PortForwarding>點擊“Add”按鈕>在“AddPortForwardingEntry”對話框的“ListName”中輸入自定義名稱“pforward1”>點擊“Add”按鈕>在“AddPortForwardingEntry”對話框中>為“LocalTCPPort”欄輸入“54321”>為“RemoteServer”欄輸入“”>為“RemoteTCPPort”欄輸入“3389”>點擊“OK”按鈕>點擊“OK”按鈕>點擊“Apply”按鈕。

圖4-3-5SSLVPN瘦客戶端方式的配置13.如圖4-3-6所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>點擊“Add”按鈕>在“AddInternalGroupPolicy”對話框中，保留該新建的組策略的默認名稱“GroupPolicy1”>點擊左側(cè)的“Portal”分支>在右側(cè)的“PortForwardingControl”欄中，去掉“Inherit”選項前的復(fù)選框，保留出現(xiàn)的“pforward1”值>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-6SSLVPN瘦客戶端方式的配置24.如圖4-3-7所示，找到Configuation>RemmoteAccessVPN>ClientlessSSLVPNAccess>GroupPolicies>選中“GroupPolicy1”>點擊“Assign”按鈕>勾選“user1”>點擊“OK”按鈕>點擊“Apply”按鈕。圖4-3-7SSLVPN瘦客戶端方式的配置3（二）字符界面的配置與圖形界面類似，可用字符界面實現(xiàn)同樣的功能，命令如下：ciscoasa(config)#webvpnciscoasa(config)#enableOutsideciscoasa(config-webvpn)#port-forwardpforward1543213389//其中，54321是防火墻上的端口號，3389是內(nèi)網(wǎng)Web服務(wù)器的端口號。端口轉(zhuǎn)發(fā)策略將在后面定義的組策略中應(yīng)用。ciscoasa(config-webvpn)#exitciscoasa(config)#group-policyGroupPolicy1internal//因為組策略配置在ASA本地，所以組策略的類型選擇Internal。ciscoasa(config)#group-policyGroupPolicy1attributes//定義組策略屬性，放入VPN策略；隨后再把組策略關(guān)聯(lián)給用戶。ciscoasa(config-group-policy)#webvpnciscoasa(config-group-webvpn)#port-forwardenablepforward1ciscoasa(config-group-webvpn)#exitciscoasa(config-group-policy)#exitciscoasa(config)#usernameuser1passwordcisco@1234ciscoasa(config)#usernameuser1attributesciscoasa(config-username)#vpn-group-policyGroupPolicy1三、外網(wǎng)計算機win7的配置1.確認外網(wǎng)計算機win7上已經(jīng)安裝java運行環(huán)境。因為外網(wǎng)計算機Win7已經(jīng)恢復(fù)到了第二章實驗時保存的快照（“J2RE和ASDM”已經(jīng)安裝的狀態(tài)），所以不需要重新安裝J2RE。若外網(wǎng)計算機win7還沒安裝32位的Java運行環(huán)境，需要雙擊jre-8u101-windows-i586安裝包進行安裝。注意，win2003不支持此版本的J2RE，所以外部計算機不要采用win2003操作系統(tǒng)。安裝完成后，在Win7的控制面板>程序中，可以看到“Java（32位）”程序。2.在外網(wǎng)計算機win7上為“Java（32位）”程序增加信任列表。方法是在外網(wǎng)計算機win7上依次找到：開始菜單>控制面板>程序>Java（32位）>“安全”選項夾>在“例外站點”列表欄中點擊“編輯站點列表”按鈕>在“例外站點”列表對話框中點擊“添加”按鈕>輸入“54”>點擊“確定”按鈕>在“Java控制面板”中點擊“確定”按鈕。3.在外網(wǎng)計算機win7上為瀏覽器添加可信站點。方法是在外網(wǎng)計算機win7上打開32位的IE瀏覽器，點擊“工具”菜單>“Internet選項”>“安全”選項卡>選擇“可信站點”>點擊“站點”按鈕>在“將該網(wǎng)站添加到區(qū)域”欄中輸入“54”>點擊“添加”按鈕>點擊“關(guān)閉”按鈕>點擊“確定”按鈕。四、在外網(wǎng)計算機win7上通過SSLVPN控制內(nèi)網(wǎng)服務(wù)器1.在外部計算機上，打開32位的IE瀏覽器，輸入54，使用用戶名user1和密碼cisco@1234進行登錄。2.如圖4-3-8所示，選擇“ApplicationAccess”，再選擇“StartApplications”。圖4-3-8SSLVPN的瘦客戶端方式訪問界面3.出現(xiàn)如圖4-3-9所示的成功連接提示。此時，若外網(wǎng)計算機Win7通過遠程桌面連接:54321時，將重定向到內(nèi)網(wǎng)服務(wù)器的:3389。圖4-3-9SSLVPN的瘦客戶端方式成功界面4.在外部計算機Win7上，打開開始菜單>所有程序>遠程桌面連接，在“連接到計