通过配置ASA穿越代理加强企业内部访问服务器安全

网络技术应用网、实验环境A8公司对于企业内部信息安全要求较高，对于部分重要服务器要求在通过防火墙是进行认证授权，只有通过认证授权的用户才能访问服务器。实验案例拓扑图网络规划如下：（1）ASA防火墙接口（实验只需配置DMZ接口和inside接口即可）地址如下：1）E0/0为dmz接口，IP地址为192.168.100.254/24。2）E0/1为inside接口，IP地址为192.168.1.254/24。（2）主机PC1和PC2使用WindowsXP系统，IP地址分别为192.168.1.1/24，192.168.1.2/24。（3）ACSServer和WebServer使用WindowsServer2003系统，并且均配置IIS搭建Web站点。IP地址分别为192.168.100.1/24，192.168.100.2/24。2、需求描述A8公司需求如下：（1）PC1和PC2访问Web服务器必须通过ASA认证授权，PC1的用户名：a8.com，密码a8.com；PC2的用户名：cisco.123，密码cisco.123。（2）PC1只能访问WebServer，不能访问ACSServer，而PC2可以访问WebServer和ACSServer。3、推荐步骤PC1WebServerInternetPC2ACSServerASAE0/2outsideE0/0dmzE0/1inside网络技术应用网（1）配置实验环境使用1台真实WindowsServer2003服务器作为ACSServer，使用VMwareWorkstation虚拟工作站的1台WindowsServer2003和2台WindowsXP分别作为WebServer、PC1和PC2。1）添加虚拟网卡打开VMwareWorkstation的虚拟网络编辑器使用默认添加的两块虚拟网卡VMnet1和VMnet8网络技术应用网接口的桥接网卡，并命名为dmz将VMnet8作为ASA的e0/1接口的桥接网卡，并命名为inside2）设置虚拟机a、设置WebServer打开WebServer的设置编辑窗口网络技术应用网、设置PC1参数网络技术应用网、设置PC2参数（与PC1完全相同）3）配置虚拟机IP地址a、配置ACSServer的IP地址ACSServer使用网卡VMnet1b、配置WebServer的IP地址c、配置PC1的IP地址网络技术应用网、配置PC2的IP地址4）配置IIS，并搭建Web站点需要分别在ACSServer和WebServer上配置IIS，并搭建Web站点，由于该配置不是实验案例重点，所以省略。（2）配置ASA防火墙接口在ACSServer上使用ASA模拟器，使用前务必安装好模拟器所需软件（如WinPcap4.1.1或者更高版本），配置好模拟器桥接的虚拟网卡VMnet1和VMnet8的参数，最后启动模拟器。启动模拟器后，就可以telnet到模拟器了。下面我们进入模拟器，进行基本的配置。1）进入ASA模拟器telnet到ASA模拟器2）配置接口网络技术应用网接口配置e0/1接口（3）配置穿越代理AAA服务器使用的协议为RADIUS，KEY为ciscoacs，认证授权和统计使用默认的端口号1645和1646，客户机和ASA之间采用HHTPS协议。网络技术应用网（4）配置AAA服务器（使用RADIUS协议授权）首先安装Cisco的ACS软件，由于ACS需要Java支持，所以在运行ACS之前务必要确认已安装好Java。1）配置AAAServer和AAAClient单击ACS功能区的“NetworkConfiguration”按钮，在详细配置区出现如下图所示界面，可以分别添加AAAServer和AAAClient。配置网络设置（1）网络技术应用网首先，添加AAAClients（认证接入设备），本案例中使用ASA防火墙作为AAAClient。单击“AddEntry”按钮后出现如下图所示配置修改界面，配置AAAClient的主机名为ASA、IP地址（ASA防火墙DMZ接口的IP地址）为“192.168.100.254”、共享密钥为“ciscoacs”。在认证使用方法处（AuthenticateUsing）选择“RADIUS(CiscoIOS/PIX6.0)或RADIUS(CiscoVPN3000/ASA/PIX7.x+)”，配置完成后，单击“Submit+Apply”按钮提交并应用。配置网络设置（2），添加AAAClient然后，配置AAAServer（本地ACSServer），在上图中显示已经存在一个AAAServer（本地ACSServer），单击进入下图所示配置修改界面。配置AAAServer名为ACS、IP地址为“192.168.100.1”、共享密钥为“ciscoacs”。图中的Key表示远程AAAServer使用的Key，如果是本地服务器认证此Key可以不配置。在“AAAServerType”处，选择“RADIUS”；在“AAAServerRADIUSAuthenticationPort”处和“AAAServerRADIUSAccountingPort”处使网络技术应用网不变。配置完成后，单击“Submit+Apply”按钮提交并应用。配置网络设置（3），配置本地AAAServer2）添加用户分别添加用户a8.com和cisco.123，并且分别加入组Group1和Group2。单击ACS功能区的“UserSetup”按钮，在详细配置区出现如下图所示界面。添加认证用户（1）网络技术应用网，然后单击“Add/Edit”按钮，进入如下图所示界面。配置用户a8.com的密码为a8.com，并选择加入Group1。添加认证用户（2）网络技术应用网同样地，添加用户cisco.123，配置密码为cisco.123，加入Group2。添加认证用户（3）网络技术应用网）配置动态下发ACL。首先，单击ACS功能区的“InterfaceConfiguration”按钮进入如下图所示界面。配置动态ACL（1）接着，单击“AdvancedOptions”进入如下图所示界面，勾选“User-LevelDownloadableACLs”和“Group-LevelDownloadableACLs”项，最后单击“Submit”按钮提交。配置动态ACL（2）网络技术应用网下来，单击ACS功能区的“SharedProfileComponents”按钮进入如下图所示的界面。配置动态ACL（3）接着，单击“DownloadableIPACLs”进入如下图所示界面。配置动态ACL（4）网络技术应用网再单击界面正下方的“Add”按钮，进入如下图单击界面。配置动态ACL（5）网络技术应用网，接着继续单击中央位置的“Add”按钮进入如下图所示动态下发ACL的配置界面。配置动态ACL（6）网络技术应用网完成配置后，单击“Submit”按钮，进入如下图界面。配置动态ACL（7）网络技术应用网依次，选中ACL“Group1”，单击“Up”按钮和“Submit”按钮。进入如下图所示界面。配置动态ACL（8）网络技术应用网继续单击下方的“Add”按钮，进入如下图所示动态下发ACL的配置界面。配置动态ACL（9）网络技术应用网，接着继续单击中央位置的“Add”按钮进入如下图所示动态下发ACL的配置界面。配置动态ACL（10）网络技术应用网完成配置后，单击“Submit”按钮，进入如下图界面。配置动态ACL（11）网络技术应用网依次，选中ACL“Group2”，单击“Up”按钮和“Submit”按钮。进入如下图所示界面。配置动态ACL（11）网络技术应用网功能区的“GroupSetup”按钮，进入如下图所示的界面。配置动态ACL（12）选择“Group”下拉选项中的“Group1”后，单击“EditSettings”按钮，进入如下图所示的配置界面。配置动态ACL（12）网络技术应用网勾选“DownloadableACLs”项下的“AssignIPACL”，并选择其后，下拉选项中的Group1，最后，单击下方的“Submit+Restart”按钮，进入如下图所示的界面。配置动态ACL（13）选择“Group”下拉选项中的“Group2”后，单击“EditSettings”按钮，进入如下图所示的配置界面。配置动态ACL（14）勾选“DownloadableACLs”项下的“AssignIPACL”，并选择其后，下拉选项中的Group2，最后，单击下方的“Submit+Restart”按钮。至此，我们AAAServer网络技术应用网配置完全结束。（5）验证用户权限1）PC1权限验证（使用用户a8.com验证）a、我们在PC1上访问WebServer，在IE地址栏输入“”，在认证提示中输入用户名和密码，如下图所示。Web界面进行验证（1）单击上图中“OK”按钮后，出现如下图所示窗口。Web界面进行验证（2）网络技术应用网单击上图中“确定”按钮，出现如下图所示窗口。Web界面进行验证（3）单击上图中“查看证书”按钮后，出现如下图所示窗口。Web界面进行验证（4）单击上图中“安装证书”按钮后，出现如下图所示窗口。网络技术应用网界面进行验证（5）继续单击上图中“下一步”按钮后，出现如下图所示窗口。Web界面进行验证（6）继续单击上图中“下一步”按钮后，出现如下图所示窗口。网络技术应用网界面进行验证（7）继续单击上图中“完成”按钮后，出现如下图所示窗口。Web界面进行验证（8）网络技术应用网依次，继续单击上图中两个“确定”按钮后，进入如下图所示窗口。Web界面进行验证（9）单击上图中“是”按钮后，认证通过，用户a8.com即可访问WebServer。Web界面进行验证（10）出现上图所示界面后，在ASA防火墙使用showaccess-list命令查看ACL，我们可以看到动态获得的ACL包含一个条目，如下图所示。网络技术应用网、我们在PC1访问ACSServer，在IE地址栏中输入“”,出现如下图所示界面，说明PC1没有通过认证，无法访问ACSServer，满足A8公司要求。Web界面进行验证（11），PC1无权限访问ACSServer（2）PC2权限验证（类似PC1权限验证）使用用户cisco.123在PC2上发起HTTP连接，认证通过后，PC2能够访问ACSServer和