安全 : Cisco ASA 5500 系列自适应安全设备

ASA 上的无客户端 SSL VPN (WebVPN) 配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

通过客户端 SSL VPN (WebVPN),可从任意位置以安全方式访问公司网络,此类访问虽受到限制但非常有用。用户随时可以通过具有安全功能的浏览器访问公司资源。本文为 Cisco 自适应安全设备 (ASA) 5500 系列提供了一种简单直观的配置,无客户端 SSL VPN 通过该配置可访问内部网络资源。

可通过以下三种方式利用 SSL VPN 技术:无客户端 SSL VPN、瘦客户端 SSL VPN(端口转发)和 SSL VPN Client(SVC 隧道模式)。每种方式都有自身的优点和特有的资源访问方式。

1. 无客户端SSL VPN

远程客户端只需一个启用了 SSL 的 Web 浏览器,便可访问公司局域网内启用了 http 或 https 的 Web 服务器。也可以使用通用 Internet 文件系统 (CIFS) 来访问浏览 Windows 文件。Outlook Web Access (OWA) 客户端是 http 访问的一个好例子。

2. Thin-Client SSL VPN (波尔特转发)

远程客户端必须下载一个基于 Java 的小程序,才能以安全方式访问使用静态端口号的 TCP 应用程序。不支持 UDP。示例包括对 POP3、SMTP、IMAP、SSH 和 Telnet 的访问。由于更改的是本地计算机中的文件,因此用户需要具有本地管理权限。此 SSL VPN 方法不适用于使用动态端口分配的应用程序,例如一些 FTP 应用程序。

要详细了解瘦客户端 SSL VPN,请参阅在 ASA 上使用 ASDM 配置瘦客户端 SSL VPN (WebVPN) 配置

3. SSL VPN客户端(隧道模式)

SSL VPN Client 将一个小客户端下载到远程工作站,从而允许对公司内部网络中的资源进行全面安全的访问。可将 SVC 永久下载到远程站,也可以在安全会话结束后将其删除。

无客户端SSL VPN在Cisco VPN集中器3000和有版本12.4(6)T和以上的特定Cisco IOS 路由器可以配置。也可以在 Cisco ASA 中通过命令行界面 (CLI) 或自适应安全设备管理器 (ASDM) 来配置无客户端 SSL VPN 访问。ASDM 的使用简化了配置操作。

不得在同一个 ASA 接口上同时启用无客户端 SSL VPN 和 ASDM。如果更改端口号,这两种技术将可以共存在同一个接口上。强烈建议在内部接口 上启用 ASDM,这样便可在外部接口上启用 WebVPN。

要详细了解 SSL VPN Client,请参阅在 ASA 中使用 ASDM 配置 SSL VPN Client (SVC) 的示例

使用无客户端 SSL VPN 可对公司局域网中的以下资源进行安全访问:

  • OWA/Exchange

  • 通过 HTTP 和 HTTPS 访问内部 Web 服务器

  • 访问和浏览 Windows 文件

  • 有 Citrix 瘦客户端的 Citrix 服务器

Cisco ASA 充当客户端计算机的安全代理,随后客户端计算机即可访问公司局域网中预先选择的资源。

本文档演示了用 ASDM 做出的一个简单配置,通过此配置可在 Cisco ASA 上使用无客户端 SSL VPN。如果客户端已经具有启用了 SSL 的 Web 浏览器,则无需进行任何客户端配置。多数 Web 浏览器已经具有调用 SSL/TLS 会话的功能。本文还演示了所生成的 Cisco ASA 命令行。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 启用客户端 SSL 的浏览器,例如,Internet Explorer、Netscape 和 Mozilla

  • 7.1 或更高版本的 ASA

  • TCP 端口 443,在从客户端到 ASA 的路径中不得阻止该端口

使用的组件

本文档中的信息基于以下软件和硬件版本:

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

在此阶段,从 Web 浏览器发出 https://inside _IP Address 即可访问 ASDM 应用程序。加载 ASDM 后,即开始配置 WebVPN。

本部分包含在配置本文介绍的功能时所需要的信息。

注意: 使用命令查找工具仅限注册用户)可详细了解本部分所使用的命令。

网络图

本文档使用以下网络设置:

/image/gif/paws/70475/webvpnasa1-1.gif

步骤

在 ASA 上配置 WebVPN 分为以下四个主要步骤:

  • 在 ASA 接口上启用 WebVPN。

  • 创建用于 WebVPN 访问的服务器和/或 URL 的列表。

  • 为 WebVPN 用户创建一个组策略。

  • 将这一新的组策略应用于隧道组。

  1. 在 ASDM 中,选择 Configuration > VPN > WebVPN > WebVPN Access。

    /image/gif/paws/70475/webvpnasa2-2.gif

    选择终止 WebVPN 用户的接口 >Enable > Apply。

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. 选择 Servers and URLs > Add。

    /image/gif/paws/70475/webvpnasa4-4.gif

    输入可供 WebVPN 访问的服务器列表的名称。单击 Add 按钮。此时将显示 Add Server or URL 对话框。请输入每个服务器的名称。这是将向客户端显示的名称。从 URL 下拉菜单为每个服务器选择适当的协议。通过 Add Server or URL 对话框向列表添加服务器,然后单击 OK

    /image/gif/paws/70475/webvpnasa5-5.gif

    单击 Apply > Save。

  3. 在 ASDM 左侧菜单中展开 General。选择 Group Policy > Add。

    /image/gif/paws/70475/webvpnasa6-6.gif

    • 选择 Add Internal Group Policy。取消选中 Tunneling Protocols:Inherit 复选框。选中 WebVPN 复选框。

    webvpnasa7-7.gif

    • 选择 WebVPN 选项卡。取消选中 Inherit 复选框。从功能列表中选择功能。单击 OK > Apply。

    webvpnasa11-11.gif

  4. 在左侧列中选择 Tunnel Group。单击 Edit 按钮。

    /image/gif/paws/70475/webvpnasa8-8.gif

    单击 Group Policy 下拉菜单。选择在第 3 步创建的策略。

    webvpnasa12-12.gif

    请注意,如果没有创建新的组策略和隧道组,则默认设置为 GroupPolicy1 和 DefaultWEBVPNGroup,了解这一点很重要。单击 WebVPN 选项卡。

    /image/gif/paws/70475/webvpnasa13-13.gif

    选择 NetBIOS Servers。单击 Add 按钮。填写 WINS/NBNS 服务器的 IP 地址。单击 OK > OK。按照提示 Apply > Save > Yes 写入该配置。

    webvpnasa14-14.gif

配置

此配置反映了 ASDM 为启用 WebVPN 而进行的更改:

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

无客户端 SSL VPN (WEBVPN) 宏替换

使用无客户端 SSL VPN 宏替换可对用户进行配置,使其可以访问包含用户 ID 和口令或其他输入参数的个性化资源。此类资源的示例包括书签条目、URL 列表和文件共享。

注意: 由于安全原因,密码替换法为文件访问URL (cifs://)禁用。

注意: 同样出于安全考虑,在为 Web 链接(尤其是非 SSL)实例引入口令替换时,请务必谨慎。

支持以下宏替换:

  1. CSCO_WEBVPN_USERNAME - SSL VPN 用户登录 ID

  2. CSCO_WEBVPN_PASSWORD - SSL VPN 用户登录口令

  3. CSCO_WEBVPN_INTERNAL_PASSWORD - SSL VPN 用户内部资源口令

  4. CSCO_WEBVPN_CONNECTION_PROFILE - SSL VPN 用户登录组下拉菜单,这是连接配置文件中的一个组别名

  5. CSCO_WEBVPN_MACRO1 -集通过RADIUS/LDAP供应商专用属性

  6. CSCO_WEBVPN_MACRO2 -集通过RADIUS/LDAP供应商专用属性

要详细了解宏替换,请参阅无客户端 SSL VPN 宏替换

验证

使用本部分可确认配置能否正常运行。

建立从外部客户端到 ASA 设备的连接,以测试以下地址:

https://ASA_outside_IP_Address

客户端会收到一个 Cisco WebVPN 页面,通过该页面可以安全访问公司局域网。只允许客户端进行新创建的组策略中列出的访问。

验证:为验证此概念,在 ASA 中创建了一个简单的登录名和口令。如果单点无缝登录某域是 WebVPN 用户的首选方法,请参阅下面这个 URL:

使用 ASDM 和 NTLMv1 配置具有 WebVPN 和单点登录的 ASA 示例

故障排除

本部分提供的信息可用于对配置进行故障排除。

注意: 当复制过程正在进行时,请勿中断 Copy File to Server 命令或导航到其他屏幕。如果中断该操作,可能导致文件在服务器上保存不完整。

注意: 用户可以使用 WEBVPN Client 上载和下载新文件,但不允许用户使用 Copy File to Server 命令覆盖 WEB VPN 上 CIFS 中的文件。当用户尝试替换该服务器上的文件时,该用户将收到以下消息:“Unable to add the file.”。

用于排除故障的步骤

请按照以下说明排除配置故障。

  1. 在 ASDM 中,选择 Monitoring > Logging > Real-time Log Viewer > View。当客户端连接到 ASA 时,请在实时日志中注意 SSL 和 TLS 会话的建立与终止。

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. 在 ASDM 中,选择 Monitoring > VPN > VPN Statistics > Sessions。查找新的 WebVPN 会话。请务必选择 WebVPN 过滤器,然后单击 Filter。如果出现问题,请暂时绕过 ASA 设备,以确保客户端可以访问所需的网络资源。请查看本文列出的配置步骤。

    /image/gif/paws/70475/webvpnasa10-10.gif

用于排除故障的命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 在使用 debug 命令之前,请参阅关于 Debug 命令的重要信息

  • show webvpn ?— 有许多与 WebVPN 关联的 show 命令。要详细了解 show 命令的用法,请参阅 Cisco 安全设备的命令参考部分。

  • debug webvpn ?— 使用 debug 命令可能对 ASA 产生不利影响。要详细了解 debug 命令的用法,请参阅 Cisco 安全设备的命令参考部分。

问题 - 连接到 PIX/ASA 的 WEB VPN 用户不能超过三个

问题:

只能将三个 WEB VPN Client 连接到 ASA/PIX;连接第四个客户端时将失败。

解决方案:

在许多情况下,此问题与组策略中的一个同时登录设置有关。

按照下图配置所需的同时登录数。在本例中,所需值为 20。

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

问题 - WEB VPN Client 无法点击书签,书签显示为灰色

问题:

如果配置这些书签供用户登录无客户端 VPN,但这些书签在主机屏幕中的“Web Applications”下显示为灰色,我该如何启用这些 HTTP 链接,以使用户能单击书签并进入特定 URL?

解决方案:

首先应确保 ASA 能通过 DNS 解析网站。尝试按名称 ping 这些网站。如果 ASA 无法解析该名称,链接将变灰。如果 DNS 服务器在网络内部,请配置 DNS 域查找专用接口。

问题 - 通过 WEBVPN 进行的 Citrix 连接

问题

通过 WEBVPN 进行 Citrix 连接时出现错误消息“the ica client received a corrupt ica file.”。

解决方案

如果将安全网关 模式用于通过 WebVPN 进行的 Citrix 连接,ICA 文件可能损坏。由于 ASA 与此操作模式不兼容,请在直接模式(非安全模式)下新建一个 ICA 文件。

问题:如何避免需要对于用户的秒钟验证

问题

当CIFS在无客户端WebVPN门户连接,用户提示访问输入凭证在单击书签以后。LDAP用于验证资源,并且用户已经输入LDAP凭证登录对VPN会话。

解决方案

您能在这种情况下使用自动登录功能。根据使用和在其WebVPN属性下的特定组政策,请配置此:

auto-signon allow uri cifs://X.X.X.X/* auth-type all

那里CIFS服务器和*=restof的X.X.X.X=IP到达共享文件/文件夹的路径有问题的。

配置示例片断显示此处:

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

关于此的更多信息,参考配置与基本的HTTP的SSO或NTLM验证

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 70475