安全 : Cisco ASA 5500 系列自适应安全设备

直通和直接ASA身份验证配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述如何配置直通和处理ASA验证。

注意: 贡献用Blayne Dreier, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据思科可适应安全工具(ASA)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

直通

直通验证以前配置与include命令的AAA认证。现在,使用AAA验证匹配命令。要求验证的流量在AAA验证匹配命令参考,造成主机验证的访问列表允许,在指定的数据流通过ASA前允许。

这是Web流量验证的配置示例:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

注意此解决方案工作,因为HTTP是ASA能注入验证的协议。ASA拦截HTTP数据流并且通过HTTP验证验证它。由于注入验证线型,如此镜像所显示, HTTP验证对话框在Web浏览器出现:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

直接验证

直接验证以前配置与AAA认证包括虚拟<protocol >命令。现在,使用AAA验证匹配AAA认证监听程序命令。

即对于不本地支持验证的协议(不能有身份验证质询线型)的协议,直接ASA验证可以配置。默认情况下, ASA不细听认证请求。监听程序在一个特定端口和接口可以配置用AAA认证监听程序命令。

这是通过ASA允许TCP/3389流量主机一次验证的配置示例:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

注释由监听程序的端口号(TCP/5555)使用。显示asp表socket命令输出显示ASA当前细听连接请求到此端口在IP地址分配到指定的(里面)接口。

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

在ASA配置如上所述后,连接尝试通过对一台外部主机的ASA在TCP端口3389将导致连接否认。用户必须首先验证为了TCP/3389能将允许的流量。

直接验证要求用户浏览直接地到ASA。如果浏览对http:// <asa_ip > :因为网页不存在ASA的Web服务器的根, <port>, 404错误返回。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

反而,您必须浏览直接地到http:// <asa_ip > :<listener_port >/netaccess/connstatus.html。登录页驻留在您能提供认证证书的此URL。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

在此配置中,直接验证流量是authmatch的一部分access-list。没有此访问控制条目,当您浏览对http:// <asa_ip >时,您也许收到一个意外的消息,例如用户认证,用户认证没有要求:<listener_port >/netaccess/connstatus.html。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

在您成功后验证,您能通过ASA连接到在TCP/3389的一个外部服务器。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113363