通过配置ASA穿越代理加强企业内部访问服务器安全.docx

通过配置ASA穿越代理加强企业内部访问服务器安全之实验案例 1、实验环境 A8公司对于企业内部信息安全要求较高，对于部分重要服务器要求在通过防火墙是进行认证授权，只有通过认证授权的用户才能访问服务器。 PC1 Web Server Internet PC2 ACS Server ASA E0/2 outside E0/0 dmz E0/1 inside 实验案例拓扑图 网络规划如下： （1）ASA防火墙接口（实验只需配置DMZ接口和inside接口即可）地址如下： 1）E0/0为dmz接口，IP地址为192.168.100.254/24。 2）E0/1为inside接口，IP地址为192.168.1.254/24。 （2）主机PC1和PC2使用Windows XP系统，IP地址分别为192.168.1.1/24，192.168.1.2/24。 （3）ACS Server和Web Server使用Windows Server 2003系统，并且均配置IIS搭建Web站点。IP地址分别为192.168.100.1/24，192.168.100.2/24。 2、需求描述 A8公司需求如下： （1）PC1和PC2访问Web服务器必须通过ASA认证授权，PC1的用户名：，密码；PC2的用户名：cisco.123，密码cisco.123。 （2）PC1只能访问Web Server，不能访问ACS Server，而PC2可以访问Web Server和ACS Server。 3、推荐步骤 （1）配置实验环境 使用1台真实Windows Server 2003服务器作为ACS Server，使用VMware Workstation虚拟工作站的1台Windows Server 2003和2台Windows XP分别作为Web Server、PC1和PC2。 1）添加虚拟网卡 打开VMware Workstation的虚拟网络编辑器 使用默认添加的两块虚拟网卡VMnet1和VMnet8 将VMnet1作为ASA 的e0/0接口的桥接网卡，并命名为dmz 将VMnet8作为ASA的e0/1接口的桥接网卡，并命名为inside 2）设置虚拟机 a、设置Web Server 打开Web Server的设置编辑窗口 根据实际情况适当修改内存大小 从真机添加安装系统光盘的ISO镜像文件 修改Web Server的桥接网卡为VMnet1 b、设置PC1参数 c、设置PC2参数（与PC1完全相同） 3）配置虚拟机IP地址 a、配置ACS Server的IP地址 ACS Server使用网卡VMnet1 b、配置Web Server的IP地址 c、配置PC1的IP地址 d、配置PC2的IP地址 4）配置IIS，并搭建Web站点 需要分别在ACS Server和Web Server上配置IIS，并搭建Web站点，由于该配置不是实验案例重点，所以省略。 （2）配置ASA防火墙接口 在ACS Server上使用ASA模拟器，使用前务必安装好模拟器所需软件（如WinPcap 4.1.1或者更高版本），配置好模拟器桥接的虚拟网卡VMnet1和VMnet8的参数，最后启动模拟器。启动模拟器后，就可以telnet到模拟器了。 下面我们进入模拟器，进行基本的配置。 1）进入ASA模拟器 telnet到ASA模拟器 2）配置接口 配置e0/0接口 配置e0/1接口 （3）配置穿越代理 AAA服务器使用的协议为RADIUS，KEY为ciscoacs，认证授权和统计使用默认的端口号1645和1646，客户机和ASA之间采用HHTPS协议。 （4）配置AAA服务器（使用RADIUS协议授权） 首先安装Cisco的ACS软件，由于ACS需要Java支持，所以在运行ACS之前务必要确认已安装好Java。 1）配置AAA Server和AAA Client 单击ACS功能区的“Network Configuration”按钮，在详细配置区出现如下图所示界面，可以分别添加AAA Server和AAA Client。 配置网络设置（1） 首先，添加AAA Clients（认证接入设备），本案例中使用ASA防火墙作为AAA Client。 单击“Add Entry”按钮后出现如下图所示配置修改界面，配置AAA Client的主机名为ASA、IP地址（ASA防火墙DMZ接口的IP地址）为“192.168.100.254”、共享密钥为“ciscoacs”。在认证使用方法处（Authenticate Using）选择“RADIUS (Cisco IOS/PIX 6.0)或RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)”，配置完成后，单击“Submit + Apply”按钮提交并应用。 配置网络设置（2），添加AAA Client 然后，配置AAA Server（本地ACS Server），在上图中显示已经存在一个AAA Server（本地ACS Server），单击进入下图所示配置修改界面。配置AAA Server名为ACS、IP地址为“192.168.100.1”、共享密钥为“ciscoacs”。图中的Key表示远程AAA Server使用的Key，如果是本地服务器认证此Key可以不配置。在“AAA Server Type”处，选择“RADIUS”；在“AAA Server RADIUS Authentication Port”处和“AAA Server RADIUS Accounting Port”处使用默认端口1645和1646不变。配置完成后，单击“Submit + Apply”按钮提交并应用。 配置网络设置（3），配置本地AAA Server 2）添加用户 分别添加用户和cisco.123，并且分别加入组Group1和Group2。 单击ACS功能区的“ User Setup”按钮，在详细配置区出现如下图所示界面。 添加认证用户（1） 输入要添加的用户名，然后单击“Add/Edit”按钮，进入如下图所示界面。配置用户的密码为，并选择加入Group1。 添加认证用户（2） 同样地，添加用户cisco.123，配置密码为cisco.123，加入Group2。 添加认证用户（3） 3）配置动态下发ACL。 首先，单击ACS功能区的“Interface Configuration”按钮进入如下图所示界面。 配置动态ACL（1） 接着，单击“Advanced Options”进入如下图所示界面，勾选“User-Level Downloadable ACLs”和“Group-Level Downloadable ACLs”项，最后单击“Submit”按钮提交。 配置动态ACL（2） 下来，单击ACS功能区的“Shared Profile Components”按钮进入如下图所示的界面。 配置动态ACL（3） 接着，单击“Downloadable IP ACLs”进入如下图所示界面。 配置动态ACL（4） 再单击界面正下方的“Add”按钮，进入如下图单击界面。 配置动态ACL（5） 输入需要添加的动态下发ACL的名字为Group1，接着继续单击中央位置的“Add”按钮进入如下图所示动态下发ACL的配置界面。 配置动态ACL（6） 完成配置后，单击“Submit”按钮，进入如下图界面。 配置动态ACL（7） 依次，选中ACL“Group1”，单击“Up”按钮和“Submit”按钮。进入如下图所示界面。 配置动态ACL（8） 继续单击下方的“Add”按钮，进入如下图所示动态下发ACL的配置界面。 配置动态ACL（9） 输入需要添加的动态下发ACL的名字为Group2，接着继续单击中央位置的“Add”按钮进入如下图所示动态下发ACL的配置界面。 配置动态ACL（10） 完成配置后，单击“Submit”按钮，进入如下图界面。 配置动态ACL（11） 依次，选中ACL“Group2”，单击“Up”按钮和“Submit”按钮。进入如下图所示界面。 配置动态ACL（11） 单击ACS功能区的“Group Setup”按钮，进入如下图所示的界面。 配置动态ACL（12） 选择“Group”下拉选项中的“Group1”后，单击“Edit Settings”按钮，进入如下图所示的配置界面。 配置动态ACL（12） 勾选“Downloadable ACLs”项下的“Assign IP ACL”，并选择其后，下拉选项中的Group1，最后，单击下方的“Submit + Restart”按钮，进入如下图所示的界面。 配置动态ACL（13） 选择“Group”下拉选项中的“Group2”后，单击“Edit Settings”按钮，进入如下图所示的配置界面。 配置动态ACL（14） 勾选“Downloadable ACLs”项下的“Assign IP ACL”，并选择其后，下拉选项中的Group2，最后，单击下方的“Submit + Restart”按钮。至此，我们AAA Server配置完全结束。 （5）验证用户权限 1）PC1权限验证（使用用户验证） a、我们在PC1上访问Web Server，在IE地址栏输入“http://192.168.100.2”，在认证提示中输入用户名和密码，如下图所示。 Web界面进行验证（1） 单击上图中“OK”按钮后，出现如下图所示窗口。 Web界面进行验证（2） 单击上图中“确定”按钮，出现如下图所示窗口。 Web界面进行验证（3） 单击上图中“查看证书”按钮后，出现如下图所示窗口。 Web界面进行验证（4） 单击上图中“安装证书”按钮后，出现如下图所示窗口。 Web界面进行验证（5） 继续单击上图中“下一步”按钮后，出现如下图所示窗口。 Web界面进行验证（6） 继续单击上图中“下一步”按钮后，出现如下图所示窗口。 Web界面进行验证（7） 继续单击上图中“完成”按钮后，出现如下图所示窗口。 Web界面进行验证（8） 依次，继续单击上图中两个“确定”按钮后，进入如下图所示窗口。 Web界面进行验证（9） 单击上图中“是”按钮后，认证通过，用户即可访问Web Server。 Web界面进行验证（10） 出现上图所示界面后，在ASA防火墙使用show access-list 命令查看ACL，我们可以看到动态获得的ACL包含一个条目，如下图所示。 动态下发ACL b、我们在PC1访问ACS Server，在IE地址栏中输入“http://192.168.100.1”,出现如下图所示界面，说明PC1没有通过认证，无法访问ACS Server，满足A8公司要求。 Web界面进行验证（11），PC1无权限访问ACS Server （2）PC2权限验证（类似PC1权限验证） 使用用户cisco.123在PC2上发起HTTP连接，认证通过后，PC2能够访问ACS Server和Web Server。如下图所示。 Web界面进行验证（12），PC2有权限访问ACS Server Web界面进行验证（12），PC2有权限访问Web Server 出现上图所示界面后，在ASA防火墙使用show access-list 命令查看ACL，我们可以看到动态获得的ACL包含两个条目，如下图所示。 动态下发ACL