从outside对ASA防火墙身后ACS4.x进行管理测试
一.概述:
ACS4.x初始http访问端口为2002,后续的端口默认会从1024~65535随机变化,从ASA的inside区域访问outside区域的ACS4.x没有问题,但是如果从ASA的outside区域访问inside区域的ACS4.x,就会带来问题,不可能把所有的TCP1024~65535端口都放开。
二.基本思路:
A.限定ACS4.x动态端口的变化范围
---值得注意的是ASC4.x的动态端口根据每个session来变化,如果设定变化访问只为一个值,比如:2003~2003,则会导致同时只能一个session连接ACS4.x进行管理。
B.配置为https访问(可选)
---刚开始以为配置https后就不会动态端口,实际测试发现https采用的初始端口也是2002,后面端口还是会随机变化。
三.配置方法:
A.限定ACS4.x动态端口的变化范围
---Administration Control->Access Policy->HTTP Port Allocation,设定变化的端口范围,假定设置范围为2003~2004。
B.配置为https访问(可选)
参考链接:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487
配置HTTPS的证书有多种方式,可以向CA申请,也可以创建自签名的证书,我测试的是自签名证书:
①生成自签名证书
---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate
②根据提示进行重启ACS
③修改访问策略,设置为https访问
---Administration Control->Access Policy->Secure Socket Layer Setup勾选:Use HTTPS Transport for Administration Access
C.防火墙放行策略
---根据前面的动态端口范围设置,以及初始端口2002,那样只需放行TCP 2002~2004即可,这样可以允许同时有两个用户来管理ACS4.x。
①拓扑:
202.100.1.0/24 10.1.1.0/24
PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x
②防火墙ASA842配置:
1.内网PAT出公网:
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
2.映射端口范围:
object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004
nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports
3.配置策略:
policy-map global_policy
class inspection_default
inspect icmp
access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004
access-group Outside in interface Outside
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1220918,如需转载请自行联系原作者
从outside对ASA防火墙身后ACS4.x进行管理测试相关推荐
- ASA防火墙与路由器R直连且直连能ping通
<GNS3中模拟ASA详细教程>文章评论中第[24楼]飘飘云上的疑惑,见下图: 网址:http://beyondhdf.blog.51cto.com/229452/507425 实验拓扑: ...
- Cisco ASA防火墙基础
Cisco ASA防火墙基础 1.Cisco 防火墙简介: 硬件与软件防火墙: .软件防火墙: Cisco新版本的IOS软件提供了IOS防火墙特性集,它具有应用层智能状态监测防火墙引擎. Cisco ...
- 基于ASA防火墙的SSL ×××配置
基于ASA防火墙的SSL ×××配置 实验拓扑图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...
- asa 防火墙基本配置管理
一.基本配置 #hostname name //名字的设置 #interface gigabitethernet0/0 // ...
- 使用思科asa防火墙deny QQ农场
今天,某网友在群里咨询到我这样的一个问题,由于公司众多员工,在工作时间登陆qq空间玩qq农场游戏,浪费了大量的工作时间,所以想将qq农场禁止掉,现在以思科asa防火墙为例来禁止公司内部员工登陆qq农场 ...
- ASA防火墙基本配置
全局模式下 asa(config)#int e0/0 //进入接口// asa(config-if)#nameif 名字 //配置接口名称// as ...
- CISCO ASA防火墙配置实验
实验要求: 分别划分inside(内网),outside(外网),dmz(服务器区)三个区 配置PAT,直接使用outside接口的ip地址进行转换 配置静态NAT,发布内网服务器 启用NAT控制,配 ...
- 思科ASA防火墙:控制防火墙不让访问指定网站
环境: 内网客户机:win10 思科asa防火墙 外网客户机:server 2016 win10可以通过域名访问网站 进入asa全局模式 access-list http permit tcp 192 ...
- 思科ASA防火墙:内网telnet远程控制防火墙 外网ssh远程控制防火墙
现在他们相互都可以通信 全局通信 1.内网telnet连接ASA 进入asa防火墙全局模式 telnet 192.168.1.1 255.255.255.0 in telnet + 指定远程ip + ...
最新文章
- 【数据挖掘】高斯混合模型 ( 与 K-Means 每个步骤对比 | 初始参数设置 | 计算概率 | 计算平均值参数 | 计算方差参数 | 计算高斯分布概率参数 | 算法终止条件 )
- 通过栈(Stack)实现对树的遍历
- Spring 实战-第一章-基本概念
- 作用域-基础知识总结------彭记(07)
- ​iPhone 13发布时间曝光;中国博士创造新算法,提高步态精确识别身份的精度;iOS 15引入半身照的人物识别功能|极客头条...
- 易宝典——玩转O365中的EXO服务 之四十二 导出就地电子数据展示搜索结果
- 关于修改域用户密码的WebPart的问题的问题.
- 牛客网面试题总结(试券)
- 写给准备用mcafee8.5i企业版的朋友
- [渝粤教育] 南京师范大学 中国古代文学(一) 参考 资料
- 应聘高校教师的试讲技巧
- 中心极限定理与大数定律的区别
- 内部类与外部类之间的访问
- 数字取证及其检测工具介绍
- 前后端分离/前端模块化/传统页面和单页面
- 大学生考华为ICT认证,从哪个级别开始
- 使用postman生成测试报告
- 【生物信息学-单细胞】基因转录调控网络转录因子调控网络分析
- 聚类算法模型评价指标
- python人狗大战游戏_082 实例 人狗大战