(ASA) Cisco Web ××× 配置详解 [三部曲之一]

注意:本文仅对Web×××特性和配置作介绍,不包含SSL ×××配置,SSL ×××配置将在本版的后续文章中进行介绍。
 

首先,先来谈一谈ASA7.X系统中的默认隧道组和组策略。
ASA/PIX 7.x系统默认在show run时不显示默认组策略和默认隧道组,只有使用ASDM才能看到。(感慨就两个字: BT)
下面列出在ASDM中看到的默认值:
默认IPSec-l2l隧道组: DefaultL2LGroup
默认IPSec-ra隧道组: DefaultRAGroup
默认Web×××隧道组: DefaultWEB×××Group

默认组策略: DfltGrpPolicy
默认组策略的默认隧道协议: IPSec-l2l

可以在命令行中直接对以上隧道组和组策略进行编辑,ASA在加载Web×××时默认采用DefaultWEB×××Group,用户自定义的Web×××组必须在启动 “tunnel-group-list”和“group-alias” 后才会出现。

在下面的例子中,我没有使用ASA的默认隧道组,所以会有tunel-group-list和group-alias配置出现。

1、Web×××服务基本配置。
-----------------------------------------
ciscoasa(config)# int e0/0
ciscoasa(config-if)# ip address 198.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
!
ciscoasa(config)# int e0/1
ciscoasa(config-if)# ip add 10.10.1.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no sh
ciscoasa(config-if)# exit
!
ciscoasa(config)# web***
ciscoasa(config-web***)# enable outside
!在外网接口上启动Web×××
!
-----------------------------------------
ciscoasa(config)# group-policy myweb***-group-policy ?

configure mode commands/options:
   external   Enter this keyword to specify an external group policy
   internal   Enter this keyword to specify an internal group policy
!此处需要选择组策略的类型,因为我们是将策略配置在ASA本地的,所以选择Internal。
!
ciscoasa(config)# group-policy myweb***-group-policy internal
!创建了一个名为myweb***-group-policy的Internal类型Policy。
-----------------------------------------
!
ciscoasa(config)# group-policy myweb***-group-policy ?

configure mode commands/options:
   attributes   Enter the attributes sub-command mode
   external     Enter this keyword to specify an external group policy
   internal     Enter this keyword to specify an internal group policy
!组策略一旦创建,命令行参数中就会多出attributes选项,这是用于后面定义具体的组策略用的,目前可以保留为空。
-----------------------------------------
!
ciscoasa(config)# username steve6307 password cisco
!创建一个本地用户
ciscoasa(config)# username steve6307 attributes
ciscoasa(config-username)# ***-group-policy myweb***-group-policy
!将用户加入刚才创建的×××策略组中

注意:ASA也支持为每用户定义单独的策略,即不用将用户加入特定的×××策略组,直接赋予策略(俗曰“权限”)。
注意:不过这是不推荐的,因为这样配置的可扩展性太差。
-----------------------------------------
!
ciscoasa(config)# tunnel-group myweb***-group type web***
!创建一个名为myweb***-group的web***隧道组。
!
ciscoasa(config)# tunnel-group myweb***-group general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group LOCAL
!定义该隧道组用户使用的认证服务器,这里为本地认证
-----------------------------------------
ciscoasa(config)# web***
ciscoasa(config-web***)# tunnel-group-list enable
!启动组列表,让用户在登陆的时候可以选择使用哪个组进行登陆
!
ciscoasa(config)# tunnel-group myweb***-group web***-attributes
ciscoasa(config-tunnel-web***)# group-alias group1 enable
!为改组定义别名,用于显示给用户进行选择。
-----------------------------------------
!
!到此为止,Web×××基本配置完毕,可以开始让外网用户使用浏览器测试了。

2、Web×××测试。
本例中使用FireFox浏览器进行测试(测试功能嘛,最好不要用IE)。
在浏览器中输入[url]https://198.1.1.1[/url]即可访问到Web×××主页。
由于只定义了一个Web×××隧道组,因此,在group列表的下拉菜单中只有一个选择:group1。 在弹出的小web框中输入内网服务器IP,即可访问到内网服务器,这里是使用***easy.net和itdomino.com的联盟首页做的一台内网测试用的Web服务器。

Web×××扩展功能

在实现Web×××的基本功能以后,我们来看看Web×××的扩展功能。主要包含以下三部分:
1、文件服务器浏览
2、自定义url-list
3、port-forward

1、文件服务器浏览

File-access功能可以让Web×××用户使用windows共享来访问内网的Windows文件服务器。
用户要使用File-access功能,必须具备file-access file-entry file-browsing权限。

注意:用户默认具备url-entry权限,即可以用url访问内网的web网页。

ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing

测试:
重新登陆Web×××,可以看到以下界面:

输入\\10.10.1.2以后可以访问到内网的共享资源。

2、自定义url-list

ciscoasa(config)# url-list mylist "Test Home Page" [url]http://10.10.1.2[/url]
ciscoasa(config)# url-list mylist "Test Site 2" [url]http://10.10.1.3[/url]
!
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-web***)# url-list value mylist

测试:
重新登陆Web×××,可以在首页上看到预定义的url列表。

3、自定义port-forward
port-forward可以让Web×××用户在外网通过Web×××使用内网的非HTTP服务。

ciscoasa(config)# port-forward port-forward-list 2323 10.10.1.2 23
ciscoasa(config)# group-policy myweb***-group-policy attributes
ciscoasa(config-group-policy)# web***
ciscoasa(config-group-web***)# functions url-entry file-access file-entry file-browsing port-forward
ciscoasa(config-group-web***)# port-forward value port-forward-list

经过上面的配置以后,Web×××用户加载Web×××提供的JAVA App,就可以通过telnet到自身的2323端口登陆到内网服务器的23端口。

测试:
重新登陆Web×××,界面如下:
 点击Application Access即可加载Web×××的Java Apps

 
最后给出show run,全文完。

ciscoasa# sh run
: Saved
:
ASA Version 7.2(1)24
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.10.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown     
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
asdm p_w_picpath disk0:/asdm521-54.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
port-forward port-forward-list 2323 10.10.1.2 telnet
group-policy myweb***-group-policy internal
group-policy myweb***-group-policy attributes
web***
   functions url-entry file-access file-entry file-browsing port-forward
   url-list value mylist
   port-forward value port-forward-list
username steve6307 password Dt4qNrv3ojM/D.Cn encrypted
username steve6307 attributes
***-group-policy myweb***-group-policy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group myweb***-group type web***
tunnel-group myweb***-group web***-attributes
group-alias group1 enable
telnet timeout 5
ssh timeout 5
console timeout 0
!
!
web***
enable outside
url-list mylist "Test Home Page" [url]http://10.10.1.2[/url] 1
url-list mylist "Test Site 2" [url]http://10.10.1.3[/url] 2
port-forward port-forward-list 2323 10.10.1.2 telnet
tunnel-group-list enable
prompt hostname context
Cryptochecksum:00000000000000000000000000000000

转载于:https://blog.51cto.com/chufeng/108102

(ASA) Cisco Web ××× 配置详解 [三部曲之一]相关推荐

  1. Cisco ASA Web ××× 配置详解

    实验环境如拓朴图. 在做实验之前让我们先来了解一下SSL ×××. 目前市场上×××产品很多,而且技术各异,就比如传统的 IPSec ××× 来讲, SSL 能让公司实现更多远程用户在不同地点接入,实 ...

  2. Cisco IPSec *** 配置详解

    前言: ×××作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网.I ...

  3. Cisco PPPOE配置详解

    PPPOE配置: vpdn enable    //开启虚拟专用拨号网络(vpdn) vpdn-group 10    //建立一个vpdn组10 request-dialin    //初始化一个* ...

  4. Java web之web.xml配置详解

    什么是web.xml web.xml是web项目的配置文件,一般的web工程都会用到web.xml来配置,方便大型开发.web.xml主要用来配置Filter,Listener,Servlet等.但是 ...

  5. Spring中,applicationContext.xml 配置文件在web.xml中的配置详解

    Spring中,applicationContext.xml 配置文件在web.xml中的配置详解 2016年10月04日 15:22:26 阅读数:7936 转自http://www.cnblogs ...

  6. JavaWeb web.xml配置详解

    参考: XML 教程 Java web之web.xml配置详解 Javaweb三大组件是:Servlet,Filter,Listener. 1.Servlet Servlet作为中转处理的容器,连接了 ...

  7. javaweb:web.xml配置详解

    Web.xml详解: 1.web.xml加载过程(步骤) 首先简单讲一下,web.xml的加载过程.当启动一个WEB项目时,容器包括(JBoss.Tomcat等)首先会读取项目web.xml配置文件里 ...

  8. web.xml配置详解

    往者不谏 来者可追 写作是最好的社交 新随笔 订阅 web.xml配置详解 Web.xml常用元素<web-app><display-name></display-nam ...

  9. Web.config详解+asp.net优化(1)

    一.认识Web.config文件 Web.config 文件是一个xml文本文件,它用来储存 asp.NET Web 应用程序的配置信息(如最常用的设置asp.NET Web 应用程序的身份验证方式) ...

最新文章

  1. 从语言、模型和规模三个维度,打造下一代AI
  2. 结构型模式之Bridge模式
  3. 每天一道LeetCode-----判断一个数是否是happy number(每一位的平方和最终为1)
  4. java中主函数抛出的异常怎么解决_java – 从递归函数中抛出异常
  5. 外部引用CSS中 link与@import的区别
  6. powerdesigner显示工具面板_10分钟看懂Photoshop 绘画(画笔面板1-3)
  7. linux如何过滤字符串,在linux系统如何grep过滤中,不包含某些字符串的命令
  8. 最强Java面试题全部合集,涵盖BAT大厂面试必考的9大技术!-强烈建议收藏
  9. linux检查防火墙是否阻挡端口,浅析linux查看防火墙状态和对外开放的端口状态...
  10. 没想到啊!3980元的Web前端视频今日免费送
  11. phpcms内容页 调用 上一级栏目id,catname等信息 - 代码篇
  12. 公司电脑可以做无盘系统吗?怎么优化速度?
  13. python微信语音转发方法_微信怎么转发语音(想要转到别的群或者人这样做)
  14. PyAudio模块的基本使用,阻塞式/非阻塞式地录制/播放音频
  15. python2.7读取txt文件_python如何读取txt文件
  16. 3.4、云计算FusionAccess桌面运维与管理
  17. python类方法重写和重载的区别_python 重载和重写的区别
  18. CSS实现空心三角指示箭头原理
  19. 如何用C语言编程序化交易,程序化交易的开发步骤
  20. 艺赛旗(RPA)国家企业信用信息公示系统验证码破解(二)

热门文章

  1. mysql5.7 zip安装配置_MySQL5.7的.zip文件的配置安装
  2. java servlet applet,详解Java Servlet与Applet比较
  3. linux cp 强制覆盖_Linux基本操作教程
  4. Docker 搭建elasticsearch 7.6.x集群
  5. Android 活动与活动间数据传递
  6. [微信小程序]上传单张和多张图片
  7. iOS-仿膜拜贴纸滚动(物理仿真)
  8. 自己动手,打造轻量级VSCode/C#环境代替LinqPad
  9. 处理器拦截器(HandlerInterceptor)详解
  10. Linux的su命令,sudo命令和限制root远程登录