第1页共41页PC1WebServerInternetPC2ACSServerASAE0/2outsideE0/0dmzE0/1inside编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共41页通过配置ASA穿越代理加强企业内部访问服务器安全之实验案例1、实验环境A8公司对于企业内部信息安全要求较高,对于部分重要服务器要求在通过防火墙是进行认证授权,只有通过认证授权的用户才能访问服务器。实验案例拓扑图网络规划如下:(1)ASA防火墙接口(实验只需配置DMZ接口和inside接口即可)地址如下:1)E0/0为dmz接口,IP地址为192.168.100.254/24。2)E0/1为inside接口,IP地址为192.168.1.254/24。(2)主机PC1和PC2使用WindowsXP系统,IP地址分别为192.168.1.1/24,192.168.1.2/24。(3)ACSServer和WebServer使用WindowsServer2003系统,并且均配置IIS搭建Web站点。IP地址分别为192.168.100.1/24,192.168.100.2/24。2、需求描述A8公司需求如下:(1)PC1和PC2访问Web服务器必须通过ASA认证授权,PC1的用户名:a8.com,密码a8.com;PC2的用户名:cisco.123,密码cisco.123。(2)PC1只能访问WebServer,不能访问ACSServer,而PC2可以访问WebServer和ACSServer。第2页共41页第1页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共41页3、推荐步骤(1)配置实验环境使用1台真实WindowsServer2003服务器作为ACSServer,使用VMwareWorkstation虚拟工作站的1台WindowsServer2003和2台WindowsXP分别作为WebServer、PC1和PC2。1)添加虚拟网卡打开VMwareWorkstation的虚拟网络编辑器第3页共41页第2页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共41页使用默认添加的两块虚拟网卡VMnet1和VMnet8将VMnet1作为ASA的e0/0接口的桥接网卡,并命名为dmz将VMnet8作为ASA的e0/1接口的桥接网卡,并命名为inside2)设置虚拟机a、设置WebServer第4页共41页第3页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共41页打开WebServer的设置编辑窗口根据实际情况适当修改内存大小第5页共41页第4页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共41页从真机添加安装系统光盘的ISO镜像文件第6页共41页第5页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第6页共41页修改WebServer的桥接网卡为VMnet1b、设置PC1参数c、设置PC2参数(与PC1完全相同)3)配置虚拟机IP地址a、配置ACSServer的IP地址第7页共41页第6页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第7页共41页ACSServer使用网卡VMnet1b、配置WebServer的IP地址c、配置PC1的IP地址d、配置PC2的IP地址4)配置IIS,并搭建Web站点需要分别在ACSServer和WebServer上配置IIS,并搭建Web站点,由于该配置不是实验案例重点,所以省略。第8页共41页第7页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第8页共41页(2)配置ASA防火墙接口在ACSServer上使用ASA模拟器,使用前务必安装好模拟器所需软件(如WinPcap4.1.1或者更高版本),配置好模拟器桥接的虚拟网卡VMnet1和VMnet8的参数,最后启动模拟器。启动模拟器后,就可以telnet到模拟器了。下面我们进入模拟器,进行基本的配置。1)进入ASA模拟器telnet到ASA模拟器2)配置接口配置e0/0接口第9页共41页第8页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第9页共41页配置e0/1接口(3)配置穿越代理AAA服务器使用的协议为RADIUS,KEY为ciscoacs,认证授权和统计使用默认的端口号1645和1646,客户机和ASA之间采用HHTPS协议。(4)配置AAA服务器(使用RADIUS协议授权)首先安装Cisco的ACS软件,由于ACS需要Java支持,所以在运行ACS之前务必要确认已安装好Java。1)配置AAAServer和AAAClient单击ACS功能区的“NetworkConfiguration”按钮,在详细配置区出现如下图所示界面,可以分别添加AAAServer和AAAClient。第10页共41页第9页共41页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第10页共41页配置网络设置(1...
