图解Cisco-ASA防火墙SSL-VPN的配置VIP免费

图解CiscoASA防火墙SSLVPN的配置(图)随着现在互联网的飞速发展，企业规模也越来越大，一些分支企业、在外办公以及SOHO一族们，需要随时随地的接入到我们企业的网络中，来完成我们一些日常的工作，这时我们VPN在这里就成了一个比较重要的一个角色了。SSLVPN设备有很多。如Cisco路由器、CiscoPIX防火墙、CiscoASA防火墙、CiscoVPN3002硬件客户端或软件客户端。这极大地简化了远程端管理和配置。说的简单点就是在Server端配置复杂的策略和密钥管理等命令，而在我们的客户端上只要配置很简单的几条命令就能和Server端建立VPN链路的一种技术，主要的目的当然就是简化远端设备的配置和管理。那么今天我们看看我们要实现的是SSLVPN，那什么是SSLVPN呢？SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。什么是SSLVPN？从概念角度来说，SSLVPN即指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。相对于传统的IPSECVPN而言，SSLVPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。一般而言，SSLVPN必须满足最基本的两个要求：1.使用SSL协议进行认证和加密；没有采用SSL协议的VPN产品自然不能称为SSLVPN，其安全性也需要进一步考证。2.直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL协议，但仍然需要分发和安装独立的VPN客户端(如OpenVPN)不能称为SSLVPN，否则就失去了SSLVPN易于部署，免维护的优点了。SSLVPN的特点SSLVPN的客户端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；SSLVPN可在NAT代理装置上以透明模式工作；SSLVPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；SSLVPN将远程安全接入延伸到IPSecVPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用；客户端安全检查和授权访问等操作，实现起来更加方便。SSLVPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSecVPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSecVPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSLVPN是企业远程安全接入的最佳选择。但是虽然SSLVPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。SSLVPN的优点1、方便。实施sslvpn之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。2、容易维护。sslvpn维护起来简单，出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。3、安全。sslvpn是一个安全协议，数据全程加密传输的。另外，由于ssl网关隔离了内部服务器和客户端，只留下一个web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。而ipsecvpn就不一样，实现的是ip级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过vpn一样能够传播。那么我们也了解了这么多了，我们来看看如何配置它呢？第一步：配置身份证书在这里我们生成一个名为sslvpnkey...