通过配置ASA穿越代理加强企业内部访问服务器安全.doc

通过配置ASA穿越代理加强企业内部访问服务器安全之实验案例 1、实验环境 A8公司对于企业内部信息安全要求较高，对于部分重要服务器要求在通过防火墙是进行认证授权，只有通过认证授权的用户才能访问服务器。 实验案例拓扑图 网络规划如下： （1）ASA防火墙接口（实验只需配置DMZ接口和inside接口即可）地址如下： 1）E0/0为dmz接口，IP地址为54/24。 2）E0/1为inside接口，IP地址为54/24。 （2）主机PC1和PC2使用Windows XP系统，IP地址分别为/24，/24。 （3）ACS Server和Web Server使用Windows Server 2003系统，并且均配置IIS搭建Web站点。IP地址分别为/24，/24。 2、需求描述 A8公司需求如下： （1）PC1和PC2访问Web服务器必须通过ASA认证授权，PC1的用户名：，密码；PC2的用户名：cisco.123，密码cisco.123。 （2）PC1只能访问Web Server，不能访问ACS Server，而PC2可以访问Web Server和ACS Server。 3、推荐步骤 （1）配置实验环境 使用1台真实Windows Server 2003服务器作为ACS Server，使用VMware Workstation虚拟工作站的1台Windows Server 2003和2台Windows XP分别作为Web Server、PC1和PC2。 1）添加虚拟网卡 打开VMware Workstation的虚拟网络编辑器 使用默认添加的两块虚拟网卡VMnet1和VMnet8 将VMnet1作为ASA 的e0/0接口的桥接网卡，并命名为dmz 将VMnet8作为ASA的e0/1接口的桥接网卡，并命名为inside 2）设置虚拟机 a、设置Web Server 打开Web Server的设置编辑窗口 根据实际情况适当修改内存大小 从真机添加安装系统光盘的ISO镜像文件 修改Web Server的桥接网卡为VMnet1 b、设置PC1参数 c、设置PC2参数（与PC1完全相同） 3）配置虚拟机IP地址 a、配置ACS Server的IP地址 ACS Server使用网卡VMnet1 b、配置Web Server的IP地址 c、配置PC1的IP地址 d、配置PC2的IP地址 4）配置IIS，并搭建Web站点 需要分别在ACS Server和Web Server上配置IIS，并搭建Web站点，由于该配置不是实验案例重点，所以省略。 （2）配置ASA防火墙接口 在ACS Server上使用ASA模拟器，使用前务必安装好模拟器所需软件（如WinPcap 4.1.1或者更高版本），配置好模拟器桥接的虚拟网卡VMnet1和VMnet8的参数，最后启动模拟器。启动模拟器后，就可以telnet到模拟器了。 下面我们进入模拟器，进行基本的配置。 1）进入ASA模拟器 telnet到ASA模拟器 2）配置接口 配置e0/0接口 配置e0/1接口 （3）配置穿越代理 AAA服务器使用的协议为RADIUS，KEY为ciscoacs，认证授权和统计使用默认的端口号1645和1646，客户机和ASA之间采用HHTPS协议。 （4）配置AAA服务器（使用RADIUS协议授权） 首先安装Cisco的ACS软件，由于ACS需要Java支持，所以在运行ACS之前务必要确认已安装好Java。 1）配置AAA Server和AAA Client 单击ACS功能区的“Network Configuration”按钮，在详细配置区出现如下图所示界面，可以分别添加AAA Server和AAA Client。 配置网络设置（1） 首先，添加AAA Clients（认证接入设备），本案例中使用ASA防火墙作为AAA Client。 单击“Add Entry”按钮后出现如下图所示配置修改界面，配置AAA Client的主机名为ASA、IP地址（ASA防火墙DMZ接口的IP地址）为“54”、共享密钥为“ciscoacs”。在认证使用方法处（Authenticate Using）选择“RADIUS (Cisco IOS/PIX 6.0)或RADIUS(Cisco VPN 3000/ASA/PIX 7.x+)”，配置完成后，单击“Submit + Apply”按钮提交并应用。 配置网络设置（2），添加AAA Client 然后，配置AAA Server（本地ACS Server），在上图中显示已经存在一个AAA Server（本地ACS Server），单击进入下图所示配置修改界面。