实验目的:
通过下放XML,限制不客户端SSL ×××能访问的服务器。
实验拓扑:
ASA配置:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 192.168.20.254 255.255.255.0
!
aaa-server aaa protocol radius
aaa-server aaa (inside) host 192.168.10.1
key cisco
webvpn
enable outside
anyconnect p_w_picpath disk0:/anyconnect-win-3.0.0629-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy sslvpn-group-policy internal
group-policy sslvpn-group-policy attributes
webvpn
anyconnect ask enable default webvpn
tunnel-group sslvpn-group type remote-access
tunnel-group sslvpn-group general-attributes
authentication-server-group aaa
default-group-policy sslvpn-group-policy
tunnel-group sslvpn-group webvpn-attributes
group-alias groups enable
配置AAA client 和AAA服务器,添加用户root,加入group,在此不在说明,可以参考网上的文章,或者查看我的有关文章。
分析:
1 登陆
从上面可以看出这样做给公司内部网络带来安全隐患,通过关闭SSL ×××页面的地址栏输入,可以解决这个问题。
Conf t
group-policy sslvpn-group-policy attributes
webvpn
url-entry disable
file-entry disable
file-browsing disable
下面通过,在ASA上定义一个URL列表,只允许PC访问这个LIST-URL。
编辑一个list.xml文件
由于条件问题,两个服务器IP配置成了相同。
验证文件的正确性。
一定要能显示,不提手错误。
上传文件
命令方式,应用URL列表。在此只给出命令不做验证
Conf t
group-policy sslvpn-group-policy attributes
webvpn
url-list value list
下面重点介绍AAA 配置:
查看效果: