思科 ASA 防火墙 SSL 理论配置解析 安 全 套 接 层 ， 俗 称 Secure Socket Layer (SSL) ， 是 由 Netscape Communication（网景公司）于 1990 年开发，用于保障 Word Wide Web (WWW)通讯的安全。主要任务是提供私密性，信息完整性和身份认 证。 SSL 是一个不依赖于平台和应用程序的协议，用于保障 TCP-based 运 用安全，SSL 在 TCP 层和应用层之间，就像应用层连接到 TCP 连接 的一个插口。这是和 IPSEC 进行的对比，因为 IPSec 不仅对应用层负 载加密，对 TCP 包头也会加密。 那么？为什么实际环境中远程拨号的 VPN 我们基本上都是选择 SSL 这种 VPN 呢，为什么不选择 IPSEC 呢，L2TP 或者是 PPTP 呢？ 首先，IPSEC VPN 做远程拨号，每个厂家都有一个独立的客户端， 并且需要提前准备（SSL VPN 支持无客户端模式并且如果需要下载 也是网页直接推送，不需要提前准备），而 PPTP 和 L2TP 这两种基于 VPDN 技术的 VPN 技术功能非常有限，基本也就只能保证网络通。 

SSL VPN 有三种工作模型，分别为无客户端、瘦客户端和厚客户端。 无客户端只能支持浏览器所支持的一些应用，比如 HTTP、HTTPS、 CIFS 等。 瘦客户端使用起来非常不方便，因为不建议使用。下面我要介绍的是 最常用的一种模型---厚客户端模型，厚客户端支持所有的 IP 协议， 但是需要下载一个思科的应用程序。 下面我在 SSL VPN 设备（思科 ASA 防火墙）做相关配置： 首先查看 ASA 的硬盘里面是否有 SSL VPN 的客户端文件，如果没有 需要自己搭建 FTP 服务器进行上传，或者直接通过思科 ASDM 管理 端直接加载，下面我演示一下通过 CLI 把 FTP 服务器（一台 WIN7 的 PC）里面 anyconnect 插件上传到 ASAv 的 Flash 里面，如下： ASA(config)#copyftp://admin:Admin123@10.1.1.101/anyconnect-k9.pk g flash：/anyconnect-k9.pkg admin 是 FTP 服务器的登录用户名，Admin123 是 FTP 服务器登录密 码，10.1.1.101 是 FTP 服务器 IP 地址，anyconnect-k9.kpg 是上传的文 

件，flash：意思是上传到 flash 的根目录。 ip local pool CCIESEC 172.16.3.100-172.16.3.200 ||创建一个 SSL VPN 拨号地址池 username ssluser password CCIEo123 ||创建 SSL VPN 拨号的用户名和 密码 webvpn ||进入到 webvpn 配置视图 anyconnect image flash:/anyconnect-k9.pkg ||ssl vpn 所需插件目录 anyconnect enable ||开启 anyconnect 服务 group-policy CCIE internal ||创建一个名字叫 CCIE 的组策略 group-policy CCIE attributes ||为名字叫 CCIE 的组策略关联属性 vpn-tunnel-protocol ssl-client ssl-clientless ||开启客户端和无客户端协 议的功能，默认只开启了无客户端协议的功能 address-pools value CCIESEC ||把 SSL VPN 地址池赋予给名字叫 CCIE 的组 username ssluser attributes ||给用户赋予属性 vpn-group-policy CCIE 下面我们可以做一个测试： 

SSL VPN 拨号成功 然后，我用拨号的 PC 通过 SSL VPN 访问内网中的一个 PC 的 3389 下载思科 Anyconnect 客户端 端口号： 

可以看到 172.16.2.100 的高位随机端口号已经成功访问 10.1.1.101 的 3389 端口号。