從outside對(duì)ASA防火墻身后ACS4.x進(jìn)行管理測(cè)試
一.概述:
創(chuàng)新互聯(lián)建站是一家專業(yè)提供屏邊企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、成都網(wǎng)站制作、HTML5建站、小程序制作等業(yè)務(wù)。10年已為屏邊眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。
ACS4.x初始http訪問端口為2002,后續(xù)的端口默認(rèn)會(huì)從1024~65535隨機(jī)變化,從ASA的inside區(qū)域訪問outside區(qū)域的ACS4.x沒有問題,但是如果從ASA的outside區(qū)域訪問inside區(qū)域的ACS4.x,就會(huì)帶來問題,不可能把所有的TCP1024~65535端口都放開。
二.基本思路:
A.限定ACS4.x動(dòng)態(tài)端口的變化范圍
---值得注意的是ASC4.x的動(dòng)態(tài)端口根據(jù)每個(gè)session來變化,如果設(shè)定變化訪問只為一個(gè)值,比如:2003~2003,則會(huì)導(dǎo)致同時(shí)只能一個(gè)session連接ACS4.x進(jìn)行管理。
B.配置為https訪問(可選)
---剛開始以為配置https后就不會(huì)動(dòng)態(tài)端口,實(shí)際測(cè)試發(fā)現(xiàn)https采用的初始端口也是2002,后面端口還是會(huì)隨機(jī)變化。
三.配置方法:
A.限定ACS4.x動(dòng)態(tài)端口的變化范圍
---Administration Control->Access Policy->HTTP Port Allocation,設(shè)定變化的端口范圍,假定設(shè)置范圍為2003~2004。
B.配置為https訪問(可選)
參考鏈接:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487
配置HTTPS的證書有多種方式,可以向CA申請(qǐng),也可以創(chuàng)建自簽名的證書,我測(cè)試的是自簽名證書:
①生成自簽名證書
---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate
②根據(jù)提示進(jìn)行重啟ACS
③修改訪問策略,設(shè)置為https訪問
---Administration Control->Access Policy->Secure Socket Layer Setup勾選:Use HTTPS Transport for Administration Access
C.防火墻放行策略
---根據(jù)前面的動(dòng)態(tài)端口范圍設(shè)置,以及初始端口2002,那樣只需放行TCP 2002~2004即可,這樣可以允許同時(shí)有兩個(gè)用戶來管理ACS4.x。
①拓?fù)洌?/strong>
202.100.1.0/24 10.1.1.0/24
PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x
②防火墻ASA842配置:
1.內(nèi)網(wǎng)PAT出公網(wǎng):
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
2.映射端口范圍:
object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004
nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports
3.配置策略:
policy-map global_policy
class inspection_default
inspect icmp
access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004
access-group Outside in interface Outside
當(dāng)前題目:從outside對(duì)ASA防火墻身后ACS4.x進(jìn)行管理測(cè)試
網(wǎng)站路徑:http://www.yijiale78.com/article8/ghdcip.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、品牌網(wǎng)站制作、小程序開發(fā)、網(wǎng)站營(yíng)銷、域名注冊(cè)、全網(wǎng)營(yíng)銷推廣
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
- 外貿(mào)建站seo推廣除了內(nèi)容,頁面鏈接也很重要 2016-08-19
- 按外貿(mào)建站域名五原則挑選老外喜歡的域名 2015-05-01
- 外貿(mào)建站推廣?八大技巧幫您引流 2016-03-01
- 外貿(mào)建站的推廣方式有哪些 2016-04-18
- 外貿(mào)建站完成后如何繼續(xù)完善 2021-08-25
- 外貿(mào)建站過程中 這些點(diǎn)你必須了解 2015-10-03
- 做外貿(mào)建站好不好?這幾個(gè)誤區(qū)要注意了 2015-04-27
- 外貿(mào)建站中的哪些細(xì)節(jié)影響著網(wǎng)站流量? 2015-06-11
- 外貿(mào)建站和普通網(wǎng)站建設(shè)的區(qū)別 2022-10-22
- 外貿(mào)建站沒有你想的那么簡(jiǎn)單 2015-04-16
- 外貿(mào)建站零基礎(chǔ)——搭建網(wǎng)站 2022-12-22
- 外貿(mào)建站域名該怎么選? 2015-06-08