从outside对ASA防火墙身后ACS4.x进行管理测试-创新互联
一.概述:
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于成都做网站、网站建设、泌阳网络推广、成都微信小程序、泌阳网络营销、泌阳企业策划、泌阳品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联建站为所有大学生创业者提供泌阳建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.comACS4.x初始http访问端口为2002,后续的端口默认会从1024~65535随机变化,从ASA的inside区域访问outside区域的ACS4.x没有问题,但是如果从ASA的outside区域访问inside区域的ACS4.x,就会带来问题,不可能把所有的TCP1024~65535端口都放开。
二.基本思路:
A.限定ACS4.x动态端口的变化范围
---值得注意的是ASC4.x的动态端口根据每个session来变化,如果设定变化访问只为一个值,比如:2003~2003,则会导致同时只能一个session连接ACS4.x进行管理。
B.配置为https访问(可选)
---刚开始以为配置https后就不会动态端口,实际测试发现https采用的初始端口也是2002,后面端口还是会随机变化。
三.配置方法:
A.限定ACS4.x动态端口的变化范围
---Administration Control->Access Policy->HTTP Port Allocation,设定变化的端口范围,假定设置范围为2003~2004。
B.配置为https访问(可选)
参考链接:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487
配置HTTPS的证书有多种方式,可以向CA申请,也可以创建自签名的证书,我测试的是自签名证书:
①生成自签名证书
---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate
②根据提示进行重启ACS
③修改访问策略,设置为https访问
---Administration Control->Access Policy->Secure Socket Layer Setup勾选:Use HTTPS Transport for Administration Access
C.防火墙放行策略
---根据前面的动态端口范围设置,以及初始端口2002,那样只需放行TCP 2002~2004即可,这样可以允许同时有两个用户来管理ACS4.x。
①拓扑:
202.100.1.0/24 10.1.1.0/24
PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x
②防火墙ASA842配置:
1.内网PAT出公网:
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
2.映射端口范围:
object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004
nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports
3.配置策略:
policy-map global_policy
class inspection_default
inspect icmp
access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004
access-group Outside in interface Outside
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前文章:从outside对ASA防火墙身后ACS4.x进行管理测试-创新互联
新闻来源:http://scyanting.com/article/degcsd.html