从outside对ASA防火墙身后ACS4.x进行管理测试

一.概述:

ACS4.x初始http访问端口为2002,后续的端口默认会从1024~65535随机变化,从ASA的inside区域访问outside区域的ACS4.x没有问题,但是如果从ASA的outside区域访问inside区域的ACS4.x,就会带来问题,不可能把所有的TCP1024~65535端口都放开。

二.基本思路:

A.限定ACS4.x动态端口的变化范围

---值得注意的是ASC4.x的动态端口根据每个session来变化,如果设定变化访问只为一个值,比如:2003~2003,则会导致同时只能一个session连接ACS4.x进行管理。

B.配置为https访问(可选)

---刚开始以为配置https后就不会动态端口,实际测试发现https采用的初始端口也是2002,后面端口还是会随机变化。

三.配置方法:

A.限定ACS4.x动态端口的变化范围

---Administration Control->Access Policy->HTTP Port Allocation,设定变化的端口范围,假定设置范围为2003~2004。

B.配置为https访问(可选)

参考链接:http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487

配置HTTPS的证书有多种方式,可以向CA申请,也可以创建自签名的证书,我测试的是自签名证书:

①生成自签名证书

---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate

②根据提示进行重启ACS

③修改访问策略,设置为https访问

---Administration Control->Access Policy->Secure Socket Layer Setup勾选:Use HTTPS Transport for Administration Access

C.防火墙放行策略

---根据前面的动态端口范围设置,以及初始端口2002,那样只需放行TCP 2002~2004即可,这样可以允许同时有两个用户来管理ACS4.x。

①拓扑:

202.100.1.0/24                            10.1.1.0/24

PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x

②防火墙ASA842配置:

1.内网PAT出公网:

object network Inside_net

subnet 10.1.1.0 255.255.255.0

nat (inside,outside) dynamic interface

2.映射端口范围:

object network Inside_ACS_Host

host 10.1.1.100

object service ACS_Ports

service tcp destination range 2002 2004

nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports

3.配置策略:

policy-map global_policy

class inspection_default

inspect icmp

access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004

access-group Outside in interface Outside

本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1220918,如需转载请自行联系原作者

上一篇:系统安全之iptables防火墙
下一篇:在防火墙中安装ASDM