我们有一台拥有 security+ 许可证的 ciscoasa 5505。我需要设置 VPN,以便人们在外出时可以连接到我们的内部域。我在想有没有办法让他们直接连接到思科。这是通过“远程访问 VPN”完成的吗?看着它,我认为 easy VPN remote 可以解决这个问题,但由于这些存在潜在的巨大安全风险,我想在继续之前征求第二意见。
谢谢!
答案1
Easy VPN 使 ASA 5505 充当 VPN 客户端,连接到另一个位置的另一个 ASA,作为设置站点到站点 VPN(不太“简单”)的替代方案。这不是您的旅途战士会使用的东西,除非他们随身携带 ASA 5505!
您的客户端可以使用 Cisco VPN 客户端,甚至可以使用基于 IPSEC 的 L2TP 的 Windows VPN 客户端。还有一个选项是使用 SSL VPN (anyconnect),但这可能需要额外的许可。
当然,值得一看的是思科关于 ASA 的文档。我还找到了思科出版社的书Cisco ASA 一体化防火墙、IPS、Anti-X 和 VPN 自适应安全设备(ISBN 978-1-58705-819-6)对于确定选项和实施事项非常有用。
答案2
当然,您需要考虑授予谁访问权限以及他们可以访问哪些内容。VPN 访问不一定非要全部或全无。您可以限制用户在连接到他们需要的特定资源后可以访问哪些内容。
请查看Cisco ASA 5500 SSL VPN 部署指南,版本 8.x。它包括重要细节,例如如何将 ACL 应用于连接客户端,以便用户只能访问您允许他们访问的特定资源。如果您未获得 AnyConnect 或 AnyConnect Essentials 许可,则可能无法遵循此部署指南。如果您使用 IPSec 远程访问 VPN,则大部分配置(组策略部分)将类似。