Installationsguiden til cisco Adaptive Security Appliance (ASA)

2024

Når du har forbindelse til din Cisco Adaptive Security Appliance (ASA), skal du beslutte, om du skal bruge startguiden eller brug forskellige konfigurationsmetoder. Introduktionssiden vil blive vist, og som giver dig mulighed for at træffe en beslutning. Fordi du skal have Java installeret på din computer, har du tre valgmuligheder her:

• Installer ASDM Launcher og Kør Cisco Adaptive Security Device Manager (ASDM): Installer ASDM på din computer. Hvis dette er den computer, du altid vil bruge til at udføre din ledelse, giver denne metode mest mening.

• Kør ASDM: Denne indstilling bruger Java Web Start til at starte ASDM-værktøjet direkte fra den kopi, der er installeret på ASA. Dette er gavnligt, hvis du ikke er på din normale computer, fordi du ikke installerer nogen software.

• Kør startguiden: Denne indstilling bruger også Java Web Start til at starte ASDM, med en undtagelse; Når ASDM er startet, kører startguiden automatisk.

  

For at udføre ASA-konfigurationens netværkskonfiguration, går følgende proces igennem Startguiden:

1. Klik på knappen Start guiden Start på introduktionssiden.

   Du modtager en advarsel i forbindelse med sikkerhedsindstillingerne på Java.

2. Hvis du er sikker på, at du er tilsluttet den korrekte enhed på netværket, og ikke en falsk enhed, der forsøger at indsamle dine legitimationsoplysninger, skal du afvise advarselsmeddelelsen.

   Fordi du forventer denne meddelelse fra ASDM, skal du fortsætte til hjemmesiden. Dialogboksen Cisco ASDM Launcher vises.

3. Hvis du har en adgangskode, men ingen faktiske brugere, skal du springe over feltet Brugernavn, udfylde aktiveringsadgangskoden i feltet Adgangskode og klikke på OK.

   Hvis du allerede har oprettet en administrativ bruger, skal du angive brugernavn og adgangskode i de relevante felter.

   

   Startsiden vises.

4. Vælg et af følgende, afhængigt af om du oprindeligt oprettede ASA eller om du bruger opsætningen til at ændre en eksisterende ASA-installation:

   • Rediger eksisterende konfiguration: Du kan vælge at ændre den eksisterende konfiguration.

   • Nulstil konfiguration til fabriksindstillinger: Med undtagelse af administrationsgrænsefladen skal du ændre standardkonfigurationen. Som det viser sig, kræver mange små netværk derude kun enkle ændringer i deres konfiguration, og som sådan er genoprettelsen af ​​startguiden den nemmeste måde at foretage disse ændringer på.

     

5. Klik på knappen Næste.

   Siden Basic Configuration vises med to valgfrie elementer, som du kan vælge at gøre.

6. (Valgfrit) Vælg mellem følgende elementer:

   • Konfigurer enheden til anvendelse af telearbejder: Denne funktion understøtter fjernarbejdere eller fjernarbejdere via et virtuelt privat netværk (VPN). Hvis du vælger denne indstilling, bliver du præsenteret med en ekstra side med spørgsmål til Easy VPN Remote Configuration nær slutningen af ​​startguiden.

     På denne side kan du også fortælle startguiden navnet på firewallenheden, som f.eks. ASAFirewall1, og det domænenavn, som enheden tilhører, f.eks. Edtetz. net.

   • Skift privilegeret tilstand (Aktiver) Adgangskode: Hvis du ikke er tilfreds med dit nuværende adgangskode, skal du ændre det her, før du fuldfører dette trin i startguiden.

     

7. Klik på knappen Næste.

8. Vælg virtuelle lokalnetværk (VLAN'er) til udvendige, indvendige og eventuelt DMZ-grænseflader.

   Afhængigt af antallet af grænseflader du har licens til, kan du konfigurere op til tre grænseflader. Grundlicensen til ASA giver dig mulighed for kun at have to grænseflader. Siden Interfacevalg i startguiden vises.

   • Udenfor VLAN står overfor internettet.

   • Inde i VLAN står over for dit virksomhedsnetværk.

   • DMZ VLAN fungerer parallelt med dit virksomhedsnetværk. Den Demilitarized Zone (DMZ) er et område, hvor du kan placere servere, som mail, web eller ftp-servere, som offentligheden generelt - eller i det mindste personer uden for dit netværk - har brug for adgang til.

   For hver af disse grænseflader tildeler du en VLAN til segmentet eller vælger ikke at bruge grænsefladen overhovedet. Som standard er indvendig interface konfigureret til VLAN 1, som du kan ændre, hvis du vil have det; Men fordi dette er standard VLAN på dine switches, kan du ikke ændre det.

   For din Udenfor-grænseflade og DMZ-grænseflade kan du vælge en anden VLAN eller gå med de valgte som standard.

   Aktivering af det indvendige VLAN, uden for VLAN og DMZ VLAN-interfaces, forbinder faktisk ikke nogen særlige switchporte til disse grænseflader. Grænsefladerne er virtuelle og skal forbindes med fysiske grænseflader på kontakten. Dette betyder, at et hvilket som helst antal porte kan knyttes til nogen af ​​disse grænseflader.

   

9. Klik på knappen Næste.

   Siden omskifter port tildeling vises.

10. Tildelt ASA-switchportene til de tre VLAN'er ved at vælge porten i portene Tilgængelige porte eller tildelte porte og klikke på Tilføj eller fjern-knapperne.

    I første omgang er alle dine porte forbundet med det indvendige VLAN. I de fleste tilfælde associeres den laveste grænseflade, eller Ethernet 0/0 af en ASA 5505, med den eksterne VLAN, fordi du sandsynligvis vil bruge de ekstra porte på indersiden af ​​dit netværk.

    På de sidste to porte leverer også de to sidste porte Power over Ethernet (POE) til strømforsyningsenheder, såsom telefoner eller adgangspunkter (AP'er), hvilket er endnu en grund til, at de øverste porte skal forbindes med det indvendige netværk.

    Når du vælger en switchport og associerer den med en VLAN eller en grænseflade, bliver du bedt om at få besked om, at den kan fjernes fra et eksisterende VLAN.Fordi alle porte starter ud i forbindelse med Inside-grænsefladen, kan du se denne meddelelse for alle dine portomfordringer.

    

11. Klik på knappen Næste.

    Interface IP Address Configuration-siden vises.

12. Tildel IP-konfiguration for hver af dine IP-adresser.

    Til din eksterne adresse kan du manuelt tildele en adresse, hvilket ikke er ualmindeligt for forretningsforbindelser til internettet. Hvis din internetforbindelse understøtter enten DHCP (Dynamic Host Configuration Protocol) eller Point-to-Point Protocol over Ethernet (PPPOE), skal du vælge den relevante indstilling.

    Hvis du bruger DHCP, skal du fortælle din ASA om at bruge standard gatewayen, der modtages fra DHCP, som den generelle standardgateway til denne enhed. Hvis du vælger ikke at bruge den generelle systemgateway-indstilling, skal du konfigurere en manuel rute gennem ASDM eller ruten uden for 0 0 på kommandolinjens grænseflade (CLI).

    

13. Klik på knappen Næste.

    DHCP Server-siden vises. For små virksomheder eller regionale kontorer kan ASA være den eneste virkelige enhed på netværket bortset fra printere og computere. Du kan have disse steder oprettet uden lokale servere på stedet.

14. (Valgfrit) Marker afkrydsningsfeltet Aktiver DHCP-server i Indre grænseflade for at få ASA til at fungere som en DHCP-server til dette netværkssegment.

15. (Valgfrit) Marker afkrydsningsfeltet Aktiver automatisk konfiguration fra grænseflade, så du kan kopiere de fleste af disse indstillinger fra en eksisterende grænseflade.

    Afkrydsningsfeltet Aktivering af automatisk konfiguration er meget nyttigt for Domain Name System (DNS) og Windows Internet Name Service (WINS) serveradresser, der konstant bruges på alle netværkssegmenter og kan alle være ens for organisationen.

16. Konfigurer eller ændre nogen af ​​de manglende oplysninger i følgende:

    • Start IP-adresse: Den første adresse, der skal udleveres i DHCP-området.

    • Afslutter IP-adresse: Den sidste adresse, der skal udleveres i DHCP-området.

    • DNS-servere 1 og 2: DNS-serverne, der udleveres til DHCP-klienter.

    • WINS-servere 1 og 2: WINS-serverne, der udleveres til DHCP-klienter.

    • Leasinglængde: Leasinglængden bestemmer, hvornår DHCP-klienter skal forny deres lejemål på DHCP-leverede adresser.

    • Ping Timeout: Indstillingen Ping Timeout bruges af DHCP-serveren, fordi den pinger hver adresse, som den er klar til at give, før adressen tildeles, for at verificere, at adressen ikke er i brug. Dette reducerer chancen for, at der opstår dobbelt IP-adresser på netværket.

    • Domænenavn: Domænenavnet på DHCP-klienten tilhører.

      

17. Klik på knappen Næste.

    Siden sideoversættelse (NAT / PAT) vises.

18. Konfigurer netværksadresseoversættelse eller portadresseoversættelse.

    Vælg mellem de tilgængelige adressetranslationsteknikker:

    • Brug portadresseoversættelse (PAT): De fleste mindre kontorer, der kun bruger en offentlig IP-adresse på deres internetforbindelse, bruger PAT på deres forbindelse. PAT kan bruge en bestemt adresse eller hovedadressen fra deres udenlandske VLAN-interfaces.PAT giver et helt kontor mulighed for at dele (eller oversætte til) en enkelt ekstern IP-adresse til internetadgang.

    • Brug Network Address Translation (NAT): Valg af NAT sætter en-til-en kortlægning (eller oversættelse) mellem interne og eksterne IP-adresser, så du kan angive en række adresser, der skal bruges på den eksterne VLAN-grænseflade.

      Hvis du bruger ASA internt på dit netværk (for eksempel for at beskytte et server-undernet), skal du muligvis vælge Aktiver trafik via Firewall uden adresseoversættelse, hvis du bruger offentlige adresser på dit interne netværk (ikke sandsynligt) eller hvis du bruger ASA som firewall på det indre af dit netværk.

      

19. Klik på knappen Næste.

    Siden Administration for adgang vises.

20. Indstil hvilke systemer på dit netværk, der kan oprette forbindelse til din ASA for at udføre ledelses- eller konfigurationsændringer.

    Brug følgende proces til at tilføje nye administrationsgrænseflader. Hvis du vil bruge ASDM, skal du markere afkrydsningsfeltet Aktiver HTTP-server til HTTPS / ASDM-adgang, mens afkrydsningsfeltet Aktiver ASDM History Metrics gemmer brugsdata for adgang til ASDM-grænsefladen.

    I kommandolinjens opsætning har du kun mulighed for at gøre ASDM-forbindelser til en enkelt computer. På denne side kan du angive yderligere systemer, der kan udføre styring af din ASA og typen af ​​forbindelse, de foretager for at udføre denne konfiguration.

    

    Hvis du tilføjer en ny administrationsindstilling, vises dialogboksen Tilføj adgang til administrativ adgang. Vælg de ønskede indstillinger for at oprette den nye adgang til administrativ adgang:

    1. Vælg HTTP (ASDM), SSH eller Telnet fra rullelisten Adgangstype.

    2. Vælg Indvendig fra rullelisten Interface Name.

       Indvendig er typisk den sikreste grænsefladeindstilling, men i nogle tilfælde, f.eks. Hvis du skal kunne administrere fjernadministration via Udenfor-grænsefladen, bør du være meget restriktiv i den adresse, hvor administrationen udføres.

    3. Angiv enten en bestemt adresse, hvorfra administrationen udføres i tekstboksen IP-adresse, eller angiv et netværkskort, der er defineret af enten en IP-adresse eller et netværk-id på rullelisten Undernetmaske.

       Husk, jo mere restriktive du kan være med denne konfiguration, desto sikrere er din ASA.

    4. Klik på OK.

       Du vender tilbage til siden Administrativ adgang.

    Hvis du tillader, at din firewall administreres fra den eksterne grænseflade, forlader du dig selv for at blive kompromitteret af en person, du ikke kender.

    

21. Klik på knappen Næste.

    Sammendragssiden for konfigurationen Startguiden vises, og giver et resumé af den konfiguration, du har anvendt på systemet. Alle disse konfigurationsændringer er skrevet i driftskonfigurationen på ASA. Når konfigurationsændringer er foretaget, kan du se standard ASA ASDM-styringsskærmen. Fra denne grænseflade kan du

    • Udfør andre konfigurationsændringer.

    • Genstart startguiden eller andre guider.

    • Udfør grundlæggende overvågning af ASA via hjemmesiden.

    • Udfør mere detaljeret overvågning af ASA og forbindelser, som den er vært via overvågningssiderne.

    • Kør yderligere værktøjer til styring og fejlfinding.

    • Gem den aktuelle konfiguration til flashhukommelsen.