Cisco Adaptive Security Appliance (ASA) - dummies

Når du er koblet til Cisco Adaptive Security Appliance (ASA), må du bestemme om du skal bruke oppstartsveiviseren eller bruk forskjellige konfigurasjonsmetoder. Introduksjonssiden vil dukke opp og som lar deg ta en avgjørelse. Fordi du må ha Java installert på datamaskinen, har du tre valg her:

• Installer ASDM Launcher og Kjør Cisco Adaptive Security Device Manager (ASDM): Installer ASDM på datamaskinen. Hvis dette er datamaskinen du alltid vil bruke til å utføre din ledelse, gir denne metoden mest mening.

• Kjør ASDM: Dette alternativet bruker Java Web Start til å starte ASDM-verktøyet direkte fra kopien som er installert på ASA. Dette er gunstig hvis du ikke er på vanlig datamaskin fordi du ikke installerer programvare.

• Kjør oppstartsveiviser: Dette alternativet bruker også Java Web Start til å starte ASDM, med ett unntak; Etter at ASDM har startet, kjører oppstartsveiviseren automatisk.

  

For å utføre nettverkskonfigurasjonen til ASA går følgende prosess gjennom oppstartsveiviseren:

1. Klikk på Kjør oppstart veiviser på introduksjonssiden.

   Du mottar en advarsel knyttet til sikkerhetsinnstillingene på Java.

2. Hvis du er sikker på at du er koblet til riktig enhet på nettverket, og ikke en falsk enhet som forsøker å samle legitimasjonene dine, avviser du advarselsmeldingen.

   Fordi du forventer denne meldingen fra ASDM, fortsett til nettstedet. Dialogboksen Cisco ASDM Launcher vises.

3. Hvis du har et aktiveringspassord, men ingen faktiske brukere, hopper du over brukernavnet, fyller ut aktiveringspassordet i feltet Passord og klikker OK.

   Hvis du allerede har opprettet en administrativ bruker, oppgir du brukernavnet og passordet i de aktuelle feltene.

   

   Startsiden vises.

4. Velg ett av følgende, basert på om du oppretter ASA først eller om du bruker oppsett for å endre en eksisterende ASA-installasjon:

   • Endre eksisterende konfigurasjon: Du kan velge å endre den eksisterende konfigurasjonen.

   • Tilbakestill konfigurasjon til fabrikkinnstillinger: Med unntak av administrasjonsgrensesnittet, må du endre standardkonfigurasjonen. Som det viser seg, trenger mange små nettverk der ute bare enkle endringer i konfigurasjonen, og som sådan er det å gjenopprette oppstartsveiviseren den enkleste måten å gjøre disse endringene på.

     

5. Klikk på Neste-knappen.

   Grunnleggende konfigurasjonssiden, vises med to valgfrie elementer som du kan velge å gjøre.

6. (Valgfritt) Velg blant følgende elementer:

   • Konfigurer enheten for bruk av telearbeidere: Dette alternativet støtter telearbeidere eller eksterne arbeidstakere via et virtuelt privat nettverk (VPN). Hvis du velger dette alternativet, presenteres du med en ekstra side med spørsmål for Easy VPN Remote Configuration nær slutten av oppstartsveiviseren.

     På denne siden kan du også fortelle oppstartsveiviseren navnet på brannmurenheten, for eksempel ASAFirewall1, og domenenavnet som enheten tilhører, for eksempel edtetz. nett.

   • Endre Privileged Mode (Aktiver) Passord: Hvis du ikke er fornøyd med ditt nåværende aktiveringspassord, må du endre det her før du fullfører dette trinnet i oppstartsveiviseren.

     

7. Klikk på Neste-knappen.

8. Velg virtuelle lokalnettverk (VLAN) for utvendig, inne og eventuelt DMZ-grensesnitt.

   Avhengig av antall grensesnitt du er lisensiert for, kan du konfigurere opptil tre grensesnitt. Den grunnleggende lisensen for ASA lar deg bare ha to grensesnitt. Siden Grensesnittvalg i oppstartsveiviseren vises.

   • Utenfor VLAN står overfor Internett.

   • The Inside VLAN står overfor bedriftsnettverket ditt.

   • DMZ VLAN fungerer parallelt med bedriftens nettverk. Demilitarized Zone (DMZ) er et område hvor du kan plassere servere, for eksempel post, web eller ftp-servere, som publikum generelt - eller i det minste mennesker utenfor nettverket ditt - trenger tilgang til.

   For hver av disse grensesnittene tilordner du en VLAN til segmentet eller velger ikke å bruke grensesnittet i det hele tatt. Som standard er Inside-grensesnittet konfigurert for VLAN 1, som du kan endre hvis du vil; Men fordi dette er standard VLAN på bryterne, kan det hende du ikke vil endre det.

   For ditt utvendige grensesnitt og DMZ-grensesnitt, kan du velge en annen VLAN eller gå med de som er valgt som standard.

   Aktiverer innsiden av VLAN, utenfor VLAN og DMZ VLAN-grensesnitt, ikke faktisk forbinder noen spesielle bryterporter til de grensesnittene. Grensesnittene er virtuelle og må være knyttet til fysiske grensesnitt på bryteren. Dette betyr at et hvilket som helst antall porter kan knyttes til noen av disse grensesnittene.

   

9. Klikk på Neste-knappen.

   Siden for bryterportallokering vises.

10. Tilordne ASA-bryterportene til de tre VLANene ved å velge porten i de tilgjengelige portene eller tildelte portene, og klikk på Legg til eller fjern-knappene.

    I utgangspunktet er alle dine porter knyttet til innsiden av VLAN. I de fleste tilfeller assosierer du det laveste grensesnittet, eller Ethernet 0/0 av en ASA 5505, med utsiden VLAN fordi du vil sannsynligvis ønske å bruke tilleggsportene på innsiden av nettverket ditt.

    På ASA 5505 leverer de to siste porterne også Power over Ethernet (POE) for å slå på enheter, for eksempel telefoner eller tilgangspunkter (APs), som er enda en grunn til at du vil at de øvre porter skal knyttes til det innvendige nettverket.

    Når du velger en bryterport og knytter den til en VLAN eller et grensesnitt, blir du bedt om å få beskjed om at den kan bli fjernet fra et eksisterende VLAN.Fordi alle porter starter i forbindelse med Inside-grensesnittet, ser du denne meldingen for alle dine omplasseringer av portene.

    

11. Klikk på Neste-knappen.

    Grensesnittets IP-adressekonfigurasjonsside vises.

12. Tilordne IP-konfigurasjon for hver av dine IP-adresser.

    For adresser utenfor kan du manuelt tilordne en adresse, noe som ikke er uvanlig for Internett-tilkoblinger. Hvis Internett-tilkoblingen din støtter enten DHCP (Dynamic Host Configuration Protocol) eller Point-to-Point Protocol over Ethernet (PPPOE), velger du det aktuelle alternativet.

    Hvis du bruker DHCP, kan du fortelle at ASA bruker standardgatewayen den mottar fra DHCP som den generelle standardgatewayen for denne enheten. Hvis du velger å ikke bruke det generelle systemgateway-alternativet, må du konfigurere en manuell rute gjennom ASDM eller ruten utenfor 0 0 på kommandolinjegrensesnittet (CLI).

    

13. Klikk på Neste-knappen.

    DHCP-serversiden vises. For små bedrifter eller regionale kontorer kan ASA representerer den eneste virkelige enheten på nettverket, bortsett fra skrivere og datamaskiner. Du kan ha disse stedene konfigurert uten lokale servere på stedet.

14. (Valgfritt) Merk av for Aktiver DHCP-server på Innvendig grensesnitt for å få ASA til å fungere som en DHCP-server for dette nettverkssegmentet.

15. (Valgfritt) Merk av for Aktiver automatisk konfigurasjon fra grensesnitt, slik at du kan kopiere de fleste av disse innstillingene fra et eksisterende grensesnitt.

    Aktivere Autokonfigurasjon er svært nyttig for Domenenavnssystem (DNS) og Windows Internet Name Service (WINS) serveradresser som stadig brukes på alle nettverkssegmenter og kan alle være de samme for organisasjonen.

16. Konfigurer eller endre noe av den manglende informasjonen i følgende:

    • Starte IP-adresse: Den første adressen som skal deles ut i DHCP-området.

    • Avslutter IP-adresse: Den siste adressen som skal deles ut i DHCP-området.

    • DNS-servere 1 og 2: DNS-serverne som deles ut til DHCP-klienter.

    • WINS-servere 1 og 2: WINS-serverne som deles ut til DHCP-klienter.

    • Lease Length: Lease lengden bestemmer når DHCP klienter er pålagt å forny leiekontrakter på DHCP-leverte adresser.

    • Ping Timeout: Innstillingen for Ping Timeout brukes av DHCP-serveren fordi den pinger hver adresse som den er klar til å gi, før du tildeler adressen, for å bekrefte at adressen ikke er i bruk. Dette reduserer sjansen for at dupliserte IP-adresser blir opprettet på nettverket.

    • Domenenavn: Domenenavnet til DHCP-klienten tilhører.

      

17. Klikk på Neste-knappen.

    Siden Adressoversettelse (NAT / PAT) vises.

18. Konfigurer nettverksadresseoversettelse eller portadresseoversettelse.

    Velg mellom de tilgjengelige adressebeskrivelsesmetodene:

    • Bruk portadresseoversettelse (PAT): De fleste små kontorer, som bare bruker en offentlig IP-adresse på Internett-tilkoblingen, bruker PAT på deres forbindelse. PAT kan bruke en bestemt adresse eller hovedadressen fra sine eksterne VLAN-grensesnitt.PAT tillater et helt kontor å dele (eller oversette til) en enkelt ekstern IP-adresse for Internett-tilgang.

    • Bruk nettverksadresseoversettelse (NAT): Ved å velge NAT legger du en-til-en-mapping (eller oversettelse) mellom interne og eksterne IP-adresser, slik at du kan spesifisere en rekke adresser som skal brukes på det eksterne VLAN-grensesnittet.

      Hvis du bruker ASA internt på nettverket ditt (for eksempel for å beskytte et server-undernett), vil du kanskje velge Aktiver trafikk via brannmuren uten adresseversjonsknappen hvis du bruker offentlige adresser på ditt interne nettverk (ikke sannsynlig) eller hvis du bruker ASA som brannmur på innsiden av nettverket ditt.

      

19. Klikk på Neste-knappen.

    Siden Administrativ tilgang vises.

20. Angi hvilke systemer på nettverket du kan koble til din ASA for å utføre ledelses- eller konfigurasjonsendringer.

    Bruk følgende prosess for å legge til nye administrasjonsgrensesnitt. Hvis du vil bruke ASDM, må du merke av for Aktiver HTTP-server for HTTPS / ASDM-tilgang, mens avmerkingsboksen Aktiver ASDM History Metrics lagrer bruksdata angående tilgang til ASDM-grensesnittet.

    I kommandolinjens oppsett har du bare muligheten til å ASDM-tilkoblinger gjøres fra en enkelt datamaskin. På denne siden kan du angi flere systemer som kan utføre administrasjon av din ASA og typen tilkobling de foretar for å utføre denne konfigurasjonen.

    

    Hvis du legger til et nytt administrasjonsalternativ, vises dialogboksen Legg til administrativ tilgangsoppføring. Velg de ønskede alternativene for å opprette den nye administrativ tilgangsposten:

    1. Velg HTTP (ASDM), SSH eller Telnet fra rullegardinlisten Tilgangstype.

    2. Velg Innvendig fra rullegardinlisten Grensesnittnavn.

       Inne er vanligvis det sikreste grensesnittet, men i noen tilfeller, for eksempel hvis du trenger å kunne utføre ekstern administrasjon over Uten grensesnittet, bør du være svært restriktiv i adressen fra hvilken administrasjonen utføres.

    3. Angi enten en bestemt adresse hvorfra administrasjon utføres i tekstboksen IP-adresse eller gi et nettverksområde som er definert av enten en IP-adresse eller et nettverks-ID fra rullegardinlisten Subnet Mask.

       Husk, jo mer restriktiv du kan være med denne konfigurasjonen, desto sikrere er din ASA.

    4. Klikk på OK.

       Du går tilbake til administrativ tilgangssiden.

    Hvis du tillater at brannmuren administreres fra det eksterne grensesnittet, lar du deg stå åpen for å kunne bli skadet av noen du ikke kjenner.

    

21. Klikk på Neste-knappen.

    Sammendragssiden for konfigurasjonen Oppstartsveiviseren vises, og gir et sammendrag av konfigurasjonen du har søkt på systemet. Alle disse konfigurasjonsendringene er skrevet inn i løpekonfigurasjonen på ASA. Etter at konfigurasjonsendringene er gjort, ser du standard ASA ASDM-styringsskjermen. Fra dette grensesnittet kan du

    • Utfør andre konfigurasjonsendringer.

    • Start på nytt startveiviseren eller andre veivisere.

    • Utfør grunnleggende overvåking av ASA via hjemmesiden.

    • Utfør mer detaljert overvåking av ASA og forbindelser som den vert gjennom Monitoring-sidene.

    • Kjør ekstra verktøy for administrasjon og feilsøking.

    • Lagre gjeldende konfigurasjon i flashminne.