Installationsguiden för cisco Adaptive Security Appliance (ASA) - dummies

När du är ansluten till din Cisco Adaptive Security Appliance (ASA) måste du bestämma om du ska använda startguiden eller använd olika konfigurationsmetoder. Introduktionssidan kommer att visas och som låter dig fatta ett beslut. Eftersom du behöver ha Java installerad på din dator har du tre alternativ här:

• Installera ASDM Launcher och kör Cisco Adaptive Security Device Manager (ASDM): Installerar ASDM på din dator. Om det här är den dator som du alltid kommer att använda för att utföra din hantering, är den här metoden mest meningsfull.

• Kör ASDM: Detta alternativ använder Java Web Start för att starta ASDM-verktyget direkt från den kopia som är installerad på ASA. Detta är fördelaktigt om du inte befinner dig på din vanliga dator eftersom du inte installerar någon programvara.

• Kör startguiden: Detta alternativ använder även Java Web Start för att starta ASDM, med ett undantag; När ASDM har startat körs startguiden automatiskt.

  

För att utföra ASA-konfigurationens nätverkskonfiguration, går följande procedur genom Startguiden:

1. Klicka på knappen Starta startguiden på introduktionssidan.

   Du får en varning relaterad till säkerhetsinställningarna på Java.

2. Om du är säker på att du är ansluten till rätt enhet i nätverket och inte någon falsk enhet som försöker samla in dina uppgifter, avvisa varningsmeddelandet.

   Eftersom du förväntar dig detta meddelande från ASDM, fortsätt till webbplatsen. Dialogrutan Cisco ASDM Launcher visas.

3. Om du har ett aktiverat lösenord, men inga faktiska användare, hoppa över fältet Användarnamn, fyll i lösenordet i fältet Lösenord och klicka på OK.

   Om du redan har skapat en administrativ användare, ange användarnamnet och lösenordet i lämpliga fält.

   

   Startsidan visas.

4. Välj ett av följande, baserat på om du initierar ASA först eller om du använder inställningen för att ändra en befintlig ASA-installation:

   • Ändra befintlig konfiguration: Du kan välja att ändra den befintliga konfigurationen.

   • Återställ konfiguration till fabriksinställningar: Med undantag för hanteringsgränssnittet, ändra standardkonfigurationen. Det visar sig att många små nätverk där ute behöver bara enkla ändringar av deras konfiguration, och som sådan är det enklaste sättet att göra dessa ändringar genom att återställa startguiden.

     

5. Klicka på knappen Nästa.

   Grundläggande konfigurationssidan visas med två valfria objekt som du kan välja att göra.

6. (Valfritt) Välj bland följande:

   • Konfigurera enheten för användning av telearbetare: Det här alternativet stöder distansarbetare eller fjärrarbetare via ett virtuellt privat nätverk (VPN). Om du väljer det här alternativet presenteras en extra sida med frågor för Easy VPN Remote Configuration nära slutet av Startguiden.

     På den här sidan kan du också berätta för startguiden namnet på brandväggsenheten, såsom ASAFirewall1, och det domännamn som enheten hör till, till exempel edtetz. netto.

   • Ändra Privileged Mode (Aktivera) Lösenord: Om du inte är nöjd med ditt aktuella aktiveringslösenord, ändra det här innan du avslutar det här steget i Startguiden.

     

7. Klicka på knappen Nästa.

8. Välj virtuella lokala nätverksnät (VLAN) för utvändigt, inuti och eventuellt DMZ-gränssnitt.

   Beroende på antalet gränssnitt du är licensierad för, kan du konfigurera upp till tre gränssnitt. Grundlicensen för ASA ger dig möjlighet att bara ha två gränssnitt. Gränssnittsvalet i startguiden visas.

   • Utanför VLAN står inför Internet.

   • Inne i VLAN står inför ditt företags nätverk.

   • DMZ VLAN fungerar parallellt med ditt företagsnätverk. Den Demilitarized Zone (DMZ) är ett område där du kan placera servrar, till exempel post, webb eller ftp-servrar, som allmänheten i stort - eller åtminstone personer utanför ditt nätverk - behöver tillgång till.

   För varje av dessa gränssnitt tilldelar du en VLAN till segmentet eller väljer att inte använda gränssnittet alls. Som standard är Inside-gränssnittet konfigurerat för VLAN 1, vilket du kan ändra om du vill. Men eftersom det här är standard VLAN på dina växlar, kanske du inte vill ändra det.

   För ditt utvändigt gränssnitt och DMZ-gränssnitt kan du välja en annan VLAN eller gå med de som valts som standard.

   Aktivering av inbyggda VLAN, VLAN-gränssnitt och DMZ-gränssnitt kopplar inte faktiskt några specifika växelportar till de gränssnitt. Gränssnittet är virtuellt och måste kopplas till fysiska gränssnitt på strömbrytaren. Det betyder att ett antal portar kan kopplas till någon av dessa gränssnitt.

   

9. Klicka på knappen Nästa.

   Omkopplingsporttilldelningen visas.

10. Tilldela ASA-switchportarna till de tre VLAN: erna genom att välja porten i rutorna Tillgängliga portar eller tilldelade portar och klicka på Lägg till eller Ta bort-knapparna.

    I början är alla dina portar kopplade till den inre VLAN. I de flesta fall associerar du det lägsta gränssnittet, eller Ethernet 0/0 på en ASA 5505, med utsidan VLAN eftersom du sannolikt vill använda de extra portarna på insidan av ditt nätverk.

    På ASA 5505 levererar de två sista portarna Power over Ethernet (POE) för att starta enheter, till exempel telefoner eller åtkomstpunkter, vilket är en annan anledning till att de övre portarna ska associeras med det inre nätverket.

    När du väljer en växlingsport och associerar den med en VLAN eller ett gränssnitt, får du ett meddelande om att det kan tas bort från en befintlig VLAN.Eftersom alla portar startar i samband med Inside-gränssnittet, ser du det här meddelandet för alla dina omdirigeringar.

    

11. Klicka på knappen Nästa.

    Gränssnittets IP-adresskonfigurationssida visas.

12. Tilldela IP-konfiguration för var och en av dina IP-adresser.

    För din externa adress kan du manuellt tilldela en adress, vilket inte är ovanligt för Internet-anslutningar till Internet. Om din Internetanslutning stöder antingen DHCP (Dynamic Host Configuration Protocol) eller Point-to-Point-protokoll över Ethernet (PPPOE), välj det lämpliga alternativet.

    Om du använder DHCP, berätta för ASA om att använda standardgatewayen som den mottar från DHCP som den systemövergripande standardgatewayen för den här enheten. Om du väljer att inte använda det systemövergripande standardgatewayalternativet måste du konfigurera en manuell rutt genom ASDM eller rutten utanför 0 0 vid kommandoradsgränssnittet (CLI).

    

13. Klicka på knappen Nästa.

    DHCP-serverns sida visas. För småföretag eller regionala kontor kan ASA representera den enda verkliga enheten på nätverket, förutom skrivare och datorer. Du kan få dessa platser att installeras utan lokala servrar på plats.

14. (Valfritt) Markera kryssrutan Aktivera DHCP-server i kryssrutan Interface för att få ASA att fungera som en DHCP-server för detta nätverkssegment.

15. (Valfritt) Markera kryssrutan Aktivera automatisk konfiguration från gränssnitt så att du kan kopiera de flesta av dessa inställningar från ett existerande gränssnitt.

    Aktivera kryssrutan Automatisk konfiguration är mycket användbar för domännamnssystem (DNS) och Windows Internet Name Service (WINS) -serveradresser som ständigt används på alla nätverkssegment och kan alla vara desamma för organisationen.

16. Konfigurera eller ändra någon av de saknade uppgifterna i följande:

    • Starta IP-adress: Den första adressen som ska delas ut i DHCP-området.

    • Avsluta IP-adress: Den sista adressen som ska delas ut i DHCP-området.

    • DNS-servrar 1 och 2: DNS-servrarna som delas ut till DHCP-klienter.

    • WINS-servrar 1 och 2: WINS-servrarna som delas ut till DHCP-klienter.

    • Leasinglängd: Leasinglängden bestämmer när DHCP-klienter är skyldiga att förnya sina leasingavtal på DHCP-levererade adresser.

    • Ping Timeout: Inställningen för Ping Timeout används av DHCP-servern eftersom den pingar varje adress som den är redo att ge innan adressen tilldelas för att verifiera att adressen inte används. Detta minskar risken för att dubbla IP-adresser skapas i nätverket.

    • Domännamn: Domännamnet på DHCP-klienten hör till.

      

17. Klicka på knappen Nästa.

    Sidan Adressversion (NAT / PAT) visas.

18. Ställ in nätverksadress översättning eller portadress översättning.

    Välj från de tillgängliga adressöversättningsmetoderna:

    • Använd portadressöversättning (PAT): De flesta små kontor, som endast använder en offentlig IP-adress i Internet-anslutningen, använder PAT på deras anslutning. PAT kan använda en specifik adress eller huvudadress från sina yttre VLAN-gränssnitt.PAT tillåter ett helt kontor att dela (eller översätta till) en enda extern IP-adress för Internet-åtkomst.

    • Använda nätverksadressöversättning (NAT): Val av NAT sätter en-till-en-mappning (eller översättning) mellan interna och externa IP-adresser, så att du kan ange ett antal adresser som ska användas på det yttre VLAN-gränssnittet.

      Om du använder ASA internt i ditt nätverk (till exempel för att skydda ett serverns delnät), kan du välja Aktivera trafik via brandväggen utan adressadresseradio-knappen om du använder offentliga adresser på ditt interna nätverk (inte troligt) eller om du använder ASA som brandvägg på insidan av ditt nätverk.

      

19. Klicka på knappen Nästa.

    Sidan Administrativ åtkomst visas.

20. Ange vilka system i ditt nätverk som kan ansluta till din ASA för att utföra hantering eller konfigurationsändringar.

    Använd följande process för att lägga till nya hanteringsgränssnitt. Om du vill använda ASDM måste du markera kryssrutan Aktivera HTTP-server för HTTPS / ASDM-åtkomst, medan kryssrutan Aktivera ASDM History Metrics sparar användningsdata när det gäller åtkomst till ASDM-gränssnittet.

    I kommandoradsinställningen har du bara möjlighet att ASDM-anslutningar görs från en enda dator. På den här sidan kan du ange ytterligare system som kan utföra hanteringen av ditt ASA och vilken typ av anslutning de gör för att utföra den konfigurationen.

    

    Om du lägger till ett nytt hanteringsalternativ visas dialogrutan Lägg till administrativ åtkomst. Välj önskade alternativ för att skapa den nya administrativa åtkomstadressen:

    1. Välj HTTP (ASDM), SSH eller Telnet från listrutan Åtkomsttyp.

    2. Välj Inne i rullgardinsmenyn Gränssnittsnamn.

       Inuti är vanligtvis det säkraste gränssnittsalternativet, men i vissa fall, till exempel om du behöver kunna utföra fjärranslutning över gränssnittet utanför, bör du vara mycket restriktiv i den adress från vilken administrationen utförs.

    3. Ange antingen en specifik adress från vilken administration utförs i textrutan IP-adress eller ge ett nätverksintervall som definieras av antingen en IP-adress eller ett nätverks-ID på rullgardinsmenyn Subnet Mask.

       Kom ihåg, ju mer restriktiv du kan vara med den här konfigurationen desto säkrare är din ASA.

    4. Klicka på OK.

       Du återgår till sidan Administrativ åtkomst.

    Om du tillåter att din brandvägg administreras från det yttre gränssnittet, lämnar du dig själv öppen för att kunna äventyras av någon du inte känner till.

    

21. Klicka på knappen Nästa.

    Sammanfattningssidan för konfigurationen Startguiden visas och ger en sammanfattning av konfigurationen som du har tillämpat på systemet. Alla dessa konfigurationsändringar skrivs i löpkonfigurationen på ASA. När konfigurationsändringar har gjorts, ser du standard ASA ASDM-hanteringsskärmen. Från detta gränssnitt kan du

    • Utför andra konfigurationsändringar.

    • Starta startguiden eller andra guider.

    • Utför grundläggande övervakning av ASA via hemsidan.

    • Utför mer detaljerad övervakning av ASA och anslutningar som den är värd via övervakningssidorna.

    • Kör ytterligare verktyg för hantering och felsökning.

    • Spara den aktuella konfigurationen till flashminnet.