Guiden Cisco Adaptive Security Appliance (ASA) Setup

March 25

När du är ansluten till din Cisco Adaptive Security Appliance (ASA), måste du bestämma om du vill använda startguiden eller använd en differemt konfigurationsmetoder. Införandet sidan kommer att visas och som tillåter dig att göra ett beslut. Eftersom du måste ha Java installerat på din dator, har du tre val här:

  • Installera ASDM Launcher och kör Cisco Adaptive Security Device Manager (ASDM): Installerar ASDM på din dator. Om detta är den dator du kommer alltid att använda för att utföra din ledning, gör denna metod mest bemärkelse.
  • Kör ASDM: Det här alternativet använder Java Web Start för att starta ASDM verktyget direkt från kopian installerad på ASA. Detta är bra om du inte är på din vanliga dator eftersom du inte installera någon programvara.
  • Kör Startguiden: Det här alternativet använder även Java Web Start för att starta ASDM, med ett undantag; efter ASDM har lanserat, Startguiden körs automatiskt.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

För att utföra nätverkskonfigurationen av ASA, följande process leder dig genom Startguiden:

  1. Klicka på knappen Kör Startguiden om införandet sidan.

    Du får ett varnings relaterad till säkerhetsinställningarna på Java.
  2. Om du är säker på att du är ansluten till rätt enhet i nätverket och inte några falska enhet försöker samla dina referenser ogilla varningsmeddelande.

    Eftersom du förväntar meddelandet från ASDM, fortsätter till webbplatsen. Cisco ASDM Launcher visas dialogrutan.
  3. Om du har en aktivera lösenord, men inga faktiska användare, hoppa fältet Användarnamn, fyll i aktiverings lösenord i fältet Lösenord och klicka på OK.

    Om du redan har skapat en administratör, ge användarnamn och lösenord i respektive fält.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

    Utgångspunkten visas.

  4. Välj något av följande, beroende på om du ställer in ASA initialt eller om du använder setup för att ändra en befintlig ASA installation:
    • Ändra befintlig konfiguration: Du kan välja att ändra den nuvarande konfigurationen.
    • Återställ Konfiguration till fabriksinställningar: Med undantag för administrationsgränssnittet, ändra standardkonfigurationen. Som det visar sig, en massa små nätverk där ute kräver endast enkla förändringar i sin konfiguration, och som sådan, åter köra Startguiden är det enklaste sättet att göra dessa förändringar.

      Guiden Cisco Adaptive Security Appliance (ASA) Setup
  5. Klicka på Nästa.

    Basic Configuration, visas med två valfria punkter som du kan välja att göra.
  6. (Valfritt) Välj något av följande poster:
    • Konfigurera enheten för distansarbetare Användning: Det här alternativet stöder distansarbetare eller distansarbetare via ett virtuellt privat nätverk (VPN). Om du väljer det här alternativet, är du presenteras med en extra sida med frågor till Easy VPN Remote Configuration nära slutet av Startguiden.

      På denna sida kan du också berätta Startguiden namnet på brandväggs enhet, till exempel ASAFirewall1, och domännamnet som enheten tillhör, t.ex. edtetz.net.
    • Ändra Privileged Läge (Enable) Lösenord: Om du inte är nöjd med din nuvarande aktivera lösenord, ändra det här innan du slutföra det här steget av Startguiden.

      Guiden Cisco Adaptive Security Appliance (ASA) Setup
  7. Klicka på Nästa.
  8. Välj virtuella lokala nätverk (VLAN) för utsidan, insidan, och eventuellt, DMZ gränssnitt.

    Beroende på antalet gränssnitt som du är licensierade för, kan du konfigurera upp till tre gränssnitt. Grund licens för ASA kan du ha endast två gränssnitt. Interface Val sidan av Startguiden visas.

    • Den Utanför VLAN vetter mot Internet.
    • The Inside VLAN ansikten företagets nätverk.
    • DMZ VLAN fungerar parallellt med företagets nätverk. Den demilitariserade zonen (DMZ) är ett område där man kan placera servrar, såsom e-post, webb, eller ftp-servrar, att den stora allmänheten - eller åtminstone personer utanför ditt nätverk - behöver tillgång till.

    För vart och ett av dessa gränssnitt, du tilldelar ett VLAN till segmentet eller välja att inte använda gränssnittet alls. Som standard är den Inside gränssnittet konfigureras för VLAN 1, som du kan ändra om du vill; Men eftersom detta är standard VLAN på dina switchar, du kanske inte vill ändra det.

    För din Utanför gränssnitt och DMZ-gränssnitt, kan du välja en annan VLAN eller gå med de som valts som standard.

    Aktivera insidan VLAN, utanför VLAN och DMZ VLAN-gränssnitt faktiskt inte associera några speciella switchportar till dessa gränssnitt. Gränssnitten är virtuellt och behöver vara associerade till fysiska gränssnitt på växeln. Detta betyder att vilket som helst antal portar kan vara associerade med vilken som helst av dessa gränssnitt.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

  9. Klicka på Nästa.

    The Switch Port Allocation sidan visas.
  10. Tilldela ASA switchportar till de tre VLAN genom att välja hamnen i Tillgängliga portar eller Tilldelade Hamnar rutor och klicka på Lägg till eller ta bort knappar.

    Initialt är alla dina portar associerade med insidan VLAN. I de flesta fall, associera lägsta gränssnittet eller Ethernet 0/0 av en ASA 5505, med utsidan VLAN eftersom du kommer förmodligen vill använda ytterligare portar på insidan av ditt nätverk.

    Också på ASA 5505, de sista två portar levererar Power over Ethernet (PoE) för att driva upp enheter, till exempel telefoner eller åtkomstpunkter (AP), vilket är ytterligare en anledning till att du vill ha de övre portarna att förknippas med insidan nätverket .

    Som du väljer en switch-port och koppla det till ett VLAN eller gränssnitt, uppmanas du med ett meddelande som talar om att det kan avlägsnas från en befintlig VLAN. Eftersom alla portar börjar förknippas med Inside gränssnittet, visas det här meddelandet för alla dina hamn omplaceringar.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

  11. Klicka på Nästa.

    Gränssnittet IP-adress konfigurationssida visas.
  12. Tilldela IP-konfiguration för alla dina IP-adresser.

    För din utanför adress, kan du tilldela en adress, vilket inte är ovanligt för företag Internetanslutningar manuellt. Om din Internet-anslutning stöder antingen Dynamic Host Configuration Protocol (DHCP) eller Pppoe (PPPoE), välj lämpligt alternativ.

    Om du använder DHCP, berätta för din ASA för att använda standardgateway den får från DHCP som systemomfattande standardgateway för den här enheten. Om du väljer att inte använda systemet omfattande standardgateway alternativet måste du konfigurera en manuell väg genom ASDM eller vägen utanför 0 0 <IP-adress gateway> vid kommandoradsgränssnitt (CLI).

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

  13. Klicka på Nästa.

    DHCP-server visas. För små företag eller regionala kontor, kan ASA representera den enda verkliga enheten på annat sätt än skrivare och datorer nätverk. Du kan ha dessa platser inrättats utan några lokala servrar på plats.
  14. (Valfritt) Markera Aktivera DHCP-server på kryssrutan Inside Interface har ASA fungera som en DHCP-server för den här nätverkssegmentet.
  15. (Valfritt) Markera Aktivera automatisk konfiguration Interface kryssrutan från så att du kan kopiera de flesta av dessa inställningar från en befintlig gränssnitt.

    Aktivera kryssrutan Auto-Configuration är mycket användbart för Domain Name System (DNS) och Windows Internet Name Service (WINS) serveradresser som hela tiden används på alla nätverkssegment och kan alla vara samma för organisationen.
  16. Konfigurera eller ändra någon information saknas i följande:
    • Start IP-adress: Den första adressen som ska delas ut i DHCP intervallet.
    • Ending IP-adress: Den sista adress som ska delas ut i DHCP intervallet.
    • DNS-servrar 1 och 2: De DNS-servrar som delas ut till DHCP-klienter.
    • WINS-servrar 1 och 2: De WINS-servrar som delas ut till DHCP-klienter.
    • Lease Längd: Hyresavtalet längd bestämmer när DHCP-klienter är skyldiga att förnya sina kontrakt på DHCP levererade adresser.
    • Ping Timeout: Inställningen Ping Timeout används av DHCP-servern eftersom det pingar varje adress som den är redo att ge, innan tilldela adress, för att kontrollera att adressen inte används. Detta minskar risken för dubbla IP-adresser skapas på nätverket.
    • Domännamn: Domännamnet på DHCP-klienten tillhör.

      Guiden Cisco Adaptive Security Appliance (ASA) Setup
  17. Klicka på Nästa.

    The Address Translation (NAT / PAT) visas.
  18. Ställ in Network Address Translation eller Port Address Translation.

    Välj bland de tillgängliga metoderna adressöversättnings:

    • Använd Port Address Translation (PAT): De flesta små kontor, som bara använder en offentlig IP-adress på sin Internetanslutning, använd PAT på deras anslutning. PAT kan använda en specifik adress eller huvud adress från deras utanför VLAN-gränssnitt. PAT möjliggör ett helt kontor för att dela (eller översätta till) en enda extern IP-adress för Internet-åtkomst.
    • Använd Network Address Translation (NAT): Välja NAT sätter ett-till-ett-mappning (eller översättning) mellan interna och externa IP-adresser, så att du kan ange ett intervall av adresser för användning på utsidan VLAN gränssnittet.

      Om du använder ASA internt i nätverket (till exempel för att skydda en server subnät), kan du välja Aktivera Trafik genom brandväggen Utan Address Translation alternativknappen om du använder offentliga adresser på det interna nätverket (inte troligt) eller om du använder ASA som brandvägg på insidan av ditt nätverk.

      Guiden Cisco Adaptive Security Appliance (ASA) Setup

  19. Klicka på Nästa.

    Den administrativ tillgång sida visas.
  20. Ställ vilka system i nätverket kan ansluta till din ASA för att utföra lednings eller konfigurationsändringar.

    Använd följande process för att lägga till nya hanteringsgränssnitt. Om du vill använda ASDM, måste du välja Aktivera HTTP-server för HTTPS / ASDM Tillgång kryssrutan, medan Aktivera ASDM Historia Metrics kryssrutan sparar användningsdata avseende åtkomst till ASDM gränssnittet.

    I kommandoraden setup, bara har du möjlighet att ASDM anslutningar som ska göras från en enda dator. Denna sida kan du ange ytterligare system som kan utföra hantering av din ASA och vilken typ av anslutning som de gör för att utföra denna konfiguration.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

    Om du lägger till en ny ledning alternativet Lägg administrativ tillgång dialog Entry ruta visas. Välj önskade alternativ för att skapa den nya administrativ tillgång post:

    1. Välj HTTP (ASDM), SSH eller Telnet i listrutan Åtkomst Type.
    2. Välj Inne från Interface Name listrutan.

      Inuti är vanligtvis den säkraste gränssnittet alternativet, men i vissa fall, till exempel om du behöver för att kunna utföra fjärradministration över Utanför gränssnittet, bör du vara mycket restriktiv med adress från vilken administrationen utförs.
    3. Ange antingen en specifik adress från vilken administration utförs i IP-adress textruta eller ge ett nätverksintervall som definieras av antingen en IP-adress eller ett nätverks-ID från nätmasken listrutan.

      Kom ihåg att ju mer restriktiva du kan vara med denna konfiguration, desto mer säkra din ASA är.
    4. Klicka på OK.

      Du återgår till administrativ tillgång sidan.

    Om du låter din brandvägg som ska administreras utifrån gränssnittet, lämnar du själv öppen för potentiellt komprometteras av någon du inte känner.

    Guiden Cisco Adaptive Security Appliance (ASA) Setup

  21. Klicka på Nästa.

    Sammanfattningen sidan av konfigurationen Startguiden visas, ger en sammanfattning av den konfiguration som du har ansökt till systemet. Alla dessa konfigurationsändringar skrivs in i konfigurationen som körs på ASA. Efter konfigurationsändringar görs, ser du standard ASA ASDM management skärmen. Från detta gränssnitt kan du

    • Utför inga andra ändringar i konfigurationen.
    • Starta om Startguiden eller andra trollkarlar.
    • Utför grundläggande övervakning av ASA via hemsidan.
    • Utför mer detaljerad övervakning av ASA och anslutningar som den är värd genom sidorna övervaknings.
    • Kör ytterligare hantering och felsökningsverktyg.
    • Spara den aktuella konfigurationen till flashminnet.

      Guiden Cisco Adaptive Security Appliance (ASA) Setup