Wizard Persediaan Keselamatan Cisco (ASA) - dummies

Selepas anda disambungkan ke Cisco Security Adaptive Appliance (ASA), anda perlu memutuskan sama ada hendak menggunakan wizard permulaan atau gunakan kaedah konfigurasi yang berbeza. Halaman pengenalan akan muncul dan membolehkan anda membuat keputusan. Oleh kerana anda perlu memasang Java pada komputer anda, anda mempunyai tiga pilihan di sini:

Pasang Launcher ASDM dan Jalankan Pengurus Peranti Keselamatan Adaptive Cisco (ASDM): Menginstall ASDM pada komputer anda. Jika ini adalah komputer yang anda akan gunakan untuk melaksanakan pengurusan anda, kaedah ini paling masuk akal.
Jalankan ASDM: Pilihan ini menggunakan Java Web Start untuk melancarkan alat ASDM secara langsung dari salinan yang dipasang pada ASA. Ini bermanfaat jika anda tidak berada di komputer biasa anda kerana anda tidak memasang sebarang perisian.
Run Wizard Startup: Pilihan ini juga menggunakan Java Web Start untuk melancarkan ASDM, dengan satu pengecualian; selepas ASDM dilancarkan, Wizard Permulaan berjalan secara automatik.

Untuk melaksanakan konfigurasi rangkaian ASA, proses berikut berjalan pada Wizard Permulaan:

Klik butang Run Startup Wizard pada halaman pengenalan.

Anda menerima peringatan yang berkaitan dengan tetapan keselamatan di Java.
Jika anda yakin bahawa anda disambungkan ke peranti yang betul pada rangkaian dan tidak ada peranti palsu yang cuba mengumpul kelayakan anda, buang mesej amaran.

Kerana anda menjangkakan mesej ini dari ASDM, terus ke laman web. Kotak dialog Pelancar Cisco ASDM muncul.
Jika anda mempunyai kata laluan yang membolehkan, tetapi tidak ada pengguna yang sebenarnya, langkau medan Username, isikan kata laluan membolehkan dalam bidang Kata Sandi, dan klik OK.

Jika anda telah mencipta pengguna pentadbiran, berikan nama pengguna dan kata laluan dalam medan yang sesuai.

Halaman Titik Permulaan muncul.
Pilih salah satu yang berikut, berdasarkan sama ada anda menyediakan ASA pada mulanya atau sama ada anda menggunakan persediaan untuk menukar pemasangan ASA sedia ada:
- Ubahsuai Konfigurasi yang Ada: Anda boleh memilih untuk mengubah suai konfigurasi yang sedia ada.
- Tetapkan Konfigurasi ke Lalai Kilang: Dengan pengecualian antara muka pengurusan, ubah suai konfigurasi lalai. Kerana ternyata, banyak rangkaian kecil di luar sana memerlukan hanya perubahan mudah pada konfigurasi mereka, dan oleh itu, menjalankan semula Wizard Permulaan adalah cara paling mudah untuk membuat perubahan ini.
Klik butang Seterusnya.

Halaman Asas Konfigurasi, muncul dengan dua item pilihan yang boleh anda pilih.
(Pilihan) Pilih dari item berikut:
- Konfigurasikan Peranti untuk Penggunaan Teleworker: Opsyen ini menyokong pekerja telekerja atau pekerja terpencil melalui rangkaian peribadi maya (VPN). Jika anda memilih pilihan ini, anda akan dibentangkan dengan halaman tambahan soalan untuk Mudah VPN Remote Configuration berhampiran akhir Wizard Permulaan.
  
  Di halaman ini, anda juga boleh memberitahu Wizard Permulaan nama peranti firewall, seperti ASAFirewall1, dan nama domain yang dimiliki oleh peranti, seperti edtetz. bersih.
- Ubah Mod Keistimewaan (Aktifkan) Kata Laluan: Jika anda tidak berpuas hati dengan kata laluan aktif anda, ubahnya di sini sebelum anda melengkapkan langkah Wizard Permulaan ini.
Klik butang Seterusnya.
Pilih rangkaian kawasan tempatan maya (VLAN) untuk Luar, Dalam, dan pilihan, antara muka DMZ.

Bergantung pada bilangan antara muka anda dilesenkan, anda boleh mengkonfigurasi sehingga tiga antara muka. Lesen asas untuk ASA membolehkan anda mempunyai hanya dua antara muka. Halaman Pemilihan Antara Muka Wizard Permulaan muncul.
- Di Luar VLAN menghadapi Internet.
- The Di dalam VLAN menghadapi rangkaian korporat anda.
- DMZ VLAN beroperasi selari dengan rangkaian korporat anda. Zon Demilariisasi (DMZ) adalah kawasan di mana anda boleh meletakkan pelayan, seperti mel, web, atau pelayan ftp, bahawa orang ramai pada umumnya - atau sekurang-kurangnya orang di luar rangkaian anda - perlu akses.
Bagi setiap antara muka ini, anda memberikan VLAN ke segmen atau memilih untuk tidak menggunakan antara muka sama sekali. Secara lalai, antara muka Dalam dikonfigurasi untuk VLAN 1, yang boleh anda ubah jika anda mahu; bagaimanapun, kerana ini adalah VLAN lalai pada suis anda, anda mungkin tidak mahu mengubahnya.

Untuk antara muka antara muka dan antara muka DMZ, anda boleh memilih VLAN yang lain atau pergi dengan yang dipilih secara lalai.

Mengaktifkan bahagian dalam VLAN, di luar antara muka VLAN, dan DMZ VLAN sebenarnya tidak mengaitkan sebarang port suis tertentu ke antara muka tersebut. Antara muka adalah maya dan perlu dikaitkan dengan antara muka fizikal pada suis. Ini bermakna mana-mana bilangan pelabuhan boleh dikaitkan dengan mana-mana antara muka ini.
Klik butang Seterusnya.

Halaman Allocation Port Switch muncul.
Tetapkan pelabuhan suis ASA ke tiga VLAN dengan memilih port dalam Port Tersedia atau Port Dipindahkan dan klik butang Tambah atau Buang.

Pada mulanya, semua pelabuhan anda dikaitkan dengan VLAN dalam. Dalam kebanyakan kes, kaitkan antara muka yang paling rendah, atau Ethernet 0/0 dari ASA 5505, dengan VLAN luar kerana anda mungkin akan menggunakan port tambahan di bahagian dalam rangkaian anda.

Juga, pada ASA 5505, kedua-dua pelabuhan terakhir membekalkan Kuasa ke atas Ethernet (POE) untuk menghidupkan peranti, seperti telefon atau titik akses (AP), yang merupakan satu lagi alasan yang anda mahukan pelabuhan atas dikaitkan dengan rangkaian dalaman.

Apabila anda memilih port suis dan mengaitkannya dengan VLAN atau antara muka, anda akan diminta dengan mesej yang memberitahu anda bahawa ia boleh dikeluarkan dari VLAN yang sedia ada.Kerana semua port bermula dengan antaramuka Inside, anda melihat mesej ini untuk semua reassignments port anda.
Klik butang Seterusnya.

Halaman Konfigurasi Alamat IP Antaramuka muncul.
Berikan konfigurasi IP untuk setiap alamat IP anda.

Untuk alamat luar anda, anda secara manual boleh memberikan alamat, yang tidak biasa untuk sambungan internet perniagaan. Jika sambungan Internet anda menyokong sama ada Protokol Konfigurasi Hos Dynamic (DHCP) atau Protokol Titik ke Titik melalui Ethernet (PPPOE), pilih pilihan yang sesuai.

Jika anda menggunakan DHCP, beritahu ASA anda untuk menggunakan gateway lalai yang diterima daripada DHCP sebagai gateway lalai seluruh sistem untuk peranti ini. Jika anda memilih untuk tidak menggunakan pilihan pintu masuk lalai sistem keseluruhan, anda perlu mengkonfigurasi laluan manual melalui ASDM atau laluan luar 0 0 pada antara muka baris arahan (CLI).
Klik butang Seterusnya.

Halaman Pelayan DHCP muncul. Untuk perniagaan kecil atau pejabat serantau, ASA mungkin mewakili satu-satunya peranti sebenar pada rangkaian selain pencetak dan komputer. Anda mungkin mempunyai lokasi ini tanpa sebarang pelayan setempat.
(Pilihan) Pilih Aktifkan Pelayan DHCP pada kotak semak Dalam Antaramuka untuk mempunyai tindakan ASA sebagai pelayan DHCP untuk segmen rangkaian ini.
(Pilihan) Pilih kotak semak Aktifkan Konfigurasi Auto dari Interface supaya anda dapat menyalin kebanyakan tetapan ini dari antara muka yang sedia ada.

Mengaktifkan kotak semak Auto-Configuration sangat berguna untuk alamat pelayan Sistem Nama Domain (DNS) dan Windows Name Service (WINS) yang sentiasa digunakan pada semua segmen rangkaian dan mungkin semuanya sama bagi organisasi.
Konfigurasi atau tukar mana-mana maklumat yang hilang dalam perkara berikut:
- Memulakan Alamat IP: Alamat pertama yang akan diberikan dalam julat DHCP.
- Menamatkan Alamat IP: Alamat terakhir yang akan diberikan dalam lingkungan DHCP.
- Server DNS 1 dan 2: Server DNS yang diserahkan kepada pelanggan DHCP.
- WINS servers 1 and 2: Server WINS yang diserahkan kepada pelanggan DHCP.
- Panjang Pajakan: Panjang pajakan menentukan apabila klien DHCP dikehendaki memperbaharui pajakan mereka pada alamat yang dibekalkan DHCP.
- Ping Timeout: Tetapan Timeout Ping digunakan oleh pelayan DHCP kerana ia menyembunyikan setiap alamat yang sudah sedia untuk diberikan, sebelum memberikan alamat, untuk mengesahkan bahawa alamat itu tidak digunakan. Ini mengurangkan kemungkinan duplikasi alamat IP yang dibuat pada rangkaian.
- Nama Domain: Nama domain klien DHCP dimiliki.
Klik butang Seterusnya.

Alamat Terjemahan (NAT / PAT) muncul.
Sediakan Terjemahan Alamat Rangkaian atau Terjemahan Alamat Pelabuhan.

Pilih dari kaedah penterjemahan alamat yang tersedia:
- Gunakan Terjemahan Alamat Pelabuhan (PAT): Kebanyakan pejabat kecil, yang menggunakan hanya satu alamat IP awam pada sambungan Internet mereka, menggunakan PAT pada sambungan mereka. PAT boleh menggunakan alamat tertentu atau alamat utama dari antara muka VLAN luar mereka.PAT membenarkan seluruh pejabat untuk berkongsi (atau menterjemahkan) alamat IP luaran tunggal untuk akses Internet.
- Gunakan Terjemahan Alamat Rangkaian (NAT): Memilih NAT meletakkan pemetaan one-to-one (atau terjemahan) antara alamat IP dalaman dan luaran, jadi anda boleh menentukan rangkaian alamat yang digunakan pada antaramuka VLAN luar.
  
  Jika anda menggunakan ASA secara dalaman pada rangkaian anda (sebagai contoh, untuk melindungi subnet pelayan), anda mungkin mahu memilih Aktifkan Lalu Lintas melalui Firewall Tanpa Alamat radio terjemahan jika anda menggunakan alamat awam di rangkaian dalaman anda (tidak mungkin) atau jika anda menggunakan ASA sebagai firewall di pedalaman rangkaian anda.
Klik butang Seterusnya.

Halaman Akses Pentadbiran muncul.
Tetapkan sistem apa yang boleh dihubungkan ke rangkaian anda ke ASA untuk melakukan perubahan pengurusan atau konfigurasi.

Gunakan proses berikut untuk menambah antara muka pengurusan baru. Sekiranya anda ingin menggunakan ASDM, anda perlu memilih Enable Server HTTP untuk kotak semak HTTPS / ASDM Access, sedangkan kotak semak Enable ASDM History Metrics menyelamatkan data penggunaan mengenai mengakses antara muka ASDM.

Dalam persediaan baris perintah, anda hanya mempunyai pilihan untuk sambungan ASDM dibuat dari satu komputer. Halaman ini membolehkan anda menentukan sistem tambahan yang boleh melaksanakan pengurusan ASA anda dan jenis sambungan yang mereka buat untuk melakukan konfigurasi itu.

Jika anda menambah pilihan pengurusan baru, kotak dialog Tambah Tambah Akses Masuk Pentadbiran muncul. Pilih pilihan yang anda inginkan untuk membuat entri Akses Pentadbiran yang baru:
1. Pilih HTTP (ASDM), SSH, atau Telnet dari senarai drop-down Jenis Akses.
2. Pilih Di dalam dari senarai drop-down Name Interface.
  
  Di dalamnya biasanya pilihan antara muka yang paling selamat, tetapi dalam beberapa kes, seperti jika anda perlu menjalankan pentadbiran jauh di antara muka Luar, anda harus sangat ketat dalam alamat yang pentadbiran dilakukan.
3. Tentukan sama ada alamat tertentu dari pentadbiran yang dijalankan di dalam kotak teks Alamat IP atau berikan jaring rangkaian yang ditakrifkan oleh sama ada alamat IP atau ID Rangkaian dari senarai drop-down Subnet Mask.
  
  Ingat, yang lebih tegas anda boleh dengan konfigurasi ini, ASA anda lebih selamat.
4. Klik OK.
  
  Anda kembali ke halaman Akses Pentadbiran.
Jika anda membenarkan firewall anda ditadbir dari antara muka luar, anda membiarkan diri anda terbuka untuk berpotensi dikompromikan oleh seseorang yang anda tidak tahu.
Klik butang Seterusnya.

Halaman ringkasan konfigurasi Startup Wizard muncul, memberikan ringkasan konfigurasi yang telah anda gunakan untuk sistem. Semua perubahan konfigurasi ini ditulis dalam konfigurasi yang dijalankan pada ASA. Selepas perubahan konfigurasi dibuat, anda melihat skrin pengurusan ASA ASDM standard. Dari antara muka ini anda boleh
- Melakukan sebarang perubahan konfigurasi yang lain.
- Mulakan semula Wizard Permulaan atau ahli sihir lain.
- Lakukan pemantauan asas ASA melalui laman utama.
- Lakukan pemantauan yang lebih terperinci tentang ASA dan sambungan yang diselenggarakannya melalui halaman Pemantauan.
- Jalankan pengurusan tambahan dan alat penyelesaian masalah.
- Simpan konfigurasi semasa ke memori kilat.