Cisco Trình hướng dẫn cài đặt bảo mật Adaptive Security Appliance (ASA) - núm vú

Sau khi bạn kết nối với Thiết bị An ninh Thích hợp Cisco (ASA), bạn sẽ phải quyết định sử dụng thuật sĩ khởi động hoặc sử dụng một phương pháp cấu hình differemt. Trang giới thiệu sẽ xuất hiện và cho phép bạn đưa ra quyết định. Bởi vì bạn cần cài đặt Java trên máy tính, bạn có ba lựa chọn sau:

• Cài đặt ASDM Launcher và Chạy trình quản lý thiết bị bảo mật Adaptive Security Device ASDM: Cài đặt ASDM trên máy tính của bạn. Nếu đây là máy tính bạn sẽ luôn sử dụng để thực hiện quản lý của bạn, phương pháp này có ý nghĩa nhất.

• Chạy ASDM: Tùy chọn này sử dụng Java Web Start để khởi động công cụ ASDM trực tiếp từ bản sao được cài đặt trên ASA. Điều này có lợi nếu bạn không ở trong máy tính thông thường vì bạn không cài đặt bất kỳ phần mềm nào.

• Run Startup Wizard: Tùy chọn này cũng sử dụng Java Web Start để khởi chạy ASDM, với một ngoại lệ; sau khi ASDM khởi chạy, Startup Wizard sẽ tự động chạy.

  

Kích nút Run Startup Wizard trên trang giới thiệu.

1. Bạn nhận được một cảnh báo liên quan đến các cài đặt bảo mật trên Java.

   Nếu bạn chắc chắn rằng bạn được kết nối với thiết bị chính xác trên mạng chứ không phải một số thiết bị giả mạo cố gắng thu thập thông tin của bạn, hãy bỏ qua thông báo cảnh báo.

2. Bởi vì bạn mong đợi tin nhắn này từ ASDM, hãy tiếp tục vào trang web. Hộp thoại Cisco ASDM Launcher xuất hiện.

   Nếu bạn có mật khẩu cho phép, nhưng không có người dùng thực tế, hãy bỏ qua trường Tên đăng nhập, điền mật khẩu cho phép trong trường Mật khẩu, và nhấn OK.

3. Nếu bạn đã tạo một người dùng quản trị, hãy cung cấp tên người dùng và mật khẩu trong các trường thích hợp.

   Trang Điểm bắt đầu xuất hiện.

   

   Chọn một trong các tùy chọn sau, dựa trên việc bạn đang thiết lập ASA ban đầu hay liệu bạn đang sử dụng thiết lập để thay đổi cài đặt ASA hiện có:

4. Sửa đổi cấu hình hiện tại:

   • Bạn có thể chọn sửa đổi cấu hình hiện tại. Đặt lại cấu hình thành Mặc định ban đầu:

   • Ngoại trừ giao diện quản lý, sửa đổi cấu hình mặc định. Tuy nhiên, rất nhiều các mạng nhỏ trên mạng yêu cầu chỉ có những thay đổi đơn giản đối với cấu hình của chúng, và do đó, chạy lại Startup Wizard là cách dễ dàng nhất để thực hiện những thay đổi này. Nhấp vào nút Tiếp theo.

     

5. Trang Cấu hình Cơ bản xuất hiện với hai mục tuỳ chọn mà bạn có thể chọn làm.

   (Tùy chọn) Chọn từ các mục sau:

6. Cấu hình Thiết bị dành cho Người Sử dụng Điện thoại Cách sử dụng:

   • Tùy chọn này hỗ trợ người làm việc từ xa hoặc nhân viên từ xa thông qua mạng riêng ảo (VPN). Nếu bạn chọn tùy chọn này, bạn sẽ được trình bày với một trang thêm các câu hỏi cho Cấu hình Từ xa Cấu hình Dễ sử dụng gần phần cuối của Thuật sỹ Khởi động. Trên trang này, bạn cũng có thể nói với Thuật sỹ Khởi động tên của thiết bị tường lửa, chẳng hạn như ASAFirewall1, và tên miền mà thiết bị thuộc về, chẳng hạn như edtetz. mạng lưới.

     Thay đổi chế độ ưu tiên (Enable) Mật khẩu:

   • Nếu bạn không hài lòng với mật khẩu hiện tại của mình, thay đổi nó ở đây trước khi bạn hoàn thành bước này của Wizard khởi động. Nhấp vào nút Tiếp theo.

     

7. Chọn các mạng ảo cục bộ (VLANs) cho các giao diện Bên ngoài, Bên trong, và tùy chọn, DMZ.

8. Tùy thuộc vào số lượng giao diện bạn được cấp phép, bạn có thể cấu hình lên đến ba giao diện. Giấy phép cơ bản cho ASA cho phép bạn chỉ có hai giao diện. Trang Giao diện Chọn của Thuật sỹ Khởi động sẽ xuất hiện.

   • Bên ngoài VLAN đối mặt với Internet. Mạng nội bộ

   • VLAN đối mặt với mạng doanh nghiệp của bạn. Các

   • DMZ VLAN hoạt động song song với mạng công ty của bạn. Khu vực phi quân sự (DMZ) là khu vực nơi bạn có thể đặt máy chủ, chẳng hạn như máy chủ thư, web hoặc ftp, để công chúng - hoặc ít nhất là những người bên ngoài mạng của bạn - cần truy cập. Đối với mỗi giao diện, bạn chỉ định một VLAN cho phân đoạn hoặc chọn không sử dụng giao diện nào cả. Theo mặc định, giao diện Inside được cấu hình cho VLAN 1, bạn có thể thay đổi nếu muốn; tuy nhiên, vì đây là VLAN mặc định trên thiết bị chuyển mạch của bạn, bạn có thể không muốn thay đổi nó.

   Đối với giao diện bên ngoài và giao diện DMZ, bạn có thể chọn một VLAN khác hoặc đi với các giao thức được chọn theo mặc định.

   Cho phép các giao diện VLAN bên trong, bên ngoài VLAN và DMZ VLAN thực sự không liên kết bất kỳ cổng chuyển mạch cụ thể với các giao diện đó. Các giao diện là ảo và cần phải được liên kết với các giao diện vật lý trên switch. Điều này có nghĩa là bất kỳ số cổng nào có thể được liên kết với bất kỳ giao diện nào.

   Nhấp vào nút Tiếp theo.

   

9. Trang Chuyển đổi Cảng được phân bổ xuất hiện.

   Chỉ định các cổng chuyển mạch ASA cho ba VLAN bằng cách chọn cổng trong các Cổng có sẵn hoặc Bố trí các Cổng và nhấp vào nút Thêm hoặc Xóa.

10. Ban đầu, tất cả các cổng của bạn được liên kết với VLAN bên trong. Trong hầu hết các trường hợp, kết hợp giao diện thấp nhất, hoặc Ethernet 0/0 của ASA 5505, với VLAN bên ngoài bởi vì bạn có thể sẽ muốn sử dụng các cổng bổ sung bên trong mạng của bạn.

    Ngoài ra, trên ASA 5505, hai cổng cuối cung cấp nguồn qua Ethernet (POE) để cấp nguồn cho các thiết bị, chẳng hạn như điện thoại hoặc điểm truy cập (AP), đây là lý do khác mà bạn muốn các cổng trên kết nối với mạng bên trong.

    Khi bạn chọn cổng chuyển mạch và liên kết nó với một VLAN hoặc giao diện, bạn sẽ được nhắc nhở với một thông báo cho biết rằng nó có thể được gỡ bỏ khỏi một VLAN hiện có.Bởi vì tất cả các cổng đều bắt đầu được kết hợp với giao diện Inside, bạn sẽ thấy thông báo này cho tất cả các cổng được gán lại.

    Nhấp vào nút Tiếp theo.

    

11. Trang Cấu hình Giao diện Địa chỉ IP xuất hiện.

    Chỉ định cấu hình IP cho mỗi địa chỉ IP của bạn.

12. Đối với địa chỉ bên ngoài của bạn, bạn có thể gán địa chỉ một cách thủ công, mà không phải là hiếm khi kết nối Internet kinh doanh. Nếu kết nối Internet của bạn hỗ trợ Giao thức Cấu hình Máy chủ Động (DHCP) hoặc Giao thức Điểm-Điểm qua Ethernet (PPPOE), hãy chọn tùy chọn thích hợp.

    Nếu bạn sử dụng DHCP, hãy nói cho ASA của bạn sử dụng cổng mặc định mà nó nhận được từ DHCP làm cổng mặc định cho toàn hệ thống cho thiết bị này. Nếu bạn chọn không sử dụng tùy chọn cổng mặc định cho toàn hệ thống, bạn cần phải định cấu hình một tuyến thủ công thông qua ASDM hoặc tuyến đường bên ngoài 0 0 tại giao diện dòng lệnh (CLI).

    Nhấp vào nút Tiếp theo.

    

13. Trang DHCP Server xuất hiện. Đối với các doanh nghiệp nhỏ hoặc các văn phòng khu vực, ASA có thể đại diện cho thiết bị thực duy nhất trên mạng không phải là máy in và máy tính. Bạn có thể cài đặt các địa điểm này mà không cần máy chủ cục bộ tại chỗ.

    (Tùy chọn) Chọn hộp kiểm Enable DHCP Server on the Inside Interface để ASA hoạt động như một máy chủ DHCP cho phân khúc mạng này.

14. (Tùy chọn) Chọn hộp kiểm Bật tự động cấu hình từ giao diện để bạn có thể sao chép hầu hết các cài đặt này từ giao diện hiện có.

15. Bật hộp kiểm Auto-Configuration rất hữu ích cho các địa chỉ máy chủ của Hệ thống Tên miền (DNS) và Windows Internet Name Service (WINS) được liên tục được sử dụng trên tất cả các phân đoạn mạng và tất cả đều giống nhau cho tổ chức.

    Cấu hình hoặc thay đổi bất kỳ thông tin bị thiếu nào sau đây:

16. Địa chỉ IP bắt đầu:

    • Địa chỉ đầu tiên được trao trong dải DHCP. Kết thúc Địa chỉ IP:

    • Địa chỉ cuối cùng được trao trong dải DHCP. máy chủ DNS 1 và 2:

    • Các máy chủ DNS được trao cho các máy khách DHCP. Máy chủ WINS 1 và 2:

    • Các máy chủ WINS được trao cho các máy khách DHCP. Chiều thuê:

    • Thời hạn thuê xác định khi khách hàng DHCP yêu cầu phải gia hạn hợp đồng cho thuê địa chỉ DHCP. Thời gian chờ Ping:

    • Cài đặt Ping Timeout được sử dụng bởi máy chủ DHCP bởi vì nó gửi đi mỗi địa chỉ mà nó đã sẵn sàng để cung cấp, trước khi gán địa chỉ, để xác minh rằng địa chỉ không sử dụng. Điều này làm giảm cơ hội lặp lại địa chỉ IP đang được tạo trên mạng. Tên miền:

    • Tên miền của khách hàng DHCP thuộc. Nhấp vào nút Tiếp theo.

      

17. Trang Dịch Address Translation (NAT / PAT) xuất hiện.

    Thiết lập dịch địa chỉ mạng hoặc dịch địa chỉ cổng.

18. Chọn từ các phương thức dịch địa chỉ có sẵn:

    Sử dụng dịch vụ chuyển địa chỉ cổng (PAT):

    • Hầu hết các văn phòng nhỏ, chỉ sử dụng một địa chỉ IP công cộng trên kết nối Internet, sử dụng PAT về kết nối. PAT có thể sử dụng một địa chỉ cụ thể hoặc địa chỉ chính từ các giao diện VLAN bên ngoài của họ.PAT cho phép toàn bộ văn phòng chia sẻ (hoặc dịch sang) một địa chỉ IP bên ngoài duy nhất để truy cập Internet. Sử dụng dịch địa chỉ mạng (NAT):

    • Chọn NAT cho phép lập bản đồ một-một (hoặc bản dịch) giữa các địa chỉ IP nội bộ và bên ngoài, do đó bạn có thể chỉ định một dải địa chỉ để sử dụng trên giao diện VLAN bên ngoài. Nếu bạn sử dụng ASA nội bộ trên mạng của bạn (ví dụ, để bảo vệ một subnet server), bạn có thể chọn nút radio Enable Traffic thông qua Firewall nếu không sử dụng Translation Translation nếu bạn sử dụng các địa chỉ công cộng trên mạng nội bộ của bạn (không chắc chắn) hoặc nếu bạn sử dụng ASA làm tường lửa bên trong mạng của bạn.

      Nhấp vào nút Tiếp theo.

      

19. Trang Truy cập Quản trị sẽ xuất hiện.

    Thiết lập hệ thống nào trên mạng của bạn có thể kết nối với ASA của bạn để thực hiện thay đổi quản lý hoặc cấu hình.

20. Sử dụng quy trình sau để thêm các giao diện quản lý mới. Nếu bạn muốn sử dụng ASDM, bạn cần chọn hộp kiểm Enable HTTP Server for HTTPS / ASDM Access, trong khi hộp kiểm Enable ASDM History Metrics sẽ lưu lại dữ liệu sử dụng liên quan đến việc truy cập vào giao diện ASDM.

    Trong thiết lập dòng lệnh, bạn chỉ có tùy chọn để kết nối ASDM được thực hiện từ một máy tính duy nhất. Trang này cho phép bạn xác định các hệ thống bổ sung có thể thực hiện quản lý ASA của bạn và loại kết nối mà họ thực hiện để thực hiện cấu hình đó.

    Nếu bạn thêm một tùy chọn quản lý mới, hộp thoại Add Administrative Access Entry sẽ xuất hiện. Chọn các tùy chọn mong muốn để tạo mục Truy cập Quản trị mới:

    

    Chọn HTTP (ASDM), SSH hoặc Telnet từ danh sách Loại truy cập thả xuống.

    1. Chọn Bên trong từ danh sách Giao diện Tên thả xuống.

    2. Bên trong thường là tùy chọn giao diện an toàn nhất, nhưng trong một số trường hợp, chẳng hạn như nếu bạn cần có khả năng quản lý từ xa qua Giao diện bên ngoài, bạn nên hạn chế địa chỉ mà từ đó quản trị được thực hiện.

       Chỉ định một địa chỉ cụ thể mà từ đó quản trị được thực hiện trong hộp văn bản Địa chỉ IP hoặc cho một phạm vi mạng được xác định bởi một địa chỉ IP hoặc một ID Mạng từ danh sách thả xuống Subnet Mask.

    3. Hãy nhớ rằng, bạn càng có nhiều hạn chế với cấu hình này, thì ASA của bạn càng an toàn.

       Nhấp vào OK.

    4. Bạn trở lại trang Truy cập Quản trị.

       Nếu bạn cho phép tường lửa của bạn được quản lý từ giao diện bên ngoài, bạn hãy để bản thân mình mở để có thể bị tổn hại bởi người mà bạn không biết.

    Nhấp vào nút Tiếp theo.

    

21. Trang tóm tắt của Thuật sỹ Khởi động cấu hình xuất hiện, cung cấp một bản tóm tắt cấu hình mà bạn đã áp dụng cho hệ thống. Tất cả những thay đổi cấu hình này được ghi vào cấu hình đang chạy trên ASA. Sau khi thực hiện thay đổi cấu hình, bạn sẽ thấy màn hình quản lý ASA ASA tiêu chuẩn. Từ giao diện này, bạn có thể

    Thực hiện bất kỳ thay đổi cấu hình nào khác.

    • Khởi chạy lại Thuật sỹ Khởi động hoặc các trình pháp thuật khác.

    • Thực hiện theo dõi cơ bản của ASA thông qua trang chủ.

    • Thực hiện giám sát chi tiết hơn của ASA và các kết nối mà nó lưu trữ thông qua các trang giám sát.

    • Chạy các công cụ quản lý và khắc phục sự cố bổ sung.

    • Lưu cấu hình hiện tại vào bộ nhớ flash.