Cisco Adaptive Security Appliance Setup Wizard (ASA)
Depois que você está conectado ao seu Cisco Adaptive Security Appliance (ASA), você terá que decidir se deseja usar o assistente de inicialização ou usar um métodos de configuração differemt. A página de introdução aparecerá e que lhe permite tomar uma decisão. Porque você precisa ter o Java instalado no seu computador, você tem três opções aqui:
Instale ASDM Launcher e Run Cisco Adaptive Security Device Manager (ASDM): Instala o ASDM em seu computador. Se este for o computador que você sempre usará para executar a sua gestão, este método faz mais sentido.
Execute ASDM: Esta opção usa o Java Web Start para iniciar a ferramenta ASDM diretamente a partir da cópia instalada no ASA. Isso é benéfico se você não estiver em seu computador normal, porque você não instalar qualquer software.
Executar o Assistente de Inicialização: Esta opção também usa Java Web Start para lançar ASDM, com um excepcio- depois lançou o ASDM, o Assistente de inicialização é executado automaticamente.
Para realizar a configuração de rede do ASA, o seguinte processo percorre o Assistente de inicialização:
Clique no botão Executar inicialização Assistente na página de introdução.
Você receberá um aviso relacionado com as configurações de segurança no Java.
Se você tiver certeza de que você está conectado ao dispositivo correto na rede e não algum dispositivo falso tentar recolher as suas credenciais, fechar a mensagem de aviso.
Porque você espera que esta mensagem do ASDM, continue para o site. A caixa de diálogo Cisco ASDM Lançador aparece.
Se você tem uma senha de ativação, mas não os usuários reais, ignore o campo Nome de usuário, preencha a senha de ativação no campo Senha e clique em OK.
Se você já tiver criado um usuário administrativo, forneça o nome de usuário e senha nos campos apropriados.
A página Ponto de Partida aparece.
Selecione uma das seguintes opções, dependendo se você estiver configurando o ASA inicialmente ou se você estiver usando configuração para alterar uma instalação existente ASA:
Modificar configuração existente: Você pode optar por modificar a configuração existente.
Repor configuração para os padrões de fábrica: Com exceção da interface de gerenciamento, modificar a configuração padrão. Como se vê, um monte de pequenas redes lá fora, exigem apenas mudanças simples a sua configuração, e como tal, re-executar o Assistente de inicialização é a maneira mais fácil de fazer essas alterações.
Clique no botão Avançar.
A página de configuração básica, aparece com dois itens opcionais que você pode escolher para fazer.
(Opcional) Selecione a partir dos seguintes itens:
Configurar o dispositivo para uso Teleworker: Esta opção suporta teletrabalhadores ou trabalhadores remotos através de uma rede privada virtual (VPN). Se você selecionar esta opção, você é apresentado com uma página extra de perguntas para o Remote Configuration Fácil VPN perto do final do Assistente de inicialização.
Nesta página, você também pode dizer o Assistente de inicialização o nome do dispositivo de firewall, como ASAFirewall1, eo nome de domínio ao qual o dispositivo pertence, como edtetz.net.
Alterar modo privilegiado (Enable) Senha: Se você não está feliz com seu atual senha de ativação, alterá-lo aqui antes de concluir esta etapa do Assistente de inicialização.
Clique no botão Avançar.
Escolha redes locais virtuais (VLANs) para o lado de fora, dentro, e, opcionalmente, interfaces DMZ.
Dependendo do número de interfaces que são licenciados para, você pode configurar até três interfaces. A licença básica para o ASA permite que você tenha apenas duas interfaces. A página Seleção da Interface do Assistente de inicialização aparece.
o VLAN fora voltado para a Internet.
o dentro VLAN enfrenta sua rede corporativa.
o DMZ VLAN opera paralelamente à sua rede corporativa. o Zona Desmilitarizada (DMZ) é uma área onde você pode colocar servidores, tais como e-mail, web ou servidores de FTP, que o público em geral - ou pelo menos as pessoas fora de sua rede - necessitem de acesso a.
Clique no botão Avançar.
O Switch página alocação de porta é exibida.
Atribua as portas de switch ASA para os três VLANs, selecionando a porta nas Portas disponíveis ou painéis portas alocadas e clicando nos botões Adicionar ou Remover.
Inicialmente, todas as portas estão associados com a VLAN dentro. Na maioria dos casos, associar o menor interface, ou Ethernet 0/0 de um ASA 5505, com a VLAN fora porque você provavelmente vai querer usar as portas adicionais no interior da sua rede.
Além disso, sobre o ASA 5505, as duas últimas portas fornecer Power over Ethernet (POE) para ligar dispositivos, como telefones ou pontos de acesso (APs), que é mais uma razão que você quer as aberturas superiores a ser associado com a rede interna .
Como você escolhe uma porta do switch e associá-lo com uma VLAN ou interface, você será solicitado com uma mensagem dizendo que ele pode ser removido de uma VLAN existente. Porque todas as portas começam associado com a interface Dentro, você verá esta mensagem para todos os seus reassignments portuárias.
Clique no botão Avançar.
A página de configuração Interface Endereço IP aparece.
Atribuir configuração de IP para cada um de seus endereços IP.
Para o seu endereço de fora, você pode atribuir manualmente um endereço, o que não é incomum para as conexões de Internet negócio. Se a sua conexão com a Internet suporta tanto Dynamic Host Configuration Protocol (DHCP) ou Point-to-Point Protocol over Ethernet (PPPoE), selecione a opção apropriada.
Se você usar DHCP, informe o seu ASA para usar o gateway padrão que recebe do DHCP como o gateway padrão de todo o sistema para este dispositivo. Se você optar por não usar a opção de gateway padrão de todo o sistema, é necessário configurar uma rota manual através ASDM ou o route fora 0 0 na interface de linha de comando (CLI).
Clique no botão Avançar.
A página Servidor DHCP aparece. Para as pequenas empresas ou escritórios regionais, o ASA pode representar o único dispositivo real na rede, excepto as impressoras e computadores. Você pode ter estes locais criados sem quaisquer servidores locais no local.
(Opcional) Selecione o servidor DHCP Ativar na caixa de seleção Dentro de interface para que o ato ASA como um servidor DHCP para este segmento de rede.
(Opcional) Selecione a configuração automática de caixa de seleção de interface de Ativar o modo que você pode copiar a maioria dessas configurações a partir de uma interface existente.
Permitindo que a caixa de verificação de configuração automática é muito útil para Domain Name System (DNS) e Windows Internet Name Service (WINS) endereços de servidor que estão constantemente a ser usado em todos os segmentos de rede e podem ser todos do mesmo para a organização.
Configurar ou alterar qualquer das informações em falta no seguinte:
A partir de endereços IP: O primeiro endereço para ser entregue no intervalo DHCP.
Terminando Endereço IP: O último endereço a ser entregue na faixa DHCP.
servidores DNS 1 e 2: Os servidores DNS que são entregues aos clientes DHCP.
servidores WINS 1 e 2: Os servidores WINS que são entregues aos clientes DHCP.
Lease Duração: A duração da concessão determina quando os clientes DHCP são obrigados a renovar as concessões do DHCP fornecido endereços.
Ping Timeout: A configuração Ping Timeout é usado pelo servidor DHCP porque pings cada endereço que ele está pronto para dar, antes de atribuir o endereço, para verificar que o endereço não está em uso. Isto reduz a possibilidade de endereços IP duplicados a ser criado na rede.
Nome do domínio: O nome de domínio do cliente DHCP pertence.
Clique no botão Avançar.
O Address Translation (NAT / PAT) é exibida.
Configure Network Address Translation ou Port Address Translation.
Escolha entre os métodos de tradução de endereços disponíveis:
Use Porto Address Translation (PAT): A maioria dos pequenos escritórios, que usam apenas um endereço IP público sobre a sua conexão com a Internet, use PAT em sua conexão. PAT pode usar um endereço específico ou o endereço principal de suas interfaces de VLAN fora. PAT permite que um escritório inteiro para compartilhar (ou traduzir para) um único endereço IP externo para acesso à Internet.
Use Network Address Translation (NAT): Selecionando NAT coloca mapeamento um-para-um (ou tradução) entre endereços IP internos e externos, assim você pode especificar um intervalo de endereços para usar na interface VLAN fora.
Se você usar ASA internamente na rede (por exemplo, para proteger uma sub-rede do servidor), você pode querer selecionar a ativar o tráfego através do firewall sem botão de opção Address Translation, se você usar endereços públicos na sua rede interna (não provável) ou se você usa o ASA como firewall no interior da sua rede.
Clique no botão Avançar.
A página Acesso administrativo aparece.
Defina o que os sistemas na rede pode se conectar ao seu ASA para executar mudanças de gestão ou de configuração.
Use o seguinte processo para adicionar novas interfaces de gerenciamento. Se você quiser usar ASDM, você precisa selecionar a opção Ativar HTTP Server caixa de seleção HTTPS / ASDM Acesso, enquanto a caixa de seleção Ativar ASDM história Metrics salva os dados de uso em relação acessar a interface ASDM.
Na configuração de linha de comando, você só tem a opção de ASDM conexões sejam feitas a partir de um único computador. Esta página permite que você especifique sistemas adicionais que podem realizar a gestão do seu ASA e o tipo de conexão que eles fazem para executar essa configuração.
Se você adicionar uma nova opção de gestão, a caixa de diálogo Adicionar entrada de acesso administrativo aparece. Selecione as opções desejadas para criar a nova entrada de acesso administrativo:
Para cada uma destas interfaces, você atribuir uma VLAN ao segmento ou optar por não usar a interface em tudo. Por padrão, a interface interna está configurado para VLAN 1, que você pode mudar se você quer- no entanto, porque esta é a VLAN padrão em suas opções, você pode não querer mudá-lo.
Por sua interface externo ea interface DMZ, você pode escolher um outro VLAN ou ir com os escolhidos por padrão.
A ativação da VLAN dentro, fora VLAN, e as interfaces DMZ VLAN na verdade não associar quaisquer portas de switch especial aos interfaces. As interfaces são virtuais e precisam ser associados a interfaces físicas do switch. Isto significa que qualquer número de portas que podem ser associadas a qualquer uma destas interfaces.
Escolha HTTP (ASDM), SSH ou Telnet a partir da lista drop-down Tipo de Acesso.
Escolha Dentro da lista suspensa Nome da interface.
Dentro é normalmente a opção de interface mais segura, mas em alguns casos, como se você precisa ser capaz de conduzir a administração remota através da interface do lado de fora, você deve ser muito restritiva do endereço do qual a administração é realizada.
Especificar um endereço específico a partir do qual a administração é realizada na caixa de texto Endereço IP ou dar um intervalo de rede definida por um endereço IP ou um ID de Rede a partir da lista drop-down de sub-rede Mask.
Lembre-se, o mais restritivo pode ser com esta configuração, o mais seguro o seu ASA é.
Clique em OK.
Você volta para a página de acesso administrativo.
Se você permitir que o seu firewall para ser administrado a partir da interface do lado de fora, você se mantém aberto para, potencialmente, ser comprometido por alguém que você não conhece.
Clique no botão Avançar.
A página de resumo do Assistente de inicialização de configuração aparece, fornecendo um resumo da configuração que você tenha aplicado ao sistema. Todas estas alterações de configuração são escritos na configuração em execução no ASA. Após as alterações de configuração são feitas, você verá a tela padrão de gerenciamento ASA ASDM. A partir desta interface é possível
Desempenhar quaisquer outras alterações de configuração.
Relançar o Assistente de inicialização ou outros assistentes.
Realizar o monitoramento básico da ASA através da home page.
Realize um acompanhamento mais detalhado do ASA e conexões que hospeda as páginas de monitoramento.
Executar ferramentas de gestão e resolução de problemas adicionais.
Salvar a configuração atual para a memória flash.
