Cisco Adaptive Security Appliance (ASA) Installationsassistent - Dummies

Nachdem Sie mit Ihrer Cisco Adaptive Security Appliance (ASA) verbunden sind, müssen Sie entscheiden, ob Sie den Startassistenten verwenden möchten. oder verwenden Sie eine andere Konfigurationsmethode. Die Einführungsseite wird angezeigt und ermöglicht es Ihnen, eine Entscheidung zu treffen. Da Java auf Ihrem Computer installiert sein muss, haben Sie hier drei Möglichkeiten:

• ASDM Launcher installieren und ASDM ausführen: Installiert den ASDM auf Ihrem Computer. Wenn dies der Computer ist, den Sie immer verwenden werden, um Ihre Verwaltung durchzuführen, ist diese Methode am sinnvollsten.

• ASDM ausführen: Diese Option verwendet Java Web Start, um das ASDM-Tool direkt von der auf dem ASA installierten Kopie zu starten. Dies ist nützlich, wenn Sie sich nicht an Ihrem normalen Computer befinden, da Sie keine Software installieren.

• Run Startup Wizard: Diese Option verwendet auch Java Web Start, um ASDM zu starten, mit einer Ausnahme; Nachdem der ASDM gestartet wurde, wird der Startassistent automatisch ausgeführt.

  

Um die Netzwerkkonfiguration der ASA durchzuführen, führt Sie der folgende Prozess durch den Startassistenten:

1. Klicken Sie auf der Einführungsseite auf die Schaltfläche Run Startup Wizard.

   Sie erhalten eine Warnung bezüglich der Sicherheitseinstellungen in Java.

2. Wenn Sie sicher sind, dass Sie mit dem richtigen Gerät im Netzwerk verbunden sind und kein gefälschtes Gerät versucht, Ihre Anmeldeinformationen zu erfassen, schließen Sie die Warnmeldung ab.

   Da Sie diese Nachricht vom ASDM erwarten, fahren Sie mit der Website fort. Das Dialogfeld Cisco ASDM Launcher wird angezeigt.

3. Wenn Sie ein Aktivierungskennwort haben, aber keine tatsächlichen Benutzer, überspringen Sie das Feld Benutzername, geben Sie das Aktivierungskennwort in das Feld Kennwort ein und klicken Sie auf OK.

   Wenn Sie bereits einen Benutzer mit Administratorberechtigung erstellt haben, geben Sie den Benutzernamen und das Kennwort in die entsprechenden Felder ein.

   

   Die Seite Startpunkt wird angezeigt.

4. Wählen Sie eine der folgenden Optionen aus, je nachdem, ob Sie den ASA zunächst einrichten oder ob Sie Setup verwenden, um eine vorhandene ASA-Installation zu ändern:

   • Vorhandene Konfiguration ändern: Sie können die vorhandene Konfiguration ändern..

   • Konfiguration auf Werkseinstellungen zurücksetzen: Ändern Sie mit Ausnahme der Verwaltungsschnittstelle die Standardkonfiguration. Wie sich herausstellt, erfordern viele kleine Netzwerke nur einfache Änderungen an ihrer Konfiguration. Daher ist das Ausführen des Startassistenten der einfachste Weg, diese Änderungen vorzunehmen.

     

5. Klicken Sie auf die Schaltfläche Weiter.

   Die Seite Basiskonfiguration wird mit zwei optionalen Elementen angezeigt, die Sie auswählen können.

6. (Optional) Wählen Sie eine der folgenden Optionen:

   • Konfigurieren des Geräts für Telearbeiter Verwendung: Diese Option unterstützt Telearbeiter oder Remote-Mitarbeiter über ein virtuelles privates Netzwerk (VPN). Wenn Sie diese Option auswählen, wird am Ende des Startassistenten eine zusätzliche Seite mit Fragen zur Easy VPN-Remotekonfiguration angezeigt.

     Auf dieser Seite können Sie dem Startassistenten auch den Namen des Firewallgeräts mitteilen, z. B. ASAFirewall1, und den Domänennamen, zu dem das Gerät gehört, z. B. edtetz. Netz.

   • Privilegierten Modus ändern (aktivieren) Passwort: Wenn Sie mit Ihrem aktuellen Aktivierungskennwort nicht zufrieden sind, ändern Sie es hier, bevor Sie diesen Schritt des Startassistenten ausführen.

     

7. Klicken Sie auf die Schaltfläche Weiter.

8. Wählen Sie virtuelle lokale Netzwerke (VLANs) für die Outside-, Inside- und optional DMZ-Schnittstellen aus.

   Abhängig von der Anzahl der Schnittstellen, für die Sie lizenziert sind, können Sie bis zu drei Schnittstellen konfigurieren. Die Basislizenz für die ASA ermöglicht Ihnen nur zwei Schnittstellen. Die Seite Schnittstellenauswahl des Startassistenten wird angezeigt.

   • Das Outside VLAN ist zum Internet gerichtet.

   • Das Inside VLAN ist dem Unternehmensnetzwerk zugewandt.

   • Das DMZ VLAN arbeitet parallel zu Ihrem Unternehmensnetzwerk. Die Demilitarisierte Zone (DMZ) ist ein Bereich, in dem Sie Server wie Mail-, Web- oder FTP-Server platzieren können, auf die die Allgemeinheit - oder zumindest Personen außerhalb Ihres Netzwerks - zugreifen müssen.

   Für jede dieser Schnittstellen weisen Sie dem Segment ein VLAN zu oder entscheiden sich, die Schnittstelle überhaupt nicht zu verwenden. Standardmäßig ist die Inside-Schnittstelle für VLAN 1 konfiguriert, die Sie ändern können, wenn Sie möchten. Da dies jedoch das Standard-VLAN Ihrer Switches ist, möchten Sie es möglicherweise nicht ändern.

   Für Ihre Outside-Schnittstelle und DMZ-Schnittstelle können Sie ein anderes VLAN auswählen oder mit den standardmäßig ausgewählten wechseln.

   Das Aktivieren der internen VLAN-, externen VLAN- und DMZ-VLAN-Schnittstellen ordnet diesen Schnittstellen keine bestimmten Switch-Ports zu. Die Schnittstellen sind virtuell und müssen physischen Schnittstellen auf dem Switch zugeordnet werden. Dies bedeutet, dass eine beliebige Anzahl von Ports mit einer dieser Schnittstellen verknüpft werden kann.

   

9. Klicken Sie auf die Schaltfläche Weiter.

   Die Seite Switch Port Allocation wird angezeigt.

10. Weisen Sie die ASA-Switch-Ports den drei VLANs zu, indem Sie den Port in den Bereichen Verfügbare Ports oder Zugewiesene Ports auswählen und auf die Schaltflächen Hinzufügen oder Entfernen klicken.

    Anfangs sind alle Ihre Ports mit dem internen VLAN verknüpft. Ordnen Sie in den meisten Fällen die unterste Schnittstelle oder das Ethernet 0/0 eines ASA 5505 dem externen VLAN zu, da Sie wahrscheinlich die zusätzlichen Anschlüsse innerhalb Ihres Netzwerks verwenden möchten.

    Auf dem ASA 5505 versorgen die beiden letzten Ports auch Power over Ethernet (POE), um Geräte wie Telefone oder Access Points (APs) mit Strom zu versorgen. Dies ist ein weiterer Grund, warum die oberen Ports mit das innere Netzwerk.

    Wenn Sie einen Switch-Port auswählen und mit einem VLAN oder einer Schnittstelle verknüpfen, erhalten Sie eine Nachricht, in der Sie darauf hingewiesen werden, dass er aus einem vorhandenen VLAN entfernt werden kann.Da alle Ports, die mit der Inside-Schnittstelle verknüpft sind, beginnen, wird diese Nachricht für alle Portzuweisungen angezeigt.

    

11. Klicken Sie auf die Schaltfläche Weiter.

    Die Seite Interface IP Address Configuration wird angezeigt.

12. Weisen Sie die IP-Konfiguration für jede Ihrer IP-Adressen zu.

    Für Ihre externe Adresse können Sie eine Adresse manuell zuweisen, was für geschäftliche Internetverbindungen nicht ungewöhnlich ist. Wenn Ihre Internetverbindung entweder DHCP (Dynamic Host Configuration Protocol) oder PPPOE (Point-to-Point Protocol over Ethernet) unterstützt, wählen Sie die entsprechende Option aus.

    Wenn Sie DHCP verwenden, teilen Sie Ihrem ASA mit, das Standardgateway, das er von DHCP erhält, als systemweites Standardgateway für dieses Gerät zu verwenden. Wenn Sie die systemweite Standardgatewayoption nicht verwenden möchten, müssen Sie eine manuelle Route über ASDM oder die Route außerhalb von 0 0 an der Befehlszeilenschnittstelle (CLI) konfigurieren.

    

13. Klicken Sie auf die Schaltfläche Weiter.

    Die Seite DHCP-Server wird angezeigt. Für kleine Unternehmen oder regionale Niederlassungen stellt die ASA möglicherweise das einzige reale Gerät im Netzwerk dar, das keine Drucker und Computer ist. Möglicherweise haben Sie diese Standorte ohne lokale Server vor Ort eingerichtet.

14. (Optional) Aktivieren Sie das Kontrollkästchen Enable DHCP Server on the Inside Interface, damit ASA als DHCP-Server für dieses Netzwerksegment fungiert.

15. (Optional) Aktivieren Sie das Kontrollkästchen Automatische Konfiguration von Schnittstelle aktivieren, damit Sie die meisten dieser Einstellungen von einer vorhandenen Schnittstelle kopieren können.

    Das Aktivieren des Kontrollkästchens "Automatische Konfiguration" ist sehr nützlich für DNS-Serveradressen (Domain Name System) und WINS-Serveradressen (Windows Internet Name Service), die ständig in allen Netzwerksegmenten verwendet werden und für die Organisation möglicherweise identisch sind.

16. Konfigurieren oder ändern Sie die fehlenden Informationen wie folgt:

    • Start-IP-Adresse: Die erste Adresse, die im DHCP-Bereich ausgegeben werden soll.

    • Ending IP Address: Die letzte Adresse, die im DHCP-Bereich ausgegeben werden soll.

    • DNS-Server 1 und 2: Die DNS-Server, die an DHCP-Clients ausgegeben werden.

    • WINS-Server 1 und 2: Die WINS-Server, die an DHCP-Clients ausgegeben werden.

    • Lease Length: Die Lease-Länge bestimmt, wann DHCP-Clients ihre Leases an den von DHCP gelieferten Adressen erneuern müssen.

    • Ping Timeout: Die Ping-Timeout-Einstellung wird vom DHCP-Server verwendet, weil er jede Adresse pinget, die er bereit ist, bevor er die Adresse zuweist, um zu überprüfen, ob die Adresse nicht verwendet wird. Dadurch wird die Wahrscheinlichkeit verringert, dass doppelte IP-Adressen im Netzwerk erstellt werden.

    • Domänenname: Der Domänenname des DHCP-Clients gehört zu.

      

17. Klicken Sie auf die Schaltfläche Weiter.

    Die Seite "Adressübersetzung" (NAT / PAT) wird angezeigt.

18. Richten Sie die Netzwerkadressübersetzung oder die Portadressübersetzung ein.

    Wählen Sie eine der verfügbaren Methoden für die Adressübersetzung aus:

    • Verwenden Sie die Portadressübersetzung (PAT): Die meisten kleinen Büros, die nur eine öffentliche IP-Adresse in ihrer Internetverbindung verwenden, verwenden PAT für ihre Verbindung. PAT kann eine bestimmte Adresse oder die Hauptadresse von ihren externen VLAN-Schnittstellen verwenden.Mit PAT kann ein ganzes Büro eine einzelne externe IP-Adresse für den Internetzugriff freigeben (oder übersetzen).

    • Verwenden Sie Network Address Translation (NAT): Bei der Auswahl von NAT wird eine Eins-zu-Eins-Zuordnung (oder Übersetzung) zwischen interner und externer IP-Adresse vorgenommen, sodass Sie einen Adressbereich für die externe VLAN-Schnittstelle festlegen können.

      Wenn Sie ASA intern in Ihrem Netzwerk verwenden (z. B. zum Schutz eines Server-Subnetzes), können Sie das Optionsfeld Datenverkehr über die Firewall ohne Adressübersetzung aktivieren auswählen, wenn Sie öffentliche Adressen in Ihrem internen Netzwerk verwenden (nicht wahrscheinlich) oder wenn Sie die ASA als Firewall im Inneren Ihres Netzwerks verwenden.

      

19. Klicken Sie auf die Schaltfläche Weiter.

    Die Seite Administratorzugriff wird angezeigt.

20. Legen Sie fest, welche Systeme in Ihrem Netzwerk mit Ihrem ASA verbunden werden können, um Änderungen an der Verwaltung oder an der Konfiguration vorzunehmen.

    Verwenden Sie den folgenden Prozess, um neue Verwaltungsschnittstellen hinzuzufügen. Wenn Sie ASDM verwenden möchten, müssen Sie das Kontrollkästchen HTTP-Server für HTTPS / ASDM-Zugriff aktivieren aktivieren, während das Kontrollkästchen Enable ASDM History Metrics die Verwendungsdaten für den Zugriff auf die ASDM-Schnittstelle speichert.

    Im Befehlszeilen-Setup haben Sie nur die Option, ASDM-Verbindungen von einem einzelnen Computer aus zu erstellen. Auf dieser Seite können Sie zusätzliche Systeme angeben, die die Verwaltung Ihrer ASA durchführen können, sowie die Art der Verbindung, die sie herstellen, um diese Konfiguration durchzuführen.

    

    Wenn Sie eine neue Verwaltungsoption hinzufügen, wird das Dialogfeld "Administratorzugriffseintrag hinzufügen" angezeigt. Wählen Sie die gewünschten Optionen aus, um den neuen Eintrag für den Administratorzugriff zu erstellen:

    1. Wählen Sie in der Dropdown-Liste Zugriffstyp die Option HTTP (ASDM), SSH oder Telnet aus.

    2. Wählen Sie in der Dropdown-Liste Schnittstellenname die Option Innen.

       Inside ist normalerweise die sicherste Schnittstellenoption, aber in einigen Fällen, z. B. wenn Sie die Remoteverwaltung über die Outside-Schnittstelle durchführen müssen, sollten Sie die Adresse, unter der die Verwaltung ausgeführt wird, sehr restriktiv gestalten.

    3. Geben Sie entweder eine bestimmte Adresse an, von der aus die Verwaltung im Textfeld IP-Adresse durchgeführt wird, oder geben Sie in der Dropdown-Liste Subnetzmaske einen Netzwerkbereich an, der entweder durch eine IP-Adresse oder eine Netzwerk-ID definiert ist.

       Denken Sie daran, je restriktiver Sie mit dieser Konfiguration sein können, desto sicherer ist Ihr ASA.

    4. Klicken Sie auf OK.

       Sie kehren zur Seite Administratorzugriff zurück.

    Wenn Sie zulassen, dass Ihre Firewall von der externen Schnittstelle aus verwaltet wird, können Sie sich von jemandem, den Sie nicht kennen, potenziell kompromittieren lassen.

    

21. Klicken Sie auf die Schaltfläche Weiter.

    Die Zusammenfassungsseite des Startassistenten für die Konfiguration wird angezeigt und bietet eine Zusammenfassung der Konfiguration, die Sie auf das System angewendet haben. Alle diese Konfigurationsänderungen werden in die laufende Konfiguration auf der ASA geschrieben. Nachdem die Konfigurationsänderungen vorgenommen wurden, wird der ASA ASDM-Standardverwaltungsbildschirm angezeigt. Von dieser Schnittstelle aus können Sie

    • andere Konfigurationsänderungen durchführen.

    • Starten Sie den Startassistenten oder andere Assistenten neu.

    • Führen Sie eine grundlegende Überwachung der ASA über die Homepage durch.

    • Führen Sie eine detailliertere Überwachung der ASA und der Verbindungen durch, die sie über die Überwachungsseiten hostet.

    • Führen Sie zusätzliche Tools für die Verwaltung und Fehlerbehebung aus.

    • Speichern Sie die aktuelle Konfiguration im Flash-Speicher.