Assistant de configuration de l'appliance de sécurité adaptative Cisco (ASA) - nuls

Une fois connecté à votre appliance de sécurité adaptative Cisco (ASA), vous devrez décider si vous souhaitez utiliser l'assistant de démarrage. ou utilisez une méthode de configuration differemt. La page d'introduction apparaîtra et qui vous permettra de prendre une décision. Etant donné que Java doit être installé sur votre ordinateur, vous avez le choix entre trois options:

• Installer ASDM Launcher et exécuter Cisco Adaptive Security Device Manager (ASDM): Installe l'ASDM sur votre ordinateur. Si c'est l'ordinateur que vous utiliserez toujours pour effectuer votre gestion, cette méthode est la plus logique.

• Exécuter ASDM: Cette option utilise Java Web Start pour lancer l'outil ASDM directement à partir de la copie installée sur l'ASA. C'est utile si vous n'êtes pas à votre ordinateur normal parce que vous n'installez aucun logiciel.

• Exécuter l'assistant de démarrage: Cette option utilise également Java Web Start pour lancer ASDM, à une exception près; après le lancement de l'ASDM, l'assistant de démarrage s'exécute automatiquement.

  

Pour effectuer la configuration réseau de l'ASA, le processus suivant vous guide à travers l'assistant de démarrage:

1. Cliquez sur le bouton Lancer l'assistant de démarrage sur la page d'introduction.

   Vous recevez un avertissement relatif aux paramètres de sécurité sur Java.

2. Si vous êtes sûr que vous êtes connecté au bon périphérique sur le réseau et non à un faux périphérique essayant de collecter vos informations d'identification, ignorez le message d'avertissement.

   Comme vous attendez ce message de l'ASDM, continuez sur le site Web. La boîte de dialogue Cisco ASDM Launcher apparaît.

3. Si vous avez un mot de passe d'activation, mais pas d'utilisateur réel, ignorez le champ Nom d'utilisateur, saisissez le mot de passe d'activation dans le champ Mot de passe, puis cliquez sur OK.

   Si vous avez déjà créé un utilisateur administratif, indiquez le nom d'utilisateur et le mot de passe dans les champs appropriés.

   

   La page Point de départ apparaît.

4. Sélectionnez l'une des options suivantes, selon que vous configurez initialement l'ASA ou que vous utilisez la configuration pour modifier une installation ASA existante:

   • Modifier la configuration existante: Vous pouvez choisir de modifier la configuration existante.

   • Réinitialiser la configuration sur les paramètres par défaut: À l'exception de l'interface de gestion, modifiez la configuration par défaut. Il s'avère que beaucoup de petits réseaux n'exigent que de simples modifications de leur configuration et que, par conséquent, la relance de l'assistant de démarrage est le moyen le plus simple d'apporter ces modifications.

     

5. Cliquez sur le bouton Suivant.

   La page Configuration de base apparaît avec deux éléments optionnels que vous pouvez choisir.

6. (Facultatif) Sélectionnez l'une des options suivantes:

   • Configurer le périphérique pour l'utilisation du télétravailleur: Cette option prend en charge les télétravailleurs ou les télétravailleurs via un réseau privé virtuel (VPN). Si vous sélectionnez cette option, une page supplémentaire de questions s'affiche pour la configuration à distance Easy VPN à la fin de l'assistant de démarrage.

     Sur cette page, vous pouvez également indiquer à l'assistant de démarrage le nom du périphérique pare-feu, tel que ASAFirewall1, et le nom de domaine auquel appartient le périphérique, par exemple edtetz. net.

   • Modifier le mode Privilège (Activer) Mot de passe: Si vous n'êtes pas satisfait de votre mot de passe actuel, modifiez-le ici avant de terminer cette étape de l'assistant de démarrage.

     

7. Cliquez sur le bouton Suivant.

8. Choisissez des réseaux locaux virtuels (VLAN) pour les interfaces Extérieur, Intérieur et, facultativement, DMZ.

   Selon le nombre d'interfaces pour lesquelles vous avez une licence, vous pouvez configurer jusqu'à trois interfaces. La licence de base pour l'ASA vous permet d'avoir seulement deux interfaces. La page de sélection de l'interface de l'assistant de démarrage s'affiche.

   • Le hors VLAN fait face à Internet.

   • Le Inside VLAN fait face à votre réseau d'entreprise.

   • Le DMZ VLAN est parallèle à votre réseau d'entreprise. La zone démilitarisée (DMZ) est une zone où vous pouvez placer des serveurs, tels que des serveurs de messagerie, Web ou FTP, auxquels le grand public - ou du moins les personnes extérieures à votre réseau - doivent avoir accès.

   Pour chacune de ces interfaces, vous attribuez un VLAN au segment ou choisissez de ne pas utiliser l'interface du tout. Par défaut, l'interface Inside est configurée pour VLAN 1, que vous pouvez modifier si vous le souhaitez; Toutefois, comme il s'agit du réseau local virtuel par défaut de vos commutateurs, vous ne souhaiterez peut-être pas le modifier.

   Pour votre interface extérieure et l'interface DMZ, vous pouvez choisir un autre VLAN ou choisir ceux qui sont choisis par défaut.

   L'activation des interfaces VLAN interne, VLAN externe et VLAN DMZ n'associe pas de ports de commutation particuliers à ces interfaces. Les interfaces sont virtuelles et doivent être associées à des interfaces physiques sur le commutateur. Cela signifie que n'importe quel nombre de ports peut être associé à l'une de ces interfaces.

   

9. Cliquez sur le bouton Suivant.

   La page Switch Port Allocation apparaît.

10. Affectez les ports du commutateur ASA aux trois VLAN en sélectionnant le port dans les volets Ports disponibles ou Ports alloués, puis en cliquant sur les boutons Ajouter ou Supprimer.

    Initialement, tous vos ports sont associés au VLAN interne. Dans la plupart des cas, associez l'interface la plus basse, ou Ethernet 0/0 d'un ASA 5505, au VLAN externe, car vous voudrez probablement utiliser les ports supplémentaires à l'intérieur de votre réseau.

    De plus, sur l'ASA 5505, les deux derniers ports fournissent un Power over Ethernet (POE) pour alimenter les périphériques, tels que les téléphones ou les points d'accès, ce qui est une autre raison pour laquelle les ports supérieurs sont associés le réseau intérieur.

    Lorsque vous choisissez un port de commutateur et que vous l'associez à un réseau local virtuel ou à une interface, un message vous indique qu'il peut être supprimé d'un réseau local virtuel existant.Comme tous les ports sont associés à l'interface Inside, ce message s'affiche pour toutes les réaffectations de port.

    

11. Cliquez sur le bouton Suivant.

    La page Configuration de l'adresse IP de l'interface apparaît.

12. Affectez la configuration IP pour chacune de vos adresses IP.

    Pour votre adresse externe, vous pouvez attribuer manuellement une adresse, ce qui n'est pas rare pour les connexions Internet professionnelles. Si votre connexion Internet prend en charge le protocole DHCP (Dynamic Host Configuration Protocol) ou le protocole PPPOE (Point-to-Point Protocol over Ethernet), sélectionnez l'option appropriée.

    Si vous utilisez DHCP, demandez à votre ASA d'utiliser la passerelle par défaut qu'il reçoit de DHCP en tant que passerelle par défaut à l'échelle du système pour ce périphérique. Si vous choisissez de ne pas utiliser l'option de passerelle par défaut à l'échelle du système, vous devez configurer une route manuelle via ASDM ou l'itinéraire en dehors de 0 0 dans l'interface de ligne de commande (CLI).

    

13. Cliquez sur le bouton Suivant.

    La page du serveur DHCP apparaît. Pour les petites entreprises ou les bureaux régionaux, l'ASA peut représenter le seul périphérique réel sur le réseau autre que les imprimantes et les ordinateurs. Vous pouvez avoir ces emplacements mis en place sans aucun serveur local sur le site.

14. (Facultatif) Cochez la case Activer le serveur DHCP dans l'interface interne pour que l'ASA agisse en tant que serveur DHCP pour ce segment de réseau.

15. (Facultatif) Cochez la case Activer la configuration automatique à partir de l'interface afin de pouvoir copier la plupart de ces paramètres à partir d'une interface existante.

    Activer la case à cocher Configuration automatique est très utile pour les adresses de serveur DNS (Domain Name System) et WINS (Windows Internet Name Service) qui sont constamment utilisées sur tous les segments de réseau et peuvent être identiques pour l'organisation.

16. Configurez ou modifiez les informations manquantes de la manière suivante:

    • Adresse IP de départ: Première adresse à distribuer dans la plage DHCP.

    • Adresse IP de fin: La dernière adresse à distribuer dans la plage DHCP.

    • Serveurs DNS 1 et 2: Serveurs DNS distribués aux clients DHCP.

    • Serveurs WINS 1 et 2: Serveurs WINS distribués aux clients DHCP.

    • Longueur du bail: La durée du bail détermine quand les clients DHCP doivent renouveler leurs baux sur les adresses fournies par DHCP.

    • Ping Timeout: Le paramètre Ping Timeout est utilisé par le serveur DHCP car il interroge chaque adresse qu'il est prêt à donner, avant d'affecter l'adresse, pour vérifier que l'adresse n'est pas utilisée. Cela réduit le risque de création d'adresses IP en double sur le réseau.

    • Nom de domaine: Le nom de domaine du client DHCP appartient à.

      

17. Cliquez sur le bouton Suivant.

    La page Traduction d'adresses (NAT / PAT) apparaît.

18. Configurer la traduction d'adresse réseau ou la traduction d'adresse de port.

    Choisissez parmi les méthodes de traduction d'adresse disponibles:

    • Utiliser la traduction d'adresse de port (PAT): La plupart des petits bureaux utilisant une seule adresse IP publique sur leur connexion Internet utilisent PAT sur leur connexion. PAT peut utiliser une adresse spécifique ou l'adresse principale de leurs interfaces VLAN externes.PAT permet à un bureau entier de partager (ou de traduire) une seule adresse IP externe pour l'accès à Internet.

    • Utiliser la traduction d'adresses réseau (NAT): La sélection de NAT met en correspondance (ou traduction) un à un les adresses IP internes et externes, ce qui vous permet de spécifier une plage d'adresses à utiliser sur l'interface VLAN externe.

      Si vous utilisez ASA en interne sur votre réseau (par exemple, pour protéger un sous-réseau), vous pouvez sélectionner le bouton radio Activer le trafic via le pare-feu sans adresse si vous utilisez des adresses publiques sur votre réseau interne.) ou si vous utilisez l'ASA comme pare-feu à l'intérieur de votre réseau.

      

19. Cliquez sur le bouton Suivant.

    La page Accès administratif apparaît.

20. Définissez quels systèmes de votre réseau peuvent se connecter à votre ASA pour effectuer des changements de gestion ou de configuration.

    Utilisez le processus suivant pour ajouter de nouvelles interfaces de gestion. Si vous souhaitez utiliser ASDM, vous devez cocher la case Activer le serveur HTTP pour HTTPS / ASDM, tandis que la case à cocher Activer les statistiques de l'historique ASDM enregistre les données d'utilisation relatives à l'accès à l'interface ASDM.

    Dans la configuration de la ligne de commande, vous avez uniquement la possibilité de créer des connexions ASDM à partir d'un seul ordinateur. Cette page vous permet de spécifier des systèmes supplémentaires pouvant effectuer la gestion de votre ASA et le type de connexion qu'ils établissent pour effectuer cette configuration.

    

    Si vous ajoutez une nouvelle option de gestion, la boîte de dialogue Ajouter une entrée d'accès administratif s'affiche. Sélectionnez les options souhaitées pour créer la nouvelle entrée Administrative Access:

    1. Choisissez HTTP (ASDM), SSH ou Telnet dans la liste déroulante Type d'accès.

    2. Choisissez Inside dans la liste déroulante Nom de l'interface.

       Inside est généralement l'option d'interface la plus sécurisée, mais dans certains cas, par exemple si vous devez pouvoir administrer à distance via l'interface Outside, vous devez être très restrictif dans l'adresse à partir de laquelle l'administration est effectuée.

    3. Spécifiez une adresse spécifique à partir de laquelle l'administration est effectuée dans la zone de texte Adresse IP ou indiquez une plage réseau définie par une adresse IP ou un ID réseau dans la liste déroulante Masque de sous-réseau.

       Rappelez-vous que plus cette configuration est restrictive, plus votre ASA est sécurisé.

    4. Cliquez sur OK.

       Vous revenez à la page d'accès administratif.

    Si vous autorisez l'administration de votre pare-feu depuis l'interface externe, vous risquez d'être compromis par quelqu'un que vous ne connaissez pas.

    

21. Cliquez sur le bouton Suivant.

    La page récapitulative de l'assistant de démarrage de la configuration s'affiche, fournissant un résumé de la configuration que vous avez appliquée au système. Toutes ces modifications de configuration sont écrites dans la configuration en cours sur l'ASA. Une fois les modifications de configuration effectuées, l'écran de gestion standard ASA ASDM s'affiche. Depuis cette interface, vous pouvez

    • effectuer d'autres modifications de configuration.

    • Relancez l'assistant de démarrage ou d'autres assistants.

    • Effectuer une surveillance de base de l'ASA via la page d'accueil.

    • Effectuez une surveillance plus détaillée de l'ASA et des connexions qu'il héberge via les pages de surveillance.

    • Exécutez des outils de gestion et de dépannage supplémentaires.

    • Enregistrer la configuration actuelle dans la mémoire flash.