ビデオ: Cisco Security Manager ビデオ データ シート 2024
Cisco Adaptive Security Appliance(ASA)に接続したら、スタートアップウィザードを使用するかどうかを決定する必要がありますまたは異なる設定方法を使用してください。紹介ページが表示され、決定を下すことができます。
-
ASDM LauncherのインストールとCisco Adaptive Security Device Manager(ASDM)の実行: コンピュータにASDMをインストールします。これが常に管理を実行するために使用するコンピュータであれば、この方法が最も理にかなっています。
<! - 1 - > -
ASDMの実行: このオプションは、Java Web Startを使用して、ASAにインストールされているコピーから直接ASDMツールを起動します。これは、ソフトウェアをインストールしないため、通常のコンピュータではない場合に便利です。
-
スタートアップウィザードを起動します: このオプションは、Java Web Startを使用してASDMを起動します。 ASDMが起動すると、Startup Wizardが自動的に実行されます。
導入ページの[Start Startup Wizard]ボタンをクリックします。
-
Javaのセキュリティ設定に関する警告が表示されます。
ネットワーク上の正しいデバイスに接続していて、偽のデバイスがクレデンシャルを収集しようとしていないことが確実な場合は、警告メッセージを閉じます。
-
<! - 3 - >
ASDMからのこのメッセージが必要なので、Webサイトに進みます。 Cisco ASDM Launcherダイアログボックスが表示されます。パスワードは有効にしても、実際のユーザーはいない場合は、[ユーザー名]フィールドを省略し、[パスワード]フィールドに有効パスワードを入力して[OK]をクリックします。
-
管理ユーザーを既に作成している場合は、該当するフィールドにユーザー名とパスワードを入力します。
開始点ページが表示されます。
ASAを最初に設定するか、セットアップを使用して既存のASAインストールを変更するかに応じて、次のいずれかを選択します。
-
既存の設定の変更:
-
既存の設定の変更を選択できます。 設定を工場出荷時のデフォルトにリセット:
-
管理インターフェースを除き、デフォルト設定を変更します。結局のところ、小規模なネットワークの多くは、設定を単純に変更するだけでよく、起動ウィザードを再実行することがこれらの変更を行う最も簡単な方法です。 [次へ]ボタンをクリックします。
-
-
基本設定ページには、選択できる2つのオプション項目が表示されます。
次の項目から選択します。
-
テレワーカー使用のためのデバイスの設定:
-
このオプションは、仮想プライベートネットワーク(VPN)を介してテレワーカーまたはリモートワーカーをサポートします。このオプションを選択すると、スタートアップウィザードの最後にEasy VPNリモート設定の質問が表示されます。 このページでは、起動ウィザードにASAFirewall1などのファイアウォールデバイスの名前と、edtetzなど、デバイスが属するドメイン名を伝えることもできます。ネット。
特権モードを変更する(有効)パスワード:
-
現在の有効化パスワードがわからない場合は、ここで変更して起動ウィザードのこの手順を完了してください。 [次へ]ボタンをクリックします。
-
-
Outside、Inside、およびオプションでDMZインターフェイスの仮想ローカルエリアネットワーク(VLAN)を選択します。
-
ライセンスを受けているインターフェイスの数に応じて、最大3つのインターフェイスを設定できます。 ASAの基本ライセンスでは、2つのインタフェースのみを使用できます。起動ウィザードの[Interface Selection]ページが表示されます。
-
外部VLAN はインターネットに面しています。
-
内部VLAN は企業ネットワークに面しています。
-
DMZ VLAN は企業ネットワークと並行して動作します。 非武装地帯(DMZ) は、郵便、ウェブ、またはFTPサーバーなどの大規模な、または少なくともネットワーク外の人々がアクセスする必要のあるサーバーを置くことができるエリアです。 これらの各インタフェースでは、セグメントにVLANを割り当てるか、インタフェースをまったく使用しないことを選択します。デフォルトではInsideインターフェイスはVLAN 1用に設定されています。必要に応じて変更できます。ただし、これはスイッチ上のデフォルトVLANであるため、変更したくない場合があります。
OutsideインターフェイスとDMZインターフェイスでは、別のVLANを選択するか、デフォルトで選択されたVLANを使用できます。
内部VLAN、外部VLAN、およびDMZ VLANインターフェイスを有効にしても、実際に特定のスイッチポートはこれらのインターフェイスに関連付けられません。インターフェイスは仮想であり、スイッチ上の物理インターフェイスに関連付ける必要があります。つまり、任意の数のポートをこれらのインターフェイスのいずれかに関連付けることができます。
[次へ]ボタンをクリックします。
-
-
[Switch Port Allocation]ページが表示されます。
Available PortsまたはAllocated Portsペインでポートを選択し、AddまたはRemoveボタンをクリックして、3つのVLANにASAスイッチポートを割り当てます。
-
最初は、すべてのポートが内部VLANに関連付けられています。ほとんどの場合、ネットワーク内の追加ポートを使用する可能性があるため、ASA 5505の最小インターフェイスまたはEthernet 0/0を外部VLANに関連付けます。
また、ASA 5505では、最後の2つのポートがPoE(Power over Ethernet)を供給して電話やアクセスポイント(AP)などのデバイスをパワーアップします。内部ネットワーク。
スイッチポートを選択してVLANまたはインターフェイスに関連付けると、既存のVLANから削除される可能性があることを知らせるメッセージが表示されます。すべてのポートはInsideインターフェイスに関連付けられているため、すべてのポートの再割り当てでこのメッセージが表示されます。
[次へ]ボタンをクリックします。
-
Interface IP Address Configurationページが表示されます。
各IPアドレスにIP設定を割り当てます。
-
外部アドレスについては、手動で住所を割り当てることができます。これは、ビジネスインターネット接続では一般的ではありません。インターネット接続がDHCP(Dynamic Host Configuration Protocol)またはPPPOE(Point-to-Point Protocol over Ethernet)をサポートしている場合は、適切なオプションを選択します。
DHCPを使用する場合は、DHCPから受信したデフォルトゲートウェイをこのデバイスのシステム全体のデフォルトゲートウェイとして使用するようにASAに指示します。システム全体のデフォルトゲートウェイオプションを使用しない場合は、コマンドラインインターフェイス(CLI)でASDMまたは0 0以外のルートを使用して手動ルートを設定する必要があります。
[次へ]ボタンをクリックします。
-
DHCPサーバーページが表示されます。中小企業や地方自治体のオフィスでは、ASAはプリンタやコンピュータ以外のネットワーク上の唯一の実在するデバイスである可能性があります。これらの場所は、オンサイトのローカルサーバーなしで設定することができます。
(オプション)ASAをこのネットワークセグメントのDHCPサーバーとして機能させるには、Inside InterfaceチェックボックスのEnable DHCP Serverを選択します。
-
(オプション)既存のインターフェイスからこれらの設定のほとんどをコピーできるように、[インターフェイスから自動構成を有効にする]チェックボックスをオンにします。
-
自動構成チェックボックスを有効にすると、すべてのネットワークセグメントで常に使用されているドメインネームシステム(DNS)およびWindowsインターネットネームサービス(WINS)サーバーのアドレスに非常に役立ちます。
開始アドレス:
-
DHCP範囲内で引き渡される最初のアドレス。
-
終了IPアドレス: DHCP範囲で最後に送信されるアドレス。
-
DNSサーバー1および2: DHCPクライアントに配布されるDNSサーバー。
-
WINSサーバー1および2: DHCPクライアントに配布されるWINSサーバー。
-
リース期間: リース期間は、DHCPクライアントがDHCP提供のアドレスでリースを更新する必要があるかどうかを決定します。
-
Pingタイムアウト: Pingタイムアウト設定は、DHCPサーバーによって使用されます。これは、アドレスを割り当てる前に、アドレスが使用されていないことを確認する準備ができている各アドレスをpingするためです。これにより、ネットワーク上に重複したIPアドレスが作成される可能性が少なくなります。
-
ドメイン名: DHCPクライアントのドメイン名が所属しています。
-
[次へ]ボタンをクリックします。 アドレス変換(NAT / PAT)ページが表示されます。
-
-
ネットワークアドレス変換またはポートアドレス変換を設定します。
使用可能なアドレス変換方法から選択します。
-
ポートアドレス変換(PAT)を使用:
インターネット接続でパブリックIPアドレスを1つしか使用しないほとんどの小規模オフィスでは、接続時にPATを使用します。 PATは、外部VLANインターフェイスの特定のアドレスまたはメインアドレスを使用できます。PATはオフィス全体がインターネットアクセスのために単一の外部IPアドレスを共有(または変換)することを可能にします。
-
ネットワークアドレス変換(NAT)の使用: NATを選択すると、内部IPアドレスと外部IPアドレスの間に1対1のマッピング(または変換)が行われるため、外部VLANインターフェイスで使用するアドレスの範囲を指定できます。
-
ネットワーク上でASAを使用する場合(たとえば、サーバーサブネットを保護する場合)、内部ネットワーク上のパブリックアドレスを使用する場合は、[アドレス変換なしのファイアウォール経由でトラフィックを有効にする]ラジオボタンを選択します)、またはネットワークの内部でASAをファイアウォールとして使用している場合。 [次へ]ボタンをクリックします。
管理者アクセスページが表示されます。
-
-
ネットワーク上のどのシステムがASAに接続して、管理または構成の変更を実行できるかを設定します。
新しい管理インターフェースを追加するには、以下のプロセスを使用します。 ASDMを使用する場合は、HTTPS / ASDMアクセスにHTTPサーバを有効にするチェックボックスを選択する必要がありますが、ASDM履歴メトリックを有効にするチェックボックスでは、ASDMインターフェイスへのアクセスに関する使用状況データが保存されます。
-
コマンドラインのセットアップでは、1台のコンピュータからASDM接続を行うオプションしかありません。このページでは、ASAの管理とその構成を実行するために行う接続のタイプを管理できる追加のシステムを指定できます。
新しい管理オプションを追加すると、[管理アクセスエントリの追加]ダイアログボックスが表示されます。新しい管理アクセスエントリを作成するために必要なオプションを選択します。
[アクセスタイプ]ドロップダウンリストから[HTTP(ASDM)]、[SSH]、または[Telnet]を選択します。
[インタフェース名]ドロップダウンリストから[内部]を選択します。
-
内部は通常、最もセキュアなインターフェイスオプションですが、Outsideインターフェイス経由でリモート管理できるようにする必要がある場合など、管理が実行されるアドレスは非常に制限されている必要があります。
-
[IPアドレス]テキストボックスに管理を実行する特定のアドレスを指定するか、[サブネットマスク]ドロップダウンリストからIPアドレスまたはネットワークIDで定義されたネットワーク範囲を指定します。
この設定では制限が厳しくなればなるほど、ASAの安全性は向上します。
-
OKをクリックします。
管理者アクセスページに戻ります。
-
外部インターフェースからファイアウォールを管理できるようにすると、知らない人が潜在的に侵害される可能性があります。
[次へ]ボタンをクリックします。
構成ウィザードの概要ページが表示され、システムに適用した構成の概要が表示されます。これらの設定変更はすべて、ASAの実行コンフィギュレーションに書き込まれます。設定を変更すると、標準のASA ASDM管理画面が表示されます。このインターフェースから他の設定変更を行うことができます。
-
-
スタートアップウィザードまたは他のウィザードを再起動します。
-
ホームページを介してASAの基本的な監視を実行します。
-
ASAと監視ページでホストする接続の詳細な監視を実行します。
-
追加の管理ツールとトラブルシューティングツールを実行します。
-
現在の設定をフラッシュメモリに保存します。
-
