비디오: How to Install a Cisco ASA 5510 Adaptive Security Appliance 2024
Cisco ASA (Adaptive Security Appliance)에 연결되면 시작 마법사 사용 여부를 결정해야합니다 또는 다른 구성 방법을 사용하십시오. 소개 페이지가 나타나고 결정을 내릴 수 있습니다. 컴퓨터에 Java를 설치해야하기 때문에
-
ASDM 실행기 설치 및 Cisco ASDM (Adaptive Security Device Manager) 실행: 컴퓨터에 ASDM을 설치합니다. 이 컴퓨터가 항상 관리를 수행하는 데 사용할 컴퓨터 인 경우이 방법이 가장 적합합니다.
-
ASDM 실행: 이 옵션은 Java Web Start를 사용하여 ASA에 설치된 사본에서 직접 ASDM 도구를 시작합니다. 이는 소프트웨어를 설치하지 않아 일반 컴퓨터가 아닌 경우에 유용합니다.
-
시작 마법사 실행: 이 옵션은 한 가지 예외를 제외하고는 Java Web Start를 사용하여 ASDM을 시작합니다. ASDM이 시작된 후 시작 마법사가 자동으로 실행됩니다.
-
ASA의 네트워크 구성을 수행하기 위해 다음 프로세스가 시작 마법사를 안내합니다.
-
소개 페이지에서 Start Wizard Wizard (시작 마법사 실행) 버튼을 클릭합니다.
Java의 보안 설정과 관련된 경고가 표시됩니다.
-
네트워크의 올바른 장치에 연결되어 있고 신분을 수집하려고 시도하는 가짜 장치가 아닌 경우에는 경고 메시지를 닫습니다.
ASDM에서이 메시지가 예상되므로 웹 사이트로 계속 진행하십시오. Cisco ASDM Launcher 대화 상자가 나타납니다.
-
사용 가능 암호가 있지만 실제 사용자가없는 경우, 사용자 이름 필드를 건너 뛰고 암호 필드에 사용 가능 암호를 입력 한 다음 확인을 누르십시오.
관리자를 이미 만든 경우 해당 필드에 사용자 이름과 암호를 제공하십시오.
시작 지점 페이지가 나타납니다.
-
초기 ASA 설정 여부에 따라 또는 기존 ASA 설치를 변경하기 위해 설치 프로그램을 사용하는지 여부에 따라 다음 중 하나를 선택하십시오.
-
기존 구성 수정: 기존 구성 수정을 선택할 수 있습니다.
-
구성을 출고시 기본값으로 재설정: 관리 인터페이스를 제외하고 기본 구성을 수정합니다. 결과적으로 많은 소규모 네트워크는 구성을 간단하게 변경해야하기 때문에 Startup Wizard를 다시 실행하는 것이 이러한 변경을 수행하는 가장 쉬운 방법입니다.
-
-
다음 버튼을 클릭하십시오.
기본 구성 페이지에는 선택할 수있는 두 가지 옵션 항목이 나타납니다.
-
다음 항목 중에서 선택하십시오.
-
원격 근무자 용 장치 구성: 이 옵션은 가상 사설망 (VPN)을 통해 재택 근무자 또는 원격 작업자를 지원합니다. 이 옵션을 선택하면 시작 마법사의 끝 부분에 Easy VPN 원격 구성에 대한 추가 질문이 표시됩니다.
이 페이지에서 ASAFirewall1과 같은 방화벽 장치의 이름과 장치가 속한 도메인 이름 (예: edtetz)을 시작 마법사에 알릴 수도 있습니다. 그물.
-
권한 모드 변경 (사용) 암호: 현재 사용 가능한 암호가 만족스럽지 않으면 시작 마법사의이 단계를 완료하기 전에 여기에서 변경하십시오.
-
-
다음 버튼을 클릭하십시오.
-
외부, 내부 및 선택적으로 DMZ 인터페이스에 대해 VLAN (가상 근거리 통신망)을 선택합니다.
사용 허가 된 인터페이스 수에 따라 최대 세 개의 인터페이스를 구성 할 수 있습니다. ASA의 기본 라이센스로 두 개의 인터페이스 만 가질 수 있습니다. 시작 마법사의 인터페이스 선택 페이지가 나타납니다.
-
외부 VLAN 은 인터넷을 대면합니다.
-
내부 VLAN 은 회사 네트워크를 마주합니다.
-
DMZ VLAN 은 회사 네트워크와 병렬로 작동합니다. 비무장 지대 (DMZ) 는 메일, 웹 또는 ftp 서버와 같은 서버를 배치 할 수있는 공간으로 일반인 또는 네트워크 외부의 사람들이 액세스해야하는 곳입니다.
이러한 각 인터페이스의 경우 세그먼트에 VLAN을 할당하거나 인터페이스를 전혀 사용하지 않기로 선택합니다. 기본적으로 Inside 인터페이스는 VLAN 1에 맞게 구성되어 있으므로 원하는 경우 변경할 수 있습니다. 그러나 스위치의 기본 VLAN이기 때문에 스위치를 변경하지 않을 수도 있습니다.
Outside 인터페이스와 DMZ 인터페이스의 경우, 다른 VLAN을 선택하거나 기본적으로 선택된 VLAN으로 이동할 수 있습니다.
내부 VLAN, 외부 VLAN 및 DMZ VLAN 인터페이스를 활성화해도 실제로 특정 스위치 포트는 해당 인터페이스에 연결되지 않습니다. 인터페이스는 가상이며 스위치의 물리적 인터페이스와 연결되어야합니다. 즉, 임의의 수의 포트를 이러한 인터페이스 중 하나와 연결할 수 있습니다.
-
-
다음 버튼을 클릭하십시오.
스위치 포트 할당 페이지가 나타납니다.
-
사용 가능한 포트 또는 할당 된 포트 창에서 포트를 선택하고 추가 또는 제거 버튼을 클릭하여 ASA 스위치 포트를 세 VLAN에 할당합니다.
처음에는 모든 포트가 내부 VLAN과 연결됩니다. 대부분의 경우 네트워크 내부의 추가 포트를 사용하기 때문에 ASA 5505의 가장 낮은 인터페이스 또는 이더넷 0/0을 외부 VLAN과 연결하십시오. 또한 ASA 5505에서 마지막 두 개의 포트는 PoE (Power over Ethernet)를 제공하여 전화기 또는 액세스 포인트 (AP)와 같은 장치의 전원을 켜기 때문에 상위 포트를 내부 네트워크.
스위치 포트를 선택하고 VLAN 또는 인터페이스와 연결하면 기존 VLAN에서 제거 될 수 있음을 알리는 메시지가 표시됩니다.모든 포트가 Inside 인터페이스와 연관되어 시작되기 때문에 모든 포트 재 할당에 대해이 메시지가 표시됩니다.
다음 버튼을 클릭하십시오.
-
인터페이스 IP 주소 구성 페이지가 나타납니다.
각 IP 주소에 IP 구성을 할당하십시오.
-
외부 주소의 경우 사업용 인터넷 연결에 일반적이지 않은 주소를 수동으로 지정할 수 있습니다. 인터넷 연결이 DHCP (Dynamic Host Configuration Protocol) 또는 PPPOE (Point-to-Point Protocol over Ethernet)를 지원하는 경우 적절한 옵션을 선택하십시오.
DHCP를 사용하는 경우 ASA가 DHCP에서 수신 한 기본 게이트웨이를이 장치의 시스템 전체 기본 게이트웨이로 사용하도록 알려줍니다. 시스템 전체의 기본 게이트웨이 옵션을 사용하지 않기로 결정한 경우 명령 줄 인터페이스 (CLI)에서 ASDM 또는 0 0 외부의 경로를 통해 수동 경로를 구성해야합니다.
다음 버튼을 클릭하십시오.
-
DHCP 서버 페이지가 나타납니다. 중소기업 또는 지역 사무소의 경우 ASA는 프린터 및 컴퓨터 이외의 네트워크에서 유일한 실제 장치 일 수 있습니다. 현장에서 로컬 서버없이 이러한 위치를 설정할 수 있습니다.
(선택 사항) 내부 인터페이스에서 DHCP 서버 사용 확인란을 선택하여 ASA가이 네트워크 세그먼트의 DHCP 서버 역할을하도록합니다.
-
(선택 사항) 기존 인터페이스에서 대부분의 설정을 복사 할 수 있도록 인터페이스에서 자동 구성 사용 확인란을 선택합니다.
-
자동 구성 확인란을 사용하면 모든 네트워크 세그먼트에서 지속적으로 사용되는 DNS (Domain Name System) 및 WINS (Windows Internet Name Service) 서버 주소에 매우 유용하며 모든 조직에서 동일 할 수 있습니다.
다음에서 누락 된 정보를 구성하거나 변경하십시오.
-
시작 IP 주소:
-
DHCP 범위에서 전달할 첫 번째 주소. 끝 IP 주소:
-
DHCP 범위에서 마지막으로 전달할 주소입니다. DNS 서버 1 및 2:
-
DHCP 클라이언트에 배포되는 DNS 서버입니다. WINS 서버 1 및 2:
-
DHCP 클라이언트에 배포되는 WINS 서버. 임대 기간:
-
임대 기간은 DHCP 클라이언트가 DHCP 제공 주소에서 임대를 갱신해야하는시기를 결정합니다. Ping Timeout:
-
Ping Timeout 설정은 DHCP 서버가 주소를 할당하기 전에 준비 할 각 주소를 핑 (ping)하여 주소가 사용 중이 아닌지 확인하기 때문에 DHCP 서버에서 사용합니다. 이렇게하면 중복 IP 주소가 네트워크에 생성 될 가능성이 줄어 듭니다. 도메인 이름:
-
DHCP 클라이언트의 도메인 이름이 속합니다. 다음 버튼을 클릭하십시오.
-
-
주소 변환 (NAT / PAT) 페이지가 나타납니다.
네트워크 주소 변환 또는 포트 주소 변환을 설정합니다.
-
사용 가능한 주소 변환 방법 중에서 선택하십시오.
포트 주소 변환 (PAT) 사용:
-
인터넷 연결에서 공용 IP 주소를 하나만 사용하는 대부분의 소규모 사무실은 연결시 PAT를 사용합니다. PAT는 외부 VLAN 인터페이스의 특정 주소 또는 기본 주소를 사용할 수 있습니다.PAT는 전체 사무실이 인터넷 액세스를 위해 단일 외부 IP 주소를 공유 (또는 번역) 할 수있게합니다. NAT (Network Address Translation) 사용:
-
NAT를 선택하면 내부 및 외부 IP 주소간에 일대일 매핑 (또는 변환)이 이루어 지므로 외부 VLAN 인터페이스에서 사용할 주소 범위를 지정할 수 있습니다. ASA를 네트워크에서 내부적으로 사용하는 경우 (예: 서버 서브넷 보호) 내부 네트워크에서 공용 주소를 사용하는 경우 주소 변환없이 방화벽을 통한 트래픽 사용 라디오 단추를 선택할 수 있습니다) 또는 ASA를 네트워크 내부의 방화벽으로 사용하는 경우.
다음 버튼을 클릭하십시오.
-
-
관리 액세스 페이지가 나타납니다.
관리 또는 구성 변경을 수행하기 위해 네트워크의 어떤 시스템을 ASA에 연결할 수 있는지 설정합니다.
-
다음 프로세스를 사용하여 새 관리 인터페이스를 추가하십시오. ASDM을 사용하려면 HTTPS / ASDM 액세스에 HTTP 서버 사용 확인란을 선택해야하지만 ASDM 기록 메트릭스 사용 확인란을 사용하면 ASDM 인터페이스 액세스와 관련된 사용 데이터가 저장됩니다.
명령 줄 설정에는 단일 컴퓨터에서 ASDM 연결 만 가능하도록하는 옵션 만 있습니다. 이 페이지에서는 ASA를 관리 할 수있는 추가 시스템과 해당 구성을 수행하는 데 필요한 연결 유형을 지정할 수 있습니다.
새 관리 옵션을 추가하면 관리 액세스 항목 추가 대화 상자가 나타납니다. 새 관리 액세스 항목을 작성하려면 원하는 옵션을 선택하십시오.
액세스 유형 드롭 다운 목록에서 HTTP (ASDM), SSH 또는 텔넷을 선택하십시오.
-
인터페이스 이름 드롭 다운 목록에서 내부를 선택하십시오.
-
내부는 일반적으로 가장 안전한 인터페이스 옵션이지만 외부 인터페이스를 통해 원격 관리를 수행해야하는 경우와 같이 관리가 수행되는 주소가 매우 제한적이어야하는 경우가 있습니다.
IP 주소 텍스트 상자에 관리를 수행 할 특정 주소를 지정하거나 서브넷 마스크 드롭 다운 목록에서 IP 주소 또는 네트워크 ID로 정의 된 네트워크 범위를 지정하십시오.
-
이 구성을 사용하는 것이 더 제한적 일수록 ASA가 더 안전하다는 것을 기억하십시오.
확인을 클릭하십시오.
-
관리자 액세스 페이지로 돌아갑니다.
방화벽을 외부 인터페이스에서 관리하도록 허용하면 모르는 사람이 잠재적으로 위험에 노출 될 가능성이 있습니다.
다음 버튼을 클릭하십시오.
-
-
구성 시작 마법사의 요약 페이지가 나타나 시스템에 적용한 구성 요약을 제공합니다. 이러한 모든 구성 변경 사항은 ASA의 실행 구성에 기록됩니다. 구성이 변경되면 표준 ASA ASDM 관리 화면이 나타납니다. 이 인터페이스에서
다른 구성 변경을 수행 할 수 있습니다.
-
시작 마법사 또는 다른 마법사를 다시 실행하십시오.
-
홈 페이지를 통해 ASA의 기본 모니터링을 수행합니다.
-
모니터링 페이지를 통해 호스트하는 ASA 및 연결에 대한 자세한 모니터링을 수행합니다.
-
추가 관리 및 문제 해결 도구 실행.
-
현재 구성을 플래시 메모리에 저장하십시오.
-
