配置安全Web裝置初始設定
簡介
本文檔介紹首次配置安全網路裝置(SWA)所需的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- SWA管理。
- 基本網路原則。
思科建議您:
- 已安裝物理或虛擬SWA。
- 對SWA圖形使用者介面(GUI)的管理訪問。
- 對SWA命令列介面(CLI)的管理訪問。
- 對SWA控制檯的管理訪問。
- 有效的SWA許可證或訪問智慧許可證管理門戶(如果您使用的是智慧許可證)。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
安裝SWA
思科SWA是一種轉發代理解決方案,旨在增強組織的網路安全和控制。SWA提供虛擬和物理兩種形式,提供靈活的部署選項以滿足各種需求。虛擬SWA支援多種虛擬機器監控程式平台,包括Microsoft Hyper-V、VMware ESX和KVM,確保與一系列虛擬環境的相容性。對於喜歡物理裝置的客戶,思科提供三種不同的型號:S100、S300和S600。每種型號都旨在滿足不同級別的效能和容量需求,確保組織能夠找到適合其特定Web安全需求的產品。
要下載虛擬機器映像,您可以訪問:https://software.cisco.com/download/home。
安裝虛擬思科SWA是一個簡單的過程,首先要選擇適當的虛擬機器監控程式平台。首先,從思科網站下載虛擬SWA安裝檔案。對於VMware ESX,請部署OVA檔案,確保配置網路設定並分配足夠的資源,如CPU、記憶體和儲存。若為Microsoft Hyper-V,請將下載的VHD檔案匯入Hyper-V Manager,並設定虛擬機器器的設定。對於KVM,請使用virt-manager或virsh命令列工具定義並使用下載的映像啟動虛擬機器。虛擬機器啟動並運行後,您可以使用本文中的步驟執行初始設定。
初始設定
安裝SWA之後,請繼續執行以下步驟進行初始部署。
注意:對於初始設定,您需要透過控制檯、SSH和GUI訪問SWA。
| 連線方法 |
階段 |
設定步驟 |
| 主控台 |
配置IP地址 |
步驟 1.輸入用於登入CLI的使用者名稱和密碼。 
提示:預設使用者名稱是admin,預設密碼是ironport。
步驟 2.運行ifconfig。 步驟 3.選擇Edit。 步驟 4.輸入與您的管理介面關聯的編號。 步驟 5.選擇Y以編輯預設IPv4地址。 步驟 6.輸入IP地址 步驟 7.輸入Subnet Mask。
步驟 8.如果要配置IPv6,請鍵入Y以回答問題「Would you like to Configure IPv6?」,否則可以保留預設設定(No),然後按Enter。 步驟 9.輸入完整網域名稱(FQDN)作為主機名稱。 步驟 10.如果要對管理介面啟用檔案傳輸協定(FTP)訪問,請選擇Y,或者按Enter。 步驟 11.預設情況下,安全外殼(SSH)設定為「啟用」。建議啟用SSH。鍵入Y繼續。 第12步(可選)您可以將預設SSH埠從TCP 22更改為任何您想要的埠號,只要其他埠沒有衝突,請按enter使用預設埠(TCP/22)。 步驟 13.如果要使超文本傳輸協定(HTTP)訪問管理介面,請鍵入Y並設定HTTP訪問的埠號。否則,您可以選擇N以僅對管理介面進行超文本傳輸協定安全(HTTPS)訪問。 步驟 14.鍵入Y並按Enter以啟用對管理介面的HTTPS訪問。 步驟 15.您可以將預設HTTPS連線埠號碼從8443變更為任何您想要的連線埠號碼,只要沒有其他連線埠衝突,請按enter使用預設連線埠(TCP/8443)。 步驟 16. 預設情況下,應用程式程式設計介面(API)設定為「啟用」,如果您不使用API,您可以透過鍵入N並按Enter來停用API。 步驟 17.如果您選擇啟用API,您可以將預設API埠號從6080更改為您想要的任何埠號,只要沒有其它埠衝突,請按enter使用預設埠(TCP/6080)。
步驟 18.AsyncOS API(監控)是SWA上的新GUI,如果要使用新的使用者介面報告,請將此選項設定為Y(預設),否則您可以鍵入N並跳到步驟20 步驟 19. 您可以將預設的New GUI HTTPS埠號從6443更改為「任何您想要的埠號」,只要沒有埠衝突;否則,請按enter使用預設埠(TCP/6443)。 步驟 20.SWA管理介面使用思科演示證書。鍵入Y接受演示證書。您可以在初始設定後更改GUI證書。 步驟 21.按Enter退出ifconfig嚮導。
|
配置預設網關 |
步驟 22.運行setgateway。 步驟 23.如果您的管理介面配置了IPv4,請選擇IPv4,否則請選擇IPv6。 步驟 24.輸入您的預設網關IP地址。 步驟 25.透過運行commit儲存更改。 步驟26. (可選)您可以增加有關正在儲存的更改的註釋 第27步:(可選)在應用更改之前,您可以讓SWA備份配置。
|
|
| SSH |
導入傳統許可證 |
注意:如果您使用的是智慧許可證,請跳到步驟36。 步驟 28. 透過SSH連線到SWA。 步驟 29.運行loadlicense 步驟 30.選擇透過CLI貼上。 步驟 31. 使用文字編輯器開啟授權檔案,並複製其所有內容 步驟 32.將許可證貼上到SSH外殼中。 步驟 33.按Enter導航到新行。 步驟 34.按住Control並按D。 步驟 35.閱讀許可協定並鍵入YES以同意條件。
請跳至Step 58。 |
| GUI |
配置DNS伺服器 |
步驟 37. 登入到GUI(預設值為HTTPS://<SWA FQDN或IP地址>:8443) 步驟 38.導覽至Network,然後選擇DNS。 步驟 39.按一下Edit Settings。 第40步:在主DNS伺服器部分,選擇使用這些DNS伺服器。 步驟 41.將優先順序設定為0並輸入您的DNS伺服器IP地址。
注意:您可以透過選擇增加行來增加多個DNS伺服器。 步驟 42.提交。 步驟 43.提交變更。
|
配置智慧許可證 |
步驟 44.在系統管理的GUI中,選擇智慧軟體許可。 步驟 45. 選擇啟用智慧軟體許可。 
注意:在裝置上啟用智慧許可證功能後,不能從智慧許可證回滾到傳統許可證。 步驟 46. 點選確定繼續配置智慧許可證。 步驟 47.提交變更。 步驟 48. 要獲取令牌以註冊您的SWA,請登入思科軟體中心(https://software.cisco.com/#) 步驟 49.按一下Manage Licenses。
步驟 50.在智慧軟體許可中選擇資產。 步驟 51.在常規頁籤中,建立新令牌或使用可用令牌。
步驟 52.輸入所需資訊並建立令牌。
步驟 53.按一下新增加的令牌前面的藍色圖示並複製其內容。
步驟 54. 在SWA GUI中,導航到System Administration並選擇Smart Software Licensing。
注意:如果您已經在智慧軟體許可頁面,請刷新頁面。 第55步(可選)如果SWA不能從管理介面訪問網際網路,您可以將測試介面更改為允許訪問網際網路的介面。
提示:有關多個介面配置和路由表的詳細資訊,請檢查本文的「網路配置」部分。 步驟 56.按一下Register。 步驟 57.貼上令牌並按一下註冊。
注意:要驗證您的註冊,請等待幾分鐘,刷新SWA中的智慧許可頁面,並檢查註冊狀態。
|
|
系統設定精靈 |
步驟 58. 在SWA GUI中,導航到System Administration,然後選擇System Setup Wizard。 步驟 59.閱讀並接受此授權合約的條款 步驟 60.按一下Begin Setup。 步驟 61.選擇 標準來自 Appliance Mode of Operation部分。 步驟 62.輸入Default System Hostname。
注意:在步驟9中建立的以前主機名與「管理介面」而不是SWA相關。 步驟 63.輸入DNS伺服器IP地址。 步驟64.您可以設定網路時間協定(NTP)伺服器。
提示:如果您的NTP伺服器要求身份驗證,則可以配置金鑰引數。 步驟 65.選擇適用於SWA的時區,然後按一下下一步。
第66步(可選)如果您正在使用網路中的任何上游代理,可以在網路情景頁面上配置它,或者將其保留為預設值並按一下下一步。
第67步(可選)如果需要將管理介面流量與資料介面(P1和P2介面)流量分開,請選擇Use M1 port for management only。 步驟68. (可選)可以透過IPv4地址/網路掩碼或IPv6地址/網路掩碼部分增加或修改網路介面IP地址。 步驟69. (可選)您可以增加或修改網路介面主機名並按一下下一步。
註:P1埠可以透過系統設定嚮導啟用和配置。如果您要啟用P2介面,必須在完成「系統設定精靈」後完成。
步驟70。(可選)如果您計畫配置第4層流量監控器(L4TM),則可以配置雙工設定,也可以保留預設設定,然後按一下下一步。
步驟71. (可選)在Management的IPv4路由頁面中,您可以修改預設網關 第72步(可選)您可以增加路由以建立靜態路由。
註:如果在第67步中選擇「Use M1 port for management only」,則「管理介面」和「資料介面」(P1和P2)將有兩個單獨的路由表。
步驟73. (可選)如果要透過Web快取通訊協定(WCCP)設定透明代理部署,可以配置WCCP設定,或者可以保留預設的第4層交換機或無裝置,然後按一下下一步。
步驟 74.為管理員帳戶設定新的密碼。 步驟 75.輸入預期會接收系統警示的電子郵件地址。 第76步(可選)提供簡單郵件傳輸協定(SMTP)中繼主機資訊,否則保留為空 如果未定義內部中繼主機,則SMTP使用MX記錄的DNS查詢。 第77步(可選)如果要停用參與Cisco SensorBase網路,請取消選中Network Participation 覈取方塊,否則保留預設設定,然後按一下Next。
註:參與Cisco SensorBase網路意味著思科收集資料並與SensorBase威脅管理資料庫共用該資訊。
第78步(可選)您可以更改全局策略、L4TM和思科資料安全過濾的預設操作,也可以將其保留為預設值並按一下下一步。
步驟 79.檢查您的配置。如果需要更改,請按一下Previous按鈕返回上一頁,否則按一下Install This Configuration。 |
網路設定
要配置網路介面,可以使用CLI或GUI。
| 命令/路徑 |
動作 |
|
| 從CLI配置網路介面卡 |
CLI > ifconfig |
新:如果介面未列在ifconfig輸出中,但存在於虛擬機器或物理裝置中,則您可以使用此命令在清單中顯示介面。 編輯:此操作用於編輯IP地址、子網掩碼、介面主機名或其他相關引數。 詳細資訊:顯示介面的詳細資訊,如MAC地址、介質型別、雙工模式等。 Delete:從ifconfig清單中刪除介面,並刪除IP地址(如果之前已分配)。 |
| 從GUI配置網路介面卡 |
GUI > Network > Interfaces |
您可以編輯介面IP地址和主機名。 您可以啟用、停用或修改連線埠號碼 裝置管理服務,如FTP、SSH、HTTP訪問和HTTPS訪問。 |
路由表
路由是確定網路流量流向何處的關鍵。SWA處理以下型別的流量:
- 資料流量:這包括Web代理從瀏覽網際網路的終端使用者處理的流量。
- 管理流量:這包括透過Web介面管理裝置生成的流量,以及管理服務(如SWA升級、元件更新、DNS、身份驗證及其他相關任務)的流量。
預設情況下,兩種型別的流量都使用為所有配置的網路介面定義的路由。但是,您可以選擇分離路由,以便管理流量使用專用管理路由表,而資料流量使用單獨的資料路由表。
| 管理流量 |
資料流量 |
| WebUI |
HTTP代理 |
註:如果選擇「僅使用M1埠進行管理」選項,則系統會將名為「資料路由表」的附加路由表增加到SWA中。此路由表只有一個可配置的預設網關;任何其他路由路徑都必須手動配置。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
30-Oct-2024 |
初始版本 |
意見