ASA5585防火墙IDC机房上架记

ASA5585防火墙IDC机房上架记

前言:

现在网游公司用的是ASA5520,web网站经常被别人攻击一下,就把28万个连接都用完的,造成服务不正常。这个问题必须马上解决,参考了很多互联网公司的网络架构,最后换防火墙是一种比较好的方案。提了两个品牌给领导审批,一个cisco的ASA,一个juniper的SRX。领导选了思科,我在此替juniper悲哀,领导一直觉得思科的交换机好用,所以就认为思科的防火墙也很强大(其实juniper防火墙要好于思科ASA)。到思科官网去找了下, 200万并发的产品。又电话思科问下,说是5580快停产了,购5585,性能更好,并且算上折扣,比老的5580-20还要便宜1000,那就这样定了ASA5585-20-K9。

第一步:产品采购

订单明细如下:

ASA5585防火墙IDC机房上架记

这点东西,总计花了公司35万人民币。思科的服务真贵,三年就要13万9人民币。其实服务费,国外公司都贵,不管是思科,还是oracle,还是IBM小机。

第二步:验收硬件

与供货商工程师一起,验收设备。大箱子是ASA5585防火墙,小箱子是冗余电源。还购买了两个SM多模光纤,找机房问问,说是在库房。硬件上没有什么设备丢失的了,包装也完好,那拆箱吧。

ASA5585防火墙IDC机房上架记

第三步:上架前准备

3.1上冗余电源模块,上机箱耳朵,ASA5585防火墙像一台dell R710服务器。

ASA5585防火墙IDC机房上架记

3.2机柜腾空间

在一个机柜中把cisco 3825路由器下架,就空出一个2U的空间了,把ASA5585上到这。

ASA5585防火墙IDC机房上架记

第四步:上架

这个时候,我傻了,电源线插头是16A的,无法接到机柜的排插里。我在购买这款产品时,特意问了思科原厂工程师,他说电源插头是标准的,国标,所以我来北京之前,没想过电源线的插头有问题。找遍北京酒仙桥方圆1000米的苏宁,大超市,五金,格力空调专卖,都没有10A转16A的转换头,没办法,taobao一下,发现安定门外大街的肖家胡同43号有卖,打个的去,买了两个转换头,花了20元。

打的费60块,插头20块,总计花了80块,就为了两个转换头,并浪费了我4个小时,所以大家要注意啊,高端产品的电力问题,如HP刀片机箱,IBM小机。

ASA5585防火墙IDC机房上架记

ASA5585防火墙IDC机房上架记

ASA5585防火墙IDC机房上架记

第五步:软件验收

登录ASA5585,“show version”一下,看下里面的软件版权与License

ASA5585防火墙IDC机房上架记

ASA5585防火墙IDC机房上架记

根据采购单的明细表对比“show version”,发现有一项少了,即“ASA5585-SEC-PL”,其它都正常,把这个疑问登记在案,并电话供货商的售前经理,他查了,说是合同里没有标明有这项,暂不管了,回深圳去对下原始合同。

第六步:功能调试

6.1、内外网路由

Inter e0/0

Nameif outside

Security-level 0

Ip address 211.xxx.193.x 255.255.255.128

Int e0/1

Name if inside

Security-level 100

Ip add 10.98.2.5 255.255.255.0

外网路由:route outside 0.0.0.0 0.0.0.0 211.xxx.193.1

内网路由:route inside 10.98.2.0 255.255.255.0 10.98.2.1

6.2、设置主机名和域名:

hostname ASA5585-20

domain-name xxxx.com

6.3、设置enable密码,命令如下:

Enable password xxxxxx //密码当场配置时定,取8位以上

6.4、设置帐户和密码,命令如下:

Username xxxx password xxxx privilege 15 //为ASDM和SSH控制使用

Crypto key generate rsa modulus 1024 //生成ssh登录时的密钥

6.5、启用telnet和SSH访问防火墙

telnet 0.0.0.0 0.0.0.0 inside //启用内网的telnet

telnet timeout 5

aaa authentication enable console LOCAL //设置en认证为本地认证

aaa authentication telnet console LOCAL //设置telnet证为本地认证

aaa authentication ssh console LOCAL //设置SSH的认证为本地认证

ssh 0.0.0.0 0.0.0.0 outside

ssh 0.0.0.0 0.0.0.0 inside //起用内部和外部接口的SSH

ssh timeout 30

ssh version 2 //设置SSH版本为2

console timeout 0

6.6、NAT转换及映射(8.4版)

6.6.1转换内部服务器上网

Object network inside-outside-all  //内网服务器NAT上网

Subnet 0.0.0.0 0.0.0.0

Nat (inside,outside) dynamic 211.xxx.193.10

6.6.2映射www及开放端口等

Object ntwork inside-server215    //内网web服务器映射80端口到互联网

Host 10.98.2.25

nat (inside,outside) static 211.xxx.193.12 service tcp www www

6.6.3开放映射端口

Access-list pass-policy extended permit icmp any any

Access-list pass-policy extended permit tcp any host 10.98.2.25 eq www

6.7 VPN连接(8.4版)

object network szzb               //定义深圳VPN组

subnet 172.16.4.0 255.25.255.0

object network bjwz              //定义北京VPN组

subnet 10.98.2.0 255.255.255.0

access-list bj-sz-vpn extended permit ip object obj-172.16.4.0 object obj-10.98.2.0

nat (inside,outside) source static obj-172.16.4.0 obj-172.16.4.0 destination static obj-10.98.2.0 obj-10.98.2.0

crypto ipsec ikev1 transform-set vpn_set esp-des esp-md5-hmac

crypto map vpn_map 70 match address bj-sz-vpn

crypto map vpn_map 70 set peer 124.114.169.xx

crypto map vpn_map 70 set ikev1 transform-set vpn_set

crypto map vpn_map interface outside

crypto ikev1 enable outside

crypto ikev1 policy 1

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

tunnel-group 124.x.x.x type ipsec-l2l

tunnel-group 124.x.x.x ipsec-attributes

ikev1 pre-shared-key cisco.com

xxxxxxx

第七步: NAT验证及VPN参数验证

Show nat detail

Show xlate

Show conn

Show run nat

Show nat pool

Sh crypto isakmp sa

Sh crypto ipsec sa

Sh crypto isakmp stats

本文转自itwork 51CTO博客,原文链接:http://blog.51cto.com/369369/806508,如需转载请自行联系原作者

上一篇:ASA防火墙外部web应用端口与默认审查协议相冲突的解决方法
下一篇:Linux安全之---防火墙iptables