ASA5585防火墙IDC机房上架记.docVIP

ASA5585防火墙IDC机房上架记 前言： 现在网游公司用的是ASA5520，web网站经常被别人攻击一下，就把28万个连接都用完的，造成服务不正常。这个问题必须马上解决，参考了很多互联网公司的网络架构，最后换防火墙是一种比较好的方案。提了两个品牌给领导审批，一个cisco的ASA，一个juniper的SRX。领导选了思科，我在此替juniper悲哀，领导一直觉得思科的交换机好用，所以就认为思科的防火墙也很强大（其实juniper防火墙要好于思科ASA）。到思科官网去找了下， 200万并发的产品。又电话思科问下，说是5580快停产了，购5585，性能更好，并且算上折扣，比老的5580-20还要便宜1000，那就这样定了ASA5585-20-K9。 第一步：产品采购 订单明细如下： 这点东西，总计花了公司35万人民币。思科的服务真贵，三年就要13万9人民币。其实服务费，国外公司都贵，不管是思科，还是oracle，还是IBM小机。 第二步：验收硬件 与供货商工程师一起，验收设备。大箱子是ASA5585防火墙，小箱子是冗余电源。还购买了两个SM多模光纤，找机房问问，说是在库房。硬件上没有什么设备丢失的了，包装也完好，那拆箱吧。 第三步：上架前准备 3.1上冗余电源模块，上机箱耳朵，ASA5585防火墙像一台dell R710服务器。 3.2机柜腾空间 在一个机柜中把cisco 3825路由器下架，就空出一个2U的空间了，把ASA5585上到这。 第四步：上架 这个时候，我傻了，电源线插头是16A的，无法接到机柜的排插里。我在购买这款产品时，特意问了思科原厂工程师，他说电源插头是标准的，国标，所以我来北京之前，没想过电源线的插头有问题。找遍北京酒仙桥方圆1000米的苏宁，大超市，五金，格力空调专卖，都没有10A转16A的转换头，没办法，taobao一下，发现安定门外大街的肖家胡同43号有卖，打个的去，买了两个转换头，花了20元。 打的费60块，插头20块，总计花了80块，就为了两个转换头，并浪费了我4个小时，所以大家要注意啊，高端产品的电力问题，如HP刀片机箱，IBM小机。 第五步：软件验收 登录ASA5585，“show version”一下，看下里面的软件版权与License 根据采购单的明细表对比“show version”，发现有一项少了，即“ASA5585-SEC-PL”，其它都正常，把这个疑问登记在案，并电话供货商的售前经理，他查了，说是合同里没有标明有这项，暂不管了，回深圳去对下原始合同。 第六步：功能调试 6.1、内外网路由 Inter e0/0 Nameif outside Security-level 0 Ip address 211.xxx.193.x 28 Int e0/1 Name if inside Security-level 100 Ip add 外网路由：route outside 211.xxx.193.1 内网路由：route inside 6.2、设置主机名和域名： hostname ASA5585-20 domain-name 6.3、设置enable密码，命令如下： Enable password xxxxxx //密码当场配置时定，取8位以上 6.4、设置帐户和密码，命令如下： Username xxxx password xxxx privilege 15 //为ASDM和SSH控制使用 Crypto key generate rsa modulus 1024 //生成ssh登录时的密钥 6.5、启用telnet和SSH访问防火墙 telnet inside //启用内网的telnet telnet timeout 5 aaa authentication enable console LOCAL //设置en认证为本地认证 aaa authentication telnet console LOCAL //设置telnet证为本地认证 aaa authentication ssh console LOCAL //设置SSH的认证为本地认证 ssh outside ssh inside //起用内部和外部接口的SSH ssh timeout 30 ssh version 2 //设置SSH版本为2 console timeout 0 6.6、NAT转换及映射（8.4版） 6.6.1转换内部服务器上网 Object network inside-outside-all //内网服务器NAT上网 Subnet Nat (inside,outside) dynamic 211.xxx.193.10 6.6.2映射www及