CiscoASA、PIX与FWSM防火墙手册PDF电子书下载

第1章 防火墙概述 1

1.1防火墙运行概述 2

1.1.1初始校验 2

1.1.2Xlate查询 3

1.1.3连接查询 4

1.1.4ACL查询 5

1.1.5用户验证查询 5

1.1.6检测引擎 6

1.2ICMP、UDP和TCP的检测引擎 6

1.2.1ICMP检测 6

1.2.2UDP检测 9

1.2.3TCP检测 10

1.2.4TCP标准化 13

1.2.5其他防火墙操作 13

1.3硬件和性能 14

1.4基本安全策略准则 15

第2章 配置基础 19

2.1用户界面 19

2.1.1用户界面模式 20

2.1.2用户界面特性 20

2.2防火墙特性和许可证 24

2.3初始防火墙配置 29

第3章 建立连接 33

3.1配置接口 33

3.1.1检验防火墙接口 34

3.1.2配置接口冗余 35

3.1.3基本接口配置 37

3.1.4在接口上配置IPv6 44

3.1.5配置ARP高速缓存 50

3.1.6配置接口的MTU和分段 51

3.1.7配置接口优先队列 53

3.1.8防火墙拓扑结构考虑事项 57

3.2配置路由选择 61

3.2.1使用路由选择信息防止IP地址欺骗 61

3.2.2配置静态路由 63

3.2.3支持基于可达性的静态路由 65

3.2.4配置RIP以交换路由选择信息 69

3.2.5配置EIGRP以交换路由选择信息 71

3.2.6配置OSPF以交换路由选择信息 74

3.3DHCP服务器功能 85

3.3.1将防火墙作为一个DHCP服务器 86

3.3.2从DHCP服务器更新动态DNS 88

3.3.3向DHCP服务器转发DHCP请求 91

3.4组播支持 93

3.4.1组播概述 93

3.4.2组播寻址 93

3.4.3转发组播流量 94

3.4.4IGMP：寻找组播组中的接收者 95

3.4.5PIM：建立一个组播分发树 96

3.4.6配置PIM 101

3.4.7使用组播边界划分域 104

3.4.8过滤PIM邻居 105

3.4.9过滤双向PIM邻居 106

3.4.10配置Stub组播路由选择（SMR，Stub Multicast Routing） 106

3.4.11配置IGMP操作 108

3.4.12Stub组播路由选择实例 110

3.4.13PIM组播路由选择实例 111

3.4.14验证IGMP组播操作 111

3.4.15验证PIM组播路由选择操作 112

第4章 防火墙管理 117

4.1使用Security Context构建虚拟防火墙 117

4.1.1Security Context（虚拟防火墙）结构 118

4.1.2共享context接口 118

4.1.3共享context接口的问题 120

4.1.4用唯一MAC地址解决共享context接口问题 123

4.1.5配置文件和security context 126

4.1.6Multiple-context配置规则 126

4.1.7启动Multiple-context模式 127

4.1.8multiple security context之间的切换 129

4.1.9配置一个新的context 130

4.1.10给context分配防火墙资源 138

4.1.11验证multiple-context操作 142

4.2管理Flash文件系统 143

4.2.1引导ASA或FWSM Flash文件系统 144

4.2.2管理ASA或FWSM Flash文件系统 145

4.2.3使用PIX 6.3 Flash文件系统 148

4.2.4识别操作系统镜像 149

4.2.5从监控提示符中更新镜像 150

4.2.6通过管理会话升级镜像 153

4.2.7自动升级镜像 157

4.3管理配置文件 157

4.3.1管理启动配置 157

4.3.2保存运行配置 159

4.3.3输入配置 162

4.4用自动更新服务器进行自动更新 164

4.4.1将防火墙配置为自动更新客户端 164

4.4.2验证自动更新客户端操作 168

4.4.3将防火墙配置为自动更新服务器 169

4.5管理管理会话 172

4.5.1控制台连接 173

4.5.2Telnet会话 174

4.5.3SSH会话 174

4.5.4ASDM／PDM会话 177

4.5.5用户会话标志（Banner） 180

4.5.6监视管理会话 181

4.6防火墙重载和崩溃 182

4.6.1重载防火墙 182

4.6.2获得崩溃信息 184

4.7用SNMP监测防火墙 187

4.7.1防火墙SNMP支持概述 187

4.7.2SNMP配置 190

第5章 防火墙用户管理 195

5.1一般用户管理 196

5.1.1一般用户的验证与授权 196

5.1.2通用用户统计 197

5.2用本地数据库管理用户 198

5.2.1本地用户名的验证 198

5.2.2授权用户访问防火墙命令 200

5.2.3本地用户行为统计 203

5.3定义用于用户管理的AAA服务器 204

5.4配置AAA以管理管理级用户 209

5.4.1启用AAA用户验证 209

5.4.2启动AAA命令授权 211

5.4.3启用AAA命令统计 213

5.5为终端用户直通代理配置AAA 214

5.5.1验证通过用户 214

5.5.2使用TACACS+服务器授权用户行为 217

5.5.3使用RADIUS服务器授权用户行为 219

5.5.4保存用户行为的统计记录 222

5.5.5AAA直通式代理配置实例 223

5.6防火墙密码恢复 224

5.6.1恢复ASA密码 224

5.6.2恢复PIX密码 227

5.6.3恢复FWSM密码 228

第6章 通过防火墙的控制访问 231

6.1路由和透明防火墙模式 231

6.2地址转换 239

6.2.1定义访问方向 240

6.2.2地址转换类型 241

6.2.3通过地址转换处理连接 243

6.2.4静态NAT 246

6.2.5策略NAT 248

6.2.6一致性NAT 251

6.2.7NAT豁免 252

6.2.8动态地址转换（NAT或PAT） 253

6.2.9控制流量 258

6.3使用访问列表控制访问 261

6.3.1编译访问列表 261

6.3.2配置访问列表 262

6.3.3访问列表实例 268

6.3.4定义对象组 269

6.3.5监控访问列表 281

6.4规避流量 283

第7章 检测流量 287

7.1过滤内容 287

7.1.1配置内容过滤器 288

7.1.2内容-过滤举例 292

7.1.3利用Web缓存实现更好的HTTP服务性能 293

7.2在模块化策略结构中定义安全策略 293

7.2.1对3和4层流量进行分类 295

7.2.2分类管理流量 299

7.2.3定义一个第3／4层策略 300

7.2.4默认策略定义 310

7.3应用检测 312

第8章 使用故障切换（failover）增强防火墙的可用性 347

8.1防火墙故障切换（failover）概述 347

8.1.1故障切换工作原理 348

8.1.2防火墙故障切换的作用 351

8.1.3检测防火墙故障 352

8.1.4故障切换通信 353

8.1.5A／A模式故障切换的要求 355

8.2配置防火墙故障切换 356

8.3防火墙故障切换配置示例 366

8.3.1PIX防火墙A／S模式的故障切换实例 366

8.3.2FWSM中A／S模式故障切换的配置示例 368

8.3.3A／A模式的故障切换实例 369

8.4防火墙故障切换管理 374

8.4.1显示故障切换信息 374

8.4.2调试故障切换行为 379

8.4.3手工干预故障切换 381

8.4.4在故障切换对等单元上执行命令 382

8.5在故障切换模式下对防火墙进行升级 384

8.5.1手工升级故障切换对 384

8.5.2自动升级故障切换对 387

第9章 防火墙负载均衡 389

9.1防火墙负载均衡概述 389

9.2基于软件的防火墙负载均衡 391

9.2.1IOS FWLB配置要点 392

9.2.2IOS FWLB配置 393

9.2.3IOS防火墙负载均衡举例 398

9.2.4显示关于IOS FWLB的信息 403

9.3基于硬件的防火墙负载均衡 405

9.3.1基于硬件的FWLB配置要点 406

9.3.2配置CSM FWLB 407

9.3.3CSM防火墙负载均衡举例 413

9.3.4显示CSM FWLB的相关信息 420

9.4防火墙负载均衡设备 422

9.4.1CSS FWLB配置 422

9.4.2CSS用于防火墙负载均衡示例 424

9.4.3显示CSS FWLB相关信息 427

第10章 防火墙日志 429

10.1防火墙时钟管理 429

10.1.1手工设置时钟 430

10.1.2用NTP设置时钟 431

10.2产生日志消息 433

10.2.1Syslog服务器的建议 436

10.2.2日志配置 436

10.2.3验证消息日志活动 454

10.2.4手工测试日志消息的产生 455

10.3微调日志消息的生成 456

10.3.1修剪消息 456

10.3.2改变消息严重级别 456

10.3.3访问列表活动日志 457

10.4分析防火墙日志 459

第11章 验证防火墙运行 463

11.1检查防火墙的生命特征 463

11.1.1使用系统日志信息 464

11.1.2检测系统资源 465

11.1.3检查状态检测资源 471

11.1.4检查防火墙吞吐量 473

11.1.5检查检测引擎和服务策略行为 478

11.1.6检查故障切换操作 479

11.1.7检查防火墙接口 487

11.2查看通过防火墙的数据 493

11.2.1使用捕获 494

11.2.2使用调试数据包 511

11.3验证防火墙连通性 513

11.3.1步骤1：用ping数据包测试 516

11.3.2步骤2：检查ARP缓存 518

11.3.3步骤3：检查路由选择表 519

11.3.4步骤4：使用traceroute验证转发路径 520

11.3.5步骤5：检查访问列表 524

11.3.6步骤6：验证地址转换和连接表 526

11.3.7步骤7：查找活动的阻塞 533

11.3.8步骤8：检查用户验证 534

11.3.9步骤9：了解所发生的变化 536

第12章 ASA模块 539

12.1初始配置ASA SSM 540

12.1.1为SSM管理流量预备ASA 540

12.1.2连接和配置SSM管理接口 540

12.2配置CSC SSM 542

12.2.1配置ASA将流量转移到CSC SSM 543

12.2.2配置初始CSC SSM设置 545

12.2.3修复初始CSC配置 550

12.2.4连接到CSC管理接口 551

12.2.5配置自动更新 552

12.2.6配置CSC检测策略 554

12.2.7配置Web（HTTP）检测策略 555

12.2.8配置文件传输（FTP）检测策略 562

12.2.9配置邮件（SMTP和POP3）检测策略 563

12.3配置AIP SSM 573

12.3.1初始配置AIP 573

12.3.2管理AIP 576

12.3.3更新AIP许可证 576

12.3.4手工更新AIP代码或特征文件 577

12.3.5自动更新AIP镜像和特征文件 578

12.3.6IPS策略 579

12.3.7AIP接口 582

12.3.8虚拟传感器 582

附录A通用协议和端口号 587

A-1：IP协议号 587

A-2：ICMP消息类型 588

A-3：IP端口号 589

附录B安全设备日志消息 595

B-1：警报——系统日志严重等级1消息 596

B-2：重要——系统日志严重等级2消息 598

B-3：错误——系统日志严重等级3消息 600

B-4：警告——系统日志严重等级4消息 607

B-5：通知——系统日志严重等级5消息 611

B-6：信息——系统日志严重等级6消息 615

B-7：调试——系统日志严重等级7消息 621