目录 3
第一部分 概述 3
第1章 Cisco网络安全方面的产品 3
1.1 为什么网络安全是必需的 3
1.2 安全威胁的类型 4
1.3 网络攻击 4
1.3.1 侦查攻击 5
1.3.2 访问攻击 5
1.3.3 DoS攻击 5
1.4 实施网络安全 6
1.4.1 保护(Securing)系统 7
1.4.2 监控网络 7
1.4.3 测试安全性 7
1.4.4 改进安全性 7
1.5.1 Cisco AVVID框架 8
1.5 Cisco AVVID与SAFE 8
1.5.2 SAFE计划概述 9
1.5.3 SAFE的优点 10
1.6 小结 10
1.7 复习题 11
第2章 Cisco PIX防火墙技术与特点 13
2.1 防火墙的种类 13
2.1.1 包过滤器 13
2.1.2 代理服务器 14
2.1.3 基于状态的包过滤 15
2.2 PIX防火墙概述 15
2.2.1 Finesse操作系统 16
2.2.2 ASA 16
2.2.3 直通代理 16
2.2.4 基于状态的包过滤 17
2.2.5 故障倒换(Failover) 17
2.4 复习题 18
2.3 小结 18
第3章 Cisco PIX防火墙系列产品介绍 21
3.1 PIX防火墙500系列产品 21
3.1.1 PIX防火墙501 23
3.1.2 PIX 506 E防火墙 24
3.1.3 PIX 515E防火墙 25
3.1.4 PIX 525防火墙 28
3.1.5 PIX 535防火墙 30
3.2 FWSM 33
3.3 PIX防火墙许可证 35
3.3.1 基本的许可证选项 35
3.3.2 VPN许可证选项 36
3.4 小结 37
3.5 复习题 37
4.1 设计考虑 41
第4章 在网络中实施Cisco PIX防火墙 41
第二部分 PIX防火墙入门 41
4.2 DMZ 42
4.3 选择合适的PIX防火墙型号 42
4.4 应用举例 44
4.4.1 企业网应用举例 45
4.4.2 大型公司网络应用举例 52
4.4.3 中小型商业网络应用举例 58
4.4.4 SOHO网络应用举例 62
4.5 小结 66
4.6 复习题 66
第三部分 防火墙配置 71
第5章 Cisco PIX防火墙入门 71
5.1 CLI 71
5.2 配置PIX防火墙 73
5.2.2 命令write erase与tftp-server 74
5.2.1 查看与保存配置 74
5.2.3 命令write net与configure net 75
5.2.4 命令name 76
5.2.5 命令reload 77
5.3 检查PIX防火墙的状态 77
5.3.1 命令show memory 77
5.3.2 show version 77
5.3.3 命令show ip address 78
5.3.4 命令show interface 78
5.3.5 命令show cpu usage 81
5.3.6 命令ping 81
5.4 时间设置和NTP支持 82
5.4.1 设置节约白天时间和时区 83
5.4.2 命令ntp 84
5.5 ASA安全级别 85
5.6.1 命令nameif 87
5.6 基本的PIX防火墙配置 87
5.6.2 命令interface 88
5.6.3 命令ip address 89
5.7 nat命令 90
5.7.1 global命令 92
5.7.2 route命令 92
5.8 Syslog命令 93
5.9 配置DHCP服务器 96
5.9.1 DHCP基础知识 97
5.9.2 配置一台PIX防火墙作为DHCP服务器 98
5.9.3 DHCP中继 102
5.10 PPPoE和PIX防火墙 103
5.10.1 在PIX防火墙上配置PPPoE 104
5.10.2 监控PPPoE客户端 106
5.13 实验练习——Cisco PIX防火墙入门 108
5.12 复习题 108
5.11 小结 108
5.13.1 目标 109
5.13.2 实验拓扑结构 109
5.13.3 任务1——执行常用的命令 109
5.13.4 任务2——配置PIX防火墙的接口 112
5.13.5 任务3——配置用于内部和外部接口的全局地址、NAT和路由选择 114
5.13.6 任务4——测试内部、外部接口的连接性 116
5.13.7 任务5——配置系统 117
日志输出 117
5.13.8 任务6——配置将系统日志输出到一台系统日志服务器上 118
第6章 Cisco PIX设备管理器 121
6.1 PDM概述 121
6.2 PDM操作要求 123
6.2.2 Sun Solaris操作系统要求 124
6.2.1 Windows系统的要求 124
6.2.3 Linux操作系统要求 125
6.2.4 总的指导方针 125
6.3 PDM的准备工作 125
6.4 使用PDM来配置PIX防火墙 128
6.4.1 配置 130
6.4.2 监控 140
6.5 小结 142
6.6 复习题 142
6.7 实验练习——用PDM配置PIX防火墙 142
6.7.1 目标 142
6.7.2 实验拓扑结构 143
6.7.3 任务1——使用PDM安装向导 143
6.7.4 任务2——使用PDM安装向导来配置一个特权模式密码 145
6.7.5 任务3——置出站NAT 145
6.7.7 任务5——配置和测试入站访问 147
6.7.6 任务4——通过PIX防火墙测试连通性 147
6.7.8 任务6——配置入侵检测 150
6.7.9 任务7——配置PDM监控制入侵检测 151
第7章 转换和连接 153
7.1 传输协议 153
7.1.1 TCP 153
7.1.2 UDP 155
7.2 NAT 156
7.2.1 动态内部转换 157
7.2.2 静态内部转换 160
7.2.3 动态外部转换 162
7.2.4 静态外部转换 163
7.2.5 标识NAT 165
7.2.6 策略NAT 165
7.2.7 转换和连接 166
7.2.8 静态和管道 168
7.3 配置DNS支持 170
7.3.1 使用alias命令实现DNS支持 170
7.3.2 通过扩展的NAT和Static命令完成DNS记录转换 174
7.4 PAT 175
7.4.1 使用外部接口地址实现PAT 177
7.4.2 将子网映射到PAT地址上 177
7.4.3 使用多个PAT来备份PAT地址 178
7.4.4 使用PAT扩大一个全局地址池 178
7.5 端口重定向 179
7.6 配置多个接口 180
7.7 小结 182
7.8 复习题 183
7.9 实验练习——配置通过PIX防火墙的访问 183
7.9.1 目标 184
7.9.3 任务1——配置一个通道来允许ICMP通过PIX防火墙 185
7.9.2 实验拓扑结构 185
7.9.4 任务2——配置PIX防火墙来允许处于内部接口上的用户可以访问堡垒主机 186
7.9.5 任务3——配置PIX防火墙来允许处于外部接口上的用户可以访问堡垒主机 187
7.9.6 任务4—配置PIX防火墙来允许处于外部接口上的用户可以访问内部的主机 188
第8章 访问控制列表和内容过滤 191
8.1 访问控制列表 191
8.2 把conduit转换成ACL 197
8.3 使用ACL 201
8.4 恶意活动代码过滤 206
8.4.1 Java Applet过滤 206
8.4.2 ActiveX过滤 206
8.5 URL过滤 207
8.6 小结 211
8.7 复习题 211
8.8 实验练习——在PIX防火墙上配置ACL 211
8.8.2 实验拓扑结构 213
8.8.1 目标 213
8.8.3 任务1——关闭到一个接口的ping 214
8.8.4 任务2——配置入站ACL 215
8.8.5 任务3——测试并验证入站ACL 216
8.8.6 任务4——配置出站ACL 217
8.8.7 任务5——测试并验证出站ACL 218
第9章 对象分组 221
9.1 对象分组入门 221
9.2 嵌套式对象分组 227
9.3 小结 230
9.4 复习题 230
9.5 实验练习——配置对象组 230
9.5.1 目标 232
9.5.2 实验拓扑结构 232
9.5.4 任务2——配置个ICMP类型对象分组 233
9.5.3 任务1——配置服务对象分组 233
9.5.5 任务3——配置一个嵌套式服务器对象分组 234
9.5.6 任务4——使用对象分组配置一个入站ACL 235
9.5.7 任务5——配置到内部主机的Web和ICMP访问 236
9.5.8 任务6——测试并检查入站ACL 237
第10章 路由选择 239
10.1 路由选择选项 239
10.1.1 静态路由选择 239
10.1.2 动态路由 241
10.2 IP组播协议 251
10.2.1 允许主机接收组播通信 252
10.2.2 为组播源转发组播通信 254
10.2.3 配置其他的IGMP选项 255
10.3 小结 256
10.2.4 查看SMR配置 256
10.4 复习题 257
第四部分 高级配置 261
第11章 高级协议处理 261
11.1 高级协议 261
11.1.1 修正命令 262
11.1.2 FTP标准模式 264
11.1.3 FTP被动模式 265
11.1.4 FTP修正配置 265
11.1.5 rsh 266
11.1.6 SQL*Net 268
11.1.7 SIP 269
11.1.8 SCCP 269
11.2 多媒体协议支持 270
11.2.1 标准的RTP模式 271
11.2.3 RTSF Fixup Configuration 272
11.2.2 RealNetworks RDT模式 272
11.2.4 H.323 Fixup 273
11.3 小结 275
11.4 复习题 275
11.5 实验练习——配置并且测试Cisco PIX防火墙的高级协议处理 275
11.5.1 目标 277
11.5.2 实验拓扑结构 277
11.5.3 任务1——显示已配置的修正协议 277
11.5.4 任务2——改变已配置的修正协议 278
11.5.5 任务3——测试出站FTP修正协议 278
11.5.6 任务4——测试入站FTP修正协议 279
11.5.7 任务5——将修正协议恢复成缺省设置 280
11.5.8 任务部分答案 280
12.1 攻击保护 283
12.1.1 邮件保护 283
第12章 攻击保护、入侵监测与动态阻挡 283
12.1.2 DNS保护 284
12.1.3 分段保护和虚拟重组 286
12.1.4 AAA洪泛保护 288
12.1.5 SYN洪泛保护 288
12.1.6 反欺骗 291
12.2 入侵检测 292
12.3 动态阻挡 296
12.4 小结 297
12.5 复习题 298
12.6 实验练习——配置入侵检测 298
12.6.1 目标 300
12.6.2 实验拓扑结构 300
12.6.3 任务1——配置启用Cisco IDS信息特征码,发送Cisco IDS系统日志到系统日志服务器 300
12.6.4 任务2——配置启用Cisco IDS攻击特征码,发送Cisco IDS系统日志到系统日志服务器 301
第13章 认证、授权与记帐 305
13.1 AAA基础知识 305
13.2 直通代理操作过程 307
13.3 支持的AAA服务器 308
13.4 在Windows NT上安装CSACS 308
13.5 认证配置 315
13.5.1 其他服务的认证 318
13.5.2 控制台访问的认证 321
13.6 授权配置 324
13.6.1 添加授权规则 325
13.6.2 可下载的ACL 326
13.7 记帐配置 330
13.7.1 mateh acl_name选项 331
13.7.2 查看CSACS中的记帐信息 331
13.8 查找AAA配置故障 332
13.11 实验练习——在PIX防火墙上配置AAA 334
13.10 复习题 334
13.9 小结 334
13.11.1 目标 336
1 3.11.2 实验拓扑结构 . 336
13.11.3 任务1——在运行Windows 2000服务器的机器上安装CSACS 337
13.11.4 任务2——向CSACS数据库中添加用户 337
13.11.5 任务3——标识AAA服务器和协议 338
13.11.6 任务4——配置并测试入站访问的认证 338
13.11.7 任务5——配置并测试出站访问的认证 339
13.11.8 任务6——配置并测试控制台访问的认证 340
13.11.9 任务7——配置并测试虚拟Telnet认证 341
13.11.10 任务8——改变并测试认证超时时间和提示信息 341
13.11.11 任务9——配置ACS,在认证的时候写入可下载的ACL 343
13.11.12 任务10——使用入站访问认证,验证可下载ACL的功能 343
13.11.13 任务11——配置并测试记帐 345
14.1 理解故障倒换 347
第14章 故障倒换 347
14.1.1 故障倒换的IP地址 348
14.1.2 配置复制 348
14.1.3 状态故障倒换 349
14.1.4 故障倒换接口测试 349
14.2 硬件要求 350
14.3 基于电缆的故障倒换配置 351
14.4 基于LAN的故障倒换配置 356
14.5 小结 360
14.6 复习题 360
14.7 实验练习——配置基于LAN的故障倒换 360
14.7.1 目标 361
14.7.2 实验拓扑结构 361
14.7.3 任务1——将主PIX防火墙配置成基于LAN的状态故障倒换模式的备用PIX防火墙 361
14.7.4 任务2——配置基于LAN故障倒换的备用PIX防火墙 365
14.7.5 任务3——测试基于LAN状态的故障倒换 366
14.7.6 任务4——让主PIX防火墙处于活动状态 367
第五部分 VPN配置 371
第15章 虚拟专用网 371
15.1 利用PIX防火墙提供安全的VPN 371
15.2 IPSec概述 372
15.2.1 支持的IPSec标准 374
15.2.2 IKE 374
15.2.3 DES 374
15.2.4 3DES 375
15.2.5 AES 375
15.2.6 D-H 375
15.2.7 MD5 375
15.2.8 SHA-1 375
15.2.9 RSA签名 375
15.2.12 SA 376
15.3 IKE概述 376
15.2.10 CA 376
15.2.11 NAT-T 376
15.4 CA概述 377
15.5 小结 380
15.6 复习题 380
第16章 站到站VPN 383
16.1 IPSec配置任务 383
16.1.1 任务1——准备配置VPN 384
16.1.2 任务2——配置IKE参数 387
16.1.3 任务3——配置IPSec参数 390
16.1.4 任务4——VPN配置的测试与验证 400
16.2 简易VPN操作 400
16.3 使用PDM配置VPN 405
16.3.1 系统选项 405
16.4 创建加密图 408
16.3.2 创建变换集 408
16.4.1 创建一个IPSec规则 409
16.4.2 VPN助手 410
16.4.3 简易VPN 413
16.5 案例研究:使用预先共享密钥的三站点全网状IPSec隧道 414
16.5.1 网络安全策略 415
16.5.2 波特兰、西雅图和圣何塞防火墙上的配置举例 415
16.6 小结 418
16.7 复习题 418
16.8 实验练习——配置站到站VPN 418
16.8.1 目标 419
16.8.2 实验拓扑结构 419
16.8.3 任务1——配置IKE参数 419
16.8.4 任务2——配置IPSec参数 420
16.8.5 任务3——IPSec配置的测试和验证 421
16.8.7 任务5——使用PDM VPN助手(可选) 423
16.8.6 任务4——使用PDM(可选) 423
第17章 客户端远程访问VPN 425
17.1 Cisco VPN客户端 425
17.2 配置远程访问VPN 428
17.3 使用PDM配置远程访问VPN 437
17.4 小结 443
17.5 复习题 443
17.6 实验练习——远程访问VPN 443
17.6.1 目标 444
17.6.2 实验拓扑结构 445
17.6.3 任务1——配置PIX防火墙 445
17.6.4 任务2——在CSACS中创建用户 447
17.6.5 任务3——验证配置 447
17.6.6 任务4——在主机1上安装Cisco VPN客户端 449
17.6.7 任务5——配置Cisco VPN客户端 449
17.6.10 任务8——验证VPN连接 450
17.6.9 任务7——启动Cisco VPN客户端 450
17.6.8 任务6——检查Cisco VPN客户端的属性 450
17.6.11 任务9——使用PDM重新配置远程接入VPN连接(可选项) 451
第六部分 PIX系统管理 455
第18章 系统维护 455
18.1 远程访问 455
18.1.1 Telnet 455
18.1.2 SSH 457
18.2 命令授权 460
18.2.1 使用特权级密码进行命令授权 461
18.2.2 使用本地用户数据库的命令授权 463
18.2.3 使用CSACS进行命令认证 464
18.2.4 查看命令授权配置 466
18.3 SNMP 466
18.3.1 MIB支持 468
18.3.2 配置SNMP 469
18.4.2 Cisco安全策略管理器 472
18.4 管理工具 472
18.4.1 PDM 472
18.4.3 防火墙的管理中心 473
18.5 激活密钥 473
18.6 密码恢复和映像升级 476
18.6.1 密码恢复步骤 476
18.6.2 映像升级 477
18.7 小结 478
18.8 复习题 478
18.9 实验练习——系统维护 479
18.9.1 目标 480
18.9.2 实验拓扑结构 480
18.9.3 任务1——使用密码配置特权级命令授权 481
18.9.4 任务2——测试特权级命令授权 482
18.9.5 任务3——为加密SSH会话生成RSA密钥对 484
18.9.6 任务4——建立到PIX防火墙的SSH连接 485
18.9.7 任务5——配置使用本地用户数据库的命令授权 486
18.9.8 任务6——测试使用本地用户数据库的命令授权 487
18.9.9 任务7——恢复密码 490
18.9.10 任务8——更新PIX防火墙的软件映像 492
第19章 企业网络中的PIX防火墙管理 495
19.1 防火墙MC简介 495
19.2 主要概念和特点 496
19.3 安装 497
19.3.1 安装要求 497
19.3.2 安装过程 498
19.4 启动 499
19.5 防火墙MC导航 503
19.6 防火墙MC任务流程 505
19.6.1 任务1——创建新活动 506
19.6.2 任务2—创建设备组 510
19.6.3 任务3——导入和管理设备 511
19.6.4 任务4——配置构建模块 517
19.6.5 任务5——配置设置 526
19.6.6 任务6——配置访问和翻译规则 542
19.6.7 任务7和8——创建并查看配置,提交活动,请求批准 550
19.6.8 任务9和10——创建一个工作并提交工作,请求批准 552
19.6.9 任务11——部署工作 555
19.7 报告、工具和管理 556
19.7.1 报告 556
19.7.2 支持 557
19.7.3 管理:工作流设置 558
19.7.4 管理:维护 559
19.8 小结 560
19.9 复习题 560
19.10.1 目标 561
19.10.2 实验拓扑结构 561
19.10 实验练习——企业PIX防火墙管理 561
19.10.3 任务1——安装防火墙MC 562
19.10.4 任务2——Bootstrap PIX防火墙 562
19.10.5 任务3——启动防火墙MC 563
19.10.6 任务4——打开一个活动,创建一个组 564
19.10.7 任务5——导入PIX防火墙 564
19.10.8 任务6——配置内部和外部接口 565
19.10.9 任务7——配置服务定义、服务组和地址翻译池building块 565
19.10.10 任务8——创建翻译规则 567
19.10.11 任务9——配置PIX防火墙,允许HTTP和CiscoWorks数据流访问内部主机 567
19.10.12 任务10——配置全局安全策略 568
19.10.13 任务11——批准一个活动,创建一项工作并部署工作 569
19.10.14 任务12——测试PIX防火墙配置 570
第20章 企业网中的PIX防火墙维护 573
20.1 AUS介绍 573
20.1.3 客户端访问要求 574
20.1.1 安装概述 574
20.1.2 安装要求 574
20.1.4 安装过程 575
20.2 AUS初始配置设置 575
20.2.1 防火墙MC和AUS通信 575
20.2.2 激活AUS 576
20.2.3 AUS和PIX防火墙通信 576
20.2.4 PIX防火墙的惟一标识 578
20.2.5 部署PIX防火墙的配置 579
20.3 开始 580
20.3.1 CiscoWorks登录 580
20.3.2 AUS界面 581
20.4 设备、映像和分配 582
20.4.1 AUS设备 582
20.4.2 AUS映像 583
20.4.3 AUS分配 584
20.5 报告和管理 587
20.5.1 报告——系统信息 587
20.5.2 报告——事件报告 588
20.5.3 管理——NAT设置 590
20.5.4 管理——改变AUS数据库密码 590
20.6 小结 591
20.7 复习题 592
20.8 实验练习——企业网中的PIX防火墙维护 592
20.8.1 目标 593
20.8.2 实验拓扑结构 594
20.8.3 任务1——安装AUS 594
20.8.4 任务2——配置防火墙MC和PIX防火墙使用AUS 595
20.8.5 任务3——验证PIX防火墙和AUS之间的操作 596
20.8.6 任务4——向AUS中添加PIX防火墙和PDM映像 596
20.8.7 任务5——分配映像到设备 597
第七部分 专题 601
第21章 防火墙服务模块 601
21.1 FWSM概述 601
21.2 FWSM和PIX防火墙特性比较 602
21.3 对Catalyst 6500交换机的要求 603
21.4 网络模块 603
21.5 配置FWSM 606
21.5.1 初始化FWSM 606
21.5.2 配置交换机VLAN 608
21.5.3 配置FWSM接口 610
21.6 使用PDM管理FWSM 610
21.7 排查FWSM故障 611
21.7.1 重新设置并重启FWSM 611
21.9 复习题 612
21.8 小结 612
21.7.2 内存测试 612
第22章 SOHO网络中的PIX防火墙 615
22.1 PIX防火墙模型 615
22.2 PIX防火墙针对SOHO网络的特性 616
22.2.1 PIX设备管理器 616
22.2.2 把PIX防火墙作为简单VPN远端设备 617
22.2.3 PIX防火墙PPPoE客户端 617
22.2.4 PIX防火墙DHCP服务器 617
22.2.5 PIX防火墙的DHCP中继 618
22.2.6 PIX防火墙DHCP客户端 618
22.3 小结 619
22.4 复习题 619
第八部分 附录 623
附录A 复习题答案 623
附录B 安全资源 633