第1部分 产品概述 2
第1章 安全技术介绍 2
1.1 防火墙 2
1.1.1 网络防火墙 2
1.1.2 状态化监控防火墙 6
1.1.3 深度数据包监控 7
1.1.4 个人防火墙 7
1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 7
1.2.1 模式匹配及状态化模式匹配识别 8
1.2.2 协议分析 9
1.2.3 基于启发的分析 9
1.2.4 基于异常的分析 10
1.3 虚拟专用网络 11
1.3.1 IPSec技术概述 12
1.3.2 SSL VPN 16
1.4 总结 18
第2章 Cisco ASA产品及解决方案概述 19
2.1 Cisco ASA 5505型 20
2.2 CiscoASA 5510型 23
2.3 Cisco ASA 5520型 26
2.4 Cisco ASA 5540型 27
2.5 Cisco ASA 5550型 28
2.6 Cisco ASA 5580-20与5580-40型 29
2.6.1 Cisco ASA 5580-20 29
2.6.2 Cisco ASA 5580-40 31
2.7 Cisco ASAAIP-SSM模块 32
2.7.1 Cisco ASAAIP-SSM-10 32
2.7.2 Cisco ASAAIP-SSM-20 32
2.7.3 Cisco ASAAIP-SSM-40 33
2.8 Cisco ASA吉比特以太网模块 33
2.8.1 CiscoASA4GE-SSM 33
2.8.2 Cisco ASA 5580扩展卡 33
2.9 Cisco ASA CSC-SSM模块 35
2.10 总结 35
第3章 初始设置及系统维护 36
3.1 访问Cisco ASA设备 36
3.1.1 建立Console连接 36
3.1.2 命令行界面 38
3.2 管理许可证 39
3.3 初始设置 42
3.3.1 通过CLI进行初始设置 42
3.3.2 ASDM的初始化设置 43
3.4 配置设备 49
3.4.1 设置设备名和密码 50
3.4.2 配置接口 51
3.4.3 DHCP服务 56
3.5 IPv6 58
3.5.1 IPv6头部 58
3.5.2 配置IPv6 59
3.6 设置系统时钟 62
3.6.1 手动调整系统时钟 63
3.6.2 使用网络时间协议自动调整时钟 64
3.7 配置管理 65
3.7.1 运行配置 66
3.7.2 启动配置 69
3.7.3 删除设备配置文件 69
3.8 远程系统管理 71
3.8.1 Telnet 71
3 8.2 SSH 73
3.9 系统维护 75
3.9.1 软件安装 75
3.9.2 密码恢复流程 80
3.9.3 禁用密码恢复流程 82
3.10 系统监测 85
3.10.1 系统日志记录 85
3.10.2 NetFlow安全事件记录(NSEL) 94
3.10.3 简单网络管理协议(SNMP) 97
3.11 设备监测及排错 101
3.11.1 监测CPU及内存 101
3.11.2 设备排错 102
3.12 总结 106
第2部分 防火墙技术 110
第4章 控制网络访问 110
4.1 包过滤 110
4.1.1 ACL的类型 112
4.1.2 ACL特性的比较 113
4.2 配置流量过滤 114
4.2.1 通过CLI过滤穿越设备的流量 114
4.2.2 通过ASDM过滤穿越设备的流量 118
4.2.3 过滤去往设备的流量 120
4.2.4 建立IPv6 ACL(可选) 122
4.3 高级ACL特性 123
4.3.1 对象分组 123
4.3.2 标准ACL 129
4.3.3 基于时间的ACL 130
4.3.4 可下载的ACL 132
4.3.5 ICMP过滤 133
4.4 内容过滤与URL过滤 134
4.4.1 内容过滤 134
4.4.2 URL过滤 137
4.5 流量过滤部署方案 143
4.5.1 使用ACL过滤入站流量 143
4.5.2 使用Websense来启用内容过滤 147
4.6 监测网络访问控制 149
4.6.1 监测ACL 149
4.6.2 监测内容过滤 153
4.7 理解地址转换 154
4.7.1 网络地址转换 154
4.7.2 端口地址转换 156
4.7.3 地址转换及接口安全级别 156
4.7.4 数据包流量顺序 158
4.7.5 地址转换功能提供的安全保护机制 158
4.7.6 配置地址转换 160
4.7.7 绕过地址转换 169
4.7.8 NAT的操作顺序 172
4.7.9 集成ACL和NAT 172
4.8 DNS刮除(DNS Doctoring) 174
4.9 监测地址转换 177
4.10 总结 178
第5章 IP路由 179
5.1 配置静态路由 179
5.1.1 静态路由监测 182
5.1.2 显示路由表信息 184
5.2 RIP 185
5.2.1 配置RIP 186
5.2.2 RIP认证 188
5.2.3 RIP路由过滤 190
5.2.4 配置RIP重分布 192
5.2.5 RIP排错 193
5.3 OSPF 194
5.3.1 配置OSPF 196
5.3.2 OSPF排错 210
5.4 EIGRP 215
5.4.1 配置EIGRP 216
5.4.2 EIGRP排错 223
5.5 IP多播 231
5.5.1 IGMP末节模式 231
5.5.2 PIM稀疏模式 231
5.5.3 配置多播路由 232
5.5.4 IP多播路由排错 236
5.6 总结 237
第6章 认证、授权和审计(AAA) 238
6.1 Cisco ASA支持的协议与服务 238
6.1.1 RADIUS 240
6.1.2 TACACS+ 241
6.1.3 RSA SecurID 242
6.1.4 Microsoft Windows NT 242
6.1.5 活动目录和Kerberos 243
6.1.6 轻量目录访问协议 243
6.1.7 HTTP Form协议 243
6.2 定义认证服务器 243
6.2.1 配置管理会话的认证 248
6.2.2 认证Telnet连接 248
6.2.3 认证SSH连接 250
6.2.4 认证串行Console连接 250
6.2.5 认证Cisco ASDM连接 251
6.3 认证防火墙会话(直通代理特性) 252
6.3.1 认证超时 255
6.3.2 自定义认证提示 255
6.4 配置授权 256
6.4.1 命令授权 257
6.4.2 配置可下载ACL 258
6.5 配置审计 259
6.5.1 RADIUS审计 259
6.5.2 TACACS+审计 260
6.5.3 对去往Cisco ASA的管理连接进行排错 261
6.5.4 对防火墙会话(直通代理)进行排错 263
6.6 总结 264
第7章 应用监控 265
7.1 启用应用监控 266
7.2 选择性监控 268
7.3 CTIQBE监控 270
7.4 DCERPC 272
7.5 DNS 272
7.6 ESMTP 276
7.7 FTP 278
7.8 GPRS隧道协议 280
7.8.1 GTPv0 280
7.8.2 GTPv1 281
7.8.3 配置GTP监控 282
7.9 H.323 284
7.9.1 H.323协议族 285
7.9.2 H.323版本兼容性 286
7.9.3 启用H.323监控 286
7.9.4 DCS和GKPCS 289
7.9.5 T.38 289
7.10 统一通信高级特性 289
7.10.1 电话代理 289
7.10.2 TLS代理 293
7.10.3 移动性代理 294
7.10.4 Presence Federation代理 294
7.11 HTTP 294
7.12 ICMP 301
7.13 ILS 301
7.14 即时消息(IM) 301
7.15 IPSec直通 303
7.16 MGCP 304
7.17 NetBIOS 305
7.18 PPTP 305
7.19 Sun RPC 306
7.20 RSH 306
7.21 RTSP 306
7.22 SIP 307
7.23 Skinny(SCCP) 308
7.24 SNMP 309
7.25 SQL*Net 310
7.26 TFTP 310
7.27 WAAS 310
7.28 XDMCP 310
7.29 总结 310
第8章 虚拟防火墙 311
8.1 架构概述 312
8.1.1 系统执行空间 312
8.1.2 Admin虚拟防火墙 313
8.1.3 用户虚拟防火墙 314
8.1.4 数据包分类 315
8.1.5 多模下的数据流 317
8.2 配置安全虚拟防火墙 320
8.2.1 步骤1:在全局启用多安全虚拟防火墙 320
8.2.2 步骤2:设置系统执行空间 322
8.2.3 步骤3:分配接口 324
8.2.4 步骤4:指定配置文件URL 325
8.2.5 步骤5:配置Admin虚拟防火墙 326
8.2.6 步骤6:配置用户虚拟防火墙 328
8.2.7 步骤7:管理安全虚拟防火墙(可选) 328
8.2.8 步骤8:资源管理(可选) 329
8.3 部署方案 332
8.3.1 不使用共享接口的虚拟防火墙 332
8.3.2 使用了一个共享接口的虚拟防火墙 341
8.4 安全虚拟防火墙的监测与排错 350
8.4.1 监测 350
8.4.2 排错 351
8.5 总结 353
第9章 透明防火墙 354
9.1 架构概述 356
9.1.1 单模透明防火墙 356
9.1.2 多模透明防火墙 358
9.2 透明防火墙的限制 359
9.2.1 透明防火墙与VPN 359
9.2.2 透明防火墙与NAT 360
9.3 配置透明防火墙 361
9.3.1 配置指导方针 361
9.3.2 配置步骤 362
9.4 部署案例 372
9.4.1 部署SMTF 372
9.4.2 用安全虚拟防火墙部署MMTF 377
9.5 透明防火墙的监测与排错 386
9.5.1 监测 386
9.5.2 排错 387
9.6 总结 390
第10章 故障倒换与冗余 391
10.1 架构概述 391
10.1.1 触发故障倒换的条件 392
10.1.2 故障倒换接口测试 393
10.1.3 状态化故障倒换 393
10.1.4 软硬件需求 394
10.1.5 故障倒换的类型 395
10.2 故障倒换配置 400
10.2.1 设备级冗余的配置 400
10.2.2 ASDM故障倒换配置向导 412
10.2.3 接口级冗余配置 413
10.2.4 可选的故障倒换命令 414
10.2.5 零停机软件更新(Zero-down-time software upgrades) 418
10.3 部署案例 420
10.3.1 单模的主用/备用故障倒换模式 420
10.3.2 多虚拟防火墙的主用/主用故障倒换模式 424
10.4 故障倒换的监测与排错 427
10.4.1 监测 427
10.4.2 排错 430
10.5 总结 432
第11章 服务质量 433
11.1 QoS类型 434
11.1.1 流量优先级划分 434
11.1.2 流量管制 435
11.1.3 流量整形 435
11.2 QoS架构 436
11.2.1 数据包流的顺序 436
11.2.2 数据包分类 437
11.2.3 QoS与VPN隧道 440
11.3 配置服务质量 441
11.3.1 通过ASDM配置QoS 441
11.3.2 通过CLI配置QoS 447
11.4 QoS部署方案 450
11.4.1 为VoIP流量部署QoS 450
11.4.2 为远程访问VPN隧道部署QoS 455
11.5 QoS的监测 458
11.6 总结 460
第3部分 入侵防御系统(IPS)解决方案第12章 IPS配置与排错 464
12.1 AIP-SSM和AIP-SSC概述 464
12.2 管理AIP-SSM和AIP-SSC 464
12.3 Cisco IPS软件架构 466
12.3.1 MainApp 467
12.3.2 SensorApp 468
12.3.3 攻击响应控制器 469
12.3.4 AuthenticationApp 469
12.3.5 cipsWebserver 469
12.3.6 Logger 470
12.3.7 EventStore 470
12.3.8 CtlTransSource 470
12.4 配置AIP-SSM 470
12.4.1 CIPS CLI简介 470
12.4.2 用户管理 476
12.5 维护AIP-SSM 478
12.5.1 添加可信主机 479
12.5.2 SSH已知主机列表 479
12.5.3 升级CIPS软件和特征 480
12.5.4 显示软件版本和配置信息 484
12.5.5 配置备份 487
12.5.6 显示和删除事件 488
12.6 高级特性及配置 490
12.6.1 自定义特征 490
12.6.2 IP记录 494
12.6.3 配置阻塞(shun) 496
12.6.4 集成Cisco安全代理 498
12.6.5 异常检测 501
12.7 Cisco ASA僵尸网络检测 503
12.7.1 动态数据库和管理员黑名单数据 503
12.7.2 DNS侦听(DNS Snooping) 505
12.7.3 流量分类 506
12.8 总结 507
第13章 IPS调试与监测 508
13.1 IPS调整 508
13.1.1 禁用IPS特征 509
13.1.2 撤回IPS特征 510
13.2 使用CS-MARS监测并调整AIP-SSM 510
13.2.1 在CS-MARS中添加AIP-SSM 511
13.2.2 使用CS-MARS调整AIP-SSM 511
13.3 显示和清除统计信息 512
13.4 总结 515
第4部分 内容安全 518
第14章 Cisco内容安全和控制安全服务模块 518
14.1 CSC SSM初始化配置 518
14.2 配置CSC SSM基于网页的特性 522
14.2.1 URL阻塞和过滤 522
14.2.2 文件阻塞 524
14.2.3 HTTP扫描 525
14.3 配置CSC SSM基于邮件的特性 527
14.3.1 SMTP扫描 527
14.3.2 SMTP反垃圾邮件 529
14.3.3 SMTP内容过滤 532
14.3.4 POP3支持 533
14.4 配置CSC SSM文件过滤协议(FTP) 533
14.4.1 配置FTP扫描 533
14.4.2 FTP文件阻塞 535
14.5 总结 536
第15章 Cisco内容安全和控制安全服务模块的监测与排错 537
15.1 CSC SSM的监测 537
15.1.1 详细的实时事件监测 538
15.1.2 配置系统日志 538
15.2 CSC SSM的排错 540
15.2.1 重新安装CSC SSM 540
15.2.2 密码恢复 542
15.2.3 配置备份 543
15.2.4 升级CSC SSM软件 544
15.2.5 CLI排错工具 545
15.3 总结 552
第5部分 虚拟专用网(VPN)解决方案第16章 站点到站点IPSec VPN 556
16.1 预配置一览表 556
16.2 配置步骤 558
16.2.1 步骤1:启用ISAKMP 558
16.2.2 步骤2:创建ISAKMP策略 559
16.2.3 步骤3:建立隧道组 560
16.2.4 步骤4:定义IPSec策略 561
16.2.5 步骤5:创建加密映射集 563
16.2.6 步骤6:配置流量过滤器(可选) 566
16.2.7 步骤7:绕过NAT(可选) 567
16.2.8 ASDM配置方法 568
16.3 高级特性 570
16.3.1 IPSec上的OSPF更新 570
16.3.2 反向路由注入 571
16.3.3 NAT穿越 572
16.3.4 隧道默认网关 573
16.3.5 管理访问 574
16.3.6 完美向前保密 574
16.4 修改默认参数 575
16.4.1 安全关联的生命时间 575
16.4.2 阶段1的模式 576
16.4.3 连接类型 577
16.4.4 ISAKMP存活机制 578
16.4.5 IPSec和数据包分片 579
16.5 部署场景 580
16.5.1 使用NAT-T的单站点到站点隧道配置 580
16.5.2 使用RRI的全互连拓扑 585
16.6 站点到站点VPN的监测与排错 596
16.6.1 站点到站点VPN的监测 596
16.6.2 站点到站点VPN的排错 599
16.7 总结 603
第17章 IPSec远程访问VPN 604
17.1 Cisco IPSec远程访问VPN解决方案 604
17.1.1 IPSec远程访问配置步骤 605
17.1.2 步骤1:启用ISAKMP 606
17.1.3 步骤2:创建ISAKMP策略 607
17.1.4 步骤3:建立隧道和组策略 608
17.1.5 步骤4:定义IPSec策略 611
17.1.6 步骤5:配置用户认证 611
17.1.7 步骤6:分配IP地址 614
17.1.8 步骤7:创建加密映射集 616
17.1.9 步骤8:配置流量过滤器(可选) 617
17.1.10 步骤9:绕过NAT(可选) 617
17.1.11 步骤10:建立分离隧道(可选) 617
17.1.12 步骤11:指定DNS和WINS(可选) 619
17.1.13 ASDM的另一种配置方法 620
17.1.14 CiscoVPN客户端配置 621
17.2 高级Cisco IPSec VPN特性 624
17.2.1 隧道默认网关 625
17.2.2 透明隧道 625
17.2.3 VPN负载分担 628
17.2.4 客户端防火墙 631
17.2.5 基于硬件的Easy VPN客户端特性 633
17.3 L2TP over IPSec远程访问VPN解决方案 635
17.3.1 L2TP over IPSec远程访问配置步骤 637
17.3.2 Windows L2TP over IPSec客户端配置 639
17.4 部署场景 640
17.4.1 Cisco IPSec客户端和站点到站点集成的负载分担 640
17.4.2 L2TP over IPSec和流量发卡 645
17.4.3 Cisco远程访问VPN的监测与排错 649
17.5 总结 654
第18章 公钥基础(PKI) 655
18.1 PKI介绍 655
18.1.1 证书 656
18.1.2 证书管理机构(CA) 656
18.1.3 证书撤销列表 657
18.1.4 简单证书注册协议 658
18.2 安装证书 658
18.2.1 通过ASDM安装证书 658
18.2.2 通过CLI安装证书 665
18.3 本地证书管理机构 674
18.3.1 通过ASDM配置本地CA 675
18.3.2 通过CLI配置本地CA 676
18.3.3 通过ASDM注册本地CA用户 678
18.3.4 通过CLI注册本地CA用户 680
18.4 使用证书配置IPSec站点到站点隧道 681
18.5 配置Cisco ASA使用证书接受远程访问IPSec VPN客户端 685
18.5.1 注册Cisco VPN客户端 685
18.5.2 配置Cisco ASA 687
18.6 PKI排错 689
18.6.1 时间和日期不匹配 689
18.6.2 SCEP注册问题 692
18.6.3 CRL检索问题 693
18.7 总结 693
第19章 无客户端远程访问SSL VPN 694
19.1 设计SSLVPN需要考虑的因素 695
19.1.1 用户连通性 695
19.1.2 ASA特性集 695
19.1.3 基础设施规划 695
19.1.4 实施范围 695
19.2 SSL VPN前提条件 696
19.2.1 SSL VPN授权 696
19.2.2 客户端操作系统和浏览器的软件需求 698
19.2.3 基础设施需求 699
19.3 SSL VPN前期配置向导 699
19.3.1 注册数字证书(推荐) 700
19.3.2 建立隧道和组策略 704
19.3.3 设置用户认证 708
19.4 无客户端SSL VPN配置向导 711
19.4.1 在接口上启用无客户端SSL VPN 712
19.4.2 配置SSL VPN自定义门户 712
19.4.3 配置标签 723
19.4.4 配置Web类型ACL 729
19.4.5 配置应用访问 731
19.4.6 配置客户端/服务器插件 734
19.5 Cisco安全桌面 735
19.5.1 CSD组件 736
19.5.2 CSD需求 737
19.5.3 CSD技术架构 738
19.6 配置CSD 739
19.7 主机扫描 749
19.7.1 主机扫描模块 749
19.7.2 配置主机扫描 750
19.8 动态访问策略 753
19.8.1 DAP技术架构 753
19.8.2 DAP事件顺序 754
19.8.3 配置DAP 754
19.9 部署场景 763
19.9.1 步骤1:定义无客户端连接 764
19.9.2 步骤2:配置DAP 765
19.10 SSL VPN的监测与排错 766
19.10.1 SSL VPN监测 766
19.10.2 SSL VPN排错 768
19.11 总结 770
第20章 基于客户端的远程访问SSL VPN 771
20.1 SSL VPN设计考量 771
20.1.1 AnyConnect授权 771
20.1.2 Cisco ASA设计考量 773
20.2 SSL VPN前提条件 774
20.2.1 客户端操作系统和浏览器的软件需求 775
20.2.2 基础设施需求 775
20.3 SSL VPN前期配置向导 776
20.3.1 注册数字证书(推荐) 776
20.3.2 建立隧道和组策略 776
20.3.3 设置用户认证 779
20.4 AnyConnect SSL VPN客户端配置向导 780
20.4.1 加载AnyConnect程序包 781
20.4.2 定义AnyConnect SSL VPN客户端属性 782
20.4.3 高级完全隧道特性 786
20.4.4 AnyConnect客户端配置 790
20.5 AnyConnect客户端的部署场景 793
20.5.1 步骤1:配置CSD进行注册表检查 794
20.5.2 步骤2:配置RADIUS进行用户认证 795
20.5.3 步骤3:配置AnyConnect SSL VPN 795
20.5.4 步骤4:启用地址转换提供Internet访问 796
20.6 AnyConnect SSL VPN的监测与排错 796
20.6.1 SSL VPN监测 796
20.6.2 SSL VPN排错 796
20.7 总结 799