《Cisco ASA设备使用指南》PDF下载

  • 购买积分:21 如何计算积分?
  • 作  者:(美)弗拉海,(美)桑托斯著;田果译
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2010
  • ISBN:9787115234377
  • 页数:799 页
图书介绍:本书是对Cisco ASA设备进行规划、部署、管理以及排错的官方权威实践指南,深入讲解了Cisco ASA的解决方案,并且给出了全面综合的ASA设备配置示例以及排错方法。本书适合网络维护人员、CCIE安全认证考试人员以及ASA设备售后人员阅读。

第1部分 产品概述 2

第1章 安全技术介绍 2

1.1 防火墙 2

1.1.1 网络防火墙 2

1.1.2 状态化监控防火墙 6

1.1.3 深度数据包监控 7

1.1.4 个人防火墙 7

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 7

1.2.1 模式匹配及状态化模式匹配识别 8

1.2.2 协议分析 9

1.2.3 基于启发的分析 9

1.2.4 基于异常的分析 10

1.3 虚拟专用网络 11

1.3.1 IPSec技术概述 12

1.3.2 SSL VPN 16

1.4 总结 18

第2章 Cisco ASA产品及解决方案概述 19

2.1 Cisco ASA 5505型 20

2.2 CiscoASA 5510型 23

2.3 Cisco ASA 5520型 26

2.4 Cisco ASA 5540型 27

2.5 Cisco ASA 5550型 28

2.6 Cisco ASA 5580-20与5580-40型 29

2.6.1 Cisco ASA 5580-20 29

2.6.2 Cisco ASA 5580-40 31

2.7 Cisco ASAAIP-SSM模块 32

2.7.1 Cisco ASAAIP-SSM-10 32

2.7.2 Cisco ASAAIP-SSM-20 32

2.7.3 Cisco ASAAIP-SSM-40 33

2.8 Cisco ASA吉比特以太网模块 33

2.8.1 CiscoASA4GE-SSM 33

2.8.2 Cisco ASA 5580扩展卡 33

2.9 Cisco ASA CSC-SSM模块 35

2.10 总结 35

第3章 初始设置及系统维护 36

3.1 访问Cisco ASA设备 36

3.1.1 建立Console连接 36

3.1.2 命令行界面 38

3.2 管理许可证 39

3.3 初始设置 42

3.3.1 通过CLI进行初始设置 42

3.3.2 ASDM的初始化设置 43

3.4 配置设备 49

3.4.1 设置设备名和密码 50

3.4.2 配置接口 51

3.4.3 DHCP服务 56

3.5 IPv6 58

3.5.1 IPv6头部 58

3.5.2 配置IPv6 59

3.6 设置系统时钟 62

3.6.1 手动调整系统时钟 63

3.6.2 使用网络时间协议自动调整时钟 64

3.7 配置管理 65

3.7.1 运行配置 66

3.7.2 启动配置 69

3.7.3 删除设备配置文件 69

3.8 远程系统管理 71

3.8.1 Telnet 71

3 8.2 SSH 73

3.9 系统维护 75

3.9.1 软件安装 75

3.9.2 密码恢复流程 80

3.9.3 禁用密码恢复流程 82

3.10 系统监测 85

3.10.1 系统日志记录 85

3.10.2 NetFlow安全事件记录(NSEL) 94

3.10.3 简单网络管理协议(SNMP) 97

3.11 设备监测及排错 101

3.11.1 监测CPU及内存 101

3.11.2 设备排错 102

3.12 总结 106

第2部分 防火墙技术 110

第4章 控制网络访问 110

4.1 包过滤 110

4.1.1 ACL的类型 112

4.1.2 ACL特性的比较 113

4.2 配置流量过滤 114

4.2.1 通过CLI过滤穿越设备的流量 114

4.2.2 通过ASDM过滤穿越设备的流量 118

4.2.3 过滤去往设备的流量 120

4.2.4 建立IPv6 ACL(可选) 122

4.3 高级ACL特性 123

4.3.1 对象分组 123

4.3.2 标准ACL 129

4.3.3 基于时间的ACL 130

4.3.4 可下载的ACL 132

4.3.5 ICMP过滤 133

4.4 内容过滤与URL过滤 134

4.4.1 内容过滤 134

4.4.2 URL过滤 137

4.5 流量过滤部署方案 143

4.5.1 使用ACL过滤入站流量 143

4.5.2 使用Websense来启用内容过滤 147

4.6 监测网络访问控制 149

4.6.1 监测ACL 149

4.6.2 监测内容过滤 153

4.7 理解地址转换 154

4.7.1 网络地址转换 154

4.7.2 端口地址转换 156

4.7.3 地址转换及接口安全级别 156

4.7.4 数据包流量顺序 158

4.7.5 地址转换功能提供的安全保护机制 158

4.7.6 配置地址转换 160

4.7.7 绕过地址转换 169

4.7.8 NAT的操作顺序 172

4.7.9 集成ACL和NAT 172

4.8 DNS刮除(DNS Doctoring) 174

4.9 监测地址转换 177

4.10 总结 178

第5章 IP路由 179

5.1 配置静态路由 179

5.1.1 静态路由监测 182

5.1.2 显示路由表信息 184

5.2 RIP 185

5.2.1 配置RIP 186

5.2.2 RIP认证 188

5.2.3 RIP路由过滤 190

5.2.4 配置RIP重分布 192

5.2.5 RIP排错 193

5.3 OSPF 194

5.3.1 配置OSPF 196

5.3.2 OSPF排错 210

5.4 EIGRP 215

5.4.1 配置EIGRP 216

5.4.2 EIGRP排错 223

5.5 IP多播 231

5.5.1 IGMP末节模式 231

5.5.2 PIM稀疏模式 231

5.5.3 配置多播路由 232

5.5.4 IP多播路由排错 236

5.6 总结 237

第6章 认证、授权和审计(AAA) 238

6.1 Cisco ASA支持的协议与服务 238

6.1.1 RADIUS 240

6.1.2 TACACS+ 241

6.1.3 RSA SecurID 242

6.1.4 Microsoft Windows NT 242

6.1.5 活动目录和Kerberos 243

6.1.6 轻量目录访问协议 243

6.1.7 HTTP Form协议 243

6.2 定义认证服务器 243

6.2.1 配置管理会话的认证 248

6.2.2 认证Telnet连接 248

6.2.3 认证SSH连接 250

6.2.4 认证串行Console连接 250

6.2.5 认证Cisco ASDM连接 251

6.3 认证防火墙会话(直通代理特性) 252

6.3.1 认证超时 255

6.3.2 自定义认证提示 255

6.4 配置授权 256

6.4.1 命令授权 257

6.4.2 配置可下载ACL 258

6.5 配置审计 259

6.5.1 RADIUS审计 259

6.5.2 TACACS+审计 260

6.5.3 对去往Cisco ASA的管理连接进行排错 261

6.5.4 对防火墙会话(直通代理)进行排错 263

6.6 总结 264

第7章 应用监控 265

7.1 启用应用监控 266

7.2 选择性监控 268

7.3 CTIQBE监控 270

7.4 DCERPC 272

7.5 DNS 272

7.6 ESMTP 276

7.7 FTP 278

7.8 GPRS隧道协议 280

7.8.1 GTPv0 280

7.8.2 GTPv1 281

7.8.3 配置GTP监控 282

7.9 H.323 284

7.9.1 H.323协议族 285

7.9.2 H.323版本兼容性 286

7.9.3 启用H.323监控 286

7.9.4 DCS和GKPCS 289

7.9.5 T.38 289

7.10 统一通信高级特性 289

7.10.1 电话代理 289

7.10.2 TLS代理 293

7.10.3 移动性代理 294

7.10.4 Presence Federation代理 294

7.11 HTTP 294

7.12 ICMP 301

7.13 ILS 301

7.14 即时消息(IM) 301

7.15 IPSec直通 303

7.16 MGCP 304

7.17 NetBIOS 305

7.18 PPTP 305

7.19 Sun RPC 306

7.20 RSH 306

7.21 RTSP 306

7.22 SIP 307

7.23 Skinny(SCCP) 308

7.24 SNMP 309

7.25 SQL*Net 310

7.26 TFTP 310

7.27 WAAS 310

7.28 XDMCP 310

7.29 总结 310

第8章 虚拟防火墙 311

8.1 架构概述 312

8.1.1 系统执行空间 312

8.1.2 Admin虚拟防火墙 313

8.1.3 用户虚拟防火墙 314

8.1.4 数据包分类 315

8.1.5 多模下的数据流 317

8.2 配置安全虚拟防火墙 320

8.2.1 步骤1:在全局启用多安全虚拟防火墙 320

8.2.2 步骤2:设置系统执行空间 322

8.2.3 步骤3:分配接口 324

8.2.4 步骤4:指定配置文件URL 325

8.2.5 步骤5:配置Admin虚拟防火墙 326

8.2.6 步骤6:配置用户虚拟防火墙 328

8.2.7 步骤7:管理安全虚拟防火墙(可选) 328

8.2.8 步骤8:资源管理(可选) 329

8.3 部署方案 332

8.3.1 不使用共享接口的虚拟防火墙 332

8.3.2 使用了一个共享接口的虚拟防火墙 341

8.4 安全虚拟防火墙的监测与排错 350

8.4.1 监测 350

8.4.2 排错 351

8.5 总结 353

第9章 透明防火墙 354

9.1 架构概述 356

9.1.1 单模透明防火墙 356

9.1.2 多模透明防火墙 358

9.2 透明防火墙的限制 359

9.2.1 透明防火墙与VPN 359

9.2.2 透明防火墙与NAT 360

9.3 配置透明防火墙 361

9.3.1 配置指导方针 361

9.3.2 配置步骤 362

9.4 部署案例 372

9.4.1 部署SMTF 372

9.4.2 用安全虚拟防火墙部署MMTF 377

9.5 透明防火墙的监测与排错 386

9.5.1 监测 386

9.5.2 排错 387

9.6 总结 390

第10章 故障倒换与冗余 391

10.1 架构概述 391

10.1.1 触发故障倒换的条件 392

10.1.2 故障倒换接口测试 393

10.1.3 状态化故障倒换 393

10.1.4 软硬件需求 394

10.1.5 故障倒换的类型 395

10.2 故障倒换配置 400

10.2.1 设备级冗余的配置 400

10.2.2 ASDM故障倒换配置向导 412

10.2.3 接口级冗余配置 413

10.2.4 可选的故障倒换命令 414

10.2.5 零停机软件更新(Zero-down-time software upgrades) 418

10.3 部署案例 420

10.3.1 单模的主用/备用故障倒换模式 420

10.3.2 多虚拟防火墙的主用/主用故障倒换模式 424

10.4 故障倒换的监测与排错 427

10.4.1 监测 427

10.4.2 排错 430

10.5 总结 432

第11章 服务质量 433

11.1 QoS类型 434

11.1.1 流量优先级划分 434

11.1.2 流量管制 435

11.1.3 流量整形 435

11.2 QoS架构 436

11.2.1 数据包流的顺序 436

11.2.2 数据包分类 437

11.2.3 QoS与VPN隧道 440

11.3 配置服务质量 441

11.3.1 通过ASDM配置QoS 441

11.3.2 通过CLI配置QoS 447

11.4 QoS部署方案 450

11.4.1 为VoIP流量部署QoS 450

11.4.2 为远程访问VPN隧道部署QoS 455

11.5 QoS的监测 458

11.6 总结 460

第3部分 入侵防御系统(IPS)解决方案第12章 IPS配置与排错 464

12.1 AIP-SSM和AIP-SSC概述 464

12.2 管理AIP-SSM和AIP-SSC 464

12.3 Cisco IPS软件架构 466

12.3.1 MainApp 467

12.3.2 SensorApp 468

12.3.3 攻击响应控制器 469

12.3.4 AuthenticationApp 469

12.3.5 cipsWebserver 469

12.3.6 Logger 470

12.3.7 EventStore 470

12.3.8 CtlTransSource 470

12.4 配置AIP-SSM 470

12.4.1 CIPS CLI简介 470

12.4.2 用户管理 476

12.5 维护AIP-SSM 478

12.5.1 添加可信主机 479

12.5.2 SSH已知主机列表 479

12.5.3 升级CIPS软件和特征 480

12.5.4 显示软件版本和配置信息 484

12.5.5 配置备份 487

12.5.6 显示和删除事件 488

12.6 高级特性及配置 490

12.6.1 自定义特征 490

12.6.2 IP记录 494

12.6.3 配置阻塞(shun) 496

12.6.4 集成Cisco安全代理 498

12.6.5 异常检测 501

12.7 Cisco ASA僵尸网络检测 503

12.7.1 动态数据库和管理员黑名单数据 503

12.7.2 DNS侦听(DNS Snooping) 505

12.7.3 流量分类 506

12.8 总结 507

第13章 IPS调试与监测 508

13.1 IPS调整 508

13.1.1 禁用IPS特征 509

13.1.2 撤回IPS特征 510

13.2 使用CS-MARS监测并调整AIP-SSM 510

13.2.1 在CS-MARS中添加AIP-SSM 511

13.2.2 使用CS-MARS调整AIP-SSM 511

13.3 显示和清除统计信息 512

13.4 总结 515

第4部分 内容安全 518

第14章 Cisco内容安全和控制安全服务模块 518

14.1 CSC SSM初始化配置 518

14.2 配置CSC SSM基于网页的特性 522

14.2.1 URL阻塞和过滤 522

14.2.2 文件阻塞 524

14.2.3 HTTP扫描 525

14.3 配置CSC SSM基于邮件的特性 527

14.3.1 SMTP扫描 527

14.3.2 SMTP反垃圾邮件 529

14.3.3 SMTP内容过滤 532

14.3.4 POP3支持 533

14.4 配置CSC SSM文件过滤协议(FTP) 533

14.4.1 配置FTP扫描 533

14.4.2 FTP文件阻塞 535

14.5 总结 536

第15章 Cisco内容安全和控制安全服务模块的监测与排错 537

15.1 CSC SSM的监测 537

15.1.1 详细的实时事件监测 538

15.1.2 配置系统日志 538

15.2 CSC SSM的排错 540

15.2.1 重新安装CSC SSM 540

15.2.2 密码恢复 542

15.2.3 配置备份 543

15.2.4 升级CSC SSM软件 544

15.2.5 CLI排错工具 545

15.3 总结 552

第5部分 虚拟专用网(VPN)解决方案第16章 站点到站点IPSec VPN 556

16.1 预配置一览表 556

16.2 配置步骤 558

16.2.1 步骤1:启用ISAKMP 558

16.2.2 步骤2:创建ISAKMP策略 559

16.2.3 步骤3:建立隧道组 560

16.2.4 步骤4:定义IPSec策略 561

16.2.5 步骤5:创建加密映射集 563

16.2.6 步骤6:配置流量过滤器(可选) 566

16.2.7 步骤7:绕过NAT(可选) 567

16.2.8 ASDM配置方法 568

16.3 高级特性 570

16.3.1 IPSec上的OSPF更新 570

16.3.2 反向路由注入 571

16.3.3 NAT穿越 572

16.3.4 隧道默认网关 573

16.3.5 管理访问 574

16.3.6 完美向前保密 574

16.4 修改默认参数 575

16.4.1 安全关联的生命时间 575

16.4.2 阶段1的模式 576

16.4.3 连接类型 577

16.4.4 ISAKMP存活机制 578

16.4.5 IPSec和数据包分片 579

16.5 部署场景 580

16.5.1 使用NAT-T的单站点到站点隧道配置 580

16.5.2 使用RRI的全互连拓扑 585

16.6 站点到站点VPN的监测与排错 596

16.6.1 站点到站点VPN的监测 596

16.6.2 站点到站点VPN的排错 599

16.7 总结 603

第17章 IPSec远程访问VPN 604

17.1 Cisco IPSec远程访问VPN解决方案 604

17.1.1 IPSec远程访问配置步骤 605

17.1.2 步骤1:启用ISAKMP 606

17.1.3 步骤2:创建ISAKMP策略 607

17.1.4 步骤3:建立隧道和组策略 608

17.1.5 步骤4:定义IPSec策略 611

17.1.6 步骤5:配置用户认证 611

17.1.7 步骤6:分配IP地址 614

17.1.8 步骤7:创建加密映射集 616

17.1.9 步骤8:配置流量过滤器(可选) 617

17.1.10 步骤9:绕过NAT(可选) 617

17.1.11 步骤10:建立分离隧道(可选) 617

17.1.12 步骤11:指定DNS和WINS(可选) 619

17.1.13 ASDM的另一种配置方法 620

17.1.14 CiscoVPN客户端配置 621

17.2 高级Cisco IPSec VPN特性 624

17.2.1 隧道默认网关 625

17.2.2 透明隧道 625

17.2.3 VPN负载分担 628

17.2.4 客户端防火墙 631

17.2.5 基于硬件的Easy VPN客户端特性 633

17.3 L2TP over IPSec远程访问VPN解决方案 635

17.3.1 L2TP over IPSec远程访问配置步骤 637

17.3.2 Windows L2TP over IPSec客户端配置 639

17.4 部署场景 640

17.4.1 Cisco IPSec客户端和站点到站点集成的负载分担 640

17.4.2 L2TP over IPSec和流量发卡 645

17.4.3 Cisco远程访问VPN的监测与排错 649

17.5 总结 654

第18章 公钥基础(PKI) 655

18.1 PKI介绍 655

18.1.1 证书 656

18.1.2 证书管理机构(CA) 656

18.1.3 证书撤销列表 657

18.1.4 简单证书注册协议 658

18.2 安装证书 658

18.2.1 通过ASDM安装证书 658

18.2.2 通过CLI安装证书 665

18.3 本地证书管理机构 674

18.3.1 通过ASDM配置本地CA 675

18.3.2 通过CLI配置本地CA 676

18.3.3 通过ASDM注册本地CA用户 678

18.3.4 通过CLI注册本地CA用户 680

18.4 使用证书配置IPSec站点到站点隧道 681

18.5 配置Cisco ASA使用证书接受远程访问IPSec VPN客户端 685

18.5.1 注册Cisco VPN客户端 685

18.5.2 配置Cisco ASA 687

18.6 PKI排错 689

18.6.1 时间和日期不匹配 689

18.6.2 SCEP注册问题 692

18.6.3 CRL检索问题 693

18.7 总结 693

第19章 无客户端远程访问SSL VPN 694

19.1 设计SSLVPN需要考虑的因素 695

19.1.1 用户连通性 695

19.1.2 ASA特性集 695

19.1.3 基础设施规划 695

19.1.4 实施范围 695

19.2 SSL VPN前提条件 696

19.2.1 SSL VPN授权 696

19.2.2 客户端操作系统和浏览器的软件需求 698

19.2.3 基础设施需求 699

19.3 SSL VPN前期配置向导 699

19.3.1 注册数字证书(推荐) 700

19.3.2 建立隧道和组策略 704

19.3.3 设置用户认证 708

19.4 无客户端SSL VPN配置向导 711

19.4.1 在接口上启用无客户端SSL VPN 712

19.4.2 配置SSL VPN自定义门户 712

19.4.3 配置标签 723

19.4.4 配置Web类型ACL 729

19.4.5 配置应用访问 731

19.4.6 配置客户端/服务器插件 734

19.5 Cisco安全桌面 735

19.5.1 CSD组件 736

19.5.2 CSD需求 737

19.5.3 CSD技术架构 738

19.6 配置CSD 739

19.7 主机扫描 749

19.7.1 主机扫描模块 749

19.7.2 配置主机扫描 750

19.8 动态访问策略 753

19.8.1 DAP技术架构 753

19.8.2 DAP事件顺序 754

19.8.3 配置DAP 754

19.9 部署场景 763

19.9.1 步骤1:定义无客户端连接 764

19.9.2 步骤2:配置DAP 765

19.10 SSL VPN的监测与排错 766

19.10.1 SSL VPN监测 766

19.10.2 SSL VPN排错 768

19.11 总结 770

第20章 基于客户端的远程访问SSL VPN 771

20.1 SSL VPN设计考量 771

20.1.1 AnyConnect授权 771

20.1.2 Cisco ASA设计考量 773

20.2 SSL VPN前提条件 774

20.2.1 客户端操作系统和浏览器的软件需求 775

20.2.2 基础设施需求 775

20.3 SSL VPN前期配置向导 776

20.3.1 注册数字证书(推荐) 776

20.3.2 建立隧道和组策略 776

20.3.3 设置用户认证 779

20.4 AnyConnect SSL VPN客户端配置向导 780

20.4.1 加载AnyConnect程序包 781

20.4.2 定义AnyConnect SSL VPN客户端属性 782

20.4.3 高级完全隧道特性 786

20.4.4 AnyConnect客户端配置 790

20.5 AnyConnect客户端的部署场景 793

20.5.1 步骤1:配置CSD进行注册表检查 794

20.5.2 步骤2:配置RADIUS进行用户认证 795

20.5.3 步骤3:配置AnyConnect SSL VPN 795

20.5.4 步骤4:启用地址转换提供Internet访问 796

20.6 AnyConnect SSL VPN的监测与排错 796

20.6.1 SSL VPN监测 796

20.6.2 SSL VPN排错 796

20.7 总结 799