第1章 安全技术介绍 1
1.1 防火墙 1
1.1.1 网络防火墙 2
1.1.2 非军事化区域(DMZ) 5
1.1.3 深度数据包监控 6
1.1.4 可感知环境的下一代防火墙 6
1.1.5 个人防火墙 7
1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 7
1.2.1 模式匹配及状态化模式匹配识别 8
1.2.2 协议分析 9
1.2.3 基于启发的分析 9
1.2.4 基于异常的分析 9
1.2.5 全球威胁关联功能 10
1.3 虚拟专用网络 11
1.3.1 IPSec技术概述 12
1.3.2 SSL VPN 17
1.4 Cisco AnyConnect Secure Mobility 18
1.5 云和虚拟化安全 19
总结 20
第2章 Cisco ASA产品及解决方案概述 21
2.1 Cisco ASA各型号概述 21
2.2 Cisco ASA 5505型 22
2.3 Cisco ASA 5510型 26
2.4 Cisco ASA 5512-X型 27
2.5 Cisco ASA 5515-X型 29
2.6 Cisco ASA 5520型 30
2.7 Cisco ASA 5525-X型 31
2.8 Cisco ASA 5540型 31
2.9 Cisco ASA 5545-X型 32
2.10 Cisco ASA 5550型 32
2.11 Cisco ASA 5555-X型 33
2.12 Cisco ASA 5585系列 34
2.13 Cisco Catalyst 6500系列ASA服务模块 37
2.14 Cisco ASA 1000V云防火墙 37
2.15 Cisco ASA下一代防火墙服务(前身为Cisco ASA CX) 38
2.16 CiscoASAAIP-SSM模块 38
2.16.1 Cisco ASA AIP-SSM-10 38
2.16.2 Cisco ASAAIP-SSM-20 39
2.16.3 Cisco ASAAIP-SSM-40 39
2.17 Cisco ASA吉比特以太网模块 39
2.17.1 Cisco ASA SSM-4GE 40
2.17.2 Cisco ASA 5580扩展卡 40
2.17.3 Cisco ASA 5500-X系列6端口GE接口卡 41
总结 41
第3章 许可证 42
3.1 ASA上的许可证授权特性 42
3.1.1 基本平台功能 43
3.1.2 高级安全特性 45
3.1.3 分层功能特性 46
3.1.4 显示许可证信息 48
3.2 通过激活密钥管理许可证 49
3.2.1 永久激活密钥和临时激活密钥 49
3.2.2 使用激活密钥 51
3.3 故障倒换和集群的组合许可证 52
3.3.1 许可证汇聚规则 53
3.3.2 汇聚的临时许可证倒计时 54
3.4 共享的Premium VPN许可证 55
3.4.1 共享服务器与参与方 55
3.4.2 配置共享许可证 56
总结 58
第4章 初始设置 59
4.1 访问Cisco ASA设备 59
4.1.1 建立Console连接 59
4.1.2 命令行界面 62
4.2 管理许可证 63
4.3 初始设置 65
4.3.1 通过CLI进行初始设置 65
4.3.2 ASDM的初始化设置 67
4.4 配置设备 73
4.4.1 设置设备名和密码 74
4.4.2 配置接口 75
4.4.3 DHCP服务 82
4.5 设置系统时钟 83
4.5.1 手动调整系统时钟 84
4.5.2 使用网络时间协议自动调整时钟 85
总结 86
第5章 系统维护 87
5.1 配置管理 87
5.1.1 运行配置 87
5.1.2 启动配置 90
5.1.3 删除设备配置文件 91
5.2 远程系统管理 92
5.2.1 Telnet 92
5.2.2 SSH 94
5.3 系统维护 97
5.3.1 软件安装 97
5.3.2 密码恢复流程 101
5.3.3 禁用密码恢复流程 104
5.4 系统监测 107
5.4.1 系统日志记录 107
5.4.2 NetFlow安全事件记录(NSEL) 116
5.4.3 简单网络管理协议(SNMP) 119
5.5 设备监测及排错 123
5.5.1 监测CPU及内存 123
5.5.2 设备排错 125
总结 129
第6章 Cisco ASA服务模块 130
6.1 Cisco ASA服务模块概述 130
6.1.1 硬件架构 131
6.1.2 机框集成 132
6.2 管理主机机框 132
6.2.1 分配VLAN接口 133
6.2.2 监测数据流量 134
6.3 常用的部署方案 136
6.3.1 内部网段防火墙 136
6.3.2 边缘保护 137
6.4 让可靠流量通过策略路由绕过模块 138
6.4.1 数据流 139
6.4.2 PBR配置示例 140
总结 142
第7章 认证、授权、审计(AAA) 143
7.1 Cisco ASA支持的协议与服务 143
7.2 定义认证服务器 148
7.3 配置管理会话的认证 152
7.3.1 认证Telnet连接 153
7.3.2 认证SSH连接 154
7.3.3 认证串行Console连接 155
7.3.4 认证Cisco ASDM连接 156
7.4 认证防火墙会话(直通代理特性) 156
7.5 自定义认证提示 160
7.6 配置授权 160
7.6.1 命令授权 162
7.6.2 配置可下载ACL 162
7.7 配置审计 163
7.7.1 RADIUS审计 164
7.7.2 TACACS+审计 165
7.8 对去往Cisco ASA的管理连接进行排错 166
7.8.1 对防火墙会话(直通代理)进行排错 168
7.8.2 ASDM与CLI AAA测试工具 168
总结 169
第8章 控制网络访问:传统方式 170
8.1 数据包过滤 170
8.1.1 ACL的类型 173
8.1.2 ACL特性的比较 174
8.2 配置流量过滤 174
8.2.1 过滤穿越设备的流量 175
8.2.2 过滤去往设备的流量 178
8.3 高级ACL特性 180
8.3.1 对象分组 180
8.3.2 标准ACL 186
8.3.3 基于时间的ACL 187
8.3.4 可下载的ACL 190
8.3.5 ICMP过滤 190
8.4 流量过滤部署方案 191
8.5 监测网络访问控制 195
总结 198
第9章 通过ASA CX实施下一代防火墙服务 199
9.1 CX集成概述 199
9.1.1 逻辑架构 200
9.1.2 硬件模块 201
9.1.3 软件模块 201
9.1.4 高可用性 202
9.2 ASA CX架构 203
9.2.1 数据平面 204
9.2.2 事件与报告 205
9.2.3 用户身份 205
9.2.4 TLS解密代理 205
9.2.5 HTTP监控引擎 205
9.2.6 应用监控引擎 206
9.2.7 管理平面 206
9.2.8 控制平面 206
9.3 配置CX需要在ASA进行的准备工作 206
9.4 使用PRSM管理ASA CX 210
9.4.1 使用PRSM 211
9.4.2 配置用户账户 214
9.4.3 CX许可证 216
9.4.4 组件与软件的更新 217
9.4.5 配置数据库备份 219
9.5 定义CX策略元素 220
9.5.1 网络组 221
9.5.2 身份对象 222
9.5.3 URL对象 223
9.5.4 用户代理对象 224
9.5.5 应用对象 224
9.5.6 安全移动对象 225
9.5.7 接口角色 226
9.5.8 服务对象 226
9.5.9 应用服务对象 227
9.5.10 源对象组 228
9.5.11 目的对象组 228
9.5.12 文件过滤配置文件 229
9.5.13 Web名誉配置文件 230
9.5.14 下一代IPS配置文件 230
9.6 启用用户身份服务 231
9.6.1 配置目录服务器 232
9.6.2 连接到AD代理或CDA 234
9.6.3 调试认证设置 234
9.6.4 定义用户身份发现策略 235
9.7 启用TLS解密 237
9.7.1 配置解密设置 239
9.7.2 定义解密策略 241
9.8 启用NG IPS 242
9.9 定义可感知上下文的访问策略 243
9.10 配置ASA将流量重定向给CX模块 246
9.11 监测ASA CX 248
9.11.1 面板报告 248
9.11.2 连接与系统事件 249
9.11.3 捕获数据包 250
总结 253
第10章 网络地址转换 254
10.1 地址转换的类型 254
10.1.1 网络地址转换 254
10.1.2 端口地址转换 255
10.2 配置地址转换 257
10.2.1 静态NAT/PAT 257
10.2.2 动态NAT/PAT 258
10.2.3 策略NAT/PAT 259
10.2.4 Identity NAT 259
10.3 地址转换中的安全保护机制 259
10.3.1 随机生成序列号 259
10.3.2 TCP拦截(TCP Intercept) 260
10.4 理解地址转换行为 260
10.4.1 8.3版之前的地址转换行为 261
10.4.2 重新设计地址转换(8.3及后续版本) 262
10.5 配置地址转换 264
10.5.1 自动NAT的配置 264
10.5.2 手动NAT的配置 268
10.5.3 集成ACL和NAT 270
10.5.4 配置用例 272
10.6 DNS刮除(DNS Doctoring) 279
10.7 监测地址转换 281
总结 283
第11章 IPv6支持 284
11.1 IPv6 284
11.1.1 IPv6头部 284
11.1.2 支持的IPv6地址类型 286
11.2 配置IPv6 286
11.2.1 IP地址分配 287
11.2.2 IPv6 DHCP中继 288
11.2.3 IPv6可选参数 288
11.2.4 设置IPv6 ACL 289
11.2.5 IPv6地址转换 291
总结 292
第12章 IP路由 293
12.1 配置静态路由 293
12.1.1 静态路由监测 296
12.1.2 显示路由表信息 298
12.2 RIP 299
12.2.1 配置RIP 300
12.2.2 RIP认证 302
12.2.3 RIP路由过滤 304
12.2.4 配置RIP重分布 306
12.2.5 RIP排错 306
12.3 OSPF 308
12.3.1 配置OSPF 310
12.3.2 OSPF虚链路 314
12.3.3 配置OSPF认证 316
12.3.4 配置OSPF重分布 319
12.3.5 末节区域与NSSA 320
12.3.6 OSPF类型3 LSA过滤 321
12.3.7 OSPF neighbor命令及跨越VPN的动态路由 322
12.3.8 OSPFv3 324
12.3.9 OSPF排错 324
12.4 EIGRP 329
12.4.1 配置EIGRP 330
12.4.2 EIGRP排错 339
总结 346
第13章 应用监控 347
13.1 启用应用监控 349
13.2 选择性监控 350
13.3 CTIQBE监控 353
13.4 DCERPC监控 355
13.5 DNS监控 355
13.6 ESMTP监控 359
13.7 FTP 361
13.8 GPRS隧道协议 363
13.8.1 GTPv0 364
13.8.2 GTPvl 365
13.8.3 配置GTP监控 366
13.9 H.323 367
13.9.1 H.323协议族 368
13.9.2 H.323版本兼容性 369
13.9.3 启用H.323监控 370
13.9.4 DCS和GKPCS 372
13.9.5 T.38 372
13.10 Cisco统一通信高级特性 372
13.10.1 电话代理 373
13.10.2 TLS代理 376
13.10.3 移动性代理 377
13.10.4 Presence Federation代理 378
13.11 HTTP 378
13.12 ICMP 384
13.13 ILS 385
13.14 即时消息(IM) 385
13.15 IPSec直通 386
13.16 MGCP 387
13.17 NetBIOS 388
13.18 PPTP 389
13.19 Sun RPC 389
13.20 RSH 390
13.21 RTSP 390
13.22 SIP 390
13.23 Skinny(SCCP) 391
13.24 SNMP 392
13.25 SQL*Net 393
13.26 TFTP 393
13.27 WAAS 393
13.28 XDMCP 394
总结 394
第14章 虚拟化 395
14.1 架构概述 396
14.1.1 系统执行空间 396
14.1.2 admin虚拟防火墙 397
14.1.3 用户虚拟防火墙 398
14.1.4 数据包分类 400
14.1.5 多模下的数据流 402
14.2 配置安全虚拟防火墙 404
14.2.1 步骤1:在全局启用多安全虚拟防火墙 405
14.2.2 步骤2:设置系统执行空间 406
14.2.3 步骤3:分配接口 408
14.2.4 步骤4:指定配置文件URL 409
14.2.5 步骤5:配置admin虚拟防火墙 410
14.2.6 步骤6:配置用户虚拟防火墙 411
14.2.7 步骤7:管理安全虚拟防火墙(可选) 412
14.2.8 步骤8:资源管理(可选) 412
14.3 部署方案 415
14.3.1 不使用共享接口的虚拟防火墙 416
14.3.2 使用了一个共享接口的虚拟防火墙 426
14.4 安全虚拟防火墙的监测与排错 435
14.4.1 监测 436
14.4.2 排错 437
总结 439
第15章 透明防火墙 440
15.1 架构概述 442
15.1.1 单模透明防火墙 442
15.1.2 多模透明防火墙 444
15.2 透明防火墙的限制 445
15.2.1 透明防火墙与VPN 445
15.2.2 透明防火墙与NAT 446
15.3 配置透明防火墙 447
15.3.1 配置指导方针 448
15.3.2 配置步骤 448
15.4 部署案例 459
15.4.1 部署SMTF 459
15.4.2 用安全虚拟防火墙部署MMTF 464
15.5 透明防火墙的监测与排错 473
15.5.1 监测 473
15.5.2 排错 475
15.6 主机间无法通信 475
15.7 移动了的主机无法实现通信 476
15.8 通用日志记录 477
总结 477
第16章 高可用性 478
16.1 冗余接口 478
16.1.1 使用冗余接口 479
16.1.2 部署案例 480
16.1.3 配置与监测 480
16.2 静态路由追踪 482
16.2.1 使用SLA监测配置静态路由 482
16.2.2 浮动连接超时 483
16.2.3 备用ISP部署案例 484
16.3 故障倒换 486
16.3.1 故障倒换中的设备角色与功能 486
16.3.2 状态化故障倒换 487
16.3.3 主用/备用和主用/主用故障倒换 488
16.3.4 故障倒换的硬件和软件需求 489
16.3.5 故障倒换接口 491
16.3.6 故障倒换健康监测 495
16.3.7 状态与角色的转换 497
16.3.8 配置故障倒换 498
16.3.9 故障倒换的监测与排错 506
16.3.10 主用/备用故障倒换部署案例 509
16.4 集群 512
16.4.1 集群中的角色与功能 512
16.4.2 集群的硬件和软件需求 514
16.4.3 控制与数据接口 516
16.4.4 集群健康监测 522
16.4.5 网络地址转换 523
16.4.6 性能 524
16.4.7 数据流 525
16.4.8 状态转换 528
16.4.9 配置集群 528
16.4.10 集群的监测与排错 537
16.4.11 Spanned EtherChannel集群部署方案 540
总结 549
第17章 实施Cisco ASA入侵防御系统(IPS) 550
17.1 IPS集成概述 550
17.1.1 IPS逻辑架构 551
17.1.2 IPS硬件模块 551
17.1.3 IPS软件模块 552
17.1.4 在线模式与杂合模式 553
17.1.5 IPS高可用性 555
17.2 Cisco IPS软件架构 555
17.2.1 MainApp 556
17.2.2 SensorApp 558
17.2.3 CollaborationApp 558
17.2.4 EventStore 559
17.3 ASA IPS配置前的准备工作 559
17.3.1 安装CIPS镜像或者重新安装一个现有的ASA IPS 559
17.3.2 从ASA CLI访问CIPS 561
17.3.3 配置基本管理设置 562
17.3.4 通过ASDM配置IPS管理 565
17.3.5 安装CIPS许可证密钥 565
17.4 在ASA IPS上配置CIPS软件 566
17.4.1 自定义特征 567
17.4.2 远程阻塞 569
17.4.3 异常检测 572
17.4.4 全球关联 575
17.5 维护ASA IPS 576
17.5.1 用户账户管理 576
17.5.2 显示CIPS软件和处理信息 578
17.5.3 升级CIPS软件和特征 579
17.5.4 配置备份 582
17.5.5 显示和删除事件 583
17.6 配置ASA对IPS流量进行重定向 584
17.7 僵尸流量过滤(Botnet Traffic Filter) 585
17.7.1 动态和手动定义黑名单数据 586
17.7.2 DNS欺骗(DNS Snooping) 587
17.7.3 流量选择 588
总结 590
第18章 IPS调试与监测 591
18.1 IPS调整的过程 591
18.2 风险评估值 592
18.2.1 ASR 593
18.2.2 TVR 593
18.2.3 SFR 593
18.2.4 ARR 593
18.2.5 PD 593
18.2.6 WLR 594
18.3 禁用IPS特征 594
18.4 撤回IPS特征 594
18.5 用来进行监测及调整的工具 595
18.5.1 ASDM和IME 595
18.5.2 CSM事件管理器(CSM Event Manager) 596
18.5.3 从事件表中移除误报的IPS事件 596
18.5.4 Splunk 596
18.5.5 RSA安全分析器(RSASecurity Analytics) 596
18.6 在Cisco ASA IPS中显示和清除统计信息 596
总结 600
第19章 站点到站点IPSec VPN 601
19.1 预配置清单 601
19.2 配置步骤 604
19.2.1 步骤1:启用ISAKMP 605
19.2.2 步骤2:创建ISAKMP策略 606
19.2.3 步骤3:建立隧道组 607
19.2.4 步骤4:定义IPSec策略 609
19.2.5 步骤5:创建加密映射集 610
19.2.6 步骤6:配置流量过滤器(可选) 613
19.2.7 步骤7:绕过NAT(可选) 614
19.2.8 步骤8:启用PFS(可选) 615
19.2.9 ASDM的配置方法 616
19.3 可选属性与特性 618
19.3.1 通过IPSec发送OSPF更新 619
19.3.2 反向路由注入 620
19.3.3 NAT穿越 621
19.3.4 隧道默认网关 622
19.3.5 管理访问 623
19.3.6 分片策略 623
19.4 部署场景 624
19.4.1 使用NAT-T、RRI和IKEv2的单站点到站点隧道配置 624
19.4.2 使用安全虚拟防火墙的星型拓扑 629
19.5 站点到站点VPN的监测与排错 638
19.5.1 站点到站点VPN的监测 638
19.5.2 站点到站点VPN的排错 641
总结 645
第20章 IPSec远程访问VPN 646
20.1 Cisco IPSec远程访问VPN解决方案 646
20.1.1 IPSec(IKEv1)远程访问配置步骤 648
20.1.2 IPSec(IKEv2)远程访问配置步骤 668
20.1.3 基于硬件的VPN客户端 671
20.2 高级Cisco IPSec VPN特性 673
20.2.1 隧道默认网关 673
20.2.2 透明隧道 674
20.2.3 IPSec折返流量 675
20.2.4 VPN负载分担 677
20.2.5 客户端防火墙 679
20.2.6 基于硬件的Easy VPN客户端特性 681
20.3 L2TP over IPSec远程访问VPN解决方案 684
20.3.1 L2TP over IPSec远程访问配置步骤 685
20.3.2 Windows L2TP over IPSec客户端配置 688
20.4 部署场景 688
20.5 Cisco远程访问VPN的监测与排错 693
20.5.1 Cisco远程访问IPSec VPN的监测 693
20.5.2 Cisco IPSec VPN客户端的排错 696
总结 698
第21章 PKI的配置与排错 699
21.1 PKI介绍 699
21.1.1 证书 700
21.1.2 证书管理机构(CA) 700
21.1.3 证书撤销列表 702
21.1.4 简单证书注册协议 702
21.2 安装证书 703
21.2.1 通过ASDM安装证书 703
21.2.2 通过文件安装实体证书 704
21.2.3 通过复制/粘贴的方式安装CA证书 704
21.2.4 通过SCEP安装CA证书 705
21.2.5 通过SCEP安装实体证书 708
21.2.6 通过CLI安装证书 709
21.3 本地证书管理机构 718
21.3.1 通过ASDM配置本地CA 719
21.3.2 通过CLI配置本地CA 720
21.3.3 通过ASDM注册本地CA用户 722
21.3.4 通过CLI注册本地CA用户 724
21.4 使用证书配置IPSec站点到站点隧道 725
21.5 使用证书配置Cisco ASA接受远程访问IPSec VPN客户端 728
21.6 PKI排错 729
21.6.1 时间和日期不匹配 729
21.6.2 SCEP注册问题 731
21.6.3 CRL检索问题 732
总结 733
第22章 无客户端远程访问SSL VPN 734
22.1 SSL VPN设计考量 735
22.1.1 用户连通性 735
22.1.2 ASA特性集 735
22.1.3 基础设施规划 735
22.1.4 实施范围 736
22.2 SSL VPN前提条件 736
22.2.1 SSL VPN授权 736
22.2.2 客户端操作系统和浏览器的软件需求 739
22.2.3 基础设施需求 740
22.3 SSL VPN前期配置向导 740
22.3.1 注册数字证书(推荐) 740
22.3.2 建立隧道和组策略 745
22.3.3 设置用户认证 749
22.4 无客户端SSL VPN配置向导 752
22.4.1 在接口上启用无客户端SSL VPN 753
22.4.2 配置SSL VPN自定义门户 753
22.4.3 配置书签 766
22.4.4 配置Web类型ACL 770
22.4.5 配置应用访问 772
22.4.6 配置客户端/服务器插件 776
22.5 Cisco安全桌面 777
22.5.1 CSD组件 778
22.5.2 CSD需求 779
22.5.3 CSD技术架构 780
22.5.4 配置CSD 781
22.6 主机扫描 786
22.6.1 主机扫描模块 786
22.6.2 配置主机扫描 787
22.7 动态访问策略 791
22.7.1 DAP技术架构 791
22.7.2 DAP事件顺序 792
22.7.3 配置DAP 792
22.8 部署场景 801
22.8.1 步骤1:定义无客户端连接 802
22.8.2 步骤2:配置DAP 803
22.9 SSL VPN的监测与排错 804
22.9.1 SSL VPN监测 804
22.9.2 SSL VPN排错 806
总结 808
第23章 基于客户端的远程访问SSL VPN 809
23.1 SSL VPN设计考量 809
23.1.1 Cisco AnyConnect Secure Mobili客户端的授权 810
23.1.2 Cisco ASA设计考量 810
23.2 SSL VPN前提条件 811
23.2.1 客户端操作系统和浏览器的软件需求 811
23.2.2 基础设施需求 812
23.3 SSL VPN前期配置向导 812
23.3.1 注册数字证书(推荐) 813
23.3.2 建立隧道和组策略 813
23.3.3 设置用户认证 815
23.4 Cisco AnyConnect Secure Mobili客户端配置指南 817
23.4.1 加载Cisco AnyConnect Secure Mobility Client VPN打包文件 817
23.4.2 定义Cisco AnyConnect Secure Mobility Client属性 818
23.4.3 高级完全隧道特性 822
23.4.4 AnyConnect客户端配置 827
23.5 AnyConnect客户端的部署场景 829
23.5.1 步骤1:配置CSD进行注册表检查 831
23.5.2 步骤2:配置RADIUS进行用户认证 831
23.5.3 步骤3:配置AnyConnect SSL VPN 831
23.5.4 步骤4:启用地址转换提供Internet访问 832
23.6 AnyConnect SSL VPN的监测与排错 832
总结 834
第24章 IP组播路由 835
24.1 IGMP 835
24.2 PIM稀疏模式 836
24.3 配置组播路由 836
24.3.1 启用组播路由 836
24.3.2 启用PIM 838
24.4 IP组播路由排错 841
24.4.1 常用的show命令 841
24.4.2 常用的debug命令 842
总结 843
第25章 服务质量 844
25.1 QoS类型 845
25.1.1 流量优先级划分 845
25.1.2 流量管制 846
25.1.3 流量整形 847
25.2 QoS架构 847
25.2.1 数据包流的顺序 847
25.2.2 数据包分类 848
25.2.3 QoS与VPN隧道 852
25.3 配置QoS 852
25.3.1 通过ASDM配置QoS 853
25.3.2 通过CLI配置QoS 858
25.4 Qos部署方案 861
25.4.1 ASDM的配置步骤 862
25.4.2 CLI配置步骤 865
25.5 QoS的监测 867
总结 868