《Cisco ASA设备使用指南 第3版》PDF下载

  • 购买积分:23 如何计算积分?
  • 作  者:(美)压茨布弗拉海(Jazib Frahim),奥马尔桑托斯(Omar Santos),安德鲁奥西波夫(Andrew Ossipov)
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2016
  • ISBN:9787115428066
  • 页数:868 页
图书介绍:本书是对Cisco ASA设备进行规划、部署、管理以及排错的官方权威实践指南,深入讲解了Cisco ASA的解决方案,并且给出了全面综合的ASA设备配置示例以及排错方法。本书适合网络维护人员、CCIE安全认证考试人员以及ASA设备售后人员阅读。

第1章 安全技术介绍 1

1.1 防火墙 1

1.1.1 网络防火墙 2

1.1.2 非军事化区域(DMZ) 5

1.1.3 深度数据包监控 6

1.1.4 可感知环境的下一代防火墙 6

1.1.5 个人防火墙 7

1.2 入侵检测系统(IDS)与入侵防御系统(IPS) 7

1.2.1 模式匹配及状态化模式匹配识别 8

1.2.2 协议分析 9

1.2.3 基于启发的分析 9

1.2.4 基于异常的分析 9

1.2.5 全球威胁关联功能 10

1.3 虚拟专用网络 11

1.3.1 IPSec技术概述 12

1.3.2 SSL VPN 17

1.4 Cisco AnyConnect Secure Mobility 18

1.5 云和虚拟化安全 19

总结 20

第2章 Cisco ASA产品及解决方案概述 21

2.1 Cisco ASA各型号概述 21

2.2 Cisco ASA 5505型 22

2.3 Cisco ASA 5510型 26

2.4 Cisco ASA 5512-X型 27

2.5 Cisco ASA 5515-X型 29

2.6 Cisco ASA 5520型 30

2.7 Cisco ASA 5525-X型 31

2.8 Cisco ASA 5540型 31

2.9 Cisco ASA 5545-X型 32

2.10 Cisco ASA 5550型 32

2.11 Cisco ASA 5555-X型 33

2.12 Cisco ASA 5585系列 34

2.13 Cisco Catalyst 6500系列ASA服务模块 37

2.14 Cisco ASA 1000V云防火墙 37

2.15 Cisco ASA下一代防火墙服务(前身为Cisco ASA CX) 38

2.16 CiscoASAAIP-SSM模块 38

2.16.1 Cisco ASA AIP-SSM-10 38

2.16.2 Cisco ASAAIP-SSM-20 39

2.16.3 Cisco ASAAIP-SSM-40 39

2.17 Cisco ASA吉比特以太网模块 39

2.17.1 Cisco ASA SSM-4GE 40

2.17.2 Cisco ASA 5580扩展卡 40

2.17.3 Cisco ASA 5500-X系列6端口GE接口卡 41

总结 41

第3章 许可证 42

3.1 ASA上的许可证授权特性 42

3.1.1 基本平台功能 43

3.1.2 高级安全特性 45

3.1.3 分层功能特性 46

3.1.4 显示许可证信息 48

3.2 通过激活密钥管理许可证 49

3.2.1 永久激活密钥和临时激活密钥 49

3.2.2 使用激活密钥 51

3.3 故障倒换和集群的组合许可证 52

3.3.1 许可证汇聚规则 53

3.3.2 汇聚的临时许可证倒计时 54

3.4 共享的Premium VPN许可证 55

3.4.1 共享服务器与参与方 55

3.4.2 配置共享许可证 56

总结 58

第4章 初始设置 59

4.1 访问Cisco ASA设备 59

4.1.1 建立Console连接 59

4.1.2 命令行界面 62

4.2 管理许可证 63

4.3 初始设置 65

4.3.1 通过CLI进行初始设置 65

4.3.2 ASDM的初始化设置 67

4.4 配置设备 73

4.4.1 设置设备名和密码 74

4.4.2 配置接口 75

4.4.3 DHCP服务 82

4.5 设置系统时钟 83

4.5.1 手动调整系统时钟 84

4.5.2 使用网络时间协议自动调整时钟 85

总结 86

第5章 系统维护 87

5.1 配置管理 87

5.1.1 运行配置 87

5.1.2 启动配置 90

5.1.3 删除设备配置文件 91

5.2 远程系统管理 92

5.2.1 Telnet 92

5.2.2 SSH 94

5.3 系统维护 97

5.3.1 软件安装 97

5.3.2 密码恢复流程 101

5.3.3 禁用密码恢复流程 104

5.4 系统监测 107

5.4.1 系统日志记录 107

5.4.2 NetFlow安全事件记录(NSEL) 116

5.4.3 简单网络管理协议(SNMP) 119

5.5 设备监测及排错 123

5.5.1 监测CPU及内存 123

5.5.2 设备排错 125

总结 129

第6章 Cisco ASA服务模块 130

6.1 Cisco ASA服务模块概述 130

6.1.1 硬件架构 131

6.1.2 机框集成 132

6.2 管理主机机框 132

6.2.1 分配VLAN接口 133

6.2.2 监测数据流量 134

6.3 常用的部署方案 136

6.3.1 内部网段防火墙 136

6.3.2 边缘保护 137

6.4 让可靠流量通过策略路由绕过模块 138

6.4.1 数据流 139

6.4.2 PBR配置示例 140

总结 142

第7章 认证、授权、审计(AAA) 143

7.1 Cisco ASA支持的协议与服务 143

7.2 定义认证服务器 148

7.3 配置管理会话的认证 152

7.3.1 认证Telnet连接 153

7.3.2 认证SSH连接 154

7.3.3 认证串行Console连接 155

7.3.4 认证Cisco ASDM连接 156

7.4 认证防火墙会话(直通代理特性) 156

7.5 自定义认证提示 160

7.6 配置授权 160

7.6.1 命令授权 162

7.6.2 配置可下载ACL 162

7.7 配置审计 163

7.7.1 RADIUS审计 164

7.7.2 TACACS+审计 165

7.8 对去往Cisco ASA的管理连接进行排错 166

7.8.1 对防火墙会话(直通代理)进行排错 168

7.8.2 ASDM与CLI AAA测试工具 168

总结 169

第8章 控制网络访问:传统方式 170

8.1 数据包过滤 170

8.1.1 ACL的类型 173

8.1.2 ACL特性的比较 174

8.2 配置流量过滤 174

8.2.1 过滤穿越设备的流量 175

8.2.2 过滤去往设备的流量 178

8.3 高级ACL特性 180

8.3.1 对象分组 180

8.3.2 标准ACL 186

8.3.3 基于时间的ACL 187

8.3.4 可下载的ACL 190

8.3.5 ICMP过滤 190

8.4 流量过滤部署方案 191

8.5 监测网络访问控制 195

总结 198

第9章 通过ASA CX实施下一代防火墙服务 199

9.1 CX集成概述 199

9.1.1 逻辑架构 200

9.1.2 硬件模块 201

9.1.3 软件模块 201

9.1.4 高可用性 202

9.2 ASA CX架构 203

9.2.1 数据平面 204

9.2.2 事件与报告 205

9.2.3 用户身份 205

9.2.4 TLS解密代理 205

9.2.5 HTTP监控引擎 205

9.2.6 应用监控引擎 206

9.2.7 管理平面 206

9.2.8 控制平面 206

9.3 配置CX需要在ASA进行的准备工作 206

9.4 使用PRSM管理ASA CX 210

9.4.1 使用PRSM 211

9.4.2 配置用户账户 214

9.4.3 CX许可证 216

9.4.4 组件与软件的更新 217

9.4.5 配置数据库备份 219

9.5 定义CX策略元素 220

9.5.1 网络组 221

9.5.2 身份对象 222

9.5.3 URL对象 223

9.5.4 用户代理对象 224

9.5.5 应用对象 224

9.5.6 安全移动对象 225

9.5.7 接口角色 226

9.5.8 服务对象 226

9.5.9 应用服务对象 227

9.5.10 源对象组 228

9.5.11 目的对象组 228

9.5.12 文件过滤配置文件 229

9.5.13 Web名誉配置文件 230

9.5.14 下一代IPS配置文件 230

9.6 启用用户身份服务 231

9.6.1 配置目录服务器 232

9.6.2 连接到AD代理或CDA 234

9.6.3 调试认证设置 234

9.6.4 定义用户身份发现策略 235

9.7 启用TLS解密 237

9.7.1 配置解密设置 239

9.7.2 定义解密策略 241

9.8 启用NG IPS 242

9.9 定义可感知上下文的访问策略 243

9.10 配置ASA将流量重定向给CX模块 246

9.11 监测ASA CX 248

9.11.1 面板报告 248

9.11.2 连接与系统事件 249

9.11.3 捕获数据包 250

总结 253

第10章 网络地址转换 254

10.1 地址转换的类型 254

10.1.1 网络地址转换 254

10.1.2 端口地址转换 255

10.2 配置地址转换 257

10.2.1 静态NAT/PAT 257

10.2.2 动态NAT/PAT 258

10.2.3 策略NAT/PAT 259

10.2.4 Identity NAT 259

10.3 地址转换中的安全保护机制 259

10.3.1 随机生成序列号 259

10.3.2 TCP拦截(TCP Intercept) 260

10.4 理解地址转换行为 260

10.4.1 8.3版之前的地址转换行为 261

10.4.2 重新设计地址转换(8.3及后续版本) 262

10.5 配置地址转换 264

10.5.1 自动NAT的配置 264

10.5.2 手动NAT的配置 268

10.5.3 集成ACL和NAT 270

10.5.4 配置用例 272

10.6 DNS刮除(DNS Doctoring) 279

10.7 监测地址转换 281

总结 283

第11章 IPv6支持 284

11.1 IPv6 284

11.1.1 IPv6头部 284

11.1.2 支持的IPv6地址类型 286

11.2 配置IPv6 286

11.2.1 IP地址分配 287

11.2.2 IPv6 DHCP中继 288

11.2.3 IPv6可选参数 288

11.2.4 设置IPv6 ACL 289

11.2.5 IPv6地址转换 291

总结 292

第12章 IP路由 293

12.1 配置静态路由 293

12.1.1 静态路由监测 296

12.1.2 显示路由表信息 298

12.2 RIP 299

12.2.1 配置RIP 300

12.2.2 RIP认证 302

12.2.3 RIP路由过滤 304

12.2.4 配置RIP重分布 306

12.2.5 RIP排错 306

12.3 OSPF 308

12.3.1 配置OSPF 310

12.3.2 OSPF虚链路 314

12.3.3 配置OSPF认证 316

12.3.4 配置OSPF重分布 319

12.3.5 末节区域与NSSA 320

12.3.6 OSPF类型3 LSA过滤 321

12.3.7 OSPF neighbor命令及跨越VPN的动态路由 322

12.3.8 OSPFv3 324

12.3.9 OSPF排错 324

12.4 EIGRP 329

12.4.1 配置EIGRP 330

12.4.2 EIGRP排错 339

总结 346

第13章 应用监控 347

13.1 启用应用监控 349

13.2 选择性监控 350

13.3 CTIQBE监控 353

13.4 DCERPC监控 355

13.5 DNS监控 355

13.6 ESMTP监控 359

13.7 FTP 361

13.8 GPRS隧道协议 363

13.8.1 GTPv0 364

13.8.2 GTPvl 365

13.8.3 配置GTP监控 366

13.9 H.323 367

13.9.1 H.323协议族 368

13.9.2 H.323版本兼容性 369

13.9.3 启用H.323监控 370

13.9.4 DCS和GKPCS 372

13.9.5 T.38 372

13.10 Cisco统一通信高级特性 372

13.10.1 电话代理 373

13.10.2 TLS代理 376

13.10.3 移动性代理 377

13.10.4 Presence Federation代理 378

13.11 HTTP 378

13.12 ICMP 384

13.13 ILS 385

13.14 即时消息(IM) 385

13.15 IPSec直通 386

13.16 MGCP 387

13.17 NetBIOS 388

13.18 PPTP 389

13.19 Sun RPC 389

13.20 RSH 390

13.21 RTSP 390

13.22 SIP 390

13.23 Skinny(SCCP) 391

13.24 SNMP 392

13.25 SQL*Net 393

13.26 TFTP 393

13.27 WAAS 393

13.28 XDMCP 394

总结 394

第14章 虚拟化 395

14.1 架构概述 396

14.1.1 系统执行空间 396

14.1.2 admin虚拟防火墙 397

14.1.3 用户虚拟防火墙 398

14.1.4 数据包分类 400

14.1.5 多模下的数据流 402

14.2 配置安全虚拟防火墙 404

14.2.1 步骤1:在全局启用多安全虚拟防火墙 405

14.2.2 步骤2:设置系统执行空间 406

14.2.3 步骤3:分配接口 408

14.2.4 步骤4:指定配置文件URL 409

14.2.5 步骤5:配置admin虚拟防火墙 410

14.2.6 步骤6:配置用户虚拟防火墙 411

14.2.7 步骤7:管理安全虚拟防火墙(可选) 412

14.2.8 步骤8:资源管理(可选) 412

14.3 部署方案 415

14.3.1 不使用共享接口的虚拟防火墙 416

14.3.2 使用了一个共享接口的虚拟防火墙 426

14.4 安全虚拟防火墙的监测与排错 435

14.4.1 监测 436

14.4.2 排错 437

总结 439

第15章 透明防火墙 440

15.1 架构概述 442

15.1.1 单模透明防火墙 442

15.1.2 多模透明防火墙 444

15.2 透明防火墙的限制 445

15.2.1 透明防火墙与VPN 445

15.2.2 透明防火墙与NAT 446

15.3 配置透明防火墙 447

15.3.1 配置指导方针 448

15.3.2 配置步骤 448

15.4 部署案例 459

15.4.1 部署SMTF 459

15.4.2 用安全虚拟防火墙部署MMTF 464

15.5 透明防火墙的监测与排错 473

15.5.1 监测 473

15.5.2 排错 475

15.6 主机间无法通信 475

15.7 移动了的主机无法实现通信 476

15.8 通用日志记录 477

总结 477

第16章 高可用性 478

16.1 冗余接口 478

16.1.1 使用冗余接口 479

16.1.2 部署案例 480

16.1.3 配置与监测 480

16.2 静态路由追踪 482

16.2.1 使用SLA监测配置静态路由 482

16.2.2 浮动连接超时 483

16.2.3 备用ISP部署案例 484

16.3 故障倒换 486

16.3.1 故障倒换中的设备角色与功能 486

16.3.2 状态化故障倒换 487

16.3.3 主用/备用和主用/主用故障倒换 488

16.3.4 故障倒换的硬件和软件需求 489

16.3.5 故障倒换接口 491

16.3.6 故障倒换健康监测 495

16.3.7 状态与角色的转换 497

16.3.8 配置故障倒换 498

16.3.9 故障倒换的监测与排错 506

16.3.10 主用/备用故障倒换部署案例 509

16.4 集群 512

16.4.1 集群中的角色与功能 512

16.4.2 集群的硬件和软件需求 514

16.4.3 控制与数据接口 516

16.4.4 集群健康监测 522

16.4.5 网络地址转换 523

16.4.6 性能 524

16.4.7 数据流 525

16.4.8 状态转换 528

16.4.9 配置集群 528

16.4.10 集群的监测与排错 537

16.4.11 Spanned EtherChannel集群部署方案 540

总结 549

第17章 实施Cisco ASA入侵防御系统(IPS) 550

17.1 IPS集成概述 550

17.1.1 IPS逻辑架构 551

17.1.2 IPS硬件模块 551

17.1.3 IPS软件模块 552

17.1.4 在线模式与杂合模式 553

17.1.5 IPS高可用性 555

17.2 Cisco IPS软件架构 555

17.2.1 MainApp 556

17.2.2 SensorApp 558

17.2.3 CollaborationApp 558

17.2.4 EventStore 559

17.3 ASA IPS配置前的准备工作 559

17.3.1 安装CIPS镜像或者重新安装一个现有的ASA IPS 559

17.3.2 从ASA CLI访问CIPS 561

17.3.3 配置基本管理设置 562

17.3.4 通过ASDM配置IPS管理 565

17.3.5 安装CIPS许可证密钥 565

17.4 在ASA IPS上配置CIPS软件 566

17.4.1 自定义特征 567

17.4.2 远程阻塞 569

17.4.3 异常检测 572

17.4.4 全球关联 575

17.5 维护ASA IPS 576

17.5.1 用户账户管理 576

17.5.2 显示CIPS软件和处理信息 578

17.5.3 升级CIPS软件和特征 579

17.5.4 配置备份 582

17.5.5 显示和删除事件 583

17.6 配置ASA对IPS流量进行重定向 584

17.7 僵尸流量过滤(Botnet Traffic Filter) 585

17.7.1 动态和手动定义黑名单数据 586

17.7.2 DNS欺骗(DNS Snooping) 587

17.7.3 流量选择 588

总结 590

第18章 IPS调试与监测 591

18.1 IPS调整的过程 591

18.2 风险评估值 592

18.2.1 ASR 593

18.2.2 TVR 593

18.2.3 SFR 593

18.2.4 ARR 593

18.2.5 PD 593

18.2.6 WLR 594

18.3 禁用IPS特征 594

18.4 撤回IPS特征 594

18.5 用来进行监测及调整的工具 595

18.5.1 ASDM和IME 595

18.5.2 CSM事件管理器(CSM Event Manager) 596

18.5.3 从事件表中移除误报的IPS事件 596

18.5.4 Splunk 596

18.5.5 RSA安全分析器(RSASecurity Analytics) 596

18.6 在Cisco ASA IPS中显示和清除统计信息 596

总结 600

第19章 站点到站点IPSec VPN 601

19.1 预配置清单 601

19.2 配置步骤 604

19.2.1 步骤1:启用ISAKMP 605

19.2.2 步骤2:创建ISAKMP策略 606

19.2.3 步骤3:建立隧道组 607

19.2.4 步骤4:定义IPSec策略 609

19.2.5 步骤5:创建加密映射集 610

19.2.6 步骤6:配置流量过滤器(可选) 613

19.2.7 步骤7:绕过NAT(可选) 614

19.2.8 步骤8:启用PFS(可选) 615

19.2.9 ASDM的配置方法 616

19.3 可选属性与特性 618

19.3.1 通过IPSec发送OSPF更新 619

19.3.2 反向路由注入 620

19.3.3 NAT穿越 621

19.3.4 隧道默认网关 622

19.3.5 管理访问 623

19.3.6 分片策略 623

19.4 部署场景 624

19.4.1 使用NAT-T、RRI和IKEv2的单站点到站点隧道配置 624

19.4.2 使用安全虚拟防火墙的星型拓扑 629

19.5 站点到站点VPN的监测与排错 638

19.5.1 站点到站点VPN的监测 638

19.5.2 站点到站点VPN的排错 641

总结 645

第20章 IPSec远程访问VPN 646

20.1 Cisco IPSec远程访问VPN解决方案 646

20.1.1 IPSec(IKEv1)远程访问配置步骤 648

20.1.2 IPSec(IKEv2)远程访问配置步骤 668

20.1.3 基于硬件的VPN客户端 671

20.2 高级Cisco IPSec VPN特性 673

20.2.1 隧道默认网关 673

20.2.2 透明隧道 674

20.2.3 IPSec折返流量 675

20.2.4 VPN负载分担 677

20.2.5 客户端防火墙 679

20.2.6 基于硬件的Easy VPN客户端特性 681

20.3 L2TP over IPSec远程访问VPN解决方案 684

20.3.1 L2TP over IPSec远程访问配置步骤 685

20.3.2 Windows L2TP over IPSec客户端配置 688

20.4 部署场景 688

20.5 Cisco远程访问VPN的监测与排错 693

20.5.1 Cisco远程访问IPSec VPN的监测 693

20.5.2 Cisco IPSec VPN客户端的排错 696

总结 698

第21章 PKI的配置与排错 699

21.1 PKI介绍 699

21.1.1 证书 700

21.1.2 证书管理机构(CA) 700

21.1.3 证书撤销列表 702

21.1.4 简单证书注册协议 702

21.2 安装证书 703

21.2.1 通过ASDM安装证书 703

21.2.2 通过文件安装实体证书 704

21.2.3 通过复制/粘贴的方式安装CA证书 704

21.2.4 通过SCEP安装CA证书 705

21.2.5 通过SCEP安装实体证书 708

21.2.6 通过CLI安装证书 709

21.3 本地证书管理机构 718

21.3.1 通过ASDM配置本地CA 719

21.3.2 通过CLI配置本地CA 720

21.3.3 通过ASDM注册本地CA用户 722

21.3.4 通过CLI注册本地CA用户 724

21.4 使用证书配置IPSec站点到站点隧道 725

21.5 使用证书配置Cisco ASA接受远程访问IPSec VPN客户端 728

21.6 PKI排错 729

21.6.1 时间和日期不匹配 729

21.6.2 SCEP注册问题 731

21.6.3 CRL检索问题 732

总结 733

第22章 无客户端远程访问SSL VPN 734

22.1 SSL VPN设计考量 735

22.1.1 用户连通性 735

22.1.2 ASA特性集 735

22.1.3 基础设施规划 735

22.1.4 实施范围 736

22.2 SSL VPN前提条件 736

22.2.1 SSL VPN授权 736

22.2.2 客户端操作系统和浏览器的软件需求 739

22.2.3 基础设施需求 740

22.3 SSL VPN前期配置向导 740

22.3.1 注册数字证书(推荐) 740

22.3.2 建立隧道和组策略 745

22.3.3 设置用户认证 749

22.4 无客户端SSL VPN配置向导 752

22.4.1 在接口上启用无客户端SSL VPN 753

22.4.2 配置SSL VPN自定义门户 753

22.4.3 配置书签 766

22.4.4 配置Web类型ACL 770

22.4.5 配置应用访问 772

22.4.6 配置客户端/服务器插件 776

22.5 Cisco安全桌面 777

22.5.1 CSD组件 778

22.5.2 CSD需求 779

22.5.3 CSD技术架构 780

22.5.4 配置CSD 781

22.6 主机扫描 786

22.6.1 主机扫描模块 786

22.6.2 配置主机扫描 787

22.7 动态访问策略 791

22.7.1 DAP技术架构 791

22.7.2 DAP事件顺序 792

22.7.3 配置DAP 792

22.8 部署场景 801

22.8.1 步骤1:定义无客户端连接 802

22.8.2 步骤2:配置DAP 803

22.9 SSL VPN的监测与排错 804

22.9.1 SSL VPN监测 804

22.9.2 SSL VPN排错 806

总结 808

第23章 基于客户端的远程访问SSL VPN 809

23.1 SSL VPN设计考量 809

23.1.1 Cisco AnyConnect Secure Mobili客户端的授权 810

23.1.2 Cisco ASA设计考量 810

23.2 SSL VPN前提条件 811

23.2.1 客户端操作系统和浏览器的软件需求 811

23.2.2 基础设施需求 812

23.3 SSL VPN前期配置向导 812

23.3.1 注册数字证书(推荐) 813

23.3.2 建立隧道和组策略 813

23.3.3 设置用户认证 815

23.4 Cisco AnyConnect Secure Mobili客户端配置指南 817

23.4.1 加载Cisco AnyConnect Secure Mobility Client VPN打包文件 817

23.4.2 定义Cisco AnyConnect Secure Mobility Client属性 818

23.4.3 高级完全隧道特性 822

23.4.4 AnyConnect客户端配置 827

23.5 AnyConnect客户端的部署场景 829

23.5.1 步骤1:配置CSD进行注册表检查 831

23.5.2 步骤2:配置RADIUS进行用户认证 831

23.5.3 步骤3:配置AnyConnect SSL VPN 831

23.5.4 步骤4:启用地址转换提供Internet访问 832

23.6 AnyConnect SSL VPN的监测与排错 832

总结 834

第24章 IP组播路由 835

24.1 IGMP 835

24.2 PIM稀疏模式 836

24.3 配置组播路由 836

24.3.1 启用组播路由 836

24.3.2 启用PIM 838

24.4 IP组播路由排错 841

24.4.1 常用的show命令 841

24.4.2 常用的debug命令 842

总结 843

第25章 服务质量 844

25.1 QoS类型 845

25.1.1 流量优先级划分 845

25.1.2 流量管制 846

25.1.3 流量整形 847

25.2 QoS架构 847

25.2.1 数据包流的顺序 847

25.2.2 数据包分类 848

25.2.3 QoS与VPN隧道 852

25.3 配置QoS 852

25.3.1 通过ASDM配置QoS 853

25.3.2 通过CLI配置QoS 858

25.4 Qos部署方案 861

25.4.1 ASDM的配置步骤 862

25.4.2 CLI配置步骤 865

25.5 QoS的监测 867

总结 868