第1部分 简介 3
第1章 防火墙类型 3
1.1理解包过滤防火墙 3
1.1.1优势 4
1.1.2告诫 4
1.2理解应用/代理防火墙 5
1.2.1优势 6
1.2.2告诫 6
1.3理解逆向代理防火墙 7
1.3.1优势 7
1.3.2告诫 9
1.4利用包检测技术 9
1.5 IP地址重用 10
1.5.1 NAT 10
1.5.2 PAT 11
1.6总结 12
第22章 防火墙服务模块概述 15
2.1规格 15
2.2安装 16
2.3性能 17
2.4虚拟化 18
2.5 FWSM与其他安全设备的对比 19
2.5.1 IOS防火墙 20
2.5.2 PIX 20
2.5.3 ASA 20
2.6硬件架构 21
2.7软件架构 23
2.8总结 26
第3章 运行模式的分析 29
3.1透明模式 29
3.1.1优势 31
3.1.2缺点 31
3.1.3流量的流动 32
3.1.4多网桥组 36
3.2路由模式 37
3.2.1优势 38
3.2.2缺点 38
3.2.3流量的流动 39
3.3总结 40
第4章 理解安全级别 43
4.1接口间的流量传输 44
4.2网络地址转换/端口地址转换 44
4.2.1静态NAT 47
4.2.2静态PAT 52
4.2.3动态NAT 54
4.2.4动态PAT 55
4.2.5 NAT控制 55
4.2.6 NAT旁路 55
4.3总结 57
4.4参考文献 57
第5章 理解context 59
5.1多context的好处 60
5.1.1分离安全策略 60
5.1.2充分利用硬件投资 60
5.2多context的缺点 60
5.3添加和删除context 60
5.3.1添加context 62
5.3.2删除context 62
5.4在context之间切换 63
5.5理解资源管理 64
5.6总结 69
第2部分 初始配置 73
第6章6500/7600系列机箱的配置与保护 73
6.1理解主机箱和FWSM之间的交互 73
6.2分配接口 75
6.3保护6500/7600(主机箱) 77
6.3.1控制物理访问 77
6.3.2考虑环境因素 78
6.3.3控制管理访问 78
6.3.4禁用不必要的服务 79
6.3.5使用基于端口的安全控制访问 80
6.3.6控制生成树 81
6.3.7利用访问控制列表 81
6.3.8保护第3层 81
6.3.9利用控制面板策略 82
6.3.10使用QOS保护网络 82
6.3.11使用额外的安全功能 82
6.4总结 83
6.5参考文献 83
第7章FWSM的配置 85
7.1在交换机中配置FWSM 85
7.2路由模式 87
7.3透明模式 89
7.4在多context中使用FWSM 90
7.4.1 context配置 90
7.4.2系统context的配置 90
7.4.3 admin context的配置 90
7.4.4 FWSM context模式中的数据包分类器 91
7.4.5 context中的资源管理 92
7.5防火墙服务模块的配置步骤 92
7.5.1类型1:配置单context路由模式 92
7.5.2类型2:配置单context透明模式 94
7.5.3类型3:配置多context混合模式 96
7.6总结 100
第8章ACL 103
8.1访问列表类型的介绍 103
8.1.1理解访问控制条目 104
8.1.2理解访问列表提交 105
8.2理解对象组 106
8.3监视访问列表资源 106
8.4配置对象组和访问列表 107
8.4.1协议类型 107
8.4.2网络类型 107
8.4.3服务类型 107
8.4.4嵌套类型 107
8.4.5 EtherType 108
8.5总结 109
第9章 路由协议的配置 111
9.1支持路由方法 112
9.1.1静态路由 112
9.1.2默认路由 113
9.1.3 OSPF 113
9.1.4 FWSM中的OSPF 117
9.1.5 OSPF在FWSM中的配置 117
9.1.6 OSPF设计案例1 119
9.1.7 OSPF设计案例2 124
9.1.8路由信息协议 128
9.1.9 FWSM中的RIP 128
9.1.10边界网关协议 132
9.1.11 FWSM中的BGP 132
9.1.12 FWSM的BGP拓扑 133
9.2总结 142
第10章AAA概述 145
10.1理解AAA组件 145
10.1.1 FWSM中的认证 145
10.1.2 FWSM中的授权 146
10.1.3 FWSM中的审计 146
10.2安全协议的比较 146
10.3理解两步认证 148
10.4理解回退支持 148
10.4.1配置回退认证 149
10.4.2配置本地授权 150
10.5理解FWSM的直通代理 151
10.5.1配置自定义登录提示 153
10.5.2利用MAC地址使流量免于认证和授权 153
10.6总结 153
第11章 模块化策略 155
11.1在FWSM中使用模块化策略 155
11.2理解流量的分类 157
11.3定义策略映射 160
11.4配置服务策略 161
11.5理解默认的策略映射 162
11.6模块化策略在FWSM中的配置示例 162
11.7总结 165
第3部分 高级配置 169
第12章FWSM中的故障切换 169
12.1在FWSM中构建冗余 169
12.1.1理解Active/Standby模式 169
12.1.2理解Active/Active模式 170
12.2理解故障切换链路和状态链路 171
12.3故障切换的需求 172
12.4第一和第二防火墙的配置同步 173
12.5监控端口 173
12.6配置轮询间隔 175
12.7接口监控设计准则 175
12.8配置单context FWSM故障切换 176
12.9配置多context FWSM故障切换 184
12.10总结 189
第13章 理解应用层协议检测 191
13.1检测超文本传输协议 192
13.2检测文件传输协议 194
13.3 FSWM与支持的应用协同工作 196
13.4配置ARP 199
13.4.1检测ARP 199
13.4.2配置ARP参数 200
13.5总结 202
13.6参考文献 203
第14章流量过滤 205
14.1与第三方产品协同过滤URL和FTP流量 205
14.2配置ActiveX和Java 211
14.3总结 212
14.4参考文献 212
第15章 管理和监控FWSM 215
15.1使用Telnet 215
15.2使用SSH 217
15.3使用自适应安全设备管理器 218
15.3.1使用ASDM配置FWSM 218
15.3.2从客户端管理FWSM 219
15.4安全访问 220
15.4.1配置FWSM的VPN终结功能 221
15.4.2配置VPN客户端 223
15.5运行简单网络管理协议 226
15.6探究syslog 226
15.7使用Cisco安全管理器 228
15.8监控、分析和响应系统 230
15.9总结 231
15.10参考文献 231
第16章 多播 233
16.1协议无关多播 234
16.2理解集中点 235
16.3 PIM接口模式 236
16.4 IGMP协议 236
16.5多播stub的配置 237
16.6多播流量穿越防火墙 238
16.6.1 FWSM 1.x和2.x代码版本 238
16.6.2 FWSM 3.x代码版本 238
16.7配置方法 241
16.7.1方法1:配置示例——多播流量透过单context模式下的防火墙 241
16.7.2方法2:配置示例——多播流量经GRE封装透过防火墙 243
16.7.3方法3:配置示例——多播流量透过多context模式下的透明防火墙 246
16.8总结 250
第17章 非对称路由 253
17.1未部署防火墙时的非对称路由 253
17.2防火墙环境中的非对称流量 255
17.3避免非对称流量穿越防火墙 256
17.3.1选项1:让对称流量穿越防火墙 256
17.3.2选项2:防火墙和路由冗余时的流量对称 256
17.4 FWSM对非对称路由的支持 259
17.4.1在Active/Standby模式中支持非对称路由 259
17.4.2在Active/Active模式中支持非对称路由 259
17.5配置FWSM ASR特性 262
17.6总结 266
第18章 防火墙负载均衡 269
18.1防火墙负载均衡的价值 269
18.2防火墙负载均衡的设计需求 270
18.3防火墙负载均衡解决方案 271
18.3.1使用策略路由的防火墙负载均衡 271
18.3.2使用内容交换模块的防火墙负载均衡 273
18.3.3使用应用程序控制引擎的防火墙负载均衡 279
18.4防火墙负载均衡配置示例 282
18.4.1配置OUT2IN策略 283
18.4.2配置防火墙 283
18.4.3配置 OUT2IN策略 287
18.5总结 288
第19章IP版本6 291
19.1理解IPV6数据包头部 292
19.2探究IPV6地址类型 293
19.3 FWSM上的IPV6 294
19.3.1在FWSM上配置IPv6特性 295
19.3.2在FWSM上配置IPV6 299
19.4总结 306
第20章 网络攻击防护 309
20.1网络防护 309
20.2屏蔽(shun)攻击 311
20.3地址欺骗 312
20.4理解连接限制和连接超时 314
20.4.1配置连接限制 314
20.4.2配置连接超时时间 315
20.5总结 317
20.6 参考文献 317
第21章 排除FWSM故障 319
21.1建立故障排除的思路 319
21.2理智地评估故障 319
21.3在FWSM上对数据流做连通性测试 321
21.4故障排除FAQ 323
21.4.1如何认定流量是否被转发到了FWSM上的特定接口 323
21.4.2如何查看FWSM的ACL资源限制 325
21.4.3如何验证防火墙安全域之间的连通性 326
21.4.4何为网络分析模块 326
21.4.5网络管理和监控工具 328
21.4.6如何恢复密码 329
21.5总结 330
第4部分 设计指导和配置案例 335
第22章 设计网络基础设施 335
22.1确定设计中的考虑因素 335
22.2确定部署选项 337
22.3确定部署位置 338
22.3.1防火墙之于企业网 342
22.3.2 FWSM之于数据中心 342
22.3.3支持虚拟化网络 343
22.4总结 358
22.5参考文献 358
第23章 设计构思 361
23.1 FWSM终结第三层VPN(VRF) 362
23.1.1配置PFC 364
23.1.2配置FWSM 366
23.2混合模式下的故障切换 368
23.3单FWSM上不同安全区域之间的通信 374
23.3.1配置PFC 375
23.3.2配置FWSM 377
23.4涉及FWSM的路由动态学习机制 382
23.5 FWSM之于数据中心网络环境 388
23.5.1方法一:运行多context路由模式的FWSM参与第三层VPN隔离 388
23.5.2方法二:运行多context透明模式的FWSM参与第三层VPN隔离 391
23.6 PVLAN和FWSM 393
23.6.1设计FWSM的PVLAN配置 393
23.6.2涉及FWSM的PVLAN设计:场景一 394
23.6.3涉及FWSM的PVLAN设计:场景二 395
23.6.4配置PVLAN 396
23.7总结 401
第5部分FWSM 4.x 405
第24章FWSM 4.x性能和可扩展性的提升 405
24.1借Supervisor提高FWSM性能 405
24.2利用PISA实现超强的流量检测功能 409
24.3改善内存分配 414
24.3.1内存分区 414
24.3.2规则重分配 416
24.3.3优化ACL 419
24.4总结 420
第25章FWSM 4.x路由功能与其他增强特性 423
25.1配置EIGRP 423
25.2配置路由健康注入 426
25.3理解应用支持 430
25.3.1配置正则表达式 431
25.3.2理解应用检测的增强功能 433
25.4对SNMP管理信息库的补充支持 435
25.5其他安全特性 436
25.5.1 DHCP选项82 436
25.5.2 SmartFilter HTTPS支持 437
25.6总结 437
25.7参考文献 438