第1章 Cisco ASA自适应安全设备概述 1
1.1 “我已经知道了吗?”测试题 1
1.2 基本主题 5
1.3 防火墙概述 5
1.4 防火墙技术 8
1.4.1 无状态包过滤 9
1.4.2 有状态包过滤 9
1.4.3 带有应用检测及控制的有状态包过滤 10
1.4.4 网络入侵防护系统 10
1.4.5 网络行为分析 11
1.4.6 应用层网关(代理) 11
1.5 Cisco ASA设备特性 11
1.6 选择ASA设备型号 14
1.6.1 ASA 5505 14
1.6.2 ASA 5510、5520和5540 15
1.6.3 ASA 5550 16
1.6.4 ASA 5580 16
1.6.5 安全服务模块 17
1.6.6 ASA 5585-X 19
1.6.7 ASA设备性能参数 20
1.7 选择ASA设备许可 23
1.8 ASA内存要求 25
1.9 备考任务 26
1.1 0复习所有考试要点 26
1.1 1 定认关键术语 26
第2章 连接到ASA设备 29
2.1 “我已经知道了吗?”测试题 29
2.2 基本主题 34
2.3 使用CLI 34
2.3.1 命令输入 35
2.3.2 命令帮助 36
2.3.3 命令记录 38
2.3.4 命令输出的查找和过滤 39
2.3.5 终端显示格式 40
2.4 使用Cisco ASDM 40
2.5 出厂默认配置 45
2.6 配置文件 47
2.7 ASA文件系统 51
2.7.1 操作ASA设备flash文件系统 51
2.7.2 操作ASA文件系统内的文件 52
2.8 重启ASA设备 55
2.8.1 下次重启前升级ASA系统 56
2.8.2 执行重启 58
2.8.3 在ROMMON模式中手动升级ASA系统 59
2.9 备考任务 62
2.1 0复习所有考试要点 62
2.1 1定义关键术语 62
2.1 2测试对命令的记忆情况 63
第3章 配置ASA设备接口 67
3.1 “我已经知道了吗?”测试题 67
3.2 基本主题 71
3.3 配置物理接口 72
3.3.1 默认接口配置 73
3.3.2 配置物理接口参数 74
3.3.3 将ASA 5505的接口映射到VLAN 75
3.3.4 配置接口冗余对 76
3.3.5 配置以太通道 79
3.4 配置VLAN接口 85
3.4.1 ASA 5510或更高平台上的VLAN接口和Trunk 85
3.4.2 ASA 5505上的VLAN接口和Trunk链路 87
3.5 配置接口安全参数 88
3.5.1 命名接口 88
3.5.2 分配IP地址 89
3.5.3 设置安全等级 90
3.5.4 接口安全参数配置实例 93
3.6 配置接口MTU 95
3.7 验证接口状态 96
3.8 备考任务 98
3.9 复习所有考试要点 98
3.1 0定义关键术语 99
3.1 1 测试对命令的记忆情况 99
第4章 配置IP连通性 103
4.1 “我已经知道了吗?”测试题 103
4.2 基本主题 106
4.3 配置DHCP服务 106
4.3.1 配置DHCP中继 107
4.3.2 配置DHCP服务器 109
4.4 使用路由信息 111
4.5 配置静态路由 113
4.6 使用RIPv2 120
4.7 使用EIGRP 124
4.8 使用OSPF 130
4.8.1 OSPF情景实例 131
4.9 验证ASA路由表 139
4.1 0备考任务 140
4.1 1 复习所有考试要点 140
4.1 2定义关键术语 141
4.1 3测试对命令的记忆情况 141
第5章 管理Cisco ASA设备 147
5.1 “我已经知道了吗?”测试题 147
5.2 基本主题 150
5.3 基本设备设置 150
5.3.1 配置设备标识 151
5.3.2 配置基本认证 151
5.3.3 验证基本设备设置 153
5.4 配置域名到地址映射 153
5.4.1 配置DNS服务器组 154
5.4.2 验证DNS解析 155
5.5 文件系统管理 156
5.5.1 使用ASDM进行文件系统管理 156
5.5.2 使用VLI进行文件系统管理 157
5.6 管理系统软件及特性激活 161
5.6.1 管理Cisco ASA系统软件及ASDM镜像 161
5.6.2 从本地PV或Cisco.com更新文件 163
5.6.3 从OS版本8.2升级到8.3或更高时的注意事项 165
5.6.4 许可管理 165
5.6.5 统一地更新镜像及激活密钥 167
5.6.6 验证Cisco ASA系统软件及许可 167
5.7 配置管理访问 170
5.7.1 基本流程概述 170
5.7.2 配置远程管理访问 171
5.7.3 配置带外管理接口 172
5.7.4 配置使用Telnet进行远程访问 173
5.7.5 配置使用SSH进行远程访问 175
5.7.6 配置使用HTTPS进行远程访问 177
5.7.7 配置管理访问提示 182
5.8 使用AAA控制管理访问 184
5.8.1 在本地数据库创建用户 185
5.8.2 使用简单的唯一密码认证 187
5.8.3 使用本地数据库配置AAA访问 187
5.8.4 使用远程AAA服务器(组)配置AAA访问 189
5.8.5 为远程认证配置Cisco安全ACS服务器 193
5.8.6 配置AAA命令授权 195
5.8.7 配置本地AAA命令授权 196
5.8.8 配置远程A0命令授权 199
5.8.9 配置远程AAA审计 202
5.8.1 0验证用于管理访问的AAA 204
5.9 使用SNMP进行监控 205
5.1 0远程管理访问的故障排除 209
5.1 1 Cisco ASA密码恢复 212
5.1 1.1执行密码恢复 212
5.1 1.2启用或关闭密码恢复 213
5.1 2备考任务 213
5.1 3复习所有考试要点 213
5.1 4测试对命令的记忆情况 214
第6章 记录ASA设备行为 221
6.1 “我已经知道了吗?”测试题 221
6.2 基本主题 225
6.3 系统时间 226
6.3.1 NTP 227
6.3.2 验证系统时间设置 230
6.4 管理事件及会话日志 230
6.4.1 NetFlow支持 232
6.4.2 日志消息格式 232
6.4.3 消息严重性 233
6.5 配置事件及会话日志 233
6.5.1 配置全局日志属性 234
6.5.2 更改特殊消息设置 236
6.5.3 配置事件过滤 238
6.5.4 配置事件目的端 240
6.6 验证事件及会话日志 248
6.7 事件及会话日志的故障排除 250
6.8 备考任务 251
6.9 复习所有考试要点 251
6.1 0测试对命令的记忆情况 252
第7章 地址转换 255
7.1 “我已经知道了吗?”测试题 256
7.2 基本主题 265
7.3 理解NAT原理 265
7.4 在ASA OS 8.2及之前版本上实施NAT 267
7.4.1 强制NAT 267
7.4.2 地址转换部署选择 268
7.4.3 配置NAT控制 273
7.4.4 配置动态内部NAT 274
7.4.5 配置动态内部PAT 279
7.4.6 配置动态内部策略NAT 284
7.4.7 验证动态内部NAT及PAT 286
7.4.8 配置静态内部NAT 287
7.4.9 配置网络静态内部NAT 290
7.4.1 0配置静态内部PAT 292
7.4.1 1配置静态内部策略NAT 295
7.4.1 2验证静态内部NAT及PAT 298
7.4.1 3配置无转换规则 298
7.4.1 4 NAT规则优先级 304
7.4.1 5 配置外部NAT 304
7.4.1 6其他NAT注意事项 307
7.4.1 7地址转换故障排除 310
7.5 在ASA OS 8.3及后续版本上实施NAT 312
7.5.1 从系统软件版本8.3开始NAT的主要区别 312
7.5.2 配置自动(对象)NAT 316
7.5.3 配置手动NAT 334
7.5.4 避免使用NAT 350
7.5.5 调整NAT 350
7.5.6 NAT的故障排除 351
7.6 备考任务 354
7.7 复习所有考试要点 354
7.8 定义关键术语 355
7.9 测试对命令的记忆情况 355
第8章 穿越ASA设备的访问控制 359
8.1 “我已经知道了吗?”测试题 359
8.2 基本主题 364
8.3 理解访问控制原理 364
8.4 状态表 365
8.4.1 连接状态表 365
8.4.2 TCP连接标识 368
8.4.3 内部和外部、入站和出站 369
8.4.4 本地主机状态表 370
8.4.5 状态表日志 371
8.5 理解接口访问规则 371
8.5.1 有状态过滤 372
8.5.2 接口访问规则和接口安全等级 374
8.5.3 接口访问规则方向 374
8.6 默认访问规则 376
8.7 全局ACL 377
8.8 配置接口访问规则 378
8.8.1 访问规则日志 382
8.8.2 配置全局ACL 386
8.8.3 Cisco ASDM公共服务器向导 389
8.8.4 在VLI中配置访问控制列表 390
8.8.5 实施指南 391
8.9 基于时间的访问规则 391
8.1 0验证接口访问规则 396
8.1 0.1在CiscoASDM中管理规则 398
8.1 0.2在VLI中管理访问规则 401
8.1 1 使用对象组来创建访问规则 402
8.1 2验证对象组 411
8.1 3配置并验证其他基本访问控制 415
8.1 3.1 uRPF 415
8.1 3.2流量规避 416
8.1 4基本访问控制的故障排除 418
8.1 4.1检查系统日志消息 418
8.1 4.2数据包抓取 420
8.1 4.3数据包跟踪器 421
8.1 4.4访问控制故障排除的推荐步骤 423
8.1 5备考任务 424
8.1 6复习所有考试要点 424
8.1 7测试对命令的记忆情况 424
第9章 流量检测 431
9.1 “我已经知道了吗?”测试题 431
9.2 基本主题 436
9.3 理解模块化策略结构 436
9.4 配置MPF 440
9.5 配置OSI 3~4层的检测策略 441
9.5.1 步骤1:定义3~4层的class map 442
9.5.2 步骤2:定义3~4层的policy map 443
9.5.3 步骤3:将policy map应用于正确的接口 446
9.5.4 在ASDM中创建安全策略 447
9.5.5 调整3~4层基本连接限制 451
9.5.6 使用TVP标准化检测TCP参数 455
9.5.7 配置ICMP检测 460
9.6 配置动态协议检测 461
9.7 配置OSI 5~7层的检测策略 470
9.7.1 配置HTTP检测 471
9.7.2 配置FTP检测 490
9.7.3 配置DNS检测 495
9.7.4 配置ESMTP检测 501
9.7.5 配置ASA管理流量策略 507
9.8 检测和过滤僵尸网络流量 511
9.8.1 使用CLI配置僵尸网络流量过滤 512
9.8.2 使用ASDM配置僵尸网络流量过滤 514
9.9 威胁检测 517
9.9.1 使用VLI配置威胁检测 518
9.9.2 在ASDM中配置威胁检测 521
9.1 0备考任务 524
9.1 1 复习所有考试要点 524
9.1 2定义关键术语 524
9.1 3测试对命令的记忆情况 525
第10章 使用代理服务的访问控制 527
10.1 “我已经知道了吗?”测试题 527
10.2 基本主题 529
10.3 基于用户(直通)代理概述 530
10.3.1 用户认证 530
10.3.2 用户认证和访问控制 530
10.3.3 部署实例 530
10.4 ASA运行AAA 531
10.5 基于用户代理的准备步骤及部署指南 532
10.5.1 基于用户代理的准备步骤 532
10.5.2 基于用户代理部署指南 532
10.6 直通HTTP认证 533
10.6.1 HTTP重定向 533
10.6.2 虚拟HTTP 533
10.7 直通Telnet认证 533
10.8 基于用户代理的配置步骤 534
10.9 配置用户认证 534
10.9.1 配置AAA服务器组 534
10.9.2 配置AAA服务器 535
10.9.3 配置认证规则 536
10.9.4 验证用户认证 538
10.9.5 配置HTTP重定向 538
10.9.6 配置虚拟HTTP服务器 539
10.9.7 配置直通Telnet 539
10.1 0配置认证提示和超时 540
10.1 0.1配置认证提示 540
10.1 0.2配置认证超时 541
10.1 1 配置用户授权 542
10.1 1.1基于用户覆盖(override) 542
10.1 1.2配置下载的ACL 543
10.1 1.3配置基于用户覆盖(override) 543
10.1 1.4验证用户授权 543
10.1 2配置用户会话审计 544
10.1 2.1配置用户会话审计 544
10.1 2.2验证用户会话审计 545
10.1 3直通代理的故障排除 545
10.1 3.1结构式的方法 545
10.1 3.2系统日志消息 545
10.1 4为IP电话和统一网真使用代理 546
10.1 5备考任务 546
10.1 6复习所有考试要点 546
10.1 7定义关键术语 547
10.1 8测试对命令的记忆情况 547
第11章 流量处理 551
11.1 “我已经知道了吗?”测试题 551
11.2 基本主题 554
11.3 处理分段流量 554
11.4 流量优先 556
11.5 控制流量带宽 561
11.5.1 配置流量限速 563
11.5.2 配置流量整形 566
11.6 备考任务 570
11.7 复习所有考试要点 570
11.8 定义关键术语 570
11.9 测试对命令的记忆情况 570
第12章 透明防火墙模式 573
12.1 “我已经知道了吗?”测试题 573
12.2 基本主题 576
12.3 防火墙模式概述 576
12.4 配置透明防火墙模式 579
12.5 在透明防火墙模式下的流量控制 582
12.6 ARP检测 585
12.7 禁用MAC地址学习 589
12.8 备考任务 591
12.9 复习所有考试要点 591
12.1 0定义关键术语 592
12.1 1测试对命令的记忆情况 592
第13章 在ASA设备上创建虚拟防火墙 595
13.1 “我已经知道了吗?”测试题 595
13.2 基本主题 597
13.3 Cisco ASA虚拟化概述 598
13.3.1 虚拟防火墙配置的高等级考察 598
13.3.2 系统配置、系统执行空间和其他Security Context 599
13.3.3 数据包分类 599
13.4 虚拟防火墙部署指南 600
13.4.1 部署选择 600
13.4.2 部署指南 600
13.4.3 局限性 601
13.5 配置内容概述 601
13.6 配置Security Context 601
13.6.1 AdminContext 602
13.6.2 配置多模式 602
13.6.3 创建Security Context 602
13.7 验证Security Context 604
13.8 管理Security Context 604
13.8.1 配置数据包分类 604
13.8.2 更改AdminContext 605
13.8.3 编辑和删除Context 605
13.9 配置资源管理 606
13.9.1 默认类 606
13.9.2 创建新的资源类 606
13.1 0验证资源管理 608
13.1 1 Security Context的故障排除 608
13.1 2备考任务 609
13.1 3复习所有考试要点 609
13.1 4定义关键术语 609
13.1 5测试对命令的记忆情况 609
第14章 配置高可用性 613
14.1 “我已经知道了吗?”测试题 613
14.2 基本主题 617
14.3 ASA故障倒换概述 617
14.3.1 故障倒换角色 617
14.3.2 检测ASA设备失效 623
14.4 配置Active-Standby故障倒换模式 625
14.4.1 使用ASDM向导配置Active-Standby故障倒换 625
14.4.2 在ASDM中手动配置Active-Standby故障倒换 629
14.4.3 使用VLI配置Active-Standby故障倒换 630
14.5 配置Active-Active故障倒换模式 633
14.5.1 使用ASDM配置Active-Active故障倒换 634
14.5.2 使用VLI配置Active-Active故障倒换 637
14.6 调整故障倒换 642
14.6.1 配置故障倒换计时器 642
14.6.2 配置故障倒换健康监控 643
14.6.3 检测不对称路由 644
14.6.4 管理故障倒换 645
14.7 验证故障倒换 646
14.8 利用故障倒换实现零宕机时间升级 649
14.9 备考任务 649
14.1 0复习所有考试要点 649
14.1 1 定义关键术语 650
14.1 2测试对命令的记忆情况 650
第15章 整合ASA设备服务模块 653
15.1 “我已经知道了吗?”测试题 653
15.2 基本主题 655
15.3 Cisco ASA安全服务模块概述 655
15.4 安装ASAAIP-SSM和AIP-SSC 658
15.4.1 CiscoAIP-SSM和AIP-SSC以太网连接 659
15.4.2 失效管理模式 659
15.4.3 模块基本管理 659
15.4.4 初始化AIP-SSM和AIP-SSC 660
15.4.5 配置启用AIP-SSM和AIP-SSC 660
15.5 整合ASA CSC-SSM 661
15.5.1 安装CSC-SSM 661
15.5.2 以太网连接 661
15.5.3 模块基本管理 661
15.5.4 初始化Cisco CSC-SSM 662
15.5.5 配置启用CSC-SSM 662
15.6 备考任务 662
15.7 复习所有考试要点 662
15.8 定义关键术语 663
15.9 测试对命令的记忆情况 663
第16章 流量分析工具 665
16.1 “我已经知道了吗?”测试题 665
16.2 基本主题 669
16.3 测试网络连通性 669
16.4 数据包跟踪器 672
16.5 数据包抓取 678
16.5.1 在ASDM中使用数据包抓取向导 678
16.5.2 在VLI中抓取数据包 682
16.5.3 控制抓包会话 685
16.5.4 复制抓取缓存的内容 686
16.5.5 抓取被丢弃的数据包 687
16.5.6 数据包跟踪器和数据包抓取的结合使用 694
16.6 总结 695
16.7 备考任务 695
16.8 复习所有考试要点 695
16.9 测试对命令的记忆情况 696
第17章 最后冲刺 699
17.1 最后冲刺工具 699
17.1.1 CD上的Pearson认证练习测试引擎和测试题 699
17.1.2 Cisco学习网络 700
17.1.3 章节末尾回顾工具 701
17.2 最后复习/学习的建议计划 701
17.3 总结 702
附录A “我已经知道了吗?”测试题答案 705
附录B CCNP安全642-618防火墙考试更新:版本1.0 711
术语表 713