關(guān)于我們
書單推薦
新書推薦
|
Cisco ASA設(shè)備使用指南 第3版
《Cisco ASA設(shè)備使用指南(第3版)》對(duì)包括Cisco ASA系列防火墻在內(nèi)的大量Cisco安全產(chǎn)品的用法進(jìn)行了事無(wú)巨細(xì)的介紹,從設(shè)備不同型號(hào)之間性能與功能的差異,到產(chǎn)品許可證提供的擴(kuò)展性能和特性,從各大安全技術(shù)的理論和實(shí)現(xiàn)方法,再到各類Cisco安全產(chǎn)品提供特性的原理,方方面面不一而足。
《Cisco ASA設(shè)備使用指南(第3版)》總共25章,其內(nèi)容主要有安全技術(shù)介紹、Cisco ASA產(chǎn)品及解決方案概述、許可證、初始設(shè)置、系統(tǒng)維護(hù)、Cisco ASA服務(wù)模塊、AAA、控制網(wǎng)絡(luò)訪問(wèn)的傳統(tǒng)方式、通過(guò)ASA CX實(shí)施下一代防火墻服務(wù)、網(wǎng)絡(luò)地址轉(zhuǎn)換、IPv6支持、IP路由、應(yīng)用監(jiān)控、虛擬化、透明防火墻、高可用性、實(shí)施Cisco ASA入侵防御系統(tǒng)(IPS)、IPS調(diào)試與監(jiān)測(cè)、站點(diǎn)到站點(diǎn)IPSec VPN、IPSec遠(yuǎn)程訪問(wèn)VPN、PKI的配置與排錯(cuò)、無(wú)客戶端遠(yuǎn)程訪問(wèn)SSL VPN、基于客戶端的遠(yuǎn)程訪問(wèn)SSL VPN、組播路由、服務(wù)質(zhì)量等內(nèi)容。除此之外,本書還介紹了如何對(duì)ASA上的配置進(jìn)行驗(yàn)證等。本書介紹的配置案例相當(dāng)豐富,配置過(guò)程相當(dāng)具體,它幾乎涵蓋所有使用了ASA系列產(chǎn)品的環(huán)境。 鑒于《Cisco ASA設(shè)備使用指南(第3版)》所涉范圍之廣,技術(shù)之新,配置之全,均為當(dāng)前少見,因此本書適合所有網(wǎng)絡(luò)安全從業(yè)人士閱讀,正在學(xué)習(xí)安全技術(shù)的人員可以從中補(bǔ)充大量安全知識(shí)完善自己的知識(shí)體系;從業(yè)多年的售后和售前工程師可以從中掌握各類新特性的運(yùn)用方法;安全產(chǎn)品的銷售人員可以從中了解Cisco安全產(chǎn)品的新發(fā)展變化;其他廠商安全產(chǎn)品的開發(fā)人員可以從中借鑒Cisco安全產(chǎn)品的特性和相關(guān)原理;院校培訓(xùn)機(jī)構(gòu)講師可以從中獲取大量操作和實(shí)施案例付諸教學(xué)實(shí)踐。
本書是Cisco Press出版的網(wǎng)絡(luò)技術(shù)系列安全類叢書之一,該安全類叢書旨在幫助網(wǎng)絡(luò)從業(yè)人員保護(hù)關(guān)鍵數(shù)據(jù)和資源,預(yù)防和緩解網(wǎng)絡(luò)攻擊,以及構(gòu)建端到端的自防御網(wǎng)絡(luò)。
本書所涉技術(shù)可以用來(lái)識(shí)別、緩解和響應(yīng)當(dāng)今高度復(fù)雜的網(wǎng)絡(luò)攻擊,包含了如下內(nèi)容: 理解、安裝、配置、授權(quán)、維護(hù)和排錯(cuò)新的ASA設(shè)備; 高效實(shí)施AAA服務(wù); 使用包過(guò)濾、感知上下文的Cisco ASA下一代防火墻服務(wù)和NAT/PAT概念來(lái)控制和部署網(wǎng)絡(luò)接入; 配置IP路由、應(yīng)用監(jiān)控和QoS; 使用獨(dú)特的配置、接口、策略、路由表和管理來(lái)創(chuàng)建防火墻上下文; 借助于Cisco Cloud Web Security和Cisco Security Intelligence Operations(SIO),針對(duì)眾多類型的惡意軟件和高級(jí)持續(xù)性威脅(APT)啟用集成保護(hù); 使用故障倒換實(shí)施高彈性,以及使用集群技術(shù)來(lái)實(shí)施彈性的可擴(kuò)展性; 部署、排錯(cuò)、監(jiān)控、調(diào)整和管理IPS特性; 實(shí)施站點(diǎn)到站點(diǎn)IPSec VPN和各種類型的遠(yuǎn)程接入VPN(IPSec、無(wú)客戶端SSL和客戶端SSL); 配置和排錯(cuò)PKI; 使用IKEv2更為有效地抵抗針對(duì)VPN的攻擊; 充分利用IPv6對(duì)IPS、包監(jiān)控、透明防火墻和站點(diǎn)到站點(diǎn)IPSec VPN的支持。 現(xiàn)如今,網(wǎng)絡(luò)攻擊人員比以往更為老練、無(wú)情和危險(xiǎn)。本書在上一版的基礎(chǔ)上進(jìn)行了全面更新,涵蓋了新的安全技術(shù)(Cisco技術(shù)和非Cisco技術(shù)),可保護(hù)網(wǎng)絡(luò)環(huán)境中端到端的安全。本書講解了使用Cisco ASA創(chuàng)建完整的安全計(jì)劃,以及部署、配置、運(yùn)維和排錯(cuò)安全解決方案的每一個(gè)環(huán)節(jié)。 本書針對(duì)新的ASA型號(hào)進(jìn)行了更新,涵蓋了ASA 5500-X、ASA 5585-X、ASA服務(wù)模塊、ASA下一代防火墻服務(wù)、EtherChannel、全局ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN客戶端等內(nèi)容。本書介紹了ASA設(shè)備授權(quán)的重大變化、ASA IPS增強(qiáng)的功能,以及配置IPSec、SSL VPN和NAT/NPT等內(nèi)容。 你將學(xué)到如何使用Cisco ASA自適應(yīng)識(shí)別和緩解服務(wù)來(lái)系統(tǒng)性地增強(qiáng)各種規(guī)模和類型的網(wǎng)絡(luò)環(huán)境的安全。本書提供了全新的配置案例、成熟的設(shè)計(jì)場(chǎng)景以及真實(shí)的調(diào)試環(huán)節(jié),旨在幫助讀者在迅速發(fā)展的網(wǎng)絡(luò)中充分使用Cisco ASA設(shè)備。
Jazib Frahim,CCIE #5459(RS、安全),Cisco全球安全解決方案團(tuán)隊(duì)的首席工程師,負(fù)責(zé)指導(dǎo)Cisco高級(jí)客戶設(shè)計(jì)和實(shí)施安全網(wǎng)絡(luò)。他設(shè)計(jì)、開發(fā)和發(fā)起了很多新安全服務(wù)理念。他寫作的圖書有Cisco SSL VPN Solutions和Cisco Network Admission Control, Volume II: NAC Deployment and Troubleshooting。
Omar Santos,CISSP #463598,Cisco產(chǎn)品安全事故響應(yīng)小組(PSIRT)的技術(shù)負(fù)責(zé)人,負(fù)責(zé)指導(dǎo)并帶領(lǐng)工程師和事故經(jīng)理來(lái)調(diào)查和解決各類Cisco產(chǎn)品中的安全漏洞,以保護(hù)其客戶。在他18年的IT和網(wǎng)絡(luò)安全從業(yè)生涯中,他曾為多家世界500強(qiáng)企業(yè)以及美國(guó)政府進(jìn)行過(guò)安全網(wǎng)絡(luò)的設(shè)計(jì)、實(shí)施和支持工作。他還寫作了多本圖書以及大量的白皮書和文章。 Andrew Ossipov,CCIE #18483,CISSP #344324,在Cisco擔(dān)任技術(shù)營(yíng)銷工程師,擅長(zhǎng)的領(lǐng)域包括防火墻、入侵防御以及數(shù)據(jù)中心安全。他在網(wǎng)絡(luò)行業(yè)有超過(guò)16年的從業(yè)經(jīng)驗(yàn),其工作內(nèi)容包括解決客戶的復(fù)雜技術(shù)難題,設(shè)計(jì)新的特性與產(chǎn)品,定義Cisco產(chǎn)品未來(lái)的發(fā)展方向。
第1章 安全技術(shù)介紹 1
1.1 防火墻 1 1.1.1 網(wǎng)絡(luò)防火墻 2 1.1.2 非軍事化區(qū)域(DMZ) 5 1.1.3 深度數(shù)據(jù)包監(jiān)控 6 1.1.4 可感知環(huán)境的下一代防火墻 6 1.1.5 個(gè)人防火墻 7 1.2 入侵檢測(cè)系統(tǒng)(IDS)與入侵防御 系統(tǒng)(IPS) 7 1.2.1 模式匹配及狀態(tài)化模式匹配 識(shí)別 8 1.2.2 協(xié)議分析 9 1.2.3 基于啟發(fā)的分析 9 1.2.4 基于異常的分析 9 1.2.5 全球威脅關(guān)聯(lián)功能 10 1.3 虛擬專用網(wǎng)絡(luò) 11 1.3.1 IPSec技術(shù)概述 12 1.3.2 SSL VPN 17 1.4 Cisco AnyConnect Secure Mobility 18 1.5 云和虛擬化安全 19 總結(jié) 20 第2章 Cisco ASA產(chǎn)品及解決方案概述 21 2.1 Cisco ASA各型號(hào)概述 21 2.2 Cisco ASA 5505型 22 2.3 Cisco ASA 5510型 26 2.4 Cisco ASA 5512-X型 27 2.5 Cisco ASA 5515-X型 29 2.6 Cisco ASA 5520型 30 2.7 Cisco ASA 5525-X型 31 2.8 Cisco ASA 5540型 31 2.9 Cisco ASA 5545-X型 32 2.10 Cisco ASA 5550型 32 2.11 Cisco ASA 5555-X型 33 2.12 Cisco ASA 5585系列 34 2.13 Cisco Catalyst 6500系列ASA 服務(wù)模塊 37 2.14 Cisco ASA 1000V云防火墻 37 2.15 Cisco ASA下一代防火墻服務(wù) (前身為Cisco ASA CX) 38 2.16 Cisco ASA AIP-SSM模塊 38 2.16.1 Cisco ASA AIP-SSM-10 38 2.16.2 Cisco ASA AIP-SSM-20 39 2.16.3 Cisco ASA AIP-SSM-40 39 2.17 Cisco ASA吉比特以太網(wǎng)模塊 39 2.17.1 Cisco ASA SSM -4GE 40 2.17.2 Cisco ASA 5580擴(kuò)展卡 40 2.17.3 Cisco ASA 5500-X系列6端口 GE接口卡 41 總結(jié) 41 第3章 許可證 42 3.1 ASA上的許可證授權(quán)特性 42 3.1.1 基本平臺(tái)功能 43 3.1.2 高級(jí)安全特性 45 3.1.3 分層功能特性 46 3.1.4 顯示許可證信息 48 3.2 通過(guò)激活密鑰管理許可證 49 3.2.1 永久激活密鑰和臨時(shí)激活 密鑰 49 3.2.2 使用激活密鑰 51 3.3 故障倒換和集群的組合許可證 52 3.3.1 許可證匯聚規(guī)則 53 3.3.2 匯聚的臨時(shí)許可證倒計(jì)時(shí) 54 3.4 共享的Premium VPN許可證 55 3.4.1 共享服務(wù)器與參與方 55 3.4.2 配置共享許可證 56 總結(jié) 58 第4章 初始設(shè)置 59 4.1 訪問(wèn)Cisco ASA設(shè)備 59 4.1.1 建立Console連接 59 4.1.2 命令行界面 62 4.2 管理許可證 63 4.3 初始設(shè)置 65 4.3.1 通過(guò)CLI進(jìn)行初始設(shè)置 65 4.3.2 ASDM的初始化設(shè)置 67 4.4 配置設(shè)備 73 4.4.1 設(shè)置設(shè)備名和密碼 74 4.4.2 配置接口 75 4.4.3 DHCP服務(wù) 82 4.5 設(shè)置系統(tǒng)時(shí)鐘 83 4.5.1 手動(dòng)調(diào)整系統(tǒng)時(shí)鐘 84 4.5.2 使用網(wǎng)絡(luò)時(shí)間協(xié)議自動(dòng) 調(diào)整時(shí)鐘 85 總結(jié) 86 第5章 系統(tǒng)維護(hù) 87 5.1 配置管理 87 5.1.1 運(yùn)行配置 87 5.1.2 啟動(dòng)配置 90 5.1.3 刪除設(shè)備配置文件 91 5.2 遠(yuǎn)程系統(tǒng)管理 92 5.2.1 Telnet 92 5.2.2 SSH 94 5.3 系統(tǒng)維護(hù) 97 5.3.1 軟件安裝 97 5.3.2 密碼恢復(fù)流程 101 5.3.3 禁用密碼恢復(fù)流程 104 5.4 系統(tǒng)監(jiān)測(cè) 107 5.4.1 系統(tǒng)日志記錄 107 5.4.2 NetFlow安全事件記錄 (NSEL) 116 5.4.3 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (SNMP) 119 5.5 設(shè)備監(jiān)測(cè)及排錯(cuò) 123 5.5.1 監(jiān)測(cè)CPU及內(nèi)存 123 5.5.2 設(shè)備排錯(cuò) 125 總結(jié) 129 第6章 Cisco ASA服務(wù)模塊 130 6.1 Cisco ASA服務(wù)模塊概述 130 6.1.1 硬件架構(gòu) 131 6.1.2 機(jī)框集成 132 6.2 管理主機(jī)機(jī)框 132 6.2.1 分配VLAN接口 133 6.2.2 監(jiān)測(cè)數(shù)據(jù)流量 134 6.3 常用的部署方案 136 6.3.1 內(nèi)部網(wǎng)段防火墻 136 6.3.2 邊緣保護(hù) 137 6.4 讓可靠流量通過(guò)策略路由 繞過(guò)模塊 138 6.4.1 數(shù)據(jù)流 139 6.4.2 PBR配置示例 140 總結(jié) 142 第7章 認(rèn)證、授權(quán)、審計(jì)(AAA) 143 7.1 Cisco ASA支持的協(xié)議 與服務(wù) 143 7.2 定義認(rèn)證服務(wù)器 148 7.3 配置管理會(huì)話的認(rèn)證 152 7.3.1 認(rèn)證Telnet連接 153 7.3.2 認(rèn)證SSH連接 154 7.3.3 認(rèn)證串行Console連接 155 7.3.4 認(rèn)證Cisco ASDM連接 156 7.4 認(rèn)證防火墻會(huì)話 (直通代理特性) 156 7.5 自定義認(rèn)證提示 160 7.6 配置授權(quán) 160 7.6.1 命令授權(quán) 162 7.6.2 配置可下載ACL 162 7.7 配置審計(jì) 163 7.7.1 RADIUS審計(jì) 164 7.7.2 TACACS+審計(jì) 165 7.8 對(duì)去往Cisco ASA的管理 連接進(jìn)行排錯(cuò) 166 7.8.1 對(duì)防火墻會(huì)話(直通代理) 進(jìn)行排錯(cuò) 168 7.8.2 ASDM與CLI AAA測(cè)試 工具 168 總結(jié) 169 第8章 控制網(wǎng)絡(luò)訪問(wèn):傳統(tǒng)方式 170 8.1 數(shù)據(jù)包過(guò)濾 170 8.1.1 ACL的類型 173 8.1.2 ACL特性的比較 174 8.2 配置流量過(guò)濾 174 8.2.1 過(guò)濾穿越設(shè)備的流量 175 8.2.2 過(guò)濾去往設(shè)備的流量 178 8.3 高級(jí)ACL特性 180 8.3.1 對(duì)象分組 180 8.3.2 標(biāo)準(zhǔn)ACL 186 8.3.3 基于時(shí)間的ACL 187 8.3.4 可下載的ACL 190 8.3.5 ICMP過(guò)濾 190 8.4 流量過(guò)濾部署方案 191 8.5 監(jiān)測(cè)網(wǎng)絡(luò)訪問(wèn)控制 195 總結(jié) 198 第9章 通過(guò)ASA CX實(shí)施下一代 防火墻服務(wù) 199 9.1 CX集成概述 199 9.1.1 邏輯架構(gòu) 200 9.1.2 硬件模塊 201 9.1.3 軟件模塊 201 9.1.4 高可用性 202 9.2 ASA CX架構(gòu) 203 9.2.1 數(shù)據(jù)平面 204 9.2.2 事件與報(bào)告 205 9.2.3 用戶身份 205 9.2.4 TLS解密代理 205 9.2.5 HTTP監(jiān)控引擎 205 9.2.6 應(yīng)用監(jiān)控引擎 206 9.2.7 管理平面 206 9.2.8 控制平面 206 9.3 配置CX需要在ASA進(jìn)行的 準(zhǔn)備工作 206 9.4 使用PRSM管理ASA CX 210 9.4.1 使用PRSM 211 9.4.2 配置用戶賬戶 214 9.4.3 CX許可證 216 9.4.4 組件與軟件的更新 217 9.4.5 配置數(shù)據(jù)庫(kù)備份 219 9.5 定義CX策略元素 220 9.5.1 網(wǎng)絡(luò)組 221 9.5.2 身份對(duì)象 222 9.5.3 URL對(duì)象 223 9.5.4 用戶代理對(duì)象 224 9.5.5 應(yīng)用對(duì)象 224 9.5.6 安全移動(dòng)對(duì)象 225 9.5.7 接口角色 226 9.5.8 服務(wù)對(duì)象 226 9.5.9 應(yīng)用服務(wù)對(duì)象 227 9.5.10 源對(duì)象組 228 9.5.11 目的對(duì)象組 228 9.5.12 文件過(guò)濾配置文件 229 9.5.13 Web名譽(yù)配置文件 230 9.5.14 下一代IPS配置文件 230 9.6 啟用用戶身份服務(wù) 231 9.6.1 配置目錄服務(wù)器 232 9.6.2 連接到AD代理或CDA 234 9.6.3 調(diào)試認(rèn)證設(shè)置 234 9.6.4 定義用戶身份發(fā)現(xiàn)策略 235 9.7 啟用TLS解密 237 9.7.1 配置解密設(shè)置 239 9.7.2 定義解密策略 241 9.8 啟用NG IPS 242 9.9 定義可感知上下文的訪問(wèn)策略 243 9.10 配置ASA將流量重定向給 CX模塊 246 9.11 監(jiān)測(cè)ASA CX 248 9.11.1 面板報(bào)告 248 9.11.2 連接與系統(tǒng)事件 249 9.11.3 捕獲數(shù)據(jù)包 250 總結(jié) 253 第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換 254 10.1 地址轉(zhuǎn)換的類型 254 10.1.1 網(wǎng)絡(luò)地址轉(zhuǎn)換 254 10.1.2 端口地址轉(zhuǎn)換 255 10.2 配置地址轉(zhuǎn)換 257 10.2.1 靜態(tài)NAT/PAT 257 10.2.2 動(dòng)態(tài)NAT/PAT 258 10.2.3 策略NAT/PAT 259 10.2.4 Identity NAT 259 10.3 地址轉(zhuǎn)換中的安全保護(hù)機(jī)制 259 10.3.1 隨機(jī)生成序列號(hào) 259 10.3.2 TCP攔截(TCP Intercept) 260 10.4 理解地址轉(zhuǎn)換行為 260 10.4.1 8.3版之前的地址轉(zhuǎn)換行為 261 10.4.2 重新設(shè)計(jì)地址轉(zhuǎn)換 (8.3及后續(xù)版本) 262 10.5 配置地址轉(zhuǎn)換 264 10.5.1 自動(dòng)NAT的配置 264 10.5.2 手動(dòng)NAT的配置 268 10.5.3 集成ACL和NAT 270 10.5.4 配置用例 272 10.6 DNS刮除(DNS Doctoring) 279 10.7 監(jiān)測(cè)地址轉(zhuǎn)換 281 總結(jié) 283 第11章 IPv6支持 284 11.1 IPv6 284 11.1.1 IPv6頭部 284 11.1.2 支持的IPv6地址類型 286 11.2 配置IPv6 286 11.2.1 IP地址分配 287 11.2.2 IPv6 DHCP中繼 288 11.2.3 IPv6可選參數(shù) 288 11.2.4 設(shè)置IPv6 ACL 289 11.2.5 IPv6地址轉(zhuǎn)換 291 總結(jié) 292 第12章 IP路由 293 12.1 配置靜態(tài)路由 293 12.1.1 靜態(tài)路由監(jiān)測(cè) 296 12.1.2 顯示路由表信息 298 12.2 RIP 299 12.2.1 配置RIP 300 12.2.2 RIP認(rèn)證 302 12.2.3 RIP路由過(guò)濾 304 12.2.4 配置RIP重分布 306 12.2.5 RIP排錯(cuò) 306 12.3 OSPF 308 12.3.1 配置OSPF 310 12.3.2 OSPF虛鏈路 314 12.3.3 配置OSPF認(rèn)證 316 12.3.4 配置OSPF重分布 319 12.3.5 末節(jié)區(qū)域與NSSA 320 12.3.6 OSPF類型3 LSA過(guò)濾 321 12.3.7 OSPF neighbor命令及跨越 VPN的動(dòng)態(tài)路由 322 12.3.8 OSPFv3 324 12.3.9 OSPF排錯(cuò) 324 12.4 EIGRP 329 12.4.1 配置EIGRP 330 12.4.2 EIGRP排錯(cuò) 339 總結(jié) 346 第13章 應(yīng)用監(jiān)控 347 13.1 啟用應(yīng)用監(jiān)控 349 13.2 選擇性監(jiān)控 350 13.3 CTIQBE監(jiān)控 353 13.4 DCERPC監(jiān)控 355 13.5 DNS監(jiān)控 355 13.6 ESMTP監(jiān)控 359 13.7 FTP 361 13.8 GPRS隧道協(xié)議 363 13.8.1 GTPv0 364 13.8.2 GTPv1 365 13.8.3 配置GTP監(jiān)控 366 13.9 H.323 367 13.9.1 H.323協(xié)議族 368 13.9.2 H.323版本兼容性 369 13.9.3 啟用H.323監(jiān)控 370 13.9.4 DCS和GKPCS 372 13.9.5 T.38 372 13.10 Cisco統(tǒng)一通信高級(jí)特性 372 13.10.1 電話代理 373 13.10.2 TLS代理 376 13.10.3 移動(dòng)性代理 377 13.10.4 Presence Federation代理 378 13.11 HTTP 378 13.12 ICMP 384 13.13 ILS 385 13.14 即時(shí)消息(IM) 385 13.15 IPSec直通 386 13.16 MGCP 387 13.17 NetBIOS 388 13.18 PPTP 389 13.19 Sun RPC 389 13.20 RSH 390 13.21 RTSP 390 13.22 SIP 390 13.23 Skinny (SCCP) 391 13.24 SNMP 392 13.25 SQL*Net 393 13.26 TFTP 393 13.27 WAAS 393 13.28 XDMCP 394 總結(jié) 394 第14章 虛擬化 395 14.1 架構(gòu)概述 396 14.1.1 系統(tǒng)執(zhí)行空間 396 14.1.2 admin虛擬防火墻 397 14.1.3 用戶虛擬防火墻 398 14.1.4 數(shù)據(jù)包分類 400 14.1.5 多模下的數(shù)據(jù)流 402 14.2 配置安全虛擬防火墻 404 14.2.1 步驟1:在全局啟用多安全 虛擬防火墻 405 14.2.2 步驟2:設(shè)置系統(tǒng)執(zhí)行空間 406 14.2.3 步驟3:分配接口 408 14.2.4 步驟4:指定配置文件URL 409 14.2.5 步驟5:配置admin虛擬 防火墻 410 14.2.6 步驟6:配置用戶虛擬 防火墻 411 14.2.7 步驟7:管理安全虛擬防火墻 (可選) 412 14.2.8 步驟8:資源管理(可選) 412 14.3 部署方案 415 14.3.1 不使用共享接口的虛擬 防火墻 416 14.3.2 使用了一個(gè)共享接口的虛擬 防火墻 426 14.4 安全虛擬防火墻的監(jiān)測(cè)與排錯(cuò) 435 14.4.1 監(jiān)測(cè) 436 14.4.2 排錯(cuò) 437 總結(jié) 439 第15章 透明防火墻 440 15.1 架構(gòu)概述 442 15.1.1 單模透明防火墻 442 15.1.2 多模透明防火墻 444 15.2 透明防火墻的限制 445 15.2.1 透明防火墻與VPN 445 15.2.2 透明防火墻與NAT 446 15.3 配置透明防火墻 447 15.3.1 配置指導(dǎo)方針 448 15.3.2 配置步驟 448 15.4 部署案例 459 15.4.1 部署SMTF 459 15.4.2 用安全虛擬防火墻部署 MMTF 464 15.5 透明防火墻的監(jiān)測(cè)與排錯(cuò) 473 15.5.1 監(jiān)測(cè) 473 15.5.2 排錯(cuò) 475 15.6 主機(jī)間無(wú)法通信 475 15.7 移動(dòng)了的主機(jī)無(wú)法實(shí)現(xiàn)通信 476 15.8 通用日志記錄 477 總結(jié) 477 第16章 高可用性 478 16.1 冗余接口 478 16.1.1 使用冗余接口 479 16.1.2 部署案例 480 16.1.3 配置與監(jiān)測(cè) 480 16.2 靜態(tài)路由追蹤 482 16.2.1 使用SLA監(jiān)測(cè)配置靜態(tài)路由 482 16.2.2 浮動(dòng)連接超時(shí) 483 16.2.3 備用ISP部署案例 484 16.3 故障倒換 486 16.3.1 故障倒換中的設(shè)備角色 與功能 486 16.3.2 狀態(tài)化故障倒換 487 16.3.3 主用/備用和主用/主用故障 倒換 488 16.3.4 故障倒換的硬件和軟件 需求 489 16.3.5 故障倒換接口 491 16.3.6 故障倒換健康監(jiān)測(cè) 495 16.3.7 狀態(tài)與角色的轉(zhuǎn)換 497 16.3.8 配置故障倒換 498 16.3.9 故障倒換的監(jiān)測(cè)與排錯(cuò) 506 16.3.10 主用/備用故障倒換部署 案例 509 16.4 集群 512 16.4.1 集群中的角色與功能 512 16.4.2 集群的硬件和軟件需求 514 16.4.3 控制與數(shù)據(jù)接口 516 16.4.4 集群健康監(jiān)測(cè) 522 16.4.5 網(wǎng)絡(luò)地址轉(zhuǎn)換 523 16.4.6 性能 524 16.4.7 數(shù)據(jù)流 525 16.4.8 狀態(tài)轉(zhuǎn)換 528 16.4.9 配置集群 528 16.4.10 集群的監(jiān)測(cè)與排錯(cuò) 537 16.4.11 Spanned EtherChannel集群 部署方案 540 總結(jié) 549 第17章 實(shí)施Cisco ASA入侵 防御系統(tǒng)(IPS) 550 17.1 IPS集成概述 550 17.1.1 IPS邏輯架構(gòu) 551 17.1.2 IPS硬件模塊 551 17.1.3 IPS軟件模塊 552 17.1.4 在線模式與雜合模式 553 17.1.5 IPS高可用性 555 17.2 Cisco IPS軟件架構(gòu) 555 17.2.1 MainApp 556 17.2.2 SensorApp 558 17.2.3 CollaborationApp 558 17.2.4 EventStore 559 17.3 ASA IPS配置前的準(zhǔn)備工作 559 17.3.1 安裝CIPS鏡像或者重新安裝 一個(gè)現(xiàn)有的ASA IPS 559 17.3.2 從ASA CLI訪問(wèn)CIPS 561 17.3.3 配置基本管理設(shè)置 562 17.3.4 通過(guò)ASDM配置IPS管理 565 17.3.5 安裝CIPS許可證密鑰 565 17.4 在ASA IPS上配置CIPS軟件 566 17.4.1 自定義特征 567 17.4.2 遠(yuǎn)程阻塞 569 17.4.3 異常檢測(cè) 572 17.4.4 全球關(guān)聯(lián) 575 17.5 維護(hù)ASA IPS 576 17.5.1 用戶賬戶管理 576 17.5.2 顯示CIPS軟件和處理信息 578 17.5.3 升級(jí)CIPS軟件和特征 579 17.5.4 配置備份 582 17.5.5 顯示和刪除事件 583 17.6 配置ASA對(duì)IPS流量進(jìn)行 重定向 584 17.7 僵尸流量過(guò)濾(Botnet Traffic Filter) 585 17.7.1 動(dòng)態(tài)和手動(dòng)定義黑名單 數(shù)據(jù) 586 17.7.2 DNS欺騙(DNS Snooping) 587 17.7.3 流量選擇 588 總結(jié) 590 第18章 IPS調(diào)試與監(jiān)測(cè) 591 18.1 IPS調(diào)整的過(guò)程 591 18.2 風(fēng)險(xiǎn)評(píng)估值 592 18.2.1 ASR 593 18.2.2 TVR 593 18.2.3 SFR 593 18.2.4 ARR 593 18.2.5 PD 593 18.2.6 WLR 594 18.3 禁用IPS特征 594 18.4 撤回IPS特征 594 18.5 用來(lái)進(jìn)行監(jiān)測(cè)及調(diào)整的工具 595 18.5.1 ASDM和IME 595 18.5.2 CSM事件管理器 (CSM Event Manager) 596 18.5.3 從事件表中移除誤報(bào)的 IPS事件 596 18.5.4 Splunk 596 18.5.5 RSA安全分析器(RSA Security Analytics) 596 18.6 在Cisco ASA IPS中顯示和 清除統(tǒng)計(jì)信息 596 總結(jié) 600 第19章 站點(diǎn)到站點(diǎn)IPSec VPN 601 19.1 預(yù)配置清單 601 19.2 配置步驟 604 19.2.1 步驟1:?jiǎn)⒂肐SAKMP 605 19.2.2 步驟2:創(chuàng)建ISAKMP 策略 606 19.2.3 步驟3:建立隧道組 607 19.2.4 步驟4:定義IPSec策略 609 19.2.5 步驟5:創(chuàng)建加密映射集 610 19.2.6 步驟6:配置流量過(guò)濾器 (可選) 613 19.2.7 步驟7:繞過(guò)NAT(可選) 614 19.2.8 步驟8:?jiǎn)⒂肞FS(可選) 615 19.2.9 ASDM的配置方法 616 19.3 可選屬性與特性 618 19.3.1 通過(guò)IPSec發(fā)送OSPF更新 619 19.3.2 反向路由注入 620 19.3.3 NAT穿越 621 19.3.4 隧道默認(rèn)網(wǎng)關(guān) 622 19.3.5 管理訪問(wèn) 623 19.3.6 分片策略 623 19.4 部署場(chǎng)景 624 19.4.1 使用NAT-T、RRI和IKEv2 的單站點(diǎn)到站點(diǎn)隧道配置 624 19.4.2 使用安全虛擬防火墻的 星型拓?fù)洹?29 19.5 站點(diǎn)到站點(diǎn)VPN的監(jiān)測(cè)與排錯(cuò) 638 19.5.1 站點(diǎn)到站點(diǎn)VPN的監(jiān)測(cè) 638 19.5.2 站點(diǎn)到站點(diǎn)VPN的排錯(cuò) 641 總結(jié) 645 第20章 IPSec遠(yuǎn)程訪問(wèn)VPN 646 20.1 Cisco IPSec遠(yuǎn)程訪問(wèn)VPN 解決方案 646 20.1.1 IPSec(IKEv1)遠(yuǎn)程訪問(wèn) 配置步驟 648 20.1.2 IPSec(IKEv2)遠(yuǎn)程訪問(wèn) 配置步驟 668 20.1.3 基于硬件的VPN客戶端 671 20.2 高級(jí)Cisco IPSec VPN特性 673 20.2.1 隧道默認(rèn)網(wǎng)關(guān) 673 20.2.2 透明隧道 674 20.2.3 IPSec折返流量 675 20.2.4 VPN負(fù)載分擔(dān) 677 20.2.5 客戶端防火墻 679 20.2.6 基于硬件的Easy VPN 客戶端特性 681 20.3 L2TP over IPSec遠(yuǎn)程訪問(wèn)VPN 解決方案 684 20.3.1 L2TP over IPSec遠(yuǎn)程訪問(wèn) 配置步驟 685 20.3.2 Windows L2TP over IPSec 客戶端配置 688 20.4 部署場(chǎng)景 688 20.5 Cisco遠(yuǎn)程訪問(wèn)VPN的監(jiān)測(cè)與 排錯(cuò) 693 20.5.1 Cisco遠(yuǎn)程訪問(wèn)IPSec VPN 的監(jiān)測(cè) 693 20.5.2 Cisco IPSec VPN客戶端 的排錯(cuò) 696 總結(jié) 698 第21章 PKI的配置與排錯(cuò) 699 21.1 PKI介紹 699 21.1.1 證書 700 21.1.2 證書管理機(jī)構(gòu)(CA) 700 21.1.3 證書撤銷列表 702 21.1.4 簡(jiǎn)單證書注冊(cè)協(xié)議 702 21.2 安裝證書 703 21.2.1 通過(guò)ASDM安裝證書 703 21.2.2 通過(guò)文件安裝實(shí)體證書 704 21.2.3 通過(guò)復(fù)制/粘貼的方式安裝 CA證書 704 21.2.4 通過(guò)SCEP安裝CA證書 705 21.2.5 通過(guò)SCEP安裝實(shí)體證書 708 21.2.6 通過(guò)CLI安裝證書 709 21.3 本地證書管理機(jī)構(gòu) 718 21.3.1 通過(guò)ASDM配置本地CA 719 21.3.2 通過(guò)CLI配置本地CA 720 21.3.3 通過(guò)ASDM注冊(cè)本地CA 用戶 722 21.3.4 通過(guò)CLI注冊(cè)本地CA用戶 724 21.4 使用證書配置IPSec站點(diǎn)到 站點(diǎn)隧道 725 21.5 使用證書配置Cisco ASA接受 遠(yuǎn)程訪問(wèn)IPSec VPN客戶端 728 21.6 PKI排錯(cuò) 729 21.6.1 時(shí)間和日期不匹配 729 21.6.2 SCEP注冊(cè)問(wèn)題 731 21.6.3 CRL檢索問(wèn)題 732 總結(jié) 733 第22章 無(wú)客戶端遠(yuǎn)程訪問(wèn)SSL VPN 734 22.1 SSL VPN設(shè)計(jì)考量 735 22.1.1 用戶連通性 735 22.1.2 ASA特性集 735 22.1.3 基礎(chǔ)設(shè)施規(guī)劃 735 22.1.4 實(shí)施范圍 736 22.2 SSL VPN前提條件 736 22.2.1 SSL VPN授權(quán) 736 22.2.2 客戶端操作系統(tǒng)和瀏覽器的 軟件需求 739 22.2.3 基礎(chǔ)設(shè)施需求 740 22.3 SSL VPN前期配置向?qū)А?40 22.3.1 注冊(cè)數(shù)字證書(推薦) 740 22.3.2 建立隧道和組策略 745 22.3.3 設(shè)置用戶認(rèn)證 749 22.4 無(wú)客戶端SSL VPN配置向?qū)А?52 22.4.1 在接口上啟用無(wú)客戶端 SSL VPN 753 22.4.2 配置SSL VPN自定義門戶 753 22.4.3 配置書簽 766 22.4.4 配置Web類型ACL 770 22.4.5 配置應(yīng)用訪問(wèn) 772 22.4.6 配置客戶端/服務(wù)器插件 776 22.5 Cisco安全桌面 777 22.5.1 CSD組件 778 22.5.2 CSD需求 779 22.5.3 CSD技術(shù)架構(gòu) 780 22.5.4 配置CSD 781 22.6 主機(jī)掃描 786 22.6.1 主機(jī)掃描模塊 786 22.6.2 配置主機(jī)掃描 787 22.7 動(dòng)態(tài)訪問(wèn)策略 791 22.7.1 DAP技術(shù)架構(gòu) 791 22.7.2 DAP事件順序 792 22.7.3 配置DAP 792 22.8 部署場(chǎng)景 801 22.8.1 步驟1:定義無(wú)客戶端連接 802 22.8.2 步驟2:配置DAP 803 22.9 SSL VPN的監(jiān)測(cè)與排錯(cuò) 804 22.9.1 SSL VPN監(jiān)測(cè) 804 22.9.2 SSL VPN排錯(cuò) 806 總結(jié) 808 第23章 基于客戶端的遠(yuǎn)程訪問(wèn) SSL VPN 809 23.1 SSL VPN設(shè)計(jì)考量 809 23.1.1 Cisco AnyConnect Secure Mobility 客戶端的授權(quán) 810 23.1.2 Cisco ASA設(shè)計(jì)考量 810 23.2 SSL VPN前提條件 811 23.2.1 客戶端操作系統(tǒng)和瀏覽器的 軟件需求 811 23.2.2 基礎(chǔ)設(shè)施需求 812 23.3 SSL VPN前期配置向?qū)А?12 23.3.1 注冊(cè)數(shù)字證書(推薦) 813 23.3.2 建立隧道和組策略 813 23.3.3 設(shè)置用戶認(rèn)證 815 23.4 Cisco AnyConnect Secure Mobility 客戶端配置指南 817 23.4.1 加載Cisco AnyConnect Secure Mobility Client VPN 打包文件 817 23.4.2 定義Cisco AnyConnect Secure Mobility Client屬性 818 23.4.3 高級(jí)完全隧道特性 822 23.4.4 AnyConnect客戶端配置 827 23.5 AnyConnect客戶端的部署場(chǎng)景 829 23.5.1 步驟1:配置CSD進(jìn)行 注冊(cè)表檢查 831 23.5.2 步驟2:配置RADIUS進(jìn)行 用戶認(rèn)證 831 23.5.3 步驟3:配置AnyConnect SSL VPN 831 23.5.4 步驟4:?jiǎn)⒂玫刂忿D(zhuǎn)換提供 Internet訪問(wèn) 832 23.6 AnyConnect SSL VPN的監(jiān)測(cè) 與排錯(cuò) 832 總結(jié) 834 第24章 IP組播路由 835 24.1 IGMP 835 24.2 PIM稀疏模式 836 24.3 配置組播路由 836 24.3.1 啟用組播路由 836 24.3.2 啟用PIM 838 24.4 IP組播路由排錯(cuò) 841 24.4.1 常用的show命令 841 24.4.2 常用的debug命令 842 總結(jié) 843 第25章 服務(wù)質(zhì)量 844 25.1 QoS類型 845 25.1.1 流量?jī)?yōu)先級(jí)劃分 845 25.1.2 流量管制 846 25.1.3 流量整形 847 25.2 QoS架構(gòu) 847 25.2.1 數(shù)據(jù)包流的順序 847 25.2.2 數(shù)據(jù)包分類 848 25.2.3 QoS與VPN隧道 852 25.3 配置QoS 852 25.3.1 通過(guò)ASDM配置QoS 853 25.3.2 通過(guò)CLI配置QoS 858 25.4 Qos部署方案 861 25.4.1 ASDM的配置步驟 862 25.4.2 CLI配置步驟 865 25.5 QoS的監(jiān)測(cè) 867 總結(jié) 868
你還可能感興趣
我要評(píng)論
|