Cisco ASA、PIX與FWSM防火墻手冊(cè)（第二版）

第1章 防火墻概述
1.1 防火墻運(yùn)行概述
1.1.1 初始校驗(yàn)
1.1.2 Xlate查詢
1.1.3 連接查詢
1.1.4 ACL查詢
1.1.5 用戶驗(yàn)證查詢
1.1.6 檢測(cè)引擎
1.2 ICMP、UDP和TCP的檢測(cè)引擎
1.2.1 ICMP檢測(cè)
1.2.2 UDP檢測(cè)
1.2.3 TCP檢測(cè)
1.2.4 TCP標(biāo)準(zhǔn)化
1.2.5 其他防火墻操作
1.3 硬件和性能
1.4 基本安全策略準(zhǔn)則
第2章 配置基礎(chǔ)
2.1 用戶界面
2.1.1 用戶界面模式
2.1.2 用戶界面特性
2.2 防火墻特性和許可證
2.3 初始防火墻配置
第3章 建立連接
3.1 配置接口
3.1.1 檢驗(yàn)防火墻接口
3.1.2 配置接口冗余
3.1.3 基本接口配置
3.1.4 在接口上配置IPv
3.1.5 配置ARP高速緩存
3.1.6 配置接口的MTU和分段
3.1.7 配置接口優(yōu)先隊(duì)列
3.1.8 防火墻拓?fù)浣Y(jié)構(gòu)考慮事項(xiàng)
3.2 配置路由選擇
3.2.1 使用路由選擇信息防止IP地址欺騙
3.2.2 配置靜態(tài)路由
3.2.3 支持基于可達(dá)性的靜態(tài)路由
3.2.4 配置RIP以交換路由選擇信息
3.2.5 配置EIGRP以交換路由選擇信息
3.2.6 配置OSPF以交換路由選擇信息
3.3 DHCP服務(wù)器功能
3.3.1 將防火墻作為一個(gè)DHCP服務(wù)器
3.3.2 從DHCP服務(wù)器更新動(dòng)態(tài)DNS
3.3.3 向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP請(qǐng)求
3.4 組播支持
3.4.1 組播概述
3.4.2 組播尋址
3.4.3 轉(zhuǎn)發(fā)組播流量
3.4.4 IGMP：尋找組播組中的接收者
3.4.5 PIM：建立一個(gè)組播分發(fā)樹(shù)
3.4.6 配置PIM
3.4.7 使用組播邊界劃分域
3.4.8 過(guò)濾PIM鄰居
3.4.9 過(guò)濾雙向PIM鄰居
3.4.10配置Stub組播路由選擇(SMR，StubMulticastRouting)
3.4.11配置IGMP操作
3.4.12Stub組播路由選擇實(shí)例
3.4.13PIM組播路由選擇實(shí)例
3.4.14驗(yàn)證IGMP組播操作
3.4.15驗(yàn)證PIM組播路由選擇操作
第4章 防火墻管理
4.1 使用SecurityContext構(gòu)建虛擬防火墻
4.1.1 SecurityContext(虛擬防火墻)結(jié)構(gòu)
4.1.2 共享context接口
4.1.3 共享context接口的問(wèn)題
4.1.4 用唯一MAC地址解決共享context接口問(wèn)題
4.1.5 配置文件和securitycontext
4.1.6 Multiple-context配置規(guī)則
4.1.7 啟動(dòng)Multiple-context模式
4.1.8 multiplesecuritycontext之間的切換
4.1.9 配置一個(gè)新的context
4.1.10給context分配防火墻資源
4.1.11驗(yàn)證multiple-context操作
4.2 管理Flash文件系統(tǒng)
4.2.1 引導(dǎo)ASA或FWSMFlash文件系統(tǒng)
4.2.2 管理ASA或FWSMFlash文件系統(tǒng)
4.2.3 使用PIX6.3 Flash文件系統(tǒng)
4.2.4 識(shí)別操作系統(tǒng)鏡像
4.2.5 從監(jiān)控提示符中更新鏡像
4.2.6 通過(guò)管理會(huì)話升級(jí)鏡像
4.2.7 自動(dòng)升級(jí)鏡像
4.3 管理配置文件
4.3.1 管理啟動(dòng)配置
4.3.2 保存運(yùn)行配置
4.3.3 輸入配置
4.4 用自動(dòng)更新服務(wù)器進(jìn)行自動(dòng)更新
4.4.1 將防火墻配置為自動(dòng)更新客戶端
4.4.2 驗(yàn)證自動(dòng)更新客戶端操作
4.4.3 將防火墻配置為自動(dòng)更新服務(wù)器
4.5 管理管理會(huì)話
4.5.1 控制臺(tái)連接
4.5.2 Telnet會(huì)話
4.5.3 SSH會(huì)話
4.5.4 ASDM/PDM會(huì)話
4.5.5 用戶會(huì)話標(biāo)志(Banner)
4.5.6 監(jiān)視管理會(huì)話
4.6 防火墻重載和崩潰
4.6.1 重載防火墻
4.6.2 獲得崩潰信息
4.7 用SNMP監(jiān)測(cè)防火墻
4.7.1 防火墻SNMP支持概述
4.7.2 SNMP配置
第5章 防火墻用戶管理
5.1 一般用戶管理
5.1.1 一般用戶的驗(yàn)證與授權(quán)
5.1.2 通用用戶統(tǒng)計(jì)
5.2 用本地?cái)?shù)據(jù)庫(kù)管理用戶
5.2.1 本地用戶名的驗(yàn)證
5.2.2 授權(quán)用戶訪問(wèn)防火墻命令
5.2.3 本地用戶行為統(tǒng)計(jì)
5.3 定義用于用戶管理的AAA服務(wù)器
5.4 配置AAA以管理管理級(jí)用戶
5.4.1 啟用AAA用戶驗(yàn)證
5.4.2 啟動(dòng)AAA命令授權(quán)
5.4.3 啟用AAA命令統(tǒng)計(jì)
5.5 為終端用戶直通代理配置AAA
5.5.1 驗(yàn)證通過(guò)用戶
5.5.2 使用TACACS+服務(wù)器授權(quán)用戶行為
5.5.3 使用RADIUS服務(wù)器授權(quán)用戶行為
5.5.4 保存用戶行為的統(tǒng)計(jì)記錄
5.5.5 AAA直通式代理配置實(shí)例
5.6 防火墻密碼恢復(fù)
5.6.1 恢復(fù)ASA密碼
5.6.2 恢復(fù)PIX密碼
5.6.3 恢復(fù)FWSM密碼
第6章 通過(guò)防火墻的控制訪問(wèn)
6.1 路由和透明防火墻模式
6.2 地址轉(zhuǎn)換
6.2.1 定義訪問(wèn)方向
6.2.2 地址轉(zhuǎn)換類型
6.2.3 通過(guò)地址轉(zhuǎn)換處理連接
6.2.4 靜態(tài)NAT
6.2.5 策略NAT
6.2.6 一致性NAT
6.2.7 NAT豁免
6.2.8 動(dòng)態(tài)地址轉(zhuǎn)換(NAT或PAT)
6.2.9 控制流量
6.3 使用訪問(wèn)列表控制訪問(wèn)
6.3.1 編譯訪問(wèn)列表
6.3.2 配置訪問(wèn)列表
6.3.3 訪問(wèn)列表實(shí)例
6.3.4 定義對(duì)象組
6.3.5 監(jiān)控訪問(wèn)列表
6.4 規(guī)避流量
第7章 檢測(cè)流量
7.1 過(guò)濾內(nèi)容
7.1.1 配置內(nèi)容過(guò)濾器
7.1.2 內(nèi)容-過(guò)濾舉例
7.1.3 利用Web緩存實(shí)現(xiàn)更好的HTTP服務(wù)性能
7.2 在模塊化策略結(jié)構(gòu)中定義安全策略
7.2.1 對(duì)3和4層流量進(jìn)行分類
7.2.2 分類管理流量
7.2.3 定義一個(gè)第3/4層策略
7.2.4 默認(rèn)策略定義
7.3 應(yīng)用檢測(cè)
第8章 使用故障切換(failover)增強(qiáng)防火墻的可用性
8.1 防火墻故障切換(failover)概述
8.1.1 故障切換工作原理
8.1.2 防火墻故障切換的作用
8.1.3 檢測(cè)防火墻故障
8.1.4 故障切換通信
8.1.5 A/A模式故障切換的要求
8.2 配置防火墻故障切換
8.3 防火墻故障切換配置示例
8.3.1 PIX防火墻A/S模式的故障切換實(shí)例
8.3.2 FWSM中A/S模式故障切換的配置示例
8.3.3 A/A模式的故障切換實(shí)例
8.4 防火墻故障切換管理
8.4.1 顯示故障切換信息
8.4.2 調(diào)試故障切換行為
8.4.3 手工干預(yù)故障切換
8.4.4 在故障切換對(duì)等單元上執(zhí)行命令
8.5 在故障切換模式下對(duì)防火墻進(jìn)行升級(jí)
8.5.1 手工升級(jí)故障切換對(duì)
8.5.2 自動(dòng)升級(jí)故障切換對(duì)
第9章 防火墻負(fù)載均衡
9.1 防火墻負(fù)載均衡概述
9.2 基于軟件的防火墻負(fù)載均衡
9.2.1 IOSFWLB配置要點(diǎn)
9.2.2 IOSFWLB配置
9.2.3 IOS防火墻負(fù)載均衡舉例
9.2.4 顯示關(guān)于IOSFWLB的信息
9.3 基于硬件的防火墻負(fù)載均衡
9.3.1 基于硬件的FWLB配置要點(diǎn)
9.3.2 配置CSMFWLB
9.3.3 CSM防火墻負(fù)載均衡舉例
9.3.4 顯示CSMFWLB的相關(guān)信息
9.4 防火墻負(fù)載均衡設(shè)備
9.4.1 CSSFWLB配置
9.4.2 CSS用于防火墻負(fù)載均衡示例
9.4.3 顯示CSSFWLB相關(guān)信息
第10章 防火墻日志
10.1 防火墻時(shí)鐘管理
10.1.1 手工設(shè)置時(shí)鐘
10.1.2 用NTP設(shè)置時(shí)鐘
10.2 產(chǎn)生日志消息
10.2.1 Syslog服務(wù)器的建議
10.2.2 日志配置
10.2.3 驗(yàn)證消息日志活動(dòng)
10.2.4 手工測(cè)試日志消息的產(chǎn)生
10.3 微調(diào)日志消息的生成
10.3.1 修剪消息
10.3.2 改變消息嚴(yán)重級(jí)別
10.3.3 訪問(wèn)列表活動(dòng)日志
10.4 分析防火墻日志
第11章 驗(yàn)證防火墻運(yùn)行
11.1 檢查防火墻的生命特征
11.1.1 使用系統(tǒng)日志信息
11.1.2 檢測(cè)系統(tǒng)資源
11.1.3 檢查狀態(tài)檢測(cè)資源
11.1.4 檢查防火墻吞吐量
11.1.5 檢查檢測(cè)引擎和服務(wù)策略行為
11.1.6 檢查故障切換操作
11.1.7 檢查防火墻接口
11.2 查看通過(guò)防火墻的數(shù)據(jù)
11.2.1 使用捕獲
11.2.2 使用調(diào)試數(shù)據(jù)包
11.3 驗(yàn)證防火墻連通性
11.3.1 步驟1：用ping數(shù)據(jù)包測(cè)試
11.3.2 步驟2：檢查ARP緩存
11.3.3 步驟3：檢查路由選擇表
11.3.4 步驟4：使用traceroute驗(yàn)證轉(zhuǎn)發(fā)路徑
11.3.5 步驟5：檢查訪問(wèn)列表
11.3.6 步驟6：驗(yàn)證地址轉(zhuǎn)換和連接表
11.3.7 步驟7：查找活動(dòng)的阻塞
11.3.8 步驟8：檢查用戶驗(yàn)證
11.3.9 步驟9：了解所發(fā)生的變化
第12章 ASA模塊
12.1 初始配置ASASSM
12.1.1 為SSM管理流量預(yù)備ASA
12.1.2 連接和配置SSM管理接口
12.2 配置CSCSSM
12.2.1 配置ASA將流量轉(zhuǎn)移到CSCSSM
12.2.2 配置初始CSCSSM設(shè)置
12.2.3 修復(fù)初始CSC配置
12.2.4 連接到CSC管理接口
12.2.5 配置自動(dòng)更新
12.2.6 配置CSC檢測(cè)策略
12.2.7 配置Web(HTTP)檢測(cè)策略
12.2.8 配置文件傳輸(FTP)檢測(cè)策略
12.2.9 配置郵件(SMTP和POP3)檢測(cè)策略
12.3 配置AIPSSM
12.3.1 初始配置AIP
12.3.2 管理AIP
12.3.3 更新AIP許可證
12.3.4 手工更新AIP代碼或特征文件
12.3.5 自動(dòng)更新AIP鏡像和特征文件
12.3.6 IPS策略
12.3.7 AIP接口
12.3.8 虛擬傳感器
附錄A 通用協(xié)議和端口號(hào)
A-1：IP協(xié)議號(hào)
A-2：ICMP消息類型
A-3：IP端口號(hào)
附錄B 安全設(shè)備日志消息
B-1：警報(bào)——系統(tǒng)日志嚴(yán)重等級(jí)1消息
B-2：重要——系統(tǒng)日志嚴(yán)重等級(jí)2消息
B-3：錯(cuò)誤——系統(tǒng)日志嚴(yán)重等級(jí)3消息
B-4：警告——系統(tǒng)日志嚴(yán)重等級(jí)4消息
B-5：通知——系統(tǒng)日志嚴(yán)重等級(jí)5消息
B-6：信息——系統(tǒng)日志嚴(yán)重等級(jí)6消息
B-7：調(diào)試——系統(tǒng)日志嚴(yán)重等級(jí)7消息