Cisco防火墻

目　錄
第1章　防火墻與網(wǎng)絡(luò)安全　1
1．1　網(wǎng)絡(luò)安全必不可少，但要如何著手呢　2
1．2　防火墻和信任區(qū)域　5
1．3　將防火墻部署到網(wǎng)絡(luò)拓撲環(huán)境中　7
1．3．1　路由模式與透明模式　7
1．3．2　網(wǎng)絡(luò)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換　8
1．4　網(wǎng)絡(luò)防火墻的主要類型　10
1．4．1　數(shù)據(jù)包過濾　10
1．4．2　電路級代理　11
1．4．3　應(yīng)用級代理　12
1．4．4　狀態(tài)化防火墻　13
1．5　狀態(tài)化防火墻的演變　14
1．5．1　應(yīng)用識別(Application Awareness)　14
1．5．2　身份識別技術(shù)　15
1．5．3　通過路由表實施保護策略　16
1．5．4　虛擬化防火墻與網(wǎng)絡(luò)分段　17
1．6　狀態(tài)化防火墻的類型　19
1．6．1　防火墻設(shè)備　19
1．6．2　基于路由器的防火墻　19
1．6．3　基于交換機的防火墻　20
1．7　使用狀態(tài)化防火墻的經(jīng)典網(wǎng)絡(luò)拓撲結(jié)構(gòu)　20
1．8　狀態(tài)化防火墻與網(wǎng)絡(luò)安全設(shè)計　21
1．8．1　狀態(tài)化防火墻和VPN技術(shù)的結(jié)合使用　22
1．8．2　狀態(tài)化防火墻和入侵防御技術(shù)的結(jié)合使用　23
1．8．3　狀態(tài)化防火墻和專用安全設(shè)備的結(jié)合使用　24
1．9　總結(jié)　25
第2章　Cisco防火墻系列概述　27
2．1　ASA設(shè)備的概述　28
2．1．1　ASA設(shè)備的產(chǎn)品定位　28
2．1．2　防火墻的性能參數(shù)　29
2．1．3　ASA硬件型號的概述　32
2．2　防火墻服務(wù)模塊的概述　36
2．3　集成于IOS系統(tǒng)的防火墻的概述　38
2．3．1　集成服務(wù)路由器　38
2．3．2　匯聚服務(wù)路由器　39
2．4　總結(jié)　41
第3章　防火墻配置基礎(chǔ)　42
3．1　通過命令行界面訪問設(shè)備　43
3．2　ASA的基本配置　43
3．2．1　ASA設(shè)備的基本配置方法(非5505平臺)　48
3．2．2　ASA 5505平臺的基本配置方法　51
3．3　FWSM的基本配置　54
3．4　ASA和FWSM的遠程管理　59
3．4．1　Telnet訪問　60
3．4．2　SSH連接訪問　61
3．4．3　使用ASDM實現(xiàn)HTTPS連接　62
3．5　IOS的基本配置　66
3．6　IOS設(shè)備的遠程管理　69
3．6．1　Telnet遠程訪問　69
3．6．2　SSH遠程訪問　70
3．6．3　使用HTTP和HTTPS發(fā)起遠程訪問　71
3．7　通過NTP實現(xiàn)時鐘同步　73
3．8　通過PPPoE客戶端來獲取IP地址　76
3．9　DHCP服務(wù)　81
3．10　總結(jié)　85
3．11　深入閱讀　85
第4章　工欲善其事，必先利其器　86
4．1　訪問控制列表的高級用法　87
4．2　事件日志　89
4．3　調(diào)試(debug)命令　93
4．4　使用Netflow執(zhí)行流量審計和其他功能　95
4．4．1　開啟IOS的流量采集　97
4．4．2　傳統(tǒng)型Netflow　97
4．4．3　Netflow v9與Flexible Netflow　102
4．4．4　在ASA設(shè)備上啟用NSEL　108
4．5　通過ASDM執(zhí)行性能監(jiān)測　111
4．6　圖形化界面與CLI之間的相互關(guān)聯(lián)　112
4．7　ASA的數(shù)據(jù)包追蹤(Packet Tracer)技術(shù)　115
4．8　抓包　119
4．8．1　ASA設(shè)備內(nèi)置的抓包工具　119
4．8．2　IOS設(shè)備內(nèi)置的抓包工具　124
4．9　總結(jié)　126
第5章　網(wǎng)絡(luò)拓撲中的防火墻　128
5．1　IP路由與轉(zhuǎn)發(fā)簡介　129
5．2　靜態(tài)路由概述　130
5．3　路由協(xié)議的基本概念　133
5．4　RIP概述　136
5．5　EIGRP概述　145
5．6　OSPF概述　162
5．7　為路由協(xié)議配置認證　182
5．8　橋接操作　185
5．9　總結(jié)　193
第6章　防火墻世界中的虛擬化　195
6．1　一些初始定義　196
6．2　從數(shù)據(jù)平面說起：VLAN與VRF　197
6．2．1　虛擬LAN　197
6．2．2　VRF　198
6．3　VRF感知型服務(wù)　207
6．4　超越數(shù)據(jù)平面—虛擬防火墻　208
6．5　虛擬防火墻的管理訪問　221
6．6　為虛擬防火墻分配資源　224
6．7　虛擬成分之間的互聯(lián)　227
6．7．1　將VRF與外部路由器互聯(lián)　227
6．7．2　兩個沒有共享接口的虛擬防火墻互聯(lián)　229
6．7．3　共享一個接口的兩個FWSM虛擬防火墻互聯(lián)　230
6．7．4　共享一個接口的兩個ASA虛擬防火墻互聯(lián)　233
6．8　虛擬防火墻那些事　236
6．9　虛擬化的整體架構(gòu)　237
6．9．1　FWSM與ACE模塊的虛擬化　237
6．9．2　分段傳輸　239
6．9．3　虛擬設(shè)備與Nexus 1000V　240
6．10　總結(jié)　241
第7章　在沒有部署NAT的環(huán)境中穿越ASA　242
7．1　穿越ASA防火墻進行訪問的類型　243
7．2　關(guān)于安全級別的其他思考　248
7．2．1　接入Internet的防火墻拓撲　249
7．2．2　外聯(lián)網(wǎng)拓撲　249
7．2．3　隔離內(nèi)部部門　250
7．3　ICMP連接案例　250
7．3．1　出站ping　250
7．3．2　入站ping　252
7．3．3　穿越ASA執(zhí)行Windows Traceroute　253
7．4　UDP連接示例　256
7．5　TCP連接實例　260
7．5．1　與TCP連接相關(guān)的ASA標記　261
7．5．2　TCP序列號隨機生成　263
7．6　相同安全級別之間的訪問　268
7．7　ACL和對象組的處理　270
7．8　總結(jié)　280
第8章　在部署了NAT的環(huán)境中穿越ASA　282
8．1　nat-Control模型　283
8．2　出站NAT分析　285
8．2．1　動態(tài)NAT　286
8．2．2　動態(tài)PAT　288
8．2．3　Identity NAT　291
8．2．4　靜態(tài)NAT　293
8．2．5　策略NAT　294
8．2．6　NAT免除　298
8．2．7　NAT優(yōu)先級規(guī)則　299
8．3　入站訪問的地址發(fā)布　303
8．3．1　通過static命令進行發(fā)布　303
8．3．2　通過端口重定向進行發(fā)布　304
8．3．3　通過NAT免除技術(shù)進行發(fā)布　305
8．4　入站NAT分析　306
8．4．1　入站方向的動態(tài)PAT　306
8．4．2　入站方向的Identity NAT　308
8．4．3　入站方向的NAT免除技術(shù)　309
8．4．4　入站方向的靜態(tài)NAT　309
8．5　雙向NAT(Dual NAT)　310
8．6　禁用TCP序列號隨機生成　312
8．7　通過NAT規(guī)則定義連接限制　314
8．8　總結(jié)　316
第9章　經(jīng)典IOS防火墻概述　317
9．1　CBAC的用途　318
9．2　CBAC基礎(chǔ)　319
9．3　ICMP連接示例　321
9．4　UDP連接示例　325
9．5　TCP連接示例　328
9．6　ACL與對象組的處理　332
9．6．1　在ACL列表中使用對象組　334
9．6．2　CBAC與訪問控制列表　336
9．7　IOS NAT概述　337
9．7．1　靜態(tài)NAT　339
9．7．2　動態(tài)NAT　342
9．7．3　策略NAT　343
9．7．4　雙向NAT　344
9．7．5　NAT與流審計　346
9．8　CBAC與NAT　349
9．9　總結(jié)　353
第10章　IOS區(qū)域策略防火墻概述　354
10．1　ZFW的用途　355
10．2　為基于區(qū)域的防火墻策略創(chuàng)建類　358
10．3　ICMP連接示例　363
10．4　UDP連接示例　366
10．5　TCP連接示例　370
10．6　ZFW與ACL　372
10．7　ZFW與NAT　384
10．8　透明模式下的ZFW　393
10．9　定義連接限制　396
10．10　路由器流量的監(jiān)控　400
10．11　在IOS 15．X中的區(qū)域內(nèi)防火墻策略　403
10．12　總結(jié)　407
第11章　其他防護機制　408
11．1　防欺騙　409
11．1．1　使用ACL的經(jīng)典防欺騙技術(shù)　409
11．1．2　在IOS上使用uRPF的防欺騙機制　410
11．1．3　在ASA上使用uRPF的防欺騙機制　413
11．2　TCF標記過濾　417
11．3　TTL值過濾　422
11．4　處理IP可選項　423
11．4．1　在IOS系統(tǒng)執(zhí)行IP可選項無狀態(tài)過濾　426
11．4．2　在IOS系統(tǒng)中丟棄帶有IP可選項的數(shù)據(jù)包　430
11．4．3　ASA丟棄帶有IP可選項的數(shù)據(jù)包　431
11．5　處理IP分片　432
11．5．1　在IOS中對IP分片進行無狀態(tài)過濾　436
11．5．2　IOS的虛擬分片重組　438
11．5．3　ASA的虛擬分片重組　439
11．6　靈活數(shù)據(jù)包匹配　440
11．7　時間訪問控制列表　445
11．7．1　ASA上的時間訪問控制列表　446
11．7．2　IOS上的時間訪問控制列表　449
11．8　ASA上的連接限制　450
11．9　ASA上的TCP正常化(Normalization)　455
11．10　ASA上的威脅檢測　459
11．11　總結(jié)　463
11．12　深入閱讀　464
第12章　應(yīng)用監(jiān)控　465
12．1　經(jīng)典IOS防火墻的監(jiān)控功能　466
12．2　區(qū)域策略防火墻的應(yīng)用監(jiān)控　470
12．3　區(qū)域策略防火墻的DNS監(jiān)控　472
12．4　區(qū)域策略防火墻的FTP監(jiān)控　473
12．5　區(qū)域策略防火墻的HTTP監(jiān)控　479
12．6　區(qū)域策略防火墻的IM監(jiān)控　486
12．7　ASA應(yīng)用監(jiān)控的概述　489
12．8　ASA的DNS監(jiān)控　493
12．8．1　DNS防護(DNS Guard)　495
12．8．2　DNS刮除(DNS Doctoring)　497
12．8．3　DNS監(jiān)控參數(shù)　500
12．8．4　一些其他的DNS監(jiān)控功能　503
12．9　ASA的FTP監(jiān)控　505
12．10　ASA的HTTP監(jiān)控　516
12．11　ASA的IM及隧道流量監(jiān)控　525
12．12　ASA的僵尸網(wǎng)絡(luò)流量監(jiān)控　528
12．13　總結(jié)　536
12．14　深入閱讀　536
第13章　語音協(xié)議的監(jiān)控　537
13．1　介紹語音術(shù)語　538
13．2　Skinny協(xié)議　540
13．3　H．323框架　550
13．3．1　H．323直接呼叫　553
13．3．2　H．323網(wǎng)守路由的呼叫　557
13．4　會話初始化協(xié)議(SIP)　563
13．5　MGCP協(xié)議　574
13．6　Cisco IP電話和數(shù)字證書　582
13．7　使用ASA TLS代理進行高級語音檢測　585
13．8　使用ASA電話代理進行高級語音檢測　592
13．9　總結(jié)　605
13．10　深入閱讀　605
第14章　Cisco 防火墻上的身份認證　606
14．1　選擇認證協(xié)議　608
14．2　通過直通代理(Cut-Through Proxy)實現(xiàn)ASA用戶級控制　610
14．3　通過認證代理(Auth-Proxy)實現(xiàn)IOS用戶級控制　623
14．3．1　方案1：包含可下載ACE的IOS認證代理　626
14．3．2　方案2：包含可下載ACL的IOS代理　628
14．3．3　方案3：將經(jīng)典IP監(jiān)控(CBAC)與認證代理相結(jié)合　630
14．4　基于用戶的區(qū)域策略防火墻　633
14．4．1　在IOS中建立用戶組成員關(guān)系的認知功能—方法1　634
14．4．2　在IOS中建立用戶組成員關(guān)系的認知功能—方法2　635
14．4．3　將認證代理與ZFW進行集成　638
14．5　IOS上的管理訪問控制　641
14．6　ASA上的管理訪問控制　650
14．7　總結(jié)　654
第15章　防火墻與IP組播　655
15．1　組播編址的回顧　656
15．2　組播路由與轉(zhuǎn)發(fā)概述　657
15．2．1　上游接口與下游接口　658
15．2．2　RPF接口與RPF檢驗　659
15．3　PIM組播路由　662
15．3．1　在Cisco路由器上啟用PIM　663
15．3．2　PIM-DM基礎(chǔ)　664
15．3．3　PIM-SM基礎(chǔ)　665
15．3．4　在PIM-SM拓撲中尋找集合點　674
15．4　將ASA插入組播路由環(huán)境中　681
15．4．1　在ASA上啟用組播路由　682
15．4．2　ASA中的末節(jié)組播路由　686
15．4．3　ASA充當PIM-SM路由器　691
15．5　ASA上的組播轉(zhuǎn)發(fā)規(guī)則匯總　695
15．6　總結(jié)　698
15．7　深入閱讀　698
第16章　Cisco防火墻與IPv6　699
16．1　IPv6入門　700
16．2　IPv6編址概述　701
16．3　IPv6頭部格式　706
16．4　IPv6連接基礎(chǔ)　708
16．5　處理IOS IPv6訪問控制列表　727
16．6　經(jīng)典IOS防火墻對IPv6的支持　735
16．7　區(qū)域策略防火墻對IPv6的支持　741
16．8　ASA IPv6 ACL和對象組的處理　750
16．9　在ASA上實現(xiàn)IPv6的狀態(tài)化監(jiān)控　755
16．10　建立連接限制　758
16．11　IPv6與反欺騙　760
16．11．1　在ASA上通過uRPF實現(xiàn)反欺騙　760
16．11．2　在IOS上通過uRPF實現(xiàn)反欺騙　761
16．12　IPv6與分片　762
16．12．1　ASA上的虛擬分片重組　767
16．12．2　IOS上的虛擬分片重組　768
16．13　總結(jié)　769
16．14　深入閱讀　769
第17章　防火墻的互動　770
17．1　防火墻與入侵防御系統(tǒng)　771
17．2　防火墻與服務(wù)質(zhì)量　776
17．3　防火墻與私有VLAN　777
17．4　防火墻與服務(wù)器負載分擔　779
17．5　防火墻與虛擬設(shè)備　784
17．5．1　用外部防火墻保護虛擬設(shè)備　784
17．5．2　使用虛擬防火墻設(shè)施保護虛擬設(shè)備　786
17．6　防火墻與IPv6隧道機制　789
17．7　防火墻與IPSec VPN　794
17．7．1　使用IOS設(shè)備部署經(jīng)典的IPSec站點到站點VPN　795
17．7．2　使用虛擬隧道接口(VTI)實現(xiàn)IPSec站點到站點VPN　799
17．7．3　使用一條GRE隧道實現(xiàn)IPSec站點到站點VPN　802
17．7．4　IPSec隧道中的NAT　804
17．7．5　在解密后通過ASA過濾數(shù)據(jù)包　806
17．8　防火墻與SSL VPN　808
17．8．1　無客戶端的訪問　809
17．8．2　基于客戶端的訪問(AnyConnect)　815
17．9　防火墻與MPLS網(wǎng)絡(luò)　820
17．10　無邊界網(wǎng)絡(luò)的暢想　823
17．11　總結(jié)　825
17．12　深入閱讀　826
附錄A　ASA 8．3在NAT和ACL方面的變化　827