Cisco ASA、PIX與FWSM防火墻手冊（第二版）

第1章 防火墻概述
1.1 防火墻運行概述
1.1.1 初始校驗
1.1.2 Xlate查詢
1.1.3 連接查詢
1.1.4 ACL查詢
1.1.5 用戶驗證查詢
1.1.6 檢測引擎
1.2 ICMP、UDP和TCP的檢測引擎
1.2.1 ICMP檢測
1.2.2 UDP檢測
1.2.3 TCP檢測
1.2.4 TCP標(biāo)準化
1.2.5 其他防火墻操作
1.3 硬件和性能
1.4 基本安全策略準則
第2章 配置基礎(chǔ)
2.1 用戶界面
2.1.1 用戶界面模式
2.1.2 用戶界面特性
2.2 防火墻特性和許可證
2.3 初始防火墻配置
第3章 建立連接
3.1 配置接口
3.1.1 檢驗防火墻接口
3.1.2 配置接口冗余
3.1.3 基本接口配置
3.1.4 在接口上配置IPv
3.1.5 配置ARP高速緩存
3.1.6 配置接口的MTU和分段
3.1.7 配置接口優(yōu)先隊列
3.1.8 防火墻拓撲結(jié)構(gòu)考慮事項
3.2 配置路由選擇
3.2.1 使用路由選擇信息防止IP地址欺騙
3.2.2 配置靜態(tài)路由
3.2.3 支持基于可達性的靜態(tài)路由
3.2.4 配置RIP以交換路由選擇信息
3.2.5 配置EIGRP以交換路由選擇信息
3.2.6 配置OSPF以交換路由選擇信息
3.3 DHCP服務(wù)器功能
3.3.1 將防火墻作為一個DHCP服務(wù)器
3.3.2 從DHCP服務(wù)器更新動態(tài)DNS
3.3.3 向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP請求
3.4 組播支持
3.4.1 組播概述
3.4.2 組播尋址
3.4.3 轉(zhuǎn)發(fā)組播流量
3.4.4 IGMP：尋找組播組中的接收者
3.4.5 PIM：建立一個組播分發(fā)樹
3.4.6 配置PIM
3.4.7 使用組播邊界劃分域
3.4.8 過濾PIM鄰居
3.4.9 過濾雙向PIM鄰居
3.4.10配置Stub組播路由選擇(SMR，StubMulticastRouting)
3.4.11配置IGMP操作
3.4.12Stub組播路由選擇實例
3.4.13PIM組播路由選擇實例
3.4.14驗證IGMP組播操作
3.4.15驗證PIM組播路由選擇操作
第4章 防火墻管理
4.1 使用SecurityContext構(gòu)建虛擬防火墻
4.1.1 SecurityContext(虛擬防火墻)結(jié)構(gòu)
4.1.2 共享context接口
4.1.3 共享context接口的問題
4.1.4 用唯一MAC地址解決共享context接口問題
4.1.5 配置文件和securitycontext
4.1.6 Multiple-context配置規(guī)則
4.1.7 啟動Multiple-context模式
4.1.8 multiplesecuritycontext之間的切換
4.1.9 配置一個新的context
4.1.10給context分配防火墻資源
4.1.11驗證multiple-context操作
4.2 管理Flash文件系統(tǒng)
4.2.1 引導(dǎo)ASA或FWSMFlash文件系統(tǒng)
4.2.2 管理ASA或FWSMFlash文件系統(tǒng)
4.2.3 使用PIX6.3 Flash文件系統(tǒng)
4.2.4 識別操作系統(tǒng)鏡像
4.2.5 從監(jiān)控提示符中更新鏡像
4.2.6 通過管理會話升級鏡像
4.2.7 自動升級鏡像
4.3 管理配置文件
4.3.1 管理啟動配置
4.3.2 保存運行配置
4.3.3 輸入配置
4.4 用自動更新服務(wù)器進行自動更新
4.4.1 將防火墻配置為自動更新客戶端
4.4.2 驗證自動更新客戶端操作
4.4.3 將防火墻配置為自動更新服務(wù)器
4.5 管理管理會話
4.5.1 控制臺連接
4.5.2 Telnet會話
4.5.3 SSH會話
4.5.4 ASDM/PDM會話
4.5.5 用戶會話標(biāo)志(Banner)
4.5.6 監(jiān)視管理會話
4.6 防火墻重載和崩潰
4.6.1 重載防火墻
4.6.2 獲得崩潰信息
4.7 用SNMP監(jiān)測防火墻
4.7.1 防火墻SNMP支持概述
4.7.2 SNMP配置
第5章 防火墻用戶管理
5.1 一般用戶管理
5.1.1 一般用戶的驗證與授權(quán)
5.1.2 通用用戶統(tǒng)計
5.2 用本地數(shù)據(jù)庫管理用戶
5.2.1 本地用戶名的驗證
5.2.2 授權(quán)用戶訪問防火墻命令
5.2.3 本地用戶行為統(tǒng)計
5.3 定義用于用戶管理的AAA服務(wù)器
5.4 配置AAA以管理管理級用戶
5.4.1 啟用AAA用戶驗證
5.4.2 啟動AAA命令授權(quán)
5.4.3 啟用AAA命令統(tǒng)計
5.5 為終端用戶直通代理配置AAA
5.5.1 驗證通過用戶
5.5.2 使用TACACS+服務(wù)器授權(quán)用戶行為
5.5.3 使用RADIUS服務(wù)器授權(quán)用戶行為
5.5.4 保存用戶行為的統(tǒng)計記錄
5.5.5 AAA直通式代理配置實例
5.6 防火墻密碼恢復(fù)
5.6.1 恢復(fù)ASA密碼
5.6.2 恢復(fù)PIX密碼
5.6.3 恢復(fù)FWSM密碼
第6章 通過防火墻的控制訪問
6.1 路由和透明防火墻模式
6.2 地址轉(zhuǎn)換
6.2.1 定義訪問方向
6.2.2 地址轉(zhuǎn)換類型
6.2.3 通過地址轉(zhuǎn)換處理連接
6.2.4 靜態(tài)NAT
6.2.5 策略NAT
6.2.6 一致性NAT
6.2.7 NAT豁免
6.2.8 動態(tài)地址轉(zhuǎn)換(NAT或PAT)
6.2.9 控制流量
6.3 使用訪問列表控制訪問
6.3.1 編譯訪問列表
6.3.2 配置訪問列表
6.3.3 訪問列表實例
6.3.4 定義對象組
6.3.5 監(jiān)控訪問列表
6.4 規(guī)避流量
第7章 檢測流量
7.1 過濾內(nèi)容
7.1.1 配置內(nèi)容過濾器
7.1.2 內(nèi)容-過濾舉例
7.1.3 利用Web緩存實現(xiàn)更好的HTTP服務(wù)性能
7.2 在模塊化策略結(jié)構(gòu)中定義安全策略
7.2.1 對3和4層流量進行分類
7.2.2 分類管理流量
7.2.3 定義一個第3/4層策略
7.2.4 默認策略定義
7.3 應(yīng)用檢測
第8章 使用故障切換(failover)增強防火墻的可用性
8.1 防火墻故障切換(failover)概述
8.1.1 故障切換工作原理
8.1.2 防火墻故障切換的作用
8.1.3 檢測防火墻故障
8.1.4 故障切換通信
8.1.5 A/A模式故障切換的要求
8.2 配置防火墻故障切換
8.3 防火墻故障切換配置示例
8.3.1 PIX防火墻A/S模式的故障切換實例
8.3.2 FWSM中A/S模式故障切換的配置示例
8.3.3 A/A模式的故障切換實例
8.4 防火墻故障切換管理
8.4.1 顯示故障切換信息
8.4.2 調(diào)試故障切換行為
8.4.3 手工干預(yù)故障切換
8.4.4 在故障切換對等單元上執(zhí)行命令
8.5 在故障切換模式下對防火墻進行升級
8.5.1 手工升級故障切換對
8.5.2 自動升級故障切換對
第9章 防火墻負載均衡
9.1 防火墻負載均衡概述
9.2 基于軟件的防火墻負載均衡
9.2.1 IOSFWLB配置要點
9.2.2 IOSFWLB配置
9.2.3 IOS防火墻負載均衡舉例
9.2.4 顯示關(guān)于IOSFWLB的信息
9.3 基于硬件的防火墻負載均衡
9.3.1 基于硬件的FWLB配置要點
9.3.2 配置CSMFWLB
9.3.3 CSM防火墻負載均衡舉例
9.3.4 顯示CSMFWLB的相關(guān)信息
9.4 防火墻負載均衡設(shè)備
9.4.1 CSSFWLB配置
9.4.2 CSS用于防火墻負載均衡示例
9.4.3 顯示CSSFWLB相關(guān)信息
第10章 防火墻日志
10.1 防火墻時鐘管理
10.1.1 手工設(shè)置時鐘
10.1.2 用NTP設(shè)置時鐘
10.2 產(chǎn)生日志消息
10.2.1 Syslog服務(wù)器的建議
10.2.2 日志配置
10.2.3 驗證消息日志活動
10.2.4 手工測試日志消息的產(chǎn)生
10.3 微調(diào)日志消息的生成
10.3.1 修剪消息
10.3.2 改變消息嚴重級別
10.3.3 訪問列表活動日志
10.4 分析防火墻日志
第11章 驗證防火墻運行
11.1 檢查防火墻的生命特征
11.1.1 使用系統(tǒng)日志信息
11.1.2 檢測系統(tǒng)資源
11.1.3 檢查狀態(tài)檢測資源
11.1.4 檢查防火墻吞吐量
11.1.5 檢查檢測引擎和服務(wù)策略行為
11.1.6 檢查故障切換操作
11.1.7 檢查防火墻接口
11.2 查看通過防火墻的數(shù)據(jù)
11.2.1 使用捕獲
11.2.2 使用調(diào)試數(shù)據(jù)包
11.3 驗證防火墻連通性
11.3.1 步驟1：用ping數(shù)據(jù)包測試
11.3.2 步驟2：檢查ARP緩存
11.3.3 步驟3：檢查路由選擇表
11.3.4 步驟4：使用traceroute驗證轉(zhuǎn)發(fā)路徑
11.3.5 步驟5：檢查訪問列表
11.3.6 步驟6：驗證地址轉(zhuǎn)換和連接表
11.3.7 步驟7：查找活動的阻塞
11.3.8 步驟8：檢查用戶驗證
11.3.9 步驟9：了解所發(fā)生的變化
第12章 ASA模塊
12.1 初始配置ASASSM
12.1.1 為SSM管理流量預(yù)備ASA
12.1.2 連接和配置SSM管理接口
12.2 配置CSCSSM
12.2.1 配置ASA將流量轉(zhuǎn)移到CSCSSM
12.2.2 配置初始CSCSSM設(shè)置
12.2.3 修復(fù)初始CSC配置
12.2.4 連接到CSC管理接口
12.2.5 配置自動更新
12.2.6 配置CSC檢測策略
12.2.7 配置Web(HTTP)檢測策略
12.2.8 配置文件傳輸(FTP)檢測策略
12.2.9 配置郵件(SMTP和POP3)檢測策略
12.3 配置AIPSSM
12.3.1 初始配置AIP
12.3.2 管理AIP
12.3.3 更新AIP許可證
12.3.4 手工更新AIP代碼或特征文件
12.3.5 自動更新AIP鏡像和特征文件
12.3.6 IPS策略
12.3.7 AIP接口
12.3.8 虛擬傳感器
附錄A 通用協(xié)議和端口號
A-1：IP協(xié)議號
A-2：ICMP消息類型
A-3：IP端口號
附錄B 安全設(shè)備日志消息
B-1：警報——系統(tǒng)日志嚴重等級1消息
B-2：重要——系統(tǒng)日志嚴重等級2消息
B-3：錯誤——系統(tǒng)日志嚴重等級3消息
B-4：警告——系統(tǒng)日志嚴重等級4消息
B-5：通知——系統(tǒng)日志嚴重等級5消息
B-6：信息——系統(tǒng)日志嚴重等級6消息
B-7：調(diào)試——系統(tǒng)日志嚴重等級7消息