Cisco ASA设备使用指南_PDF下载[56MB-百度云](美)弗拉海(Frahim.J.)

节选

[

　　这是一本全面介绍Cisco ASA部署方法的图书，它的主要内容有：安全技术简介；ASA系列产品的产品线、如何初始化ASA系统；如何在ASA上配置防火墙技术(包括访问控制列表、IP路由、AAA技术、应用层监控、虚拟防火墙、透明防火墙、故障倒换与冗余以及服务质量)、IPS技术、内容安全技术及VPN技术(包括站点到站点IPSec VPN、IPSec远程访问VPN、PKI以及远程访问SSL VPN)；除此之外，本书还介绍了如何对ASA上的配置进行验证等。本书介绍的配置案例相当丰富，配置过程相当具体，它几乎涵盖所有使用了ASA系列产品的环境。　　本书适合所有准备购买或已经购买ASA系列产品的网络技术人员阅读，也适合需要对各类安全产品进行测评的相关人士阅读。除此之外，本书还适合正在准备参加CCNA安全(640-553)、SNAF(642-524)、SNAA(642-515)、CCIE安全笔试(350-018)以及CCIE安全实验考试的考生阅读。鉴于本书所介绍的内容由易到难，因而它的内容可以满足各类ASA用户的不同需要，也适合正在准备各类Cisco防火墙安全考试的考生进行参考阅读。

]

作者简介

[

作者：(美国)Jazib Frahim　Omar Santos　译者：田果　刘丹宁

]

目　录第1部分　产品概述第1章　安全技术介绍　2 1.1　防火墙　2 1.1.1　网络防火墙　2 1.1.2　状态化监控防火墙　6 1.1.3　深度数据包监控　7 1.1.4　个人防火墙　7 1.2　入侵检测系统(IDS)与入侵防御系统(IPS)　7 1.2.1　模式匹配及状态化模式匹配识别　8 1.2.2　协议分析　9 1.2.3　基于启发的分析　9 1.2.4　基于异常的分析　10 1.3　虚拟专用网络　11 1.3.1　IPSec技术概述　12 1.3.2　SSL VPN　16 1.4　总结　18 第2章　Cisco ASA产品及解决方案概述　19 2.1　Cisco ASA 5505型　20 2.2　Cisco ASA 5510型　23 2.3　Cisco ASA 5520型　26 2.4　Cisco ASA 5540型　27 2.5　Cisco ASA 5550型　28 2.6　Cisco ASA 5580-20与5580-40型　29 2.6.1　Cisco ASA 5580-20　29 2.6.2　Cisco ASA 5580-40　31 2.7　Cisco ASA AIP-SSM模块　32 2.7.1　Cisco ASA AIP-SSM-10　32 2.7.2　Cisco ASA AIP-SSM-20　32 2.7.3　Cisco ASA AIP-SSM-40　33 2.8　Cisco ASA吉比特以太网模块　33 2.8.1　Cisco ASA 4GE-SSM　33 2.8.2　Cisco ASA 5580扩展卡　33 2.9　Cisco ASA CSC-SSM模块　35 2.10　总结　35 第3章　初始设置及系统维护　36 3.1　访问Cisco ASA设备　36 3.1.1　建立Console连接　36 3.1.2　命令行界面　38 3.2　管理许可证　39 3.3　初始设置　42 3.3.1　通过CLI进行初始设置　42 3.3.2　ASDM的初始化设置　43 3.4　配置设备　49 3.4.1　设置设备名和密码　50 3.4.2　配置接口　51 3.4.3　DHCP服务　56 3.5　IPv6　58 3.5.1　IPv6头部　58 3.5.2　配置IPv6　59 3.6　设置系统时钟　62 3.6.1　手动调整系统时钟　63 3.6.2　使用网络时间协议自动调整时钟　64 3.7　配置管理　65 3.7.1　运行配置　66 3.7.2　启动配置　69 3.7.3　删除设备配置文件　69 3.8　远程系统管理　71 3.8.1　Telnet　71 3.8.2　SSH　73 3.9　系统维护　75 3.9.1　软件安装　75 3.9.2　密码恢复流程　80 3.9.3　禁用密码恢复流程　82 3.10　系统监测　85 3.10.1　系统日志记录　85 3.10.2　NetFlow安全事件记录(NSEL)　94 3.10.3　简单网络管理协议(SNMP)　97 3.11　设备监测及排错　101 3.11.1　监测CPU及内存　101 3.11.2　设备排错　102 3.12　总结　106 第2部分　防火墙技术第4章　控制网络访问　110 4.1　包过滤　110 4.1.1　ACL的类型　112 4.1.2　ACL特性的比较　113 4.2　配置流量过滤　114 4.2.1　通过CLI过滤穿越设备的流量　114 4.2.2　通过ASDM过滤穿越设备的流量　118 4.2.3　过滤去往设备的流量　120 4.2.4　建立IPv6 ACL(可选)　122 4.3　高级ACL特性　123 4.3.1　对象分组　123 4.3.2　标准ACL　129 4.3.3　基于时间的ACL　130 4.3.4　可下载的ACL　132 4.3.5　ICMP过滤　133 4.4　内容过滤与URL过滤　134 4.4.1　内容过滤　134 4.4.2　URL过滤　137 4.5　流量过滤部署方案　143 4.5.1　使用ACL过滤入站流量　143 4.5.2　使用Websense来启用内容过滤　147 4.6　监测网络访问控制　149 4.6.1　监测ACL　149 4.6.2　监测内容过滤　153 4.7　理解地址转换　154 4.7.1　网络地址转换　154 4.7.2　端口地址转换　156 4.7.3　地址转换及接口安全级别　156 4.7.4　数据包流量顺序　158 4.7.5　地址转换功能提供的安全保护机制　158 4.7.6　配置地址转换　160 4.7.7　绕过地址转换　169 4.7.8　NAT的操作顺序　172 4.7.9　集成ACL和NAT　172 4.8　DNS刮除(DNS Doctoring)　174 4.9　监测地址转换　177 4.10　总结　178 第5章　IP路由　179 5.1　配置静态路由　179 5.1.1　静态路由监测　182 5.1.2　显示路由表信息　184 5.2　RIP　185 5.2.1　配置RIP　186 5.2.2　RIP认证　188 5.2.3　RIP路由过滤　190 5.2.4　配置RIP重分布　192 5.2.5　RIP排错　193 5.3　OSPF　194 5.3.1　配置OSPF　196 5.3.2　OSPF排错　210 5.4　EIGRP　215 5.4.1　配置EIGRP　216 5.4.2　EIGRP排错　223 5.5　IP多播　231 5.5.1　IGMP末节模式　231 5.5.2　PIM稀疏模式　231 5.5.3　配置多播路由　232 5.5.4　IP多播路由排错　236 5.6　总结　237 第6章　认证、授权和审计(AAA)　238 6.1　Cisco ASA支持的协议与服务　238 6.1.1　RADIUS　240 6.1.2　TACACS+　241 6.1.3　RSA SecurID　242 6.1.4　Microsoft Windows NT　242 6.1.5　活动目录和Kerberos　243 6.1.6　轻量目录访问协议　243 6.1.7　HTTP Form协议　243 6.2　定义认证服务器　243 6.2.1　配置管理会话的认证　248 6.2.2　认证Telnet连接　248 6.2.3　认证SSH连接　250 6.2.4　认证串行Console连接　250 6.2.5　认证Cisco ASDM连接　251 6.3　认证防火墙会话(直通代理特性)　252 6.3.1　认证超时　255 6.3.2　自定义认证提示　255 6.4　配置授权　256 6.4.1　命令授权　257 6.4.2　配置可下载ACL　258 6.5　配置审计　259 6.5.1　RADIUS审计　259 6.5.2　TACACS+审计　260 6.5.3　对去往Cisco ASA的管理连接进行排错　261 6.5.4　对防火墙会话(直通代理)进行排错　263 6.6　总结　264 第7章　应用监控　265 7.1　启用应用监控　266 7.2　选择性监控　268 7.3　CTIQBE监控　270 7.4　DCERPC　272 7.5　DNS　272 7.6　ESMTP　276 7.7　FTP　278 7.8　GPRS隧道协议　280 7.8.1　GTPv0　280 7.8.2　GTPv1　281 7.8.3　配置GTP监控　282 7.9　H.323　284 7.9.1　H.323协议族　285 7.9.2　H.323版本兼容性　286 7.9.3　启用H.323监控　286 7.9.4　DCS和GKPCS　289 7.9.5　T.38　289 7.10　统一通信高级特性　289 7.10.1　电话代理　289 7.10.2　TLS代理　293 7.10.3　移动性代理　294 7.10.4　Presence Federation代理　294 7.11　HTTP　294 7.12　ICMP　301 7.13　ILS　301 7.14　即时消息(IM)　301 7.15　IPSec直通　303 7.16　MGCP　304 7.17　NetBIOS　305 7.18　PPTP　305 7.19　Sun RPC　306 7.20　RSH　306 7.21　RTSP　306 7.22　SIP　307 7.23　Skinny(SCCP)　308 7.24　SNMP　309 7.25　SQL*Net　310 7.26　TFTP　310 7.27　WAAS　310 7.28　XDMCP　310 7.29　总结　310 第8章　虚拟防火墙　311 8.1　架构概述　312 8.1.1　系统执行空间　312 8.1.2　Admin虚拟防火墙　313 8.1.3　用户虚拟防火墙　314 8.1.4　数据包分类　315 8.1.5　多模下的数据流　317 8.2　配置安全虚拟防火墙　320 8.2.1　步骤1：在全局启用多安全虚拟防火墙　320 8.2.2　步骤2：设置系统执行空间　322 8.2.3　步骤3：分配接口　324 8.2.4　步骤4：指定配置文件URL　325 8.2.5　步骤5：配置Admin虚拟防火墙　326 8.2.6　步骤6：配置用户虚拟防火墙　328 8.2.7　步骤7：管理安全虚拟防火墙(可选)　328 8.2.8　步骤8：资源管理(可选)　329 8.3　部署方案　332 8.3.1　不使用共享接口的虚拟防火墙　332 8.3.2　使用了一个共享接口的虚拟防火墙　341 8.4　安全虚拟防火墙的监测与排错　350 8.4.1　监测　350 8.4.2　排错　351 8.5　总结　353 第9章　透明防火墙　354 9.1　架构概述　356 9.1.1　单模透明防火墙　356 9.1.2　多模透明防火墙　358 9.2　透明防火墙的限制　359 9.2.1　透明防火墙与VPN　359 9.2.2　透明防火墙与NAT　360 9.3　配置透明防火墙　361 9.3.1　配置指导方针　361 9.3.2　配置步骤　362 9.4　部署案例　372 9.4.1　部署SMTF　372 9.4.2　用安全虚拟防火墙部署MMTF　377 9.5　透明防火墙的监测与排错　386 9.5.1　监测　386 9.5.2　排错　387 9.6　总结　390 第10章　故障倒换与冗余　391 10.1　架构概述　391 10.1.1　触发故障倒换的条件　392 10.1.2　故障倒换接口测试　393 10.1.3　状态化故障倒换　393 10.1.4　软硬件需求　394 10.1.5　故障倒换的类型　395 10.2　故障倒换配置　400 10.2.1　设备级冗余的配置　400 10.2.2　ASDM故障倒换配置向导　412 10.2.3　接口级冗余配置　413 10.2.4　可选的故障倒换命令　414 10.2.5　零停机软件更新(Zero-down-time software upgrades)　418 10.3　部署案例　420 10.3.1　单模的主用/备用故障倒换模式　420 10.3.2　多虚拟防火墙的主用/主用故障倒换模式　424 10.4　故障倒换的监测与排错　427 10.4.1　监测　427 10.4.2　排错　430 10.5　总结　432 第11章　服务质量　433 11.1　QoS类型　434 11.1.1　流量优先级划分　434 11.1.2　流量管制　435 11.1.3　流量整形　435 11.2　QoS架构　436 11.2.1　数据包流的顺序　436 11.2.2　数据包分类　437 11.2.3　QoS与VPN隧道　440 11.3　配置服务质量　441 11.3.1　通过ASDM配置QoS　441 11.3.2　通过CLI配置QoS　447 11.4　QoS部署方案　450 11.4.1　为VoIP流量部署QoS　450 11.4.2　为远程访问VPN隧道部署QoS　455 11.5　QoS的监测　458 11.6　总结　460 第3部分　入侵防御系统(IPS)解决方案第12章　IPS配置与排错　464 12.1　AIP-SSM和AIP-SSC概述　464 12.2　管理AIP-SSM和AIP-SSC　464 12.3　Cisco IPS软件架构　466 12.3.1　MainApp　467 12.3.2　SensorApp　468 12.3.3　攻击响应控制器　469 12.3.4　AuthenticationApp　469 12.3.5　cipsWebserver　469 12.3.6　Logger　470 12.3.7　EventStore　470 12.3.8　CtlTransSource　470 12.4　配置AIP-SSM　470 12.4.1　CIPS CLI简介　470 12.4.2　用户管理　476 12.5　维护AIP-SSM　478 12.5.1　添加可信主机　479 12.5.2　SSH已知主机列表　479 12.5.3　升级CIPS软件和特征　480 12.5.4　显示软件版本和配置信息　484 12.5.5　配置备份　487 12.5.6　显示和删除事件　488 12.6　高级特性及配置　490 12.6.1　自定义特征　490 12.6.2　IP记录　494 12.6.3　配置阻塞(shun)　496 12.6.4　集成Cisco安全代理　498 12.6.5　异常检测　501 12.7　Cisco ASA僵尸网络检测　503 12.7.1　动态数据库和管理员黑名单数据　503 12.7.2　DNS侦听(DNS Snooping)　505 12.7.3　流量分类　506 12.8　总结　507 第13章　IPS调试与监测　508 13.1　IPS调整　508 13.1.1　禁用IPS特征　509 13.1.2　撤回IPS特征　510 13.2　使用CS-MARS监测并调整AIP-SSM　510 13.2.1　在CS-MARS中添加AIP-SSM　511 13.2.2　使用CS-MARS调整AIP-SSM　511 13.3　显示和清除统计信息　512 13.4　总结　515 第4部分　内容安全第14章　Cisco内容安全和控制安全服务模块　518 14.1　CSC SSM初始化配置　518 14.2　配置CSC SSM基于网页的特性　522 14.2.1　URL阻塞和过滤　522 14.2.2　文件阻塞　524 14.2.3　HTTP扫描　525 14.3　配置CSC SSM基于邮件的特性　527 14.3.1　SMTP扫描　527 14.3.2　SMTP反垃圾邮件　529 14.3.3　SMTP内容过滤　532 14.3.4　POP3支持　533 14.4　配置CSC SSM文件过滤协议(FTP)　533 14.4.1　配置FTP扫描　533 14.4.2　FTP文件阻塞　535 14.5　总结　536 第15章　Cisco内容安全和控制安全服务模块的监测与排错　537 15.1　CSC SSM的监测　537 15.1.1　详细的实时事件监测　538 15.1.2　配置系统日志　538 15.2　CSC SSM的排错　540 15.2.1　重新安装CSC SSM　540 15.2.2　密码恢复　542 15.2.3　配置备份　543 15.2.4　升级CSC SSM软件　544 15.2.5　CLI排错工具　545 15.3　总结　552 第5部分　虚拟专用网(VPN)解决方案第16章　站点到站点IPSec VPN　556 16.1　预配置一览表　556 16.2　配置步骤　558 16.2.1　步骤1：启用ISAKMP　558 16.2.2　步骤2：创建ISAKMP策略　559 16.2.3　步骤3：建立隧道组　560 16.2.4　步骤4：定义IPSec策略　561 16.2.5　步骤5：创建加密映射集　563 16.2.6　步骤6：配置流量过滤器(可选)　566 16.2.7　步骤7：绕过NAT(可选)　567 16.2.8　ASDM配置方法　568 16.3　高级特性　570 16.3.1　IPSec上的OSPF更新　570 16.3.2　反向路由注入　571 16.3.3　NAT穿越　572 16.3.4　隧道默认网关　573 16.3.5　管理访问　574 16.3.6　完美向前保密　574 16.4　修改默认参数　575 16.4.1　安全关联的生命时间　575 16.4.2　阶段1的模式　576 16.4.3　连接类型　577 16.4.4　ISAKMP存活机制　578 16.4.5　IPSec和数据包分片　579 16.5　部署场景　580 16.5.1　使用NAT-T的单站点到站点隧道配置　580 16.5.2　使用RRI的全互连拓扑　585 16.6　站点到站点VPN的监测与排错　596 16.6.1　站点到站点VPN的监测　596 16.6.2　站点到站点VPN的排错　599 16.7　总结　603 第17章　IPSec远程访问VPN　604 17.1　Cisco IPSec远程访问VPN解决方案　604 17.1.1　IPSec远程访问配置步骤　605 17.1.2　步骤1：启用ISAKMP　606 17.1.3　步骤2：创建ISAKMP策略　607 17.1.4　步骤3：建立隧道和组策略　608 17.1.5　步骤4：定义IPSec策略　611 17.1.6　步骤5：配置用户认证　611 17.1.7　步骤6：分配IP地址　614 17.1.8　步骤7：创建加密映射集　616 17.1.9　步骤8：配置流量过滤器(可选)　617 17.1.10　步骤9：绕过NAT(可选)　617 17.1.11　步骤10：建立分离隧道(可选)　617 17.1.12　步骤11：指定DNS和WINS(可选)　619 17.1.13　ASDM的另一种配置方法　620 17.1.14　Cisco VPN客户端配置　621 17.2　高级Cisco IPSec VPN特性　624 17.2.1　隧道默认网关　625 17.2.2　透明隧道　625 17.2.3　VPN负载分担　628 17.2.4　客户端防火墙　631 17.2.5　基于硬件的Easy VPN客户端特性　633 17.3　L2TP over IPSec远程访问VPN解决方案　635 17.3.1　L2TP over IPSec远程访问配置步骤　637 17.3.2　Windows L2TP over IPSec客户端配置　639 17.4　部署场景　640 17.4.1　Cisco IPSec客户端和站点到站点集成的负载分担　640 17.4.2　L2TP over IPSec和流量发卡　645 17.4.3　Cisco远程访问VPN的监测与排错　649 17.5　总结　654 第18章　公钥基础(PKI)　655 18.1　PKI介绍　655 18.1.1　证书　656 18.1.2　证书管理机构(CA)　656 18.1.3　证书撤销列表　657 18.1.4　简单证书注册协议　658 18.2　安装证书　658 18.2.1　通过ASDM安装证书　658 18.2.2　通过CLI安装证书　665 18.3　本地证书管理机构　674 18.3.1　通过ASDM配置本地CA　675 18.3.2　通过CLI配置本地CA　676 18.3.3　通过ASDM注册本地CA用户　678 18.3.4　通过CLI注册本地CA用户　680 18.4　使用证书配置IPSec站点到站点隧道　681 18.5　配置Cisco ASA使用证书接受远程访问IPSec VPN客户端　685 18.5.1　注册Cisco VPN客户端　685 18.5.2　配置Cisco ASA　687 18.6　PKI排错　689 18.6.1　时间和日期不匹配　689 18.6.2　SCEP注册问题　692 18.6.3　CRL检索问题　693 18.7　总结　693 第19章　无客户端远程访问SSL VPN　694 19.1　设计SSL VPN需要考虑的因素　695 19.1.1　用户连通性　695 19.1.2　ASA特性集　695 19.1.3　基础设施规划　695 19.1.4　实施范围　695 19.2　SSL VPN前提条件　696 19.2.1　SSL VPN授权　696 19.2.2　客户端操作系统和浏览器的软件需求　698 19.2.3　基础设施需求　699 19.3　SSL VPN前期配置向导　699 19.3.1　注册数字证书(推荐)　700 19.3.2　建立隧道和组策略　704 19.3.3　设置用户认证　708 19.4　无客户端SSL VPN配置向导　711 19.4.1　在接口上启用无客户端SSL VPN　712 19.4.2　配置SSL VPN自定义门户　712 19.4.3　配置标签　723 19.4.4　配置Web类型ACL　729 19.4.5　配置应用访问　731 19.4.6　配置客户端/服务器插件　734 19.5　Cisco安全桌面　735 19.5.1　CSD组件　736 19.5.2　CSD需求　737 19.5.3　CSD技术架构　738 19.6　配置CSD　739 19.7　主机扫描　749 19.7.1　主机扫描模块　749 19.7.2　配置主机扫描　750 19.8　动态访问策略　753 19.8.1　DAP技术架构　753 19.8.2　DAP事件顺序　754 19.8.3　配置DAP　754 19.9　部署场景　763 19.9.1　步骤1：定义无客户端连接　764 19.9.2　步骤2：配置DAP　765 19.10　SSL VPN的监测与排错　766 19.10.1　SSL VPN监测　766 19.10.2　SSL VPN排错　768 19.11　总结　770 第20章　基于客户端的远程访问SSL VPN　771 20.1　SSL VPN设计考量　771 20.1.1　AnyConnect授权　771 20.1.2　Cisco ASA设计考量　773 20.2　SSL VPN前提条件　774 20.2.1　客户端操作系统和浏览器的软件需求　775 20.2.2　基础设施需求　775 20.3　SSL VPN前期配置向导　776 20.3.1　注册数字证书(推荐)　776 20.3.2　建立隧道和组策略　776 20.3.3　设置用户认证　779 20.4　AnyConnect SSL VPN客户端配置向导　780 20.4.1　加载AnyConnect程序包　781 20.4.2　定义AnyConnect SSL VPN客户端属性　782 20.4.3　高级完全隧道特性　786 20.4.4　AnyConnect客户端配置　790 20.5　AnyConnect客户端的部署场景　793 20.5.1　步骤1：配置CSD进行注册表检查　794 20.5.2　步骤2：配置RADIUS进行用户认证　795 20.5.3　步骤3：配置AnyConnect SSL VPN　795 20.5.4　步骤4：启用地址转换提供Internet访问　796 20.6　AnyConnect SSL VPN的监测与排错　796 20.6.1　SSL VPN监测　796 20.6.2　SSL VPN排错　796 20.7　总结　799