Cisco ASA、PIX与FWSM防火墙手册(第2版)(Cisco ASA,PIX,and FWSM Firewall Handbook)
点此进入淘宝搜索页搜索分類: 图书,计算机与互联网,家庭与计算机,PC机,PC安全,
品牌: 赫本(David Hucaby)
基本信息·出版社:人民邮电出版社
·页码:627 页
·出版日期:2010年04月
·ISBN:9787115218612
·条形码:9787115218612
·版本:第1版
·装帧:平装
·开本:16
·正文语种:中文
·外文书名:Cisco ASA,PIX,and FWSM Firewall Handbook
产品信息有问题吗?请帮我们更新产品信息。
内容简介在网络威胁泛滥的今天,利用防火墙技术保护网络的安全已经成为一项极为重要的任务。本书主要内容包括防火墙概述和配置基储防火墙管理和用户管理、通过防火墙的控制访问、检测流量、使用故障切换增强防火墙的可用性、防火墙负载均衡、防火墙日志、验证防火墙运行、ASA模块等内容,附录部分还对通用协议和端口号、安全设备日志消息进行了介绍。 本书适合网络管理员、防火墙安全工程师(或顾问)、对防火墙相关技术感兴趣的初学者阅读。
目录
目录 第1章防火墙概述1 1.1防火墙运行概述2 1.1.1初始校验2 1.1.2Xlate查询3 1.1.3连接查询4 1.1.4ACL查询5 1.1.5用户验证查询5 1.1.6检测引擎6 1.2 ICMP、UDP和TCP的检测引擎6 1.2.1ICMP检测6 1.2.2UDP检测9 1.2.3TCP检测10 1.2.4TCP标准化13 1.2.5其他防火墙操作13 1.3硬件和性能14 1.4基本安全策略准则15 第2章配置基�19 2.1用户界面19 2.1.1用户界面模式20 2.1.2用户界面特性20 2.2防火墙特性和许可证24 2.3初始防火墙配置29 第3章建立连接33 3.1配置接口33 3.1.1检验防火墙接口34 3.1.2配置接口冗余35 3.1.3基本接口配置37 3.1.4在接口上配置IPv644 3.1.5配置ARP高速缓存50 3.1.6配置接口的MTU和分段51 3.1.7配置接口优先队列53 3.1.8防火墙拓扑结构考虑事项57 3.2配置路由选择61 3.2.1使用路由选择信息防止IP地址欺骗61 3.2.2配置静态路由63 3.2.3支持基于可达性的静态路由65 3.2.4配置RIP以交换路由选择信息69 3.2.5配置EIGRP以交换路由选择信息71 3.2.6配置OSPF以交换路由选择信息74 3.3DHCP服务器功能85 3.3.1将防火墙作为一个DHCP服务器86 3.3.2从DHCP服务器更新动态DNS88 3.3.3向DHCP服务器转发DHCP请求91 3.4组播支持93 3.4.1组播概述93 3.4.2组播寻址93 3.4.3转发组播流量94 3.4.4IGMP:寻找组播组中的接收者95 3.4.5PIM:建立一个组播分发树96 3.4.6配置PIM101 3.4.7使用组播边界划分域104 3.4.8过滤PIM邻居105 3.4.9过滤双向PIM邻居106 3.4.10配置Stub组播路由选择(SMR,Stub Multicast Routing)106 3.4.11配置IGMP操作108 3.4.12Stub组播路由选择实例110 3.4.13PIM组播路由选择实例111 3.4.14验证IGMP组播操作111 3.4.15验证PIM组播路由选择操作112 第4章防火墙管理117 4.1使用Security Context构建虚拟防火墙117 4.1.1Security Context(虚拟防火墙)结构118 4.1.2共享context接口118 4.1.3共享context接口的问题120 4.1.4用唯一MAC地址解决共享context接口问题123 4.1.5配置文件和security context126 4.1.6Multiple-context配置规则126 4.1.7启动Multiple-context模式127 4.1.8multiple security context之间的切换129 4.1.9配置一个新的context130 4.1.10给context分配防火墙资源138 4.1.11验证multiple-context操作142 4.2管理Flash文件系统143 4.2.1引导ASA或FWSM Flash文件系统144 4.2.2管理ASA或FWSM Flash文件系统145 4.2.3使用PIX 6.3 Flash文件系统148 4.2.4识别操作系统镜像149 4.2.5从监控提示符中更新镜像150 4.2.6通过管理会话升级镜像153 4.2.7自动升级镜像157 4.3管理配置文件157 4.3.1管理启动配置157 4.3.2保存运行配置159 4.3.3输入配置162 4.4用自动更新服务器进行自动更新164 4.4.1将防火墙配置为自动更新客户端164 4.4.2验证自动更新客户端操作168 4.4.3将防火墙配置为自动更新服务器169 4.5管理管理会话172 4.5.1控制台连接173 4.5.2Telnet会话174 4.5.3SSH会话174 4.5.4ASDM/PDM会话177 4.5.5用户会话标志(Banner)180 4.5.6监视管理会话181 4.6防火墙重载和崩溃182 4.6.1重载防火墙182 4.6.2获得崩溃信息184 4.7用SNMP监测防火墙187 4.7.1防火墙SNMP支持概述187 4.7.2SNMP配置190 第5章防火墙用户管理195 5.1一般用户管理196 5.1.1一般用户的验证与授权196 5.1.2通用用户统计197 5.2用本地数据库管理用户198 5.2.1本地用户名的验证198 5.2.2授权用户访问防火墙命令200 5.2.3本地用户行为统计203 5.3定义用于用户管理的AAA服务器204 5.4配置AAA以管理管理级用户209 5.4.1启用AAA用户验证209 5.4.2启动AAA命令授权211 5.4.3启用AAA命令统计213 5.5为终端用户直通代理配置AAA214 5.5.1验证通过用户214 5.5.2使用TACACS+服务器授权用户行为217 5.5.3使用RADIUS服务器授权用户行为219 5.5.4保存用户行为的统计记录222 5.5.5AAA直通式代理配置实例223 5.6防火墙密码恢复224 5.6.1恢复ASA密码224 5.6.2恢复PIX密码227 5.6.3恢复FWSM密码228 第6章通过防火墙的控制访问231 6.1路由和透明防火墙模式231 6.2地址转换239 6.2.1定义访问方向240 6.2.2地址转换类型241 6.2.3通过地址转换处理连接243 6.2.4静态NAT246 6.2.5策略NAT248 6.2.6一致性NAT251 6.2.7NAT豁免252 6.2.8动态地址转换(NAT或PAT)253 6.2.9控制流量258 6.3使用访问列表控制访问261 6.3.1编译访问列表261 6.3.2配置访问列表262 6.3.3访问列表实例268 6.3.4定义对象组269 6.3.5监控访问列表281 6.4规避流量283 第7章检测流量287 7.1过滤内容287 7.1.1配置内容过滤器288 7.1.2内容-过滤举例292 7.1.3利用Web缓存实现更好的HTTP服务性能293 7.2在模块化策略结构中定义安全策略293 7.2.1对3和4层流量进行分类295 7.2.2分类管理流量299 7.2.3定义一个第3/4层策略300 7.2.4默认策略定义310 7.3应用检测312 第8章使用故障切换(failover)增强防火墙的可用性347 8.1防火墙故障切换(failover)概述347 8.1.1故障切换工作原理348 8.1.2防火墙故障切换的作用351 8.1.3检测防火墙故障352 8.1.4故障切换通信353 8.1.5A/A模式故障切换的要求355 8.2配置防火墙故障切换356 8.3 防火墙故障切换配置示例366 8.3.1PIX防火墙A/S模式的故障切换实例366 8.3.2FWSM中A/S模式故障切换的配置示例368 8.3.3A/A模式的故障切换实例369 8.4防火墙故障切换管理374 8.4.1显示故障切换信息374 8.4.2调试故障切换行为379 8.4.3手工干预故障切换381 8.4.4在故障切换对等单元上执行命令382 8.5在故障切换模式下对防火墙进行升级384 8.5.1手工升级故障切换对384 8.5.2自动升级故障切换对387 第9章防火墙负载均衡389 9.1防火墙负载均衡概述389 9.2基于软件的防火墙负载均衡391 9.2.1IOS FWLB配置要点392 9.2.2IOS FWLB配置393 9.2.3IOS防火墙负载均衡举例398 9.2.4显示关于IOS FWLB的信息403 9.3基于硬件的防火墙负载均衡405 9.3.1基于硬件的FWLB配置要点406 9.3.2配置CSM FWLB407 9.3.3CSM防火墙负载均衡举例413 9.3.4显示CSM FWLB的相关信息420 9.4防火墙负载均衡设备422 9.4.1CSS FWLB 配置422 9.4.2CSS用于防火墙负载均衡示例424 9.4.3显示CSS FWLB相关信息427 第10章防火墙日志429 10.1防火墙时钟管理429 10.1.1手工设置时钟430 10.1.2用NTP设置时钟431 10.2产生日志消息433 10.2.1Syslog服务器的建议436 10.2.2日志配置436 10.2.3验证消息日志活动454 10.2.4手工测试日志消息的产生455 10.3微调日志消息的生成456 10.3.1修剪消息456 10.3.2改变消息严重级别456 10.3.3访问列表活动日志457 10.4分析防火墙日志459 第11章验证防火墙运行463 11.1检查防火墙的生命特征463 11.1.1使用系统日志信息464 11.1.2检测系统资源465 11.1.3检查状态检测资源471 11.1.4检查防火墙吞吐量473 11.1.5检查检测引擎和服务策略行为478 11.1.6检查故障切换操作479 11.1.7检查防火墙接口487 11.2查看通过防火墙的数据493 11.2.1 使用捕获494 11.2.2使用调试数据包511 11.3验证防火墙连通性513 11.3.1步骤1:用ping数据包测试516 11.3.2步骤2:检查ARP缓存518 11.3.3步骤3:检查路由选择表519 11.3.4步骤4:使用traceroute验证转发路径520 11.3.5步骤5:检查访问列表524 11.3.6步骤6:验证地址转换和连接表526 11.3.7步骤7:查找活动的阻塞533 11.3.8步骤8:检查用户验证534 11.3.9步骤9:了解所发生的变化536 第12章ASA模块539 12.1初始配置ASA SSM540 12.1.1为SSM管理流量预备ASA540 12.1.2连接和配置SSM管理接口540 12.2配置CSC SSM542 12.2.1配置ASA将流量转移到CSC SSM543 12.2.2配置初始CSC SSM设置545 12.2.3修复初始CSC配置550 12.2.4连接到CSC管理接口551 12.2.5配置自动更新552 12.2.6配置CSC检测策略554 12.2.7配置Web(HTTP)检测策略555 12.2.8配置文件传输(FTP)检测策略562 12.2.9配置邮件(SMTP和POP3)检测策略563 12.3配置AIP SSM573 12.3.1初始配置AIP573 12.3.2管理AIP576 12.3.3更新AIP许可证576 12.3.4手工更新AIP代码或特征文件577 12.3.5自动更新AIP镜像和特征文件578 12.3.6IPS策略579 12.3.7AIP接口582 12.3.8虚拟传感器582 附录A通用协议和端口号587 A-1:IP协议号587 A-2:ICMP消息类型588 A-3:IP端口号589 附录B安全设备日志消息595 B-1:警报——系统日志严重等级1消息596 B-2:重要——系统日志严重等级2消息598 B-3:错误——系统日志严重等级3消息600 B-4:警告——系统日志严重等级4消息607 B-5:通知——系统日志严重等级5消息611 B-6:信息——系统日志严重等级6消息615 B-7:调试——系统日志严重等级7消息621
……[看更多目录]
