《CiscoASA,PIX與FWSM防火牆手冊》是2010年人民郵電出版社出版的圖書。
基本介紹
- 書名:isco ASA,PIX與FWSM防火牆手冊
- 又名:Cisco ASA,PIX,and FWSM Firewall Handbook
- ISBN:9787115218612
- 頁數:627
- 出版社:人民郵電出版社
- 出版時間:2010年4月1日
- 裝幀:平裝
- 開本:16
內容簡介,編輯推薦,媒體推薦,作者簡介,目錄,
內容簡介
在網路威脅泛濫的今天,利用防火牆技術保護網路的安全已經成為一項極為重要的任務。《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》主要內容包括防火牆概述和配置基礎、防火牆管理和用戶管理、通過防火牆的控制訪問、檢測流量、使用故障切換增強防火牆的可用性、防火牆負載均衡、防火牆日誌、驗證防火牆運行、ASA模組等內容,附錄部分還對通用協定和連線埠號、安全設備日誌訊息進行了介紹。
《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》適合網路管理員、防火牆安全工程師(或顧問)、對防火牆相關技術感興趣的初學者閱讀。
編輯推薦
《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》是一本實施當前流行的Cisco防火牆安全解決方案常見特性的指南。涵蓋了最新的防火牆版本,能夠幫助你輕鬆快速地配置、集成和管理全系列Cisco防火牆產品,這包括ASA、PIX和Catalyst防火牆服務模組(FWSM)。
《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》按照特性族進行組織。能夠幫助你快速有效地掌握諸如檔案管理、連通性的建立、控制訪問、防火牆管理、利用failover特性增強可用性,負載平衡、記錄日誌和驗證操作等主題。
書中有些段落用帶陰影的標籤標註。供快速參考所用。每一個特性的信息都以一種簡捷的格式列出,這包括背景、配置和實例組件。
無論你是在尋找最新的ASA、PIX和FWSM設備的介紹。還是在尋找Cisco防火牆部署的完整參考,《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》都能夠幫助你實現對網路資源的最大保護。
·學習不同的防火牆模型、用戶界面、特性集以及配置方法:
·理解Cisco防火牆如何檢測流量;
·配置防火牆接口、路由、IP定址服務和IP組播支持;
·維護安全context、flash和配置檔案,管理用戶,使用SNMP監視防火牆;
·對防火牆用戶進行認證、授權,並維護審計記錄;
·通過部署透明模式和路由模式的防火牆、地址轉換以及流量迴避(shun)對穿越防火牆的訪問進行控制;
·以模組化的策略框架定義可識別並作用於不同流量類型的安全策略;
·利用防火牆的failover特性提高防火牆的可用性;
·理解防火牆負載平衡的工作原理;
·生成防火牆行為日誌,並學習如何分析日誌內容;
·對防火牆的操作和連通性進行驗證並對“穿越”防火牆的數據進行研究;
·配置安全服務模組,如內容安全控制(CSC)模組和高級檢測處理器(AIP)模組。
《Cisco ASA、PIX與FWSM防火牆手冊(第2版)》屬於Cisco Press網路技術圖書中的安全類別。Cisco Press出版的安全圖書可以幫助網路專業人員保護關鍵的數據和資源,阻止和緩解網路攻擊。以及構建端到端的自防禦體系。
媒體推薦
“許多網路安全和防火牆方面的圖書僅僅滿足於用大量的篇幅去討論相關的概念和原理,但是本書卻超越了這樣的界限。它對網路和安全管理員在配置和管理Cisco的市場領先的防火牆產品時,所要知道的一切知識進行了全面詳細的講解。”
——Jason Nolet,工程副總裁,安全技術團隊,Cisco
作者簡介
David Hucaby,CCIE NO.4594,肯塔基大學傑出的網路工程師,致力於以Cisco Catalyst、ASA、FWSM和VPN產品線為基礎的網路維護,曾是ASA 8.0作業系統beta版的審查者之一,擁有肯塔基大學的電氣工程學士和碩士學位,曾出版過3本思科教材:《CCNP BCMSN Official Exam Certificatior Guide》、《Cisco Field Manual:Router Configuration》和《Cisco Field Manual:Catalyst Switch Configuration》。
現與妻子Marci和兩個女兒一起居住在肯塔基。
技術支持
Greg Abelar,從1996年11月至今,一直受僱於Cisco。他是Cisco技術支持安全團隊的創始人之一,協助聘用並培訓了眾多工程師。他在Cisco安全架構和安全技術行銷工程團隊中擔任多個職務。他是Cisco發起的CCIE安全筆試的主要奠基人和項目管理者,曾出版過Cisco教材《Securing Yom Business with Cisco ASA and PIX Firewalls》,與他人合作出版過《Security Threat Mitigation and Response:Understanding Cisco Security MARS》,並為多本Cisco出版的安全類教材擔任技術編輯。
目錄
第1章 防火牆概述
1.1 防火牆運行概述
1.1.1 初始校驗
1.1.2 Xlate查詢
1.1.3 連線查詢
1.1.4 ACL查詢
1.1.5 用戶驗證查詢
1.1.6 檢測引擎
1.2 ICMP、UDP和TCP的檢測引擎
1.2.1 ICMP檢測
1.2.2 UDP檢測
1.2.3 TCP檢測
1.2.4 TCP標準化
1.2.5 其他防火牆操作
1.3 硬體和性能
1.4 基本安全策略準則
第2章 配置基礎
2.1 用戶界面
2.1.1 用戶界面模式
2.1.2 用戶界面特性
2.2 防火牆特性和許可證
2.3 初始防火牆配置
第3章 建立連線
3.1 配置接口
3.1.1 檢驗防火牆接口
3.1.2 配置接口冗餘
3.1.3 基本接口配置
3.1.4 在接口上配置IPv
3.1.5 配置ARP高速快取
3.1.6 配置接口的MTU和分段
3.1.7 配置接口優先佇列
3.1.8 防火牆拓撲結構考慮事項
3.2 配置路由選擇
3.2.1 使用路由選擇信息防止IP位址欺騙
3.2.2 配置靜態路由
3.2.3 支持基於可達性的靜態路由
3.2.4 配置RIP以交換路由選擇信息
3.2.5 配置EIGRP以交換路由選擇信息
3.2.6 配置OSPF以交換路由選擇信息
3.3 DHCP伺服器功能
3.3.1 將防火牆作為一個DHCP伺服器
3.3.2 從DHCP伺服器更新動態DNS
3.3.3 向DHCP伺服器轉發DHCP請求
3.4 組播支持
3.4.1 組播概述
3.4.2 組播定址
3.4.3 轉發組播流量
3.4.4 IGMP:尋找組播組中的接收者
3.4.5 PIM:建立一個組播分發樹
3.4.6 配置PIM
3.4.7 使用組播邊界劃分域
3.4.8 過濾PIM鄰居
3.4.9 過濾雙向PIM鄰居
3.4.10配置Stub組播路由選擇(SMR,StubMulticastRouting)
3.4.11配置IGMP操作
3.4.12Stub組播路由選擇實例
3.4.13PIM組播路由選擇實例
3.4.14驗證IGMP組播操作
3.4.15驗證PIM組播路由選擇操作
第4章 防火牆管理
4.1 使用SecurityContext構建虛擬防火牆
4.1.1 SecurityContext(虛擬防火牆)結構
4.1.2 共享context接口
4.1.3 共享context接口的問題
4.1.4 用唯一MAC地址解決共享context接口問題
4.1.5 配置檔案和securitycontext
4.1.6 Multiple-context配置規則
4.1.7 啟動Multiple-context模式
4.1.8 multiplesecuritycontext之間的切換
4.1.9 配置一個新的context
4.1.10給context分配防火牆資源
4.1.11驗證multiple-context操作
4.2 管理Flash檔案系統
4.2.1 引導ASA或FWSMFlash檔案系統
4.2.2 管理ASA或FWSMFlash檔案系統
4.2.3 使用PIX6.3 Flash檔案系統
4.2.4 識別作業系統鏡像
4.2.5 從監控提示符中更新鏡像
4.2.6 通過管理會話升級鏡像
4.2.7 自動升級鏡像
4.3 管理配置檔案
4.3.1 管理啟動配置
4.3.2 保存運行配置
4.3.3 輸入配置
4.4 用自動更新伺服器進行自動更新
4.4.1 將防火牆配置為自動更新客戶端
4.4.2 驗證自動更新客戶端操作
4.4.3 將防火牆配置為自動更新伺服器
4.5 管理管理會話
4.5.1 控制台連線
4.5.2 Telnet會話
4.5.3 SSH會話
4.5.4 ASDM/PDM會話
4.5.5 用戶會話標誌(Banner)
4.5.6 監視管理會話
4.6 防火牆重載和崩潰
4.6.1 重載防火牆
4.6.2 獲得崩潰信息
4.7 用SNMP監測防火牆
4.7.1 防火牆SNMP支持概述
4.7.2 SNMP配置
第5章 防火牆用戶管理
5.1 一般用戶管理
5.1.1 一般用戶的驗證與授權
5.1.2 通用用戶統計
5.2 用本地資料庫管理用戶
5.2.1 本地用戶名的驗證
5.2.2 授權用戶訪問防火牆命令
5.2.3 本地用戶行為統計
5.3 定義用於用戶管理的AAA伺服器
5.4 配置AAA以管理管理級用戶
5.4.1 啟用AAA用戶驗證
5.4.2 啟動AAA命令授權
5.4.3 啟用AAA命令統計
5.5 為終端用戶直通代理配置AAA
5.5.1 驗證通過用戶
5.5.2 使用TACACS+伺服器授權用戶行為
5.5.3 使用RADIUS伺服器授權用戶行為
5.5.4 保存用戶行為的統計記錄
5.5.5 AAA直通式代理配置實例
5.6 防火牆密碼恢復
5.6.1 恢復ASA密碼
5.6.2 恢復PIX密碼
5.6.3 恢復FWSM密碼
第6章 通過防火牆的控制訪問
6.1 路由和透明防火牆模式
6.2 地址轉換
6.2.1 定義訪問方向
6.2.2 地址轉換類型
6.2.3 通過地址轉換處理連線
6.2.4 靜態NAT
6.2.5 策略NAT
6.2.6 一致性NAT
6.2.7 NAT豁免
6.2.8 動態地址轉換(NAT或PAT)
6.2.9 控制流量
6.3 使用訪問列表控制訪問
6.3.1 編譯訪問列表
6.3.2 配置訪問列表
6.3.3 訪問列表實例
6.3.4 定義對象組
6.3.5 監控訪問列表
6.4 規避流量
第7章 檢測流量
7.1 過濾內容
7.1.1 配置內容過濾器
7.1.2 內容-過濾舉例
7.1.3 利用Web快取實現更好的HTTP服務性能
7.2 在模組化策略結構中定義安全策略
7.2.1 對3和4層流量進行分類
7.2.2 分類管理流量
7.2.3 定義一個第3/4層策略
7.2.4 默認策略定義
7.3 套用檢測
第8章 使用故障切換(failover)增強防火牆的可用性
8.1 防火牆故障切換(failover)概述
8.1.1 故障切換工作原理
8.1.2 防火牆故障切換的作用
8.1.3 檢測防火牆故障
8.1.4 故障切換通信
8.1.5 A/A模式故障切換的要求
8.2 配置防火牆故障切換
8.3 防火牆故障切換配置示例
8.3.1 PIX防火牆A/S模式的故障切換實例
8.3.2 FWSM中A/S模式故障切換的配置示例
8.3.3 A/A模式的故障切換實例
8.4 防火牆故障切換管理
8.4.1 顯示故障切換信息
8.4.2 調試故障切換行為
8.4.3 手工干預故障切換
8.4.4 在故障切換對等單元上執行命令
8.5 在故障切換模式下對防火牆進行升級
8.5.1 手工升級故障切換對
8.5.2 自動升級故障切換對
第9章 防火牆負載均衡
9.1 防火牆負載均衡概述
9.2 基於軟體的防火牆負載均衡
9.2.1 IOSFWLB配置要點
9.2.2 IOSFWLB配置
9.2.3 IOS防火牆負載均衡舉例
9.2.4 顯示關於IOSFWLB的信息
9.3 基於硬體的防火牆負載均衡
9.3.1 基於硬體的FWLB配置要點
9.3.2 配置CSMFWLB
9.3.3 CSM防火牆負載均衡舉例
9.3.4 顯示CSMFWLB的相關信息
9.4 防火牆負載均衡設備
9.4.1 CSSFWLB配置
9.4.2 CSS用於防火牆負載均衡示例
9.4.3 顯示CSSFWLB相關信息
第10章 防火牆日誌
10.1 防火牆時鐘管理
10.1.1 手工設定時鐘
10.1.2 用NTP設定時鐘
10.2 產生日誌訊息
10.2.1 Syslog伺服器的建議
10.2.2 日誌配置
10.2.3 驗證訊息日誌活動
10.2.4 手工測試日誌訊息的產生
10.3 微調日誌訊息的生成
10.3.1 修剪訊息
10.3.2 改變訊息嚴重級別
10.3.3 訪問列表活動日誌
10.4 分析防火牆日誌
第11章 驗證防火牆運行
11.1 檢查防火牆的生命特徵
11.1.1 使用系統日誌信息
11.1.2 檢測系統資源
11.1.3 檢查狀態檢測資源
11.1.4 檢查防火牆吞吐量
11.1.5 檢查檢測引擎和服務策略行為
11.1.6 檢查故障切換操作
11.1.7 檢查防火牆接口
11.2 查看通過防火牆的數據
11.2.1 使用捕獲
11.2.2 使用調試數據包
11.3 驗證防火牆連通性
11.3.1 步驟1:用ping數據包測試
11.3.2 步驟2:檢查ARP快取
11.3.3 步驟3:檢查路由選擇表
11.3.4 步驟4:使用traceroute驗證轉發路徑
11.3.5 步驟5:檢查訪問列表
11.3.6 步驟6:驗證地址轉換和連線表
11.3.7 步驟7:查找活動的阻塞
11.3.8 步驟8:檢查用戶驗證
11.3.9 步驟9:了解所發生的變化
第12章 ASA模組
12.1 初始配置ASASSM
12.1.1 為SSM管理流量預備ASA
12.1.2 連線和配置SSM管理接口
12.2 配置CSCSSM
12.2.1 配置ASA將流量轉移到CSCSSM
12.2.2 配置初始CSCSSM設定
12.2.3 修復初始CSC配置
12.2.4 連線到CSC管理接口
12.2.5 配置自動更新
12.2.6 配置CSC檢測策略
12.2.7 配置Web(HTTP)檢測策略
12.2.8 配置檔案傳輸(FTP)檢測策略
12.2.9 配置郵件(SMTP和POP3)檢測策略
12.3 配置AIPSSM
12.3.1 初始配置AIP
12.3.2 管理AIP
12.3.3 更新AIP許可證
12.3.4 手工更新AIP代碼或特徵檔案
12.3.5 自動更新AIP鏡像和特徵檔案
12.3.6 IPS策略
12.3.7 AIP接口
12.3.8 虛擬感測器
附錄A 通用協定和連線埠號
A-1:IP協定號
A-2:ICMP訊息類型
A-3:IP連線埠號
附錄B 安全設備日誌訊息
B-1:警報——系統日誌嚴重等級1訊息
B-2:重要——系統日誌嚴重等級2訊息
B-3:錯誤——系統日誌嚴重等級3訊息
B-4:警告——系統日誌嚴重等級4訊息
B-5:通知——系統日誌嚴重等級5訊息
B-6:信息——系統日誌嚴重等級6訊息
B-7:調試——系統日誌嚴重等級7訊息