Cisco安全防火牆服務模組(FWSM)解決方案

《Cisco安全防火牆服務模組(FWSM)解決方案》介紹了FWSM的軟硬體架構，並通過配置案例講解了FWSM的各種部署方式。

《Cisco安全防火牆服務模組(FWSM)解決方案》分為5部分，總共25章，主要內容有防火牆的類型、FWSM的概述和運行模式、FWSM的安全級別和上下文、FWSM的初始配置和高級配置、FWSM的設計指導和配置案例，以及FWSM 4.x版本中引入的特性和功能等。

《Cisco安全防火牆服務模組(FWSM)解決方案》適合所有打算購買或已經購買FWSM安全產品的工程技術人員以及網路維護人員閱讀，也適合準備Cisco防火牆安全考試的考生閱讀。《Cisco安全防火牆服務模組(FWSM)解決方案》同樣可以作為高校計算機和通信專業本科生或研究生學習網路安全技術的參考資料。

《Cisco安全防火牆服務模組(FWSM)解決方案》：防火牆服務模組（FWSM）是一款高性能的狀態化檢測防火牆，它可以集成在Cisc0 6500交換機以及7600路由器機箱中。FWSM使用套用檢測引擎（application inspection engine）來檢測流量，從而提供了強壯的網路安全級別。FWSM定義了安全參數，並通過認證、訪問控制列表和協定檢測對安全策略進行了加固，因此FWSM是部署網路安全的關鍵部件。

《Cisco安全防火牆服務模組(FWSM)解決方案》覆蓋了FWSM的所有方面，詳細講解了FWSM處理信息的方式、安裝/配置設備的詳情、網路整合的建議，以及FWSM的運維和管理等內容。《Cisco安全防火牆服務模組(FWSM)解決方案》作為唯一的FWSM技術圖書，全面揭示了FWSM的工作方式以及原理。讀者可以通過《Cisco安全防火牆服務模組(FWSM)解決方案》涵蓋的信息成功配置FWSM.並使配置發揮最大功效。讀者也可以通過全書附帶的實際案例，來了解其他用戶是如何成功配置FWSM的。

通過閱讀《Cisco安全防火牆服務模組(FWSM)解決方案》，讀者可以了解到FWSM的工作方式、FWSM與ASA安全設備之間的區別、實施和維護FWSM的方法、FWSM的最新特性，以及如何就通用的設定進行配置。

Ray Blair，CCIE #7050，是一名諮詢系統架構師，在Ciscol作了8年之久，主要致力於安全與大型網路的設計。在網路設計、賣施與維護方面，他擁有20年的從業經歷。Blair擁有CCIE路由和交換、安全和服務提供商3個方向的認證證書。同時，他還持有CNE和CISSP認證。

Arvind Durai，CCIE #7016，是Cisco的高級服務技術領導人。他的主要工作職責是為企業部門的重要客戶提供支持。他對安全領域相當關注，並且作為作者編著了多篇白皮書以及各種技術的設計指南。Durai擁有CCIE路由和交換、安全方向的認證證書。

理解FWSM的操作模式、安全級別以及context

配置路由協定和主機機箱，以支持FWSM

部署ACL和AAA

套用類和策略映射

配置多個FWSM.使其支持故障切換

配置套用和協定檢測

使用過濾伺服器、ActiveX和Java過濾函式來過濾流量

掌握IP多播與FWSM的互動方式使用防火牆負載平衡來提升性能

配置IPv6和不對稱路由

使用shunning、anti-spoofing、連線限制和逾時來緩解網路攻擊

分析網路設計、管理和故障排除的最佳做法

《Cisco安全防火牆服務模組(FWSM)解決方案》是Cisco Press出版的網路技術系列叢書之一，該系列叢書可以幫助網路從業人員保護重要數據和資源的安全，預防和緩解網路攻擊，並構建端到端的自防禦網路。

第1部分 簡介

第1章 防火牆類型

1.1 理解包過濾防火牆

1.1.1 優勢

1.1.2 告誡

1.2 理解套用/代理防火牆

1.2.1 優勢

1.2.2 告誡

1.3 理解逆向代理防火牆

1.3.1 優勢

1.3.2 告誡

1.4 利用包檢測技術

1.5 IP位址重用

1.5.1 NAT

1.5.2 PAT

1.6 總結

第2章 防火牆服務模組概述

2.1 規格

2.2 安裝

2.3 性能

2.4 虛擬化

2.5 FWSM與其他安全設備的對比

2.5.1 IOS防火牆

2.5.2 PIX

2.5.3 ASA

2.6 硬體架構

2.7 軟體架構

2.8 總結

第3章 運行模式的分析

3.1 透明模式

3.1.1 優勢

3.1.2 缺點

3.1.3 流量的流動

3.1.4 多網橋組

3.2 路由模式

3.2.1 優勢

3.2.2 缺點

3.2.3 流量的流動

3.3 總結

第4章 理解安全級別

4.1 接口間的流量傳輸

4.2 網路地址轉換/連線埠地址轉換

4.2.1 靜態NAT

4.2.2 靜態PAT

4.2.3 動態NAT

4.2.4 動態PAT

4.2.5 NAT控制

4.2.6 NAT旁路

4.3 總結

4.4 參考文獻

第5章 理解context

5.1 多context的好處

5.1.1 分離安全策略

5.1.2 充分利用硬體投資

5.2 多context的缺點

5.3 添加和刪除context

5.3.1 添加context

5.3.2 刪除context

5.4 在context之間切換

5.5 理解資源管理

5.6 總結

第2部分 初始配置

第6章 6500/7600系列機箱的配置與保護

6.1 理解主機箱和FWSM之間的互動

6.2 分配接口

6.3 保護6500/7600（主機箱）

6.3.1 控制物理訪問

6.3.2 考慮環境因素

6.3.3 控制管理訪問

6.3.4 禁用不必要的服務

6.3.5 使用基於連線埠的安全控制訪問

6.3.6 控制生成樹

6.3.7 利用訪問控制列表

6.3.8 保護第3層

6.3.9 利用控制臺策略

6.3.10 使用QoS保護網路

6.3.11 使用額外的安全功能

6.4 總結

6.5 參考文獻

第7章 FWSM的配置

7.1 在交換機中配置FWSM

7.2 路由模式

7.3 透明模式

7.4 在多context中使用FWSM

7.4.1 context配置

7.4.2 系統context的配置

7.4.3 admin context的配置

7.4.4 FWSM context模式中的數據包分類器

7.4.5 context中的資源管理

7.5 防火牆服務模組的配置步驟

7.5.1 類型1：配置單context路由模式

7.5.2 類型2：配置單context透明模式

7.5.3 類型3：配置多context混合模式

7.6 總結

第8章 ACL

8.1 訪問列表類型的介紹

8.1.1 理解訪問控制條目

8.1.2 理解訪問列表提交

8.2 理解對象組

8.3 監視訪問列表資源

8.4 配置對象組和訪問列表

8.4.1 協定類型

8.4.2 網路類型

8.4.3 服務類型

8.4.4 嵌套類型

8.4.5 EtherType

8.5 總結

第9章 路由協定的配置

9.1 支持路由方法

9.1.1 靜態路由

9.1.2 默認路由

9.1.3 OSPF

9.1.4 FWSM中的OSPF

9.1.5 OSPF在FWSM中的配置

9.1.6 OSPF設計案例1

9.1.7 OSPF設計案例2

9.1.8 路由信息協定

9.1.9 FWSM中的RIP

9.1.10 邊界網關協定

9.1.11 FWSM中的BGP

9.1.12 FWSM的BGP拓撲

9.2 總結

第10章 AAA概述

10.1 理解AAA組件

10.1.1 FWSM中的認證

10.1.2 FWSM中的授權

10.1.3 FWSM中的審計

10.2 安全協定的比較

10.3 理解兩步認證

10.4 理解回退支持

10.4.1 配置回退認證

10.4.2 配置本地授權

10.5 理解FWSM的直通代理

10.5.1 配置自定義登錄提示

10.5.2 利用MAC地址使流量免於認證和授權

10.6 總結

第11章 模組化策略

11.1 在FWSM中使用模組化策略

11.2 理解流量的分類

11.3 定義策略映射

11.4 配置服務策略

11.5 理解默認的策略映射

11.6 模組化策略在FWSM中的配置示例

11.7 總結

第3部分 高級配置

第12章 FWSM中的故障切換

12.1 在FWSM中構建冗餘

12.1.1 理解Active/Standby模式

12.1.2 理解Active/Active模式

12.2 理解故障切換鏈路和狀態鏈路

12.3 故障切換的需求

12.4 第一和第二防火牆的配置同步

12.5 監控連線埠

12.6 配置輪詢間隔

12.7 接口監控設計準則

12.8 配置單context FWSM故障切換

12.9 配置多context FWSM故障切換

12.10 總結

第13章 理解套用層協定檢測

13.1 檢測超文本傳輸協定

13.2 檢測檔案傳輸協定

13.3 FSWM與支持的套用協同工作

13.4 配置ARP

13.4.1 檢測ARP

13.4.2 配置ARP參數

13.5 總結

13.6 參考文獻

第14章 流量過濾

14.1 與第三方產品協同過濾URL和FTP流量

14.2 配置ActiveX和Java

14.3 總結

14.4 參考文獻

第15章 管理和監控FWSM

15.1 使用Telnet

15.2 使用SSH

15.3 使用自適應安全設備管理器

15.3.1 使用ASDM配置FWSM

15.3.2 從客戶端管理FWSM

15.4 安全訪問

15.4.1 配置FWSM的VPN終結功能

15.4.2 配置VPN客戶端

15.5 運行簡單網路管理協定

15.6 探究syslog

15.7 使用Cisco安全管理器

15.8 監控、分析和回響系統

15.9 總結

15.10 參考文獻

第16章 多播

16.1 協定無關多播

16.2 理解集中點

16.3 PIM接口模式

16.4 IGMP協定

16.5 多播stub的配置

16.6 多播流量穿越防火牆

16.6.1 FWSM 1.x和2.x代碼版本

16.6.2 FWSM 3.x代碼版本

16.7 配置方法

16.7.1 方法1：配置示例——多播流量透過單context模式下的防火牆

16.7.2 方法2：配置示例——多播流量經GRE封裝透過防火牆

16.7.3 方法3：配置示例——多播流量透過多context模式下的透明防火牆

16.8 總結

第17章 非對稱路由

17.1 未部署防火牆時的非對稱路由

17.2 防火牆環境中的非對稱流量

17.3 避免非對稱流量穿越防火牆

17.3.1 選項1：讓對稱流量穿越防火牆

17.3.2 選項2：防火牆和路由冗餘時的流量對稱

17.4 FWSM對非對稱路由的支持

17.4.1 在Active/Standby模式中支持非對稱路由

17.4.2 在Active/Active模式中支持非對稱路由

17.5 配置FWSM ASR特性

17.6 總結

第18章 防火牆負載均衡

18.1 防火牆負載均衡的價值

18.2 防火牆負載均衡的設計需求

18.3 防火牆負載均衡解決方案

18.3.1 使用策略路由的防火牆負載均衡

18.3.2 使用內容交換模組的防火牆負載均衡

18.3.3 使用應用程式控制引擎的防火牆負載均衡

18.4 防火牆負載均衡配置示例

18.4.1 配置OUT2IN策略

18.4.2 配置防火牆

18.4.3 配置OUT2IN策略

18.5 總結

第19章 IP版本6

19.1 理解IPv6數據包頭部

19.2 探究IPv6地址類型

19.3 FWSM上的IPv6

19.3.1 在FWSM上配置IPv6特性

19.3.2 在FWSM上配置IPv6

19.4 總結

第20章 網路攻擊防護

20.1 網路防護

20.2 禁止（shun）攻擊

20.3 地址欺騙

20.4 理解連線限制和連線逾時

20.4.1 配置連線限制

20.4.2 配置連線逾時時間

20.5 總結

20.6 參考文獻

第21章 排除FWSM故障

21.1 建立故障排除的思路

21.2 理智地評估故障

21.3 在FWSM上對數據流做連通性測試

21.4 故障排除FAQ

21.4.1 如何認定流量是否被轉發到了FWSM上的特定接口

21.4.2 如何查看FWSM的ACL資源限制

21.4.3 如何驗證防火牆安全域之間的連通性

21.4.4 何為網路分析模組

21.4.5 網路管理和監控工具

21.4.6 如何恢復密碼

21.5 總結

第4部分 設計指導和配置案例

第22章 設計網路基礎設施

22.1 確定設計中的考慮因素

22.2 確定部署選項

22.3 確定部署位置

22.3.1 防火牆之於企業網

22.3.2 FWSM之於數據中心

22.3.3 支持虛擬化網路

22.4 總結

22.5 參考文獻

第23章 設計構思

23.1 FWSM終結第三層VPN（VRF）

23.1.1 配置PFC

23.1.2 配置FWSM

23.2 混合模式下的故障切換

23.3 單FWSM上不同安全區域之間的通信

23.3.1 配置PFC

23.3.2 配置FWSM

23.4 涉及FWSM的路由動態學習機制

23.5 FWSM之於數據中心網路環境

23.5.1 方法一：運行多context路由模式的FWSM參與第三層VPN隔離

23.5.2 方法二：運行多context透明模式的FWSM參與第三層VPN隔離

23.6 PVLAN和FWSM

23.6.1 設計FWSM的PVLAN配置

23.6.2 涉及FWSM的PVLAN設計：場景一

23.6.3 涉及FWSM的PVLAN設計：場景二

23.6.4 配置PVLAN

23.7 總結

第5部分 FWSM 4.x

第24章 FWSM 4.x性能和可擴展性的提升

24.1 借Supervisor提高FWSM性能

24.2 利用PISA實現超強的流量檢測功能

24.3 改善記憶體分配

24.3.1 記憶體分區

24.3.2 規則重分配

24.3.3 最佳化ACL

24.4 總結

第25章 FWSM 4.x路由功能與其他增強特性

25.1 配置EIGRP

25.2 配置路由健康注入

25.3 理解套用支持

25.3.1 配置正則表達式

25.3.2 理解套用檢測的增強功能

25.4 對SNMP管理信息庫的補充支持

25.5 其他安全特性

25.5.1 DHCP選項82

25.5.2 SmartFilter HTTPS支持

25.6 總結

25.7 參考文獻