Cisco ASA设备使用指南(第3版)的目录 （只是目录）

Cisco ASA设备使用指南(第3版)的目录 （只是目录）

1．1　防火墙　1
1．1．1　网络防火墙　2
1．1．2　非军事化区域（DMZ）　5
1．1．3　深度数据包监控　6
1．1．4　可感知环境的下一代防火墙　6
1．1．5　个人防火墙　7
1．2　入侵检测系统（IDS）与入侵防御
系统（IPS）　7
1．2．1　模式匹配及状态化模式匹配
识别　8
1．2．2　协议分析　9
1．2．3　基于启发的分析　9
1．2．4　基于异常的分析　9
1．2．5　全球威胁关联功能　10
1．3　虚拟专用网络　11
1．3．1　IPSec技术概述　12
1．3．2　SSL VPN　17
1．4　Cisco AnyConnect Secure Mobility　18
1．5　云和虚拟化安全　19
总结　20
第2章　Cisco ASA产品及解决方案概述　21
2．1　Cisco ASA各型号概述　21
2．2　Cisco ASA 5505型　22
2．3　Cisco ASA 5510型　26
2．4　Cisco ASA 5512-X型　27
2．5　Cisco ASA 5515-X型　29
2．6　Cisco ASA 5520型　30
2．7　Cisco ASA 5525-X型　31
2．8　Cisco ASA 5540型　31
2．9　Cisco ASA 5545-X型　32
2．10　Cisco ASA 5550型　32
2．11　Cisco ASA 5555-X型　33
2．12　Cisco ASA 5585系列　34
2．13　Cisco Catalyst 6500系列ASA
服务模块　37
2．14　Cisco ASA 1000V云防火墙　37
2．15　Cisco ASA下一代防火墙服务
（前身为Cisco ASA CX）　38
2．16　Cisco ASA AIP-SSM模块　38
2．16．1　Cisco ASA AIP-SSM-10　38
2．16．2　Cisco ASA AIP-SSM-20　39
2．16．3　Cisco ASA AIP-SSM-40　39
2．17　Cisco ASA吉比特以太网模块　39
2．17．1　Cisco ASA SSM -4GE　40
2．17．2　Cisco ASA 5580扩展卡　40
2．17．3　Cisco ASA 5500-X系列6端口
GE接口卡　41
总结　41
第3章　许可证　42
3．1　ASA上的许可证授权特性　42
3．1．1　基本平台功能　43
3．1．2　高级安全特性　45
3．1．3　分层功能特性　46
3．1．4　显示许可证信息　48
3．2　通过激活密钥管理许可证　49
3．2．1　永久激活密钥和临时激活
密钥　49
3．2．2　使用激活密钥　51
3．3　故障倒换和集群的组合许可证　52
3．3．1　许可证汇聚规则　53
3．3．2　汇聚的临时许可证倒计时　54
3．4　共享的Premium VPN许可证　55
3．4．1　共享服务器与参与方　55
3．4．2　配置共享许可证　56
总结　58
第4章　初始设置　59
4．1　访问Cisco ASA设备　59
4．1．1　建立Console连接　59
4．1．2　命令行界面　62
4．2　管理许可证　63
4．3　初始设置　65
4．3．1　通过CLI进行初始设置　65
4．3．2　ASDM的初始化设置　67
4．4　配置设备　73
4．4．1　设置设备名和密码　74
4．4．2　配置接口　75
4．4．3　DHCP服务　82
4．5　设置系统时钟　83
4．5．1　手动调整系统时钟　84
4．5．2　使用网络时间协议自动
调整时钟　85
总结　86
第5章　系统维护　87
5．1　配置管理　87
5．1．1　运行配置　87
5．1．2　启动配置　90
5．1．3　删除设备配置文件　91
5．2　远程系统管理　92
5．2．1　Telnet　92
5．2．2　SSH　94
5．3　系统维护　97
5．3．1　软件安装　97
5．3．2　密码恢复流程　101
5．3．3　禁用密码恢复流程　104
5．4　系统监测　107
5．4．1　系统日志记录　107
5．4．2　NetFlow安全事件记录
（NSEL）　116
5．4．3　简单网络管理协议
（SNMP）　119
5．5　设备监测及排错　123
5．5．1　监测CPU及内存　123
5．5．2　设备排错　125
总结　129
第6章　Cisco ASA服务模块　130
6．1　Cisco ASA服务模块概述　130
6．1．1　硬件架构　131
6．1．2　机框集成　132
6．2　管理主机机框　132
6．2．1　分配VLAN接口　133
6．2．2　监测数据流量　134
6．3　常用的部署方案　136
6．3．1　内部网段防火墙　136
6．3．2　边缘保护　137
6．4　让可靠流量通过策略路由
绕过模块　138
6．4．1　数据流　139
6．4．2　PBR配置示例　140
总结　142
第7章　认证、授权、审计（AAA）　143
7．1　Cisco ASA支持的协议
与服务　143
7．2　定义认证服务器　148
7．3　配置管理会话的认证　152
7．3．1　认证Telnet连接　153
7．3．2　认证SSH连接　154
7．3．3　认证串行Console连接　155
7．3．4　认证Cisco ASDM连接　156
7．4　认证防火墙会话
（直通代理特性）　156
7．5　自定义认证提示　160
7．6　配置授权　160
7．6．1　命令授权　162
7．6．2　配置可下载ACL　162
7．7　配置审计　163
7．7．1　RADIUS审计　164
7．7．2　TACACS+审计　165
7．8　对去往Cisco ASA的管理
连接进行排错　166
7．8．1　对防火墙会话（直通代理）
进行排错　168
7．8．2　ASDM与CLI AAA测试
工具　168
总结　169
第8章　控制网络访问：传统方式　170
8．1　数据包过滤　170
8．1．1　ACL的类型　173
8．1．2　ACL特性的比较　174
8．2　配置流量过滤　174
8．2．1　过滤穿越设备的流量　175
8．2．2　过滤去往设备的流量　178
8．3　高级ACL特性　180
8．3．1　对象分组　180
8．3．2　标准ACL　186
8．3．3　基于时间的ACL　187
8．3．4　可下载的ACL　190
8．3．5　ICMP过滤　190
8．4　流量过滤部署方案　191
8．5　监测网络访问控制　195
总结　198
第9章　通过ASA CX实施下一代
防火墙服务　199
9．1　CX集成概述　199
9．1．1　逻辑架构　200
9．1．2　硬件模块　201
9．1．3　软件模块　201
9．1．4　高可用性　202
9．2　ASA CX架构　203
9．2．1　数据平面　204
9．2．2　事件与报告　205
9．2．3　用户身份　205
9．2．4　TLS解密代理　205
9．2．5　HTTP监控引擎　205
9．2．6　应用监控引擎　206
9．2．7　管理平面　206
9．2．8　控制平面　206
9．3　配置CX需要在ASA进行的
准备工作　206
9．4　使用PRSM管理ASA CX　210
9．4．1　使用PRSM　211
9．4．2　配置用户账户　214
9．4．3　CX许可证　216
9．4．4　组件与软件的更新　217
9．4．5　配置数据库备份　219
9．5　定义CX策略元素　220
9．5．1　网络组　221
9．5．2　身份对象　222
9．5．3　URL对象　223
9．5．4　用户代理对象　224
9．5．5　应用对象　224
9．5．6　安全移动对象　225
9．5．7　接口角色　226
9．5．8　服务对象　226
9．5．9　应用服务对象　227
9．5．10　源对象组　228
9．5．11　目的对象组　228
9．5．12　文件过滤配置文件　229
9．5．13　Web名誉配置文件　230
9．5．14　下一代IPS配置文件　230
9．6　启用用户身份服务　231
9．6．1　配置目录服务器　232
9．6．2　连接到AD代理或CDA　234
9．6．3　调试认证设置　234
9．6．4　定义用户身份发现策略　235
9．7　启用TLS解密　237
9．7．1　配置解密设置　239
9．7．2　定义解密策略　241
9．8　启用NG IPS　242
9．9　定义可感知上下文的访问策略　243
9．10　配置ASA将流量重定向给
CX模块　246
9．11　监测ASA CX　248
9．11．1　面板报告　248
9．11．2　连接与系统事件　249
9．11．3　捕获数据包　250
总结　253
第10章　网络地址转换　254
10．1　地址转换的类型　254
10．1．1　网络地址转换　254
10．1．2　端口地址转换　255
10．2　配置地址转换　257
10．2．1　静态NAT/PAT　257
10．2．2　动态NAT/PAT　258
10．2．3　策略NAT/PAT　259
10．2．4　Identity NAT　259
10．3　地址转换中的安全保护机制　259
10．3．1　随机生成序列号　259
10．3．2　TCP拦截（TCP Intercept）　260
10．4　理解地址转换行为　260
10．4．1　8．3版之前的地址转换行为　261
10．4．2　重新设计地址转换
（8．3及后续版本）　262
10．5　配置地址转换　264
10．5．1　自动NAT的配置　264
10．5．2　手动NAT的配置　268
10．5．3　集成ACL和NAT　270
10．5．4　配置用例　272
10．6　DNS刮除（DNS Doctoring）　279
10．7　监测地址转换　281
总结　283
第11章　IPv6支持　284
11．1　IPv6　284
11．1．1　IPv6头部　284
11．1．2　支持的IPv6地址类型　286
11．2　配置IPv6　286
11．2．1　IP地址分配　287
11．2．2　IPv6 DHCP中继　288
11．2．3　IPv6可选参数　288
11．2．4　设置IPv6 ACL　289
11．2．5　IPv6地址转换　291
总结　292
第12章　IP路由　293
12．1　配置静态路由　293
12．1．1　静态路由监测　296
12．1．2　显示路由表信息　298
12．2　RIP　299
12．2．1　配置RIP　300
12．2．2　RIP认证　302
12．2．3　RIP路由过滤　304
12．2．4　配置RIP重分布　306
12．2．5　RIP排错　306
12．3　OSPF　308
12．3．1　配置OSPF　310
12．3．2　OSPF虚链路　314
12．3．3　配置OSPF认证　316
12．3．4　配置OSPF重分布　319
12．3．5　末节区域与NSSA　320
12．3．6　OSPF类型3 LSA过滤　321
12．3．7　OSPF neighbor命令及跨越
VPN的动态路由　322
12．3．8　OSPFv3　324
12．3．9　OSPF排错　324
12．4　EIGRP　329
12．4．1　配置EIGRP　330
12．4．2　EIGRP排错　339
总结　346
第13章　应用监控　347
13．1　启用应用监控　349
13．2　选择性监控　350
13．3　CTIQBE监控　353
13．4　DCERPC监控　355
13．5　DNS监控　355
13．6　ESMTP监控　359
13．7　FTP　361
13．8　GPRS隧道协议　363
13．8．1　GTPv0　364
13．8．2　GTPv1　365
13．8．3　配置GTP监控　366
13．9　H．323　367
13．9．1　H．323协议族　368
13．9．2　H．323版本兼容性　369
13．9．3　启用H．323监控　370
13．9．4　DCS和GKPCS　372
13．9．5　T．38　372
13．10　Cisco统一通信高级特性　372
13．10．1　电话代理　373
13．10．2　TLS代理　376
13．10．3　移动性代理　377
13．10．4　Presence Federation代理　378
13．11　HTTP　378
13．12　ICMP　384
13．13　ILS　385
13．14　即时消息（IM）　385
13．15　IPSec直通　386
13．16　MGCP　387
13．17　NetBIOS　388
13．18　PPTP　389
13．19　Sun RPC　389
13．20　RSH　390
13．21　RTSP　390
13．22　SIP　390
13．23　Skinny (SCCP)　391
13．24　SNMP　392
13．25　SQL*Net　393
13．26　TFTP　393
13．27　WAAS　393
13．28　XDMCP　394
总结　394
第14章　虚拟化　395
14．1　架构概述　396
14．1．1　系统执行空间　396
14．1．2　admin虚拟防火墙　397
14．1．3　用户虚拟防火墙　398
14．1．4　数据包分类　400
14．1．5　多模下的数据流　402
14．2　配置安全虚拟防火墙　404
14．2．1　步骤1：在全局启用多安全
虚拟防火墙　405
14．2．2　步骤2：设置系统执行空间　406
14．2．3　步骤3：分配接口　408
14．2．4　步骤4：指定配置文件URL　409
14．2．5　步骤5：配置admin虚拟
防火墙　410
14．2．6　步骤6：配置用户虚拟
防火墙　411
14．2．7　步骤7：管理安全虚拟防火墙
（可选）　412
14．2．8　步骤8：资源管理（可选）　412
14．3　部署方案　415
14．3．1　不使用共享接口的虚拟
防火墙　416
14．3．2　使用了一个共享接口的虚拟
防火墙　426
14．4　安全虚拟防火墙的监测与排错　435
14．4．1　监测　436
14．4．2　排错　437
总结　439
第15章　透明防火墙　440
15．1　架构概述　442
15．1．1　单模透明防火墙　442
15．1．2　多模透明防火墙　444
15．2　透明防火墙的限制　445
15．2．1　透明防火墙与VPN　445
15．2．2　透明防火墙与NAT　446
15．3　配置透明防火墙　447
15．3．1　配置指导方针　448
15．3．2　配置步骤　448
15．4　部署案例　459
15．4．1　部署SMTF　459
15．4．2　用安全虚拟防火墙部署
MMTF　464
15．5　透明防火墙的监测与排错　473
15．5．1　监测　473
15．5．2　排错　475
15．6　主机间无法通信　475
15．7　移动了的主机无法实现通信　476
15．8　通用日志记录　477
总结　477
第16章　高可用性　478
16．1　冗余接口　478
16．1．1　使用冗余接口　479
16．1．2　部署案例　480
16．1．3　配置与监测　480
16．2　静态路由追踪　482
16．2．1　使用SLA监测配置静态路由　482
16．2．2　浮动连接超时　483
16．2．3　备用ISP部署案例　484
16．3　故障倒换　486
16．3．1　故障倒换中的设备角色
与功能　486
16．3．2　状态化故障倒换　487
16．3．3　主用/备用和主用/主用故障
倒换　488
16．3．4　故障倒换的硬件和软件
需求　489
16．3．5　故障倒换接口　491
16．3．6　故障倒换健康监测　495
16．3．7　状态与角色的转换　497
16．3．8　配置故障倒换　498
16．3．9　故障倒换的监测与排错　506
16．3．10　主用/备用故障倒换部署
案例　509
16．4　集群　512
16．4．1　集群中的角色与功能　512
16．4．2　集群的硬件和软件需求　514
16．4．3　控制与数据接口　516
16．4．4　集群健康监测　522
16．4．5　网络地址转换　523
16．4．6　性能　524
16．4．7　数据流　525
16．4．8　状态转换　528
16．4．9　配置集群　528
16．4．10　集群的监测与排错　537
16．4．11　Spanned EtherChannel集群
部署方案　540
总结　549
第17章　实施Cisco ASA入侵
防御系统(IPS)　550
17．1　IPS集成概述　550
17．1．1　IPS逻辑架构　551
17．1．2　IPS硬件模块　551
17．1．3　IPS软件模块　552
17．1．4　在线模式与杂合模式　553
17．1．5　IPS高可用性　555
17．2　Cisco IPS软件架构　555
17．2．1　MainApp　556
17．2．2　SensorApp　558
17．2．3　CollaborationApp　558
17．2．4　EventStore　559
17．3　ASA IPS配置前的准备工作　559
17．3．1　安装CIPS镜像或者重新安装
一个现有的ASA IPS　559
17．3．2　从ASA CLI访问CIPS　561
17．3．3　配置基本管理设置　562
17．3．4　通过ASDM配置IPS管理　565
17．3．5　安装CIPS许可证密钥　565
17．4　在ASA IPS上配置CIPS软件　566
17．4．1　自定义特征　567
17．4．2　远程阻塞　569
17．4．3　异常检测　572
17．4．4　全球关联　575
17．5　维护ASA IPS　576
17．5．1　用户账户管理　576
17．5．2　显示CIPS软件和处理信息　578
17．5．3　升级CIPS软件和特征　579
17．5．4　配置备份　582
17．5．5　显示和删除事件　583
17．6　配置ASA对IPS流量进行
重定向　584
17．7　僵尸流量过滤（Botnet Traffic
Filter）　585
17．7．1　动态和手动定义黑名单
数据　586
17．7．2　DNS欺骗（DNS Snooping）　587
17．7．3　流量选择　588
总结　590
第18章　IPS调试与监测　591
18．1　IPS调整的过程　591
18．2　风险评估值　592
18．2．1　ASR　593
18．2．2　TVR　593
18．2．3　SFR　593
18．2．4　ARR　593
18．2．5　PD　593
18．2．6　WLR　594
18．3　禁用IPS特征　594
18．4　撤回IPS特征　594
18．5　用来进行监测及调整的工具　595
18．5．1　ASDM和IME　595
18．5．2　CSM事件管理器
（CSM Event Manager）　596
18．5．3　从事件表中移除误报的
IPS事件　596
18．5．4　Splunk　596
18．5．5　RSA安全分析器（RSA
Security Analytics）　596
18．6　在Cisco ASA IPS中显示和
清除统计信息　596
总结　600
第19章　站点到站点IPSec VPN　601
19．1　预配置清单　601
19．2　配置步骤　604
19．2．1　步骤1：启用ISAKMP　605
19．2．2　步骤2：创建ISAKMP
策略　606
19．2．3　步骤3：建立隧道组　607
19．2．4　步骤4：定义IPSec策略　609
19．2．5　步骤5：创建加密映射集　610
19．2．6　步骤6：配置流量过滤器
（可选）　613
19．2．7　步骤7：绕过NAT（可选）　614
19．2．8　步骤8：启用PFS（可选）　615
19．2．9　ASDM的配置方法　616
19．3　可选属性与特性　618
19．3．1　通过IPSec发送OSPF更新　619
19．3．2　反向路由注入　620
19．3．3　NAT穿越　621
19．3．4　隧道默认网关　622
19．3．5　管理访问　623
19．3．6　分片策略　623
19．4　部署场景　624
19．4．1　使用NAT-T、RRI和IKEv2
的单站点到站点隧道配置　624
19．4．2　使用安全虚拟防火墙的
星型拓扑　629
19．5　站点到站点VPN的监测与排错　638
19．5．1　站点到站点VPN的监测　638
19．5．2　站点到站点VPN的排错　641
总结　645
第20章　IPSec远程访问VPN　646
20．1　Cisco IPSec远程访问VPN
解决方案　646
20．1．1　IPSec（IKEv1）远程访问
配置步骤　648
20．1．2　IPSec（IKEv2）远程访问
配置步骤　668
20．1．3　基于硬件的VPN客户端　671
20．2　高级Cisco IPSec VPN特性　673
20．2．1　隧道默认网关　673
20．2．2　透明隧道　674
20．2．3　IPSec折返流量　675
20．2．4　VPN负载分担　677
20．2．5　客户端防火墙　679
20．2．6　基于硬件的Easy VPN
客户端特性　681
20．3　L2TP over IPSec远程访问VPN
解决方案　684
20．3．1　L2TP over IPSec远程访问
配置步骤　685
20．3．2　Windows L2TP over IPSec
客户端配置　688
20．4　部署场景　688
20．5　Cisco远程访问VPN的监测与
排错　693
20．5．1　Cisco远程访问IPSec VPN
的监测　693
20．5．2　Cisco IPSec VPN客户端
的排错　696
总结　698
第21章　PKI的配置与排错　699
21．1　PKI介绍　699
21．1．1　证书　700
21．1．2　证书管理机构（CA）　700
21．1．3　证书撤销列表　702
21．1．4　简单证书注册协议　702
21．2　安装证书　703
21．2．1　通过ASDM安装证书　703
21．2．2　通过文件安装实体证书　704
21．2．3　通过复制/粘贴的方式安装
CA证书　704
21．2．4　通过SCEP安装CA证书　705
21．2．5　通过SCEP安装实体证书　708
21．2．6　通过CLI安装证书　709
21．3　本地证书管理机构　718
21．3．1　通过ASDM配置本地CA　719
21．3．2　通过CLI配置本地CA　720
21．3．3　通过ASDM注册本地CA
用户　722
21．3．4　通过CLI注册本地CA用户　724
21．4　使用证书配置IPSec站点到
站点隧道　725
21．5　使用证书配置Cisco ASA接受
远程访问IPSec VPN客户端　728
21．6　PKI排错　729
21．6．1　时间和日期不匹配　729
21．6．2　SCEP注册问题　731
21．6．3　CRL检索问题　732
总结　733
第22章　无客户端远程访问SSL VPN　734
22．1　SSL VPN设计考量　735
22．1．1　用户连通性　735
22．1．2　ASA特性集　735
22．1．3　基础设施规划　735
22．1．4　实施范围　736
22．2　SSL VPN前提条件　736
22．2．1　SSL VPN授权　736
22．2．2　客户端操作系统和浏览器的
软件需求　739
22．2．3　基础设施需求　740
22．3　SSL VPN前期配置向导　740
22．3．1　注册数字证书（推荐）　740
22．3．2　建立隧道和组策略　745
22．3．3　设置用户认证　749
22．4　无客户端SSL VPN配置向导　752
22．4．1　在接口上启用无客户端
SSL VPN　753
22．4．2　配置SSL VPN自定义门户　753
22．4．3　配置书签　766
22．4．4　配置Web类型ACL　770
22．4．5　配置应用访问　772
22．4．6　配置客户端/服务器插件　776
22．5　Cisco安全桌面　777
22．5．1　CSD组件　778
22．5．2　CSD需求　779
22．5．3　CSD技术架构　780
22．5．4　配置CSD　781
22．6　主机扫描　786
22．6．1　主机扫描模块　786
22．6．2　配置主机扫描　787
22．7　动态访问策略　791
22．7．1　DAP技术架构　791
22．7．2　DAP事件顺序　792
22．7．3　配置DAP　792
22．8　部署场景　801
22．8．1　步骤1：定义无客户端连接　802
22．8．2　步骤2：配置DAP　803
22．9　SSL VPN的监测与排错　804
22．9．1　SSL VPN监测　804
22．9．2　SSL VPN排错　806
总结　808
第23章　基于客户端的远程访问
SSL VPN　809
23．1　SSL VPN设计考量　809
23．1．1　Cisco AnyConnect Secure Mobility
客户端的授权　810
23．1．2　Cisco ASA设计考量　810
23．2　SSL VPN前提条件　811
23．2．1　客户端操作系统和浏览器的
软件需求　811
23．2．2　基础设施需求　812
23．3　SSL VPN前期配置向导　812
23．3．1　注册数字证书（推荐）　813
23．3．2　建立隧道和组策略　813
23．3．3　设置用户认证　815
23．4　Cisco AnyConnect Secure Mobility
客户端配置指南　817
23．4．1　加载Cisco AnyConnect Secure
Mobility Client VPN
打包文件　817
23．4．2　定义Cisco AnyConnect Secure
Mobility Client属性　818
23．4．3　高级完全隧道特性　822
23．4．4　AnyConnect客户端配置　827
23．5　AnyConnect客户端的部署场景　829
23．5．1　步骤1：配置CSD进行
注册表检查　831
23．5．2　步骤2：配置RADIUS进行
用户认证　831
23．5．3　步骤3：配置AnyConnect SSL
VPN　831
23．5．4　步骤4：启用地址转换提供
Internet访问　832
23．6　AnyConnect SSL VPN的监测
与排错　832
总结　834
第24章　IP组播路由　835
24．1　IGMP　835
24．2　PIM稀疏模式　836
24．3　配置组播路由　836
24．3．1　启用组播路由　836
24．3．2　启用PIM　838
24．4　IP组播路由排错　841
24．4．1　常用的show命令　841
24．4．2　常用的debug命令　842
总结　843
第25章　服务质量　844
25．1　QoS类型　845
25．1．1　流量优先级划分　845
25．1．2　流量管制　846
25．1．3　流量整形　847
25．2　QoS架构　847
25．2．1　数据包流的顺序　847
25．2．2　数据包分类　848
25．2．3　QoS与VPN隧道　852
25．3　配置QoS　852
25．3．1　通过ASDM配置QoS　853
25．3．2　通过CLI配置QoS　858
25．4　Qos部署方案　861
25．4．1　ASDM的配置步骤　862
25．4．2　CLI配置步骤　865
25．5　QoS的监测　867
总结　86