CiscoASA、PIX与FWSM防火墙手册【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

CiscoASA、PIX与FWSM防火墙手册PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 防火墙概述1

1.1防火墙运行概述2

1.1.1初始校验2

1.1.2Xlate查询3

1.1.3连接查询4

1.1.4ACL查询5

1.1.5用户验证查询5

1.1.6检测引擎6

1.2ICMP、UDP和TCP的检测引擎6

1.2.1ICMP检测6

1.2.2UDP检测9

1.2.3TCP检测10

1.2.4TCP标准化13

1.2.5其他防火墙操作13

1.3硬件和性能14

1.4基本安全策略准则15

第2章 配置基础19

2.1用户界面19

2.1.1用户界面模式20

2.1.2用户界面特性20

2.2防火墙特性和许可证24

2.3初始防火墙配置29

第3章 建立连接33

3.1配置接口33

3.1.1检验防火墙接口34

3.1.2配置接口冗余35

3.1.3基本接口配置37

3.1.4在接口上配置IPv644

3.1.5配置ARP高速缓存50

3.1.6配置接口的MTU和分段51

3.1.7配置接口优先队列53

3.1.8防火墙拓扑结构考虑事项57

3.2配置路由选择61

3.2.1使用路由选择信息防止IP地址欺骗61

3.2.2配置静态路由63

3.2.3支持基于可达性的静态路由65

3.2.4配置RIP以交换路由选择信息69

3.2.5配置EIGRP以交换路由选择信息71

3.2.6配置OSPF以交换路由选择信息74

3.3DHCP服务器功能85

3.3.1将防火墙作为一个DHCP服务器86

3.3.2从DHCP服务器更新动态DNS88

3.3.3向DHCP服务器转发DHCP请求91

3.4组播支持93

3.4.1组播概述93

3.4.2组播寻址93

3.4.3转发组播流量94

3.4.4IGMP：寻找组播组中的接收者95

3.4.5PIM：建立一个组播分发树96

3.4.6配置PIM101

3.4.7使用组播边界划分域104

3.4.8过滤PIM邻居105

3.4.9过滤双向PIM邻居106

3.4.10配置Stub组播路由选择（SMR，Stub Multicast Routing）106

3.4.11配置IGMP操作108

3.4.12Stub组播路由选择实例110

3.4.13PIM组播路由选择实例111

3.4.14验证IGMP组播操作111

3.4.15验证PIM组播路由选择操作112

第4章 防火墙管理117

4.1使用Security Context构建虚拟防火墙117

4.1.1Security Context（虚拟防火墙）结构118

4.1.2共享context接口118

4.1.3共享context接口的问题120

4.1.4用唯一MAC地址解决共享context接口问题123

4.1.5配置文件和security context126

4.1.6Multiple-context配置规则126

4.1.7启动Multiple-context模式127

4.1.8multiple security context之间的切换129

4.1.9配置一个新的context130

4.1.10给context分配防火墙资源138

4.1.11验证multiple-context操作142

4.2管理Flash文件系统143

4.2.1引导ASA或FWSM Flash文件系统144

4.2.2管理ASA或FWSM Flash文件系统145

4.2.3使用PIX 6.3 Flash文件系统148

4.2.4识别操作系统镜像149

4.2.5从监控提示符中更新镜像150

4.2.6通过管理会话升级镜像153

4.2.7自动升级镜像157

4.3管理配置文件157

4.3.1管理启动配置157

4.3.2保存运行配置159

4.3.3输入配置162

4.4用自动更新服务器进行自动更新164

4.4.1将防火墙配置为自动更新客户端164

4.4.2验证自动更新客户端操作168

4.4.3将防火墙配置为自动更新服务器169

4.5管理管理会话172

4.5.1控制台连接173

4.5.2Telnet会话174

4.5.3SSH会话174

4.5.4ASDM／PDM会话177

4.5.5用户会话标志（Banner）180

4.5.6监视管理会话181

4.6防火墙重载和崩溃182

4.6.1重载防火墙182

4.6.2获得崩溃信息184

4.7用SNMP监测防火墙187

4.7.1防火墙SNMP支持概述187

4.7.2SNMP配置190

第5章 防火墙用户管理195

5.1一般用户管理196

5.1.1一般用户的验证与授权196

5.1.2通用用户统计197

5.2用本地数据库管理用户198

5.2.1本地用户名的验证198

5.2.2授权用户访问防火墙命令200

5.2.3本地用户行为统计203

5.3定义用于用户管理的AAA服务器204

5.4配置AAA以管理管理级用户209

5.4.1启用AAA用户验证209

5.4.2启动AAA命令授权211

5.4.3启用AAA命令统计213

5.5为终端用户直通代理配置AAA214

5.5.1验证通过用户214

5.5.2使用TACACS+服务器授权用户行为217

5.5.3使用RADIUS服务器授权用户行为219

5.5.4保存用户行为的统计记录222

5.5.5AAA直通式代理配置实例223

5.6防火墙密码恢复224

5.6.1恢复ASA密码224

5.6.2恢复PIX密码227

5.6.3恢复FWSM密码228

第6章 通过防火墙的控制访问231

6.1路由和透明防火墙模式231

6.2地址转换239

6.2.1定义访问方向240

6.2.2地址转换类型241

6.2.3通过地址转换处理连接243

6.2.4静态NAT246

6.2.5策略NAT248

6.2.6一致性NAT251

6.2.7NAT豁免252

6.2.8动态地址转换（NAT或PAT）253

6.2.9控制流量258

6.3使用访问列表控制访问261

6.3.1编译访问列表261

6.3.2配置访问列表262

6.3.3访问列表实例268

6.3.4定义对象组269

6.3.5监控访问列表281

6.4规避流量283

第7章 检测流量287

7.1过滤内容287

7.1.1配置内容过滤器288

7.1.2内容-过滤举例292

7.1.3利用Web缓存实现更好的HTTP服务性能293

7.2在模块化策略结构中定义安全策略293

7.2.1对3和4层流量进行分类295

7.2.2分类管理流量299

7.2.3定义一个第3／4层策略300

7.2.4默认策略定义310

7.3应用检测312

第8章 使用故障切换（failover）增强防火墙的可用性347

8.1防火墙故障切换（failover）概述347

8.1.1故障切换工作原理348

8.1.2防火墙故障切换的作用351

8.1.3检测防火墙故障352

8.1.4故障切换通信353

8.1.5A／A模式故障切换的要求355

8.2配置防火墙故障切换356

8.3防火墙故障切换配置示例366

8.3.1PIX防火墙A／S模式的故障切换实例366

8.3.2FWSM中A／S模式故障切换的配置示例368

8.3.3A／A模式的故障切换实例369

8.4防火墙故障切换管理374

8.4.1显示故障切换信息374

8.4.2调试故障切换行为379

8.4.3手工干预故障切换381

8.4.4在故障切换对等单元上执行命令382

8.5在故障切换模式下对防火墙进行升级384

8.5.1手工升级故障切换对384

8.5.2自动升级故障切换对387

第9章 防火墙负载均衡389

9.1防火墙负载均衡概述389

9.2基于软件的防火墙负载均衡391

9.2.1IOS FWLB配置要点392

9.2.2IOS FWLB配置393

9.2.3IOS防火墙负载均衡举例398

9.2.4显示关于IOS FWLB的信息403

9.3基于硬件的防火墙负载均衡405

9.3.1基于硬件的FWLB配置要点406

9.3.2配置CSM FWLB407

9.3.3CSM防火墙负载均衡举例413

9.3.4显示CSM FWLB的相关信息420

9.4防火墙负载均衡设备422

9.4.1CSS FWLB配置422

9.4.2CSS用于防火墙负载均衡示例424

9.4.3显示CSS FWLB相关信息427

第10章 防火墙日志429

10.1防火墙时钟管理429

10.1.1手工设置时钟430

10.1.2用NTP设置时钟431

10.2产生日志消息433

10.2.1Syslog服务器的建议436

10.2.2日志配置436

10.2.3验证消息日志活动454

10.2.4手工测试日志消息的产生455

10.3微调日志消息的生成456

10.3.1修剪消息456

10.3.2改变消息严重级别456

10.3.3访问列表活动日志457

10.4分析防火墙日志459

第11章 验证防火墙运行463

11.1检查防火墙的生命特征463

11.1.1使用系统日志信息464

11.1.2检测系统资源465

11.1.3检查状态检测资源471

11.1.4检查防火墙吞吐量473

11.1.5检查检测引擎和服务策略行为478

11.1.6检查故障切换操作479

11.1.7检查防火墙接口487

11.2查看通过防火墙的数据493

11.2.1使用捕获494

11.2.2使用调试数据包511

11.3验证防火墙连通性513

11.3.1步骤1：用ping数据包测试516

11.3.2步骤2：检查ARP缓存518

11.3.3步骤3：检查路由选择表519

11.3.4步骤4：使用traceroute验证转发路径520

11.3.5步骤5：检查访问列表524

11.3.6步骤6：验证地址转换和连接表526

11.3.7步骤7：查找活动的阻塞533

11.3.8步骤8：检查用户验证534

11.3.9步骤9：了解所发生的变化536

第12章 ASA模块539

12.1初始配置ASA SSM540

12.1.1为SSM管理流量预备ASA540

12.1.2连接和配置SSM管理接口540

12.2配置CSC SSM542

12.2.1配置ASA将流量转移到CSC SSM543

12.2.2配置初始CSC SSM设置545

12.2.3修复初始CSC配置550

12.2.4连接到CSC管理接口551

12.2.5配置自动更新552

12.2.6配置CSC检测策略554

12.2.7配置Web（HTTP）检测策略555

12.2.8配置文件传输（FTP）检测策略562

12.2.9配置邮件（SMTP和POP3）检测策略563

12.3配置AIP SSM573

12.3.1初始配置AIP573

12.3.2管理AIP576

12.3.3更新AIP许可证576

12.3.4手工更新AIP代码或特征文件577

12.3.5自动更新AIP镜像和特征文件578

12.3.6IPS策略579

12.3.7AIP接口582

12.3.8虚拟传感器582

附录A通用协议和端口号587

A-1：IP协议号587

A-2：ICMP消息类型588

A-3：IP端口号589

附录B安全设备日志消息595

B-1：警报——系统日志严重等级1消息596

B-2：重要——系统日志严重等级2消息598

B-3：错误——系统日志严重等级3消息600

B-4：警告——系统日志严重等级4消息607

B-5：通知——系统日志严重等级5消息611

B-6：信息——系统日志严重等级6消息615

B-7：调试——系统日志严重等级7消息621