Cisco ASA设备使用指南【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Cisco ASA设备使用指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分 产品概述2

第1章 安全技术介绍2

1.1 防火墙2

1.1.1 网络防火墙2

1.1.2 状态化监控防火墙6

1.1.3 深度数据包监控7

1.1.4 个人防火墙7

1.2 入侵检测系统（IDS）与入侵防御系统（IPS）7

1.2.1 模式匹配及状态化模式匹配识别8

1.2.2 协议分析9

1.2.3 基于启发的分析9

1.2.4 基于异常的分析10

1.3 虚拟专用网络11

1.3.1 IPSec技术概述12

1.3.2 SSL VPN16

1.4 总结18

第2章 Cisco ASA产品及解决方案概述19

2.1 Cisco ASA 5505型20

2.2 CiscoASA 5510型23

2.3 Cisco ASA 5520型26

2.4 Cisco ASA 5540型27

2.5 Cisco ASA 5550型28

2.6 Cisco ASA 5580-20与5580-40型29

2.6.1 Cisco ASA 5580-2029

2.6.2 Cisco ASA 5580-4031

2.7 Cisco ASAAIP-SSM模块32

2.7.1 Cisco ASAAIP-SSM-1032

2.7.2 Cisco ASAAIP-SSM-2032

2.7.3 Cisco ASAAIP-SSM-4033

2.8 Cisco ASA吉比特以太网模块33

2.8.1 CiscoASA4GE-SSM33

2.8.2 Cisco ASA 5580扩展卡33

2.9 Cisco ASA CSC-SSM模块35

2.10 总结35

第3章 初始设置及系统维护36

3.1 访问Cisco ASA设备36

3.1.1 建立Console连接36

3.1.2 命令行界面38

3.2 管理许可证39

3.3 初始设置42

3.3.1 通过CLI进行初始设置42

3.3.2 ASDM的初始化设置43

3.4 配置设备49

3.4.1 设置设备名和密码50

3.4.2 配置接口51

3.4.3 DHCP服务56

3.5 IPv658

3.5.1 IPv6头部58

3.5.2 配置IPv659

3.6 设置系统时钟62

3.6.1 手动调整系统时钟63

3.6.2 使用网络时间协议自动调整时钟64

3.7 配置管理65

3.7.1 运行配置66

3.7.2 启动配置69

3.7.3 删除设备配置文件69

3.8 远程系统管理71

3.8.1 Telnet71

3 8.2 SSH73

3.9 系统维护75

3.9.1 软件安装75

3.9.2 密码恢复流程80

3.9.3 禁用密码恢复流程82

3.10 系统监测85

3.10.1 系统日志记录85

3.10.2 NetFlow安全事件记录（NSEL）94

3.10.3 简单网络管理协议（SNMP）97

3.11 设备监测及排错101

3.11.1 监测CPU及内存101

3.11.2 设备排错102

3.12 总结106

第2部分 防火墙技术110

第4章 控制网络访问110

4.1 包过滤110

4.1.1 ACL的类型112

4.1.2 ACL特性的比较113

4.2 配置流量过滤114

4.2.1 通过CLI过滤穿越设备的流量114

4.2.2 通过ASDM过滤穿越设备的流量118

4.2.3 过滤去往设备的流量120

4.2.4 建立IPv6 ACL（可选）122

4.3 高级ACL特性123

4.3.1 对象分组123

4.3.2 标准ACL129

4.3.3 基于时间的ACL130

4.3.4 可下载的ACL132

4.3.5 ICMP过滤133

4.4 内容过滤与URL过滤134

4.4.1 内容过滤134

4.4.2 URL过滤137

4.5 流量过滤部署方案143

4.5.1 使用ACL过滤入站流量143

4.5.2 使用Websense来启用内容过滤147

4.6 监测网络访问控制149

4.6.1 监测ACL149

4.6.2 监测内容过滤153

4.7 理解地址转换154

4.7.1 网络地址转换154

4.7.2 端口地址转换156

4.7.3 地址转换及接口安全级别156

4.7.4 数据包流量顺序158

4.7.5 地址转换功能提供的安全保护机制158

4.7.6 配置地址转换160

4.7.7 绕过地址转换169

4.7.8 NAT的操作顺序172

4.7.9 集成ACL和NAT172

4.8 DNS刮除（DNS Doctoring）174

4.9 监测地址转换177

4.10 总结178

第5章 IP路由179

5.1 配置静态路由179

5.1.1 静态路由监测182

5.1.2 显示路由表信息184

5.2 RIP185

5.2.1 配置RIP186

5.2.2 RIP认证188

5.2.3 RIP路由过滤190

5.2.4 配置RIP重分布192

5.2.5 RIP排错193

5.3 OSPF194

5.3.1 配置OSPF196

5.3.2 OSPF排错210

5.4 EIGRP215

5.4.1 配置EIGRP216

5.4.2 EIGRP排错223

5.5 IP多播231

5.5.1 IGMP末节模式231

5.5.2 PIM稀疏模式231

5.5.3 配置多播路由232

5.5.4 IP多播路由排错236

5.6 总结237

第6章 认证、授权和审计（AAA）238

6.1 Cisco ASA支持的协议与服务238

6.1.1 RADIUS240

6.1.2 TACACS＋241

6.1.3 RSA SecurID242

6.1.4 Microsoft Windows NT242

6.1.5 活动目录和Kerberos243

6.1.6 轻量目录访问协议243

6.1.7 HTTP Form协议243

6.2 定义认证服务器243

6.2.1 配置管理会话的认证248

6.2.2 认证Telnet连接248

6.2.3 认证SSH连接250

6.2.4 认证串行Console连接250

6.2.5 认证Cisco ASDM连接251

6.3 认证防火墙会话（直通代理特性）252

6.3.1 认证超时255

6.3.2 自定义认证提示255

6.4 配置授权256

6.4.1 命令授权257

6.4.2 配置可下载ACL258

6.5 配置审计259

6.5.1 RADIUS审计259

6.5.2 TACACS＋审计260

6.5.3 对去往Cisco ASA的管理连接进行排错261

6.5.4 对防火墙会话（直通代理）进行排错263

6.6 总结264

第7章 应用监控265

7.1 启用应用监控266

7.2 选择性监控268

7.3 CTIQBE监控270

7.4 DCERPC272

7.5 DNS272

7.6 ESMTP276

7.7 FTP278

7.8 GPRS隧道协议280

7.8.1 GTPv0280

7.8.2 GTPv1281

7.8.3 配置GTP监控282

7.9 H.323284

7.9.1 H.323协议族285

7.9.2 H.323版本兼容性286

7.9.3 启用H.323监控286

7.9.4 DCS和GKPCS289

7.9.5 T.38289

7.10 统一通信高级特性289

7.10.1 电话代理289

7.10.2 TLS代理293

7.10.3 移动性代理294

7.10.4 Presence Federation代理294

7.11 HTTP294

7.12 ICMP301

7.13 ILS301

7.14 即时消息（IM）301

7.15 IPSec直通303

7.16 MGCP304

7.17 NetBIOS305

7.18 PPTP305

7.19 Sun RPC306

7.20 RSH306

7.21 RTSP306

7.22 SIP307

7.23 Skinny（SCCP）308

7.24 SNMP309

7.25 SQL＊Net310

7.26 TFTP310

7.27 WAAS310

7.28 XDMCP310

7.29 总结310

第8章 虚拟防火墙311

8.1 架构概述312

8.1.1 系统执行空间312

8.1.2 Admin虚拟防火墙313

8.1.3 用户虚拟防火墙314

8.1.4 数据包分类315

8.1.5 多模下的数据流317

8.2 配置安全虚拟防火墙320

8.2.1 步骤1：在全局启用多安全虚拟防火墙320

8.2.2 步骤2：设置系统执行空间322

8.2.3 步骤3：分配接口324

8.2.4 步骤4：指定配置文件URL325

8.2.5 步骤5：配置Admin虚拟防火墙326

8.2.6 步骤6：配置用户虚拟防火墙328

8.2.7 步骤7：管理安全虚拟防火墙（可选）328

8.2.8 步骤8：资源管理（可选）329

8.3 部署方案332

8.3.1 不使用共享接口的虚拟防火墙332

8.3.2 使用了一个共享接口的虚拟防火墙341

8.4 安全虚拟防火墙的监测与排错350

8.4.1 监测350

8.4.2 排错351

8.5 总结353

第9章 透明防火墙354

9.1 架构概述356

9.1.1 单模透明防火墙356

9.1.2 多模透明防火墙358

9.2 透明防火墙的限制359

9.2.1 透明防火墙与VPN359

9.2.2 透明防火墙与NAT360

9.3 配置透明防火墙361

9.3.1 配置指导方针361

9.3.2 配置步骤362

9.4 部署案例372

9.4.1 部署SMTF372

9.4.2 用安全虚拟防火墙部署MMTF377

9.5 透明防火墙的监测与排错386

9.5.1 监测386

9.5.2 排错387

9.6 总结390

第10章 故障倒换与冗余391

10.1 架构概述391

10.1.1 触发故障倒换的条件392

10.1.2 故障倒换接口测试393

10.1.3 状态化故障倒换393

10.1.4 软硬件需求394

10.1.5 故障倒换的类型395

10.2 故障倒换配置400

10.2.1 设备级冗余的配置400

10.2.2 ASDM故障倒换配置向导412

10.2.3 接口级冗余配置413

10.2.4 可选的故障倒换命令414

10.2.5 零停机软件更新（Zero-down-time software upgrades）418

10.3 部署案例420

10.3.1 单模的主用／备用故障倒换模式420

10.3.2 多虚拟防火墙的主用／主用故障倒换模式424

10.4 故障倒换的监测与排错427

10.4.1 监测427

10.4.2 排错430

10.5 总结432

第11章 服务质量433

11.1 QoS类型434

11.1.1 流量优先级划分434

11.1.2 流量管制435

11.1.3 流量整形435

11.2 QoS架构436

11.2.1 数据包流的顺序436

11.2.2 数据包分类437

11.2.3 QoS与VPN隧道440

11.3 配置服务质量441

11.3.1 通过ASDM配置QoS441

11.3.2 通过CLI配置QoS447

11.4 QoS部署方案450

11.4.1 为VoIP流量部署QoS450

11.4.2 为远程访问VPN隧道部署QoS455

11.5 QoS的监测458

11.6 总结460

第3部分 入侵防御系统（IPS）解决方案第12章 IPS配置与排错464

12.1 AIP-SSM和AIP-SSC概述464

12.2 管理AIP-SSM和AIP-SSC464

12.3 Cisco IPS软件架构466

12.3.1 MainApp467

12.3.2 SensorApp468

12.3.3 攻击响应控制器469

12.3.4 AuthenticationApp469

12.3.5 cipsWebserver469

12.3.6 Logger470

12.3.7 EventStore470

12.3.8 CtlTransSource470

12.4 配置AIP-SSM470

12.4.1 CIPS CLI简介470

12.4.2 用户管理476

12.5 维护AIP-SSM478

12.5.1 添加可信主机479

12.5.2 SSH已知主机列表479

12.5.3 升级CIPS软件和特征480

12.5.4 显示软件版本和配置信息484

12.5.5 配置备份487

12.5.6 显示和删除事件488

12.6 高级特性及配置490

12.6.1 自定义特征490

12.6.2 IP记录494

12.6.3 配置阻塞（shun）496

12.6.4 集成Cisco安全代理498

12.6.5 异常检测501

12.7 Cisco ASA僵尸网络检测503

12.7.1 动态数据库和管理员黑名单数据503

12.7.2 DNS侦听（DNS Snooping）505

12.7.3 流量分类506

12.8 总结507

第13章 IPS调试与监测508

13.1 IPS调整508

13.1.1 禁用IPS特征509

13.1.2 撤回IPS特征510

13.2 使用CS-MARS监测并调整AIP-SSM510

13.2.1 在CS-MARS中添加AIP-SSM511

13.2.2 使用CS-MARS调整AIP-SSM511

13.3 显示和清除统计信息512

13.4 总结515

第4部分 内容安全518

第14章 Cisco内容安全和控制安全服务模块518

14.1 CSC SSM初始化配置518

14.2 配置CSC SSM基于网页的特性522

14.2.1 URL阻塞和过滤522

14.2.2 文件阻塞524

14.2.3 HTTP扫描525

14.3 配置CSC SSM基于邮件的特性527

14.3.1 SMTP扫描527

14.3.2 SMTP反垃圾邮件529

14.3.3 SMTP内容过滤532

14.3.4 POP3支持533

14.4 配置CSC SSM文件过滤协议（FTP）533

14.4.1 配置FTP扫描533

14.4.2 FTP文件阻塞535

14.5 总结536

第15章 Cisco内容安全和控制安全服务模块的监测与排错537

15.1 CSC SSM的监测537

15.1.1 详细的实时事件监测538

15.1.2 配置系统日志538

15.2 CSC SSM的排错540

15.2.1 重新安装CSC SSM540

15.2.2 密码恢复542

15.2.3 配置备份543

15.2.4 升级CSC SSM软件544

15.2.5 CLI排错工具545

15.3 总结552

第5部分 虚拟专用网（VPN）解决方案第16章 站点到站点IPSec VPN556

16.1 预配置一览表556

16.2 配置步骤558

16.2.1 步骤1：启用ISAKMP558

16.2.2 步骤2：创建ISAKMP策略559

16.2.3 步骤3：建立隧道组560

16.2.4 步骤4：定义IPSec策略561

16.2.5 步骤5：创建加密映射集563

16.2.6 步骤6：配置流量过滤器（可选）566

16.2.7 步骤7：绕过NAT（可选）567

16.2.8 ASDM配置方法568

16.3 高级特性570

16.3.1 IPSec上的OSPF更新570

16.3.2 反向路由注入571

16.3.3 NAT穿越572

16.3.4 隧道默认网关573

16.3.5 管理访问574

16.3.6 完美向前保密574

16.4 修改默认参数575

16.4.1 安全关联的生命时间575

16.4.2 阶段1的模式576

16.4.3 连接类型577

16.4.4 ISAKMP存活机制578

16.4.5 IPSec和数据包分片579

16.5 部署场景580

16.5.1 使用NAT-T的单站点到站点隧道配置580

16.5.2 使用RRI的全互连拓扑585

16.6 站点到站点VPN的监测与排错596

16.6.1 站点到站点VPN的监测596

16.6.2 站点到站点VPN的排错599

16.7 总结603

第17章 IPSec远程访问VPN604

17.1 Cisco IPSec远程访问VPN解决方案604

17.1.1 IPSec远程访问配置步骤605

17.1.2 步骤1：启用ISAKMP606

17.1.3 步骤2：创建ISAKMP策略607

17.1.4 步骤3：建立隧道和组策略608

17.1.5 步骤4：定义IPSec策略611

17.1.6 步骤5：配置用户认证611

17.1.7 步骤6：分配IP地址614

17.1.8 步骤7：创建加密映射集616

17.1.9 步骤8：配置流量过滤器（可选）617

17.1.10 步骤9：绕过NAT（可选）617

17.1.11 步骤10：建立分离隧道（可选）617

17.1.12 步骤11：指定DNS和WINS（可选）619

17.1.13 ASDM的另一种配置方法620

17.1.14 CiscoVPN客户端配置621

17.2 高级Cisco IPSec VPN特性624

17.2.1 隧道默认网关625

17.2.2 透明隧道625

17.2.3 VPN负载分担628

17.2.4 客户端防火墙631

17.2.5 基于硬件的Easy VPN客户端特性633

17.3 L2TP over IPSec远程访问VPN解决方案635

17.3.1 L2TP over IPSec远程访问配置步骤637

17.3.2 Windows L2TP over IPSec客户端配置639

17.4 部署场景640

17.4.1 Cisco IPSec客户端和站点到站点集成的负载分担640

17.4.2 L2TP over IPSec和流量发卡645

17.4.3 Cisco远程访问VPN的监测与排错649

17.5 总结654

第18章 公钥基础（PKI）655

18.1 PKI介绍655

18.1.1 证书656

18.1.2 证书管理机构（CA）656

18.1.3 证书撤销列表657

18.1.4 简单证书注册协议658

18.2 安装证书658

18.2.1 通过ASDM安装证书658

18.2.2 通过CLI安装证书665

18.3 本地证书管理机构674

18.3.1 通过ASDM配置本地CA675

18.3.2 通过CLI配置本地CA676

18.3.3 通过ASDM注册本地CA用户678

18.3.4 通过CLI注册本地CA用户680

18.4 使用证书配置IPSec站点到站点隧道681

18.5 配置Cisco ASA使用证书接受远程访问IPSec VPN客户端685

18.5.1 注册Cisco VPN客户端685

18.5.2 配置Cisco ASA687

18.6 PKI排错689

18.6.1 时间和日期不匹配689

18.6.2 SCEP注册问题692

18.6.3 CRL检索问题693

18.7 总结693

第19章 无客户端远程访问SSL VPN694

19.1 设计SSLVPN需要考虑的因素695

19.1.1 用户连通性695

19.1.2 ASA特性集695

19.1.3 基础设施规划695

19.1.4 实施范围695

19.2 SSL VPN前提条件696

19.2.1 SSL VPN授权696

19.2.2 客户端操作系统和浏览器的软件需求698

19.2.3 基础设施需求699

19.3 SSL VPN前期配置向导699

19.3.1 注册数字证书（推荐）700

19.3.2 建立隧道和组策略704

19.3.3 设置用户认证708

19.4 无客户端SSL VPN配置向导711

19.4.1 在接口上启用无客户端SSL VPN712

19.4.2 配置SSL VPN自定义门户712

19.4.3 配置标签723

19.4.4 配置Web类型ACL729

19.4.5 配置应用访问731

19.4.6 配置客户端／服务器插件734

19.5 Cisco安全桌面735

19.5.1 CSD组件736

19.5.2 CSD需求737

19.5.3 CSD技术架构738

19.6 配置CSD739

19.7 主机扫描749

19.7.1 主机扫描模块749

19.7.2 配置主机扫描750

19.8 动态访问策略753

19.8.1 DAP技术架构753

19.8.2 DAP事件顺序754

19.8.3 配置DAP754

19.9 部署场景763

19.9.1 步骤1：定义无客户端连接764

19.9.2 步骤2：配置DAP765

19.10 SSL VPN的监测与排错766

19.10.1 SSL VPN监测766

19.10.2 SSL VPN排错768

19.11 总结770

第20章 基于客户端的远程访问SSL VPN771

20.1 SSL VPN设计考量771

20.1.1 AnyConnect授权771

20.1.2 Cisco ASA设计考量773

20.2 SSL VPN前提条件774

20.2.1 客户端操作系统和浏览器的软件需求775

20.2.2 基础设施需求775

20.3 SSL VPN前期配置向导776

20.3.1 注册数字证书（推荐）776

20.3.2 建立隧道和组策略776

20.3.3 设置用户认证779

20.4 AnyConnect SSL VPN客户端配置向导780

20.4.1 加载AnyConnect程序包781

20.4.2 定义AnyConnect SSL VPN客户端属性782

20.4.3 高级完全隧道特性786

20.4.4 AnyConnect客户端配置790

20.5 AnyConnect客户端的部署场景793

20.5.1 步骤1：配置CSD进行注册表检查794

20.5.2 步骤2：配置RADIUS进行用户认证795

20.5.3 步骤3：配置AnyConnect SSL VPN795

20.5.4 步骤4：启用地址转换提供Internet访问796

20.6 AnyConnect SSL VPN的监测与排错796

20.6.1 SSL VPN监测796

20.6.2 SSL VPN排错796

20.7 总结799