編輯推薦
本書是Cisco Press齣版的網絡技術係列安全類叢書之一,該安全類叢書旨在幫助網絡從業人員保護關鍵數據和資源,預防和緩解網絡攻擊,以及構建端到端的自防禦網絡。
本書所涉技術可以用來識彆、緩解和響應當今高度復雜的網絡攻擊,包含瞭如下內容:
理解、安裝、配置、授權、維護和排錯新的ASA設備;
高效實施AAA服務;
使用包過濾、感知上下文的Cisco ASA下一代防火牆服務和NAT/PAT概念來控製和部署網絡接入;
配置IP路由、應用監控和QoS;
使用獨特的配置、接口、策略、路由錶和管理來創建防火牆上下文;
藉助於Cisco Cloud Web Security和Cisco Security Intelligence Operations(SIO),針對眾多類型的惡意軟件和高級持續性威脅(APT)啓用集成保護;
使用故障倒換實施高彈性,以及使用集群技術來實施彈性的可擴展性;
部署、排錯、監控、調整和管理IPS特性;
實施站點到站點IPSec VPN和各種類型的遠程接入VPN(IPSec、無客戶端SSL和客戶端SSL);
配置和排錯PKI;
使用IKEv2更為有效地抵抗針對VPN的攻擊;
充分利用IPv6對IPS、包監控、透明防火牆和站點到站點IPSec VPN的支持。
現如今,網絡攻擊人員比以往更為老練、無情和危險。本書在上一版的基礎上進行瞭全麵更新,涵蓋瞭新的安全技術(Cisco技術和非Cisco技術),可保護網絡環境中端到端的安全。本書講解瞭使用Cisco ASA創建完整的安全計劃,以及部署、配置、運維和排錯安全解決方案的每一個環節。
本書針對新的ASA型號進行瞭更新,涵蓋瞭ASA 5500-X、ASA 5585-X、ASA服務模塊、ASA下一代防火牆服務、EtherChannel、全局ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN客戶端等內容。本書介紹瞭ASA設備授權的重大變化、ASA IPS增強的功能,以及配置IPSec、SSL VPN和NAT/NPT等內容。
你將學到如何使用Cisco ASA自適應識彆和緩解服務來係統性地增強各種規模和類型的網絡環境的安全。本書提供瞭全新的配置案例、成熟的設計場景以及真實的調試環節,旨在幫助讀者在迅速發展的網絡中充分使用Cisco ASA設備。
內容簡介
《Cisco ASA設備使用指南(第3版)》對包括Cisco ASA係列防火牆在內的大量Cisco安全産品的用法進行瞭事無巨細的介紹,從設備不同型號之間性能與功能的差異,到産品許可證提供的擴展性能和特性,從各大安全技術的理論和實現方法,再到各類Cisco安全産品提供特性的原理,方方麵麵不一而足。
《Cisco ASA設備使用指南(第3版)》總共25章,其內容主要有安全技術介紹、Cisco ASA産品及解決方案概述、許可證、初始設置、係統維護、Cisco ASA服務模塊、AAA、控製網絡訪問的傳統方式、通過ASA CX實施下一代防火牆服務、網絡地址轉換、IPv6支持、IP路由、應用監控、虛擬化、透明防火牆、高可用性、實施Cisco ASA入侵防禦係統(IPS)、IPS調試與監測、站點到站點IPSec VPN、IPSec遠程訪問VPN、PKI的配置與排錯、無客戶端遠程訪問SSL VPN、基於客戶端的遠程訪問SSL VPN、組播路由、服務質量等內容。除此之外,本書還介紹瞭如何對ASA上的配置進行驗證等。本書介紹的配置案例相當豐富,配置過程相當具體,它幾乎涵蓋所有使用瞭ASA係列産品的環境。
鑒於《Cisco ASA設備使用指南(第3版)》所涉範圍之廣,技術之新,配置之全,均為當前少見,因此本書適閤所有網絡安全從業人士閱讀,正在學習安全技術的人員可以從中補充大量安全知識完善自己的知識體係;從業多年的售後和售前工程師可以從中掌握各類新特性的運用方法;安全産品的銷售人員可以從中瞭解Cisco安全産品的新發展變化;其他廠商安全産品的開發人員可以從中藉鑒Cisco安全産品的特性和相關原理;院校培訓機構講師可以從中獲取大量操作和實施案例付諸教學實踐。
作者簡介
Jazib Frahim,CCIE #5459(RS、安全),Cisco全球安全解決方案團隊的首席工程師,負責指導Cisco高級客戶設計和實施安全網絡。他設計、開發和發起瞭很多新安全服務理念。他寫作的圖書有Cisco SSL VPN Solutions和Cisco Network Admission Control, Volume II: NAC Deployment and Troubleshooting。
Omar Santos,CISSP #463598,Cisco産品安全事故響應小組(PSIRT)的技術負責人,負責指導並帶領工程師和事故經理來調查和解決各類Cisco産品中的安全漏洞,以保護其客戶。在他18年的IT和網絡安全從業生涯中,他曾為多傢世界500強企業以及美國政府進行過安全網絡的設計、實施和支持工作。他還寫作瞭多本圖書以及大量的白皮書和文章。
Andrew Ossipov,CCIE #18483,CISSP #344324,在Cisco擔任技術營銷工程師,擅長的領域包括防火牆、入侵防禦以及數據中心安全。他在網絡行業有超過16年的從業經驗,其工作內容包括解決客戶的復雜技術難題,設計新的特性與産品,定義Cisco産品未來的發展方嚮。
目錄
第1章 安全技術介紹 1
1.1 防火牆 1
1.1.1 網絡防火牆 2
1.1.2 非軍事化區域(DMZ) 5
1.1.3 深度數據包監控 6
1.1.4 可感知環境的下一代防火牆 6
1.1.5 個人防火牆 7
1.2 入侵檢測係統(IDS)與入侵防禦
係統(IPS) 7
1.2.1 模式匹配及狀態化模式匹配
識彆 8
1.2.2 協議分析 9
1.2.3 基於啓發的分析 9
1.2.4 基於異常的分析 9
1.2.5 全球威脅關聯功能 10
1.3 虛擬專用網絡 11
1.3.1 IPSec技術概述 12
1.3.2 SSL VPN 17
1.4 Cisco AnyConnect Secure Mobility 18
1.5 雲和虛擬化安全 19
總結 20
第2章 Cisco ASA産品及解決方案概述 21
2.1 Cisco ASA各型號概述 21
2.2 Cisco ASA 5505型 22
2.3 Cisco ASA 5510型 26
2.4 Cisco ASA 5512-X型 27
2.5 Cisco ASA 5515-X型 29
2.6 Cisco ASA 5520型 30
2.7 Cisco ASA 5525-X型 31
2.8 Cisco ASA 5540型 31
2.9 Cisco ASA 5545-X型 32
2.10 Cisco ASA 5550型 32
2.11 Cisco ASA 5555-X型 33
2.12 Cisco ASA 5585係列 34
2.13 Cisco Catalyst 6500係列ASA
服務模塊 37
2.14 Cisco ASA 1000V雲防火牆 37
2.15 Cisco ASA下一代防火牆服務
(前身為Cisco ASA CX) 38
2.16 Cisco ASA AIP-SSM模塊 38
2.16.1 Cisco ASA AIP-SSM-10 38
2.16.2 Cisco ASA AIP-SSM-20 39
2.16.3 Cisco ASA AIP-SSM-40 39
2.17 Cisco ASA吉比特以太網模塊 39
2.17.1 Cisco ASA SSM -4GE 40
2.17.2 Cisco ASA 5580擴展卡 40
2.17.3 Cisco ASA 5500-X係列6端口
GE接口卡 41
總結 41
第3章 許可證 42
3.1 ASA上的許可證授權特性 42
3.1.1 基本平颱功能 43
3.1.2 高級安全特性 45
3.1.3 分層功能特性 46
3.1.4 顯示許可證信息 48
3.2 通過激活密鑰管理許可證 49
3.2.1 永久激活密鑰和臨時激活
密鑰 49
3.2.2 使用激活密鑰 51
3.3 故障倒換和集群的組閤許可證 52
3.3.1 許可證匯聚規則 53
3.3.2 匯聚的臨時許可證倒計時 54
3.4 共享的Premium VPN許可證 55
3.4.1 共享服務器與參與方 55
3.4.2 配置共享許可證 56
總結 58
第4章 初始設置 59
4.1 訪問Cisco ASA設備 59
4.1.1 建立Console連接 59
4.1.2 命令行界麵 62
4.2 管理許可證 63
4.3 初始設置 65
4.3.1 通過CLI進行初始設置 65
4.3.2 ASDM的初始化設置 67
4.4 配置設備 73
4.4.1 設置設備名和密碼 74
4.4.2 配置接口 75
4.4.3 DHCP服務 82
4.5 設置係統時鍾 83
4.5.1 手動調整係統時鍾 84
4.5.2 使用網絡時間協議自動
調整時鍾 85
總結 86
第5章 係統維護 87
5.1 配置管理 87
5.1.1 運行配置 87
5.1.2 啓動配置 90
5.1.3 刪除設備配置文件 91
5.2 遠程係統管理 92
5.2.1 Telnet 92
5.2.2 SSH 94
5.3 係統維護 97
5.3.1 軟件安裝 97
5.3.2 密碼恢復流程 101
5.3.3 禁用密碼恢復流程 104
5.4 係統監測 107
5.4.1 係統日誌記錄 107
5.4.2 NetFlow安全事件記錄
(NSEL) 116
5.4.3 簡單網絡管理協議
(SNMP) 119
5.5 設備監測及排錯 123
5.5.1 監測CPU及內存 123
5.5.2 設備排錯 125
總結 129
第6章 Cisco ASA服務模塊 130
6.1 Cisco ASA服務模塊概述 130
6.1.1 硬件架構 131
6.1.2 機框集成 132
6.2 管理主機機框 132
6.2.1 分配VLAN接口 133
6.2.2 監測數據流量 134
6.3 常用的部署方案 136
6.3.1 內部網段防火牆 136
6.3.2 邊緣保護 137
6.4 讓可靠流量通過策略路由
繞過模塊 138
6.4.1 數據流 139
6.4.2 PBR配置示例 140
總結 142
第7章 認證、授權、審計(AAA) 143
7.1 Cisco ASA支持的協議
與服務 143
7.2 定義認證服務器 148
7.3 配置管理會話的認證 152
7.3.1 認證Telnet連接 153
7.3.2 認證SSH連接 154
7.3.3 認證串行Console連接 155
7.3.4 認證Cisco ASDM連接 156
7.4 認證防火牆會話
(直通代理特性) 156
7.5 自定義認證提示 160
7.6 配置授權 160
7.6.1 命令授權 162
7.6.2 配置可下載ACL 162
7.7 配置審計 163
7.7.1 RADIUS審計 164
7.7.2 TACACS+審計 165
7.8 對去往Cisco ASA的管理
連接進行排錯 166
7.8.1 對防火牆會話(直通代理)
進行排錯 168
7.8.2 ASDM與CLI AAA測試
工具 168
總結 169
第8章 控製網絡訪問:傳統方式 170
8.1 數據包過濾 170
8.1.1 ACL的類型 173
8.1.2 ACL特性的比較 174
8.2 配置流量過濾 174
8.2.1 過濾穿越設備的流量 175
8.2.2 過濾去往設備的流量 178
8.3 高級ACL特性 180
8.3.1 對象分組 180
8.3.2 標準ACL 186
8.3.3 基於時間的ACL 187
8.3.4 可下載的ACL 190
8.3.5 ICMP過濾 190
8.4 流量過濾部署方案 191
8.5 監測網絡訪問控製 195
總結 198
第9章 通過ASA CX實施下一代
防火牆服務 199
9.1 CX集成概述 199
9.1.1 邏輯架構 200
9.1.2 硬件模塊 201
9.1.3 軟件模塊 201
9.1.4 高可用性 202
9.2 ASA CX架構 203
9.2.1 數據平麵 204
9.2.2 事件與報告 205
9.2.3 用戶身份 205
9.2.4 TLS解密代理 205
9.2.5 HTTP監控引擎 205
9.2.6 應用監控引擎 206
9.2.7 管理平麵 206
9.2.8 控製平麵 206
9.3 配置CX需要在ASA進行的
準備工作 206
9.4 使用PRSM管理ASA CX 210
9.4.1 使用PRSM 211
9.4.2 配置用戶賬戶 214
9.4.3 CX許可證 216
9.4.4 組件與軟件的更新 217
9.4.5 配置數據庫備份 219
9.5 定義CX策略元素 220
9.5.1 網絡組 221
9.5.2 身份對象 222
9.5.3 URL對象 223
9.5.4 用戶代理對象 224
9.5.5 應用對象 224
9.5.6 安全移動對象 225
9.5.7 接口角色 226
9.5.8 服務對象 226
9.5.9 應用服務對象 227
9.5.10 源對象組 228
9.5.11 目的對象組 228
9.5.12 文件過濾配置文件 229
9.5.13 Web名譽配置文件 230
9.5.14 下一代IPS配置文件 230
9.6 啓用用戶身份服務 231
9.6.1 配置目錄服務器 232
9.6.2 連接到AD代理或CDA 234
9.6.3 調試認證設置 234
9.6.4 定義用戶身份發現策略 235
9.7 啓用TLS解密 237
9.7.1 配置解密設置 239
9.7.2 定義解密策略 241
9.8 啓用NG IPS 242
9.9 定義可感知上下文的訪問策略 243
9.10 配置ASA將流量重定嚮給
CX模塊 246
9.11 監測ASA CX 248
9.11.1 麵闆報告 248
9.11.2 連接與係統事件 249
9.11.3 捕獲數據包 250
總結 253
第10章 網絡地址轉換 254
10.1 地址轉換的類型 254
10.1.1 網絡地址轉換 254
10.1.2 端口地址轉換 255
10.2 配置地址轉換 257
10.2.1 靜態NAT/PAT 257
10.2.2 動態NAT/PAT 258
10.2.3 策略NAT/PAT 259
10.2.4 Identity NAT 259
10.3 地址轉換中的安全保護機製 259
10.3.1 隨機生成序列號 259
10.3.2 TCP攔截(TCP Intercept) 260
10.4 理解地址轉換行為 260
10.4.1 8.3版之前的地址轉換行為 261
10.4.2 重新設計地址轉換
(8.3及後續版本) 262
10.5 配置地址轉換 264
10.5.1 自動NAT的配置 264
10.5.2 手動NAT的配置 268
10.5.3 集成ACL和NAT 270
10.5.4 配置用例 272
10.6 DNS颳除(DNS Doctoring) 279
10.7 監測地址轉換 281
總結 283
第11章 IPv6支持 284
11.1 IPv6 284
11.1.1 IPv6頭部 284
11.1.2 支持的IPv6地址類型 286
11.2 配置IPv6 286
11.2.1 IP地址分配 287
11.2.2 IPv6 DHCP中繼 288
11.2.3 IPv6可選參數 288
11.2.4 設置IPv6 ACL 289
11.2.5 IPv6地址轉換 291
總結 292
第12章 IP路由 293
12.1 配置靜態路由 293
12.1.1 靜態路由監測 296
12.1.2 顯示路由錶信息 298
12.2 RIP 299
12.2.1 配置RIP 300
12.2.2 RIP認證 302
12.2.3 RIP路由過濾 304
12.2.4 配置RIP重分布 306
12.2.5 RIP排錯 306
12.3 OSPF 308
12.3.1 配置OSPF 310
12.3.2 OSPF虛鏈路 314
12.3.3 配置OSPF認證 316
12.3.4 配置OSPF重分布 319
12.3.5 末節區域與NSSA 320
12.3.6 OSPF類型3 LSA過濾 321
12.3.7 OSPF neighbor命令及跨越
VPN的動態路由 322
12.3.8 OSPFv3 324
12.3.9 OSPF排錯 324
12.4 EIGRP 329
12.4.1 配置EIGRP 330
12.4.2 EIGRP排錯 339
總結 346
第13章 應用監控 347
13.1 啓用應用監控 349
13.2 選擇性監控 350
13.3 CTIQBE監控 353
13.4 DCERPC監控 355
13.5 DNS監控 355
13.6 ESMTP監控 359
13.7 FTP 361
13.8 GPRS隧道協議 363
13.8.1 GTPv0 364
13.8.2 GTPv1 365
13.8.3 配置GTP監控 366
13.9 H.323 367
13.9.1 H.323協議族 368
13.9.2 H.323版本兼容性 369
13.9.3 啓用H.323監控 370
13.9.4 DCS和GKPCS 372
13.9.5 T.38 372
13.10 Cisco統一通信高級特性 372
13.10.1 電話代理 373
13.10.2 TLS代理 376
13.10.3 移動性代理 377
13.10.4 Presence Federation代理 378
13.11 HTTP 378
13.12 ICMP 384
13.13 ILS 385
13.14 即時消息(IM) 385
13.15 IPSec直通 386
13.16 M
Cisco ASA設備使用指南 第3版 下載 mobi epub pdf txt 電子書