Cisco ASA、PIX与FWSM防火墙手册(第二版)

2.2　防火墙特性和许可证　24
2.3　初始防火墙配置　29
第3章　建立连接　33
3.1　配置接口　33
3.1.1　检验防火墙接口　34
3.1.2　配置接口冗余　35
3.1.3　基本接口配置　37
3.1.4　在接口上配置IPv6　44
3.1.5　配置ARP高速缓存　50
3.1.6　配置接口的MTU和分段　51
3.1.7　配置接口优先队列　53
3.1.8　防火墙拓扑结构考虑事项　57
3.2　配置路由选择　61
3.2.1　使用路由选择信息防止IP地址欺骗　61
3.2.2　配置静态路由　63
3.2.3　支持基于可达性的静态路由　65
3.2.4　配置RIP以交换路由选择信息　69
3.2.5　配置EIGRP以交换路由选择信息　71
3.2.6　配置OSPF以交换路由选择信息　74
3.3　DHCP服务器功能　85
3.3.1　将防火墙作为一个DHCP服务器　86
3.3.2　从DHCP服务器更新动态DNS　88
3.3.3　向DHCP服务器转发DHCP请求　91
3.4　组播支持　93
3.4.1　组播概述　93
3.4.2　组播寻址　93
3.4.3　转发组播流量　94
3.4.4　IGMP：寻找组播组中的接收者　95
3.4.5　PIM：建立一个组播分发树　96
3.4.6　配置PIM　101
3.4.7　使用组播边界划分域　104
3.4.8　过滤PIM邻居　105
3.4.9　过滤双向PIM邻居　106
3.4.10　配置Stub组播路由选择(SMR，Stub Multicast Routing)　106
3.4.11　配置IGMP操作　108
3.4.12　Stub组播路由选择实例　110
3.4.13　PIM组播路由选择实例　111
3.4.14　验证IGMP组播操作　111
3.4.15　验证PIM组播路由选择操作　112
第4章　防火墙管理　117
4.1　使用Security Context构建虚拟防火墙　117
4.1.1　Security Context(虚拟防火墙)结构　118
4.1.2　共享context接口　118
4.1.3　共享context接口的问题　120
4.1.4　用唯一MAC地址解决共享context接口问题　123
4.1.5　配置文件和security context　126
4.1.6　Multiple-context配置规则　126
4.1.7　启动Multiple-context模式　127
4.1.8　multiple security context之间的切换　129
4.1.9　配置一个新的context　130
4.1.10　给context分配防火墙资源　138
4.1.11　验证multiple-context操作　142
4.2　管理Flash文件系统　143
4.2.1　引导ASA或FWSM Flash文件系统　144
4.2.2　管理ASA或FWSM Flash文件系统　145
4.2.3　使用PIX 6.3 Flash文件系统　148
4.2.4　识别操作系统镜像　149
4.2.5　从监控提示符中更新镜像　150
4.2.6　通过管理会话升级镜像　153
4.2.7　自动升级镜像　157
4.3　管理配置文件　157
4.3.1　管理启动配置　157
4.3.2　保存运行配置　159
4.3.3　输入配置　162
4.4　用自动更新服务器进行自动更新　164
4.4.1　将防火墙配置为自动更新客户端　164
4.4.2　验证自动更新客户端操作　168
4.4.3　将防火墙配置为自动更新服务器　169
4.5　管理管理会话　172
4.5.1　控制台连接　173
4.5.2　Telnet会话　174
4.5.3　SSH会话　174
4.5.4　ASDM/PDM会话　177
4.5.5　用户会话标志(Banner)　180
4.5.6　监视管理会话　181
4.6　防火墙重载和崩溃　182
4.6.1　重载防火墙　182
4.6.2　获得崩溃信息　184
4.7　用SNMP监测防火墙　187
4.7.1　防火墙SNMP支持概述　187
4.7.2　SNMP配置　190
第5章　防火墙用户管理　195
5.1　一般用户管理　196
5.1.1　一般用户的验证与授权　196
5.1.2　通用用户统计　197
5.2　用本地数据库管理用户　198
5.2.1　本地用户名的验证　198
5.2.2　授权用户访问防火墙命令　200
5.2.3　本地用户行为统计　203
5.3　定义用于用户管理的AAA服务器　204
5.4　配置AAA以管理管理级用户　209
5.4.1　启用AAA用户验证　209
5.4.2　启动AAA命令授权　211
5.4.3　启用AAA命令统计　213
5.5　为终端用户直通代理配置AAA　214
5.5.1　验证通过用户　214
5.5.2　使用TACACS+服务器授权用户行为　217
5.5.3　使用RADIUS服务器授权用户行为　219
5.5.4　保存用户行为的统计记录　222
5.5.5　AAA直通式代理配置实例　223
5.6　防火墙密码恢复　224
5.6.1　恢复ASA密码　224
5.6.2　恢复PIX密码　227
5.6.3　恢复FWSM密码　228
第6章　通过防火墙的控制访问　231
6.1　路由和透明防火墙模式　231
6.2　地址转换　239
6.2.1　定义访问方向　240
6.2.2　地址转换类型　241
6.2.3　通过地址转换处理连接　243
6.2.4　静态NAT　246
6.2.5　策略NAT　248
6.2.6　一致性NAT　251
6.2.7　NAT豁免　252
6.2.8　动态地址转换(NAT或PAT)　253
6.2.9　控制流量　258
6.3　使用访问列表控制访问　261
6.3.1　编译访问列表　261
6.3.2　配置访问列表　262
6.3.3　访问列表实例　268
6.3.4　定义对象组　269
6.3.5　监控访问列表　281
6.4　规避流量　283
第7章　检测流量　287
7.1　过滤内容　287
7.1.1　配置内容过滤器　288
7.1.2　内容-过滤举例　292
7.1.3　利用Web缓存实现更好的HTTP服务性能　293
7.2　在模块化策略结构中定义安全策略　293
7.2.1　对3和4层流量进行分类　295
7.2.2　分类管理流量　299
7.2.3　定义一个第3/4层策略　300
7.2.4　默认策略定义　310
7.3　应用检测　312
第8章　使用故障切换(failover)增强防火墙的可用性　347
8.1　防火墙故障切换(failover)概述　347
8.1.1　故障切换工作原理　348
8.1.2　防火墙故障切换的作用　351
8.1.3　检测防火墙故障　352
8.1.4　故障切换通信　353
8.1.5　A/A模式故障切换的要求　355
8.2　配置防火墙故障切换　356
8.3　 防火墙故障切换配置示例　366
8.3.1　PIX防火墙A/S模式的故障切换实例　366
8.3.2　FWSM中A/S模式故障切换的配置示例　368
8.3.3　A/A模式的故障切换实例　369
8.4　防火墙故障切换管理　374
8.4.1　显示故障切换信息　374
8.4.2　调试故障切换行为　379
8.4.3　手工干预故障切换　381
8.4.4　在故障切换对等单元上执行命令　382
8.5　在故障切换模式下对防火墙进行升级　384
8.5.1　手工升级故障切换对　384
8.5.2　自动升级故障切换对　387
第9章　防火墙负载均衡　389
9.1　防火墙负载均衡概述　389
9.2　基于软件的防火墙负载均衡　391
9.2.1　IOS FWLB配置要点　392
9.2.2　IOS FWLB配置　393
9.2.3　IOS防火墙负载均衡举例　398
9.2.4　显示关于IOS FWLB的信息　403
9.3　基于硬件的防火墙负载均衡　405
9.3.1　基于硬件的FWLB配置要点　406
9.3.2　配置CSM FWLB　407
9.3.3　CSM防火墙负载均衡举例　413
9.3.4　显示CSM FWLB的相关信息　420
9.4　防火墙负载均衡设备　422
9.4.1　CSS FWLB 配置　422
9.4.2　CSS用于防火墙负载均衡示例　424
9.4.3　显示CSS FWLB相关信息　427
第10章　防火墙日志　429
10.1　防火墙时钟管理　429
10.1.1　手工设置时钟　430
10.1.2　用NTP设置时钟　431
10.2　产生日志消息　433
10.2.1　Syslog服务器的建议　436
10.2.2　日志配置　436
10.2.3　验证消息日志活动　454
10.2.4　手工测试日志消息的产生　455
10.3　微调日志消息的生成　456
10.3.1　修剪消息　456
10.3.2　改变消息严重级别　456
10.3.3　访问列表活动日志　457
10.4　分析防火墙日志　459
第11章　验证防火墙运行　463
11.1　检查防火墙的生命特征　463
11.1.1　使用系统日志信息　464
11.1.2　检测系统资源　465
11.1.3　检查状态检测资源　471
11.1.4　检查防火墙吞吐量　473
11.1.5　检查检测引擎和服务策略行为　478
11.1.6　检查故障切换操作　479
11.1.7　检查防火墙接口　487
11.2　查看通过防火墙的数据　493
11.2.1 使用捕获　494
11.2.2　使用调试数据包　511
11.3　验证防火墙连通性　513
11.3.1　步骤1：用ping数据包测试　516
11.3.2　步骤2：检查ARP缓存　518
11.3.3　步骤3：检查路由选择表　519
11.3.4　步骤4：使用traceroute验证转发路径　520
11.3.5　步骤5：检查访问列表　524
11.3.6　步骤6：验证地址转换和连接表　526
11.3.7　步骤7：查找活动的阻塞　533
11.3.8　步骤8：检查用户验证　534
11.3.9　步骤9：了解所发生的变化　536
第12章　ASA模块　539
12.1　初始配置ASA SSM　540
12.1.1　为SSM管理流量预备ASA　540
12.1.2　连接和配置SSM管理接口　540
12.2　配置CSC SSM　542
12.2.1　配置ASA将流量转移到CSC SSM　543
12.2.2　配置初始CSC SSM设置　545
12.2.3　修复初始CSC配置　550
12.2.4　连接到CSC管理接口　551
12.2.5　配置自动更新　552
12.2.6　配置CSC检测策略　554
12.2.7　配置Web(HTTP)检测策略　555
12.2.8　配置文件传输(FTP)检测策略　562
12.2.9　配置邮件(SMTP和POP3)检测策略　563
12.3　配置AIP SSM　573
12.3.1　初始配置AIP　573
12.3.2　管理AIP　576
12.3.3　更新AIP许可证　576
12.3.4　手工更新AIP代码或特征文件　577
12.3.5　自动更新AIP镜像和特征文件　578
12.3.6　IPS策略　579
12.3.7　AIP接口　582
12.3.8　虚拟传感器　582
附录A　通用协议和端口号　587
A-1：IP协议号　587
A-2：ICMP消息类型　588
A-3：IP端口号　589
附录B　安全设备日志消息　595
B-1：警报——系统日志严重等级1消息　596
B-2：重要——系统日志严重等级2消息　598
B-3：错误——系统日志严重等级3消息　600
B-4：警告——系统日志严重等级4消息　607
B-5：通知——系统日志严重等级5消息　611
B-6：信息——系统日志严重等级6消息　615
B-7：调试——系统日志严重等级7消息　621

.　　·第6章 通过防火墙的控制访问——介绍运行和配置透明或路由模式的防火墙、地址转换、流量规避和威胁检测。
　　·第7章 检测流量——涵盖用于定义安全策略的模块化策略架构，可识别并对各类流量进行操作。本章也讨论了安全策略所使用的应用层检测引擎和内容过滤。
　　·第8章 使用故障切换(failover)增强防火墙的可用性——阐述防火墙故障切换的运行和配置，一组防火墙协同运行可提供高可用性。
　　·第9章 防火墙负载均衡——讨论防火墙负载均衡的工作原理，如何在网络中实现此特性，以便在防火墙群中穿过众多防火墙分发流量。
　　·第10章 防火墙日志——阐述如何配置防火墙来产生动态登录消息，以及如何分析登录消息的内容。
　　·第11章 验证防火墙运行——包含如何通过检查防火墙的生命特征来确定其健康状况，如何验证其有效性，以及如何观察流经防火墙的数据。
　　·第12章 ASA模块——讨论可被增加到ASA机架中的安全服务模块(Security Services Module，SSM)，及其基本的配置和使用。
　　·附录A 通用协议和端口号——列出防火墙配置命令支持的已知IP协议号、ICMP消息类型和IP端口号。
　　·附录B 安全设备日志消息——将由ASA、PIX或FWSM防火墙产生的众多日志消息整理为一个简明参考手册。
　　阅读指南
　　本书中的信息遵循简明参考手册的格式。如果你已掌握所使用的防火墙特性或技术，可直接进入对应的章节。主要章节已按简明参考手册索引进行编号，带有各自的章节号(例如，3．3表示第3章第3节)。每页的阴影索引列出了对应的章节号。
　　特性描述
　　各主要章节的开头均有特性的详细解释或简明列表。从这些信息中可快速学习或回顾这些特性的原理。
　　配置步骤
　　包含在各章中的特性均有必需或可选的配置命令。配置步骤的不同之处均以概要形式表示。如果你遵照这些概要，你可以配置复杂的特性或技术。如果你不需要某种特性选择，可以直接跳过这一级的概要。
　　在某些章节，你会发现在配置概要中的每一个步骤将多个防火墙平台中的命令简要地并排列出。所以，无论你面对的何种类型或模式的防火墙，你都可以翻阅相同的配置章节。
　　配置实例
　　每个章节都通过一个实例来阐述如何执行命令及其选项。各实例都夹杂在配置步骤中和主要章节的末尾。我努力尝试让你在学习这些实例时，所输入的命令是按照概要的顺序进行的。
　　大多数时候，由于命令是按预先定义好的顺序来显示，而不是按照你输入的顺序，所以难于学习和理解。如果有可能，本书中的实例也仅显示对应章节的命令。
　　相关特性的显示信息
　　你可以使用一些命令来显示防火墙的特性，各章节都包含这类命令的显示信息。我希望通过这类实例的输出，来帮助你解释防火墙中相同的输出。