Cisco安全防火墙服务模块（FWSM）解决方案

图书目录:

目　录

第 1部分　简介

第 1章　防火墙类型　3

1.1　理解包过滤防火墙　3

1.1.1　优势　4

1.1.2　告诫　4

1.2　理解应用/代理防火墙　5

1.2.1　优势　6

1.2.2　告诫　6

1.3　理解逆向代理防火墙　7

1.3.1　优势　7

1.3.2　告诫　9

1.4　利用包检测技术　9

1.5　IP地址重用　10

1.5.1　NAT　10

1.5.2　PAT　11

1.6　总结　12

第 2章　防火墙服务模块概述　15

2.1　规格　15

2.2　安装　16

2.3　性能　17

2.4　虚拟化　18

2.5　FWSM与其他安全设备的对比　19

2.5.1　IOS防火墙　20

2.5.2　PIX　20

2.5.3　ASA　20

2.6　硬件架构　21

2.7　软件架构　23

2.8　总结　26

第3章　运行模式的分析　29

3.1　透明模式　29

3.1.1　优势　31

3.1.2　缺点　31

3.1.3　流量的流动　32

3.1.4　多网桥组　36

3.2　路由模式　37

3.2.1　优势　38

3.2.2　缺点　38

3.2.3　流量的流动　39

3.3　总结　40

第4章　理解安全级别　43

4.1　接口间的流量传输　44

4.2　网络地址转换/端口地址转换　44

4.2.1　静态NAT　47

4.2.2　静态PAT　52

4.2.3　动态NAT　54

4.2.4　动态PAT　55

4.2.5　NAT控制　55

4.2.6　NAT旁路　55

4.3　总结　57

4.4　参考文献　57

第5章　理解context　59

5.1　多context的好处　60

5.1.1　分离安全策略　60

5.1.2　充分利用硬件投资　60

5.2　多context的缺点　60

5.3　添加和删除context　60

5.3.1　添加context　62

5.3.2　删除context　62

5.4　在context之间切换　63

5.5　理解资源管理　64

5.6　总结　69

第 2部分　初始配置

第6章　6500/7600系列机箱的配置与保护　73

6.1　理解主机箱和FWSM之间的交互　73

6.2　分配接口　75

6.3　保护6500/7600(主机箱)　77

6.3.1　控制物理访问　77

6.3.2　考虑环境因素　78

6.3.3　控制管理访问　78

6.3.4　禁用不必要的服务　79

6.3.5　使用基于端口的安全控制访问　80

6.3.6　控制生成树　81

6.3.7　利用访问控制列表　81

6.3.8　保护第3层　81

6.3.9　利用控制面板策略　82

6.3.10　使用QoS保护网络　82

6.3.11　使用额外的安全功能　82

6.4　总结　83

6.5　参考文献　83

第7章　FWSM的配置　85

7.1　在交换机中配置FWSM　85

7.2　路由模式　87

7.3　透明模式　89

7.4　在多context中使用FWSM　90

7.4.1　context配置　90

7.4.2　系统context的配置　90

7.4.3　admin context的配置　90

7.4.4　FWSM context模式中的数据包分类器　91

7.4.5　context中的资源管理　92

7.5　防火墙服务模块的配置步骤　92

7.5.1　类型1：配置单context路由模式　92

7.5.2　类型2：配置单context透明模式　94

7.5.3　类型3：配置多context混合模式　96

7.6　总结　100

第8章　ACL　103

8.1　访问列表类型的介绍　103

8.1.1　理解访问控制条目　104

8.1.2　理解访问列表提交　105

8.2　理解对象组　106

8.3　监视访问列表资源　106

8.4　配置对象组和访问列表　107

8.4.1　协议类型　107

8.4.2　网络类型　107

8.4.3　服务类型　107

8.4.4　嵌套类型　107

8.4.5　EtherType　108

8.5　总结　109

第9章　路由协议的配置　111

9.1　支持路由方法　112

9.1.1　静态路由　112

9.1.2　默认路由　113

9.1.3　OSPF　113

9.1.4　FWSM中的OSPF　117

9.1.5　OSPF在FWSM中的配置　117

9.1.6　OSPF设计案例1　119

9.1.7　OSPF设计案例2　124

9.1.8　路由信息协议　128

9.1.9　FWSM中的RIP　128

9.1.10　边界网关协议　132

9.1.11　FWSM中的BGP　132

9.1.12　FWSM的BGP拓扑　133

9.2　总结　142

第 10章　AAA概述　145

10.1　理解AAA组件　145

10.1.1　FWSM中的认证　145

10.1.2　FWSM中的授权　146

10.1.3　FWSM中的审计　146

10.2　安全协议的比较　146

10.3　理解两步认证　148

10.4　理解回退支持　148

10.4.1　配置回退认证　149

10.4.2　配置本地授权　150

10.5　理解FWSM的直通代理　151

10.5.1　配置自定义登录提示　153

10.5.2　利用MAC地址使流量免于认证和授权　153

10.6　总结　153

第 11章　模块化策略　155

11.1　在FWSM中使用模块化策略　155

11.2　理解流量的分类　157

11.3　定义策略映射　160

11.4　配置服务策略　161

11.5　理解默认的策略映射　162

11.6　模块化策略在FWSM中的配置示例　162

11.7　总结　165

第3部分　高级配置

第 12章　FWSM中的故障切换　169

12.1　在FWSM中构建冗余　169

12.1.1　理解Active/Standby模式　169

12.1.2　理解Active/Active模式　170

12.2　理解故障切换链路和状态链路　171

12.3　故障切换的需求　172

12.4　第 一和第 二防火墙的配置同步　173

12.5　监控端口　173

12.6　配置轮询间隔　175

12.7　接口监控设计准则　175

12.8　配置单context FWSM故障切换　176

12.9　配置多context FWSM故障切换　184

12.10　总结　189

第 13章　理解应用层协议检测　191

13.1　检测超文本传输协议　192

13.2　检测文件传输协议　194

13.3　FSWM与支持的应用协同工作　196

13.4　配置ARP　199

13.4.1　检测ARP　199

13.4.2　配置ARP参数　200

13.5　总结　202

13.6　参考文献　203

第 14章　流量过滤　205

14.1　与第三方产品协同过滤URL和FTP流量　205

14.2　配置ActiveX和Java　211

14.3　总结　212

14.4　参考文献　212

第 15章　管理和监控FWSM　215

15.1　使用Telnet　215

15.2　使用SSH　217

15.3　使用自适应安全设备管理器　218

15.3.1　使用ASDM配置FWSM　218

15.3.2　从客户端管理FWSM　219

15.4　安全访问　220

15.4.1　配置FWSM的VPN终结功能　221

15.4.2　配置VPN客户端　223

15.5　运行简单网络管理协议　226

15.6　探究syslog　226

15.7　使用Cisco安全管理器　228

15.8　监控、分析和响应系统　230

15.9　总结　231

15.10　参考文献　231

第 16章　多播　233

16.1　协议无关多播　234

16.2　理解集中点　235

16.3　PIM接口模式　236

16.4　IGMP协议　236

16.5　多播stub的配置　237

16.6　多播流量穿越防火墙　238

16.6.1　FWSM 1.x和2.x代码版本　238

16.6.2　FWSM 3.x代码版本　238

16.7　配置方法　241

16.7.1　方法1：配置示例——多播流量透过单context模式下的防火墙　241

16.7.2　方法2：配置示例——多播流量经GRE封装透过防火墙　243

16.7.3　方法3：配置示例——多播流量透过多context模式下的透明防火墙　246

16.8　总结　250

第 17章　非对称路由　253

17.1　未部署防火墙时的非对称路由　253

17.2　防火墙环境中的非对称流量　255

17.3　避免非对称流量穿越防火墙　256

17.3.1　选项1：让对称流量穿越防火墙　256

17.3.2　选项2：防火墙和路由冗余时的流量对称　256

17.4　FWSM对非对称路由的支持　259

17.4.1　在Active/Standby模式中支持非对称路由　259

17.4.2　在Active/Active模式中支持非对称路由　259

17.5　配置FWSM ASR特性　262

17.6　 总结　266

第 18章　防火墙负载均衡　269

18.1　防火墙负载均衡的价值　269

18.2　防火墙负载均衡的设计需求　270

18.3　防火墙负载均衡解决方案　271

18.3.1　使用策略路由的防火墙负载均衡　271

18.3.2　使用内容交换模块的防火墙负载均衡　273

18.3.3　使用应用程序控制引擎的防火墙负载均衡　279

18.4　防火墙负载均衡配置示例　282

18.4.1　配置OUT2IN策略　283

18.4.2　配置防火墙　283

18.4.3　配置OUT2IN策略　287

18.5　总结　288

第 19章　IP版本6　291

19.1　理解IPv6数据包头部　292

19.2　探究IPv6地址类型　293

19.3　FWSM上的IPv6　294

19.3.1　在FWSM上配置IPv6特性　295

19.3.2　在FWSM上配置IPv6　299

19.4　总结　306

第 20章　网络攻击防护　309

20.1　网络防护　309

20.2　屏蔽(shun)攻击　311

20.3　地址欺骗　312

20.4　理解连接限制和连接超时　314

20.4.1　配置连接限制　314

20.4.2　配置连接超时时间　315

20.5　总结　317

20.6　参考文献　317

第 21章　排除FWSM故障　319

21.1　建立故障排除的思路　319

21.2　理智地评估故障　319

21.3　在FWSM上对数据流做连通性测试　321

21.4　故障排除FAQ　323

21.4.1　如何认定流量是否被转发到了FWSM上的特定接口　323

21.4.2　如何查看FWSM的ACL资源限制　325

21.4.3　如何验证防火墙安全域之间的连通性　326

21.4.4　何为网络分析模块　326

21.4.5　网络管理和监控工具　328

21.4.6　如何恢复密码　329

21.5　总结　330

第4部分　设计指导和配置案例

第 22章　设计网络基础设施　335

22.1　确定设计中的考虑因素　335

22.2　确定部署选项　337

22.3　确定部署位置　338

22.3.1　防火墙之于企业网　342

22.3.2　FWSM之于数据中心　342

22.3.3　支持虚拟化网络　343

22.4　总结　358

22.5　参考文献　358

第 23章　设计构思　361

23.1　FWSM终结第三层VPN(VRF)　362

23.1.1　配置PFC　364

23.1.2　配置FWSM　366

23.2　混合模式下的故障切换　368

23.3　单FWSM上不同安全区域之间的通信　374

23.3.1　配置PFC　375

23.3.2　配置FWSM　377

23.4　涉及FWSM的路由动态学习机制　382

23.5　FWSM之于数据中心网络环境　388

23.5.1　方法一：运行多context路由模式的FWSM参与第三层VPN隔离　388

23.5.2　方法二：运行多context透明模式的FWSM参与第三层VPN隔离　391

23.6　PVLAN和FWSM　393

23.6.1　设计FWSM的PVLAN配置　393

23.6.2　涉及FWSM的PVLAN设计：场景一　394

23.6.3　涉及FWSM的PVLAN设计：场景二　395

23.6.4　配置PVLAN　396

23.7　总结　401

第5部分　FWSM 4.x

第 24章　FWSM 4.x性能和可扩展性的提升　405

24.1　借Supervisor提高FWSM性能　405

24.2　利用PISA实现超强的流量检测功能　409

24.3　改善内存分配　414

24.3.1　内存分区　414

24.3.2　规则重分配　416

24.3.3　优化ACL　419

24.4　总结　420

第 25章　FWSM 4.x路由功能与其他增强特性　423

25.1　配置EIGRP　423

25.2　配置路由健康注入　426

25.3　理解应用支持　430

25.3.1　配置正则表达式　431

25.3.2　理解应用检测的增强功能　433

25.4　对SNMP管理信息库的补充支持　435

25.5　其他安全特性　436

25.5.1　DHCP选项82　436

25.5.2　SmartFilter HTTPS支持　437

25.6　总结　437

25.7　参考文献　438