Cisco防火墙

图书目录:

目　录

第 1章　防火墙与网络安全　1

1.1　网络安全必不可少，但要如何着手呢　2

1.2　防火墙和信任区域　5

1.3　将防火墙部署到网络拓扑环境中　7

1.3.1　路由模式与透明模式　7

1.3.2　网络地址转换和端口地址转换　8

1.4　网络防火墙的主要类型　10

1.4.1　数据包过滤　10

1.4.2　电路级代理　11

1.4.3　应用级代理　12

1.4.4　状态化防火墙　13

1.5　状态化防火墙的演变　14

1.5.1　应用识别(Application Awareness)　14

1.5.2　身份识别技术　15

1.5.3　通过路由表实施保护策略　16

1.5.4　虚拟化防火墙与网络分段　17

1.6　状态化防火墙的类型　19

1.6.1　防火墙设备　19

1.6.2　基于路由器的防火墙　19

1.6.3　基于交换机的防火墙　20

1.7　使用状态化防火墙的经典网络拓扑结构　20

1.8　状态化防火墙与网络安全设计　21

1.8.1　状态化防火墙和VPN技术的结合使用　22

1.8.2　状态化防火墙和入侵防御技术的结合使用　23

1.8.3　状态化防火墙和专用安全设备的结合使用　24

1.9　总结　25

第 2章　Cisco防火墙系列概述　27

2.1　ASA设备的概述　28

2.1.1　ASA设备的产品定位　28

2.1.2　防火墙的性能参数　29

2.1.3　ASA硬件型号的概述　32

2.2　防火墙服务模块的概述　36

2.3　集成于IOS系统的防火墙的概述　38

2.3.1　集成服务路由器　38

2.3.2　汇聚服务路由器　39

2.4　总结　41

第3章　防火墙配置基础　42

3.1　通过命令行界面访问设备　43

3.2　ASA的基本配置　43

3.2.1　ASA设备的基本配置方法(非5505平台)　48

3.2.2　ASA 5505平台的基本配置方法　51

3.3　FWSM的基本配置　54

3.4　ASA和FWSM的远程管理　59

3.4.1　Telnet访问　60

3.4.2　SSH连接访问　61

3.4.3　使用ASDM实现HTTPS连接　62

3.5　IOS的基本配置　66

3.6　IOS设备的远程管理　69

3.6.1　Telnet远程访问　69

3.6.2　SSH远程访问　70

3.6.3　使用HTTP和HTTPS发起远程访问　71

3.7　通过NTP实现时钟同步　73

3.8　通过PPPoE客户端来获取IP地址　76

3.9　DHCP服务　81

3.10　总结　85

3.11　深入阅读　85

第4章　工欲善其事，必先利其器　86

4.1　访问控制列表的**用法　87

4.2　事件日志　89

4.3　调试(debug)命令　93

4.4　使用Netflow执行流量审计和其他功能　95

4.4.1　开启IOS的流量采集　97

4.4.2　传统型Netflow　97

4.4.3　Netflow v9与Flexible Netflow　102

4.4.4　在ASA设备上启用NSEL　108

4.5　通过ASDM执行性能监测　111

4.6　图形化界面与CLI之间的相互关联　112

4.7　ASA的数据包追踪(Packet Tracer)技术　115

4.8　抓包　119

4.8.1　ASA设备内置的抓包工具　119

4.8.2　IOS设备内置的抓包工具　124

4.9　总结　126

第5章　网络拓扑中的防火墙　128

5.1　IP路由与转发简介　129

5.2　静态路由概述　130

5.3　路由协议的基本概念　133

5.4　RIP概述　136

5.5　EIGRP概述　145

5.6　OSPF概述　162

5.7　为路由协议配置认证　182

5.8　桥接操作　185

5.9　总结　193

第6章　防火墙世界中的虚拟化　195

6.1　一些初始定义　196

6.2　从数据平面说起：VLAN与VRF　197

6.2.1　虚拟LAN　197

6.2.2　VRF　198

6.3　VRF感知型服务　207

6.4　超越数据平面—虚拟防火墙　208

6.5　虚拟防火墙的管理访问　221

6.6　为虚拟防火墙分配资源　224

6.7　虚拟成分之间的互联　227

6.7.1　将VRF与外部路由器互联　227

6.7.2　两个没有共享接口的虚拟防火墙互联　229

6.7.3　共享一个接口的两个FWSM虚拟防火墙互联　230

6.7.4　共享一个接口的两个ASA虚拟防火墙互联　233

6.8　虚拟防火墙那些事　236

6.9　虚拟化的整体架构　237

6.9.1　FWSM与ACE模块的虚拟化　237

6.9.2　分段传输　239

6.9.3　虚拟设备与Nexus 1000V　240

6.10　总结　241

第7章　在没有部署NAT的环境中穿越ASA　242

7.1　穿越ASA防火墙进行访问的类型　243

7.2　关于安全级别的其他思考　248

7.2.1　接入Internet的防火墙拓扑　249

7.2.2　外联网拓扑　249

7.2.3　隔离内部部门　250

7.3　ICMP连接案例　250

7.3.1　出站ping　250

7.3.2　入站ping　252

7.3.3　穿越ASA执行Windows Traceroute　253

7.4　UDP连接示例　256

7.5　TCP连接实例　260

7.5.1　与TCP连接相关的ASA标记　261

7.5.2　TCP序列号随机生成　263

7.6　相同安全级别之间的访问　268

7.7　ACL和对象组的处理　270

7.8　总结　280

第8章　在部署了NAT的环境中穿越ASA　282

8.1　nat-Control模型　283

8.2　出站NAT分析　285

8.2.1　动态NAT　286

8.2.2　动态PAT　288

8.2.3　Identity NAT　291

8.2.4　静态NAT　293

8.2.5　策略NAT　294

8.2.6　NAT免除　298

8.2.7　NAT优先级规则　299

8.3　入站访问的地址发布　303

8.3.1　通过static命令进行发布　303

8.3.2　通过端口重定向进行发布　304

8.3.3　通过NAT免除技术进行发布　305

8.4　入站NAT分析　306

8.4.1　入站方向的动态PAT　306

8.4.2　入站方向的Identity NAT　308

8.4.3　入站方向的NAT免除技术　309

8.4.4　入站方向的静态NAT　309

8.5　双向NAT(Dual NAT)　310

8.6　禁用TCP序列号随机生成　312

8.7　通过NAT规则定义连接限制　314

8.8　总结　316

第9章　经典IOS防火墙概述　317

9.1　CBAC的用途　318

9.2　CBAC基础　319

9.3　ICMP连接示例　321

9.4　UDP连接示例　325

9.5　TCP连接示例　328

9.6　ACL与对象组的处理　332

9.6.1　在ACL列表中使用对象组　334

9.6.2　CBAC与访问控制列表　336

9.7　IOS NAT概述　337

9.7.1　静态NAT　339

9.7.2　动态NAT　342

9.7.3　策略NAT　343

9.7.4　双向NAT　344

9.7.5　NAT与流审计　346

9.8　CBAC与NAT　349

9.9　总结　353

第 10章　IOS区域策略防火墙概述　354

10.1　ZFW的用途　355

10.2　为基于区域的防火墙策略创建类　358

10.3　ICMP连接示例　363

10.4　UDP连接示例　366

10.5　TCP连接示例　370

10.6　ZFW与ACL　372

10.7　ZFW与NAT　384

10.8　透明模式下的ZFW　393

10.9　定义连接限制　396

10.10　路由器流量的监控　400

10.11　在IOS 15.X中的区域内防火墙策略　403

10.12　总结　407

第 11章　其他防护机制　408

11.1　防欺骗　409

11.1.1　使用ACL的经典防欺骗技术　409

11.1.2　在IOS上使用uRPF的防欺骗机制　410

11.1.3　在ASA上使用uRPF的防欺骗机制　413

11.2　TCF标记过滤　417

11.3　TTL值过滤　422

11.4　处理IP可选项　423

11.4.1　在IOS系统执行IP可选项无状态过滤　426

11.4.2　在IOS系统中丢弃带有IP可选项的数据包　430

11.4.3　ASA丢弃带有IP可选项的数据包　431

11.5　处理IP分片　432

11.5.1　在IOS中对IP分片进行无状态过滤　436

11.5.2　IOS的虚拟分片重组　438

11.5.3　ASA的虚拟分片重组　439

11.6　灵活数据包匹配　440

11.7　时间访问控制列表　445

11.7.1　ASA上的时间访问控制列表　446

11.7.2　IOS上的时间访问控制列表　449

11.8　ASA上的连接限制　450

11.9　ASA上的TCP正常化(Normalization)　455

11.10　ASA上的威胁检测　459

11.11　总结　463

11.12　深入阅读　464

第 12章　应用监控　465

12.1　经典IOS防火墙的监控功能　466

12.2　区域策略防火墙的应用监控　470

12.3　区域策略防火墙的DNS监控　472

12.4　区域策略防火墙的FTP监控　473

12.5　区域策略防火墙的HTTP监控　479

12.6　区域策略防火墙的IM监控　486

12.7　ASA应用监控的概述　489

12.8　ASA的DNS监控　493

12.8.1　DNS防护(DNS Guard)　495

12.8.2　DNS刮除(DNS Doctoring)　497

12.8.3　DNS监控参数　500

12.8.4　一些其他的DNS监控功能　503

12.9　ASA的FTP监控　505

12.10　ASA的HTTP监控　516

12.11　ASA的IM及隧道流量监控　525

12.12　ASA的僵尸网络流量监控　528

12.13　总结　536

12.14　深入阅读　536

第 13章　语音协议的监控　537

13.1　介绍语音术语　538

13.2　Skinny协议　540

13.3　H.323框架　550

13.3.1　H.323直接呼叫　553

13.3.2　H.323网守路由的呼叫　557

13.4　会话初始化协议(SIP)　563

13.5　MGCP协议　574

13.6　Cisco IP电话和数字证书　582

13.7　使用ASA TLS代理进行**语音检测　585

13.8　使用ASA电话代理进行**语音检测　592

13.9　总结　605

13.10　深入阅读　605

第 14章　Cisco 防火墙上的身份认证　606

14.1　选择认证协议　608

14.2　通过直通代理(Cut-Through Proxy)实现ASA用户级控制　610

14.3　通过认证代理(Auth-Proxy)实现IOS用户级控制　623

14.3.1　方案1：包含可下载ACE的IOS认证代理　626

14.3.2　方案2：包含可下载ACL的IOS代理　628

14.3.3　方案3：将经典IP监控(CBAC)与认证代理相结合　630

14.4　基于用户的区域策略防火墙　633

14.4.1　在IOS中建立用户组成员关系的认知功能—方法1　634

14.4.2　在IOS中建立用户组成员关系的认知功能—方法2　635

14.4.3　将认证代理与ZFW进行集成　638

14.5　IOS上的管理访问控制　641

14.6　ASA上的管理访问控制　650

14.7　总结　654

第 15章　防火墙与IP组播　655

15.1　组播编址的回顾　656

15.2　组播路由与转发概述　657

15.2.1　上游接口与下游接口　658

15.2.2　RPF接口与RPF检验　659

15.3　PIM组播路由　662

15.3.1　在Cisco路由器上启用PIM　663

15.3.2　PIM-DM基础　664

15.3.3　PIM-SM基础　665

15.3.4　在PIM-SM拓扑中寻找集合点　674

15.4　将ASA插入组播路由环境中　681

15.4.1　在ASA上启用组播路由　682

15.4.2　ASA中的末节组播路由　686

15.4.3　ASA充当PIM-SM路由器　691

15.5　ASA上的组播转发规则汇总　695

15.6　总结　698

15.7　深入阅读　698

第 16章　Cisco防火墙与IPv6　699

16.1　IPv6入门　700

16.2　IPv6编址概述　701

16.3　IPv6头部格式　706

16.4　IPv6连接基础　708

16.5　处理IOS IPv6访问控制列表　727

16.6　经典IOS防火墙对IPv6的支持　735

16.7　区域策略防火墙对IPv6的支持　741

16.8　ASA IPv6 ACL和对象组的处理　750

16.9　在ASA上实现IPv6的状态化监控　755

16.10　建立连接限制　758

16.11　IPv6与反欺骗　760

16.11.1　在ASA上通过uRPF实现反欺骗　760

16.11.2　在IOS上通过uRPF实现反欺骗　761

16.12　IPv6与分片　762

16.12.1　ASA上的虚拟分片重组　767

16.12.2　IOS上的虚拟分片重组　768

16.13　总结　769

16.14　深入阅读　769

第 17章　防火墙的互动　770

17.1　防火墙与入侵防御系统　771

17.2　防火墙与服务质量　776

17.3　防火墙与私有VLAN　777

17.4　防火墙与服务器负载分担　779

17.5　防火墙与虚拟设备　784

17.5.1　用外部防火墙保护虚拟设备　784

17.5.2　使用虚拟防火墙设施保护虚拟设备　786

17.6　防火墙与IPv6隧道机制　789

17.7　防火墙与IPSec VPN　794

17.7.1　使用IOS设备部署经典的IPSec站点到站点VPN　795

17.7.2　使用虚拟隧道接口(VTI)实现IPSec站点到站点VPN　799

17.7.3　使用一条GRE隧道实现IPSec站点到站点VPN　802

17.7.4　IPSec隧道中的NAT　804

17.7.5　在解密后通过ASA过滤数据包　806

17.8　防火墙与SSL VPN　808

17.8.1　无客户端的访问　809

17.8.2　基于客户端的访问(AnyConnect)　815

17.9　防火墙与MPLS网络　820

17.10　无边界网络的畅想　823

17.11　总结　825

17.12　深入阅读　826

附录A　ASA 8.3在NAT和ACL方面的变化　827