Cisco ASA設備使用指南(第3版)(簡體書)
商品資訊
商品簡介
《Cisco ASA設備使用指南(第3版)》總共25章,其內容主要有安全技術介紹、Cisco ASA產品及解決方案概述、許可證、初始設置、系統維護、Cisco ASA服務模塊、AAA、控制網絡訪問的傳統方式、通過ASA CX實施下一代防火牆服務、網絡地址轉換、IPv6支持、IP路由、應用監控、虛擬化、透明防火牆、高可用性、實施Cisco ASA入侵防禦系統(IPS)、IPS調試與監測、站點到站點IPSec VPN、IPSec遠程訪問VPN、PKI的配置與排錯、無客戶端遠程訪問SSL VPN、基於客戶端的遠程訪問SSL VPN、組播路由、服務質量等內容。除此之外,本書還介紹了如何對ASA上的配置進行驗證等。本書介紹的配置案例相當豐富,配置過程相當具體,它幾乎涵蓋所有使用了ASA系列產品的環境。
鑒於《Cisco ASA設備使用指南(第3版)》所涉範圍之廣,技術之新,配置之全,均為當前少見,因此本書適合所有網絡安全從業人士閱讀,正在學習安全技術的人員可以從中補充大量安全知識完善自己的知識體系;從業多年的售後和售前工程師可以從中掌握各類新特性的運用方法;安全產品的銷售人員可以從中瞭解Cisco安全產品的新發展變化;其他廠商安全產品的開發人員可以從中借鑒Cisco安全產品的特性和相關原理;院校培訓機構講師可以從中獲取大量操作和實施案例付諸教學實踐。
作者簡介
作者:[美]壓茨布 弗拉海(Jazib Frahim)、奧馬爾 桑托斯(Omar Santos)、安德魯 奧西波夫(Andrew Ossipov) 譯者:YESLAB工作室
Jazib Frahim,CCIE #5459(RS、安全),Cisco全球安全解決方案團隊的首席工程師,負責指導Cisco高級客戶設計和實施安全網路。他設計、開發和發起了很多新安全服務理念。他寫作的圖書有Cisco SSL VPN Solutions和Cisco Network Admission Control, Volume II: NAC Deployment and Troubleshooting。
Omar Santos,CISSP #463598,Cisco產品安全事故回應小組(PSIRT)的技術負責人,負責指導並帶領工程師和事故經理來調查和解決各類Cisco產品中的安全性漏洞,以保護其客戶。在他18年的IT和網路安全從業生涯中,他曾為多家世界500強企業以及美國政府進行過安全網路的設計、實施和支持工作。他還寫作了多本圖書以及大量的白皮書和文章。
Andrew Ossipov,CCIE #18483,CISSP #344324,在Cisco擔任技術行銷工程師,擅長的領域包括防火牆、入侵防禦以及資料中心安全。他在網路行業有超過16年的從業經驗,其工作內容包括解決客戶的複雜技術難題,設計新的特性與產品,定義Cisco產品未來的發展方向。
名人/編輯推薦
編輯推薦
本書是Cisco Press出版的網路技術系列安全類叢書之一,該安全類叢書旨在説明網路從業人員保護關鍵資料和資源,預防和緩解網路攻擊,以及構建端到端的自防禦網路。
本書所涉技術可以用來識別、緩解和回應當今高度複雜的網路攻擊,包含了如下內容:
理解、安裝、配置、授權、維護和排錯新的ASA設備;
高效實施AAA服務;
使用包過濾、感知上下文的Cisco ASA下一代防火牆服務和NAT/PAT概念來控制和部署網路接入;
配置IP路由、應用監控和QoS;
使用獨特的配置、介面、策略、路由表和管理來創建防火牆上下文;
借助於Cisco Cloud Web Security和Cisco Security Intelligence Operations(SIO),針對眾多類型的惡意軟體和高級持續性威脅(APT)啟用集成保護;
使用故障倒換實施高彈性,以及使用集群技術來實施彈性的可擴展性;
部署、排錯、監控、調整和管理IPS特性;
實施網站到網站IPSec VPN和各種類型的遠端接入VPN(IPSec、無用戶端SSL和用戶端SSL);
配置和排錯PKI;
使用IKEv2更為有效地抵抗針對VPN的攻擊;
充分利用IPv6對IPS、包監控、透明防火牆和網站到網站IPSec VPN的支持。
現如今,網路攻擊人員比以往更為老練、無情和危險。本書在上一版的基礎上進行了全面更新,涵蓋了新的安全技術(Cisco技術和非Cisco技術),可保護網路環境中端到端的安全。本書講解了使用Cisco ASA創建完整的安全計畫,以及部署、配置、運維和排錯安全解決方案的每一個環節。
本書針對新的ASA型號進行了更新,涵蓋了ASA 5500-X、ASA 5585-X、ASA服務模組、ASA下一代防火牆服務、EtherChannel、全域ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN用戶端等內容。本書介紹了ASA設備授權的重大變化、ASA IPS增強的功能,以及配置IPSec、SSL VPN和NAT/NPT等內容。
你將學到如何使用Cisco ASA自我調整識別和緩解服務來系統性地增強各種規模和類型的網路環境的安全。本書提供了全新的配置案例、成熟的設計場景以及真實的調試環節,旨在幫助讀者在迅速發展的網路中充分使用Cisco ASA設備。
目次
目錄
第1章 安全技術介紹 1
1.1 防火牆 1
1.1.1 網路防火牆 2
1.1.2 非軍事化區域(DMZ) 5
1.1.3 深度資料包監控 6
1.1.4 可感知環境的下一代防火牆 6
1.1.5 個人防火牆 7
1.2 入侵偵測系統(IDS)與入侵防禦
系統(IPS) 7
1.2.1 模式匹配及狀態化模式匹配
識別 8
1.2.2 協議分析 9
1.2.3 基於啟發的分析 9
1.2.4 基於異常的分析 9
1.2.5 全球威脅關聯功能 10
1.3 虛擬私人網路絡 11
1.3.1 IPSec技術概述 12
1.3.2 SSL VPN 17
1.4 Cisco AnyConnect Secure Mobility 18
1.5 雲和虛擬化安全 19
總結 20
第2章 Cisco ASA產品及解決方案概述 21
2.1 Cisco ASA各型號概述 21
2.2 Cisco ASA 5505型 22
2.3 Cisco ASA 5510型 26
2.4 Cisco ASA 5512-X型 27
2.5 Cisco ASA 5515-X型 29
2.6 Cisco ASA 5520型 30
2.7 Cisco ASA 5525-X型 31
2.8 Cisco ASA 5540型 31
2.9 Cisco ASA 5545-X型 32
2.10 Cisco ASA 5550型 32
2.11 Cisco ASA 5555-X型 33
2.12 Cisco ASA 5585系列 34
2.13 Cisco Catalyst 6500系列ASA
服務模組 37
2.14 Cisco ASA 1000V雲防火牆 37
2.15 Cisco ASA下一代防火牆服務
(前身為Cisco ASA CX) 38
2.16 Cisco ASA AIP-SSM模組 38
2.16.1 Cisco ASA AIP-SSM-10 38
2.16.2 Cisco ASA AIP-SSM-20 39
2.16.3 Cisco ASA AIP-SSM-40 39
2.17 Cisco ASA吉比特乙太網模組 39
2.17.1 Cisco ASA SSM -4GE 40
2.17.2 Cisco ASA 5580擴展卡 40
2.17.3 Cisco ASA 5500-X系列6埠
GE介面卡 41
總結 41
第3章 許可證 42
3.1 ASA上的許可證授權特性 42
3.1.1 基本平臺功能 43
3.1.2 高級安全特性 45
3.1.3 分層功能特性 46
3.1.4 顯示許可證資訊 48
3.2 通過啟用金鑰管理許可證 49
3.2.1 永久啟用金鑰和臨時啟動
金鑰 49
3.2.2 使用啟用金鑰 51
3.3 故障倒換和集群的組合許可證 52
3.3.1 許可證彙聚規則 53
3.3.2 彙聚的臨時許可證倒計時 54
3.4 共用的Premium VPN許可證 55
3.4.1 共用伺服器與參與方 55
3.4.2 配置共用許可證 56
總結 58
第4章 初始設置 59
4.1 訪問Cisco ASA設備 59
4.1.1 建立Console連接 59
4.1.2 命令列介面 62
4.2 管理許可證 63
4.3 初始設置 65
4.3.1 通過CLI進行初始設置 65
4.3.2 ASDM的初始化設置 67
4.4 配置設備 73
4.4.1 設置設備名和密碼 74
4.4.2 配置介面 75
4.4.3 DHCP服務 82
4.5 設置系統時鐘 83
4.5.1 手動調整系統時鐘 84
4.5.2 使用網路時間協定自動
調整時鐘 85
總結 86
第5章 系統維護 87
5.1 配置管理 87
5.1.1 運行配置 87
5.1.2 啟動配置 90
5.1.3 刪除設備設定檔 91
5.2 遠端系統管理 92
5.2.1 Telnet 92
5.2.2 SSH 94
5.3 系統維護 97
5.3.1 軟體安裝 97
5.3.2 密碼恢復流程 101
5.3.3 禁用密碼恢復流程 104
5.4 系統監測 107
5.4.1 系統日誌記錄 107
5.4.2 NetFlow安全事件記錄
(NSEL) 116
5.4.3 簡單網路管理協定
(SNMP) 119
5.5 設備監測及排錯 123
5.5.1 監測CPU及記憶體 123
5.5.2 設備排錯 125
總結 129
第6章 Cisco ASA服務模組 130
6.1 Cisco ASA服務模組概述 130
6.1.1 硬體架構 131
6.1.2 機框集成 132
6.2 管理主機機框 132
6.2.1 分配VLAN介面 133
6.2.2 監測資料流量 134
6.3 常用的部署方案 136
6.3.1 內部網段防火牆 136
6.3.2 邊緣保護 137
6.4 讓可靠流量通過策略路由
繞過模組 138
6.4.1 資料流程 139
6.4.2 PBR配置示例 140
總結 142
第7章 認證、授權、審計(AAA) 143
7.1 Cisco ASA支援的協定
與服務 143
7.2 定義認證伺服器 148
7.3 配置管理會話的認證 152
7.3.1 認證Telnet連接 153
7.3.2 認證SSH連接 154
7.3.3 認證串列Console連接 155
7.3.4 認證Cisco ASDM連接 156
7.4 認證防火牆會話
(直通代理特性) 156
7.5 自訂認證提示 160
7.6 配置授權 160
7.6.1 命令授權 162
7.6.2 配置可下載ACL 162
7.7 配置審計 163
7.7.1 RADIUS審計 164
7.7.2 TACACS+審計 165
7.8 對去往Cisco ASA的管理
連接進行排錯 166
7.8.1 對防火牆會話(直通代理)
進行排錯 168
7.8.2 ASDM與CLI AAA測試
工具 168
總結 169
第8章 控制網路訪問:傳統方式 170
8.1 數據包過濾 170
8.1.1 ACL的類型 173
8.1.2 ACL特性的比較 174
8.2 配置流量過濾 174
8.2.1 過濾穿越設備的流量 175
8.2.2 過濾去往設備的流量 178
8.3 高級ACL特性 180
8.3.1 對象分組 180
8.3.2 標準ACL 186
8.3.3 基於時間的ACL 187
8.3.4 可下載的ACL 190
8.3.5 ICMP過濾 190
8.4 流量過濾部署方案 191
8.5 監測網路存取控制 195
總結 198
第9章 通過ASA CX實施下一代
防火牆服務 199
9.1 CX集成概述 199
9.1.1 邏輯架構 200
9.1.2 硬體模組 201
9.1.3 軟體模組 201
9.1.4 高可用性 202
9.2 ASA CX架構 203
9.2.1 數據平面 204
9.2.2 事件與報告 205
9.2.3 用戶身份 205
9.2.4 TLS解密代理 205
9.2.5 HTTP監控引擎 205
9.2.6 應用監控引擎 206
9.2.7 管理平面 206
9.2.8 控制平面 206
9.3 配置CX需要在ASA進行的
準備工作 206
9.4 使用PRSM管理ASA CX 210
9.4.1 使用PRSM 211
9.4.2 配置使用者帳戶 214
9.4.3 CX許可證 216
9.4.4 元件與軟體的更新 217
9.4.5 配置資料庫備份 219
9.5 定義CX策略元素 220
9.5.1 網路組 221
9.5.2 身份物件 222
9.5.3 URL對象 223
9.5.4 使用者代理物件 224
9.5.5 應用物件 224
9.5.6 安全移動物件 225
9.5.7 介面角色 226
9.5.8 服務物件 226
9.5.9 應用服務物件 227
9.5.10 源對象組 228
9.5.11 目的物件組 228
9.5.12 文件過濾設定檔 229
9.5.13 Web名譽設定檔 230
9.5.14 下一代IPS設定檔 230
9.6 啟用使用者身份服務 231
9.6.1 配置目錄伺服器 232
9.6.2 連接到AD代理或CDA 234
9.6.3 調試認證設置 234
9.6.4 定義用戶身份發現策略 235
9.7 啟用TLS解密 237
9.7.1 配置解密設置 239
9.7.2 定義解密策略 241
9.8 啟用NG IPS 242
9.9 定義可感知上下文的訪問策略 243
9.10 配置ASA將流量重定向給
CX模組 246
9.11 監測ASA CX 248
9.11.1 面板報告 248
9.11.2 連接與系統事件 249
9.11.3 捕獲數據包 250
總結 253
第10章 網路位址轉譯 254
10.1 位址轉換的類型 254
10.1.1 網路位址轉譯 254
10.1.2 埠位址轉換 255
10.2 配置位址轉換 257
10.2.1 靜態NAT/PAT 257
10.2.2 動態NAT/PAT 258
10.2.3 策略NAT/PAT 259
10.2.4 Identity NAT 259
10.3 位址轉換中的安全保護機制 259
10.3.1 隨機生成序號 259
10.3.2 TCP攔截(TCP Intercept) 260
10.4 理解位址轉換行為 260
10.4.1 8.3版之前的位址轉換行為 261
10.4.2 重新設計位址轉換
(8.3及後續版本) 262
10.5 配置位址轉換 264
10.5.1 自動NAT的配置 264
10.5.2 手動NAT的配置 268
10.5.3 集成ACL和NAT 270
10.5.4 配置用例 272
10.6 DNS刮除(DNS Doctoring) 279
10.7 監測位址轉換 281
總結 283
第11章 IPv6支持 284
11.1 IPv6 284
11.1.1 IPv6頭部 284
11.1.2 支持的IPv6網址類別型 286
11.2 配置IPv6 286
11.2.1 IP地址分配 287
11.2.2 IPv6 DHCP中繼 288
11.2.3 IPv6可選參數 288
11.2.4 設置IPv6 ACL 289
11.2.5 IPv6位址轉換 291
總結 292
第12章 IP路由 293
12.1 配置靜態路由 293
12.1.1 靜態路由監測 296
12.1.2 顯示路由表資訊 298
12.2 RIP 299
12.2.1 配置RIP 300
12.2.2 RIP認證 302
12.2.3 RIP路由過濾 304
12.2.4 配置RIP重分佈 306
12.2.5 RIP排錯 306
12.3 OSPF 308
12.3.1 配置OSPF 310
12.3.2 OSPF虛鏈路 314
12.3.3 配置OSPF認證 316
12.3.4 配置OSPF重分佈 319
12.3.5 末節區域與NSSA 320
12.3.6 OSPF類型3 LSA過濾 321
12.3.7 OSPF neighbor命令及跨越
VPN的動態路由 322
12.3.8 OSPFv3 324
12.3.9 OSPF排錯 324
12.4 EIGRP 329
12.4.1 配置EIGRP 330
12.4.2 EIGRP排錯 339
總結 346
第13章 應用監控 347
13.1 啟用應用監控 349
13.2 選擇性監控 350
13.3 CTIQBE監控 353
13.4 DCERPC監控 355
13.5 DNS監控 355
13.6 ESMTP監控 359
13.7 FTP 361
13.8 GPRS隧道協議 363
13.8.1 GTPv0 364
13.8.2 GTPv1 365
13.8.3 配置GTP監控 366
13.9 H.323 367
13.9.1 H.323協議族 368
13.9.2 H.323版本相容性 369
13.9.3 啟用H.323監控 370
13.9.4 DCS和GKPCS 372
13.9.5 T.38 372
13.10 Cisco統一通信高級特性 372
13.10.1 電話代理 373
13.10.2 TLS代理 376
13.10.3 移動性代理 377
13.10.4 Presence Federation代理 378
13.11 HTTP 378
13.12 ICMP 384
13.13 ILS 385
13.14 即時消息(IM) 385
13.15 IPSec直通 386
13.16 MGCP 387
13.17 NetBIOS 388
13.18 PPTP 389
13.19 Sun RPC 389
13.20 RSH 390
13.21 RTSP 390
13.22 SIP 390
13.23 Skinny (SCCP) 391
13.24 SNMP 392
13.25 SQL*Net 393
13.26 TFTP 393
13.27 WAAS 393
13.28 XDMCP 394
總結 394
第14章 虛擬化 395
14.1 架構概述 396
14.1.1 系統執行空間 396
14.1.2 admin虛擬防火牆 397
14.1.3 用戶虛擬防火牆 398
14.1.4 資料包分類 400
14.1.5 多模下的資料流程 402
14.2 配置安全虛擬防火牆 404
14.2.1 步驟1:在全域啟用多安全
虛擬防火牆 405
14.2.2 步驟2:設置系統執行空間 406
14.2.3 步驟3:分配介面 408
14.2.4 步驟4:指定設定檔URL 409
14.2.5 步驟5:配置admin虛擬
防火牆 410
14.2.6 步驟6:配置使用者虛擬
防火牆 411
14.2.7 步驟7:管理安全虛擬防火牆
(可選) 412
14.2.8 步驟8:資源管理(可選) 412
14.3 部署方案 415
14.3.1 不使用共用介面的虛擬
防火牆 416
14.3.2 使用了一個共用介面的虛擬
防火牆 426
14.4 安全虛擬防火牆的監測與排錯 435
14.4.1 監測 436
14.4.2 排錯 437
總結 439
第15章 透明防火牆 440
15.1 架構概述 442
15.1.1 單模透明防火牆 442
15.1.2 多模透明防火牆 444
15.2 透明防火牆的限制 445
15.2.1 透明防火牆與VPN 445
15.2.2 透明防火牆與NAT 446
15.3 配置透明防火牆 447
15.3.1 配置指導方針 448
15.3.2 配置步驟 448
15.4 部署案例 459
15.4.1 部署SMTF 459
15.4.2 用安全虛擬防火牆部署
MMTF 464
15.5 透明防火牆的監測與排錯 473
15.5.1 監測 473
15.5.2 排錯 475
15.6 主機間無法通信 475
15.7 移動了的主機無法實現通信 476
15.8 通用日誌記錄 477
總結 477
第16章 高可用性 478
16.1 冗餘介面 478
16.1.1 使用冗餘介面 479
16.1.2 部署案例 480
16.1.3 配置與監測 480
16.2 靜態路由追蹤 482
16.2.1 使用SLA監測配置靜態路由 482
16.2.2 浮動連接逾時 483
16.2.3 備用ISP部署案例 484
16.3 故障倒換 486
16.3.1 故障倒換中的設備角色
與功能 486
16.3.2 狀態化故障倒換 487
16.3.3 主用/備用和主用/主用故障
倒換 488
16.3.4 故障倒換的硬體和軟體
需求 489
16.3.5 故障倒換介面 491
16.3.6 故障倒換健康監測 495
16.3.7 狀態與角色的轉換 497
16.3.8 配置故障倒換 498
16.3.9 故障倒換的監測與排錯 506
16.3.10 主用/備用故障倒換部署
案例 509
16.4 集群 512
16.4.1 集群中的角色與功能 512
16.4.2 集群的硬體和軟體需求 514
16.4.3 控制與資料介面 516
16.4.4 集群健康監測 522
16.4.5 網路位址轉譯 523
16.4.6 性能 524
16.4.7 資料流程 525
16.4.8 狀態轉換 528
16.4.9 配置集群 528
16.4.10 集群的監測與排錯 537
16.4.11 Spanned EtherChannel集群
部署方案 540
總結 549
第17章 實施Cisco ASA入侵
防禦系統(IPS) 550
17.1 IPS集成概述 550
17.1.1 IPS邏輯架構 551
17.1.2 IPS硬體模組 551
17.1.3 IPS軟體模組 552
17.1.4 線上模式與雜合模式 553
17.1.5 IPS高可用性 555
17.2 Cisco IPS軟體架構 555
17.2.1 MainApp 556
17.2.2 SensorApp 558
17.2.3 CollaborationApp 558
17.2.4 EventStore 559
17.3 ASA IPS配置前的準備工作 559
17.3.1 安裝CIPS鏡像或者重新安裝
一個現有的ASA IPS 559
17.3.2 從ASA CLI訪問CIPS 561
17.3.3 配置基本管理設置 562
17.3.4 通過ASDM配置IPS管理 565
17.3.5 安裝CIPS許可證金鑰 565
17.4 在ASA IPS上配置CIPS軟體 566
17.4.1 自訂特徵 567
17.4.2 遠程阻塞 569
17.4.3 異常檢測 572
17.4.4 全球關聯 575
17.5 維護ASA IPS 576
17.5.1 用戶帳戶管理 576
17.5.2 顯示CIPS軟體和處理資訊 578
17.5.3 升級CIPS軟體和特徵 579
17.5.4 配置備份 582
17.5.5 顯示和刪除事件 583
17.6 配置ASA對IPS流量進行
重定向 584
17.7 僵屍流量過濾(Botnet Traffic
Filter) 585
17.7.1 動態和手動定義黑名單
數據 586
17.7.2 DNS欺騙(DNS Snooping) 587
17.7.3 流量選擇 588
總結 590
第18章 IPS調試與監測 591
18.1 IPS調整的過程 591
18.2 風險評估值 592
18.2.1 ASR 593
18.2.2 TVR 593
18.2.3 SFR 593
18.2.4 ARR 593
18.2.5 PD 593
18.2.6 WLR 594
18.3 禁用IPS特徵 594
18.4 撤回IPS特徵 594
18.5 用來進行監測及調整的工具 595
18.5.1 ASDM和IME 595
18.5.2 CSM事件管理器
(CSM Event Manager) 596
18.5.3 從事件表中移除誤報的
IPS事件 596
18.5.4 Splunk 596
18.5.5 RSA安全分析器(RSA
Security Analytics) 596
18.6 在Cisco ASA IPS中顯示和
清除統計資訊 596
總結 600
第19章 網站到網站IPSec VPN 601
19.1 預配置清單 601
19.2 配置步驟 604
19.2.1 步驟1:啟用ISAKMP 605
19.2.2 步驟2:創建ISAKMP
策略 606
19.2.3 步驟3:建立隧道組 607
19.2.4 步驟4:定義IPSec策略 609
19.2.5 步驟5:創建加密映射集 610
19.2.6 步驟6:配置流量篩檢程式
(可選) 613
19.2.7 步驟7:繞過NAT(可選) 614
19.2.8 步驟8:啟用PFS(可選) 615
19.2.9 ASDM的配置方法 616
19.3 可選屬性與特性 618
19.3.1 通過IPSec發送OSPF更新 619
19.3.2 反向路由注入 620
19.3.3 NAT穿越 621
19.3.4 隧道預設閘道器 622
19.3.5 管理訪問 623
19.3.6 分片策略 623
19.4 部署場景 624
19.4.1 使用NAT-T、RRI和IKEv2
的單網站到網站隧道配置 624
19.4.2 使用安全虛擬防火牆的
星型拓撲 629
19.5 網站到網站VPN的監測與排錯 638
19.5.1 網站到網站VPN的監測 638
19.5.2 網站到網站VPN的排錯 641
總結 645
第20章 IPSec遠端存取VPN 646
20.1 Cisco IPSec遠端存取VPN
解決方案 646
20.1.1 IPSec(IKEv1)遠端存取
配置步驟 648
20.1.2 IPSec(IKEv2)遠端存取
配置步驟 668
20.1.3 基於硬體的VPN用戶端 671
20.2 高級Cisco IPSec VPN特性 673
20.2.1 隧道預設閘道器 673
20.2.2 透明隧道 674
20.2.3 IPSec折返流量 675
20.2.4 VPN負載分擔 677
20.2.5 用戶端防火牆 679
20.2.6 基於硬體的Easy VPN
用戶端特性 681
20.3 L2TP over IPSec遠端存取VPN
解決方案 684
20.3.1 L2TP over IPSec遠端存取
配置步驟 685
20.3.2 Windows L2TP over IPSec
用戶端配置 688
20.4 部署場景 688
20.5 Cisco遠端存取VPN的監測與
排錯 693
20.5.1 Cisco遠端存取IPSec VPN
的監測 693
20.5.2 Cisco IPSec VPN用戶端
的排錯 696
總結 698
第21章 PKI的配置與排錯 699
21.1 PKI介紹 699
21.1.1 證書 700
21.1.2 證書管理機構(CA) 700
21.1.3 證書撤銷列表 702
21.1.4 簡單證書註冊協議 702
21.2 安裝證書 703
21.2.1 通過ASDM安裝證書 703
21.2.2 通過檔安裝實體證書 704
21.2.3 通過複製/粘貼的方式安裝
CA證書 704
21.2.4 通過SCEP安裝CA證書 705
21.2.5 通過SCEP安裝實體證書 708
21.2.6 通過CLI安裝證書 709
21.3 本地證書管理機構 718
21.3.1 通過ASDM配置本地CA 719
21.3.2 通過CLI配置本地CA 720
21.3.3 通過ASDM註冊本地CA
用戶 722
21.3.4 通過CLI註冊本地CA用戶 724
21.4 使用證書配置IPSec網站到
網站隧道 725
21.5 使用證書配置Cisco ASA接受
遠端存取IPSec VPN用戶端 728
21.6 PKI排錯 729
21.6.1 時間和日期不匹配 729
21.6.2 SCEP註冊問題 731
21.6.3 CRL檢索問題 732
總結 733
第22章 無用戶端遠端存取SSL VPN 734
22.1 SSL VPN設計考量 735
22.1.1 用戶連通性 735
22.1.2 ASA特性集 735
22.1.3 基礎設施規劃 735
22.1.4 實施範圍 736
22.2 SSL VPN前提條件 736
22.2.1 SSL VPN授權 736
22.2.2 用戶端作業系統和流覽器的
軟體需求 739
22.2.3 基礎設施需求 740
22.3 SSL VPN前期配置嚮導 740
22.3.1 註冊數位憑證(推薦) 740
22.3.2 建立隧道和群組原則 745
22.3.3 設置用戶認證 749
22.4 無用戶端SSL VPN配置嚮導 752
22.4.1 在介面上啟用無用戶端
SSL VPN 753
22.4.2 配置SSL VPN自訂門戶 753
22.4.3 配置書簽 766
22.4.4 配置Web類型ACL 770
22.4.5 配置應用訪問 772
22.4.6 配置用戶端/伺服器外掛程式 776
22.5 Cisco安全桌面 777
22.5.1 CSD組件 778
22.5.2 CSD需求 779
22.5.3 CSD技術架構 780
22.5.4 配置CSD 781
22.6 主機掃描 786
22.6.1 主機掃描模組 786
22.6.2 配置主機掃描 787
22.7 動態訪問策略 791
22.7.1 DAP技術架構 791
22.7.2 DAP事件順序 792
22.7.3 配置DAP 792
22.8 部署場景 801
22.8.1 步驟1:定義無用戶端連接 802
22.8.2 步驟2:配置DAP 803
22.9 SSL VPN的監測與排錯 804
22.9.1 SSL VPN監測 804
22.9.2 SSL VPN排錯 806
總結 808
第23章 基於用戶端的遠端存取
SSL VPN 809
23.1 SSL VPN設計考量 809
23.1.1 Cisco AnyConnect Secure Mobility
用戶端的授權 810
23.1.2 Cisco ASA設計考量 810
23.2 SSL VPN前提條件 811
23.2.1 用戶端作業系統和流覽器的
軟體需求 811
23.2.2 基礎設施需求 812
23.3 SSL VPN前期配置嚮導 812
23.3.1 註冊數位憑證(推薦) 813
23.3.2 建立隧道和群組原則 813
23.3.3 設置用戶認證 815
23.4 Cisco AnyConnect Secure Mobility
用戶端配置指南 817
23.4.1 載入Cisco AnyConnect Secure
Mobility Client VPN
打包文件 817
23.4.2 定義Cisco AnyConnect Secure
Mobility Client屬性 818
23.4.3 高級完全隧道特性 822
23.4.4 AnyConnect用戶端配置 827
23.5 AnyConnect用戶端的部署場景 829
23.5.1 步驟1:配置CSD進行
註冊表檢查 831
23.5.2 步驟2:配置RADIUS進行
用戶認證 831
23.5.3 步驟3:配置AnyConnect SSL
VPN 831
23.5.4 步驟4:啟用位址轉換提供
Internet訪問 832
23.6 AnyConnect SSL VPN的監測
與排錯 832
總結 834
第24章 IP組播路由 835
24.1 IGMP 835
24.2 PIM稀疏模式 836
24.3 配置組播路由 836
24.3.1 啟用組播路由 836
24.3.2 啟用PIM 838
24.4 IP組播路由排錯 841
24.4.1 常用的show命令 841
24.4.2 常用的debug命令 842
總結 843
第25章 服務品質 844
25.1 QoS類型 845
25.1.1 流量優先順序劃分 845
25.1.2 流量管制 846
25.1.3 流量整形 847
25.2 QoS架構 847
25.2.1 資料包流的順序 847
25.2.2 資料包分類 848
25.2.3 QoS與VPN隧道 852
25.3 配置QoS 852
25.3.1 通過ASDM配置QoS 853
25.3.2 通過CLI配置QoS 858
25.4 Qos部署方案 861
25.4.1 ASDM的配置步驟 862
25.4.2 CLI配置步驟 865
25.5 QoS的監測 867
總結 868
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。