Cisco ASA設備使用指南（簡體書）

這是一本全面介紹Cisco ASA部署方法的圖書，它的主要內容有：安全技術簡介；ASA系列產品的產品線、如何初始化ASA系統；如何在ASA上配置防火牆技術(包括訪問控制列表、IP路由、AAA技術、應用層監控、虛擬防火牆、透明防火牆、故障倒換與冗余以及服務質量)、IPS技術、內容安全技術及VPN技術(包括站點到站點IPSec VPN、IPSec遠程訪問VPN、PKI以及遠程訪問SSL VPN)；除此之外，本書還介紹了如何對ASA上的配置進行驗證等。本書介紹的配置案例相當豐富，配置過程相當具體，它幾乎涵蓋所有使用了ASA系列產品的環境。 本書適合所有準備購買或已經購買ASA系列產品的網絡技術人員閱讀，也適合需要對各類安全產品進行測評的相關人士閱讀。除此之外，本書還適合正在準備參加CCNA安全(640-553)、SNAF(642-524)、SNAA(642-515)、CCIE安全筆試(350-018)以及CCIE安全實驗考試的考生閱讀。鑒于本書所介紹的內容由易到難，因而它的內容可以滿足各類ASA用戶的不同需要，也適合正在準備各類Cisco防火牆安全考試的考生進行參考閱讀。

作者：(美國)Jazib Frahim　Omar Santos　譯者：田果　劉丹寧

目　錄 第1部分　產品概述 第1章　安全技術介紹　2 1.1　防火牆　2 1.1.1　網絡防火牆　2 1.1.2　狀態化監控防火牆　6 1.1.3　深度數據包監控　7 1.1.4　個人防火牆　7 1.2　入侵檢測系統(IDS)與入侵防御系統(IPS)　7 1.2.1　模式匹配及狀態化模式匹配識別　8 1.2.2　協議分析　9 1.2.3　基於啟發的分析　9 1.2.4　基於異常的分析　10 1.3　虛擬專用網絡　11 1.3.1　IPSec技術概述　12 1.3.2　SSL VPN　16 1.4　總結　18 第2章　Cisco ASA產品及解決方案概述　19 2.1　Cisco ASA 5505型　20 2.2　Cisco ASA 5510型　23 2.3　Cisco ASA 5520型　26 2.4　Cisco ASA 5540型　27 2.5　Cisco ASA 5550型　28 2.6　Cisco ASA 5580-20與5580-40型　29 2.6.1　Cisco ASA 5580-20　29 2.6.2　Cisco ASA 5580-40　31 2.7　Cisco ASA AIP-SSM模塊　32 2.7.1　Cisco ASA AIP-SSM-10　32 2.7.2　Cisco ASA AIP-SSM-20　32 2.7.3　Cisco ASA AIP-SSM-40　33 2.8　Cisco ASA吉比特以太網模塊　33 2.8.1　Cisco ASA 4GE-SSM　33 2.8.2　Cisco ASA 5580擴展卡　33 2.9　Cisco ASA CSC-SSM模塊　35 2.10　總結　35 第3章　初始設置及系統維護　36 3.1　訪問Cisco ASA設備　36 3.1.1　建立Console連接　36 3.1.2　命令行界面　38 3.2　管理許可證　39 3.3　初始設置　42 3.3.1　通過CLI進行初始設置　42 3.3.2　ASDM的初始化設置　43 3.4　配置設備　49 3.4.1　設置設備名和密碼　50 3.4.2　配置接口　51 3.4.3　DHCP服務　56 3.5　IPv6　58 3.5.1　IPv6頭部　58 3.5.2　配置IPv6　59 3.6　設置系統時鐘　62 3.6.1　手動調整系統時鐘　63 3.6.2　使用網絡時間協議自動調整時鐘　64 3.7　配置管理　65 3.7.1　運行配置　66 3.7.2　啟動配置　69 3.7.3　刪除設備配置文件　69 3.8　遠程系統管理　71 3.8.1　Telnet　71 3.8.2　SSH　73 3.9　系統維護　75 3.9.1　軟件安裝　75 3.9.2　密碼恢復流程　80 3.9.3　禁用密碼恢復流程　82 3.10　系統監測　85 3.10.1　系統日志記錄　85 3.10.2　NetFlow安全事件記錄(NSEL)　94 3.10.3　簡單網絡管理協議(SNMP)　97 3.11　設備監測及排錯　101 3.11.1　監測CPU及內存　101 3.11.2　設備排錯　102 3.12　總結　106 第2部分　防火牆技術 第4章　控制網絡訪問　110 4.1　包過濾　110 4.1.1　ACL的類型　112 4.1.2　ACL特性的比較　113 4.2　配置流量過濾　114 4.2.1　通過CLI過濾穿越設備的流量　114 4.2.2　通過ASDM過濾穿越設備的流量　118 4.2.3　過濾去往設備的流量　120 4.2.4　建立IPv6 ACL(可選)　122 4.3　高級ACL特性　123 4.3.1　對象分組　123 4.3.2　標準ACL　129 4.3.3　基於時間的ACL　130 4.3.4　可下載的ACL　132 4.3.5　ICMP過濾　133 4.4　內容過濾與URL過濾　134 4.4.1　內容過濾　134 4.4.2　URL過濾　137 4.5　流量過濾部署方案　143 4.5.1　使用ACL過濾入站流量　143 4.5.2　使用Websense來啟用內容過濾　147 4.6　監測網絡訪問控制　149 4.6.1　監測ACL　149 4.6.2　監測內容過濾　153 4.7　理解地址轉換　154 4.7.1　網絡地址轉換　154 4.7.2　端口地址轉換　156 4.7.3　地址轉換及接口安全級別　156 4.7.4　數據包流量順序　158 4.7.5　地址轉換功能提供的安全保護機制　158 4.7.6　配置地址轉換　160 4.7.7　繞過地址轉換　169 4.7.8　NAT的操作順序　172 4.7.9　集成ACL和NAT　172 4.8　DNS刮除(DNS Doctoring)　174 4.9　監測地址轉換　177 4.10　總結　178 第5章　IP路由　179 5.1　配置靜態路由　179 5.1.1　靜態路由監測　182 5.1.2　顯示路由表信息　184 5.2　RIP　185 5.2.1　配置RIP　186 5.2.2　RIP認證　188 5.2.3　RIP路由過濾　190 5.2.4　配置RIP重分布　192 5.2.5　RIP排錯　193 5.3　OSPF　194 5.3.1　配置OSPF　196 5.3.2　OSPF排錯　210 5.4　EIGRP　215 5.4.1　配置EIGRP　216 5.4.2　EIGRP排錯　223 5.5　IP多播　231 5.5.1　IGMP末節模式　231 5.5.2　PIM稀疏模式　231 5.5.3　配置多播路由　232 5.5.4　IP多播路由排錯　236 5.6　總結　237 第6章　認證、授權和審計(AAA)　238 6.1　Cisco ASA支持的協議與服務　238 6.1.1　RADIUS　240 6.1.2　TACACS+　241 6.1.3　RSA SecurID　242 6.1.4　Microsoft Windows NT　242 6.1.5　活動目錄和Kerberos　243 6.1.6　輕量目錄訪問協議　243 6.1.7　HTTP Form協議　243 6.2　定義認證服務器　243 6.2.1　配置管理會話的認證　248 6.2.2　認證Telnet連接　248 6.2.3　認證SSH連接　250 6.2.4　認證串行Console連接　250 6.2.5　認證Cisco ASDM連接　251 6.3　認證防火牆會話(直通代理特性)　252 6.3.1　認證超時　255 6.3.2　自定義認證提示　255 6.4　配置授權　256 6.4.1　命令授權　257 6.4.2　配置可下載ACL　258 6.5　配置審計　259 6.5.1　RADIUS審計　259 6.5.2　TACACS+審計　260 6.5.3　對去往Cisco ASA的管理連接進行排錯　261 6.5.4　對防火牆會話(直通代理)進行排錯　263 6.6　總結　264 第7章　應用監控　265 7.1　啟用應用監控　266 7.2　選擇性監控　268 7.3　CTIQBE監控　270 7.4　DCERPC　272 7.5　DNS　272 7.6　ESMTP　276 7.7　FTP　278 7.8　GPRS隧道協議　280 7.8.1　GTPv0　280 7.8.2　GTPv1　281 7.8.3　配置GTP監控　282 7.9　H.323　284 7.9.1　H.323協議族　285 7.9.2　H.323版本兼容性　286 7.9.3　啟用H.323監控　286 7.9.4　DCS和GKPCS　289 7.9.5　T.38　289 7.10　統一通信高級特性　289 7.10.1　電話代理　289 7.10.2　TLS代理　293 7.10.3　移動性代理　294 7.10.4　Presence Federation代理　294 7.11　HTTP　294 7.12　ICMP　301 7.13　ILS　301 7.14　即時消息(IM)　301 7.15　IPSec直通　303 7.16　MGCP　304 7.17　NetBIOS　305 7.18　PPTP　305 7.19　Sun RPC　306 7.20　RSH　306 7.21　RTSP　306 7.22　SIP　307 7.23　Skinny(SCCP)　308 7.24　SNMP　309 7.25　SQL*Net　310 7.26　TFTP　310 7.27　WAAS　310 7.28　XDMCP　310 7.29　總結　310 第8章　虛擬防火牆　311 8.1　架構概述　312 8.1.1　系統執行空間　312 8.1.2　Admin虛擬防火牆　313 8.1.3　用戶虛擬防火牆　314 8.1.4　數據包分類　315 8.1.5　多模下的數據流　317 8.2　配置安全虛擬防火牆　320 8.2.1　步驟1：在全局啟用多安全虛擬防火牆　320 8.2.2　步驟2：設置系統執行空間　322 8.2.3　步驟3：分配接口　324 8.2.4　步驟4：指定配置文件URL　325 8.2.5　步驟5：配置Admin虛擬防火牆　326 8.2.6　步驟6：配置用戶虛擬防火牆　328 8.2.7　步驟7：管理安全虛擬防火牆(可選)　328 8.2.8　步驟8：資源管理(可選)　329 8.3　部署方案　332 8.3.1　不使用共享接口的虛擬防火牆　332 8.3.2　使用了一個共享接口的虛擬防火牆　341 8.4　安全虛擬防火牆的監測與排錯　350 8.4.1　監測　350 8.4.2　排錯　351 8.5　總結　353 第9章　透明防火牆　354 9.1　架構概述　356 9.1.1　單模透明防火牆　356 9.1.2　多模透明防火牆　358 9.2　透明防火牆的限制　359 9.2.1　透明防火牆與VPN　359 9.2.2　透明防火牆與NAT　360 9.3　配置透明防火牆　361 9.3.1　配置指導方針　361 9.3.2　配置步驟　362 9.4　部署案例　372 9.4.1　部署SMTF　372 9.4.2　用安全虛擬防火牆部署MMTF　377 9.5　透明防火牆的監測與排錯　386 9.5.1　監測　386 9.5.2　排錯　387 9.6　總結　390 第10章　故障倒換與冗余　391 10.1　架構概述　391 10.1.1　觸發故障倒換的條件　392 10.1.2　故障倒換接口測試　393 10.1.3　狀態化故障倒換　393 10.1.4　軟硬件需求　394 10.1.5　故障倒換的類型　395 10.2　故障倒換配置　400 10.2.1　設備級冗余的配置　400 10.2.2　ASDM故障倒換配置向導　412 10.2.3　接口級冗余配置　413 10.2.4　可選的故障倒換命令　414 10.2.5　零停機軟件更新(Zero-down-time software upgrades)　418 10.3　部署案例　420 10.3.1　單模的主用/備用故障倒換模式　420 10.3.2　多虛擬防火牆的主用/主用故障倒換模式　424 10.4　故障倒換的監測與排錯　427 10.4.1　監測　427 10.4.2　排錯　430 10.5　總結　432 第11章　服務質量　433 11.1　QoS類型　434 11.1.1　流量優先級劃分　434 11.1.2　流量管制　435 11.1.3　流量整形　435 11.2　QoS架構　436 11.2.1　數據包流的順序　436 11.2.2　數據包分類　437 11.2.3　QoS與VPN隧道　440 11.3　配置服務質量　441 11.3.1　通過ASDM配置QoS　441 11.3.2　通過CLI配置QoS　447 11.4　QoS部署方案　450 11.4.1　為VoIP流量部署QoS　450 11.4.2　為遠程訪問VPN隧道部署QoS　455 11.5　QoS的監測　458 11.6　總結　460 第3部分　入侵防御系統(IPS)解決方案 第12章　IPS配置與排錯　464 12.1　AIP-SSM和AIP-SSC概述　464 12.2　管理AIP-SSM和AIP-SSC　464 12.3　Cisco IPS軟件架構　466 12.3.1　MainApp　467 12.3.2　SensorApp　468 12.3.3　攻擊響應控制器　469 12.3.4　AuthenticationApp　469 12.3.5　cipsWebserver　469 12.3.6　Logger　470 12.3.7　EventStore　470 12.3.8　CtlTransSource　470 12.4　配置AIP-SSM　470 12.4.1　CIPS CLI簡介　470 12.4.2　用戶管理　476 12.5　維護AIP-SSM　478 12.5.1　添加可信主機　479 12.5.2　SSH已知主機列表　479 12.5.3　升級CIPS軟件和特徵　480 12.5.4　顯示軟件版本和配置信息　484 12.5.5　配置備份　487 12.5.6　顯示和刪除事件　488 12.6　高級特性及配置　490 12.6.1　自定義特徵　490 12.6.2　IP記錄　494 12.6.3　配置阻塞(shun)　496 12.6.4　集成Cisco安全代理　498 12.6.5　異常檢測　501 12.7　Cisco ASA僵尸網絡檢測　503 12.7.1　動態數據庫和管理員黑名單數據　503 12.7.2　DNS偵聽(DNS Snooping)　505 12.7.3　流量分類　506 12.8　總結　507 第13章　IPS調試與監測　508 13.1　IPS調整　508 13.1.1　禁用IPS特徵　509 13.1.2　撤回IPS特徵　510 13.2　使用CS-MARS監測并調整AIP-SSM　510 13.2.1　在CS-MARS中添加AIP-SSM　511 13.2.2　使用CS-MARS調整AIP-SSM　511 13.3　顯示和清除統計信息　512 13.4　總結　515 第4部分　內容安全 第14章　Cisco內容安全和控制安全服務模塊　518 14.1　CSC SSM初始化配置　518 14.2　配置CSC SSM基於網頁的特性　522 14.2.1　URL阻塞和過濾　522 14.2.2　文件阻塞　524 14.2.3　HTTP掃描　525 14.3　配置CSC SSM基於郵件的特性　527 14.3.1　SMTP掃描　527 14.3.2　SMTP反垃圾郵件　529 14.3.3　SMTP內容過濾　532 14.3.4　POP3支持　533 14.4　配置CSC SSM文件過濾協議(FTP)　533 14.4.1　配置FTP掃描　533 14.4.2　FTP文件阻塞　535 14.5　總結　536 第15章　Cisco內容安全和控制安全服務模塊的監測與排錯　537 15.1　CSC SSM的監測　537 15.1.1　詳細的實時事件監測　538 15.1.2　配置系統日志　538 15.2　CSC SSM的排錯　540 15.2.1　重新安裝CSC SSM　540 15.2.2　密碼恢復　542 15.2.3　配置備份　543 15.2.4　升級CSC SSM軟件　544 15.2.5　CLI排錯工具　545 15.3　總結　552 第5部分　虛擬專用網(VPN)解決方案 第16章　站點到站點IPSec VPN　556 16.1　預配置一覽表　556 16.2　配置步驟　558 16.2.1　步驟1：啟用ISAKMP　558 16.2.2　步驟2：創建ISAKMP策略　559 16.2.3　步驟3：建立隧道組　560 16.2.4　步驟4：定義IPSec策略　561 16.2.5　步驟5：創建加密映射集　563 16.2.6　步驟6：配置流量過濾器(可選)　566 16.2.7　步驟7：繞過NAT(可選)　567 16.2.8　ASDM配置方法　568 16.3　高級特性　570 16.3.1　IPSec上的OSPF更新　570 16.3.2　反向路由注入　571 16.3.3　NAT穿越　572 16.3.4　隧道默認網關　573 16.3.5　管理訪問　574 16.3.6　完美向前保密　574 16.4　修改默認參數　575 16.4.1　安全關聯的生命時間　575 16.4.2　階段1的模式　576 16.4.3　連接類型　577 16.4.4　ISAKMP存活機制　578 16.4.5　IPSec和數據包分片　579 16.5　部署場景　580 16.5.1　使用NAT-T的單站點到站點隧道配置　580 16.5.2　使用RRI的全互連拓撲　585 16.6　站點到站點VPN的監測與排錯　596 16.6.1　站點到站點VPN的監測　596 16.6.2　站點到站點VPN的排錯　599 16.7　總結　603 第17章　IPSec遠程訪問VPN　604 17.1　Cisco IPSec遠程訪問VPN解決方案　604 17.1.1　IPSec遠程訪問配置步驟　605 17.1.2　步驟1：啟用ISAKMP　606 17.1.3　步驟2：創建ISAKMP策略　607 17.1.4　步驟3：建立隧道和組策略　608 17.1.5　步驟4：定義IPSec策略　611 17.1.6　步驟5：配置用戶認證　611 17.1.7　步驟6：分配IP地址　614 17.1.8　步驟7：創建加密映射集　616 17.1.9　步驟8：配置流量過濾器(可選)　617 17.1.10　步驟9：繞過NAT(可選)　617 17.1.11　步驟10：建立分離隧道(可選)　617 17.1.12　步驟11：指定DNS和WINS(可選)　619 17.1.13　ASDM的另一種配置方法　620 17.1.14　Cisco VPN客戶端配置　621 17.2　高級Cisco IPSec VPN特性　624 17.2.1　隧道默認網關　625 17.2.2　透明隧道　625 17.2.3　VPN負載分擔　628 17.2.4　客戶端防火牆　631 17.2.5　基於硬件的Easy VPN客戶端特性　633 17.3　L2TP over IPSec遠程訪問VPN解決方案　635 17.3.1　L2TP over IPSec遠程訪問配置步驟　637 17.3.2　Windows L2TP over IPSec客戶端配置　639 17.4　部署場景　640 17.4.1　Cisco IPSec客戶端和站點到站點集成的負載分擔　640 17.4.2　L2TP over IPSec和流量發卡　645 17.4.3　Cisco遠程訪問VPN的監測與排錯　649 17.5　總結　654 第18章　公鑰基礎(PKI)　655 18.1　PKI介紹　655 18.1.1　證書　656 18.1.2　證書管理機構(CA)　656 18.1.3　證書撤銷列表　657 18.1.4　簡單證書注冊協議　658 18.2　安裝證書　658 18.2.1　通過ASDM安裝證書　658 18.2.2　通過CLI安裝證書　665 18.3　本地證書管理機構　674 18.3.1　通過ASDM配置本地CA　675 18.3.2　通過CLI配置本地CA　676 18.3.3　通過ASDM注冊本地CA用戶　678 18.3.4　通過CLI注冊本地CA用戶　680 18.4　使用證書配置IPSec站點到站點隧道　681 18.5　配置Cisco ASA使用證書接受遠程訪問IPSec VPN客戶端　685 18.5.1　注冊Cisco VPN客戶端　685 18.5.2　配置Cisco ASA　687 18.6　PKI排錯　689 18.6.1　時間和日期不匹配　689 18.6.2　SCEP注冊問題　692 18.6.3　CRL檢索問題　693 18.7　總結　693 第19章　無客戶端遠程訪問SSL VPN　694 19.1　設計SSL VPN需要考慮的因素　695 19.1.1　用戶連通性　695 19.1.2　ASA特性集　695 19.1.3　基礎設施規劃　695 19.1.4　實施范圍　695 19.2　SSL VPN前提條件　696 19.2.1　SSL VPN授權　696 19.2.2　客戶端操作系統和瀏覽器的軟件需求　698 19.2.3　基礎設施需求　699 19.3　SSL VPN前期配置向導　699 19.3.1　注冊數字證書(推薦)　700 19.3.2　建立隧道和組策略　704 19.3.3　設置用戶認證　708 19.4　無客戶端SSL VPN配置向導　711 19.4.1　在接口上啟用無客戶端SSL VPN　712 19.4.2　配置SSL VPN自定義門戶　712 19.4.3　配置標簽　723 19.4.4　配置Web類型ACL　729 19.4.5　配置應用訪問　731 19.4.6　配置客戶端/服務器插件　734 19.5　Cisco安全桌面　735 19.5.1　CSD組件　736 19.5.2　CSD需求　737 19.5.3　CSD技術架構　738 19.6　配置CSD　739 19.7　主機掃描　749 19.7.1　主機掃描模塊　749 19.7.2　配置主機掃描　750 19.8　動態訪問策略　753 19.8.1　DAP技術架構　753 19.8.2　DAP事件順序　754 19.8.3　配置DAP　754 19.9　部署場景　763 19.9.1　步驟1：定義無客戶端連接　764 19.9.2　步驟2：配置DAP　765 19.10　SSL VPN的監測與排錯　766 19.10.1　SSL VPN監測　766 19.10.2　SSL VPN排錯　768 19.11　總結　770 第20章　基於客戶端的遠程訪問SSL VPN　771 20.1　SSL VPN設計考量　771 20.1.1　AnyConnect授權　771 20.1.2　Cisco ASA設計考量　773 20.2　SSL VPN前提條件　774 20.2.1　客戶端操作系統和瀏覽器的軟件需求　775 20.2.2　基礎設施需求　775 20.3　SSL VPN前期配置向導　776 20.3.1　注冊數字證書(推薦)　776 20.3.2　建立隧道和組策略　776 20.3.3　設置用戶認證　779 20.4　AnyConnect SSL VPN客戶端配置向導　780 20.4.1　加載AnyConnect程序包　781 20.4.2　定義AnyConnect SSL VPN客戶端屬性　782 20.4.3　高級完全隧道特性　786 20.4.4　AnyConnect客戶端配置　790 20.5　AnyConnect客戶端的部署場景　793 20.5.1　步驟1：配置CSD進行注冊表檢查　794 20.5.2　步驟2：配置RADIUS進行用戶認證　795 20.5.3　步驟3：配置AnyConnect SSL VPN　795 20.5.4　步驟4：啟用地址轉換提供Internet訪問　796 20.6　AnyConnect SSL VPN的監測與排錯　796 20.6.1　SSL VPN監測　796 20.6.2　SSL VPN排錯　796 20.7　總結　799