CiscoASA设备使用指南书籍

●目录 第1章  安全技术介绍1 1.1  防火墙  1 1.1.1  网络防火墙  2 1.1.2  非军事化区域（DMZ）  5 1.1.3  深度数据包监控  6 1.1.4  可感知环境的下一代防火墙  6 1.1.5  个人防火墙  7 1.2  入侵检测系统（IDS）与入侵防御 系统（IPS）  7 1.2.1  模式匹配及状态化模式匹配 识别  8 1.2.2  协议分析  9 1.2.3  基于启发的分析  9 1.2.4  基于异常的分析  9 1.2.5  全球威胁关联功能  10 1.3  虚拟专用网络  11 1.3.1  IPSec技术概述  12 1.3.2  SSL   17 1.4  Cisco AnyConnect Secure Mobility  18 1.5  云和虚拟化安全  19 总结  20 第2章  Cisco ASA产品及解决方案概述  21 2.1  Cisco ASA各型号概述  21 2.2  Cisco ASA 5505型  22 2.3  Cisco ASA 5510型  26 2.4  Cisco ASA 5512-X型  27 2.5  Cisco ASA 5515-X型  29 2.6  Cisco ASA 5520型  30 2.7  Cisco ASA 5525-X型  31 2.8  Cisco ASA 5540型  31 2.9  Cisco ASA 5545-X型  32 2.10  Cisco ASA 5550型  32 2.11  Cisco ASA 5555-X型  33 2.12  Cisco ASA 5585系列  34 2.13  Cisco Catalyst 6500系列ASA   服务模块  37 2.14  Cisco ASA 1000V云防火墙  37 2.15  Cisco ASA下一代防火墙服务   （前身为Cisco ASA CX）  38 2.16  Cisco ASA AIP-SSM模块  38 2.16.1  Cisco ASA AIP-SSM-10  38 2.16.2  Cisco ASA AIP-SSM-20  39 2.16.3  Cisco ASA AIP-SSM-40  39 2.17  Cisco ASA吉比特以太网模块  39 2.17.1  Cisco ASA SSM -4GE  40 2.17.2  Cisco ASA 5580扩展卡  40 2.17.3  Cisco ASA 5500-X系列6端口   GE接口卡  41 总结  41 第3章  许可证  42 3.1  ASA上的许可证授权特性  42 3.1.1  基本平台功能  43 3.1.2  高级安全特性  45 3.1.3  分层功能特性  46 3.1.4  显示许可证信息  48 3.2  通过激活密钥管理许可证  49 3.2.1  较为激活密钥和临时激活 密钥  49 3.2.2  使用激活密钥  51 3.3  故障倒换和集群的组合许可证  52 3.3.1  许可证汇聚规则  53 3.3.2  汇聚的临时许可证即将开始  54 3.4  共享的Premium 许可证  55 3.4.1  共享服务器与参与方  55 3.4.2  配置共享许可证  56 总结  58 第4章  初始设置  59 4.1  访问Cisco ASA设备  59 4.1.1  建立Console连接  59 4.1.2  命令行界面  62 4.2  管理许可证  63 4.3  初始设置  65 4.3.1  通过CLI进行初始设置  65 4.3.2  ASDM的初始化设置  67 4.4  配置设备  73 4.4.1  设置设备名和密码  74 4.4.2  配置接口  75 4.4.3  DHCP服务  82 4.5  设置系统时钟  83 4.5.1  手动调整系统时钟  84 4.5.2  使用网络时间协议自动 调整时钟  85 总结  86 第5章  系统维护  87 5.1  配置管理  87 5.1.1  运行配置  87 5.1.2  启动配置  90 5.1.3  删除设备配置文件  91 5.2  远程系统管理  92 5.2.1  Telnet  92 5.2.2  SSH  94 5.3  系统维护  97 5.3.1  软件安装  97 5.3.2  密码恢复流程  101 5.3.3  禁用密码恢复流程  104 5.4  系统监测  107 5.4.1  系统日志记录  107 5.4.2  NetFlow安全事件记录 （NSEL）  116 5.4.3  简单网络管理协议 （SNMP）  119 5.5  设备监测及排错  123 5.5.1  监测CPU及内存  123 5.5.2  设备排错  125 总结  129 第6章  Cisco ASA服务模块  130 6.1  Cisco ASA服务模块概述  130 6.1.1  硬件架构  131 6.1.2  机框集成  132 6.2  管理主机机框  132 6.2.1  分配VLAN接口  133 6.2.2  监测数据流量  134 6.3  常用的部署方案  136 6.3.1  内部网段防火墙  136 6.3.2  边缘保护  137 6.4  让可靠流量通过策略路由 绕过模块  138 6.4.1  数据流  139 6.4.2  PBR配置示例  140 总结  142 第7章  认证、授权、审计（AAA）  143 7.1  Cisco ASA支持的协议 与服务  143 7.2  定义认证服务器  148 7.3  配置管理会话的认证  152 7.3.1  认证Telnet连接  153 7.3.2  认证SSH连接  154 7.3.3  认证串行Console连接  155 7.3.4  认证Cisco ASDM连接  156 7.4  认证防火墙会话 （直通代理特性）  156 7.5  自定义认证提示  160 7.6  配置授权  160 7.6.1  命令授权  162 7.6.2  配置可下载ACL  162 7.7  配置审计  163 7.7.1  RADIUS审计  164 7.7.2  TACACS+审计  165 7.8  对去往Cisco ASA的管理 连接进行排错  166 7.8.1  对防火墙会话（直通代理） 进行排错  168 7.8.2  ASDM与CLI AAA测试 工具  168 总结  169 第8章  控制网络访问：传统方式  170 8.1  数据包过滤  170 8.1.1  ACL的类型  173 8.1.2  ACL特性的比较  174 8.2  配置流量过滤  174 8.2.1  过滤穿越设备的流量  175 8.2.2  过滤去往设备的流量  178 8.3  高级ACL特性  180 8.3.1  对象分组  180 8.3.2  标准ACL  186 8.3.3  基于时间的ACL  187 8.3.4  可下载的ACL  190 8.3.5  ICMP过滤  190 8.4  流量过滤部署方案  191 8.5  监测网络访问控制  195 总结  198 第9章  通过ASA CX实施下一代 防火墙服务  199 9.1  CX集成概述  199 9.1.1  逻辑架构  200 9.1.2  硬件模块  201 9.1.3  软件模块  201 9.1.4  高可用性  202 9.2  ASA CX架构  203 9.2.1  数据平面  204 9.2.2  事件与报告  205 9.2.3  用户身份  205 9.2.4  TLS解密代理  205 9.2.5  HTTP监控引擎  205 9.2.6  应用监控引擎  206 9.2.7  管理平面  206 9.2.8  控制平面  206 9.3  配置CX需要在ASA进行的 准备工作  206 9.4  使用PRSM管理ASA CX  210 9.4.1  使用PRSM  211 9.4.2  配置用户账户  214 9.4.3  CX许可证  216 9.4.4  组件与软件的更新  217 9.4.5  配置数据库备份  219 9.5  定义CX策略元素  220 9.5.1  网络组  221 9.5.2  身份对象  222 9.5.3  URL对象  223 9.5.4  用户代理对象  224 9.5.5  应用对象  224 9.5.6  安全移动对象  225 9.5.7  接口角色  226 9.5.8  服务对象  226 9.5.9  应用服务对象  227 9.5.10  源对象组  228 9.5.11  目的对象组  228 9.5.12  文件过滤配置文件  229 9.5.13  Web名誉配置文件  230 9.5.14  下一代IPS配置文件  230 9.6  启用用户身份服务  231 9.6.1  配置目录服务器  232 9.6.2  连接到AD代理或CDA  234 9.6.3  调试认证设置  234 9.6.4  定义用户身份发现策略  235 9.7  启用TLS解密  237 9.7.1  配置解密设置  239 9.7.2  定义解密策略  241 9.8  启用NG IPS  242 9.9  定义可感知上下文的访问策略  243 9.10  配置ASA将流量重定向给   CX模块  246 9.11  监测ASA CX  248 9.11.1  面板报告  248 9.11.2  连接与系统事件  249 9.11.3  捕获数据包  250 总结  253 第10章  网络地址转换  254 10.1  地址转换的类型  254 10.1.1  网络地址转换  254 10.1.2  端口地址转换  255 10.2  配置地址转换  257 10.2.1  静态NAT/PAT  257 10.2.2  动态NAT/PAT  258 10.2.3  策略NAT/PAT  259 10.2.4  Identity NAT  259 10.3  地址转换中的安全保护机制  259 10.3.1  随机生成序列号  259 10.3.2  TCP拦截（TCP Intercept）  260 10.4  理解地址转换行为  260 10.4.1  8.3版之前的地址转换行为  261 10.4.2  重新设计地址转换   （8.3及后续版本）  262 10.5  配置地址转换  264 10.5.1  自动NAT的配置  264 10.5.2  手动NAT的配置  268 10.5.3  集成ACL和NAT  270 10.5.4  配置用例  272 10.6  DNS刮除（DNS Doctoring）  279 10.7  监测地址转换  281 总结  283 第11章  IPv6支持  284 11.1  IPv6  284 11.1.1  IPv6头部  284 11.1.2  支持的IPv6地址类型  286 11.2  配置IPv6  286 11.2.1  IP地址分配  287 11.2.2  IPv6 DHCP中继  288 11.2.3  IPv6可选参数  288 11.2.4  设置IPv6 ACL  289 11.2.5  IPv6地址转换  291 总结  292 第12章  IP路由  293 12.1  配置静态路由  293 12.1.1  静态路由监测  296 12.1.2  显示路由表信息  298 12.2  RIP  299 12.2.1  配置RIP  300 12.2.2  RIP认证  302 12.2.3  RIP路由过滤  304 12.2.4  配置RIP重分布  306 12.2.5  RIP排错  306 12.3  OSPF  308 12.3.1  配置OSPF  310 12.3.2  OSPF虚链路  314 12.3.3  配置OSPF认证  316 12.3.4  配置OSPF重分布  319 12.3.5  末节区域与NSSA  320 12.3.6  OSPF类型3 LSA过滤  321 12.3.7  OSPF neighbor命令及跨越    的动态路由  322 12.3.8  OSPFv3  324 12.3.9  OSPF排错  324 12.4  EIGRP  329 12.4.1  配置EIGRP  330 12.4.2  EIGRP排错  339 总结  346 第13章  应用监控  347 13.1  启用应用监控  349 13.2  选择性监控  350 13.3  CTIQBE监控  353 13.4  DCERPC监控  355 13.5  DNS监控  355 13.6  ESMTP监控  359 13.7  FTP  361 13.8  GPRS隧道协议  363 13.8.1  GTPv0  364 13.8.2  GTPv1  365 13.8.3  配置GTP监控  366 13.9  H.323  367 13.9.1  H.323协议族  368 13.9.2  H.323版本兼容性  369 13.9.3  启用H.323监控  370 13.9.4  DCS和GKPCS  372 13.9.5  T.38  372 13.10  Cisco统一通信高级特性  372 13.10.1  电话代理  373 13.10.2  TLS代理  376 13.10.3  移动性代理  377 13.10.4  Presence Federation代理  378 13.11  HTTP  378 13.12  ICMP  384 13.13  ILS  385 13.14  即时消息（IM）  385 13.15  IPSec直通  386 13.16  MGCP  387 13.17  NetBIOS  388 13.18  PPTP  389 13.19  Sun RPC  389 13.20  RSH  390 13.21  RTSP  390 13.22  SIP  390 13.23  Skinny (SCCP)  391 13.24  SNMP  392 13.25  SQL*Net  393 13.26  TFTP  393 13.27  WAAS  393 13.28  XDMCP  394 总结  394 第14章  虚拟化  395 14.1  架构概述  396 14.1.1  系统执行空间  396 14.1.2  admin虚拟防火墙  397 14.1.3  用户虚拟防火墙  398 14.1.4  数据包分类  400 14.1.5  多模下的数据流  402 14.2  配置安全虚拟防火墙  404 14.2.1  步骤1：在全局启用多安全   虚拟防火墙  405 14.2.2  步骤2：设置系统执行空间  406 14.2.3  步骤3：分配接口  408 14.2.4  步骤4：指定配置文件URL  409 14.2.5  步骤5：配置admin虚拟   防火墙  410 14.2.6  步骤6：配置用户虚拟   防火墙  411 14.2.7  步骤7：管理安全虚拟防火墙   （可选）  412 14.2.8  步骤8：资源管理（可选）  412 14.3  部署方案  415 14.3.1  不使用共享接口的虚拟   防火墙  416 14.3.2  使用了一个共享接口的虚拟   防火墙  426 14.4  安全虚拟防火墙的监测与排错  435 14.4.1  监测  436 14.4.2  排错  437 总结  439 第15章  透明防火墙  440 15.1  架构概述  442 15.1.1  单模透明防火墙  442 15.1.2  多模透明防火墙  444 15.2  透明防火墙的  445 15.2.1  透明防火墙与   445 15.2.2  透明防火墙与NAT  446 15.3  配置透明防火墙  447 15.3.1  配置指导方针  448 15.3.2  配置步骤  448 15.4  部署案例  459 15.4.1  部署SMTF  459 15.4.2  用安全虚拟防火墙部署   MMTF  464 15.5  透明防火墙的监测与排错  473 15.5.1  监测  473 15.5.2  排错  475 15.6  主机间无法通信  475 15.7  移动了的主机无法实现通信  476 15.8  通用日志记录  477 总结  477 第16章  高可用性  478 16.1  冗余接口  478 16.1.1  使用冗余接口  479 16.1.2  部署案例  480 16.1.3  配置与监测  480 16.2  静态路由追踪  482 16.2.1  使用SLA监测配置静态路由  482 16.2.2  浮动连接超时  483 16.2.3  备用ISP部署案例  484 16.3  故障倒换  486 16.3.1  故障倒换中的设备角色   与功能  486 16.3.2  状态化故障倒换  487 16.3.3  主用/备用和主用/主用故障   倒换  488 16.3.4  故障倒换的硬件和软件   需求  489 16.3.5  故障倒换接口  491 16.3.6  故障倒换健康监测  495 16.3.7  状态与角色的转换  497 16.3.8  配置故障倒换  498 16.3.9  故障倒换的监测与排错  506 16.3.10  主用/备用故障倒换部署   案例  509 16.4  集群  512 16.4.1  集群中的角色与功能  512 16.4.2  集群的硬件和软件需求  514 16.4.3  控制与数据接口  516 16.4.4  集群健康监测  522 16.4.5  网络地址转换  523 16.4.6  性能  524 16.4.7  数据流  525 16.4.8  状态转换  528 16.4.9  配置集群  528 16.4.10  集群的监测与排错  537 16.4.11  Spanned EtherChannel集群   部署方案  540 总结  549 第17章  实施Cisco ASA入侵   防御系统(IPS)  550 17.1  IPS集成概述  550 17.1.1  IPS逻辑架构  551 17.1.2  IPS硬件模块  551 17.1.3  IPS软件模块  552 17.1.4  在线模式与杂合模式  553 17.1.5  IPS高可用性  555 17.2  Cisco IPS软件架构  555 17.2.1  MainApp  556 17.2.2  SensorApp  558 17.2.3  CollaborationApp  558 17.2.4  EventStore  559 17.3  ASA IPS配置前的准备工作  559 17.3.1  安装CIPS镜像或者重新安装   一个现有的ASA IPS  559 17.3.2  从ASA CLI访问CIPS  561 17.3.3  配置基本管理设置  562 17.3.4  通过ASDM配置IPS管理  565 17.3.5  安装CIPS许可证密钥  565 17.4  在ASA IPS上配置CIPS软件  566 17.4.1  自定义特征  567 17.4.2  远程阻塞  569 17.4.3  异常检测  572 17.4.4  全球关联  575 17.5  维护ASA IPS  576 17.5.1  用户账户管理  576 17.5.2  显示CIPS软件和处理信息  578 17.5.3  升级CIPS软件和特征  579 17.5.4  配置备份  582 17.5.5  显示和删除事件  583 17.6  配置ASA对IPS流量进行   重定向  584 17.7  僵尸流量过滤（Botnet Traffic   Filter）  585 17.7.1  动态和手动定义黑名单   数据  586 17.7.2  DNS欺骗（DNS Snooping）  587 17.7.3  流量选择  588 总结  590 第18章  IPS调试与监测  591 18.1  IPS调整的过程  591 18.2  风险评估值  592 18.2.1  ASR  593 18.2.2  TVR  593 18.2.3  SFR  593 18.2.4  ARR  593 18.2.5  PD  593 18.2.6  WLR  594 18.3  禁用IPS特征  594 18.4  撤回IPS特征  594 18.5  用来进行监测及调整的工具  595 18.5.1  ASDM和IME  595 18.5.2  CSM事件管理器   （CSM Event Manager）  596 18.5.3  从事件表中移除误报的   IPS事件  596 18.5.4  Splunk  596 18.5.5  RSA安全分析器（RSA   Security Analytics）  596 18.6  在Cisco ASA IPS中显示和   清除统计信息  596 总结  600 第19章  站点到站点IPSec   601 19.1  预配置清单  601 19.2  配置步骤  604 19.2.1  步骤1：启用ISAKMP  605 19.2.2  步骤2：创建ISAKMP   策略  606 19.2.3  步骤3：建立隧道组  607 19.2.4  步骤4：定义IPSec策略  609 19.2.5  步骤5：创建加密映射集  610 19.2.6  步骤6：配置流量过滤器   （可选）  613 19.2.7  步骤7：绕过NAT（可选）  614 19.2.8  步骤8：启用PFS（可选）  615 19.2.9  ASDM的配置方法  616 19.3  可选属性与特性  618 19.3.1  通过IPSec发送OSPF更新  619 19.3.2  反向路由注入  620 19.3.3  NAT穿越  621 19.3.4  隧道默认网关  622 19.3.5  管理访问  623 19.3.6  分片策略  623 19.4  部署场景  624 19.4.1  使用NAT-T、RRI和IKEv2   的单站点到站点隧道配置  624 19.4.2  使用安全虚拟防火墙的   星型拓扑  629 19.5  站点到站点 的监测与排错  638 19.5.1  站点到站点 的监测  638 19.5.2  站点到站点 的排错  641 总结  645 第20章  IPSec远程访问   646 20.1  Cisco IPSec远程访问   解决方案  646 20.1.1  IPSec（IKEv1）远程访问   配置步骤  648 20.1.2  IPSec（IKEv2）远程访问   配置步骤  668 20.1.3  基于硬件的 客户端  671 20.2  高级Cisco IPSec 特性  673 20.2.1  隧道默认网关  673 20.2.2  透明隧道  674 20.2.3  IPSec折返流量  675 20.2.4   负载分担  677 20.2.5  客户端防火墙  679 20.2.6  基于硬件的Easy   客户端特性  681 20.3  L2TP over IPSec远程访问   解决方案  684 20.3.1  L2TP over IPSec远程访问   配置步骤  685 20.3.2  Windows L2TP over IPSec   客户端配置  688 20.4  部署场景  688 20.5  Cisco远程访问 的监测与   排错  693 20.5.1  Cisco远程访问IPSec   的监测  693 20.5.2  Cisco IPSec 客户端   的排错  696 总结  698 第21章  PKI的配置与排错  699 21.1  PKI介绍  699 21.1.1  证书  700 21.1.2  证书管理机构（CA）  700 21.1.3  证书撤销列表  702 21.1.4  简单证书注册协议  702 21.2  安装证书  703 21.2.1  通过ASDM安装证书  703 21.2.2  通过文件安装实体证书  704 21.2.3  通过复制/粘贴的方式安装   CA证书  704 21.2.4  通过SCEP安装CA证书  705 21.2.5  通过SCEP安装实体证书  708 21.2.6  通过CLI安装证书  709 21.3  本地证书管理机构  718 21.3.1  通过ASDM配置本地CA  719 21.3.2  通过CLI配置本地CA  720 21.3.3  通过ASDM注册本地CA   用户  722 21.3.4  通过CLI注册本地CA用户  724 21.4  使用证书配置IPSec站点到   站点隧道  725 21.5  使用证书配置Cisco ASA接受   远程访问IPSec 客户端  728 21.6  PKI排错  729 21.6.1  时间和日期不匹配  729 21.6.2  SCEP注册问题  731 21.6.3  CRL检索问题  732 总结  733 第22章  无客户端远程访问SSL   734 22.1  SSL 设计考量  735 22.1.1  用户连通性  735 22.1.2  ASA特性集  735 22.1.3  基础设施规划  735 22.1.4  实施范围  736 22.2  SSL 前提条件  736 22.2.1  SSL 授权  736 22.2.2  客户端操作系统和浏览器的   软件需求  739 22.2.3  基础设施需求  740 22.3  SSL 前期配置向导  740 22.3.1  注册数字证书（推荐）  740 22.3.2  建立隧道和组策略  745 22.3.3  设置用户认证  749 22.4  无客户端SSL 配置向导  752 22.4.1  在接口上启用无客户端   SSL   753 22.4.2  配置SSL 自定义门户  753 22.4.3  配置书签  766 22.4.4  配置Web类型ACL  770 22.4.5  配置应用访问  772 22.4.6  配置客户端/服务器插件  776 22.5  Cisco安全桌面  777 22.5.1  CSD组件  778 22.5.2  CSD需求  779 22.5.3  CSD技术架构  780 22.5.4  配置CSD  781 22.6  主机扫描  786 22.6.1  主机扫描模块  786 22.6.2  配置主机扫描  787 22.7  动态访问策略  791 22.7.1  DAP技术架构  791 22.7.2  DAP事件顺序  792 22.7.3  配置DAP  792 22.8  部署场景  801 22.8.1  步骤1：定义无客户端连接  802 22.8.2  步骤2：配置DAP  803 22.9  SSL 的监测与排错  804 22.9.1  SSL 监测  804 22.9.2  SSL 排错  806 总结  808 第23章  基于客户端的远程访问   SSL   809 23.1  SSL 设计考量  809 23.1.1  Cisco AnyConnect Secure Mobility   客户端的授权  810 23.1.2  Cisco ASA设计考量  810 23.2  SSL 前提条件  811 23.2.1  客户端操作系统和浏览器的   软件需求  811 23.2.2  基础设施需求  812 23.3  SSL 前期配置向导  812 23.3.1  注册数字证书（推荐）  813 23.3.2  建立隧道和组策略  813 23.3.3  设置用户认证  815 23.4  Cisco AnyConnect Secure Mobility   客户端配置指南  817 23.4.1  加载Cisco AnyConnect Secure   Mobility Client   打包文件  817 23.4.2  定义Cisco AnyConnect Secure   Mobility Client属性  818 23.4.3  高级接近隧道特性  822 23.4.4  AnyConnect客户端配置  827 23.5  AnyConnect客户端的部署场景  829 23.5.1  步骤1：配置CSD进行   注册表检查  831 23.5.2  步骤2：配置RADIUS进行   用户认证  831 23.5.3  步骤3：配置AnyConnect SSL      831 23.5.4  步骤4：启用地址转换提供   Internet访问  832 23.6  AnyConnect SSL 的监测   与排错  832 总结  834 第24章  IP组播路由  835 24.1  IGMP  835 24.2  PIM稀疏模式  836 24.3  配置组播路由  836 24.3.1  启用组播路由  836 24.3.2  启用PIM  838 24.4  IP组播路由排错  841 24.4.1  常用的show命令  841 24.4.2  常用的debug命令  842 总结  843 第25章  服务质量  844 25.1  QoS类型  845 25.1.1  流量优先级划分  845 25.1.2  流量管制  846 25.1.3  流量整形  847 25.2  QoS架构  847 25.2.1  数据包流的顺序  847 25.2.2  数据包分类  848 25.2.3  QoS与 隧道  852 25.3  配置QoS  852 25.3.1  通过ASDM配置QoS  853 25.3.2  通过CLI配置QoS  858 25.4  Qos部署方案  861 25.4.1  ASDM的配置步骤  862 25.4.2  CLI配置步骤  865 25.5  QoS的监测  867 总结  868