本書是Cisco Press出版的網絡技術繫列安全類叢書之一，該安全類叢書旨在幫助網絡從業人員保護關鍵數據和資源，預防和緩解網絡攻擊，以及構建端到端的自防御網絡。本書所涉技術可以用來識別、緩解和響應當今高度復雜的網絡攻擊，包含了如下內容：理解、安裝、配置、授權、維護和排錯新的ASA設備；高效實施AAA服務；使用包過濾、感知上下文的Cisco ASA下一代防火牆服務和NAT/PAT概念來控制和部署網絡接入；配置IP路由、應用監控和QoS；使用獨特的配置、接口、策略、路由表和管理來創建等

●目錄第1章  安全技術介紹11.1  防火牆  11.1.1  網絡防火牆  21.1.2  非軍事化區域（DMZ）  51.1.3  深度數據包監控  61.1.4  可感知環境的下一代防火牆  61.1.5  個人防火牆  71.2  入侵檢測繫統（IDS）與入侵防御繫統（IPS）  71.2.1  模式匹配及狀態化模式匹配識別  81.2.2  協議分析  91.2.3  基於啟發的分析  91.2.4  基於異常的分析  91.2.5  全球威脅關聯功能  101.3  虛擬專用網絡  111.3.1  IPSec技術概述  121.3.2  SSL   171.4  Cisco AnyConnect Secure Mobility  181.5  雲和虛擬化安全  19總結  20第2章  Cisco ASA產品及解決方案概述  212.1  Cisco ASA各型號概述  212.2  Cisco ASA 5505型  222.3  Cisco ASA 5510型  262.4  Cisco ASA 5512-X型  272.5  Cisco ASA 5515-X型  292.6  Cisco ASA 5520型  302.7  Cisco ASA 5525-X型  312.8  Cisco ASA 5540型  312.9  Cisco ASA 5545-X型  322.10  Cisco ASA 5550型  322.11  Cisco ASA 5555-X型  332.12  Cisco ASA 5585繫列  342.13  Cisco Catalyst 6500繫列ASA  服務模塊  372.14  Cisco ASA 1000V雲防火牆  372.15  Cisco ASA下一代防火牆服務  （前身為Cisco ASA CX）  382.16  Cisco ASA AIP-SSM模塊  382.16.1  Cisco ASA AIP-SSM-10  382.16.2  Cisco ASA AIP-SSM-20  392.16.3  Cisco ASA AIP-SSM-40  392.17  Cisco ASA吉比特以太網模塊  392.17.1  Cisco ASA SSM -4GE  402.17.2  Cisco ASA 5580擴展卡  402.17.3  Cisco ASA 5500-X繫列6端口  GE接口卡  41總結  41第3章  許可證  423.1  ASA上的許可證授權特性  423.1.1  基本平臺功能  433.1.2  高級安全特性  453.1.3  分層功能特性  463.1.4  顯示許可證信息  483.2  通過激活密鑰管理許可證  493.2.1  較為激活密鑰和臨時激活密鑰  493.2.2  使用激活密鑰  513.3  故障倒換和集群的組合許可證  523.3.1  許可證彙聚規則  533.3.2  彙聚的臨時許可證即將開始  543.4  共享的Premium 許可證  553.4.1  共享服務器與參與方  553.4.2  配置共享許可證  56總結  58第4章  初始設置  594.1  訪問Cisco ASA設備  594.1.1  建立Console連接  594.1.2  命令行界面  624.2  管理許可證  634.3  初始設置  654.3.1  通過CLI進行初始設置  654.3.2  ASDM的初始化設置  674.4  配置設備  734.4.1  設置設備名和密碼  744.4.2  配置接口  754.4.3  DHCP服務  824.5  設置繫統時鐘  834.5.1  手動調整繫統時鐘  844.5.2  使用網絡時間協議自動調整時鐘  85總結  86第5章  繫統維護  875.1  配置管理  875.1.1  運行配置  875.1.2  啟動配置  905.1.3  刪除設備配置文件  915.2  遠程繫統管理  925.2.1  Telnet  925.2.2  SSH  945.3  繫統維護  975.3.1  軟件安裝  975.3.2  密碼恢復流程  1015.3.3  禁用密碼恢復流程  1045.4  繫統監測  1075.4.1  繫統日志記錄  1075.4.2  NetFlow安全事件記錄（NSEL）  1165.4.3  簡單網絡管理協議（SNMP）  1195.5  設備監測及排錯  1235.5.1  監測CPU及內存  1235.5.2  設備排錯  125總結  129第6章  Cisco ASA服務模塊  1306.1  Cisco ASA服務模塊概述  1306.1.1  硬件架構  1316.1.2  機框集成  1326.2  管理主機機框  1326.2.1  分配VLAN接口  1336.2.2  監測數據流量  1346.3  常用的部署方案  1366.3.1  內部網段防火牆  1366.3.2  邊緣保護  1376.4  讓可靠流量通過策略路由繞過模塊  1386.4.1  數據流  1396.4.2  PBR配置示例  140總結  142第7章  認證、授權、審計（AAA）  1437.1  Cisco ASA支持的協議與服務  1437.2  定義認證服務器  1487.3  配置管理會話的認證  1527.3.1  認證Telnet連接  1537.3.2  認證SSH連接  1547.3.3  認證串行Console連接  1557.3.4  認證Cisco ASDM連接  1567.4  認證防火牆會話（直通代理特性）  1567.5  自定義認證提示  1607.6  配置授權  1607.6.1  命令授權  1627.6.2  配置可下載ACL  1627.7  配置審計  1637.7.1  RADIUS審計  1647.7.2  TACACS+審計  1657.8  對去往Cisco ASA的管理連接進行排錯  1667.8.1  對防火牆會話（直通代理）進行排錯  1687.8.2  ASDM與CLI AAA測試工具  168總結  169第8章  控制網絡訪問：傳統方式  1708.1  數據包過濾  1708.1.1  ACL的類型  1738.1.2  ACL特性的比較  1748.2  配置流量過濾  1748.2.1  過濾穿越設備的流量  1758.2.2  過濾去往設備的流量  1788.3  高級ACL特性  1808.3.1  對像分組  1808.3.2  標準ACL  1868.3.3  基於時間的ACL  1878.3.4  可下載的ACL  1908.3.5  ICMP過濾  1908.4  流量過濾部署方案  1918.5  監測網絡訪問控制  195總結  198第9章  通過ASA CX實施下一代防火牆服務  1999.1  CX集成概述  1999.1.1  邏輯架構  2009.1.2  硬件模塊  2019.1.3  軟件模塊  2019.1.4  高可用性  2029.2  ASA CX架構  2039.2.1  數據平面  2049.2.2  事件與報告  2059.2.3  用戶身份  2059.2.4  TLS解密代理  2059.2.5  HTTP監控引擎  2059.2.6  應用監控引擎  2069.2.7  管理平面  2069.2.8  控制平面  2069.3  配置CX需要在ASA進行的準備工作  2069.4  使用PRSM管理ASA CX  2109.4.1  使用PRSM  2119.4.2  配置用戶賬戶  2149.4.3  CX許可證  2169.4.4  組件與軟件的更新  2179.4.5  配置數據庫備份  2199.5  定義C素  2209.5.1  網絡組  2219.5.2  身份對像  2229.5.3  URL對像  2239.5.4  用戶代理對像  2249.5.5  應用對像  2249.5.6  安全移動對像  2259.5.7  接口角色  2269.5.8  服務對像  2269.5.9  應用服務對像  2279.5.10  源對像組  2289.5.11  目的對像組  2289.5.12  文件過濾配置文件  2299.5.13  Web名譽配置文件  2309.5.14  下一代IPS配置文件  2309.6  啟用用戶身份服務  2319.6.1  配置目錄服務器  2329.6.2  連接到AD代理或CDA  2349.6.3  調試認證設置  2349.6.4  定義用戶身份發現策略  2359.7  啟用TLS解密  2379.7.1  配置解密設置  2399.7.2  定義解密策略  2419.8  啟用NG IPS  2429.9  定義可感知上下文的訪問策略  2439.10  配置ASA將流量重定向給  CX模塊  2469.11  監測ASA CX  2489.11.1  面板報告  2489.11.2  連接與繫統事件  2499.11.3  捕獲數據包  250總結  253第10章  網絡地址轉換  25410.1  地址轉換的類型  25410.1.1  網絡地址轉換  25410.1.2  端口地址轉換  25510.2  配置地址轉換  25710.2.1  靜態NAT/PAT  25710.2.2  動態NAT/PAT  25810.2.3  策略NAT/PAT  25910.2.4  Identity NAT  25910.3  地址轉換中的安全保護機制  25910.3.1  隨機生成序列號  25910.3.2  TCP攔截（TCP Intercept）  26010.4  理解地址轉換行為  26010.4.1  8.3版之前的地址轉換行為  26110.4.2  重新設計地址轉換  （8.3及後續版本）  26210.5  配置地址轉換  26410.5.1  自動NAT的配置  26410.5.2  手動NAT的配置  26810.5.3  集成ACL和NAT  27010.5.4  配置用例  27210.6  DNS刮除（DNS Doctoring）  27910.7  監測地址轉換  281總結  283第11章  IPv6支持  28411.1  IPv6  28411.1.1  IPv6頭部  28411.1.2  支持的IPv6地址類型  28611.2  配置IPv6  28611.2.1  IP地址分配  28711.2.2  IPv6 DHCP中繼  28811.2.3  IPv6可選參數  28811.2.4  設置IPv6 ACL  28911.2.5  IPv6地址轉換  291總結  292第12章  IP路由  29312.1  配置靜態路由  29312.1.1  靜態路由監測  29612.1.2  顯示路由表信息  29812.2  RIP  29912.2.1  配置RIP  30012.2.2  RIP認證  30212.2.3  RIP路由過濾  30412.2.4  配置RIP重分布  30612.2.5  RIP排錯  30612.3  OSPF  30812.3.1  配置OSPF  31012.3.2  OSPF虛鏈路  31412.3.3  配置OSPF認證  31612.3.4  配置OSPF重分布  31912.3.5  末節區域與NSSA  32012.3.6  OSPF類型3 LSA過濾  32112.3.7  OSPF neighbor命令及跨越   的動態路由  32212.3.8  OSPFv3  32412.3.9  OSPF排錯  32412.4  EIGRP  32912.4.1  配置EIGRP  33012.4.2  EIGRP排錯  339總結  346第13章  應用監控  34713.1  啟用應用監控  34913.2  選擇性監控  35013.3  CTIQBE監控  35313.4  DCERPC監控  35513.5  DNS監控  35513.6  ESMTP監控  35913.7  FTP  36113.8  GPRS隧道協議  36313.8.1  GTPv0  36413.8.2  GTPv1  36513.8.3  配置GTP監控  36613.9  H.323  36713.9.1  H.323協議族  36813.9.2  H.323版本兼容性  36913.9.3  啟用H.323監控  37013.9.4  DCS和GKPCS  37213.9.5  T.38  37213.10  Cisco統一通信高級特性  37213.10.1  電話代理  37313.10.2  TLS代理  37613.10.3  移動性代理  37713.10.4  Presence Federation代理  37813.11  HTTP  37813.12  ICMP  38413.13  ILS  38513.14  即時消息（IM）  38513.15  IPSec直通  38613.16  MGCP  38713.17  NetBIOS  38813.18  PPTP  38913.19  Sun RPC  38913.20  RSH  39013.21  RTSP  39013.22  SIP  39013.23  Skinny (SCCP)  39113.24  SNMP  39213.25  SQL*Net  39313.26  TFTP  39313.27  WAAS  39313.28  XDMCP  394總結  394第14章  虛擬化  39514.1  架構概述  39614.1.1  繫統執行空間  39614.1.2  admin虛擬防火牆  39714.1.3  用戶虛擬防火牆  39814.1.4  數據包分類  40014.1.5  多模下的數據流  40214.2  配置安全虛擬防火牆  40414.2.1  步驟1：在全局啟用多安全  虛擬防火牆  40514.2.2  步驟2：設置繫統執行空間  40614.2.3  步驟3：分配接口  40814.2.4  步驟4：指定配置文件URL  40914.2.5  步驟5：配置admin虛擬  防火牆  41014.2.6  步驟6：配置用戶虛擬  防火牆  41114.2.7  步驟7：管理安全虛擬防火牆  （可選）  41214.2.8  步驟8：資源管理（可選）  41214.3  部署方案  41514.3.1  不使用共享接口的虛擬  防火牆  41614.3.2  使用了一個共享接口的虛擬  防火牆  42614.4  安全虛擬防火牆的監測與排錯  43514.4.1  監測  43614.4.2  排錯  437總結  439第15章  透明防火牆  44015.1  架構概述  44215.1.1  單模透明防火牆  44215.1.2  多模透明防火牆  44415.2  透明防火牆的  44515.2.1  透明防火牆與   44515.2.2  透明防火牆與NAT  44615.3  配置透明防火牆  44715.3.1  配置指導方針  44815.3.2  配置步驟  44815.4  部署案例  45915.4.1  部署SMTF  45915.4.2  用安全虛擬防火牆部署  MMTF  46415.5  透明防火牆的監測與排錯  47315.5.1  監測  47315.5.2  排錯  47515.6  主機間無法通信  47515.7  移動了的主機無法實現通信  47615.8  通用日志記錄  477總結  477第16章  高可用性  47816.1  冗餘接口  47816.1.1  使用冗餘接口  47916.1.2  部署案例  48016.1.3  配置與監測  48016.2  靜態路由追蹤  48216.2.1  使用SLA監測配置靜態路由  48216.2.2  浮動連接超時  48316.2.3  備用ISP部署案例  48416.3  故障倒換  48616.3.1  故障倒換中的設備角色  與功能  48616.3.2  狀態化故障倒換  48716.3.3  主用/備用和主用/主用故障  倒換  48816.3.4  故障倒換的硬件和軟件  需求  48916.3.5  故障倒換接口  49116.3.6  故障倒換健康監測  49516.3.7  狀態與角色的轉換  49716.3.8  配置故障倒換  49816.3.9  故障倒換的監測與排錯  50616.3.10  主用/備用故障倒換部署  案例  50916.4  集群  51216.4.1  集群中的角色與功能  51216.4.2  集群的硬件和軟件需求  51416.4.3  控制與數據接口  51616.4.4  集群健康監測  52216.4.5  網絡地址轉換  52316.4.6  性能  52416.4.7  數據流  52516.4.8  狀態轉換  52816.4.9  配置集群  52816.4.10  集群的監測與排錯  53716.4.11  Spanned EtherChannel集群  部署方案  540總結  549第17章  實施Cisco ASA入侵  防御繫統(IPS)  55017.1  IPS集成概述  55017.1.1  IPS邏輯架構  55117.1.2  IPS硬件模塊  55117.1.3  IPS軟件模塊  55217.1.4  在線模式與雜合模式  55317.1.5  IPS高可用性  55517.2  Cisco IPS軟件架構  55517.2.1  MainApp  55617.2.2  SensorApp  55817.2.3  CollaborationApp  55817.2.4  EventStore  55917.3  ASA IPS配置前的準備工作  55917.3.1  安裝CIPS鏡像或者重新安裝  一個現有的ASA IPS  55917.3.2  從ASA CLI訪問CIPS  56117.3.3  配置基本管理設置  56217.3.4  通過ASDM配置IPS管理  56517.3.5  安裝CIPS許可證密鑰  56517.4  在ASA IPS上配置CIPS軟件  56617.4.1  自定義特征  56717.4.2  遠程阻塞  56917.4.3  異常檢測  57217.4.4  全球關聯  57517.5  維護ASA IPS  57617.5.1  用戶賬戶管理  57617.5.2  顯示CIPS軟件和處理信息  57817.5.3  升級CIPS軟件和特征  57917.5.4  配置備份  58217.5.5  顯示和刪除事件  58317.6  配置ASA對IPS流量進行  重定向  58417.7  僵尸流量過濾（Botnet Traffic  Filter）  58517.7.1  動態和手動定義黑名單  數據  58617.7.2  DNS欺騙（DNS Snooping）  58717.7.3  流量選擇  588總結  590第18章  IPS調試與監測  59118.1  IPS調整的過程  59118.2  風險評估值  59218.2.1  ASR  59318.2.2  TVR  59318.2.3  SFR  59318.2.4  ARR  59318.2.5  PD  59318.2.6  WLR  59418.3  禁用IPS特征  59418.4  撤回IPS特征  59418.5  用來進行監測及調整的工具  59518.5.1  ASDM和IME  59518.5.2  CSM事件管理器  （CSM Event Manager）  59618.5.3  從事件表中移除誤報的  IPS事件  59618.5.4  Splunk  59618.5.5  RSA安全分析器（RSA  Security Analytics）  59618.6  在Cisco ASA IPS中顯示和  清除統計信息  596總結  600第19章  站點到站點IPSec   60119.1  預配置清單  60119.2  配置步驟  60419.2.1  步驟1：啟用ISAKMP  60519.2.2  步驟2：創建ISAKMP  策略  60619.2.3  步驟3：建立隧道組  60719.2.4  步驟4：定義IPSec策略  60919.2.5  步驟5：創建加密映射集  61019.2.6  步驟6：配置流量過濾器  （可選）  61319.2.7  步驟7：繞過NAT（可選）  61419.2.8  步驟8：啟用PFS（可選）  61519.2.9  ASDM的配置方法  61619.3  可選屬性與特性  61819.3.1  通過IPSec發送OSPF更新  61919.3.2  反向路由注入  62019.3.3  NAT穿越  62119.3.4  隧道默認網關  62219.3.5  管理訪問  62319.3.6  分片策略  62319.4  部署場景  62419.4.1  使用NAT-T、RRI和IKEv2  的單站點到站點隧道配置  62419.4.2  使用安全虛擬防火牆的  星型拓撲  62919.5  站點到站點 的監測與排錯  63819.5.1  站點到站點 的監測  63819.5.2  站點到站點 的排錯  641總結  645第20章  IPSec遠程訪問   64620.1  Cisco IPSec遠程訪問   解決方案  64620.1.1  IPSec（IKEv1）遠程訪問  配置步驟  64820.1.2  IPSec（IKEv2）遠程訪問  配置步驟  66820.1.3  基於硬件的 客戶端  67120.2  高級Cisco IPSec 特性  67320.2.1  隧道默認網關  67320.2.2  透明隧道  67420.2.3  IPSec折返流量  67520.2.4   負載分擔  67720.2.5  客戶端防火牆  67920.2.6  基於硬件的Easy   客戶端特性  68120.3  L2TP over IPSec遠程訪問   解決方案  68420.3.1  L2TP over IPSec遠程訪問  配置步驟  68520.3.2  Windows L2TP over IPSec  客戶端配置  68820.4  部署場景  68820.5  Cisco遠程訪問 的監測與  排錯  69320.5.1  Cisco遠程訪問IPSec   的監測  69320.5.2  Cisco IPSec 客戶端  的排錯  696總結  698第21章  PKI的配置與排錯  69921.1  PKI介紹  69921.1.1  證書  70021.1.2  證書管理機構（CA）  70021.1.3  證書撤銷列表  70221.1.4  簡單證書注冊協議  70221.2  安裝證書  70321.2.1  通過ASDM安裝證書  70321.2.2  通過文件安裝實體證書  70421.2.3  通過復制/粘貼的方式安裝  CA證書  70421.2.4  通過SCEP安裝CA證書  70521.2.5  通過SCEP安裝實體證書  70821.2.6  通過CLI安裝證書  70921.3  本地證書管理機構  71821.3.1  通過ASDM配置本地CA  71921.3.2  通過CLI配置本地CA  72021.3.3  通過ASDM注冊本地CA  用戶  72221.3.4  通過CLI注冊本地CA用戶  72421.4  使用證書配置IPSec站點到  站點隧道  72521.5  使用證書配置Cisco ASA接受  遠程訪問IPSec 客戶端  72821.6  PKI排錯  72921.6.1  時間和日期不匹配  72921.6.2  SCEP注冊問題  73121.6.3  CRL檢索問題  732總結  733第22章  無客戶端遠程訪問SSL   73422.1  SSL 設計考量  73522.1.1  用戶連通性  73522.1.2  ASA特性集  73522.1.3  基礎設施規劃  73522.1.4  實施範圍  73622.2  SSL 前提條件  73622.2.1  SSL 授權  73622.2.2  客戶端操作繫統和瀏覽器的  軟件需求  73922.2.3  基礎設施需求  74022.3  SSL 前期配置向導  74022.3.1  注冊數字證書（推薦）  74022.3.2  建立隧道和組策略  74522.3.3  設置用戶認證  74922.4  無客戶端SSL 配置向導  75222.4.1  在接口上啟用無客戶端  SSL   75322.4.2  配置SSL 自定義門戶  75322.4.3  配置書簽  76622.4.4  配置Web類型ACL  77022.4.5  配置應用訪問  77222.4.6  配置客戶端/服務器插件  77622.5  Cisco安全桌面  77722.5.1  CSD組件  77822.5.2  CSD需求  77922.5.3  CSD技術架構  78022.5.4  配置CSD  78122.6  主機掃描  78622.6.1  主機掃描模塊  78622.6.2  配置主機掃描  78722.7  動態訪問策略  79122.7.1  DAP技術架構  79122.7.2  DAP事件順序  79222.7.3  配置DAP  79222.8  部署場景  80122.8.1  步驟1：定義無客戶端連接  80222.8.2  步驟2：配置DAP  80322.9  SSL 的監測與排錯  80422.9.1  SSL 監測  80422.9.2  SSL 排錯  806總結  808第23章  基於客戶端的遠程訪問  SSL   80923.1  SSL 設計考量  80923.1.1  Cisco AnyConnect Secure Mobility  客戶端的授權  81023.1.2  Cisco ASA設計考量  81023.2  SSL 前提條件  81123.2.1  客戶端操作繫統和瀏覽器的  軟件需求  81123.2.2  基礎設施需求  81223.3  SSL 前期配置向導  81223.3.1  注冊數字證書（推薦）  81323.3.2  建立隧道和組策略  81323.3.3  設置用戶認證  81523.4  Cisco AnyConnect Secure Mobility  客戶端配置指南  81723.4.1  加載Cisco AnyConnect Secure  Mobility Client   打包文件  81723.4.2  定義Cisco AnyConnect Secure  Mobility Client屬性  81823.4.3  高級接近隧道特性  82223.4.4  AnyConnect客戶端配置  82723.5  AnyConnect客戶端的部署場景  82923.5.1  步驟1：配置CSD進行  注冊表檢查  83123.5.2  步驟2：配置RADIUS進行  用戶認證  83123.5.3  步驟3：配置AnyConnect SSL     83123.5.4  步驟4：啟用地址轉換提供  Internet訪問  83223.6  AnyConnect SSL 的監測  與排錯  832總結  834第24章  IP組播路由  83524.1  IGMP  83524.2  PIM稀疏模式  83624.3  配置組播路由  83624.3.1  啟用組播路由  83624.3.2  啟用PIM  83824.4  IP組播路由排錯  84124.4.1  常用的show命令  84124.4.2  常用的debug命令  842總結  843第25章  服務質量  84425.1  QoS類型  84525.1.1  流量優先級劃分  84525.1.2  流量管制  84625.1.3  流量整形  84725.2  QoS架構  84725.2.1  數據包流的順序  84725.2.2  數據包分類  84825.2.3  QoS與 隧道  85225.3  配置QoS  85225.3.1  通過ASDM配置QoS  85325.3.2  通過CLI配置QoS  85825.4  Qos部署方案  86125.4.1  ASDM的配置步驟  86225.4.2  CLI配置步驟  86525.5  QoS的監測  867總結  868

《Cisco ASA設備使用指南（第3版）》對包括Cisco ASA繫列防火牆在內的大量Cisco安全產品的用法進行了事無巨細的介紹，從設備不同型號之間性能與功能的差異，到產品許可證提供的擴展性能和特性，從各大安全技術的理論和實現方法，再到各類Cisco安全產品提供特性的原理，方方面面不一而足。《Cisco ASA設備使用指南（第3版）》總共25章，其內容主要有安全技術介紹、Cisco ASA產品及解決方案概述、許可證、初始設置、繫統維護、Cisco ASA服務模塊、AAA、控制網絡訪問的傳統方式、通過ASA CX實施下一代防火牆服務、網絡地址轉換、IPv6支持、IP路由、應用監控、虛擬化、透明防火牆、高可用性、實施Cisco ASA入侵防御繫統（IPS）、IPS調試與監測、站點到站點IPSec 、IPSec遠程訪問 、PKI的配置與排錯、無客戶端遠程訪問SSL 、基於客戶端的等

[美]壓茨布 弗拉海（Jazib Frahim）、奧馬爾 桑托斯（Omar Santos）、安德魯 奧西波夫(Andrew Ossipov) 著 YESLAB工作室 譯