Cisco ASA、PIX与FWSM防火墙手册（第二版）

定　价：¥89.00

作　者：	（美）赫卡著，罗进文等译
出版社：	人民邮电出版社
丛编项：
标　签：	信息安全

购买这本书可以去

ISBN：	9787115218612	出版时间：	2010-04-01	包装：	平装
开本：	16开	页数：	627	字数：

内容简介

　　在网络威胁泛滥的今天，利用防火墙技术保护网络的安全已经成为一项极为重要的任务。本书主要内容包括防火墙概述和配置基础、防火墙管理和用户管理、通过防火墙的控制访问、检测流量、使用故障切换增强防火墙的可用性、防火墙负载均衡、防火墙日志、验证防火墙运行、ASA模块等内容，附录部分还对通用协议和端口号、安全设备日志消息进行了介绍。本书适合网络管理员、防火墙安全工程师（或顾问）、对防火墙相关技术感兴趣的初学者阅读。

作者简介

　　David Hucaby，CCIE NO.4594，肯塔基大学杰出的网络工程师，致力于以Cisco Catalyst、ASA、FWSM和VPN产品线为基础的网络维护，曾是ASA 8.0操作系统beta版的审查者之一，拥有肯塔基大学的电气工程学士和硕士学位，曾出版过3本思科教材：《CCNP BCMSN Official Exam Certificatior Guide》、《Cisco Field Manual：Router Configuration》和《Cisco Field Manual：Catalyst Switch Configuration》。现与妻子Marci和两个女儿一起居住在肯塔基。技术支持Greg Abelar，从1996年11月至今，一直受雇于Cisco。他是Cisco技术支持安全团队的创始人之一，协助聘用并培训了众多工程师。他在Cisco安全架构和安全技术营销工程团队中担任多个职务。他是Cisco发起的CCIE安全笔试的主要奠基人和项目管理者，曾出版过Cisco教材《Securing Yom Business with Cisco ASA and PIX Firewalls》，与他人合作出版过《Security Threat Mitigation and Response：Understanding Cisco Security MARS》，并为多本Cisco出版的安全类教材担任技术编辑。

图书目录

第1章防火墙概述
1.1 防火墙运行概述
1.1.1 初始校验
1.1.2 Xlate查询
1.1.3 连接查询
1.1.4 ACL查询
1.1.5 用户验证查询
1.1.6 检测引擎
1.2 ICMP、UDP和TCP的检测引擎
1.2.1 ICMP检测
1.2.2 UDP检测
1.2.3 TCP检测
1.2.4 TCP标准化
1.2.5 其他防火墙操作
1.3 硬件和性能
1.4 基本安全策略准则
第2章配置基础
2.1 用户界面
2.1.1 用户界面模式
2.1.2 用户界面特性
2.2 防火墙特性和许可证
2.3 初始防火墙配置
第3章建立连接
3.1 配置接口
3.1.1 检验防火墙接口
3.1.2 配置接口冗余
3.1.3 基本接口配置
3.1.4 在接口上配置IPv
3.1.5 配置ARP高速缓存
3.1.6 配置接口的MTU和分段
3.1.7 配置接口优先队列
3.1.8 防火墙拓扑结构考虑事项
3.2 配置路由选择
3.2.1 使用路由选择信息防止IP地址欺骗
3.2.2 配置静态路由
3.2.3 支持基于可达性的静态路由
3.2.4 配置RIP以交换路由选择信息
3.2.5 配置EIGRP以交换路由选择信息
3.2.6 配置OSPF以交换路由选择信息
3.3 DHCP服务器功能
3.3.1 将防火墙作为一个DHCP服务器
3.3.2 从DHCP服务器更新动态DNS
3.3.3 向DHCP服务器转发DHCP请求
3.4 组播支持
3.4.1 组播概述
3.4.2 组播寻址
3.4.3 转发组播流量
3.4.4 IGMP：寻找组播组中的接收者
3.4.5 PIM：建立一个组播分发树
3.4.6 配置PIM
3.4.7 使用组播边界划分域
3.4.8 过滤PIM邻居
3.4.9 过滤双向PIM邻居
3.4.10配置Stub组播路由选择(SMR，StubMulticastRouting)
3.4.11配置IGMP操作
3.4.12Stub组播路由选择实例
3.4.13PIM组播路由选择实例
3.4.14验证IGMP组播操作
3.4.15验证PIM组播路由选择操作
第4章防火墙管理
4.1 使用SecurityContext构建虚拟防火墙
4.1.1 SecurityContext(虚拟防火墙)结构
4.1.2 共享context接口
4.1.3 共享context接口的问题
4.1.4 用唯一MAC地址解决共享context接口问题
4.1.5 配置文件和securitycontext
4.1.6 Multiple-context配置规则
4.1.7 启动Multiple-context模式
4.1.8 multiplesecuritycontext之间的切换
4.1.9 配置一个新的context
4.1.10给context分配防火墙资源
4.1.11验证multiple-context操作
4.2 管理Flash文件系统
4.2.1 引导ASA或FWSMFlash文件系统
4.2.2 管理ASA或FWSMFlash文件系统
4.2.3 使用PIX6.3 Flash文件系统
4.2.4 识别操作系统镜像
4.2.5 从监控提示符中更新镜像
4.2.6 通过管理会话升级镜像
4.2.7 自动升级镜像
4.3 管理配置文件
4.3.1 管理启动配置
4.3.2 保存运行配置
4.3.3 输入配置
4.4 用自动更新服务器进行自动更新
4.4.1 将防火墙配置为自动更新客户端
4.4.2 验证自动更新客户端操作
4.4.3 将防火墙配置为自动更新服务器
4.5 管理管理会话
4.5.1 控制台连接
4.5.2 Telnet会话
4.5.3 SSH会话
4.5.4 ASDM/PDM会话
4.5.5 用户会话标志(Banner)
4.5.6 监视管理会话
4.6 防火墙重载和崩溃
4.6.1 重载防火墙
4.6.2 获得崩溃信息
4.7 用SNMP监测防火墙
4.7.1 防火墙SNMP支持概述
4.7.2 SNMP配置
第5章防火墙用户管理
5.1 一般用户管理
5.1.1 一般用户的验证与授权
5.1.2 通用用户统计
5.2 用本地数据库管理用户
5.2.1 本地用户名的验证
5.2.2 授权用户访问防火墙命令
5.2.3 本地用户行为统计
5.3 定义用于用户管理的AAA服务器
5.4 配置AAA以管理管理级用户
5.4.1 启用AAA用户验证
5.4.2 启动AAA命令授权
5.4.3 启用AAA命令统计
5.5 为终端用户直通代理配置AAA
5.5.1 验证通过用户
5.5.2 使用TACACS+服务器授权用户行为
5.5.3 使用RADIUS服务器授权用户行为
5.5.4 保存用户行为的统计记录
5.5.5 AAA直通式代理配置实例
5.6 防火墙密码恢复
5.6.1 恢复ASA密码
5.6.2 恢复PIX密码
5.6.3 恢复FWSM密码
第6章通过防火墙的控制访问
6.1 路由和透明防火墙模式
6.2 地址转换
6.2.1 定义访问方向
6.2.2 地址转换类型
6.2.3 通过地址转换处理连接
6.2.4 静态NAT
6.2.5 策略NAT
6.2.6 一致性NAT
6.2.7 NAT豁免
6.2.8 动态地址转换(NAT或PAT)
6.2.9 控制流量
6.3 使用访问列表控制访问
6.3.1 编译访问列表
6.3.2 配置访问列表
6.3.3 访问列表实例
6.3.4 定义对象组
6.3.5 监控访问列表
6.4 规避流量
第7章检测流量
7.1 过滤内容
7.1.1 配置内容过滤器
7.1.2 内容-过滤举例
7.1.3 利用Web缓存实现更好的HTTP服务性能
7.2 在模块化策略结构中定义安全策略
7.2.1 对3和4层流量进行分类
7.2.2 分类管理流量
7.2.3 定义一个第3/4层策略
7.2.4 默认策略定义
7.3 应用检测
第8章使用故障切换(failover)增强防火墙的可用性
8.1 防火墙故障切换(failover)概述
8.1.1 故障切换工作原理
8.1.2 防火墙故障切换的作用
8.1.3 检测防火墙故障
8.1.4 故障切换通信
8.1.5 A/A模式故障切换的要求
8.2 配置防火墙故障切换
8.3 防火墙故障切换配置示例
8.3.1 PIX防火墙A/S模式的故障切换实例
8.3.2 FWSM中A/S模式故障切换的配置示例
8.3.3 A/A模式的故障切换实例
8.4 防火墙故障切换管理
8.4.1 显示故障切换信息
8.4.2 调试故障切换行为
8.4.3 手工干预故障切换
8.4.4 在故障切换对等单元上执行命令
8.5 在故障切换模式下对防火墙进行升级
8.5.1 手工升级故障切换对
8.5.2 自动升级故障切换对
第9章防火墙负载均衡
9.1 防火墙负载均衡概述
9.2 基于软件的防火墙负载均衡
9.2.1 IOSFWLB配置要点
9.2.2 IOSFWLB配置
9.2.3 IOS防火墙负载均衡举例
9.2.4 显示关于IOSFWLB的信息
9.3 基于硬件的防火墙负载均衡
9.3.1 基于硬件的FWLB配置要点
9.3.2 配置CSMFWLB
9.3.3 CSM防火墙负载均衡举例
9.3.4 显示CSMFWLB的相关信息
9.4 防火墙负载均衡设备
9.4.1 CSSFWLB配置
9.4.2 CSS用于防火墙负载均衡示例
9.4.3 显示CSSFWLB相关信息
第10章防火墙日志
10.1 防火墙时钟管理
10.1.1 手工设置时钟
10.1.2 用NTP设置时钟
10.2 产生日志消息
10.2.1 Syslog服务器的建议
10.2.2 日志配置
10.2.3 验证消息日志活动
10.2.4 手工测试日志消息的产生
10.3 微调日志消息的生成
10.3.1 修剪消息
10.3.2 改变消息严重级别
10.3.3 访问列表活动日志
10.4 分析防火墙日志
第11章验证防火墙运行
11.1 检查防火墙的生命特征
11.1.1 使用系统日志信息
11.1.2 检测系统资源
11.1.3 检查状态检测资源
11.1.4 检查防火墙吞吐量
11.1.5 检查检测引擎和服务策略行为
11.1.6 检查故障切换操作
11.1.7 检查防火墙接口
11.2 查看通过防火墙的数据
11.2.1 使用捕获
11.2.2 使用调试数据包
11.3 验证防火墙连通性
11.3.1 步骤1：用ping数据包测试
11.3.2 步骤2：检查ARP缓存
11.3.3 步骤3：检查路由选择表
11.3.4 步骤4：使用traceroute验证转发路径
11.3.5 步骤5：检查访问列表
11.3.6 步骤6：验证地址转换和连接表
11.3.7 步骤7：查找活动的阻塞
11.3.8 步骤8：检查用户验证
11.3.9 步骤9：了解所发生的变化
第12章 ASA模块
12.1 初始配置ASASSM
12.1.1 为SSM管理流量预备ASA
12.1.2 连接和配置SSM管理接口
12.2 配置CSCSSM
12.2.1 配置ASA将流量转移到CSCSSM
12.2.2 配置初始CSCSSM设置
12.2.3 修复初始CSC配置
12.2.4 连接到CSC管理接口
12.2.5 配置自动更新
12.2.6 配置CSC检测策略
12.2.7 配置Web(HTTP)检测策略
12.2.8 配置文件传输(FTP)检测策略
12.2.9 配置邮件(SMTP和POP3)检测策略
12.3 配置AIPSSM
12.3.1 初始配置AIP
12.3.2 管理AIP
12.3.3 更新AIP许可证
12.3.4 手工更新AIP代码或特征文件
12.3.5 自动更新AIP镜像和特征文件
12.3.6 IPS策略
12.3.7 AIP接口
12.3.8 虚拟传感器
附录A 通用协议和端口号
A-1：IP协议号
A-2：ICMP消息类型
A-3：IP端口号
附录B 安全设备日志消息
B-1：警报——系统日志严重等级1消息
B-2：重要——系统日志严重等级2消息
B-3：错误——系统日志严重等级3消息
B-4：警告——系统日志严重等级4消息
B-5：通知——系统日志严重等级5消息
B-6：信息——系统日志严重等级6消息
B-7：调试——系统日志严重等级7消息