Cisco ASA、PIX與FWSM防火墻手冊(cè)

前言

當(dāng)今的網(wǎng)絡(luò)要求能將數(shù)據(jù)、語(yǔ)音、視頻會(huì)議、無(wú)線通信及更多方面的內(nèi)容安全傳輸?shù)街T如雇員、供應(yīng)商、合作伙伴和客戶之類的廣泛用戶。保護(hù)網(wǎng)絡(luò)的安全已經(jīng)成為一項(xiàng)極為重要的任務(wù)，應(yīng)能保證“無(wú)處不在的連接”不會(huì)受到網(wǎng)絡(luò)上未驗(yàn)證訪問(wèn)、濫用或攻擊風(fēng)險(xiǎn)的影響而正常地運(yùn)行。當(dāng)各種數(shù)量龐大的安全技術(shù)應(yīng)用到安全網(wǎng)絡(luò)和終端問(wèn)題上時(shí)，具有長(zhǎng)期可靠性的防火墻仍然是所有安全部署的核心部分。防火墻繼續(xù)承擔(dān)主要的網(wǎng)守任務(wù)，確保所有從第2層到第7層的網(wǎng)絡(luò)流量經(jīng)合法驗(yàn)證、授權(quán)后傳輸?shù)骄W(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)安全和防火墻的許多書籍主要關(guān)注的是概念和理論。然而本書的內(nèi)容遠(yuǎn)遠(yuǎn)超出了這些主題，它涵蓋了每個(gè)網(wǎng)絡(luò)和安全管理員在配置和管理包括PIX和ASA安全設(shè)備以及Catalyst防火墻服務(wù)模塊在內(nèi)的Cisco市場(chǎng)領(lǐng)先防火墻產(chǎn)品時(shí)，需要了解的大量細(xì)節(jié)信息。正如書名提示的那樣，本書是一個(gè)實(shí)用的用戶手冊(cè)，提供對(duì)初始配置，更重要的是對(duì)Cisco防火墻日常管理的深入解釋。本書對(duì)如何成功配置防火墻包括建立訪問(wèn)控制策略、驗(yàn)證終端用戶、調(diào)節(jié)高可用性部署、通過(guò)大量管理界面監(jiān)控防火墻健康在內(nèi)的所有方面，提供了日常的實(shí)踐指導(dǎo)。本書的作者，CCIE David Hucaby在充當(dāng)肯塔基大學(xué)（University of Kentucky）管理Cisco防火墻的首席網(wǎng)絡(luò)工程師之余，還花費(fèi)了相當(dāng)多的時(shí)間直接與負(fù)責(zé)這些產(chǎn)品的Cisco工程小組協(xié)作，確保本書涵蓋了深入、實(shí)用、最新的可用信息。將本書放在手邊——你會(huì)發(fā)現(xiàn)經(jīng)常需要參考它！

內(nèi)容概要

　　在網(wǎng)絡(luò)威脅泛濫的今天，利用防火墻技術(shù)保護(hù)網(wǎng)絡(luò)的安全已經(jīng)成為一項(xiàng)極為重要的任務(wù)。本書主要內(nèi)容包括防火墻概述和配置基礎(chǔ)、防火墻管理和用戶管理、通過(guò)防火墻的控制訪問(wèn)、檢測(cè)流量、使用故障切換增強(qiáng)防火墻的可用性、防火墻負(fù)載均衡、防火墻日志、驗(yàn)證防火墻運(yùn)行、ASA模塊等內(nèi)容，附錄部分還對(duì)通用協(xié)議和端口號(hào)、安全設(shè)備日志消息進(jìn)行了介紹。　　本書適合網(wǎng)絡(luò)管理員、防火墻安全工程師(或顧問(wèn))、對(duì)防火墻相關(guān)技術(shù)感興趣的初學(xué)者閱讀。

作者簡(jiǎn)介

David Hucaby，CCIE NO.4594，肯塔基大學(xué)杰出的網(wǎng)絡(luò)工程師，致力于以Cisco Catalyst、ASA、FWSM和VPN產(chǎn)品線為基礎(chǔ)的網(wǎng)絡(luò)維護(hù)，曾是ASA 8.0操作系統(tǒng)beta版的審查者之一，擁有肯塔基大學(xué)的電氣工程學(xué)士和碩士學(xué)位，曾出版過(guò)3本思科教材：《CCNP BCMSN Official Exam Certificatior Guide》、《Cisco Field Manual：Router Configuration》和《Cisco Field Manual：Catalyst Switch Configuration》?，F(xiàn)與妻子Marci和兩個(gè)女兒一起居住在肯塔基。技術(shù)支持Greg Abelar，從1996年11月至今，一直受雇于Cisco。他是Cisco技術(shù)支持安全團(tuán)隊(duì)的創(chuàng)始人之一，協(xié)助聘用并培訓(xùn)了眾多工程師。他在Cisco安全架構(gòu)和安全技術(shù)營(yíng)銷工程團(tuán)隊(duì)中擔(dān)任多個(gè)職務(wù)。他是Cisco發(fā)起的CCIE安全筆試的主要奠基人和項(xiàng)目管理者，曾出版過(guò)Cisco教材《Securing Yom Business with Cisco ASA and PIX Firewalls》，與他人合作出版過(guò)《Security Threat Mitigation and Response：Understanding Cisco Security MARS》，并為多本Cisco出版的安全類教材擔(dān)任技術(shù)編輯。

書籍目錄

第1章　防火墻概述　　1.1　防火墻運(yùn)行概述　　　1.1.1　初始校驗(yàn)　　　1.1.2　Xlate查詢　　　1.1.3　連接查詢　　　1.1.4　ACL查詢　　　1.1.5　用戶驗(yàn)證查詢　　　1.1.6　檢測(cè)引擎　　1.2　 ICMP、UDP和TCP的檢測(cè)引擎　　　1.2.1　ICMP檢測(cè)　　　1.2.2　UDP檢測(cè)　　　1.2.3　TCP檢測(cè)　　　1.2.4　TCP標(biāo)準(zhǔn)化　　　1.2.5　其他防火墻操作　　1.3　硬件和性能　　1.4　基本安全策略準(zhǔn)則　第2章　配置基礎(chǔ)　　2.1　用戶界面　　　2.1.1　用戶界面模式　　　2.1.2　用戶界面特性　　2.2　防火墻特性和許可證　　2.3　初始防火墻配置　第3章　建立連接　　3.1　配置接口　　　3.1.1　檢驗(yàn)防火墻接口　　　3.1.2　配置接口冗余　　　3.1.3　基本接口配置　　　3.1.4　在接口上配置IPv6　　　3.1.5　配置ARP高速緩存　　　3.1.6　配置接口的MTU和分段　　　3.1.7　配置接口優(yōu)先隊(duì)列　　　3.1.8　防火墻拓?fù)浣Y(jié)構(gòu)考慮事項(xiàng)　　3.2　配置路由選擇　　　3.2.1　使用路由選擇信息防止IP地址欺騙　　　3.2.2　配置靜態(tài)路由　　　3.2.3　支持基于可達(dá)性的靜態(tài)路由　　　3.2.4　配置RIP以交換路由選擇信息　　　3.2.5　配置EIGRP以交換路由選擇信息　　　3.2.6　配置OSPF以交換路由選擇信息　　3.3　DHCP服務(wù)器功能　　　3.3.1　將防火墻作為一個(gè)DHCP服務(wù)器　　　3.3.2　從DHCP服務(wù)器更新動(dòng)態(tài)DNS　　　3.3.3　向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP請(qǐng)求　　3.4　組播支持　　　3.4.1　組播概述　　　3.4.2　組播尋址　　　3.4.3　轉(zhuǎn)發(fā)組播流量　　　3.4.4　IGMP：尋找組播組中的接收者　　　3.4.5　PIM：建立一個(gè)組播分發(fā)樹　　　3.4.6　配置PIM　　　3.4.7　使用組播邊界劃分域　　　3.4.8　過(guò)濾PIM鄰居　　　3.4.9　過(guò)濾雙向PIM鄰居　　　3.4.10　配置Stub組播路由選擇(SMR，Stub Multicast Routing)　　　3.4.11　配置IGMP操作　　　3.4.12　Stub組播路由選擇實(shí)例　　　3.4.13　PIM組播路由選擇實(shí)例　　　3.4.14　驗(yàn)證IGMP組播操作　　　3.4.15　驗(yàn)證PIM組播路由選擇操作　第4章　防火墻管理第5章　防火墻用戶管理　第6章　通過(guò)防火墻的控制訪問(wèn)第7章　檢測(cè)流量第8章　使用故障切換(failover)增強(qiáng)防火墻的可用性第9章　防火墻負(fù)載均衡　第10章　防火墻日志第11章　驗(yàn)證防火墻運(yùn)行第12章　ASA模塊　附錄A　通用協(xié)議和端口號(hào)附錄B　安全設(shè)備日志消息

章節(jié)摘錄

插圖：當(dāng)開始考慮安全策略并著手配置防火墻時(shí)，必須牢記幾件事情。這一小節(jié)講解了保護(hù)網(wǎng)絡(luò)的經(jīng)驗(yàn)法則，而不是長(zhǎng)篇累牘地介紹安全策略和如何防范漏洞和攻擊。如果遵循這些建議，就能夠配置防火墻使其提供最佳的防護(hù)?！ざㄆ谑占⒉榭捶阑饓θ罩驹谂渲梅阑饓χ?，可以根據(jù)正確的安全策略通過(guò)簡(jiǎn)單測(cè)試來(lái)查看防火墻是否阻止或允許對(duì)安全資源進(jìn)行訪問(wèn)。然而，如果不查看允許或拒絕的流量記錄，就沒有簡(jiǎn)易的方法來(lái)觀察拒絕服務(wù)或蠕蟲攻擊。防火墻會(huì)產(chǎn)生大量的日志信息。這些數(shù)據(jù)通過(guò)可以勝任的系統(tǒng)日志服務(wù)器來(lái)收集。也應(yīng)該定期查看系統(tǒng)日志數(shù)據(jù)，從中可以發(fā)現(xiàn)新的惡意活動(dòng)或暴露出忘記關(guān)閉的敏感端口的使用。保存防火墻日志最重要的原因是對(duì)網(wǎng)絡(luò)活動(dòng)的審計(jì)跟蹤。如果遭受了攻擊或者網(wǎng)絡(luò)資源的惡意使用，可以依據(jù)系統(tǒng)日志記錄來(lái)作為證據(jù)?！ぶ贫ň_的入站ACL必須嚴(yán)格控制流量從公共網(wǎng)絡(luò)或者不安全的方面進(jìn)入到受保護(hù)網(wǎng)絡(luò)。例如，如果要對(duì)公司W(wǎng)eb或者E-mail服務(wù)器提供公共訪問(wèn)，一定要確定只允許開放那些特定協(xié)議和端口。否則，如果讓入站訪問(wèn)過(guò)于寬泛或開放，就會(huì)增加有些人設(shè)法利用意想不到的協(xié)議或服務(wù)的機(jī)會(huì)。此外，最佳做法建議任何入站訪問(wèn)必須止于中立區(qū)（DMZ，demilitarized zone）防火墻接口上的主機(jī)，而不是內(nèi)部網(wǎng)絡(luò)中的主機(jī)。至于出站流量控制，內(nèi)部（受保護(hù)的）用戶通常是已知的和受信任的?？梢蚤_放出站訪問(wèn)，但最佳做法建議配置出站訪問(wèn)列表，以防止內(nèi)部網(wǎng)絡(luò)的主機(jī)參與針對(duì)DMZ或外部網(wǎng)絡(luò)的蠕蟲或攻擊。也可以使用出站訪問(wèn)列表來(lái)實(shí)施公司政策，來(lái)限制或禁止某些行為或控制非授權(quán)服務(wù)的訪問(wèn)。防火墻也可以對(duì)出站用戶進(jìn)行訪問(wèn)驗(yàn)證，并與外部服務(wù)器聯(lián)動(dòng)控制網(wǎng)頁(yè)內(nèi)容?！ぴ诓煌矫姹Ｗo(hù)DMZ如果向公共網(wǎng)絡(luò)提供公司資源，通常最好放在DMZ中。這是一個(gè)在防火墻接口上的小型網(wǎng)絡(luò)，具有中級(jí)安全級(jí)別。外部或者公共網(wǎng)絡(luò)的用戶可利用指定協(xié)議和端口來(lái)訪問(wèn)DMZ上的服務(wù)器。謹(jǐn)慎配置DMZ接口上的安全策略。確保外部用戶只能允許訪問(wèn)必需的指定協(xié)議，然后保證DMZ接口的設(shè)備僅能通過(guò)傳輸數(shù)據(jù)的協(xié)議訪問(wèn)內(nèi)部（可靠的）主機(jī)。例如，假設(shè)有一個(gè)公共Web服務(wù)器使用HTTP提供信息服務(wù)。這個(gè)Web服務(wù)器需要向內(nèi)部網(wǎng)絡(luò)的其他數(shù)據(jù)中心服務(wù)器發(fā)送SQL請(qǐng)求來(lái)填充其網(wǎng)頁(yè)。對(duì)于DMZ，應(yīng)該配置防火墻允許外部只能使用TCP端口80（HTTP）來(lái)訪問(wèn)Web服務(wù)器。此外，應(yīng)該允許DMZ服務(wù)器向內(nèi)部數(shù)據(jù)中心只能發(fā)送SOL數(shù)據(jù)包，而不是別的。如果在DMZ服務(wù)器和內(nèi)部區(qū)域之間開放訪問(wèn)（任何協(xié)議或端口號(hào)），DMZ區(qū)就會(huì)成為一個(gè)“跳板”，使外部的惡意用戶能夠危害DMZ服務(wù)器，并使用它來(lái)危害內(nèi)部區(qū)域的其他主機(jī)。

媒體關(guān)注與評(píng)論

“許多網(wǎng)絡(luò)安全和防火墻方面的圖書僅僅滿足于用大量的篇幅去討論相關(guān)的概念和原理，但是本書卻超越了這樣的界限。它對(duì)網(wǎng)絡(luò)和安全管理員在配置和管理Cisco的市場(chǎng)領(lǐng)先的防火墻產(chǎn)品時(shí)，所要知道的一切知識(shí)進(jìn)行了全面詳細(xì)的講解?！薄　　狫ason Nolet，工程副總裁，安全技術(shù)團(tuán)隊(duì)，Cisco

編輯推薦

《Cisco ASA、PIX與FWSM防火墻手冊(cè)(第2版)》是一本實(shí)施當(dāng)前流行的Cisco防火墻安全解決方案常見特性的指南。涵蓋了最新的防火墻版本，能夠幫助你輕松快速地配置、集成和管理全系列Cisco防火墻產(chǎn)品，這包括ASA、PIX和Catalyst防火墻服務(wù)模塊（FWSM）?！禖isco ASA、PIX與FWSM防火墻手冊(cè)(第2版)》按照特性族進(jìn)行組織。能夠幫助你快速有效地掌握諸如文件管理、連通性的建立、控制訪問(wèn)、防火墻管理、利用failover特性增強(qiáng)可用性，負(fù)載平衡、記錄日志和驗(yàn)證操作等主題。書中有些段落用帶陰影的標(biāo)簽標(biāo)注。供快速參考所用。每一個(gè)特性的信息都以一種簡(jiǎn)捷的格式列出，這包括背景、配置和實(shí)例組件。無(wú)論你是在尋找最新的ASA、PIX和FWSM設(shè)備的介紹。還是在尋找Cisco防火墻部署的完整參考，《Cisco ASA、PIX與FWSM防火墻手冊(cè)(第2版)》都能夠幫助你實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的最大保護(hù)?！W(xué)習(xí)不同的防火墻模型、用戶界面、特性集以及配置方法：·理解Cisco防火墻如何檢測(cè)流量；·配置防火墻接口、路由、IP尋址服務(wù)和IP組播支持；·維護(hù)安全context、flash和配置文件，管理用戶，使用SNMP監(jiān)視防火墻；·對(duì)防火墻用戶進(jìn)行認(rèn)證、授權(quán)，并維護(hù)審計(jì)記錄；·通過(guò)部署透明模式和路由模式的防火墻、地址轉(zhuǎn)換以及流量回避（shun）對(duì)穿越防火墻的訪問(wèn)進(jìn)行控制；·以模塊化的策略框架定義可識(shí)別并作用于不同流量類型的安全策略；·利用防火墻的failover特性提高防火墻的可用性；·理解防火墻負(fù)載平衡的工作原理；·生成防火墻行為日志，并學(xué)習(xí)如何分析日志內(nèi)容；·對(duì)防火墻的操作和連通性進(jìn)行驗(yàn)證并對(duì)“穿越”防火墻的數(shù)據(jù)進(jìn)行研究；·配置安全服務(wù)模塊，如內(nèi)容安全控制（CSC）模塊和高級(jí)檢測(cè)處理器（AIP）模塊?！禖isco ASA、PIX與FWSM防火墻手冊(cè)(第2版)》屬于Cisco Press網(wǎng)絡(luò)技術(shù)圖書中的安全類別。Cisco Press出版的安全圖書可以幫助網(wǎng)絡(luò)專業(yè)人員保護(hù)關(guān)鍵的數(shù)據(jù)和資源，阻止和緩解網(wǎng)絡(luò)攻擊。以及構(gòu)建端到端的自防御體系。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Cisco ASA、PIX與FWSM防火墻手冊(cè) PDF格式下載

---