Cisco ASA, PIX, and FWSM firewall handbook

第1章　防火墙概述　1

1.1　防火墙运行概述　2

1.1.1　初始校验　2

1.1.2　xlate查询　3

1.1.3　连接查询　4

1.1.4　acl查询　5

1.1.5　用户验证查询　5

1.1.6　检测引擎　6

1.2　 icmp、udp和tcp的检测引擎　6

1.2.1　icmp检测　6

1.2.2　udp检测　9

1.2.3　tcp检测　10

1.2.4　tcp标准化　13

1.2.5　其他防火墙操作　13

1.3　硬件和性能　14

1.4　基本安全策略准则　15

第2章　配置基础　19

2.1　用户界面　19

2.1.1　用户界面模式　20

2.1.2　用户界面特性　20

.2.2　防火墙特性和许可证　24

2.3　初始防火墙配置　29

第3章　建立连接　33

3.1　配置接口　33

3.1.1　检验防火墙接口　34

3.1.2　配置接口冗余　35

3.1.3　基本接口配置　37

3.1.4　在接口上配置ipv6　44

3.1.5　配置arp高速缓存　50

3.1.6　配置接口的mtu和分段　51

3.1.7　配置接口优先队列　53

3.1.8　防火墙拓扑结构考虑事项　57

3.2　配置路由选择　61

3.2.1　使用路由选择信息防止ip地址欺骗　61

3.2.2　配置静态路由　63

3.2.3　支持基于可达性的静态路由　65

3.2.4　配置rip以交换路由选择信息　69

3.2.5　配置eigrp以交换路由选择信息　71

3.2.6　配置ospf以交换路由选择信息　74

3.3　dhcp服务器功能　85

3.3.1　将防火墙作为一个dhcp服务器　86

3.3.2　从dhcp服务器更新动态dns　88

3.3.3　向dhcp服务器转发dhcp请求　91

3.4　组播支持　93

3.4.1　组播概述　93

3.4.2　组播寻址　93

3.4.3　转发组播流量　94

3.4.4　igmp：寻找组播组中的接收者　95

3.4.5　pim：建立一个组播分发树　96

3.4.6　配置pim　101

3.4.7　使用组播边界划分域　104

3.4.8　过滤pim邻居　105

3.4.9　过滤双向pim邻居　106

3.4.10　配置stub组播路由选择(smr，stub multicast routing)　106

3.4.11　配置igmp操作　108

3.4.12　stub组播路由选择实例　110

3.4.13　pim组播路由选择实例　111

3.4.14　验证igmp组播操作　111

3.4.15　验证pim组播路由选择操作　112

第4章　防火墙管理　117

4.1　使用security context构建虚拟防火墙　117

4.1.1　security context(虚拟防火墙)结构　118

4.1.2　共享context接口　118

4.1.3　共享context接口的问题　120

4.1.4　用唯一mac地址解决共享context接口问题　123

4.1.5　配置文件和security context　126

4.1.6　multiple-context配置规则　126

4.1.7　启动multiple-context模式　127

4.1.8　multiple security context之间的切换　129

4.1.9　配置一个新的context　130

4.1.10　给context分配防火墙资源　138

4.1.11　验证multiple-context操作　142

4.2　管理flash文件系统　143

4.2.1　引导asa或fwsm flash文件系统　144

4.2.2　管理asa或fwsm flash文件系统　145

4.2.3　使用pix 6.3 flash文件系统　148

4.2.4　识别操作系统镜像　149

4.2.5　从监控提示符中更新镜像　150

4.2.6　通过管理会话升级镜像　153

4.2.7　自动升级镜像　157

4.3　管理配置文件　157

4.3.1　管理启动配置　157

4.3.2　保存运行配置　159

4.3.3　输入配置　162

4.4　用自动更新服务器进行自动更新　164

4.4.1　将防火墙配置为自动更新客户端　164

4.4.2　验证自动更新客户端操作　168

4.4.3　将防火墙配置为自动更新服务器　169

4.5　管理管理会话　172

4.5.1　控制台连接　173

4.5.2　telnet会话　174

4.5.3　ssh会话　174

4.5.4　asdm/pdm会话　177

4.5.5　用户会话标志(banner)　180

4.5.6　监视管理会话　181

4.6　防火墙重载和崩溃　182

4.6.1　重载防火墙　182

4.6.2　获得崩溃信息　184

4.7　用snmp监测防火墙　187

4.7.1　防火墙snmp支持概述　187

4.7.2　snmp配置　190

第5章　防火墙用户管理　195

5.1　一般用户管理　196

5.1.1　一般用户的验证与授权　196

5.1.2　通用用户统计　197

5.2　用本地数据库管理用户　198

5.2.1　本地用户名的验证　198

5.2.2　授权用户访问防火墙命令　200

5.2.3　本地用户行为统计　203

5.3　定义用于用户管理的aaa服务器　204

5.4　配置aaa以管理管理级用户　209

5.4.1　启用aaa用户验证　209

5.4.2　启动aaa命令授权　211

5.4.3　启用aaa命令统计　213

5.5　为终端用户直通代理配置aaa　214

5.5.1　验证通过用户　214

5.5.2　使用tacacs+服务器授权用户行为　217

5.5.3　使用radius服务器授权用户行为　219

5.5.4　保存用户行为的统计记录　222

5.5.5　aaa直通式代理配置实例　223

5.6　防火墙密码恢复　224

5.6.1　恢复asa密码　224

5.6.2　恢复pix密码　227

5.6.3　恢复fwsm密码　228

第6章　通过防火墙的控制访问　231

6.1　路由和透明防火墙模式　231

6.2　地址转换　239

6.2.1　定义访问方向　240

6.2.2　地址转换类型　241

6.2.3　通过地址转换处理连接　243

6.2.4　静态nat　246

6.2.5　策略nat　248

6.2.6　一致性nat　251

6.2.7　nat豁免　252

6.2.8　动态地址转换(nat或pat)　253

6.2.9　控制流量　258

6.3　使用访问列表控制访问　261

6.3.1　编译访问列表　261

6.3.2　配置访问列表　262

6.3.3　访问列表实例　268

6.3.4　定义对象组　269

6.3.5　监控访问列表　281

6.4　规避流量　283

第7章　检测流量　287

7.1　过滤内容　287

7.1.1　配置内容过滤器　288

7.1.2　内容-过滤举例　292

7.1.3　利用web缓存实现更好的http服务性能　293

7.2　在模块化策略结构中定义安全策略　293

7.2.1　对3和4层流量进行分类　295

7.2.2　分类管理流量　299

7.2.3　定义一个第3/4层策略　300

7.2.4　默认策略定义　310

7.3　应用检测　312

第8章　使用故障切换(failover)增强防火墙的可用性　347

8.1　防火墙故障切换(failover)概述　347

8.1.1　故障切换工作原理　348

8.1.2　防火墙故障切换的作用　351

8.1.3　检测防火墙故障　352

8.1.4　故障切换通信　353

8.1.5　a/a模式故障切换的要求　355

8.2　配置防火墙故障切换　356

8.3　 防火墙故障切换配置示例　366

8.3.1　pix防火墙a/s模式的故障切换实例　366

8.3.2　fwsm中a/s模式故障切换的配置示例　368

8.3.3　a/a模式的故障切换实例　369

8.4　防火墙故障切换管理　374

8.4.1　显示故障切换信息　374

8.4.2　调试故障切换行为　379

8.4.3　手工干预故障切换　381

8.4.4　在故障切换对等单元上执行命令　382

8.5　在故障切换模式下对防火墙进行升级　384

8.5.1　手工升级故障切换对　384

8.5.2　自动升级故障切换对　387

第9章　防火墙负载均衡　389

9.1　防火墙负载均衡概述　389

9.2　基于软件的防火墙负载均衡　391

9.2.1　ios fwlb配置要点　392

9.2.2　ios fwlb配置　393

9.2.3　ios防火墙负载均衡举例　398

9.2.4　显示关于ios fwlb的信息　403

9.3　基于硬件的防火墙负载均衡　405

9.3.1　基于硬件的fwlb配置要点　406

9.3.2　配置csm fwlb　407

9.3.3　csm防火墙负载均衡举例　413

9.3.4　显示csm fwlb的相关信息　420

9.4　防火墙负载均衡设备　422

9.4.1　css fwlb 配置　422

9.4.2　css用于防火墙负载均衡示例　424

9.4.3　显示css fwlb相关信息　427

第10章　防火墙日志　429

10.1　防火墙时钟管理　429

10.1.1　手工设置时钟　430

10.1.2　用ntp设置时钟　431

10.2　产生日志消息　433

10.2.1　syslog服务器的建议　436

10.2.2　日志配置　436

10.2.3　验证消息日志活动　454

10.2.4　手工测试日志消息的产生　455

10.3　微调日志消息的生成　456

10.3.1　修剪消息　456

10.3.2　改变消息严重级别　456

10.3.3　访问列表活动日志　457

10.4　分析防火墙日志　459

第11章　验证防火墙运行　463

11.1　检查防火墙的生命特征　463

11.1.1　使用系统日志信息　464

11.1.2　检测系统资源　465

11.1.3　检查状态检测资源　471

11.1.4　检查防火墙吞吐量　473

11.1.5　检查检测引擎和服务策略行为　478

11.1.6　检查故障切换操作　479

11.1.7　检查防火墙接口　487

11.2　查看通过防火墙的数据　493

11.2.1 使用捕获　494

11.2.2　使用调试数据包　511

11.3　验证防火墙连通性　513

11.3.1　步骤1：用ping数据包测试　516

11.3.2　步骤2：检查arp缓存　518

11.3.3　步骤3：检查路由选择表　519

11.3.4　步骤4：使用traceroute验证转发路径　520

11.3.5　步骤5：检查访问列表　524

11.3.6　步骤6：验证地址转换和连接表　526

11.3.7　步骤7：查找活动的阻塞　533

11.3.8　步骤8：检查用户验证　534

11.3.9　步骤9：了解所发生的变化　536

第12章　asa模块　539

12.1　初始配置asa ssm　540

12.1.1　为ssm管理流量预备asa　540

12.1.2　连接和配置ssm管理接口　540

12.2　配置csc ssm　542

12.2.1　配置asa将流量转移到csc ssm　543

12.2.2　配置初始csc ssm设置　545

12.2.3　修复初始csc配置　550

12.2.4　连接到csc管理接口　551

12.2.5　配置自动更新　552

12.2.6　配置csc检测策略　554

12.2.7　配置web(http)检测策略　555

12.2.8　配置文件传输(ftp)检测策略　562

12.2.9　配置邮件(smtp和pop3)检测策略　563

12.3　配置aip ssm　573

12.3.1　初始配置aip　573

12.3.2　管理aip　576

12.3.3　更新aip许可证　576

12.3.4　手工更新aip代码或特征文件　577

12.3.5　自动更新aip镜像和特征文件　578

12.3.6　ips策略　579

12.3.7　aip接口　582

12.3.8　虚拟传感器　582

附录a　通用协议和端口号　587

a-1：ip协议号　587

a-2：icmp消息类型　588

a-3：ip端口号　589

附录b　安全设备日志消息　595

b-1：警报——系统日志严重等级1消息　596

b-2：重要——系统日志严重等级2消息　598

b-3：错误——系统日志严重等级3消息　600

b-4：警告——系统日志严重等级4消息　607

b-5：通知——系统日志严重等级5消息　611

b-6：信息——系统日志严重等级6消息　615

b-7：调试——系统日志严重等级7消息　621