Cisco ASA、PIX與FWSM防火墻手冊

前言

當(dāng)今的網(wǎng)絡(luò)要求能將數(shù)據(jù)、語音、視頻會議、無線通信及更多方面的內(nèi)容安全傳輸?shù)街T如雇員、供應(yīng)商、合作伙伴和客戶之類的廣泛用戶。保護(hù)網(wǎng)絡(luò)的安全已經(jīng)成為一項極為重要的任務(wù)，應(yīng)能保證“無處不在的連接”不會受到網(wǎng)絡(luò)上未驗證訪問、濫用或攻擊風(fēng)險的影響而正常地運行。當(dāng)各種數(shù)量龐大的安全技術(shù)應(yīng)用到安全網(wǎng)絡(luò)和終端問題上時，具有長期可靠性的防火墻仍然是所有安全部署的核心部分。防火墻繼續(xù)承擔(dān)主要的網(wǎng)守任務(wù)，確保所有從第2層到第7層的網(wǎng)絡(luò)流量經(jīng)合法驗證、授權(quán)后傳輸?shù)骄W(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)安全和防火墻的許多書籍主要關(guān)注的是概念和理論。然而本書的內(nèi)容遠(yuǎn)遠(yuǎn)超出了這些主題，它涵蓋了每個網(wǎng)絡(luò)和安全管理員在配置和管理包括PIX和ASA安全設(shè)備以及Catalyst防火墻服務(wù)模塊在內(nèi)的Cisco市場領(lǐng)先防火墻產(chǎn)品時，需要了解的大量細(xì)節(jié)信息。正如書名提示的那樣，本書是一個實用的用戶手冊，提供對初始配置，更重要的是對Cisco防火墻日常管理的深入解釋。本書對如何成功配置防火墻包括建立訪問控制策略、驗證終端用戶、調(diào)節(jié)高可用性部署、通過大量管理界面監(jiān)控防火墻健康在內(nèi)的所有方面，提供了日常的實踐指導(dǎo)。本書的作者，CCIE David Hucaby在充當(dāng)肯塔基大學(xué)（University of Kentucky）管理Cisco防火墻的首席網(wǎng)絡(luò)工程師之余，還花費了相當(dāng)多的時間直接與負(fù)責(zé)這些產(chǎn)品的Cisco工程小組協(xié)作，確保本書涵蓋了深入、實用、最新的可用信息。將本書放在手邊——你會發(fā)現(xiàn)經(jīng)常需要參考它！

內(nèi)容概要

　　在網(wǎng)絡(luò)威脅泛濫的今天，利用防火墻技術(shù)保護(hù)網(wǎng)絡(luò)的安全已經(jīng)成為一項極為重要的任務(wù)。本書主要內(nèi)容包括防火墻概述和配置基礎(chǔ)、防火墻管理和用戶管理、通過防火墻的控制訪問、檢測流量、使用故障切換增強防火墻的可用性、防火墻負(fù)載均衡、防火墻日志、驗證防火墻運行、ASA模塊等內(nèi)容，附錄部分還對通用協(xié)議和端口號、安全設(shè)備日志消息進(jìn)行了介紹?！　”緯m合網(wǎng)絡(luò)管理員、防火墻安全工程師(或顧問)、對防火墻相關(guān)技術(shù)感興趣的初學(xué)者閱讀。

作者簡介

David Hucaby，CCIE NO.4594，肯塔基大學(xué)杰出的網(wǎng)絡(luò)工程師，致力于以Cisco Catalyst、ASA、FWSM和VPN產(chǎn)品線為基礎(chǔ)的網(wǎng)絡(luò)維護(hù)，曾是ASA 8.0操作系統(tǒng)beta版的審查者之一，擁有肯塔基大學(xué)的電氣工程學(xué)士和碩士學(xué)位，曾出版過3本思科教材：《CCNP BCMSN Official Exam Certificatior Guide》、《Cisco Field Manual：Router Configuration》和《Cisco Field Manual：Catalyst Switch Configuration》?，F(xiàn)與妻子Marci和兩個女兒一起居住在肯塔基。技術(shù)支持Greg Abelar，從1996年11月至今，一直受雇于Cisco。他是Cisco技術(shù)支持安全團隊的創(chuàng)始人之一，協(xié)助聘用并培訓(xùn)了眾多工程師。他在Cisco安全架構(gòu)和安全技術(shù)營銷工程團隊中擔(dān)任多個職務(wù)。他是Cisco發(fā)起的CCIE安全筆試的主要奠基人和項目管理者，曾出版過Cisco教材《Securing Yom Business with Cisco ASA and PIX Firewalls》，與他人合作出版過《Security Threat Mitigation and Response：Understanding Cisco Security MARS》，并為多本Cisco出版的安全類教材擔(dān)任技術(shù)編輯。

書籍目錄

第1章　防火墻概述　　1.1　防火墻運行概述　　　1.1.1　初始校驗　　　1.1.2　Xlate查詢　　　1.1.3　連接查詢　　　1.1.4　ACL查詢　　　1.1.5　用戶驗證查詢　　　1.1.6　檢測引擎　　1.2　 ICMP、UDP和TCP的檢測引擎　　　1.2.1　ICMP檢測　　　1.2.2　UDP檢測　　　1.2.3　TCP檢測　　　1.2.4　TCP標(biāo)準(zhǔn)化　　　1.2.5　其他防火墻操作　　1.3　硬件和性能　　1.4　基本安全策略準(zhǔn)則　第2章　配置基礎(chǔ)　　2.1　用戶界面　　　2.1.1　用戶界面模式　　　2.1.2　用戶界面特性　　2.2　防火墻特性和許可證　　2.3　初始防火墻配置　第3章　建立連接　　3.1　配置接口　　　3.1.1　檢驗防火墻接口　　　3.1.2　配置接口冗余　　　3.1.3　基本接口配置　　　3.1.4　在接口上配置IPv6　　　3.1.5　配置ARP高速緩存　　　3.1.6　配置接口的MTU和分段　　　3.1.7　配置接口優(yōu)先隊列　　　3.1.8　防火墻拓?fù)浣Y(jié)構(gòu)考慮事項　　3.2　配置路由選擇　　　3.2.1　使用路由選擇信息防止IP地址欺騙　　　3.2.2　配置靜態(tài)路由　　　3.2.3　支持基于可達(dá)性的靜態(tài)路由　　　3.2.4　配置RIP以交換路由選擇信息　　　3.2.5　配置EIGRP以交換路由選擇信息　　　3.2.6　配置OSPF以交換路由選擇信息　　3.3　DHCP服務(wù)器功能　　　3.3.1　將防火墻作為一個DHCP服務(wù)器　　　3.3.2　從DHCP服務(wù)器更新動態(tài)DNS　　　3.3.3　向DHCP服務(wù)器轉(zhuǎn)發(fā)DHCP請求　　3.4　組播支持　　　3.4.1　組播概述　　　3.4.2　組播尋址　　　3.4.3　轉(zhuǎn)發(fā)組播流量　　　3.4.4　IGMP：尋找組播組中的接收者　　　3.4.5　PIM：建立一個組播分發(fā)樹　　　3.4.6　配置PIM　　　3.4.7　使用組播邊界劃分域　　　3.4.8　過濾PIM鄰居　　　3.4.9　過濾雙向PIM鄰居　　　3.4.10　配置Stub組播路由選擇(SMR，Stub Multicast Routing)　　　3.4.11　配置IGMP操作　　　3.4.12　Stub組播路由選擇實例　　　3.4.13　PIM組播路由選擇實例　　　3.4.14　驗證IGMP組播操作　　　3.4.15　驗證PIM組播路由選擇操作　第4章　防火墻管理第5章　防火墻用戶管理　第6章　通過防火墻的控制訪問第7章　檢測流量第8章　使用故障切換(failover)增強防火墻的可用性第9章　防火墻負(fù)載均衡　第10章　防火墻日志第11章　驗證防火墻運行第12章　ASA模塊　附錄A　通用協(xié)議和端口號附錄B　安全設(shè)備日志消息

章節(jié)摘錄

插圖：當(dāng)開始考慮安全策略并著手配置防火墻時，必須牢記幾件事情。這一小節(jié)講解了保護(hù)網(wǎng)絡(luò)的經(jīng)驗法則，而不是長篇累牘地介紹安全策略和如何防范漏洞和攻擊。如果遵循這些建議，就能夠配置防火墻使其提供最佳的防護(hù)。·定期收集并查看防火墻日志在配置防火墻之后，可以根據(jù)正確的安全策略通過簡單測試來查看防火墻是否阻止或允許對安全資源進(jìn)行訪問。然而，如果不查看允許或拒絕的流量記錄，就沒有簡易的方法來觀察拒絕服務(wù)或蠕蟲攻擊。防火墻會產(chǎn)生大量的日志信息。這些數(shù)據(jù)通過可以勝任的系統(tǒng)日志服務(wù)器來收集。也應(yīng)該定期查看系統(tǒng)日志數(shù)據(jù)，從中可以發(fā)現(xiàn)新的惡意活動或暴露出忘記關(guān)閉的敏感端口的使用。保存防火墻日志最重要的原因是對網(wǎng)絡(luò)活動的審計跟蹤。如果遭受了攻擊或者網(wǎng)絡(luò)資源的惡意使用，可以依據(jù)系統(tǒng)日志記錄來作為證據(jù)?！ぶ贫ň_的入站ACL必須嚴(yán)格控制流量從公共網(wǎng)絡(luò)或者不安全的方面進(jìn)入到受保護(hù)網(wǎng)絡(luò)。例如，如果要對公司W(wǎng)eb或者E-mail服務(wù)器提供公共訪問，一定要確定只允許開放那些特定協(xié)議和端口。否則，如果讓入站訪問過于寬泛或開放，就會增加有些人設(shè)法利用意想不到的協(xié)議或服務(wù)的機會。此外，最佳做法建議任何入站訪問必須止于中立區(qū)（DMZ，demilitarized zone）防火墻接口上的主機，而不是內(nèi)部網(wǎng)絡(luò)中的主機。至于出站流量控制，內(nèi)部（受保護(hù)的）用戶通常是已知的和受信任的。可以開放出站訪問，但最佳做法建議配置出站訪問列表，以防止內(nèi)部網(wǎng)絡(luò)的主機參與針對DMZ或外部網(wǎng)絡(luò)的蠕蟲或攻擊。也可以使用出站訪問列表來實施公司政策，來限制或禁止某些行為或控制非授權(quán)服務(wù)的訪問。防火墻也可以對出站用戶進(jìn)行訪問驗證，并與外部服務(wù)器聯(lián)動控制網(wǎng)頁內(nèi)容?！ぴ诓煌矫姹Ｗo(hù)DMZ如果向公共網(wǎng)絡(luò)提供公司資源，通常最好放在DMZ中。這是一個在防火墻接口上的小型網(wǎng)絡(luò)，具有中級安全級別。外部或者公共網(wǎng)絡(luò)的用戶可利用指定協(xié)議和端口來訪問DMZ上的服務(wù)器。謹(jǐn)慎配置DMZ接口上的安全策略。確保外部用戶只能允許訪問必需的指定協(xié)議，然后保證DMZ接口的設(shè)備僅能通過傳輸數(shù)據(jù)的協(xié)議訪問內(nèi)部（可靠的）主機。例如，假設(shè)有一個公共Web服務(wù)器使用HTTP提供信息服務(wù)。這個Web服務(wù)器需要向內(nèi)部網(wǎng)絡(luò)的其他數(shù)據(jù)中心服務(wù)器發(fā)送SQL請求來填充其網(wǎng)頁。對于DMZ，應(yīng)該配置防火墻允許外部只能使用TCP端口80（HTTP）來訪問Web服務(wù)器。此外，應(yīng)該允許DMZ服務(wù)器向內(nèi)部數(shù)據(jù)中心只能發(fā)送SOL數(shù)據(jù)包，而不是別的。如果在DMZ服務(wù)器和內(nèi)部區(qū)域之間開放訪問（任何協(xié)議或端口號），DMZ區(qū)就會成為一個“跳板”，使外部的惡意用戶能夠危害DMZ服務(wù)器，并使用它來危害內(nèi)部區(qū)域的其他主機。

媒體關(guān)注與評論

“許多網(wǎng)絡(luò)安全和防火墻方面的圖書僅僅滿足于用大量的篇幅去討論相關(guān)的概念和原理，但是本書卻超越了這樣的界限。它對網(wǎng)絡(luò)和安全管理員在配置和管理Cisco的市場領(lǐng)先的防火墻產(chǎn)品時，所要知道的一切知識進(jìn)行了全面詳細(xì)的講解?！薄　　狫ason Nolet，工程副總裁，安全技術(shù)團隊，Cisco

編輯推薦

《Cisco ASA、PIX與FWSM防火墻手冊(第2版)》是一本實施當(dāng)前流行的Cisco防火墻安全解決方案常見特性的指南。涵蓋了最新的防火墻版本，能夠幫助你輕松快速地配置、集成和管理全系列Cisco防火墻產(chǎn)品，這包括ASA、PIX和Catalyst防火墻服務(wù)模塊（FWSM）?！禖isco ASA、PIX與FWSM防火墻手冊(第2版)》按照特性族進(jìn)行組織。能夠幫助你快速有效地掌握諸如文件管理、連通性的建立、控制訪問、防火墻管理、利用failover特性增強可用性，負(fù)載平衡、記錄日志和驗證操作等主題。書中有些段落用帶陰影的標(biāo)簽標(biāo)注。供快速參考所用。每一個特性的信息都以一種簡捷的格式列出，這包括背景、配置和實例組件。無論你是在尋找最新的ASA、PIX和FWSM設(shè)備的介紹。還是在尋找Cisco防火墻部署的完整參考，《Cisco ASA、PIX與FWSM防火墻手冊(第2版)》都能夠幫助你實現(xiàn)對網(wǎng)絡(luò)資源的最大保護(hù)?！W(xué)習(xí)不同的防火墻模型、用戶界面、特性集以及配置方法：·理解Cisco防火墻如何檢測流量；·配置防火墻接口、路由、IP尋址服務(wù)和IP組播支持；·維護(hù)安全context、flash和配置文件，管理用戶，使用SNMP監(jiān)視防火墻；·對防火墻用戶進(jìn)行認(rèn)證、授權(quán)，并維護(hù)審計記錄；·通過部署透明模式和路由模式的防火墻、地址轉(zhuǎn)換以及流量回避（shun）對穿越防火墻的訪問進(jìn)行控制；·以模塊化的策略框架定義可識別并作用于不同流量類型的安全策略；·利用防火墻的failover特性提高防火墻的可用性；·理解防火墻負(fù)載平衡的工作原理；·生成防火墻行為日志，并學(xué)習(xí)如何分析日志內(nèi)容；·對防火墻的操作和連通性進(jìn)行驗證并對“穿越”防火墻的數(shù)據(jù)進(jìn)行研究；·配置安全服務(wù)模塊，如內(nèi)容安全控制（CSC）模塊和高級檢測處理器（AIP）模塊?！禖isco ASA、PIX與FWSM防火墻手冊(第2版)》屬于Cisco Press網(wǎng)絡(luò)技術(shù)圖書中的安全類別。Cisco Press出版的安全圖書可以幫助網(wǎng)絡(luò)專業(yè)人員保護(hù)關(guān)鍵的數(shù)據(jù)和資源，阻止和緩解網(wǎng)絡(luò)攻擊。以及構(gòu)建端到端的自防御體系。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    Cisco ASA、PIX與FWSM防火墻手冊 PDF格式下載

---