Cisco ASA设备使用指南 第3版【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Cisco ASA设备使用指南 第3版PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 安全技术介绍1

1.1 防火墙1

1.1.1 网络防火墙2

1.1.2 非军事化区域（DMZ）5

1.1.3 深度数据包监控6

1.1.4 可感知环境的下一代防火墙6

1.1.5 个人防火墙7

1.2 入侵检测系统（IDS）与入侵防御系统（IPS）7

1.2.1 模式匹配及状态化模式匹配识别8

1.2.2 协议分析9

1.2.3 基于启发的分析9

1.2.4 基于异常的分析9

1.2.5 全球威胁关联功能10

1.3 虚拟专用网络11

1.3.1 IPSec技术概述12

1.3.2 SSL VPN17

1.4 Cisco AnyConnect Secure Mobility18

1.5 云和虚拟化安全19

总结20

第2章 Cisco ASA产品及解决方案概述21

2.1 Cisco ASA各型号概述21

2.2 Cisco ASA 5505型22

2.3 Cisco ASA 5510型26

2.4 Cisco ASA 5512-X型27

2.5 Cisco ASA 5515-X型29

2.6 Cisco ASA 5520型30

2.7 Cisco ASA 5525-X型31

2.8 Cisco ASA 5540型31

2.9 Cisco ASA 5545-X型32

2.10 Cisco ASA 5550型32

2.11 Cisco ASA 5555-X型33

2.12 Cisco ASA 5585系列34

2.13 Cisco Catalyst 6500系列ASA服务模块37

2.14 Cisco ASA 1000V云防火墙37

2.15 Cisco ASA下一代防火墙服务（前身为Cisco ASA CX）38

2.16 CiscoASAAIP-SSM模块38

2.16.1 Cisco ASA AIP-SSM-1038

2.16.2 Cisco ASAAIP-SSM-2039

2.16.3 Cisco ASAAIP-SSM-4039

2.17 Cisco ASA吉比特以太网模块39

2.17.1 Cisco ASA SSM-4GE40

2.17.2 Cisco ASA 5580扩展卡40

2.17.3 Cisco ASA 5500-X系列6端口GE接口卡41

总结41

第3章 许可证42

3.1 ASA上的许可证授权特性42

3.1.1 基本平台功能43

3.1.2 高级安全特性45

3.1.3 分层功能特性46

3.1.4 显示许可证信息48

3.2 通过激活密钥管理许可证49

3.2.1 永久激活密钥和临时激活密钥49

3.2.2 使用激活密钥51

3.3 故障倒换和集群的组合许可证52

3.3.1 许可证汇聚规则53

3.3.2 汇聚的临时许可证倒计时54

3.4 共享的Premium VPN许可证55

3.4.1 共享服务器与参与方55

3.4.2 配置共享许可证56

总结58

第4章 初始设置59

4.1 访问Cisco ASA设备59

4.1.1 建立Console连接59

4.1.2 命令行界面62

4.2 管理许可证63

4.3 初始设置65

4.3.1 通过CLI进行初始设置65

4.3.2 ASDM的初始化设置67

4.4 配置设备73

4.4.1 设置设备名和密码74

4.4.2 配置接口75

4.4.3 DHCP服务82

4.5 设置系统时钟83

4.5.1 手动调整系统时钟84

4.5.2 使用网络时间协议自动调整时钟85

总结86

第5章 系统维护87

5.1 配置管理87

5.1.1 运行配置87

5.1.2 启动配置90

5.1.3 删除设备配置文件91

5.2 远程系统管理92

5.2.1 Telnet92

5.2.2 SSH94

5.3 系统维护97

5.3.1 软件安装97

5.3.2 密码恢复流程101

5.3.3 禁用密码恢复流程104

5.4 系统监测107

5.4.1 系统日志记录107

5.4.2 NetFlow安全事件记录（NSEL）116

5.4.3 简单网络管理协议（SNMP）119

5.5 设备监测及排错123

5.5.1 监测CPU及内存123

5.5.2 设备排错125

总结129

第6章 Cisco ASA服务模块130

6.1 Cisco ASA服务模块概述130

6.1.1 硬件架构131

6.1.2 机框集成132

6.2 管理主机机框132

6.2.1 分配VLAN接口133

6.2.2 监测数据流量134

6.3 常用的部署方案136

6.3.1 内部网段防火墙136

6.3.2 边缘保护137

6.4 让可靠流量通过策略路由绕过模块138

6.4.1 数据流139

6.4.2 PBR配置示例140

总结142

第7章 认证、授权、审计（AAA）143

7.1 Cisco ASA支持的协议与服务143

7.2 定义认证服务器148

7.3 配置管理会话的认证152

7.3.1 认证Telnet连接153

7.3.2 认证SSH连接154

7.3.3 认证串行Console连接155

7.3.4 认证Cisco ASDM连接156

7.4 认证防火墙会话（直通代理特性）156

7.5 自定义认证提示160

7.6 配置授权160

7.6.1 命令授权162

7.6.2 配置可下载ACL162

7.7 配置审计163

7.7.1 RADIUS审计164

7.7.2 TACACS＋审计165

7.8 对去往Cisco ASA的管理连接进行排错166

7.8.1 对防火墙会话（直通代理）进行排错168

7.8.2 ASDM与CLI AAA测试工具168

总结169

第8章 控制网络访问：传统方式170

8.1 数据包过滤170

8.1.1 ACL的类型173

8.1.2 ACL特性的比较174

8.2 配置流量过滤174

8.2.1 过滤穿越设备的流量175

8.2.2 过滤去往设备的流量178

8.3 高级ACL特性180

8.3.1 对象分组180

8.3.2 标准ACL186

8.3.3 基于时间的ACL187

8.3.4 可下载的ACL190

8.3.5 ICMP过滤190

8.4 流量过滤部署方案191

8.5 监测网络访问控制195

总结198

第9章 通过ASA CX实施下一代防火墙服务199

9.1 CX集成概述199

9.1.1 逻辑架构200

9.1.2 硬件模块201

9.1.3 软件模块201

9.1.4 高可用性202

9.2 ASA CX架构203

9.2.1 数据平面204

9.2.2 事件与报告205

9.2.3 用户身份205

9.2.4 TLS解密代理205

9.2.5 HTTP监控引擎205

9.2.6 应用监控引擎206

9.2.7 管理平面206

9.2.8 控制平面206

9.3 配置CX需要在ASA进行的准备工作206

9.4 使用PRSM管理ASA CX210

9.4.1 使用PRSM211

9.4.2 配置用户账户214

9.4.3 CX许可证216

9.4.4 组件与软件的更新217

9.4.5 配置数据库备份219

9.5 定义CX策略元素220

9.5.1 网络组221

9.5.2 身份对象222

9.5.3 URL对象223

9.5.4 用户代理对象224

9.5.5 应用对象224

9.5.6 安全移动对象225

9.5.7 接口角色226

9.5.8 服务对象226

9.5.9 应用服务对象227

9.5.10 源对象组228

9.5.11 目的对象组228

9.5.12 文件过滤配置文件229

9.5.13 Web名誉配置文件230

9.5.14 下一代IPS配置文件230

9.6 启用用户身份服务231

9.6.1 配置目录服务器232

9.6.2 连接到AD代理或CDA234

9.6.3 调试认证设置234

9.6.4 定义用户身份发现策略235

9.7 启用TLS解密237

9.7.1 配置解密设置239

9.7.2 定义解密策略241

9.8 启用NG IPS242

9.9 定义可感知上下文的访问策略243

9.10 配置ASA将流量重定向给CX模块246

9.11 监测ASA CX248

9.11.1 面板报告248

9.11.2 连接与系统事件249

9.11.3 捕获数据包250

总结253

第10章 网络地址转换254

10.1 地址转换的类型254

10.1.1 网络地址转换254

10.1.2 端口地址转换255

10.2 配置地址转换257

10.2.1 静态NAT/PAT257

10.2.2 动态NAT/PAT258

10.2.3 策略NAT/PAT259

10.2.4 Identity NAT259

10.3 地址转换中的安全保护机制259

10.3.1 随机生成序列号259

10.3.2 TCP拦截（TCP Intercept）260

10.4 理解地址转换行为260

10.4.1 8.3版之前的地址转换行为261

10.4.2 重新设计地址转换（8.3及后续版本）262

10.5 配置地址转换264

10.5.1 自动NAT的配置264

10.5.2 手动NAT的配置268

10.5.3 集成ACL和NAT270

10.5.4 配置用例272

10.6 DNS刮除（DNS Doctoring）279

10.7 监测地址转换281

总结283

第11章 IPv6支持284

11.1 IPv6284

11.1.1 IPv6头部284

11.1.2 支持的IPv6地址类型286

11.2 配置IPv6286

11.2.1 IP地址分配287

11.2.2 IPv6 DHCP中继288

11.2.3 IPv6可选参数288

11.2.4 设置IPv6 ACL289

11.2.5 IPv6地址转换291

总结292

第12章 IP路由293

12.1 配置静态路由293

12.1.1 静态路由监测296

12.1.2 显示路由表信息298

12.2 RIP299

12.2.1 配置RIP300

12.2.2 RIP认证302

12.2.3 RIP路由过滤304

12.2.4 配置RIP重分布306

12.2.5 RIP排错306

12.3 OSPF308

12.3.1 配置OSPF310

12.3.2 OSPF虚链路314

12.3.3 配置OSPF认证316

12.3.4 配置OSPF重分布319

12.3.5 末节区域与NSSA320

12.3.6 OSPF类型3 LSA过滤321

12.3.7 OSPF neighbor命令及跨越VPN的动态路由322

12.3.8 OSPFv3324

12.3.9 OSPF排错324

12.4 EIGRP329

12.4.1 配置EIGRP330

12.4.2 EIGRP排错339

总结346

第13章 应用监控347

13.1 启用应用监控349

13.2 选择性监控350

13.3 CTIQBE监控353

13.4 DCERPC监控355

13.5 DNS监控355

13.6 ESMTP监控359

13.7 FTP361

13.8 GPRS隧道协议363

13.8.1 GTPv0364

13.8.2 GTPvl365

13.8.3 配置GTP监控366

13.9 H.323367

13.9.1 H.323协议族368

13.9.2 H.323版本兼容性369

13.9.3 启用H.323监控370

13.9.4 DCS和GKPCS372

13.9.5 T.38372

13.10 Cisco统一通信高级特性372

13.10.1 电话代理373

13.10.2 TLS代理376

13.10.3 移动性代理377

13.10.4 Presence Federation代理378

13.11 HTTP378

13.12 ICMP384

13.13 ILS385

13.14 即时消息（IM）385

13.15 IPSec直通386

13.16 MGCP387

13.17 NetBIOS388

13.18 PPTP389

13.19 Sun RPC389

13.20 RSH390

13.21 RTSP390

13.22 SIP390

13.23 Skinny（SCCP）391

13.24 SNMP392

13.25 SQL＊Net393

13.26 TFTP393

13.27 WAAS393

13.28 XDMCP394

总结394

第14章 虚拟化395

14.1 架构概述396

14.1.1 系统执行空间396

14.1.2 admin虚拟防火墙397

14.1.3 用户虚拟防火墙398

14.1.4 数据包分类400

14.1.5 多模下的数据流402

14.2 配置安全虚拟防火墙404

14.2.1 步骤1：在全局启用多安全虚拟防火墙405

14.2.2 步骤2：设置系统执行空间406

14.2.3 步骤3：分配接口408

14.2.4 步骤4：指定配置文件URL409

14.2.5 步骤5：配置admin虚拟防火墙410

14.2.6 步骤6：配置用户虚拟防火墙411

14.2.7 步骤7：管理安全虚拟防火墙（可选）412

14.2.8 步骤8：资源管理（可选）412

14.3 部署方案415

14.3.1 不使用共享接口的虚拟防火墙416

14.3.2 使用了一个共享接口的虚拟防火墙426

14.4 安全虚拟防火墙的监测与排错435

14.4.1 监测436

14.4.2 排错437

总结439

第15章 透明防火墙440

15.1 架构概述442

15.1.1 单模透明防火墙442

15.1.2 多模透明防火墙444

15.2 透明防火墙的限制445

15.2.1 透明防火墙与VPN445

15.2.2 透明防火墙与NAT446

15.3 配置透明防火墙447

15.3.1 配置指导方针448

15.3.2 配置步骤448

15.4 部署案例459

15.4.1 部署SMTF459

15.4.2 用安全虚拟防火墙部署MMTF464

15.5 透明防火墙的监测与排错473

15.5.1 监测473

15.5.2 排错475

15.6 主机间无法通信475

15.7 移动了的主机无法实现通信476

15.8 通用日志记录477

总结477

第16章 高可用性478

16.1 冗余接口478

16.1.1 使用冗余接口479

16.1.2 部署案例480

16.1.3 配置与监测480

16.2 静态路由追踪482

16.2.1 使用SLA监测配置静态路由482

16.2.2 浮动连接超时483

16.2.3 备用ISP部署案例484

16.3 故障倒换486

16.3.1 故障倒换中的设备角色与功能486

16.3.2 状态化故障倒换487

16.3.3 主用/备用和主用/主用故障倒换488

16.3.4 故障倒换的硬件和软件需求489

16.3.5 故障倒换接口491

16.3.6 故障倒换健康监测495

16.3.7 状态与角色的转换497

16.3.8 配置故障倒换498

16.3.9 故障倒换的监测与排错506

16.3.10 主用/备用故障倒换部署案例509

16.4 集群512

16.4.1 集群中的角色与功能512

16.4.2 集群的硬件和软件需求514

16.4.3 控制与数据接口516

16.4.4 集群健康监测522

16.4.5 网络地址转换523

16.4.6 性能524

16.4.7 数据流525

16.4.8 状态转换528

16.4.9 配置集群528

16.4.10 集群的监测与排错537

16.4.11 Spanned EtherChannel集群部署方案540

总结549

第17章 实施Cisco ASA入侵防御系统（IPS）550

17.1 IPS集成概述550

17.1.1 IPS逻辑架构551

17.1.2 IPS硬件模块551

17.1.3 IPS软件模块552

17.1.4 在线模式与杂合模式553

17.1.5 IPS高可用性555

17.2 Cisco IPS软件架构555

17.2.1 MainApp556

17.2.2 SensorApp558

17.2.3 CollaborationApp558

17.2.4 EventStore559

17.3 ASA IPS配置前的准备工作559

17.3.1 安装CIPS镜像或者重新安装一个现有的ASA IPS559

17.3.2 从ASA CLI访问CIPS561

17.3.3 配置基本管理设置562

17.3.4 通过ASDM配置IPS管理565

17.3.5 安装CIPS许可证密钥565

17.4 在ASA IPS上配置CIPS软件566

17.4.1 自定义特征567

17.4.2 远程阻塞569

17.4.3 异常检测572

17.4.4 全球关联575

17.5 维护ASA IPS576

17.5.1 用户账户管理576

17.5.2 显示CIPS软件和处理信息578

17.5.3 升级CIPS软件和特征579

17.5.4 配置备份582

17.5.5 显示和删除事件583

17.6 配置ASA对IPS流量进行重定向584

17.7 僵尸流量过滤（Botnet Traffic Filter）585

17.7.1 动态和手动定义黑名单数据586

17.7.2 DNS欺骗（DNS Snooping）587

17.7.3 流量选择588

总结590

第18章 IPS调试与监测591

18.1 IPS调整的过程591

18.2 风险评估值592

18.2.1 ASR593

18.2.2 TVR593

18.2.3 SFR593

18.2.4 ARR593

18.2.5 PD593

18.2.6 WLR594

18.3 禁用IPS特征594

18.4 撤回IPS特征594

18.5 用来进行监测及调整的工具595

18.5.1 ASDM和IME595

18.5.2 CSM事件管理器（CSM Event Manager）596

18.5.3 从事件表中移除误报的IPS事件596

18.5.4 Splunk596

18.5.5 RSA安全分析器（RSASecurity Analytics）596

18.6 在Cisco ASA IPS中显示和清除统计信息596

总结600

第19章 站点到站点IPSec VPN601

19.1 预配置清单601

19.2 配置步骤604

19.2.1 步骤1：启用ISAKMP605

19.2.2 步骤2：创建ISAKMP策略606

19.2.3 步骤3：建立隧道组607

19.2.4 步骤4：定义IPSec策略609

19.2.5 步骤5：创建加密映射集610

19.2.6 步骤6：配置流量过滤器（可选）613

19.2.7 步骤7：绕过NAT（可选）614

19.2.8 步骤8：启用PFS（可选）615

19.2.9 ASDM的配置方法616

19.3 可选属性与特性618

19.3.1 通过IPSec发送OSPF更新619

19.3.2 反向路由注入620

19.3.3 NAT穿越621

19.3.4 隧道默认网关622

19.3.5 管理访问623

19.3.6 分片策略623

19.4 部署场景624

19.4.1 使用NAT-T、RRI和IKEv2的单站点到站点隧道配置624

19.4.2 使用安全虚拟防火墙的星型拓扑629

19.5 站点到站点VPN的监测与排错638

19.5.1 站点到站点VPN的监测638

19.5.2 站点到站点VPN的排错641

总结645

第20章 IPSec远程访问VPN646

20.1 Cisco IPSec远程访问VPN解决方案646

20.1.1 IPSec（IKEv1）远程访问配置步骤648

20.1.2 IPSec（IKEv2）远程访问配置步骤668

20.1.3 基于硬件的VPN客户端671

20.2 高级Cisco IPSec VPN特性673

20.2.1 隧道默认网关673

20.2.2 透明隧道674

20.2.3 IPSec折返流量675

20.2.4 VPN负载分担677

20.2.5 客户端防火墙679

20.2.6 基于硬件的Easy VPN客户端特性681

20.3 L2TP over IPSec远程访问VPN解决方案684

20.3.1 L2TP over IPSec远程访问配置步骤685

20.3.2 Windows L2TP over IPSec客户端配置688

20.4 部署场景688

20.5 Cisco远程访问VPN的监测与排错693

20.5.1 Cisco远程访问IPSec VPN的监测693

20.5.2 Cisco IPSec VPN客户端的排错696

总结698

第21章 PKI的配置与排错699

21.1 PKI介绍699

21.1.1 证书700

21.1.2 证书管理机构（CA）700

21.1.3 证书撤销列表702

21.1.4 简单证书注册协议702

21.2 安装证书703

21.2.1 通过ASDM安装证书703

21.2.2 通过文件安装实体证书704

21.2.3 通过复制/粘贴的方式安装CA证书704

21.2.4 通过SCEP安装CA证书705

21.2.5 通过SCEP安装实体证书708

21.2.6 通过CLI安装证书709

21.3 本地证书管理机构718

21.3.1 通过ASDM配置本地CA719

21.3.2 通过CLI配置本地CA720

21.3.3 通过ASDM注册本地CA用户722

21.3.4 通过CLI注册本地CA用户724

21.4 使用证书配置IPSec站点到站点隧道725

21.5 使用证书配置Cisco ASA接受远程访问IPSec VPN客户端728

21.6 PKI排错729

21.6.1 时间和日期不匹配729

21.6.2 SCEP注册问题731

21.6.3 CRL检索问题732

总结733

第22章 无客户端远程访问SSL VPN734

22.1 SSL VPN设计考量735

22.1.1 用户连通性735

22.1.2 ASA特性集735

22.1.3 基础设施规划735

22.1.4 实施范围736

22.2 SSL VPN前提条件736

22.2.1 SSL VPN授权736

22.2.2 客户端操作系统和浏览器的软件需求739

22.2.3 基础设施需求740

22.3 SSL VPN前期配置向导740

22.3.1 注册数字证书（推荐）740

22.3.2 建立隧道和组策略745

22.3.3 设置用户认证749

22.4 无客户端SSL VPN配置向导752

22.4.1 在接口上启用无客户端SSL VPN753

22.4.2 配置SSL VPN自定义门户753

22.4.3 配置书签766

22.4.4 配置Web类型ACL770

22.4.5 配置应用访问772

22.4.6 配置客户端/服务器插件776

22.5 Cisco安全桌面777

22.5.1 CSD组件778

22.5.2 CSD需求779

22.5.3 CSD技术架构780

22.5.4 配置CSD781

22.6 主机扫描786

22.6.1 主机扫描模块786

22.6.2 配置主机扫描787

22.7 动态访问策略791

22.7.1 DAP技术架构791

22.7.2 DAP事件顺序792

22.7.3 配置DAP792

22.8 部署场景801

22.8.1 步骤1：定义无客户端连接802

22.8.2 步骤2：配置DAP803

22.9 SSL VPN的监测与排错804

22.9.1 SSL VPN监测804

22.9.2 SSL VPN排错806

总结808

第23章 基于客户端的远程访问SSL VPN809

23.1 SSL VPN设计考量809

23.1.1 Cisco AnyConnect Secure Mobili客户端的授权810

23.1.2 Cisco ASA设计考量810

23.2 SSL VPN前提条件811

23.2.1 客户端操作系统和浏览器的软件需求811

23.2.2 基础设施需求812

23.3 SSL VPN前期配置向导812

23.3.1 注册数字证书（推荐）813

23.3.2 建立隧道和组策略813

23.3.3 设置用户认证815

23.4 Cisco AnyConnect Secure Mobili客户端配置指南817

23.4.1 加载Cisco AnyConnect Secure Mobility Client VPN打包文件817

23.4.2 定义Cisco AnyConnect Secure Mobility Client属性818

23.4.3 高级完全隧道特性822

23.4.4 AnyConnect客户端配置827

23.5 AnyConnect客户端的部署场景829

23.5.1 步骤1：配置CSD进行注册表检查831

23.5.2 步骤2：配置RADIUS进行用户认证831

23.5.3 步骤3：配置AnyConnect SSL VPN831

23.5.4 步骤4：启用地址转换提供Internet访问832

23.6 AnyConnect SSL VPN的监测与排错832

总结834

第24章 IP组播路由835

24.1 IGMP835

24.2 PIM稀疏模式836

24.3 配置组播路由836

24.3.1 启用组播路由836

24.3.2 启用PIM838

24.4 IP组播路由排错841

24.4.1 常用的show命令841

24.4.2 常用的debug命令842

总结843

第25章 服务质量844

25.1 QoS类型845

25.1.1 流量优先级划分845

25.1.2 流量管制846

25.1.3 流量整形847

25.2 QoS架构847

25.2.1 数据包流的顺序847

25.2.2 数据包分类848

25.2.3 QoS与VPN隧道852

25.3 配置QoS852

25.3.1 通过ASDM配置QoS853

25.3.2 通过CLI配置QoS858

25.4 Qos部署方案861

25.4.1 ASDM的配置步骤862

25.4.2 CLI配置步骤865

25.5 QoS的监测867

总结868