书籍详情
CCSP自学指南:Cisco安全PIX防火墙(CSPFA)
作者:(美)Behzad Behtash著;孙国冉,王艳奇译;孙国冉译
出版社:人民邮电出版社
出版时间:2005-04-01
ISBN:9787115131676
定价:¥88.00
购买这本书可以去
内容简介
本书分7个部分对Cisco公司网络安全的拳头产品PIX防火墙进行了系统讲述。第1部分讲述了网络安全的基础知识、实施安全策略的基本方法、Cisco公司网络安全方面的产品概况,并对PIX防火墙的各种型号和基本特点进行了系统阐述。第2部分通过举例的方式讲述了在不同规模和不同复杂程度的环境下部署PIX防火墙的具体方法和配置。第3部分对PIX防火墙的配置进行了详细讲解,包括基本配置、PDM管理配置、地址和端口转换配置、访问控制列表和内容过滤的配置、为简化配置如何进行对象分组、基本的路由配置。第4部分讲述的是高级配置,包括如何配置PIX防火墙以支持特殊的上层协议和多媒体协议,如何配置攻击保护、入侵检测和动态阻挡,如何配置认证、授权和记帐,如何配置故障倒换以提高安全系统的可靠性。第5部分对VPN中的关键技术,如IPSec进行了概要的描述,然后讲述了使用PIX防火墙构建不同类型的VPN时的具体配置方法。第6部分讲述的是PIX防火墙的维护和管理,特别是在企业网中如何使用防火墙管理中心(MC)和AUS以图形化的方式管理和维护防火墙。第7部分则以专题的方式分别讲述了专用Cisco6500交换机和Cisco7600路由器上的防火墙服务模块(FWSM)、使用SOHO网络的PIX防火墙。本书讲述的重点是如何在实际环境中应用PIX防火墙,所以关注的不是某项技术的细节,而是产品应用时的各种配置。本书适合于准备进行CCSP认证考试的考生,也适合于想对PIX防火墙的应用有深入了解的各类工程技术人员。本书介绍了配置和操作PIX防火墙系列产品的各种技巧。各章内容概述能让您快速了解相关内容,马上投入工作。实验室练习和应用举例提供了实际应用中需要的大部分配置,并帮您根据具体网络进行实际配置,从而迅速完成部署。每章后面的复习题对知识掌握程度进行测试。书中提供了大量PIX设备管理器(PDM)的配置步骤,取代了大量的传统CLI命令。无论你是在寻找使用各种PIX防火墙的指导参考书,还是在寻找针对CSPFA642-521考试的学习资料,本书都足您很好的选择。
作者简介
BehzadBehtash,CCNP,CCDP,MCSE,是一名IT顾问,在组网和安全方面有9年多的经验,拥有威斯康星——麦迪逊大学化学工程专业的学士学位,居住在加利福尼亚的奥克兰。
目录
第一部分 概 述
第1章 Cisco网络安全方面的产品 3
1.1 为什么网络安全是必需的 3
1.2 安全威胁的类型 4
1.3 网络攻击 4
1.3.1 侦查攻击 5
1.3.2 访问攻击 5
1.3.3 DoS攻击 5
1.4 实施网络安全 6
1.4.1 保护(Securing)系统 7
1.4.2 监控网络 7
1.4.3 测试安全性 7
1.4.4 改进安全性 7
1.5 Cisco AVVID与SAFE 8
1.5.1 Cisco AVVID框架 8
1.5.2 SAFE计划概述 9
1.5.3 SAFE的优点 10
1.6 小结 10
1.7 复习题 11
第2章 Cisco PIX防火墙技术与特点 13
2.1 防火墙的种类 13
2.1.1 包过滤器 13
2.1.2 代理服务器 14
2.1.3 基于状态的包过滤 15
2.2 PIX防火墙概述 15
2.2.1 Finesse操作系统 16
2.2.2 ASA 16
2.2.3 直通代理 16
2.2.4 基于状态的包过滤 17
2.2.5 故障倒换(Failover) 17
2.3 小结 18
2.4 复习题 18
第3章 Cisco PIX防火墙系列
产品介绍 21
3.1 PIX防火墙500系列产品 21
3.1.1 PIX防火墙501 23
3.1.2 PIX 506 E防火墙 24
3.1.3 PIX 515E防火墙 25
3.1.4 PIX 525防火墙 28
3.1.5 PIX 535防火墙 30
3.2 FWSM 33
3.3 PIX防火墙许可证 35
3.3.1 基本的许可证选项 35
3.3.2 VPN许可证选项 36
3.4 小结 37
3.5 复习题 37
第二部分 PIX防火墙入门
第4章 在网络中实施Cisco PIX
防火墙 41
4.1 设计考虑 41
4.2 DMZ 42
4.3 选择合适的PIX防火墙型号 42
4.4 应用举例 44
4.4.1 企业网应用举例 45
4.4.2 大型公司网络应用举例 52
4.4.3 中小型商业网络应用举例 58
4.4.4 SOHO网络应用举例 62
4.5 小结 66
4.6 复习题 66
第三部分 防火墙配置
第5章 Cisco PIX防火墙入门 71
5.1 CLI 71
5.2 配置PIX防火墙 73
5.2.1 查看与保存配置 74
5.2.2 命令write erase与
tftp-server 74
5.2.3 命令write net与
configure net 75
5.2.4 命令name 76
5.2.5 命令reload 77
5.3 检查PIX防火墙的状态 77
5.3.1 命令show memory 77
5.3.2 show version 77
5.3.3 命令show ip address 78
5.3.4 命令show interface 78
5.3.5 命令show cpu usage 81
5.3.6 命令ping 81
5.4 时间设置和NTP支持 82
5.4.1 设置节约白天时间和时区 83
5.4.2 命令ntp 84
5.5 ASA安全级别 85
5.6 基本的PIX防火墙配置 87
5.6.1 命令nameif 87
5.6.2 命令interface 88
5.6.3 命令ip address 89
5.7 nat命令 90
5.7.1 global命令 92
5.7.2 route命令 92
5.8 Syslog命令 93
5.9 配置DHCP服务器 96
5.9.1 DHCP基础知识 97
5.9.2 配置一台PIX防火墙作为
DHCP服务器 98
5.9.3 DHCP中继 102
5.10 PPPoE和PIX防火墙 103
5.10.1 在PIX防火墙上配置
PPPoE 104
5.10.2 监控PPPoE客户端 106
5.11 小结 108
5.12 复习题 108
5.13 实验练习——Cisco PIX
防火墙入门 108
5.13.1 目标 109
5.13.2 实验拓扑结构 109
5.13.3 任务1——执行常用的
命令 109
5.13.4 任务2——配置PIX防火
墙的接口 112
5.13.5 任务3——配置用于内部
和外部接口的全局地址、
NAT和路由选择 114
5.13.6 任务4——测试内部、
外部接口的连接性 116
5.13.7 任务5——配置系统
日志输出 117
5.13.8 任务6——配置将系统
日志输出到一台系统日志
服务器上 118
第6章 Cisco PIX设备管理器 121
6.1 PDM概述 121
6.2 PDM操作要求 123
6.2.1 Windows 系统的要求 124
6.2.2 Sun Solaris操作系统要求 124
6.2.3 Linux操作系统要求 125
6.2.4 总的指导方针 125
6.3 PDM的准备工作 125
6.4 使用PDM来配置PIX防火墙 128
6.4.1 配置 130
6.4.2 监控 140
6.5 小结 142
6.6 复习题 142
6.7 实验练习——用PDM配置
PIX防火墙 142
6.7.1 目标 142
6.7.2 实验拓扑结构 143
6.7.3 任务1——使用PDM安装
向导 143
6.7.4 任务2——使用PDM安装
向导来配置一个特权模式
密码 145
6.7.5 任务3——配置出站NAT 145
6.7.6 任务4——通过PIX防火
墙测试连通性 147
6.7.7 任务5——配置和测试入
站访问 147
6.7.8 任务6——配置入侵检测 150
6.7.9 任务7——配置PDM监控
制入侵检测 151
第7章 转换和连接 153
7.1 传输协议 153
7.1.1 TCP 153
7.1.2 UDP 155
7.2 NAT 156
7.2.1 动态内部转换 157
7.2.2 静态内部转换 160
7.2.3 动态外部转换 162
7.2.4 静态外部转换 163
7.2.5 标识NAT 165
7.2.6 策略NAT 165
7.2.7 转换和连接 166
7.2.8 静态和管道 168
7.3 配置DNS支持 170
7.3.1 使用alias命令实现DNS
支持 170
7.3.2 通过扩展的NAT和Static
命令完成DNS记录转换 174
7.4 PAT 175
7.4.1 使用外部接口地址实现
PAT 177
7.4.2 将子网映射到PAT地址上 177
7.4.3 使用多个PAT来备份PAT
地址 178
7.4.4 使用PAT扩大一个全局
地址池 178
7.5 端口重定向 179
7.6 配置多个接口 180
7.7 小结 182
7.8 复习题 183
7.9 实验练习——配置通过PIX
防火墙的访问 183
7.9.1 目标 184
7.9.2 实验拓扑结构 185
7.9.3 任务1——配置一个通道
来允许ICMP通过PIX
防火墙 185
7.9.4 任务2——配置PIX防火
墙来允许处于内部接口上
的用户可以访问堡垒主机 186
7.9.5 任务3——配置PIX防火
墙来允许处于外部接口上
的用户可以访问堡垒主机 187
7.9.6 任务4——配置PIX防火墙
来允许处于外部接口上的
用户可以访问内部的主机 188
第8章 访问控制列表和内容过滤 191
8.1 访问控制列表 191
8.2 把conduit转换成ACL 197
8.3 使用ACL 201
8.4 恶意活动代码过滤 206
8.4.1 Java Applet过滤 206
8.4.2 ActiveX 过滤 206
8.5 URL过滤 207
8.6 小结 211
8.7 复习题 211
8.8 实验练习——在PIX防火墙
上配置ACL 211
8.8.1 目标 213
8.8.2 实验拓扑结构 213
8.8.3 任务1——关闭到一个
接口的ping 214
8.8.4 任务2——配置入站ACL 215
8.8.5 任务3——测试并验证
入站ACL 216
8.8.6 任务4——配置出站ACL 217
8.8.7 任务5——测试并验证
出站ACL 218
第9章 对象分组 221
9.1 对象分组入门 221
9.2 嵌套式对象分组 227
9.3 小结 230
9.4 复习题 230
9.5 实验练习——配置对象组 230
9.5.1 目标 232
9.5.2 实验拓扑结构 232
9.5.3 任务1——配置服务对象
分组 233
9.5.4 任务2——配置一个ICMP
类型对象分组 233
9.5.5 任务3——配置一个嵌套式
服务器对象分组 234
9.5.6 任务4——使用对象分组
配置一个入站ACL 235
9.5.7 任务5——配置到内部
主机的Web和ICMP访问 236
9.5.8 任务6——测试并检查
入站ACL 237
第10章 路由选择 239
10.1 路由选择选项 239
10.1.1 静态路由选择 239
10.1.2 动态路由 241
10.2 IP组播协议 251
10.2.1 允许主机接收组播通信 252
10.2.2 为组播源转发组播通信 254
10.2.3 配置其他的IGMP选项 255
10.2.4 查看SMR配置 256
10.3 小结 256
10.4 复习题 257
第四部分 高级配置
第11章 高级协议处理 261
11.1 高级协议 261
11.1.1 修正命令 262
11.1.2 FTP标准模式 264
11.1.3 FTP被动模式 265
11.1.4 FTP修正配置 265
11.1.5 rsh 266
11.1.6 SQL*Net 268
11.1.7 SIP 269
11.1.8 SCCP 269
11.2 多媒体协议支持 270
11.2.1 标准的RTP模式 271
11.2.2 RealNetworks RDT模式 272
11.2.3 RTSP Fixup Configuration 272
11.2.4 H.323 Fixup 273
11.3 小结 275
11.4 复习题 275
11.5 实验练习——配置并且测试
Cisco PIX防火墙的高级协议
处理 275
11.5.1 目标 277
11.5.2 实验拓扑结构 277
11.5.3 任务1——显示已配置的
修正协议 277
11.5.4 任务2——改变已配置的
修正协议 278
11.5.5 任务3——测试出站FTP
修正协议 278
11.5.6 任务4——测试入站FTP
修正协议 279
11.5.7 任务5——将修正协议
恢复成缺省设置 280
11.5.8 任务部分答案 280
第12章 攻击保护、入侵监测与
动态阻挡 283
12.1 攻击保护 283
12.1.1 邮件保护 283
12.1.2 DNS保护 284
12.1.3 分段保护和虚拟重组 286
12.1.4 AAA洪泛保护 288
12.1.5 SYN洪泛保护 288
12.1.6 反欺骗 291
12.2 入侵检测 292
12.3 动态阻挡 296
12.4 小结 297
12.5 复习题 298
12.6 实验练习——配置入侵检测 298
12.6.1 目标 300
12.6.2 实验拓扑结构 300
12.6.3 任务1——配置启用
Cisco IDS信息特征码,
发送Cisco IDS系统日
志到系统日志服务器 300
12.6.4 任务2——配置启用
Cisco IDS攻击特征码,
发送Cisco IDS系统日
志到系统日志服务器 301
第13章 认证、授权与记帐 305
13.1 AAA基础知识 305
13.2 直通代理操作过程 307
13.3 支持的AAA服务器 308
13.4 在Windows NT上安装
CSACS 308
13.5 认证配置 315
13.5.1 其他服务的认证 318
13.5.2 控制台访问的认证 321
13.6 授权配置 324
13.6.1 添加授权规则 325
13.6.2 可下载的ACL 326
13.7 记帐配置 330
13.7.1 match acl_name选项 331
13.7.2 查看CSACS中的记帐
信息 331
13.8 查找AAA配置故障 332
13.9 小结 334
13.10 复习题 334
13.11 实验练习——在PIX防火墙
上配置AAA 334
13.11.1 目标 336
13.11.2 实验拓扑结构 336
13.11.3 任务1——在运行
Windows 2000服务器的
机器上安装CSACS 337
13.11.4 任务2——向CSACS
数据库中添加用户 337
13.11.5 任务3——标识AAA
服务器和协议 338
13.11.6 任务4——配置并测试
入站访问的认证 338
13.11.7 任务5——配置并测试
出站访问的认证 339
13.11.8 任务6——配置并测试
控制台访问的认证 340
13.11.9 任务7——配置并测试
虚拟Telnet认证 341
13.11.10 任务8——改变并测试
认证超时时间和提示
信息 341
13.11.11 任务9——配置ACS,
在认证的时候写入可
下载的ACL 343
13.11.12 任务10——使用入站
访问认证,验证可下载
ACL的功能 343
13.11.13 任务11——配置并测试
记帐 345
第14章 故障倒换 347
14.1 理解故障倒换 347
14.1.1 故障倒换的IP地址 348
14.1.2 配置复制 348
14.1.3 状态故障倒换 349
14.1.4 故障倒换接口测试 349
14.2 硬件要求 350
14.3 基于电缆的故障倒换配置 351
14.4 基于LAN的故障倒换配置 356
14.5 小结 360
14.6 复习题 360
14.7 实验练习——配置基于
LAN的故障倒换 360
14.7.1 目标 361
14.7.2 实验拓扑结构 361
14.7.3 任务1——将主PIX防
火墙配置成基于LAN的
状态故障倒换模式的备用
PIX防火墙 361
14.7.4 任务2——配置基于
LAN故障倒换的备用
PIX防火墙 365
14.7.5 任务3——测试基于
LAN状态的故障倒换 366
14.7.6 任务4——让主PIX
防火墙处于活动状态 367
第五部分 VPN配置
第15章 虚拟专用网 371
15.1 利用PIX防火墙提供安全的
VPN 371
15.2 IPSec概述 372
15.2.1 支持的IPSec标准 374
15.2.2 IKE 374
15.2.3 DES 374
15.2.4 3DES 375
15.2.5 AES 375
15.2.6 D-H 375
15.2.7 MD5 375
15.2.8 SHA-1 375
15.2.9 RSA签名 375
15.2.10 CA 376
15.2.11 NAT-T 376
15.2.12 SA 376
15.3 IKE概述 376
15.4 CA概述 377
15.5 小结 380
15.6 复习题 380
第16章 站到站VPN 383
16.1 IPSec配置任务 383
16.1.1 任务1——准备配置
VPN 384
16.1.2 任务2——配置IKE
参数 387
16.1.3 任务3——配置IPSec
参数 390
16.1.4 任务4——VPN配置的
测试与验证 400
16.2 简易VPN操作 400
16.3 使用PDM配置VPN 405
16.3.1 系统选项 405
16.3.2 创建变换集 408
16.4 创建加密图 408
16.4.1 创建一个IPSec规则 409
16.4.2 VPN助手 410
16.4.3 简易VPN 413
16.5 案例研究:使用预先共享
密钥的三站点全网状IPSec
隧道 414
16.5.1 网络安全策略 415
16.5.2 波特兰、西雅图和圣何塞
防火墙上的配置举例 415
16.6 小结 418
16.7 复习题 418
16.8 实验练习——配置站到站
VPN 418
16.8.1 目标 419
16.8.2 实验拓扑结构 419
16.8.3 任务1——配置IKE
参数 419
16.8.4 任务2——配置IPSec
参数 420
16.8.5 任务3——IPSec配置的
测试和验证 421
16.8.6 任务4——使用PDM
(可选) 423
16.8.7 任务5——使用PDM
VPN助手(可选) 423
第17章 客户端远程访问VPN 425
17.1 Cisco VPN客户端 425
17.2 配置远程访问VPN 428
17.3 使用PDM配置远程访问
VPN 437
17.4 小结 443
17.5 复习题 443
17.6 实验练习——远程访问VPN 443
17.6.1 目标 444
17.6.2 实验拓扑结构 445
17.6.3 任务1——配置PIX
防火墙 445
17.6.4 任务2——在CSACS中
创建用户 447
17.6.5 任务3——验证配置 447
17.6.6 任务4——在主机1上
安装Cisco VPN客户端 449
17.6.7 任务5——配置Cisco
VPN客户端 449
17.6.8 任务6——检查Cisco
VPN客户端的属性 450
17.6.9 任务7——启动Cisco
VPN客户端 450
17.6.10 任务8——验证VPN
连接 450
17.6.11 任务9——使用PDM
重新配置远程接入VPN
连接(可选项) 451
第六部分 PIX系统管理
第18章 系统维护 455
18.1 远程访问 455
18.1.1 Telnet 455
18.1.2 SSH 457
18.2 命令授权 460
18.2.1 使用特权级密码进行
命令授权 461
18.2.2 使用本地用户数据库的
命令授权 463
18.2.3 使用CSACS进行命令
认证 464
18.2.4 查看命令授权配置 466
18.3 SNMP 466
18.3.1 MIB支持 468
18.3.2 配置SNMP 469
18.4 管理工具 472
18.4.1 PDM 472
18.4.2 Cisco安全策略管理器 472
18.4.3 防火墙的管理中心 473
18.5 激活密钥 473
18.6 密码恢复和映像升级 476
18.6.1 密码恢复步骤 476
18.6.2 映像升级 477
18.7 小结 478
18.8 复习题 478
18.9 实验练习——系统维护 479
18.9.1 目标 480
18.9.2 实验拓扑结构 480
18.9.3 任务1——使用密码
配置特权级命令授权 481
18.9.4 任务2——测试特权级
命令授权 482
18.9.5 任务3——为加密SSH
会话生成RSA密钥对 484
18.9.6 任务4——建立到PIX
防火墙的SSH连接 485
18.9.7 任务5——配置使用本地
用户数据库的命令授权 486
18.9.8 任务6——测试使用本地
用户数据库的命令授权 487
18.9.9 任务7——恢复密码 490
18.9.10 任务8——更新PIX
防火墙的软件映像 492
第19章 企业网络中的PIX防火墙
管理 495
19.1 防火墙MC简介 495
19.2 主要概念和特点 496
19.3 安装 497
19.3.1 安装要求 497
19.3.2 安装过程 498
19.4 启动 499
19.5 防火墙MC导航 503
19.6 防火墙MC任务流程 505
19.6.1 任务1——创建新活动 506
19.6.2 任务2——创建设备组 510
19.6.3 任务3——导入和管理
设备 511
19.6.4 任务4——配置构建模块 517
19.6.5 任务5——配置设置 526
19.6.6 任务6——配置访问和
翻译规则 542
19.6.7 任务7和8——创建并
查看配置,提交活动,
请求批准 550
19.6.8 任务9和10——创建
一个工作并提交工作,
请求批准 552
19.6.9 任务11——部署工作 555
19.7 报告、工具和管理 556
19.7.1 报告 556
19.7.2 支持 557
19.7.3 管理:工作流设置 558
19.7.4 管理:维护 559
19.8 小结 560
19.9 复习题 560
19.10 实验练习——企业PIX
防火墙管理 561
19.10.1 目标 561
19.10.2 实验拓扑结构 561
19.10.3 任务1——安装防火墙
MC 562
19.10.4 任务2——Bootstrap
PIX防火墙 562
19.10.5 任务3——启动防火墙
MC 563
19.10.6 任务4——打开一个
活动,创建一个组 564
19.10.7 任务5——导入PIX
防火墙 564
19.10.8 任务6——配置内部和
外部接口 565
19.10.9 任务7——配置服务
定义、服务组和地址
翻译池building块 565
19.10.10 任务8——创建翻译
规则 567
19.10.11 任务9——配置PIX
防火墙,允许HTTP
和CiscoWorks数据流
访问内部主机 567
19.10.12 任务10——配置全局
安全策略 568
19.10.13 任务11——批准一个
活动,创建一项工作并
部署工作 569
19.10.14 任务12——测试PIX
防火墙配置 570
第20章 企业网中的PIX防火墙
维护 573
20.1 AUS介绍 573
20.1.1 安装概述 574
20.1.2 安装要求 574
20.1.3 客户端访问要求 574
20.1.4 安装过程 575
20.2 AUS初始配置设置 575
20.2.1 防火墙MC和AUS通信 575
20.2.2 激活AUS 576
20.2.3 AUS和PIX防火墙通信 576
20.2.4 PIX防火墙的惟一标识 578
20.2.5 部署PIX防火墙的配置 579
20.3 开始 580
20.3.1 CiscoWorks登录 580
20.3.2 AUS界面 581
20.4 设备、映像和分配 582
20.4.1 AUS设备 582
20.4.2 AUS映像 583
20.4.3 AUS分配 584
20.5 报告和管理 587
20.5.1 报告——系统信息 587
20.5.2 报告——事件报告 588
20.5.3 管理——NAT设置 590
20.5.4 管理——改变AUS
数据库密码 590
20.6 小结 591
20.7 复习题 592
20.8 实验练习——企业网中的
PIX防火墙维护 592
20.8.1 目标 593
20.8.2 实验拓扑结构 594
20.8.3 任务1——安装AUS 594
20.8.4 任务2——配置防火墙
MC和PIX防火墙使用
AUS 595
20.8.5 任务3——验证PIX
防火墙和AUS之间的
操作 596
20.8.6 任务4——向AUS中
添加PIX防火墙和
PDM映像 596
20.8.7 任务5——分配映像到
设备 597
第七部分 专 题
第21章 防火墙服务模块 601
21.1 FWSM概述 601
21.2 FWSM和PIX防火墙特性
比较 602
21.3 对Catalyst 6500交换机的
要求 603
21.4 网络模块 603
21.5 配置FWSM 606
21.5.1 初始化FWSM 606
21.5.2 配置交换机VLAN 608
21.5.3 配置FWSM接口 610
21.6 使用PDM管理FWSM 610
21.7 排查FWSM故障 611
21.7.1 重新设置并重启FWSM 611
21.7.2 内存测试 612
21.8 小结 612
21.9 复习题 612
第22章 SOHO网络中的PIX
防火墙 615
22.1 PIX防火墙模型 615
22.2 PIX防火墙针对SOHO
网络的特性 616
22.2.1 PIX设备管理器 616
22.2.2 把PIX防火墙作为简单
VPN远端设备 617
22.2.3 PIX防火墙PPPoE
客户端 617
22.2.4 PIX防火墙DHCP
服务器 617
22.2.5 PIX防火墙的DHCP
中继 618
22.2.6 PIX防火墙DHCP
客户端 618
22.3 小结 619
22.4 复习题 619
第八部分 附 录
附录A 复习题答案 623
附录B 安全资源 633
第1章 Cisco网络安全方面的产品 3
1.1 为什么网络安全是必需的 3
1.2 安全威胁的类型 4
1.3 网络攻击 4
1.3.1 侦查攻击 5
1.3.2 访问攻击 5
1.3.3 DoS攻击 5
1.4 实施网络安全 6
1.4.1 保护(Securing)系统 7
1.4.2 监控网络 7
1.4.3 测试安全性 7
1.4.4 改进安全性 7
1.5 Cisco AVVID与SAFE 8
1.5.1 Cisco AVVID框架 8
1.5.2 SAFE计划概述 9
1.5.3 SAFE的优点 10
1.6 小结 10
1.7 复习题 11
第2章 Cisco PIX防火墙技术与特点 13
2.1 防火墙的种类 13
2.1.1 包过滤器 13
2.1.2 代理服务器 14
2.1.3 基于状态的包过滤 15
2.2 PIX防火墙概述 15
2.2.1 Finesse操作系统 16
2.2.2 ASA 16
2.2.3 直通代理 16
2.2.4 基于状态的包过滤 17
2.2.5 故障倒换(Failover) 17
2.3 小结 18
2.4 复习题 18
第3章 Cisco PIX防火墙系列
产品介绍 21
3.1 PIX防火墙500系列产品 21
3.1.1 PIX防火墙501 23
3.1.2 PIX 506 E防火墙 24
3.1.3 PIX 515E防火墙 25
3.1.4 PIX 525防火墙 28
3.1.5 PIX 535防火墙 30
3.2 FWSM 33
3.3 PIX防火墙许可证 35
3.3.1 基本的许可证选项 35
3.3.2 VPN许可证选项 36
3.4 小结 37
3.5 复习题 37
第二部分 PIX防火墙入门
第4章 在网络中实施Cisco PIX
防火墙 41
4.1 设计考虑 41
4.2 DMZ 42
4.3 选择合适的PIX防火墙型号 42
4.4 应用举例 44
4.4.1 企业网应用举例 45
4.4.2 大型公司网络应用举例 52
4.4.3 中小型商业网络应用举例 58
4.4.4 SOHO网络应用举例 62
4.5 小结 66
4.6 复习题 66
第三部分 防火墙配置
第5章 Cisco PIX防火墙入门 71
5.1 CLI 71
5.2 配置PIX防火墙 73
5.2.1 查看与保存配置 74
5.2.2 命令write erase与
tftp-server 74
5.2.3 命令write net与
configure net 75
5.2.4 命令name 76
5.2.5 命令reload 77
5.3 检查PIX防火墙的状态 77
5.3.1 命令show memory 77
5.3.2 show version 77
5.3.3 命令show ip address 78
5.3.4 命令show interface 78
5.3.5 命令show cpu usage 81
5.3.6 命令ping 81
5.4 时间设置和NTP支持 82
5.4.1 设置节约白天时间和时区 83
5.4.2 命令ntp 84
5.5 ASA安全级别 85
5.6 基本的PIX防火墙配置 87
5.6.1 命令nameif 87
5.6.2 命令interface 88
5.6.3 命令ip address 89
5.7 nat命令 90
5.7.1 global命令 92
5.7.2 route命令 92
5.8 Syslog命令 93
5.9 配置DHCP服务器 96
5.9.1 DHCP基础知识 97
5.9.2 配置一台PIX防火墙作为
DHCP服务器 98
5.9.3 DHCP中继 102
5.10 PPPoE和PIX防火墙 103
5.10.1 在PIX防火墙上配置
PPPoE 104
5.10.2 监控PPPoE客户端 106
5.11 小结 108
5.12 复习题 108
5.13 实验练习——Cisco PIX
防火墙入门 108
5.13.1 目标 109
5.13.2 实验拓扑结构 109
5.13.3 任务1——执行常用的
命令 109
5.13.4 任务2——配置PIX防火
墙的接口 112
5.13.5 任务3——配置用于内部
和外部接口的全局地址、
NAT和路由选择 114
5.13.6 任务4——测试内部、
外部接口的连接性 116
5.13.7 任务5——配置系统
日志输出 117
5.13.8 任务6——配置将系统
日志输出到一台系统日志
服务器上 118
第6章 Cisco PIX设备管理器 121
6.1 PDM概述 121
6.2 PDM操作要求 123
6.2.1 Windows 系统的要求 124
6.2.2 Sun Solaris操作系统要求 124
6.2.3 Linux操作系统要求 125
6.2.4 总的指导方针 125
6.3 PDM的准备工作 125
6.4 使用PDM来配置PIX防火墙 128
6.4.1 配置 130
6.4.2 监控 140
6.5 小结 142
6.6 复习题 142
6.7 实验练习——用PDM配置
PIX防火墙 142
6.7.1 目标 142
6.7.2 实验拓扑结构 143
6.7.3 任务1——使用PDM安装
向导 143
6.7.4 任务2——使用PDM安装
向导来配置一个特权模式
密码 145
6.7.5 任务3——配置出站NAT 145
6.7.6 任务4——通过PIX防火
墙测试连通性 147
6.7.7 任务5——配置和测试入
站访问 147
6.7.8 任务6——配置入侵检测 150
6.7.9 任务7——配置PDM监控
制入侵检测 151
第7章 转换和连接 153
7.1 传输协议 153
7.1.1 TCP 153
7.1.2 UDP 155
7.2 NAT 156
7.2.1 动态内部转换 157
7.2.2 静态内部转换 160
7.2.3 动态外部转换 162
7.2.4 静态外部转换 163
7.2.5 标识NAT 165
7.2.6 策略NAT 165
7.2.7 转换和连接 166
7.2.8 静态和管道 168
7.3 配置DNS支持 170
7.3.1 使用alias命令实现DNS
支持 170
7.3.2 通过扩展的NAT和Static
命令完成DNS记录转换 174
7.4 PAT 175
7.4.1 使用外部接口地址实现
PAT 177
7.4.2 将子网映射到PAT地址上 177
7.4.3 使用多个PAT来备份PAT
地址 178
7.4.4 使用PAT扩大一个全局
地址池 178
7.5 端口重定向 179
7.6 配置多个接口 180
7.7 小结 182
7.8 复习题 183
7.9 实验练习——配置通过PIX
防火墙的访问 183
7.9.1 目标 184
7.9.2 实验拓扑结构 185
7.9.3 任务1——配置一个通道
来允许ICMP通过PIX
防火墙 185
7.9.4 任务2——配置PIX防火
墙来允许处于内部接口上
的用户可以访问堡垒主机 186
7.9.5 任务3——配置PIX防火
墙来允许处于外部接口上
的用户可以访问堡垒主机 187
7.9.6 任务4——配置PIX防火墙
来允许处于外部接口上的
用户可以访问内部的主机 188
第8章 访问控制列表和内容过滤 191
8.1 访问控制列表 191
8.2 把conduit转换成ACL 197
8.3 使用ACL 201
8.4 恶意活动代码过滤 206
8.4.1 Java Applet过滤 206
8.4.2 ActiveX 过滤 206
8.5 URL过滤 207
8.6 小结 211
8.7 复习题 211
8.8 实验练习——在PIX防火墙
上配置ACL 211
8.8.1 目标 213
8.8.2 实验拓扑结构 213
8.8.3 任务1——关闭到一个
接口的ping 214
8.8.4 任务2——配置入站ACL 215
8.8.5 任务3——测试并验证
入站ACL 216
8.8.6 任务4——配置出站ACL 217
8.8.7 任务5——测试并验证
出站ACL 218
第9章 对象分组 221
9.1 对象分组入门 221
9.2 嵌套式对象分组 227
9.3 小结 230
9.4 复习题 230
9.5 实验练习——配置对象组 230
9.5.1 目标 232
9.5.2 实验拓扑结构 232
9.5.3 任务1——配置服务对象
分组 233
9.5.4 任务2——配置一个ICMP
类型对象分组 233
9.5.5 任务3——配置一个嵌套式
服务器对象分组 234
9.5.6 任务4——使用对象分组
配置一个入站ACL 235
9.5.7 任务5——配置到内部
主机的Web和ICMP访问 236
9.5.8 任务6——测试并检查
入站ACL 237
第10章 路由选择 239
10.1 路由选择选项 239
10.1.1 静态路由选择 239
10.1.2 动态路由 241
10.2 IP组播协议 251
10.2.1 允许主机接收组播通信 252
10.2.2 为组播源转发组播通信 254
10.2.3 配置其他的IGMP选项 255
10.2.4 查看SMR配置 256
10.3 小结 256
10.4 复习题 257
第四部分 高级配置
第11章 高级协议处理 261
11.1 高级协议 261
11.1.1 修正命令 262
11.1.2 FTP标准模式 264
11.1.3 FTP被动模式 265
11.1.4 FTP修正配置 265
11.1.5 rsh 266
11.1.6 SQL*Net 268
11.1.7 SIP 269
11.1.8 SCCP 269
11.2 多媒体协议支持 270
11.2.1 标准的RTP模式 271
11.2.2 RealNetworks RDT模式 272
11.2.3 RTSP Fixup Configuration 272
11.2.4 H.323 Fixup 273
11.3 小结 275
11.4 复习题 275
11.5 实验练习——配置并且测试
Cisco PIX防火墙的高级协议
处理 275
11.5.1 目标 277
11.5.2 实验拓扑结构 277
11.5.3 任务1——显示已配置的
修正协议 277
11.5.4 任务2——改变已配置的
修正协议 278
11.5.5 任务3——测试出站FTP
修正协议 278
11.5.6 任务4——测试入站FTP
修正协议 279
11.5.7 任务5——将修正协议
恢复成缺省设置 280
11.5.8 任务部分答案 280
第12章 攻击保护、入侵监测与
动态阻挡 283
12.1 攻击保护 283
12.1.1 邮件保护 283
12.1.2 DNS保护 284
12.1.3 分段保护和虚拟重组 286
12.1.4 AAA洪泛保护 288
12.1.5 SYN洪泛保护 288
12.1.6 反欺骗 291
12.2 入侵检测 292
12.3 动态阻挡 296
12.4 小结 297
12.5 复习题 298
12.6 实验练习——配置入侵检测 298
12.6.1 目标 300
12.6.2 实验拓扑结构 300
12.6.3 任务1——配置启用
Cisco IDS信息特征码,
发送Cisco IDS系统日
志到系统日志服务器 300
12.6.4 任务2——配置启用
Cisco IDS攻击特征码,
发送Cisco IDS系统日
志到系统日志服务器 301
第13章 认证、授权与记帐 305
13.1 AAA基础知识 305
13.2 直通代理操作过程 307
13.3 支持的AAA服务器 308
13.4 在Windows NT上安装
CSACS 308
13.5 认证配置 315
13.5.1 其他服务的认证 318
13.5.2 控制台访问的认证 321
13.6 授权配置 324
13.6.1 添加授权规则 325
13.6.2 可下载的ACL 326
13.7 记帐配置 330
13.7.1 match acl_name选项 331
13.7.2 查看CSACS中的记帐
信息 331
13.8 查找AAA配置故障 332
13.9 小结 334
13.10 复习题 334
13.11 实验练习——在PIX防火墙
上配置AAA 334
13.11.1 目标 336
13.11.2 实验拓扑结构 336
13.11.3 任务1——在运行
Windows 2000服务器的
机器上安装CSACS 337
13.11.4 任务2——向CSACS
数据库中添加用户 337
13.11.5 任务3——标识AAA
服务器和协议 338
13.11.6 任务4——配置并测试
入站访问的认证 338
13.11.7 任务5——配置并测试
出站访问的认证 339
13.11.8 任务6——配置并测试
控制台访问的认证 340
13.11.9 任务7——配置并测试
虚拟Telnet认证 341
13.11.10 任务8——改变并测试
认证超时时间和提示
信息 341
13.11.11 任务9——配置ACS,
在认证的时候写入可
下载的ACL 343
13.11.12 任务10——使用入站
访问认证,验证可下载
ACL的功能 343
13.11.13 任务11——配置并测试
记帐 345
第14章 故障倒换 347
14.1 理解故障倒换 347
14.1.1 故障倒换的IP地址 348
14.1.2 配置复制 348
14.1.3 状态故障倒换 349
14.1.4 故障倒换接口测试 349
14.2 硬件要求 350
14.3 基于电缆的故障倒换配置 351
14.4 基于LAN的故障倒换配置 356
14.5 小结 360
14.6 复习题 360
14.7 实验练习——配置基于
LAN的故障倒换 360
14.7.1 目标 361
14.7.2 实验拓扑结构 361
14.7.3 任务1——将主PIX防
火墙配置成基于LAN的
状态故障倒换模式的备用
PIX防火墙 361
14.7.4 任务2——配置基于
LAN故障倒换的备用
PIX防火墙 365
14.7.5 任务3——测试基于
LAN状态的故障倒换 366
14.7.6 任务4——让主PIX
防火墙处于活动状态 367
第五部分 VPN配置
第15章 虚拟专用网 371
15.1 利用PIX防火墙提供安全的
VPN 371
15.2 IPSec概述 372
15.2.1 支持的IPSec标准 374
15.2.2 IKE 374
15.2.3 DES 374
15.2.4 3DES 375
15.2.5 AES 375
15.2.6 D-H 375
15.2.7 MD5 375
15.2.8 SHA-1 375
15.2.9 RSA签名 375
15.2.10 CA 376
15.2.11 NAT-T 376
15.2.12 SA 376
15.3 IKE概述 376
15.4 CA概述 377
15.5 小结 380
15.6 复习题 380
第16章 站到站VPN 383
16.1 IPSec配置任务 383
16.1.1 任务1——准备配置
VPN 384
16.1.2 任务2——配置IKE
参数 387
16.1.3 任务3——配置IPSec
参数 390
16.1.4 任务4——VPN配置的
测试与验证 400
16.2 简易VPN操作 400
16.3 使用PDM配置VPN 405
16.3.1 系统选项 405
16.3.2 创建变换集 408
16.4 创建加密图 408
16.4.1 创建一个IPSec规则 409
16.4.2 VPN助手 410
16.4.3 简易VPN 413
16.5 案例研究:使用预先共享
密钥的三站点全网状IPSec
隧道 414
16.5.1 网络安全策略 415
16.5.2 波特兰、西雅图和圣何塞
防火墙上的配置举例 415
16.6 小结 418
16.7 复习题 418
16.8 实验练习——配置站到站
VPN 418
16.8.1 目标 419
16.8.2 实验拓扑结构 419
16.8.3 任务1——配置IKE
参数 419
16.8.4 任务2——配置IPSec
参数 420
16.8.5 任务3——IPSec配置的
测试和验证 421
16.8.6 任务4——使用PDM
(可选) 423
16.8.7 任务5——使用PDM
VPN助手(可选) 423
第17章 客户端远程访问VPN 425
17.1 Cisco VPN客户端 425
17.2 配置远程访问VPN 428
17.3 使用PDM配置远程访问
VPN 437
17.4 小结 443
17.5 复习题 443
17.6 实验练习——远程访问VPN 443
17.6.1 目标 444
17.6.2 实验拓扑结构 445
17.6.3 任务1——配置PIX
防火墙 445
17.6.4 任务2——在CSACS中
创建用户 447
17.6.5 任务3——验证配置 447
17.6.6 任务4——在主机1上
安装Cisco VPN客户端 449
17.6.7 任务5——配置Cisco
VPN客户端 449
17.6.8 任务6——检查Cisco
VPN客户端的属性 450
17.6.9 任务7——启动Cisco
VPN客户端 450
17.6.10 任务8——验证VPN
连接 450
17.6.11 任务9——使用PDM
重新配置远程接入VPN
连接(可选项) 451
第六部分 PIX系统管理
第18章 系统维护 455
18.1 远程访问 455
18.1.1 Telnet 455
18.1.2 SSH 457
18.2 命令授权 460
18.2.1 使用特权级密码进行
命令授权 461
18.2.2 使用本地用户数据库的
命令授权 463
18.2.3 使用CSACS进行命令
认证 464
18.2.4 查看命令授权配置 466
18.3 SNMP 466
18.3.1 MIB支持 468
18.3.2 配置SNMP 469
18.4 管理工具 472
18.4.1 PDM 472
18.4.2 Cisco安全策略管理器 472
18.4.3 防火墙的管理中心 473
18.5 激活密钥 473
18.6 密码恢复和映像升级 476
18.6.1 密码恢复步骤 476
18.6.2 映像升级 477
18.7 小结 478
18.8 复习题 478
18.9 实验练习——系统维护 479
18.9.1 目标 480
18.9.2 实验拓扑结构 480
18.9.3 任务1——使用密码
配置特权级命令授权 481
18.9.4 任务2——测试特权级
命令授权 482
18.9.5 任务3——为加密SSH
会话生成RSA密钥对 484
18.9.6 任务4——建立到PIX
防火墙的SSH连接 485
18.9.7 任务5——配置使用本地
用户数据库的命令授权 486
18.9.8 任务6——测试使用本地
用户数据库的命令授权 487
18.9.9 任务7——恢复密码 490
18.9.10 任务8——更新PIX
防火墙的软件映像 492
第19章 企业网络中的PIX防火墙
管理 495
19.1 防火墙MC简介 495
19.2 主要概念和特点 496
19.3 安装 497
19.3.1 安装要求 497
19.3.2 安装过程 498
19.4 启动 499
19.5 防火墙MC导航 503
19.6 防火墙MC任务流程 505
19.6.1 任务1——创建新活动 506
19.6.2 任务2——创建设备组 510
19.6.3 任务3——导入和管理
设备 511
19.6.4 任务4——配置构建模块 517
19.6.5 任务5——配置设置 526
19.6.6 任务6——配置访问和
翻译规则 542
19.6.7 任务7和8——创建并
查看配置,提交活动,
请求批准 550
19.6.8 任务9和10——创建
一个工作并提交工作,
请求批准 552
19.6.9 任务11——部署工作 555
19.7 报告、工具和管理 556
19.7.1 报告 556
19.7.2 支持 557
19.7.3 管理:工作流设置 558
19.7.4 管理:维护 559
19.8 小结 560
19.9 复习题 560
19.10 实验练习——企业PIX
防火墙管理 561
19.10.1 目标 561
19.10.2 实验拓扑结构 561
19.10.3 任务1——安装防火墙
MC 562
19.10.4 任务2——Bootstrap
PIX防火墙 562
19.10.5 任务3——启动防火墙
MC 563
19.10.6 任务4——打开一个
活动,创建一个组 564
19.10.7 任务5——导入PIX
防火墙 564
19.10.8 任务6——配置内部和
外部接口 565
19.10.9 任务7——配置服务
定义、服务组和地址
翻译池building块 565
19.10.10 任务8——创建翻译
规则 567
19.10.11 任务9——配置PIX
防火墙,允许HTTP
和CiscoWorks数据流
访问内部主机 567
19.10.12 任务10——配置全局
安全策略 568
19.10.13 任务11——批准一个
活动,创建一项工作并
部署工作 569
19.10.14 任务12——测试PIX
防火墙配置 570
第20章 企业网中的PIX防火墙
维护 573
20.1 AUS介绍 573
20.1.1 安装概述 574
20.1.2 安装要求 574
20.1.3 客户端访问要求 574
20.1.4 安装过程 575
20.2 AUS初始配置设置 575
20.2.1 防火墙MC和AUS通信 575
20.2.2 激活AUS 576
20.2.3 AUS和PIX防火墙通信 576
20.2.4 PIX防火墙的惟一标识 578
20.2.5 部署PIX防火墙的配置 579
20.3 开始 580
20.3.1 CiscoWorks登录 580
20.3.2 AUS界面 581
20.4 设备、映像和分配 582
20.4.1 AUS设备 582
20.4.2 AUS映像 583
20.4.3 AUS分配 584
20.5 报告和管理 587
20.5.1 报告——系统信息 587
20.5.2 报告——事件报告 588
20.5.3 管理——NAT设置 590
20.5.4 管理——改变AUS
数据库密码 590
20.6 小结 591
20.7 复习题 592
20.8 实验练习——企业网中的
PIX防火墙维护 592
20.8.1 目标 593
20.8.2 实验拓扑结构 594
20.8.3 任务1——安装AUS 594
20.8.4 任务2——配置防火墙
MC和PIX防火墙使用
AUS 595
20.8.5 任务3——验证PIX
防火墙和AUS之间的
操作 596
20.8.6 任务4——向AUS中
添加PIX防火墙和
PDM映像 596
20.8.7 任务5——分配映像到
设备 597
第七部分 专 题
第21章 防火墙服务模块 601
21.1 FWSM概述 601
21.2 FWSM和PIX防火墙特性
比较 602
21.3 对Catalyst 6500交换机的
要求 603
21.4 网络模块 603
21.5 配置FWSM 606
21.5.1 初始化FWSM 606
21.5.2 配置交换机VLAN 608
21.5.3 配置FWSM接口 610
21.6 使用PDM管理FWSM 610
21.7 排查FWSM故障 611
21.7.1 重新设置并重启FWSM 611
21.7.2 内存测试 612
21.8 小结 612
21.9 复习题 612
第22章 SOHO网络中的PIX
防火墙 615
22.1 PIX防火墙模型 615
22.2 PIX防火墙针对SOHO
网络的特性 616
22.2.1 PIX设备管理器 616
22.2.2 把PIX防火墙作为简单
VPN远端设备 617
22.2.3 PIX防火墙PPPoE
客户端 617
22.2.4 PIX防火墙DHCP
服务器 617
22.2.5 PIX防火墙的DHCP
中继 618
22.2.6 PIX防火墙DHCP
客户端 618
22.3 小结 619
22.4 复习题 619
第八部分 附 录
附录A 复习题答案 623
附录B 安全资源 633
猜您喜欢