目 录
第 1部分 简介
第 1章 防火墙类型 3
1.1 理解包过滤防火墙 3
1.1.1 优势 4
1.1.2 告诫 4
1.2 理解应用/代理防火墙 5
1.2.1 优势 6
1.2.2 告诫 6
1.3 理解逆向代理防火墙 7
1.3.1 优势 7
1.3.2 告诫 9
1.4 利用包检测技术 9
1.5 IP地址重用 10
1.5.1 NAT 10
1.5.2 PAT 11
1.6 总结 12
第 2章 防火墙服务模块概述 15
2.1 规格 15
2.2 安装 16
2.3 性能 17
2.4 虚拟化 18
2.5 FWSM与其他安全设备的对比 19
2.5.1 IOS防火墙 20
2.5.2 PIX 20
2.5.3 ASA 20
2.6 硬件架构 21
2.7 软件架构 23
2.8 总结 26
第3章 运行模式的分析 29
3.1 透明模式 29
3.1.1 优势 31
3.1.2 缺点 31
3.1.3 流量的流动 32
3.1.4 多网桥组 36
3.2 路由模式 37
3.2.1 优势 38
3.2.2 缺点 38
3.2.3 流量的流动 39
3.3 总结 40
第4章 理解安全级别 43
4.1 接口间的流量传输 44
4.2 网络地址转换/端口地址转换 44
4.2.1 静态NAT 47
4.2.2 静态PAT 52
4.2.3 动态NAT 54
4.2.4 动态PAT 55
4.2.5 NAT控制 55
4.2.6 NAT旁路 55
4.3 总结 57
4.4 参考文献 57
第5章 理解context 59
5.1 多context的好处 60
5.1.1 分离安全策略 60
5.1.2 充分利用硬件投资 60
5.2 多context的缺点 60
5.3 添加和删除context 60
5.3.1 添加context 62
5.3.2 删除context 62
5.4 在context之间切换 63
5.5 理解资源管理 64
5.6 总结 69
第 2部分 初始配置
第6章 6500/7600系列机箱的配置与保护 73
6.1 理解主机箱和FWSM之间的交互 73
6.2 分配接口 75
6.3 保护6500/7600(主机箱) 77
6.3.1 控制物理访问 77
6.3.2 考虑环境因素 78
6.3.3 控制管理访问 78
6.3.4 禁用不必要的服务 79
6.3.5 使用基于端口的安全控制访问 80
6.3.6 控制生成树 81
6.3.7 利用访问控制列表 81
6.3.8 保护第3层 81
6.3.9 利用控制面板策略 82
6.3.10 使用QoS保护网络 82
6.3.11 使用额外的安全功能 82
6.4 总结 83
6.5 参考文献 83
第7章 FWSM的配置 85
7.1 在交换机中配置FWSM 85
7.2 路由模式 87
7.3 透明模式 89
7.4 在多context中使用FWSM 90
7.4.1 context配置 90
7.4.2 系统context的配置 90
7.4.3 admin context的配置 90
7.4.4 FWSM context模式中的数据包分类器 91
7.4.5 context中的资源管理 92
7.5 防火墙服务模块的配置步骤 92
7.5.1 类型1:配置单context路由模式 92
7.5.2 类型2:配置单context透明模式 94
7.5.3 类型3:配置多context混合模式 96
7.6 总结 100
第8章 ACL 103
8.1 访问列表类型的介绍 103
8.1.1 理解访问控制条目 104
8.1.2 理解访问列表提交 105
8.2 理解对象组 106
8.3 监视访问列表资源 106
8.4 配置对象组和访问列表 107
8.4.1 协议类型 107
8.4.2 网络类型 107
8.4.3 服务类型 107
8.4.4 嵌套类型 107
8.4.5 EtherType 108
8.5 总结 109
第9章 路由协议的配置 111
9.1 支持路由方法 112
9.1.1 静态路由 112
9.1.2 默认路由 113
9.1.3 OSPF 113
9.1.4 FWSM中的OSPF 117
9.1.5 OSPF在FWSM中的配置 117
9.1.6 OSPF设计案例1 119
9.1.7 OSPF设计案例2 124
9.1.8 路由信息协议 128
9.1.9 FWSM中的RIP 128
9.1.10 边界网关协议 132
9.1.11 FWSM中的BGP 132
9.1.12 FWSM的BGP拓扑 133
9.2 总结 142
第 10章 AAA概述 145
10.1 理解AAA组件 145
10.1.1 FWSM中的认证 145
10.1.2 FWSM中的授权 146
10.1.3 FWSM中的审计 146
10.2 安全协议的比较 146
10.3 理解两步认证 148
10.4 理解回退支持 148
10.4.1 配置回退认证 149
10.4.2 配置本地授权 150
10.5 理解FWSM的直通代理 151
10.5.1 配置自定义登录提示 153
10.5.2 利用MAC地址使流量免于认证和授权 153
10.6 总结 153
第 11章 模块化策略 155
11.1 在FWSM中使用模块化策略 155
11.2 理解流量的分类 157
11.3 定义策略映射 160
11.4 配置服务策略 161
11.5 理解默认的策略映射 162
11.6 模块化策略在FWSM中的配置示例 162
11.7 总结 165
第3部分 高级配置
第 12章 FWSM中的故障切换 169
12.1 在FWSM中构建冗余 169
12.1.1 理解Active/Standby模式 169
12.1.2 理解Active/Active模式 170
12.2 理解故障切换链路和状态链路 171
12.3 故障切换的需求 172
12.4 第 一和第 二防火墙的配置同步 173
12.5 监控端口 173
12.6 配置轮询间隔 175
12.7 接口监控设计准则 175
12.8 配置单context FWSM故障切换 176
12.9 配置多context FWSM故障切换 184
12.10 总结 189
第 13章 理解应用层协议检测 191
13.1 检测超文本传输协议 192
13.2 检测文件传输协议 194
13.3 FSWM与支持的应用协同工作 196
13.4 配置ARP 199
13.4.1 检测ARP 199
13.4.2 配置ARP参数 200
13.5 总结 202
13.6 参考文献 203
第 14章 流量过滤 205
14.1 与第三方产品协同过滤URL和FTP流量 205
14.2 配置ActiveX和Java 211
14.3 总结 212
14.4 参考文献 212
第 15章 管理和监控FWSM 215
15.1 使用Telnet 215
15.2 使用SSH 217
15.3 使用自适应安全设备管理器 218
15.3.1 使用ASDM配置FWSM 218
15.3.2 从客户端管理FWSM 219
15.4 安全访问 220
15.4.1 配置FWSM的VPN终结功能 221
15.4.2 配置VPN客户端 223
15.5 运行简单网络管理协议 226
15.6 探究syslog 226
15.7 使用Cisco安全管理器 228
15.8 监控、分析和响应系统 230
15.9 总结 231
15.10 参考文献 231
第 16章 多播 233
16.1 协议无关多播 234
16.2 理解集中点 235
16.3 PIM接口模式 236
16.4 IGMP协议 236
16.5 多播stub的配置 237
16.6 多播流量穿越防火墙 238
16.6.1 FWSM 1.x和2.x代码版本 238
16.6.2 FWSM 3.x代码版本 238
16.7 配置方法 241
16.7.1 方法1:配置示例——多播流量透过单context模式下的防火墙 241
16.7.2 方法2:配置示例——多播流量经GRE封装透过防火墙 243
16.7.3 方法3:配置示例——多播流量透过多context模式下的透明防火墙 246
16.8 总结 250
第 17章 非对称路由 253
17.1 未部署防火墙时的非对称路由 253
17.2 防火墙环境中的非对称流量 255
17.3 避免非对称流量穿越防火墙 256
17.3.1 选项1:让对称流量穿越防火墙 256
17.3.2 选项2:防火墙和路由冗余时的流量对称 256
17.4 FWSM对非对称路由的支持 259
17.4.1 在Active/Standby模式中支持非对称路由 259
17.4.2 在Active/Active模式中支持非对称路由 259
17.5 配置FWSM ASR特性 262
17.6 总结 266
第 18章 防火墙负载均衡 269
18.1 防火墙负载均衡的价值 269
18.2 防火墙负载均衡的设计需求 270
18.3 防火墙负载均衡解决方案 271
18.3.1 使用策略路由的防火墙负载均衡 271
18.3.2 使用内容交换模块的防火墙负载均衡 273
18.3.3 使用应用程序控制引擎的防火墙负载均衡 279
18.4 防火墙负载均衡配置示例 282
18.4.1 配置OUT2IN策略 283
18.4.2 配置防火墙 283
18.4.3 配置OUT2IN策略 287
18.5 总结 288
第 19章 IP版本6 291
19.1 理解IPv6数据包头部 292
19.2 探究IPv6地址类型 293
19.3 FWSM上的IPv6 294
19.3.1 在FWSM上配置IPv6特性 295
19.3.2 在FWSM上配置IPv6 299
19.4 总结 306
第 20章 网络攻击防护 309
20.1 网络防护 309
20.2 屏蔽(shun)攻击 311
20.3 地址欺骗 312
20.4 理解连接限制和连接超时 314
20.4.1 配置连接限制 314
20.4.2 配置连接超时时间 315
20.5 总结 317
20.6 参考文献 317
第 21章 排除FWSM故障 319
21.1 建立故障排除的思路 319
21.2 理智地评估故障 319
21.3 在FWSM上对数据流做连通性测试 321
21.4 故障排除FAQ 323
21.4.1 如何认定流量是否被转发到了FWSM上的特定接口 323
21.4.2 如何查看FWSM的ACL资源限制 325
21.4.3 如何验证防火墙安全域之间的连通性 326
21.4.4 何为网络分析模块 326
21.4.5 网络管理和监控工具 328
21.4.6 如何恢复密码 329
21.5 总结 330
第4部分 设计指导和配置案例
第 22章 设计网络基础设施 335
22.1 确定设计中的考虑因素 335
22.2 确定部署选项 337
22.3 确定部署位置 338
22.3.1 防火墙之于企业网 342
22.3.2 FWSM之于数据中心 342
22.3.3 支持虚拟化网络 343
22.4 总结 358
22.5 参考文献 358
第 23章 设计构思 361
23.1 FWSM终结第三层VPN(VRF) 362
23.1.1 配置PFC 364
23.1.2 配置FWSM 366
23.2 混合模式下的故障切换 368
23.3 单FWSM上不同安全区域之间的通信 374
23.3.1 配置PFC 375
23.3.2 配置FWSM 377
23.4 涉及FWSM的路由动态学习机制 382
23.5 FWSM之于数据中心网络环境 388
23.5.1 方法一:运行多context路由模式的FWSM参与第三层VPN隔离 388
23.5.2 方法二:运行多context透明模式的FWSM参与第三层VPN隔离 391
23.6 PVLAN和FWSM 393
23.6.1 设计FWSM的PVLAN配置 393
23.6.2 涉及FWSM的PVLAN设计:场景一 394
23.6.3 涉及FWSM的PVLAN设计:场景二 395
23.6.4 配置PVLAN 396
23.7 总结 401
第5部分 FWSM 4.x
第 24章 FWSM 4.x性能和可扩展性的提升 405
24.1 借Supervisor提高FWSM性能 405
24.2 利用PISA实现超强的流量检测功能 409
24.3 改善内存分配 414
24.3.1 内存分区 414
24.3.2 规则重分配 416
24.3.3 优化ACL 419
24.4 总结 420
第 25章 FWSM 4.x路由功能与其他增强特性 423
25.1 配置EIGRP 423
25.2 配置路由健康注入 426
25.3 理解应用支持 430
25.3.1 配置正则表达式 431
25.3.2 理解应用检测的增强功能 433
25.4 对SNMP管理信息库的补充支持 435
25.5 其他安全特性 436
25.5.1 DHCP选项82 436
25.5.2 SmartFilter HTTPS支持 437
25.6 总结 437
25.7 参考文献 438