Cisco防火墙【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Cisco防火墙PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 防火墙与网络安全1

1.1 网络安全必不可少，但要如何着手呢2

1.2 防火墙和信任区域5

1.3 将防火墙部署到网络拓扑环境中7

1.3.1 路由模式与透明模式7

1.3.2 网络地址转换和端口地址转换8

1.4 网络防火墙的主要类型10

1.4.1 数据包过滤10

1.4.2 电路级代理11

1.4.3 应用级代理12

1.4.4 状态化防火墙13

1.5 状态化防火墙的演变14

1.5.1 应用识别（Application Awareness）14

1.5.2 身份识别技术15

1.5.3 通过路由表实施保护策略16

1.5.4 虚拟化防火墙与网络分段17

1.6 状态化防火墙的类型19

1.6.1 防火墙设备19

1.6.2 基于路由器的防火墙19

1.6.3 基于交换机的防火墙20

1.7 使用状态化防火墙的经典网络拓扑结构20

1.8 状态化防火墙与网络安全设计21

1.8.1 状态化防火墙和VPN技术的结合使用22

1.8.2 状态化防火墙和入侵防御技术的结合使用23

1.8.3 状态化防火墙和专用安全设备的结合使用24

1.9 总结25

第2章 Cisco防火墙系列概述27

2.1 ASA设备的概述28

2.1.1 ASA设备的产品定位28

2.1.2 防火墙的性能参数29

2.1.3 ASA硬件型号的概述32

2.2 防火墙服务模块的概述36

2.3 集成于IOS系统的防火墙的概述38

2.3.1 集成服务路由器38

2.3.2 汇聚服务路由器39

2.4 总结41

第3章 防火墙配置基础42

3.1 通过命令行界面访问设备43

3.2 ASA的基本配置43

3.2.1 ASA设备的基本配置方法（非5505平台）48

3.2.2 ASA 5505平台的基本配置方法51

3.3 FWSM的基本配置54

3.4 ASA和FWSM的远程管理59

3.4.1 Telnet访问60

3.4.2 SSH连接访问61

3.4.3 使用ASDM实现HTTPS连接62

3.5 IOS的基本配置66

3.6 IOS设备的远程管理69

3.6.1 Telnet远程访问69

3.6.2 SSH远程访问70

3.6.3 使用HTTP和HTTPS发起远程访问71

3.7 通过NTP实现时钟同步73

3.8 通过PPPoE客户端来获取IP地址76

3.9 DHCP服务81

3.10 总结85

3.11 深入阅读85

第4章 工欲善其事，必先利其器86

4.1 访问控制列表的高级用法87

4.2 事件日志89

4.3 调试（debug）命令93

4.4 使用Netflow执行流量审计和其他功能95

4.4.1 开启IOS的流量采集97

4.4.2 传统型Netflow97

4.4.3 Netflow v9与Flexible Netflow102

4.4.4 在ASA设备上启用NSEL108

4.5 通过ASDM执行性能监测111

4.6 图形化界面与CLI之间的相互关联112

4.7 ASA的数据包追踪（Packet Tracer）技术115

4.8 抓包119

4.8.1 ASA设备内置的抓包工具119

4.8.2 IOS设备内置的抓包工具124

4.9 总结126

第5章 网络拓扑中的防火墙128

5.1 IP路由与转发简介129

5.2 静态路由概述130

5.3 路由协议的基本概念133

5.4 RIP概述136

5.5 EIGRP概述145

5.6 OSPF概述162

5.7 为路由协议配置认证182

5.8 桥接操作185

5.9 总结193

第6章 防火墙世界中的虚拟化195

6.1 一些初始定义196

6.2 从数据平面说起：VLAN与VRF197

6.2.1 虚拟LAN197

6.2.2 VRF198

6.3 VRF感知型服务207

6.4 超越数据平面——虚拟防火墙208

6.5 虚拟防火墙的管理访问221

6.6 为虚拟防火墙分配资源224

6.7 虚拟成分之间的互联227

6.7.1 将VRF与外部路由器互联227

6.7.2 两个没有共享接口的虚拟防火墙互联229

6.7.3 共享一个接口的两个FWSM虚拟防火墙互联230

6.7.4 共享一个接口的两个ASA虚拟防火墙互联233

6.8 虚拟防火墙那些事236

6.9 虚拟化的整体架构237

6.9.1 FWSM与ACE模块的虚拟化237

6.9.2 分段传输239

6.9.3 虚拟设备与Nexus 1000V240

6.10 总结241

第7章 在没有部署NAT的环境中穿越ASA242

7.1 穿越ASA防火墙进行访问的类型243

7.2 关于安全级别的其他思考248

7.2.1 接入Internet的防火墙拓扑249

7.2.2 外联网拓扑249

7.2.3 隔离内部部门250

7.3 ICMP连接案例250

7.3.1 出站ping250

7.3.2 入站ping252

7.3.3 穿越ASA执行Windows Traceroute253

7.4 UDP连接示例256

7.5 TCP连接实例260

7.5.1 与TCP连接相关的ASA标记261

7.5.2 TCP序列号随机生成263

7.6 相同安全级别之间的访问268

7.7 ACL和对象组的处理270

7.8 总结280

第8章 在部署了NAT的环境中穿越ASA282

8.1 nat-Control模型283

8.2 出站NAT分析285

8.2.1 动态NAT286

8.2.2 动态PAT288

8.2.3 Identity NAT291

8.2.4 静态NAT293

8.2.5 策略NAT294

8.2.6 NAT免除298

8.2.7 NAT优先级规则299

8.3 入站访问的地址发布303

8.3.1 通过static命令进行发布303

8.3.2 通过端口重定向进行发布304

8.3.3 通过NAT免除技术进行发布305

8.4 入站NAT分析306

8.4.1 入站方向的动态PAT306

8.4.2 入站方向的Identity NAT308

8.4.3 入站方向的NAT免除技术309

8.4.4 入站方向的静态NAT309

8.5 双向NAT （Dual NAT）310

8.6 禁用TCP序列号随机生成312

8.7 通过NAT规则定义连接限制314

8.8 总结316

第9章 经典IOS防火墙概述317

9.1 CBAC的用途318

9.2 CBAC基础319

9.3 ICMP连接示例321

9.4 UDP连接示例325

9.5 TCP连接示例328

9.6 ACL与对象组的处理332

9.6.1 在ACL列表中使用对象组334

9.6.2 CBAC与访问控制列表336

9.7 IOS NAT概述337

9.7.1 静态NAT339

9.7.2 动态NAT342

9.7.3 策略NAT343

9.7.4 双向NAT344

9.7.5 NAT与流审计346

9.8 CBAC与NAT349

9.9 总结353

第10章 IOS区域策略防火墙概述354

10.1 ZFW的用途355

10.2 为基于区域的防火墙策略创建类358

10.3 ICMP连接示例363

10.4 UDP连接示例366

10.5 TCP连接示例370

10.6 ZFW与ACL372

10.7 ZFW与NAT384

10.8 透明模式下的ZFW393

10.9 定义连接限制396

10.10 路由器流量的监控400

10.11 在IOS 15.X中的区域内防火墙策略403

10.12 总结407

第11章 其他防护机制408

11.1 防欺骗409

11.1.1 使用ACL的经典防欺骗技术409

11.1.2 在IOS上使用uRPF的防欺骗机制410

11.1.3 在ASA上使用uRPF的防欺骗机制413

11.2 TCF标记过滤417

11.3 TTL值过滤422

11.4 处理IP可选项423

11.4.1 在IOS系统执行IP可选项无状态过滤426

11.4.2 在IOS系统中丢弃带有IP可选项的数据包430

11.4.3 ASA丢弃带有IP可选项的数据包431

11.5 处理IP分片432

11.5.1 在IOS中对IP分片进行无状态过滤436

11.5.2 IOS的虚拟分片重组438

11.5.3 ASA的虚拟分片重组439

11.6 灵活数据包匹配440

11.7 时间访问控制列表445

11.7.1 ASA上的时间访问控制列表446

11.7.2 IOS上的时间访问控制列表449

11.8 ASA上的连接限制450

11.9 ASA上的TCP正常化（Normalization）455

11.10 ASA上的威胁检测459

11.11 总结463

11.12 深入阅读464

第12章 应用监控465

12.1 经典IOS防火墙的监控功能466

12.2 区域策略防火墙的应用监控470

12.3 区域策略防火墙的DNS监控472

12.4 区域策略防火墙的FTP监控473

12.5 区域策略防火墙的HTTP监控479

12.6 区域策略防火墙的IM监控486

12.7 ASA应用监控的概述489

12.8 ASA的DNS监控493

12.8.1 DNS防护（DNS Guard）495

12.8.2 DNS刮除（DNS Doctoring）497

12.8.3 DNS监控参数500

12.8.4 一些其他的DNS监控功能503

12.9 ASA的FTP监控505

12.10 ASA的HTTP监控516

12.11 ASA的IM及隧道流量监控525

12.12 ASA的僵尸网络流量监控528

12.13 总结536

12.14 深入阅读536

第13章 语音协议的监控537

13.1 介绍语音术语538

13.2 Skinny协议540

13.3 H.323框架550

13.3.1 H.323直接呼叫553

13.3.2 H.323网守路由的呼叫557

13.4 会话初始化协议（SIP）563

13.5 MGCP协议574

13.6 Cisco IP电话和数字证书582

13.7 使用ASA TLS代理进行高级语音检测585

13.8 使用ASA电话代理进行高级语音检测592

13.9 总结605

13.10 深入阅读605

第14章 Cisco防火墙上的身份认证606

14.1 选择认证协议608

14.2 通过直通代理（Cut-Through Proxy）实现ASA用户级控制610

14.3 通过认证代理（Auth-Proxy）实现IOS用户级控制623

14.3.1 方案1：包含可下载ACE的IOS认证代理626

14.3.2 方案2：包含可下载ACL的IOS代理628

14.3.3 方案3：将经典IP监控（CBAC）与认证代理相结合630

14.4 基于用户的区域策略防火墙633

14.4.1 在IOS中建立用户组成员关系的认知功能——方法1634

14.4.2 在IOS中建立用户组成员关系的认知功能——方法2635

14.4.3 将认证代理与ZFW进行集成638

14.5 IOS上的管理访问控制641

14.6 ASA上的管理访问控制650

14.7 总结654

第15章 防火墙与IP组播655

15.1 组播编址的回顾656

15.2 组播路由与转发概述657

15.2.1 上游接口与下游接口658

15.2.2 RPF接口与RPF检验659

15.3 PIM组播路由662

15.3.1 在Cisco路由器上启用PIM663

15.3.2 PIM-DM基础664

15.3.3 PIM-SM基础665

15.3.4 在PIM-SM拓扑中寻找集合点674

15.4 将ASA插入组播路由环境中681

15.4.1 在ASA上启用组播路由682

15.4.2 ASA中的末节组播路由686

15.4.3 ASA充当PIM-SM路由器691

15.5 ASA上的组播转发规则汇总695

15.6 总结698

15.7 深入阅读698

第16章 Cisco防火墙与IPv6699

16.1 IPv6入门700

16.2 IPv6编址概述701

16.3 IPv6头部格式706

16.4 IPv6连接基础708

16.5 处理IOS IPv6访问控制列表727

16.6 经典IOS防火墙对IPv6的支持735

16.7 区域策略防火墙对IPv6的支持741

16.8 ASA IPv6 ACL和对象组的处理750

16.9 在ASA上实现IPv6的状态化监控755

16.10 建立连接限制758

16.11 IPv6与反欺骗760

16.11.1 在ASA上通过uRPF实现反欺骗760

16.11.2 在IOS上通过uRPF实现反欺骗761

16.12 IPv6与分片762

16.12.1 ASA上的虚拟分片重组767

16.12.2 IOS上的虚拟分片重组768

16.13 总结769

16.14 深入阅读769

第17章 防火墙的互动770

17.1 防火墙与入侵防御系统771

17.2 防火墙与服务质量776

17.3 防火墙与私有VLAN777

17.4 防火墙与服务器负载分担779

17.5 防火墙与虚拟设备784

17.5.1 用外部防火墙保护虚拟设备784

17.5.2 使用虚拟防火墙设施保护虚拟设备786

17.6 防火墙与IPv6隧道机制789

17.7 防火墙与IPSec VPN794

17.7.1 使用IOS设备部署经典的IPSec站点到站点VPN795

17.7.2 使用虚拟隧道接口（VTI）实现IPSec站点到站点VPN799

17.7.3 使用一条GRE隧道实现IPSec站点到站点VPN802

17.7.4 IPSec隧道中的NAT804

17.7.5 在解密后通过ASA过滤数据包806

17.8 防火墙与SSL VPN808

17.8.1 无客户端的访问809

17.8.2 基于客户端的访问（AnyConnect）815

17.9 防火墙与MPLS网络820

17.10 无边界网络的畅想823

17.11 总结825

17.12 深入阅读826

附录A ASA 8.3在NAT和ACL方面的变化827