38605| 679
|
[安全Sec] 思科官方ASA防火墙配置指南 最权威的思科ASA系列防火墙CLI配置指南 |
思科官方ASA防火墙配置指南 最权威的思科ASA系列防火墙CLI配置指南
简介:应该是最新的版本号没问题,文档上有说明是去年九月最近一次更新,后续如果更新的版本号论坛也会基础更新。 本指南旨在帮助您使用命令行界面 配置思科 ASA 系列的防火墙功能。本指南仅介绍最常见的一些配置场景,并未涵盖所有功能。通过使用自适应安全设备管理器 (ASDM) 这个基于网络的 GUI 应用,您也可以配置和监控 ASA。 ASDM 提供配置向导指导您完成一些常见配置场景,并提供联机帮助以使您获得不常见场景的信息。 一共分为了六大模块,一共418页,分别是: 1 服务策略与访问控制 2 网络地址转换 3 应用检查 4 连接设置和服务质量 5 高级网络保护 6 ASA模块 关于本指南xvii 文档目的xvii 相关文档xvii 约定xvii 获取文档和提交服务请求xviii 第 1 部分服务策略和访问控制 第 1 章使用模块化策略框的服务策略1-1 关于服务策略1-1 服务策略的组成部分1-2 使用服务策略配置的功能1-3 功能方向性1-4 服务策略内的功能匹配1-5 应用多项功能操作的顺序1-5 某些功能操作的不兼容性1-6 多项服务策略的功能匹配1-7 服务策略准则1-7 服务策略的默认设置1-8 服务策略默认配置1-9 默认类映射(流量类) 1-10 配置服务策略1-10 识别流量(第 3/4 层类映射) 1-12 定义操作(第 3/4 层策略映射) 1-14 将操作应用到接口(服务策略) 1-16 监控服务策略1-17 服务策略示例(模块化策略框架) 1-17 将检测和 QoS 策略管制应用到 HTTP 流量1-17 将检测全局应用到 HTTP 流量1-18 将检测和连接限制应用到流向特定服务器的 HTTP 流量1-18 通过 NAT 将检测应用到 HTTP 流量1-19 服务策略历史1-20 应用检测的特殊操作(检测策略映射) 2-1 检测策略映射有关信息2-1 准则和限制2-2 默认检测策略映射2-3 在检测策略映射中定义操作2-4 在检测类映射中识别流量2-5 更多信息指南2-7 检测策略映射的功能历史2-7 第 3 章访问规则3-1 控制网络访问3-1 有关规则的一般信息3-2 扩展访问规则3-4 以太网类型规则3-5 访问控制准则3-6 配置访问控制3-7 配置访问组3-7 配置 ICMP 访问规则3-8 监控访问规则3-9 评估访问规则的系统日志消息3-9 允许或拒绝网络访问的配置示例3-10 访问规则历史记录3-11 第 2 部分网络地址转换 第 4 章网络地址转换 (NAT) 4-1 为何使用 NAT? 4-1 NAT 术语4-2 NAT 类型4-2 NAT 类型概述4-3 静态 NAT 4-3 动态 NAT 4-8 动态 PAT 4-10 身份标识 NAT 4-11 路由和透明模式下的 NAT 4-11 路由模式下的 NAT 4-12 透明模式下的 NAT 4-12 NAT 和 IPv6 4-14 如何实施 NAT 4-14 网络对象 NAT 和两次 NAT 之间的主要差异4-14 网络对象 NAT 4-15 两次 NAT 4-15 NAT 规则顺序4-18 NAT 接口4-20 路由 NAT 数据包4-20 映射地址和路由4-20 远程网络的透明模式路由要求4-23 确定出口接口4-23 面向 VPN 的 NAT 4-23 NAT 和远程访问 VPN 4-24 NAT 和站点到站点 VPN 4-26 NAT 和 VPN 管理访问4-28 NAT 和 VPN 故障排除4-30 DNS 和 NAT 4-30 DNS 回复修改,外部接口上的 DNS 服务器4-31 独立网络上的 DNS 回复修改、DNS 服务器、主机和服务器4-32 DNS 回复修改,主机网络上的 DNS 服务器4-33 使用外部 NAT 进行 DNS64 回复修改4-34 PTR 修改,主机网络上的 DNS 服务器4-35 更多信息指南4-35 第 5 章网络对象 NAT 5-1 有关网络对象 NAT 的信息5-1 网络对象 NAT 的许可要求5-2 网络对象 NAT 的先决条件5-2 准则和限制5-2 默认设置5-3 配置网络对象 NAT 5-3 为映射地址添加网络对象5-4 使用 PAT 池配置动态 NAT 5-5 配置动态 PAT(隐藏) 5-7 配置静态 NAT 或带有端口转换的静态 NAT 5-10 配置身份标识 NAT 5-12 配置每会话 PAT 规则5-13 监控网络对象 NAT 5-15 网络对象 NAT 配置示例5-15 提供到内部网络服务器的访问(静态 NAT) 5-16 面向内部主机的 NAT(动态 NAT)和面向外部网络服务器的 NAT(静态 NAT) 5-17 有多个映射地址的内部负载平衡器(静态 NAT,一对多) 5-18 用于 FTP、HTTP 和 SMTP(带端口转换的静态 NAT)的单一地址5-19 映射接口上的 DNS 服务器、实际接口上的网络服务器(带 DNS 修改的静态 NAT) 5-20 映射接口上的 DNS 服务器和 FTP 服务器,FTP 服务器已转换(带 DNS 修改的静态 NAT) 5-22 映射接口上的 IPv4 DNS 服务器和 FTP 服务器,实际接口上的 IPv6 主机(带 DNS64 修改 的静态 NAT64) 5-23 网络对象 NAT 的功能历史5-24 第 6 章两次 NAT 6-1 有关两次 NAT 的信息6-1 两次 NAT 的许可要求6-2 两次 NAT 的先决条件6-2 准则和限制6-2 默认设置6-4 配置两次 NAT 6-4 为真实和映射地址添加网络对象6-4 (可选)为真实和映射端口添加服务对象6-6 配置动态 NAT 6-7 配置动态 PAT(隐藏) 6-10 配置静态 NAT 或带有端口转换的静态 NAT 6-14 配置身份标识 NAT 6-17 配置每会话 PAT 规则6-19 监控两次 NAT 6-19 两次 NAT 的配置示例6-19 取决于目标的不同转换(动态 PAT) 6-20 取决于目标地址和端口的不同转换(动态 PAT) 6-21 两次 NAT 的功能历史记录6-22 第 3 部分应用检查 第 7 章应用层协议检测入门7-1 应用层协议检测7-1 检测引擎如何工作7-1 何时使用应用协议检测7-2 检测策略映射7-3 应用检测准则7-4 应用检测的默认操作7-5 默认检测和 NAT 限制7-5 默认检测策略映射7-8 配置应用层协议检测7-9 选择要检测的正确流量类7-12 配置正则表达式7-13 创建正则表达式7-13 创建正则表达式类映射7-16 应用检测历史记录7-16 第 8 章基本互联网协议检测8-1 DNS 检测8-1 DNS 检测操作8-2 DNS 检测的默认设置8-2 配置 DNS 检测8-2 监控 DNS 检测8-7 FTP 检测8-8 FTP 检测概述8-8 严格 FTP 8-8 配置 FTP 检测8-9 验证和监控 FTP 检测8-13 HTTP 检测8-13 HTTP 检测概述8-13 配置 HTTP 检测8-14 ICMP 检测8-19 ICMP 错误检测8-19 即时消息检测8-20 配置即时消息检测策略映射8-20 配置 IM 检测服务策略8-22 IP 选项检测8-24 IP 选项检测概述8-24 IP 选项检测的默认设置8-25 配置 IP 选项检测8-25 监控 IP 选项检测8-27 IPsec 穿透检测8-27 IPsec 穿透检测概述8-27 配置 IPsec 穿透检测8-28 IPv6 检测8-30 IPv6 检测的默认设置8-30 配置 IPv6 检测8-31 NetBIOS 检测8-34 为其他检测控制配置 NetBIOS 检测策略映射8-34 配置 NetBIOS 检测服务策略8-35 PPTP 检测8-36 SMTP 检测和扩展 SMTP 检测8-36 SMTP 检测和 ESMTP 检测概述8-37 ESMTP 检测的默认设置8-37 配置 ESMTP 检测8-38 TFTP 检测8-42 第 9 章语音和视频协议的检测9-1 CTIQBE 检测9-1 CTIQBE 检测的局限性9-1 验证和监控 CTIQBE 检测9-2 H.323 检测9-3 H.323 检测概述9-3 H.323 如何工作9-3 H.245 消息中的 H.239 支持9-4 H.323 检测的局限性9-5 配置 H.323 检测9-5 配置 H.323 和 H.225 超时值9-9 验证和监控 H.323 检测9-9 MGCP 检测9-11 MGCP 检测概述9-11 配置 MGCP 检测9-12 配置 MGCP 超时值9-15 验证和监控 MGCP 检测9-15 RTSP 检测9-16 RTSP 检测概述9-16 RealPlayer 配置要求9-16 RSTP 检测的局限性9-17 配置 RTSP 检测9-17 SIP 检测9-20 SIP 检测概述9-21 SIP 检测的局限性9-21 SIP 即时消息9-22 默认 SIP 检测9-22 配置 SIP 检测9-23 配置 SIP 超时值9-27 验证和监控 SIP 检测9-27 瘦客户端 (SCCP) 检测9-28 SCCP 检测概述9-28 支持思科 IP 电话9-28 SCCP 检测的局限性9-29 默认 SCCP 检测9-29 配置 SCCP(瘦客户端)检测9-29 验证和监控 SCCP 检测9-32 语音和视频协议检测的历史记录9-33 第 10 章数据库和目录协议的检测10-1 ILS 检测10-1 SQL*Net 检测10-2 Sun RPC 检测10-3 Sun RPC 检测概述10-3 管理 Sun RPC 服务10-3 验证并监控 Sun RPC 检测10-4 第 11 章管理应用协议检测11-1 DCERPC 检测11-1 DCERPC 概述11-1 配置 DCERPC 检测11-2 GTP 检测11-4 GTP 检测概述11-5 GTP 检测的默认设置11-5 配置 GTP 检测11-6 验证和监控 GTP 检测11-10 RADIUS 计费检测11-11 RADIUS 计费检测概述11-11 配置 RADIUS 计费检测11-11 RSH 检测11-14 SNMP 检测11-14 XDMCP 检测11-16 连接设置和服务质量 第 12 章连接设置12-1 有关连接设置的信息12-1 TCP 拦截和限制半开连接12-2 因无客户端 SSL 兼容性而禁用管理数据包的 TCP 拦截12-2 死连接检测 (DCD) 12-2 TCP 序列随机化12-2 TCP 规范化12-3 TCP 状态旁路12-3 连接设置的许可要求12-4 准则和限制12-4 默认设置12-5 配置连接设置12-5 配置连接设置的任务流12-5 用 TCP 映射自定义 TCP 规范器12-6 配置连接设置12-9 监控连接设置12-12 连接设置的配置示例12-12 连接限制和超时的配置示例12-12 TCP 状态旁路的配置示例12-13 TCP 规范化的配置示例12-13 连接设置的功能历史12-13 第 13 章服务质量13-1 关于 QoS 13-1 支持的 QoS 功能13-2 什么是令牌桶? 13-2 策略管制13-2 优先级队列13-2 QoS 功能如何相互作用13-3 DSCP(区分服务)保留13-3 QoS 准则13-3 配置 QoS 13-4 确定优先级队列的队列和传输环路限制13-4 配置接口的优先级队列13-5 配置优先级队列和策略管制的服务规则13-6 监控 QoS 13-8 QoS 策略统计信息13-9 QoS 优先级统计信息13-9 QoS 优先级队列统计信息13-9 优先级队列和策略管制的配置示例13-10 VPN 流量的类映射示例13-10 优先级和策略管制示例13-11 QoS 的历史记录13-12 第 14 章连接和资源故障排除14-1 测试配置14-1 启用 ICMP 调试消息和系统日志消息14-1 ping ASA 接口14-2 通过 ASA 传输流量14-4 禁用测试配置14-5 使用 traceroute 功能确定数据包路由14-5 使用数据包跟踪器跟踪数据包14-6 监控每个进程的 CPU 使用情况14-7 第 5 部分高级网络保护 第 15 章ASA 和思科云网络安全15-1 有关思科云网络安全的信息15-2 网络流量重定向到云网络安全15-2 用户身份验证和云网络安全15-2 身份验证密钥15-2 ScanCenter 策略15-3 云网络安全操作15-4 通过白名单绕过扫描15-5 IPv4 和 IPv6 支持15-5 从主用代理服务器到备用代理服务器的故障转移15-5 思科云网络安全的许可证要求15-6 云网络安全先决条件15-6 准则和限制15-6 默认设置15-7 配置思科云网络安全15-7 配置与云网络安全代理服务器的通信15-7 (多情景模式)根据安全情景允许云网络安全15-8 配置服务策略,将流量发送到云网络安全15-9 (可选)配置白名单流量15-13 (可选)配置用户身份监控15-14 配置云网络安全策略15-14 监控云网络安全15-15 思科云网络安全配置示例15-16 单一模式示例15-16 多模式示例15-17 白名单示例15-17 目录集成示例15-18 带身份防火墙的云网络安全示例15-20 相关文档15-23 功能历史思科云网络安全15-24 第 16 章威胁检测16-1 检测威胁16-1 基础威胁检测统计信息16-2 高级威胁检测统计信息16-2 扫描威胁检测16-2 威胁检测准则16-3 威胁检测的默认设置16-3 配置威胁检测16-4 配置基础威胁检测统计信息16-5 配置高级威胁检测统计信息16-5 配置扫描威胁检测16-7 监控威胁检测16-7 监控基础威胁检测统计信息16-8 监控高级威胁检测统计信息16-8 评估主机威胁检测统计信息16-10 监控被避开的主机、攻击者和攻击目标16-11 威胁检测示例16-12 威胁检测历史16-12 第 6 部分ASA 模块 第 17 章ASA FirePOWER (SFR) 模块17-1 ASA FirePOWER 模块17-1 ASA FirePOWER 模块如何与 ASA 配合使用17-2 ASA FirePOWER 管理访问权限17-3 与 ASA 功能的兼容性17-4 ASA FirePOWER 模块的许可要求17-5 ASA FirePOWER 的准则17-5 ASA FirePOWER 的默认设置17-5 配置 ASA FirePOWER 模块17-6 连接 ASA FirePOWER 管理接口17-6 (ASA 5512-X 至 5555-X)安装或重新映像软件模块17-9 更改 ASA FirePOWER 管理 IP 地址17-12 在 ASA FirePOWER CLI 处配置基本 ASA FirePOWER 设置17-13 向 FireSIGHT 管理中心添加 ASA FirePOWER 17-14 在 ASA FirePOWER 模块上配置安全策略17-15 向 ASA FirePOWER 模块重定向流量17-15 管理 ASA FirePOWER 模块17-17 重置密码17-17 重新加载或重置模块17-18 关闭模块17-18 (适用于 ASA 5512-X 至 ASA 5555-X)卸载软件模块映像17-18 (ASA 5512-X 至 ASA 5555-X)从 ASA 向模块发起会话17-19 重新映像 5585-X ASA FirePOWER 硬件模块17-19 升级系统软件17-21 监控 ASA FirePOWER 模块17-21 显示模块状态17-21 显示模块统计信息17-23 监控模块连接17-23 ASA FirePOWER 模块的示例17-24 ASA FirePOWER 模块的历史记录17-25 第 18 章ASA CX 模块18-1 ASA CX 模块18-1 ASA CX 模块如何与 ASA 配合使用18-2 ASA CX 管理访问18-4 用于主动活动身份验证的身份验证代理18-4 与 ASA 功能的兼容性18-5 ASA CX 模块的许可要求18-5 ASA CX 的先决条件18-5 ASA CX 的准则18-5 ASA CX 的默认设置18-7 配置 ASA CX 模块18-7 连接 ASA CX 管理接口18-7 (适用于 ASA 5512-X 至 ASA 5555-X)安装或重新映像软件模块18-10 (适用于 ASA 5585-X)更改 ASA CX 管理 IP 地址18-12 配置 ASA CX 基本设置18-12 在 ASA CX 模块上配置安全策略18-14 配置身份验证代理端口18-14 向 ASA CX 模块重定向流量18-14 管理 ASA CX 模块18-17 重置密码18-17 重新加载或重置模块18-18 关闭模块18-18 ( ASA 5512-X 至 ASA 5555-X)卸载软件模块映像18-18 (ASA 5512-X 至 ASA 5555-X)从 ASA 向模块发起会话18-19 监控 ASA CX 模块18-19 显示模块状态18-19 显示模块统计信息18-20 监控模块连接18-20 对身份验证代理进行故障排除18-21 ASA CX 模块的示例18-22 ASA CX 模块的历史18-23 第 19 章ASA IPS 模块19-1 有关 ASA IPS 模块的信息19-1 ASA IPS 模块如何与 ASA 配合使用19-1 操作模式19-2 使用虚拟传感器19-3 有关管理访问权的信息19-4 ASA IPS 模块的许可要求19-5 准则和限制19-5 默认设置19-6 配置 ASA IPS 模块19-6 ASA IPS 模块的任务流19-6 连接 ASA IPS 管理接口19-7 从 ASA 向模块发起会话19-10 (ASA 5512-X 至 ASA 5555-X)启动软件模块19-11 配置基本 IPS 模块网络设置19-11 配置 ASA IPS 模块上的安全策略19-12 向安全情景分配虚拟传感器19-13 将流量转移至 ASA IPS 模块19-14 管理 ASA IPS 模块19-16 安装并启动模块上的映像19-16 关闭模块19-18 卸载软件模块映像19-18 重置密码19-19 重新加载或重置模块19-19 监控 ASA IPS 模块19-20 ASA IPS 模块的配置示例19-21 ASA IPS 模块的功能历史记录19-21
购买主题
已有 26 人购买
本主题需向作者支付 2 金币 才能浏览
| |
发表于 2015-4-28 01:22:39
|
显示全部楼层
| ||
发表于 2015-4-28 07:27:59
|
显示全部楼层
| ||
发表于 2015-4-28 08:27:35
|
显示全部楼层
| ||
发表于 2015-4-28 08:39:18
|
显示全部楼层
| ||