本书是Cisco Press出版的网络技术系列安全类丛书之一，该安全类丛书旨在帮助网络从业人员保护关键数据和资源，预防和缓解网络攻击，以及构建端到端的自防御网络。

本书所涉技术可以用来识别、缓解和响应当今高度复杂的网络攻击，包含了如下内容：
理解、安装、配置、授权、维护和排错新的ASA设备；
高效实施AAA服务；
使用包过滤、感知上下文的Cisco ASA下一代防火墙服务和NAT/PAT概念来控制和部署网络接入；
配置IP路由、应用监控和QoS；
使用独特的配置、接口、策略、路由表和管理来创建防火墙上下文；
借助于Cisco Cloud Web Security和Cisco Security Intelligence Operations（SIO），针对众多类型的恶意软件和高级持续性威胁（APT）启用集成保护；
使用故障倒换实施高弹性，以及使用集群技术来实施弹性的可扩展性；
部署、排错、监控、调整和管理IPS特性；
实施站点到站点IPSec VPN和各种类型的远程接入VPN（IPSec、无客户端SSL和客户端SSL）；
配置和排错PKI；
使用IKEv2更为有效地抵抗针对VPN的攻击；
充分利用IPv6对IPS、包监控、透明防火墙和站点到站点IPSec VPN的支持。

现如今，网络攻击人员比以往更为老练、无情和危险。本书在上一版的基础上进行了全面更新，涵盖了新的安全技术（Cisco技术和非Cisco技术），可保护网络环境中端到端的安全。本书讲解了使用Cisco ASA创建完整的安全计划，以及部署、配置、运维和排错安全解决方案的每一个环节。
本书针对新的ASA型号进行了更新，涵盖了ASA 5500-X、ASA 5585-X、ASA服务模块、ASA下一代防火墙服务、EtherChannel、全局ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN客户端等内容。本书介绍了ASA设备授权的重大变化、ASA IPS增强的功能，以及配置IPSec、SSL VPN和NAT/NPT等内容。
你将学到如何使用Cisco ASA自适应识别和缓解服务来系统性地增强各种规模和类型的网络环境的安全。本书提供了全新的配置案例、成熟的设计场景以及真实的调试环节，旨在帮助读者在迅速发展的网络中充分使用Cisco ASA设备。

内容简介

《Cisco ASA设备使用指南（第3版）》对包括Cisco ASA系列防火墙在内的大量Cisco安全产品的用法进行了事无巨细的介绍，从设备不同型号之间性能与功能的差异，到产品许可证提供的扩展性能和特性，从各大安全技术的理论和实现方法，再到各类Cisco安全产品提供特性的原理，方方面面不一而足。
《Cisco ASA设备使用指南（第3版）》总共25章，其内容主要有安全技术介绍、Cisco ASA产品及解决方案概述、许可证、初始设置、系统维护、Cisco ASA服务模块、AAA、控制网络访问的传统方式、通过ASA CX实施下一代防火墙服务、网络地址转换、IPv6支持、IP路由、应用监控、虚拟化、透明防火墙、高可用性、实施Cisco ASA入侵防御系统（IPS）、IPS调试与监测、站点到站点IPSec VPN、IPSec远程访问VPN、PKI的配置与排错、无客户端远程访问SSL VPN、基于客户端的远程访问SSL VPN、组播路由、服务质量等内容。除此之外，本书还介绍了如何对ASA上的配置进行验证等。本书介绍的配置案例相当丰富，配置过程相当具体，它几乎涵盖所有使用了ASA系列产品的环境。
鉴于《Cisco ASA设备使用指南（第3版）》所涉范围之广，技术之新，配置之全，均为当前少见，因此本书适合所有网络安全从业人士阅读，正在学习安全技术的人员可以从中补充大量安全知识完善自己的知识体系；从业多年的售后和售前工程师可以从中掌握各类新特性的运用方法；安全产品的销售人员可以从中了解Cisco安全产品的新发展变化；其他厂商安全产品的开发人员可以从中借鉴Cisco安全产品的特性和相关原理；院校培训机构讲师可以从中获取大量操作和实施案例付诸教学实践。

作者简介

Jazib Frahim，CCIE #5459（RS、安全），Cisco全球安全解决方案团队的首席工程师，负责指导Cisco高级客户设计和实施安全网络。他设计、开发和发起了很多新安全服务理念。他写作的图书有Cisco SSL VPN Solutions和Cisco Network Admission Control, Volume II: NAC Deployment and Troubleshooting。
Omar Santos，CISSP #463598，Cisco产品安全事故响应小组（PSIRT）的技术负责人，负责指导并带领工程师和事故经理来调查和解决各类Cisco产品中的安全漏洞，以保护其客户。在他18年的IT和网络安全从业生涯中，他曾为多家世界500强企业以及美国政府进行过安全网络的设计、实施和支持工作。他还写作了多本图书以及大量的白皮书和文章。
Andrew Ossipov，CCIE #18483，CISSP #344324，在Cisco担任技术营销工程师，擅长的领域包括防火墙、入侵防御以及数据中心安全。他在网络行业有超过16年的从业经验，其工作内容包括解决客户的复杂技术难题，设计新的特性与产品，定义Cisco产品未来的发展方向。

第1章　安全技术介绍 1
1．1　防火墙　1
1．1．1　网络防火墙　2
1．1．2　非军事化区域（DMZ）　5
1．1．3　深度数据包监控　6
1．1．4　可感知环境的下一代防火墙　6
1．1．5　个人防火墙　7
1．2　入侵检测系统（IDS）与入侵防御
系统（IPS）　7
1．2．1　模式匹配及状态化模式匹配
识别　8
1．2．2　协议分析　9
1．2．3　基于启发的分析　9
1．2．4　基于异常的分析　9
1．2．5　全球威胁关联功能　10
1．3　虚拟专用网络　11
1．3．1　IPSec技术概述　12
1．3．2　SSL VPN　17
1．4　Cisco AnyConnect Secure Mobility　18
1．5　云和虚拟化安全　19
总结　20
第2章　Cisco ASA产品及解决方案概述　21
2．1　Cisco ASA各型号概述　21
2．2　Cisco ASA 5505型　22
2．3　Cisco ASA 5510型　26
2．4　Cisco ASA 5512-X型　27
2．5　Cisco ASA 5515-X型　29
2．6　Cisco ASA 5520型　30
2．7　Cisco ASA 5525-X型　31
2．8　Cisco ASA 5540型　31
2．9　Cisco ASA 5545-X型　32
2．10　Cisco ASA 5550型　32
2．11　Cisco ASA 5555-X型　33
2．12　Cisco ASA 5585系列　34
2．13　Cisco Catalyst 6500系列ASA
服务模块　37
2．14　Cisco ASA 1000V云防火墙　37
2．15　Cisco ASA下一代防火墙服务
（前身为Cisco ASA CX）　38
2．16　Cisco ASA AIP-SSM模块　38
2．16．1　Cisco ASA AIP-SSM-10　38
2．16．2　Cisco ASA AIP-SSM-20　39
2．16．3　Cisco ASA AIP-SSM-40　39
2．17　Cisco ASA吉比特以太网模块　39
2．17．1　Cisco ASA SSM -4GE　40
2．17．2　Cisco ASA 5580扩展卡　40
2．17．3　Cisco ASA 5500-X系列6端口
GE接口卡　41
总结　41
第3章　许可证　42
3．1　ASA上的许可证授权特性　42
3．1．1　基本平台功能　43
3．1．2　高级安全特性　45
3．1．3　分层功能特性　46
3．1．4　显示许可证信息　48
3．2　通过激活密钥管理许可证　49
3．2．1　永久激活密钥和临时激活
密钥　49
3．2．2　使用激活密钥　51
3．3　故障倒换和集群的组合许可证　52
3．3．1　许可证汇聚规则　53
3．3．2　汇聚的临时许可证倒计时　54
3．4　共享的Premium VPN许可证　55
3．4．1　共享服务器与参与方　55
3．4．2　配置共享许可证　56
总结　58
第4章　初始设置　59
4．1　访问Cisco ASA设备　59
4．1．1　建立Console连接　59
4．1．2　命令行界面　62
4．2　管理许可证　63
4．3　初始设置　65
4．3．1　通过CLI进行初始设置　65
4．3．2　ASDM的初始化设置　67
4．4　配置设备　73
4．4．1　设置设备名和密码　74
4．4．2　配置接口　75
4．4．3　DHCP服务　82
4．5　设置系统时钟　83
4．5．1　手动调整系统时钟　84
4．5．2　使用网络时间协议自动
调整时钟　85
总结　86
第5章　系统维护　87
5．1　配置管理　87
5．1．1　运行配置　87
5．1．2　启动配置　90
5．1．3　删除设备配置文件　91
5．2　远程系统管理　92
5．2．1　Telnet　92
5．2．2　SSH　94
5．3　系统维护　97
5．3．1　软件安装　97
5．3．2　密码恢复流程　101
5．3．3　禁用密码恢复流程　104
5．4　系统监测　107
5．4．1　系统日志记录　107
5．4．2　NetFlow安全事件记录
（NSEL）　116
5．4．3　简单网络管理协议
（SNMP）　119
5．5　设备监测及排错　123
5．5．1　监测CPU及内存　123
5．5．2　设备排错　125
总结　129
第6章　Cisco ASA服务模块　130
6．1　Cisco ASA服务模块概述　130
6．1．1　硬件架构　131
6．1．2　机框集成　132
6．2　管理主机机框　132
6．2．1　分配VLAN接口　133
6．2．2　监测数据流量　134
6．3　常用的部署方案　136
6．3．1　内部网段防火墙　136
6．3．2　边缘保护　137
6．4　让可靠流量通过策略路由
绕过模块　138
6．4．1　数据流　139
6．4．2　PBR配置示例　140
总结　142
第7章　认证、授权、审计（AAA）　143
7．1　Cisco ASA支持的协议
与服务　143
7．2　定义认证服务器　148
7．3　配置管理会话的认证　152
7．3．1　认证Telnet连接　153
7．3．2　认证SSH连接　154
7．3．3　认证串行Console连接　155
7．3．4　认证Cisco ASDM连接　156
7．4　认证防火墙会话
（直通代理特性）　156
7．5　自定义认证提示　160
7．6　配置授权　160
7．6．1　命令授权　162
7．6．2　配置可下载ACL　162
7．7　配置审计　163
7．7．1　RADIUS审计　164
7．7．2　TACACS+审计　165
7．8　对去往Cisco ASA的管理
连接进行排错　166
7．8．1　对防火墙会话（直通代理）
进行排错　168
7．8．2　ASDM与CLI AAA测试
工具　168
总结　169
第8章　控制网络访问：传统方式　170
8．1　数据包过滤　170
8．1．1　ACL的类型　173
8．1．2　ACL特性的比较　174
8．2　配置流量过滤　174
8．2．1　过滤穿越设备的流量　175
8．2．2　过滤去往设备的流量　178
8．3　高级ACL特性　180
8．3．1　对象分组　180
8．3．2　标准ACL　186
8．3．3　基于时间的ACL　187
8．3．4　可下载的ACL　190
8．3．5　ICMP过滤　190
8．4　流量过滤部署方案　191
8．5　监测网络访问控制　195
总结　198
第9章　通过ASA CX实施下一代
防火墙服务　199
9．1　CX集成概述　199
9．1．1　逻辑架构　200
9．1．2　硬件模块　201
9．1．3　软件模块　201
9．1．4　高可用性　202
9．2　ASA CX架构　203
9．2．1　数据平面　204
9．2．2　事件与报告　205
9．2．3　用户身份　205
9．2．4　TLS解密代理　205
9．2．5　HTTP监控引擎　205
9．2．6　应用监控引擎　206
9．2．7　管理平面　206
9．2．8　控制平面　206
9．3　配置CX需要在ASA进行的
准备工作　206
9．4　使用PRSM管理ASA CX　210
9．4．1　使用PRSM　211
9．4．2　配置用户账户　214
9．4．3　CX许可证　216
9．4．4　组件与软件的更新　217
9．4．5　配置数据库备份　219
9．5　定义CX策略元素　220
9．5．1　网络组　221
9．5．2　身份对象　222
9．5．3　URL对象　223
9．5．4　用户代理对象　224
9．5．5　应用对象　224
9．5．6　安全移动对象　225
9．5．7　接口角色　226
9．5．8　服务对象　226
9．5．9　应用服务对象　227
9．5．10　源对象组　228
9．5．11　目的对象组　228
9．5．12　文件过滤配置文件　229
9．5．13　Web名誉配置文件　230
9．5．14　下一代IPS配置文件　230
9．6　启用用户身份服务　231
9．6．1　配置目录服务器　232
9．6．2　连接到AD代理或CDA　234
9．6．3　调试认证设置　234
9．6．4　定义用户身份发现策略　235
9．7　启用TLS解密　237
9．7．1　配置解密设置　239
9．7．2　定义解密策略　241
9．8　启用NG IPS　242
9．9　定义可感知上下文的访问策略　243
9．10　配置ASA将流量重定向给
CX模块　246
9．11　监测ASA CX　248
9．11．1　面板报告　248
9．11．2　连接与系统事件　249
9．11．3　捕获数据包　250
总结　253
第10章　网络地址转换　254
10．1　地址转换的类型　254
10．1．1　网络地址转换　254
10．1．2　端口地址转换　255
10．2　配置地址转换　257
10．2．1　静态NAT/PAT　257
10．2．2　动态NAT/PAT　258
10．2．3　策略NAT/PAT　259
10．2．4　Identity NAT　259
10．3　地址转换中的安全保护机制　259
10．3．1　随机生成序列号　259
10．3．2　TCP拦截（TCP Intercept）　260
10．4　理解地址转换行为　260
10．4．1　8．3版之前的地址转换行为　261
10．4．2　重新设计地址转换
（8．3及后续版本）　262
10．5　配置地址转换　264
10．5．1　自动NAT的配置　264
10．5．2　手动NAT的配置　268
10．5．3　集成ACL和NAT　270
10．5．4　配置用例　272
10．6　DNS刮除（DNS Doctoring）　279
10．7　监测地址转换　281
总结　283
第11章　IPv6支持　284
11．1　IPv6　284
11．1．1　IPv6头部　284
11．1．2　支持的IPv6地址类型　286
11．2　配置IPv6　286
11．2．1　IP地址分配　287
11．2．2　IPv6 DHCP中继　288
11．2．3　IPv6可选参数　288
11．2．4　设置IPv6 ACL　289
11．2．5　IPv6地址转换　291
总结　292
第12章　IP路由　293
12．1　配置静态路由　293
12．1．1　静态路由监测　296
12．1．2　显示路由表信息　298
12．2　RIP　299
12．2．1　配置RIP　300
12．2．2　RIP认证　302
12．2．3　RIP路由过滤　304
12．2．4　配置RIP重分布　306
12．2．5　RIP排错　306
12．3　OSPF　308
12．3．1　配置OSPF　310
12．3．2　OSPF虚链路　314
12．3．3　配置OSPF认证　316
12．3．4　配置OSPF重分布　319
12．3．5　末节区域与NSSA　320
12．3．6　OSPF类型3 LSA过滤　321
12．3．7　OSPF neighbor命令及跨越
VPN的动态路由　322
12．3．8　OSPFv3　324
12．3．9　OSPF排错　324
12．4　EIGRP　329
12．4．1　配置EIGRP　330
12．4．2　EIGRP排错　339
总结　346
第13章　应用监控　347
13．1　启用应用监控　349
13．2　选择性监控　350
13．3　CTIQBE监控　353
13．4　DCERPC监控　355
13．5　DNS监控　355
13．6　ESMTP监控　359
13．7　FTP　361
13．8　GPRS隧道协议　363
13．8．1　GTPv0　364
13．8．2　GTPv1　365
13．8．3　配置GTP监控　366
13．9　H．323　367
13．9．1　H．323协议族　368
13．9．2　H．323版本兼容性　369
13．9．3　启用H．323监控　370
13．9．4　DCS和GKPCS　372
13．9．5　T．38　372
13．10　Cisco统一通信高级特性　372
13．10．1　电话代理　373
13．10．2　TLS代理　376
13．10．3　移动性代理　377
13．10．4　Presence Federation代理　378
13．11　HTTP　378
13．12　ICMP　384
13．13　ILS　385
13．14　即时消息（IM）　385
13．15　IPSec直通　386
13．16　M Cisco ASA设备使用指南第3版下载 mobi epub pdf txt 电子书格式