《Cisco防火牆》採用理論結合配置案例的方式,對Cisco主流的防火牆產品、功能特性和解決方案進行了全面而詳細的講解,同時還介紹了如何將這些內容套用到網路安全設計和運維中。
基本介紹
- 書名:Cisco防火牆
- 作者:(巴西)摩賴斯
- 譯者:YESLAB工作室
- ISBN: 9787115351722
- 頁數:846
- 定價:128
- 出版社:人民郵電出版社
- 出版時間:2014-7-1
- 開本:16開
簡介,目錄,
簡介
《Cisco防火牆》採用理論結合配置案例的方式,對 Cisco主流的防火牆產品、功能特性和解決方案進行了全面而詳細的講解,同時還介紹了如何將這些內容套用到網路安全設計和運維中。
《Cisco防火牆》共分為17章,主要內容包括防火牆和網路安全概述、Cisco防火牆系列產品概述、防火牆配置基礎知識、對防火牆進行排錯所使用的工具、網路拓撲中的防火牆、虛擬化、如何讓流量在部署或未部署NAT的環境中穿越ASA、經典IOS防火牆概述、IOS區域策略防火牆概述、其他防護機制、套用監控、語音協定檢測、防火牆上的身份認證、防火牆與IP組播、防火牆與IPv6,以及防火牆的互動等。
對設計和實施防火牆的網路工程師、網路架構師來講,《Cisco防火牆》是一本必不可少的參考資料;同時,對於安全管理員、運維人員以及技術支持人士,《Cisco防火牆》也是一本難得的實用工具書;正在備考CA安全、CP安全以及CCIE安全的考生,也可以從中獲益。
對設計和實施防火牆的網路工程師、網路架構師來講,《Cisco防火牆》是一本必不可少的參考資料;同時,對於安全管理員、運維人員以及技術支持人士,《Cisco防火牆》也是一本難得的實用工具書;正在備考CA安全、CP安全以及CCIE安全的考生,也可以從中獲益。
目錄
第1章 防火牆與網路安全1
1.1網路安全必不可少,但要如何著手呢2
1.2防火牆和信任區域5
1.3將防火牆部署到網路拓撲環境中7
1.3.1路由模式與透明模式7
1.3.2網路地址轉換和連線埠地址轉換8
1.4網路防火牆的主要類型10
1.4.1數據包過濾10
1.4.2電路級代理11
1.4.3套用級代理12
1.4.4狀態化防火牆13
1.5狀態化防火牆的演變14
1.5.1套用識別(Application Awareness)14
1.5.2身份識別技術15
1.5.3通過路由表實施保護策略16
1.5.4虛擬化防火牆與網路分段17
1.6狀態化防火牆的類型19
1.6.1防火牆設備19
1.6.2基於路由器的防火牆19
1.6.3基於交換機的防火牆20
1.7使用狀態化防火牆的經典網路拓撲結構20
1.8狀態化防火牆與網路安全設計21
1.8.1狀態化防火牆和VPN技術的結合使用22
1.8.2狀態化防火牆和入侵防禦技術的結合使用23
1.8.3狀態化防火牆和專用安全設備的結合使用24
1.9總結25
第2章Cisco防火牆系列概述27
2.1ASA設備的概述28
2.1.1ASA設備的產品定位28
2.1.2防火牆的性能參數29
2.1.3ASA硬體型號的概述32
2.2防火牆服務模組的概述36
2.3集成於IOS系統的防火牆的概述38
2.3.1集成服務路由器38
2.3.2匯聚服務路由器39
2.4總結41
第3章 防火牆配置基礎42
3.1通過命令行界面訪問設備43
3.2ASA的基本配置43
3.2.1ASA設備的基本配置方法(非5505平台)48
3.2.2ASA 5505平台的基本配置方法51
3.3FWSM的基本配置54
3.4ASA和FWSM的遠程管理59
3.4.1Telnet訪問60
3.4.2SSH連線訪問61
3.4.3使用ASDM實現HTTPS連線62
3.5IOS的基本配置66
3.6IOS設備的遠程管理69
3.6.1Telnet遠程訪問69
3.6.2SSH遠程訪問70
3.6.3使用HTTP和HTTPS發起遠程訪問71
3.7通過NTP實現時鐘同步73
3.8通過PPPoE客戶端來獲取IP位址76
3.9DHCP服務81
3.10總結85
3.11深入閱讀85
第4章 工欲善其事,必先利其器86
4.1訪問控制列表的高級用法87
4.2事件日誌89
4.3調試(debug)命令93
4.4使用Netflow執行流量審計和其他功能95
4.4.1開啟IOS的流量採集97
4.4.2傳統型Netflow97
4.4.3Netflow v9與Flexible Netflow102
4.4.4在ASA設備上啟用NSEL108
4.5通過ASDM執行性能監測111
4.6圖形化界面與CLI之間的相互關聯112
4.7ASA的數據包追蹤(Packet Tracer)技術115
4.8抓包119
4.8.1ASA設備內置的抓包工具119
4.8.2IOS設備內置的抓包工具124
4.9總結126
第5章 網路拓撲中的防火牆128
5.1IP路由與轉發簡介129
5.2靜態路由概述130
5.3路由協定的基本概念133
5.4RIP概述136
5.5EIGRP概述145
5.6OSPF概述162
5.7為路由協定配置認證182
5.8橋接操作185
5.9總結193
第6章 防火牆世界中的虛擬化195
6.1一些初始定義196
6.2從數據平面說起:VLAN與VRF197
6.2.1虛擬LAN197
6.2.2VRF198
6.3VRF感知型服務207
6.4超越數據平面—虛擬防火牆208
6.5虛擬防火牆的管理訪問221
6.6為虛擬防火牆分配資源224
6.7虛擬成分之間的互聯227
6.7.1將VRF與外部路由器互聯227
6.7.2兩個沒有共享接口的虛擬防火牆互聯229
6.7.3共享一個接口的兩個FWSM虛擬防火牆互聯230
6.7.4共享一個接口的兩個ASA虛擬防火牆互聯233
6.8虛擬防火牆那些事236
6.9虛擬化的整體架構237
6.9.1FWSM與ACE模組的虛擬化237
6.9.2分段傳輸239
6.9.3虛擬設備與Nexus 1000V240
6.10總結241
第7章 在沒有部署NAT的環境中穿越ASA242
7.1穿越ASA防火牆進行訪問的類型243
7.2關於安全級別的其他思考248
7.2.1接入Internet的防火牆拓撲249
7.2.2外聯網拓撲249
7.2.3隔離內部部門250
7.3ICMP連線案例250
7.3.1出站ping250
7.3.2入站ping252
7.3.3穿越ASA執行Windows Traceroute253
7.4UDP連線示例256
7.5TCP連線實例260
7.5.1與TCP連線相關的ASA標記261
7.5.2TCP序列號隨機生成263
7.6相同安全級別之間的訪問268
7.7ACL和對象組的處理270
7.8總結280
第8章 在部署了NAT的環境中穿越ASA282
8.1nat-Control模型283
8.2出站NAT分析285
8.2.1動態NAT286
8.2.2動態PAT288
8.2.3Identity NAT291
8.2.4靜態NAT293
8.2.5策略NAT294
8.2.6NAT免除298
8.2.7NAT優先權規則299
8.3入站訪問的地址發布303
8.3.1通過static命令進行發布303
8.3.2通過連線埠重定向進行發布304
8.3.3通過NAT免除技術進行發布305
8.4入站NAT分析306
8.4.1入站方向的動態PAT306
8.4.2入站方向的Identity NAT308
8.4.3入站方向的NAT免除技術309
8.4.4入站方向的靜態NAT309
8.5雙向NAT(Dual NAT)310
8.6禁用TCP序列號隨機生成312
8.7通過NAT規則定義連線限制314
8.8總結316
第9章 經典IOS防火牆概述317
9.1CBAC的用途318
9.2CBAC基礎319
9.3ICMP連線示例321
9.4UDP連線示例325
9.5TCP連線示例328
9.6ACL與對象組的處理332
9.6.1在ACL列表中使用對象組334
9.6.2CBAC與訪問控制列表336
9.7IOS NAT概述337
9.7.1靜態NAT339
9.7.2動態NAT342
9.7.3策略NAT343
9.7.4雙向NAT344
9.7.5NAT與流審計346
9.8CBAC與NAT349
9.9總結353
第10章IOS區域策略防火牆概述354
10.1ZFW的用途355
10.2為基於區域的防火牆策略創建類358
10.3ICMP連線示例363
10.4UDP連線示例366
10.5TCP連線示例370
10.6ZFW與ACL372
10.7ZFW與NAT384
10.8透明模式下的ZFW393
10.9定義連線限制396
10.10路由器流量的監控400
10.11在IOS 15.X中的區域內防火牆策略403
10.12總結407
第11章 其他防護機制408
11.1防欺騙409
11.1.1使用ACL的經典防欺騙技術409
11.1.2在IOS上使用uRPF的防欺騙機制410
11.1.3在ASA上使用uRPF的防欺騙機制413
11.2TCF標記過濾417
11.3TTL值過濾422
11.4處理IP可選項423
11.4.1在IOS系統執行IP可選項無狀態過濾426
11.4.2在IOS系統中丟棄帶有IP可選項的數據包430
11.4.3ASA丟棄帶有IP可選項的數據包431
11.5處理IP分片432
11.5.1在IOS中對IP分片進行無狀態過濾436
11.5.2IOS的虛擬分片重組438
11.5.3ASA的虛擬分片重組439
11.6靈活數據包匹配440
11.7時間訪問控制列表445
11.7.1ASA上的時間訪問控制列表446
11.7.2IOS上的時間訪問控制列表449
11.8ASA上的連線限制450
11.9ASA上的TCP正常化(Normalization)455
11.10ASA上的威脅檢測459
11.11總結463
11.12深入閱讀464
第12章 套用監控465
12.1經典IOS防火牆的監控功能466
12.2區域策略防火牆的套用監控470
12.3區域策略防火牆的DNS監控472
12.4區域策略防火牆的FTP監控473
12.5區域策略防火牆的HTTP監控479
12.6區域策略防火牆的IM監控486
12.7ASA套用監控的概述489
12.8ASA的DNS監控493
12.8.1DNS防護(DNS Guard)495
12.8.2DNS刮除(DNS Doctoring)497
12.8.3DNS監控參數500
12.8.4一些其他的DNS監控功能503
12.9ASA的FTP監控505
12.10ASA的HTTP監控516
12.11ASA的IM及隧道流量監控525
12.12ASA的殭屍網路流量監控528
12.13總結536
12.14深入閱讀536
第13章 語音協定的監控537
13.1介紹語音術語538
13.2Skinny協定540
13.3H.323框架550
13.3.1H.323直接呼叫553
13.3.2H.323網守路由的呼叫557
13.4會話初始化協定(SIP)563
13.5MGCP協定574
13.6Cisco IP電話和數字證書582
13.7使用ASA TLS代理進行高級語音檢測585
13.8使用ASA電話代理進行高級語音檢測592
13.9總結605
13.10深入閱讀605
第14章Cisco防火牆上的身份認證606
14.1選擇認證協定608
14.2通過直通代理(Cut-Through Proxy)實現ASA用戶級控制610
14.3通過認證代理(Auth-Proxy)實現IOS用戶級控制623
14.3.1方案1:包含可下載ACE的IOS認證代理626
14.3.2方案2:包含可下載ACL的IOS代理628
14.3.3方案3:將經典IP監控(CBAC)與認證代理相結合630
14.4基於用戶的區域策略防火牆633
14.4.1在IOS中建立用戶組成員關係的認知功能—方法1634
14.4.2在IOS中建立用戶組成員關係的認知功能—方法2635
14.4.3將認證代理與ZFW進行集成638
14.5IOS上的管理訪問控制641
14.6ASA上的管理訪問控制650
14.7總結654
第15章 防火牆與IP組播655
15.1組播編址的回顧656
15.2組播路由與轉發概述657
15.2.1上游接口與下游接口658
15.2.2RPF接口與RPF檢驗659
15.3PIM組播路由662
15.3.1在Cisco路由器上啟用PIM663
15.3.2PIM-DM基礎664
15.3.3PIM-SM基礎665
15.3.4在PIM-SM拓撲中尋找集合點674
15.4將ASA插入組播路由環境中681
15.4.1在ASA上啟用組播路由682
15.4.2ASA中的末節組播路由686
15.4.3ASA充當PIM-SM路由器691
15.5ASA上的組播轉發規則匯總695
15.6總結698
15.7深入閱讀698
第16章Cisco防火牆與IPv6699
16.1IPv6入門700
16.2IPv6編址概述701
16.3IPv6頭部格式706
16.4IPv6連線基礎708
16.5處理IOS IPv6訪問控制列表727
16.6經典IOS防火牆對IPv6的支持735
16.7區域策略防火牆對IPv6的支持741
16.8ASA IPv6 ACL和對象組的處理750
16.9在ASA上實現IPv6的狀態化監控755
16.10建立連線限制758
16.11IPv6與反欺騙760
16.11.1在ASA上通過uRPF實現反欺騙760
16.11.2在IOS上通過uRPF實現反欺騙761
16.12IPv6與分片762
16.12.1ASA上的虛擬分片重組767
16.12.2IOS上的虛擬分片重組768
16.13總結769
16.14深入閱讀769
第17章 防火牆的互動770
17.1防火牆與入侵防禦系統771
17.2防火牆與服務質量776
17.3防火牆與私有VLAN777
17.4防火牆與伺服器負載分擔779
17.5防火牆與虛擬設備784
17.5.1用外部防火牆保護虛擬設備784
17.5.2使用虛擬防火牆設施保護虛擬設備786
17.6防火牆與IPv6隧道機制789
17.7防火牆與IPSec VPN794
17.7.1使用IOS設備部署經典的IPSec站點到站點VPN795
17.7.2使用虛擬隧道接口(VTI)實現IPSec站點到站點VPN799
17.7.3使用一條GRE隧道實現IPSec站點到站點VPN802
17.7.4IPSec隧道中的NAT804
17.7.5在解密後通過ASA過濾數據包806
17.8防火牆與SSL VPN808
17.8.1無客戶端的訪問809
17.8.2基於客戶端的訪問(AnyConnect)815
17.9防火牆與MPLS網路820
17.10無邊界網路的暢想823
17.11總結825
17.12深入閱讀826
附錄AASA 8.3在NAT和ACL方面的變化827
1.1網路安全必不可少,但要如何著手呢2
1.2防火牆和信任區域5
1.3將防火牆部署到網路拓撲環境中7
1.3.1路由模式與透明模式7
1.3.2網路地址轉換和連線埠地址轉換8
1.4網路防火牆的主要類型10
1.4.1數據包過濾10
1.4.2電路級代理11
1.4.3套用級代理12
1.4.4狀態化防火牆13
1.5狀態化防火牆的演變14
1.5.1套用識別(Application Awareness)14
1.5.2身份識別技術15
1.5.3通過路由表實施保護策略16
1.5.4虛擬化防火牆與網路分段17
1.6狀態化防火牆的類型19
1.6.1防火牆設備19
1.6.2基於路由器的防火牆19
1.6.3基於交換機的防火牆20
1.7使用狀態化防火牆的經典網路拓撲結構20
1.8狀態化防火牆與網路安全設計21
1.8.1狀態化防火牆和VPN技術的結合使用22
1.8.2狀態化防火牆和入侵防禦技術的結合使用23
1.8.3狀態化防火牆和專用安全設備的結合使用24
1.9總結25
第2章Cisco防火牆系列概述27
2.1ASA設備的概述28
2.1.1ASA設備的產品定位28
2.1.2防火牆的性能參數29
2.1.3ASA硬體型號的概述32
2.2防火牆服務模組的概述36
2.3集成於IOS系統的防火牆的概述38
2.3.1集成服務路由器38
2.3.2匯聚服務路由器39
2.4總結41
第3章 防火牆配置基礎42
3.1通過命令行界面訪問設備43
3.2ASA的基本配置43
3.2.1ASA設備的基本配置方法(非5505平台)48
3.2.2ASA 5505平台的基本配置方法51
3.3FWSM的基本配置54
3.4ASA和FWSM的遠程管理59
3.4.1Telnet訪問60
3.4.2SSH連線訪問61
3.4.3使用ASDM實現HTTPS連線62
3.5IOS的基本配置66
3.6IOS設備的遠程管理69
3.6.1Telnet遠程訪問69
3.6.2SSH遠程訪問70
3.6.3使用HTTP和HTTPS發起遠程訪問71
3.7通過NTP實現時鐘同步73
3.8通過PPPoE客戶端來獲取IP位址76
3.9DHCP服務81
3.10總結85
3.11深入閱讀85
第4章 工欲善其事,必先利其器86
4.1訪問控制列表的高級用法87
4.2事件日誌89
4.3調試(debug)命令93
4.4使用Netflow執行流量審計和其他功能95
4.4.1開啟IOS的流量採集97
4.4.2傳統型Netflow97
4.4.3Netflow v9與Flexible Netflow102
4.4.4在ASA設備上啟用NSEL108
4.5通過ASDM執行性能監測111
4.6圖形化界面與CLI之間的相互關聯112
4.7ASA的數據包追蹤(Packet Tracer)技術115
4.8抓包119
4.8.1ASA設備內置的抓包工具119
4.8.2IOS設備內置的抓包工具124
4.9總結126
第5章 網路拓撲中的防火牆128
5.1IP路由與轉發簡介129
5.2靜態路由概述130
5.3路由協定的基本概念133
5.4RIP概述136
5.5EIGRP概述145
5.6OSPF概述162
5.7為路由協定配置認證182
5.8橋接操作185
5.9總結193
第6章 防火牆世界中的虛擬化195
6.1一些初始定義196
6.2從數據平面說起:VLAN與VRF197
6.2.1虛擬LAN197
6.2.2VRF198
6.3VRF感知型服務207
6.4超越數據平面—虛擬防火牆208
6.5虛擬防火牆的管理訪問221
6.6為虛擬防火牆分配資源224
6.7虛擬成分之間的互聯227
6.7.1將VRF與外部路由器互聯227
6.7.2兩個沒有共享接口的虛擬防火牆互聯229
6.7.3共享一個接口的兩個FWSM虛擬防火牆互聯230
6.7.4共享一個接口的兩個ASA虛擬防火牆互聯233
6.8虛擬防火牆那些事236
6.9虛擬化的整體架構237
6.9.1FWSM與ACE模組的虛擬化237
6.9.2分段傳輸239
6.9.3虛擬設備與Nexus 1000V240
6.10總結241
第7章 在沒有部署NAT的環境中穿越ASA242
7.1穿越ASA防火牆進行訪問的類型243
7.2關於安全級別的其他思考248
7.2.1接入Internet的防火牆拓撲249
7.2.2外聯網拓撲249
7.2.3隔離內部部門250
7.3ICMP連線案例250
7.3.1出站ping250
7.3.2入站ping252
7.3.3穿越ASA執行Windows Traceroute253
7.4UDP連線示例256
7.5TCP連線實例260
7.5.1與TCP連線相關的ASA標記261
7.5.2TCP序列號隨機生成263
7.6相同安全級別之間的訪問268
7.7ACL和對象組的處理270
7.8總結280
第8章 在部署了NAT的環境中穿越ASA282
8.1nat-Control模型283
8.2出站NAT分析285
8.2.1動態NAT286
8.2.2動態PAT288
8.2.3Identity NAT291
8.2.4靜態NAT293
8.2.5策略NAT294
8.2.6NAT免除298
8.2.7NAT優先權規則299
8.3入站訪問的地址發布303
8.3.1通過static命令進行發布303
8.3.2通過連線埠重定向進行發布304
8.3.3通過NAT免除技術進行發布305
8.4入站NAT分析306
8.4.1入站方向的動態PAT306
8.4.2入站方向的Identity NAT308
8.4.3入站方向的NAT免除技術309
8.4.4入站方向的靜態NAT309
8.5雙向NAT(Dual NAT)310
8.6禁用TCP序列號隨機生成312
8.7通過NAT規則定義連線限制314
8.8總結316
第9章 經典IOS防火牆概述317
9.1CBAC的用途318
9.2CBAC基礎319
9.3ICMP連線示例321
9.4UDP連線示例325
9.5TCP連線示例328
9.6ACL與對象組的處理332
9.6.1在ACL列表中使用對象組334
9.6.2CBAC與訪問控制列表336
9.7IOS NAT概述337
9.7.1靜態NAT339
9.7.2動態NAT342
9.7.3策略NAT343
9.7.4雙向NAT344
9.7.5NAT與流審計346
9.8CBAC與NAT349
9.9總結353
第10章IOS區域策略防火牆概述354
10.1ZFW的用途355
10.2為基於區域的防火牆策略創建類358
10.3ICMP連線示例363
10.4UDP連線示例366
10.5TCP連線示例370
10.6ZFW與ACL372
10.7ZFW與NAT384
10.8透明模式下的ZFW393
10.9定義連線限制396
10.10路由器流量的監控400
10.11在IOS 15.X中的區域內防火牆策略403
10.12總結407
第11章 其他防護機制408
11.1防欺騙409
11.1.1使用ACL的經典防欺騙技術409
11.1.2在IOS上使用uRPF的防欺騙機制410
11.1.3在ASA上使用uRPF的防欺騙機制413
11.2TCF標記過濾417
11.3TTL值過濾422
11.4處理IP可選項423
11.4.1在IOS系統執行IP可選項無狀態過濾426
11.4.2在IOS系統中丟棄帶有IP可選項的數據包430
11.4.3ASA丟棄帶有IP可選項的數據包431
11.5處理IP分片432
11.5.1在IOS中對IP分片進行無狀態過濾436
11.5.2IOS的虛擬分片重組438
11.5.3ASA的虛擬分片重組439
11.6靈活數據包匹配440
11.7時間訪問控制列表445
11.7.1ASA上的時間訪問控制列表446
11.7.2IOS上的時間訪問控制列表449
11.8ASA上的連線限制450
11.9ASA上的TCP正常化(Normalization)455
11.10ASA上的威脅檢測459
11.11總結463
11.12深入閱讀464
第12章 套用監控465
12.1經典IOS防火牆的監控功能466
12.2區域策略防火牆的套用監控470
12.3區域策略防火牆的DNS監控472
12.4區域策略防火牆的FTP監控473
12.5區域策略防火牆的HTTP監控479
12.6區域策略防火牆的IM監控486
12.7ASA套用監控的概述489
12.8ASA的DNS監控493
12.8.1DNS防護(DNS Guard)495
12.8.2DNS刮除(DNS Doctoring)497
12.8.3DNS監控參數500
12.8.4一些其他的DNS監控功能503
12.9ASA的FTP監控505
12.10ASA的HTTP監控516
12.11ASA的IM及隧道流量監控525
12.12ASA的殭屍網路流量監控528
12.13總結536
12.14深入閱讀536
第13章 語音協定的監控537
13.1介紹語音術語538
13.2Skinny協定540
13.3H.323框架550
13.3.1H.323直接呼叫553
13.3.2H.323網守路由的呼叫557
13.4會話初始化協定(SIP)563
13.5MGCP協定574
13.6Cisco IP電話和數字證書582
13.7使用ASA TLS代理進行高級語音檢測585
13.8使用ASA電話代理進行高級語音檢測592
13.9總結605
13.10深入閱讀605
第14章Cisco防火牆上的身份認證606
14.1選擇認證協定608
14.2通過直通代理(Cut-Through Proxy)實現ASA用戶級控制610
14.3通過認證代理(Auth-Proxy)實現IOS用戶級控制623
14.3.1方案1:包含可下載ACE的IOS認證代理626
14.3.2方案2:包含可下載ACL的IOS代理628
14.3.3方案3:將經典IP監控(CBAC)與認證代理相結合630
14.4基於用戶的區域策略防火牆633
14.4.1在IOS中建立用戶組成員關係的認知功能—方法1634
14.4.2在IOS中建立用戶組成員關係的認知功能—方法2635
14.4.3將認證代理與ZFW進行集成638
14.5IOS上的管理訪問控制641
14.6ASA上的管理訪問控制650
14.7總結654
第15章 防火牆與IP組播655
15.1組播編址的回顧656
15.2組播路由與轉發概述657
15.2.1上游接口與下游接口658
15.2.2RPF接口與RPF檢驗659
15.3PIM組播路由662
15.3.1在Cisco路由器上啟用PIM663
15.3.2PIM-DM基礎664
15.3.3PIM-SM基礎665
15.3.4在PIM-SM拓撲中尋找集合點674
15.4將ASA插入組播路由環境中681
15.4.1在ASA上啟用組播路由682
15.4.2ASA中的末節組播路由686
15.4.3ASA充當PIM-SM路由器691
15.5ASA上的組播轉發規則匯總695
15.6總結698
15.7深入閱讀698
第16章Cisco防火牆與IPv6699
16.1IPv6入門700
16.2IPv6編址概述701
16.3IPv6頭部格式706
16.4IPv6連線基礎708
16.5處理IOS IPv6訪問控制列表727
16.6經典IOS防火牆對IPv6的支持735
16.7區域策略防火牆對IPv6的支持741
16.8ASA IPv6 ACL和對象組的處理750
16.9在ASA上實現IPv6的狀態化監控755
16.10建立連線限制758
16.11IPv6與反欺騙760
16.11.1在ASA上通過uRPF實現反欺騙760
16.11.2在IOS上通過uRPF實現反欺騙761
16.12IPv6與分片762
16.12.1ASA上的虛擬分片重組767
16.12.2IOS上的虛擬分片重組768
16.13總結769
16.14深入閱讀769
第17章 防火牆的互動770
17.1防火牆與入侵防禦系統771
17.2防火牆與服務質量776
17.3防火牆與私有VLAN777
17.4防火牆與伺服器負載分擔779
17.5防火牆與虛擬設備784
17.5.1用外部防火牆保護虛擬設備784
17.5.2使用虛擬防火牆設施保護虛擬設備786
17.6防火牆與IPv6隧道機制789
17.7防火牆與IPSec VPN794
17.7.1使用IOS設備部署經典的IPSec站點到站點VPN795
17.7.2使用虛擬隧道接口(VTI)實現IPSec站點到站點VPN799
17.7.3使用一條GRE隧道實現IPSec站點到站點VPN802
17.7.4IPSec隧道中的NAT804
17.7.5在解密後通過ASA過濾數據包806
17.8防火牆與SSL VPN808
17.8.1無客戶端的訪問809
17.8.2基於客戶端的訪問(AnyConnect)815
17.9防火牆與MPLS網路820
17.10無邊界網路的暢想823
17.11總結825
17.12深入閱讀826
附錄AASA 8.3在NAT和ACL方面的變化827
