David Hucaby，CCIE NO.4594，肯塔基大学杰出的网络工程师，致力于以Cisco Catalyst、ASA、FWSM和VPN产品线为基础的网络维护，曾是ASA 8.0操作系统beta版的审查者之一，拥有肯塔基大学的电气工程学士和硕士学位，曾出版过3本思科教材：《CCNP BCMSN Official Exam Certificatior Guide》、《Cisco Field Manual：Router Configuration》和《Cisco Field Manual：Catalyst Switch Configuration》。
　　现与妻子Marci和两个女儿一起居住在肯塔基。
　　技术支持
　　Greg Abelar，从1996年11月至今，一直受雇于Cisco。他是Cisco技术支持安全团队的创始人之一，协助聘用并培训了众多工程师。他在Cisco安全架构和安全技术营销工程团队中担任多个职务。他是Cisco发起的CCIE安全笔试的主要奠基人和项目管理者，曾出版过Cisco教材《Securing Yom Business with Cisco ASA and PIX Firewalls》，与他人合作出版过《Security Threat Mitigation and Response：Understanding Cisco Security MARS》，并为多本Cisco出版的安全类教材担任技术编辑。

　　在网络威胁泛滥的今天，利用防火墙技术保护网络的安全已经成为一项极为重要的任务。本书主要内容包括防火墙概述和配置基础、防火墙管理和用户管理、通过防火墙的控制访问、检测流量、使用故障切换增强防火墙的可用性、防火墙负载均衡、防火墙日志、验证防火墙运行、ASA模块等内容，附录部分还对通用协议和端口号、安全设备日志消息进行了介绍。
　　本书适合网络管理员、防火墙安全工程师(或顾问)、对防火墙相关技术感兴趣的初学者阅读。

　　“许多网络安全和防火墙方面的图书仅仅满足于用大量的篇幅去讨论相关的概念和原理，但是本书却超越了这样的界限。它对网络和安全管理员在配置和管理Cisco的市场领先的防火墙产品时，所要知道的一切知识进行了全面详细的讲解。”
　　——Jason Nolet，工程副总裁，安全技术团队，Cisco

　　当开始考虑安全策略并着手配置防火墙时，必须牢记几件事情。这一小节讲解了保护网络的经验法则，而不是长篇累牍地介绍安全策略和如何防范漏洞和攻击。如果遵循这些建议，就能够配置防火墙使其提供最佳的防护。
　　·定期收集并查看防火墙日志
　　在配置防火墙之后，可以根据正确的安全策略通过简单测试来查看防火墙是否阻止或允许对安全资源进行访问。然而，如果不查看允许或拒绝的流量记录，就没有简易的方法来观察拒绝服务或蠕虫攻击。
　　防火墙会产生大量的日志信息。这些数据通过可以胜任的系统日志服务器来收集。也应该定期查看系统日志数据，从中可以发现新的恶意活动或暴露出忘记关闭的敏感端口的使用。
　　保存防火墙日志最重要的原因是对网络活动的审计跟踪。如果遭受了攻击或者网络资源的恶意使用，可以依据系统日志记录来作为证据。
　　·制定精确的入站ACL
　　必须严格控制流量从公共网络或者不安全的方面进入到受保护网络。例如，如果要对公司Web或者E-mail服务器提供公共访问，一定要确定只允许开放那些特定协议和端口。否则，如果让入站访问过于宽泛或开放，就会增加有些人设法利用意想不到的协议或服务的机会。此外，最佳做法建议任何入站访问必须止于中立区（DMZ，demilitarized zone）防火墙接口上的主机，而不是内部网络中的主机。
　　至于出站流量控制，内部（受保护的）用户通常是已知的和受信任的。可以开放出站访问，但最佳做法建议配置出站访问列表，以防止内部网络的主机参与针对DMZ或外部网络的蠕虫或攻击。
　　也可以使用出站访问列表来实施公司政策，来限制或禁止某些行为或控制非授权服务的访问。防火墙也可以对出站用户进行访问验证，并与外部服务器联动控制网页内容。
　　·在不同方面保护DMZ
　　如果向公共网络提供公司资源，通常最好放在DMZ中。这是一个在防火墙接口上的小型网络，具有中级安全级别。外部或者公共网络的用户可利用指定协议和端口来访问DMZ上的服务器。
　　谨慎配置DMZ接口上的安全策略。确保外部用户只能允许访问必需的指定协议，然后保证DMZ接口的设备仅能通过传输数据的协议访问内部（可靠的）主机。
　　例如，假设有一个公共Web服务器使用HTTP提供信息服务。这个Web服务器需要向内部网络的其他数据中心服务器发送SQL请求来填充其网页。对于DMZ，应该配置防火墙允许外部只能使用TCP端口80（HTTP）来访问Web服务器。此外，应该允许DMZ服务器向内部数据中心只能发送SOL数据包，而不是别的。如果在DMZ服务器和内部区域之间开放访问（任何协议或端口号），DMZ区就会成为一个“跳板”，使外部的恶意用户能够危害DMZ服务器，并使用它来危害内部区域的其他主机。

第1章 防火墙概述
1.1 防火墙运行概述
1.1.1 初始校验
1.1.2 Xlate查询
1.1.3 连接查询
1.1.4 ACL查询
1.1.5 用户验证查询
1.1.6 检测引擎
1.2 ICMP、UDP和TCP的检测引擎
1.2.1 ICMP检测
1.2.2 UDP检测
1.2.3 TCP检测
1.2.4 TCP标准化
1.2.5 其他防火墙操作
1.3 硬件和性能
1.4 基本安全策略准则

第2章 配置基础
2.1 用户界面
2.1.1 用户界面模式
2.1.2 用户界面特性
2.2 防火墙特性和许可证
2.3 初始防火墙配置

第3章 建立连接
3.1 配置接口
3.1.1 检验防火墙接口
3.1.2 配置接口冗余
3.1.3 基本接口配置
3.1.4 在接口上配置IPv
3.1.5 配置ARP高速缓存
3.1.6 配置接口的MTU和分段
3.1.7 配置接口优先队列
3.1.8 防火墙拓扑结构考虑事项
3.2 配置路由选择
3.2.1 使用路由选择信息防止IP地址欺骗
3.2.2 配置静态路由
3.2.3 支持基于可达性的静态路由
3.2.4 配置RIP以交换路由选择信息
3.2.5 配置EIGRP以交换路由选择信息
3.2.6 配置OSPF以交换路由选择信息
3.3 DHCP服务器功能
3.3.1 将防火墙作为一个DHCP服务器
3.3.2 从DHCP服务器更新动态DNS
3.3.3 向DHCP服务器转发DHCP请求
3.4 组播支持
3.4.1 组播概述
3.4.2 组播寻址
3.4.3 转发组播流量
3.4.4 IGMP：寻找组播组中的接收者
3.4.5 PIM：建立一个组播分发树
3.4.6 配置PIM
3.4.7 使用组播边界划分域
3.4.8 过滤PIM邻居
3.4.9 过滤双向PIM邻居
3.4.10配置Stub组播路由选择(SMR，StubMulticastRouting)
3.4.11配置IGMP操作
3.4.12Stub组播路由选择实例
3.4.13PIM组播路由选择实例
3.4.14验证IGMP组播操作
3.4.15验证PIM组播路由选择操作

第4章 防火墙管理
4.1 使用SecurityContext构建虚拟防火墙
4.1.1 SecurityContext(虚拟防火墙)结构
4.1.2 共享context接口
4.1.3 共享context接口的问题
4.1.4 用唯一MAC地址解决共享context接口问题
4.1.5 配置文件和securitycontext
4.1.6 Multiple-context配置规则
4.1.7 启动Multiple-context模式
4.1.8 multiplesecuritycontext之间的切换
4.1.9 配置一个新的context
4.1.10给context分配防火墙资源
4.1.11验证multiple-context操作
4.2 管理Flash文件系统
4.2.1 引导ASA或FWSMFlash文件系统
4.2.2 管理ASA或FWSMFlash文件系统
4.2.3 使用PIX6.3 Flash文件系统
4.2.4 识别操作系统镜像
4.2.5 从监控提示符中更新镜像
4.2.6 通过管理会话升级镜像
4.2.7 自动升级镜像
4.3 管理配置文件
4.3.1 管理启动配置
4.3.2 保存运行配置
4.3.3 输入配置
4.4 用自动更新服务器进行自动更新
4.4.1 将防火墙配置为自动更新客户端
4.4.2 验证自动更新客户端操作
4.4.3 将防火墙配置为自动更新服务器
4.5 管理管理会话
4.5.1 控制台连接
4.5.2 Telnet会话
4.5.3 SSH会话
4.5.4 ASDM/PDM会话
4.5.5 用户会话标志(Banner)
4.5.6 监视管理会话
4.6 防火墙重载和崩溃
4.6.1 重载防火墙
4.6.2 获得崩溃信息
4.7 用SNMP监测防火墙
4.7.1 防火墙SNMP支持概述
4.7.2 SNMP配置

第5章 防火墙用户管理
5.1 一般用户管理
5.1.1 一般用户的验证与授权
5.1.2 通用用户统计
5.2 用本地数据库管理用户
5.2.1 本地用户名的验证
5.2.2 授权用户访问防火墙命令
5.2.3 本地用户行为统计
5.3 定义用于用户管理的AAA服务器
5.4 配置AAA以管理管理级用户
5.4.1 启用AAA用户验证
5.4.2 启动AAA命令授权
5.4.3 启用AAA命令统计
5.5 为终端用户直通代理配置AAA
5.5.1 验证通过用户
5.5.2 使用TACACS+服务器授权用户行为
5.5.3 使用RADIUS服务器授权用户行为
5.5.4 保存用户行为的统计记录
5.5.5 AAA直通式代理配置实例
5.6 防火墙密码恢复
5.6.1 恢复ASA密码
5.6.2 恢复PIX密码
5.6.3 恢复FWSM密码

第6章 通过防火墙的控制访问
6.1 路由和透明防火墙模式
6.2 地址转换
6.2.1 定义访问方向
6.2.2 地址转换类型
6.2.3 通过地址转换处理连接
6.2.4 静态NAT
6.2.5 策略NAT
6.2.6 一致性NAT
6.2.7 NAT豁免
6.2.8 动态地址转换(NAT或PAT)
6.2.9 控制流量
6.3 使用访问列表控制访问
6.3.1 编译访问列表
6.3.2 配置访问列表
6.3.3 访问列表实例
6.3.4 定义对象组
6.3.5 监控访问列表
6.4 规避流量

第7章 检测流量
7.1 过滤内容
7.1.1 配置内容过滤器
7.1.2 内容-过滤举例
7.1.3 利用Web缓存实现更好的HTTP服务性能
7.2 在模块化策略结构中定义安全策略
7.2.1 对3和4层流量进行分类
7.2.2 分类管理流量
7.2.3 定义一个第3/4层策略
7.2.4 默认策略定义
7.3 应用检测

第8章 使用故障切换(failover)增强防火墙的可用性
8.1 防火墙故障切换(failover)概述
8.1.1 故障切换工作原理
8.1.2 防火墙故障切换的作用
8.1.3 检测防火墙故障
8.1.4 故障切换通信
8.1.5 A/A模式故障切换的要求
8.2 配置防火墙故障切换
8.3 防火墙故障切换配置示例
8.3.1 PIX防火墙A/S模式的故障切换实例
8.3.2 FWSM中A/S模式故障切换的配置示例
8.3.3 A/A模式的故障切换实例
8.4 防火墙故障切换管理
8.4.1 显示故障切换信息
8.4.2 调试故障切换行为
8.4.3 手工干预故障切换
8.4.4 在故障切换对等单元上执行命令
8.5 在故障切换模式下对防火墙进行升级
8.5.1 手工升级故障切换对
8.5.2 自动升级故障切换对

第9章 防火墙负载均衡
9.1 防火墙负载均衡概述
9.2 基于软件的防火墙负载均衡
9.2.1 IOSFWLB配置要点
9.2.2 IOSFWLB配置
9.2.3 IOS防火墙负载均衡举例
9.2.4 显示关于IOSFWLB的信息
9.3 基于硬件的防火墙负载均衡
9.3.1 基于硬件的FWLB配置要点
9.3.2 配置CSMFWLB
9.3.3 CSM防火墙负载均衡举例
9.3.4 显示CSMFWLB的相关信息
9.4 防火墙负载均衡设备
9.4.1 CSSFWLB配置
9.4.2 CSS用于防火墙负载均衡示例
9.4.3 显示CSSFWLB相关信息

第10章 防火墙日志
10.1 防火墙时钟管理
10.1.1 手工设置时钟
10.1.2 用NTP设置时钟
10.2 产生日志消息
10.2.1 Syslog服务器的建议
10.2.2 日志配置
10.2.3 验证消息日志活动
10.2.4 手工测试日志消息的产生
10.3 微调日志消息的生成
10.3.1 修剪消息
10.3.2 改变消息严重级别
10.3.3 访问列表活动日志
10.4 分析防火墙日志

第11章 验证防火墙运行
11.1 检查防火墙的生命特征
11.1.1 使用系统日志信息
11.1.2 检测系统资源
11.1.3 检查状态检测资源
11.1.4 检查防火墙吞吐量
11.1.5 检查检测引擎和服务策略行为
11.1.6 检查故障切换操作
11.1.7 检查防火墙接口
11.2 查看通过防火墙的数据
11.2.1 使用捕获
11.2.2 使用调试数据包
11.3 验证防火墙连通性
11.3.1 步骤1：用ping数据包测试
11.3.2 步骤2：检查ARP缓存
11.3.3 步骤3：检查路由选择表
11.3.4 步骤4：使用traceroute验证转发路径
11.3.5 步骤5：检查访问列表
11.3.6 步骤6：验证地址转换和连接表
11.3.7 步骤7：查找活动的阻塞
11.3.8 步骤8：检查用户验证
11.3.9 步骤9：了解所发生的变化

第12章 ASA模块
12.1 初始配置ASASSM
12.1.1 为SSM管理流量预备ASA
12.1.2 连接和配置SSM管理接口
12.2 配置CSCSSM
12.2.1 配置ASA将流量转移到CSCSSM
12.2.2 配置初始CSCSSM设置
12.2.3 修复初始CSC配置
12.2.4 连接到CSC管理接口
12.2.5 配置自动更新
12.2.6 配置CSC检测策略
12.2.7 配置Web(HTTP)检测策略
12.2.8 配置文件传输(FTP)检测策略
12.2.9 配置邮件(SMTP和POP3)检测策略
12.3 配置AIPSSM
12.3.1 初始配置AIP
12.3.2 管理AIP
12.3.3 更新AIP许可证
12.3.4 手工更新AIP代码或特征文件
12.3.5 自动更新AIP镜像和特征文件
12.3.6 IPS策略
12.3.7 AIP接口
12.3.8 虚拟传感器

附录A 通用协议和端口号
A-1：IP协议号
A-2：ICMP消息类型
A-3：IP端口号
附录B 安全设备日志消息
B-1：警报——系统日志严重等级1消息
B-2：重要——系统日志严重等级2消息
B-3：错误——系统日志严重等级3消息
B-4：警告——系统日志严重等级4消息
B-5：通知——系统日志严重等级5消息
B-6：信息——系统日志严重等级6消息
B-7：调试——系统日志严重等级7消息