《8.Cisco CCIE ASA实验手册》.pdf

一、Firewall Overview - 3 - 二、防火墙对流量的控制 - 3 - 三、Basic Initialization - 4 - 3.1 防火墙功能和许可证 - 4 - 3.2 初始设置（Initial Setup） - 5 - 3.3 配置接口参数 - 6 - 3.4 实验练习： - 9 - 四、IP Routing- 11 - 4.1 静态和缺省路由 - 11 - 4.2 路由图——route-map - 11 - 4.3 动态路由协议——RIP和OSPF - 11 - 4.4 实验练习 - 12 - 五、 ACL - 15 - 5.1 配置ACL - 15 - 5.2 Object Group - 16 - 5.2 实验练习 - 17 - 六、NAT - 18 - 6.1 OVERVIEW - 18 - 6.2 NAT Bypass - 19 - 6.3 策略NAT - 20 - 6.4 DNS和NAT - 22 - 6.5 动态NAT和PAT - 23 - 6.6 实验练习 - 26 - 七、AAA - 28 - 7.1 AAA OVERVIEW - 28 - 7.2 RADIUS - 28 - 7.3 TACACS+ - 29 - 7.4 ASA上AAA 的实现 - 30 - 7.5 配置AAA - 30 - 7.6 配置可下载ACL - 34 - 7.7 使用MAC地址免除流量的认证和授权 - 37 - 7.8 实验练习 - 38 - 八、Filtering Services - 39 - 8.1 过滤ActiveX和Java - 39 - 8.2 URL Flitering - 40 - 8.3 实验练习 - 41 - 九、防火墙模式 - 41 - 9.1 路由模式（Route Mode Overview） - 41 - 9.2 透明模式（Transparent Mode ） - 42 - 9.3 配置透明模式防火墙 - 42 - 9.4 配置ARP审查 - 43 - 9.5 定制MAC表 - 43 - 9.6 实验练习 - 44 - 十、多虚拟防火墙（Multiple Context Mode） - 45 - - 1 - 10.1 Security Context Overview - 45 - 10.2 流量分类 - 45 - 10.3 配置多虚拟防火墙 - 47 - 10.4 实验练习 - 48 - 十一、Failover - 49 - 11.1 Failover Overview - 49 - 11.2 Active/Standby Failover - 51 - 11.3 Active/Active Failover - 51 - 11.4 Failover Health Monitoring - 52 - 11.5 实验练习 - 53 - - 2 - 一、Firewall Overview 防火墙技术分为三种：包过滤防火墙、代理服务器和状态包过滤； 包过滤防火墙，使用 ACL 控制进入或离开网络的流量，ACL 可以根据匹配包的类型或其他参数（如：源 IP 地址、目的 IP 地址、端口号等）来制定； 该类防火墙有以下不足，ACL 制定的维护比较困难；可以使用 IP 欺骗很容易的绕过 ACL ； 代理防火墙，也叫做代理服务器。它在 OS