【跟我一起读】Cisco ASA 设备使用指南（第3版） - 第5页

fortune · ‎12-17-2017

推荐理由：

现如今，网络攻击人员比以往更为老练、无情和危险。我们推荐大家阅读的第三版书籍，本书在上一版的基础上进行了全面更新，涵盖了新的安全技术（Cisco技术和非Cisco技术），可保护网络环境中端到端的安全。而且讲解了使用Cisco ASA创建完整的安全计划，以及部署、配置、运维和排错安全解决方案的每一个环节。

通过阅读，你可以学到如何使用Cisco ASA自适应识别和缓解服务来系统性地增强各种规模和类型的网络环境的安全。书中提供了全新的配置案例、成熟的设计场景以及真实的调试环节，可以帮助读者在迅速发展的网络中充分使用Cisco ASA设备。

内容简介：

本书总共25章，对包括Cisco ASA系列防火墙在内的大量Cisco安全产品的用法进行了事无巨细的介绍，从设备不同型号之间性能与功能的差异，到产品许可证提供的扩展性能和特性，从各大安全技术的理论和实现方法，再到各类Cisco安全产品提供特性的原理，方方面面不一而足。

针对新的ASA型号进行了更新，涵盖了ASA 5500-X、ASA 5585-X、ASA服务模块、ASA下一代防火墙服务、EtherChannel、全局ACL、集群、IPv6、IKEv2、AnyConnect Secure Mobility VPN客户端等内容。还介绍了ASA设备授权的重大变化、ASA IPS增强的功能，以及配置IPSec、SSL VPN和NAT/NPT等内容。最重要有丰富的配置案例，相当具体的配置过程，它几乎涵盖所有使用了ASA系列产品的环境。

读书规划：

第一周：12月18日-12月24日 4-6章 ASA （8.4版本以上）基本配置维护（已结束）

第二周：12月25日-12月31日 10-12章 NAT 及IP路由（已结束）

第三周：1月2日-1月7日 14-16章虚拟化、透明墙、高可用（已结束）

第四周：1月8日-1月14日 VPN 配置优化故障处理（已结束） 获奖公告

我的心得及分享：

（每周伊始，更新心得体会哦，和我一起读书的小伙伴，欢迎在回复中交流）

2017年12月18日
一台新防火墙ASA需要进行基本的调试才能正常使用，那么ASA 的基本配置是否跟路由器差不多呢？可以通过什么方式来访问呢？我们拿到ASA后应该进行哪些基本的操作呢？《Cisco ASA 设备使用指南（第3版）》前五章图文介绍有很详细的入门知识，赶紧开始学习吧！

2017年12月25日

网络中的ASA的位置最常见的是安装在网络边界，内网与外围交界处，在这种网关模式下，NAT 跟路由是必须做的配置，路由有静态路由、动态路由，各有各的优势。NAT 分为普通内网转公网地址的多对一NAT，也有一对一服务器映射的NAT，还有IP+端口的Port NAT, 这些技术适合什么场景，怎么配置，有什么注意事项？书上都说得很详细，来一起学习静态路由、OSPF、NAT 吧！

2018年1月2日
虚拟防火墙是将一个屋里防火墙虚拟为多个独立的防火墙，每个防火墙都可以作为一个独立的设备使用，可以拥有各自的文件，接口，安全策略，非常适合与大型企业或者ISP ，那么防火墙虚拟化具体怎么配置实现呢？书中有详细的说明！

路由模式的ASA 接入网络需要修改网络拓扑，但是某些环境在不

希望更

改网络拓扑结构的情况下，提供安全防护，这个时候透明墙的部署模式就出现了！
高可用是现在企业网络架构必不可少的！防火墙当然必须能够支持高可用，那么ASA 的高可用有哪些实现方式呢？其优势又是什么呢？来跟我一起打开书籍学习！

2018年1月8日
公司通过增加远程办公链接不断地扩展其运作，这些办公室或者远程移动办公人员需要与公司网络进行链接来实现数据传输与资源访问。那么分公司与外出移动办公人员如何才能访问公司内部资源呢？ VPN 是现阶段最推荐的一种方式，在提供安全保障的同时降低了这一部分的费用开销。不同的场景需要不同的VPN 来实现网络互联，VPN 有SSL VPN、IPSec VPN、L2TP 等等，每一种都有其特点，适应不同环境，那么让我们一起学习，好知识学起来！

书籍内容分享：有需要的小伙伴可以来点击查看！
1.思科ASA的型号：部署与应用。
2.密码恢复内容

我的问题：

1.ASA 9.X 版本有哪些初始化配置呢？您有哪些优化建议？
2.想要通过ASDM 管理ASA ，ASA需要进行哪些配置？Windows有什么兼容性配置才能正常登陆使用ASDM？
3.新旧版本ASA 的数据转发有什么变化？
4.一对一映射，内部服务器IP 端口映射如何配置？新旧版本的NAT 有什么区别？
5.静态路由如何实现监控检测？ASA配置SLA 有哪些常用检测方式？
6.为什么需要虚拟化？有哪些优势
7.透明模式部署有哪些注意事项？
8.ASA 支持哪些高可用？适合什么环境？
9. 站点到站点IPSec VPN 建立有哪些步骤？
10.SSL VPN 有哪些优化配置？
11. 请分享一个或者多个你处理过的VPN 故障案例！

积极参与【跟我一起读】活动有丰厚奖品等你呦

点击查看活动奖励及规则

xuxianda7 · ‎01-10-2018

9. 站点到站点IPSec VPN 建立有哪些步骤？
IKEv1协商阶段1的目的是建立IKE SA。IKE SA建立后对等体间的所有ISAKMP消息都将通过加密和验证，这条安全通道可以保证IKEv1第二阶段的协商能够安全进行。IKE SA是一个双向的逻辑连接，两个IPSec对等体间只建立一个IKE SA。
IKEv1协商阶段1支持两种协商模式：主模式（Main Mode）和野蛮模式（Aggressive Mode）。
主模式包含三次双向交换，用到了六条ISAKMP信息，协商过程如图1所示。这三次交换分别是：
1.消息①和②用于策略交换
发起方发送一个或多个IKE安全提议，响应方查找最先匹配的IKE安全提议，并将这个IKE安全提议回应给发起方。匹配的原则为协商双方具有相同的加密算法、认证算法、认证方法和Diffie-Hellman组标识。
2.消息③和④用于密钥信息交换
双方交换Diffie-Hellman公共值和nonce值，用于IKE SA的认证和加密密钥在这个阶段产生。
3.消息⑤和⑥用于身份和认证信息交换（双方使用生成的密钥发送信息），双方进行身份认证和对整个主模式交换内容的认证。
野蛮模式只用到三条信息，前两条消息①和②用于协商IKE安全提议，交换Diffie-Hellman公共值、必需的辅助信息以及身份信息，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方。
与主模式相比，野蛮模式减少了交换信息的数目，提高了协商的速度，但是没有对身份信息进行加密保护。虽然野蛮模式不提供身份保护，但它可以满足某些特定的网络环境需求：

如果发起方的IP地址不固定或者无法预知，而双方都希望采用预共享密钥验证方法来创建IKE SA，则只能采用野蛮模式。
如果发起方已知响应方的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKE SA。

第二阶段协商
IKEv1协商阶段2的目的就是建立用来安全传输数据的IPSec SA，并为数据传输衍生出密钥。这一阶段采用快速模式（Quick Mode）。该模式使用IKEv1协商阶段1中生成的密钥对ISAKMP消息的完整性和身份进行验证，并对ISAKMP消息进行加密，故保证了交换的安全性。
IKEv1协商阶段2通过三条ISAKMP消息完成双方IPSec SA的建立：

协商发起方发送本端的安全参数和身份认证信息。
安全参数包括被保护的数据流和IPSec安全提议等需要协商的参数。身份认证信息包括第一阶段计算出的密钥和第二阶段产生的密钥材料等，可以再次认证对等体。
协商响应方发送确认的安全参数和身份认证信息并生成新的密钥。
IPSec SA数据传输需要的加密、验证密钥由第一阶段产生的密钥、SPI、协议等参数衍生得出，以保证每个IPSec SA都有自己独一无二的密钥。
如果启用PFS 则需要再次应用DH算法计算出一个共享密钥，然后参与上述计算，因此在参数协商时要为PFS协商DH密钥组。
发送方发送确认信息，确认与响应方可以通信，协商结束。

xuxianda7 · ‎01-10-2018

11. 请分享一个或者多个你处理过的VPN 故障案例！
之前处理SSL VPN 的一个故障，anyconnect 无法安装或者安装了无法启动的故障
故障：

解决方法：

xuxianda7 · ‎01-10-2018

在分享一个VPN 故障

anyconnect vpn 配置完成后客户端拨号不上去，报错：

Error: "Login Denied , unauthorized connection mechanism , contact your administrator"

解决方法：

adding the following commands:

tunnel-group VPN_SPO_ARTERIS webvpn-attributes

group-alias VPN_SPO_ARTERIS

niweijian2014 · ‎01-10-2018

站点到站点IPSec VPN 建立有哪些步骤
1 启用isakmp
2 创建isakmp策略
3 设置隧道类型
4 定义 IPSEC策略
5配置加密集
6 流量过滤器
7 nat免除

niweijian2014 · ‎01-10-2018

SSL VPN
自定义web页面，配置标签，端口转发，安全桌面等。。。。。

niweijian2014 · ‎01-10-2018

故障案例
基本都是通过 show crypto ikev2 sa , show crypto ipsec sa ,debug crypto ike???? 这些命令来查看报错，比如两端IP,不一致，密码错误，协商错误等信息

april1 · ‎01-10-2018

站点到站点IPSec VPN 建立有哪些步骤？
1）启用ISAKMP
2）创建ISAKMP策略
3）创建隧道组
4）定义IPSec策略
5）创建加密映射集
6）配置流量过滤器（可选）
7）绕过NAT（可选）

april1 · ‎01-10-2018

ssl vpn的客户端不错，用户人群还是蛮多的

cxpxm119114 · ‎01-14-2018

ASA上部署IPSec VPN确实有很多优势，现在很多企业出口都直接用防火墙而不用路由器了。有一个问题想请问：有资料说IPSec VPN的技术规范支持：用ESP封装方式加密原始IP包时，可以将原IP包内的ToS字段复制到新增的IP头部，从而可以在公网上进行QOS服务质量的控制。具体的不知如何实施？

one-time · ‎01-14-2018

cxpxm119114 发表于 2018-1-14 23:58
ASA上部署IPSec VPN确实有很多优势，现在很多企业出口都直接用防火墙而不用路由器了。有一个问题想请问：有 ...

感谢您的提问，可以私信一下领读者或者通过发布悬赏问答的形式，请大家帮忙解答哦~

xiaozizheng · ‎01-24-2018

好東西,值的學習, 謝謝

bo chen · ‎07-16-2018

又得买书了！{:2_28:}