Cisco Firepower威脅防御（FTD）設備的高級排錯與配置簡(jiǎn)介，目錄書(shū)摘

編輯推薦:本書(shū)作者來(lái)自于為客戶(hù)提供技術(shù)支持的一線(xiàn)團隊。
Firepower是CCIE安全認證考試（5.0版本）新增的內容，本書(shū)對備考相關(guān)認證的讀者來(lái)說(shuō)也很有參考意義。

理解Cisco Firepower NGFW、NGIPS和AMP技術(shù)的運行架構；
在A(yíng)SA平臺和運行FXOS的Firepower設備上部署FTD；
配置Firepower管理中心（FMC）并對其進(jìn)行故障排除；
在VMware虛擬設備上規劃、部署FMC和FTD；
在FMC和FTD上設計、實(shí)施Firepower管理網(wǎng)絡(luò )；
理解并應用Firepower許可證，通過(guò)FMC注冊FTD；
在路由、透明、在線(xiàn)、在線(xiàn)分流和被動(dòng)模式下部署FTD；
使用檢測、阻塞、信任和繞過(guò)操作來(lái)管理流量；
實(shí)施網(wǎng)絡(luò )流量限速并分析服務(wù)質(zhì)量 （QoS）；
通過(guò)安全智能特性拉黑可疑IP地址；
阻止對惡意域名的DNS查詢(xún)；
根據類(lèi)別、風(fēng)險和信譽(yù)過(guò)濾URL；
發(fā)現網(wǎng)絡(luò )并實(shí)施應用可視性和可控性 （AVC）；
使用高級惡意軟件防護（AMP）控制文件傳輸和阻止惡意文件；
使用基于Snort的入侵規則阻止網(wǎng)絡(luò )攻擊；
使用網(wǎng)絡(luò )地址轉換（NAT）偽裝內部主機的原始IP地址；
捕獲流量并獲取故障排除文件以進(jìn)行分析；
使用命令行工具識別狀態(tài)、跟蹤數據 包流、分析日志和調試消息。

Firepower威脅防御（FTD）系統是思科的旗艦機產(chǎn)品，可運行在 Cisco ASA平臺、Cisco Firepower安全設備、Firepower可擴展操作系統（FXOS）以及 VMware虛擬設備上。本書(shū)是在上述環(huán)境中配置和排錯FTD系統的實(shí)用指南。
本書(shū)以作者在培訓和支持領(lǐng)域積累的經(jīng)驗為基礎，詳細介紹了Cisco Firepower部署、調優(yōu)和排錯相關(guān)的知識，包括如何部署Cisco Firepower下一代安全技術(shù)以防止網(wǎng)絡(luò )遭受潛在的網(wǎng)絡(luò )威脅，以及如何使用Firepower強大的命令行工具解決各種技術(shù)問(wèn)題。
本書(shū)涵蓋了關(guān)鍵詞的定義、操作流程圖、架構圖、配置步驟、驗證工具、故障排除技術(shù)，還對全球TAC客戶(hù)提出的問(wèn)題進(jìn)行了解答。
Nazmul Rajib，Cisco全球技術(shù)服務(wù)組織工程師，專(zhuān)注于下一代安全技術(shù)，主要負責推動(dòng)內部網(wǎng)絡(luò )安全培訓，并對當前支持Cisco全球安全解決方案的Cisco工程師提供培訓。他曾為眾多財富500強企業(yè)、托管安全服務(wù)提供商（MSSP）和美國政府機構提供技術(shù)支持，并撰寫(xiě)了大量技術(shù)出版物。

本書(shū)是Cisco Press出版的網(wǎng)絡(luò )技術(shù)系列安全類(lèi)叢書(shū)之一，該系列旨在幫助網(wǎng)絡(luò )從業(yè)人員理解全新的網(wǎng)絡(luò )技術(shù)概念，從而構建高效的網(wǎng)絡(luò )，為建立成功的職業(yè)生涯做好準備。

內容簡(jiǎn)介:《Cisco Firepower威脅防御（FTD）設備的高級排錯與配置》是一本全面介紹Firepower的實(shí)用指南，旨在為讀者解決實(shí)際問(wèn)題提供詳細的方法和指導，進(jìn)而配置自己的Firepower系統。
《Cisco Firepower威脅防御（FTD）設備的高級排錯與配置》共分為22章，詳細介紹了Firepower的安裝、部署和排錯方式，內容涵蓋了FTD的安裝和部署、FMC硬件、Firepower系統虛擬、Firepower的管理網(wǎng)絡(luò )、流控策略、日志和消息調試、用戶(hù)訪(fǎng)問(wèn)控制等，附錄中還為讀者提供了使用GUI和CLI界面創(chuàng )建收集排錯的方法。通過(guò)閱讀《Cisco Firepower威脅防御（FTD）設備的高級排錯與配置》，讀者能夠迅速掌握Firepower的實(shí)踐方法。
《Cisco Firepower威脅防御（FTD）設備的高級排錯與配置》適合網(wǎng)絡(luò )工程師、負責服務(wù)提供商網(wǎng)絡(luò )的運維人員、企業(yè)或政府部門(mén)中的技術(shù)與安全人員閱讀，也可供備考CCIE安全認證考試的考生參考。

作者簡(jiǎn)介:Nazmul Rajib是思科全球技術(shù)服務(wù)組織的高級工程師和領(lǐng)dao者，專(zhuān)注于下一代安全技術(shù)。他領(lǐng)導網(wǎng)絡(luò )安全培訓計劃，開(kāi)發(fā)內部培訓計劃，并培訓支持全球思科安全解決方案的當代思科工程師。他還審查設計規范，測試安全軟件，并提供商業(yè)關(guān)鍵網(wǎng)絡(luò )問(wèn)題的解決方案。Nazmul在Cisco.com和思科支持社區撰寫(xiě)了大量技術(shù)出版物。

Nazmul是Sourcefire公司的工程師，該公司開(kāi)發(fā)了Snort--世界上*****的開(kāi)源入侵防御系統。他創(chuàng )建并管理了Sourcefire的全球知識庫，并為合作伙伴支持設計了Sourcefire安全認證。Nazmul培訓了來(lái)自美國許多托管安全服務(wù)提供商（MSSP）的安全工程師。他支持眾多財富500強公司和美國政府機構的網(wǎng)絡(luò )。

Nazmul擁有網(wǎng)絡(luò )互聯(lián)科學(xué)碩士學(xué)位。他還擁有網(wǎng)絡(luò )安全，信息技術(shù)和技術(shù)交流領(lǐng)域的許多認證。他是Sourcefire認證專(zhuān)家（SFCE）和Sourcefire認證安全工程師（SFCSE）。

目錄:第 1章　Cisco Firepower技術(shù)簡(jiǎn)介 1
1．1　Sourcefire的歷史　1
1．1．1　Firepower的發(fā)展　2
1．1．2　FirePOWER與Firepower　3
1．2　Firepower威脅防御（FTD）　5
1．2．1　FirePOWER服務(wù)與Firepower威脅防御（FTD）　5
1．2．2　Firepower系統的軟件組件　6
1．2．3　Firepower系統硬件平臺　7
1．2．4　Firepower附件　8
1．3　總結　9
第　2章 ASA 5500 -X系列硬件上的FTD　10
2．1　ASA重鏡像要點(diǎn)　10
2．2　在A(yíng)SA硬件上安裝FTD的最佳做法　11
2．3　安裝和配置FTD　12
2．3．1　滿(mǎn)足前提條件　12
2．3．2　更新固件　13
2．3．3　安裝啟動(dòng)鏡像　20
2．3．4　安裝系統軟件　25
2．4　驗證和排錯工具　35
2．4．1　訪(fǎng)問(wèn)FTD CLI　35
2．4．2　確認安裝的軟件版本　37
2．4．3　確認ASA硬件上的空閑硬盤(pán)空間　37
2．4．4　從存儲設備中刪除一個(gè)文件　38
2．4．5　確認存儲設備或SSD的可用性　38
2．4．6　確認ROMMON軟件或固件的版本　39
2．5　總結　41
2．6　測試題　41
第3章　Firepower可擴展操作系統 （FXOS）上的FTD　43
3．1　Firepower 9300和4100系列要點(diǎn)　43
3．1．1　架構　44
3．1．2　軟件鏡像　45
3．1．3　Web用戶(hù)界面　47
3．2　在Firepower硬件上安裝FTD的最佳做法　48
3．3　安裝和配置FTD　49
3．3．1　滿(mǎn)足前提條件　49
3．3．2　安裝FTD　55
3．4　驗證和排錯工具　60
3．4．1　訪(fǎng)問(wèn)FTD CLI　60
3．4．2　驗證FXOS軟件　62
3．4．3　驗證安全設備的狀態(tài)　63
3．4．4　驗證安全模塊、適配器和交換矩陣　65
3．4．5　驗證硬件機框　67
3．4．6　驗證電源單元（PSU）模塊　69
3．4．7　驗證風(fēng)扇模塊　71
3．5　總結　73
3．6　測試題　73
第4章　Firepower管理中心（FMC）硬件　75
4．1　FMC組件要點(diǎn)　75
4．1．1　內建管理器　76
4．1．2　外置管理器　76
4．1．3　Cisco集成管理控制器（CIMC）　78
4．1．4　System_Restore鏡像的內部USB存儲　80
4．1．5　用戶(hù)界面　80
4．2　FMC重鏡像的最佳做法　81
4．2．1　安裝前的最佳做法　81
4．2．2　安裝后的最佳做法　83
4．3　安裝和配置FMC　83
4．3．1　滿(mǎn)足前提條件　84
4．3．2　配置步驟　85
4．4　驗證和排錯工具　94
4．4．1　在機架上識別FMC　94
4．4．2　確認FMC的硬件和軟件詳細信息　95
4．4．3　確認RAID電池狀態(tài)　96
4．4．4　確認電池單元（PSU）的狀態(tài)　96
4．4．5　驗證風(fēng)扇　99
4．5　總結　101
4．6　測試題　102
第5章　VMware上的Firepower系統虛擬化　103
5．1　FMC和FTD虛擬化要點(diǎn)　103
5．1．1　支持的虛擬環(huán)境　103
5．1．2　ESXi與VI　104
5．1．3　源碼包中的VMware安裝包　104
5．1．4　硬盤(pán)置備選項　105
5．2　Firepower虛擬化設備部署的最佳做法　105
5．2．1　部署前的最佳做法　105
5．2．2　部署后的最佳做法　107
5．3　安裝和配置Firepower虛擬化設備　108
5．3．1　滿(mǎn)足前提條件　108
5．3．2　創(chuàng )建虛擬化網(wǎng)絡(luò )　110
5．3．3　部署OVF模板　117
5．3．4　初始化應用　122
5．4　驗證和排錯工具　124
5．4．1　確認資源分配的狀態(tài)　124
5．4．2　確認網(wǎng)絡(luò )適配器的狀態(tài)　126
5．4．3　更新網(wǎng)絡(luò )適配器　127
5．5　總結　130
5．6　測試題　130
第6章　Firepower的管理網(wǎng)絡(luò )　131
6．1　Firepower系統管理網(wǎng)絡(luò )要點(diǎn)　131
6．1．1　FTD管理接口　131
6．1．2　設計Firepower管理網(wǎng)絡(luò )　133
6．2　管理接口配置的最佳做法　136
6．3　在FMC硬件上配置管理網(wǎng)絡(luò )　136
6．3．1　配置選項　136
6．3．2　驗證和排錯工具　139
6．4　在A(yíng)SA硬件上配置管理網(wǎng)絡(luò )　141
6．4．1　配置　141
6．4．2　驗證和排錯工具　141
6．5　在Firepower安全設備上配置管理網(wǎng)絡(luò )　143
6．5．1　配置FXOS管理接口　144
6．5．2　驗證FXOS管理接口的配置　144
6．5．3　配置FTD管理接口　145
6．5．4　驗證FTD管理接口的配置　147
6．6　總結　150
6．7　測試題　150
第7章　Firepower的許可和注冊　151
7．1　許可證要點(diǎn)　151
7．1．1　智能許可證架構　151
7．1．2　Firepower許可證　153
7．2　許可證和注冊的最佳做法　154
7．3　為Firepower系統安裝許可證　154
7．3．1　許可證配置　154
7．3．2　驗證智能許可證的問(wèn)題　158
7．4　注冊Firepower系統　160
7．4．1　注冊配置　160
7．4．2　驗證注冊和連接　163
7．4．3　分析加密的SF隧道　168
7．5　總結　176
7．6　測試題　176
第8章　路由模式的Firepower部署　177
8．1　路由模式要點(diǎn)　177
8．2　路由模式配置的最佳做法　178
8．3　配置路由模式　178
8．3．1　滿(mǎn)足前提條件　179
8．3．2　配置防火墻模式　180
8．3．3　配置路由接口　180
8．3．4　FTD作為DHCP服務(wù)器　183
8．3．5　FTD作為DHCP客戶(hù)端　185
8．4　驗證和排錯工具　186
8．4．1　驗證接口的配置　186
8．4．2　驗證DHCP的設置　189
8．5　總結　191
8．6　測試題　191
第9章　透明模式的Firepower部署　192
9．1　透明模式要點(diǎn)　192
9．2　透明模式的最佳做法　193
9．3　配置透明模式　194
9．3．1　滿(mǎn)足前提條件　194
9．3．2　更改防火墻模式　195
9．3．3　在二層網(wǎng)絡(luò )中部署透明模式　195
9．3．4　在三層網(wǎng)絡(luò )之間部署FTD設備　205
9．3．5　為SSH創(chuàng )建訪(fǎng)問(wèn)規則　208
9．4　總結　211
9．5　測試題　211
第　10章 捕獲流量用于高級分析　213
10．1　流量捕獲要點(diǎn)　213
10．2　捕獲流量的最佳做法　214
10．3　配置Firepower系統進(jìn)行流量分析　214
10．3．1　從Firepower引擎捕獲流量　214
10．3．2　從防火墻引擎捕獲流量　223
10．3．3　從FMC捕獲流量　231
10．4　驗證和排錯工具　234
10．4．1　添加阻塞ICMP流量的訪(fǎng)問(wèn)規則　234
10．4．2　使用阻塞規則分析數據流　236
10．4．3　接口對數據包的處理　238
10．5　總結　239
10．6　測試題　240
第　11章 使用在線(xiàn)接口模式阻塞流量　241
11．1　在線(xiàn)模式要點(diǎn)　241
11．1．1　在線(xiàn)模式與被動(dòng)模式　242
11．1．2　在線(xiàn)模式與透明模式　243
11．1．3　追蹤丟包　243
11．2　配置在線(xiàn)模式的最佳做法　245
11．3　配置在線(xiàn)模式　245
11．3．1　滿(mǎn)足前提條件　246
11．3．2　創(chuàng )建在線(xiàn)集　246
11．3．3　啟用容錯特性　259
11．3．4　阻塞指定端口　262
11．4　總結　268
11．5　測試題　269
第　12章 檢測但不阻塞流量　270
12．1　流量檢測要點(diǎn)　270
12．1．1　被動(dòng)監控技術(shù)　270
12．1．2　在線(xiàn)、在線(xiàn)分流與被動(dòng)　272
12．2　純檢測部署的最佳做法　274
12．3　滿(mǎn)足前提條件　274
12．4　在線(xiàn)分流模式　274
12．4．1　配置在線(xiàn)分流模式　274
12．4．2　驗證在線(xiàn)分流模式的配置　276
12．5　被動(dòng)接口模式　278
12．5．1　配置被動(dòng)接口模式　278
12．5．2　驗證被動(dòng)接口模式的配置　279
12．6　分析流量監控操作　281
12．6．1　分析使用阻塞行為的連接事件　282
12．6．2　通過(guò)在線(xiàn)結果分析入侵事件　285
12．7　總結　289
12．8　測試題　289

第　13章 處理封裝流量　290
13．1　封裝和預過(guò)濾策略要點(diǎn)　290
13．2　添加預過(guò)濾規則的最佳做法　292
13．3　滿(mǎn)足前提條件　292
13．4　情景1：分析封裝的流量　295
13．4．1　配置策略來(lái)分析封裝流量　295
13．4．2　驗證配置和連接　297
13．4．3　分析數據包流　300
13．5　情景2：阻塞封裝的流量　305
13．5．1　配置策略來(lái)阻塞封裝流量　305
13．5．2　驗證配置和連接　306
13．5．3　分析數據包流　309
13．6　情景3：繞過(guò)檢測　310
13．6．1　配置策略來(lái)繞過(guò)檢測　310
13．6．2　驗證配置和連接　314
13．6．3　分析數據包流　316
13．7　總結　318
13．8　測試題　318
第　14章 繞過(guò)檢測和信任流量　320
14．1　繞過(guò)檢測和信任流量要點(diǎn)　320
14．1．1　快速路徑規則　320
14．1．2　信任規則　321
14．2　繞過(guò)檢測的最佳做法　321
14．3　滿(mǎn)足前提條件　321
14．4　通過(guò)預過(guò)濾策略實(shí)施快速路徑　323
14．4．1　配置流量旁路　323
14．4．2　驗證預過(guò)濾規則的配置　329
14．4．3　分析快速路徑行為　331
14．5　通過(guò)訪(fǎng)問(wèn)策略建立信任　335
14．5．1　使用訪(fǎng)問(wèn)策略配置信任　335
14．5．2　驗證信任規則的配置　336
14．5．3　為高級分析啟用相應工具　337
14．5．4　分析信任行為　339
14．5．5　使用允許行為進(jìn)行對比　346
14．6　總結　347
14．7　測試題　348
第　15章 流量限速　349
15．1　限速要點(diǎn)　349
15．2　QoS規則的最佳做法　351
15．3　滿(mǎn)足前提條件　351
15．4　配置速率限制　352
15．5　驗證文件傳輸的速率限制　356
15．6　分析QoS事件和統計數據　359
15．7　總結　363
15．8　測試題　363
第　16章 使用安全智能特性拉黑可疑地址　364
16．1　安全智能要點(diǎn)　364
16．2　拉黑的最佳做法　367
16．3　滿(mǎn)足前提條件　367
16．4　配置黑名單　369
16．4．1　使用Cisco智能Feed實(shí)現自動(dòng)拉黑　369
16．4．2　使用自定義智能列表手動(dòng)拉黑　372
16．4．3　使用連接事件立即拉黑　374
16．4．4　監控黑名單　376
16．4．5　繞過(guò)黑名單　377
16．5　驗證和排錯工具　380
16．5．1　驗證最新文件的下載　381
16．5．2　驗證內存中加載的地址　383
16．5．3　在列表中找到指定地址　385
16．5．4　驗證基于URL的安全智能規則　386
16．6　總結　388
16．7　測試題　388
第　17章 阻塞域名系統（DNS）查詢(xún)　390
17．1　Firepower DNS策略的要點(diǎn)　390
17．1．1　域名系統（DNS）　390
17．1．2　使用Firepower系統阻塞DNS查詢(xún)　391
17．1．3　DNS規則行為　392
17．1．4　智能的信息源　395
17．2　阻塞DNS查詢(xún)的最佳做法　397
17．3　滿(mǎn)足前提條件　397
17．4　配置DNS查詢(xún)阻塞　398
17．4．1　添加新DNS策略　398
17．4．2　引用DNS策略　400
17．5　驗證和排錯工具　400
17．5．1　驗證DNS策略的配置　400
17．5．2　驗證DNS策略的操作　404
17．6　總結　409
17．7　測試題　409
第　18章 基于類(lèi)別、風(fēng)險和信譽(yù)過(guò)濾URL　410
18．1　URL過(guò)濾要點(diǎn)　410
18．1．1　信譽(yù)索引　410
18．1．2　運行體系結構　412
18．2　滿(mǎn)足前提條件　412
18．3　URL過(guò)濾配置的最佳做法　414
18．4　阻塞特定類(lèi)別的URL　416
18．4．1　為URL過(guò)濾配置訪(fǎng)問(wèn)規則　416
18．4．2　驗證和排錯工具　416
18．5　放行指定URL　422
18．5．1　配置FTD放行指定URL　422
18．5．2　驗證和排錯工具　423
18．6　向云查詢(xún)未分類(lèi)URL　426
18．6．1　配置FMC執行查詢(xún)　427
18．6．2　驗證和排錯工具　429
18．7　總結　431
18．8　測試題　432
第　19章 發(fā)現網(wǎng)絡(luò )應用及控制應用流量　433
19．1　應用發(fā)現要點(diǎn)　433
19．1．1　應用檢測器　433
19．1．2　運行架構　435
19．2　網(wǎng)絡(luò )發(fā)現配置的最佳做法　435
19．3　滿(mǎn)足前提條件　437
19．4　發(fā)現應用　439
19．4．1　配置網(wǎng)絡(luò )發(fā)現策略　439
19．4．2　驗證和排錯工具　441
19．5　阻塞應用　446
19．5．1　配置應用阻塞　446
19．5．2　驗證和排錯工具　447
19．6　總結　450
19．7　測試題　450
第　20章 控制文件傳輸并阻塞惡意軟件的傳播　451
20．1　文件策略要點(diǎn)　451
20．1．1　文件類(lèi)型檢測技術(shù)　451
20．1．2　惡意軟件分析技術(shù)　453
20．1．3　許可證容量　454
20．2　文件策略部署的最佳做法　456
20．3　滿(mǎn)足前提條件　457
20．4　配置文件策略　457
20．4．1　創(chuàng )建文件策略　457
20．4．2　應用文件策略　461
20．5　驗證和排錯工具　464
20．5．1　分析文件事件　464
20．5．2　分析惡意軟件事件　468
20．6　覆蓋惡意軟件傾向性　478
20．7　總結　482
20．8　測試題　482
第　21章 通過(guò)阻塞入侵嘗試防御網(wǎng)絡(luò )攻擊　483
21．1　Firepower GNIPS要點(diǎn)　483
21．1．1　網(wǎng)絡(luò )分析策略和預處理器　483
21．1．2　入侵策略和Snort規則　485
21．1．3　系統提供的變量　488
21．1．4　系統提供的策略　490
21．2　入侵策略部署的最佳做法　495
21．3　GNIPS配置　498
21．3．1　配置網(wǎng)絡(luò )分析策略　499
21．3．2　配置入侵策略　502
21．3．3　配置訪(fǎng)問(wèn)控制策略　508
21．4　驗證和排錯工具　511
21．5　總結　519
21．6　測試題　519
第　22章 偽裝內部主機的原始IP地址　520
22．1　NAT的核心概念　520
22．1．1　NAT類(lèi)別　522
22．1．2　NAT規則的類(lèi)型　523
22．2　部署NAT的最佳做法　524
22．3　滿(mǎn)足前提條件　525
22．4　配置NAT　527
22．4．1　偽裝源地址（向出向連接實(shí)施源NAT）　527
22．4．2　連接偽裝目的（向入向連接實(shí)施目的NAT）　542
22．5　總結　551
22．6　測試題　552
附錄A　測試題答案　553
附錄B　使用GUI界面創(chuàng )建和收集排錯文件　555
附錄C　使用CLI界面創(chuàng )建和收集排錯文件　558