具體描述
《網絡安全技術與解決方案(修訂版)》包含瞭Cisco網絡安全解決方案中最為常見的産品、技術,以及它們的配置方法和部署方針。在産品方麵,《網絡安全技術與解決方案(修訂版)》從硬件的PIX、ASA、FWSM模塊、NAC設備、IDS、IPS、各類入侵檢測模塊、Cisco流量異常檢測器、CS-MARS等,到軟件的Cisco Secure ACS CSA、SDM和集成在各設備中的係統等,無所不包。
在技術方麵,《網絡安全技術與解決方案(修訂版)》全麵涵蓋瞭Cisco網絡中的各類安全技術,包括Cisco路由器、交換機上的多種攻擊防禦特性、CBAC、ZFW、各類WLAN安全技術、各類加密技術、VPN技術、IOS IPS技術等,無所不含。僅ACL技術一項,《網絡安全技術與解決方案(修訂版)》就分成瞭10餘個種類並分彆加以闡述。
在解決方案方麵,《網絡安全技術與解決方案(修訂版)》以Cisco各類産品及其所支持的技術為綱,講術瞭它們在不同環境、不同場閤、不同媒介中的應用方法。
《網絡安全技術與解決方案(修訂版)》的任何一部分都始於理論,終於實踐:開篇闡明某種攻擊的技術要略,而後引入具體的應對設備、技術,以及部署和配置方法,作為相應的解決方案,綱舉目張,博而不亂。
《網絡安全技術與解決方案(修訂版)》適用於網絡工程師、網絡安全工程師、網絡管理維護人員,及其他網絡安全技術相關領域的從業人員,可在他們設計、實施網絡安全解決方案時作為技術指導和參考資料。尤其推薦那些正在備考安全方嚮CCIE的考生閱讀《網絡安全技術與解決方案(修訂版)》,相信《網絡安全技術與解決方案(修訂版)》一定能夠幫助他們更好地理解與考試相關的知識點,並為他們順利通過考試鋪平道路。
著者簡介
Yusuf Bhaiji,CCIE#9305(路由和交換與安全),已在Cisco公司工作瞭7年,現任Cisco CCIE安全認證的項目經理和Cisco Dubai實驗室的CCIE代理人。此前,他曾是悉尼TAC安全及VPN團隊的技術骨乾。Yusuf對安全技術和解決方案的熱情在他17年的行業經驗中起著非常重要的作用,這從他最初攻讀計算機科學碩士學位時就開始瞭,他畢業之後所獲得的眾多成就也證明瞭這一點。讓Yusuf自豪的是他的知識共享能力,他已經指導瞭許多成功的考生,還在國際上設計和發錶瞭許多網絡安全解決方案。
圖書目錄
第1部分 邊界安全
第1章 網絡安全概述 3
1.1 網絡安全的基本問題 3
1.2 安全範例的變化 5
1.3 安全準則——CIA模型 5
1.3.1 機密性 5
1.3.2 完整性 6
1.3.3 可用性 6
1.4 策略、標準、流程、基綫、部署準則 6
1.4.1 安全策略 6
1.4.2 標準 7
1.4.3 流程 8
1.4.4 基綫 8
1.4.5 部署準則 8
1.5 安全模型 9
1.6 邊界安全 9
1.6.1 邊界安全正在消失嗎? 9
1.6.2 定義邊界的復雜性 10
1.6.3 可靠的邊界安全解決方案 10
1.7 各層的安全 10
1.7.1 多層邊界解決方案 10
1.7.2 多米諾效應 11
1.8 安全輪型圖 12
1.9 總結 13
1.10 參考 13
第2章 訪問控製 15
2.1 使用ACL進行流量過濾 15
2.1.1 ACL概述 15
2.1.2 ACL的應用 15
2.1.3 何時配置ACL 16
2.2 IP地址概述 17
2.2.1 IP地址分類 17
2.2.2 理解IP地址分類 17
2.2.3 私有IP地址(RFC 1918) 19
2.3 子網掩碼與反掩碼概述 20
2.3.1 子網掩碼 20
2.3.2 反掩碼 20
2.4 ACL配置 21
2.4.1 創建一個ACL 21
2.4.2 為每個ACL設置唯一的列錶名或數字 21
2.4.3 把ACL應用到接口上 22
2.4.4 ACL的方嚮 23
2.5 理解ACL的處理過程 23
2.5.1 入站ACL 23
2.5.2 齣站ACL 24
2.5.3 各類數據包的包過濾原則 25
2.5.4 實施ACL的準則 26
2.6 訪問控製列錶類型 26
2.6.1 標準ACL 27
2.6.2 擴展ACL 27
2.6.3 命名的IP ACL 28
2.6.4 鎖和密鑰(動態ACL) 29
2.6.5 自反ACL 30
2.6.6 Established ACL 31
2.6.7 使用時間範圍(Time Range)的時間ACL 32
2.6.8 分布式時間ACL 33
2.6.9 配置分布式時間ACL 33
2.6.10 Turbo ACL 33
2.6.11 限速ACL(rACL) 34
2.6.12 設備保護ACL(iACL) 34
2.6.13 過境ACL 34
2.6.14 分類ACL 35
2.6.15 用ACL進行流量調試 36
2.7 總結 36
2.8 參考 36
第3章 設備安全 39
3.1 設備安全策略 39
3.2 設備加固 40
3.2.1 物理安全 40
3.2.2 密碼 41
3.2.3 用戶賬戶 45
3.2.4 特權級彆 45
3.2.5 設備保護ACL(Infrastructure ACL) 46
3.2.6 交換訪問方法 46
3.2.7 Banner消息 48
3.2.8 Cisco IOS快速復原配置(Resilient Configuration) 50
3.2.9 Cisco發現協議(CDP) 50
3.2.10 TCP/UDP低端口服務(Small-Servers) 51
3.2.11 Finger 51
3.2.12 Identd(auth)協議(Identification Protocol) 51
3.2.13 DHCP與BOOTP服務 52
3.2.14 簡單文件傳輸(TFTP)協議 52
3.2.15 文件傳輸(FTP)協議 52
3.2.16 自動加載設備配置 52
3.2.17 PAD 52
3.2.18 IP源路由 53
3.2.19 代理ARP 53
3.2.20 無故ARP(Gratuitous ARP) 53
3.2.21 IP定嚮廣播 54
3.2.22 IP掩碼應答
(IP Mask Reply) 54
3.2.23 IP重定嚮 54
3.2.24 ICMP不可達 54
3.2.25 HTTP 55
3.2.26 網絡時間協議(NTP) 55
3.2.27 簡單網絡管理協議(SNMP) 56
3.2.28 Auto-Secure特性 56
3.3 保護安全設備的管理訪問 56
3.3.1 PIX 500與ASA 5500係列安全設備—設備訪問安全 57
3.3.2 IPS 4200係列傳感器(前身為IDS 4200) 58
3.4 設備安全的自查列錶 60
3.5 總結 60
3.6 參考 60
第4章 交換機安全特性 63
4.1 保護二層網絡 63
4.2 端口級流量控製 64
4.2.1 風暴控製(Storm Control) 64
4.2.2 端口隔離(Protected Port/PVLAN Edge) 64
4.3 私有VLAN(PVLAN) 65
4.3.1 配置PVLAN 68
4.3.2 端口阻塞(Port Blocking) 69
4.3.3 端口安全(Port Security) 69
4.4 交換機訪問列錶 71
4.4.1 路由器ACL 71
4.4.2 端口ACL 71
4.4.3 VLAN ACL(VACL) 72
4.4.4 MAC ACL 74
4.5 生成樹協議特性 74
4.5.1 橋協議數據單元防護(BPDU Guard) 74
4.5.2 根防護(Root Guard) 75
4.5.3 Etherchannel防護(Etherchannel Guard) 75
4.5.4 環路防護(Loop Guard) 76
4.6 動態主機配置協議(DHCP)Snooping 76
4.7 IP源地址防護(IP Source Guard) 78
4.8 DAI(動態ARP監控) 78
4.8.1 DHCP環境中的DAI 80
4.8.2 非DHCP環境中的DAI 80
4.8.3 為入站ARP數據包限速 81
4.8.4 ARP確認檢查(ARP Validation Checks) 81
4.9 高端Catalyst交換機上的高級安全特性 81
4.10 控製麵監管(CoPP)特性 82
4.11 CPU限速器 83
4.12 二層安全的最佳推薦做法 83
4.13 總結 84
4.14 參考 84
第5章 Cisco IOS防火牆 87
5.1 路由器防火牆之解決方案 87
5.2 基於上下文的訪問控製(CBAC) 89
5.3 CBAC功能 89
5.3.1 流量過濾 89
5.3.2 流量監控 90
5.3.3 告警與審計跟蹤 90
5.4 CBAC工作原理 91
5.4.1 數據包監控 91
5.4.2 超時時間與門限值 91
5.4.3 會話狀態錶 91
5.4.4 UDP連接 92
5.4.5 動態ACL條目 92
5.4.6 初始(半開)會話 92
5.4.7 為主機進行DoS防護 93
5.5 CBAC支持的協議 93
5.6 配置CBAC 94
5.6.1 第一步:選擇一個接口:內部接口或者外部接口 94
5.6.2 第二步:配置IP訪問列錶 95
5.6.3 第三步:定義監控規則 95
5.6.4 第四步:配置全局的超時時間和門限值 95
5.6.5 第五步:把訪問控製列錶和監控規則應用到接口下 96
5.6.6 第六步:驗證和監測CBAC配置 97
5.6.7 綜閤應用範例 97
5.7 IOS防火牆增強特性 97
5.7.1 HTTP監控功能 98
5.7.2 電子郵件監控功能 98
5.7.3 防火牆ACL旁路 99
5.7.4 透明IOS防火牆(二層防火牆) 99
5.7.5 虛擬分片重組(VFR) 100
5.7.6 VRF感知型(VRF-Aware)IOS防火牆 100
5.7.7 監控路由器生成的流量 101
5.8 基於區域的策略防火牆(ZFW) 101
5.8.1 基於區域的策略概述 101
5.8.2 安全區域 102
5.8.3 配置基於區域的策略防火牆 103
5.8.4 使用CPL配置ZFW 103
5.8.5 應用程序檢查與控製(AIC) 104
5.9 總結 105
5.10 參考 105
第6章 Cisco防火牆:設備與模塊 107
6.1 防火牆概述 107
6.2 硬件防火牆與軟件防火牆的對比 108
6.3 Cisco PIX 500係列安全設備 108
6.4 Cisco ASA 5500係列自適應安全設備 109
6.5 Cisco防火牆服務模塊(FWSM) 110
6.6 PIX 500和ASA 550係列防火牆設備操作係統 111
6.7 防火牆設備OS軟件 112
6.8 防火牆模式 112
6.8.1 路由模式防火牆 112
6.8.2 透明模式防火牆(隱藏防火牆) 113
6.9 狀態化監控 114
6.10 應用層協議監控 115
6.11 自適應安全算法的操作 116
6.12 安全虛擬防火牆 117
6.12.1 多虛擬防火牆——路由模式(及共享資源) 118
6.12.2 多虛擬防火牆——透明模式 118
6.12.3 配置安全虛擬防火牆 120
6.13 安全級彆 121
6.14 冗餘接口 122
6.15 IP路由 123
6.15.1 靜態及默認路由 123
6.15.2 最短路徑優先(OSPF) 125
6.15.3 路由信息協議(RIP) 128
6.15.4 增強型內部網關路由協議(EIGRP) 129
6.16 網絡地址轉換(NAT) 130
6.16.1 NAT控製
(NAT Control) 130
6.16.2 NAT的類型 132
6.16.3 在啓用NAT的情況下繞過NAT轉換 137
6.16.4 策略NAT 139
6.16.5 NAT的處理順序 140
6.17 控製流量與網絡訪問 141
6.17.1 ACL概述及其在安全設備上的應用 141
6.17.2 使用訪問列錶控製通過安全設備的齣入站流量 141
6.17.3 用對象組簡化訪問列錶 143
6.18 組件策略框架(MPF,Modular Policy Framework) 144
6.19 Cisco AnyConnect VPN客戶端 146
6.20 冗餘備份與負載分擔 147
6.20.1 故障切換需求 147
6.20.2 故障切換鏈路 148
6.20.3 狀態鏈路(State Link) 148
6.20.4 故障切換的實施 149
6.20.5 非對稱路由支持(ASR) 151
6.21 防火牆服務模塊(FWSM)的防火牆“模塊化”係統 151
6.22 防火牆模塊OS係統 151
6.23 穿越防火牆模塊的網絡流量 152
6.24 路由器/MSFC的部署 152
6.24.1 單模防火牆 153
6.24.2 多模防火牆 153
6.25 配置FWSM 154
6.26 總結 155
6.27 參考 156
第7章 攻擊矢量與緩解技術 159
7.1 網絡漏洞、網絡威脅與網絡滲透 159
7.1.1 攻擊的分類 160
7.1.2 攻擊矢量 160
7.1.3 黑客傢族的構成 161
7.1.4 風險評估 162
7.2 三層緩解技術 163
7.2.1 流量分類 163
7.2.2 IP源地址跟蹤器 167
7.2.3 IP欺騙攻擊 168
7.2.4 數據包分類與標記方法 171
7.2.5 承諾訪問速率(CAR) 171
7.2.6 模塊化QoS CLI(MQC) 173
7.2.7 流量管製(Traffic Policing) 174
7.2.8 基於網絡的應用識彆(NBAR) 175
7.2.9 TCP攔截 177
7.2.10 基於策略的路由(PBR) 179
7.2.11 單播逆嚮路徑轉發(uRPF) 180
7.2.12 NetFlow 182
7.3 二層緩解方法 184
7.3.1 CAM錶溢齣—MAC攻擊 185
7.3.2 MAC欺騙攻擊 185
7.3.3 ARP欺騙攻擊 186
7.3.4 VTP攻擊 187
7.3.5 VLAN跳轉攻擊 188
7.3.6 PVLAN攻擊 190
7.3.7 生成樹攻擊 192
7.3.8 DHCP欺騙與耗竭(Starvation)攻擊 193
7.3.9 802.1x攻擊 193
7.4 安全事故響應架構 195
7.4.1 什麼是安全事故 195
7.4.2 安全事故響應處理 195
7.4.3 事故響應小組(IRT) 195
7.4.4 安全事故響應方法指導 196
7.5 總結 198
7.6 參考 199
第2部分 身份安全和訪問管理
第8章 保護管理訪問 203
8.1 AAA安全服務 203
8.1.1 AAA範例 204
8.1.2 AAA之間的依賴關係 205
8.2 認證協議 205
8.2.1 RADIUS(遠程認證撥入用戶服務) 205
8.2.2 TACACS+(終端訪問控製器訪問控製係統) 208
8.2.3 RADIUS與TACACS+的對比 211
8.3 實施AAA 211
8.3.1 AAA方法 212
8.3.2 AAA功能服務類型 213
8.4 配置案例 215
8.4.1 使用RADIUS實現PPP認證、授權、審計 215
8.4.2 使用TACACS+服務器實現登錄認證、命令授權和審計 216
8.4.3 設置瞭密碼重試次數限製的登錄認證 216
8.5 總結 217
8.6 參考 217
第9章 Cisco Secure ACS軟件與設備 219
9.1 Windows操作係統下的
Cisco Secure ACS軟件 219
9.1.1 AAA服務器:Cisco
Secure ACS 220
9.1.2 遵循的協議 221
9.2 高級ACS功能與特性 222
9.2.1 共享配置文件組件(SPC) 222
9.2.2 可下載的IP ACL 222
9.2.3 網絡訪問過濾器(NAF) 223
9.2.4 RADIUS授權組件(RAC) 223
9.2.5 Shell命令授權集 223
9.2.6 網絡訪問限製(NAR) 224
9.2.7 設備訪問限製(MAR) 224
9.2.8 網絡訪問配置文件(NAP) 224
9.2.9 Cisco NAC支持 225
9.3 配置ACS 225
9.4 Cisco Secure ACS設備 234
9.5 總結 234
9.6 參考 235
第10章 多重認證 237
10.1 身份識彆和認證(Identification and Authentication) 237
10.2 雙重認證係統 238
10.2.1 一次性密碼(OTP) 238
10.2.2 S/KEY 239
10.2.3 用OTP解決方案抵抗重放攻擊(Replay Attack) 239
10.2.4 雙重認證係統的屬性 239
10.3 Cisco Secure ACS支持的雙重認證係統 240
10.3.1 Cisco Secure ACS是如何工作的 241
10.3.2 在Cisco Secure ACS上配置啓用瞭RADIUS的令牌服務器 242
10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服務器 245
10.4 總結 245
10.5 參考 246
第11章 第2層訪問控製 249
11.1 信任與身份識彆管理解決方案 250
11.2 基於身份的網絡服務(IBNS) 251
11.2.1 Cisco Secure ACS 252
11.2.2 外部數據庫支持 252
11.3 IEEE 802.1x 252
11.3.1 IEEE802.1x組件 253
11.3.2 端口狀態:授權與未授權 254
11.3.3 EAP認證方式 255
11.4 部署802.1x解決方案 256
11.4.1 無綫LAN(點到點) 256
11.4.2 無綫LAN(多點) 256
11.5 部署802.1x基於端口的認證 258
11.5.1 在運行Cisco IOS的Cisco Catalyst交換機上
配置802.1x和RADIUS 258
11.5.2 在運行Cisco IOS的Cisco Aironet無綫LAN接入點上
配置802.1x和RADIUS 262
11.5.3 在Windows XP客戶端配置遵循IEEE 802.1x的
用戶接入設備 263
11.6 總結 263
11.7 參考 264
第12章 無綫局域網(WLAN)安全 267
12.1 無綫LAN(LAN) 267
12.1.1 無綫電波 267
12.1.2 IEEE協議標準 268
12.1.3 通信方式——無綫頻率(RF).. 268
12.1.4 WLAN的組成 269
12.2 WLAN安全 270
12.2.1 服務集標識(SSID) 270
12.2.2 MAC認證 271
12.2.3 客戶端認證 271
12.2.4 靜態WEP(有綫等效保密) 272
12.2.5 WPA、WPA2和802.11i(WEP的增強) 272
12.2.6 IEEE 802.1x和EAP 273
12.2.7 WLAN NAC 281
12.2.8 WLAN IPS 281
12.2.9 VPN IPsec 282
12.3 緩解WLAN攻擊 282
12.4 Cisco統一無綫網絡解決方案 282
12.5 總結 284
12.6 參考 284
第13章 網絡準入控製(NAC) 287
13.1 建立自防禦網絡(SDN) 287
13.2 網絡準入控製(NAC) 288
13.2.1 為何使用NAC 288
13.2.2 Cisco NAC 289
13.2.3 對比NAC産品和NAC框架 290
13.3 Cisco NAC産品解決方案 291
13.3.1 Cisco NAC産品解決方案機製 291
13.3.2 NAC産品組件 291
13.3.3 NAC産品部署方案 292
13.4 Cisco NAC框架解決方案 294
13.4.1 Cisco NAC框架解決方案機製 294
13.4.2 NAC框架組件 296
13.4.3 NAC框架部署環境 300
13.4.4 NAC框架的執行方法 300
13.4.5 實施NAC-L3-IP 301
13.4.6 實施NAC-L2-IP 303
13.4.7 部署NAC-L2-802.1x 306
13.5 總結 308
13.6 參考 309
第3部分 數據保密
第14章 密碼學 313
14.1 安全通信 313
14.1.1 加密係統 313
14.1.2 密碼學概述 314
14.1.3 加密術語 314
14.1.4 加密算法 315
14.2 虛擬專用網(VPN) 322
14.3 總結 323
14.4 參考 323
第15章 IPsec VPN 325
15.1 虛擬專用網絡(VPN) 325
15.1.1 VPN技術類型 325
15.1.2 VPN部署方案類型 326
15.2 IPsec VPN(安全VPN) 327
15.2.1 IPsec RFC 327
15.2.2 IPsec模式 330
15.2.3 IPsec協議頭 331
15.2.4 IPsec反重放保護 333
15.2.5 ISAKMP和IKE 333
15.2.6 ISAKMP Profile 337
15.2.7 IPsec Profile 338
15.2.8 IPsec虛擬隧道接口(IPsec VTI) 339
15.3 公鑰基礎結構(PKI) 340
15.3.1 PKI組件 341
15.3.2 證書登記 341
15.4 部署IPsec VPN 343
15.4.1 Cisco IPsec VPN部署環境 343
15.4.2 站點到站點IPsec VPN 345
15.4.3 遠程訪問IPsec VPN 348
15.5 總結 355
15.6 參考 356
第16章 動態多點VPN(DMVPN) 359
16.1 DMVPN解決方案技術架構 359
16.1.1 DMVPN網絡設計 360
16.1.2 DMVPN解決方案組件 362
16.1.3 DMVPN如何工作 362
16.1.4 DMVPN數據結構 363
16.2 DMVPN部署環境拓撲 364
16.3 實施DMVPN中心到節點的設計方案 364
16.3.1 實施單hub單DMVPN(SHSD)拓撲 365
16.3.2 實施雙hub雙DMVPN(DHDD)拓撲 370
16.3.3 實施服務器負載均衡(SLB)拓撲 371
16.4 實施DMVPN動態網狀節點到節點的設計方案 372
16.4.1 實施雙hub單DMVPN(DHSD)拓撲 373
16.4.2 實施多hub單DMVPN(MHSD)拓撲 381
16.4.3 實施分層(基於樹的)拓撲 382
16.5 總結 382
16.6 參考 383
第17章 群組加密傳輸VPN(GET VPN) 385
17.1 GET VPN解決方案技術構架 385
17.1.1 GET VPN特性 386
17.1.2 為何選擇GET VPN 387
17.1.3 GET VPN和DMVPN 389
17.1.4 GET VPN部署需要考慮的因素 388
17.1.5 GET VPN解決方案組件 388
17.1.6 GET VPN的工作方式 389
17.1.7 保留IP包頭 391
17.1.8 組成員ACL 391
17.2 實施Cisco IOS GET VPN 392
17.3 總結 396
17.4 參考 397
第18章 安全套接字層VPN(SSL VPN) 309
18.1 安全套接字層(SSL)協議 309
18.2 SSL VPN解決方案技術架構 400
18.2.1 SSL VPN概述 400
18.2.2 SSL VPN特性 401
18.2.3 部署SSL VPN需要考慮的因素 401
18.2.4 SSL VPN訪問方式 402
18.2.5 SSL VPN Citrix支持 403
18.3 部署Cisco IOS SSL VPN 404
18.4 Cisco AnyConnect VPN Client 405
18.5 總結 406
18.6 參考 406
第19章 多協議標簽交換VPN(MPLS VPN) 409
19.1 多協議標簽交換(MPLS) 409
19.1.1 MPLS技術架構概述 410
19.1.2 MPLS如何工作 411
19.1.3 MPLS VPN和IPsec VPN 411
19.1.4 部署場景 412
19.1.5 麵嚮連接和無連接的VPN技術 413
19.2 MPLS VPN(可信VPN) 414
19.3 L3 VPN和L2 VPN的對比 414
19.4 L3VPN 415
19.4.1 L3VPN組件 415
19.4.2 L3VPN如何實施 416
19.4.3 VRF如何工作 416
19.5 實施L3VPN 416
19.6 L2VPN 422
19.7 實施L2VPN 424
19.7.1 在MPLS服務上部署以太網VLAN——使用
基於VPWS的技術架構 424
19.7.2 在MPLS服務上部署以太網VLAN——使用
基於VPLS的技術架構 424
19.8 總結 425
19.9 參考 426
第4部分 安全監控
第20章 網絡入侵防禦 431
20.1 入侵係統術語 431
20.2 網絡入侵防禦概述 432
20.3 Cisco IPS 4200係列傳感器 432
20.4 Cisco IDS服務模塊(IDSM-2) 434
20.5 Cisco高級檢測和防禦安全服務模塊(AIP-SSM) 435
20.6 Cisco IPS高級集成模塊(IPS-AIM) 436
20.7 Cisco IOS IPS 437
20.8 部署IPS 437
20.9 Cisco IPS傳感器OS軟件 438
20.10 Cisco IPS傳感器軟件 440
20.10.1 傳感器軟件—係統架構 440
20.10.2 傳感器軟件—通信協議 441
20.10.3 傳感器軟件—用戶角色 442
20.10.4 傳感器軟件—分區 442
20.10.5 傳感器軟件—特徵和特徵引擎 442
20.10.6 傳感器軟件—IPS事件 444
20.10.7 傳感器軟件—IPS事件響應 445
20.10.8 傳感器軟件—IPS風險評估(RR) 446
20.10.9 傳感器軟件—IPS威脅評估 447
20.10.10 傳感器軟件—IPS接口 447
20.10.11 傳感器軟件—IPS接口模式 449
20.10.12 傳感器軟件—IPS阻塞(block/shun) 452
20.10.13 傳感器軟件—IPS速率限製 453
20.10.14 傳感器軟件—IPS虛擬化 453
20.10.15 傳感器軟件—IPS安全策略 454
20.10.16 傳感器軟件—IPS異常檢測(AD) 454
20.11 IPS高可用性 455
20.11.1 IPS失效開放機製 456
20.11.2 故障切換機製 456
20.11.3 失效開放和故障切換的部署 457
20.11.4 負載均衡技術 457
20.12 IPS設備部署準則 457
20.13 Cisco入侵防禦係統設備管理器(IDM) 457
20.14 配置IPS在綫VLAN對模式 458
20.15 配置IPS在綫接口對模式 460
20.16 配置自定義特徵和IPS阻塞 464
20.17 總結 465
20.18 參考 466
第21章 主機入侵防禦 469
21.1 使用無特徵機製保障終端安全 469
21.2 Cisco安全代理(CSA) 470
21.3 CSA技術架構 471
21.3.1 CSA攔截和關聯 472
21.3.2 CSA關聯的全局擴展 473
21.3.3 CSA訪問控製過程 473
21.3.4 CSA深層防禦——零時差保護 474
21.4 CSA的能力和安全功能角色 474
21.5 CSA組件 475
21.6 使用CSA MC配置和管理CSA部署 476
21.6.1 管理CSA主機 476
21.6.2 管理CSA代理工具包 479
21.6.3 管理CSA組 481
21.6.4 CSA代理用戶界麵 482
21.6.5 CSA策略、規則模塊和規則 484
21.7 總結 485
21.8 參考 486
第22章 異常檢測與緩解 489
22.1 攻擊概述 489
22.1.1 拒絕服務(DoS)攻擊定義 489
22.1.2 分布式拒絕服務(DDoS)攻擊定義 490
22.2 異常檢測和緩解係統 491
22.3 Cisco DDoS異常檢測和緩解解決方案 492
22.4 Cisco流量異常檢測器(Cisco Traffic Anomaly Detecor) 493
22.5 Cisco Guard DDoS緩解設備 495
22.6 整體運行 497
22.7 配置和管理Cisco流量異常檢測器 499
22.7.1 管理檢測器 500
22.7.2 通過CLI控製颱初始化檢測器 500
22.7.3 配置檢測器(區域、過濾器、策略和學習過程) 501
22.8 配置和管理Cisco Guard緩解設備 504
22.8.1 管理Guard 504
22.8.2 通過CLI控製颱初始化Guard 505
22.8.3 配置Guard(區域、過濾器、策略和學習過程) 505
22.9 總結 508
22.10 參考 508
第23章 安全監控和關聯 511
23.1 安全信息和事件管理 511
23.2 Cisco安全監控、分析和響應係統(CS-MARS) 512
23.2.1 安全威脅防禦(STM)係統 513
23.2.2 拓撲感知和網絡映射 514
23.2.3 關鍵概念——事件、會話、規則和事故 515
23.2.4 CS-MARS中的事件處理 517
23.2.5 CS-MARS中的誤報 518
23.3 部署CS-MARS 518
23.3.1 獨立控製器和本地控製器(LC) 519
23.3.2 全局控製器(GC) 520
23.3.3 軟件版本信息 521
23.3.4 報告和防禦設備 522
23.3.5 運行級彆 523
23.3.6 必需的流量和需要開放的端口 523
23.3.7 基於Web的管理界麵 525
23.3.8 初始化CS-MARS 526
23.4 總結 527
23.5 參考 528
第5部分 安全管理
第24章 安全和策略管理 533
24.1 Cisco安全管理解決方案 533
24.2 Cisco安全管理器 534
24.2.1 Cisco安全管理器—特性和能力 534
24.2.2 Cisco安全管理器—防火牆管理 536
24.2.3 Cisco安全管理器—VPN管理 536
24.2.4 Cisco安全管理器—IPS管理 537
24.2.5 Cisco安全管理器—平颱管理 538
24.2.6 Cisco安全管理器—係統架構 538
24.2.7 Cisco安全管理器—配置視圖 539
24.2.8 Cisco安全管理器—管理設備 541
24.2.9 Cisco安全管理器—工作流模式 541
24.2.10 Cisco安全管理器—基於角色的訪問控製(RBAC) 542
24.2.11 Cisco安全管理器—交叉啓動xDM 543
24.2.12 Cisco安全管理器—支持的設備和OS版本 545
24.2.13 Cisco安全管理器—服務器和客戶端的要求與限製 546
24.2.14 Cisco安全管理器—必需的流量和需要開放的端口 547
24.3 Cisco路由器和安全設備管理器(SDM) 549
24.3.1 Cisco SDM—特性和能力 549
24.3.2 Cisco SDM—如何工作 550
24.3.3 Cisco SDM—路由器安全審計特性 552
24.3.4 Cisco SDM—一步鎖定特性 552
24.3.5 Cisco SDM—監測模式 553
24.3.6 Cisco SDM—支持的路由器和IOS版本 554
24.3.7 Cisco SDM—係統要求 555
24.4 Cisco自適應安全設備管理器(ASDM) 556
24.4.1 Cisco ASDM—特性和能力 556
24.4.2 Cisco ASDM—如何工作 556
24.4.3 Cisco ASDM—數據包追蹤器程序 559
24.4.4 Cisco ASDM—係統日誌到訪問規則的關聯 559
24.4.5 Cisco ASDM—支持的防火牆和軟件版本 560
24.4.6 Cisco ASDM——用戶要求 560
24.5 Cisco PIX設備管理器(PDM) 560
24.6 Cisco IPS設備管理器(IDM) 561
24.6.1 Cisco IDM—如何工作 562
24.6.2 Cisco IDM—係統要求 562
24.7 總結 563
24.8 參考 563
第25章 安全框架與法規遵從性 567
25.1 安全模型 567
25.2 策略、標準、部署準則和流程 568
25.2.1 安全策略 569
25.2.2 標準 569
25.2.3 部署準則 569
25.2.4 流程 569
25.3 最佳做法框架 570
25.3.1 ISO/IEC 17799(現為ISO/IEC 27002) 570
25.3.2 COBIT 571
25.3.3 17799/27002和COBIT的對比 571
25.4 遵從性和風險管理 572
25.5 法規遵從性和立法行為 572
25.6 GLBA——格雷姆-裏奇-比利雷法 572
25.6.1 對誰有效 573
25.6.2 GLBA的要求 573
25.6.3 違規處罰 574
25.6.4 滿足GLBA的Cisco解決方案 574
25.6.5 GLBA總結 574
25.7 HIPAA——健康保險可攜性與責任法案 575
25.7.1 對誰有效 575
25.7.2 HIPAA的要求 575
25.7.3 違規處罰 575
25.7.4 滿足HIPAA的Cisco解決方案 576
25.7.5 HIPAA總結 576
25.8 SOX——薩班斯-奧剋斯利法案 576
25.8.1 對誰有效 577
25.8.2 SOX法案的要求 577
25.8.3 違規處罰 578
25.8.4 滿足SOX的Cisco解決方案 579
25.8.5 SOX總結 579
25.9 法規遵從性規章製度的全球性展望 579
25.9.1 在美國 580
25.9.2 在歐洲 580
25.9.3 在亞太地區 580
25.10 Cisco自防禦網絡解決方案 581
25.11 總結 581
25.12 參考 581
· · · · · · (收起)
第1章 網絡安全概述 3
1.1 網絡安全的基本問題 3
1.2 安全範例的變化 5
1.3 安全準則——CIA模型 5
1.3.1 機密性 5
1.3.2 完整性 6
1.3.3 可用性 6
1.4 策略、標準、流程、基綫、部署準則 6
1.4.1 安全策略 6
1.4.2 標準 7
1.4.3 流程 8
1.4.4 基綫 8
1.4.5 部署準則 8
1.5 安全模型 9
1.6 邊界安全 9
1.6.1 邊界安全正在消失嗎? 9
1.6.2 定義邊界的復雜性 10
1.6.3 可靠的邊界安全解決方案 10
1.7 各層的安全 10
1.7.1 多層邊界解決方案 10
1.7.2 多米諾效應 11
1.8 安全輪型圖 12
1.9 總結 13
1.10 參考 13
第2章 訪問控製 15
2.1 使用ACL進行流量過濾 15
2.1.1 ACL概述 15
2.1.2 ACL的應用 15
2.1.3 何時配置ACL 16
2.2 IP地址概述 17
2.2.1 IP地址分類 17
2.2.2 理解IP地址分類 17
2.2.3 私有IP地址(RFC 1918) 19
2.3 子網掩碼與反掩碼概述 20
2.3.1 子網掩碼 20
2.3.2 反掩碼 20
2.4 ACL配置 21
2.4.1 創建一個ACL 21
2.4.2 為每個ACL設置唯一的列錶名或數字 21
2.4.3 把ACL應用到接口上 22
2.4.4 ACL的方嚮 23
2.5 理解ACL的處理過程 23
2.5.1 入站ACL 23
2.5.2 齣站ACL 24
2.5.3 各類數據包的包過濾原則 25
2.5.4 實施ACL的準則 26
2.6 訪問控製列錶類型 26
2.6.1 標準ACL 27
2.6.2 擴展ACL 27
2.6.3 命名的IP ACL 28
2.6.4 鎖和密鑰(動態ACL) 29
2.6.5 自反ACL 30
2.6.6 Established ACL 31
2.6.7 使用時間範圍(Time Range)的時間ACL 32
2.6.8 分布式時間ACL 33
2.6.9 配置分布式時間ACL 33
2.6.10 Turbo ACL 33
2.6.11 限速ACL(rACL) 34
2.6.12 設備保護ACL(iACL) 34
2.6.13 過境ACL 34
2.6.14 分類ACL 35
2.6.15 用ACL進行流量調試 36
2.7 總結 36
2.8 參考 36
第3章 設備安全 39
3.1 設備安全策略 39
3.2 設備加固 40
3.2.1 物理安全 40
3.2.2 密碼 41
3.2.3 用戶賬戶 45
3.2.4 特權級彆 45
3.2.5 設備保護ACL(Infrastructure ACL) 46
3.2.6 交換訪問方法 46
3.2.7 Banner消息 48
3.2.8 Cisco IOS快速復原配置(Resilient Configuration) 50
3.2.9 Cisco發現協議(CDP) 50
3.2.10 TCP/UDP低端口服務(Small-Servers) 51
3.2.11 Finger 51
3.2.12 Identd(auth)協議(Identification Protocol) 51
3.2.13 DHCP與BOOTP服務 52
3.2.14 簡單文件傳輸(TFTP)協議 52
3.2.15 文件傳輸(FTP)協議 52
3.2.16 自動加載設備配置 52
3.2.17 PAD 52
3.2.18 IP源路由 53
3.2.19 代理ARP 53
3.2.20 無故ARP(Gratuitous ARP) 53
3.2.21 IP定嚮廣播 54
3.2.22 IP掩碼應答
(IP Mask Reply) 54
3.2.23 IP重定嚮 54
3.2.24 ICMP不可達 54
3.2.25 HTTP 55
3.2.26 網絡時間協議(NTP) 55
3.2.27 簡單網絡管理協議(SNMP) 56
3.2.28 Auto-Secure特性 56
3.3 保護安全設備的管理訪問 56
3.3.1 PIX 500與ASA 5500係列安全設備—設備訪問安全 57
3.3.2 IPS 4200係列傳感器(前身為IDS 4200) 58
3.4 設備安全的自查列錶 60
3.5 總結 60
3.6 參考 60
第4章 交換機安全特性 63
4.1 保護二層網絡 63
4.2 端口級流量控製 64
4.2.1 風暴控製(Storm Control) 64
4.2.2 端口隔離(Protected Port/PVLAN Edge) 64
4.3 私有VLAN(PVLAN) 65
4.3.1 配置PVLAN 68
4.3.2 端口阻塞(Port Blocking) 69
4.3.3 端口安全(Port Security) 69
4.4 交換機訪問列錶 71
4.4.1 路由器ACL 71
4.4.2 端口ACL 71
4.4.3 VLAN ACL(VACL) 72
4.4.4 MAC ACL 74
4.5 生成樹協議特性 74
4.5.1 橋協議數據單元防護(BPDU Guard) 74
4.5.2 根防護(Root Guard) 75
4.5.3 Etherchannel防護(Etherchannel Guard) 75
4.5.4 環路防護(Loop Guard) 76
4.6 動態主機配置協議(DHCP)Snooping 76
4.7 IP源地址防護(IP Source Guard) 78
4.8 DAI(動態ARP監控) 78
4.8.1 DHCP環境中的DAI 80
4.8.2 非DHCP環境中的DAI 80
4.8.3 為入站ARP數據包限速 81
4.8.4 ARP確認檢查(ARP Validation Checks) 81
4.9 高端Catalyst交換機上的高級安全特性 81
4.10 控製麵監管(CoPP)特性 82
4.11 CPU限速器 83
4.12 二層安全的最佳推薦做法 83
4.13 總結 84
4.14 參考 84
第5章 Cisco IOS防火牆 87
5.1 路由器防火牆之解決方案 87
5.2 基於上下文的訪問控製(CBAC) 89
5.3 CBAC功能 89
5.3.1 流量過濾 89
5.3.2 流量監控 90
5.3.3 告警與審計跟蹤 90
5.4 CBAC工作原理 91
5.4.1 數據包監控 91
5.4.2 超時時間與門限值 91
5.4.3 會話狀態錶 91
5.4.4 UDP連接 92
5.4.5 動態ACL條目 92
5.4.6 初始(半開)會話 92
5.4.7 為主機進行DoS防護 93
5.5 CBAC支持的協議 93
5.6 配置CBAC 94
5.6.1 第一步:選擇一個接口:內部接口或者外部接口 94
5.6.2 第二步:配置IP訪問列錶 95
5.6.3 第三步:定義監控規則 95
5.6.4 第四步:配置全局的超時時間和門限值 95
5.6.5 第五步:把訪問控製列錶和監控規則應用到接口下 96
5.6.6 第六步:驗證和監測CBAC配置 97
5.6.7 綜閤應用範例 97
5.7 IOS防火牆增強特性 97
5.7.1 HTTP監控功能 98
5.7.2 電子郵件監控功能 98
5.7.3 防火牆ACL旁路 99
5.7.4 透明IOS防火牆(二層防火牆) 99
5.7.5 虛擬分片重組(VFR) 100
5.7.6 VRF感知型(VRF-Aware)IOS防火牆 100
5.7.7 監控路由器生成的流量 101
5.8 基於區域的策略防火牆(ZFW) 101
5.8.1 基於區域的策略概述 101
5.8.2 安全區域 102
5.8.3 配置基於區域的策略防火牆 103
5.8.4 使用CPL配置ZFW 103
5.8.5 應用程序檢查與控製(AIC) 104
5.9 總結 105
5.10 參考 105
第6章 Cisco防火牆:設備與模塊 107
6.1 防火牆概述 107
6.2 硬件防火牆與軟件防火牆的對比 108
6.3 Cisco PIX 500係列安全設備 108
6.4 Cisco ASA 5500係列自適應安全設備 109
6.5 Cisco防火牆服務模塊(FWSM) 110
6.6 PIX 500和ASA 550係列防火牆設備操作係統 111
6.7 防火牆設備OS軟件 112
6.8 防火牆模式 112
6.8.1 路由模式防火牆 112
6.8.2 透明模式防火牆(隱藏防火牆) 113
6.9 狀態化監控 114
6.10 應用層協議監控 115
6.11 自適應安全算法的操作 116
6.12 安全虛擬防火牆 117
6.12.1 多虛擬防火牆——路由模式(及共享資源) 118
6.12.2 多虛擬防火牆——透明模式 118
6.12.3 配置安全虛擬防火牆 120
6.13 安全級彆 121
6.14 冗餘接口 122
6.15 IP路由 123
6.15.1 靜態及默認路由 123
6.15.2 最短路徑優先(OSPF) 125
6.15.3 路由信息協議(RIP) 128
6.15.4 增強型內部網關路由協議(EIGRP) 129
6.16 網絡地址轉換(NAT) 130
6.16.1 NAT控製
(NAT Control) 130
6.16.2 NAT的類型 132
6.16.3 在啓用NAT的情況下繞過NAT轉換 137
6.16.4 策略NAT 139
6.16.5 NAT的處理順序 140
6.17 控製流量與網絡訪問 141
6.17.1 ACL概述及其在安全設備上的應用 141
6.17.2 使用訪問列錶控製通過安全設備的齣入站流量 141
6.17.3 用對象組簡化訪問列錶 143
6.18 組件策略框架(MPF,Modular Policy Framework) 144
6.19 Cisco AnyConnect VPN客戶端 146
6.20 冗餘備份與負載分擔 147
6.20.1 故障切換需求 147
6.20.2 故障切換鏈路 148
6.20.3 狀態鏈路(State Link) 148
6.20.4 故障切換的實施 149
6.20.5 非對稱路由支持(ASR) 151
6.21 防火牆服務模塊(FWSM)的防火牆“模塊化”係統 151
6.22 防火牆模塊OS係統 151
6.23 穿越防火牆模塊的網絡流量 152
6.24 路由器/MSFC的部署 152
6.24.1 單模防火牆 153
6.24.2 多模防火牆 153
6.25 配置FWSM 154
6.26 總結 155
6.27 參考 156
第7章 攻擊矢量與緩解技術 159
7.1 網絡漏洞、網絡威脅與網絡滲透 159
7.1.1 攻擊的分類 160
7.1.2 攻擊矢量 160
7.1.3 黑客傢族的構成 161
7.1.4 風險評估 162
7.2 三層緩解技術 163
7.2.1 流量分類 163
7.2.2 IP源地址跟蹤器 167
7.2.3 IP欺騙攻擊 168
7.2.4 數據包分類與標記方法 171
7.2.5 承諾訪問速率(CAR) 171
7.2.6 模塊化QoS CLI(MQC) 173
7.2.7 流量管製(Traffic Policing) 174
7.2.8 基於網絡的應用識彆(NBAR) 175
7.2.9 TCP攔截 177
7.2.10 基於策略的路由(PBR) 179
7.2.11 單播逆嚮路徑轉發(uRPF) 180
7.2.12 NetFlow 182
7.3 二層緩解方法 184
7.3.1 CAM錶溢齣—MAC攻擊 185
7.3.2 MAC欺騙攻擊 185
7.3.3 ARP欺騙攻擊 186
7.3.4 VTP攻擊 187
7.3.5 VLAN跳轉攻擊 188
7.3.6 PVLAN攻擊 190
7.3.7 生成樹攻擊 192
7.3.8 DHCP欺騙與耗竭(Starvation)攻擊 193
7.3.9 802.1x攻擊 193
7.4 安全事故響應架構 195
7.4.1 什麼是安全事故 195
7.4.2 安全事故響應處理 195
7.4.3 事故響應小組(IRT) 195
7.4.4 安全事故響應方法指導 196
7.5 總結 198
7.6 參考 199
第2部分 身份安全和訪問管理
第8章 保護管理訪問 203
8.1 AAA安全服務 203
8.1.1 AAA範例 204
8.1.2 AAA之間的依賴關係 205
8.2 認證協議 205
8.2.1 RADIUS(遠程認證撥入用戶服務) 205
8.2.2 TACACS+(終端訪問控製器訪問控製係統) 208
8.2.3 RADIUS與TACACS+的對比 211
8.3 實施AAA 211
8.3.1 AAA方法 212
8.3.2 AAA功能服務類型 213
8.4 配置案例 215
8.4.1 使用RADIUS實現PPP認證、授權、審計 215
8.4.2 使用TACACS+服務器實現登錄認證、命令授權和審計 216
8.4.3 設置瞭密碼重試次數限製的登錄認證 216
8.5 總結 217
8.6 參考 217
第9章 Cisco Secure ACS軟件與設備 219
9.1 Windows操作係統下的
Cisco Secure ACS軟件 219
9.1.1 AAA服務器:Cisco
Secure ACS 220
9.1.2 遵循的協議 221
9.2 高級ACS功能與特性 222
9.2.1 共享配置文件組件(SPC) 222
9.2.2 可下載的IP ACL 222
9.2.3 網絡訪問過濾器(NAF) 223
9.2.4 RADIUS授權組件(RAC) 223
9.2.5 Shell命令授權集 223
9.2.6 網絡訪問限製(NAR) 224
9.2.7 設備訪問限製(MAR) 224
9.2.8 網絡訪問配置文件(NAP) 224
9.2.9 Cisco NAC支持 225
9.3 配置ACS 225
9.4 Cisco Secure ACS設備 234
9.5 總結 234
9.6 參考 235
第10章 多重認證 237
10.1 身份識彆和認證(Identification and Authentication) 237
10.2 雙重認證係統 238
10.2.1 一次性密碼(OTP) 238
10.2.2 S/KEY 239
10.2.3 用OTP解決方案抵抗重放攻擊(Replay Attack) 239
10.2.4 雙重認證係統的屬性 239
10.3 Cisco Secure ACS支持的雙重認證係統 240
10.3.1 Cisco Secure ACS是如何工作的 241
10.3.2 在Cisco Secure ACS上配置啓用瞭RADIUS的令牌服務器 242
10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服務器 245
10.4 總結 245
10.5 參考 246
第11章 第2層訪問控製 249
11.1 信任與身份識彆管理解決方案 250
11.2 基於身份的網絡服務(IBNS) 251
11.2.1 Cisco Secure ACS 252
11.2.2 外部數據庫支持 252
11.3 IEEE 802.1x 252
11.3.1 IEEE802.1x組件 253
11.3.2 端口狀態:授權與未授權 254
11.3.3 EAP認證方式 255
11.4 部署802.1x解決方案 256
11.4.1 無綫LAN(點到點) 256
11.4.2 無綫LAN(多點) 256
11.5 部署802.1x基於端口的認證 258
11.5.1 在運行Cisco IOS的Cisco Catalyst交換機上
配置802.1x和RADIUS 258
11.5.2 在運行Cisco IOS的Cisco Aironet無綫LAN接入點上
配置802.1x和RADIUS 262
11.5.3 在Windows XP客戶端配置遵循IEEE 802.1x的
用戶接入設備 263
11.6 總結 263
11.7 參考 264
第12章 無綫局域網(WLAN)安全 267
12.1 無綫LAN(LAN) 267
12.1.1 無綫電波 267
12.1.2 IEEE協議標準 268
12.1.3 通信方式——無綫頻率(RF).. 268
12.1.4 WLAN的組成 269
12.2 WLAN安全 270
12.2.1 服務集標識(SSID) 270
12.2.2 MAC認證 271
12.2.3 客戶端認證 271
12.2.4 靜態WEP(有綫等效保密) 272
12.2.5 WPA、WPA2和802.11i(WEP的增強) 272
12.2.6 IEEE 802.1x和EAP 273
12.2.7 WLAN NAC 281
12.2.8 WLAN IPS 281
12.2.9 VPN IPsec 282
12.3 緩解WLAN攻擊 282
12.4 Cisco統一無綫網絡解決方案 282
12.5 總結 284
12.6 參考 284
第13章 網絡準入控製(NAC) 287
13.1 建立自防禦網絡(SDN) 287
13.2 網絡準入控製(NAC) 288
13.2.1 為何使用NAC 288
13.2.2 Cisco NAC 289
13.2.3 對比NAC産品和NAC框架 290
13.3 Cisco NAC産品解決方案 291
13.3.1 Cisco NAC産品解決方案機製 291
13.3.2 NAC産品組件 291
13.3.3 NAC産品部署方案 292
13.4 Cisco NAC框架解決方案 294
13.4.1 Cisco NAC框架解決方案機製 294
13.4.2 NAC框架組件 296
13.4.3 NAC框架部署環境 300
13.4.4 NAC框架的執行方法 300
13.4.5 實施NAC-L3-IP 301
13.4.6 實施NAC-L2-IP 303
13.4.7 部署NAC-L2-802.1x 306
13.5 總結 308
13.6 參考 309
第3部分 數據保密
第14章 密碼學 313
14.1 安全通信 313
14.1.1 加密係統 313
14.1.2 密碼學概述 314
14.1.3 加密術語 314
14.1.4 加密算法 315
14.2 虛擬專用網(VPN) 322
14.3 總結 323
14.4 參考 323
第15章 IPsec VPN 325
15.1 虛擬專用網絡(VPN) 325
15.1.1 VPN技術類型 325
15.1.2 VPN部署方案類型 326
15.2 IPsec VPN(安全VPN) 327
15.2.1 IPsec RFC 327
15.2.2 IPsec模式 330
15.2.3 IPsec協議頭 331
15.2.4 IPsec反重放保護 333
15.2.5 ISAKMP和IKE 333
15.2.6 ISAKMP Profile 337
15.2.7 IPsec Profile 338
15.2.8 IPsec虛擬隧道接口(IPsec VTI) 339
15.3 公鑰基礎結構(PKI) 340
15.3.1 PKI組件 341
15.3.2 證書登記 341
15.4 部署IPsec VPN 343
15.4.1 Cisco IPsec VPN部署環境 343
15.4.2 站點到站點IPsec VPN 345
15.4.3 遠程訪問IPsec VPN 348
15.5 總結 355
15.6 參考 356
第16章 動態多點VPN(DMVPN) 359
16.1 DMVPN解決方案技術架構 359
16.1.1 DMVPN網絡設計 360
16.1.2 DMVPN解決方案組件 362
16.1.3 DMVPN如何工作 362
16.1.4 DMVPN數據結構 363
16.2 DMVPN部署環境拓撲 364
16.3 實施DMVPN中心到節點的設計方案 364
16.3.1 實施單hub單DMVPN(SHSD)拓撲 365
16.3.2 實施雙hub雙DMVPN(DHDD)拓撲 370
16.3.3 實施服務器負載均衡(SLB)拓撲 371
16.4 實施DMVPN動態網狀節點到節點的設計方案 372
16.4.1 實施雙hub單DMVPN(DHSD)拓撲 373
16.4.2 實施多hub單DMVPN(MHSD)拓撲 381
16.4.3 實施分層(基於樹的)拓撲 382
16.5 總結 382
16.6 參考 383
第17章 群組加密傳輸VPN(GET VPN) 385
17.1 GET VPN解決方案技術構架 385
17.1.1 GET VPN特性 386
17.1.2 為何選擇GET VPN 387
17.1.3 GET VPN和DMVPN 389
17.1.4 GET VPN部署需要考慮的因素 388
17.1.5 GET VPN解決方案組件 388
17.1.6 GET VPN的工作方式 389
17.1.7 保留IP包頭 391
17.1.8 組成員ACL 391
17.2 實施Cisco IOS GET VPN 392
17.3 總結 396
17.4 參考 397
第18章 安全套接字層VPN(SSL VPN) 309
18.1 安全套接字層(SSL)協議 309
18.2 SSL VPN解決方案技術架構 400
18.2.1 SSL VPN概述 400
18.2.2 SSL VPN特性 401
18.2.3 部署SSL VPN需要考慮的因素 401
18.2.4 SSL VPN訪問方式 402
18.2.5 SSL VPN Citrix支持 403
18.3 部署Cisco IOS SSL VPN 404
18.4 Cisco AnyConnect VPN Client 405
18.5 總結 406
18.6 參考 406
第19章 多協議標簽交換VPN(MPLS VPN) 409
19.1 多協議標簽交換(MPLS) 409
19.1.1 MPLS技術架構概述 410
19.1.2 MPLS如何工作 411
19.1.3 MPLS VPN和IPsec VPN 411
19.1.4 部署場景 412
19.1.5 麵嚮連接和無連接的VPN技術 413
19.2 MPLS VPN(可信VPN) 414
19.3 L3 VPN和L2 VPN的對比 414
19.4 L3VPN 415
19.4.1 L3VPN組件 415
19.4.2 L3VPN如何實施 416
19.4.3 VRF如何工作 416
19.5 實施L3VPN 416
19.6 L2VPN 422
19.7 實施L2VPN 424
19.7.1 在MPLS服務上部署以太網VLAN——使用
基於VPWS的技術架構 424
19.7.2 在MPLS服務上部署以太網VLAN——使用
基於VPLS的技術架構 424
19.8 總結 425
19.9 參考 426
第4部分 安全監控
第20章 網絡入侵防禦 431
20.1 入侵係統術語 431
20.2 網絡入侵防禦概述 432
20.3 Cisco IPS 4200係列傳感器 432
20.4 Cisco IDS服務模塊(IDSM-2) 434
20.5 Cisco高級檢測和防禦安全服務模塊(AIP-SSM) 435
20.6 Cisco IPS高級集成模塊(IPS-AIM) 436
20.7 Cisco IOS IPS 437
20.8 部署IPS 437
20.9 Cisco IPS傳感器OS軟件 438
20.10 Cisco IPS傳感器軟件 440
20.10.1 傳感器軟件—係統架構 440
20.10.2 傳感器軟件—通信協議 441
20.10.3 傳感器軟件—用戶角色 442
20.10.4 傳感器軟件—分區 442
20.10.5 傳感器軟件—特徵和特徵引擎 442
20.10.6 傳感器軟件—IPS事件 444
20.10.7 傳感器軟件—IPS事件響應 445
20.10.8 傳感器軟件—IPS風險評估(RR) 446
20.10.9 傳感器軟件—IPS威脅評估 447
20.10.10 傳感器軟件—IPS接口 447
20.10.11 傳感器軟件—IPS接口模式 449
20.10.12 傳感器軟件—IPS阻塞(block/shun) 452
20.10.13 傳感器軟件—IPS速率限製 453
20.10.14 傳感器軟件—IPS虛擬化 453
20.10.15 傳感器軟件—IPS安全策略 454
20.10.16 傳感器軟件—IPS異常檢測(AD) 454
20.11 IPS高可用性 455
20.11.1 IPS失效開放機製 456
20.11.2 故障切換機製 456
20.11.3 失效開放和故障切換的部署 457
20.11.4 負載均衡技術 457
20.12 IPS設備部署準則 457
20.13 Cisco入侵防禦係統設備管理器(IDM) 457
20.14 配置IPS在綫VLAN對模式 458
20.15 配置IPS在綫接口對模式 460
20.16 配置自定義特徵和IPS阻塞 464
20.17 總結 465
20.18 參考 466
第21章 主機入侵防禦 469
21.1 使用無特徵機製保障終端安全 469
21.2 Cisco安全代理(CSA) 470
21.3 CSA技術架構 471
21.3.1 CSA攔截和關聯 472
21.3.2 CSA關聯的全局擴展 473
21.3.3 CSA訪問控製過程 473
21.3.4 CSA深層防禦——零時差保護 474
21.4 CSA的能力和安全功能角色 474
21.5 CSA組件 475
21.6 使用CSA MC配置和管理CSA部署 476
21.6.1 管理CSA主機 476
21.6.2 管理CSA代理工具包 479
21.6.3 管理CSA組 481
21.6.4 CSA代理用戶界麵 482
21.6.5 CSA策略、規則模塊和規則 484
21.7 總結 485
21.8 參考 486
第22章 異常檢測與緩解 489
22.1 攻擊概述 489
22.1.1 拒絕服務(DoS)攻擊定義 489
22.1.2 分布式拒絕服務(DDoS)攻擊定義 490
22.2 異常檢測和緩解係統 491
22.3 Cisco DDoS異常檢測和緩解解決方案 492
22.4 Cisco流量異常檢測器(Cisco Traffic Anomaly Detecor) 493
22.5 Cisco Guard DDoS緩解設備 495
22.6 整體運行 497
22.7 配置和管理Cisco流量異常檢測器 499
22.7.1 管理檢測器 500
22.7.2 通過CLI控製颱初始化檢測器 500
22.7.3 配置檢測器(區域、過濾器、策略和學習過程) 501
22.8 配置和管理Cisco Guard緩解設備 504
22.8.1 管理Guard 504
22.8.2 通過CLI控製颱初始化Guard 505
22.8.3 配置Guard(區域、過濾器、策略和學習過程) 505
22.9 總結 508
22.10 參考 508
第23章 安全監控和關聯 511
23.1 安全信息和事件管理 511
23.2 Cisco安全監控、分析和響應係統(CS-MARS) 512
23.2.1 安全威脅防禦(STM)係統 513
23.2.2 拓撲感知和網絡映射 514
23.2.3 關鍵概念——事件、會話、規則和事故 515
23.2.4 CS-MARS中的事件處理 517
23.2.5 CS-MARS中的誤報 518
23.3 部署CS-MARS 518
23.3.1 獨立控製器和本地控製器(LC) 519
23.3.2 全局控製器(GC) 520
23.3.3 軟件版本信息 521
23.3.4 報告和防禦設備 522
23.3.5 運行級彆 523
23.3.6 必需的流量和需要開放的端口 523
23.3.7 基於Web的管理界麵 525
23.3.8 初始化CS-MARS 526
23.4 總結 527
23.5 參考 528
第5部分 安全管理
第24章 安全和策略管理 533
24.1 Cisco安全管理解決方案 533
24.2 Cisco安全管理器 534
24.2.1 Cisco安全管理器—特性和能力 534
24.2.2 Cisco安全管理器—防火牆管理 536
24.2.3 Cisco安全管理器—VPN管理 536
24.2.4 Cisco安全管理器—IPS管理 537
24.2.5 Cisco安全管理器—平颱管理 538
24.2.6 Cisco安全管理器—係統架構 538
24.2.7 Cisco安全管理器—配置視圖 539
24.2.8 Cisco安全管理器—管理設備 541
24.2.9 Cisco安全管理器—工作流模式 541
24.2.10 Cisco安全管理器—基於角色的訪問控製(RBAC) 542
24.2.11 Cisco安全管理器—交叉啓動xDM 543
24.2.12 Cisco安全管理器—支持的設備和OS版本 545
24.2.13 Cisco安全管理器—服務器和客戶端的要求與限製 546
24.2.14 Cisco安全管理器—必需的流量和需要開放的端口 547
24.3 Cisco路由器和安全設備管理器(SDM) 549
24.3.1 Cisco SDM—特性和能力 549
24.3.2 Cisco SDM—如何工作 550
24.3.3 Cisco SDM—路由器安全審計特性 552
24.3.4 Cisco SDM—一步鎖定特性 552
24.3.5 Cisco SDM—監測模式 553
24.3.6 Cisco SDM—支持的路由器和IOS版本 554
24.3.7 Cisco SDM—係統要求 555
24.4 Cisco自適應安全設備管理器(ASDM) 556
24.4.1 Cisco ASDM—特性和能力 556
24.4.2 Cisco ASDM—如何工作 556
24.4.3 Cisco ASDM—數據包追蹤器程序 559
24.4.4 Cisco ASDM—係統日誌到訪問規則的關聯 559
24.4.5 Cisco ASDM—支持的防火牆和軟件版本 560
24.4.6 Cisco ASDM——用戶要求 560
24.5 Cisco PIX設備管理器(PDM) 560
24.6 Cisco IPS設備管理器(IDM) 561
24.6.1 Cisco IDM—如何工作 562
24.6.2 Cisco IDM—係統要求 562
24.7 總結 563
24.8 參考 563
第25章 安全框架與法規遵從性 567
25.1 安全模型 567
25.2 策略、標準、部署準則和流程 568
25.2.1 安全策略 569
25.2.2 標準 569
25.2.3 部署準則 569
25.2.4 流程 569
25.3 最佳做法框架 570
25.3.1 ISO/IEC 17799(現為ISO/IEC 27002) 570
25.3.2 COBIT 571
25.3.3 17799/27002和COBIT的對比 571
25.4 遵從性和風險管理 572
25.5 法規遵從性和立法行為 572
25.6 GLBA——格雷姆-裏奇-比利雷法 572
25.6.1 對誰有效 573
25.6.2 GLBA的要求 573
25.6.3 違規處罰 574
25.6.4 滿足GLBA的Cisco解決方案 574
25.6.5 GLBA總結 574
25.7 HIPAA——健康保險可攜性與責任法案 575
25.7.1 對誰有效 575
25.7.2 HIPAA的要求 575
25.7.3 違規處罰 575
25.7.4 滿足HIPAA的Cisco解決方案 576
25.7.5 HIPAA總結 576
25.8 SOX——薩班斯-奧剋斯利法案 576
25.8.1 對誰有效 577
25.8.2 SOX法案的要求 577
25.8.3 違規處罰 578
25.8.4 滿足SOX的Cisco解決方案 579
25.8.5 SOX總結 579
25.9 法規遵從性規章製度的全球性展望 579
25.9.1 在美國 580
25.9.2 在歐洲 580
25.9.3 在亞太地區 580
25.10 Cisco自防禦網絡解決方案 581
25.11 總結 581
25.12 參考 581
· · · · · · (收起)
讀後感
評分
評分
評分
評分
評分
用戶評價
评分
以思科安全産品為主綫介紹相關方案及應用方法...謝@趙迪_胖 推薦
评分以思科安全産品為主綫介紹相關方案及應用方法...謝@趙迪_胖 推薦
评分以思科安全産品為主綫介紹相關方案及應用方法...謝@趙迪_胖 推薦
评分很詳細,但是作為初學者的教材還是太細瞭。某種程度上說,更像是一個reference book。
评分以思科安全産品為主綫介紹相關方案及應用方法...謝@趙迪_胖 推薦
相關圖書
本站所有內容均為互聯網搜索引擎提供的公開搜索信息,本站不存儲任何數據與內容,任何內容與數據均與本站無關,如有需要請聯繫相關搜索引擎包括但不限於百度,google,bing,sogou 等
© 2025 book.quotespace.org All Rights Reserved. 小美書屋 版权所有