Cisco路由器防火墻安全

內(nèi)容概要

　　本書全面系統(tǒng)地介紹基于Cisco IOS軟件操作系統(tǒng)的各種防火墻特性。使用這些特性可以加固Cisco邊界路由器和其他路由器，在保護已有投資的情況下，保護我們的網(wǎng)絡免受各種安全威脅和攻擊?！　”緯灿?1章，分成9個部分。第一部分是安全問題和防火墻的概述。第二部分通過基本的訪問設置、關閉不必要的服務和實施AAA來保護到路由器本身的訪問安全。第三部分介紹Cisco的無狀態(tài)流量過濾技術(shù)，包括基本的、擴展的、命名的、定時的、有序的和編譯的ACL。第四部分介紹Cisco的有狀態(tài)的流量過濾技術(shù)，包括反射ACL、CBAC、URL過濾和NBAR等特征。第五部分介紹地址轉(zhuǎn)換和地址轉(zhuǎn)換所引起的問題以及相應的解決方法。第六部分分別介紹鎖和密鑰ACL、認證代理和對路由選擇協(xié)議的保護，鎖和密鑰以及認證代理用來實現(xiàn)在允許用戶訪問資源之前首先對他們進行認證的功能。第七部分主要介紹入侵檢測系統(tǒng)、DoS防護和記錄日志事件。第八部分介紹站到站的IPSec連接和遠程接入IPSec連接。第九部分介紹一個綜合的案例學習，結(jié)合本書中介紹的重要安全組件，講述如何保護一個實際環(huán)境中的網(wǎng)絡安全?！　”緯且槐娟P于“如何做”的書，堪稱是一部關于Cisco路由器防火墻安全的參考大全。作者Richard是一位有多年計算機網(wǎng)絡業(yè)工作經(jīng)驗的專家，本書融入了作者網(wǎng)絡安全實踐的很多體會和提示，使讀者能更好地掌握重要特征和關鍵問題。本書中提供的許多例子都很典型，可以方便地應用到我們的網(wǎng)絡環(huán)境中。本書文筆流暢、內(nèi)容翔實、覆蓋面很廣，是廣大網(wǎng)絡安全從業(yè)人員和網(wǎng)絡管理人員的案頭必備用書。本書也可以有效地幫助您通過Cisco的CCSP SECUR認證考試。

作者簡介

Richard A.Deal擁有CCSP，CCNP和CCNA證書，曾經(jīng)就讀于GROVE市立學院，他主修數(shù)學、計算機和英語，并獲得科學學士學位。在過去的7年里，他經(jīng)營自己的公司，該公司提供咨詢和技術(shù)培訓。他在計算機和網(wǎng)絡業(yè)（包括網(wǎng)絡、培訓、系統(tǒng)管理和編程）有17年的工作經(jīng)驗。
    除了

書籍目錄

第一部分　安全概述和防火墻第1章　安全威脅　31.1　安全計劃　41.1.1　不同的平臺　41.1.2　安全目標　51.2　安全問題的起因　51.2.1　策略定義　61.2.2　計算機技術(shù)　91.2.3　設備配置　111.3　安全威脅的類型　111.3.1　外部和內(nèi)部威脅　121.3.2　無組織的和有組織的威脅　121.4　威脅的分類　131.4.1　勘測攻擊　131.4.2　訪問攻擊　161.4.3　拒絕服務攻擊　231.5　安全解決方案　251.5.1　設計安全解決方案　251.5.2　Cisco安全輪形圖　261.5.3　安全檢查列表　271.5.4　附加信息　281.6　小結(jié)　28第2章　防火墻概述　312.1　防火墻簡介　312.1.1　防火墻定義　322.1.2　防火墻保護　322.2　流量控制和OSI參考模型　342.2.1　OSI參考模型概要　342.2.2　防火墻和OSI參考模型　352.3　防火墻種類　352.3.1　包過濾防火墻　362.3.2　狀態(tài)防火墻　402.3.3　應用網(wǎng)關防火墻　482.3.4　地址轉(zhuǎn)換防火墻　542.3.5　基于主機的防火墻　572.3.6　混合防火墻　592.3.7　防火墻和其他服務　602.4　防火墻設計　612.4.1　設計準則　612.4.2　DMZ　642.4.3　組件　682.4.4　組件布局　712.4.5　防火墻實施　742.4.6　防火墻管理　762.5　Cisco IOS安全　762.5.1　Cisco IOS的使用　772.5.2　Cisco IOS的安全特性　772.5.3　Cisco IOS設備及其使用　782.5.4　何時使用Cisco IOS防火墻　792.6　小結(jié)　80第二部分　管理到路由器的訪問第3章　訪問路由器　853.1　認證類型　853.1.1　沒有口令認證　863.1.2　靜態(tài)口令認證　863.1.3　時效口令認證　873.1.4　一次性口令認證　873.1.5　令牌卡服務　883.2　用戶級EXEC訪問方法　903.2.1　本地訪問：控制臺和輔助線路　913.2.2　遠程訪問　933.3　特權(quán)級EXEC訪問　1123.3.1　口令　1123.3.2　權(quán)限級別　1123.4　其他訪問問題　1163.4.1　加密口令　1163.4.2　標識　1173.5　配置實例　1193.6　小結(jié)　121第4章　關閉不必要的服務　1234.1　關閉全局服務　1234.1.1　Cisco發(fā)現(xiàn)協(xié)議　1244.1.2　TCP和UDP低端口服務　1254.1.3　Finger　1264.1.4　IdentD　1264.1.5　IP源路由　1274.1.6　FTP和TFTP　1284.1.7　HTTP　1284.1.8　SNMP　1294.1.9　域名解析　1304.1.10　BootP　1314.1.11　DHCP　1314.1.12　PAD　1324.1.13　配置自動加載　1324.2　關閉接口服務　1334.2.1　不安全接口上的CDP　1334.2.2　ARP代理　1344.2.3　定向廣播　1354.2.4　ICMP消息　1364.2.5　維護操作協(xié)議　1394.2.6　VTY　1404.2.7　未使用的接口　1414.3　在邊界路由器上手動關閉服務的配置例子　1414.4　AutoSecure　1424.4.1　安全平面　1424.4.2　AutoSecure配置　1444.5　小結(jié)　154第5章　認證、授權(quán)和記賬　1575.1　AAA概述　1575.1.1　AAA工作原理　1585.1.2　打開AAA　1585.1.3　安全協(xié)議　1595.2　認證　1665.2.1　認證方法　1675.2.2　認證配置　1685.2.3　認證排錯　1715.2.4　認證例子　1715.3　授權(quán)　1725.3.1　授權(quán)方法　1735.3.2　授權(quán)配置　1735.3.3　授權(quán)排錯　1745.3.4　授權(quán)例子　1755.4　記賬　1755.4.1　記賬方法　1765.4.2　記賬配置　1765.4.3　記賬排錯　1785.4.4　記賬例子　1795.5　安全復制　1795.5.1　SCP準備　1805.5.2　SCP配置　1805.5.3　SCP排錯　1805.5.4　SCP例子　1815.6　小結(jié)　181第三部分　無狀態(tài)的過濾技術(shù)第6章　訪問列表概述　1856.1　訪問列表簡介　1856.1.1　ACL和過濾　1866.1.2　ACL類型　1876.1.3　處理ACL　1886.2　基本ACL的配置　1946.2.1　建立ACL　1956.2.2　激活ACL　1966.2.3　編輯ACL　1976.3　通配符掩碼　1986.3.1　將子網(wǎng)掩碼轉(zhuǎn)換成通配符掩碼　1996.3.2　通配符掩碼錯誤　2006.4　小結(jié)　200第7章　基本訪問列表　2037.1　ACL的類型　2037.1.1　標準ACL　2047.1.2　擴展ACL　2077.1.3　ACL驗證　2187.1.4　分片和擴展ACL　2197.1.5　定時ACL　2237.2　其他的ACL特性　2267.2.1　ACL注釋　2267.2.2　日志記錄更新　2287.2.3　IP統(tǒng)計和ACL　2287.2.4　Turbo ACL　2307.2.5　有序的ACL　2327.3　受攻擊時的保護　2357.3.1　Bogon阻塞和欺騙　2357.3.2　DoS和分布式DoS攻擊　2407.3.3　簡單勘查攻擊　2467.3.4　分布式DoS攻擊　2487.3.5　特洛伊木馬　2547.3.6　蠕蟲　2567.4　阻塞不必要的服務　2607.4.1　一場艱難的戰(zhàn)斗　2607.4.2　即時消息產(chǎn)品　2617.4.3　文件共享：端到端產(chǎn)品　2657.5　小結(jié)　272第四部分　有狀態(tài)的和高級的過濾技術(shù)第8章　反射訪問列表　2778.1　反射ACL概述　2778.1.1　擴展的ACL相比反射ACL　2788.1.2　反射ACL的工作原理　2828.1.3　反射ACL的局限性　2858.2　配置反射ACL　2888.2.1　接口選擇　2888.2.2　配置命令　2918.3　反射ACL舉例　2958.3.1　簡單的RACL例子　2958.3.2　兩個接口的RACL例子　2958.3.3　三個接口的RACL例子　2968.4　小結(jié)　299第9章　基于上下文的訪問控制　3019.1　Cisco IOS防火墻特性　3019.2　CBAC的功能　3029.2.1　過濾流量　3029.2.2　審查流量　3039.2.3　檢測入侵　3039.2.4　生成警告和審計信息　3039.3　CBAC的操作　3039.3.1　基本操作　3039.3.2　CBAC相對RACL的增強　3059.4　CBAC支持的協(xié)議　3089.4.1　RTSP應用　3099.4.2　H.323應用　3109.4.3　Skinny支持　3109.4.4　SIP支持　3119.5　CBAC的性能　3129.5.1　吞吐量改進特性　3139.5.2　每秒連接改進特性　3139.5.3　CPU使用率改進特性　3139.6　CBAC的局限性　3149.7　CBAC的配置　3149.7.1　步驟1：接口選擇　3159.7.2　步驟2：ACL配置　3159.7.3　步驟3：全局超時值　3169.7.4　步驟4：端口應用映射　3179.7.5　步驟5：審查規(guī)則　3209.7.6　步驟6：激活審查　3249.7.7　步驟7：CBAC排錯　3249.7.8　刪除CBAC　3289.8　CBAC例子　3289.8.1　簡單例子　3289.8.2　兩個接口的CBAC例子　3309.8.3　三接口的CBAC例子　3319.9　小結(jié)　334第10章　過濾Web和應用流量　33710.1　Java小程序　33710.1.1　Java審查　33810.1.2　Java阻塞　33810.1.3　Java阻塞例子　33810.2　URL過濾　34010.2.1　URL過濾操作　34010.2.2　URL過濾的優(yōu)點和局限性　34110.2.3　URL過濾實施　34310.2.4　URL過濾驗證　34910.2.5　URL過濾例子　35110.3　基于網(wǎng)絡的應用識別　35210.3.1　QoS的組件　35210.3.2　NBAR和分類　35310.3.3　NBAR的限制和局限性　35710.3.4　基本的NBAR配置　35810.3.5　NBAR驗證　36410.3.6　NBAR例子　36710.4　小結(jié)　372第五部分　地址轉(zhuǎn)換和防火墻第11章　地址轉(zhuǎn)換　37711.1　地址轉(zhuǎn)換概述　37711.1.1　私有地址　37711.1.2　地址轉(zhuǎn)換　37811.2　地址轉(zhuǎn)換的工作原理　37911.2.1　用于地址轉(zhuǎn)換的術(shù)語　38011.2.2　執(zhí)行地址轉(zhuǎn)換　38011.2.3　地址轉(zhuǎn)換的局限性　38511.3　地址轉(zhuǎn)換配置　38611.3.1　NAT配置　38611.3.2　PAT配置　38911.3.3　端口地址重定向配置　39111.3.4　處理重疊的地址　39311.3.5　流量分配配置　39611.3.6　配置轉(zhuǎn)換限制　39811.3.7　地址轉(zhuǎn)換的驗證和排錯　39811.4　NAT和CBAC的例子　40111.5　小結(jié)　403第12章　地址轉(zhuǎn)換問題　40512.1　嵌入的地址信息　40512.1.1　嵌入地址信息問題　40612.1.2　支持的協(xié)議和應用　40712.1.3　非標準的端口號　40812.2　控制地址轉(zhuǎn)換　40912.2.1　使用ACL　40912.2.2　使用路由映射：動態(tài)轉(zhuǎn)換　41012.2.3　使用路由映射：靜態(tài)轉(zhuǎn)換　41312.3　地址轉(zhuǎn)換和冗余　41512.3.1　使用HSRP的靜態(tài)NAT冗余　41512.3.2　有狀態(tài)的地址轉(zhuǎn)換失敗切換　41912.4　使用服務器負載平衡來分配流量　42612.4.1　SLB過程　42612.4.2　SLB的優(yōu)點和局限性　42912.4.3　SLB的配置　42912.4.4　SLB驗證　43212.4.5　SLB例子　43312.5　小結(jié)　434第六部分　管理通過路由器的訪問第13章　鎖和密鑰訪問列表　43913.1　鎖和密鑰概述　43913.1.1　鎖和密鑰與普通ACL　43913.1.2　何時使用鎖和密鑰　44013.1.3　鎖和密鑰的好處　44013.1.4　鎖和密鑰的處理過程　44113.2　鎖和密鑰配置　44213.2.1　配置步驟　44213.2.2　允許遠程管理訪問　44613.2.3　驗證和排錯　44713.3　鎖和鑰匙舉例　44813.4　小結(jié)　449第14章　認證代理　45114.1　AP簡介　45114.1.1　AP特性　45214.1.2　AP過程　45314.1.3　AP的使用　45514.1.4　AP的局限性　45614.2　AP的配置　45714.2.1　在路由器上配置AAA　45714.2.2　在服務器上配置AAA　45814.2.3　為HTTP或HTTPS作準備　46014.2.4　配置AP策略　46114.2.5　調(diào)整AP　46214.2.6　防止訪問攻擊　46314.3　AP驗證和排錯　46414.3.1　show命令　46414.3.2　clear命令　46514.3.3　debug命令　46614.4　AP舉例　46614.4.1　簡單的AP例子　46614.4.2　復雜的AP例子：CBAC和NAT　46914.5　小結(jié)　472第15章　路由選擇協(xié)議保護　47515.1　靜態(tài)和黑洞路由選擇　47515.1.1　靜態(tài)路由　47615.1.2　Null路由　47615.1.3　基于策略的路由選擇　47815.2　內(nèi)部網(wǎng)關協(xié)議安全　48015.2.1　認證　48115.2.2　RIPv2　48215.2.3　EIGRP　48315.2.4　OSPF　48415.2.5　IS-IS　48415.2.6　其他工具　48615.2.7　HSRP　48815.3　BGP安全　49015.3.1　認證　49015.3.2　路由翻動阻尼　49115.3.3　BGP路由選擇例子　49215.4　逆向路徑轉(zhuǎn)發(fā)(單播流量)　49615.4.1　RPF過程　49615.4.2　RPF的使用　49815.4.3　RPF局限性　49915.4.4　RPF配置　49915.4.5　RPF驗證　50015.4.6　單播RPF例子　50115.5　小結(jié)　501第七部分　檢測和防止攻擊第16章　入侵檢測系統(tǒng)　50516.1　IDS簡介　50516.1.1　IDS的實現(xiàn)　50616.1.2　IDS解決方案　50716.1.3　IDS要點　50916.2　IDS簽名　51016.2.1　簽名實現(xiàn)　51016.2.2　簽名結(jié)構(gòu)　51116.2.3　基本分類　51116.2.4　Cisco簽名類型　51116.3　Cisco路由器IDS解決方案　51216.3.1　簽名支持　51216.3.2　路由器IDS過程　51516.3.3　內(nèi)存和性能問題　51616.4　IDS配置　51716.4.1　步驟1：初始化配置　51716.4.2　步驟2：日志和郵局配置　51716.4.3　步驟3：審查規(guī)則配置和激活　51816.4.4　IDS驗證　52016.5　IDS舉例　52116.6　小結(jié)　522第17章　DoS防護　52517.1　檢測DoS攻擊　52517.1.1　常見的攻擊　52517.1.2　檢查CPU使用率來檢測DoS攻擊　52617.1.3　使用ACL檢測DoS攻擊　52817.1.4　使用NetFlow來檢測DoS攻擊　53317.2　CEF交換　53817.3　TCP截取　53917.3.1　TCP SYN洪水攻擊　53917.3.2　TCP截取模式　53917.3.3　TCP截取的配置和驗證　54017.3.4　TCP截取舉例　54417.4　CBAC和DoS攻擊　54517.4.1　超時和閾值　54517.4.2　CBAC DoS阻止驗證　54717.4.3　CBAC配置舉例　54717.5　速率限制　54817.5.1　ICMP速率限制　54917.5.2　CAR　55017.5.3　NBAR　55417.6　小結(jié)　557第18章　記錄日志事件　55918.1　基本日志記錄　55918.1.1　日志消息格式　56018.1.2　基本日志記錄配置　56018.1.3　日志記錄目的地　56118.1.4　其他日志命令　56618.1.5　日志記錄驗證　56718.1.6　日志記錄和錯誤計數(shù)　56918.2　時間和日期與Cisco IOS　57018.2.1　路由器時間源　57018.2.2　時間和日期的手動配置　57118.2.3　網(wǎng)絡時間協(xié)議簡介　57318.2.4　為NTP配置路由器客戶端　57318.2.5　為NTP配置路由器服務器　57518.2.6　NTP安全　57618.2.7　其他NTP命令　57818.2.8　NTP驗證　57818.2.9　NTP配置舉例　58018.3　內(nèi)置的系統(tǒng)日志管理器　58018.3.1　ESM簡介　58118.3.2　ESM過濾模塊　58118.3.3　ESM的建立和配置介紹　58418.4　其他日志記錄信息　58618.4.1　要尋找什么　58618.4.2　其他工具　58718.5　小結(jié)　589第八部分　虛擬專用網(wǎng)第19章　站到站的IPSec連接　59319.1　IPSec 準備　59319.1.1　基本任務　59319.1.2　外部ACL　59419.2　IKE階段1：管理連接　59519.2.1　打開ISAKMP/IKE　59619.2.2　定義IKE階段1策略　59619.3　IKE階段1對等體認證　59819.3.1　身份類型　59819.3.2　使用預共享密鑰的認證　59919.3.3　使用RSA加密Nonce的認證　59919.3.4　使用證書認證　60119.4　IKE階段2：數(shù)據(jù)連接　60719.4.1　步驟1：建立一個加密映射　60719.4.2　步驟2：建立變換集　60819.4.3　步驟3：建立加密映射　61019.4.4　步驟4：激活加密映射　61319.4.5　步驟5：驗證加密映射配置　61319.5　IPSec連接排錯　61419.5.1　檢查SA　61419.5.2　使用debug命令　61619.5.3　清除連接　61819.6　L2L舉例　61819.7　小結(jié)　620第20章　IPSec遠程接入連接　62320.1　遠程接入概述　62320.1.1　EasyVPN介紹　62420.1.2　EasyVPN IPSec支持　62520.1.3　EasyVPN特性　62520.2　IPSec遠程接入連接過程　62620.2.1　步驟1：EVC發(fā)起IPSec連接　62720.2.2　步驟2：EVC發(fā)送IKE階段1策略　62720.2.3　步驟3：EVS接受IKE階段1策略　62720.2.4　步驟4：EVS認證用戶　62720.2.5　步驟5：EVS執(zhí)行IKE模式配置　62820.2.6　步驟6：EVS使用RRI處理路由　62820.2.7　步驟7：IPSec設備建立數(shù)據(jù)連接　62920.3　IPSec遠程接入EVS設置　62920.3.1　配置過程　63020.3.2　任務1：認證策略　63020.3.3　任務2：組策略　63120.3.4　任務3：IKE階段1策略　63220.3.5　任務4：動態(tài)加密映射　63320.3.6　任務5：靜態(tài)加密映射　63520.3.7　任務6：遠程接入驗證　63620.4　IPSec遠程接入舉例　63720.5　小結(jié)　639第九部分　案例學習第21章　案例學習　64321.1　公司簡介　64321.1.1　公司總部　64321.1.2　分支機構(gòu)　64521.1.3　遠程接入用戶　64521.2　提議　64621.3　案例學習配置　64721.3.1　基本配置　64721.3.2　不必要的服務和SSH　64821.3.3　AAA　65021.3.4　訪問控制列表　65221.3.5　CBAC和Web過濾　65621.3.6　地址轉(zhuǎn)換　65721.3.7　路由選擇　65921.3.8　入侵檢測系統(tǒng)　66021.3.9　連接攻擊和CBAC　66121.3.10　速率限制　66121.3.11　NTP和系統(tǒng)日志　66321.3.12　站到站VPN　66421.3.13　遠程接入VPN　66621.4　小結(jié)　668

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    Cisco路由器防火墻安全 PDF格式下載

---