Cisco路由器防火墻安全

內(nèi)容概要

　　本書全面系統(tǒng)地介紹基于Cisco IOS軟件操作系統(tǒng)的各種防火墻特性。使用這些特性可以加固Cisco邊界路由器和其他路由器，在保護(hù)已有投資的情況下，保護(hù)我們的網(wǎng)絡(luò)免受各種安全威脅和攻擊?！　”緯灿?1章，分成9個(gè)部分。第一部分是安全問(wèn)題和防火墻的概述。第二部分通過(guò)基本的訪問(wèn)設(shè)置、關(guān)閉不必要的服務(wù)和實(shí)施AAA來(lái)保護(hù)到路由器本身的訪問(wèn)安全。第三部分介紹Cisco的無(wú)狀態(tài)流量過(guò)濾技術(shù)，包括基本的、擴(kuò)展的、命名的、定時(shí)的、有序的和編譯的ACL。第四部分介紹Cisco的有狀態(tài)的流量過(guò)濾技術(shù)，包括反射ACL、CBAC、URL過(guò)濾和NBAR等特征。第五部分介紹地址轉(zhuǎn)換和地址轉(zhuǎn)換所引起的問(wèn)題以及相應(yīng)的解決方法。第六部分分別介紹鎖和密鑰ACL、認(rèn)證代理和對(duì)路由選擇協(xié)議的保護(hù)，鎖和密鑰以及認(rèn)證代理用來(lái)實(shí)現(xiàn)在允許用戶訪問(wèn)資源之前首先對(duì)他們進(jìn)行認(rèn)證的功能。第七部分主要介紹入侵檢測(cè)系統(tǒng)、DoS防護(hù)和記錄日志事件。第八部分介紹站到站的IPSec連接和遠(yuǎn)程接入IPSec連接。第九部分介紹一個(gè)綜合的案例學(xué)習(xí)，結(jié)合本書中介紹的重要安全組件，講述如何保護(hù)一個(gè)實(shí)際環(huán)境中的網(wǎng)絡(luò)安全。　　本書是一本關(guān)于“如何做”的書，堪稱是一部關(guān)于Cisco路由器防火墻安全的參考大全。作者Richard是一位有多年計(jì)算機(jī)網(wǎng)絡(luò)業(yè)工作經(jīng)驗(yàn)的專家，本書融入了作者網(wǎng)絡(luò)安全實(shí)踐的很多體會(huì)和提示，使讀者能更好地掌握重要特征和關(guān)鍵問(wèn)題。本書中提供的許多例子都很典型，可以方便地應(yīng)用到我們的網(wǎng)絡(luò)環(huán)境中。本書文筆流暢、內(nèi)容翔實(shí)、覆蓋面很廣，是廣大網(wǎng)絡(luò)安全從業(yè)人員和網(wǎng)絡(luò)管理人員的案頭必備用書。本書也可以有效地幫助您通過(guò)Cisco的CCSP SECUR認(rèn)證考試。

作者簡(jiǎn)介

Richard A.Deal擁有CCSP，CCNP和CCNA證書，曾經(jīng)就讀于GROVE市立學(xué)院，他主修數(shù)學(xué)、計(jì)算機(jī)和英語(yǔ)，并獲得科學(xué)學(xué)士學(xué)位。在過(guò)去的7年里，他經(jīng)營(yíng)自己的公司，該公司提供咨詢和技術(shù)培訓(xùn)。他在計(jì)算機(jī)和網(wǎng)絡(luò)業(yè)（包括網(wǎng)絡(luò)、培訓(xùn)、系統(tǒng)管理和編程）有17年的工作經(jīng)驗(yàn)。
    除了

書籍目錄

第一部分　安全概述和防火墻第1章　安全威脅　31.1　安全計(jì)劃　41.1.1　不同的平臺(tái)　41.1.2　安全目標(biāo)　51.2　安全問(wèn)題的起因　51.2.1　策略定義　61.2.2　計(jì)算機(jī)技術(shù)　91.2.3　設(shè)備配置　111.3　安全威脅的類型　111.3.1　外部和內(nèi)部威脅　121.3.2　無(wú)組織的和有組織的威脅　121.4　威脅的分類　131.4.1　勘測(cè)攻擊　131.4.2　訪問(wèn)攻擊　161.4.3　拒絕服務(wù)攻擊　231.5　安全解決方案　251.5.1　設(shè)計(jì)安全解決方案　251.5.2　Cisco安全輪形圖　261.5.3　安全檢查列表　271.5.4　附加信息　281.6　小結(jié)　28第2章　防火墻概述　312.1　防火墻簡(jiǎn)介　312.1.1　防火墻定義　322.1.2　防火墻保護(hù)　322.2　流量控制和OSI參考模型　342.2.1　OSI參考模型概要　342.2.2　防火墻和OSI參考模型　352.3　防火墻種類　352.3.1　包過(guò)濾防火墻　362.3.2　狀態(tài)防火墻　402.3.3　應(yīng)用網(wǎng)關(guān)防火墻　482.3.4　地址轉(zhuǎn)換防火墻　542.3.5　基于主機(jī)的防火墻　572.3.6　混合防火墻　592.3.7　防火墻和其他服務(wù)　602.4　防火墻設(shè)計(jì)　612.4.1　設(shè)計(jì)準(zhǔn)則　612.4.2　DMZ　642.4.3　組件　682.4.4　組件布局　712.4.5　防火墻實(shí)施　742.4.6　防火墻管理　762.5　Cisco IOS安全　762.5.1　Cisco IOS的使用　772.5.2　Cisco IOS的安全特性　772.5.3　Cisco IOS設(shè)備及其使用　782.5.4　何時(shí)使用Cisco IOS防火墻　792.6　小結(jié)　80第二部分　管理到路由器的訪問(wèn)第3章　訪問(wèn)路由器　853.1　認(rèn)證類型　853.1.1　沒(méi)有口令認(rèn)證　863.1.2　靜態(tài)口令認(rèn)證　863.1.3　時(shí)效口令認(rèn)證　873.1.4　一次性口令認(rèn)證　873.1.5　令牌卡服務(wù)　883.2　用戶級(jí)EXEC訪問(wèn)方法　903.2.1　本地訪問(wèn)：控制臺(tái)和輔助線路　913.2.2　遠(yuǎn)程訪問(wèn)　933.3　特權(quán)級(jí)EXEC訪問(wèn)　1123.3.1　口令　1123.3.2　權(quán)限級(jí)別　1123.4　其他訪問(wèn)問(wèn)題　1163.4.1　加密口令　1163.4.2　標(biāo)識(shí)　1173.5　配置實(shí)例　1193.6　小結(jié)　121第4章　關(guān)閉不必要的服務(wù)　1234.1　關(guān)閉全局服務(wù)　1234.1.1　Cisco發(fā)現(xiàn)協(xié)議　1244.1.2　TCP和UDP低端口服務(wù)　1254.1.3　Finger　1264.1.4　IdentD　1264.1.5　IP源路由　1274.1.6　FTP和TFTP　1284.1.7　HTTP　1284.1.8　SNMP　1294.1.9　域名解析　1304.1.10　BootP　1314.1.11　DHCP　1314.1.12　PAD　1324.1.13　配置自動(dòng)加載　1324.2　關(guān)閉接口服務(wù)　1334.2.1　不安全接口上的CDP　1334.2.2　ARP代理　1344.2.3　定向廣播　1354.2.4　ICMP消息　1364.2.5　維護(hù)操作協(xié)議　1394.2.6　VTY　1404.2.7　未使用的接口　1414.3　在邊界路由器上手動(dòng)關(guān)閉服務(wù)的配置例子　1414.4　AutoSecure　1424.4.1　安全平面　1424.4.2　AutoSecure配置　1444.5　小結(jié)　154第5章　認(rèn)證、授權(quán)和記賬　1575.1　AAA概述　1575.1.1　AAA工作原理　1585.1.2　打開AAA　1585.1.3　安全協(xié)議　1595.2　認(rèn)證　1665.2.1　認(rèn)證方法　1675.2.2　認(rèn)證配置　1685.2.3　認(rèn)證排錯(cuò)　1715.2.4　認(rèn)證例子　1715.3　授權(quán)　1725.3.1　授權(quán)方法　1735.3.2　授權(quán)配置　1735.3.3　授權(quán)排錯(cuò)　1745.3.4　授權(quán)例子　1755.4　記賬　1755.4.1　記賬方法　1765.4.2　記賬配置　1765.4.3　記賬排錯(cuò)　1785.4.4　記賬例子　1795.5　安全復(fù)制　1795.5.1　SCP準(zhǔn)備　1805.5.2　SCP配置　1805.5.3　SCP排錯(cuò)　1805.5.4　SCP例子　1815.6　小結(jié)　181第三部分　無(wú)狀態(tài)的過(guò)濾技術(shù)第6章　訪問(wèn)列表概述　1856.1　訪問(wèn)列表簡(jiǎn)介　1856.1.1　ACL和過(guò)濾　1866.1.2　ACL類型　1876.1.3　處理ACL　1886.2　基本ACL的配置　1946.2.1　建立ACL　1956.2.2　激活A(yù)CL　1966.2.3　編輯ACL　1976.3　通配符掩碼　1986.3.1　將子網(wǎng)掩碼轉(zhuǎn)換成通配符掩碼　1996.3.2　通配符掩碼錯(cuò)誤　2006.4　小結(jié)　200第7章　基本訪問(wèn)列表　2037.1　ACL的類型　2037.1.1　標(biāo)準(zhǔn)ACL　2047.1.2　擴(kuò)展ACL　2077.1.3　ACL驗(yàn)證　2187.1.4　分片和擴(kuò)展ACL　2197.1.5　定時(shí)ACL　2237.2　其他的ACL特性　2267.2.1　ACL注釋　2267.2.2　日志記錄更新　2287.2.3　IP統(tǒng)計(jì)和ACL　2287.2.4　Turbo ACL　2307.2.5　有序的ACL　2327.3　受攻擊時(shí)的保護(hù)　2357.3.1　Bogon阻塞和欺騙　2357.3.2　DoS和分布式DoS攻擊　2407.3.3　簡(jiǎn)單勘查攻擊　2467.3.4　分布式DoS攻擊　2487.3.5　特洛伊木馬　2547.3.6　蠕蟲　2567.4　阻塞不必要的服務(wù)　2607.4.1　一場(chǎng)艱難的戰(zhàn)斗　2607.4.2　即時(shí)消息產(chǎn)品　2617.4.3　文件共享：端到端產(chǎn)品　2657.5　小結(jié)　272第四部分　有狀態(tài)的和高級(jí)的過(guò)濾技術(shù)第8章　反射訪問(wèn)列表　2778.1　反射ACL概述　2778.1.1　擴(kuò)展的ACL相比反射ACL　2788.1.2　反射ACL的工作原理　2828.1.3　反射ACL的局限性　2858.2　配置反射ACL　2888.2.1　接口選擇　2888.2.2　配置命令　2918.3　反射ACL舉例　2958.3.1　簡(jiǎn)單的RACL例子　2958.3.2　兩個(gè)接口的RACL例子　2958.3.3　三個(gè)接口的RACL例子　2968.4　小結(jié)　299第9章　基于上下文的訪問(wèn)控制　3019.1　Cisco IOS防火墻特性　3019.2　CBAC的功能　3029.2.1　過(guò)濾流量　3029.2.2　審查流量　3039.2.3　檢測(cè)入侵　3039.2.4　生成警告和審計(jì)信息　3039.3　CBAC的操作　3039.3.1　基本操作　3039.3.2　CBAC相對(duì)RACL的增強(qiáng)　3059.4　CBAC支持的協(xié)議　3089.4.1　RTSP應(yīng)用　3099.4.2　H.323應(yīng)用　3109.4.3　Skinny支持　3109.4.4　SIP支持　3119.5　CBAC的性能　3129.5.1　吞吐量改進(jìn)特性　3139.5.2　每秒連接改進(jìn)特性　3139.5.3　CPU使用率改進(jìn)特性　3139.6　CBAC的局限性　3149.7　CBAC的配置　3149.7.1　步驟1：接口選擇　3159.7.2　步驟2：ACL配置　3159.7.3　步驟3：全局超時(shí)值　3169.7.4　步驟4：端口應(yīng)用映射　3179.7.5　步驟5：審查規(guī)則　3209.7.6　步驟6：激活審查　3249.7.7　步驟7：CBAC排錯(cuò)　3249.7.8　刪除CBAC　3289.8　CBAC例子　3289.8.1　簡(jiǎn)單例子　3289.8.2　兩個(gè)接口的CBAC例子　3309.8.3　三接口的CBAC例子　3319.9　小結(jié)　334第10章　過(guò)濾Web和應(yīng)用流量　33710.1　Java小程序　33710.1.1　Java審查　33810.1.2　Java阻塞　33810.1.3　Java阻塞例子　33810.2　URL過(guò)濾　34010.2.1　URL過(guò)濾操作　34010.2.2　URL過(guò)濾的優(yōu)點(diǎn)和局限性　34110.2.3　URL過(guò)濾實(shí)施　34310.2.4　URL過(guò)濾驗(yàn)證　34910.2.5　URL過(guò)濾例子　35110.3　基于網(wǎng)絡(luò)的應(yīng)用識(shí)別　35210.3.1　QoS的組件　35210.3.2　NBAR和分類　35310.3.3　NBAR的限制和局限性　35710.3.4　基本的NBAR配置　35810.3.5　NBAR驗(yàn)證　36410.3.6　NBAR例子　36710.4　小結(jié)　372第五部分　地址轉(zhuǎn)換和防火墻第11章　地址轉(zhuǎn)換　37711.1　地址轉(zhuǎn)換概述　37711.1.1　私有地址　37711.1.2　地址轉(zhuǎn)換　37811.2　地址轉(zhuǎn)換的工作原理　37911.2.1　用于地址轉(zhuǎn)換的術(shù)語(yǔ)　38011.2.2　執(zhí)行地址轉(zhuǎn)換　38011.2.3　地址轉(zhuǎn)換的局限性　38511.3　地址轉(zhuǎn)換配置　38611.3.1　NAT配置　38611.3.2　PAT配置　38911.3.3　端口地址重定向配置　39111.3.4　處理重疊的地址　39311.3.5　流量分配配置　39611.3.6　配置轉(zhuǎn)換限制　39811.3.7　地址轉(zhuǎn)換的驗(yàn)證和排錯(cuò)　39811.4　NAT和CBAC的例子　40111.5　小結(jié)　403第12章　地址轉(zhuǎn)換問(wèn)題　40512.1　嵌入的地址信息　40512.1.1　嵌入地址信息問(wèn)題　40612.1.2　支持的協(xié)議和應(yīng)用　40712.1.3　非標(biāo)準(zhǔn)的端口號(hào)　40812.2　控制地址轉(zhuǎn)換　40912.2.1　使用ACL　40912.2.2　使用路由映射：動(dòng)態(tài)轉(zhuǎn)換　41012.2.3　使用路由映射：靜態(tài)轉(zhuǎn)換　41312.3　地址轉(zhuǎn)換和冗余　41512.3.1　使用HSRP的靜態(tài)NAT冗余　41512.3.2　有狀態(tài)的地址轉(zhuǎn)換失敗切換　41912.4　使用服務(wù)器負(fù)載平衡來(lái)分配流量　42612.4.1　SLB過(guò)程　42612.4.2　SLB的優(yōu)點(diǎn)和局限性　42912.4.3　SLB的配置　42912.4.4　SLB驗(yàn)證　43212.4.5　SLB例子　43312.5　小結(jié)　434第六部分　管理通過(guò)路由器的訪問(wèn)第13章　鎖和密鑰訪問(wèn)列表　43913.1　鎖和密鑰概述　43913.1.1　鎖和密鑰與普通ACL　43913.1.2　何時(shí)使用鎖和密鑰　44013.1.3　鎖和密鑰的好處　44013.1.4　鎖和密鑰的處理過(guò)程　44113.2　鎖和密鑰配置　44213.2.1　配置步驟　44213.2.2　允許遠(yuǎn)程管理訪問(wèn)　44613.2.3　驗(yàn)證和排錯(cuò)　44713.3　鎖和鑰匙舉例　44813.4　小結(jié)　449第14章　認(rèn)證代理　45114.1　AP簡(jiǎn)介　45114.1.1　AP特性　45214.1.2　AP過(guò)程　45314.1.3　AP的使用　45514.1.4　AP的局限性　45614.2　AP的配置　45714.2.1　在路由器上配置AAA　45714.2.2　在服務(wù)器上配置AAA　45814.2.3　為HTTP或HTTPS作準(zhǔn)備　46014.2.4　配置AP策略　46114.2.5　調(diào)整AP　46214.2.6　防止訪問(wèn)攻擊　46314.3　AP驗(yàn)證和排錯(cuò)　46414.3.1　show命令　46414.3.2　clear命令　46514.3.3　debug命令　46614.4　AP舉例　46614.4.1　簡(jiǎn)單的AP例子　46614.4.2　復(fù)雜的AP例子：CBAC和NAT　46914.5　小結(jié)　472第15章　路由選擇協(xié)議保護(hù)　47515.1　靜態(tài)和黑洞路由選擇　47515.1.1　靜態(tài)路由　47615.1.2　Null路由　47615.1.3　基于策略的路由選擇　47815.2　內(nèi)部網(wǎng)關(guān)協(xié)議安全　48015.2.1　認(rèn)證　48115.2.2　RIPv2　48215.2.3　EIGRP　48315.2.4　OSPF　48415.2.5　IS-IS　48415.2.6　其他工具　48615.2.7　HSRP　48815.3　BGP安全　49015.3.1　認(rèn)證　49015.3.2　路由翻動(dòng)阻尼　49115.3.3　BGP路由選擇例子　49215.4　逆向路徑轉(zhuǎn)發(fā)(單播流量)　49615.4.1　RPF過(guò)程　49615.4.2　RPF的使用　49815.4.3　RPF局限性　49915.4.4　RPF配置　49915.4.5　RPF驗(yàn)證　50015.4.6　單播RPF例子　50115.5　小結(jié)　501第七部分　檢測(cè)和防止攻擊第16章　入侵檢測(cè)系統(tǒng)　50516.1　IDS簡(jiǎn)介　50516.1.1　IDS的實(shí)現(xiàn)　50616.1.2　IDS解決方案　50716.1.3　IDS要點(diǎn)　50916.2　IDS簽名　51016.2.1　簽名實(shí)現(xiàn)　51016.2.2　簽名結(jié)構(gòu)　51116.2.3　基本分類　51116.2.4　Cisco簽名類型　51116.3　Cisco路由器IDS解決方案　51216.3.1　簽名支持　51216.3.2　路由器IDS過(guò)程　51516.3.3　內(nèi)存和性能問(wèn)題　51616.4　IDS配置　51716.4.1　步驟1：初始化配置　51716.4.2　步驟2：日志和郵局配置　51716.4.3　步驟3：審查規(guī)則配置和激活　51816.4.4　IDS驗(yàn)證　52016.5　IDS舉例　52116.6　小結(jié)　522第17章　DoS防護(hù)　52517.1　檢測(cè)DoS攻擊　52517.1.1　常見(jiàn)的攻擊　52517.1.2　檢查CPU使用率來(lái)檢測(cè)DoS攻擊　52617.1.3　使用ACL檢測(cè)DoS攻擊　52817.1.4　使用NetFlow來(lái)檢測(cè)DoS攻擊　53317.2　CEF交換　53817.3　TCP截取　53917.3.1　TCP SYN洪水攻擊　53917.3.2　TCP截取模式　53917.3.3　TCP截取的配置和驗(yàn)證　54017.3.4　TCP截取舉例　54417.4　CBAC和DoS攻擊　54517.4.1　超時(shí)和閾值　54517.4.2　CBAC DoS阻止驗(yàn)證　54717.4.3　CBAC配置舉例　54717.5　速率限制　54817.5.1　ICMP速率限制　54917.5.2　CAR　55017.5.3　NBAR　55417.6　小結(jié)　557第18章　記錄日志事件　55918.1　基本日志記錄　55918.1.1　日志消息格式　56018.1.2　基本日志記錄配置　56018.1.3　日志記錄目的地　56118.1.4　其他日志命令　56618.1.5　日志記錄驗(yàn)證　56718.1.6　日志記錄和錯(cuò)誤計(jì)數(shù)　56918.2　時(shí)間和日期與Cisco IOS　57018.2.1　路由器時(shí)間源　57018.2.2　時(shí)間和日期的手動(dòng)配置　57118.2.3　網(wǎng)絡(luò)時(shí)間協(xié)議簡(jiǎn)介　57318.2.4　為NTP配置路由器客戶端　57318.2.5　為NTP配置路由器服務(wù)器　57518.2.6　NTP安全　57618.2.7　其他NTP命令　57818.2.8　NTP驗(yàn)證　57818.2.9　NTP配置舉例　58018.3　內(nèi)置的系統(tǒng)日志管理器　58018.3.1　ESM簡(jiǎn)介　58118.3.2　ESM過(guò)濾模塊　58118.3.3　ESM的建立和配置介紹　58418.4　其他日志記錄信息　58618.4.1　要尋找什么　58618.4.2　其他工具　58718.5　小結(jié)　589第八部分　虛擬專用網(wǎng)第19章　站到站的IPSec連接　59319.1　IPSec 準(zhǔn)備　59319.1.1　基本任務(wù)　59319.1.2　外部ACL　59419.2　IKE階段1：管理連接　59519.2.1　打開ISAKMP/IKE　59619.2.2　定義IKE階段1策略　59619.3　IKE階段1對(duì)等體認(rèn)證　59819.3.1　身份類型　59819.3.2　使用預(yù)共享密鑰的認(rèn)證　59919.3.3　使用RSA加密Nonce的認(rèn)證　59919.3.4　使用證書認(rèn)證　60119.4　IKE階段2：數(shù)據(jù)連接　60719.4.1　步驟1：建立一個(gè)加密映射　60719.4.2　步驟2：建立變換集　60819.4.3　步驟3：建立加密映射　61019.4.4　步驟4：激活加密映射　61319.4.5　步驟5：驗(yàn)證加密映射配置　61319.5　IPSec連接排錯(cuò)　61419.5.1　檢查SA　61419.5.2　使用debug命令　61619.5.3　清除連接　61819.6　L2L舉例　61819.7　小結(jié)　620第20章　IPSec遠(yuǎn)程接入連接　62320.1　遠(yuǎn)程接入概述　62320.1.1　EasyVPN介紹　62420.1.2　EasyVPN IPSec支持　62520.1.3　EasyVPN特性　62520.2　IPSec遠(yuǎn)程接入連接過(guò)程　62620.2.1　步驟1：EVC發(fā)起IPSec連接　62720.2.2　步驟2：EVC發(fā)送IKE階段1策略　62720.2.3　步驟3：EVS接受IKE階段1策略　62720.2.4　步驟4：EVS認(rèn)證用戶　62720.2.5　步驟5：EVS執(zhí)行IKE模式配置　62820.2.6　步驟6：EVS使用RRI處理路由　62820.2.7　步驟7：IPSec設(shè)備建立數(shù)據(jù)連接　62920.3　IPSec遠(yuǎn)程接入EVS設(shè)置　62920.3.1　配置過(guò)程　63020.3.2　任務(wù)1：認(rèn)證策略　63020.3.3　任務(wù)2：組策略　63120.3.4　任務(wù)3：IKE階段1策略　63220.3.5　任務(wù)4：動(dòng)態(tài)加密映射　63320.3.6　任務(wù)5：靜態(tài)加密映射　63520.3.7　任務(wù)6：遠(yuǎn)程接入驗(yàn)證　63620.4　IPSec遠(yuǎn)程接入舉例　63720.5　小結(jié)　639第九部分　案例學(xué)習(xí)第21章　案例學(xué)習(xí)　64321.1　公司簡(jiǎn)介　64321.1.1　公司總部　64321.1.2　分支機(jī)構(gòu)　64521.1.3　遠(yuǎn)程接入用戶　64521.2　提議　64621.3　案例學(xué)習(xí)配置　64721.3.1　基本配置　64721.3.2　不必要的服務(wù)和SSH　64821.3.3　AAA　65021.3.4　訪問(wèn)控制列表　65221.3.5　CBAC和Web過(guò)濾　65621.3.6　地址轉(zhuǎn)換　65721.3.7　路由選擇　65921.3.8　入侵檢測(cè)系統(tǒng)　66021.3.9　連接攻擊和CBAC　66121.3.10　速率限制　66121.3.11　NTP和系統(tǒng)日志　66321.3.12　站到站VPN　66421.3.13　遠(yuǎn)程接入VPN　66621.4　小結(jié)　668

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Cisco路由器防火墻安全 PDF格式下載

---