思科網(wǎng)絡(luò)技術(shù)學(xué)院教程

前言

思科網(wǎng)絡(luò)學(xué)院課程設(shè)計(jì)用來使你進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，在這個(gè)領(lǐng)域工作或繼續(xù)接受更多的教育和培訓(xùn)。網(wǎng)絡(luò)安全課程分為兩個(gè)學(xué)期。第一學(xué)期課程側(cè)重于網(wǎng)絡(luò)中的總體安全進(jìn)程，并特別關(guān)注以下領(lǐng)域的實(shí)際操作技巧：安全策略設(shè)計(jì)和管理；安全技術(shù)、產(chǎn)品、解決方案；防火墻和安全路由器設(shè)計(jì)、安裝、配置、維護(hù)；使用路由器和防火墻實(shí)現(xiàn)AAA；在OSI模型的第二層和第三層保護(hù)網(wǎng)絡(luò)。

內(nèi)容概要

思科網(wǎng)絡(luò)技術(shù)學(xué)院項(xiàng)目（Cisco Networking Academy Program）是Cisco公司在全球范圍推出的一個(gè)主要面向初級網(wǎng)絡(luò)工程技術(shù)人員的培訓(xùn)項(xiàng)目。作為它的課程之一，本書介紹了如何在Cisco的網(wǎng)絡(luò)設(shè)備中實(shí)施IP網(wǎng)絡(luò)的安全。　　本書包括兩個(gè)學(xué)期的課程內(nèi)容。第一學(xué)期課程內(nèi)容側(cè)重于網(wǎng)絡(luò)中的總體安全進(jìn)程，并特別關(guān)注以下領(lǐng)域的實(shí)際操作技巧：安全策略設(shè)計(jì)和管理，安全技術(shù)、產(chǎn)品、解決方案，防火墻和安全路由器設(shè)計(jì)、安裝、配置、維護(hù)，使用路由器和防火墻實(shí)現(xiàn)AAA，在OSI模型的第二層和第三層保護(hù)網(wǎng)絡(luò)等。第二學(xué)期課程內(nèi)容側(cè)重于安全策略設(shè)計(jì)和管理，安全技術(shù)、產(chǎn)品、解決方案，防火墻和安全路由器設(shè)計(jì)、安裝、配置、維護(hù)，使用路由器和防火墻實(shí)現(xiàn)入侵預(yù)防系統(tǒng)（IPS），使用路由器和防火墻實(shí)現(xiàn)虛擬專用網(wǎng)（VPN）等?！　”緯鳛樗伎凭W(wǎng)絡(luò)技術(shù)學(xué)院網(wǎng)絡(luò)安全的指定教材，適合具備CCNA水平的讀者學(xué)習(xí)。另外，將要參加思科公司的CCSP認(rèn)證考試的人員也可以把本書作為考試指南。

作者簡介

Antoon“Tony”W. Ruff目前在沃爾登大學(xué)攻讀基于信息系統(tǒng)的應(yīng)用商務(wù)管理和決策學(xué)博士。Tony畢業(yè)于馬里蘭大學(xué)，獲得信息系統(tǒng)碩士學(xué)位，并獲得南伊利諾斯大學(xué)工業(yè)技術(shù)學(xué)士學(xué)位。Tony目前是技術(shù)校園所有ECPI學(xué)院的計(jì)算機(jī)和信息科學(xué)（CIS）副院長，講授Cisco學(xué)院CCNA、CCNP、網(wǎng)絡(luò)

書籍目錄

第一學(xué)期　第1章 弱點(diǎn)、威脅、攻擊     　　1.1 關(guān)鍵術(shù)語     　　1.2 網(wǎng)絡(luò)安全簡介     　　　1.2.1 網(wǎng)絡(luò)安全需求     　　　1.2.2 識別網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn)     　　　1.2.3 開放的與封閉的安全模型     　　　1.2.4 網(wǎng)絡(luò)安全的發(fā)展趨勢     　　　1.2.5 信息安全組織    　　1.3 弱點(diǎn)、威脅和攻擊介紹    　　　1.3.1 弱點(diǎn)    　　　1.3.2 威脅    　　　1.3.3 攻擊    　　1.4 攻擊事例    　　　1.4.1 偵查攻擊    　　　1.4.2 訪問攻擊    　　　1.4.3 拒絕服務(wù)(DoS)攻擊    　　　1.4.4 假冒/IP欺騙攻擊    　　　1.4.5 分布式拒絕服務(wù)攻擊    　　　1.4.6 惡意代碼    　　1.5 弱點(diǎn)分析    　　　1.5.1 政策定位    　　　1.5.2 網(wǎng)絡(luò)分析    　　　1.5.3 主機(jī)分析    　　　1.5.4 分析工具    　　1.6 總結(jié)    　　1.7 檢查你的理解    　第2章 安全計(jì)劃與策略    　　2.1 關(guān)鍵術(shù)語    　　2.2 關(guān)于網(wǎng)絡(luò)安全及Cisco    　　　2.2.1 安全輪(Security Wheel)    　　　2.2.2 網(wǎng)絡(luò)安全策略    　　2.3 端點(diǎn)保護(hù)和管理    　　　2.3.1 基于主機(jī)和服務(wù)器的安全組件和技術(shù)    　　　2.3.2 PC管理    　　2.4 網(wǎng)絡(luò)保護(hù)和管理    　　　2.4.1 基于網(wǎng)絡(luò)的安全組件和技術(shù)    　　　2.4.2 網(wǎng)絡(luò)安全管理    　　2.5 安全體系    　　　2.5.1 安全體系SAFE    　　　2.5.2 Cisco自防衛(wèi)網(wǎng)絡(luò)    　　　2.5.3 保護(hù)連通性(secure connectivity)    　　　2.5.4 威脅防范(Threat Defense)    　　　2.5.5 Cisco集成安全    　　　2.5.6 計(jì)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、優(yōu)化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)   　　2.6 基本的路由器安全    　　　2.6.1 控制對網(wǎng)絡(luò)設(shè)備的訪問    　　　2.6.2 使用SSH進(jìn)行遠(yuǎn)程配置    　　　2.6.3 路由器口令    　　　2.6.4 路由器優(yōu)先級和賬戶    　　　2.6.5 Cisco IOS網(wǎng)絡(luò)服務(wù)    　　　2.6.6 路由、代理ARP、ICMP    　　　2.6.7 路由協(xié)議認(rèn)證和升級過濾    　　　2.6.8 NTP、SNMP、路由器名、DNS    　　2.7 總結(jié)    　　2.8 檢查你的理解    　第3章 安全設(shè)備    　　3.1 可選設(shè)備    　　　3.1.1 Cisco防火墻特性集    　　　3.1.2 創(chuàng)建用戶的防火墻    　　　3.1.3 PIX安全設(shè)備    　　　3.1.4 自適應(yīng)安全設(shè)備    　　　3.1.5 Finesse操作系統(tǒng)    　　　3.1.6 自適應(yīng)安全算法    　　　3.1.7 防火墻服務(wù)模塊    　　3.2 使用安全設(shè)備管理器    　　　3.2.1 使用SDM啟動(dòng)向?qū)?   　　　3.2.2 SDM用戶界面    　　　3.2.3 SDM向?qū)?   　　　3.2.4 用SDM配置WAN    　　　3.2.5 使用恢復(fù)出廠配置向?qū)?   　　　3.2.6 監(jiān)控模式    　　3.3 Cisco安全設(shè)備家族介紹    　　　3.3.1 PIX501安全設(shè)備    　　　3.3.2 PIX506E安全設(shè)備    　　　3.3.3 PIX515E安全設(shè)備    　　　3.3.4 PIX525安全設(shè)備    　　　3.3.5 PIX535安全設(shè)備    　　　3.3.6 自適應(yīng)安全設(shè)備模塊    　　　3.3.7 PIX安全設(shè)備許可證    　　　3.3.8 PIX VPN 加密許可    　　　3.3.9 安全上下文    　　　3.3.10 PIX安全設(shè)備上下文許可證    　　　3.3.11 ASA安全設(shè)備許可證    　　　3.3.12 擴(kuò)展PIX515E特性    　　　3.3.13 擴(kuò)展PIX525特性    　　　3.3.14 擴(kuò)展PIX535特性    　　　3.3.15 擴(kuò)展自適應(yīng)安全設(shè)備家族的特性    　　3.4 開始配置PIX安全設(shè)備    　　　3.4.1 配置PIX 安全設(shè)備    　　　3.4.2 幫助命令    　　　3.4.3 安全級別    　　　3.4.4 基本PIX安全設(shè)備的配置命令    　　　3.4.5 其他PIX安全設(shè)備的配置命令   　　　3.4.6 檢查PIX安全設(shè)備的狀態(tài)   　　　3.4.7 時(shí)間設(shè)置和NTP支持   　　　3.4.8 日志(syslog)配置   　　3.5 安全設(shè)備的轉(zhuǎn)換和連接   　　　3.5.1 傳輸協(xié)議   　　　3.5.2 NAT   　　　3.5.3 動(dòng)態(tài)內(nèi)部NAT   　　　3.5.4 兩個(gè)接口的NAT   　　　3.5.5 個(gè)接口的NAT   　　　3.5.6 PAT   　　　3.5.7 增加PAT的全局地址池   　　　3.5.8 static命令   　　　3.5.9 nat 0命令   　　　3.5.10 連接和轉(zhuǎn)換   　　3.6 用自適應(yīng)安全設(shè)備管理器管理PIX   　　　3.6.1 ASDM運(yùn)行需求   　　　3.6.2 ASDM的準(zhǔn)備   　　　3.6.3 使用ASDM配置PIX安全設(shè)備   　　3.7 PIX安全設(shè)備的路由功能   　　　3.7.1 虛擬LAN   　　　3.7.2 靜態(tài)和RIP路由   　　　3.7.3 OSPF   　　　3.7.4 多播路由   　　3.8 防火墻服務(wù)模塊的運(yùn)行   　　　3.8.1 FWSM的運(yùn)行要求   　　　3.8.2 開始使用FWSM   　　　3.8.3 校驗(yàn)FWSM的安裝   　　　3.8.4 配置FWSM的訪問列表   　　　3.8.5 在FWSM上使用PDM   　　　3.8.6 重置和重啟FWSM   　　3.9 總結(jié)   　　3.10 檢查你的理解   　第4章 信任和身份技術(shù)   　　4.1 關(guān)鍵術(shù)語   　　4.2 AAA   　　　4.2.1 TACACS   　　　4.2.2 RADIUS   　　　4.2.3 TACACS+和RADIUS的比較   　　4.3 驗(yàn)證技術(shù)   　　　4.3.1 靜態(tài)口令   　　　4.3.2 一次性口令   　　　4.3.3 令牌卡   　　　4.3.4 令牌卡和服務(wù)器方法   　　　4.3.5 數(shù)字證書   　　　4.3.6 生物測定學(xué)   　　4.4 基于身份網(wǎng)絡(luò)服務(wù)(IBNS)   　　4.5 有線的和無線的執(zhí)行   　　4.6 網(wǎng)絡(luò)準(zhǔn)入控制(NAC)   　　　4.6.1 NAC組成   　　　4.6.2 NAC階段   　　　4.6.3 NAC運(yùn)行   　　　4.6.4 NAC廠商的參與   　　4.7 總結(jié)   　　4.8 檢查你的理解   　第5章 Cisco安全訪問控制服務(wù)器   　　5.1 關(guān)鍵術(shù)語   　　5.2 Cisco安全訪問控制服務(wù)器產(chǎn)品概述   　　　5.2.1 驗(yàn)證和用戶數(shù)據(jù)庫   　　　5.2.2 Cisco安全ACS用戶數(shù)據(jù)庫   　　　5.2.3 保持?jǐn)?shù)據(jù)庫穩(wěn)定   　　　5.2.4 基于Windows的Cisco安全ACS體系架構(gòu)   　　　5.2.5 Cisco安全ACS如何驗(yàn)證用戶   　　　5.2.6 用戶可更改的口令   　　5.3 使用Cisco安全ACS配置TACACS+和RADIUS   　　　5.3.1 安裝步驟   　　　5.3.2 管理基于Windows的Cisco安全ACS   　　　5.3.3 排錯(cuò)   　　　5.3.4 啟用TACACS+   　　5.4 檢驗(yàn)TACACS+   　　　5.4.1 失敗   　　　5.4.2 通過   　　5.5 配置RADIUS   　　5.6 總結(jié)   　　5.7 檢查你的理解   　第6章 在三層配置信任和身份   　　6.1 關(guān)鍵術(shù)語   　　6.2 Cisco IOS防火墻認(rèn)證代理   　　　6.2.1 認(rèn)證代理的運(yùn)行   　　　6.2.2 支持的AAA服務(wù)器   　　　6.2.3 AAA服務(wù)器配置   　　　6.2.4 AAA配置   　　　6.2.5 允許AAA流量到路由器   　　　6.2.6 認(rèn)證代理配置   　　　6.2.7 測試和驗(yàn)證認(rèn)證代理   　　6.3 介紹PIX安全器件AAA特性   　　　6.3.1 PIX安全器件認(rèn)證   　　　6.3.2 PIX安全器件授權(quán)   　　　6.3.3 PIX安全器件計(jì)費(fèi)   　　　6.3.4 AAA服務(wù)器支持   　　6.4 在PIX安全器件上配置AAA   　　　6.4.1 PIX安全器件訪問認(rèn)證   　　　6.4.2 交互式用戶認(rèn)證   　　　6.4.3 本地用戶數(shù)據(jù)庫   　　　6.4.4 認(rèn)證提示和超時(shí)   　　　6.4.5 直通代理認(rèn)證   　　　6.4.6 認(rèn)證非Telnet、FTP、HTTP或HTTPS流量   　　　6.4.7 隧道用戶認(rèn)證   　　　6.4.8 授權(quán)配置   　　　6.4.9 可下載的ACL   　　　6.4.10 計(jì)費(fèi)配置   　　　6.4.11 控制臺會(huì)話計(jì)費(fèi)   　　　6.4.12 命令計(jì)費(fèi)   　　　6.4.13 AAA配置故障處理   　　6.5 總結(jié)   　　6.6 檢查你的理解   　第7章 在二層配置信任和身份   　　7.1 關(guān)鍵術(shù)語   　　7.2 基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)   　　　7.2.1 特點(diǎn)及好處   　　　7.2.2 IEEE 802.1x   　　　7.2.3 選擇正確的EAP   　　　7.2.4 Cisco LEAP   　　　7.2.5 IBNS和Cisco安全ACS   　　　7.2.6 部署ACS的考慮   　　　7.2.7 Cisco安全ACS RADIUS配置   　　7.3 配置802.1x基于端口的認(rèn)證   　　　7.3.1 使能802.1x認(rèn)證   　　　7.3.2 配置交換機(jī)到RADIUS服務(wù)器的通信   　　　7.3.3 使能周期性重認(rèn)證   　　　7.3.4 手工重認(rèn)證連接到端口的客戶   　　　7.3.5 使能多主機(jī)   　　　7.3.6 將802.1x配置重設(shè)為默認(rèn)值   　　　7.3.7 查看802.1x統(tǒng)計(jì)信息和狀態(tài)   　　7.4 總結(jié)   　　7.5 檢查你的理解   　第8章 在路由器上配置過濾   　　8.1 關(guān)鍵術(shù)語   　　8.2 過濾和訪問列表   　　　8.2.1 數(shù)據(jù)包過濾   　　　8.2.2 狀態(tài)過濾   　　　8.2.3 URL過濾   　　8.3 Cisco IOS防火墻基于上下文的訪問控制   　　　8.3.1 CBAC數(shù)據(jù)包   　　　8.3.2 Cisco IOS ACL   　　　8.3.3 CBAC如何運(yùn)行   　　　8.3.4 CBAC所支持的協(xié)議   　　8.4 配置Cisco IOS防火墻基于上下文的訪問控制   　　　8.4.1 CBAC配置任務(wù)   　　　8.4.2 準(zhǔn)備CBAC   　　　8.4.3 設(shè)置審計(jì)跟蹤和警告   　　　8.4.4 設(shè)置全局超時(shí)時(shí)間   　　　8.4.5 設(shè)置全局閾值   　　　8.4.6 主機(jī)限制的半開連接   　　　8.4.7 系統(tǒng)定義的端口與應(yīng)用映射   　　　8.4.8 用戶定義的PAM   　　　8.4.9 設(shè)定應(yīng)用的檢測規(guī)則   　　　8.4.10 為IP分片定義檢測規(guī)則   　　　8.4.11 定義ICMP檢測規(guī)則   　　　8.4.12 將檢測規(guī)則和ACL應(yīng)用于接口   　　8.5 測試與校驗(yàn)CBAC        用SDM配置Cisco IOS防火墻   　　8.6 總結(jié)   　　8.7 檢查你的理解   　第9章 在PIX安全器件上配置過濾   　　9.1 關(guān)鍵術(shù)語   　　9.2 配置ACL和內(nèi)容過濾   　　　9.2.1 PIX安全器件ACL   　　　9.2.2 配置ACL   　　　9.2.3 ACL行號   　　　9.2.4 icmp命令   　　　9.2.5 nat 0 ACL   　　　9.2.6 Turbo ACL   　　　9.2.7 使用ACL   　　　9.2.8 惡意代碼過濾   　　　9.2.9 URL過濾   　　9.3 對象分組   　　　9.3.1 開始使用對象分組   　　　9.3.2 配置對象分組   　　　9.3.3 嵌套對象分組   　　　9.3.4 管理對象分組   　　9.4 配置安全器件模塊策略   　　　9.4.1 配置一個(gè)類映射   　　　9.4.2 配置一個(gè)策略映射   　　　9.4.3 配置一個(gè)服務(wù)策略   　　9.5 配置高級協(xié)議檢查   　　　9.5.1 默認(rèn)流量檢查和端口號   　　　9.5.2 FTP檢查   　　　9.5.3 FTP深度報(bào)文檢查   　　　9.5.4 HTTP檢查   　　　9.5.5 協(xié)議應(yīng)用程序檢查   　　　9.5.6 多媒體支持   　　　9.5.7 實(shí)時(shí)流協(xié)議(Real-Time Streaming Protocol，RSTP)   　　　9.5.8 支持IP電話所需要的協(xié)議   　　　9.5.9 DNS檢查   　　9.6 總結(jié)   　　9.7 檢查你的理解   　第10章 在交換機(jī)上配置過濾   　　10.1 關(guān)鍵術(shù)語   　　10.2 二層攻擊簡介   　　10.3 MAC地址、ARP和DHCP攻擊   　　　10.3.1 減少CAM表過載攻擊   　　　10.3.2 MAC欺騙：中間人攻擊   　　　10.3.3 ARP欺騙   　　10.4 DHCP偵聽(DHCP Snooping)   　　　10.4.1 動(dòng)態(tài)ARP檢測   　　　10.4.2 DHCP耗盡攻擊(DHCP Starvation Attacks)   　　10.5 VLAN攻擊   　　　10.5.1 VLAN跳躍攻擊   　　　10.5.2 私用VLAN攻擊   　　　10.5.3 私用VLAN防御   　　10.6 生成樹協(xié)議攻擊   　　10.7 總結(jié)   　　10.8 檢查你的理解   第二學(xué)期　第1章 入侵檢測和防御技術(shù)   　　1.1 關(guān)鍵術(shù)語   　　1.2 入侵檢測和防御介紹   　　　1.2.1 基于網(wǎng)絡(luò)與基于主機(jī)   　　　1.2.2 警報(bào)的類型   　　1.3 檢測引擎   　　　1.3.1 基于簽名的探測   　　　1.3.2 簽名的類型   　　　1.3.3 基于異常狀態(tài)檢測   　　1.4 Cisco的IDS和IPS設(shè)備   　　　1.4.1 Cisco集成的解決方案   　　　1.4.2 Cisco IPS 4200系列探測器   　　1.5 總結(jié)   　　1.6 檢查你的理解   　第2章 配置網(wǎng)絡(luò)入侵檢測和入侵防護(hù)   　　2.1 關(guān)鍵術(shù)語   　　2.2 Cisco IOS入侵防護(hù)系統(tǒng)(IPS)   　　　2.2.1 Cisco IOS入侵防護(hù)系統(tǒng)的起源   　　　2.2.2 路由器的性能   　　　2.2.3 Cisco IOS入侵防護(hù)系統(tǒng)特征庫   　　　2.2.4 配置Cisco IOS入侵防護(hù)系統(tǒng)的過程   　　2.3 在PIX安全設(shè)備上啟用攻擊防護(hù)功能(attack guards)   　　　2.3.1 Mail Guard   　　　2.3.2 DNS Guard   　　　2.3.3 FragGuard和虛擬重組(Virtual Reassembly)   　　　2.3.4 AAA泛洪防護(hù)   　　　2.3.5 SYN泛洪保護(hù)   　　　2.3.6 TCP intercept   　　　2.3.7 SYN Cookies   　　　2.3.8 連接限制   　　2.4 在PIX安全設(shè)備上配置入侵防護(hù)   　　　2.4.1 入侵檢測和PIX安全設(shè)備   　　　2.4.2 配置入侵防護(hù)   　　　2.4.3 配置IDS策略   　　2.5 在PIX安全設(shè)備上配置阻斷(shunning)   　　2.6 總結(jié)   　　2.7 檢查你的理解   　第3章 加密與VPN技術(shù)   　　3.1 關(guān)鍵術(shù)語   　　3.2 加密的基本方法   　　　3.2.1 對稱加密   　　　3.2.2 不對稱加密   　　　3.2.3 Diffie-Hellman   　　3.3 完整性要素   　　　3.3.1 散列   　　　3.3.2 散列方法認(rèn)證碼HMAC   　　　3.3.3 數(shù)字簽名和證書   　　3.4 實(shí)現(xiàn)數(shù)字證書   　　　3.4.1 認(rèn)證中心支持   　　　3.4.2 簡單證書注冊協(xié)議SCEP   　　　3.4.3 CA服務(wù)器   　　　3.4.4 使用CA注冊一臺設(shè)備   　　3.5 VPN拓?fù)?  　　　3.5.1 站點(diǎn)到站點(diǎn)VPN   　　　3.5.2 遠(yuǎn)程訪問VPN   　　3.6 VPN技術(shù)   　　　3.6.1 WebVPN   　　　3.6.2 隧道協(xié)議   　　　3.6.3 隧道接口   　　　3.6.4 IPSec   　　　3.6.5 認(rèn)證頭AH   　　　3.6.6 封裝安全載荷ESP   　　　3.6.7 隧道和傳輸模式   　　　3.6.8 安全關(guān)聯(lián)   　　　3.6.9 IPSec的5個(gè)步驟   　　　3.6.10 因特網(wǎng)密鑰交換IKE   　　　3.6.11 IKE和IPSec   　　　3.6.12 Cisco VPN解決方案   　　3.7 總結(jié)   　　3.8 檢查你的理解   　第4章 使用預(yù)共享密鑰配置站點(diǎn)到站點(diǎn)VPN   　　4.1 關(guān)鍵術(shù)語   　　4.2 使用預(yù)共享密鑰的IPSec加密   　　　4.2.1 規(guī)劃IKE和IPSec策略   　　　4.2.2 步驟1：確定ISAKMP(IKE階段1)策略   　　　4.2.3 步驟2：定義IPSec(IKE階段2)策略   　　　4.2.4 步驟3：檢查當(dāng)前配置   　　　4.2.5 步驟4：確保網(wǎng)絡(luò)在沒有加密時(shí)也能工作   　　　4.2.6 步驟5：確認(rèn)ACL允許IPSec   　　4.3 使用預(yù)共享密鑰在路由器上配置IKE   　　　4.3.1 步驟1：啟用或禁止IKE   　　　4.3.2 步驟2：創(chuàng)建IKE策略   　　　4.3.3 步驟3：配置預(yù)共享密鑰   　　　4.3.4 步驟4：驗(yàn)證IKE配置   　　4.4 使用預(yù)共享密鑰為路由器配置IPSec   　　　4.4.1 步驟1：配置變換集   　　　4.4.2 步驟2：確定IPSec(IKE階段2)策略   　　　4.4.3 步驟3：創(chuàng)建加密ACL   　　　4.4.4 步驟4：創(chuàng)建加密圖   　　　4.4.5 步驟5：將加密圖應(yīng)用到接口   　　4.5 測試和驗(yàn)證路由器的IPSec配置   　　　4.5.1 查看配置的ISAKMP策略   　　　4.5.2 顯示配置的變換集   　　　4.5.3 顯示IPSec SA的當(dāng)前狀態(tài)   　　　4.5.4 顯示配置的加密圖   　　　4.5.5 打開IPSec事件的調(diào)試輸出   　　　4.5.6 打開ISAKMP事件的調(diào)試輸出   　　　4.5.7 使用SDM配置一個(gè)VPN   　　4.6 使用預(yù)共享密鑰配置一個(gè)PIX安全器件站點(diǎn)到站點(diǎn)VPN   　　　4.6.1 任務(wù)1：準(zhǔn)備配置VPN支持   　　　4.6.2 任務(wù)2：配置IKE參數(shù)   　　　4.6.3 任務(wù)3：配置IPSec參數(shù)   　　　4.6.4 任務(wù)4：測試和驗(yàn)證IPSec配置   　　4.7 總結(jié)   　　4.8 檢查你的理解   　第5章 使用數(shù)字證書配置站點(diǎn)到站點(diǎn)VPN   　　5.1 關(guān)鍵術(shù)語   　　5.2 在路由器上配置CA支持   　　　5.2.1 步驟1：管理NVRAM   　　　5.2.2 步驟2：設(shè)置路由器的時(shí)間和日期   　　　5.2.3 步驟3：在路由器主機(jī)表中加入CA服務(wù)器條目   　　　5.2.4 步驟4：生成RSA密鑰對   　　　5.2.5 步驟5：聲明一個(gè)CA   　　　5.2.6 步驟6：認(rèn)證CA   　　　5.2.7 步驟7：為路由器申請一個(gè)證書   　　　5.2.8 步驟8：保存配置   　　　5.2.9 步驟9：監(jiān)視和維護(hù)CA互操作性   　　　5.2.10 步驟10：驗(yàn)證CA支持配置   　　5.3 使用數(shù)字證書配置Cisco IOS路由器站點(diǎn)到站點(diǎn)VPN   　　　5.3.1 任務(wù)1：準(zhǔn)備IKE和IPSec   　　　5.3.2 任務(wù)2：配置CA支持   　　　5.3.3 任務(wù)3：配置IKE   　　　5.3.4 任務(wù)4：配置IPSec   　　　5.3.5 任務(wù)5：測試和驗(yàn)證IPSec   　　5.4 使用數(shù)字證書配置PIX安全設(shè)備站點(diǎn)到站點(diǎn)VPN   　　5.5 總結(jié)   　　5.6 檢查你的理解   　第6章 配置遠(yuǎn)程訪問VPN   　　6.1 關(guān)鍵術(shù)語   　　6.2 Cisco Easy VPN介紹   　　　6.2.1 Easy VPN服務(wù)器概覽   　　　6.2.2 Cisco Easy VPN Remote概覽   　　　6.2.3 Cisco Easy VPN如何工作   　　6.3 Cisco Easy VPN服務(wù)器配置任務(wù)   　　　6.3.1 任務(wù)1：創(chuàng)建一個(gè)IP地址池   　　　6.3.2 任務(wù)2：配置組策略查找   　　　6.3.3 任務(wù)3：為遠(yuǎn)程VPN客戶訪問創(chuàng)建ISAKMP策略   　　　6.3.4 任務(wù)4：為模式配置推送定義一個(gè)組策略   　　　6.3.5 任務(wù)5：創(chuàng)建一個(gè)變換集   　　　6.3.6 任務(wù)6：創(chuàng)建一個(gè)帶RRI的加密圖   　　　6.3.7 任務(wù)7：將模式配置應(yīng)用到動(dòng)態(tài)加密圖   　　　6.3.8 任務(wù)8：將動(dòng)態(tài)加密圖應(yīng)用到路由器接口上   　　　6.3.9 任務(wù)9：使能IKE失效對等體檢測   　　　6.3.10 任務(wù)10：(可選)配置XAUTH   　　　6.3.11 任務(wù)11：(可選)啟用XAUTH保存口令特性   　　6.4 Cisco Easy VPN客戶端4.x配置任務(wù)   　　　6.4.1 任務(wù)1：在遠(yuǎn)程用戶的PC上安裝Cisco VPN客戶端4.x   　　　6.4.2 任務(wù)2：創(chuàng)建一個(gè)新的客戶端連接條目   　　　6.4.3 任務(wù)3：選擇一個(gè)認(rèn)證方法   　　　6.4.4 任務(wù)4：配置透明隧道   　　　6.4.5 任務(wù)5：啟用并增加備份服務(wù)器   　　　6.4.6 任務(wù)6：通過撥號網(wǎng)絡(luò)配置一條到因特網(wǎng)的連接   　　6.5 為接入路由器配置Cisco Easy VPN Remote   　　　6.5.1 Easy VPN Remote操作模式   　　　6.5.2 接入路由器的Cisco Easy VPN Remote配置任務(wù)   　　6.6 配置PIX安全器件作為Easy VPN服務(wù)器   　　　6.6.1 任務(wù)1：為遠(yuǎn)程VPN客戶端訪問創(chuàng)建一個(gè)ISAKMP策略   　　　6.6.2 任務(wù)2：創(chuàng)建一個(gè)IP地址池   　　　6.6.3 任務(wù)3：為模式配置推送定義一個(gè)組策略   　　　6.6.4 任務(wù)4：創(chuàng)建一個(gè)變換集   　　　6.6.5 任務(wù)5至任務(wù)7：動(dòng)態(tài)加密圖   　　　6.6.6 任務(wù)8：配置XAUTH   　　　6.6.7 任務(wù)9：配置NAT和NAT 0   　　　6.6.8 任務(wù)10：啟用IKE DPD   　　6.7 配置PIX 501或506E作為Easy VPN客戶端   　　　6.7.1 PIX安全器件Easy VPN Remote特性概覽   　　　6.7.2 Easy VPN Remote配置   　　　6.7.3 Easy VPN客戶端模式以及啟用Easy VPN Remote客戶端   　　　6.7.4 Easy VPN Remote認(rèn)證   　　6.8 配置適應(yīng)性安全器件支持WebVPN   　　　6.8.1 WebVPN最終用戶接口   　　　6.8.2 配置WebVPN常用參數(shù)   　　　6.8.3 配置WebVPN服務(wù)器和URL   　　　6.8.4 配置WebVPN端口轉(zhuǎn)發(fā)   　　　6.8.5 配置WebVPN E-mail代理   　　　6.8.6 配置WebVPN內(nèi)容過濾器和ACL   　　6.9 總結(jié)   　　6.10 檢查你的理解   　第7章 安全網(wǎng)絡(luò)體系和管理   　　7.1 關(guān)鍵術(shù)語   　　7.2 影響二層消除技術(shù)的因素   　　　7.2.1 單安全區(qū)域、單用戶組、單物理交換機(jī)   　　　7.2.2 單安全區(qū)域、單用戶組、多物理交換機(jī)   　　　7.2.3 單安全區(qū)域、多用戶組、單物理交換機(jī)   　　　7.2.4 單安全區(qū)域、多用戶組、多物理交換機(jī)   　　　7.2.5 多安全區(qū)域、單用戶組、單物理交換機(jī)   　　　7.2.6 多安全區(qū)域、單用戶組、多物理交換機(jī)   　　　7.2.7 多安全區(qū)域、多用戶組、單物理交換機(jī)   　　　7.2.8 多安全區(qū)域、多用戶組、多物理交換機(jī)   　　　7.2.9 二層安全最佳實(shí)踐   　　7.3 SDM安全審計(jì)   　　7.4 路由器管理中心   　　　7.4.1 Hub-and-Spoke拓?fù)?  　　　7.4.2 VPN設(shè)置和策略   　　　7.4.3 設(shè)備層級和繼承   　　　7.4.4 活動(dòng)   　　　7.4.5 工作   　　　7.4.6 構(gòu)建塊   　　　7.4.7 支持的隧道技術(shù)   　　　7.4.8 安裝Router MC   　　　7.4.9 開始使用Router MC   　　　7.4.10 Router MC界面   　　　7.4.11 Router MC標(biāo)簽   　　　7.4.12 基本工作流和任務(wù)   　　7.5 簡單網(wǎng)絡(luò)管理協(xié)議SNMP   　　　7.5.1 SNMP介紹   　　　7.5.2 SNMP安全   　　　7.5.3 SNMP版本3(SNMPv3)   　　　7.5.4 SNMP管理應(yīng)用程序   　　　7.5.5 在Cisco IOS路由器上配置SNMP支持   　　　7.5.6 在PIX安全器件上配置SNMP支持   　　7.6 總結(jié)   　　7.7 檢查你的理解   　第8章 PIX安全器件上下文、故障倒換和管理   　　8.1 關(guān)鍵術(shù)語   　　8.2 配置PIX安全器件在多上下文模式中運(yùn)行   　　　8.2.1 啟用多上下文模式   　　　8.2.2 配置安全上下文   　　　8.2.3 管理安全上下文   　　8.3 配置PIX安全器件故障倒換   　　　8.3.1 理解故障倒換   　　　8.3.2 故障倒換的要求   　　　8.3.3 基于串行電纜的故障倒換配置   　　　8.3.4 基于LAN的活躍/備用故障倒換配置   　　　8.3.5 活躍/活躍故障倒換   　　　8.3.6 配置透明防火墻模式   　　　8.3.7 透明防火墻模式概覽   　　　8.3.8 啟用透明防火墻模式   　　　8.3.9 監(jiān)控和維護(hù)透明防火墻   　　8.4 PIX安全器件管理   　　　8.4.1 管理Telnet訪問   　　　8.4.2 管理SSH訪問   　　　8.4.3 命令授權(quán)   　　　8.4.4 PIX安全器件口令恢復(fù)   　　　8.4.5 適應(yīng)性安全器件口令恢復(fù)   　　　8.4.6 文件管理   　　　8.4.7 映像升級和認(rèn)證密鑰   　　8.5 總結(jié)   　　8.6 檢查你的理解   附錄A “檢查你的理解”部分的答案   術(shù)語表

章節(jié)摘錄

插圖：第一學(xué)期第1章 弱點(diǎn)、威脅、攻擊1.5 弱點(diǎn)分析在為現(xiàn)有網(wǎng)絡(luò)增加新的安全解決方案時(shí)，要先對網(wǎng)絡(luò)狀態(tài)有一個(gè)認(rèn)識，了解當(dāng)前的需求。只有經(jīng)過這些分析才可能對系統(tǒng)的某個(gè)部分的重新設(shè)計(jì)、重建進(jìn)行改進(jìn)并滿足需要。分析可以分解為以下幾步：1.政策定位；2.網(wǎng)絡(luò)分析；3.主機(jī)分析。本章余下的部分將深入探討每個(gè)步驟及分析工具。1.5.1 政策定位如果已經(jīng)存在安全策略，設(shè)計(jì)者要分析它并確定安全需求，這將影響方案的設(shè)計(jì)。開始時(shí)，設(shè)計(jì)者應(yīng)檢查兩項(xiàng)基本的安全策略。？確定需要保護(hù)的資源。這將幫助設(shè)計(jì)者對網(wǎng)絡(luò)中敏感的計(jì)算機(jī)資源提供正確的保護(hù)級別并確認(rèn)敏感的數(shù)據(jù)流。一確認(rèn)可能的攻擊者。這將幫助設(shè)計(jì)者為內(nèi)部及外部用戶分配信任等級，并更細(xì)致地劃分用戶，如合作伙伴、消費(fèi)者、IT外購合作者。設(shè)計(jì)者也應(yīng)利用風(fēng)險(xiǎn)評估過程估算安全策略是否是可發(fā)展的。例如，安全策略中是否包含了所有可能的風(fēng)險(xiǎn)，是否忽視了一些重要的威脅。設(shè)計(jì)者還應(yīng)評估安全策略的防御過程以確定是否可防御所有威脅，這將確保安全策略是通用的、完整的。對于需要高安全級別保護(hù)的組織還需要更深入地防護(hù)以避免單點(diǎn)故障。設(shè)計(jì)者也需要確定相對于被保護(hù)資源，安全設(shè)備的投資是可接受的。策略分析的結(jié)果如下：策略評估的正確性及完整性；確定在安全策略實(shí)施階段之前，應(yīng)做的改進(jìn)。

編輯推薦

《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程網(wǎng)絡(luò)安全(第1、2學(xué)期)》作為思科網(wǎng)絡(luò)技術(shù)學(xué)院網(wǎng)絡(luò)安全的指定教材，適合具備CCNA水平的讀者學(xué)習(xí)。另外，將要參加思科公司的CCSP認(rèn)證考試的人員也可以把《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程網(wǎng)絡(luò)安全(第1、2學(xué)期)》作為考試指南。

圖書封面

評論、評分、閱讀與下載

---

    思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 PDF格式下載

---