出版時間:2012-10 出版社:人民郵電出版社 作者:迪爾 頁數(shù):756 字?jǐn)?shù):1221000
Tag標(biāo)簽:無
內(nèi)容概要
《Cisco
VPN完全配置指南》提供了VPN專家級解決方案。全書共分為6個部分,涵蓋了VPN技術(shù)的方方面面和Cisco相關(guān)產(chǎn)品的特性及應(yīng)用。第一部分介紹了VPN的概念及主要相關(guān)技術(shù),包括IPSec和SSL
VPN。第二部分詳細(xì)介紹了集中器產(chǎn)品,并且討論了站點到站點和遠(yuǎn)程訪問的連接類型,重點在于IPSec和WebVPN。第三部分討論了Cisco
VPN客戶端及3002硬件客戶端。第四部分介紹了Cisco
IOS路由器,討論了可擴展的VPN,包括動態(tài)的多點VPN、路由器證書授權(quán)和路由器遠(yuǎn)程訪問方案。第五部分解釋了Cisco
PIX和Cisco
ASA安全設(shè)備以及它們在VPN連接方面的作用,包括遠(yuǎn)程訪問和站點到站點的連接。第六部分通過一個案例展示了真實的VPN解決方案?!禖isco
VPN完全配置指南》在介紹技術(shù)的同時,融入了作者的實際工作經(jīng)驗,并提供了故障診斷與排除方面的案例,極具參考價值。 《Cisco
VPN完全配置指南》適合想要全面、綜合了解VPN技術(shù)的網(wǎng)絡(luò)技術(shù)人員,也適合想要進一步了解網(wǎng)絡(luò)安全核心知識的網(wǎng)絡(luò)專業(yè)人員。對于想?yún)⒓覥isco相關(guān)認(rèn)證考試的考生,本書也不失為一本很好的參考書籍。
作者簡介
Richard A.
Deal在計算機與網(wǎng)絡(luò)行業(yè)有近20年的從業(yè)經(jīng)驗,先后從事過網(wǎng)絡(luò)互聯(lián)、培訓(xùn)、系統(tǒng)管理與編程等工作。除了擁有格羅夫城市學(xué)院的數(shù)學(xué)與計算機科學(xué)學(xué)士學(xué)位之外,Richard還持有Cisco的多項證書。從1997年起,Richard成立了自己的公司The
Deal Group, Inc。該公司位于佛羅里達州的奧蘭多。在過去的8年,Richard一直在運營自己的The Deal Group
Inc公司。他還在Boson Training講授Cisco安全課程,并為其編寫Cisco認(rèn)證備考測試題。
書籍目錄
第一部分 VPN
第1章 VPN概述
1.1 流量問題
1.1.1 竊聽攻擊
1.1.2 偽裝攻擊
1.1.3 中間人攻擊
1.2 VPN定義
1.2.1 VPN描述
1.2.2 VPN連接模式
1.2.3 VPN類型
1.2.4 VPN分類
1.3 VPN組件
1.3.1 驗證
1.3.2 封裝方法
1.3.3 數(shù)據(jù)加密
1.3.4 數(shù)據(jù)包的完整性
1.3.5 密鑰管理
1.3.6 抗抵賴性
1.3.7 應(yīng)用程序和協(xié)議的支持
1.3.8 地址管理
1.4 VPN設(shè)計
1.4.1 連接類型
1.4.2 VPN考慮
1.4.3 冗余
1.5 VPN實施
1.5.1 GRE
1.5.2 IPSec
1.5.3 PPTP
1.5.4 L2TP
1.5.5 MPLS
1.5.6 SSL
1.6 VPN:選擇解決方案
1.6.1 安全性
1.6.2 實施、管理和支持
1.6.3 高可靠性
1.6.4 擴展性和靈活性
1.6.5 費用
1.7 總結(jié)
第2章 VPN技術(shù)
2.1 密鑰
2.1.1 密鑰的使用
2.1.2 對稱密鑰
2.1.3 非對稱密鑰
2.2 加密
2.2.1 加密的過程
2.2.2 加密算法
2.3 數(shù)據(jù)包驗證
2.3.1 數(shù)據(jù)包驗證的實施
2.3.2 數(shù)據(jù)包驗證的使用
2.3.3 數(shù)據(jù)包驗證的問題
2.4 密鑰交換
2.4.1 密鑰共享的困惑
2.4.2 Diffie-HellMan(赫爾曼算法)
2.4.3 密鑰刷新
2.4.4 密鑰交換方法的限制
2.5 驗證方法
2.5.1 中間人攻擊
2.5.2 驗證的解決方案
2.5.3 設(shè)備驗證
2.5.4 用戶驗證
2.6 總結(jié)
第3章 IPSec
3.1 IPSec標(biāo)準(zhǔn)
3.1.1 IETF RFC
3.1.2 IPSec連接
3.1.3 構(gòu)建連接的基本過程
3.2 ISAKMP/IKE階段1
3.2.1 管理連接
3.2.2 密鑰交換協(xié)議:Diffie-Hellman
3.2.3 設(shè)備驗證
3.2.4 遠(yuǎn)程訪問額外的步驟
3.3 ISAKMP/IKE階段2
3.3.1 ISAKMP/IKE階段2組件
3.3.2 階段2安全協(xié)議
3.3.3 階段2的連接模式
3.3.4 階段2的傳輸集
3.3.5 數(shù)據(jù)連接
3.4 IPSec流量和網(wǎng)絡(luò)
3.4.1 IPSec和地址轉(zhuǎn)換
3.4.2 IPSec和防火墻
3.4.3 使用IPSec的其他問題
3.5 總結(jié)
第4章 PPTP和L2TP
4.1 PPTP
4.1.1 PPP回顧
4.1.2 PPTP組件
4.1.3 PPTP是如何工作的
4.1.4 使用PPTP的問題
4.2 L2TP
4.2.1 L2TP概述
4.2.2 L2TP操作
4.2.3 L2TP/IPSec和PPTP的比較
4.3 總結(jié)
第5章 SSL VPN
5.1 SSL回顧
5.1.1 SSL客戶實施
5.1.2 SSL保護
5.1.3 SSL組件
5.2 什么時候使用SSL VPN
5.2.1 SSL VPN的好處
5.2.2 SSL VPN的缺點
5.3 Cisco的WebVPN解決方案
5.3.1 VPN 3000系列集中器
5.3.2 WebVPN的操作
5.3.3 Web訪問
5.3.4 網(wǎng)絡(luò)瀏覽和文件管理訪問
5.3.5 應(yīng)用程序訪問和端口轉(zhuǎn)發(fā)
5.3.6 E-mail客戶的訪問
5.4 總結(jié)
第二部分 集中器
第6章 集中器產(chǎn)品信息
6.1 集中器的型號
6.1.1 3005集中器
6.1.2 3015集中器
6.1.3 3020集中器
6.1.4 3030集中器
6.1.5 3060集中器
6.1.6 3080集中器
6.1.7 集中器型號的比較
6.2 集中器的模塊
6.2.1 SEP模塊
6.2.2 SEP操作
6.3 集中器的特性
6.3.1 版本3.5特性
6.3.2 版本3.6特性
6.3.3 版本4.0特性
6.3.4 版本4.1特性
6.3.5 版本4.7特性
6.4 介紹對集中器的訪問
6.4.1 命令行接口
6.4.2 圖形用戶接口
6.5 總結(jié)
第7章 使用IPSec實現(xiàn)集中器的遠(yuǎn)程訪問連接
7.1 控制對集中器的遠(yuǎn)程訪問會話
7.1.1 組的配置
7.1.2 用戶配置
7.2 IPSec遠(yuǎn)程訪問
7.2.1 ISAKMP/IKE階段1:IKE建議
7.2.2 ISAKMP/IKE階段1:設(shè)備驗證
7.2.3 ISAKMP/IKE階段1:IPSec標(biāo)簽
7.2.4 ISAKMP/IKE階段1:Mode/Client Config標(biāo)簽
7.2.5 ISAKMP/IKE階段1:Client FW標(biāo)簽
7.2.6 ISAKMP/IKE階段2:數(shù)據(jù)SA
7.3 對于IPSec和L2TP/IPSec用戶的網(wǎng)絡(luò)訪問控制(NAC)
7.3.1 對于IPSec,NAC的全局配置
7.3.2 NAC的組配置
7.4 總結(jié)
第8章 使用PPTP、L2TP和WebVPN實現(xiàn)集中器遠(yuǎn)程訪問連接
8.1 PPTP和L2TP遠(yuǎn)程訪問
8.1.1 PPTP和L2TP組配置
8.1.2 PPTP全局配置
8.1.3 L2TP全局配置
8.2 WebVPN遠(yuǎn)程訪問
8.2.1 HTTPS訪問
8.2.2 WebVPN全局配置
8.2.3 組配置
8.2.4 SSL VPN客戶端(SSL VPN客戶端,SVC)
8.2.5 用于WebVPN訪問的Cisco安全桌面
8.3 總結(jié)
第9章 集中器站點到站點的連接
9.1 L2L連接例子
9.2 ISAKMP/IKE階段1準(zhǔn)備
9.2.1 現(xiàn)有的IKE策略
9.2.2 IKE策略屏幕
9.3 增加站點到站點的連接
9.3.1 添加L2L會話
9.3.2 完成L2L會話
9.3.3 修改L2L會話
9.4 地址轉(zhuǎn)換和L2L會話
9.4.1 介紹集中器地址轉(zhuǎn)換的能力
9.4.2 需要L2L地址轉(zhuǎn)換的例子
9.4.3 建立L2L地址轉(zhuǎn)換規(guī)則
9.4.4 啟動L2L地址轉(zhuǎn)換
9.5 總結(jié)
第10章 集中器的管理
10.1 帶寬管理
10.1.1 建立帶寬策略
10.1.2 激活帶寬策略
10.2 集中器上的路由選擇
10.2.1 靜態(tài)路由選擇
10.2.2 RIP路由選擇協(xié)議
10.2.3 OSPF路由選擇協(xié)議
10.3 機箱冗余
10.3.1 VRRP
10.3.2 VCA
10.4 管理屏幕
10.4.1 Administrator Access(管理員訪問)
10.4.2 集中器的升級
10.4.3 文件管理
10.5 總結(jié)
第11章 驗證和故障診斷與排除集中器的連接
11.1 集中器的工具
11.1.1 系統(tǒng)狀態(tài)
11.1.2 VPN會話
11.1.3 事件日志
11.1.4 監(jiān)控統(tǒng)計信息屏幕
11.2 故障診斷與排除問題
11.2.1 ISAKMP/IKE階段1的問題
11.2.2 ISAKMP/IKE階段2的問題
11.3 總結(jié)
第三部分 客戶端
第12章 Cisco VPN軟件客戶端
12.1 Cisco VPN客戶端的概述
12.1.1 Cisco VPN客戶端的特性
12.1.2 Cisco VPN客戶端的安裝
12.2 Cisco VPN客戶端接口
12.2.1 操作模式
12.2.2 喜好
12.2.3 先進模式工具欄按鈕和標(biāo)簽選項
12.3 IPSec連接
12.3.1 使用預(yù)共享密鑰建立連接
12.3.2 使用證書建立連接
12.3.3 其他的連接配置選項
12.3.4 連接到一臺Easy VPN服務(wù)器
12.3.5 客戶端的連接狀態(tài)
12.3.6 斷開連接
12.4 VPN客戶端的GUI選項
12.4.1 Application Launcher(應(yīng)用程序發(fā)起器)
12.4.2 Windows Login Properties(Windows登錄屬性)
12.4.3 Automatic Initiation(自動發(fā)起)
12.4.4 Stateful Firewall(狀態(tài)防火墻)
12.5 VPN客戶端軟件的更新
12.5.1 集中器:客戶端更新
12.5.2 對于Windows 2000和XP的VPN客戶端的自動更新的準(zhǔn)備
12.5.3 客戶端的更新過程
12.6 VPN客戶端的故障診斷與排除
12.6.1 日志查看器
12.6.2 驗證問題
12.6.3 ISAKMP/IKE策略不匹配的問題
12.6.4 地址分配的故障診斷與排除
12.6.5 分離隧道問題
12.6.6 地址轉(zhuǎn)換問題
12.6.7 碎片問題
12.6.8 Microsoft的網(wǎng)絡(luò)鄰居問題
12.7 總結(jié)
第13章 Windows軟件客戶端
13.1 Windows客戶端
13.1.1 理解Windows客戶端的特性
13.1.2 驗證Windows客戶端是可操作的
13.2 配置Windows VPN客戶端
13.2.1 建立一個安全的策略
13.2.2 需要使用L2TP
13.2.3 建立一個Microsoft的VPN連接
13.3 配置VPN 3000集中器
13.3.1 IKE建議
13.3.2 IPSec SA
13.3.3 組配置
13.3.4 地址管理
13.3.5 用戶配置
13.4 Microsoft客戶端的連接
13.4.1 連接到VPN網(wǎng)關(guān)
13.4.2 核實PC上的連接
13.4.3 核實集中器上的連接
13.5 故障診斷與排除VPN的連接
13.5.1 集中器故障診斷與排除工具
13.5.2 Microsoft的客戶端故障診斷與排除工具
13.6 總結(jié)
第14章 3002硬件客戶端
14.1 3002硬件客戶端概覽
14.1.1 3002的特性
14.1.2 3002型號
14.1.3 3002的實施
14.2 對于3002的初始訪問
14.2.1 命令行接口
14.2.2 圖形用戶接口
14.3 驗證和連接選項
14.3.1 單元驗證
14.3.2 額外的驗證選項
14.4 連接模式
14.4.1 客戶模式
14.4.2 網(wǎng)絡(luò)擴展模式
14.4.3 路由和反向路由注入
14.5 管理任務(wù)
14.5.1 從公有接口上訪問3002
14.5.2 升級3002
14.6 總結(jié)
第四部分 IOS路由器
第15章 路由器產(chǎn)品信息
15.1 路由器實施場景
15.1.1 L2L和遠(yuǎn)程訪問連接
15.1.2 路由器的特殊能力
15.2 路由器產(chǎn)品概述
15.3 總結(jié)
第16章 路由器的ISAKMP/IKE階段1連接
16.1 IPSec的準(zhǔn)備
16.1.1 收集信息
16.1.2 允許IPSec的流量
16.2 ISAKMP/IKE階段1策略
16.2.1 啟動ISAKMP
16.2.2 建立策略
16.2.3 與對等體協(xié)商策略
16.2.4 啟動IKE死亡對等體檢測
16.3 ISAKMP/IKE階段1設(shè)備驗證
16.3.1 ISAKMP/IKE身份類型
16.3.2 預(yù)共享密鑰
16.3.3 RSA加密的隨機數(shù)
16.3.4 數(shù)字證書和路由器的注冊
16.4 監(jiān)控和管理管理連接
16.4.1 查看ISAKMP/IKE階段1的連接
16.4.2 管理ISAKMP/IKE階段1的連接
16.4.3 路由器作為證書授權(quán)
16.4.4 步驟1:產(chǎn)生和導(dǎo)出RSA密鑰信息
16.4.5 步驟2:啟動CA
16.4.6 步驟3:定義額外的CA參數(shù)
16.4.7 步驟4:處理申請請求
16.4.8 步驟5:吊銷身份證書
16.4.9 步驟6:配置一臺服務(wù)器使其運行在RA的模式
16.4.10 步驟7:備份一個CA
16.4.11 步驟8:恢復(fù)一個CA
16.4.12 步驟9:清除CA服務(wù)
16.5 總結(jié)
第17章 路由器站點到站點連接
17.1 ISAKMP/IKE階段2配置
17.1.1 定義被保護的流量:Crypto ACL
17.1.2 定義保護方法:Transform Set(傳輸集)
17.1.3 構(gòu)建一個靜態(tài)的Crypto Map條目
17.1.4 構(gòu)建一個動態(tài)的Crypto Map
17.1.5 可區(qū)分的基于名字的Crypto Map
17.2 查看和管理連接
17.2.1 查看IPSec的數(shù)據(jù)SA
17.2.2 管理IPSec數(shù)據(jù)SA
17.3 站點到站點連接的問題
17.3.1 遷移到一個基于IPSec的設(shè)計
17.3.2 過濾IPSec的流量
17.3.3 地址轉(zhuǎn)換和狀態(tài)防火墻
17.3.4 非單播流量
17.3.5 配置簡化
17.3.6 IPSec冗余
17.3.7 L2L擴展性
17.4 總結(jié)
第18章 路由器遠(yuǎn)程訪問連接
18.1 Easy VPN服務(wù)器
18.1.1 Easy VPN服務(wù)器的配置
18.1.2 VPN組監(jiān)控
18.1.3 Easy VPN服務(wù)器配置例子
18.2 Easy VPN遠(yuǎn)端
18.2.1 Easy VPN遠(yuǎn)端連接模式
18.2.2 Easy VPN遠(yuǎn)端配置
18.2.3 Easy VPN遠(yuǎn)端配置的例子
18.3 在同一路由器上的IPSec遠(yuǎn)程訪問和L2L會話
18.3.1 中心辦公室路由器的配置
18.3.2 遠(yuǎn)程訪問和L2L樣例配置
18.4 WebVPN
18.4.1 WebVPN建立
18.4.2 WebVPN配置例子
18.5 總結(jié)
第19章 路由器連接的故障診斷與排除
19.1 ISAKMP/IKE階段1連接
19.1.1 階段1命令的回顧
19.1.2 show crypto isakmp sa命令
19.1.3 debug crypto isakmp命令
19.1.4 debug crypto pki命令
19.1.5 debug crypto engine命令
19.2 ISAKMP/IKE階段2連接
19.2.1 階段2命令的回顧
19.2.2 show crypto engine connection active命令
19.2.3 show crypto ipsec sa命令
19.2.4 debug crypto ipsec命令
19.3 新的IPSec故障診斷與排除特性
19.3.1 IPSec VPN監(jiān)控特性
19.3.2 清除Crypto會話
19.3.3 無效的安全參數(shù)索引恢復(fù)特性
19.4 碎片問題
19.4.1 碎片問題
19.4.2 碎片發(fā)現(xiàn)
19.4.3 碎片問題的解決方案
19.5 總結(jié)
第五部分 PIX防火墻
第20章 PIX和ASA產(chǎn)品信息
20.1 PIX實施場景
20.1.1 L2L和遠(yuǎn)程訪問連接
20.1.2 PIX和ASA的特殊能力
20.2 PIX和ASA的特性和產(chǎn)品回顧
20.2.1 PIX和ASA VPN特性
20.2.2 PIX型號
20.2.3 ASA型號
20.3 總結(jié)
第21章 PIX和ASA站點到站點的連接
21.1 ISAKMP/IKE階段1管理連接
21.1.1 允許IPSec的流量
21.1.2 建立ISAKMP
21.1.3 配置管理連接的策略
21.1.4 配置設(shè)備驗證
21.2 ISAKMP/IKE階段2數(shù)據(jù)連接
21.2.1 指定被保護的流量
21.2.2 定義如何保護流量
21.2.3 構(gòu)建Crypto Map
21.2.4 激活一個Crypto Map
21.2.5 數(shù)據(jù)連接管理命令
21.3 L2L連接例子
21.3.1 FOS 6.3 L2L的例子
21.3.2 FOS 7.0 L2L的例子
21.4 總結(jié)
第22章 PIX和ASA遠(yuǎn)程訪問連接
22.1 6.x對于Easy VPN服務(wù)器的支持
22.1.1 6.x的Easy VPN服務(wù)器的配置
22.1.2 6.x的Easy VPN服務(wù)器的例子
22.2 6.x的Easy VPN遠(yuǎn)端支持
22.2.1 6.x的Easy VPN遠(yuǎn)端配置
22.2.2 使用證書作為遠(yuǎn)程訪問
22.2.3 核實您的6.x遠(yuǎn)端配置和連接
22.2.4 6.x的Easy VPN遠(yuǎn)端設(shè)備的例子配置
22.3 對于7.0的Easy VPN服務(wù)器的支持
22.3.1 理解隧道組
22.3.2 定義組策略
22.3.3 建立隧道組
22.3.4 為XAUTH建立用戶賬號
22.3.5 遠(yuǎn)程訪問會話的問題及在7.0中的解決方案
22.3.6 解釋7.0的一臺Easy VPN服務(wù)器配置的例子
22.4 總結(jié)
第23章 PIX和ASA連接的故障診斷與排除
23.1 ISAKMP/IKE階段1連接
23.1.1 階段1命令的回顧
23.1.2 show isakmp sa命令
23.1.3 debug crypto isakmp命令
23.1.4 debug crypto vpnclient命令
23.2 ISAKMP/IKE階段2連接
23.2.1 階段2命令的回顧
23.2.2 show crypto ipsec sa命令
23.2.3 debug crypto ipsec命令
23.3 總結(jié)
第六部分 案例研究
第24章 案例研究
24.1 公司的概貌
24.1.1 總部辦公室
24.1.2 區(qū)域辦公室
24.1.3 分支辦公室
24.1.4 遠(yuǎn)程訪問用戶
24.2 案例研究的配置
24.2.1 邊緣路由器的配置
24.2.2 Internet遠(yuǎn)程訪問配置
24.2.3 主要園區(qū)無線的配置
24.3 總結(jié)
章節(jié)摘錄
版權(quán)頁: 插圖: 1.數(shù)字證書的定義 證書中包含的信息可以幫助驗證過程。不像預(yù)共享密鑰驗證方法,證書是不預(yù)先共享的。相反,只有當(dāng)設(shè)備需要和另外一方建立連接的時候,證書才被共享。因此,最艱難的部分就是在設(shè)備上得到證書——您不需要在您的設(shè)備上配置其他對等體的證書。 一個數(shù)字證書類似于司機駕照或者是護照的電子版本;它可以用于驗證一個人(或者在這個例子里,一臺設(shè)備)的身份。數(shù)字證書是基于非對稱密鑰的使用(公鑰/私鑰),例如RSA加密的隨機數(shù)。您會找到許多關(guān)于數(shù)字證書的內(nèi)容,我將在“X.509證書”的小節(jié)中深入討論。然而,關(guān)于數(shù)字證書的三件重要的事情就是一臺設(shè)備的身份信息、它的公鑰,和用它的私鑰產(chǎn)生的相應(yīng)的簽名。因此,能夠證明一臺設(shè)備的身份的必要信息都存儲在一個地方:它的證書。為了驗證一個遠(yuǎn)端的對等體,您只需要它的數(shù)字證書。 當(dāng)然,這就出現(xiàn)了一個問題:您如何知道某人送給您的證書就是他說他是的證書呢?換句話說,一個攻擊者可以產(chǎn)生一個數(shù)字證書,然后把它發(fā)送給您,去假冒別人。您如何能夠檢測到這種類型的偽裝攻擊呢? 在這里我在自頒發(fā)的證書和使用一個信任的第三方,稱為證書頒發(fā)機構(gòu),它所提供的可信任的證書信息之間畫上一道分界線。例如,如果雙方都產(chǎn)生其自己的自頒發(fā)證書,如果對方在假冒別人的話,您確實不能夠核實對方的身份。因此,需要一個信任的證書倉庫。這個倉庫被稱為證書頒發(fā)機構(gòu)(CA)。在這種情況下,CA就是一個被所有想使用證書的設(shè)備信任的一臺設(shè)備。接著,當(dāng)雙方彼此想建立連接的時候,使用證書驗證,他們可以使用CA作為一個信任的第三方來確保沒有偽裝攻擊發(fā)生,并且您所連接的對方確實是它說它是的設(shè)備。我將下面的“證書頒發(fā)機構(gòu)”部分深入討論CA。
編輯推薦
《Cisco VPN完全配置指南》是Cisco Press出版的網(wǎng)絡(luò)安全技術(shù)系列叢書之一《Cisco VPN完全配置指南》提供專家級解決方案《Cisco VPN完全配置指南》融入作者的實際工作經(jīng)驗,提供故障診斷與排除方面的案例
圖書封面
圖書標(biāo)簽Tags
無
評論、評分、閱讀與下載