词条 | 思科网络技术学院教程:网络安全 |
释义 | 《思科网络技术学院教程网络安全》作为思科网络技术学院网络安全的指定教材,适合具备CCNA水平的读者学习。另外,将要参加思科公司的CCSP认证考试的人员也可以把《思科网络技术学院教程网络安全》作为考试指南。思科网络技术学院项目(CiscoNetworkingAcademyProgram)是Cisco公司在全球范围推出的一个主要面向初级网络工程技术人员的培训项目。作为它的课程之一,《思科网络技术学院教程网络安全》介绍了如何在Cisco的网络设备中实施IP网络的安全。 书名:思科网络技术学院教程:网络安全 作者:(美国)(AntoonW.Rufi)拉菲 ISBN:9787115183002 类别:计算机 网络技术 定价:75.00 元 出版社:人民邮电出版社 出版时间:2008 装帧:平装 开本:16 内容简介《思科网络技术学院教程网络安全》包括两个学期的课程内容。第一学期课程内容侧重于网络中的总体安全进程,并特别关注以下领域的实际操作技巧:安全策略设计和管理,安全技术、产品、解决方案,防火墙和安全路由器设计、安装、配置、维护,使用路由器和防火墙实现AAA,在OSI模型的第二层和第三层保护网络等。第二学期课程内容侧重于安全策略设计和管理,安全技术、产品、解决方案,防火墙和安全路由器设计、安装、配置、维护,使用路由器和防火墙实现入侵预防系统(IPS),使用路由器和防火墙实现虚拟专用网(VPN)等。 作者简介Antoon“Tony”W.Rufi目前在沃尔登大学攻读基于信息系统的应用商务管理和决策学博士。Tony毕业于马里兰大学,获得信息系统硕士学位,并获得南伊利诺斯大学工业技术学士学位。Tony目前是技术校园所有ECPI学院的计算机和信息科学(CIS)副院长,讲授(3isco学院CCNA、CCNP、网络安全以及IP电话课程。在成为ECPI讲师之前,他在美国空军工作近30年,从事大量电子及计算机程序和项目工作。Tony现在与妻子居住在佛吉尼亚州的普库森,他们已经在那里生活了33年。关于技术审稿人 DaleLiu(CCAI、CCNA、CISSP、NSAIAM、NSAIEM)已经在计算机和网络领域工作了20年,具有编程、网络、信息安全等多方面经验。他目前讲授网络、路由以及安全课程,并在中小型公司的安全审计和架构设计领域工作。I)ale目前居住在得克萨斯州的休斯顿。 BeLLeWoodward(CCNA、CCAI、CCNP)在位于伊利诺伊舟卡本代尔的南伊利诺伊大学(SIU,SourthernIllinoisUniversity)应用科学与艺术学院信息系统和应用技术学校担任助教。Belle有超过8年的网络和网络安全经验。她讲授网络安全、高级网络以及电信学。她对网络及网络安全大学课程进行重新设计后,她的学生在2006年美国中西部地区学院赛博对抗赛(CCDC,CollegiatecyberDefeuseCompetition)中获得第一名,并在美国全国CCDC中获得第四名。 目录第1章弱点、威胁、攻击2 1.1关键术语2 1.2网络安全简介3 1.2.1网络安全需求3 1.2.2识别网络安全的潜在风险5 1.2.3开放的与封闭的安全模型5 1.2.4网络安全的发展趋势9 1.2.5信息安全组织11 1.3弱点、威胁和攻击介绍12 1.3.1弱点13 1.3.2威胁14 1.3.3攻击15 1.4攻击事例16 1.4.1侦查攻击17 1.4.2访问攻击18 1.4.3拒绝服务(DoS)攻击21 1.4.4假冒/IP欺骗攻击22 1.4.5分布式拒绝服务攻击23 1.4.6恶意代码25 1.5弱点分析27 1.5.1政策定位27 1.5.2网络分析27 1.5.3主机分析30 1.5.4分析工具31 1.6总结31 1.7检查你的理解32 第2章安全计划与策略34 2.1关键术语34 2.2关于网络安全及Cisco34 2.2.1安全轮(SecurityWheel)35 2.2.2网络安全策略37 2.3端点保护和管理39 2.3.1基于主机和服务器的安全组件和技术39 2.3.2PC管理41 2.4网络保护和管理42 2.4.1基于网络的安全组件和技术42 2.4.2网络安全管理47 2.5安全体系50 2.5.1安全体系SAFE50 2.5.2Cisco自防卫网络51 2.5.3保护连通性(secureconnectivity)51 2.5.4威胁防范(ThreatDefense)52 2.5.5Cisco集成安全54 2.5.6计划、设计、实施、运行、优化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)55 2.6基本的路由器安全57 2.6.1控制对网络设备的访问57 2.6.2使用SSH进行远程配置59 2.6.3路由器口令60 2.6.4路由器优先级和账户62 2.6.5CiscoIOS网络服务63 2.6.6路由、代理ARP、ICMP68 2.6.7路由协议认证和升级过滤70 2.6.8NTP、SNMP、路由器名、DNS72 2.7总结74 2.8检查你的理解74 第3章安全设备76 3.1可选设备76 3.1.1Cisco防火墙特性集77 3.1.2创建用户的防火墙78 3.1.3PIX安全设备78 3.1.4自适应安全设备79 3.1.5Finesse操作系统81 3.1.6自适应安全算法81 3.1.7防火墙服务模块81 3.2使用安全设备管理器82 3.2.1使用SDM启动向导83 3.2.2SDM用户界面84 3.2.3SDM向导85 3.2.4用SDM配置WAN85 3.2.5使用恢复出厂配置向导86 3.2.6监控模式86 3.3Cisco安全设备家族介绍88 3.3.1PIX501安全设备88 3.3.2PIX506E安全设备88 3.3.3PIX515E安全设备88 3.3.4PIX525安全设备88 3.3.5PIX535安全设备89 3.3.6自适应安全设备模块89 3.3.7PIX安全设备许可证91 3.3.8PIXVPN加密许可91 3.3.9安全上下文92 3.3.10PIX安全设备上下文许可证92 3.3.11ASA安全设备许可证92 3.3.12扩展PIX515E特性93 3.3.13扩展PIX525特性93 3.3.14扩展PIX535特性93 3.3.15扩展自适应安全设备家族的特性94 3.4开始配置PIX安全设备94 3.4.1配置PIX安全设备95 3.4.2帮助命令96 3.4.3安全级别96 3.4.4基本PIX安全设备的配置命令97 3.4.5其他PIX安全设备的配置命令100 3.4.6检查PIX安全设备的状态105 3.4.7时间设置和NTP支持108 3.4.8日志(syslog)配置109 3.5安全设备的转换和连接111 3.5.1传输协议111 3.5.2NAT112 3.5.3动态内部NAT114 3.5.4两个接口的NAT114 3.5.53个接口的NAT115 3.5.6PAT116 3.5.7增加PAT的全局地址池118 3.5.8static命令118 3.5.9nat0命令120 3.5.10连接和转换121 3.6用自适应安全设备管理器管理PIX127 3.6.1ASDM运行需求127 3.6.2ASDM的准备129 3.6.3使用ASDM配置PIX安全设备130 3.7PIX安全设备的路由功能131 3.7.1虚拟LAN131 3.7.2静态和RIP路由135 3.7.3OSPF137 3.7.4多播路由140 3.8防火墙服务模块的运行143 3.8.1FWSM的运行要求144 3.8.2开始使用FWSM144 3.8.3校验FWSM的安装145 3.8.4配置FWSM的访问列表146 3.8.5在FWSM上使用PDM147 3.8.6重置和重启FWSM147 3.9总结148 3.10检查你的理解148 第4章信任和身份技术150 4.1关键术语150 4.2AAA150 4.2.1TACACS151 4.2.2RADIUS151 4.2.3TACACS+和RADIUS的比较153 4.3验证技术154 4.3.1静态口令154 4.3.2一次性口令154 4.3.3令牌卡155 4.3.4令牌卡和服务器方法155 4.3.5数字证书156 4.3.6生物测定学157 4.4基于身份网络服务(IBNS)158 4.5有线的和无线的执行160 4.6网络准入控制(NAC)161 4.6.1NAC组成161 4.6.2NAC阶段162 4.6.3NAC运行163 4.6.4NAC厂商的参与164 4.7总结165 4.8检查你的理解165 第5章Cisco安全访问控制服务器167 5.1关键术语167 5.2Cisco安全访问控制服务器产品概述167 5.2.1验证和用户数据库169 5.2.2Cisco安全ACS用户数据库169 5.2.3保持数据库稳定170 5.2.4基于Windows的Cisco安全ACS体系架构171 5.2.5Cisco安全ACS如何验证用户172 5.2.6用户可更改的口令174 5.3使用Cisco安全ACS配置TACACS+和RADIUS175 5.3.1安装步骤175 5.3.2管理基于Windows的Cisco安全ACS176 5.3.3排错177 5.3.4启用TACACS+178 5.4检验TACACS+180 5.4.1失败180 5.4.2通过181 5.5配置RADIUS183 5.6总结183 5.7检查你的理解184 第6章在三层配置信任和身份186 6.1关键术语186 6.2CiscoIOS防火墙认证代理186 6.2.1认证代理的运行186 6.2.2支持的AAA服务器187 6.2.3AAA服务器配置188 6.2.4AAA配置188 6.2.5允许AAA流量到路由器190 6.2.6认证代理配置191 6.2.7测试和验证认证代理192 6.3介绍PIX安全器件AAA特性193 6.3.1PIX安全器件认证193 6.3.2PIX安全器件授权194 6.3.3PIX安全器件计费195 6.3.4AAA服务器支持195 6.4在PIX安全器件上配置AAA196 6.4.1PIX安全器件访问认证196 6.4.2交互式用户认证196 6.4.3本地用户数据库198 6.4.4认证提示和超时199 6.4.5直通代理认证200 6.4.6认证非Telnet、FTP、HTTP或HTTPS流量201 6.4.7隧道用户认证203 6.4.8授权配置204 6.4.9可下载的ACL205 6.4.10计费配置207 6.4.11控制台会话计费208 6.4.12命令计费209 6.4.13AAA配置故障处理209 6.5总结212 6.6检查你的理解212 第7章在二层配置信任和身份214 7.1关键术语214 7.2基于身份的网络服务(IBNS)214 7.2.1特点及好处214 7.2.2IEEE802.1x215 7.2.3选择正确的EAP219 7.2.4CiscoLEAP220 7.2.5IBNS和Cisco安全ACS221 7.2.6部署ACS的考虑223 7.2.7Cisco安全ACSRADIUS配置224 7.3配置802.1x基于端口的认证225 7.3.1使能802.1x认证227 7.3.2配置交换机到RADIUS服务器的通信227 7.3.3使能周期性重认证228 7.3.4手工重认证连接到端口的客户229 7.3.5使能多主机229 7.3.6将802.1x配置重设为默认值229 7.3.7查看802.1x统计信息和状态229 7.4总结230 7.5检查你的理解230 第8章在路由器上配置过滤232 8.1关键术语232 8.2过滤和访问列表232 8.2.1数据包过滤233 8.2.2状态过滤233 8.2.3URL过滤235 8.3CiscoIOS防火墙基于上下文的访问控制235 8.3.1CBAC数据包236 8.3.2CiscoIOSACL236 8.3.3CBAC如何运行236 8.3.4CBAC所支持的协议238 8.4配置CiscoIOS防火墙基于上下文的访问控制239 8.4.1CBAC配置任务239 8.4.2准备CBAC239 8.4.3设置审计跟踪和警告240 8.4.4设置全局超时时间241 8.4.5设置全局阈值242 8.4.6主机限制的半开连接243 8.4.7系统定义的端口与应用映射243 8.4.8用户定义的PAM244 8.4.9设定应用的检测规则245 8.4.10为IP分片定义检测规则246 8.4.11定义ICMP检测规则247 8.4.12将检测规则和ACL应用于接口248 8.5测试与校验CBAC251 用SDM配置CiscoIOS防火墙252 8.6总结253 8.7检查你的理解253 第9章在PIX安全器件上配置过滤256 9.1关键术语256 9.2配置ACL和内容过滤256 9.2.1PIX安全器件ACL257 9.2.2配置ACL258 9.2.3ACL行号259 9.2.4icmp命令259 9.2.5nat0ACL260 9.2.6TurboACL262 9.2.7使用ACL262 9.2.8恶意代码过滤265 9.2.9URL过滤266 9.3对象分组268 9.3.1开始使用对象分组269 9.3.2配置对象分组269 9.3.3嵌套对象分组271 9.3.4管理对象分组274 9.4配置安全器件模块策略275 9.4.1配置一个类映射277 9.4.2配置一个策略映射277 9.4.3配置一个服务策略279 9.5配置高级协议检查280 9.5.1默认流量检查和端口号280 9.5.2FTP检查283 9.5.3FTP深度报文检查285 9.5.4HTTP检查286 9.5.5协议应用程序检查287 9.5.6多媒体支持291 9.5.7实时流协议(Real-TimeStreamingProtocol,RSTP)291 9.5.8支持IP电话所需要的协议293 9.5.9DNS检查295 9.6总结296 9.7检查你的理解297 第10章在交换机上配置过滤299 10.1关键术语299 10.2二层攻击简介299 10.3MAC地址、ARP和DHCP攻击300 10.3.1减少CAM表过载攻击301 10.3.2MAC欺骗:中间人攻击302 10.3.3ARP欺骗303 10.4DHCP侦听(DHCPSnooping)303 10.4.1动态ARP检测305 10.4.2DHCP耗尽攻击(DHCPStarvationAttacks)305 10.5VLAN攻击306 10.5.1VLAN跳跃攻击306 10.5.2私用VLAN攻击308 10.5.3私用VLAN防御308 10.6生成树协议攻击309 10.7总结310 10.8检查你的理解310 第二学期 第1章入侵检测和防御技术314 1.1关键术语314 1.2入侵检测和防御介绍314 1.2.1基于网络与基于主机315 1.2.2警报的类型315 1.3检测引擎317 1.3.1基于签名的探测317 1.3.2签名的类型317 1.3.3基于异常状态检测318 1.4Cisco的IDS和IPS设备319 1.4.1Cisco集成的解决方案319 1.4.2CiscoIPS4200系列探测器320 1.5总结320 1.6检查你的理解321 第2章配置网络入侵检测和入侵防护322 2.1关键术语322 2.2CiscoIOS入侵防护系统(IPS)322 2.2.1CiscoIOS入侵防护系统的起源324 2.2.2路由器的性能324 2.2.3CiscoIOS入侵防护系统特征库324 2.2.4配置CiscoIOS入侵防护系统的过程325 2.3在PIX安全设备上启用攻击防护功能(attackguards)329 2.3.1MailGuard329 2.3.2DNSGuard329 2.3.3FragGuard和虚拟重组(VirtualReassembly)330 2.3.4AAA泛洪防护331 2.3.5SYN泛洪保护332 2.3.6TCPintercept332 2.3.7SYNCookies333 2.3.8连接限制333 2.4在PIX安全设备上配置入侵防护334 2.4.1入侵检测和PIX安全设备334 2.4.2配置入侵防护335 2.4.3配置IDS策略336 2.5在PIX安全设备上配置阻断(shunning)337 2.6总结338 2.7检查你的理解339 第3章加密与VPN技术341 3.1关键术语341 3.2加密的基本方法341 3.2.1对称加密341 3.2.2不对称加密342 3.2.3Diffie-Hellman343 3.3完整性要素344 3.3.1散列345 3.3.2散列方法认证码HMAC345 3.3.3数字签名和证书346 3.4实现数字证书348 3.4.1认证中心支持348 3.4.2简单证书注册协议SCEP349 3.4.3CA服务器349 3.4.4使用CA注册一台设备352 3.5VPN拓扑352 3.5.1站点到站点VPN353 3.5.2远程访问VPN353 3.6VPN技术354 3.6.1WebVPN355 3.6.2隧道协议356 3.6.3隧道接口358 3.6.4IPSec358 3.6.5认证头AH359 3.6.6封装安全载荷ESP361 3.6.7隧道和传输模式361 3.6.8安全关联363 3.6.9IPSec的5个步骤364 3.6.10因特网密钥交换IKE366 3.6.11IKE和IPSec367 3.6.12CiscoVPN解决方案368 3.7总结369 3.8检查你的理解369 第4章使用预共享密钥配置站点到站点VPN371 4.1关键术语371 4.2使用预共享密钥的IPSec加密371 4.2.1规划IKE和IPSec策略373 4.2.2步骤1:确定ISAKMP(IKE阶段1)策略373 4.2.3步骤2:定义IPSec(IKE阶段2)策略375 4.2.4步骤3:检查当前配置375 4.2.5步骤4:确保网络在没有加密时也能工作376 4.2.6步骤5:确认ACL允许IPSec377 4.3使用预共享密钥在路由器上配置IKE378 4.3.1步骤1:启用或禁止IKE378 4.3.2步骤2:创建IKE策略378 4.3.3步骤3:配置预共享密钥381 4.3.4步骤4:验证IKE配置382 4.4使用预共享密钥为路由器配置IPSec382 4.4.1步骤1:配置变换集382 4.4.2步骤2:确定IPSec(IKE阶段2)策略384 4.4.3步骤3:创建加密ACL384 4.4.4步骤4:创建加密图386 4.4.5步骤5:将加密图应用到接口387 4.5测试和验证路由器的IPSec配置388 4.5.1查看配置的ISAKMP策略388 4.5.2显示配置的变换集389 4.5.3显示IPSecSA的当前状态389 4.5.4显示配置的加密图389 4.5.5打开IPSec事件的调试输出390 4.5.6打开ISAKMP事件的调试输出390 4.5.7使用SDM配置一个VPN391 4.6使用预共享密钥配置一个PIX安全器件站点到站点VPN391 4.6.1任务1:准备配置VPN支持392 4.6.2任务2:配置IKE参数392 4.6.3任务3:配置IPSec参数394 4.6.4任务4:测试和验证IPSec配置397 4.7总结398 4.8检查你的理解398 第5章使用数字证书配置站点到站点VPN400 5.1关键术语400 5.2在路由器上配置CA支持400 5.2.1步骤1:管理NVRAM401 5.2.2步骤2:设置路由器的时间和日期402 5.2.3步骤3:在路由器主机表中加入CA服务器条目402 5.2.4步骤4:生成RSA密钥对403 5.2.5步骤5:声明一个CA405 5.2.6步骤6:认证CA406 5.2.7步骤7:为路由器申请一个证书407 5.2.8步骤8:保存配置407 5.2.9步骤9:监视和维护CA互操作性408 5.2.10步骤10:验证CA支持配置409 5.3使用数字证书配置CiscoIOS路由器站点到站点VPN410 5.3.1任务1:准备IKE和IPSec411 5.3.2任务2:配置CA支持411 5.3.3任务3:配置IKE412 5.3.4任务4:配置IPSec413 5.3.5任务5:测试和验证IPSec413 5.4使用数字证书配置PIX安全设备站点到站点VPN413 5.5总结415 5.6检查你的理解415 第6章配置远程访问VPN417 6.1关键术语417 6.2CiscoEasyVPN介绍417 6.2.1EasyVPN服务器概览418 6.2.2CiscoEasyVPNRemote概览418 6.2.3CiscoEasyVPN如何工作419 6.3CiscoEasyVPN服务器配置任务421 6.3.1任务1:创建一个IP地址池422 6.3.2任务2:配置组策略查找422 6.3.3任务3:为远程VPN客户访问创建ISAKMP策略423 6.3.4任务4:为模式配置推送定义一个组策略423 6.3.5任务5:创建一个变换集424 6.3.6任务6:创建一个带RRI的加密图424 6.3.7任务7:将模式配置应用到动态加密图425 6.3.8任务8:将动态加密图应用到路由器接口上426 6.3.9任务9:使能IKE失效对等体检测426 6.3.10任务10:(可选)配置XAUTH427 6.3.11任务11:(可选)启用XAUTH保存口令特性427 6.4CiscoEasyVPN客户端4.x配置任务428 6.4.1任务1:在远程用户的PC上安装CiscoVPN客户端4.x428 6.4.2任务2:创建一个新的客户端连接条目429 6.4.3任务3:选择一个认证方法429 6.4.4任务4:配置透明隧道430 6.4.5任务5:启用并增加备份服务器432 6.4.6任务6:通过拨号网络配置一条到因特网的连接432 6.5为接入路由器配置CiscoEasyVPNRemote433 6.5.1EasyVPNRemote操作模式434 6.5.2接入路由器的CiscoEasyVPNRemote配置任务435 6.6配置PIX安全器件作为EasyVPN服务器439 6.6.1任务1:为远程VPN客户端访问创建一个ISAKMP策略439 6.6.2任务2:创建一个IP地址池439 6.6.3任务3:为模式配置推送定义一个组策略440 6.6.4任务4:创建一个变换集442 6.6.5任务5至任务7:动态加密图442 6.6.6任务8:配置XAUTH443 6.6.7任务9:配置NAT和NAT0443 6.6.8任务10:启用IKEDPD443 6.7配置PIX501或506E作为EasyVPN客户端444 6.7.1PIX安全器件EasyVPNRemote特性概览444 6.7.2EasyVPNRemote配置445 6.7.3EasyVPN客户端模式以及启用EasyVPNRemote客户端446 6.7.4EasyVPNRemote认证447 6.8配置适应性安全器件支持WebVPN448 6.8.1WebVPN最终用户接口448 6.8.2配置WebVPN常用参数450 6.8.3配置WebVPN服务器和URL452 6.8.4配置WebVPN端口转发453 6.8.5配置WebVPNE-mail代理455 6.8.6配置WebVPN内容过滤器和ACL455 6.9总结456 6.10检查你的理解456 第7章安全网络体系和管理458 7.1关键术语458 7.2影响二层消除技术的因素458 7.2.1单安全区域、单用户组、单物理交换机459 7.2.2单安全区域、单用户组、多物理交换机461 7.2.3单安全区域、多用户组、单物理交换机462 7.2.4单安全区域、多用户组、多物理交换机462 7.2.5多安全区域、单用户组、单物理交换机463 7.2.6多安全区域、单用户组、多物理交换机464 7.2.7多安全区域、多用户组、单物理交换机465 7.2.8多安全区域、多用户组、多物理交换机466 7.2.9二层安全最佳实践467 7.3SDM安全审计468 7.4路由器管理中心470 7.4.1Hub-and-Spoke拓扑472 7.4.2VPN设置和策略472 7.4.3设备层级和继承472 7.4.4活动473 7.4.5工作473 7.4.6构建块473 7.4.7支持的隧道技术473 7.4.8安装RouterMC474 7.4.9开始使用RouterMC475 7.4.10RouterMC界面476 7.4.11RouterMC标签477 7.4.12基本工作流和任务480 7.5简单网络管理协议SNMP481 7.5.1SNMP介绍481 7.5.2SNMP安全483 7.5.3SNMP版本3(SNMPv3)484 7.5.4SNMP管理应用程序485 7.5.5在CiscoIOS路由器上配置SNMP支持486 7.5.6在PIX安全器件上配置SNMP支持489 7.6总结490 7.7检查你的理解490 第8章PIX安全器件上下文、故障倒换和管理492 8.1关键术语492 8.2配置PIX安全器件在多上下文模式中运行492 8.2.1启用多上下文模式495 8.2.2配置安全上下文496 8.2.3管理安全上下文497 8.3配置PIX安全器件故障倒换497 8.3.1理解故障倒换497 8.3.2故障倒换的要求499 8.3.3基于串行电缆的故障倒换配置500 8.3.4基于LAN的活跃/备用故障倒换配置501 8.3.5活跃/活跃故障倒换502 8.3.6配置透明防火墙模式502 8.3.7透明防火墙模式概览503 8.3.8启用透明防火墙模式504 8.3.9监控和维护透明防火墙506 8.4PIX安全器件管理507 8.4.1管理Telnet访问507 8.4.2管理SSH访问508 8.4.3命令授权509 8.4.4PIX安全器件口令恢复511 8.4.5适应性安全器件口令恢复512 8.4.6文件管理512 8.4.7映像升级和认证密钥514 8.5总结515 8.6检查你的理解516 附录A“检查你的理解”部分的答案518 术语表527 …… |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。