Cisco網絡安全寶典

前言
第1部分 理解網絡安全
第1章 認識網絡安全的威脅
1.1 安全威脅背后的動機
1.1.1 攻擊背后的動機
1.1.2 攻擊行為對網絡的影響
1.2 網絡安全的需求
1.3 網絡安全上的弱點
1.3.1 技術
1.3.2 實現
1.3.3 策略框架的脆弱性
1.4 安全威脅的種類
1.4.1 誰是入侵者
1.4.2 安全威脅的分類
1.5 制定和評估安全策略
1.5.1 風險分析
1.5.2 網絡安全策略的構成
1.5.3 準備安全策略
1.5.4 一個安全策略的模板
1.5.5 網絡安全監(jiān)視
1.6 案例研究
1.6.1 范圍和權限的定義
1.6.2 關于計算機使用的策略
1.6.3 鑒別和識別用戶的策略
1.6.4 遠程訪問的策略
1.6.5 訪問因特網的策略
1.7 小結
第2章 互聯網協議的網絡安全
2.1 保護網站
2.1.1 保護敏感數據
2.1.2 按可信程度劃分網絡
2.1.3 建立安全邊界
2.1.4 邊界網絡
2.1.5 保護網站
2.2 網絡的完整性
2.2.1 MD5標準
2.2.2 PGP標準
2.3 理解運輸層的安全
2.3.1 安全外殼協議
2.3.2 安全套接層協議
2.3.3 PCT協以
2.3.4 TLS協以
2.4 理解網絡層的安全
2.4.1 IPSec協議
2.4.2 IPv6協議
2.5 理解數據鏈路層的安全
2.5.1 點對點協議
2.5.2 虛擬局域網
2.5.3 虛擬專用網
2.6 關于IP安全的Cisco軟硬件產品
2.6.1 Cisco Secure PIX Firewall
2.6.2 Cisco IOS Firewall
2.6.3 Cisco Secure Scanner
2.6.4 Cisco Secure Policy Manager
2.6.5 Cisco Secure Intrusion—Detection System
2.6.6 Cisco Secure Access Control Server
2.6.7 Cisco IOS軟件
2.6.8 Cisco Security Posture Assessment
2.7 小結
第3章 入侵檢測
3.1 理解入侵檢測的概念
3.1.1 基于網絡的入侵檢測系統(tǒng)
3.1.2 基于主機的入侵檢測系統(tǒng)
3.1.3 比較兩種入侵檢測系統(tǒng)
3.2 網絡攻擊和入侵的原因
3.2.1 錯誤的配置
3.2.2 無效的安全策略
3.2.3 技術上的缺陷
3.3 TCP/IP協議組的缺陷
3.3.1 物理層和數據鏈路層
3.3.2 網絡層
3.3.3 運輸層
3.3.4 應用層
3.3.5 ICMP的缺陷
3.3.6 RIP的缺陷
3.4 Cisco安全策略
3.4.1 防火墻
3.4.2 加密
3.4.3 鑒別
3.4.4 訪問控制表
3.5 Cisco IOS入侵檢測系統(tǒng)
3.5.1 Cisco IOS入侵檢測系統(tǒng)的特性
3.5.2 管理防火墻
3.5.3 配合使用Cisco IOS軟件和Cisco IOS防火墻
3.5.4 Cisco IOS防火墻的用戶
3.5.5 Cisco IOS入侵檢測系統(tǒng)特征信號列表
3.5.6 Cisco安全入侵檢測系列產品
3.6 小結
第2部分 提高網絡安全性
第4章 提高網絡基礎設施的安全性
4.1 園區(qū)網的安全問題
4.2 管理接口的安全化
4.2.1 保護控制臺訪問
4.2.2 加密口令
4.2.3 管理會話超時
4.2.4 使用標志消息作為歡迎和指示信息
4.2.5 控制Telnet訪問
4.2.6 管理HTTP訪問
4.2.7 控制SNMP訪問
4.3 保護物理設備
4.4 提高路由器到路由器通信的安全性
4.4.1 配置文件安全
4.4.2 鑒別選路協議
4.4.3 通過過濾器進行流量控制
4.5 提高以太網交換機的安全性
4.5.1 以太網交換機的控制訪問
4.5.2 端口安全
4.5.3 訪問安全
4.6 案例研究
4.6.1 方案說明
4.6.2 配置舉例
4.7 小結
第5章 通過ACL提高網絡安全性
5.1 基于策略的選路
5.1.1 match命令
5.1.2 set命令
5.2 訪問表概述
5.2.1 訪問表的操作過程
5.2.2 如何實現訪問表
5.2.3 配置訪問表的基本命令
5.3 TCP／IP訪問表
5.3.1 IP地址
5.3.2 子網劃分
5.3.3 子網掩碼
5.3.4 通配符掩碼
5.3.5 標準IP訪問表
5.3.6 擴展IP訪問表
5.3.7 如何放置訪問表
5.3.8 命名IP訪問表
5.4 動態(tài)訪問表
5.4.1 鎖和鍵的運做過程
5.4.2 配置動態(tài)訪問表
5.4.3 動態(tài)訪問表的配置技巧
5.5 反訪問表
5.5.1 用基本訪問表和反訪問表進行會話過濾
5.5.2 反訪問表的運作過程
5.5.3 FTP問題
5.5.4 配置反訪問表
5.5.5 反訪問表配置實例
5.6 監(jiān)視訪問表
5.7 案例研究
5.7.1 方案說明
5.7.2 配置舉例
5.8 小結
第6章 通過Cisco邊界路由器保護網絡
6.1 邊界路由器
6.1.1 DMZ區(qū)域
6.1.2 堡壘王機
6.1.3 Cisco邊界路由器的特性
6.1.4 邊界路由器所執(zhí)行的任務
6.1.5 Cisco路由器和Cisco IOS軟件
6.2 NAT概述
6.3 使用NAT
6.3.1 NAT實現
6.3.2 地址轉換類型
6.4 NAT操作
6.4.1 內部本地地址轉換
6.4.2 超載內部全局地址
6.4.3 TCP負載分發(fā)
6.4.4 網絡重疊
6.5 配置NAT
6.5.1 靜態(tài)NAT映射
6.5.2 動態(tài)NAT配置
6.5.3 配置內部全局地址超載
6.5.4 配置TCP負載分發(fā)
6.5.5 配置NAT映射重疊地址
6.6 NAT的驗證和故障定位
6.7 NAT的優(yōu)點和缺點
6.7.1 NAT的優(yōu)點
6.7.2 NAT的缺點
6.8 案例研究
6.8.1 方案說明
6.8.2 配置舉例
6.9 小結
第7章 Cisco加密技術
7.1 Cisco加密技術概述
7.1.1 常見的網絡安全攻擊
7.1.2 理解加密和解密
7.1.3 實現加密
7.1.4 使用加密的應用
7.1.5 在哪里實現加密
7.1.6 AIM模塊
7.1.7 Cisco IOS加密系統(tǒng)概述
7.2 配置Cisco加密
7.2.1 用DSS創(chuàng)建公鑰和私鑰
7.2.2 交換DSS公共密鑰
7.2.3 使用DES加密算法
7.2.4 分類加密圖并將其應用于接口
7.2.5 用GRE隧道配置加密
7.2.6 加密的測試和驗證
7.2.7 Cisco加密技術的故障定位
7.2.8 用于定制加密的選項
7.3 小結
第3部分 通過防火墻提高安全性
第8章 Cisco IOS防火墻
8.1 Cisco IOS防火墻概述
8.1.1 Cisco IOS軟件的特點
8.1.2 Cisco IOS的脆弱性
8.1.3 Cisco IOS防火墻的優(yōu)點
8.2 Cisco IOS防火墻組件
8.3 基于上下文的訪問控制
8.3.1 CBAC功能
8.3.2 CBAC的運做
8.3.3 CBAC的處理過程
8.3.4 配置CBAC
8.3.5 驗證CBAC
8.3.6 調試CBAC
8.3.7 關閉CBAC
8.3.8 解釋CBAC所產生的消息
8.3.9 CBAC的優(yōu)點
8.3.10 CBAC的缺點
8.3.11 兼容性問題
8.3.12 Cisco IOS防火墻管理
8.3.13 CBAC配置
8.4 案例研究
8.4.1 方案說明
8.4.2 配置舉例
8.5 小結
第9章 Cisco PIX防火墻
9.1 Cisco PIX簡介
9.1.1 PIX ASA
9.1.2 直通式代理鑒別
9.1.3 管道和靜態(tài)轉換
9.2 各型號PIX防火墻的比較
9.2.1 Cisco Secure PIX 535防火墻
9.2.2 Cisco Secure PIX 525防火墻
9.2.3 Cisco Secure PIX 515防火墻
9.2.4 Cisco Secure PIX 506防火墻
9.2.5 Cisco Secure PIX 501防火墻
9.3 PIX防火墻的故障切換
9.4 配置PIX防火墻
9.4.1 非特權模式
9.4.2 特權模式
9.4.3 配置模式
9.4.4 在接口上實施安全
9.4.5 配置防火墻
9.4.6 保存配置
9.5 高級PIX防火墻功能
9.5.1 控制穿過防火墻的出站訪問
9.5.2 控制穿過防火墻的入站訪問
9.6 監(jiān)視PIX防火墻配置
9.7 案例研究
9.8 小結
第4部分 理解和實現AAA
第10章 Cisco AAA安全技術
10.1 通過AAA提高網絡訪問的安全性
10.1.1 AAA安全服務
10.1.2 AAA和訪問通信流
10.1.3 AAA安全服務器
10.1.4 Cisco安全訪問控制服務器
10.2 鑒別方法
10.2.1 用戶名／口令鑒別
10.2.2 S／Key鑒別
10.2.3 安全卡
10.2.4 PPP上的PAP和CHAP鑒別
10.2.5 TACACS＋鑒別
10.2.6 RADIUS鑒別
10.2.7 Kerberos鑒別
10.3 授權方法
10.3.1 TACACS＋授權
10.3.2 RADIUS授權
10.4 記賬方法
10.4.1 TACACS＋記賬
10.4.2 RADIUS記賬
10.5 理解代理鑒別
10.5.1 關于鑒別代理的討論
10.5.2 配置鑒別代理
10.6 小結
第11章 配置網絡接入服務器使用AAA安全功能
11.1 AAA安全服務器
11.1.1 AAA與本地安全數據庫的關系
11.1.2 AAA與遠程安全數據庫的關系
11.1.3 Cisco支持的遠程安全數據庫標準
11.1.4 保護遠程訪問安全所面對的挑戰(zhàn)
11.1.5 在NAS上配置AAA
11.2 保護特權EXEC和配置模式的安全
11.3 配置AAA鑒別概貌文件
11.4 允許AAA授權
11.5 配置AAA記賬
11.6 案例研究
11.6.1 方案說明
11.6.2 配置舉例
11.7 小結
第5部分 虛擬專用網
第12章 虛擬專用網基礎
12.1 VPN簡介
12.1.1 實現VPN的方法
12.1.2 完整VPN解決方案的特性
12.2 為什么要實現VPN
12.2.1 VPN關注的問題
12.2.2 用戶機構獲得的好處
12.2.3 ISP獲得的好處
12.2.4 部署VPN應考慮的事項
12.3 在VPN中傳輸數據
12.4 VPN的類型
12.4.1 內聯網VPN
12.4.2 外聯網VPN
12.4.3 遠程訪問VPN
12.5 隧道協議
12.5.1 自愿隧道
12.5.2 強制隧道
12.5.3 PPTP
12.5.4 第2層轉發(fā)協議
12.5.5 第2層隧道協議
12.5.6 PPTP，L2F和L2TP的比較
12.6 VPN案例
12.6.1 連接分部辦公室的網絡
12.6.2 連接商業(yè)伙伴和供應商的網絡
12.6.3 遠程訪問網絡
12.7 小結
第13章 提高虛擬專用網的安全性
13.1 基本VPN技術
13.1.1 點到點隧道協議
13.1.2 第2層轉發(fā)
13.1.3 第2層隧道協議
13.1.4 IPSec
13.2 IPSec概述
13.2.1 創(chuàng)建鑒別首部
13.2.2 封裝安全凈載
13.2.3 因特網密鑰交換
13.2.4 IPSec的工作過程
13.3 實現IPSec
13.3.1 為IPSec做規(guī)劃
13.3.2 配置IKE
13.3.3 配置IPSec
13.3.4 驗證IPSec
13.4 Cisco Secure VPN客戶軟件
13.4.1 Cisco Secure VPN客戶軟件完成的任務
13.4.2 Cisco Secure VPN客戶軟件的功能特點
13.4.3 安裝Cisco Secure VPN客戶軟件的系統(tǒng)需求
13.5 小結
第6部分 Cisco技術和安全產品
第14章 Cisco IOS IPSec
14.1 利用預共享密鑰配置Cisco IPSec
14.1.1 為實施IPSec制定規(guī)劃
14.1.2 配置IKE
14.1.3 在配置IPSec時使用變換集
14.1.4 驗證IPSec配置
14.2 利用RSA加密隨機數配置Cisco IOS IPSec
14.2.1 為IPSec做準備
14.2.2 配置RSA加密
14.2.3 為RSA加密隨機數配置IKE
14.3 擴展Cisco VPN的范圍
14.3.1 使用動態(tài)加密圖
14.3.2 實施IKE模式配置
14.3.3 PIX防火墻上的IPSec擴展鑒別
14.3.4 配置隧道端點發(fā)現
14.4 小結
第15章 Cisco的網絡安全管理產品
15.1 Cisco Works2000 ACL Manager
15.1.1 ACL Manager的功能特性
15.1.2 ACL Manager的工具
15.1.3 ACL Manager帶來的好處
15.1.4 ACL Manager完成的任務
15.1.5 安裝ACL Manager的配置需求
15.1.6 安裝ACL Manager
15.1.7 ACL Manager支持的設備
15.2 Cisco安全策略管理器
15.2.1 CSPM的功能特性集
15.2.2 CSPM的版本
15.2.3 CSPM的許可證選項
15.2.4 CSPM的功能特性
15.2.5 CSPM的優(yōu)點
15.2.6 配置任務
15.2.7 安裝CSPM的配置需求
15.2.8 安裝CSPM
15.2.9 登錄到CSPM
15.2.10 CSPM的實現
15.2.11 CSPM支持的設備
15.3 Cisco Secure ACS
15.3.1 基于Windows NT的Cisco Secure ACS
15.3.2 ACS的功能
15.3.3 CSNT的模塊
15.3.4 安裝CSNT的系統(tǒng)需求
15.3.5 配置CSNT
15.3.6 管理CSNT
15.3.7 配置CSNT管理員賬號
15.3.8 查找CSNT故障
15.3.9 基于UNIX的Cisco Secure ACS
15.4 小結
第16章 Cisco防火墻和VPN管理產品
16.1 Cisco PIX防火墻管理器
16.1.1 PIX防火墻管理器的組件
16.1.2 PIX防火墻管理器的優(yōu)點
16.1.3 安裝PIX防火墻管理器
16.1.4 SYSLOG報告
16.1.5 PIX管理器的局限性
16.2 VPN/安全管理解決方案
16.2.1 VMS帶來的好處
16.2.2 VMS的組件
16.2.3 安裝和更新Cisco Works2000 VMS
16.2.4 在清單中加入設備
16.2.5 更新清單中的設備
16.2.6 檢驗安裝
16.3 小結
第7部分 網絡基礎知識
第17章 網絡基礎
17.1 網絡基礎入門
17.2 網絡模型
17.2.1 客戶／服務器模型
17.2.2 對等網絡模型
17.3 網絡的分類
17.3.1 局域網
17.3.2 廣域網
17.3.3 公用網
17.3.4 內聯網
17.3.5 外聯網
17.4 網絡拓撲結構
17.4.1 總線型拓撲結構
17.4.2 環(huán)形拓撲結構
17.4.3 星型拓撲結構
17.4.4 星型總線型拓撲結構
17.4.5 星型環(huán)型拓撲結構
17.5 網絡傳輸媒體
17.5.1 同軸電纜
17.5.2 雙絞線
17.5.3 光纖
17.5.4 IBM電纜系統(tǒng)
17.6 專線
17.6.1 常規(guī)專線
17.6.2 T1鏈路
17.6.3 T2鏈路
17.6.4 T3鏈路
17.6.5 T4鏈路
17.7 局域網的網絡體系結構
17.7.1 以太網
17.7.2 令牌環(huán)
17.7.3 光纖分布式數據接口
17.7.4 異步傳輸模式
17.8 網絡設備
17.8.1 中繼器
17.8.2 集線器
17.8.3 網橋
17.8.4 路由器
17.8.5 橋式路由器
17.8.6 網關
17.8.7 調制解調器
17.8.8 交換機
17.9 網絡管理
17.9.1 網絡管理系統(tǒng)
17.9.2 網絡管理系統(tǒng)的選擇
17.9.3 網絡管理體系結構
17.9.4 網絡管理功能域
17.10 網絡管理協議
17.10.1 SNMP模型
17.10.2 SNMPv2
17.10.3 CMIP
17.10.4 RMON
17.11 小結
第18章 OSI模型
18.1 標準化組織
18.2 OSI網絡模型
18.2.1 物理層
18.2.2 數據鏈路層
18.2.3 網絡層
18.2.4 運輸層
18.2.5 會話層
18.2.6 表示層
18.2.7 應用層
18.3 OSI的數據傳輸
18.3.1 幀
18.3.2 數據傳輸
18.4 協議
18.4.1 數據鏈路層協議
18.4.2 網絡層協議
18.4.3 運輸層協議
18.5 小結
附錄A 習題與參考答案
附錄B 實驗練習