Cisco網(wǎng)絡安全寶典

前言
第1部分 理解網(wǎng)絡安全
第1章 認識網(wǎng)絡安全的威脅
1.1 安全威脅背后的動機
1.1.1 攻擊背后的動機
1.1.2 攻擊行為對網(wǎng)絡的影響
1.2 網(wǎng)絡安全的需求
1.3 網(wǎng)絡安全上的弱點
1.3.1 技術
1.3.2 實現(xiàn)
1.3.3 策略框架的脆弱性
1.4 安全威脅的種類
1.4.1 誰是入侵者
1.4.2 安全威脅的分類
1.5 制定和評估安全策略
1.5.1 風險分析
1.5.2 網(wǎng)絡安全策略的構成
1.5.3 準備安全策略
1.5.4 一個安全策略的模板
1.5.5 網(wǎng)絡安全監(jiān)視
1.6 案例研究
1.6.1 范圍和權限的定義
1.6.2 關于計算機使用的策略
1.6.3 鑒別和識別用戶的策略
1.6.4 遠程訪問的策略
1.6.5 訪問因特網(wǎng)的策略
1.7 小結(jié)
第2章 互聯(lián)網(wǎng)協(xié)議的網(wǎng)絡安全
2.1 保護網(wǎng)站
2.1.1 保護敏感數(shù)據(jù)
2.1.2 按可信程度劃分網(wǎng)絡
2.1.3 建立安全邊界
2.1.4 邊界網(wǎng)絡
2.1.5 保護網(wǎng)站
2.2 網(wǎng)絡的完整性
2.2.1 MD5標準
2.2.2 PGP標準
2.3 理解運輸層的安全
2.3.1 安全外殼協(xié)議
2.3.2 安全套接層協(xié)議
2.3.3 PCT協(xié)以
2.3.4 TLS協(xié)以
2.4 理解網(wǎng)絡層的安全
2.4.1 IPSec協(xié)議
2.4.2 IPv6協(xié)議
2.5 理解數(shù)據(jù)鏈路層的安全
2.5.1 點對點協(xié)議
2.5.2 虛擬局域網(wǎng)
2.5.3 虛擬專用網(wǎng)
2.6 關于IP安全的Cisco軟硬件產(chǎn)品
2.6.1 Cisco Secure PIX Firewall
2.6.2 Cisco IOS Firewall
2.6.3 Cisco Secure Scanner
2.6.4 Cisco Secure Policy Manager
2.6.5 Cisco Secure Intrusion—Detection System
2.6.6 Cisco Secure Access Control Server
2.6.7 Cisco IOS軟件
2.6.8 Cisco Security Posture Assessment
2.7 小結(jié)
第3章 入侵檢測
3.1 理解入侵檢測的概念
3.1.1 基于網(wǎng)絡的入侵檢測系統(tǒng)
3.1.2 基于主機的入侵檢測系統(tǒng)
3.1.3 比較兩種入侵檢測系統(tǒng)
3.2 網(wǎng)絡攻擊和入侵的原因
3.2.1 錯誤的配置
3.2.2 無效的安全策略
3.2.3 技術上的缺陷
3.3 TCP/IP協(xié)議組的缺陷
3.3.1 物理層和數(shù)據(jù)鏈路層
3.3.2 網(wǎng)絡層
3.3.3 運輸層
3.3.4 應用層
3.3.5 ICMP的缺陷
3.3.6 RIP的缺陷
3.4 Cisco安全策略
3.4.1 防火墻
3.4.2 加密
3.4.3 鑒別
3.4.4 訪問控制表
3.5 Cisco IOS入侵檢測系統(tǒng)
3.5.1 Cisco IOS入侵檢測系統(tǒng)的特性
3.5.2 管理防火墻
3.5.3 配合使用Cisco IOS軟件和Cisco IOS防火墻
3.5.4 Cisco IOS防火墻的用戶
3.5.5 Cisco IOS入侵檢測系統(tǒng)特征信號列表
3.5.6 Cisco安全入侵檢測系列產(chǎn)品
3.6 小結(jié)
第2部分 提高網(wǎng)絡安全性
第4章 提高網(wǎng)絡基礎設施的安全性
4.1 園區(qū)網(wǎng)的安全問題
4.2 管理接口的安全化
4.2.1 保護控制臺訪問
4.2.2 加密口令
4.2.3 管理會話超時
4.2.4 使用標志消息作為歡迎和指示信息
4.2.5 控制Telnet訪問
4.2.6 管理HTTP訪問
4.2.7 控制SNMP訪問
4.3 保護物理設備
4.4 提高路由器到路由器通信的安全性
4.4.1 配置文件安全
4.4.2 鑒別選路協(xié)議
4.4.3 通過過濾器進行流量控制
4.5 提高以太網(wǎng)交換機的安全性
4.5.1 以太網(wǎng)交換機的控制訪問
4.5.2 端口安全
4.5.3 訪問安全
4.6 案例研究
4.6.1 方案說明
4.6.2 配置舉例
4.7 小結(jié)
第5章 通過ACL提高網(wǎng)絡安全性
5.1 基于策略的選路
5.1.1 match命令
5.1.2 set命令
5.2 訪問表概述
5.2.1 訪問表的操作過程
5.2.2 如何實現(xiàn)訪問表
5.2.3 配置訪問表的基本命令
5.3 TCP／IP訪問表
5.3.1 IP地址
5.3.2 子網(wǎng)劃分
5.3.3 子網(wǎng)掩碼
5.3.4 通配符掩碼
5.3.5 標準IP訪問表
5.3.6 擴展IP訪問表
5.3.7 如何放置訪問表
5.3.8 命名IP訪問表
5.4 動態(tài)訪問表
5.4.1 鎖和鍵的運做過程
5.4.2 配置動態(tài)訪問表
5.4.3 動態(tài)訪問表的配置技巧
5.5 反訪問表
5.5.1 用基本訪問表和反訪問表進行會話過濾
5.5.2 反訪問表的運作過程
5.5.3 FTP問題
5.5.4 配置反訪問表
5.5.5 反訪問表配置實例
5.6 監(jiān)視訪問表
5.7 案例研究
5.7.1 方案說明
5.7.2 配置舉例
5.8 小結(jié)
第6章 通過Cisco邊界路由器保護網(wǎng)絡
6.1 邊界路由器
6.1.1 DMZ區(qū)域
6.1.2 堡壘王機
6.1.3 Cisco邊界路由器的特性
6.1.4 邊界路由器所執(zhí)行的任務
6.1.5 Cisco路由器和Cisco IOS軟件
6.2 NAT概述
6.3 使用NAT
6.3.1 NAT實現(xiàn)
6.3.2 地址轉(zhuǎn)換類型
6.4 NAT操作
6.4.1 內(nèi)部本地地址轉(zhuǎn)換
6.4.2 超載內(nèi)部全局地址
6.4.3 TCP負載分發(fā)
6.4.4 網(wǎng)絡重疊
6.5 配置NAT
6.5.1 靜態(tài)NAT映射
6.5.2 動態(tài)NAT配置
6.5.3 配置內(nèi)部全局地址超載
6.5.4 配置TCP負載分發(fā)
6.5.5 配置NAT映射重疊地址
6.6 NAT的驗證和故障定位
6.7 NAT的優(yōu)點和缺點
6.7.1 NAT的優(yōu)點
6.7.2 NAT的缺點
6.8 案例研究
6.8.1 方案說明
6.8.2 配置舉例
6.9 小結(jié)
第7章 Cisco加密技術
7.1 Cisco加密技術概述
7.1.1 常見的網(wǎng)絡安全攻擊
7.1.2 理解加密和解密
7.1.3 實現(xiàn)加密
7.1.4 使用加密的應用
7.1.5 在哪里實現(xiàn)加密
7.1.6 AIM模塊
7.1.7 Cisco IOS加密系統(tǒng)概述
7.2 配置Cisco加密
7.2.1 用DSS創(chuàng)建公鑰和私鑰
7.2.2 交換DSS公共密鑰
7.2.3 使用DES加密算法
7.2.4 分類加密圖并將其應用于接口
7.2.5 用GRE隧道配置加密
7.2.6 加密的測試和驗證
7.2.7 Cisco加密技術的故障定位
7.2.8 用于定制加密的選項
7.3 小結(jié)
第3部分 通過防火墻提高安全性
第8章 Cisco IOS防火墻
8.1 Cisco IOS防火墻概述
8.1.1 Cisco IOS軟件的特點
8.1.2 Cisco IOS的脆弱性
8.1.3 Cisco IOS防火墻的優(yōu)點
8.2 Cisco IOS防火墻組件
8.3 基于上下文的訪問控制
8.3.1 CBAC功能
8.3.2 CBAC的運做
8.3.3 CBAC的處理過程
8.3.4 配置CBAC
8.3.5 驗證CBAC
8.3.6 調(diào)試CBAC
8.3.7 關閉CBAC
8.3.8 解釋CBAC所產(chǎn)生的消息
8.3.9 CBAC的優(yōu)點
8.3.10 CBAC的缺點
8.3.11 兼容性問題
8.3.12 Cisco IOS防火墻管理
8.3.13 CBAC配置
8.4 案例研究
8.4.1 方案說明
8.4.2 配置舉例
8.5 小結(jié)
第9章 Cisco PIX防火墻
9.1 Cisco PIX簡介
9.1.1 PIX ASA
9.1.2 直通式代理鑒別
9.1.3 管道和靜態(tài)轉(zhuǎn)換
9.2 各型號PIX防火墻的比較
9.2.1 Cisco Secure PIX 535防火墻
9.2.2 Cisco Secure PIX 525防火墻
9.2.3 Cisco Secure PIX 515防火墻
9.2.4 Cisco Secure PIX 506防火墻
9.2.5 Cisco Secure PIX 501防火墻
9.3 PIX防火墻的故障切換
9.4 配置PIX防火墻
9.4.1 非特權模式
9.4.2 特權模式
9.4.3 配置模式
9.4.4 在接口上實施安全
9.4.5 配置防火墻
9.4.6 保存配置
9.5 高級PIX防火墻功能
9.5.1 控制穿過防火墻的出站訪問
9.5.2 控制穿過防火墻的入站訪問
9.6 監(jiān)視PIX防火墻配置
9.7 案例研究
9.8 小結(jié)
第4部分 理解和實現(xiàn)AAA
第10章 Cisco AAA安全技術
10.1 通過AAA提高網(wǎng)絡訪問的安全性
10.1.1 AAA安全服務
10.1.2 AAA和訪問通信流
10.1.3 AAA安全服務器
10.1.4 Cisco安全訪問控制服務器
10.2 鑒別方法
10.2.1 用戶名／口令鑒別
10.2.2 S／Key鑒別
10.2.3 安全卡
10.2.4 PPP上的PAP和CHAP鑒別
10.2.5 TACACS＋鑒別
10.2.6 RADIUS鑒別
10.2.7 Kerberos鑒別
10.3 授權方法
10.3.1 TACACS＋授權
10.3.2 RADIUS授權
10.4 記賬方法
10.4.1 TACACS＋記賬
10.4.2 RADIUS記賬
10.5 理解代理鑒別
10.5.1 關于鑒別代理的討論
10.5.2 配置鑒別代理
10.6 小結(jié)
第11章 配置網(wǎng)絡接入服務器使用AAA安全功能
11.1 AAA安全服務器
11.1.1 AAA與本地安全數(shù)據(jù)庫的關系
11.1.2 AAA與遠程安全數(shù)據(jù)庫的關系
11.1.3 Cisco支持的遠程安全數(shù)據(jù)庫標準
11.1.4 保護遠程訪問安全所面對的挑戰(zhàn)
11.1.5 在NAS上配置AAA
11.2 保護特權EXEC和配置模式的安全
11.3 配置AAA鑒別概貌文件
11.4 允許AAA授權
11.5 配置AAA記賬
11.6 案例研究
11.6.1 方案說明
11.6.2 配置舉例
11.7 小結(jié)
第5部分 虛擬專用網(wǎng)
第12章 虛擬專用網(wǎng)基礎
12.1 VPN簡介
12.1.1 實現(xiàn)VPN的方法
12.1.2 完整VPN解決方案的特性
12.2 為什么要實現(xiàn)VPN
12.2.1 VPN關注的問題
12.2.2 用戶機構獲得的好處
12.2.3 ISP獲得的好處
12.2.4 部署VPN應考慮的事項
12.3 在VPN中傳輸數(shù)據(jù)
12.4 VPN的類型
12.4.1 內(nèi)聯(lián)網(wǎng)VPN
12.4.2 外聯(lián)網(wǎng)VPN
12.4.3 遠程訪問VPN
12.5 隧道協(xié)議
12.5.1 自愿隧道
12.5.2 強制隧道
12.5.3 PPTP
12.5.4 第2層轉(zhuǎn)發(fā)協(xié)議
12.5.5 第2層隧道協(xié)議
12.5.6 PPTP，L2F和L2TP的比較
12.6 VPN案例
12.6.1 連接分部辦公室的網(wǎng)絡
12.6.2 連接商業(yè)伙伴和供應商的網(wǎng)絡
12.6.3 遠程訪問網(wǎng)絡
12.7 小結(jié)
第13章 提高虛擬專用網(wǎng)的安全性
13.1 基本VPN技術
13.1.1 點到點隧道協(xié)議
13.1.2 第2層轉(zhuǎn)發(fā)
13.1.3 第2層隧道協(xié)議
13.1.4 IPSec
13.2 IPSec概述
13.2.1 創(chuàng)建鑒別首部
13.2.2 封裝安全凈載
13.2.3 因特網(wǎng)密鑰交換
13.2.4 IPSec的工作過程
13.3 實現(xiàn)IPSec
13.3.1 為IPSec做規(guī)劃
13.3.2 配置IKE
13.3.3 配置IPSec
13.3.4 驗證IPSec
13.4 Cisco Secure VPN客戶軟件
13.4.1 Cisco Secure VPN客戶軟件完成的任務
13.4.2 Cisco Secure VPN客戶軟件的功能特點
13.4.3 安裝Cisco Secure VPN客戶軟件的系統(tǒng)需求
13.5 小結(jié)
第6部分 Cisco技術和安全產(chǎn)品
第14章 Cisco IOS IPSec
14.1 利用預共享密鑰配置Cisco IPSec
14.1.1 為實施IPSec制定規(guī)劃
14.1.2 配置IKE
14.1.3 在配置IPSec時使用變換集
14.1.4 驗證IPSec配置
14.2 利用RSA加密隨機數(shù)配置Cisco IOS IPSec
14.2.1 為IPSec做準備
14.2.2 配置RSA加密
14.2.3 為RSA加密隨機數(shù)配置IKE
14.3 擴展Cisco VPN的范圍
14.3.1 使用動態(tài)加密圖
14.3.2 實施IKE模式配置
14.3.3 PIX防火墻上的IPSec擴展鑒別
14.3.4 配置隧道端點發(fā)現(xiàn)
14.4 小結(jié)
第15章 Cisco的網(wǎng)絡安全管理產(chǎn)品
15.1 Cisco Works2000 ACL Manager
15.1.1 ACL Manager的功能特性
15.1.2 ACL Manager的工具
15.1.3 ACL Manager帶來的好處
15.1.4 ACL Manager完成的任務
15.1.5 安裝ACL Manager的配置需求
15.1.6 安裝ACL Manager
15.1.7 ACL Manager支持的設備
15.2 Cisco安全策略管理器
15.2.1 CSPM的功能特性集
15.2.2 CSPM的版本
15.2.3 CSPM的許可證選項
15.2.4 CSPM的功能特性
15.2.5 CSPM的優(yōu)點
15.2.6 配置任務
15.2.7 安裝CSPM的配置需求
15.2.8 安裝CSPM
15.2.9 登錄到CSPM
15.2.10 CSPM的實現(xiàn)
15.2.11 CSPM支持的設備
15.3 Cisco Secure ACS
15.3.1 基于Windows NT的Cisco Secure ACS
15.3.2 ACS的功能
15.3.3 CSNT的模塊
15.3.4 安裝CSNT的系統(tǒng)需求
15.3.5 配置CSNT
15.3.6 管理CSNT
15.3.7 配置CSNT管理員賬號
15.3.8 查找CSNT故障
15.3.9 基于UNIX的Cisco Secure ACS
15.4 小結(jié)
第16章 Cisco防火墻和VPN管理產(chǎn)品
16.1 Cisco PIX防火墻管理器
16.1.1 PIX防火墻管理器的組件
16.1.2 PIX防火墻管理器的優(yōu)點
16.1.3 安裝PIX防火墻管理器
16.1.4 SYSLOG報告
16.1.5 PIX管理器的局限性
16.2 VPN/安全管理解決方案
16.2.1 VMS帶來的好處
16.2.2 VMS的組件
16.2.3 安裝和更新Cisco Works2000 VMS
16.2.4 在清單中加入設備
16.2.5 更新清單中的設備
16.2.6 檢驗安裝
16.3 小結(jié)
第7部分 網(wǎng)絡基礎知識
第17章 網(wǎng)絡基礎
17.1 網(wǎng)絡基礎入門
17.2 網(wǎng)絡模型
17.2.1 客戶／服務器模型
17.2.2 對等網(wǎng)絡模型
17.3 網(wǎng)絡的分類
17.3.1 局域網(wǎng)
17.3.2 廣域網(wǎng)
17.3.3 公用網(wǎng)
17.3.4 內(nèi)聯(lián)網(wǎng)
17.3.5 外聯(lián)網(wǎng)
17.4 網(wǎng)絡拓撲結(jié)構
17.4.1 總線型拓撲結(jié)構
17.4.2 環(huán)形拓撲結(jié)構
17.4.3 星型拓撲結(jié)構
17.4.4 星型總線型拓撲結(jié)構
17.4.5 星型環(huán)型拓撲結(jié)構
17.5 網(wǎng)絡傳輸媒體
17.5.1 同軸電纜
17.5.2 雙絞線
17.5.3 光纖
17.5.4 IBM電纜系統(tǒng)
17.6 專線
17.6.1 常規(guī)專線
17.6.2 T1鏈路
17.6.3 T2鏈路
17.6.4 T3鏈路
17.6.5 T4鏈路
17.7 局域網(wǎng)的網(wǎng)絡體系結(jié)構
17.7.1 以太網(wǎng)
17.7.2 令牌環(huán)
17.7.3 光纖分布式數(shù)據(jù)接口
17.7.4 異步傳輸模式
17.8 網(wǎng)絡設備
17.8.1 中繼器
17.8.2 集線器
17.8.3 網(wǎng)橋
17.8.4 路由器
17.8.5 橋式路由器
17.8.6 網(wǎng)關
17.8.7 調(diào)制解調(diào)器
17.8.8 交換機
17.9 網(wǎng)絡管理
17.9.1 網(wǎng)絡管理系統(tǒng)
17.9.2 網(wǎng)絡管理系統(tǒng)的選擇
17.9.3 網(wǎng)絡管理體系結(jié)構
17.9.4 網(wǎng)絡管理功能域
17.10 網(wǎng)絡管理協(xié)議
17.10.1 SNMP模型
17.10.2 SNMPv2
17.10.3 CMIP
17.10.4 RMON
17.11 小結(jié)
第18章 OSI模型
18.1 標準化組織
18.2 OSI網(wǎng)絡模型
18.2.1 物理層
18.2.2 數(shù)據(jù)鏈路層
18.2.3 網(wǎng)絡層
18.2.4 運輸層
18.2.5 會話層
18.2.6 表示層
18.2.7 應用層
18.3 OSI的數(shù)據(jù)傳輸
18.3.1 幀
18.3.2 數(shù)據(jù)傳輸
18.4 協(xié)議
18.4.1 數(shù)據(jù)鏈路層協(xié)議
18.4.2 網(wǎng)絡層協(xié)議
18.4.3 運輸層協(xié)議
18.5 小結(jié)
附錄A 習題與參考答案
附錄B 實驗練習