书籍详情
思科网络技术学院教程:网络安全基础
作者:(美)Cisco Systems公司,(美)Cisco Networking Academy Program著;李涤非等译;李涤非译
出版社:人民邮电出版社
出版时间:2005-04-01
ISBN:9787115131607
定价:¥80.00
购买这本书可以去
内容简介
本书是"思科网络技术学院教程网络安全基础"课程的官方指定教材,是对该课程的课堂教学的补充。全书共分为15章,分别介绍了网络安全概览、基础路由器与交换机安全、路由器ACL和CBAC、路由器AAA安全、路由器入侵检测、监测和管理、路由器端到端的VPN、路由器远程访问VPN、PIX防火墙、PIX防火墙的地址转换和连接、PIX防火墙的访问控制列表(ACL)、PIX防火墙的AAA、PIX高级协议与入侵检测、PIX故障切换与系统维护、PIX防火墙VPN、PIX防火墙管理等内容。本书适合参加思科网络技术学院网络安全基础课程的读者使用,对于参加CCSP和CCIE安全考试的读者也有较大的帮助。本书与配套实验手册和相应的在线课程一起,对网络安全内容提供了全面的介绍。本书的内容集中在基于安全策略基础上的全面的安全过程,强调了边界安全、安全连接.安全管理、身份服务和入侵检测等领域的内容。与思科网络学院的在线课程相配合,本书包括了使用思科命令行界面(CLI)和基干Web设备管理器方式下的安装、配置、监视和维护思科IOS防火墙和PIXSecurityAppliance设备的内容。另外,本书还包括如何:.配置网络地址翻译。访问列表、基于状态的流量检测、应用程序过滤;.实现基于特征的入侵检测;.使用验证。授权和记账功能配置身份管理;.使用基干工业标准的IPSec配置站点到站点和远程访问的虚拟专用网。本书的附录中还包括几种硬件和软件产品的安装教程。本书和课程的内容都与思科防火墙专家认证的大纲内容紧密联系。思科防火墙专家认证包括SECUR(以前称为MCNS)和CSPFA考试。读者可以通过本书和课程准备认证考试。
作者简介
暂缺《思科网络技术学院教程:网络安全基础》作者简介
目录
第一部分
第1章 网络安全概述 3
1.1 网络安全的基本原理、趋势和
目标 3
1.1.1 网络安全的需要 4
1.1.2 影响网络安全的趋势 5
1.1.3 网络安全目标 7
1.1.4 网络安全的关键要素 8
1.1.5 安全意识 9
1.2 安全威胁与攻击 10
1.2.1 网络安全弱点 11
1.2.2 主要网络威胁 12
1.2.3 侦查 13
1.2.4 窃听 15
1.2.5 系统访问 16
1.2.6 其他访问攻击 19
1.2.7 拒绝服务 20
1.2.8 分布式拒绝服务 22
1.2.9 弱点:OSI层次模型 25
1.3 安全框架与策略 27
1.3.1 安全车轮 27
1.3.2 安全策略基础 30
1.3.3 网络安全情况研究 33
1.4 安全产品和解决方案 37
1.4.1 身份 38
1.4.2 防火墙 40
1.4.3 虚拟专网 41
1.4.4 入侵探测 44
1.5 监控、管理和审计 46
1.6 SAFE 49
1.7 小结 50
1.8 关键术语 51
1.9 复习题 52
第2章 基本的路由器和交换机安全 55
2.1 路由器和交换机安全概要 55
2.1.1 路由器拓扑 56
2.1.2 路由器安装与安全 58
2.1.3 访问控制 59
2.1.4 使用密码控制路由器
访问 63
2.1.5 设置优先级 64
2.1.6 设置用户账号 65
2.1.7 登录标语 66
2.2 禁用不需要的服务 67
2.2.1 路由选择、代理ARP、
ICMP 72
2.2.2 NTP、SNMP、路由器名字、
DNS 74
2.3 边界路由器安全 77
2.3.1 控制入站和出站流量 77
2.3.2 网络地址转换 79
2.3.3 路由协议验证与更新
过滤 81
2.3.4 流量过滤 83
2.3.5 过滤ICMP消息 87
2.3.6 Cisco IOS防火墙 88
2.4 路由器管理 89
2.4.1 日志 90
2.4.2 网络设备间的时间同步 92
2.4.3 软件和配置的维护 94
2.4.4 使用SSH进行远程管理 95
2.5 安全交换和局域网访问 96
2.5.1 第二层攻击以及缓解 98
2.5.2 端口安全 99
2.5.3 虚拟局域网 101
2.6 小结 102
2.7 关键术语 102
2.8 复习题 103
第3章 路由器ACL和CBAC 107
3.1 访问控制列表 107
3.1.1 在ACL中使用掩码 109
3.1.2 ACL 总结 110
3.1.3 处理ACL 111
3.1.4 应用ACL 112
3.1.5 编辑ACL 113
3.1.6 排除ACL故障 114
3.2 IP ACL的类型 115
3.2.1 标准ACL 116
3.2.2 扩展ACL 117
3.2.3 命名IP ACL 118
3.2.4 注释IP ACL条目 118
3.2.5 锁和密钥(动态)ACL 119
3.2.6 反身ACL 120
3.2.7 使用时间范围的时基
ACL 122
3.2.8 验证代理 122
3.2.9 Turbo ACL 123
3.3 基于上下文的访问控制 123
3.3.1 CBAC是如何工作的 125
3.3.2 支持CBAC的协议 127
3.3.3 配置CBAC:第一步
--设置审计跟踪和
警报 128
3.3.4 配置CBAC:第二步
--设定全局超时和
阈值 129
3.3.5 配置CBAC:第三步
--定义应用程序端口
映射(PAM) 132
3.3.6 配置CBAC:第四步
--定义检查规则 134
3.3.7 配置CBAC:第五步
--在路由器接口上应用
检查规则和ACL 142
3.3.8 配置CBAC:第六步
--测试和检验 145
3.3.9 移除CBAC配置 147
3.3.10 配置一个空接口 147
3.4 小结 148
3.5 关键术语 148
3.6 复习题 149
第4章 路由器AAA安全 153
4.1 AAA安全网络访问 153
4.1.1 AAA安全网络构架 154
4.1.2 验证方法 155
4.2 网络访问服务器(NAS)AAA
验证过程 158
4.2.1 远程管理 158
4.2.2 远程网络访问 158
4.2.3 AAA安全服务器的
选择 159
4.2.4 NAS配置 160
4.3 Cisco Secure ACS 160
4.3.1 管理Cisco Secure ACS3.0
for Windows 161
4.3.2 Cisco Secure ACS for
Windows故障排除技术 163
4.3.3 Cisco Secure ACS for UNIX
概述 163
4.3.4 Cisco Secure ACS 2.3 for
UNIX的特性集 164
4.3.5 Cisco Secure ACS解决方案
引擎 165
4.4 AAA服务器概述及配置 167
4.4.1 TACACS 168
4.4.2 XTACACS 168
4.4.3 TACACS+ 168
4.4.4 介绍RADIUS 168
4.4.5 RADIUS和TACACS+的
比较 170
4.4.6 Kerberos概述 171
4.5 Cisco IOS防火墙验证代理 171
4.5.1 支持的服务器 172
4.5.2 验证代理操作 172
4.5.3 验证代理配置任务 173
4.5.4 HTTPS验证代理 175
4.6 小结 177
4.7 关键术语 177
4.8 复习题 178
第5章 路由器入侵探测、监控和管理 181
5.1 IOS防火墙IDS 181
5.1.1 实现签名 183
5.1.2 响应选项 183
5.2 安装Cisco IOS防火墙IDS 183
5.2.1 步骤1:初始化路由器上
的IOS Firewall IDS--
设置通告的类型 184
5.2.2 步骤2:初始化路由器上的
IOS Firewall IDS--设置
通告队列的尺寸 184
5.2.3 步骤3:配置、禁用或剔除
签名 185
5.2.4 步骤3:创建和应用审计
规则 186
5.2.5 步骤5:检验配置 187
5.2.6 步骤6:添加IOS防火墙
IDS到IDS Director的
映射图 189
5.3 使用日志和Syslog监控 189
5.3.1 日志的价值 189
5.3.2 配置日志 190
5.3.3 配置日志消息的同步 191
5.3.4 限制错误消息的严重
等级 192
5.3.5 系统日志(Syslog) 193
5.4 SNMP 196
5.4.1 SNMP的安全 198
5.4.2 SNMP 版本3
(SNMPv3) 199
5.4.3 如何配置SNMP 201
5.4.4 SNMP管理应用程序 201
5.5 管理路由器 202
5.5.1 管理员的访问机制 202
5.5.2 升级路由器 203
5.5.3 测试和安全确认 204
5.5.4 企业监控 204
5.6 安全设备管理器(SDM) 205
5.6.1 访问SDM 207
5.6.2 下载安装SDM 209
5.6.3 修改现有的配置文件 209
5.6.4 使用默认的配置文件 210
5.7 小结 210
5.8 关键术语 211
5.9 复习题 211
第6章 路由器配置Site-to-Site VPN 215
6.1 VPN 215
6.1.1 Site-to-Site VPN 215
6.1.2 VPN技术选项 216
6.1.3 隧道协议 217
6.1.4 隧道接口 218
6.2 IOS密码系统 219
6.2.1 对称加密 220
6.2.2 非对称加密 221
6.2.3 Diffie-Hellman算法 222
6.2.4 数据完整性 223
6.2.5 HMAC 224
6.2.6 来源验证 225
6.3 IPSec 226
6.3.1 验证头 228
6.3.2 ESP协议 229
6.3.3 IPSec传输模式 230
6.3.4 安全关联 231
6.3.5 IPSec的5个步骤 233
6.3.6 IKE 233
6.3.7 IPSec和IKE的逻辑
流程 235
6.4 使用预共享密钥的Site-to-Site
IPSec VPN 236
6.4.1 任务1:为IKE和IPSec
作准备 236
6.4.2 任务2:配置IKE 237
6.4.3 任务3:配置IPSec 237
6.4.4 任务4:测试和校验IKE 240
6.5 数字证书 240
6.5.1 SCEP 241
6.5.2 CA服务器 242
6.5.3 用一个CA注册设备 243
6.6 使用数字证书配置Site-to-Site
IPSec VPN 244
6.6.1 任务1:为IKE和IPSec
做准备 245
6.6.2 任务2:配置CA支持 245
6.6.3 任务3:IKE配置 246
6.6.4 任务4:配置IPSec 247
6.6.5 任务5:测试和检验
IPSec 247
6.7 小结 248
6.8 关键术语 248
6.9 复习题 249
第7章 路由器远程访问VPN 253
7.1 远程访问VPN 253
7.1.1 远程访问VPN的类型 254
7.1.2 远程访问的隧道协议 255
7.2 Cisco Easy VPN 256
7.2.1 Cisco Easy VPN Server 256
7.2.2 Cisco Easy VPN Remote 256
7.2.3 Cisco VPN 3.5 Client 259
7.3 VPN企业管理 264
7.3.1 路由器MC里的关键
概念 264
7.3.2 支持的隧道技术 266
7.3.3 路由器MC的安装 266
7.3.4 路由器MC的使用 268
7.3.5 路由器MC界面 269
7.4 小结 270
7.5 关键术语 270
7.6 复习题 270
第二部分
第8章 PIX安全设备 275
8.1 防火墙简介 275
8.1.1 使用防火墙的理由 276
8.1.2 防火墙技术 277
8.1.3 防火墙市场 281
8.2 Cisco PIX Security Appliance 282
8.2.1 PIX的特点 283
8.2.2 PIX安全设备家族 288
8.2.3 防火墙服务模块 289
8.2.4 PIX安全设备许可证
类型 291
8.2.5 PIX安全设备的VPN
功能 291
8.3 开始使用PIX Security
Appliance 292
8.3.1 用户界面 292
8.3.2 基本PIX设置命令 295
8.3.3 检查PIX状态 298
8.4 路由选择和多播配置 300
8.4.1 静态路由 300
8.4.2 动态路由 301
8.4.3 多播路由选择 303
8.4.4 查看和调试存根多播路
由选择 308
8.5 PIX动态主机控制配置 308
8.5.1 服务器和客户端 309
8.5.2 PIX安全设备对DHCP的
支持 309
8.5.3 DHCP服务器 310
8.5.4 配置PIX安全设备作为
DHCP服务器 311
8.6 小结 311
8.7 关键术语 311
8.8 复习题 312
第9章 PIX安全设备转换和连接 315
9.1 传输协议 315
9.1.1 IP世界中的会话 315
9.1.2 TCP详细回顾 316
9.1.3 TCP特点及与PIX的
交互 319
9.1.4 UDP特点及与PIX的
交互 319
9.2 网络地址转换 320
9.2.1 连接与转换 320
9.2.2 地址转换类型 321
9.3 PIX上的DNS地址更改、目的
NAT和DNS记录转换 327
9.3.1 DNS地址更改过程 328
9.3.2 用alias命令实现目的
NAT 329
9.3.3 DNS记录转换 329
9.4 连接 330
9.4.1 穿过PIX安全设备的两种
方法 330
9.4.2 静态通道 331
9.5 端口地址转换 331
9.5.1 PIX安全设备的PAT 332
9.5.2 使用外部地址转换的
PAT 333
9.5.3 映射子网到PAT地址 334
9.5.4 使用多PAT地址提供后备
PAT地址 334
9.5.5 使用PAT增加全局地址以
支持更多主机 335
9.5.6 端口重定向 335
9.6 PIX安全设备的多接口 337
9.6.1 通过PIX安全设备进行
访问 337
9.6.2 在PIX安全设备上配置
三个接口 338
9.6.3 配置PIX安全设备的四个
接口 339
9.7 小结 340
9.8 关键术语 341
9.9 复习题 341
第10章 PIX安全设备访问控制列表 345
10.1 ACL和PIX安全设备 345
10.1.1 ACL使用原则 345
10.1.2 实现ACL 346
10.1.3 Turbo ACL 346
10.1.4 ACL与管道技术的
比较 347
10.1.5 ACL案例研究:管道和
ACL行为的差异 348
10.1.6 ACL的验证和故障
排除 351
10.2 使用ACL 351
10.2.1 使用ACL拒绝内网
用户的Web访问 352
10.2.2 使用ACL来允许Web
访问DMZ 352
10.2.3 ACL的通常用法:允许
合作伙伴Web访问
DMZ 353
10.2.4 ACL的常规用法:允许
DMZ访问内部邮件 354
10.2.5 VPN解决方案:双DMZ
和VPN集中器 355
10.2.6 用ACL禁用Ping 356
10.3 过滤 357
10.3.1 过滤恶意小程序 357
10.3.2 URL过滤 358
10.4 对象组 359
10.4.1 在ACL中使用对象组 360
10.4.2 配置对象组 362
10.4.3 在对象组上应用ACL 362
10.5 嵌套的对象组 363
10.5.1 配置嵌套的对象组 364
10.5.2 嵌套对象组例子 364
10.5.3 ACL中多个对象组的
例子 365
10.5.4 验证和管理对象组 366
10.6 小结 367
10.7 关键术语 367
10.8 复习题 367
第11章 PIX安全应用AAA 371
11.1 AAA 371
11.1.1 用户在验证和授权中看
到了什么 372
11.1.2 切入型代理操作 373
11.1.3 TACACS+和RADIUS 374
11.1.4 CSACS和PIX 375
11.2 PIX上的验证配置 376
11.2.1 aaa-server命令 376
11.2.2 aaa authentication命令 377
11.2.3 AAA验证实例 378
11.2.4 验证非Telnet、非FTP
或非HTTP流量 378
11.2.5 虚拟Telnet 379
11.2.6 虚拟HTTP 380
11.2.7 控制台访问验证 381
11.2.8 更改验证超时和验证
提示 382
11.3 PIX安全应用上的授权配置 383
11.3.1 aaa authorization命令 383
11.3.2 使用可下载的ACL提供
授权 384
11.4 在PIX安全应用上配置记账 385
11.5 使用AAA服务定义流量 386
11.6 监控AAA配置 386
11.7 PPPoE和PIX安全应用 387
11.7.1 PIX如何与PPPoE交互
工作 387
11.7.2 配置PIX支持PPPoE 388
11.7.3 监控和故障排除PPPoE
客户端 389
11.8 附录11-A:如何向CSACS-NT
添加用户 390
11.8.1 附加用户信息 391
11.8.2 用户设置 391
11.8.3 账号禁用 392
11.9 附录11-B:CSACS和授权 393
11.9.1 如何在CSACS上建立一
个允许指定服务的授权
规则 393
11.9.2 如何创建仅对CSACS上
指定主机提供服务的
授权规则 393
11.9.3 如何在CSACS上为非
telnet、非FTP和非HTTP
的流量授权 394
11.10 附录11-C:CSACS和
ACL 395
11.11 附录11-D:如何在CSACS中
查看记账信息 397
11.12 小结 397
11.13 关键术语 398
11.14 复习题 398
第12章 PIX高级协议和入侵检测 401
12.1 高级协议处理 401
12.1.1 fixup命令 402
12.1.2 FTP Fixup配置 403
12.1.3 远程Shell(rsh)Fixup
配置 405
12.1.4 SQL*Net Fixup配置 406
12.1.5 SIP Fixup配置 407
12.1.6 小客户Fixup 配置 407
12.2 多媒体支持和PIX安全应用 408
12.2.1 实时流协议 409
12.2.2 H.323 412
12.2.3 IP电话和PIX安全
应用DHCP服务器 413
12.3 攻击防护 414
12.3.1 邮件防护 414
12.3.2 DNS防护 415
12.3.3 分片防护和虚拟
重组 416
12.3.4 AAA泛洪防护 416
12.3.5 SYN泛洪攻击 417
12.3.6 TCP拦截 418
12.4 入侵检测和PIX安全应用 418
12.4.1 信息和攻击入侵检测
特征 419
12.4.2 PIX安全应用中的入侵
检测 420
12.5 规避 421
12.6 PIX安全应用系统日志记录 422
12.7 SNMP 424
12.7.1 SNMP实例 425
12.7.2 MIB支持 425
12.7.3 示例:SNMP通过PIX
安全应用 426
12.8 小结 428
12.9 关键术语 428
12.10 复习题 429
第13章 PIX故障转移与系统维护 433
13.1 了解PIX Security Appliance
故障转移 433
13.1.1 故障转移的IP地址 435
13.1.2 配置文件复制 435
13.1.3 故障转移和有状态故障
转移 436
13.1.4 故障转移接口测试 437
13.2 串行电缆故障转移配置 438
13.2.1 步骤1:连接防火墙 438
13.2.2 步骤2:连接故障转移
电缆 439
13.2.3 步骤3:配置主PIX 440
13.2.4 步骤4:从防火墙接电 440
13.2.5 验证故障转移配置
文件 442
13.3 基于LAN的故障转移配置 443
13.3.1 步骤1~4:配置主
PIX 444
13.3.2 步骤5~10:配置从
PIX 445
13.4 通过远程访问维护系统 447
13.4.1 为PIX Security Appliance
控制台配置Telnet访问 447
13.4.2 SSH连接到PIX Security
Appliance 448
13.4.3 用SSH客户端连接到
PIX Security Appliance 448
13.5 命令授权 449
13.5.1 方法1:启用级别命令
授权 450
13.5.2 方法2:本地命令授权 450
13.5.3 方法3:ACS命令
授权 451
13.6 PIX Security Appliance密码
恢复 452
13.7 升级PIX Security Appliance
映像及激活密钥 452
13.8 小结 453
13.9 关键术语 453
13.10 复习题 454
第14章 PIX Security Appliance VPN 457
14.1 PIX Security Appliance实现
安全的VPN 457
14.1.1 PIX VPN性能 457
14.1.2 PIX VPN拓扑结构 458
14.1.3 IPSec实现PIX VPN
特性 459
14.1.4 IPSec概述 459
14.1.5 PIX Security Appliance
支持IPSec标准 459
14.2 配置VPN任务 461
14.2.1 任务1:准备配置VPN
支持 462
14.2.2 任务2:配置IKE
参数 465
14.2.3 任务3:配置IPSec
参数 467
14.2.4 任务4:测试和校验
VPN配置 470
14.3 Cisco VPN客户端 473
14.3.1 Cisco VPN客户端拓扑
结构 474
14.3.2 PIX Security Appliance
分配IP地址到VPN
客户端 475
14.3.3 配置PIX Security
Appliance的PIX到VPN
客户端隧道 476
14.3.4 为PIX到PIX客户端
隧道配置VPN客户端 478
14.4 使用CA扩展PIX VPN 479
14.5 小结 481
14.6 关键术语 481
14.7 复习题 482
第15章 PIX安全设备管理 485
15.1 PIX管理工具 485
15.1.1 PIX设备管理器 486
15.1.2 Cisco安全策略管理器 486
15.1.3 PIX管理中心 487
15.2 Cisco PIX设备管理器 488
15.2.1 PDM运行要求 489
15.2.2 PDM浏览器要求 489
15.2.3 PDM的准备 491
15.2.4 运用PDM配置PIX 493
15.2.5 使用PDM创建站点到
站点VPN 501
15.2.6 使用PDM创建远程
访问VPN 506
15.3 企业PIX管理 509
15.3.1 PIX MC 509
15.3.2 PIX MC的主要概念 510
15.3.3 AUS 511
15.4 小结 511
15.5 复习题 512
第三部分
附录A 关键术语 517
附录B 复习题答案 525
附录C 物理层安全 531
C.1 什么是物理安全? 531
C.2 第1层安全的开销是什么? 533
C.3 第1层安全保护了什么? 534
C.4 物理安全同样能够防御其他
威胁 534
C.5 物理层安全的基础 534
C.6 ANSI/TIA/EIA 535
C.7 安全培训 537
C.7.1 建立安全意识 537
C.7.2 需要进行验证 538
C.7.3 登录访问及操作 538
C.7.4 提出适当有礼的质疑 538
C.7.5 知道向哪些人寻求援助 539
C.8 高级通行证及Biometric
验证 539
C.9 威慑因素 539
C.10 工作区安全 540
C.10.1 闲置插座 540
C.10.2 抗干扰插座 540
C.10.3 抗干扰路径 541
C.10.4 电信间 541
C.11 入侵者怎样截取信息并
解码 542
C.11.1 入侵者是怎样截取
资料的 543
C.11.2 入侵者怎样对资料
解码 543
C.12 光纤入侵 543
C.12.1 直接物理入侵 544
C.12.2 管道 545
C.13 无线侦听 545
C.13.1 竞争驾驶 545
C.13.2 竞争拨号和竞争行走 546
C.14 安全自动控制 546
C.15 物理安全中的人员因素 547
C.16 小结 549
附录D 操作系统安全 553
D.1 Linux操作系统级安全 553
D.1.1 保护正在运行的进程 554
D.1.2 文件系统和目录安全 556
D.1.3 验证安全 560
D.2 Linux基础设施级安全 562
D.2.1 保护Samba 562
D.2.2 保护NFS 564
D.2.3 保护xinetd守护进程 566
D.3 保护Linux网络服务 568
D.3.1 保护Linux FTP服务器 568
D.3.2 保护Linux Web服务器 569
D.3.3 保护Linux邮件服务器 571
D.4 Linux网络安全和过滤方法 573
D.4.1 TCP包装程序 573
D.4.2 网络地址转换 574
D.4.3 防火墙和代理服务 574
D.5 Windows 2000验证安全 576
D.5.1 识别安全架构 576
D.5.2 在Windows 2000中验证
用户 577
D.6 Windows 2000操作系统级
安全 578
D.6.1 保护文件和打印资源 578
D.6.2 加密文件系统 580
D.6.3 审核对资源的访问 583
D.7 Windows 2000基础结构级
安全 584
D.7.1 保护活动目录 584
D.7.2 用组策略辅助安全管理 585
D.7.3 安全模版、安全配置和
分析工具的使用 586
D.7.4 安全地对DNS记录进行
更新 586
D.8 保护Windows网络服务 587
D.8.1 保护WWW服务器 588
D.8.2 保护FTP服务器 588
D.8.3 保护Windows邮件
服务器 589
D.8.4 SSL/TLS的使用 590
D.9 Windows网络的安全方法 590
D.9.1 Internet连接共享 591
D.9.2 网络地址转换 592
D.9.3 路由选择和远程访问
服务 592
D.9.4 Internet验证服务和
RADIUS 594
D.9.5 Internet协议安全 595
D.10 小结 596
第1章 网络安全概述 3
1.1 网络安全的基本原理、趋势和
目标 3
1.1.1 网络安全的需要 4
1.1.2 影响网络安全的趋势 5
1.1.3 网络安全目标 7
1.1.4 网络安全的关键要素 8
1.1.5 安全意识 9
1.2 安全威胁与攻击 10
1.2.1 网络安全弱点 11
1.2.2 主要网络威胁 12
1.2.3 侦查 13
1.2.4 窃听 15
1.2.5 系统访问 16
1.2.6 其他访问攻击 19
1.2.7 拒绝服务 20
1.2.8 分布式拒绝服务 22
1.2.9 弱点:OSI层次模型 25
1.3 安全框架与策略 27
1.3.1 安全车轮 27
1.3.2 安全策略基础 30
1.3.3 网络安全情况研究 33
1.4 安全产品和解决方案 37
1.4.1 身份 38
1.4.2 防火墙 40
1.4.3 虚拟专网 41
1.4.4 入侵探测 44
1.5 监控、管理和审计 46
1.6 SAFE 49
1.7 小结 50
1.8 关键术语 51
1.9 复习题 52
第2章 基本的路由器和交换机安全 55
2.1 路由器和交换机安全概要 55
2.1.1 路由器拓扑 56
2.1.2 路由器安装与安全 58
2.1.3 访问控制 59
2.1.4 使用密码控制路由器
访问 63
2.1.5 设置优先级 64
2.1.6 设置用户账号 65
2.1.7 登录标语 66
2.2 禁用不需要的服务 67
2.2.1 路由选择、代理ARP、
ICMP 72
2.2.2 NTP、SNMP、路由器名字、
DNS 74
2.3 边界路由器安全 77
2.3.1 控制入站和出站流量 77
2.3.2 网络地址转换 79
2.3.3 路由协议验证与更新
过滤 81
2.3.4 流量过滤 83
2.3.5 过滤ICMP消息 87
2.3.6 Cisco IOS防火墙 88
2.4 路由器管理 89
2.4.1 日志 90
2.4.2 网络设备间的时间同步 92
2.4.3 软件和配置的维护 94
2.4.4 使用SSH进行远程管理 95
2.5 安全交换和局域网访问 96
2.5.1 第二层攻击以及缓解 98
2.5.2 端口安全 99
2.5.3 虚拟局域网 101
2.6 小结 102
2.7 关键术语 102
2.8 复习题 103
第3章 路由器ACL和CBAC 107
3.1 访问控制列表 107
3.1.1 在ACL中使用掩码 109
3.1.2 ACL 总结 110
3.1.3 处理ACL 111
3.1.4 应用ACL 112
3.1.5 编辑ACL 113
3.1.6 排除ACL故障 114
3.2 IP ACL的类型 115
3.2.1 标准ACL 116
3.2.2 扩展ACL 117
3.2.3 命名IP ACL 118
3.2.4 注释IP ACL条目 118
3.2.5 锁和密钥(动态)ACL 119
3.2.6 反身ACL 120
3.2.7 使用时间范围的时基
ACL 122
3.2.8 验证代理 122
3.2.9 Turbo ACL 123
3.3 基于上下文的访问控制 123
3.3.1 CBAC是如何工作的 125
3.3.2 支持CBAC的协议 127
3.3.3 配置CBAC:第一步
--设置审计跟踪和
警报 128
3.3.4 配置CBAC:第二步
--设定全局超时和
阈值 129
3.3.5 配置CBAC:第三步
--定义应用程序端口
映射(PAM) 132
3.3.6 配置CBAC:第四步
--定义检查规则 134
3.3.7 配置CBAC:第五步
--在路由器接口上应用
检查规则和ACL 142
3.3.8 配置CBAC:第六步
--测试和检验 145
3.3.9 移除CBAC配置 147
3.3.10 配置一个空接口 147
3.4 小结 148
3.5 关键术语 148
3.6 复习题 149
第4章 路由器AAA安全 153
4.1 AAA安全网络访问 153
4.1.1 AAA安全网络构架 154
4.1.2 验证方法 155
4.2 网络访问服务器(NAS)AAA
验证过程 158
4.2.1 远程管理 158
4.2.2 远程网络访问 158
4.2.3 AAA安全服务器的
选择 159
4.2.4 NAS配置 160
4.3 Cisco Secure ACS 160
4.3.1 管理Cisco Secure ACS3.0
for Windows 161
4.3.2 Cisco Secure ACS for
Windows故障排除技术 163
4.3.3 Cisco Secure ACS for UNIX
概述 163
4.3.4 Cisco Secure ACS 2.3 for
UNIX的特性集 164
4.3.5 Cisco Secure ACS解决方案
引擎 165
4.4 AAA服务器概述及配置 167
4.4.1 TACACS 168
4.4.2 XTACACS 168
4.4.3 TACACS+ 168
4.4.4 介绍RADIUS 168
4.4.5 RADIUS和TACACS+的
比较 170
4.4.6 Kerberos概述 171
4.5 Cisco IOS防火墙验证代理 171
4.5.1 支持的服务器 172
4.5.2 验证代理操作 172
4.5.3 验证代理配置任务 173
4.5.4 HTTPS验证代理 175
4.6 小结 177
4.7 关键术语 177
4.8 复习题 178
第5章 路由器入侵探测、监控和管理 181
5.1 IOS防火墙IDS 181
5.1.1 实现签名 183
5.1.2 响应选项 183
5.2 安装Cisco IOS防火墙IDS 183
5.2.1 步骤1:初始化路由器上
的IOS Firewall IDS--
设置通告的类型 184
5.2.2 步骤2:初始化路由器上的
IOS Firewall IDS--设置
通告队列的尺寸 184
5.2.3 步骤3:配置、禁用或剔除
签名 185
5.2.4 步骤3:创建和应用审计
规则 186
5.2.5 步骤5:检验配置 187
5.2.6 步骤6:添加IOS防火墙
IDS到IDS Director的
映射图 189
5.3 使用日志和Syslog监控 189
5.3.1 日志的价值 189
5.3.2 配置日志 190
5.3.3 配置日志消息的同步 191
5.3.4 限制错误消息的严重
等级 192
5.3.5 系统日志(Syslog) 193
5.4 SNMP 196
5.4.1 SNMP的安全 198
5.4.2 SNMP 版本3
(SNMPv3) 199
5.4.3 如何配置SNMP 201
5.4.4 SNMP管理应用程序 201
5.5 管理路由器 202
5.5.1 管理员的访问机制 202
5.5.2 升级路由器 203
5.5.3 测试和安全确认 204
5.5.4 企业监控 204
5.6 安全设备管理器(SDM) 205
5.6.1 访问SDM 207
5.6.2 下载安装SDM 209
5.6.3 修改现有的配置文件 209
5.6.4 使用默认的配置文件 210
5.7 小结 210
5.8 关键术语 211
5.9 复习题 211
第6章 路由器配置Site-to-Site VPN 215
6.1 VPN 215
6.1.1 Site-to-Site VPN 215
6.1.2 VPN技术选项 216
6.1.3 隧道协议 217
6.1.4 隧道接口 218
6.2 IOS密码系统 219
6.2.1 对称加密 220
6.2.2 非对称加密 221
6.2.3 Diffie-Hellman算法 222
6.2.4 数据完整性 223
6.2.5 HMAC 224
6.2.6 来源验证 225
6.3 IPSec 226
6.3.1 验证头 228
6.3.2 ESP协议 229
6.3.3 IPSec传输模式 230
6.3.4 安全关联 231
6.3.5 IPSec的5个步骤 233
6.3.6 IKE 233
6.3.7 IPSec和IKE的逻辑
流程 235
6.4 使用预共享密钥的Site-to-Site
IPSec VPN 236
6.4.1 任务1:为IKE和IPSec
作准备 236
6.4.2 任务2:配置IKE 237
6.4.3 任务3:配置IPSec 237
6.4.4 任务4:测试和校验IKE 240
6.5 数字证书 240
6.5.1 SCEP 241
6.5.2 CA服务器 242
6.5.3 用一个CA注册设备 243
6.6 使用数字证书配置Site-to-Site
IPSec VPN 244
6.6.1 任务1:为IKE和IPSec
做准备 245
6.6.2 任务2:配置CA支持 245
6.6.3 任务3:IKE配置 246
6.6.4 任务4:配置IPSec 247
6.6.5 任务5:测试和检验
IPSec 247
6.7 小结 248
6.8 关键术语 248
6.9 复习题 249
第7章 路由器远程访问VPN 253
7.1 远程访问VPN 253
7.1.1 远程访问VPN的类型 254
7.1.2 远程访问的隧道协议 255
7.2 Cisco Easy VPN 256
7.2.1 Cisco Easy VPN Server 256
7.2.2 Cisco Easy VPN Remote 256
7.2.3 Cisco VPN 3.5 Client 259
7.3 VPN企业管理 264
7.3.1 路由器MC里的关键
概念 264
7.3.2 支持的隧道技术 266
7.3.3 路由器MC的安装 266
7.3.4 路由器MC的使用 268
7.3.5 路由器MC界面 269
7.4 小结 270
7.5 关键术语 270
7.6 复习题 270
第二部分
第8章 PIX安全设备 275
8.1 防火墙简介 275
8.1.1 使用防火墙的理由 276
8.1.2 防火墙技术 277
8.1.3 防火墙市场 281
8.2 Cisco PIX Security Appliance 282
8.2.1 PIX的特点 283
8.2.2 PIX安全设备家族 288
8.2.3 防火墙服务模块 289
8.2.4 PIX安全设备许可证
类型 291
8.2.5 PIX安全设备的VPN
功能 291
8.3 开始使用PIX Security
Appliance 292
8.3.1 用户界面 292
8.3.2 基本PIX设置命令 295
8.3.3 检查PIX状态 298
8.4 路由选择和多播配置 300
8.4.1 静态路由 300
8.4.2 动态路由 301
8.4.3 多播路由选择 303
8.4.4 查看和调试存根多播路
由选择 308
8.5 PIX动态主机控制配置 308
8.5.1 服务器和客户端 309
8.5.2 PIX安全设备对DHCP的
支持 309
8.5.3 DHCP服务器 310
8.5.4 配置PIX安全设备作为
DHCP服务器 311
8.6 小结 311
8.7 关键术语 311
8.8 复习题 312
第9章 PIX安全设备转换和连接 315
9.1 传输协议 315
9.1.1 IP世界中的会话 315
9.1.2 TCP详细回顾 316
9.1.3 TCP特点及与PIX的
交互 319
9.1.4 UDP特点及与PIX的
交互 319
9.2 网络地址转换 320
9.2.1 连接与转换 320
9.2.2 地址转换类型 321
9.3 PIX上的DNS地址更改、目的
NAT和DNS记录转换 327
9.3.1 DNS地址更改过程 328
9.3.2 用alias命令实现目的
NAT 329
9.3.3 DNS记录转换 329
9.4 连接 330
9.4.1 穿过PIX安全设备的两种
方法 330
9.4.2 静态通道 331
9.5 端口地址转换 331
9.5.1 PIX安全设备的PAT 332
9.5.2 使用外部地址转换的
PAT 333
9.5.3 映射子网到PAT地址 334
9.5.4 使用多PAT地址提供后备
PAT地址 334
9.5.5 使用PAT增加全局地址以
支持更多主机 335
9.5.6 端口重定向 335
9.6 PIX安全设备的多接口 337
9.6.1 通过PIX安全设备进行
访问 337
9.6.2 在PIX安全设备上配置
三个接口 338
9.6.3 配置PIX安全设备的四个
接口 339
9.7 小结 340
9.8 关键术语 341
9.9 复习题 341
第10章 PIX安全设备访问控制列表 345
10.1 ACL和PIX安全设备 345
10.1.1 ACL使用原则 345
10.1.2 实现ACL 346
10.1.3 Turbo ACL 346
10.1.4 ACL与管道技术的
比较 347
10.1.5 ACL案例研究:管道和
ACL行为的差异 348
10.1.6 ACL的验证和故障
排除 351
10.2 使用ACL 351
10.2.1 使用ACL拒绝内网
用户的Web访问 352
10.2.2 使用ACL来允许Web
访问DMZ 352
10.2.3 ACL的通常用法:允许
合作伙伴Web访问
DMZ 353
10.2.4 ACL的常规用法:允许
DMZ访问内部邮件 354
10.2.5 VPN解决方案:双DMZ
和VPN集中器 355
10.2.6 用ACL禁用Ping 356
10.3 过滤 357
10.3.1 过滤恶意小程序 357
10.3.2 URL过滤 358
10.4 对象组 359
10.4.1 在ACL中使用对象组 360
10.4.2 配置对象组 362
10.4.3 在对象组上应用ACL 362
10.5 嵌套的对象组 363
10.5.1 配置嵌套的对象组 364
10.5.2 嵌套对象组例子 364
10.5.3 ACL中多个对象组的
例子 365
10.5.4 验证和管理对象组 366
10.6 小结 367
10.7 关键术语 367
10.8 复习题 367
第11章 PIX安全应用AAA 371
11.1 AAA 371
11.1.1 用户在验证和授权中看
到了什么 372
11.1.2 切入型代理操作 373
11.1.3 TACACS+和RADIUS 374
11.1.4 CSACS和PIX 375
11.2 PIX上的验证配置 376
11.2.1 aaa-server命令 376
11.2.2 aaa authentication命令 377
11.2.3 AAA验证实例 378
11.2.4 验证非Telnet、非FTP
或非HTTP流量 378
11.2.5 虚拟Telnet 379
11.2.6 虚拟HTTP 380
11.2.7 控制台访问验证 381
11.2.8 更改验证超时和验证
提示 382
11.3 PIX安全应用上的授权配置 383
11.3.1 aaa authorization命令 383
11.3.2 使用可下载的ACL提供
授权 384
11.4 在PIX安全应用上配置记账 385
11.5 使用AAA服务定义流量 386
11.6 监控AAA配置 386
11.7 PPPoE和PIX安全应用 387
11.7.1 PIX如何与PPPoE交互
工作 387
11.7.2 配置PIX支持PPPoE 388
11.7.3 监控和故障排除PPPoE
客户端 389
11.8 附录11-A:如何向CSACS-NT
添加用户 390
11.8.1 附加用户信息 391
11.8.2 用户设置 391
11.8.3 账号禁用 392
11.9 附录11-B:CSACS和授权 393
11.9.1 如何在CSACS上建立一
个允许指定服务的授权
规则 393
11.9.2 如何创建仅对CSACS上
指定主机提供服务的
授权规则 393
11.9.3 如何在CSACS上为非
telnet、非FTP和非HTTP
的流量授权 394
11.10 附录11-C:CSACS和
ACL 395
11.11 附录11-D:如何在CSACS中
查看记账信息 397
11.12 小结 397
11.13 关键术语 398
11.14 复习题 398
第12章 PIX高级协议和入侵检测 401
12.1 高级协议处理 401
12.1.1 fixup命令 402
12.1.2 FTP Fixup配置 403
12.1.3 远程Shell(rsh)Fixup
配置 405
12.1.4 SQL*Net Fixup配置 406
12.1.5 SIP Fixup配置 407
12.1.6 小客户Fixup 配置 407
12.2 多媒体支持和PIX安全应用 408
12.2.1 实时流协议 409
12.2.2 H.323 412
12.2.3 IP电话和PIX安全
应用DHCP服务器 413
12.3 攻击防护 414
12.3.1 邮件防护 414
12.3.2 DNS防护 415
12.3.3 分片防护和虚拟
重组 416
12.3.4 AAA泛洪防护 416
12.3.5 SYN泛洪攻击 417
12.3.6 TCP拦截 418
12.4 入侵检测和PIX安全应用 418
12.4.1 信息和攻击入侵检测
特征 419
12.4.2 PIX安全应用中的入侵
检测 420
12.5 规避 421
12.6 PIX安全应用系统日志记录 422
12.7 SNMP 424
12.7.1 SNMP实例 425
12.7.2 MIB支持 425
12.7.3 示例:SNMP通过PIX
安全应用 426
12.8 小结 428
12.9 关键术语 428
12.10 复习题 429
第13章 PIX故障转移与系统维护 433
13.1 了解PIX Security Appliance
故障转移 433
13.1.1 故障转移的IP地址 435
13.1.2 配置文件复制 435
13.1.3 故障转移和有状态故障
转移 436
13.1.4 故障转移接口测试 437
13.2 串行电缆故障转移配置 438
13.2.1 步骤1:连接防火墙 438
13.2.2 步骤2:连接故障转移
电缆 439
13.2.3 步骤3:配置主PIX 440
13.2.4 步骤4:从防火墙接电 440
13.2.5 验证故障转移配置
文件 442
13.3 基于LAN的故障转移配置 443
13.3.1 步骤1~4:配置主
PIX 444
13.3.2 步骤5~10:配置从
PIX 445
13.4 通过远程访问维护系统 447
13.4.1 为PIX Security Appliance
控制台配置Telnet访问 447
13.4.2 SSH连接到PIX Security
Appliance 448
13.4.3 用SSH客户端连接到
PIX Security Appliance 448
13.5 命令授权 449
13.5.1 方法1:启用级别命令
授权 450
13.5.2 方法2:本地命令授权 450
13.5.3 方法3:ACS命令
授权 451
13.6 PIX Security Appliance密码
恢复 452
13.7 升级PIX Security Appliance
映像及激活密钥 452
13.8 小结 453
13.9 关键术语 453
13.10 复习题 454
第14章 PIX Security Appliance VPN 457
14.1 PIX Security Appliance实现
安全的VPN 457
14.1.1 PIX VPN性能 457
14.1.2 PIX VPN拓扑结构 458
14.1.3 IPSec实现PIX VPN
特性 459
14.1.4 IPSec概述 459
14.1.5 PIX Security Appliance
支持IPSec标准 459
14.2 配置VPN任务 461
14.2.1 任务1:准备配置VPN
支持 462
14.2.2 任务2:配置IKE
参数 465
14.2.3 任务3:配置IPSec
参数 467
14.2.4 任务4:测试和校验
VPN配置 470
14.3 Cisco VPN客户端 473
14.3.1 Cisco VPN客户端拓扑
结构 474
14.3.2 PIX Security Appliance
分配IP地址到VPN
客户端 475
14.3.3 配置PIX Security
Appliance的PIX到VPN
客户端隧道 476
14.3.4 为PIX到PIX客户端
隧道配置VPN客户端 478
14.4 使用CA扩展PIX VPN 479
14.5 小结 481
14.6 关键术语 481
14.7 复习题 482
第15章 PIX安全设备管理 485
15.1 PIX管理工具 485
15.1.1 PIX设备管理器 486
15.1.2 Cisco安全策略管理器 486
15.1.3 PIX管理中心 487
15.2 Cisco PIX设备管理器 488
15.2.1 PDM运行要求 489
15.2.2 PDM浏览器要求 489
15.2.3 PDM的准备 491
15.2.4 运用PDM配置PIX 493
15.2.5 使用PDM创建站点到
站点VPN 501
15.2.6 使用PDM创建远程
访问VPN 506
15.3 企业PIX管理 509
15.3.1 PIX MC 509
15.3.2 PIX MC的主要概念 510
15.3.3 AUS 511
15.4 小结 511
15.5 复习题 512
第三部分
附录A 关键术语 517
附录B 复习题答案 525
附录C 物理层安全 531
C.1 什么是物理安全? 531
C.2 第1层安全的开销是什么? 533
C.3 第1层安全保护了什么? 534
C.4 物理安全同样能够防御其他
威胁 534
C.5 物理层安全的基础 534
C.6 ANSI/TIA/EIA 535
C.7 安全培训 537
C.7.1 建立安全意识 537
C.7.2 需要进行验证 538
C.7.3 登录访问及操作 538
C.7.4 提出适当有礼的质疑 538
C.7.5 知道向哪些人寻求援助 539
C.8 高级通行证及Biometric
验证 539
C.9 威慑因素 539
C.10 工作区安全 540
C.10.1 闲置插座 540
C.10.2 抗干扰插座 540
C.10.3 抗干扰路径 541
C.10.4 电信间 541
C.11 入侵者怎样截取信息并
解码 542
C.11.1 入侵者是怎样截取
资料的 543
C.11.2 入侵者怎样对资料
解码 543
C.12 光纤入侵 543
C.12.1 直接物理入侵 544
C.12.2 管道 545
C.13 无线侦听 545
C.13.1 竞争驾驶 545
C.13.2 竞争拨号和竞争行走 546
C.14 安全自动控制 546
C.15 物理安全中的人员因素 547
C.16 小结 549
附录D 操作系统安全 553
D.1 Linux操作系统级安全 553
D.1.1 保护正在运行的进程 554
D.1.2 文件系统和目录安全 556
D.1.3 验证安全 560
D.2 Linux基础设施级安全 562
D.2.1 保护Samba 562
D.2.2 保护NFS 564
D.2.3 保护xinetd守护进程 566
D.3 保护Linux网络服务 568
D.3.1 保护Linux FTP服务器 568
D.3.2 保护Linux Web服务器 569
D.3.3 保护Linux邮件服务器 571
D.4 Linux网络安全和过滤方法 573
D.4.1 TCP包装程序 573
D.4.2 网络地址转换 574
D.4.3 防火墙和代理服务 574
D.5 Windows 2000验证安全 576
D.5.1 识别安全架构 576
D.5.2 在Windows 2000中验证
用户 577
D.6 Windows 2000操作系统级
安全 578
D.6.1 保护文件和打印资源 578
D.6.2 加密文件系统 580
D.6.3 审核对资源的访问 583
D.7 Windows 2000基础结构级
安全 584
D.7.1 保护活动目录 584
D.7.2 用组策略辅助安全管理 585
D.7.3 安全模版、安全配置和
分析工具的使用 586
D.7.4 安全地对DNS记录进行
更新 586
D.8 保护Windows网络服务 587
D.8.1 保护WWW服务器 588
D.8.2 保护FTP服务器 588
D.8.3 保护Windows邮件
服务器 589
D.8.4 SSL/TLS的使用 590
D.9 Windows网络的安全方法 590
D.9.1 Internet连接共享 591
D.9.2 网络地址转换 592
D.9.3 路由选择和远程访问
服务 592
D.9.4 Internet验证服务和
RADIUS 594
D.9.5 Internet协议安全 595
D.10 小结 596
猜您喜欢
