书籍详情
Cisco路由器防火墙安全
作者:(美)迪尔 著,陈克忠 译;陈克忠译
出版社:人民邮电出版社
出版时间:2006-01-01
ISBN:9787115136954
定价:¥98.00
购买这本书可以去
内容简介
CiscoIOS防火墙提供了丰富的功能,包括:地址转换、认证,加密、有状态的过滤、失败切换、URL内容过滤、ACL、NBAR和其他的特性。本书讲解如伺使用CiscoIOS防火墙来增强边界路山器的安全,并在这个过程中利用CiscoIOS软件包的灵活性和可扩展性。.本书的每一章都针对边界路由器安全的一个重要组件。作者解释了所有这些关键安全特征的忧缺点.以帮助我们理解何时使用这些特征,书中提供了很多来自作者自己实际经验的例子来描述关键问题和安全缺陷。本书的结尾包括一个详细的案例学习,描述了如何实施Cisco路由器安全特征的最佳实践和相关信息。不管您是在学习相关防火墙安全的知识,还足在寻找增强Cisco路由器安全的技术指南,本书都足您进行网络边界保护的完全参考。本书全面系统地介绍基于CiscoIOS软件操作系统的各种防火墙特性。使用这些特性可以加固Cisco边界路由器和其他路由器,在保护已有投资的情况下,保护我们的网络免受各种安全威胁和攻击。..本书共有21章,分成9个部分。第一部分是安全问题和防火墙的概述。第二部分通过基本的访问设置、关闭不必要的服务和实施AAA来保护到路由器本身的访问安全。第三部分介绍Cisco的无状态流量过滤技术,包括基本的、扩展的、命名的、定时的、有序的和编译的ACL。第四部分介绍Cisco的有状态的流量过滤技术,包括反射ACL、CBAC、URL过滤和NBAR等特征。第五部分介绍地址转换和地址转换所引起的问题以及相应的解决方法。第六部分分别介绍锁和密钥ACL、认证代理和对路由选择协议的保护,锁和密钥以及认证代理用来实现在允许用户访问资源之前首先对他们进行认证的功能。第七部分主要介绍入侵检测系统、DoS防护和记录日志事件。第八部分介绍站到站的IPSec连接和远程接入IPSec连接。第九部分介绍一个综合的案例学习,结合本书中介绍的重要安全组件,讲述如何保护一个实际环境中的网络安全。本书是一本关于“如何做”的书,堪称是一部关于Cisco路由器防火墙安全的参考大全。作者Richard是一位有多年计算机网络业工作经验的专家,本书融入了作者网络安全实践的很多体会和提示,使读者能更好地掌握重要特征和关键问题。本书中提供的许多例子都很典型,可以方便地应用到我们的网络环境中。本书文笔流畅、内容翔实、覆盖面很广,是广大网络安全从业人员和网络管理人员的案头必备用书。本书也可以有效地帮助您通过Cisco的CCSPSECUR认证考试。...
作者简介
RichardA.Deal拥用CCSP,CCNP和CCNA证书,曾经就读于Grove市立学院,他主修数学、计算机和英语,并获得科学学士学位。在过去的7年里,Richard经营他自己的公司,该公司提供咨询和技术培训。Richard在计算机和网络业(包括网络、培训、系统管理和编程)有17年的工作经验。除了教授各种Cisco的认证课程之外,Richard已经出版了很多本书,最近出版的是CCNPBCMSNExamCram2(642-811),由Que出版社出版。Richard正在为Boson公司撰写Cisco认证自我准备测试,包括SECtJRE测验(SECURE#3)。Boson软件公司是一家软件和培训公司,专门从事考试准备和动手技能产品的开发。Boson作为一家赢利的软件公司,自1998年以来一直关注成人学习和网络公共事业。他们的使命是以经济有效的方式提供高质量的实践测试和学习补充材料。Boson是支持Cisco认证的第一批软件供应商之一,现在是Cisco授权的学习合作伙伴和产品总代理。Boson的其他学习帮助材料可从http://www.boson.co
目录
第一部分 安全概述和防火墙
第1章 安全威胁 3
1.1 安全计划 4
1.1.1 不同的平台 4
1.1.2 安全目标 5
1.2 安全问题的起因 5
1.2.1 策略定义 6
1.2.2 计算机技术 9
1.2.3 设备配置 11
1.3 安全威胁的类型 11
1.3.1 外部和内部威胁 12
1.3.2 无组织的和有组织的威胁 12
1.4 威胁的分类 13
1.4.1 勘测攻击 13
1.4.2 访问攻击 16
1.4.3 拒绝服务攻击 23
1.5 安全解决方案 25
1.5.1 设计安全解决方案 25
1.5.2 Cisco安全轮形图 26
1.5.3 安全检查列表 27
1.5.4 附加信息 28
1.6 小结 28
第2章 防火墙概述 31
2.1 防火墙简介 31
2.1.1 防火墙定义 32
2.1.2 防火墙保护 32
2.2 流量控制和OSI参考模型 34
2.2.1 OSI参考模型概要 34
2.2.2 防火墙和OSI参考模型 35
2.3 防火墙种类 35
2.3.1 包过滤防火墙 36
2.3.2 状态防火墙 40
2.3.3 应用网关防火墙 48
2.3.4 地址转换防火墙 54
2.3.5 基于主机的防火墙 57
2.3.6 混合防火墙 59
2.3.7 防火墙和其他服务 60
2.4 防火墙设计 61
2.4.1 设计准则 61
2.4.2 DMZ 64
2.4.3 组件 68
2.4.4 组件布局 71
2.4.5 防火墙实施 74
2.4.6 防火墙管理 76
2.5 Cisco IOS安全 76
2.5.1 Cisco IOS的使用 77
2.5.2 Cisco IOS的安全特性 77
2.5.3 Cisco IOS设备及其使用 78
2.5.4 何时使用Cisco IOS防火墙 79
2.6 小结 80
第二部分 管理到路由器的访问
第3章 访问路由器 85
3.1 认证类型 85
3.1.1 没有口令认证 86
3.1.2 静态口令认证 86
3.1.3 时效口令认证 87
3.1.4 一次性口令认证 87
3.1.5 令牌卡服务 88
3.2 用户级EXEC访问方法 90
3.2.1 本地访问:控制台和辅助线路 91
3.2.2 远程访问 93
3.3 特权级EXEC访问 112
3.3.1 口令 112
3.3.2 权限级别 112
3.4 其他访问问题 116
3.4.1 加密口令 116
3.4.2 标识 117
3.5 配置实例 119
3.6 小结 121
第4章 关闭不必要的服务 123
4.1 关闭全局服务 123
4.1.1 Cisco发现协议 124
4.1.2 TCP和UDP低端口服务 125
4.1.3 Finger 126
4.1.4 IdentD 126
4.1.5 IP源路由 127
4.1.6 FTP和TFTP 128
4.1.7 HTTP 128
4.1.8 SNMP 129
4.1.9 域名解析 130
4.1.10 BootP 131
4.1.11 DHCP 131
4.1.12 PAD 132
4.1.13 配置自动加载 132
4.2 关闭接口服务 133
4.2.1 不安全接口上的CDP 133
4.2.2 ARP代理 134
4.2.3 定向广播 135
4.2.4 ICMP消息 136
4.2.5 维护操作协议 139
4.2.6 VTY 140
4.2.7 未使用的接口 141
4.3 在边界路由器上手动关闭服务的配置例子 141
4.4 AutoSecure 142
4.4.1 安全平面 142
4.4.2 AutoSecure配置 144
4.5 小结 154
第5章 认证、授权和记账 157
5.1 AAA概述 157
5.1.1 AAA工作原理 158
5.1.2 打开AAA 158
5.1.3 安全协议 159
5.2 认证 166
5.2.1 认证方法 167
5.2.2 认证配置 168
5.2.3 认证排错 171
5.2.4 认证例子 171
5.3 授权 172
5.3.1 授权方法 173
5.3.2 授权配置 173
5.3.3 授权排错 174
5.3.4 授权例子 175
5.4 记账 175
5.4.1 记账方法 176
5.4.2 记账配置 176
5.4.3 记账排错 178
5.4.4 记账例子 179
5.5 安全复制 179
5.5.1 SCP准备 180
5.5.2 SCP配置 180
5.5.3 SCP排错 180
5.5.4 SCP例子 181
5.6 小结 181
第三部分 无状态的过滤技术
第6章 访问列表概述 185
6.1 访问列表简介 185
6.1.1 ACL和过滤 186
6.1.2 ACL类型 187
6.1.3 处理ACL 188
6.2 基本ACL的配置 194
6.2.1 建立ACL 195
6.2.2 激活ACL 196
6.2.3 编辑ACL 197
6.3 通配符掩码 198
6.3.1 将子网掩码转换成通配符掩码 199
6.3.2 通配符掩码错误 200
6.4 小结 200
第7章 基本访问列表 203
7.1 ACL的类型 203
7.1.1 标准ACL 204
7.1.2 扩展ACL 207
7.1.3 ACL验证 218
7.1.4 分片和扩展ACL 219
7.1.5 定时ACL 223
7.2 其他的ACL特性 226
7.2.1 ACL注释 226
7.2.2 日志记录更新 228
7.2.3 IP统计和ACL 228
7.2.4 Turbo ACL 230
7.2.5 有序的ACL 232
7.3 受攻击时的保护 235
7.3.1 Bogon阻塞和欺骗 235
7.3.2 DoS和分布式DoS攻击 240
7.3.3 简单勘查攻击 246
7.3.4 分布式DoS攻击 248
7.3.5 特洛伊木马 254
7.3.6 蠕虫 256
7.4 阻塞不必要的服务 260
7.4.1 一场艰难的战斗 260
7.4.2 即时消息产品 261
7.4.3 文件共享:端到端产品 265
7.5 小结 272
第四部分 有状态的和高级的过滤技术
第8章 反射访问列表 277
8.1 反射ACL概述 277
8.1.1 扩展的ACL相比反射ACL 278
8.1.2 反射ACL的工作原理 282
8.1.3 反射ACL的局限性 285
8.2 配置反射ACL 288
8.2.1 接口选择 288
8.2.2 配置命令 291
8.3 反射ACL举例 295
8.3.1 简单的RACL例子 295
8.3.2 两个接口的RACL例子 295
8.3.3 三个接口的RACL例子 296
8.4 小结 299
第9章 基于上下文的访问控制 301
9.1 Cisco IOS防火墙特性 301
9.2 CBAC的功能 302
9.2.1 过滤流量 302
9.2.2 审查流量 303
9.2.3 检测入侵 303
9.2.4 生成警告和审计信息 303
9.3 CBAC的操作 303
9.3.1 基本操作 303
9.3.2 CBAC相对RACL的增强 305
9.4 CBAC支持的协议 308
9.4.1 RTSP应用 309
9.4.2 H.323应用 310
9.4.3 Skinny支持 310
9.4.4 SIP支持 311
9.5 CBAC的性能 312
9.5.1 吞吐量改进特性 313
9.5.2 每秒连接改进特性 313
9.5.3 CPU使用率改进特性 313
9.6 CBAC的局限性 314
9.7 CBAC的配置 314
9.7.1 步骤1:接口选择 315
9.7.2 步骤2:ACL配置 315
9.7.3 步骤3:全局超时值 316
9.7.4 步骤4:端口应用映射 317
9.7.5 步骤5:审查规则 320
9.7.6 步骤6:激活审查 324
9.7.7 步骤7:CBAC排错 324
9.7.8 删除CBAC 328
9.8 CBAC例子 328
9.8.1 简单例子 328
9.8.2 两个接口的CBAC例子 330
9.8.3 三接口的CBAC例子 331
9.9 小结 334
第10章 过滤Web和应用流量 337
10.1 Java小程序 337
10.1.1 Java审查 338
10.1.2 Java阻塞 338
10.1.3 Java阻塞例子 338
10.2 URL过滤 340
10.2.1 URL过滤操作 340
10.2.2 URL过滤的优点和局限性 341
10.2.3 URL过滤实施 343
10.2.4 URL过滤验证 349
10.2.5 URL过滤例子 351
10.3 基于网络的应用识别 352
10.3.1 QoS的组件 352
10.3.2 NBAR和分类 353
10.3.3 NBAR的限制和局限性 357
10.3.4 基本的NBAR配置 358
10.3.5 NBAR验证 364
10.3.6 NBAR例子 367
10.4 小结 372
第五部分 地址转换和防火墙
第11章 地址转换 377
11.1 地址转换概述 377
11.1.1 私有地址 377
11.1.2 地址转换 378
11.2 地址转换的工作原理 379
11.2.1 用于地址转换的术语 380
11.2.2 执行地址转换 380
11.2.3 地址转换的局限性 385
11.3 地址转换配置 386
11.3.1 NAT配置 386
11.3.2 PAT配置 389
11.3.3 端口地址重定向配置 391
11.3.4 处理重叠的地址 393
11.3.5 流量分配配置 396
11.3.6 配置转换限制 398
11.3.7 地址转换的验证和排错 398
11.4 NAT和CBAC的例子 401
11.5 小结 403
第12章 地址转换问题 405
12.1 嵌入的地址信息 405
12.1.1 嵌入地址信息问题 406
12.1.2 支持的协议和应用 407
12.1.3 非标准的端口号 408
12.2 控制地址转换 409
12.2.1 使用ACL 409
12.2.2 使用路由映射:动态转换 410
12.2.3 使用路由映射:静态转换 413
12.3 地址转换和冗余 415
12.3.1 使用HSRP的静态NAT冗余 415
12.3.2 有状态的地址转换失败切换 419
12.4 使用服务器负载平衡来分配流量 426
12.4.1 SLB过程 426
12.4.2 SLB的优点和局限性 429
12.4.3 SLB的配置 429
12.4.4 SLB验证 432
12.4.5 SLB例子 433
12.5 小结 434
第六部分 管理通过路由器的访问
第13章 锁和密钥访问列表 439
13.1 锁和密钥概述 439
13.1.1 锁和密钥与普通ACL 439
13.1.2 何时使用锁和密钥 440
13.1.3 锁和密钥的好处 440
13.1.4 锁和密钥的处理过程 441
13.2 锁和密钥配置 442
13.2.1 配置步骤 442
13.2.2 允许远程管理访问 446
13.2.3 验证和排错 447
13.3 锁和钥匙举例 448
13.4 小结 449
第14章 认证代理 451
14.1 AP简介 451
14.1.1 AP特性 452
14.1.2 AP过程 453
14.1.3 AP的使用 455
14.1.4 AP的局限性 456
14.2 AP的配置 457
14.2.1 在路由器上配置AAA 457
14.2.2 在服务器上配置AAA 458
14.2.3 为HTTP或HTTPS作准备 460
14.2.4 配置AP策略 461
14.2.5 调整AP 462
14.2.6 防止访问攻击 463
14.3 AP验证和排错 464
14.3.1 show命令 464
14.3.2 clear命令 465
14.3.3 debug命令 466
14.4 AP举例 466
14.4.1 简单的AP例子 466
14.4.2 复杂的AP例子:CBAC和NAT 469
14.5 小结 472
第15章 路由选择协议保护 475
15.1 静态和黑洞路由选择 475
15.1.1 静态路由 476
15.1.2 Null路由 476
15.1.3 基于策略的路由选择 478
15.2 内部网关协议安全 480
15.2.1 认证 481
15.2.2 RIPv2 482
15.2.3 EIGRP 483
15.2.4 OSPF 484
15.2.5 IS-IS 484
15.2.6 其他工具 486
15.2.7 HSRP 488
15.3 BGP安全 490
15.3.1 认证 490
15.3.2 路由翻动阻尼 491
15.3.3 BGP路由选择例子 492
15.4 逆向路径转发(单播流量) 496
15.4.1 RPF过程 496
15.4.2 RPF的使用 498
15.4.3 RPF局限性 499
15.4.4 RPF配置 499
15.4.5 RPF验证 500
15.4.6 单播RPF例子 501
15.5 小结 501
第七部分 检测和防止攻击
第16章 入侵检测系统 505
16.1 IDS简介 505
16.1.1 IDS的实现 506
16.1.2 IDS解决方案 507
16.1.3 IDS要点 509
16.2 IDS签名 510
16.2.1 签名实现 510
16.2.2 签名结构 511
16.2.3 基本分类 511
16.2.4 Cisco签名类型 511
16.3 Cisco路由器IDS解决方案 512
16.3.1 签名支持 512
16.3.2 路由器IDS过程 515
16.3.3 内存和性能问题 516
16.4 IDS配置 517
16.4.1 步骤1:初始化配置 517
16.4.2 步骤2:日志和邮局配置 517
16.4.3 步骤3:审查规则配置和激活 518
16.4.4 IDS验证 520
16.5 IDS举例 521
16.6 小结 522
第17章 DoS防护 525
17.1 检测DoS攻击 525
17.1.1 常见的攻击 525
17.1.2 检查CPU使用率来检测DoS攻击 526
17.1.3 使用ACL检测DoS攻击 528
17.1.4 使用NetFlow来检测DoS攻击 533
17.2 CEF交换 538
17.3 TCP截取 539
17.3.1 TCP SYN洪水攻击 539
17.3.2 TCP截取模式 539
17.3.3 TCP截取的配置和验证 540
17.3.4 TCP截取举例 544
17.4 CBAC和DoS攻击 545
17.4.1 超时和阈值 545
17.4.2 CBAC DoS阻止验证 547
17.4.3 CBAC配置举例 547
17.5 速率限制 548
17.5.1 ICMP速率限制 549
17.5.2 CAR 550
17.5.3 NBAR 554
17.6 小结 557
第18章 记录日志事件 559
18.1 基本日志记录 559
18.1.1 日志消息格式 560
18.1.2 基本日志记录配置 560
18.1.3 日志记录目的地 561
18.1.4 其他日志命令 566
18.1.5 日志记录验证 567
18.1.6 日志记录和错误计数 569
18.2 时间和日期与Cisco IOS 570
18.2.1 路由器时间源 570
18.2.2 时间和日期的手动配置 571
18.2.3 网络时间协议简介 573
18.2.4 为NTP配置路由器客户端 573
18.2.5 为NTP配置路由器服务器 575
18.2.6 NTP安全 576
18.2.7 其他NTP命令 578
18.2.8 NTP验证 578
18.2.9 NTP配置举例 580
18.3 内置的系统日志管理器 580
18.3.1 ESM简介 581
18.3.2 ESM过滤模块 581
18.3.3 ESM的建立和配置介绍 584
18.4 其他日志记录信息 586
18.4.1 要寻找什么 586
18.4.2 其他工具 587
18.5 小结 589
第八部分 虚拟专用网
第19章 站到站的IPSec连接 593
19.1 IPSec 准备 593
19.1.1 基本任务 593
19.1.2 外部ACL 594
19.2 IKE阶段1:管理连接 595
19.2.1 打开ISAKMP/IKE 596
19.2.2 定义IKE阶段1策略 596
19.3 IKE阶段1对等体认证 598
19.3.1 身份类型 598
19.3.2 使用预共享密钥的认证 599
19.3.3 使用RSA加密Nonce的认证 599
19.3.4 使用证书认证 601
19.4 IKE阶段2:数据连接 607
19.4.1 步骤1:建立一个加密映射 607
19.4.2 步骤2:建立变换集 608
19.4.3 步骤3:建立加密映射 610
19.4.4 步骤4:激活加密映射 613
19.4.5 步骤5:验证加密映射配置 613
19.5 IPSec连接排错 614
19.5.1 检查SA 614
19.5.2 使用debug命令 616
19.5.3 清除连接 618
19.6 L2L举例 618
19.7 小结 620
第20章 IPSec远程接入连接 623
20.1 远程接入概述 623
20.1.1 EasyVPN介绍 624
20.1.2 EasyVPN IPSec支持 625
20.1.3 EasyVPN特性 625
20.2 IPSec远程接入连接过程 626
20.2.1 步骤1:EVC发起IPSec连接 627
20.2.2 步骤2:EVC发送IKE阶段1策略 627
20.2.3 步骤3:EVS接受IKE阶段1策略 627
20.2.4 步骤4:EVS认证用户 627
20.2.5 步骤5:EVS执行IKE模式配置 628
20.2.6 步骤6:EVS使用RRI处理路由 628
20.2.7 步骤7:IPSec设备建立数据连接 629
20.3 IPSec远程接入EVS设置 629
20.3.1 配置过程 630
20.3.2 任务1:认证策略 630
20.3.3 任务2:组策略 631
20.3.4 任务3:IKE阶段1策略 632
20.3.5 任务4:动态加密映射 633
20.3.6 任务5:静态加密映射 635
20.3.7 任务6:远程接入验证 636
20.4 IPSec远程接入举例 637
20.5 小结 639
第九部分 案例学习
第21章 案例学习 643
21.1 公司简介 643
21.1.1 公司总部 643
21.1.2 分支机构 645
21.1.3 远程接入用户 645
21.2 提议 646
21.3 案例学习配置 647
21.3.1 基本配置 647
21.3.2 不必要的服务和SSH 648
21.3.3 AAA 650
21.3.4 访问控制列表 652
21.3.5 CBAC和Web过滤 656
21.3.6 地址转换 657
21.3.7 路由选择 659
21.3.8 入侵检测系统 660
21.3.9 连接攻击和CBAC 661
21.3.10 速率限制 661
21.3.11 NTP和系统日志 663
21.3.12 站到站VPN 664
21.3.13 远程接入VPN 666
21.4 小结 668
第1章 安全威胁 3
1.1 安全计划 4
1.1.1 不同的平台 4
1.1.2 安全目标 5
1.2 安全问题的起因 5
1.2.1 策略定义 6
1.2.2 计算机技术 9
1.2.3 设备配置 11
1.3 安全威胁的类型 11
1.3.1 外部和内部威胁 12
1.3.2 无组织的和有组织的威胁 12
1.4 威胁的分类 13
1.4.1 勘测攻击 13
1.4.2 访问攻击 16
1.4.3 拒绝服务攻击 23
1.5 安全解决方案 25
1.5.1 设计安全解决方案 25
1.5.2 Cisco安全轮形图 26
1.5.3 安全检查列表 27
1.5.4 附加信息 28
1.6 小结 28
第2章 防火墙概述 31
2.1 防火墙简介 31
2.1.1 防火墙定义 32
2.1.2 防火墙保护 32
2.2 流量控制和OSI参考模型 34
2.2.1 OSI参考模型概要 34
2.2.2 防火墙和OSI参考模型 35
2.3 防火墙种类 35
2.3.1 包过滤防火墙 36
2.3.2 状态防火墙 40
2.3.3 应用网关防火墙 48
2.3.4 地址转换防火墙 54
2.3.5 基于主机的防火墙 57
2.3.6 混合防火墙 59
2.3.7 防火墙和其他服务 60
2.4 防火墙设计 61
2.4.1 设计准则 61
2.4.2 DMZ 64
2.4.3 组件 68
2.4.4 组件布局 71
2.4.5 防火墙实施 74
2.4.6 防火墙管理 76
2.5 Cisco IOS安全 76
2.5.1 Cisco IOS的使用 77
2.5.2 Cisco IOS的安全特性 77
2.5.3 Cisco IOS设备及其使用 78
2.5.4 何时使用Cisco IOS防火墙 79
2.6 小结 80
第二部分 管理到路由器的访问
第3章 访问路由器 85
3.1 认证类型 85
3.1.1 没有口令认证 86
3.1.2 静态口令认证 86
3.1.3 时效口令认证 87
3.1.4 一次性口令认证 87
3.1.5 令牌卡服务 88
3.2 用户级EXEC访问方法 90
3.2.1 本地访问:控制台和辅助线路 91
3.2.2 远程访问 93
3.3 特权级EXEC访问 112
3.3.1 口令 112
3.3.2 权限级别 112
3.4 其他访问问题 116
3.4.1 加密口令 116
3.4.2 标识 117
3.5 配置实例 119
3.6 小结 121
第4章 关闭不必要的服务 123
4.1 关闭全局服务 123
4.1.1 Cisco发现协议 124
4.1.2 TCP和UDP低端口服务 125
4.1.3 Finger 126
4.1.4 IdentD 126
4.1.5 IP源路由 127
4.1.6 FTP和TFTP 128
4.1.7 HTTP 128
4.1.8 SNMP 129
4.1.9 域名解析 130
4.1.10 BootP 131
4.1.11 DHCP 131
4.1.12 PAD 132
4.1.13 配置自动加载 132
4.2 关闭接口服务 133
4.2.1 不安全接口上的CDP 133
4.2.2 ARP代理 134
4.2.3 定向广播 135
4.2.4 ICMP消息 136
4.2.5 维护操作协议 139
4.2.6 VTY 140
4.2.7 未使用的接口 141
4.3 在边界路由器上手动关闭服务的配置例子 141
4.4 AutoSecure 142
4.4.1 安全平面 142
4.4.2 AutoSecure配置 144
4.5 小结 154
第5章 认证、授权和记账 157
5.1 AAA概述 157
5.1.1 AAA工作原理 158
5.1.2 打开AAA 158
5.1.3 安全协议 159
5.2 认证 166
5.2.1 认证方法 167
5.2.2 认证配置 168
5.2.3 认证排错 171
5.2.4 认证例子 171
5.3 授权 172
5.3.1 授权方法 173
5.3.2 授权配置 173
5.3.3 授权排错 174
5.3.4 授权例子 175
5.4 记账 175
5.4.1 记账方法 176
5.4.2 记账配置 176
5.4.3 记账排错 178
5.4.4 记账例子 179
5.5 安全复制 179
5.5.1 SCP准备 180
5.5.2 SCP配置 180
5.5.3 SCP排错 180
5.5.4 SCP例子 181
5.6 小结 181
第三部分 无状态的过滤技术
第6章 访问列表概述 185
6.1 访问列表简介 185
6.1.1 ACL和过滤 186
6.1.2 ACL类型 187
6.1.3 处理ACL 188
6.2 基本ACL的配置 194
6.2.1 建立ACL 195
6.2.2 激活ACL 196
6.2.3 编辑ACL 197
6.3 通配符掩码 198
6.3.1 将子网掩码转换成通配符掩码 199
6.3.2 通配符掩码错误 200
6.4 小结 200
第7章 基本访问列表 203
7.1 ACL的类型 203
7.1.1 标准ACL 204
7.1.2 扩展ACL 207
7.1.3 ACL验证 218
7.1.4 分片和扩展ACL 219
7.1.5 定时ACL 223
7.2 其他的ACL特性 226
7.2.1 ACL注释 226
7.2.2 日志记录更新 228
7.2.3 IP统计和ACL 228
7.2.4 Turbo ACL 230
7.2.5 有序的ACL 232
7.3 受攻击时的保护 235
7.3.1 Bogon阻塞和欺骗 235
7.3.2 DoS和分布式DoS攻击 240
7.3.3 简单勘查攻击 246
7.3.4 分布式DoS攻击 248
7.3.5 特洛伊木马 254
7.3.6 蠕虫 256
7.4 阻塞不必要的服务 260
7.4.1 一场艰难的战斗 260
7.4.2 即时消息产品 261
7.4.3 文件共享:端到端产品 265
7.5 小结 272
第四部分 有状态的和高级的过滤技术
第8章 反射访问列表 277
8.1 反射ACL概述 277
8.1.1 扩展的ACL相比反射ACL 278
8.1.2 反射ACL的工作原理 282
8.1.3 反射ACL的局限性 285
8.2 配置反射ACL 288
8.2.1 接口选择 288
8.2.2 配置命令 291
8.3 反射ACL举例 295
8.3.1 简单的RACL例子 295
8.3.2 两个接口的RACL例子 295
8.3.3 三个接口的RACL例子 296
8.4 小结 299
第9章 基于上下文的访问控制 301
9.1 Cisco IOS防火墙特性 301
9.2 CBAC的功能 302
9.2.1 过滤流量 302
9.2.2 审查流量 303
9.2.3 检测入侵 303
9.2.4 生成警告和审计信息 303
9.3 CBAC的操作 303
9.3.1 基本操作 303
9.3.2 CBAC相对RACL的增强 305
9.4 CBAC支持的协议 308
9.4.1 RTSP应用 309
9.4.2 H.323应用 310
9.4.3 Skinny支持 310
9.4.4 SIP支持 311
9.5 CBAC的性能 312
9.5.1 吞吐量改进特性 313
9.5.2 每秒连接改进特性 313
9.5.3 CPU使用率改进特性 313
9.6 CBAC的局限性 314
9.7 CBAC的配置 314
9.7.1 步骤1:接口选择 315
9.7.2 步骤2:ACL配置 315
9.7.3 步骤3:全局超时值 316
9.7.4 步骤4:端口应用映射 317
9.7.5 步骤5:审查规则 320
9.7.6 步骤6:激活审查 324
9.7.7 步骤7:CBAC排错 324
9.7.8 删除CBAC 328
9.8 CBAC例子 328
9.8.1 简单例子 328
9.8.2 两个接口的CBAC例子 330
9.8.3 三接口的CBAC例子 331
9.9 小结 334
第10章 过滤Web和应用流量 337
10.1 Java小程序 337
10.1.1 Java审查 338
10.1.2 Java阻塞 338
10.1.3 Java阻塞例子 338
10.2 URL过滤 340
10.2.1 URL过滤操作 340
10.2.2 URL过滤的优点和局限性 341
10.2.3 URL过滤实施 343
10.2.4 URL过滤验证 349
10.2.5 URL过滤例子 351
10.3 基于网络的应用识别 352
10.3.1 QoS的组件 352
10.3.2 NBAR和分类 353
10.3.3 NBAR的限制和局限性 357
10.3.4 基本的NBAR配置 358
10.3.5 NBAR验证 364
10.3.6 NBAR例子 367
10.4 小结 372
第五部分 地址转换和防火墙
第11章 地址转换 377
11.1 地址转换概述 377
11.1.1 私有地址 377
11.1.2 地址转换 378
11.2 地址转换的工作原理 379
11.2.1 用于地址转换的术语 380
11.2.2 执行地址转换 380
11.2.3 地址转换的局限性 385
11.3 地址转换配置 386
11.3.1 NAT配置 386
11.3.2 PAT配置 389
11.3.3 端口地址重定向配置 391
11.3.4 处理重叠的地址 393
11.3.5 流量分配配置 396
11.3.6 配置转换限制 398
11.3.7 地址转换的验证和排错 398
11.4 NAT和CBAC的例子 401
11.5 小结 403
第12章 地址转换问题 405
12.1 嵌入的地址信息 405
12.1.1 嵌入地址信息问题 406
12.1.2 支持的协议和应用 407
12.1.3 非标准的端口号 408
12.2 控制地址转换 409
12.2.1 使用ACL 409
12.2.2 使用路由映射:动态转换 410
12.2.3 使用路由映射:静态转换 413
12.3 地址转换和冗余 415
12.3.1 使用HSRP的静态NAT冗余 415
12.3.2 有状态的地址转换失败切换 419
12.4 使用服务器负载平衡来分配流量 426
12.4.1 SLB过程 426
12.4.2 SLB的优点和局限性 429
12.4.3 SLB的配置 429
12.4.4 SLB验证 432
12.4.5 SLB例子 433
12.5 小结 434
第六部分 管理通过路由器的访问
第13章 锁和密钥访问列表 439
13.1 锁和密钥概述 439
13.1.1 锁和密钥与普通ACL 439
13.1.2 何时使用锁和密钥 440
13.1.3 锁和密钥的好处 440
13.1.4 锁和密钥的处理过程 441
13.2 锁和密钥配置 442
13.2.1 配置步骤 442
13.2.2 允许远程管理访问 446
13.2.3 验证和排错 447
13.3 锁和钥匙举例 448
13.4 小结 449
第14章 认证代理 451
14.1 AP简介 451
14.1.1 AP特性 452
14.1.2 AP过程 453
14.1.3 AP的使用 455
14.1.4 AP的局限性 456
14.2 AP的配置 457
14.2.1 在路由器上配置AAA 457
14.2.2 在服务器上配置AAA 458
14.2.3 为HTTP或HTTPS作准备 460
14.2.4 配置AP策略 461
14.2.5 调整AP 462
14.2.6 防止访问攻击 463
14.3 AP验证和排错 464
14.3.1 show命令 464
14.3.2 clear命令 465
14.3.3 debug命令 466
14.4 AP举例 466
14.4.1 简单的AP例子 466
14.4.2 复杂的AP例子:CBAC和NAT 469
14.5 小结 472
第15章 路由选择协议保护 475
15.1 静态和黑洞路由选择 475
15.1.1 静态路由 476
15.1.2 Null路由 476
15.1.3 基于策略的路由选择 478
15.2 内部网关协议安全 480
15.2.1 认证 481
15.2.2 RIPv2 482
15.2.3 EIGRP 483
15.2.4 OSPF 484
15.2.5 IS-IS 484
15.2.6 其他工具 486
15.2.7 HSRP 488
15.3 BGP安全 490
15.3.1 认证 490
15.3.2 路由翻动阻尼 491
15.3.3 BGP路由选择例子 492
15.4 逆向路径转发(单播流量) 496
15.4.1 RPF过程 496
15.4.2 RPF的使用 498
15.4.3 RPF局限性 499
15.4.4 RPF配置 499
15.4.5 RPF验证 500
15.4.6 单播RPF例子 501
15.5 小结 501
第七部分 检测和防止攻击
第16章 入侵检测系统 505
16.1 IDS简介 505
16.1.1 IDS的实现 506
16.1.2 IDS解决方案 507
16.1.3 IDS要点 509
16.2 IDS签名 510
16.2.1 签名实现 510
16.2.2 签名结构 511
16.2.3 基本分类 511
16.2.4 Cisco签名类型 511
16.3 Cisco路由器IDS解决方案 512
16.3.1 签名支持 512
16.3.2 路由器IDS过程 515
16.3.3 内存和性能问题 516
16.4 IDS配置 517
16.4.1 步骤1:初始化配置 517
16.4.2 步骤2:日志和邮局配置 517
16.4.3 步骤3:审查规则配置和激活 518
16.4.4 IDS验证 520
16.5 IDS举例 521
16.6 小结 522
第17章 DoS防护 525
17.1 检测DoS攻击 525
17.1.1 常见的攻击 525
17.1.2 检查CPU使用率来检测DoS攻击 526
17.1.3 使用ACL检测DoS攻击 528
17.1.4 使用NetFlow来检测DoS攻击 533
17.2 CEF交换 538
17.3 TCP截取 539
17.3.1 TCP SYN洪水攻击 539
17.3.2 TCP截取模式 539
17.3.3 TCP截取的配置和验证 540
17.3.4 TCP截取举例 544
17.4 CBAC和DoS攻击 545
17.4.1 超时和阈值 545
17.4.2 CBAC DoS阻止验证 547
17.4.3 CBAC配置举例 547
17.5 速率限制 548
17.5.1 ICMP速率限制 549
17.5.2 CAR 550
17.5.3 NBAR 554
17.6 小结 557
第18章 记录日志事件 559
18.1 基本日志记录 559
18.1.1 日志消息格式 560
18.1.2 基本日志记录配置 560
18.1.3 日志记录目的地 561
18.1.4 其他日志命令 566
18.1.5 日志记录验证 567
18.1.6 日志记录和错误计数 569
18.2 时间和日期与Cisco IOS 570
18.2.1 路由器时间源 570
18.2.2 时间和日期的手动配置 571
18.2.3 网络时间协议简介 573
18.2.4 为NTP配置路由器客户端 573
18.2.5 为NTP配置路由器服务器 575
18.2.6 NTP安全 576
18.2.7 其他NTP命令 578
18.2.8 NTP验证 578
18.2.9 NTP配置举例 580
18.3 内置的系统日志管理器 580
18.3.1 ESM简介 581
18.3.2 ESM过滤模块 581
18.3.3 ESM的建立和配置介绍 584
18.4 其他日志记录信息 586
18.4.1 要寻找什么 586
18.4.2 其他工具 587
18.5 小结 589
第八部分 虚拟专用网
第19章 站到站的IPSec连接 593
19.1 IPSec 准备 593
19.1.1 基本任务 593
19.1.2 外部ACL 594
19.2 IKE阶段1:管理连接 595
19.2.1 打开ISAKMP/IKE 596
19.2.2 定义IKE阶段1策略 596
19.3 IKE阶段1对等体认证 598
19.3.1 身份类型 598
19.3.2 使用预共享密钥的认证 599
19.3.3 使用RSA加密Nonce的认证 599
19.3.4 使用证书认证 601
19.4 IKE阶段2:数据连接 607
19.4.1 步骤1:建立一个加密映射 607
19.4.2 步骤2:建立变换集 608
19.4.3 步骤3:建立加密映射 610
19.4.4 步骤4:激活加密映射 613
19.4.5 步骤5:验证加密映射配置 613
19.5 IPSec连接排错 614
19.5.1 检查SA 614
19.5.2 使用debug命令 616
19.5.3 清除连接 618
19.6 L2L举例 618
19.7 小结 620
第20章 IPSec远程接入连接 623
20.1 远程接入概述 623
20.1.1 EasyVPN介绍 624
20.1.2 EasyVPN IPSec支持 625
20.1.3 EasyVPN特性 625
20.2 IPSec远程接入连接过程 626
20.2.1 步骤1:EVC发起IPSec连接 627
20.2.2 步骤2:EVC发送IKE阶段1策略 627
20.2.3 步骤3:EVS接受IKE阶段1策略 627
20.2.4 步骤4:EVS认证用户 627
20.2.5 步骤5:EVS执行IKE模式配置 628
20.2.6 步骤6:EVS使用RRI处理路由 628
20.2.7 步骤7:IPSec设备建立数据连接 629
20.3 IPSec远程接入EVS设置 629
20.3.1 配置过程 630
20.3.2 任务1:认证策略 630
20.3.3 任务2:组策略 631
20.3.4 任务3:IKE阶段1策略 632
20.3.5 任务4:动态加密映射 633
20.3.6 任务5:静态加密映射 635
20.3.7 任务6:远程接入验证 636
20.4 IPSec远程接入举例 637
20.5 小结 639
第九部分 案例学习
第21章 案例学习 643
21.1 公司简介 643
21.1.1 公司总部 643
21.1.2 分支机构 645
21.1.3 远程接入用户 645
21.2 提议 646
21.3 案例学习配置 647
21.3.1 基本配置 647
21.3.2 不必要的服务和SSH 648
21.3.3 AAA 650
21.3.4 访问控制列表 652
21.3.5 CBAC和Web过滤 656
21.3.6 地址转换 657
21.3.7 路由选择 659
21.3.8 入侵检测系统 660
21.3.9 连接攻击和CBAC 661
21.3.10 速率限制 661
21.3.11 NTP和系统日志 663
21.3.12 站到站VPN 664
21.3.13 远程接入VPN 666
21.4 小结 668
猜您喜欢