內容簡介
《思科網路技術學院茅熱局教程 CCNA安全(第 2版)》所介紹的內容是針對思科網路技術學院**新的認證項目之一— CCNA安全課程,作為思科網路學院的指定教材,該書面向的讀者群需要具備CCNA水平的知識。
《思科網路技術學院教程 CCNA安全(第 2版)》共分10章,第 1章介紹了現代網路安全威脅相關的知識,讓大家了解網路安全發展的歷史和現狀,欠懂簽以及病毒、蠕蟲和木馬為典型代表的各種攻擊的特點和防範。隨後的三章主要側重於如何防止外部網路對內部網路的攻擊,比如如何加強對路由器的保護、AAA認證以及防火牆技術和部署。第旬棗駝乘5章介紹了如何對內部網路自身的保護,強調了網路入侵防禦系統(IPS)的特點和在思科設備上的實現。第6章是針對區域網路的安全防護,主要側重於對於交換網路的安全部署及配置嬸乘。第7章介紹了加密算法,普及了加密技術的基本知識。第8章是本書的重要環節,介紹了使用路由器來實現虛擬專用網(VPN)技術,特別是IPSec技術的概念和配置。第9章綜合了前面的內容,介紹了如何設計和部署一個安全網路的全面解決方案,以及如何制定有效的安全策略等。第 10章對Cisco ASA防火牆配置和VPN配置的實施進行了詳細介紹。
《思影戲愚科網路技術學院教程 CCNA安全(第 2版)》所介紹的內容涵蓋了思科認證考試——CCNA安全(IINS 640-554)要求的全部知識,因此適合準備該認證考試的讀者閱讀。對網路安全感興趣的讀者也可以從中獲益。
圖書目錄
第 1章 現代網路安全威脅 1
1.1 一個安全網路的基本原則 1
1.1.1 網路安全的演進 1
1.1.2 網路安全的驅動者 3
1.1.3 網路安全組織 4
1.1.4 網路安全領域 6
1.1.5 網路安全策略 6
1.2 病毒、蠕蟲和特洛伊木馬 7
1.2.1 病毒 7
1.2.2 蠕蟲 8
1.2.3 特洛伊木馬 9
1.2.4 緩解病毒、蠕蟲和特洛伊木馬 9
1.3 攻擊方法 11
1.3.1 偵查攻擊 11
1.3.2 接入攻擊 12
1.3.3 拒絕服務攻擊 13
1.3.4 緩解網路攻擊 15
1.4 Cisco網路基礎保護框架 16
第 2章 保護網路設備 19
2.1 保護對設備的訪問 19
2.1.1 保護邊界路由器 19
2.1.2 配置安全的管理訪問 22
2.1.3 為虛擬登錄配置增強的照紙乎嬸安全性 24
2.1.4 配置SSH 25
2.2 分配管理角色 27
2.2.1 配置特權級別 27
2.2.2 配置基於角色的CLI訪問 29
2.3 監控和管理設備 31
2.3.1 保證Cisco IOS和配置檔案的安全 31
2.3.2 安全管理和報告 33
2.3.3 使用系統日誌 35
2.3.4 使用SNMP實現網路漏棵刪安全 36
2.3.5 使用NTP 38
2.4 使用自動安全特性 39
2.4.1 執行安全審計 39
2.4.2 使用AutoSecure鎖定路由器 41
2.4.3 用CCP鎖定路由器 42
第3章 認證、授權和記賬 44
3.1 使用AAA的目的 44
3.1.1 AAA概述 44
3.1.2 AAA的特點 45
3.2 本地AAA認證 46
3.2.1 使用CLI配置本地AAA認證 46
3.2.2 使用CCP配置本地AAA認證 48
3.2.3 本地AAA認證故障處理 49
3.3 基於伺服器的AAA 49
3.3.1 基於伺服器AAA的特點 49
3.3.2 基於伺服器AAA通信協定 49
3.3.3 Cisco安全ACS 50
3.3.4 配置Cisco安全ACS 52
3.3.5 配置Cisco安全ACS用戶和組 55
3.4 基於伺服器的AAA認證 55
3.4.1 使用CLI配置基於伺服器的AAA認證 55
3.4.2 使用CCP配置基於伺服器的AAA認證 56
3.4.3 基於伺服器的AAA認證故障處理 57
3.5 基於伺服器的AAA授權和記賬 58
3.5.1 配置基於伺服器的AAA授權 58
3.5.2 配置基於伺服器的AAA記賬 59
第4章 實現防火牆技術 61
4.1 訪問控制列表 61
4.1.1 用CLI配置標準和擴展IP ACL 61
4.1.2 使用標準和擴展IP ACL 64
4.1.3 ACL的拓撲和流向 66
4.1.4 用CCP配置標準和擴展ACL 66
4.1.5 配置TCP的Established和自反ACL 68
4.1.6 配置動態ACL 70
4.1.7 配置基於時間的ACL 72
4.1.8 複雜ACL實現的排錯 73
4.1.9 使用ACL緩解攻擊 74
4.1.10 IPv6 ACL 75
4.1.11 在ACE中使用對象組 76
4.2 防火牆技術 77
4.2.1 使用防火牆構建安全網路 77
4.2.2 防火牆類型 78
4.2.3 網路設計中的防火牆 80
4.3 基於上下文的訪問控制 81
4.3.1 CBAC特性 81
4.3.2 CBAC運行 82
4.3.3 配置CBAC 84
4.3.4 CBAC排錯 87
4.4 區域策略防火牆 89
4.4.1 基於策略防火牆的特點 89
4.4.2 基於區域策略的防火牆運行 90
4.4.3 用CLI配置區域策略防火牆 91
4.4.4 用CCP嚮導配置區域策略防火牆 93
4.4.5 使用CCP手動配置基於區域的策略防火牆 94
4.4.6 區域策略防火牆排錯 96
第5章 執行入侵防禦 97
5.1 IPS技術 97
5.1.1 IDS和IPS特性 97
5.1.2 基於網路的IPS執行 99
5.2 IPS特徵 100
5.2.1 IPS特徵特性 100
5.2.2 IPS特徵警報 102
5.2.3 調整IPS特徵報警 104
5.2.4 IPS特徵行動 105
5.2.5 管理和監視IPS 107
5.2.6 IPS全局關聯 108
5.3 執行IPS 109
5.3.1 使用CLI配置Cisco IOS IPS 109
5.3.2 使用CCP配置Cisco IOS IPS 111
5.3.3 修改Cisco IOS IPS特徵 113
5.4 檢驗和監測IPS 114
5.4.1 檢驗Cisco IOS IPS 114
5.4.2 監測Cisco IOS IPS 114
第6章 保護區域網路 116
6.1 終端安全 116
6.1.1 終端安全概述 116
6.1.2 使用IronPort的終端安全 118
6.1.3 使用網路準入控制的端點安全 119
6.2 第 二層安全考慮 121
6.2.1 第 二層安全概述 121
6.2.2 MAC地址欺騙攻擊 122
6.2.3 MAC地址表溢出攻擊 122
6.2.4 STP操縱攻擊 123
6.2.5 LAN風暴攻擊 123
6.2.6 VLAN攻擊 124
6.3 配置第 二層安全 125
6.3.1 配置連線埠安全 125
6.3.2 檢驗連線埠安全 127
6.3.3 配置BPDU保護、BPDU過濾器和根保護 127
6.3.4 配置風暴控制 129
6.3.5 配置VLAN中繼(Trunk)安全 130
6.3.6 配置Cisco 交換連線埠分析器 130
6.3.7 配置PVLAN邊緣 131
6.3.8 對於第 二層建議的實踐 132
6.4 無線、VoIP和SAN安全 132
6.4.1 企業高級技術安全考慮 132
6.4.2 無線安全考慮 133
6.4.3 無線安全解決方案 134
6.4.4 VoIP安全考慮 134
6.4.5 VoIP安全解決方案 137
6.4.6 SAN安全考慮 138
6.4.7 SAN安全解決方案 140
第7章 密碼系統 142
7.1 密碼服務 142
7.1.1 保護通信安全 142
7.1.2 密碼術 144
7.1.3 密碼分析 146
7.1.4 密碼學 147
7.2 基本完整性和真實性 147
7.2.1 密碼散列 147
7.2.2 MD5和SHA-1的完整性 148
7.2.3 HMAC的真實性 149
7.2.4 密鑰管理 150
7.3 機密性 152
7.3.1 加密 152
7.3.2 數據加密標準 154
7.3.3 3DES 155
7.3.4 高級加密標準 155
7.3.5 替代加密算法 156
7.3.6 Diffie-Hellman密鑰交換 157
7.4 公鑰密碼術 158
7.4.1 對稱加密與非對稱加密 158
7.4.2 數字特徵 159
7.4.3 Rivest、Shamir和Alderman 161
7.4.4 公共密鑰基礎架構 161
7.4.5 PKI標準 163
7.4.6 認證授權 164
7.4.7 數字證書和CA 165
第8章 實現虛擬專用網路 167
8.1 VPN 167
8.1.1 VPN概述 167
8.1.2 VPN拓撲 168
8.1.3 VPN解決方案 170
8.2 GRE VPN 172
8.3 IPSec VPN組件和操作 173
8.3.1 IPSec介紹 173
8.3.2 IPSec安全協定 175
8.3.3 Internet密鑰交換 177
8.4 使用CLI實現站點到站點的IPSec VPN 179
8.4.1 配置一個站點到站點的IPSec VPN 179
8.4.2 任務1——配置兼容ACL 180
8.4.3 任務2——配置IKE 180
8.4.4 任務3——配置變換集 181
8.4.5 任務4——配置加密ACL 181
8.4.6 任務5——套用加密映射 182
8.4.7 驗證IPSec配置和故障排除 183
8.5 使用CCP實現站點到站點的IPSec VPN 184
8.5.1 使用CCP配置IPSec 184
8.5.2 VPN嚮導——快速安裝 185
8.5.3 VPN嚮導——逐步安裝 185
8.5.4 驗證、監控VPN和VPN故障排除 187
8.6 實現遠程訪問VPN 187
8.6.1 向遠程辦公的轉變 187
8.6.2 遠程訪問VPN介紹 188
8.6.3 SSL VPN 188
8.6.4 Cisco Easy VPN 190
8.6.5 使用CCP配置一台VPN伺服器 191
8.6.6 連線VPN客戶端 192
第9章 管理一個安全的網路 194
9.1 安全網路設計的原則 195
9.1.1 確保網路是安全的 195
9.1.2 威脅識別和風險分析 196
9.1.3 風險管理和風險避免 199
9.2 安全架構 199
9.2.1 Cisco SecureX架構簡介 199
9.2.2 Cisco SecureX架構的解決方案 201
9.2.3 網路安全的未來趨勢 204
9.3 運行安全 204
9.3.1 運行安全介紹 204
9.3.2 運行安全的原則 205
9.4 網路安全性測試 206
9.4.1 網路安全性測試介紹 206
9.4.2 網路安全性測試工具 207
9.5 業務連續性規劃和災難恢復 208
9.5.1 連續性規劃和災難恢復 208
9.5.2 中斷和備份 209
9.5.3 安全複製 209
9.6 系統開發生命周期 210
9.6.1 SDLC介紹 210
9.6.2 SDLC的各階段 211
9.7 開發一個全面的安全策略 212
9.7.1 安全策略概述 212
9.7.2 安全策略的結構 213
9.7.3 標準、指南、規程 214
9.7.4 角色和職責 215
9.7.5 安全意識和培訓 215
9.7.6 法律與道德 217
9.7.7 對安全違規的回響 219
第 10章 實施Cisco自適應安全設備(ASA) 220
10.1 介紹ASA 220
10.1.1 ASA概述 220
10.1.2 基本ASA配置 223
10.2 ASA防火牆配置 226
10.2.1 ASA防火牆配置介紹 226
10.2.2 配置管理設定和服務 228
10.2.3 介紹ASDM 231
10.2.4 ASDM嚮導 233
10.2.5 對象組 234
10.2.6 ACL 236
10.2.7 ASA上的NAT服務 239
10.2.8 ASA上的訪問控制 241
10.2.9 ASA上的服務策略 243
10.3 ASA VPN配置 245
10.3.1 ASA遠程訪問(Remote-Access)VPN選項 245
10.3.2 無客戶端SSL VPN 247
10.3.3 配置無客戶端SSL VPN 248
10.3.4 AnyConnect SSL VPN 249
10.3.5 配置AnyConnect SSL VPN 250
術語表 253
2.3.5 使用NTP 38
2.4 使用自動安全特性 39
2.4.1 執行安全審計 39
2.4.2 使用AutoSecure鎖定路由器 41
2.4.3 用CCP鎖定路由器 42
第3章 認證、授權和記賬 44
3.1 使用AAA的目的 44
3.1.1 AAA概述 44
3.1.2 AAA的特點 45
3.2 本地AAA認證 46
3.2.1 使用CLI配置本地AAA認證 46
3.2.2 使用CCP配置本地AAA認證 48
3.2.3 本地AAA認證故障處理 49
3.3 基於伺服器的AAA 49
3.3.1 基於伺服器AAA的特點 49
3.3.2 基於伺服器AAA通信協定 49
3.3.3 Cisco安全ACS 50
3.3.4 配置Cisco安全ACS 52
3.3.5 配置Cisco安全ACS用戶和組 55
3.4 基於伺服器的AAA認證 55
3.4.1 使用CLI配置基於伺服器的AAA認證 55
3.4.2 使用CCP配置基於伺服器的AAA認證 56
3.4.3 基於伺服器的AAA認證故障處理 57
3.5 基於伺服器的AAA授權和記賬 58
3.5.1 配置基於伺服器的AAA授權 58
3.5.2 配置基於伺服器的AAA記賬 59
第4章 實現防火牆技術 61
4.1 訪問控制列表 61
4.1.1 用CLI配置標準和擴展IP ACL 61
4.1.2 使用標準和擴展IP ACL 64
4.1.3 ACL的拓撲和流向 66
4.1.4 用CCP配置標準和擴展ACL 66
4.1.5 配置TCP的Established和自反ACL 68
4.1.6 配置動態ACL 70
4.1.7 配置基於時間的ACL 72
4.1.8 複雜ACL實現的排錯 73
4.1.9 使用ACL緩解攻擊 74
4.1.10 IPv6 ACL 75
4.1.11 在ACE中使用對象組 76
4.2 防火牆技術 77
4.2.1 使用防火牆構建安全網路 77
4.2.2 防火牆類型 78
4.2.3 網路設計中的防火牆 80
4.3 基於上下文的訪問控制 81
4.3.1 CBAC特性 81
4.3.2 CBAC運行 82
4.3.3 配置CBAC 84
4.3.4 CBAC排錯 87
4.4 區域策略防火牆 89
4.4.1 基於策略防火牆的特點 89
4.4.2 基於區域策略的防火牆運行 90
4.4.3 用CLI配置區域策略防火牆 91
4.4.4 用CCP嚮導配置區域策略防火牆 93
4.4.5 使用CCP手動配置基於區域的策略防火牆 94
4.4.6 區域策略防火牆排錯 96
第5章 執行入侵防禦 97
5.1 IPS技術 97
5.1.1 IDS和IPS特性 97
5.1.2 基於網路的IPS執行 99
5.2 IPS特徵 100
5.2.1 IPS特徵特性 100
5.2.2 IPS特徵警報 102
5.2.3 調整IPS特徵報警 104
5.2.4 IPS特徵行動 105
5.2.5 管理和監視IPS 107
5.2.6 IPS全局關聯 108
5.3 執行IPS 109
5.3.1 使用CLI配置Cisco IOS IPS 109
5.3.2 使用CCP配置Cisco IOS IPS 111
5.3.3 修改Cisco IOS IPS特徵 113
5.4 檢驗和監測IPS 114
5.4.1 檢驗Cisco IOS IPS 114
5.4.2 監測Cisco IOS IPS 114
第6章 保護區域網路 116
6.1 終端安全 116
6.1.1 終端安全概述 116
6.1.2 使用IronPort的終端安全 118
6.1.3 使用網路準入控制的端點安全 119
6.2 第 二層安全考慮 121
6.2.1 第 二層安全概述 121
6.2.2 MAC地址欺騙攻擊 122
6.2.3 MAC地址表溢出攻擊 122
6.2.4 STP操縱攻擊 123
6.2.5 LAN風暴攻擊 123
6.2.6 VLAN攻擊 124
6.3 配置第 二層安全 125
6.3.1 配置連線埠安全 125
6.3.2 檢驗連線埠安全 127
6.3.3 配置BPDU保護、BPDU過濾器和根保護 127
6.3.4 配置風暴控制 129
6.3.5 配置VLAN中繼(Trunk)安全 130
6.3.6 配置Cisco 交換連線埠分析器 130
6.3.7 配置PVLAN邊緣 131
6.3.8 對於第 二層建議的實踐 132
6.4 無線、VoIP和SAN安全 132
6.4.1 企業高級技術安全考慮 132
6.4.2 無線安全考慮 133
6.4.3 無線安全解決方案 134
6.4.4 VoIP安全考慮 134
6.4.5 VoIP安全解決方案 137
6.4.6 SAN安全考慮 138
6.4.7 SAN安全解決方案 140
第7章 密碼系統 142
7.1 密碼服務 142
7.1.1 保護通信安全 142
7.1.2 密碼術 144
7.1.3 密碼分析 146
7.1.4 密碼學 147
7.2 基本完整性和真實性 147
7.2.1 密碼散列 147
7.2.2 MD5和SHA-1的完整性 148
7.2.3 HMAC的真實性 149
7.2.4 密鑰管理 150
7.3 機密性 152
7.3.1 加密 152
7.3.2 數據加密標準 154
7.3.3 3DES 155
7.3.4 高級加密標準 155
7.3.5 替代加密算法 156
7.3.6 Diffie-Hellman密鑰交換 157
7.4 公鑰密碼術 158
7.4.1 對稱加密與非對稱加密 158
7.4.2 數字特徵 159
7.4.3 Rivest、Shamir和Alderman 161
7.4.4 公共密鑰基礎架構 161
7.4.5 PKI標準 163
7.4.6 認證授權 164
7.4.7 數字證書和CA 165
第8章 實現虛擬專用網路 167
8.1 VPN 167
8.1.1 VPN概述 167
8.1.2 VPN拓撲 168
8.1.3 VPN解決方案 170
8.2 GRE VPN 172
8.3 IPSec VPN組件和操作 173
8.3.1 IPSec介紹 173
8.3.2 IPSec安全協定 175
8.3.3 Internet密鑰交換 177
8.4 使用CLI實現站點到站點的IPSec VPN 179
8.4.1 配置一個站點到站點的IPSec VPN 179
8.4.2 任務1——配置兼容ACL 180
8.4.3 任務2——配置IKE 180
8.4.4 任務3——配置變換集 181
8.4.5 任務4——配置加密ACL 181
8.4.6 任務5——套用加密映射 182
8.4.7 驗證IPSec配置和故障排除 183
8.5 使用CCP實現站點到站點的IPSec VPN 184
8.5.1 使用CCP配置IPSec 184
8.5.2 VPN嚮導——快速安裝 185
8.5.3 VPN嚮導——逐步安裝 185
8.5.4 驗證、監控VPN和VPN故障排除 187
8.6 實現遠程訪問VPN 187
8.6.1 向遠程辦公的轉變 187
8.6.2 遠程訪問VPN介紹 188
8.6.3 SSL VPN 188
8.6.4 Cisco Easy VPN 190
8.6.5 使用CCP配置一台VPN伺服器 191
8.6.6 連線VPN客戶端 192
第9章 管理一個安全的網路 194
9.1 安全網路設計的原則 195
9.1.1 確保網路是安全的 195
9.1.2 威脅識別和風險分析 196
9.1.3 風險管理和風險避免 199
9.2 安全架構 199
9.2.1 Cisco SecureX架構簡介 199
9.2.2 Cisco SecureX架構的解決方案 201
9.2.3 網路安全的未來趨勢 204
9.3 運行安全 204
9.3.1 運行安全介紹 204
9.3.2 運行安全的原則 205
9.4 網路安全性測試 206
9.4.1 網路安全性測試介紹 206
9.4.2 網路安全性測試工具 207
9.5 業務連續性規劃和災難恢復 208
9.5.1 連續性規劃和災難恢復 208
9.5.2 中斷和備份 209
9.5.3 安全複製 209
9.6 系統開發生命周期 210
9.6.1 SDLC介紹 210
9.6.2 SDLC的各階段 211
9.7 開發一個全面的安全策略 212
9.7.1 安全策略概述 212
9.7.2 安全策略的結構 213
9.7.3 標準、指南、規程 214
9.7.4 角色和職責 215
9.7.5 安全意識和培訓 215
9.7.6 法律與道德 217
9.7.7 對安全違規的回響 219
第 10章 實施Cisco自適應安全設備(ASA) 220
10.1 介紹ASA 220
10.1.1 ASA概述 220
10.1.2 基本ASA配置 223
10.2 ASA防火牆配置 226
10.2.1 ASA防火牆配置介紹 226
10.2.2 配置管理設定和服務 228
10.2.3 介紹ASDM 231
10.2.4 ASDM嚮導 233
10.2.5 對象組 234
10.2.6 ACL 236
10.2.7 ASA上的NAT服務 239
10.2.8 ASA上的訪問控制 241
10.2.9 ASA上的服務策略 243
10.3 ASA VPN配置 245
10.3.1 ASA遠程訪問(Remote-Access)VPN選項 245
10.3.2 無客戶端SSL VPN 247
10.3.3 配置無客戶端SSL VPN 248
10.3.4 AnyConnect SSL VPN 249
10.3.5 配置AnyConnect SSL VPN 250
術語表 253