CCNA安全640-554認證考試指南

《CCNA安全640-554認證考試指南》是Cisco IINSv2(640-554)認證考試的官方認證指南，主要內容包括網路安全的概念、使用生命周期的方式來理解安全策略、建立安全戰略、網路基礎保護、使用Cisco配置專家(CCP)來保護網路架構、在Cisco IOS設備上保護管理層、使用IOS和ACS伺服器實施AAA、保護二層技術、在IPv6環境中保護數據層、規劃威脅控制戰略、使用訪問控制列表來緩解網路威脅；理解防火牆的基礎概念、實施Cisco IOS基於區域的防火牆、在Cisco ASA上配置基本防火牆策略、Cisco IPS/IDS基礎、實施基於IOS的IPS、VPN技術基礎、理解PKI基礎、IP安全基礎，實施IPSec站點到站點VPN、使用Cisco ASA實現SSL VPN等，為廣大備考人員提供了詳實的學習資料。為便於讀者深入掌握各章所學的知識，《CCNA安全640-554認證考試指南》提供了大量的案例分析材料，並且在各章提供了測驗題和複習題，以加強讀者對所學知識的記憶和理解。 《CCNA安全640-554認證考試指南》主要面向備考Cisco IINSv2(640-554)的考生，全書緊密圍繞考試主題，在內容的組織和編寫上切實凸顯了認證考試需求。此外，《CCNA安全640-554認證考試指南》也非常適合從事網路安全的工程技術人員及網路管理員參考。

第1部分　網路安全基礎　1

第1章　網路安全的概念　3

1.1　“我已經知道了嗎？”測試題　3

1.2　理解網路與信息安全基礎　5

1.2.1　網路安全的目標　5

1.2.2　機密性、完整性和可用性　5

1.2.3　安全的成本效益分析　6

1.2.4　資產分類　7

1.2.5　漏洞分類　8

1.2.6　對策分類　9

1.2.7　我們該如何應對風險　9

1.3　認識當前的網路威脅　10

1.3.1　潛在的攻擊者　10

1.3.2　攻擊方式　11

1.3.3　攻擊矢量　11

1.3.4　中間人攻擊　12

1.3.5　其他攻擊方式　12

1.4　將基本的安全原則套用到網路設計當中　13

1.4.1　指導方針　13

1.4.2　如何把所有內容拼成一個整體　14

1.5　複習所有考試要點　14

1.6　通過記憶補全表格　15

1.7　定義關鍵術語　15

第2章　使用生命周期的方式來理解安全策略　17

2.1　“我已經知道了嗎？”測試題　17

2.2　風險分析與管理　18

2.2.1　安全網路生命周期　18

2.2.2　風險分析方式　19

2.2.3　安全狀況評估　20

2.2.4　風險管理的一種方式　20

2.2.5　可以削減風險的法規　21

2.3　安全策略　21

2.3.1　主體、客體與原因　21

2.3.2　策略的類型　22

2.3.3　標準、流程與基準　22

2.3.4　測試安全架構　23

2.3.5　回響網路中的事件　24

2.3.6　證據採集　24

2.3.7　不當黑客的理由　24

2.3.8　責任　25

2.3.9　災難恢復與業務連續性計畫　25

2.4　複習所有考試要點　25

2.5　通過記憶補全表格　26

2.6　定義關鍵術語　26

第3章　建立安全戰略　29

3.1　“我已經知道了嗎？”測試題　29

3.2　保護無邊界網路　31

3.2.1　網路本質的變化　31

3.2.2　邏輯邊界　31

3.2.3　SecureX與可感知情景的安全技術　32

3.3　控制並遏制數據丟失　33

3.3.1　一盎司的預防措施　33

3.3.2　使用VPN實現安全連線　33

3.3.3　安全管理　34

3.4　複習所有考試要點　34

3.5　通過記憶補全表格　34

3.6　定義關鍵術語　35

第2部分　保護網路架構　37

第4章　網路基礎保護　39

4.1　“我已經知道了嗎？”測試題　39

4.2　使用網路基礎保護(NFP)來保護網路　41

4.2.1　網路架構的重要性　41

4.2.2　網路基礎保護(NFP)框架　41

4.2.3　相互間的依存關係　42

4.2.4　實施NFP　42

4.3　理解管理層　43

4.3.1　第一要務　43

4.3.2　保護管理層的最佳做法　43

4.4　理解控制層　44

保護控制層的最佳做法　44

4.5　理解數據層　45

4.5.1　保護數據層的最佳做法　46

4.5.2　其他保護數據層的機制　46

4.6　複習所有考試要點　47

4.7　通過記憶補全表格　47

4.8　定義關鍵術語　47

第5章　使用Cisco配置專家(CCP)來保護網路架構　49

5.1　“我已經知道了嗎？”測試題　49

5.2　介紹Cisco配置專家(CCP)　50

5.3　理解CCP特性和GUI　51

5.3.1　選單欄　52

5.3.2　工具列　52

5.3.3　左側導航面板　53

5.3.4　內容面板　53

5.3.5　狀態欄　53

5.4　設定新的設備　54

5.5　CCP的組成　55

5.5.1　社團(Community)　55

5.5.2　模板(Template)　58

5.5.3　用戶檔案(User Profile)　61

5.6　CCP審計特性　63

5.6.1　一步鎖定　66

5.6.2　幾個重點　66

5.7　複習所有考試要點　69

5.8　通過記憶補全表格　70

5.9　定義關鍵術語　70

5.10　需要回憶的命令行參考信息　70

第6章　在Cisco IOS設備上保護管理層　73

6.1　“我已經知道了嗎？”測試題　73

6.2　保護管理流量　75

6.2.1　什麼是管理流量，什麼是管理層　75

6.2.2　超越藍色的反轉線　75

6.2.3　管理層最佳做法　75

6.2.4　密碼推薦　77

6.2.5　使用AAA對用戶進行驗證　78

6.2.6　基於角色的訪問控制　82

6.2.7　加密的管理協定　83

6.2.8　使用日誌記錄檔案　83

6.2.9　理解NTP　85

6.2.10　保護Cisco IOS檔案　85

6.3　通過實施安全措施來保護管理層　85

6.3.1　實施強健的密碼　85

6.3.2　通過AAA實現用戶認證　87

6.3.3　使用CLI在Cisco路由器上對AAA進行排錯　92

6.3.4　RBAC privilege level/分析器視圖　97

6.3.5　實施分析器視圖　99

6.3.6　SSH與HTTPS　101

6.3.7　實施日誌記錄特性　103

6.3.8　SNMP特性　106

6.3.9　配置NTP　108

6.3.10　保護Cisco IOS鏡像和配置檔案　110

6.4　複習所有考試要點　111

6.5　通過記憶補全表格　111

6.6　定義關鍵術語　112

6.7　需要回憶的命令行參考信息　112

第7章　使用IOS和ACS伺服器來實施AAA　115

7.1　“我已經知道了嗎？”測試題　115

7.2　Cisco Secure ACS、RADIUS和TACACS　117

7.2.1　使用Cisco ACS的理由　117

7.2.2　ACS可以運行在什麼平台上　118

7.2.3　何為ISE　118

7.2.4　ACS和路由器之間使用的協定　118

7.2.5　ACS伺服器和客戶端(路由器)之間可以選擇的協定　119

7.3　配置路由器使其與ACS伺服器互操作　120

7.4　配置ACS伺服器使其與路由器互操作　130

7.5　路由器-ACS伺服器互動的驗證與排錯　138

7.6　複習所有考試要點　145

7.7　通過記憶補全表格　145

7.8　定義關鍵術語　145

7.9　需要回憶的命令行參考信息　145

第8章　保護二層技術　149

8.1　“我已經知道了嗎？”測試題　149

8.2　VLAN與Trunking基礎　151

8.2.1　何為VLAN　151

8.2.2　Trunking與802.1Q　153

8.2.3　緊跟數據幀的步伐　154

8.2.4　Trunk上的Native VLAN　154

8.2.5　好吧，那么你想使用哪種模式呢？(連線埠問)　155

8.2.6　VLAN間路由　155

8.2.7　只使用物理接口所面臨的問題　155

8.2.8　使用虛擬“子”接口　155

8.3　生成樹基礎　157

8.3.1　網路中有環路多半不是什麼好事　157

8.3.2　環路的生命　157

8.3.3　二層環路的解決方案　157

8.3.4　STP對新連線埠保持警惕　160

8.3.5　改善轉發前的時間　160

8.4　常見的二層威脅及緩解方法　161

8.4.1　根基不牢，地動山搖　161

8.4.2　二層最佳做法　161

8.4.3　不要允許協商　163

8.4.4　各類二層安全工具　163

8.4.5　CCNA安全的專用二層緩解技術　163

8.5　複習所有考試要點　167

8.6　通過記憶補全表格　167

8.7　複習本書中包含的連線埠安全視頻　167

8.8　定義關鍵術語　168

8.9　需要回憶的命令行參考信息　168

第9章　在IPv6環境中保護數據層　171

9.1　“我已經知道了嗎？”測試題　171

9.2　理解和配置IPv6　173

9.2.1　為何使用IPv6　173

9.2.2　IPv6地址的格式　174

9.3　配置IPv6路由　178

9.4　為IPv6設計一個安全計畫　180

9.4.1　IPv4和IPv6通用的最佳做法　180

9.4.2　IPv4和IPv6面臨的共同威脅　181

9.4.3　關注IPv6安全　182

9.4.4　與IPv6有關的新型風險　182

9.4.5　IPv6最佳做法　184

9.5　複習所有考試要點　184

9.6　通過記憶補全表格　185

9.7　定義關鍵術語　185

9.8　需要回憶的命令行參考信息　185

第3部分　緩解和控制網路威脅　187

第10章　規劃威脅控制戰略　189

10.1　“我已經知道了嗎？”測試題　189

10.2　設計威脅緩解與遏制方案　191

10.2.1　攻擊者確實擁有很多機會　191

10.2.2　大量的潛在風險　191

10.2.3　最大的風險　191

10.2.4　一切的起點　192

10.3　通過硬體/軟體/服務來保護網路　193

10.3.1　交換機　193

10.3.2　路由器　194

10.3.3　ASA防火牆　195

10.3.4　其他系統與服務　196

10.4　複習所有考試要點　196

10.5　通過記憶補全表格　196

10.6　定義關鍵術語　197

第11章　使用訪問控制列表來緩解網路威脅　199

11.1　“我已經知道了嗎？”測試題　199

11.2　訪問控制列表的基礎及優勢　201

11.2.1　訪問列表不再是一盤早點　201

11.2.2　以訪問列表來防止惡意流量　202

11.2.3　防禦的對象　202

11.2.4　包過濾ACL的工作方式　204

11.2.5　標準訪問列表與擴展訪問列表　205

11.2.6　訪問列表中的行數　206

11.2.7　反掩碼　206

11.2.8　對象組　206

11.3　通過實施IPv4 ACL來實現包過濾　207

11.3.1　套用策略　207

11.3.2　監測訪問列表　216

11.3.3　記錄還是不記錄　219

11.4　通過實施IPv6 ACL來實現包過濾　221

11.5　複習所有考試要點　224

11.6　通過記憶補全表格　225

11.7　複習本書中包含的NAT視頻　225

11.8　定義關鍵術語　225

11.9　需要回憶的命令行參考信息　225

第12章　理解防火牆的基礎概念　227

12.1　“我已經知道了嗎？”測試題　227

12.2　防火牆的概念與技術　229

12.2.1　防火牆技術　229

12.2.2　好的防火牆應該是什麼樣　229

12.2.3　使用防火牆的理由　230

12.2.4　深度防禦的做法　231

12.2.5　防火牆的五大基本方法　232

12.3　使用網路地址轉換　235

12.3.1　NAT的作用是隱藏和更改源地址的真實信息　236

12.3.2　內部、外部、本地、全局　236

12.3.3　連線埠地址轉換　237

12.3.4　NAT的選擇　238

12.4　創建和部署防火牆　239

12.4.1　防火牆技術　239

12.4.2　設計防火牆網路時的考量因素　239

12.4.3　防火牆訪問規則　240

12.4.4　包過濾訪問規則結構　241

12.4.5　防火牆規則設計指南　241

12.4.6　規則實施的一致性　242

12.7　複習所有考試要點　242

12.8　通過記憶補全表格　243

12.9　定義關鍵術語　243

第13章　實施Cisco IOS基於區域的防火牆　245

13.1　我已經知道了嗎？”測試題　245

13.2　Cisco IOS基於區域的防火牆　246

13.2.1　基於區域的防火牆如何工作　247

13.2.2　基於區域的防火牆的具體特點　247

13.2.3　區域與使用區域對的理由　247

13.2.4　組合　249

13.2.5　服務策略　250

13.2.6　self區域　252

13.3　配置和驗證Cisco IOS基於區域的防火牆　252

13.3.1　頭等大事　252

13.3.2　使用CCP來配置防火牆　253

13.3.3　對防火牆的配置進行驗證　266

13.3.4　通過命令行驗證配置　267

13.3.5　在ZBF的基礎上配置NAT轉換　271

13.3.6　驗證NAT的工作　274

13.4　複習所有考試要點　276

13.5　複習本書中包含的連線埠安全視頻　276

13.6　定義關鍵術語　276

13.7　需要回憶的命令行參考信息　276

第14章　在Cisco ASA上配置基本防火牆策略　279

14.1　“我已經知道了嗎？”測試題　279

14.2　ASA設備的產品與特性　281

14.2.1　了解ASA系列　281

14.2.2　ASA的特性與服務　282

14.3　ASA防火牆基礎　284

14.3.1　ASA的安全級別　284

14.3.2　默認的流量　285

14.3.3　管理ASA的工具　287

14.3.4　初始的訪問　287

14.3.5　ASA上的數據包過濾　287

14.3.6　實施包過濾ACL　288

14.3.7　模組化策略框架　289

14.3.8　將策略套用在哪裡　289

14.4　配置ASA　290

14.4.1　開始配置　290

14.4.2　ASDM GUI界面　295

14.4.3　配置接口　297

14.4.4　客戶端的IP位址　304

14.4.5　去往Internet的基本路由　305

14.4.6　NAT和PAT　306

14.4.7　放行其他訪問通過防火牆　308

14.4.8　使用Packet Tracer驗證哪些數據包會被放行　310

14.4.9　驗證過濾Telnet的策略　314

14.5　複習所有考試要點　314

14.6　通過記憶補全表格　315

14.7　定義關鍵術語　315

14.8　需要回憶的命令行參考信息　315

第15章　Cisco IPS/IDS基礎　317

15.1　“我已經知道了嗎？”測試題　317

15.2　IPS和IDS　319

15.2.1　感測器的作用是什麼　319

15.2.2　IPS和IDS之間的區別　319

15.2.3　感測器平台　321

15.2.4　誤報與漏報　321

15.2.5　術語解釋-真實與錯誤　321

15.3　識別在網路中的惡意流量　322

15.3.1　基於特徵的IPS/IDS　322

15.3.2　基於策略的IPS/IDS　322

15.3.3　基於異常的IPS/IDS　323

15.3.4　基於信譽的IPS/IDS　323

15.3.5　感測器何時檢測惡意流量　323

15.3.6　控制感測器應該採取的行為　324

15.3.7　依據風險評估值採取行動　325

15.3.8　IPv6與IPS　325

15.3.9　規避IPS/IDS　326

15.4　管理特徵　326

15.5　警報與告警的監測與管理　327

15.5.1　安全智慧型　328

15.5.2　IPS/IDS最佳做法　328

15.6　複習所有考試要點　329

15.7　通過記憶補全表格　329

15.8　定義關鍵術語　329

第16章　實施基於IOS的IPS　331

16.1　“我已經知道了嗎？”測試題　331

16.2　了解和安裝IOS IPS　332

16.2.1　IOS IPS都可以做什麼？　333

16.2.2　安裝IOS IPS特性　334

16.2.3　IPS嚮導　334

16.3　使用IOS IPS中的特徵　340

16.3.1　可以採取的行動　344

16.3.2　調整IPS的最佳做法　351

16.4　管理和監測IPS警報　352

16.5　複習所有考試要點　355

16.6　通過記憶補全表格　355

16.7　定義關鍵術語　356

16.8　需要回憶的命令行參考信息　356

第4部分　使用VPN建立安全連線　359

第17章　VPN技術基礎　361

17.1　“我已經知道了嗎？”測試題　361

17.2　理解VPN及使用VPN的原因　363

17.2.1　什麼是VPN　363

17.2.2　VPN的類型　363

17.2.3　VPN的主要優勢　364

17.3　密碼的基本組成　367

17.3.1　加密算法與秘鑰　367

17.3.2　塊加密和流加密　368

17.3.3　對稱算法和非對稱算法　369

17.3.4　散列　370

17.3.5　散列訊息認證碼　370

17.3.6　數字簽名　371

17.3.7　密鑰管理　372

17.3.8　IPSec和SSL　372

17.4　複習所有考試要點　374

17.5　通過記憶補全表格　375

17.6　定義關鍵術語　375

第18章　理解公鑰基礎設施　377

18.1　“我已經知道了嗎？”測試題　377

18.2　公鑰基礎設施　379

18.2.1　公鑰和私鑰對　379

18.2.2　RSA算法、密鑰和數字證書　380

18.2.3　證書授權中心　380

18.2.4　根和身份證書　381

18.2.5　CA的認證和註冊　384

18.2.6　公鑰加密標準　384

18.2.7　簡單證書註冊協定　385

18.2.8　撤銷證書　385

18.2.9　數字證書的用途　385

18.2.10　PKI拓撲　386

18.3　實施PKI　387

18.3.1　ASA的默認狀態　387

18.3.2　在ASDM中查看證書　388

18.3.3　添加新的根證書　388

18.3.4　更輕鬆地安裝根證書和身份證書　389

18.4　複習所有考試要點　393

18.5　通過記憶補全表格　394

18.6　定義關鍵術語　394

18.7　需要回憶的命令行參考信息　394

第19章　IP安全基礎　397

19.1　“我已經知道了嗎？”測試題　397

19.2　IPSec的概念、組成和操作　399

19.2.1　IPSec的目標　399

19.2.2　IPSec的具體介紹　400

19.2.3　IPSec總結　405

19.3　IPSec的配置和驗證　405

19.3.1　配置隧道的工具　405

19.3.2　從規劃開始　405

19.3.3　套用配置　406

19.3.4　在路由器上查看等效的CLI命令　412

19.3.5　完成並驗證IPSec的設定　414

19.4　複習所有考試要點　420

19.5　通過記憶補全表格　420

19.6　定義關鍵術語　420

19.7　需要回憶的命令行參考信息　421

第20章　實施IPSec站點到站點VPN　423

20.1　“我已經知道了嗎？”測試題　423

20.2　IPSec站點到站點VPN的規劃與準備　425

20.2.1　客戶需求　425

20.2.2　規劃IKE階段1　427

20.2.3　規劃IKE階段2　427

20.3　IPSec站點到站點VPN的實施與驗證　428

20.4　複習所有考試要點　452

20.5　通過記憶補全表格　452

20.6　定義關鍵術語　452

20.7　需要回憶的命令行參考信息　452

第21章　使用Cisco ASA實現SSL VPN　455

21.1　“我已經知道了嗎？”測試題　455

21.2　SSL VPN的功能和用途　457

21.2.1　IPSec過時了嗎　457

21.2.2　SSL和TLS協定框架　458

21.2.3　SSL VPN的具體介紹　458

21.2.4　SSL VPN　459

21.3　在ASA上配置SSL無客戶端VPN　459

21.3.1　使用SSL VPN嚮導　460

21.3.2　數字證書　461

21.3.3　認證用戶　461

21.3.4　登錄　464

21.3.5　從伺服器上看到的VPN活動　466

21.4　在ASA上配置完整的SSL AnyConnect VPN　467

21.4.1　SSL VPN類型　467

21.4.2　配置伺服器以支持AnyConnect客戶端　467

21.4.3　組、連線用戶檔案、默認值　474

21.4.4　一個項目，三個名稱　475

21.4.5　拆分隧道　475

21.5　複習所有考試要點　477

21.6　通過記憶補全表格　477

21.7　定義關鍵術語　477

第22章　最終衝刺　479

22.1　最後衝刺工具　479

22.1.1　CD上的Pearson認證練習測試引擎和測試題　479

22.1.2　Cisco網路學習空間　480

22.1.3　回憶表　481

22.1.4　章節末尾回顧工具　481

22.1.5　視頻　481

22.2　最後複習/學習的建議計畫　481

22.3　總結　483

第5部分　附錄　485

附錄A　“我已經知道了嗎？”測試題答案　487

附錄B　CCNA安全640-554(IINSv2)考試更新　493

術語表　495