思科網絡技術學院教程.網絡安全(第一,二學期)（簡體書）

思科網絡技術學院項目（Cisco Networking Academy Program）是Cisco公司在全球范圍推出的一個主要面向初級網絡工程技術人員的培訓項目。作為它的課程之一，本書介紹了如何在Cisco的網絡設備中實施IP網絡的安全。 本書包括兩個學期的課程內容。第一學期課程內容側重于網絡中的總體安全進程，并特別關注以下領域的實際操作技巧：安全策略設計和管理，安全技術、產品、解決方案，防火墻和安全路由器設計、安裝、配置、維護，使用路由器和防火墻實現AAA，在OSI模型的第二層和第三層保護網絡等。第二學期課程內容側重于安全策略設計和管理，安全技術、產品、解決方案，防火墻和安全路由器設計、安裝、配置、維護，使用路由器和防火墻實現入侵預防系統（IPS），使用路由器和防火墻實現虛擬專用網（VPN）等。 本書作為思科網絡技術學院網絡安全的指定教材，適合具備CCNA水平的讀者學習。另外，將要參加思科公司的CCSP認證考試的人員也可以把本書作為考試指南。

Antoon“Tony”W. Ruff目前在沃爾登大學攻讀基于信息系統的應用商務管理和決策學博士。Tony畢業于馬里蘭大學，獲得信息系統碩士學位，并獲得南伊利諾斯大學工業技術學士學位。Tony目前是技術校園所有ECPI學院的計算機和信息科學（CIS）副院長，講授Cisco學院CCNA、CCNP、網絡安全以及IP電話課程。在成為ECPI講師之前，他在美國空軍工作近30年，從事大量電子及計算機程序和項目工作。Tony現在與妻子居住在佛吉尼亞州的普庫森，他們已經在那里生活了33年。

第一學期
　第1章 弱點、威脅、攻擊
1.1 關鍵術語
1.2 網絡安全簡介
1.2.1 網絡安全需求
1.2.2 識別網絡安全的潛在風險
1.2.3 開放的與封閉的安全模型
1.2.4 網絡安全的發展趨勢
1.2.5 信息安全組織
1.3 弱點、威脅和攻擊介紹
1.3.1 弱點
1.3.2 威脅
1.3.3 攻擊
1.4 攻擊事例
1.4.1 偵查攻擊
1.4.2 訪問攻擊
1.4.3 拒絕服務(DoS)攻擊
1.4.4 假冒/IP欺騙攻擊
1.4.5 分布式拒絕服務攻擊
1.4.6 惡意代碼
1.5 弱點分析
1.5.1 政策定位
1.5.2 網絡分析
1.5.3 主機分析
1.5.4 分析工具
1.6 總結
1.7 檢查你的理解
　第2章 安全計劃與策略
2.1 關鍵術語
2.2 關于網絡安全及Cisco
2.2.1 安全輪(Security Wheel)
2.2.2 網絡安全策略
2.3 端點保護和管理
2.3.1 基于主機和服務器的安全組件和技術
2.3.2 PC管理
2.4 網絡保護和管理
2.4.1 基于網絡的安全組件和技術
2.4.2 網絡安全管理
2.5 安全體系
2.5.1 安全體系SAFE
2.5.2 Cisco自防衛網絡
2.5.3 保護連通性(secure connectivity)
2.5.4 威脅防范(Threat Defense)
2.5.5 Cisco集成安全
2.5.6 計劃、設計、實施、運行、優化模型(PDIOO、Plan、Design、Implement、Operate、Optimize) 2.6 基本的路由器安全
2.6.1 控制對網絡設備的訪問
2.6.2 使用SSH進行遠程配置
2.6.3 路由器口令
2.6.4 路由器優先級和賬戶
2.6.5 Cisco IOS網絡服務
2.6.6 路由、代理ARP、ICMP
2.6.7 路由協議認證和升級過濾
2.6.8 NTP、SNMP、路由器名、DNS
2.7 總結
2.8 檢查你的理解
　第3章 安全設備
3.1 可選設備
3.1.1 Cisco防火墻特性集
3.1.2 創建用戶的防火墻
3.1.3 PIX安全設備
3.1.4 自適應安全設備
3.1.5 Finesse操作系統
3.1.6 自適應安全算法
3.1.7 防火墻服務模塊
3.2 使用安全設備管理器
3.2.1 使用SDM啟動向導
3.2.2 SDM用戶界面
3.2.3 SDM向導
3.2.4 用SDM配置WAN
3.2.5 使用恢復出廠配置向導
3.2.6 監控模式
3.3 Cisco安全設備家族介紹
3.3.1 PIX501安全設備
3.3.2 PIX506E安全設備
3.3.3 PIX515E安全設備
3.3.4 PIX525安全設備
3.3.5 PIX535安全設備
3.3.6 自適應安全設備模塊
3.3.7 PIX安全設備許可證
3.3.8 PIX VPN 加密許可
3.3.9 安全上下文
3.3.10 PIX安全設備上下文許可證
3.3.11 ASA安全設備許可證
3.3.12 擴展PIX515E特性
3.3.13 擴展PIX525特性
3.3.14 擴展PIX535特性
3.3.15 擴展自適應安全設備家族的特性
3.4 開始配置PIX安全設備
3.4.1 配置PIX 安全設備
3.4.2 幫助命令
3.4.3 安全級別
3.4.4 基本PIX安全設備的配置命令
3.4.5 其他PIX安全設備的配置命令
3.4.6 檢查PIX安全設備的狀態
3.4.7 時間設置和NTP支持
3.4.8 日志(syslog)配置
3.5 安全設備的轉換和連接
3.5.1 傳輸協議
3.5.2 NAT
3.5.3 動態內部NAT
3.5.4 兩個接口的NAT
3.5.5 個接口的NAT
3.5.6 PAT
3.5.7 增加PAT的全局地址池
3.5.8 static命令
3.5.9 nat 0命令
3.5.10 連接和轉換
3.6 用自適應安全設備管理器管理PIX
3.6.1 ASDM運行需求
3.6.2 ASDM的準備
3.6.3 使用ASDM配置PIX安全設備
3.7 PIX安全設備的路由功能
3.7.1 虛擬LAN
3.7.2 靜態和RIP路由
3.7.3 OSPF
3.7.4 多播路由
3.8 防火墻服務模塊的運行
3.8.1 FWSM的運行要求
3.8.2 開始使用FWSM
3.8.3 校驗FWSM的安裝
3.8.4 配置FWSM的訪問列表
3.8.5 在FWSM上使用PDM
3.8.6 重置和重啟FWSM
3.9 總結
3.10 檢查你的理解
　第4章 信任和身份技術
4.1 關鍵術語
4.2 AAA
4.2.1 TACACS
4.2.2 RADIUS
4.2.3 TACACS+和RADIUS的比較
4.3 驗證技術
4.3.1 靜態口令
4.3.2 一次性口令
4.3.3 令牌卡
4.3.4 令牌卡和服務器方法
4.3.5 數字證書
4.3.6 生物測定學
4.4 基于身份網絡服務(IBNS)
4.5 有線的和無線的執行
4.6 網絡準入控制(NAC)
4.6.1 NAC組成
4.6.2 NAC階段
4.6.3 NAC運行
4.6.4 NAC廠商的參與
4.7 總結
4.8 檢查你的理解
　第5章 Cisco安全訪問控制服務器
5.1 關鍵術語
5.2 Cisco安全訪問控制服務器產品概述
5.2.1 驗證和用戶數據庫
5.2.2 Cisco安全ACS用戶數據庫
5.2.3 保持數據庫穩定
5.2.4 基于Windows的Cisco安全ACS體系架構
5.2.5 Cisco安全ACS如何驗證用戶
5.2.6 用戶可更改的口令
5.3 使用Cisco安全ACS配置TACACS+和RADIUS
5.3.1 安裝步驟
5.3.2 管理基于Windows的Cisco安全ACS
5.3.3 排錯
5.3.4 啟用TACACS+
5.4 檢驗TACACS+
5.4.1 失敗
5.4.2 通過
5.5 配置RADIUS
5.6 總結
5.7 檢查你的理解
　第6章 在三層配置信任和身份
6.1 關鍵術語
6.2 Cisco IOS防火墻認證代理
6.2.1 認證代理的運行
6.2.2 支持的AAA服務器
6.2.3 AAA服務器配置
6.2.4 AAA配置
6.2.5 允許AAA流量到路由器
6.2.6 認證代理配置
6.2.7 測試和驗證認證代理
6.3 介紹PIX安全器件AAA特性
6.3.1 PIX安全器件認證
6.3.2 PIX安全器件授權
6.3.3 PIX安全器件計費
6.3.4 AAA服務器支持
6.4 在PIX安全器件上配置AAA
6.4.1 PIX安全器件訪問認證
6.4.2 交互式用戶認證
6.4.3 本地用戶數據庫
6.4.4 認證提示和超時
6.4.5 直通代理認證
6.4.6 認證非Telnet、FTP、HTTP或HTTPS流量
6.4.7 隧道用戶認證
6.4.8 授權配置
6.4.9 可下載的ACL
6.4.10 計費配置
6.4.11 控制臺會話計費
6.4.12 命令計費
6.4.13 AAA配置故障處理
6.5 總結
6.6 檢查你的理解
　第7章 在二層配置信任和身份
7.1 關鍵術語
7.2 基于身份的網絡服務(IBNS)
7.2.1 特點及好處
7.2.2 IEEE 802.1x
7.2.3 選擇正確的EAP
7.2.4 Cisco LEAP
7.2.5 IBNS和Cisco安全ACS
7.2.6 部署ACS的考慮
7.2.7 Cisco安全ACS RADIUS配置
7.3 配置802.1x基于端口的認證
7.3.1 使能802.1x認證
7.3.2 配置交換機到RADIUS服務器的通信
7.3.3 使能周期性重認證
7.3.4 手工重認證連接到端口的客戶
7.3.5 使能多主機
7.3.6 將802.1x配置重設為默認值
7.3.7 查看802.1x統計信息和狀態
7.4 總結
7.5 檢查你的理解
　第8章 在路由器上配置過濾
8.1 關鍵術語
8.2 過濾和訪問列表
8.2.1 數據包過濾
8.2.2 狀態過濾
8.2.3 URL過濾
8.3 Cisco IOS防火墻基于上下文的訪問控制
8.3.1 CBAC數據包
8.3.2 Cisco IOS ACL
8.3.3 CBAC如何運行
8.3.4 CBAC所支持的協議
8.4 配置Cisco IOS防火墻基于上下文的訪問控制
8.4.1 CBAC配置任務
8.4.2 準備CBAC
8.4.3 設置審計跟蹤和警告
8.4.4 設置全局超時時間
8.4.5 設置全局閾值
8.4.6 主機限制的半開連接
8.4.7 系統定義的端口與應用映射
8.4.8 用戶定義的PAM
8.4.9 設定應用的檢測規則
8.4.10 為IP分片定義檢測規則
8.4.11 定義ICMP檢測規則
8.4.12 將檢測規則和ACL應用于接口
8.5 測試與校驗CBAC
用SDM配置Cisco IOS防火墻
8.6 總結
8.7 檢查你的理解
　第9章 在PIX安全器件上配置過濾
9.1 關鍵術語
9.2 配置ACL和內容過濾
9.2.1 PIX安全器件ACL
9.2.2 配置ACL
9.2.3 ACL行號
9.2.4 icmp命令
9.2.5 nat 0 ACL
9.2.6 Turbo ACL
9.2.7 使用ACL
9.2.8 惡意代碼過濾
9.2.9 URL過濾
9.3 對象分組
9.3.1 開始使用對象分組
9.3.2 配置對象分組
9.3.3 嵌套對象分組
9.3.4 管理對象分組
9.4 配置安全器件模塊策略
9.4.1 配置一個類映射
9.4.2 配置一個策略映射
9.4.3 配置一個服務策略
9.5 配置高級協議檢查
9.5.1 默認流量檢查和端口號
9.5.2 FTP檢查
9.5.3 FTP深度報文檢查
9.5.4 HTTP檢查
9.5.5 協議應用程序檢查
9.5.6 多媒體支持
9.5.7 實時流協議(Real-Time Streaming Protocol，RSTP)
9.5.8 支持IP電話所需要的協議
9.5.9 DNS檢查
9.6 總結
9.7 檢查你的理解
　第10章 在交換機上配置過濾
10.1 關鍵術語
10.2 二層攻擊簡介
10.3 MAC地址、ARP和DHCP攻擊
10.3.1 減少CAM表過載攻擊
10.3.2 MAC欺騙：中間人攻擊
10.3.3 ARP欺騙
10.4 DHCP偵聽(DHCP Snooping)
10.4.1 動態ARP檢測
10.4.2 DHCP耗盡攻擊(DHCP Starvation Attacks)
10.5 VLAN攻擊
10.5.1 VLAN跳躍攻擊
10.5.2 私用VLAN攻擊
10.5.3 私用VLAN防御
10.6 生成樹協議攻擊
10.7 總結
10.8 檢查你的理解
第二學期
　第1章 入侵檢測和防御技術
1.1 關鍵術語
1.2 入侵檢測和防御介紹
1.2.1 基于網絡與基于主機
1.2.2 警報的類型
1.3 檢測引擎
1.3.1 基于簽名的探測
1.3.2 簽名的類型
1.3.3 基于異常狀態檢測
1.4 Cisco的IDS和IPS設備
1.4.1 Cisco集成的解決方案
1.4.2 Cisco IPS 4200系列探測器
1.5 總結
1.6 檢查你的理解
　第2章 配置網絡入侵檢測和入侵防護
2.1 關鍵術語
2.2 Cisco IOS入侵防護系統(IPS)
2.2.1 Cisco IOS入侵防護系統的起源
2.2.2 路由器的性能
2.2.3 Cisco IOS入侵防護系統特征庫
2.2.4 配置Cisco IOS入侵防護系統的過程
2.3 在PIX安全設備上啟用攻擊防護功能(attack guards)
2.3.1 Mail Guard
2.3.2 DNS Guard
2.3.3 FragGuard和虛擬重組(Virtual Reassembly)
2.3.4 AAA泛洪防護
2.3.5 SYN泛洪保護
2.3.6 TCP intercept
2.3.7 SYN Cookies
2.3.8 連接限制
2.4 在PIX安全設備上配置入侵防護
2.4.1 入侵檢測和PIX安全設備
2.4.2 配置入侵防護
2.4.3 配置IDS策略
2.5 在PIX安全設備上配置阻斷(shunning)
2.6 總結
2.7 檢查你的理解
　第3章 加密與VPN技術
3.1 關鍵術語
3.2 加密的基本方法
3.2.1 對稱加密
3.2.2 不對稱加密
3.2.3 Diffie-Hellman
3.3 完整性要素
3.3.1 散列
3.3.2 散列方法認證碼HMAC
3.3.3 數字簽名和證書
3.4 實現數字證書
3.4.1 認證中心支持
3.4.2 簡單證書注冊協議SCEP
3.4.3 CA服務器
3.4.4 使用CA注冊一臺設備
3.5 VPN拓撲
3.5.1 站點到站點VPN
3.5.2 遠程訪問VPN
3.6 VPN技術
3.6.1 WebVPN
3.6.2 隧道協議
3.6.3 隧道接口
3.6.4 IPSec
3.6.5 認證頭AH
3.6.6 封裝安全載荷ESP
3.6.7 隧道和傳輸模式
3.6.8 安全關聯
3.6.9 IPSec的5個步驟
3.6.10 因特網密鑰交換IKE
3.6.11 IKE和IPSec
3.6.12 Cisco VPN解決方案
3.7 總結
3.8 檢查你的理解
　第4章 使用預共享密鑰配置站點到站點VPN
4.1 關鍵術語
4.2 使用預共享密鑰的IPSec加密
4.2.1 規劃IKE和IPSec策略
4.2.2 步驟1：確定ISAKMP(IKE階段1)策略
4.2.3 步驟2：定義IPSec(IKE階段2)策略
4.2.4 步驟3：檢查當前配置
4.2.5 步驟4：確保網絡在沒有加密時也能工作
4.2.6 步驟5：確認ACL允許IPSec
4.3 使用預共享密鑰在路由器上配置IKE
4.3.1 步驟1：啟用或禁止IKE
4.3.2 步驟2：創建IKE策略
4.3.3 步驟3：配置預共享密鑰
4.3.4 步驟4：驗證IKE配置
4.4 使用預共享密鑰為路由器配置IPSec
4.4.1 步驟1：配置變換集
4.4.2 步驟2：確定IPSec(IKE階段2)策略
4.4.3 步驟3：創建加密ACL
4.4.4 步驟4：創建加密圖
4.4.5 步驟5：將加密圖應用到接口
4.5 測試和驗證路由器的IPSec配置
4.5.1 查看配置的ISAKMP策略
4.5.2 顯示配置的變換集
4.5.3 顯示IPSec SA的當前狀態
4.5.4 顯示配置的加密圖
4.5.5 打開IPSec事件的調試輸出
4.5.6 打開ISAKMP事件的調試輸出
4.5.7 使用SDM配置一個VPN
4.6 使用預共享密鑰配置一個PIX安全器件站點到站點VPN
4.6.1 任務1：準備配置VPN支持
4.6.2 任務2：配置IKE參數
4.6.3 任務3：配置IPSec參數
4.6.4 任務4：測試和驗證IPSec配置
4.7 總結
4.8 檢查你的理解
　第5章 使用數字證書配置站點到站點VPN
5.1 關鍵術語
5.2 在路由器上配置CA支持
5.2.1 步驟1：管理NVRAM
5.2.2 步驟2：設置路由器的時間和日期
5.2.3 步驟3：在路由器主機表中加入CA服務器條目
5.2.4 步驟4：生成RSA密鑰對
5.2.5 步驟5：聲明一個CA
5.2.6 步驟6：認證CA
5.2.7 步驟7：為路由器申請一個證書
5.2.8 步驟8：保存配置
5.2.9 步驟9：監視和維護CA互操作性
5.2.10 步驟10：驗證CA支持配置
5.3 使用數字證書配置Cisco IOS路由器站點到站點VPN
5.3.1 任務1：準備IKE和IPSec
5.3.2 任務2：配置CA支持
5.3.3 任務3：配置IKE
5.3.4 任務4：配置IPSec
5.3.5 任務5：測試和驗證IPSec
5.4 使用數字證書配置PIX安全設備站點到站點VPN
5.5 總結
5.6 檢查你的理解
　第6章 配置遠程訪問VPN
6.1 關鍵術語
6.2 Cisco Easy VPN介紹
6.2.1 Easy VPN服務器概覽
6.2.2 Cisco Easy VPN Remote概覽
6.2.3 Cisco Easy VPN如何工作
6.3 Cisco Easy VPN服務器配置任務
6.3.1 任務1：創建一個IP地址池
6.3.2 任務2：配置組策略查找
6.3.3 任務3：為遠程VPN客戶訪問創建ISAKMP策略
6.3.4 任務4：為模式配置推送定義一個組策略
6.3.5 任務5：創建一個變換集
6.3.6 任務6：創建一個帶RRI的加密圖
6.3.7 任務7：將模式配置應用到動態加密圖
6.3.8 任務8：將動態加密圖應用到路由器接口上
6.3.9 任務9：使能IKE失效對等體檢測
6.3.10 任務10：(可選)配置XAUTH
6.3.11 任務11：(可選)啟用XAUTH保存口令特性
6.4 Cisco Easy VPN客戶端4.x配置任務
6.4.1 任務1：在遠程用戶的PC上安裝Cisco VPN客戶端4.x
6.4.2 任務2：創建一個新的客戶端連接條目
6.4.3 任務3：選擇一個認證方法
6.4.4 任務4：配置透明隧道
6.4.5 任務5：啟用并增加備份服務器
6.4.6 任務6：通過撥號網絡配置一條到因特網的連接
6.5 為接入路由器配置Cisco Easy VPN Remote
6.5.1 Easy VPN Remote操作模式
6.5.2 接入路由器的Cisco Easy VPN Remote配置任務
6.6 配置PIX安全器件作為Easy VPN服務器
6.6.1 任務1：為遠程VPN客戶端訪問創建一個ISAKMP策略
6.6.2 任務2：創建一個IP地址池
6.6.3 任務3：為模式配置推送定義一個組策略
6.6.4 任務4：創建一個變換集
6.6.5 任務5至任務7：動態加密圖
6.6.6 任務8：配置XAUTH
6.6.7 任務9：配置NAT和NAT 0
6.6.8 任務10：啟用IKE DPD
6.7 配置PIX 501或506E作為Easy VPN客戶端
6.7.1 PIX安全器件Easy VPN Remote特性概覽
6.7.2 Easy VPN Remote配置
6.7.3 Easy VPN客戶端模式以及啟用Easy VPN Remote客戶端
6.7.4 Easy VPN Remote認證
6.8 配置適應性安全器件支持WebVPN
6.8.1 WebVPN最終用戶接口
6.8.2 配置WebVPN常用參數
6.8.3 配置WebVPN服務器和URL
6.8.4 配置WebVPN端口轉發
6.8.5 配置WebVPN E-mail代理
6.8.6 配置WebVPN內容過濾器和ACL
6.9 總結
6.10 檢查你的理解
　第7章 安全網絡體系和管理
7.1 關鍵術語
7.2 影響二層消除技術的因素
7.2.1 單安全區域、單用戶組、單物理交換機
7.2.2 單安全區域、單用戶組、多物理交換機
7.2.3 單安全區域、多用戶組、單物理交換機
7.2.4 單安全區域、多用戶組、多物理交換機
7.2.5 多安全區域、單用戶組、單物理交換機
7.2.6 多安全區域、單用戶組、多物理交換機
7.2.7 多安全區域、多用戶組、單物理交換機
7.2.8 多安全區域、多用戶組、多物理交換機
7.2.9 二層安全最佳實踐
7.3 SDM安全審計
7.4 路由器管理中心
7.4.1 Hub-and-Spoke拓撲
7.4.2 VPN設置和策略
7.4.3 設備層級和繼承
7.4.4 活動
7.4.5 工作
7.4.6 構建塊
7.4.7 支持的隧道技術
7.4.8 安裝Router MC
7.4.9 開始使用Router MC
7.4.10 Router MC界面
7.4.11 Router MC標簽
7.4.12 基本工作流和任務
7.5 簡單網絡管理協議SNMP
7.5.1 SNMP介紹
7.5.2 SNMP安全
7.5.3 SNMP版本3(SNMPv3)
7.5.4 SNMP管理應用程序
7.5.5 在Cisco IOS路由器上配置SNMP支持
7.5.6 在PIX安全器件上配置SNMP支持
7.6 總結
7.7 檢查你的理解
　第8章 PIX安全器件上下文、故障倒換和管理
8.1 關鍵術語
8.2 配置PIX安全器件在多上下文模式中運行
8.2.1 啟用多上下文模式
8.2.2 配置安全上下文
8.2.3 管理安全上下文
8.3 配置PIX安全器件故障倒換
8.3.1 理解故障倒換
8.3.2 故障倒換的要求
8.3.3 基于串行電纜的故障倒換配置
8.3.4 基于LAN的活躍/備用故障倒換配置
8.3.5 活躍/活躍故障倒換
8.3.6 配置透明防火墻模式
8.3.7 透明防火墻模式概覽
8.3.8 啟用透明防火墻模式
8.3.9 監控和維護透明防火墻
8.4 PIX安全器件管理
8.4.1 管理Telnet訪問
8.4.2 管理SSH訪問
8.4.3 命令授權
8.4.4 PIX安全器件口令恢復
8.4.5 適應性安全器件口令恢復
8.4.6 文件管理
8.4.7 映像升級和認證密鑰
8.5 總結
8.6 檢查你的理解
附錄A “檢查你的理解”部分的答案
術語表