网络安全技术与解决方案PDF电子书下载

第1部分 边界安全 3

第1章 网络安全概述 3

1.1网络安全的基本问题 3

1.2安全范例的变化 5

1.3安全准则——CIA模型 5

1.3.1机密性 5

1.3.2完整性 6

1.3.3可用性 6

1.4策略、标准、规程、基线、准则 6

1.4.1安全策略 6

1.4.2标准 7

1.4.3规程 8

1.4.4基线 8

1.4.5准则 8

1.5安全模型 9

1.6边界安全 9

1.6.1是否存在边界安全 9

1.6.2定义边界的难点 10

1.6.3可靠的边界安全解决方案 10

1.7各层的安全 10

1.7.1多层边界解决方案 10

1.7.2多米诺效应 11

1.8安全轮 12

1.9小结 13

第2章 访问控制 15

2.1利用ACL的流量过滤 15

2.1.1 ACL概述 15

2.1.2 ACL应用 15

2.1.3何时配置ACL 16

2.2 IP地址概述 17

2.2.1 IP地址分类 17

2.2.2理解IP地址分类 17

2.2.3专用IP地址（RFC 1918） 19

2.3子网掩码与反掩码概述 20

2.3.1子网掩码 20

2.3.2反掩码 20

2.4 ACL配置 21

2.4.1创建ACL 21

2.4.2为ACL分配唯一名称或数值 21

2.4.3将ACL应用于接口 22

2.4.4 ACL的方向 23

2.5理解ACL的处理 23

2.5.1入站ACL 23

2.5.2出站ACL 24

2.5.3多种分组类型的分组流规则 25

2.5.4实施ACL准则 26

2.6访问列表类型 26

2.6.1标准ACL 26

2.6.2扩展ACL 27

2.6.3 IP命名ACL 28

2.6.4锁与密钥（动态ACL） 29

2.6.5自反ACL 30

2.6.6既定ACL 31

2.6.7使用时间范围的定时ACL 32

2.6.8分布式定时ACL 33

2.6.9配置分布式定时ACL 33

2.6.10 TurboACL 33

2.6.11接收ACL（rACL） 34

2.6.12基础设施保护ACL（iACL） 34

2.6.13传输ACL 34

2.6.14分类ACL 35

2.6.15利用ACL调试流量 35

2.7小结 36

2.8参考 36

第3章 设备安全 39

3.1设备安全策略 39

3.2增强设备安全 40

3.2.1物理安全 40

3.2.2密码 41

3.2.3用户账号 44

3.2.4优先权等级 45

3.2.5基础ACL 45

3.2.6交互访问模式 45

3.2.7旗标消息 48

3.2.8 Cisco IOS弹性配置 49

3.2.9 Cisco设备发现协议（CDP） 49

3.2.10 TCP／UDP小型服务器 50

3.2.11查找器 50

3.2.12识别协议（auth） 50

3.2.13 DHCP和BOOTP服务 51

3.2.14简单文件传输协议（TFTP）服务 51

3.2.15文件传输协议（FTP）服务 51

3.2.16半自动设备配置 51

3.2.17 PAD 51

3.2.18 IP源路由选择 52

3.2.19代理ARP（Proxy ARP） 52

3.2.20无偿ARP 52

3.2.21 IP直播 53

3.2.22 IP掩码应答 53

3.2.23 IP重定向 53

3.2.24 ICMP不可达 53

3.2.25 HTTP 54

3.2.26网络时间协议（NTP） 54

3.2.27简单网络管理协议（SNMP） 54

3.2.28 Auto-Secure特性 55

3.3安全设备的安全管理访问 55

3.3.1设备访问安全——PIX500和ASA5500安全设备 55

3.3.2 IPS4200系列传感器（前身为IDS4200） 57

3.4设备安全清单 58

3.5小结 59

3.6参考 59

第4章 交换机的安全特性 61

4.1保护第2层 61

4.2端口级流量控制 62

4.2.1风暴控制 62

4.2.2受保护的端口（PVLAN边缘） 62

4.3专用VLAN （PVLAN） 63

4.3.1配置PVLAN 65

4.3.2端口阻塞 66

4.3.3端口安全 67

4.4交换机的访问列表 68

4.4.1路由器ACL 69

4.4.2端口ACL 69

4.4.3 VLAN ACL（VACL） 69

4.4.4 MAC ACL 71

4.5生成树协议的特性 72

4.5.1 BPDU保护 72

4.5.2根保护 72

4.5.3以太网信道保护 73

4.5.4环路保护 73

4.6监测DHCP 73

4.7 IP源保护 75

4.8动态ARP检测（DAI） 75

4.8.1 DHCP环境下的DAI 76

4.8.2非DHCP环境下的DAI 77

4.8.3限制ARP包的进入速率 77

4.8.4 ARP确认检查 78

4.9 Catalyst高端交换机的高级集成安全特性 78

4.10控制层管制（CopP）特性 78

4.11 CPU速率限制器 79

4.12第2层安全的最佳实践 80

4.13小结 80

4.14参考 80

第5章 Cisco IOS防火墙 83

5.1基于路由器的防火墙解决方案 83

5.2 CBAC的功能 85

5.2.1流量过滤 85

5.2.2流量检测 85

5.2.3报警和审计跟踪 86

5.3 CBAC工作原理 86

5.3.1分组检测 87

5.3.2超时值和阈值 87

5.3.3会话状态 87

5.3.4 UDP连接 87

5.3.5动态ACL条目 88

5.3.6未完成（半开）会话 88

5.3.7 Per-host DoS预防 89

5.4支持CBAC的协议 89

5.5配置CBAC 89

5.5.1步骤1——选择一个接口：内部或外部 90

5.5.2步骤2——配置IP访问列表 90

5.5.3步骤3——定义检测规则 90

5.5.4步骤4——配置全局超时值和阈值 91

5.5.5步骤5——将访问列表和监测规则应用到接口 91

5.5.6步骤6——验证和监控CBAC 92

5.5.7整理思路 92

5.6 IOS防火墙高级特性 93

5.6.1 HTTP检测引擎 93

5.6.2 E-mail检测引擎 93

5.6.3防火墙ACL旁路 94

5.6.4透明IOS防火墙（第2层） 95

5.6.5虚拟碎片重组（VFR） 95

5.6.6 VRF-aware IOS防火墙 95

5.6.7路由器产生的流量检测 96

5.7区域式策略防火墙（ZFW） 96

5.7.1区域式策略概述 97

5.7.2安全区域 97

5.7.3配置区域式策略防火墙 98

5.7.4利用Cisco策略语言（CPL）配置ZFW 98

5.7.5应用检测和控制（AIC） 100

5.8小结 100

5.9参考 100

第6章 Cisco防火墙：设备和模块 103

6.1防火墙概述 103

6.2硬件与软件防火墙 104

6.3 Cisco PIX 500系列安全设备 104

6.4 Cisco ASA 5500系列自适应安全设备 105

6.5 Cisco防火墙服务模块（FWSM） 106

6.6 PIX 500和ASA 5500防火墙设备软件 107

6.7防火墙设备操作系统软件 107

6.8防火墙模式 108

6.8.1路由防火墙模式 108

6.8.2透明防火墙模式（隐藏的防火墙） 108

6.9全状态监测 109

6.10应用层协议检测 110

6.11自适应安全算法原理 111

6.12安全环境 112

6.12.1多环境——路由模式（资源共享） 113

6.12.2多环境——透明模式 113

6.12.3配置安全环境 115

6.13安全级别 116

6.14冗余接口 117

6.15 IP路由选择 117

6.15.1静态和默认路由 118

6.15.2开放式最短路径优先（OSPF） 120

6.15.3路由选择信息协议（RIP） 123

6.15.4增强型内部网关路由选择协议（EIGRP） 124

6.16网络地址转换（NAT） 125

6.16.1 NAI控制 125

6.16.2 NAT的类型 127

6.16.3 NAT控制激活时绕过NAT 131

6.16.4策略NAT 134

6.16.5 NAT处理的顺序 135

6.17控制流量和网络访问 135

6.17.1 ACL概述和在安全设备中的应用 136

6.17.2通过使用访问列表的安全设备控制入站和出站的流量 136

6.17.3利用对象组简化访问列表 137

6.18模块式策略架构（MPF） 139

6.19 Cisco任意连接VPN客户端 141

6.20冗余和负载均衡 141

6.20.1故障恢复要求 142

6.20.2故障恢复链路 142

6.20.3状态链路 142

6.20.4故障恢复的部署 143

6.20.5非对称路由选择支持（ASR） 144

6.21防火墙服务模块（FWSM）的“模块化”软件 145

6.22防火墙模块的操作系统软件 146

6.23通过防火墙模块的网络流量 146

6.24部署路由器／MSFC 147

6.24.1单环境模式 147

6.24.2多环境模式 148

6.25配置FWSM 148

6.26小结 149

6.27参考 150

第7章 攻击向量和缓解技术 153

7.1漏洞、威胁和漏洞利用 153

7.1.1攻击类型 154

7.1.2攻击向量 154

7.1.3攻击者类型 155

7.1.4风险评估 156

7.2第3层缓解技术 156

7.2.1流量表征 156

7.2.2 IP源追踪器 161

7.2.3 IP欺骗攻击 162

7.2.4分组分类和标记技术 165

7.2.5允许访问速率（CAR） 165

7.2.6模块式QoS CLI（MQC） 167

7.2.7流量管制 168

7.2.8基于网络的应用程序识别（NBAR） 169

7.2.9 TCP拦截 170

7.2.10基于策略的路由选择（PBR） 172

7.2.11单播反向路径转发（uRPF） 173

7.2.12 NetFlow 175

7.3第2层防范技术 177

7.3.1 CAM表溢出——MAC攻击 178

7.3.2 MAC欺骗攻击 178

7.3.3 ARP欺骗攻击 179

7.3.4 VTP攻击 180

7.3.5 VLAN 跳跃攻击 181

7.3.6 PVLAN攻击 182

7.3.7生成树攻击 185

7.3.8 DHCP欺骗和耗尽攻击 185

7.3.9 802.1x攻击 186

7.4安全事件应急响应框架 187

7.4.1什么是安全事件 187

7.4.2安全事件应急响应处理 188

7.4.3安全事件的应急响应方法 189

7.5小结 191

7.6参考 191

第2部分 身份安全和访问管理 195

第8章 安全访问管理 195

8.1 AAA安全服务 195

8.1.1 AAA范例 196

8.1.2 AAA的相关性 197

8.2验证协议 197

8.2.1 RADIUS 197

8.2.2 TACACS+ 200

8.2.3 RADIUS和TACACS+的比较 202

8.3实现AAA 203

8.3.1 AAA方法 203

8.3.2 AAA功能的服务类型 205

8.4配置实例 207

8.4.1 利用RADIUS进行PPP验证、授权和统计 207

8.4.2利用TACACS+进行登录验证、命令授权和统计 207

8.4.3带密码重试锁定的登录验证 208

8.5小结 209

8.6参考 209

第9章 Cisco安全ACS软件和设备 211

9.1 Windows环境下的Cisco安全ACS软件 211

9.1.1 AAA服务器：Cisco安全ACS 212

9.1.2遵循的协议 213

9.2 ACS高级功能和特性 214

9.2.1共享型配置文件组件（SPC） 214

9.2.2可下载的IP ACL 214

9.2.3网络访问过滤器 215

9.2.4 RADIUS授权组件 215

9.2.5 Shell命令授权集 215

9.2.6网络访问限制 216

9.2.7设备访问限制 216

9.2.8网络访问配置文件 216

9.2.9 Cisco NAC支持 217

9.3配置ACS 217

9.4 Cisco安全ACS设备 225

9.5小结 226

9.6参考 226

第10章 多因素验证 229

10.1识别和验证 229

10.2双因素验证系统 230

10.2.1 OTP 230

10.2.2 S／KEY 230

10.2.3利用OTP解决方案对抗重放攻击 231

10.2.4双因素验证系统的属性 231

10.3支持双因素验证系统的Cisco Secure ACS 232

10.3.1 Cisco Secure ACS工作原理 233

10.3.2为启用了RADIUS的令牌服务器配置Cisco Secure ACS 233

10.3.3为RSA SecurID令牌服务器配置Cisco SecureACS 237

10.4小结 237

10.5参考 238

第11章第2层访问控制 241

11.1信任与身份管理解决方案 242

11.2基于身份的网络服务（IBNS） 243

11.2.1 Cisco安全ACS 244

11.2.2外部数据库支持 244

11.3 IEEE 802.1x 244

11.3.1 IEEE 802.1x组件 245

11.3.2端口状态：授权与非授权 246

11.3.3 EAP方法 247

11.4部署802.1 x的解决方案 248

11.4.1有线局域网（点对点） 248

11.4.2无线局域网（多点） 248

11.5实现基于802.1 x端口的验证 249

11.5.1在运行Cisco IOS软件的Cisco Catelyst交换机上配置802.1 x和RADIUS 250

11.5.2为在交换机上终止的不遵从访问点启用多用户 250

11.5.3 RADIUS授权 251

11.5.4在Csico Arionet无线局域网访问节点上运行CiscoIOS软件配置802.1 x和RADIUS 254

11.5.5 Windows XP客户端上的申请者IEEE 802.1 x设置 254

11.6小结 255

11.7参考 255

第12章 无线局域网（WLAN）的安全 257

12.1无线局域网（WLAN） 257

12.1.1无线电波 257

12.1.2 IEEE协议标准 258

12.1.3通信方法——无线电频率（RF） 258

12.1.4 WLAN组件 259

12.2 WLAN安全 260

12.2.1服务器设置识别（SSID） 260

12.2.2 MAC验证 261

12.2.3客户端验证（开放和共享的密钥） 261

12.2.4静态有线对等加密（WEP） 261

12.2.5 WPA、 WPA2和802.11 i（改进的WEP） 262

12.2.6 IEEE 802.1x和EAP 263

12.2.7 WLAN NAC 271

12.2.8 WLAN IPS 271

12.2.9 VPN IPSec 271

12.3缓解WLAN攻击 272

12.4 Cisco统一无线网络解决方案 272

12.5小结 273

12.6参考 274

第13章 网络准入控制（NAC） 277

13.1创建自防御网络（SDN） 278

13.2网络准入控制（NAC） 278

13.2.1为什么需要NAC 278

13.2.2 Cisco NAC 279

13.2.3 NAC应用与NAC框架比较 280

13.3 Cisco NAC设备解决方案 281

13.3.1 Cisco NAC设备机制 281

13.3.2 NAC设备组件 281

13.3.3 NAC应用部署方案 282

13.4 Cisco NAC框架解决方案 284

13.4.1 Cisco NAC框架解决方案机制 284

13.4.2 Cisco NAC框架组件 287

13.4.3 Cisco NAC框架部署方案 290

13.4.4 Cisco NAC框架实施方法 290

13.5小结 298

13.6参考 299

第3部分 数据保密 303

第14章 密码学 303

14.1安全通信 303

14.1.1密码系统 303

14.1.2密码学概述 304

14.1.3密码术语 304

14.1.4密码算法 305

14.2虚拟专用网（VPN） 312

14.3小结 313

14.4参考 313

第15章 IPSec VPN 315

15.1虚拟专用网（VPN） 315

15.1.1 VPN技术的类型 315

15.1.2 VPN部署的类型 317

15.2 IPSec VPN（安全VPN） 317

15.2.1 IPSec请求评论（RFC） 317

15.2.2 IPSec模式 320

15.2.3 IPSec协议头 322

15.2.4 IPSec反重放服务 323

15.2.5 ISAKMP和IKE 323

15.2.6 ISAKMP文件 328

15.2.7 IPSec文件 329

15.2.8 IPSec虚拟隧道接口（IPSec VTI） 329

15.3公钥基础结构（PKI） 331

15.3.1 PKI组成 331

15.3.2证书注册 332

15.4实现IPSec VPN 333

15.4.1 Cisco IPSec VPN实现 334

15.4.2站点到站点IPSec VPN 334

15.4.3远程访问IPSec VPN 338

15.5小结 345

15.6参考 346

第16章 动态多点VPN 349

16.1 DMVPN解决方案的结构 349

16.1.1 DMVPN网络设计 350

16.1.2 DMVPN解决方案的组成 350

16.1.3 DMVPN工作原理 352

16.1.4 DMVPN数据结构 353

16.2 DMVPN部署的拓扑结构 354

16.3实现DMVPN中心到节点结构 354

16.3.1实现单中心单DMVPN（SHSD）的拓扑结构 355

16.3.2实现双中心双DMVPN（DHDD）的拓扑结构 360

16.3.3实现SLB的拓扑结构 360

16.4实现动态网格的节点到节点的DMVPN结构 362

16.4.1实现双中心单DMVPN的拓扑结构 362

16.4.2实现多中心单DMVPN的拓扑结构 371

16.4.3实施分层（基于树型）的拓扑结构 372

16.5小结 373

16.6参考 373

第17章 群组加密传输VPN 375

17.1 GET VPN解决方案体系结构 375

17.1.1 GET VPN特性 376

17.1.2为什么需要GET VPN 376

17.1.3 GET VPN和DMVPN 377

17.1.4何时部署GET VPN 378

17.1.5 GET VPN解决方案组成 378

17.1.6 GET VPN工作原理 379

17.1.7 IP报头保护 381

17.1.8群组成员的ACL 381

17.2实现Cisco IOS GET VPN 382

17.3小结 387

17.4参考 387

第18章 安全套接字层VPN（SSL VPN） 389

18.1安全套接字层协议 389

18.2 SSL VPN解决方案的体系结构 390

18.2.1 SSL VPN概述 390

18.2.2 SSL VPN特性 391

18.2.3 SSL VPN部署考虑事项 392

18.2.4 SSL VPN访问方法 392

18.2.5 SSL VPN Citrix支持 393

18.3实现Cisco IOS SSL VPN 394

18.4 Cisco AnyConnect VPN客户端 396

18.5小结 396

18.6参考 397

第19章 多协议标签交换VPN （MPLS VPN） 399

19.1多协议标签交换 399

19.1.1 MPLS体系结构概述 400

19.1.2 MPLS工作原理 401

19.1.3 MPLS VPN和IPSec VPN 402

19.1.4部署方案 402

19.1.5面向连接和无连接的VPN技术 403

19.2 MPLS VPN（可信VPN） 404

19.3第3层VPN （L3VPN）和第2层VPN （L2VPN）的比较 405

19.4 L3VPN 406

19.4.1 L3VPN的组成 406

19.4.2 L3VPN的工作原理 406

19.4.3 VRF表的工作原理 406

19.5实现L3VPN 407

19.6 L2VPN 412

19.7实现L2VPN 414

19.7.1利用基于VPWS的体系结构在MPLS服务中实现以太网VLAN 414

19.7.2利用基于VPLS的体系结构在MPLS服务中实现以太网VLAN 414

19.8小结 416

19.9参考 416

第4部分 安全监控 421

第20章 网络入侵防御 421

20.1入侵系统专业术语 421

20.2网络入侵保护概述 422

20.3 Cisco IPS 4200系列传感器 422

20.4 Cisco IDS服务模块（IDSM-2） 424

20.5 Cisco增强型检测和防御安全服务系统模块（AIP-SSM） 425

20.6 Cisco IPS增强型集成模块（IPS-AIM） 426

20.7 Cisco IOS IPS 426

20.8部署IPS 427

20.9 Cisco IPS传感器操作软件 428

20.10 Cisco IPS传感器软件 429

20.10.1传感器软件——系统构架 429

20.10.2传感器软件——通信协议 430

20.10.3传感器软件——用户角色 431

20.10.4传感器软件——分区 432

20.10.5传感器软件——特征库和特征引擎 432

20.10.6传感器软件——IPS事件 433

20.10.7传感器软件——IPS事件动作 434

20.10.8传感器软件——风险等级（RR） 435

20.10.9传感器软件——IPS威胁等级 436

20.10.10传感器软件——IPS接口 436

20.10.11传感器软件——IPS接口模式 439

20.10.12传感器软件——IPS阻塞（回避） 441

20.10.13传感器软件——IPS速率限制 442

20.10.14传感器软件——IPS虚拟化 442

20.10.15传感器软件——IPS安全策略 443

20.10.16传感器软件——IPS异常检测（AD） 443

20.11 IPS高可靠性 444

20.11.1 IPS应急开放机制 445

20.11.2故障转移机制 445

20.11.3应急开放和故障转移的部署 445

20.11.4负载均衡技术 446

20.12 IPS设备部署准则 446

20.13 Cisco入侵保护系统设备管理器（IDM） 446

20.14配置IPS内部VLAN对模式 447

20.15 配置IPS内部接口对模式 449

20.16配置定制特征和IPS阻塞 452

20.17小结 454

20.18参考 454

第21章 主机入侵保护 457

21.1利用非特征机制保护终端节点 457

21.2 Cisco安全代理（CSA） 458

21.3 CSA体系结构 459

21.3.1 CSA拦截和相关性 459

21.3.2 CSA扩展全局相关性 460

21.3.3 CSA访问控制过程 461

21.3.4 CSA深度防御——零天保护 461

21.4 CSA功能和安全角色 461

21.5 CSA部件 463

21.6利用CSA MC配置并管理CSA部署 463

21.6.1管理CSA主机 464

21.6.2管理CSA代理工具箱 466

21.6.3管理CSA群组 468

21.6.4 CSA代理用户界面 470

21.6.5 CSA策略、规则模块和规则 472

21.7小结 472

21.8参考 473

第22章 异常检测和缓解 475

22.1攻击范围 475

22.1.1拒绝服务攻击（DoS）定义 475

22.1.2分布式拒绝服务（DDoS）攻击——如何定义 476

22.2异常检测和缓解系统 477

22.3 Cisco DDoS异常检测和缓解解决方案 478

22.4 Cisco流量异常检测器 479

22.5 Cisco Guard DDoS缓解 481

22.6整体运行 482

22.7配置和管理Cisco流量异常检测器 485

22.7.1管理检测器 486

22.7.2通过CLI控制台访问初始化检测器 486

22.7.3配置检测器（区域、过滤器、策略和学习过程） 487

22.8配置和管理Cisco Guard缓解 489

22.8.1管理Guard 490

22.8.2利用CLI控制台访问并初始化Guard 490

22.8.3配置Guard（区域、过滤器、策略和学习过程） 491

22.9小结 494

22.10参考 494

第23章 安全监控和相关性 497

23.1安全信息和事件管理 497

23.2 Cisco安全监控、分析和响应系统（CS-MARS） 498

23.2.1安全威胁防御（STM）系统 499

23.2.2拓扑结构感知和网络映射 500

23.2.3关键概念——事件、会话、规则和事故 501

23.2.4 CS-MARS事件处理 502

23.2.5 CS-MARS中的误报 503

23.3部署CS-MARS 504

23.3.1独立和本地控制器（LC） 505

23.3.2全局控制器（GC） 506

23.3.3软件版本化信息 507

23.3.4报告和防御设备 508

23.3.5运行级别 509

23.3.6流量和已开启窗口 509

23.3.7基于Web的管理界面 510

23.3.8初始化CS-MARS 511

23.4小结 512

23.5参考 513

第5部分 安全管理 517

第24章 安全和策略管理 517

24.1 Cisco安全管理解决方案 517

24.2 Cisco安全管理器 518

24.2.1 Cisco安全管理器——特征和性能 518

24.2.2 Cisco安全管理器——防火墙管理 519

24.2.3 Cisco安全管理器——VPN管理 521

24.2.4 Cisco安全管理器——IPS管理 521

24.2.5 Cisco安全管理器——平台管理 522

24.2.6 Cisco安全管理器——体系结构 523

24.2.7 Cisco安全管理器——配置视图 523

24.2.8 Cisco安全管理器——设备管理 525

24.2.9 Cisco安全管理器——工作流模式 526

24.2.10 Cisco安全管理器——基于角色的访问控制 526

24.2.11 Cisco安全管理器——交叉-启动xDM 528

24.2.12 Cisco安全管理器——支持的设备和OS版本 530

24.2.13 Cisco安全管理器——服务器和客户端要求及限制 530

24.2.14 Cisco安全管理器——流量和已打开端口 532

24.3 Cisco路由器和安全设备管理器（SDM） 533

24.3.1 Cisco SDM——特征与性能 534

24.3.2 Cisco SDM工作原理 535

24.3.3 Cisco SDM——路由器安全审计功能 536

24.3.4 Cisco SDM——一步锁定功能 536

24.3.5 Cisco SDM——监控模式 538

24.3.6 Cisco SDM——所支持路由和IOS版本 538

24.3.7 Cisco SDM——系统要求 539

24.4 Cisco自适应安全设备管理器（ASDM） 540

24.4.1 Cisco ASDM——特征和性能 540

24.4.2 Cisco ASDM——工作原理 541

24.4.3 Cisco ASDM——分组追踪器程序 543

24.4.4 Cisco ASDM——相关访问规则系统日志 543

24.4.5 Cisco ASDM——支持的防火墙和软件版本 544

24.4.6 Cisco ASDM——用户要求 544

24.5 Cisco PIX设备管理器（PDM） 544

24.6 Cisco PIX设备管理器（IDM） 545

24.6.1 Cisco IDM——工作原理 545

24.6.2 Cisco IDM——系统要求 546

24.7小结 547

24.8参考 547

第25章 安全框架和规章制度 551

25.1安全模型 551

25.2策略、标准、准则和规程 552

25.2.1安全策略 553

25.2.2标准 553

25.2.3准则 553

25.2.4规程 553

25.3最佳实践框架 554

25.3.1 ISO／IEC 17799（目前是ISO／IEC 27002） 554

25.3.2 COBIT 555

25.3.3 17799／27002和COBIT比较 555

25.4遵从性和风险管理 556

25.5法规遵从和立法行为 556

25.6 GLBA——格雷姆-里奇-比利雷法 556

25.6.1谁受到影响 556

25.6.2 GLBA要求 557

25.6.3违反处罚 557

25.6.4满足GLBA的Cisco解决方案 558

25.6.5 GLBA总结 558

25.7 HIPPA——健康保险携带和责任法案 558

25.7.1谁受到影响 559

25.7.2 HIPPA要求 559

25.7.3违反处罚 559

25.7.4满足HIPPA的Cisco解决方案 560

25.7.5 HIPPA总结 560

25.8 SOX——萨班斯—奥克斯莱法案 560

25.8.1谁受到影响 561

25.8.2 SOX法案要求 561

25.8.3违反处罚 562

25.8.4满足SOX法案的Cisco解决方案 562

25.8.5 SOX总结 563

25.9展望全球法规遵从法案和立法 563

25.9.1在美国 564

25.9.2在欧洲 564

25.9.3在亚太地区 564

25.10 Cisco自防御网络解决方案 565

25.11小结 565

25.12参考 565