CCSP自学指南：Cisco安全入侵检测系统 CSIDSPDF电子书下载

第1章　对网络安全的需要 1

目录 1

1.1 安全威胁 2

1.1.1　无组织的威胁 3

1.1.2　有组织的威胁 4

1.1.3　外部威胁 5

1.1.4　内部威胁 5

1.2　安全概念 6

1.3　攻击的各个阶段 6

1.3.1　设定攻击目标 7

1.3.2　攻击前的侦察 7

1.3.3　正式攻击 9

1.4　攻击方法 9

1.4.4　耐心（慢）攻击 10

1.5.1 网络资源 10

1.5　网络攻击点 10

1.4.1 即兴攻击 10

1.4.3　外科手术式打击 10

1.4.2　系统性攻击 10

1.5.2 网络协议 12

1.6　黑客工具与技术 13

1.6.1　使用侦察工具 13

1.6.2　攻击网络中的薄弱点 14

1.6.3 实施拒绝服务攻击技术 17

1.7 小结 20

1.8　复习题 21

第2章　网络安全与Cisco 23

2.1　保护网络安全 24

2.1.1　加强认证 25

2.1.2　建立安全边界 27

2.1.3　通过虚拟专用网提供私密性 28

2.1.4　漏洞修补 30

2.2　监控网络安全 31

2.2.1　人工监控 31

2.2.2 自动监控 31

2.3 检验网络安全 32

2.3.1 使用安全扫描器 32

2.3.2　进行专业安全评估 32

2.4　提升网络安全 33

2.4.1 留意安全新闻 33

2.4.2　定期检查配置文件 34

2.4.3　评估传感器的放置 34

2.5　Cisco集成化语音、视频和数据（AVVID）体系结构 35

2.4.4　验证安全配置 35

2.5.1　Cisco AVVID体系结构 36

2.5.2 Cisco AVVID的益处 37

2.6 Cisco SAFE 38

2.6.1　SAFE模块化蓝图 38

2.6.2　SAFE的益处 39

2.7 小结 39

2.8　复习题 40

第3章　入侵检测的概念 43

3.1　入侵检测的定义 43

3.2　IDS警报术语 44

3.2.1　错误警报 44

3.2.2　正确警报 44

3.3　IDS触发器 45

3.3.1 异常检测 45

3.3.2 滥用检测 48

3.3.3　协议分析 49

3.4　IDS监控位置 50

3.4.1　基于主机的IDS 50

3.4.2　基于网络的IDS 51

3.5 混合IDS 53

3.5.1 优点 53

3.5.2　缺点 53

3.6　入侵检测响应技术 53

3.6.1 TCP重置 54

3.6.2　IP拦阻 54

3.6.3 记录 54

3.6.4　访问限制 54

3.7.2　分片 55

3.7.1 泛洪 55

3.7　入侵检测逃避技术 55

3.7.3 加密 56

3.7.4　迷惑 56

3.7.5 TTL操作 57

3.8 小结 58

3.9 复习题 59

第4章　Cisco入侵防护 63

4.1　Cisco入侵检测系统（IDS）解决方案概述 64

4.1.1　入侵防护 64

4.1.2　积极防御 65

4.1.3　深入防御 68

4.2　Cisco IDS传感器 68

4.2.1 网络传感器 69

4.2.2　交换机传感器 69

4.2.3　路由器传感器 70

4.2.4　防火墙传感器 71

4.2.5　主机代理 71

4.3　Cisco威胁响应 72

4.4　Cisco传感器管理 72

4.4.1　Cisco IDS设备管理器 73

4.4.2　Cisco IDS管理中心 73

4.5　Cisco警报监控与报告 73

4.5.1　Cisco IDS事件查看器 74

4.5.2　Cisco IDS安全监控器 74

4.6　部署Cisco IDS 74

4.6.1　传感器的选择 74

4.6.2　传感器的布放 75

4.6.3　传感器部署的考虑 77

4.6.4　传感器部署的情形 79

4.7 小结 80

4.8　复习题 82

第5章　Cisco IDS体系结构 85

5.1 以前的软件体系结构 85

5.2　Cisco IDS 4.0软件体系结构 86

5.2.1 cidWebServer 87

5.2.2　mainApp 88

5.2.3　logApp 88

5.2.4　认证 88

5.2.5 网络接入控制器（NAC） 89

5.2.6 ctlTransSource 89

5.2.7　sensorApp 89

5.2.8　事件存储（Event Store） 89

5.3.3　远程数据交换协议 90

5.3.2　入侵检测应用程序接口 90

5.3.1　通信概述 90

5.3　Cisco IDS 4.0通信体系结构 90

5.2.9 cidCLI 90

5.4　用户账号和角色 92

5.4.1 管理员 93

5.4.2　操作员 93

5.4.3 查看者 93

5.4.4　服务 93

5.5 小结 93

5.6　复习题 95

第6章　捕获网络数据流量 97

6.1 数据流量捕获设备 97

6.1.1 集线器 97

6.1.2 网络分接头 98

6.1.3 交换机 99

6.2　交换机端口分析 100

6.2.1 交换机端口分析（SPAN）端口术语 101

6.2.2　传输控制协议（TCP）重置限制 101

6.2.3 Catalyst 2900XL/3500XL交换机 102

6.2.4　Catalyst 4000和6500交换机 104

6.3　远程交换机端口分析 105

6.4 虚拟局域网（Virtual Local-Area Network,VLAN）访问控制列表 107

6.4.1 定义感兴趣的数据流量（Interesting Traffic） 107

6.4.2　在CatOS上配置虚拟局域网访问控制列表（VACL） 108

6.4.3　在Cisco互联操作系统（IOS）防火墙下配置VACL 111

6.5 高级数据流量捕获 113

6.6　小结 115

6.7　复习题 116

第7章　Cisco IDS网络传感器的安装 119

7.1.1　设备型号 120

7.1 IDS设备 120

7.1.2　设备限制 123

7.1.3　硬件注意事项 124

7.2　IDS加速卡 126

7.3　IDS设备命令行接口 127

7.3.1 使用CLI 127

7.3.2 用户角色 130

7.3.3　CLI命令模式 131

7.3.4　管理任务 135

7.3.5　配置任务 135

7.4　安装IDS设备 135

7.4.1　从3.1版本升级到4.0版本 135

7.4.2　初始化配置任务 137

7.5 小结 142

7.6　复习题 143

第8章　Cisco IDS模块配置 147

8.1　Cisco IDS模块（IDSM） 147

8.1.1　第二代入侵检测系统模块（IDSM-2）技术指标 147

8.1.2　关键特性 148

8.1.3 IDSM同IDSM-2的比较 149

8.2　IDSM-2配置 149

8.2.1 IDSM-2初始化 150

8.2.2 IDSM-2端口 151

8.2.3　捕获数据流量 152

8.2.4　IDSM-2数据流向 152

8.3　Catalyst 6500交换机配置 153

8.3.1 配置命令和控制端口 153

8.3.2　监控数据流量 154

8.3.4　管理任务 158

8.3.3 中继配置任务 158

8.4 故障排除 159

8.4.1 IDSM-2状态发光二极管（LED） 159

8.4.2　Catalyst 6500命令 159

8.5 小结 161

8.6　复习题 162

第9章　Cisco IDS设备管理器与事件查看器 165

9.1　Cisco IDS设备管理器 165

9.1.1　系统要求 165

9.1.2　安装Cisco IDS设备管理器 166

9.1.3　Cisco IDS设备管理器接口结构 166

9.1.4　访问IDS设备管理器（IDM） 168

9.1.6　IDS设备管理器与Cookie 169

9.1.7　IDS设备管理器与证书 169

9.1.5　访问在线IDM帮助 169

9.2　Cisco IDS事件查看器 171

9.2.1 系统要求 172

9.2.2　安装Cisco IDS事件查看器 172

9.2.3　卸载Cisco IDS事件查看器 173

9.2.4　启动Cisco IDS事件查看器 173

9.2.5　指定使用IDS设备监控 173

9.2.6　配置过滤器 177

9.2.7　配置视图 183

9.2.8　查看事件数据 187

9.2.9　使用警报 190

9.2.10　网络安全数据库（NSDB） 194

9.2.11 配置首选项 197

9.2.12　配置应用程序设置 199

9.2.13　数据库管理 200

9.3 小结 202

9.4　复习题 203

第10章　传感器配置 207

10.1 在IDS传感器管理中心中添加传感器（IDS MC） 208

10.1.1　传感器组 208

10.1.2　独立传感器 209

10.2　配置网络设置 210

10.3　配置允许主机 212

10.4　远程访问 213

10.5 安全Shell（SSH）属性 213

10.5.1 定义授权密钥 214

10.5.2　生成新的主机密钥 215

10.5.3 配置SSH已知主机密钥 216

10.6　证书管理 218

10.6.1　信任主机证书 218

10.6.2　产生主机证书 219

10.6.3　查看服务器证书 220

10.7　配置时间 221

10.7.1　设置时间 221

10.7.2 配置时区 222

10.7.3 配置NTP服务器 222

10.7.4　配置夏令时 223

10.7.5　修正时间 224

10.8　添加用户 224

10.9　管理任务 226

10.9.1　查看系统信息 226

10.9.2　查看诊断信息 227

10.9.3　重新启动传感器 228

10.10　小结 229

10.11 复习题 231

11.1　全局探测配置 233

11.1.1 内部网络 233

第11章　特征配置 233

11.1.2　重组选项 237

11.2　IDM中的特征组 241

11.2.1 特征ID 242

11.2.2　特征引擎 243

11.2.3 攻击类型 243

11.2.4　L2/L3/L4协议 244

11.2.5　操作系统 245

11.2.6　服务 246

11.3　IDS MC中的特征组 247

11.4　特征过滤 250

11.4.1　定义事件过滤器 250

11.4.3　使用IDM添加事件过滤器 251

11.4.2　过滤程序 251

11.4.4　使用IDS MC添加事件过滤器 253

11.5　特征配置 257

11.5.1　特征调整 257

11.5.2 自定义特征 257

11.5.3　调整特征 258

11.5.4　使用IDM调整特征6250 260

11.5.5　使用IDS MC调整特征6250 261

11.6　创建自定义特征 262

11.6.1　选择特征引擎 263

11.6.2　验证现有功能 264

11.6.3　定义特征参数 264

11.6.4　测试特征的有效性 265

11.6.5 自定义特征情形 265

11.7 小结 273

11.8　复习题 274

第12章　特征响应 277

12.1　特征响应概述 277

12.2　IP拦阻 277

12.2.1　IP拦阻定义 278

12.2.2　IP拦阻设备 278

12.2.3　拦阻指导方针 280

12.2.4　拦阻过程 282

12.3　ACL放置考虑 283

12.4　配置IP拦阻 286

12.4.1　指定拦阻行为 286

12.4.2　设置拦阻属性 288

12.4.3 定义从不拦阻地址 290

12.4.4　安装逻辑设备 292

12.4.5　定义拦阻设备 293

12.4.6　定义主拦阻传感器 301

12.5 手动拦阻 302

12.5.1　拦阻主机 303

12.5.2　拦阻网络 303

12.6　IP记录 304

12.6.1　IDM中的IP记录参数 304

12.6.2　IDS MC中的IP记录参数 305

12.6.3　手动IP记录 306

12.7 TCP重置 307

12.8　小结 307

12.9　复习题 309

第13章　Cisco IDS警报与特征 311

13.1 Cisco IDS特征 311

13.1.1　警报扼杀模式 311

13.1.2　Summary模式升级 313

13.1.3　正则表达式字符串匹配 314

13.2.1 严重级别 315

13.2.2　传感器状态警报 315

13.2　Cisco IDS警报 315

13.3　Cisco IDS特征引擎 316

13.3.1　特征参数 316

13.3.2　Atomic特征引擎 318

13.3.3　Flood特征引擎 323

13.3.4　OTHER特征引擎 325

13.3.5　Service特征引擎 326

13.3.6　State特征引擎 336

13.3.7　String特征引擎 337

13.3.8　Sweep特征引擎 338

13.3.9　Traffic特征引擎 342

13.4　小结 343

13.3.10　Trojan特征引擎 343

13.5　复习题 345

第14章　主机入侵防护 349

14.1 端点防护 349

14.1.1　零日防护 349

14.1.2　数据防护 350

14.1.3　服务器和台式机维护 350

14.2　Cisco安全代理（CSA） 350

14.2.1 攻击保护 350

14.2.2　部署概述 351

14.2.3　Cisco安全代理管理中心 352

14.3　使用Cisco安全代理的管理中心 353

14.3.1 定义安全策略 353

14.3.2　基于角色的管理 353

14.3.3　部署CSA策略 354

14.4　监控CSA事件 355

14.4.1　状态总结 356

14.4.2　事件日志 356

14.4.3　根据事件属性过滤 358

14.4.4　定义过滤器 358

14.4.5　事件日志管理 359

14.4.6　事件监控器 361

14.4.7　事件集 361

14.4.8　警报 363

14.5　配置组与管理主机 364

14.5.1 配置组 365

14.5.2　主机 368

14.6　CSA策略 369

14.6.1 CSA策略组件 370

14.6.2　配置策略 372

14.6.3 理解规则 375

14.6.4　使用配置变量 376

14.6.5　配置应用程序类 378

14.6.6　全局事件关联 380

14.7　代理工具 380

14.7.1　创建代理工具 380

14.7.2　控制代理注册 382

14.8　发布软件更新 383

14.8.1　可用软件更新 383

14.8.2　定期软件更新 383

14.9　报告 384

14.10　Profiler工具 384

14.11 小结 385

14.12　复习题 387

15.1 软件更新 389

第15章　Cisco IDS维护与故障排除 389

15.1.1　IDS软件的文件格式 390

15.1.2　软件更新向导 391

15.2　升级传感器软件 392

15.2.1　通过CLI的软件安装 392

15.2.2　使用IDS设备管理器（IDM）的软件安装 393

15.2.3　使用IDS MC安装软件 395

15.2.4　降级镜像 397

15.3　镜像恢复 397

15.4　基本故障排除 398

15.4.1 show version 398

15.4.2　show interfaces 399

15.4.3 show interfaces command-control 400

15.4.5 show interfaces group 401

15.4.4 show interfaces sensing 401

15.4.6 show techsupport 402

15.4.7　show statistics 403

15.4.8　show events 404

15.5　小结 405

15.6　复习题 406

第16章　企业级IDS管理 409

16.1 CiscoWorks 410

16.1.1　登录过程 410

16.1.2　授权角色 411

16.1.3 添加用户 411

16.2　IDS传感器管理中心（IDS MC） 412

16.2.1　体系结构概述 413

16.2.2　Windows上的安装 415

16.2.3　Solaris上的安装 417

16.2.5 启动IDS MC 418

16.2.4　客户端要求 418

16.2.6　IDS MC界面 419

16.2.7　在IDS MC中访问在线帮助 421

16.3　IDS配置文件的部署 422

16.3.1 配置与生成 423

16.3.2　配置和批准 424

16.3.3　部署 424

16.4　小结 427

16.5 复习题 428

第17章　企业级IDS监控和报告 431

17.1　安全监控中心 431

17.1.1　服务器要求 432

17.1.2　客户端要求 432

17.1.3 用户界面 433

17.2.1 添加设备 435

17.2　安全监控器配置 435

17.2.2　导入设备 440

17.2.3　事件通知 442

17.2.4　监控设备 446

17.3　安全监控器的事件查看器 450

17.3.1 移动列 450

17.3.2　删除列或行 450

17.3.3　折叠列 451

17.3.4　设置事件展开区间 453

17.3.5　展开列 453

17.3.6　挂起和恢复处理新事件 454

17.3.7 改变显示首选项 455

17.3.8　创建图表 458

17.3.9　显示 459

17.4.1　数据库维护 461

17.4　安全监控器管理 461

17.4.2 系统配置的设置 463

17.4.3 定义事件查看器的首选项 463

17.5　安全监控器报告 464

17.5.1 定义报告 465

17.5.2　计划报告 466

17.5.3 查看报告 466

17.6　小结 468

17.7　复习题 469

第18章　Cisco威胁响应 473

18.1　概要 473

18.1.1 优点 473

18.1.2　术语和定义 475

18.1.3　调查等级 475

18.1.4　预定义策略类型 476

18.2　Cisco威胁响应（CTR）的配置要求 477

18.2.1 系统要求 477

18.2.2　IDS要求 478

18.2.3　防火墙设置 478

18.2.4 迁移到CiscoWorks VPN／安全管理解决方案 478

18.3 软件安装 478

18.3.1 访问CTR图形界面接口（GUI） 479

18.3.2　快速启动 480

18.3.3　使用Cisco威胁响应 481

18.4　基本设置 484

18.4.1 定义警报源 484

18.4.2　配置安全区域 487

18.4.3　定义受保护系统 490

18.6　警报和报告 494

18.6.1　显示警报 494

18.5 高级设置 494

18.6.2　过滤警报 498

18.6.3　生成报告 499

18.7 维护 501

18.7.1 自动更新 501

18.7.2 用户 503

18.8　小结 504

18.9　复习题 505

第19章　Cisco入侵防护系统预计功能 509

19.1　Cisco入侵防护系统概述 509

19.1.1　威胁检测的精确性 509

19.1.4　部署选项的灵活性 510

19.2　新的硬件平台 510

19.1.3　管理的简便性 510

19.1.2　威胁调查的智能性 510

19.2.1　4215工具传感器 511

19.2.2　路由器网络模块 511

19.3　新的软件功能 512

19.3.1　支持多接口 512

19.3.2　捕获数据包 512

19.5.1　S44特征更新 513

19.5　新的特征 513

19.4　内嵌的（In-Line）IDS处理 513

19.5.2　S46特征更新 514

19.6　管理 514

19.7　主机入侵防护（HIP） 515

19.8 小结 515

附录A　Cisco入侵防护解决方案调整：案例研究 519

附录B　复习题答案 535

术语表 551