网络安全技术与解决方案 修订版PDF电子书下载

第1部分　边界安全 3

第1章　网络安全概述 3

1.1 网络安全的基本问题 3

1.2　安全范例的变化 5

1.3　安全准则——CIA模型 5

1.3.1　机密性 5

1.3.2 完整性 6

1.3.3　可用性 6

1.4　策略、标准、流程、基线、部署准则 6

1.4.1 安全策略 6

1.4.2　标准 7

1.4.3 流程 8

1.4.4　基线 8

1.4.5　部署准则 8

1.5 安全模型 9

1.6　边界安全 9

1.6.1　边界安全正在消失吗？ 9

1.6.2　定义边界的复杂性 10

1.6.3　可靠的边界安全解决方案 10

1.7　各层的安全 10

1.7.1 多层边界解决方案 10

1.7.2 多米诺效应 11

1.8　安全轮型图 12

1.9 总结 13

1.10　参考 13

第2章　访问控制 15

2.1　使用ACL进行流量过滤 15

2.1.1　ACL概述 15

2.1.2　ACL的应用 15

2.1.3　何时配置ACL 16

2.2　IP地址概述 17

2.2.1 IP地址分类 17

2.2.2　理解IP地址分类 17

2.2.3　私有IP地址（RFC 1918） 19

2.3　子网掩码与反掩码概述 20

2.3.1 子网掩码 20

2.3.2　反掩码 20

2.4　ACL配置 21

2.4.1　创建一个ACL 21

2.4.2　为每个ACL设置唯一的列表名或数字 21

2.4.3　把ACL应用到接口上 22

2.4.4　ACL的方向 23

2.5　理解ACL的处理过程 23

2.5.1 入站ACL 23

2.5.2 出站ACL 24

2.5.3　各类数据包的包过滤原则 25

2.5.4 实施ACL的准则 26

2.6　访问控制列表类型 26

2.6.1 标准ACL 27

2.6.2　扩展ACL 27

2.6.3 命名的IP ACL 28

2.6.4　锁和密钥（动态ACL） 29

2.6.5 自反ACL 30

2.6.6　Established ACL 31

2.6.7　使用时间范围（Time Range）的时间ACL 32

2.6.8　分布式时间ACL 33

2.6.9　配置分布式时间ACL 33

2.6.10　Turbo ACL 33

2.6.11 限速ACL(rACL) 34

2.6.12　设备保护ACL(iACL) 34

2.6.13　过境ACL 34

2.6.14　分类ACL 35

2.6.15 用ACL进行流量调试 36

2.7 总结 36

2.8　参考 36

第3章　设备安全 39

3.1　设备安全策略 39

3.2　设备加固 40

3.2.1　物理安全 40

3.2.2 密码 41

3.2.3 用户账户 45

3.2.4　特权级别 45

3.2.5 设备保护ACL(Infrastructure ACL) 46

3.2.6 交换访问方法 46

3.2.7 Banner消息 48

3.2.8 Cisco IOS快速复原配置（Resilient Configuration） 50

3.2.9 Cisco发现协议（CDP） 50

3.2.10 TCP/UDP低端口服务（Small-Servers） 51

3.2.11 Finger 51

3.2.12 Identd（auth）协议（Identification Protocol） 51

3.2.13 DHCP与BOOTP服务 52

3.2.14 简单文件传输（TFTP）协议 52

3.2.15　文件传输（FTP）协议 52

3.2.16 自动加载设备配置 52

3.2.17　PAD 52

3.2.18　IP源路由 53

3.2.19　代理ARP 53

3.2.20 无故ARP(Gratuitous ARP) 53

3.2.21　IP定向广播 54

3.2.22　IP掩码应答（IP Mask Reply） 54

3.2.23 IP重定向 54

3.2.24 ICMP不可达 54

3.2.25 HTTP 55

3.2.26 网络时间协议（NTP） 55

3.2.27　简单网络管理协议（SNMP） 56

3.2.28 Auto-Secure特性 56

3.3　保护安全设备的管理访问 56

3.3.1 PIX 500与ASA 5500系列安全设备——设备访问安全 57

3.3.2 IPS 4200系列传感器（前身为IDS 4200） 58

3.4 设备安全的自查列表 60

3.5 总结 60

3.6 参考 60

第4章　交换机安全特性 63

4.1　保护二层网络 63

4.2　端口级流量控制 64

4.2.1 风暴控制（Storm Control） 64

4.2.2 端口隔离（Protected Port/PVLAN Edge） 64

4.3 私有VLAN(PVLAN) 65

4.3.1 配置PVLAN 68

4.3.2　端口阻塞（Port Blocking） 69

4.3.3 端口安全（Port Security） 69

4.4 交换机访问列表 71

4.4.1 路由器ACL 71

4.4.2 端口ACL 71

4.4.3 VLAN ACL（VACL） 72

4.4.4 MAC ACL 74

4.5　生成树协议特性 74

4.5.1　桥协议数据单元防护（BPDU Guard） 74

4.5.2　根防护（Root Guard） 75

4.5.3 Etherchannel防护（Etherchannel Guard） 75

4.5.4　环路防护（Loop Guard） 76

4.6　动态主机配置协议（DHCP）Snooping 76

4.7　IP源地址防护（IP Source Guard） 78

4.8　DAI（动态ARP监控） 78

4.8.1　DHCP环境中的DAI 80

4.8.2　非DHCP环境中的DAI 80

4.8.3　为入站ARP数据包限速 81

4.8.4　ARP确认检查（ARP Validation Checks） 81

4.9　高端Catalyst交换机上的高级安全特性 81

4.10　控制面监管（CoPP）特性 82

4.11 CPU限速器 83

4.12　二层安全的最佳推荐做法 83

4.13 总结 84

4.14　参考 84

第5章　Cisco IOS防火墙 87

5.1 路由器防火墙之解决方案 87

5.2　基于上下文的访问控制（CBAC） 89

5.3　CBAC功能 89

5.3.1 流量过滤 89

5.3.2　流量监控 90

5.3.3 告警与审计跟踪 90

5.4　CBAC工作原理 91

5.4.1　数据包监控 91

5.4.2　超时时间与门限值 91

5.4.3　会话状态表 91

5.4.4　UDP连接 92

5.4.5　动态ACL条目 92

5.4.6　初始（半开）会话 92

5.4.7　为主机进行DoS防护 93

5.5　CBAC支持的协议 93

5.6　配置CBAC 94

5.6.1　第一步：选择一个接口：内部接口或者外部接口 94

5.6.2　第二步：配置IP访问列表 95

5.6.3　第三步：定义监控规则 95

5.6.4　第四步：配置全局的超时时间和门限值 95

5.6.5　第五步：把访问控制列表和监控规则应用到接口下 96

5.6.6　第六步：验证和监测CBAC配置 97

5.6.7　综合应用范例 97

5.7　IOS防火墙增强特性 97

5.7.1 HTTP监控功能 98

5.7.2　电子邮件监控功能 98

5.7.3　防火墙ACL旁路 99

5.7.4　透明IOS防火墙（二层防火墙） 99

5.7.5　虚拟分片重组（VFR） 100

5.7.6　VRF感知型（VRF-Aware）IOS防火墙 100

5.7.7 监控路由器生成的流量 101

5.8 基于区域的策略防火墙（ZFW） 101

5.8.1 基于区域的策略概述 101

5.8.2 安全区域 102

5.8.3 配置基于区域的策略防火墙 103

5.8.4　使用CPL配置ZFW 103

5.8.5　应用程序检查与控制（AIC） 104

5.9　总结 105

5.10　参考 105

第6章　Cisco防火墙：设备与模块 107

6.1　防火墙概述 107

6.2　硬件防火墙与软件防火墙的对比 108

6.3　Cisco PIX 500系列安全设备 108

6.4 Cisco ASA 5500系列自适应安全设备 109

6.5 Cisco防火墙服务模块（FWSM） 110

6.6 PIX 500和ASA 550系列防火墙设备操作系统 111

6.7 防火墙设备OS软件 112

6.8 防火墙模式 112

6.8.1 路由模式防火墙 112

6.8.2 透明模式防火墙（隐藏防火墙） 113

6.9 状态化监控 114

6.10 应用层协议监控 115

6.11 自适应安全算法的操作 116

6.12 安全虚拟防火墙 117

6.12.1 多虚拟防火墙——路由模式（及共享资源） 118

6.12.2 多虚拟防火墙——透明模式 118

6.12.3　配置安全虚拟防火墙 120

6.13　安全级别 121

6.14　冗余接口 122

6.15　IP路由 123

6.15.1　静态及默认路由 123

6.15.2　最短路径优先（OSPF） 125

6.15.3　路由信息协议（RIP） 128

6.15.4　增强型内部网关路由协议（EIGRP） 129

6.16 网络地址转换（NAT） 130

6.16.1　NAT控制（NAT Control） 130

6.16.2　NAT的类型 132

6.16.3　在启用NAT的情况下绕过NAT转换 137

6.16.4　策略NAT 139

6.16.5　NAT的处理顺序 140

6.17　控制流量与网络访问 141

6.17.1　ACL概述及其在安全设备上的应用 141

6.17.2　使用访问列表控制通过安全设备的出入站流量 141

6.17.3　用对象组简化访问列表 143

6.18　组件策略框架（MPF,Modular Policy Framework） 144

6.1 9 Cisco AnyConnect VPN客户端 146

6.20　冗余备份与负载分担 147

6.20.1 故障切换需求 147

6.20.2　故障切换链路 148

6.20.3　状态链路（State Link） 148

6.20.4　故障切换的实施 149

6.20.5　非对称路由支持（ASR） 151

6.2 1 防火墙服务模块（FWSM）的防火墙“模块化”系统 151

6.22　防火墙模块OS系统 151

6.23 穿越防火墙模块的网络流量 152

6.24　路由器／MSFC的部署 152

6.24.1　单模防火墙 153

6.24.2　多模防火墙 153

6.25　配置FWSM 154

6.26　总结 155

6.27　参考 156

第7章　攻击矢量与缓解技术 159

7.1 网络漏洞、网络威胁与网络渗透 159

7.1.1　攻击的分类 160

7.1.2　攻击矢量 160

7.1.3 黑客家族的构成 161

7.1.4　风险评估 162

7.2　三层缓解技术 163

7.2.1 流量分类 163

7.2.2　IP源地址跟踪器 167

7.2.3 IP欺骗攻击 168

7.2.4　数据包分类与标记方法 171

7.2.5　承诺访问速率（CAR） 171

7.2.6　模块化QoS CLI(MQC) 173

7.2.7 流量管制（Traffic Policing） 174

7.2.8 基于网络的应用识别（NBAR） 175

7.2.9 TCP拦截 177

7.2.10　基于策略的路由（PBR） 179

7.2.11 单播逆向路径转发（uRPF） 180

7.2.12 NetFlow 182

7.3　二层缓解方法 184

7.3.1 CAM表溢出——MAC攻击 185

7.3.2 MAC欺骗攻击 185

7.3.3 ARP欺骗攻击 186

7.3.4 VTP攻击 187

7.3.5 VLAN跳转攻击 188

7.3.6 PVLAN攻击 190

7.3.7 生成树攻击 192

7.3.8 DHCP欺骗与耗竭（Starvation）攻击 193

7.3.9 802.1x攻击 193

7.4　安全事故响应架构 195

7.4.1　什么是安全事故 195

7.4.2　安全事故响应处理 195

7.4.3　事故响应小组（IRT） 195

7.4.4　安全事故响应方法指导 196

7.5　总结 198

7.6　参考 199

第2部分　身份安全和访问管理第8章　保护管理访问 203

8.1 AAA安全服务 203

8.1.1 AAA范例 204

8.1.2　AAA之间的依赖关系 205

8.2　认证协议 205

8.2.1　RADIUS（远程认证拨入用户服务） 205

8.2.2　TACACS＋（终端访问控制器访问控制系统） 208

8.2.3　RADIUS与TACACS＋的对比 211

8.3 实施AAA 211

8.3.1 AAA方法 212

8.3.2 AAA功能服务类型 213

8.4　配置案例 215

8.4.1 使用RADIUS实现PPP认证、授权、审计 215

8.4.2 使用TACACS＋服务器实现登录认证、命令授权和审计 216

8.4.3 设置了密码重试次数限制的登录认证 216

8.5 总结 217

8.6　参考 217

第9章　Cisco Secure ACS软件与设备 219

9.1 Windows操作系统下的Cisco Secure ACS软件 219

9.1.1 AAA服务器：Cisco Secure ACS 220

9.1.2　遵循的协议 221

9.2　高级ACS功能与特性 222

9.2.1　共享配置文件组件（SPC） 222

9.2.2 可下载的IP ACL 222

9.2.3 网络访问过滤器（NAF） 223

9.2.4　RADIUS授权组件（RAC） 223

9.2.5　Shell命令授权集 223

9.2.6　网络访问限制（NAR） 224

9.2.7　设备访问限制（MAR） 224

9.2.8 网络访问配置文件（NAP） 224

9.2.9　Cisco NAC支持 225

9.3　配置ACS 225

9.4　Cisco Secure ACS设备 234

9.5 总结 234

9.6　参考 235

第10章　多重认证 237

10.1　身份识别和认证（Identification and Authentication） 237

10.2　双重认证系统 238

10.2.1 一次性密码（OTP） 238

10.2.2 S/KEY 239

10.2.3 用OTP解决方案抵抗重放攻击（Replay Attack） 239

10.2.4　双重认证系统的属性 239

10.3　Cisco Secure ACS支持的双重认证系统 240

10.3.1 Cisco Secure ACS是如何工作的 241

10.3.2　在Cisco Secure ACS上配置启用了RADIUS的令牌服务器 242

10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服务器 245

10.4 总结 245

10.5 参考 246

第11章 第2层访问控制 249

11.1 信任与身份识别管理解决方案 250

11.2 基于身份的网络服务（IBNS） 251

11.2.1 Cisco Secure ACS 252

11.2.2 外部数据库支持 252

11.3 IEEE 802.1x 252

11.3.1 IEEE802.1x组件 253

11.3.2　端口状态：授权与未授权 254

11.3.3　EAP认证方式 255

11.4　部署802.1x解决方案 256

11.4.1　无线LAN（点到点） 256

11.4.2　无线LAN（多点） 256

11.5　部署802.1x基于端口的认证 258

11.5.1　在运行Ciseo IOS的Cisco Catalyst交换机上配置802.1x和RADIUS 258

11.5.2 在运行Cisco IOS的Cisco Aironet无线LAN接入点上配置802.1x和RADIUS 262

11.5.3 在Windows XP客户端配置遵循IEEE 802.1x的用户接入设备 263

11.6 总结 263

11.7 参考 264

第12章　无线局域网（WLAN）安全 267

12.1 无线LAN（LAN） 267

12.1.1　无线电波 267

12.1.2　IEEE协议标准 268

12.1.3　通信方式——无线频率（RF） 268

12.1.4　WLAN的组成 269

12.2　WLAN安全 270

12.2.1　服务集标识（SSID） 270

12.2.2　MAC认证 271

12.2.3　客户端认证 271

12.2.4　静态WEP（有线等效保密） 272

12.2.5 WPA、WP2和802.11i（WEP的增强） 272

12.2.6 IEEE 802.1x和EAP 273

12.2.7 WLAN NAC 281

12.2.8 WLAN IPS 281

12.2.9 VPN IPsec 282

12.3 缓解WLAN攻击 282

12.4 Cisco统一无线网络解决方案 282

12.5　总结 284

12.6　参考 284

第13章 网络准入控制（NAC） 287

13.1　建立自防御网络（SDN） 287

13.2 网络准入控制（NAC） 288

13.2.1 为何使用NAC 288

13.2.2　Cisco NAC 289

13.2.3　对比NAC产品和NAC框架 290

13.3　Cisco NAC产品解决方案 291

13.3.1　Cisco NAC产品解决方案机制 291

13.3.2 NAC产品组件 291

13.3.3 NAC产品部署方案 292

13.4 Cisco NAC框架解决方案 294

13.4.1 Cisco NAC框架解决方案机制 294

13.4.2 NAC框架组件 296

13.4.3 NAC框架部署环境 300

13.4.4 NAC框架的执行方法 300

13.4.5 实施NAC-L3-IP 301

13.4.6 实施NAC-L2-IP 303

13.4.7 部署NAC-L2-802.1x 306

13.5　总结 308

13.6　参考 309

第3部分　数据保密 313

第14章　密码学 313

14.1 安全通信 313

14.1.1　加密系统 313

14.1.2　密码学概述 314

14.1.3　加密术语 314

14.1.4　加密算法 315

14.2　虚拟专用网（VPN） 322

14.3 总结 323

14.4 参考 323

第15章　IPsec VPN 325

15.1　虚拟专用网络（VPN） 325

15.1.1　VPN技术类型 325

15.1.2　VPN部署方案类型 326

15.2 IPsec VPN（安全VPN） 327

15.2.1 IPsec RFC 327

15.2.2 IPsec模式 330

15.2.3 IPsec协议头 331

15.2.4 IPsec反重放保护 333

15.2.5 ISAKMP和IKE 333

15.2.6 ISAKMP Profile 337

15.2.7 IPsec Profile 338

15.2.8 IPsec虚拟隧道接口（IPsec VTI） 339

15.3 公钥基础结构（PKI） 340

15.3.1 PKI组件 341

15.3.2 证书登记 341

15.4 部署IPsec VPN 343

15.4.1 Cisco IPsec VPN部署环境 343

15.4.2 站点到站点IPsec VPN 345

15.4.3 远程访问IPsec VPN 348

15.5 总结 355

15.6 参考 356

第16章 动态多点VPN（DMVPN） 359

16.1 DMVPN解决方案技术架构 359

16.1.1 DMVPN网络设计 360

16.1.2 DMVPN解决方案组件 362

16.1.3 DMVPN如何工作 362

16.1.4 DMVPN数据结构 363

16.2 DMVPN部署环境拓扑 364

16.3 实施DMVPN中心到节点的设计方案 364

16.3.1 实施单hub单DMVPN（SHSD）拓扑 365

16.3.2 实施双hub双DMVPN（DHDD）拓扑 370

16.3.3 实施服务器负载均衡（SLB）拓扑 371

16.4 实施DMVPN动态网状节点到节点的设计方案 372

16.4.1 实施双hub单DMVPN（DHSD）拓扑 373

16.4.2 实施多hub单DMVPN（MHSD）拓扑 381

16.4.3 实施分层（基于树的）拓扑 382

16.5　总结 382

16.6　参考 383

第17章　群组加密传输VPN（GET VPN） 385

17.1　GET VPN解决方案技术构架 385

17.1.1 GET VPN特性 386

17.1.2 为何选择GET VPN 387

17.1.3 GET VPN和DMVPN 389

17.1.4 GET VPN部署需要考虑的因素 388

17.1.5 GET VPN解决方案组件 388

17.1.6 GET VPN的工作方式 389

17.1.7 保留IP包头 391

17.1.8　组成员ACL 391

17.2　实施Cisco IOS GET VPN 392

17.3　总结 396

17.4　参考 397

第18章　安全套接字层VPN（SSL VPN） 309

18.1 安全套接字层（SSL）协议 309

18.2 SSL VPN解决方案技术架构 400

18.2.1 SSL VPN概述 400

18.2.2 SSL VPN特性 401

18.2.3 部署SSL VPN需要考虑的因素 401

18.2.4 SSL VPN访问方式 402

18.2.5 SSL VPN Citrix支持 403

18.3 部署Cisco IOS SSL VPN 404

18.4 Cisco AnyConnect VPN Client 405

18.5 总结 406

18.6　参考 406

第19章　多协议标签交换VPN（MPLS VPN） 409

19.1　多协议标签交换（MPLS） 409

19.1.1　MPLS技术架构概述 410

19.1.2　MPLS如何工作 411

19.1.3　MPLS VPN和IPsec VPN 411

19.1.4　部署场景 412

19.1.5 面向连接和无连接的VPN技术 413

19.2　MPLS VPN（可信VPN） 414

19.3　L3 VPN和L2 VPN的对比 414

19.4 L3VPN 415

19.4.1 L3VPN组件 415

19.4.2 L3VPN如何实施 416

19.4.3 VRF如何工作 416

19.5 实施L3VPN 416

19.6 L2VPN 422

19.7 实施L2VPN 424

19.7.1 在MPLS服务上部署以太网VLAN——使用基于VPWS的技术架构 424

19.7.2 在MPLS服务上部署以太网VLAN——使用基于VPLS的技术架构 424

19.8 总结 425

19.9 参考 426

第4部分 安全监控 431

第20章 网络入侵防御 431

20.1　入侵系统术语 431

20.2　网络入侵防御概述 432

20.3　Cisco IPS 4200系列传感器 432

20.4　Cisco IDS服务模块（IDSM-2） 434

20.5　Cisco高级检测和防御安全服务模块（AIP-SSM） 435

20.6　Cisco IPS高级集成模块（IPS-AIM） 436

20.7　Cisco IOS IPS 437

20.8　部署IPS 437

20.9　Cisco IPS传感器OS软件 438

20.10　Cisco IPS传感器软件 440

20.10.1　传感器软件——系统架构 440

20.10.2　传感器软件——通信协议 441

20.10.3　传感器软件——用户角色 442

20.10.4　传感器软件——分区 442

20.10.5　传感器软件——特征和特征引擎 442

20.10.6　传感器软件——IPS事件 444

20.10.7　传感器软件——IPS事件响应 445

20.10.8　传感器软件——IPS风险评估（RR） 446

20.10.9 传感器软件——IPS威胁评估 447

20.10.10 传感器软件——IPS接口 447

20.10.11　传感器软件——IPS接口模式 449

20.10.12　传感器软件——IPS阻塞（block/shun） 452

20.10.13　传感器软件——IPS速率限制 453

20.10.14　传感器软件——IPS虚拟化 453

20.10.15　传感器软件——IPS安全策略 454

20.10.16　传感器软件——IPS异常检测（AD） 454

20.11　IPS高可用性 455

20.11.1　IPS失效开放机制 456

20.11.2　故障切换机制 456

20.11.3 失效开放和故障切换的部署 457

20.11.4　负载均衡技术 457

20.12　IPS设备部署准则 457

20.13　Cisco入侵防御系统设备管理器（IDM） 457

20.14　配置IPS在线VLAN对模式 458

20.15　配置IPS在线接口对模式 460

20.16　配置自定义特征和IPS阻塞 464

20.17 总结 465

20.18　参考 466

第21章　主机入侵防御 469

21.1　使用无特征机制保障终端安全 469

21.2　Cisco安全代理（CSA） 470

21.3 CSA技术架构 471

21.3.1 CSA拦截和关联 472

21.3.2 CSA关联的全局扩展 473

21.3.3 CSA访问控制过程 473

21.3.4 CSA深层防御——零时差保护 474

21.4 CSA的能力和安全功能角色 474

21.5 CSA组件 475

21.6 使用CSA MC配置和管理CSA部署 476

21.6.1 管理CSA主机 476

21.6.2 管理CSA代理工具包 479

21.6.3 管理CSA组 481

21.6.4 CSA代理用户界面 482

21.6.5 CSA策略、规则模块和规则 484

21.7　总结 485

21.8　参考 486

第22章　异常检测与缓解 489

22.1　攻击概述 489

22.1.1　拒绝服务（DoS）攻击定义 489

22.1.2　分布式拒绝服务（DDoS）攻击定义 490

22.2　异常检测和缓解系统 491

22.3　Cisco DDoS异常检测和缓解解决方案 492

22.4　Cisco流量异常检测器（Cisco Traffic Anomaly Detecor） 492

22.5 Cisco Guard DDoS缓解设备 495

22.6　整体运行 497

22.7　配置和管理Cisco流量异常检测器 499

22.7.1 管理检测器 500

22.7.2　通过CLI控制台初始化检测器 500

22.7.3 配置检测器（区域、过滤器、策略和学习过程） 501

22.8　配置和管理Cisco Guard缓解设备 504

22.8.1 管理Guard 504

22.8.2　通过CLI控制台初始化Guard 505

22.8.3　配置Guard（区域、过滤器、策略和学习过程） 505

22.9 总结 508

22.10　参考 508

第23章　安全监控和关联 511

23.1　安全信息和事件管理 511

23.2　Cisco安全监控、分析和响应系统（CS-MARS） 512

23.2.1　安全威胁防御（STM）系统 513

23.2.2　拓扑感知和网络映射 514

23.2.3　关键概念——事件、会话、规则和事故 515

23.2.4　CS-MARS中的事件处理 517

23.2.5 CS-MARS中的误报 518

23.3 部署CS-MARS 518

23.3.1 独立控制器和本地控制器（LC） 519

23.3.2　全局控制器（GC） 520

23.3.3　软件版本信息 521

23.3.4　报告和防御设备 522

23.3.5　运行级别 523

23.3.6 必需的流量和需要开放的端口 523

23.3.7　基于Web的管理界面 525

23.3.8 初始化CS-MARS 526

23.4 总结 527

23.5　参考 528

第5部分　安全管理 533

第24章　安全和策略管理 533

24.1　Cisco安全管理解决方案 533

24.2　Cisco安全管理器 534

24.2.1 Cisco安全管理器——特性和能力 534

24.2.2 Cisco安全管理器——防火墙管理 536

24.2.3 Cisco安全管理器——VPN管理 536

24.2.4 Cisco安全管理器——IPS管理 537

24.2.5 Cisco安全管理器——平台管理 538

24.2.6 Cisco安全管理器——系统架构 538

24.2.7 Cisco安全管理器——配置视图 539

24.2.8 Cisco安全管理器——管理设备 541

24.2.9 Cisco安全管理器——工作流模式 541

24.2.10 Cisco安全管理器——基于角色的访问控制（RBAC） 542

24.2.11 Cisco安全管理器——交叉启动xDM 543

24.2.12 Cisco安全管理器——支持的设备和OS版本 545

24.2.13 Cisco安全管理器——服务器和客户端的要求与限制 546

24.2.14 Cisco安全管理器——必需的流量和需要开放的端口 547

24.3 Cisco路由器和安全设备管理器（SDM） 549

24.3.1 Cisco SDM——特性和能力 549

24.3.2 Cisco SDM——如何工作 550

24.3.3 Cisco SDM——路由器安全审计特性 552

24.3.4 Cisco SDM——步锁定特性 552

24.3.5 Cisco SDM——监测模式 553

24.3.6 Cisco SDM——支持的路由器和IOS版本 554

24.3.7 Cisco SDM——系统要求 555

24.4 Cisco自适应安全设备管理器（ASDM） 556

24.4.1 Cisco ASDM——特性和能力 556

24.4.2 Cisco ASDM——如何工作 556

24.4.3 Cisco ASDM——数据包追踪器程序 559

24.4.4 Cisco ASDM——系统日志到访问规则的关联 559

24.4.5 Cisco ASDM——支持的防火墙和软件版本 560

24.4.6 Cisco ASDM——用户要求 560

24.5 Cisco PIX设备管理器（PDM） 560

24.6 Cisco IPS设备管理器（IDM） 561

24.6.1 Cisco IDM——如何工作 562

24.6.2 Cisco IDM——系统要求 562

24.7 总结 563

24.8　参考 563

第25章　安全框架与法规遵从性 567

25.1 安全模型 567

25.2　策略、标准、部署准则和流程 568

25.2.1 安全策略 569

25.2.2　标准 569

25.2.3　部署准则 569

25.2.4　流程 569

25.3　最佳做法框架 570

25.3.1 ISO/IEC 17799（现为ISO/IEC 27002） 570

25.3.2 COBIT 571

25.3.3 17799/27002和COBIT的对比 571

25.4　遵从性和风险管理 572

25.5　法规遵从性和立法行为 572

25.6　GLBA——格雷姆－里奇－比利雷法 572

25.6.1 对谁有效 573

25.6.2 GLBA的要求 573

25.6.3 违规处罚 574

25.6.4 满足GLBA的Cisco解决方案 574

25.6.5　GLBA总结 574

25.7　HIPAA——健康保险可携性与责任法案 575

25.7.1 对谁有效 575

25.7.2 HIPAA的要求 575

25.7.3　违规处罚 575

25.7.4　满足HIPAA的Cisco解决方案 576

25.7.5　HIPAA总结 576

25.8　SOX——萨班斯－奥克斯利法案 576

25.8.1　对谁有效 577

25.8.2　SOX法案的要求 577

25.8.3　违规处罚 578

25.8.4 满足SOX的Cisco解决方案 579

25.8.5 SOX总结 579

25.9　法规遵从性规章制度的全球性展望 579

25.9.1　在美国 580

25.9.2　在欧洲 580

25.9.3　在亚太地区 580

25.10　Cisco自防御网络解决方案 581

25.11 总结 581

25.12　参考 581