思科网络技术学院教程 网络安全 第一、二学期PDF电子书下载

第一学期 2

第1章 弱点、威胁、攻击 2

1.1关键术语 2

1.2网络安全简介 3

1.2.1网络安全需求 3

1.2.2识别网络安全的潜在风险 5

1.2.3开放的与封闭的安全模型 5

1.2.4网络安全的发展趋势 9

1.2.5信息安全组织 11

1.3弱点、威胁和攻击介绍 12

1.3.1弱点 13

1.3.2威胁 14

1.3.3攻击 15

1.4攻击事例 16

1.4.1侦查攻击 17

1.4.2访问攻击 18

1.4.3拒绝服务（DoS）攻击 21

1.4.4假冒/IP欺骗攻击 22

1.4.5分布式拒绝服务攻击 23

1.4.6恶意代码 25

1.5弱点分析 27

1.5.1政策定位 27

1.5.2网络分析 27

1.5.3主机分析 30

1.5.4分析工具 31

1.6总结 31

1.7检查你的理解 32

第2章 安全计划与策略 34

2.1关键术语 34

2.2关于网络安全及Cisco 34

2.2.1安全轮（Security Wheel） 35

2.2.2网络安全策略 37

2.3端点保护和管理 39

2.3.1基于主机和服务器的安全组件和技术 39

2.3.2PC管理 41

2.4网络保护和管理 42

2.4.1基于网络的安全组件和技术 42

2.4.2网络安全管理 47

2.5安全体系 50

2.5.1安全体系SAFE 50

2.5.2Cisco自防卫网络 51

2.5.3保护连通性（secureconnectivity） 51

2.5.4威胁防范（ThreatDefense） 52

2.5.5Cisco集成安全 54

2.5.6计划、设计、实施、运行、优化模型（PDIOO、Plan、Design、Implement、Operate、Optimize） 55

2.6基本的路由器安全 57

2.6.1控制对网络设备的访问 57

2.6.2使用SSH进行远程配置 59

2.6.3路由器口令 60

2.6.4路由器优先级和账户 62

2.6.5Cisco IOS网络服务 63

2.6.6路由、代理ARP、ICMP 68

2.6.7路由协议认证和升级过滤 70

2.6.8NTP.SNMP、路由器名、DNS 72

2.7总结 74

2.8检查你的理解 74

第3章 安全设备 76

3.1可选设备 76

3.1.1Cisco防火墙特性集 77

3.1.2创建用户的防火墙 78

3.1.3PIX安全设备 78

3.1.4自适应安全设备 79

3.1.5Finesse操作系统 81

3.1.6自适应安全算法 81

3.1.7防火墙服务模块 81

3.2使用安全设备管理器 82

3.2.1使用SDM启动向导 83

3.2.2SDM用户界面 84

3.2.3SDM向导 85

3.2.4用SDM配置WAN 85

3.2.5使用恢复出厂配置向导 86

3.2.6监控模式 86

3.3Cisco安全设备家族介绍 88

3.3.1PIX501安全设备 88

3.3.2PIX506E安全设备 88

3.3.3PIX515E安全设备 88

3.3.4PIX525安全设备 88

3.3.5PIX535安全设备 89

3.3.6自适应安全设备模块 89

3.3.7PIX安全设备许可证 91

3.3.8PIXVPN加密许可 91

3.3.9安全上下文 92

3.3.10PIX安全设备上下文许可证 92

3.3.11ASA安全设备许可证 92

3.3.12扩展PIX515E特性 93

3.3.13扩展PIX525特性 93

3.3.14扩展PIX535特性 93

3.3.15扩展自适应安全设备家族的特性 94

3.4开始配置PIX安全设备 94

3.4.1配置PIX安全设备 95

3.4.2帮助命令 96

3.4.3安全级别 96

3.4.4基本PIX安全设备的配置命令 97

3.4.5其他PIX安全设备的配置命令 1

3.4.6检查PIX安全设备的状态 105

3.4.7时间设置和NTP支持 108

3.4.8日志（syslog）配置 109

3.5安全设备的转换和连接 111

3.5.1传输协议 111

3.5.2NAT 112

3.5.3动态内部NAT 114

3.5.4两个接口的NAT 114

3.5.53个接口的NAT 115

3.5.6PAT 116

3.5.7增加PAT的全局地址池 118

3.5.8static命令 118

3.5.9nat0命令 120

3.5.10连接和转换 121

3.6用自适应安全设备管理器管理PIX 127

3.6.1ASDM运行需求 127

3.6.2ASDM的准备 129

3.6.3使用ASDM配置PIX安全设备 130

3.7PIX安全设备的路由功能 131

3.7.1虚拟LAN 131

3.7.2静态和RIP路由 135

3.7.3OSPF 137

3.7.4多播路由 140

3.8防火墙服务模块的运行 143

3.8.1FWSM的运行要求 144

3.8.2开始使用FWSM 144

3.8.3校验FWSM的安装 145

3.8.4配置FWSM的访问列表 146

3.8.5在FWSM上使用PDM 147

3.8.6重置和重启FWSM 147

3.9总结 148

3.10检查你的理解 148

第4章 信任和身份技术 150

4.1关键术语 150

4.2AAA 150

4.2.1TACACS 151

4.2.2RADIUS 151

4.2.3TACACS+和RADIUS的比较 153

4.3验证技术 154

4.3.1静态口令 154

4.3.2一次性口令 154

4.3.3令牌卡 155

4.3.4令牌卡和服务器方法 155

4.3.5数字证书 156

4.3.6生物测定学 157

4.4基于身份网络服务（IBNS） 158

4.5有线的和无线的执行 160

4.6网络准入控制（NAC） 161

4.6.1NAC组成 161

4.6.2NAC阶段 162

4.6.3NAC运行 163

4.6.4NAC厂商的参与 164

4.7总结 165

4.8检查你的理解 165

第5章 Cisco安全访问控制服务器 167

5.1关键术语 167

5.2Cisco安全访问控制服务器产品概述 167

5.2.1验证和用户数据库 169

5.2.2Cisco安全ACS用户数据库 169

5.2.3保持数据库稳定 170

5.2.4基于Windows的Cisco安全ACS体系架构 171

5.2.5Cisco安全ACS如何验证用户 172

5.2.6用户可更改的口令 174

5.3使用Cisco安全ACS配置TACACS+和RADIUS 175

5.3.1安装步骤 175

5.3.2管理基于Windows的Cisco安全ACS 176

5.3.3排错 177

5.3.4启用TACACS+ 178

5.4检验TACACS+ 180

5.4.1失败 180

5.4.2通过 181

5.5配置RADIUS 183

5.6总结 183

5.7检查你的理解 184

第6章 在三层配置信任和身份 186

6.1关键术语 186

6.2CiscoIOS防火墙认证代理 186

6.2.1认证代理的运行 186

6.2.2支持的AAA服务器 187

6.2.3AAA服务器配置 188

6.2.4AAA配置 188

6.2.5允许AAA流量到路由器 190

6.2.6认证代理配置 191

6.2.7测试和验证认证代理 192

6.3介绍PIX安全器件AAA特性 193

6.3.1PIX安全器件认证 193

6.3.2PIX安全器件授权 194

6.3.3PIX安全器件计费 195

6.3.4AAA服务器支持 195

6.4在PIX安全器件上配置AAA 196

6.4.1PIX安全器件访问认证 196

6.4.2交互式用户认证 196

6.4.3本地用户数据库 198

6.4.4认证提示和超时 199

6.4.5直通代理认证 200

6.4.6认证非Telnet、FTP、HTTP或HTTPS流量 201

6.4.7隧道用户认证 203

6.4.8授权配置 204

6.4.9可下载的ACL 205

6.4.10计费配置 207

6.4.11控制台会话计费 208

6.4.12命令计费 209

6.4.13AAA配置故障处理 209

6.5总结 212

6.6检查你的理解 212

第7章 在二层配置信任和身份 214

7.1关键术语 214

7.2基于身份的网络服务（IBNS） 214

7.2.1特点及好处 214

7.2.2IEEE802.1x 215

7.2.3选择正确的EAP 219

7.2.4CiscoLEAP 220

7.2.5IBNS和Cisco安全ACS 221

7.2.6部署ACS的考虑 223

7.2.7Cisco安全ACSRADIUS配置 224

7.3配置802.1x基于端口的认证 225

7.3.1使能802.1x认证 227

7.3.2配置交换机到RADIUS服务器的通信 227

7.3.3使能周期性重认证 228

7.3.4手工重认证连接到端口的客户 229

7.3.5使能多主机 229

7.3.6将802.1x配置重设为默认值 229

7.3.7查看802.1x统计信息和状态 229

7.4总结 230

7.5检查你的理解 230

第8章 在路由器上配置过滤 232

8.1关键术语 232

8.2过滤和访问列表 232

8.2.1数据包过滤 233

8.2.2状态过滤 233

8.2.3URL过滤 235

8.3CiscoIOS防火墙基于上下文的访问控制 235

8.3.1CBAC数据包 236

8.3.2CiscoIOSACL 236

8.3.3CBAC如何运行 236

8.3.4CBAC所支持的协议 238

8.4配置CiscoIOS防火墙基于上下文的访问控制 239

8.4.1CBAC配置任务 239

8.4.2准备CBAC 239

8.4.3设置审计跟踪和警告 240

8.4.4设置全局超时时间 241

8.4.5设置全局阈值 242

8.4.6主机限制的半开连接 243

8.4.7系统定义的端口与应用映射 243

8.4.8用户定义的PAM 244

8.4.9设定应用的检测规则 245

8.4.10为IP分片定义检测规则 246

8.4.11定义ICMP检测规则 247

8.4.12将检测规则和ACL应用于接口 248

8.5测试与校验CBAC 251

用SDM配置CiscoIOS防火墙 252

8.6总结 253

8.7检查你的理解 253

第9章 在PIX安全器件上配置过滤 256

9.1关键术语 256

9.2配置ACL和内容过滤 256

9.2.1PIX安全器件ACL 257

9.2.2配置ACL 258

9.2.3ACL行号 259

9.2.4icmp命令 259

9.2.5nat0ACL 260

9.2.6TurboACL 262

9.2.7使用ACL 262

9.2.8恶意代码过滤 265

9.2.9URL过滤 266

9.3对象分组 268

9.3.1开始使用对象分组 269

9.3.2配置对象分组 269

9.3.3嵌套对象分组 271

9.3.4管理对象分组 274

9.4配置安全器件模块策略 275

9.4.1配置一个类映射 277

9.4.2配置一个策略映射 277

9.4.3配置一个服务策略 279

9.5配置高级协议检查 280

9.5.1默认流量检查和端口号 280

9.5.2FTP检查 283

9.5.3FTP深度报文检查 285

9.5.4HTTP检查 286

9.5.5协议应用程序检查 287

9.5.6多媒体支持 291

9.5.7实时流协议（Real-TimeStreamingProtocol，RSTP） 291

9.5.8支持IP电话所需要的协议 293

9.5.9DNS检查 295

9.6总结 296

9.7检查你的理解 297

第10章 在交换机上配置过滤 299

10.1关键术语 299

10.2二层攻击简介 299

10.3MAC地址、ARP和DHCP攻击 300

10.3.1减少CAM表过载攻击 301

10.3.2MAC欺骗：中间人攻击 302

10.3.3ARP欺骗 303

10.4DHCP侦听（DHCPSnooping） 303

10.4.1动态ARP检测 305

10.4.2DHCP耗尽攻击（DHCPStarvationAttacks） 305

10.5VLAN攻击 306

10.5.1VLAN跳跃攻击 306

10.5.2私用VLAN攻击 308

10.5.3私用VLAN防御 308

10.6生成树协议攻击 309

10.7总结 310

10.8检查你的理解 310

第二学期 314

第1章 入侵检测和防御技术 314

1.1关键术语 314

1.2入侵检测和防御介绍 314

1.2.1基于网络与基于主机 315

1.2.2警报的类型 315

1.3检测引擎 317

1.3.1基于签名的探测 317

1.3.2签名的类型 317

1.3.3基于异常状态检测 318

1.4Cisco的IDS和IPS设备 319

1.4.1Cisco集成的解决方案 319

1.4.2CiscoIPS4200系列探测器 320

1.5总结 320

1.6检查你的理解 321

第2章 配置网络入侵检测和入侵防护 322

2.1关键术语 322

2.2CiscoIOS入侵防护系统（IPS） 322

2.2.1CiscoIOS入侵防护系统的起源 324

2.2.2路由器的性能 324

2.2.3CiscoIOS入侵防护系统特征库 324

2.2.4配置CiscoIOS入侵防护系统的过程 325

2.3在PIX安全设备上启用攻击防护功能（attackguards） 329

2.3.1MailGuard 329

2.3.2DNSGuard 329

2.3.3FragGuard和虚拟重组（VirtualReassembly） 330

2.3.4AAA泛洪防护 331

2.3.5SYN泛洪保护 332

2.3.6TCPintercept 332

2.3.7SYNCookies 333

2.3.8连接限制 333

2.4在PIX安全设备上配置入侵防护 334

2.4.1入侵检测和PIX安全设备 334

2.4.2配置入侵防护 335

2.4.3配置IDS策略 336

2.5在PIX安全设备上配置阻断（shunning） 337

2.6总结 338

2.7检查你的理解 339

第3章 加密与VPN技术 341

3.1关键术语 341

3.2加密的基本方法 341

3.2.1对称加密 341

3.2.2不对称加密 342

3.2.3Diffie-Hellman 343

3.3完整性要素 344

3.3.1散列 345

3.3.2散列方法认证码HMAC 345

3.3.3数字签名和证书 346

3.4实现数字证书 348

3.4.1认证中心支持 348

3.4.2简单证书注册协议SCEP 349

3.4.3CA服务器 349

3.4.4使用CA注册一台设备 352

3.5VPN拓扑 352

3.5.1站点到站点VPN 353

3.5.2远程访问VPN 353

3.6VPN技术 354

3.6.1WebVPN 355

3.6.2隧道协议 356

3.6.3隧道接口 358

3.6.4IPSec 358

3.6.5认证头AH 359

3.6.6封装安全载荷ESP 361

3.6.7隧道和传输模式 361

3.6.8安全关联 363

3.6.9IPSec的5个步骤 364

3.6.10因特网密钥交换IKE 366

3.6.11IKE和IPSec 367

3.6.12CiscoVPN解决方案 368

3.7总结 369

3.8检查你的理解 369

第4章 使用预共享密钥配置站点到站点VPN 371

4.1关键术语 371

4.2使用预共享密钥的IPSec加密 371

4.2.1规划IKE和IPSec策略 373

4.2.2步骤1：确定ISAKMP（IKE阶段1）策略 373

4.2.3步骤2：定义IPSec（IKE阶段2）策略 375

4.2.4步骤3：检查当前配置 375

4.2.5步骤4：确保网络在没有加密时也能工作 376

4.2.6步骤5：确认ACL允许IPSec 377

4.3使用预共享密钥在路由器上配置IKE 378

4.3.1步骤1：启用或禁止IKE 378

4.3.2步骤2：创建IKE策略 378

4.3.3步骤3：配置预共享密钥 381

4.3.4步骤4：验证IKE配置 382

4.4使用预共享密钥为路由器配置IPSec 382

4.4.1步骤1：配置变换集 382

4.4.2步骤2：确定IPSec（IKE阶段2）策略 384

4.4.3步骤3：创建加密ACL 384

4.4.4步骤4：创建加密图 386

4.4.5步骤5：将加密图应用到接口 387

4.5测试和验证路由器的IPSec配置 388

4.5.1查看配置的ISAKMP策略 388

4.5.2显示配置的变换集 389

4.5.3显示IPSecSA的当前状态 389

4.5.4显示配置的加密图 389

4.5.5打开IPSec事件的调试输出 390

4.5.6打开ISAKMP事件的调试输出 390

4.5.7使用SDM配置一个VPN 391

4.6使用预共享密钥配置一个PIX安全器件站点到站点VPN 391

4.6.1任务1：准备配置VPN支持 392

4.6.2任务2：配置IKE参数 392

4.6.3任务3：配置IPSec参数 394

4.6.4任务4：测试和验证IPSec配置 397

4.7总结 398

4.8检查你的理解 398

第5章 使用数字证书配置站点到站点VPN 400

5.1关键术语 400

5.2在路由器上配置CA支持 400

5.2.1步骤1：管理NVRAM 401

5.2.2步骤2：设置路由器的时间和日期 402

5.2.3步骤3：在路由器主机表中加入CA服务器条目 402

5.2.4步骤4：生成RSA密钥对 403

5.2.5步骤5：声明一个CA 405

5.2.6步骤6：认证CA 406

5.2.7步骤7：为路由器申请一个证书 407

5.2.8步骤8：保存配置 407

5.2.9步骤9：监视和维护CA互操作性 408

5.2.10步骤10：验证CA支持配置 409

5.3使用数字证书配置CiscoIOS路由器站点到站点VPN 410

5.3.1任务1：准备IKE和IPSec 411

5.3.2任务2：配置CA支持 411

5.3.3任务3：配置IKE 412

5.3.4任务4：配置IPSec 413

5.3.5任务5：测试和验证IPSec 413

5.4使用数字证书配置PIX安全设备站点到站点VPN 413

5.5总结 415

5.6检查你的理解 415

第6章 配置远程访问VPN 417

6.1关键术语 417

6.2CiscoEasyVPN介绍 417

6.2.1EasyVPN服务器概览 418

6.2.2CiscoEasyVPNRemote概览 418

6.2.3CiscoEasyVPN如何工作 419

6.3CiscoEasyVPN服务器配置任务 421

6.3.1任务1：创建一个IP地址池 422

6.3.2任务2：配置组策略查找 422

6.3.3任务3：为远程VPN客户访问创建ISAKMP策略 423

6.3.4任务4：为模式配置推送定义一个组策略 423

6.3.5任务5：创建一个变换集 424

6.3.6任务6：创建一个带RRI的加密图 424

6.3.7任务7：将模式配置应用到动态加密图 425

6.3.8任务8：将动态加密图应用到路由器接口上 426

6.3.9任务9：使能IKE失效对等体检测 426

6.3.10任务10：（可选）配置XAUTH 427

6.3.11任务11：（可选）启用XAUTH保存口令特性 427

6.4CiscoEasyVPN客户端4.x配置任务 428

6.4.1任务1：在远程用户的PC上安装CiscoVPN客户端4.x 428

6.4.2任务2：创建一个新的客户端连接条目 429

6.4.3任务3：选择一个认证方法 429

6.4.4任务4：配置透明隧道 430

6.4.5任务5：启用并增加备份服务器 432

6.4.6任务6：通过拨号网络配置一条到因特网的连接 432

6.5为接入路由器配置CiscoEasyVPNRemote 433

6.5.1EasyVPNRemote操作模式 434

6.5.2接入路由器的CiscoEasyVPNRemote配置任务 435

6.6配置PIX安全器件作为EasyVPN服务器 439

6.6.1任务1：为远程VPN客户端访问创建一个ISAKMP策略 439

6.6.2任务2：创建一个IP地址池 439

6.6.3任务3：为模式配置推送定义一个组策略 440

6.6.4任务4：创建一个变换集 442

6.6.5任务5至任务7：动态加密图 442

6.6.6任务8：配置XAUTH 443

6.6.7任务9：配置NAT和NAT0 443

6.6.8任务10：启用IKEDPD 443

6.7配置PIX501或506E作为EasyVPN客户端 444

6.7.1PIX安全器件EasyVPNRemote特性概览 444

6.7.2EasyVPNRemote配置 445

6.7.3EasyVPN客户端模式以及启用EasyVPNRemote客户端 446

6.7.4EasyVPNRemote认证 447

6.8配置适应性安全器件支持WebVPN 448

6.8.1WebVPN最终用户接口 448

6.8.2配置WebVPN常用参数 450

6.8.3配置WebVPN服务器和URL 452

6.8.4配置WebVPN端口转发 453

6.8.5配置WebVPNE-mail代理 455

6.8.6配置WebVPN内容过滤器和ACL 455

6.9总结 456

6.10检查你的理解 456

第7章 安全网络体系和管理 458

7.1关键术语 458

7.2影响二层消除技术的因素 458

7.2.1单安全区域、单用户组、单物理交换机 459

7.2.2单安全区域、单用户组、多物理交换机 461

7.2.3单安全区域、多用户组、单物理交换机 462

7.2.4单安全区域、多用户组、多物理交换机 462

7.2.5多安全区域、单用户组、单物理交换机 463

7.2.6多安全区域、单用户组、多物理交换机 464

7.2.7多安全区域、多用户组、单物理交换机 465

7.2.8多安全区域、多用户组、多物理交换机 466

7.2.9二层安全最佳实践 467

7.3SDM安全审计 468

7.4路由器管理中心 470

7.4.1Hub-and-Spoke拓扑 472

7.4.2VPN设置和策略 472

7.4.3设备层级和继承 472

7.4.4活动 473

7.4.5工作 473

7.4.6构建块 473

7.4.7支持的隧道技术 473

7.4.8安装RouterMC 474

7.4.9开始使用RouterMC 475

7.4.10RouterMC界面 476

7.4.11RouterMC标签 477

7.4.12基本工作流和任务 480

7.5简单网络管理协议SNMP 481

7.5.1SNMP介绍 481

7.5.2SNMP安全 483

7.5.3SNMP版本3（SNMPv3） 484

7.5.4SNMP管理应用程序 485

7.5.5在CiscoIOS路由器上配置SNMP支持 486

7.5.6在PIX安全器件上配置SNMP支持 489

7.6总结 490

7.7检查你的理解 490

第8章 PIX安全器件上下文、故障倒换和管理 492

8.1关键术语 492

8.2配置PIX安全器件在多上下文模式中运行 492

8.2.1启用多上下文模式 495

8.2.2配置安全上下文 496

8.2.3管理安全上下文 497

8.3配置PIX安全器件故障倒换 497

8.3.1理解故障倒换 497

8.3.2故障倒换的要求 499

8.3.3基于串行电缆的故障倒换配置 500

8.3.4基于LAN的活跃／备用故障倒换配置 501

8.3.5活跃／活跃故障倒换 502

8.3.6配置透明防火墙模式 502

8.3.7透明防火墙模式概览 503

8.3.8启用透明防火墙模式 504

8.3.9监控和维护透明防火墙 506

8.4PIX安全器件管理 507

8.4.1管理Telnet访问 507

8.4.2管理SSH访问 508

8.4.3命令授权 509

8.4.4PIX安全器件口令恢复 511

8.4.5适应性安全器件口令恢复 512

8.4.6文件管理 512

8.4.7映像升级和认证密钥 514

8.5总结 515

8.6检查你的理解 516

附录A“检查你的理解”部分的答案 518

术语表 527