前言 1
第1部分 理解网络安全 5
第1章 认识网络安全的威胁 7
1.1安全威胁背后的动机 7
1.1.1 攻击背后的动机 7
1.1.2 攻击行为对网络的影响 8
1.2 网络安全的需求 8
1.3 网络安全上的弱点 9
1.3.1 技术 10
1.3.2 实现 11
1.3.3 策略框架的脆弱性 12
1.4 安全威胁的种类 13
1.4.1 谁是入侵者 13
1.4.2 安全威胁的分类 14
1.5 制定和评估安全策略 21
1.5.1 风险分析 22
1.5.2 网络安全策略的构成 24
1.5.3 准备安全策略 26
1.5.4 一个安全策略的模板 27
1.5.5 网络安全监视 29
1.6 案例研究 31
1.6.1 范围和权限的定义 32
1.6.2 关于计算机使用的策略 33
1.6.3 鉴别和识别用户的策略 33
1.6.4 远程访问的策略 33
1.6.5 访问因特网的策略 34
1.7 小结 34
2.1保护网站 35
第2章 互联网协议的网络安全 35
2.1.1 保护敏感数据 36
2.1.2 按可信程度划分网络 37
2.1.3 建立安全边界 38
2.1.4 边界网络 38
2.1.5 保护网站 39
2.2 网络的完整性 41
2.2.1 MD5标准 41
2.2.2 PGP标准 42
2.3 理解运输层的安全 42
2.3.1 安全外壳协议 43
2.3.2 安全套接层协议 44
2.3.3 PCT协议 46
2.3.4 TLS协议 47
2.4.1 IPSec协议 48
2.4 理解网络层的安全 48
2.4.2 IPv6协议 50
2.5 理解数据链路层的安全 50
2.5.1 点对点协议 51
2.5.2 虚拟局域网 52
2.5.3 虚拟专用网 54
2.6 关于IP安全的Cisco软硬件产品 55
2.6.1 Cisco Secure PIX Firewall 56
2.6.2 Cisco IOS Firewall 56
2.6.3 Cisco Secure Scanner 57
2.6.4 Cisco Secure Policy Manager 57
2.6.5 Cisco Secure Intrusion-Detection System 57
2.6.6 Cisco Secure Access Control Server 58
2.6.7 Cisco IOS软件 58
2.7 小结 59
2.6.8 Cisco Security Posture Assessment 59
第3章 入侵检测 61
3.1 理解入侵检测的概念 61
3.1.1 基于网络的入侵检测系统 61
3.1.2 基于主机的入侵检测系统 64
3.1.3 比较两种入侵检测系统 66
3.2 网络攻击和入侵的原因 67
3.2.1 错误的配置 67
3.2.2 无效的安全策略 67
3.2.3 技术上的缺陷 68
3.3 TCP/IP协议组的缺陷 68
3.3.1 物理层和数据链路层 69
3.3.2 网络层 69
3.3.5 ICMP的缺陷 70
3.3.4 应用层 70
3.3.3 运输层 70
3.3.6 RIP的缺陷 71
3.4 Cisco安全策略 71
3.4.1 防火墙 71
3.4.2 加密 75
3.4.3 鉴别 77
3.4.4 访问控制表 78
3.5 Cisco IOS入侵检测系统 79
3.5.1 Cisco IOS入侵检测系统的特性 79
3.5.2 管理防火墙 81
3.5.3 配合使用Cisco IOS软件和Cisco IOS防火墙 81
3.5.4 Cisco IOS防火墙的用户 81
3.5.5 Cisco IOS入侵检测系统特征信号列表 81
3.5.6 Cisco安全入侵检测系列产品 82
3.6 小结 83
第2部分 提高网络安全性 85
第4章 提高网络基础设施的安全性 87
4.1 园区网的安全问题 88
4.2 管理接口的安全化 88
4.2.1 保护控制台访问 89
4.2.2 加密口令 92
4.2.3 管理会话超时 93
4.2.4 使用标志消息作为欢迎和指示信息 93
4.2.5 控制Telnet访问 94
4.2.6 管理HTTP访问 96
4.2.7 控制SNMP访问 97
4.3 保护物理设备 99
4.4.2 鉴别选路协议 100
4.4 提高路由器到路由器通信的安全性 100
4.4.1 配置文件安全 100
4.4.3 通过过滤器进行流量控制 101
4.5 提高以太网交换机的安全性 103
4.5.1 以太网交换机的控制访问 103
4.5.2 端口安全 104
4.5.3 访问安全 104
4.6 案例研究 105
4.6.1 方案说明 105
4.6.2 配置举例 106
4.7 小结 108
第5章 通过ACL提高网络安全性 109
5.1 基于策略的选路 109
5.1.2 sct命令 110
5.2 访问表概述 110
5.1.1 match命令 110
5.2.1 访问表的操作过程 112
5.2.2 如何实现访问表 114
5.2.3 配置访问表的基本命令 114
5.3 TCP/IP访问表 116
5.3.1 IP地址 116
5.3.2 子网划分 118
5.3.3 子网掩码 118
5.3.4 通配符掩码 120
5.3.5 标准IP访问表 122
5.3.6 扩展IP访问表 125
5.3.7 如何放置访问表 129
5.3.8 命名IP访问表 130
5.4.1 锁和键的运做过程 131
5.4 动态访问表 131
5.4.2 配置动态访问表 132
5.4.3 动态访问表的配置技巧 134
5.5 反访问表 135
5.5.1 用基本访问表和反访问表进行会话过滤 135
5.5.2 反访问表的运作过程 136
5.5.3 FTP问题 136
5.5.4 配置反访问表 137
5.5.5 反访问表配置实例 139
5.6 监视访问表 140
5.7 案例研究 141
5.7.1 方案说明 141
5.7.2 配置举例 141
5.8 小结 142
6.1 边界路由器 143
第6章 通过Cisco边界路由器保护网络 143
6.1.1 DMZ区域 144
6.1.2 堡垒主机 144
6.1.3 Cisco边界路由器的特性 146
6.1.4 边界路由器所执行的任务 147
6.1.5 Cisco路由器和Cisco IOS软件 149
6.2 NAT概述 149
6.3 使用NAT 150
6.3.1 NAT实现 151
6.3.2 地址转换类型 151
6.4 NAT操作 152
6.4.1 内部本地地址转换 152
6.4.2 超载内部全局地址 153
6.4.4 网络重叠 154
6.4.3 TCP负载分发 154
6.5 配置NAT 156
6.5.1 静态NAT映射 156
6.5.2 动态NAT配置 157
6.5.3 配置内部全局地址超载 158
6.5.4 配置TCP负载分发 159
6.5.5 配置NAT映射重叠地址 160
6.6 NAT的验证和故障定位 161
6.7 NAT的优点和缺点 162
6.7.1 NAT的优点 163
6.7.2 NAT的缺点 163
6.8 案例研究 163
6.8.1 方案说明 163
6.8.2 配置举例 163
6.9 小结 164
7.1.1 常见的网络安全攻击 165
第7章 Cisco加密技术 165
7.1 Cisco加密技术概述 165
7.1.2 理解加密和解密 166
7.1.3 实现加密 168
7.1.4 使用加密的应用 171
7.1.5 在哪里实现加密 171
7.1.6 AIM模块 173
7.1.7 Cisco IOS加密系统概述 173
7.2 配置Cisco加密 177
7.2.1 用DSS创建公钥和私钥 178
7.2.2 交换DSS公共密钥 178
7.2.3 使用DES加密算法 179
7.2.4 分类加密图并将其应用于接口 179
7.2.6 加密的测试和验证 181
7.2.5 用GRE隧道配置加密 181
7.2.7 Cisco加密技术的故障定位 183
7.2.8 用于定制加密的选项 183
7.3 小结 184
第3部分 通过防火墙提高安全性 185
第8章 Cisco IOS防火墙 187
8.1 Cisco IOS防火墙概述 187
8.1.1 Cisco IOS软件的特点 188
8.1.2 Cisco IOS的脆弱性 189
8.1.3 Cisco IOS防火墙的优点 189
8.2 Cisco IOS防火墙组件 190
8.3 基于上下文的访问控制 192
8.3.1 CBAC功能 192
8.3.2 CBAC的运做 193
8.3.3 CBAC的处理过程 194
8.3.4 配置CBAC 195
8.3.6 调试CBAC 203
8.3.5 验证CBAC 203
8.3.7 关闭CBAC 204
8.3.8 解释CBAC所产生的消息 205
8.3.9 CBAC的优点 206
8.3.10 CBAC的缺点 206
8.3.11 兼容性问题 207
8.3.12 Cisco IOS防火墙管理 207
8.3.13 CBAC配置 208
8.4 案例研究 208
8.4.1 方案说明 208
8.4.2 配置举例 209
8.5 小结 209
9.1 Cisco PIX简介 211
第9章 Cisco PIX防火墙 211
9.1.1 PIX ASA 212
9.1.2 直通式代理鉴别 214
9.1.3 管道和静态转换 214
9.2 各型号PIX防火墙的比较 215
9.2.1 Cisco Secure PIX 535防火墙 217
9.2.2 Cisco Secure PIX 525防火墙 217
9.2.3 Cisco Secure PIX 515防火墙 218
9.2.4 Cisco Secure PIX 506防火墙 219
9.2.5 Cisco Secure PIX 501防火墙 220
9.3 PIX防火墙的故障切换 220
9.4 配置PIX防火墙 221
9.4.1 非特权模式 222
9.4.2 特权模式 222
9.4.4 在接口上实施安全 223
9.4.3 配置模式 223
9.4.5 配置防火墙 224
9.4.6 保存配置 225
9.5 高级PIX防火墙功能 225
9.5.1 控制穿过防火墙的出站访问 226
9.5.2 控制穿过防火墙的入站访问 231
9.6 监视PIX防火墙配置 237
9.7 案例研究 239
9.8 小结 241
第4部分 理解和实现AAA 243
第10章 Cisco AAA安全技术 245
10.1 通过AAA提高网络访问的安全性 245
10.1.1 AAA安全服务 245
10.1.3 AAA安全服务器 247
10.1.2 AAA和访问通信流 247
10.1.4 Cisco安全访问控制服务器 254
10.2 鉴别方法 256
10.2.1 用户名/口令鉴别 256
10.2.2 S/Key鉴别 258
10.2.3 安全卡 259
10.2.4 PPP上的PAP和CHAP鉴别 261
10.2.5 TACACS+鉴别 264
10.2.6 RADIUS鉴别 264
10.2.7 Kerberos鉴别 265
10.3 授权方法 267
10.3.1 TACACS+授权 268
10.3.2 RADIUS授权 269
10.4 记帐方法 269
10.4.1 TACACS+记帐 270
10.4.2 RADIUS记帐 271
10.5 理解代理鉴别 272
10.5.1 关于鉴别代理的讨论 272
10.5.2 配置鉴别代理 273
10.6 小结 274
第11章 配置网络接入服务器使用AAA安全功能 275
11.1 AAA安全服务器 275
11.1.1 AAA与本地安全数据库的关系 275
11.1.2 AAA与远程安全数据库的关系 276
11.1.3 Cisco支持的远程安全数据库标准 277
11.1.4 保护远程访问安全所面对的挑战 278
11.1.5 在NAS上配置AAA 278
11.2 保护特权EXEC和配置模式的安全 279
11.3 配置AAA鉴别概貌文件 280
11.5 配置AAA记帐 282
11.4 允许AAA授权 282
11.6 案例研究 283
11.6.1 方案说明 283
11.6.2 配置举例 283
11.7 小结 285
第5部分 虚拟专用网 287
第12章 虚拟专用网基础 289
12.1 VPN简介 289
12.1.1 实现VPN的方法 291
12.1.2 完整VPN解决方案的特性 292
12.2 为什么要实现VPN 293
12.2.1 VPN关注的问题 293
12.2.2 用户机构获得的好处 294
12.2.3 ISP获得的好处 294
12.2.4 部署VPN应考虑的事项 297
12.3 在VPN中传输数据 299
12.4 VPN的类型 301
12.4.1 内联网VPN 301
12.4.2 外联网VPN 302
12.4.3 远程访问VPN 303
12.5 隧道协议 304
12.5.1 自愿隧道 304
12.5.2 强制隧道 305
12.5.3 PPTP 305
12.5.4 第2层转发协议 312
12.5.5 第2层隧道协议 317
12.5.6 PPTP,L2F和L2TP的比较 323
12.6.3 远程访问网络 324
12.6.2 连接商业伙伴和供应商的网络 324
12.6.1 连接分部办公室的网络 324
12.6 VPN案例 324
12.7 小结 325
第13章 提高虚拟专用网的安全性 327
13.1 基本VPN技术 327
13.1.1 点到点隧道协议 327
13.1.2 第2层转发 328
13.1.3 第2层隧道协议 328
13.1.4 IPSec 329
13.2 IPSec概述 329
13.2.1 创建鉴别首部 330
13.2.2 封装安全净载 331
13.2.3 因特网密钥交换 331
13.2.4 IPSec的工作过程 333
13.3.2 配置IKE 335
13.3 实现IPSec 335
13.3.1 为IPSec做规划 335
13.3.3 配置IPSec 336
13.3.4 验证IPSec 338
13.4 Cisco Secure VPN客户软件 338
13.4.1 Cisco Secure VPN客户软件完成的任务 338
13.4.2 Cisco Secure VPN客户软件的功能特点 339
13.4.3 安装Cisco Secure VPN客户软件的系统需求 339
13.5 小结 342
第6部分 Cisco技术和安全产品 343
第14章 Cisco IOS IPSec 345
14.1 利用预共享密钥配置Cisco IPSec 345
14.1.1 为实施IPSec制定规划 345
14.1.2 配置IKE 346
14.1.3 在配置IPSec时使用变换集 348
14.1.4 验证IPSec配置 351
14.2 利用RSA加密随机数配置Cisco IOS IPSec 353
14.2.1 为IPSec做准备 353
14.2.2 配置RSA加密 354
14.2.3 为RSA加密随机数配置IKE 355
14.3 扩展Cisco VPN的范围 355
14.3.1 使用动态加密图 355
14.3.2 实施IKE模式配置 356
14.3.3 PIX防火墙上的IPSec扩展鉴别 357
14.3.4 配置隧道端点发现 358
14.4 小结 358
第15章 Cisco的网络安全管理产品 361
15.1 Cisco Works2000 ACL Manager 361
15.1.1 ACL Manager的功能特性 362
15.1.2 ACL Manager的工具 363
15.1.4 ACL Manager完成的任务 365
15.1.3 ACL Manager带来的好处 365
15.1.5 安装ACL Manager的配置需求 366
15.1.6 安装ACL Manager 366
15.1.7 ACL Manager支持的设备 367
15.2 Cisco安全策略管理器 367
15.2.1 CSPM的功能特性集 367
15.2.2 CSPM的版本 368
15.2.3 CSPM的许可证选项 369
15.2.4 CSPM的功能特性 369
15.2.5 CSPM的优点 370
15.2.6 配置任务 370
15.2.7 安装CSPM的配置需求 371
15.2.8 安装CSPM 371
15.2.11 CSPM支持的设备 373
15.2.9 登录到CSPM 373
15.2.10 CSPM的实现 373
15.3 Cisco Secure ACS 374
15.3.1 基于WindowsNT的Cisco Secure ACS 374
15.3.2 ACS的功能 376
15.3.3 CSNT的模块 378
15.3.4 安装CSNT的系统需求 381
15.3.5 配置CSNT 382
15.3.6 管理CSNT 383
15.3.7 配置CSNT管理员帐号 383
15.3.8 查找CSNT故障 384
15.3.9 基于UNIX的Cisco Secure ACS 384
15.4 小结 385
16.1.1 PIX防火墙管理器的组件 387
16.1 Cisco PIX防火墙管理器 387
第16章 Cisco防火墙和VPN管理产品 387
16.1.2 PIX防火墙管理器的优点 388
16.1.3 安装PIX防火墙管理器 388
16.1.4 SYSLOG报告 392
16.1.5 PIX管理器的局限性 392
16.2 VPN/安全管理解决方案 393
16.2.1 VMS带来的好处 393
16.2.2 VMS的组件 393
16.2.3 安装和更新Cisco Works2000 VMS 395
16.2.4 在清单中加入设备 398
16.2.5 更新清单中的设备 398
16.2.6 检验安装 398
16.3 小结 398
第7部分 网络基础知识 399
第17章 网络基础 401
17.2 网络模型 402
17.2.1 客户/服务器模型 402
17.2.2 对等网络模型 403
17.3 网络的分类 404
17.3.1 局域网 404
17.3.2 广域网 404
17.3.3 公用网 406
17.3.4 内联网 407
17.1 网络基础入门 410
17.3.5 外联网 410
17.4 网络拓扑结构 411
17.4.1 总线型拓扑结构 411
17.4.2 环形拓扑结构 412
17.4.4 星型总线型拓扑结构 413
17.4.3 星型拓扑结构 413
17.4.5 星型环型拓扑结构 414
17.5 网络传输媒体 415
17.5.1 同轴电缆 415
17.5.2 双绞线 417
17.5.3 光纤 418
17.5.4 IBM电缆系统 419
17.6 专线 420
17.6.1 常规专线 420
17.6.2 T1链路 420
17.6.3 T2链路 420
17.7 局域网的网络体系结构 421
17.7.1 以太网 421
17.6.5 T4链路 421
17.6.4 T3链路 421
17.7.2 令牌环 423
17.7.3 光纤分布式数据接口 424
17.7.4 异步传输模式 425
17.8 网络设备 425
17.8.1 中继器 426
17.8.2 集线器 426
17.8.3 网桥 426
17.8.4 路由器 427
17.8.5 桥式路由器 427
17.8.6 网关 428
17.8.7 调制解调器 428
17.8.8 交换机 428
17.9 网络管理 429
17.9.1 网络管理系统 429
17.9.2 网络管理系统的选择 430
17.9.3 网络管理体系结构 431
17.9.4 网络管理功能域 432
17.10 网络管理协议 436
17.10.1 SNMP模型 437
17.10.2 SNMPv2 441
17.10.3 CMIP 442
17.10.4 RMON 443
17.11 小结 446
第18章 OSI模型 447
18.1 标准化组织 447
18.2 OSI网络模型 448
18.2.1 物理层 448
18.2.2 数据链路层 449
18.2.3 网络层 456
18.2.4 运输层 457
18.2.5 会话层 458
18.2.6 表示层 459
18.2.7 应用层 459
18.3 OSI的数据传输 459
18.3.1 帧 460
18.3.2 数据传输 460
18.4 协议 461
18.4.1 数据链路层协议 461
18.4.2 网络层协议 463
18.4.3 运输层协议 466
18.5 小结 467
附录A 习题与参考答案 469
附录B 实验练习 539
词汇表 543