《Cisco网络安全宝典》PDF下载

前言 1

第1部分 理解网络安全 5

第1章 认识网络安全的威胁 7

1.1安全威胁背后的动机 7

1.1.1 攻击背后的动机 7

1.1.2 攻击行为对网络的影响 8

1.2 网络安全的需求 8

1.3 网络安全上的弱点 9

1.3.1 技术 10

1.3.2 实现 11

1.3.3 策略框架的脆弱性 12

1.4 安全威胁的种类 13

1.4.1 谁是入侵者 13

1.4.2 安全威胁的分类 14

1.5 制定和评估安全策略 21

1.5.1 风险分析 22

1.5.2 网络安全策略的构成 24

1.5.3 准备安全策略 26

1.5.4 一个安全策略的模板 27

1.5.5 网络安全监视 29

1.6 案例研究 31

1.6.1 范围和权限的定义 32

1.6.2 关于计算机使用的策略 33

1.6.3 鉴别和识别用户的策略 33

1.6.4 远程访问的策略 33

1.6.5 访问因特网的策略 34

1.7 小结 34

2.1保护网站 35

第2章 互联网协议的网络安全 35

2.1.1 保护敏感数据 36

2.1.2 按可信程度划分网络 37

2.1.3 建立安全边界 38

2.1.4 边界网络 38

2.1.5 保护网站 39

2.2 网络的完整性 41

2.2.1 MD5标准 41

2.2.2 PGP标准 42

2.3 理解运输层的安全 42

2.3.1 安全外壳协议 43

2.3.2 安全套接层协议 44

2.3.3 PCT协议 46

2.3.4 TLS协议 47

2.4.1 IPSec协议 48

2.4 理解网络层的安全 48

2.4.2 IPv6协议 50

2.5 理解数据链路层的安全 50

2.5.1 点对点协议 51

2.5.2 虚拟局域网 52

2.5.3 虚拟专用网 54

2.6 关于IP安全的Cisco软硬件产品 55

2.6.1 Cisco Secure PIX Firewall 56

2.6.2 Cisco IOS Firewall 56

2.6.3 Cisco Secure Scanner 57

2.6.4 Cisco Secure Policy Manager 57

2.6.5 Cisco Secure Intrusion-Detection System 57

2.6.6 Cisco Secure Access Control Server 58

2.6.7 Cisco IOS软件 58

2.7 小结 59

2.6.8 Cisco Security Posture Assessment 59

第3章 入侵检测 61

3.1 理解入侵检测的概念 61

3.1.1 基于网络的入侵检测系统 61

3.1.2 基于主机的入侵检测系统 64

3.1.3 比较两种入侵检测系统 66

3.2 网络攻击和入侵的原因 67

3.2.1 错误的配置 67

3.2.2 无效的安全策略 67

3.2.3 技术上的缺陷 68

3.3 TCP/IP协议组的缺陷 68

3.3.1 物理层和数据链路层 69

3.3.2 网络层 69

3.3.5 ICMP的缺陷 70

3.3.4 应用层 70

3.3.3 运输层 70

3.3.6 RIP的缺陷 71

3.4 Cisco安全策略 71

3.4.1 防火墙 71

3.4.2 加密 75

3.4.3 鉴别 77

3.4.4 访问控制表 78

3.5 Cisco IOS入侵检测系统 79

3.5.1 Cisco IOS入侵检测系统的特性 79

3.5.2 管理防火墙 81

3.5.3 配合使用Cisco IOS软件和Cisco IOS防火墙 81

3.5.4 Cisco IOS防火墙的用户 81

3.5.5 Cisco IOS入侵检测系统特征信号列表 81

3.5.6 Cisco安全入侵检测系列产品 82

3.6 小结 83

第2部分 提高网络安全性 85

第4章 提高网络基础设施的安全性 87

4.1 园区网的安全问题 88

4.2 管理接口的安全化 88

4.2.1 保护控制台访问 89

4.2.2 加密口令 92

4.2.3 管理会话超时 93

4.2.4 使用标志消息作为欢迎和指示信息 93

4.2.5 控制Telnet访问 94

4.2.6 管理HTTP访问 96

4.2.7 控制SNMP访问 97

4.3 保护物理设备 99

4.4.2 鉴别选路协议 100

4.4 提高路由器到路由器通信的安全性 100

4.4.1 配置文件安全 100

4.4.3 通过过滤器进行流量控制 101

4.5 提高以太网交换机的安全性 103

4.5.1 以太网交换机的控制访问 103

4.5.2 端口安全 104

4.5.3 访问安全 104

4.6 案例研究 105

4.6.1 方案说明 105

4.6.2 配置举例 106

4.7 小结 108

第5章 通过ACL提高网络安全性 109

5.1 基于策略的选路 109

5.1.2 sct命令 110

5.2 访问表概述 110

5.1.1 match命令 110

5.2.1 访问表的操作过程 112

5.2.2 如何实现访问表 114

5.2.3 配置访问表的基本命令 114

5.3 TCP/IP访问表 116

5.3.1 IP地址 116

5.3.2 子网划分 118

5.3.3 子网掩码 118

5.3.4 通配符掩码 120

5.3.5 标准IP访问表 122

5.3.6 扩展IP访问表 125

5.3.7 如何放置访问表 129

5.3.8 命名IP访问表 130

5.4.1 锁和键的运做过程 131

5.4 动态访问表 131

5.4.2 配置动态访问表 132

5.4.3 动态访问表的配置技巧 134

5.5 反访问表 135

5.5.1 用基本访问表和反访问表进行会话过滤 135

5.5.2 反访问表的运作过程 136

5.5.3 FTP问题 136

5.5.4 配置反访问表 137

5.5.5 反访问表配置实例 139

5.6 监视访问表 140

5.7 案例研究 141

5.7.1 方案说明 141

5.7.2 配置举例 141

5.8 小结 142

6.1 边界路由器 143

第6章 通过Cisco边界路由器保护网络 143

6.1.1 DMZ区域 144

6.1.2 堡垒主机 144

6.1.3 Cisco边界路由器的特性 146

6.1.4 边界路由器所执行的任务 147

6.1.5 Cisco路由器和Cisco IOS软件 149

6.2 NAT概述 149

6.3 使用NAT 150

6.3.1 NAT实现 151

6.3.2 地址转换类型 151

6.4 NAT操作 152

6.4.1 内部本地地址转换 152

6.4.2 超载内部全局地址 153

6.4.4 网络重叠 154

6.4.3 TCP负载分发 154

6.5 配置NAT 156

6.5.1 静态NAT映射 156

6.5.2 动态NAT配置 157

6.5.3 配置内部全局地址超载 158

6.5.4 配置TCP负载分发 159

6.5.5 配置NAT映射重叠地址 160

6.6 NAT的验证和故障定位 161

6.7 NAT的优点和缺点 162

6.7.1 NAT的优点 163

6.7.2 NAT的缺点 163

6.8 案例研究 163

6.8.1 方案说明 163

6.8.2 配置举例 163

6.9 小结 164

7.1.1 常见的网络安全攻击 165

第7章 Cisco加密技术 165

7.1 Cisco加密技术概述 165

7.1.2 理解加密和解密 166

7.1.3 实现加密 168

7.1.4 使用加密的应用 171

7.1.5 在哪里实现加密 171

7.1.6 AIM模块 173

7.1.7 Cisco IOS加密系统概述 173

7.2 配置Cisco加密 177

7.2.1 用DSS创建公钥和私钥 178

7.2.2 交换DSS公共密钥 178

7.2.3 使用DES加密算法 179

7.2.4 分类加密图并将其应用于接口 179

7.2.6 加密的测试和验证 181

7.2.5 用GRE隧道配置加密 181

7.2.7 Cisco加密技术的故障定位 183

7.2.8 用于定制加密的选项 183

7.3 小结 184

第3部分 通过防火墙提高安全性 185

第8章 Cisco IOS防火墙 187

8.1 Cisco IOS防火墙概述 187

8.1.1 Cisco IOS软件的特点 188

8.1.2 Cisco IOS的脆弱性 189

8.1.3 Cisco IOS防火墙的优点 189

8.2 Cisco IOS防火墙组件 190

8.3 基于上下文的访问控制 192

8.3.1 CBAC功能 192

8.3.2 CBAC的运做 193

8.3.3 CBAC的处理过程 194

8.3.4 配置CBAC 195

8.3.6 调试CBAC 203

8.3.5 验证CBAC 203

8.3.7 关闭CBAC 204

8.3.8 解释CBAC所产生的消息 205

8.3.9 CBAC的优点 206

8.3.10 CBAC的缺点 206

8.3.11 兼容性问题 207

8.3.12 Cisco IOS防火墙管理 207

8.3.13 CBAC配置 208

8.4 案例研究 208

8.4.1 方案说明 208

8.4.2 配置举例 209

8.5 小结 209

9.1 Cisco PIX简介 211

第9章 Cisco PIX防火墙 211

9.1.1 PIX ASA 212

9.1.2 直通式代理鉴别 214

9.1.3 管道和静态转换 214

9.2 各型号PIX防火墙的比较 215

9.2.1 Cisco Secure PIX 535防火墙 217

9.2.2 Cisco Secure PIX 525防火墙 217

9.2.3 Cisco Secure PIX 515防火墙 218

9.2.4 Cisco Secure PIX 506防火墙 219

9.2.5 Cisco Secure PIX 501防火墙 220

9.3 PIX防火墙的故障切换 220

9.4 配置PIX防火墙 221

9.4.1 非特权模式 222

9.4.2 特权模式 222

9.4.4 在接口上实施安全 223

9.4.3 配置模式 223

9.4.5 配置防火墙 224

9.4.6 保存配置 225

9.5 高级PIX防火墙功能 225

9.5.1 控制穿过防火墙的出站访问 226

9.5.2 控制穿过防火墙的入站访问 231

9.6 监视PIX防火墙配置 237

9.7 案例研究 239

9.8 小结 241

第4部分 理解和实现AAA 243

第10章 Cisco AAA安全技术 245

10.1 通过AAA提高网络访问的安全性 245

10.1.1 AAA安全服务 245

10.1.3 AAA安全服务器 247

10.1.2 AAA和访问通信流 247

10.1.4 Cisco安全访问控制服务器 254

10.2 鉴别方法 256

10.2.1 用户名/口令鉴别 256

10.2.2 S/Key鉴别 258

10.2.3 安全卡 259

10.2.4 PPP上的PAP和CHAP鉴别 261

10.2.5 TACACS+鉴别 264

10.2.6 RADIUS鉴别 264

10.2.7 Kerberos鉴别 265

10.3 授权方法 267

10.3.1 TACACS+授权 268

10.3.2 RADIUS授权 269

10.4 记帐方法 269

10.4.1 TACACS+记帐 270

10.4.2 RADIUS记帐 271

10.5 理解代理鉴别 272

10.5.1 关于鉴别代理的讨论 272

10.5.2 配置鉴别代理 273

10.6 小结 274

第11章 配置网络接入服务器使用AAA安全功能 275

11.1 AAA安全服务器 275

11.1.1 AAA与本地安全数据库的关系 275

11.1.2 AAA与远程安全数据库的关系 276

11.1.3 Cisco支持的远程安全数据库标准 277

11.1.4 保护远程访问安全所面对的挑战 278

11.1.5 在NAS上配置AAA 278

11.2 保护特权EXEC和配置模式的安全 279

11.3 配置AAA鉴别概貌文件 280

11.5 配置AAA记帐 282

11.4 允许AAA授权 282

11.6 案例研究 283

11.6.1 方案说明 283

11.6.2 配置举例 283

11.7 小结 285

第5部分 虚拟专用网 287

第12章 虚拟专用网基础 289

12.1 VPN简介 289

12.1.1 实现VPN的方法 291

12.1.2 完整VPN解决方案的特性 292

12.2 为什么要实现VPN 293

12.2.1 VPN关注的问题 293

12.2.2 用户机构获得的好处 294

12.2.3 ISP获得的好处 294

12.2.4 部署VPN应考虑的事项 297

12.3 在VPN中传输数据 299

12.4 VPN的类型 301

12.4.1 内联网VPN 301

12.4.2 外联网VPN 302

12.4.3 远程访问VPN 303

12.5 隧道协议 304

12.5.1 自愿隧道 304

12.5.2 强制隧道 305

12.5.3 PPTP 305

12.5.4 第2层转发协议 312

12.5.5 第2层隧道协议 317

12.5.6 PPTP，L2F和L2TP的比较 323

12.6.3 远程访问网络 324

12.6.2 连接商业伙伴和供应商的网络 324

12.6.1 连接分部办公室的网络 324

12.6 VPN案例 324

12.7 小结 325

第13章 提高虚拟专用网的安全性 327

13.1 基本VPN技术 327

13.1.1 点到点隧道协议 327

13.1.2 第2层转发 328

13.1.3 第2层隧道协议 328

13.1.4 IPSec 329

13.2 IPSec概述 329

13.2.1 创建鉴别首部 330

13.2.2 封装安全净载 331

13.2.3 因特网密钥交换 331

13.2.4 IPSec的工作过程 333

13.3.2 配置IKE 335

13.3 实现IPSec 335

13.3.1 为IPSec做规划 335

13.3.3 配置IPSec 336

13.3.4 验证IPSec 338

13.4 Cisco Secure VPN客户软件 338

13.4.1 Cisco Secure VPN客户软件完成的任务 338

13.4.2 Cisco Secure VPN客户软件的功能特点 339

13.4.3 安装Cisco Secure VPN客户软件的系统需求 339

13.5 小结 342

第6部分 Cisco技术和安全产品 343

第14章 Cisco IOS IPSec 345

14.1 利用预共享密钥配置Cisco IPSec 345

14.1.1 为实施IPSec制定规划 345

14.1.2 配置IKE 346

14.1.3 在配置IPSec时使用变换集 348

14.1.4 验证IPSec配置 351

14.2 利用RSA加密随机数配置Cisco IOS IPSec 353

14.2.1 为IPSec做准备 353

14.2.2 配置RSA加密 354

14.2.3 为RSA加密随机数配置IKE 355

14.3 扩展Cisco VPN的范围 355

14.3.1 使用动态加密图 355

14.3.2 实施IKE模式配置 356

14.3.3 PIX防火墙上的IPSec扩展鉴别 357

14.3.4 配置隧道端点发现 358

14.4 小结 358

第15章 Cisco的网络安全管理产品 361

15.1 Cisco Works2000 ACL Manager 361

15.1.1 ACL Manager的功能特性 362

15.1.2 ACL Manager的工具 363

15.1.4 ACL Manager完成的任务 365

15.1.3 ACL Manager带来的好处 365

15.1.5 安装ACL Manager的配置需求 366

15.1.6 安装ACL Manager 366

15.1.7 ACL Manager支持的设备 367

15.2 Cisco安全策略管理器 367

15.2.1 CSPM的功能特性集 367

15.2.2 CSPM的版本 368

15.2.3 CSPM的许可证选项 369

15.2.4 CSPM的功能特性 369

15.2.5 CSPM的优点 370

15.2.6 配置任务 370

15.2.7 安装CSPM的配置需求 371

15.2.8 安装CSPM 371

15.2.11 CSPM支持的设备 373

15.2.9 登录到CSPM 373

15.2.10 CSPM的实现 373

15.3 Cisco Secure ACS 374

15.3.1 基于WindowsNT的Cisco Secure ACS 374

15.3.2 ACS的功能 376

15.3.3 CSNT的模块 378

15.3.4 安装CSNT的系统需求 381

15.3.5 配置CSNT 382

15.3.6 管理CSNT 383

15.3.7 配置CSNT管理员帐号 383

15.3.8 查找CSNT故障 384

15.3.9 基于UNIX的Cisco Secure ACS 384

15.4 小结 385

16.1.1 PIX防火墙管理器的组件 387

16.1 Cisco PIX防火墙管理器 387

第16章 Cisco防火墙和VPN管理产品 387

16.1.2 PIX防火墙管理器的优点 388

16.1.3 安装PIX防火墙管理器 388

16.1.4 SYSLOG报告 392

16.1.5 PIX管理器的局限性 392

16.2 VPN/安全管理解决方案 393

16.2.1 VMS带来的好处 393

16.2.2 VMS的组件 393

16.2.3 安装和更新Cisco Works2000 VMS 395

16.2.4 在清单中加入设备 398

16.2.5 更新清单中的设备 398

16.2.6 检验安装 398

16.3 小结 398

第7部分 网络基础知识 399

第17章 网络基础 401

17.2 网络模型 402

17.2.1 客户/服务器模型 402

17.2.2 对等网络模型 403

17.3 网络的分类 404

17.3.1 局域网 404

17.3.2 广域网 404

17.3.3 公用网 406

17.3.4 内联网 407

17.1 网络基础入门 410

17.3.5 外联网 410

17.4 网络拓扑结构 411

17.4.1 总线型拓扑结构 411

17.4.2 环形拓扑结构 412

17.4.4 星型总线型拓扑结构 413

17.4.3 星型拓扑结构 413

17.4.5 星型环型拓扑结构 414

17.5 网络传输媒体 415

17.5.1 同轴电缆 415

17.5.2 双绞线 417

17.5.3 光纤 418

17.5.4 IBM电缆系统 419

17.6 专线 420

17.6.1 常规专线 420

17.6.2 T1链路 420

17.6.3 T2链路 420

17.7 局域网的网络体系结构 421

17.7.1 以太网 421

17.6.5 T4链路 421

17.6.4 T3链路 421

17.7.2 令牌环 423

17.7.3 光纤分布式数据接口 424

17.7.4 异步传输模式 425

17.8 网络设备 425

17.8.1 中继器 426

17.8.2 集线器 426

17.8.3 网桥 426

17.8.4 路由器 427

17.8.5 桥式路由器 427

17.8.6 网关 428

17.8.7 调制解调器 428

17.8.8 交换机 428

17.9 网络管理 429

17.9.1 网络管理系统 429

17.9.2 网络管理系统的选择 430

17.9.3 网络管理体系结构 431

17.9.4 网络管理功能域 432

17.10 网络管理协议 436

17.10.1 SNMP模型 437

17.10.2 SNMPv2 441

17.10.3 CMIP 442

17.10.4 RMON 443

17.11 小结 446

第18章 OSI模型 447

18.1 标准化组织 447

18.2 OSI网络模型 448

18.2.1 物理层 448

18.2.2 数据链路层 449

18.2.3 网络层 456

18.2.4 运输层 457

18.2.5 会话层 458

18.2.6 表示层 459

18.2.7 应用层 459

18.3 OSI的数据传输 459

18.3.1 帧 460

18.3.2 数据传输 460

18.4 协议 461

18.4.1 数据链路层协议 461

18.4.2 网络层协议 463

18.4.3 运输层协议 466

18.5 小结 467

附录A 习题与参考答案 469

附录B 实验练习 539

词汇表 543