目 录 5
第一部分网络安全介绍 5
第1章对网络安全的需要 5
1.1安全威胁 6
1.1.1无组织的威胁 7
1.1.2有组织的威胁 8
1.1.3外部威胁 8
1.2安全概念 9
1.1.4 内部威胁 9
1.3攻击的各个阶段 10
1.3.1设定攻击目标 10
1.3.2攻击前的侦察 10
1.3.3正式攻击 12
1.4攻击方法 12
1.5.1 网络资源 13
1.5网络攻击点 13
1.4.4耐心(慢)攻击 13
1.4.3 外科手术式打击(闪电攻击) 13
1.4.2系统性攻击 13
1.4.1 即兴(随机)攻击 13
1.5.2网络协议 15
1.6黑客工具与技术 16
1.6.1使用侦察工具 16
1.6.2攻击网络中的薄弱点 17
1.6.3实施拒绝服务攻击技术 19
1.6.4小结 23
1.7复习题 24
第2章Cisco安全轮图 27
2.1保护网络安全 28
2.1.1 加强认证 28
2.1.2建立安全边界 30
2.1.3 通过虚拟专用网络提供私密性 32
2.1.4漏洞修补 32
2.2.1 人工监视 34
2.2监视网络安全 34
2.2.2 自动监视 35
2.3检验网络安全 35
2.3.1 使用安全扫描器 35
2.3.2进行专业安全评估 36
2.4提升网络安全 36
2.4.1 留意安全新闻 36
2.4.4核验安全配置 37
2.4.3评估安全探测器的置放 37
2.4.2定期检查配置文件 37
2.5 小结 38
2.6复习题 39
第二部分入侵检测与CSIDS环境 43
第3章入侵检测系统 43
3.1 IDS触发器 44
3.1.1异常检测 44
3.1.2滥用检测 47
3.2.1基于主机的IDS 49
3.2 IDS监测位置 49
3.2.2基于网络的IDS 51
3.3混合特性 53
3.4小结 53
3.5复习题 54
第4章Cisco安全IDS概述 57
4.1系统功能和特性 58
4.2探测器平台和模块 61
4.2.1 4200系列探测器 62
4.2.2 Catalyst6000系列交换器的IDS模块 63
4.3控制器平台 64
4.3.1 控制器平台特性 64
4.3.2作为控制器平台的Cisco安全策略管理器 65
4.3.3 Cisco安全入侵检测控制器 66
4.3.4控制器平台特性比较 66
4.4 Cisco Secure IDS和邮局(PostOffice)协议 67
4.4.1 PostOffice协议 67
4.4.2 PostOffice特性 68
4.4.3 PostOffice标识符 70
4.4.4 PostOffice寻址方案 71
4.5 小结 72
4.6复习题 72
第三部分CSIDS安装 77
第5章Cisco安全IDS探测器部署 77
5.1 部署准备:分析网络拓扑结构 78
5.1.1 网络入口点 78
5.1.2关键网络组件 79
5.1.3远程网络 80
5.1.4网络大小和复杂度 81
5.1.5考虑安全策略限制 81
5.2进行部署:探测器安装考虑 82
5.2.1基于网络功能的探测器布放 82
5.2.2安装配置 83
5.4复习题 88
5.3小结 88
第6章Cisco安全策略管理器的安装 91
6.1 CSPM概述 91
6.1.1软件特性集 92
6.1.2部署配置 93
6.2 CSPM安装要求 94
6.2.1软件要求 94
6.2.2硬件要求 95
6.3 CSPM安装设置及选项 96
6.2.3许可证选项 96
6.3.1完成Cisco安全通信部署工作单 97
6.3.2搭建一台Windows NT4.0主机 97
6.3.3定义安装设置 97
6.3.4验证安装设置 101
6.3.5任选的TechSmith屏幕捕捉器编解码器安装 101
6.3.6 PostOffice安装 102
6.3.7完成安装程序 104
6.4.1 CSPM登录 105
6.4启动CSPM 105
6.4.2入门视频资料 106
6.5小结 108
6.6复习题 109
第7章 在CSPM内安装4200系列探测器 111
7.1 了解探测器设备 111
7.1.1 IDS-4230 112
7.1.2 IDS-4210 113
7.1.3管理访问 114
7.1.4登录帐号 115
7.2配置探测器的引导程序 116
7.2.1 sysconfig-sensor 116
7.2.2退出sysconfig-sensor 121
7.3 向CSPM控制器中添加一个探测器 121
7.3.1 启动增加探测器向导 121
7.3.2输入探测器的PostOffice标识参数 122
7.3.4选择探测器版本和特征模板 123
7.3.3输入探测器对象的缺省网关 123
7.3.5检验探测器的设置 124
7.3.6将CSPM主机加入拓扑图 125
7.3.7选择策略分发点 126
7.3.8保存并更新设置 127
7.3.9将配置文件推入探测器中 127
7.3.10错误检查 128
7.4小结 129
7.5复习题 130
第8章 处理CSPM中的Cisco安全IDS警报 135
第四部分报警管理和入侵检测特征 135
8.1管理警报 136
8.1.1打开事件查看器 136
8.1.2警报域 137
8.1.3主机名解析 141
8.1.4查看上下文缓存 142
8.1.5打开NSDB 144
8.1.6理解漏洞特征信息 145
8.1.7理解相关的弱点信息 148
8.1.8删除警报 150
8.1.9挂起和恢复警报显示 151
8.2客户化事件查看器 152
8.2.1展开选中警报条目的一栏 153
8.2.2展开选中警报条目的所有栏目 153
8.2.3收缩选中警报条目的一栏 154
8.2.4收缩当前选中的栏目 154
8.2.5 改变警报扩展边界 155
8.2.6移动栏目 156
8.2.7删除栏目 156
8.2.8选择需显示的栏目 157
8.3优选设置 158
8.3.1操作 158
8.3.2单元 159
8.3.3状态事件 160
8.3.4边界 161
8.4连接状态窗格 162
8.3.5事件严重程度指示器 162
8.3.6严重程度映射 162
8.4.1 连接状态 163
8.4.2服务状态 164
8.4.3服务版本 165
8.4.4统计 166
8.4.5统计复位 167
8.5 小结 168
8.6复习题 170
第9章理解Cisco安全IDS特征 173
9.1 特征定义 173
9.1.1特征实施 174
9.1.2特征结构 174
9.2特征类 175
9.2.1侦察特征 175
9.2.4拒绝服务特征 176
9.3特征种类 176
9.2.3访问特征 176
9.2.2信息特征 176
9.3.1 通用 177
9.3.2连接 177
9.3.3字符串 177
9.3.4访问控制列表 178
9.4特征紧急度 178
9.4.3高紧急度(警报级别5) 179
9.4.2中紧急度(警报级别3-4) 179
9.4.1低紧急度(警报级别1-2) 179
9.5 小结 180
9.6复习题 181
第10章特征序列 183
10.1 IP特征(1000系列) 183
10.1.1 IP选项 184
10.1.2 IP碎片 187
10.1.3坏IP包 191
10.2.1 ICMP查询消息 192
10.2 ICMP特征(2000系列) 192
10.2.2 ICMP错误消息 195
10.2.3 Ping扫描 197
10.2.4 ICMP攻击 199
10.3 TCP特征(3000系列) 200
10.3.1 TCP数据流记录(特征3000) 201
10.3.2 TCP端口扫描 202
10.3.3 TCP主机扫描 207
10.3.4异常TCP包 210
10.3.5邮件攻击 212
10.3.6 FTP攻击 215
10.3.7传统Cisco Secure IDS Web攻击 217
10.3.8 NetBIOS攻击 226
10.3.9 SYN Flood和TCP劫持攻击 230
10.3.10 TCP应用漏洞 231
10.4 UDP特征(4000系列) 236
10.4.1 UDP数据流记录(特征4000) 236
10.4.2 UDP端口扫描 237
10.4.3 UDP攻击 238
10.4.4 UDP应用 239
10.5 Web/HTTP特征(5000系列) 241
10.6交叉协议特征(6000系列) 262
10.6.1 SATAN攻击 262
10.6.2 DNS攻击 263
10.6.3 RPC服务攻击 266
10.6.4Ident攻击 274
10.6.5认证失败 275
10.6.6 Loki攻击 277
10.6.7分布式拒绝服务攻击 278
10.7串匹配特征(8000系列) 280
10.7.1客户字符串匹配 281
10.7.2 TCP应用 281
10.8违反策略特征(10000系列) 283
10.9小结 283
10.10复习题 284
11.1 CSPM探测器配置屏幕 289
第11章CSPM内的探测器配置 289
第五部分CSIDS配置 289
11.1.1属性配置屏幕 290
11.1.2 4200系列探测配置屏幕 292
11.1.3IDSM探测配置屏幕 294
11.1.4拦阻配置屏幕 297
11.1.5过滤配置屏幕 300
11.1.6日志配置屏幕 301
11.1.7高级配置屏幕 302
11.1.8命令屏幕 304
11.1.9控制屏幕 305
11.1.10策略分发点 306
11.2修改基本配置 306
11.2.1标识参数 307
11.2.2内部网络 308
11.2.3包捕捉设备 309
11.3日志文件配置 309
11.3.1让探测器产生日志文件 309
11.3.2 配置日志文件自动发送 310
11.4修改高级配置 311
11.4.1 IP分片重组 311
11.4.2理解TCP会话重组 312
11.4.3配置TCP会话重组 312
11.4.4附加目的地 313
11.5为探测器载入新配置 313
11.6 小结 314
11.5.3检查探测器配置更新 314
11.5.2更新探测器配置 314
11.5.1存储和更新CSPM配置 314
11.7复习题 315
第12章特征和入侵检测配置 317
12.1基本特征配置 318
12.1.1通用栏 318
12.1.2特征栏 319
12.1.3查看特征设置 319
12.1.4连接特征类型和端口配置 322
12.1.5字符串特征配置 324
12.2特征模板 325
12.2.1什么是特征模板 325
12.2.2产生新特征模板 326
12.2.3指定探测器使用的特征模板 327
12.2.4对探测器应用特征模板 328
12.3特征过滤 328
12.3.1 设置送往控制器的最低级别 329
12.3.2简单特征过滤 329
12.3.3高级特征过滤 331
12.4高级特征配置 333
12.4.1特征调整 334
12.4.2端口映射 335
12.5创建ACL特征 336
12.5.1创建ACL特征 336
12.5.2定义SYSLOG源 337
12.6小结 338
12.7复习题 338
第13章IP拦阻配置 341
13.1 理解ACL 342
13.1.1设备管理 343
13.1.2设备管理要求 343
13.1.3 IP拦阻指南 343
13.1.4路由器上的IP拦阻 345
13.1.5主拦阻探测器 346
13.2 ACL放置考虑 347
13.2.1 在哪里应用ACL 348
13.2.2 在外部接口与内部接口上应用ACL的比较 349
13.3为IP拦阻配置探测器 349
13.3.1 设置拦阻设备的属性 349
13.3.2 设置从不拦阻IP地址 352
13.3.3通过主拦阻探测器进行拦阻 352
13.3.4查看被拦阻的IP地址列表 353
13.3.5查看被管理的网络设备 355
13.3.6手工拦阻一个主机或网络 355
13.3.7去掉一个被拦阻的主机或网络 356
13.4小结 357
13.5复习题 358
第14章Catalyst 6000 IDS模块配置 361
14.1 了解Catalyst 6000 IDS模块 361
14.1.1关键特性 362
14.1.2特性比较 362
14.1.3 CatalystIDS特性要求 363
14.2.1端口 364
14.2 IDSM端口和数据流 364
14.1.4 MSFC与独立路由器比较 364
14.2.2数据流 365
14.3捕捉数据流 366
14.3.1 SPAN特性 366
14.3.2 VACL特性 367
14.4配置任务 368
14.4.1初试化IDSM 368
14.4.2为ID分析配置交换机 370
14.4.3检验IDSM配置 375
14.4.4将IDSM加入到CSPM 378
14.5更新IDSM组件 379
14.5.1磁盘结构 379
14.5.2更新IDSM映像 380
14.6故障排除 382
14.6.1 IDSM状态LED 382
14.6.2 Catalyst交换机命令 383
14.6.3 IDSM命令 384
14.7小结 385
14.8复习题 386
第六部分Cisco安全入侵检测控制器(CSIDD) 391
第15章Cisco安全ID控制器的安装 391
15.1控制器软件安装 391
15.1.1运行安装脚本 392
15.1.2设置netrangr密码 392
15.1.3配置控制器标识参数 393
15.1.5重启系统 394
15.1.4建立初始配置文件 394
15.2启动控制器 395
15.2.1检验后台守护进程是否在运行 395
15.2.2启动HP OpenView 396
15.2.3初始化HP OpenView NNM环境 396
15.2.4 HP OpenView导航按钮 397
15.3探测器配置 398
15.3.1运行sysconfig-sensor 398
15.3.2增加一个新初始化后的探测器 399
15.3.3完成探测器配置 404
15.4小结 404
15.5复习题 405
第16章配置文件管理工具(nrConfigure) 407
16.1 使用nrConfigure 408
16.1.1如何使用nrConfigure 408
16.1.2如何启动nrConfigure 408
16.1.3 nrConfigure屏幕特性 409
16.1.4设置HTML浏览器 409
16.1.5隐藏状态行 410
16.2增加主机向导中的主机类型 411
16.2.1新安装的探测器 411
16.2.2用于警报转发的从控制器 411
16.2.3先前配置的探测器 412
16.3连接至先前配置的探测器 412
16.3.1“Add Host Initial”窗口 412
16.3.2输入探测器标识设置 413
16.3.4“Add Host Wizard Finished”窗口 414
16.3.3选择主机类型 414
16.4验证探测器已被加入到nrConfigure中 415
16.5验证探测器已被加入到Cisco安全IDS子图 415
16.6删除探测器 415
16.7删除探测器图标 416
16.8使用配置库 417
16.8.1打开配置库 417
16.8.2使用配置库 417
16.9 小结 420
16.8.3关闭配置库 420
16.10复习题 421
第17章Cisco IOS防火墙入侵检测系统 423
17.1 Cisco IOS防火墙IDS和入侵检测 424
17.1.1企业用户 425
17.1.2服务提供商 425
17.1.3中小企业 425
17.2支持的路由器平台 425
17.3部署问题 426
17.3.1 内存使用和性能影响 426
17.3.2特征覆盖范围 426
17.3.3特征更新 426
17.4特征 426
17.4.1特征实施 427
17.4.2响应选项 427
17.5配置任务 427
17.5.1在路由器上初始化Cisco安全IOS防火墙IDS 428
17.5.2配置、关闭或排除特征 432
17.5.3建立和应用审计规则 435
17.5.4核验配置 438
17.5.5将Cisco IOS防火墙IDS加入到控制器配置中 441
17.6小结 443
17.7复习题 444
第七部分Cisco安全IDS的新版本 449
第18章计划的Cisco安全IDS增强特性 449
18.1版本3.0 450
18.1.1安装和配置增强 450
18.1.2特征增强 451
18.1.3规避增强 453
18.2版本4.0 454
18.2.1 安装和配置增强 454
18.2.2特征增强 456
18.2.3拦阻增强 457
18.3.1探测器设备 458
18.3.2 Catalyst 6000家族IDSM 458
18.3探测器增强 458
18.3.3吉比特IDSM 459
18.3.4探测器设备管理器(SDM) 460
18.4 Cisco安全IDS用户定义特征 460
18.4.1特征引擎 460
18.4.2主特征参数 461
18.4.3引擎特别参数 462
18.4.4用户定义特征示例 462
18.5小结 464
第八部分附录 469
附录A配置入侵检测: 案例研究 469
A.1 使用Cisco IOS FirewallIDS 469
A.1.1 限制 470
A.1.2所需设备 470
A.1.3网络框图 470
A.1.4通用设置 470
A.1.5 常见问题和解决技巧 473
A.2.1 限制 478
A.2发送系统日志数据至Cisco Secure IDS探测器 478
A.2.2所需设备 479
A.2.3 网络框图 479
A.2.4通用设置 479
A.2.5常见问题和解决技巧 482
A.3用Cisco Secure IDS探测器管理路由器 483
A.3.1 事先应考虑的限制 484
A.3.2所需设备 484
A.3.3 网络框图 484
A.3.4通用设置 485
A.3.5 常见问题和解决技巧 490
A.4 Cisco Secure IDS分层控制器体系 492
A.4.1报警延迟限制 493
A.4.2所需设备 493
A.4.3 网络框图 493
A.4.4通用设置 493
A.4.5 常见问题和解决技巧 496
A.5在同一底盘上建立多个IDSM 499
A.5.1 每个IDSM的100-Mbit/s带宽限制 499
A.5.2所需设备 499
A.5.3 网络框图 499
A.5.4 VACL定义 500
A.5.5通用设置 500
附录B Cisco Secure IDS体系结构 507
B.1 Cisco Secure IDS软件体系结构 507
B.1.1探测器体系结构 508
B.1.2 CSPM控制器体系结构 509
B.2 Cisco Secure IDS通信 512
B.3 Cisco Secure IDS命令 512
B.3.1 nrstart 512
B.3.2 nrstop 513
B.3.3 nrconns 513
B.3.4 nrstatus 513
B.4 Cisco Secure IDS目录结构 514
B.3.5 nrvers 514
B.4.1 Cisco Secure IDS安装目录 515
B.4.2 bin目录 515
B.4.3 etc目录 515
B.4.4 var目录 516
B.5 Cisco Secure IDS配置文件 516
B.5.1什么是配置文件? 517
B.5.2入侵检测 517
B.5.3设备管理和拦阻令牌 523
B.5.4控制器和警报转发 524
B.5.5 日志和日志设置 525
B.5.6 FTP传送和FTP传送令牌 526
B.6 通信 526
B.6.1 故障管理 526
B.6.2 Cisco Secure IDS组织 528
B.6.3 Cisco Secure IDS主机 528
B.6.4 Cisco Secure IDS路由 528
B.6.5 Cisco Secure IDS目的地 529
B.6.6 Cisco Secure IDS授权主机 530
B.6.7 Cisco Secure IDS服务 530
B.6.8 Cisco Secure IDS应用 531
附录C Cisco Secure IDS Director基本故障排除 533
C.1控制器问题 533
C.1.1控制器不运行 533
C.1.2控制器运行 536
C.2.2探测器连接问题 537
C.2.1 启动和停止Cisco安全守护进程的问题 537
C.2探测器问题 537
C.3 Oracle数据库问题 538
C.3.1不能确定Oracle是否已安装 538
C.3.2不能确定Oracle是否在运行 538
C.3.3 Oracle安装程序不安装Oracle 539
C.3.4找不到SQLPlus或SQLDR 539
C.3.5 SQLPlus不运行 539
C.3.6 Oracle不可用 539
C.3.8 Oracle认证连接失败 540
C.3.7 LD LIBRARY_PATH环境变量没有正确设置 540
C.3.9 Oracle返回用户/密码错误信息 541
C.4数据管理包问题 541
C.4.1 SQL查询语句不显示数据 541
C.4.2 SQL查询语句不正确显示数据 541
C.4.3未发送邮件通知 541
C.5.2 HP-UX性能问题 542
C.5.1 nrConfigure启动问题 542
C.5 nrConfigure问题 542
C.4.4数据库装载程序失败 542
C.6在线帮助和NSDB 543
附录D Cisco Secure IDS 日志文件 545
D.1 日志级别 545
D.2 日志文件命名习惯 546
D.2.1 IP日志文件 546
D.2.2 Cisco Secure IDS日志文件 546
D.4 关闭活动文件 547
D.3 日志文件位置 547
D.2.3服务错误日志文件 547
D.5归档日志文件 548
D.6事件记录域 548
D.6.1警报事件记录 548
D.6.2命令日志记录域 550
附录E高级技巧 553
E.1 改正不能嗅探的探测器 553
E.1.2检查packetd进程 554
E.1.1检验攻击情形的紧急程度 554
E.1.3验证监视接口是否真能观测到网络通信流 555
E.1.4检查日志文件以判断事件是否被探测到 556
E.1.5确认控制器和探测器能相互通信 556
E.1.6检查探测器的/usr/nr/etc/destinations文件以确认smid是一个定义了的目的地 557
E.1.7检查smid是否在控制器上运行着 558
E.1.8在控制器和探测器上检查错误日志 559
E.1.9呼叫Cisco技术帮助中心 560
E.2.2电缆要求 561
E.2.1 root登录限制 561
E.2 使用探测器串口作为控制台访问端口 561
E.2.3连接笔记本电脑至探测器 562
E.2.4配置超级终端(HyperTerminal)或其他通信软件包 562
E.3排除伪警报 562
E.3.1 CSPM特征过滤 562
E.3.2 Cisco Secure ID控制器特征调整 563
附录F Cisco Secure IDS特征结构和实施 567
附录G Cisco Secure IDS特征和推荐的报警级别 577
G.1通用特征 578
G.2连接特征 585
G.3字符串特征 586
G.4 ACL特征 587
附录H CiscoIOS防火墙IDS特征列表 589
H.1信息特征 590
H.2攻击特征 591
附录I Cisco安全通信部署工作表 593
附录J术语 597
K.1 第1章答案 603
附录K复习题答案 603
K.2 第2章答案 604
K.3 第3章答案 604
K.4 第4章答案 605
K.5 第5章答案 606
K.6 第6章答案 607
K.7 第7章答案 608
K.8 第8章答案 609
K.9 第9章答案 610
K.10第10章答案 611
K.11第11章答案 612
K.12第12章答案 613
K.13第13章答案 614
K.14第14章答案 615
K.15第15章答案 616
K.16第16章答案 617
K.17第17章答案 617