第1章 现代网络安全威胁 1
1.1 一个安全网络的基本原则 2
1.1.1 网络安全的演进 2
1.1.2 网络安全的驱动者 4
1.1.3 网络安全组织 6
1.1.4 网络安全领域 8
1.1.5 网络安全策略 8
1.2 病毒、蠕虫和特洛伊木马 10
1.2.1 病毒 10
1.2.2 蠕虫 10
1.2.3 特洛伊木马 12
1.2.4 缓解病毒、蠕虫和特洛伊木马 13
1.3 攻击方法 14
1.3.1 侦查攻击 14
1.3.2 接入攻击 16
1.3.3 拒绝服务攻击 17
1.3.4 缓解网络攻击 19
1.4 Cisco网络基础保护框架 21
1.5 总结 23
第2章 保护网络设备 25
2.1 保护对设备的访问 25
2.1.1 保护边界路由器 25
2.1.2 配置安全的管理访问 28
2.1.3 为虚拟登录配置增强的安全性 31
2.1.4 配置SSH 33
2.2 分配管理角色 35
2.2.1 配置特权级别 35
2.2.2 配置基于角色的CLI访问 38
2.3 监控和管理设备 40
2.3.1 保护Cisco IOS镜像和配置文件 40
2.3.2 安全管理和报告 43
2.3.3 针对网络安全使用系统日志 45
2.3.4 使用SNMP实现网络安全 48
2.3.5 使用NTP 51
2.4 使用自动安全特性 53
2.4.1 执行安全审计 53
2.4.2 使用AutoSecure锁定路由器 55
2.4.3 用CCP锁定路由器 56
2.5 总结 58
第3章 认证、授权和审计 59
3.1 使用AAA的目的 59
3.1.1 AAA概述 59
3.1.2 AAA的特点 61
3.2 本地AAA认证 62
3.2.1 使用CLI配置本地AAA认证 62
3.2.2 使用CCP配置本地AAA认证 64
3.2.3 本地AAA认证故障排错 65
3.3 基于服务器的AAA 65
3.3.1 基于服务器AAA的特点 65
3.3.2 基于服务器的AAA通信协议 66
3.3.3 Cisco安全ACS 67
3.3.4 配置Cisco安全ACS 69
3.3.5 配置Cisco安全ACS用户和组 72
3.4 基于服务器的AAA认证 73
3.4.1 使用CLI配置基于服务器的AAA认证 73
3.4.2 使用CCP配置基于服务器的AAA认证 74
3.4.3 基于服务器的AAA认证故障处理 76
3.5 基于服务器的AAA授权和审计 76
3.5.1 配置基于服务器的AAA授权 76
3.5.2 配置基于服务器的AAA审计 78
3.6 总结 79
第4章 实现防火墙技术 80
4.1 访问控制列表 80
4.1.1 用CLI配置标准和扩展IPv4 ACL 80
4.1.2 ACL的拓扑和流向 86
4.1.3 用CCP配置标准和扩展ACL 87
4.1.4 配置TCP的Established和自反ACL 89
4.1.5 配置动态ACL 92
4.1.6 配置基于时间的ACL 93
4.1.7 对复杂的ACL实施进行排错 95
4.1.8 使用ACL缓解攻击 96
4.1.9 IPv6 ACL 98
4.1.10 在ACE中使用对象组 99
4.2 防火墙技术 101
4.2.1 使用防火墙保护网络 101
4.2.2 防火墙类型 102
4.2.3 经典防火墙 105
4.2.4 网络设计中的防火墙 108
4.3 基于区域策略防火墙 110
4.3.1 基于区域策略防火墙的特点 110
4.3.2 基于区域策略防火墙的操作 112
4.3.3 使用CLI配置区域策略防火墙 113
4.3.4 用CCP向导配置区域策略防火墙 115
4.4 总结 120
第5章 实施入侵防御 121
5.1 IPS技术 121
5.1.1 IDS和IPS特性 121
5.1.2 基于网络的IPS实施 123
5.2 IPS特征 125
5.2.1 IPS特征的特点 125
5.2.2 IPS特征警报 128
5.2.3 调整IPS特征报警 130
5.2.4 IPS特征行为 131
5.2.5 管理和监视IPS 133
5.2.6 IPS全局关联 136
5.3 执行IPS 137
5.3.1 使用CLI配置Cisco IOS IPS 137
5.3.2 使用Cisco配置专家配置Cisco IOS IPS 139
5.3.3 修改Cisco IOS IPS特征 141
5.4 检验和监测IPS 143
5.4.1 检验Cisco IOS IPS 143
5.4.2 监测 Cisco IOS IPS 144
5.5 总结 145
第6章 保护局域网 146
6.1 终端安全 146
6.1.1 终端安全概述 146
6.1.2 使用Cisco ESA和WSA的终端安全 149
6.1.3 使用网络准入控制的终端安全 150
6.2 第二层安全考虑 153
6.2.1 第二层安全概述 153
6.2.2 MAC地址欺骗攻击 154
6.2.3 MAC地址表溢出 154
6.2.4 STP操纵攻击 155
6.2.5 LAN风暴 160
6.2.6 VLAN攻击 160
6.3 配置第二层安全 162
6.3.1 配置端口安全 162
6.3.2 检验端口安全 164
6.3.3 配置BPDU保护、BPDU过滤器和根保护 165
6.3.4 配置风暴控制 167
6.3.5 配置VLAN中继(Trunk)安全 168
6.3.6 配置Cisco交换端口分析器 169
6.3.7 配置PVLAN边缘 170
6.3.8 用于第二层建议的推荐做法 170
6.4 无线、VoIP和SAN安全 171
6.4.1 企业高级技术安全考虑 171
6.4.2 无线安全考虑 172
6.4.3 无线安全解决方案 175
6.4.4 VoIP安全考虑 175
6.4.5 VoIP安全解决方案 179
6.4.6 SAN安全考虑 180
6.4.7 SAN安全解决方案 183
6.5 总结 184
第7章 密码系统 186
7.1 密码服务 186
7.1.1 保护通信安全 186
7.1.2 密码术 188
7.1.3 密码分析 191
7.1.4 密码学 192
7.2 基本完整性和真实性 193
7.2.1 密码散列 193
7.2.2 MD5和SHA-1的完整性 194
7.2.3 HMAC的真实性 196
7.2.4 密钥管理 197
7.3 机密性 199
7.3.1 加密 199
7.3.2 数据加密标准 202
7.3.3 3DES 203
7.3.4 高级加密标准(AES) 204
7.3.5 替代加密算法 205
7.3.6 Diffie-Hellman密钥交换 205
7.4 公钥密码术 207
7.4.1 对称加密与非对称加密 207
7.4.2 数字签名 208
7.4.3 Rivest、Shamir和Alderman 211
7.4.4 公共密钥基础架构 211
7.4.5 PKI标准 213
7.4.6 认证机构 215
7.4.7 数字证书和CA 216
7.5 总结 218
第8章 实现虚拟专用网络 219
8.1 VPN 219
8.1.1 VPN概述 219
8.1.2 VPN拓扑 221
8.1.3 VPN解决方案 222
8.2 GRE VPN 225
8.3 IPSec VPN组件和操作 226
8.3.1 IPSec介绍 226
8.3.2 IPSec安全协议 229
8.3.3 Internet密钥交换 231
8.4 使用CLI实现站点到站点的IPSec VPN 234
8.4.1 配置一个站点到站点的IPSec VPN 234
8.4.2 任务1——配置兼容 ACL 235
8.4.3 任务2——配置IKE 235
8.4.4 任务3——配置变换集 236
8.4.5 任务4——配置加密 ACL 237
8.4.6 任务5——应用加密映射 238
8.4.7 验证IPSec配置和故障排除 240
8.5 使用CCP实现站点到站点的IPSec VPN 240
8.5.1 使用CCP配置IPSec 240
8.5.2 VPN向导——快速安装 242
8.5.3 VPN向导——逐步安装 242
8.5.4 验证、监控VPN和VPN故障排除 244
8.6 实现远程访问VPN 244
8.6.1 向远程办公的转变 244
8.6.2 远程访问VPN介绍 245
8.6.3 SSLVPN 246
8.6.4 Cisco Easy VPN 249
8.6.5 使用CCP配置VPN服务器 250
8.6.6 连接VPN客户端 252
8.7 总结 252
第9章 实施Cisco自适应安全设备(ASA) 254
9.1 介绍ASA 255
9.1.1 ASA概述 255
9.1.2 基本ASA配置 258
9.2 ASA防火墙配置 260
9.2.1 ASA防火墙配置介绍 260
9.2.2 配置管理设置和服务 262
9.2.3 介绍ASDM 265
9.2.4 ASDM向导 268
9.2.5 对象组 270
9.2.6 ACL 273
9.2.7 ASA上的NAT服务 276
9.2.8 ASDM中的AAA 279
9.2.9 ASA上的服务策略 281
9.3 ASA VPN配置 284
9.3.1 ASA远程访问VPN选项 284
9.3.2 配置无客户端SSL VPN 286
9.3.3 配置AnyConnect SSLVPN 289
9.4 总结 292
第10章 管理一个安全的网络 294
10.1 安全网络设计的原则 295
10.1.1 确保网络是安全的 295
10.1.2 威胁识别和风险分析 296
10.1.3 风险管理和风险避免 299
10.2 安全架构 300
10.2.1 Cisco SecureX架构简介 300
10.2.2 Cisco SecureX架构的解决方案 302
10.3 运行安全 306
10.3.1 运行安全介绍 306
10.3.2 运行安全的原则 307
10.4 网络安全性测试 308
10.4.1 网络安全性测试介绍 308
10.4.2 网络安全性测试工具 310
10.5 业务连续性规划和灾难恢复 311
10.5.1 连续性规划和灾难恢复 311
10.5.2 恢复规划和冗余 312
10.5.3 安全复制 313
10.6 系统开发生命周期 314
10.6.1 SDLC介绍 314
10.6.2 SDLC的各阶段 314
10.7 开发一个全面的安全策略 316
10.7.1 安全策略概述 316
10.7.2 安全策略的结构 318
10.7.3 标准、指南、规程 319
10.7.4 角色和职责 320
10.7.5 安全意识和培训 321
10.7.6 法律与道德 322
10.7.7 对安全违规的响应 324
10.8 总结 325