Cisco networking academy program,Network security (1 and 2 companion guide)

第一学期.
第1章　弱点、威胁、攻击　2
1.1　关键术语　2
1.2　网络安全简介　3
1.2.1　网络安全需求　3
1.2.2　识别网络安全的潜在风险　5
1.2.3　开放的与封闭的安全模型　5
1.2.4　网络安全的发展趋势　9
1.2.5　信息安全组织　11
1.3　弱点、威胁和攻击介绍　12
1.3.1　弱点　13
1.3.2　威胁　14
1.3.3　攻击　15
1.4　攻击事例　16
1.4.1　侦查攻击　17
1.4.2　访问攻击　18
1.4.3　拒绝服务(DoS)攻击　21
1.4.4　假冒/IP欺骗攻击　22
1.4.5　分布式拒绝服务攻击　23
1.4.6　恶意代码　25
1.5　弱点分析　27
1.5.1　政策定位　27
1.5.2　网络分析　27
1.5.3　主机分析　30
1.5.4　分析工具　31
1.6　总结　31
1.7　检查你的理解　32
第2章　安全计划与策略　34
2.1　关键术语　34
2.2　关于网络安全及Cisco　34
2.2.1　安全轮(Security Wheel)　35
2.2.2　网络安全策略　37
2.3　端点保护和管理　39
2.3.1　基于主机和服务器的安全组件和技术　39
2.3.2　PC管理　41
2.4　网络保护和管理　42
2.4.1　基于网络的安全组件和技术　42
2.4.2　网络安全管理　47
2.5　安全体系　50
2.5.1　安全体系SAFE　50
2.5.2　Cisco自防卫网络　51
2.5.3　保护连通性(secure connectivity)　51
2.5.4　威胁防范(Threat Defense)　52
2.5.5　Cisco集成安全　54
2.5.6　计划、设计、实施、运行、优化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)　55
2.6　基本的路由器安全　57
2.6.1　控制对网络设备的访问　57
2.6.2　使用SSH进行远程配置　59
2.6.3　路由器口令　60
2.6.4　路由器优先级和账户　62
2.6.5　Cisco IOS网络服务　63
2.6.6　路由、代理ARP、ICMP　68
2.6.7　路由协议认证和升级过滤　70
2.6.8　NTP、SNMP、路由器名、DNS　72
2.7　总结　74
2.8　检查你的理解　74
第3章　安全设备　76
3.1　可选设备　76
3.1.1　Cisco防火墙特性集　77
3.1.2　创建用户的防火墙　78
3.1.3　PIX安全设备　78
3.1.4　自适应安全设备　79
3.1.5　Finesse操作系统　81
3.1.6　自适应安全算法　81
3.1.7　防火墙服务模块　81
3.2　使用安全设备管理器　82
3.2.1　使用SDM启动向导　83
3.2.2　SDM用户界面　84
3.2.3　SDM向导　85
3.2.4　用SDM配置WAN　85
3.2.5　使用恢复出厂配置向导　86
3.2.6　监控模式　86
3.3　Cisco安全设备家族介绍　88
3.3.1　PIX501安全设备　88
3.3.2　PIX506E安全设备　88
3.3.3　PIX515E安全设备　88
3.3.4　PIX525安全设备　88
3.3.5　PIX535安全设备　89
3.3.6　自适应安全设备模块　89
3.3.7　PIX安全设备许可证　91
3.3.8　PIX VPN 加密许可　91
3.3.9　安全上下文　92
3.3.10　PIX安全设备上下文许可证　92
3.3.11　ASA安全设备许可证　92
3.3.12　扩展PIX515E特性　93
3.3.13　扩展PIX525特性　93
3.3.14　扩展PIX535特性　93
3.3.15　扩展自适应安全设备家族的特性　94
3.4　开始配置PIX安全设备　94
3.4.1　配置PIX 安全设备　95
3.4.2　帮助命令　96
3.4.3　安全级别　96
3.4.4　基本PIX安全设备的配置命令　97
3.4.5　其他PIX安全设备的配置命令　100
3.4.6　检查PIX安全设备的状态　105
3.4.7　时间设置和NTP支持　108
3.4.8　日志(syslog)配置　109
3.5　安全设备的转换和连接　111
3.5.1　传输协议　111
3.5.2　NAT　112
3.5.3　动态内部NAT　114
3.5.4　两个接口的NAT　114
3.5.5　3个接口的NAT　115
3.5.6　PAT　116
3.5.7　增加PAT的全局地址池　118
3.5.8　static命令　118
3.5.9　nat 0命令　120
3.5.10　连接和转换　121
3.6　用自适应安全设备管理器管理PIX　127
3.6.1　ASDM运行需求　127
3.6.2　ASDM的准备　129
3.6.3　使用ASDM配置PIX安全设备　130
3.7　PIX安全设备的路由功能　131
3.7.1　虚拟LAN　131
3.7.2　静态和RIP路由　135
3.7.3　OSPF　137
3.7.4　多播路由　140
3.8　防火墙服务模块的运行　143
3.8.1　FWSM的运行要求　144
3.8.2　开始使用FWSM　144
3.8.3　校验FWSM的安装　145
3.8.4　配置FWSM的访问列表　146
3.8.5　在FWSM上使用PDM　147
3.8.6　重置和重启FWSM　147
3.9　总结　148
3.10　检查你的理解　148
第4章　信任和身份技术　150
4.1　关键术语　150
4.2　AAA　150
4.2.1　TACACS　151
4.2.2　RADIUS　151
4.2.3　TACACS+和RADIUS的比较　153
4.3　验证技术　154
4.3.1　静态口令　154
4.3.2　一次性口令　154
4.3.3　令牌卡　155
4.3.4　令牌卡和服务器方法　155
4.3.5　数字证书　156
4.3.6　生物测定学　157
4.4　基于身份网络服务(IBNS)　158
4.5　有线的和无线的执行　160
4.6　网络准入控制(NAC)　161
4.6.1　NAC组成　161
4.6.2　NAC阶段　162
4.6.3　NAC运行　163
4.6.4　NAC厂商的参与　164
4.7　总结　165
4.8　检查你的理解　165
第5章　Cisco安全访问控制服务器　167
5.1　关键术语　167
5.2　Cisco安全访问控制服务器产品概述　167
5.2.1　验证和用户数据库　169
5.2.2　Cisco安全ACS用户数据库　169
5.2.3　保持数据库稳定　170
5.2.4　基于Windows的Cisco安全ACS体系架构　171
5.2.5　Cisco安全ACS如何验证用户　172
5.2.6　用户可更改的口令　174
5.3　使用Cisco安全ACS配置TACACS+和RADIUS　175
5.3.1　安装步骤　175
5.3.2　管理基于Windows的Cisco安全ACS　176
5.3.3　排错　177
5.3.4　启用TACACS+　178
5.4　检验TACACS+　180
5.4.1　失败　180
5.4.2　通过　181
5.5　配置RADIUS　183
5.6　总结　183
5.7　检查你的理解　184
第6章　在三层配置信任和身份　186
6.1　关键术语　186
6.2　Cisco IOS防火墙认证代理　186
6.2.1　认证代理的运行　186
6.2.2　支持的AAA服务器　187
6.2.3　AAA服务器配置　188
6.2.4　AAA配置　188
6.2.5　允许AAA流量到路由器　190
6.2.6　认证代理配置　191
6.2.7　测试和验证认证代理　192
6.3　介绍PIX安全器件AAA特性　193
6.3.1　PIX安全器件认证　193
6.3.2　PIX安全器件授权　194
6.3.3　PIX安全器件计费　195
6.3.4　AAA服务器支持　195
6.4　在PIX安全器件上配置AAA　196
6.4.1　PIX安全器件访问认证　196
6.4.2　交互式用户认证　196
6.4.3　本地用户数据库　198
6.4.4　认证提示和超时　199
6.4.5　直通代理认证　200
6.4.6　认证非Telnet、FTP、HTTP或HTTPS流量　201
6.4.7　隧道用户认证　203
6.4.8　授权配置　204
6.4.9　可下载的ACL　205
6.4.10　计费配置　207
6.4.11　控制台会话计费　208
6.4.12　命令计费　209
6.4.13　AAA配置故障处理　209
6.5　总结　212
6.6　检查你的理解　212
第7章　在二层配置信任和身份　214
7.1　关键术语　214
7.2　基于身份的网络服务(IBNS)　214
7.2.1　特点及好处　214
7.2.2　IEEE 802.1x　215
7.2.3　选择正确的EAP　219
7.2.4　Cisco LEAP　220
7.2.5　IBNS和Cisco安全ACS　221
7.2.6　部署ACS的考虑　223
7.2.7　Cisco安全ACS RADIUS配置　224
7.3　配置802.1x基于端口的认证　225
7.3.1　使能802.1x认证　227
7.3.2　配置交换机到RADIUS服务器的通信　227
7.3.3　使能周期性重认证　228
7.3.4　手工重认证连接到端口的客户　229
7.3.5　使能多主机　229
7.3.6　将802.1x配置重设为默认值　229
7.3.7　查看802.1x统计信息和状态　229
7.4　总结　230
7.5　检查你的理解　230
第8章　在路由器上配置过滤　232
8.1　关键术语　232
8.2　过滤和访问列表　232
8.2.1　数据包过滤　233
8.2.2　状态过滤　233
8.2.3　URL过滤　235
8.3　Cisco IOS防火墙基于上下文的访问控制　235
8.3.1　CBAC数据包　236
8.3.2　Cisco IOS ACL　236
8.3.3　CBAC如何运行　236
8.3.4　CBAC所支持的协议　238
8.4　配置Cisco IOS防火墙基于上下文的访问控制　239
8.4.1　CBAC配置任务　239
8.4.2　准备CBAC　239
8.4.3　设置审计跟踪和警告　240
8.4.4　设置全局超时时间　241
8.4.5　设置全局阈值　242
8.4.6　主机限制的半开连接　243
8.4.7　系统定义的端口与应用映射　243
8.4.8　用户定义的PAM　244
8.4.9　设定应用的检测规则　245
8.4.10　为IP分片定义检测规则　246
8.4.11　定义ICMP检测规则　247
8.4.12　将检测规则和ACL应用于接口　248
8.5　测试与校验CBAC　251用SDM配置Cisco IOS防火墙　252
8.6　总结　253
8.7　检查你的理解　253
第9章　在PIX安全器件上配置过滤　256
9.1　关键术语　256
9.2　配置ACL和内容过滤　256
9.2.1　PIX安全器件ACL　257
9.2.2　配置ACL　258
9.2.3　ACL行号　259
9.2.4　icmp命令　259
9.2.5　nat 0 ACL　260
9.2.6　Turbo ACL　262
9.2.7　使用ACL　262
9.2.8　恶意代码过滤　265
9.2.9　URL过滤　266
9.3　对象分组　268
9.3.1　开始使用对象分组　269
9.3.2　配置对象分组　269
9.3.3　嵌套对象分组　271
9.3.4　管理对象分组　274
9.4　配置安全器件模块策略　275
9.4.1　配置一个类映射　277
9.4.2　配置一个策略映射　277
9.4.3　配置一个服务策略　279
9.5　配置高级协议检查　280
9.5.1　默认流量检查和端口号　280
9.5.2　FTP检查　283
9.5.3　FTP深度报文检查　285
9.5.4　HTTP检查　286
9.5.5　协议应用程序检查　287
9.5.6　多媒体支持　291
9.5.7　实时流协议(Real-Time Streaming Protocol，RSTP)　291
9.5.8　支持IP电话所需要的协议　293
9.5.9　DNS检查　295
9.6　总结　296
9.7　检查你的理解　297
第10章　在交换机上配置过滤　299
10.1　关键术语　299
10.2　二层攻击简介　299
10.3　MAC地址、ARP和DHCP攻击　300
10.3.1　减少CAM表过载攻击　301
10.3.2　MAC欺骗：中间人攻击　302
10.3.3　ARP欺骗　303
10.4　DHCP侦听(DHCP Snooping)　303
10.4.1　动态ARP检测　305
10.4.2　DHCP耗尽攻击(DHCP Starvation Attacks)　305
10.5　VLAN攻击　306
10.5.1　VLAN跳跃攻击　306
10.5.2　私用VLAN攻击　308
10.5.3　私用VLAN防御　308
10.6　生成树协议攻击　309
10.7　总结　310
10.8　检查你的理解　310
第二学期..
第1章　入侵检测和防御技术　314
1.1　关键术语　314
1.2　入侵检测和防御介绍　314
1.2.1　基于网络与基于主机　315
1.2.2　警报的类型　315
1.3　检测引擎　317
1.3.1　基于签名的探测　317
1.3.2　签名的类型　317
1.3.3　基于异常状态检测　318
1.4　Cisco的IDS和IPS设备　319
1.4.1　Cisco集成的解决方案　319
1.4.2　Cisco IPS 4200系列探测器　320
1.5　总结　320
1.6　检查你的理解　321
第2章　配置网络入侵检测和入侵防护　322
2.1　关键术语　322
2.2　Cisco IOS入侵防护系统(IPS)　322
2.2.1　Cisco IOS入侵防护系统的起源　324
2.2.2　路由器的性能　324
2.2.3　Cisco IOS入侵防护系统特征库　324
2.2.4　配置Cisco IOS入侵防护系统的过程　325
2.3　在PIX安全设备上启用攻击防护功能(attack guards)　329
2.3.1　Mail Guard　329
2.3.2　DNS Guard　329
2.3.3　FragGuard和虚拟重组(Virtual Reassembly)　330
2.3.4　AAA泛洪防护　331
2.3.5　SYN泛洪保护　332
2.3.6　TCP intercept　332
2.3.7　SYN Cookies　333
2.3.8　连接限制　333
2.4　在PIX安全设备上配置入侵防护　334
2.4.1　入侵检测和PIX安全设备　334
2.4.2　配置入侵防护　335
2.4.3　配置IDS策略　336
2.5　在PIX安全设备上配置阻断(shunning)　337
2.6　总结　338
2.7　检查你的理解　339
第3章　加密与VPN技术　341
3.1　关键术语　341
3.2　加密的基本方法　341
3.2.1　对称加密　341
3.2.2　不对称加密　342
3.2.3　Diffie-Hellman　343
3.3　完整性要素　344
3.3.1　散列　345
3.3.2　散列方法认证码HMAC　345
3.3.3　数字签名和证书　346
3.4　实现数字证书　348
3.4.1　认证中心支持　348
3.4.2　简单证书注册协议SCEP　349
3.4.3　CA服务器　349
3.4.4　使用CA注册一台设备　352
3.5　VPN拓扑　352
3.5.1　站点到站点VPN　353
3.5.2　远程访问VPN　353
3.6　VPN技术　354
3.6.1　WebVPN　355
3.6.2　隧道协议　356
3.6.3　隧道接口　358
3.6.4　IPSec　358
3.6.5　认证头AH　359
3.6.6　封装安全载荷ESP　361
3.6.7　隧道和传输模式　361
3.6.8　安全关联　363
3.6.9　IPSec的5个步骤　364
3.6.10　因特网密钥交换IKE　366
3.6.11　IKE和IPSec　367
3.6.12　Cisco VPN解决方案　368
3.7　总结　369
3.8　检查你的理解　369
第4章　使用预共享密钥配置站点到站点VPN　371
4.1　关键术语　371
4.2　使用预共享密钥的IPSec加密　371
4.2.1　规划IKE和IPSec策略　373
4.2.2　步骤1：确定ISAKMP(IKE阶段1)策略　373
4.2.3　步骤2：定义IPSec(IKE阶段2)策略　375
4.2.4　步骤3：检查当前配置　375
4.2.5　步骤4：确保网络在没有加密时也能工作　376
4.2.6　步骤5：确认ACL允许IPSec　377
4.3　使用预共享密钥在路由器上配置IKE　378
4.3.1　步骤1：启用或禁止IKE　378
4.3.2　步骤2：创建IKE策略　378
4.3.3　步骤3：配置预共享密钥　381
4.3.4　步骤4：验证IKE配置　382
4.4　使用预共享密钥为路由器配置IPSec　382
4.4.1　步骤1：配置变换集　382
4.4.2　步骤2：确定IPSec(IKE阶段2)策略　384
4.4.3　步骤3：创建加密ACL　384
4.4.4　步骤4：创建加密图　386
4.4.5　步骤5：将加密图应用到接口　387
4.5　测试和验证路由器的IPSec配置　388
4.5.1　查看配置的ISAKMP策略　388
4.5.2　显示配置的变换集　389
4.5.3　显示IPSec SA的当前状态　389
4.5.4　显示配置的加密图　389
4.5.5　打开IPSec事件的调试输出　390
4.5.6　打开ISAKMP事件的调试输出　390
4.5.7　使用SDM配置一个VPN　391
4.6　使用预共享密钥配置一个PIX安全器件站点到站点VPN　391
4.6.1　任务1：准备配置VPN支持　392
4.6.2　任务2：配置IKE参数　392
4.6.3　任务3：配置IPSec参数　394
4.6.4　任务4：测试和验证IPSec配置　397
4.7　总结　398
4.8　检查你的理解　398
第5章　使用数字证书配置站点到站点VPN　400
5.1　关键术语　400
5.2　在路由器上配置CA支持　400
5.2.1　步骤1：管理NVRAM　401
5.2.2　步骤2：设置路由器的时间和日期　402
5.2.3　步骤3：在路由器主机表中加入CA服务器条目　402
5.2.4　步骤4：生成RSA密钥对　403
5.2.5　步骤5：声明一个CA　405
5.2.6　步骤6：认证CA　406
5.2.7　步骤7：为路由器申请一个证书　407
5.2.8　步骤8：保存配置　407
5.2.9　步骤9：监视和维护CA互操作性　408
5.2.10　步骤10：验证CA支持配置　409
5.3　使用数字证书配置Cisco IOS路由器站点到站点VPN　410
5.3.1　任务1：准备IKE和IPSec　411
5.3.2　任务2：配置CA支持　411
5.3.3　任务3：配置IKE　412
5.3.4　任务4：配置IPSec　413
5.3.5　任务5：测试和验证IPSec　413
5.4　使用数字证书配置PIX安全设备站点到站点VPN　413
5.5　总结　415
5.6　检查你的理解　415
第6章　配置远程访问VPN　417
6.1　关键术语　417
6.2　Cisco Easy VPN介绍　417
6.2.1　Easy VPN服务器概览　418
6.2.2　Cisco Easy VPN Remote概览　418
6.2.3　Cisco Easy VPN如何工作　419
6.3　Cisco Easy VPN服务器配置任务　421
6.3.1　任务1：创建一个IP地址池　422
6.3.2　任务2：配置组策略查找　422
6.3.3　任务3：为远程VPN客户访问创建ISAKMP策略　423
6.3.4　任务4：为模式配置推送定义一个组策略　423
6.3.5　任务5：创建一个变换集　424
6.3.6　任务6：创建一个带RRI的加密图　424
6.3.7　任务7：将模式配置应用到动态加密图　425
6.3.8　任务8：将动态加密图应用到路由器接口上　426
6.3.9　任务9：使能IKE失效对等体检测　426
6.3.10　任务10：(可选)配置XAUTH　427
6.3.11　任务11：(可选)启用XAUTH保存口令特性　427
6.4　Cisco Easy VPN客户端4.x配置任务　428
6.4.1　任务1：在远程用户的PC上安装Cisco VPN客户端4.x　428
6.4.2　任务2：创建一个新的客户端连接条目　429
6.4.3　任务3：选择一个认证方法　429
6.4.4　任务4：配置透明隧道　430
6.4.5　任务5：启用并增加备份服务器　432
6.4.6　任务6：通过拨号网络配置一条到因特网的连接　432
6.5　为接入路由器配置Cisco Easy VPN Remote　433
6.5.1　Easy VPN Remote操作模式　434
6.5.2　接入路由器的Cisco Easy VPN Remote配置任务　435
6.6　配置PIX安全器件作为Easy VPN服务器　439
6.6.1　任务1：为远程VPN客户端访问创建一个ISAKMP策略　439
6.6.2　任务2：创建一个IP地址池　439
6.6.3　任务3：为模式配置推送定义一个组策略　440
6.6.4　任务4：创建一个变换集　442
6.6.5　任务5至任务7：动态加密图　442
6.6.6　任务8：配置XAUTH　443
6.6.7　任务9：配置NAT和NAT 0　443
6.6.8　任务10：启用IKE DPD　443
6.7　配置PIX 501或506E作为Easy VPN客户端　444
6.7.1　PIX安全器件Easy VPN Remote特性概览　444
6.7.2　Easy VPN Remote配置　445
6.7.3　Easy VPN客户端模式以及启用Easy VPN Remote客户端　446
6.7.4　Easy VPN Remote认证　447
6.8　配置适应性安全器件支持WebVPN　448
6.8.1　WebVPN最终用户接口　448
6.8.2　配置WebVPN常用参数　450
6.8.3　配置WebVPN服务器和URL　452
6.8.4　配置WebVPN端口转发　453
6.8.5　配置WebVPN E-mail代理　455
6.8.6　配置WebVPN内容过滤器和ACL　455
6.9　总结　456
6.10　检查你的理解　456
第7章　安全网络体系和管理　458
7.1　关键术语　458
7.2　影响二层消除技术的因素　458
7.2.1　单安全区域、单用户组、单物理交换机　459
7.2.2　单安全区域、单用户组、多物理交换机　461
7.2 .3　单安全区域、多用户组、单物理交换机　462
7.2.4　单安全区域、多用户组、多物理交换机　462
7.2.5　多安全区域、单用户组、单物理交换机　463
7.2.6　多安全区域、单用户组、多物理交换机　464
7.2.7　多安全区域、多用户组、单物理交换机　465
7.2.8　多安全区域、多用户组、多物理交换机　466
7.2.9　二层安全最佳实践　467
7.3　SDM安全审计　468
7.4　路由器管理中心　470
7.4.1　Hub-and-Spoke拓扑　472
7.4.2　VPN设置和策略　472
7.4.3　设备层级和继承　472
7.4.4　活动　473
7.4.5　工作　473
7.4.6　构建块　473
7.4.7　支持的隧道技术　473
7.4.8　安装Router MC　474
7.4.9　开始使用Router MC　475
7.4.10　Router MC界面　476
7.4.11　Router MC标签　477
7.4.12　基本工作流和任务　480
7.5　简单网络管理协议SNMP　481
7.5.1　SNMP介绍　481
7.5.2　SNMP安全　483
7.5.3　SNMP版本3(SNMPv3)　484
7.5.4　SNMP管理应用程序　485
7.5.5　在Cisco IOS路由器上配置SNMP支持　486
7.5.6　在PIX安全器件上配置SNMP支持　489
7.6　总结　490
7.7　检查你的理解　490
第8章　PIX安全器件上下文、故障倒换和管理　492
8.1　关键术语　492
8.2　配置PIX安全器件在多上下文模式中运行　492
8.2.1　启用多上下文模式　495
8.2.2　配置安全上下文　496
8.2.3　管理安全上下文　497
8.3　配置PIX安全器件故障倒换　497
8.3.1　理解故障倒换　497
8.3.2　故障倒换的要求　499
8.3.3　基于串行电缆的故障倒换配置　500
8.3.4　基于LAN的活跃/备用故障倒换配置　501
8.3.5　活跃/活跃故障倒换　502
8.3.6　配置透明防火墙模式　502
8.3.7　透明防火墙模式概览　503
8.3.8　启用透明防火墙模式　504
8.3.9　监控和维护透明防火墙　506
8.4　PIX安全器件管理　507
8.4.1　管理Telnet访问　507
8.4.2　管理SSH访问　508
8.4.3　命令授权　509
8.4.4　PIX安全器件口令恢复　511
8.4.5　适应性安全器件口令恢复　512
8.4.6　文件管理　512
8.4.7　映像升级和认证密钥　514
8.5　总结　515
8.6　检查你的理解　516
附录A　“检查你的理解”部分的答案　518
术语表...　527