Cisco路由器防火墻安全

定　價：￥98.00

作　者：	（美）迪爾著，陳克忠譯；陳克忠譯
出版社：	人民郵電出版社
叢編項：
標(biāo)　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

ISBN：	9787115136954	出版時間：	2006-01-01	包裝：	膠版紙
開本：	小16開	頁數(shù)：	668	字?jǐn)?shù)：

內(nèi)容簡介

　　CiscoIOS防火墻提供了豐富的功能，包括：地址轉(zhuǎn)換、認(rèn)證，加密、有狀態(tài)的過濾、失敗切換、URL內(nèi)容過濾、ACL、NBAR和其他的特性。本書講解如伺使用CiscoIOS防火墻來增強(qiáng)邊界路山器的安全，并在這個過程中利用CiscoIOS軟件包的靈活性和可擴(kuò)展性。.本書的每一章都針對邊界路由器安全的一個重要組件。作者解釋了所有這些關(guān)鍵安全特征的憂缺點(diǎn)．以幫助我們理解何時使用這些特征，書中提供了很多來自作者自己實(shí)際經(jīng)驗的例子來描述關(guān)鍵問題和安全缺陷。本書的結(jié)尾包括一個詳細(xì)的案例學(xué)習(xí)，描述了如何實(shí)施Cisco路由器安全特征的最佳實(shí)踐和相關(guān)信息。不管您是在學(xué)習(xí)相關(guān)防火墻安全的知識，還足在尋找增強(qiáng)Cisco路由器安全的技術(shù)指南，本書都足您進(jìn)行網(wǎng)絡(luò)邊界保護(hù)的完全參考。本書全面系統(tǒng)地介紹基于CiscoIOS軟件操作系統(tǒng)的各種防火墻特性。使用這些特性可以加固Cisco邊界路由器和其他路由器，在保護(hù)已有投資的情況下，保護(hù)我們的網(wǎng)絡(luò)免受各種安全威脅和攻擊。..本書共有21章，分成9個部分。第一部分是安全問題和防火墻的概述。第二部分通過基本的訪問設(shè)置、關(guān)閉不必要的服務(wù)和實(shí)施AAA來保護(hù)到路由器本身的訪問安全。第三部分介紹Cisco的無狀態(tài)流量過濾技術(shù)，包括基本的、擴(kuò)展的、命名的、定時的、有序的和編譯的ACL。第四部分介紹Cisco的有狀態(tài)的流量過濾技術(shù)，包括反射ACL、CBAC、URL過濾和NBAR等特征。第五部分介紹地址轉(zhuǎn)換和地址轉(zhuǎn)換所引起的問題以及相應(yīng)的解決方法。第六部分分別介紹鎖和密鑰ACL、認(rèn)證代理和對路由選擇協(xié)議的保護(hù)，鎖和密鑰以及認(rèn)證代理用來實(shí)現(xiàn)在允許用戶訪問資源之前首先對他們進(jìn)行認(rèn)證的功能。第七部分主要介紹入侵檢測系統(tǒng)、DoS防護(hù)和記錄日志事件。第八部分介紹站到站的IPSec連接和遠(yuǎn)程接入IPSec連接。第九部分介紹一個綜合的案例學(xué)習(xí)，結(jié)合本書中介紹的重要安全組件，講述如何保護(hù)一個實(shí)際環(huán)境中的網(wǎng)絡(luò)安全。本書是一本關(guān)于“如何做”的書，堪稱是一部關(guān)于Cisco路由器防火墻安全的參考大全。作者Richard是一位有多年計算機(jī)網(wǎng)絡(luò)業(yè)工作經(jīng)驗的專家，本書融入了作者網(wǎng)絡(luò)安全實(shí)踐的很多體會和提示，使讀者能更好地掌握重要特征和關(guān)鍵問題。本書中提供的許多例子都很典型，可以方便地應(yīng)用到我們的網(wǎng)絡(luò)環(huán)境中。本書文筆流暢、內(nèi)容翔實(shí)、覆蓋面很廣，是廣大網(wǎng)絡(luò)安全從業(yè)人員和網(wǎng)絡(luò)管理人員的案頭必備用書。本書也可以有效地幫助您通過Cisco的CCSPSECUR認(rèn)證考試。...

作者簡介

　　RichardA．Deal擁用CCSP，CCNP和CCNA證書，曾經(jīng)就讀于Grove市立學(xué)院，他主修數(shù)學(xué)、計算機(jī)和英語，并獲得科學(xué)學(xué)士學(xué)位。在過去的7年里，Richard經(jīng)營他自己的公司，該公司提供咨詢和技術(shù)培訓(xùn)。Richard在計算機(jī)和網(wǎng)絡(luò)業(yè)（包括網(wǎng)絡(luò)、培訓(xùn)、系統(tǒng)管理和編程）有17年的工作經(jīng)驗。除了教授各種Cisco的認(rèn)證課程之外，Richard已經(jīng)出版了很多本書，最近出版的是CCNPBCMSNExamCram2（642-811），由Que出版社出版。Richard正在為Boson公司撰寫Cisco認(rèn)證自我準(zhǔn)備測試，包括SECtJRE測驗（SECURE#3）。Boson軟件公司是一家軟件和培訓(xùn)公司，專門從事考試準(zhǔn)備和動手技能產(chǎn)品的開發(fā)。Boson作為一家贏利的軟件公司，自1998年以來一直關(guān)注成人學(xué)習(xí)和網(wǎng)絡(luò)公共事業(yè)。他們的使命是以經(jīng)濟(jì)有效的方式提供高質(zhì)量的實(shí)踐測試和學(xué)習(xí)補(bǔ)充材料。Boson是支持Cisco認(rèn)證的第一批軟件供應(yīng)商之一，現(xiàn)在是Cisco授權(quán)的學(xué)習(xí)合作伙伴和產(chǎn)品總代理。Boson的其他學(xué)習(xí)幫助材料可從http：//www．boson．co

圖書目錄

第一部分　安全概述和防火墻

第1章　安全威脅　3
1.1　安全計劃　4
1.1.1　不同的平臺　4
1.1.2　安全目標(biāo)　5
1.2　安全問題的起因　5
1.2.1　策略定義　6
1.2.2　計算機(jī)技術(shù)　9
1.2.3　設(shè)備配置　11
1.3　安全威脅的類型　11
1.3.1　外部和內(nèi)部威脅　12
1.3.2　無組織的和有組織的威脅　12
1.4　威脅的分類　13
1.4.1　勘測攻擊　13
1.4.2　訪問攻擊　16
1.4.3　拒絕服務(wù)攻擊　23
1.5　安全解決方案　25
1.5.1　設(shè)計安全解決方案　25
1.5.2　Cisco安全輪形圖　26
1.5.3　安全檢查列表　27
1.5.4　附加信息　28
1.6　小結(jié)　28

第2章　防火墻概述　31
2.1　防火墻簡介　31
2.1.1　防火墻定義　32
2.1.2　防火墻保護(hù)　32
2.2　流量控制和OSI參考模型　34
2.2.1　OSI參考模型概要　34
2.2.2　防火墻和OSI參考模型　35
2.3　防火墻種類　35
2.3.1　包過濾防火墻　36
2.3.2　狀態(tài)防火墻　40
2.3.3　應(yīng)用網(wǎng)關(guān)防火墻　48
2.3.4　地址轉(zhuǎn)換防火墻　54
2.3.5　基于主機(jī)的防火墻　57
2.3.6　混合防火墻　59
2.3.7　防火墻和其他服務(wù)　60
2.4　防火墻設(shè)計　61
2.4.1　設(shè)計準(zhǔn)則　61
2.4.2　DMZ　64
2.4.3　組件　68
2.4.4　組件布局　71
2.4.5　防火墻實(shí)施　74
2.4.6　防火墻管理　76
2.5　Cisco IOS安全　76
2.5.1　Cisco IOS的使用　77
2.5.2　Cisco IOS的安全特性　77
2.5.3　Cisco IOS設(shè)備及其使用　78
2.5.4　何時使用Cisco IOS防火墻　79
2.6　小結(jié)　80

第二部分　管理到路由器的訪問

第3章　訪問路由器　85
3.1　認(rèn)證類型　85
3.1.1　沒有口令認(rèn)證　86
3.1.2　靜態(tài)口令認(rèn)證　86
3.1.3　時效口令認(rèn)證　87
3.1.4　一次性口令認(rèn)證　87
3.1.5　令牌卡服務(wù)　88
3.2　用戶級EXEC訪問方法　90
3.2.1　本地訪問：控制臺和輔助線路　91
3.2.2　遠(yuǎn)程訪問　93
3.3　特權(quán)級EXEC訪問　112
3.3.1　口令　112
3.3.2　權(quán)限級別　112
3.4　其他訪問問題　116
3.4.1　加密口令　116
3.4.2　標(biāo)識　117
3.5　配置實(shí)例　119
3.6　小結(jié)　121

第4章　關(guān)閉不必要的服務(wù)　123
4.1　關(guān)閉全局服務(wù)　123
4.1.1　Cisco發(fā)現(xiàn)協(xié)議　124
4.1.2　TCP和UDP低端口服務(wù)　125
4.1.3　Finger　126
4.1.4　IdentD　126
4.1.5　IP源路由　127
4.1.6　FTP和TFTP　128
4.1.7　HTTP　128
4.1.8　SNMP　129
4.1.9　域名解析　130
4.1.10　BootP　131
4.1.11　DHCP　131
4.1.12　PAD　132
4.1.13　配置自動加載　132
4.2　關(guān)閉接口服務(wù)　133
4.2.1　不安全接口上的CDP　133
4.2.2　ARP代理　134
4.2.3　定向廣播　135
4.2.4　ICMP消息　136
4.2.5　維護(hù)操作協(xié)議　139
4.2.6　VTY　140
4.2.7　未使用的接口　141
4.3　在邊界路由器上手動關(guān)閉服務(wù)的配置例子　141
4.4　AutoSecure　142
4.4.1　安全平面　142
4.4.2　AutoSecure配置　144
4.5　小結(jié)　154

第5章　認(rèn)證、授權(quán)和記賬　157
5.1　AAA概述　157
5.1.1　AAA工作原理　158
5.1.2　打開AAA　158
5.1.3　安全協(xié)議　159
5.2　認(rèn)證　166
5.2.1　認(rèn)證方法　167
5.2.2　認(rèn)證配置　168
5.2.3　認(rèn)證排錯　171
5.2.4　認(rèn)證例子　171
5.3　授權(quán)　172
5.3.1　授權(quán)方法　173
5.3.2　授權(quán)配置　173
5.3.3　授權(quán)排錯　174
5.3.4　授權(quán)例子　175
5.4　記賬　175
5.4.1　記賬方法　176
5.4.2　記賬配置　176
5.4.3　記賬排錯　178
5.4.4　記賬例子　179
5.5　安全復(fù)制　179
5.5.1　SCP準(zhǔn)備　180
5.5.2　SCP配置　180
5.5.3　SCP排錯　180
5.5.4　SCP例子　181
5.6　小結(jié)　181

第三部分　無狀態(tài)的過濾技術(shù)

第6章　訪問列表概述　185
6.1　訪問列表簡介　185
6.1.1　ACL和過濾　186
6.1.2　ACL類型　187
6.1.3　處理ACL　188
6.2　基本ACL的配置　194
6.2.1　建立ACL　195
6.2.2　激活A(yù)CL　196
6.2.3　編輯ACL　197
6.3　通配符掩碼　198
6.3.1　將子網(wǎng)掩碼轉(zhuǎn)換成通配符掩碼　199
6.3.2　通配符掩碼錯誤　200
6.4　小結(jié)　200

第7章　基本訪問列表　203
7.1　ACL的類型　203
7.1.1　標(biāo)準(zhǔn)ACL　204
7.1.2　擴(kuò)展ACL　207
7.1.3　ACL驗證　218
7.1.4　分片和擴(kuò)展ACL　219
7.1.5　定時ACL　223
7.2　其他的ACL特性　226
7.2.1　ACL注釋　226
7.2.2　日志記錄更新　228
7.2.3　IP統(tǒng)計和ACL　228
7.2.4　Turbo ACL　230
7.2.5　有序的ACL　232
7.3　受攻擊時的保護(hù)　235
7.3.1　Bogon阻塞和欺騙　235
7.3.2　DoS和分布式DoS攻擊　240
7.3.3　簡單勘查攻擊　246
7.3.4　分布式DoS攻擊　248
7.3.5　特洛伊木馬　254
7.3.6　蠕蟲　256
7.4　阻塞不必要的服務(wù)　260
7.4.1　一場艱難的戰(zhàn)斗　260
7.4.2　即時消息產(chǎn)品　261
7.4.3　文件共享：端到端產(chǎn)品　265
7.5　小結(jié)　272

第四部分　有狀態(tài)的和高級的過濾技術(shù)

第8章　反射訪問列表　277
8.1　反射ACL概述　277
8.1.1　擴(kuò)展的ACL相比反射ACL　278
8.1.2　反射ACL的工作原理　282
8.1.3　反射ACL的局限性　285
8.2　配置反射ACL　288
8.2.1　接口選擇　288
8.2.2　配置命令　291
8.3　反射ACL舉例　295
8.3.1　簡單的RACL例子　295
8.3.2　兩個接口的RACL例子　295
8.3.3　三個接口的RACL例子　296
8.4　小結(jié)　299

第9章　基于上下文的訪問控制　301
9.1　Cisco IOS防火墻特性　301
9.2　CBAC的功能　302
9.2.1　過濾流量　302
9.2.2　審查流量　303
9.2.3　檢測入侵　303
9.2.4　生成警告和審計信息　303
9.3　CBAC的操作　303
9.3.1　基本操作　303
9.3.2　CBAC相對RACL的增強(qiáng)　305
9.4　CBAC支持的協(xié)議　308
9.4.1　RTSP應(yīng)用　309
9.4.2　H.323應(yīng)用　310
9.4.3　Skinny支持　310
9.4.4　SIP支持　311
9.5　CBAC的性能　312
9.5.1　吞吐量改進(jìn)特性　313
9.5.2　每秒連接改進(jìn)特性　313
9.5.3　CPU使用率改進(jìn)特性　313
9.6　CBAC的局限性　314
9.7　CBAC的配置　314
9.7.1　步驟1：接口選擇　315
9.7.2　步驟2：ACL配置　315
9.7.3　步驟3：全局超時值　316
9.7.4　步驟4：端口應(yīng)用映射　317
9.7.5　步驟5：審查規(guī)則　320
9.7.6　步驟6：激活審查　324
9.7.7　步驟7：CBAC排錯　324
9.7.8　刪除CBAC　328
9.8　CBAC例子　328
9.8.1　簡單例子　328
9.8.2　兩個接口的CBAC例子　330
9.8.3　三接口的CBAC例子　331
9.9　小結(jié)　334

第10章　過濾Web和應(yīng)用流量　337
10.1　Java小程序　337
10.1.1　Java審查　338
10.1.2　Java阻塞　338
10.1.3　Java阻塞例子　338
10.2　URL過濾　340
10.2.1　URL過濾操作　340
10.2.2　URL過濾的優(yōu)點(diǎn)和局限性　341
10.2.3　URL過濾實(shí)施　343
10.2.4　URL過濾驗證　349
10.2.5　URL過濾例子　351
10.3　基于網(wǎng)絡(luò)的應(yīng)用識別　352
10.3.1　QoS的組件　352
10.3.2　NBAR和分類　353
10.3.3　NBAR的限制和局限性　357
10.3.4　基本的NBAR配置　358
10.3.5　NBAR驗證　364
10.3.6　NBAR例子　367
10.4　小結(jié)　372

第五部分　地址轉(zhuǎn)換和防火墻

第11章　地址轉(zhuǎn)換　377
11.1　地址轉(zhuǎn)換概述　377
11.1.1　私有地址　377
11.1.2　地址轉(zhuǎn)換　378
11.2　地址轉(zhuǎn)換的工作原理　379
11.2.1　用于地址轉(zhuǎn)換的術(shù)語　380
11.2.2　執(zhí)行地址轉(zhuǎn)換　380
11.2.3　地址轉(zhuǎn)換的局限性　385
11.3　地址轉(zhuǎn)換配置　386
11.3.1　NAT配置　386
11.3.2　PAT配置　389
11.3.3　端口地址重定向配置　391
11.3.4　處理重疊的地址　393
11.3.5　流量分配配置　396
11.3.6　配置轉(zhuǎn)換限制　398
11.3.7　地址轉(zhuǎn)換的驗證和排錯　398
11.4　NAT和CBAC的例子　401
11.5　小結(jié)　403

第12章　地址轉(zhuǎn)換問題　405
12.1　嵌入的地址信息　405
12.1.1　嵌入地址信息問題　406
12.1.2　支持的協(xié)議和應(yīng)用　407
12.1.3　非標(biāo)準(zhǔn)的端口號　408
12.2　控制地址轉(zhuǎn)換　409
12.2.1　使用ACL　409
12.2.2　使用路由映射：動態(tài)轉(zhuǎn)換　410
12.2.3　使用路由映射：靜態(tài)轉(zhuǎn)換　413
12.3　地址轉(zhuǎn)換和冗余　415
12.3.1　使用HSRP的靜態(tài)NAT冗余　415
12.3.2　有狀態(tài)的地址轉(zhuǎn)換失敗切換　419
12.4　使用服務(wù)器負(fù)載平衡來分配流量　426
12.4.1　SLB過程　426
12.4.2　SLB的優(yōu)點(diǎn)和局限性　429
12.4.3　SLB的配置　429
12.4.4　SLB驗證　432
12.4.5　SLB例子　433
12.5　小結(jié)　434

第六部分　管理通過路由器的訪問

第13章　鎖和密鑰訪問列表　439
13.1　鎖和密鑰概述　439
13.1.1　鎖和密鑰與普通ACL　439
13.1.2　何時使用鎖和密鑰　440
13.1.3　鎖和密鑰的好處　440
13.1.4　鎖和密鑰的處理過程　441
13.2　鎖和密鑰配置　442
13.2.1　配置步驟　442
13.2.2　允許遠(yuǎn)程管理訪問　446
13.2.3　驗證和排錯　447
13.3　鎖和鑰匙舉例　448
13.4　小結(jié)　449

第14章　認(rèn)證代理　451
14.1　AP簡介　451
14.1.1　AP特性　452
14.1.2　AP過程　453
14.1.3　AP的使用　455
14.1.4　AP的局限性　456
14.2　AP的配置　457
14.2.1　在路由器上配置AAA　457
14.2.2　在服務(wù)器上配置AAA　458
14.2.3　為HTTP或HTTPS作準(zhǔn)備　460
14.2.4　配置AP策略　461
14.2.5　調(diào)整AP　462
14.2.6　防止訪問攻擊　463
14.3　AP驗證和排錯　464
14.3.1　show命令　464
14.3.2　clear命令　465
14.3.3　debug命令　466
14.4　AP舉例　466
14.4.1　簡單的AP例子　466
14.4.2　復(fù)雜的AP例子：CBAC和NAT　469
14.5　小結(jié)　472

第15章　路由選擇協(xié)議保護(hù)　475
15.1　靜態(tài)和黑洞路由選擇　475
15.1.1　靜態(tài)路由　476
15.1.2　Null路由　476
15.1.3　基于策略的路由選擇　478
15.2　內(nèi)部網(wǎng)關(guān)協(xié)議安全　480
15.2.1　認(rèn)證　481
15.2.2　RIPv2　482
15.2.3　EIGRP　483
15.2.4　OSPF　484
15.2.5　IS-IS　484
15.2.6　其他工具　486
15.2.7　HSRP　488
15.3　BGP安全　490
15.3.1　認(rèn)證　490
15.3.2　路由翻動阻尼　491
15.3.3　BGP路由選擇例子　492
15.4　逆向路徑轉(zhuǎn)發(fā)(單播流量)　496
15.4.1　RPF過程　496
15.4.2　RPF的使用　498
15.4.3　RPF局限性　499
15.4.4　RPF配置　499
15.4.5　RPF驗證　500
15.4.6　單播RPF例子　501
15.5　小結(jié)　501

第七部分　檢測和防止攻擊

第16章　入侵檢測系統(tǒng)　505
16.1　IDS簡介　505
16.1.1　IDS的實(shí)現(xiàn)　506
16.1.2　IDS解決方案　507
16.1.3　IDS要點(diǎn)　509
16.2　IDS簽名　510
16.2.1　簽名實(shí)現(xiàn)　510
16.2.2　簽名結(jié)構(gòu)　511
16.2.3　基本分類　511
16.2.4　Cisco簽名類型　511
16.3　Cisco路由器IDS解決方案　512
16.3.1　簽名支持　512
16.3.2　路由器IDS過程　515
16.3.3　內(nèi)存和性能問題　516
16.4　IDS配置　517
16.4.1　步驟1：初始化配置　517
16.4.2　步驟2：日志和郵局配置　517
16.4.3　步驟3：審查規(guī)則配置和激活　518
16.4.4　IDS驗證　520
16.5　IDS舉例　521
16.6　小結(jié)　522

第17章　DoS防護(hù)　525
17.1　檢測DoS攻擊　525
17.1.1　常見的攻擊　525
17.1.2　檢查CPU使用率來檢測DoS攻擊　526
17.1.3　使用ACL檢測DoS攻擊　528
17.1.4　使用NetFlow來檢測DoS攻擊　533
17.2　CEF交換　538
17.3　TCP截取　539
17.3.1　TCP SYN洪水攻擊　539
17.3.2　TCP截取模式　539
17.3.3　TCP截取的配置和驗證　540
17.3.4　TCP截取舉例　544
17.4　CBAC和DoS攻擊　545
17.4.1　超時和閾值　545
17.4.2　CBAC DoS阻止驗證　547
17.4.3　CBAC配置舉例　547
17.5　速率限制　548
17.5.1　ICMP速率限制　549
17.5.2　CAR　550
17.5.3　NBAR　554
17.6　小結(jié)　557

第18章　記錄日志事件　559
18.1　基本日志記錄　559
18.1.1　日志消息格式　560
18.1.2　基本日志記錄配置　560
18.1.3　日志記錄目的地　561
18.1.4　其他日志命令　566
18.1.5　日志記錄驗證　567
18.1.6　日志記錄和錯誤計數(shù)　569
18.2　時間和日期與Cisco IOS　570
18.2.1　路由器時間源　570
18.2.2　時間和日期的手動配置　571
18.2.3　網(wǎng)絡(luò)時間協(xié)議簡介　573
18.2.4　為NTP配置路由器客戶端　573
18.2.5　為NTP配置路由器服務(wù)器　575
18.2.6　NTP安全　576
18.2.7　其他NTP命令　578
18.2.8　NTP驗證　578
18.2.9　NTP配置舉例　580
18.3　內(nèi)置的系統(tǒng)日志管理器　580
18.3.1　ESM簡介　581
18.3.2　ESM過濾模塊　581
18.3.3　ESM的建立和配置介紹　584
18.4　其他日志記錄信息　586
18.4.1　要尋找什么　586
18.4.2　其他工具　587
18.5　小結(jié)　589

第八部分　虛擬專用網(wǎng)

第19章　站到站的IPSec連接　593
19.1　IPSec 準(zhǔn)備　593
19.1.1　基本任務(wù)　593
19.1.2　外部ACL　594
19.2　IKE階段1：管理連接　595
19.2.1　打開ISAKMP/IKE　596
19.2.2　定義IKE階段1策略　596
19.3　IKE階段1對等體認(rèn)證　598
19.3.1　身份類型　598
19.3.2　使用預(yù)共享密鑰的認(rèn)證　599
19.3.3　使用RSA加密Nonce的認(rèn)證　599
19.3.4　使用證書認(rèn)證　601
19.4　IKE階段2：數(shù)據(jù)連接　607
19.4.1　步驟1：建立一個加密映射　607
19.4.2　步驟2：建立變換集　608
19.4.3　步驟3：建立加密映射　610
19.4.4　步驟4：激活加密映射　613
19.4.5　步驟5：驗證加密映射配置　613
19.5　IPSec連接排錯　614
19.5.1　檢查SA　614
19.5.2　使用debug命令　616
19.5.3　清除連接　618
19.6　L2L舉例　618
19.7　小結(jié)　620

第20章　IPSec遠(yuǎn)程接入連接　623
20.1　遠(yuǎn)程接入概述　623
20.1.1　EasyVPN介紹　624
20.1.2　EasyVPN IPSec支持　625
20.1.3　EasyVPN特性　625
20.2　IPSec遠(yuǎn)程接入連接過程　626
20.2.1　步驟1：EVC發(fā)起IPSec連接　627
20.2.2　步驟2：EVC發(fā)送IKE階段1策略　627
20.2.3　步驟3：EVS接受IKE階段1策略　627
20.2.4　步驟4：EVS認(rèn)證用戶　627
20.2.5　步驟5：EVS執(zhí)行IKE模式配置　628
20.2.6　步驟6：EVS使用RRI處理路由　628
20.2.7　步驟7：IPSec設(shè)備建立數(shù)據(jù)連接　629
20.3　IPSec遠(yuǎn)程接入EVS設(shè)置　629
20.3.1　配置過程　630
20.3.2　任務(wù)1：認(rèn)證策略　630
20.3.3　任務(wù)2：組策略　631
20.3.4　任務(wù)3：IKE階段1策略　632
20.3.5　任務(wù)4：動態(tài)加密映射　633
20.3.6　任務(wù)5：靜態(tài)加密映射　635
20.3.7　任務(wù)6：遠(yuǎn)程接入驗證　636
20.4　IPSec遠(yuǎn)程接入舉例　637
20.5　小結(jié)　639

第九部分　案例學(xué)習(xí)

第21章　案例學(xué)習(xí)　643
21.1　公司簡介　643
21.1.1　公司總部　643
21.1.2　分支機(jī)構(gòu)　645
21.1.3　遠(yuǎn)程接入用戶　645
21.2　提議　646
21.3　案例學(xué)習(xí)配置　647
21.3.1　基本配置　647
21.3.2　不必要的服務(wù)和SSH　648
21.3.3　AAA　650
21.3.4　訪問控制列表　652
21.3.5　CBAC和Web過濾　656
21.3.6　地址轉(zhuǎn)換　657
21.3.7　路由選擇　659
21.3.8　入侵檢測系統(tǒng)　660
21.3.9　連接攻擊和CBAC　661
21.3.10　速率限制　661
21.3.11　NTP和系統(tǒng)日志　663
21.3.12　站到站VPN　664
21.3.13　遠(yuǎn)程接入VPN　666
21.4　小結(jié)　668