思科網(wǎng)絡技術學院教程：CCNA安全（第3版）

目錄
第1章 現(xiàn)代網(wǎng)絡安全威脅 1
1.1 一個安全網(wǎng)絡的基本原則 2
1.1.1 網(wǎng)絡安全的演進 2
1.1.2 網(wǎng)絡安全的驅動者 4
1.1.3 網(wǎng)絡安全組織 6
1.1.4 網(wǎng)絡安全領域 8
1.1.5 網(wǎng)絡安全策略 8
1.2 病毒、蠕蟲和特洛伊木馬 10
1.2.1 病毒 10
1.2.2 蠕蟲 10
1.2.3 特洛伊木馬 12
1.2.4 緩解病毒、蠕蟲和特洛
伊木馬 13
1.3 攻擊方法 14
1.3.1 偵查攻擊 14
1.3.2 接入攻擊 16
1.3.3 拒絕服務攻擊 17
1.3.4 緩解網(wǎng)絡攻擊 19
1.4 Cisco網(wǎng)絡基礎保護框架 21
1.5 總結 23
第2章 保護網(wǎng)絡設備 25
2.1 保護對設備的訪問 25
2.1.1 保護邊界路由器 25
2.1.2 配置安全的管理訪問 28
2.1.3 為虛擬登錄配置增強的
安全性 31
2.1.4 配置SSH 33
2.2 分配管理角色 35
2.2.1 配置特權級別 35
2.2.2 配置基于角色的CLI
訪問 38
2.3 監(jiān)控和管理設備 40
2.3.1 保護Cisco IOS鏡像和
配置文件 40
2.3.2 安全管理和報告 43
2.3.3 針對網(wǎng)絡安全使用系統(tǒng)
日志 45
2.3.4 使用SNMP實現(xiàn)網(wǎng)絡
安全 48
2.3.5 使用NTP 51
2.4 使用自動安全特性 53
2.4.1 執(zhí)行安全審計 53
2.4.2 使用AutoSecure鎖定
路由器 55
2.4.3 用CCP鎖定路由器 56
2.5 總結 58
第3章 認證、授權和審計 59
3.1 使用AAA的目的 59
3.1.1 AAA概述 59
3.1.2 AAA的特點 61
3.2 本地AAA認證 62
3.2.1 使用CLI配置本地AAA
認證 62
3.2.2 使用CCP配置本地AAA
認證 64
3.2.3 本地AAA認證故障
排錯 65
3.3 基于服務器的AAA 65
3.3.1 基于服務器AAA的特點 65
3.3.2 基于服務器的AAA通信
協(xié)議 66
3.3.3Cisco安全ACS 67
3.3.4 配置Cisco安全ACS 69
3.3.5 配置Cisco安全ACS用戶
和組 72
3.4 基于服務器的AAA認證 73
3.4.1 使用CLI配置基于服務器
的AAA認證 73
3.4.2 使用CCP配置基于服務器
的AAA認證 74
3.4.3 基于服務器的AAA認證
故障處理 76
3.5 基于服務器的AAA授權和
審計 76
3.5.1 配置基于服務器的AAA
授權 76
3.5.2 配置基于服務器的AAA
審計 78
3.6 總結 79
第4章 實現(xiàn)防火墻技術 80
4.1 訪問控制列表 80
4.1.1 用CLI配置標準和擴
展IPv4 ACL 80
4.1.2 ACL的拓撲和流向 86
4.1.3 用CCP配置標準和
擴展ACL 87
4.1.4 配置TCP的Established
和自反ACL 89
4.1.5 配置動態(tài)ACL 92
4.1.6 配置基于時間的ACL 93
4.1.7 對復雜的ACL實施進行
排錯 95
4.1.8 使用ACL緩解攻擊 96
4.1.9 IPv6 ACL 98
4.1.10 在ACE中使用對象組 99
4.2 防火墻技術 101
4.2.1 使用防火墻保護網(wǎng)絡 101
4.2.2 防火墻類型 102
4.2.3 經(jīng)典防火墻 105
4.2.4 網(wǎng)絡設計中的防火墻 108
4.3 基于區(qū)域策略防火墻 110
4.3.1 基于區(qū)域策略防火墻的
特點 110
4.3.2 基于區(qū)域策略防火墻的
操作 112
4.3.3 使用CLI配置區(qū)域策略
防火墻 113
4.3.4 用CCP向導配置區(qū)域
策略防火墻 115
4.4 總結 120
第5章 實施入侵防御 121
5.1 IPS技術 121
5.1.1 IDS和IPS特性 121
5.1.2 基于網(wǎng)絡的IPS實施 123
5.2 IPS特征 125
5.2.1 IPS特征的特點 125
5.2.2 IPS特征警報 128
5.2.3 調整IPS特征報警 130
5.2.4 IPS特征行為 131
5.2.5 管理和監(jiān)視IPS 133
5.2.6 IPS全局關聯(lián) 136
5.3 執(zhí)行IPS 137
5.3.1 使用CLI配置Cisco IOS
IPS 137
5.3.2 使用Cisco配置專家配
置Cisco IOS IPS 139
5.3.3 修改Cisco IOS IPS
特征 141
5.4 檢驗和監(jiān)測IPS 143
5.4.1 檢驗Cisco IOS IPS 143
5.4.2 監(jiān)測Cisco IOS IPS 144
5.5 總結 145
第6章 保護局域網(wǎng) 146
6.1 終端安全 146
6.1.1 終端安全概述 146
6.1.2 使用Cisco ESA和WSA
的終端安全 149
6.1.3 使用網(wǎng)絡準入控制的
終端安全 150
6.2 第二層安全考慮 153
6.2.1 第二層安全概述 153
6.2.2 MAC地址欺騙攻擊 154
6.2.3 MAC地址表溢出 154
6.2.4 STP操縱攻擊 155
6.2.5 LAN風暴 160
6.2.6 VLAN攻擊 160
6.3 配置第二層安全 162
6.3.1 配置端口安全 162
6.3.2 檢驗端口安全 164
6.3.3 配置BPDU保護、BPDU
過濾器和根保護 165
6.3.4 配置風暴控制 167
6.3.5 配置VLAN中繼（Trunk）安全 168
6.3.6 配置Cisco交換端口分
析器 169
6.3.7 配置PVLAN邊緣 170
6.3.8 用于第二層建議的推薦
做法 170
6.4 無線、VoIP和SAN安全 171
6.4.1 企業(yè)高級技術安全
考慮 171
6.4.2 無線安全考慮 172
6.4.3 無線安全解決方案 175
6.4.4 VoIP安全考慮 175
6.4.5 VoIP安全解決方案 179
6.4.6 SAN安全考慮 180
6.4.7 SAN安全解決方案 183
6.5 總結 184
第7章 密碼系統(tǒng) 186
7.1 密碼服務 186
7.1.1 保護通信安全 186
7.1.2 密碼術 188
7.1.3 密碼分析 191
7.1.4 密碼學 192
7.2 基本完整性和真實性 193
7.2.1 密碼散列 193
7.2.2 MD5和SHA-1的
完整性 194
7.2.3 HMAC的真實性 196
7.2.4 密鑰管理 197
7.3 機密性 199
7.3.1 加密 199
7.3.2 數(shù)據(jù)加密標準 202
7.3.3 3DES 203
7.3.4 高級加密標準（AES） 204
7.3.5 替代加密算法 205
7.3.6 Diffie-Hellman密鑰
交換 205
7.4 公鑰密碼術 207
7.4.1 對稱加密與非對稱
加密 207
7.4.2 數(shù)字簽名 208
7.4.3 Rivest、Shamir和
Alderman 211
7.4.4 公共密鑰基礎架構 211
7.4.5 PKI標準 213
7.4.6 認證機構 215
7.4.7 數(shù)字證書和CA 216
7.5 總結 218
第8章 實現(xiàn)虛擬專用網(wǎng)絡 219
8.1 VPN 219
8.1.1 VPN概述 219
8.1.2 VPN拓撲 221
8.1.3 VPN解決方案 222
8.2 GRE VPN 225
8.3 IPSec VPN組件和操作 226
8.3.1 IPSec介紹 226
8.3.2 IPSec安全協(xié)議 229
8.3.3 Internet密鑰交換 231
8.4 使用CLI實現(xiàn)站點到站點的
IPSec VPN 234
8.4.1 配置一個站點到站點
的IPSec VPN 234
8.4.2 任務1—配置兼容
ACL 235
8.4.3 任務2—配置IKE 235
8.4.4 任務3—配置變換集 236
8.4.5 任務4—配置加密
ACL 237
8.4.6 任務5—應用加密
映射 238
8.4.7 驗證IPSec配置和故障
排除 240
8.5 使用CCP實現(xiàn)站點到站點的
IPSec VPN 240
8.5.1 使用CCP配置IPSec 240
8.5.2 VPN向導—快速
安裝 242
8.5.3 VPN向導—逐步
安裝 242
8.5.4 驗證、監(jiān)控VPN和VPN
故障排除 244
8.6 實現(xiàn)遠程訪問VPN 244
8.6.1