管理Cisco网络安全PDF|Epub|txt|kindle电子书版本网盘下载

管理Cisco网络安全PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 评估网络安全威胁3

1．1 我们为什么需要网络安全3

第一部分 建立网络安全策略3

1．2 我们为什么会有安全问题4

1．2．1 安全问题的三个主要原因4

1．2．2 了解敌人：入侵者在想什么8

1．3 安全威胁类型10

1．3．1 侦察10

1．3．2 非授权访问13

1．3．3 拒绝服务（Denial of Service）17

1．3．4 数据操纵（Data Manipulation）21

1．4 安全机会23

1．5 小结24

1．6 复习题24

1．7．2 攻击（hacking）和黑客（hacker）工具25

1．7．3 安全Web站点25

1．7．1 网络安全和商务25

1．7 参考文献25

1．7．4 安全调研与报告26

1．7．5 网络入侵者报导26

第2章 评估网络安全策略27

2．1 保护网络的重要性27

2．2 安全状况评估过程28

2．2．1 评估网络安全策略29

2．2．2 XYZ公司的网络安全策略30

2．2．3 保护网络的安全31

2．2．4 监视网络安全31

2．2．5 通过安全审计测试网络安全32

2．3 改善网络安全状况33

2．4 网络安全案例研究34

2．4．1 案例研究1：开放的安全策略35

2．4．2 案例研究2：有限制的安全策略37

2．4．3 案例研究3：严密的安全策略40

2．4．4 案例研究小结42

2．5 小结43

2．6 案例学习：评估XYZ公司的网络安全策略43

2．6．1 案例学习背景介绍43

2．6．2 案例学习背景问题的答案44

2．7 复习题45

2．8 参考文献45

2．8．1 开发安全策略45

2．8．2 安全策略示例和指导原则45

2．8．3 对安全事件报告有用的事件响应中心46

2．8．4 其他安全Web站点46

第3章 保护网络基础设施的安全47

3．1 园区网安全问题和解决方案48

3．2 保护设备的物理安全49

3．3 保护管理接口的安全50

3．3．1 保护控制台（console）端口访问安全50

3．3．2 使用口令加密52

3．3．3 细调线路参数54

3．3．4 设置多个特权级别56

3．3．5 设置设备标识（banner） 消息57

3．3．6 控制TeInet访问58

3．3．7 控制SNMP访问59

3．4 保护路由器到路由器的通信安全62

3．4．1 路由协议认证63

3．4．2 保护路由器配置文件的安全66

3．4．3 用过滤器控制数据流66

3．4．4 抑制从路由更新中收到的路由68

3．4．5 进入网络过滤器68

3．4．6 用安全策略控制数据流的一个简单例子69

3．4．7 控制对路由器的HTTP访问70

3．5 保护以太网交换机的安全71

3．5．1 控制以太网交换机的管理访问72

3．5．2 以太网交换机的端口安全72

16．3 小结73

3．5．3 以太网交换机的访问安全73

3．6 小结74

3．7 案例学习：配置基本的网络安全74

3．7．3 网络安全策略75

3．7．1 案例学习背景介绍75

3．7．2 拓扑结构75

3．7．4 路由器R2的配置样例76

3．8 复习题78

3．9 参考文献79

3．9．1 通用路由器安全配置79

3．9．2 标准和扩展访问列表79

3．9．5 以太网交换机安全80

3．9．4 相邻路由器认证80

3．9．3 SNMP80

第4章 分析Cisco AAA安全技术83

4．1 用AAA保护网络访问安全83

第二部分 拨号（Dialup）安全83

4．1．1 AAA安全架构84

4．1．2 AAA和访问数据流84

4．2 认证方式86

4．2．1 用户名和口令认证86

4．2．2 S/key认证88

4．2．3 令牌卡（Token Card）和服务器90

4．2．4 PAP和CHAP认证91

4．3 授权方式94

4．4 统计方式95

4．5 AAA安全服务器96

4．5．1 采用本地安全数据库的AAA96

4．5．2 采用远程安全数据库的AAA97

4．5．3 Cisco所支持的远程安全数据库标准98

4．6 小结113

4．8．1 令牌卡服务器114

4．8 参考文献114

4．7 复习题114

4．8．2 S/Key115

4．8．3 PPP115

4．8．4 CHAP115

4．8．5 MD5115

4．8．6 TACACS+115

4．8．7 RADIUS115

4．8．8 Kerberos116

4．8．9 CiscoSecure ACS安全服务器和CiscoIOS软件116

第5章 配置网络接入服务器使用AAA安全特性117

5．1 远程访问的安全问题和解决方案118

5．2 NAS AAA配置步骤118

5．2．1 步骤1：保护特权可执行（EXEC）和配置模式120

5．2．2 步骤2：在NAS上全局性地启用AAA121

5．2．3 步骤3：配置AAA认证原型（profile）122

5．2．4 步骤4：配置AAA授权124

5．2．5 步骤5：配置AAA审计选项126

5．2．6 步骤6：调试所做的配置127

5．3 小结128

5．4 案例学习：为AAA安全配置NAS128

5．4．2 拓扑结构128

5．4．1 案例学习背景介绍128

5．4．3 网络安全策略129

5．4．4 NAS配置示例129

5．5 复习题131

5．6 参考文献132

5．6．1 配置安全策略132

5．6．2 配置AAA132

第6章 配置CiscoSecure ACS和TACACS+/RADIUS133

6．1．1 支持TACACS+134

6．1 用于Windows NT和UNIX的CiscoSecure ACS134

6．2 用于Windows NT的CiscoSecure ACS135

6．1．2 支持RADIUS135

6．2．1 CSNT的特性137

6．2．2 CSNT对系统的要求140

6．2．3 CSNT的架构140

6．2．4 CSNT对令牌卡的支持142

6．2．5 安装CSNT143

6．2．6 管理和为CSNT排错145

6．3 用于UNIX的CiscoSecure ACS147

6．3．1 CSUNIX的特性148

6．3．2 CSUNIX对系统的要求149

6．4 为CiscoSecure ACS配置TACACS+149

6．4．1 AAA配置命令150

6．4．2 NAS AAA TACACS+配置例子151

6．4．3 测试和为TACACS+排错152

6．5 为CiscoSecure ACS配置RADIUS155

6．5．1 启用和配置AAA156

6．5．2 AAA配置命令157

6．5．3 NAS AAA RADIUS配置例子157

6．5．4 测试和为RADIUS排错158

6．6．1 只用PAP或CHAP进行认证所带来的问题160

6．6 双重认证160

6．6．2 双重认证解决方案161

6．6．3 双重认证的前提条件161

6．7 小结162

6．8 案例学习：配置CSNT162

6．8．1 案例学习背景介绍162

6．8．2 拓扑结构163

6．8．3 网络安全策略163

6．8．4 CSNT配置例子164

6．9 复习题166

6．10．2 配置TACACS+/RADIUS167

6．10．3 CiscoSecure ACS167

6．10．1 配置安全策略167

6．10 参考文献167

第三部分 保护Ineternet连接安全171

第7章 配置Cisco边界路由器171

7．1 Cisco边界安全系统171

7．1．1 Cisco边界路由器173

7．1．2 停火区175

7．1．3 堡垒主机175

7．1．4 防火墙176

7．2 控制TCP/IP服务176

7．3 防止重路由攻击178

7．3．1 静态路由178

7．3．2 控制路由通告179

7．3．3 路由认证179

7．4 控制访问179

7．4．1 进入数据包过滤180

7．4．3 Lock-and-Key安全机制181

7．4．2 外出数据包过滤181

7．5 DoS攻击防护183

7．5．1 防止DDoS攻击183

7．5．2 用TCP拦截限制SYN攻击184

7．6 使用网络层加密185

7．6．1 用CET进行网络层加密186

7．6．2 用IPSec进行网络层加密186

7．7 用NAT和PAT管理IP地址187

7．7．1 使用NAT187

7．7．2 配置动态NAT188

7．7．3 使用PAT189

7．7．4 配置PAT189

7．8 记录（logging）边界路由器事件190

7．9 小结191

7．10 案例学习：配置Cisco边界路由器192

7．10．1 案例学习背景介绍192

7．10．2 拓扑结构192

7．10．3 网络安全策略192

7．10．4 边界路由器的配置样例194

7．12．1 通用边界安全参考文献197

7．12 参考文献197

7．11 复习题197

7．12．3 DoS防护和包过滤198

7．12．4 NAT和PAT198

7．12．5 安全邮件列表198

7．12．2 Cisco IOS防火墙198

第8章 配置Cisco IOS防火墙201

8．1 Cisco IOS防火墙安全问题和解决方案202

8．2 配置Cisco IOS防火墙202

8．2．1 Cisco IOS防火墙特性集202

8．2．2 入侵检测203

8．3 为Cisco IOS防火墙做规划204

8．4．1 步骤1：为CBAC选择接口207

8．4 配置CBAC207

8．4．2 步骤2：在接口上配置IP访问控制列表208

8．4．3 步骤3：配置全局的超时值和门限209

8．4．4 步骤4：定义检查规则211

8．4．5 步骤5：将检查规则应用到接口上215

8．4．6 步骤6：测试和验证CBAC215

8．5．2 ConfigMaker216

8．5．1 通过命令行接口（CLI）管理Cisco IOS防火墙216

8．5 Cisco IOS防火墙管理216

8．6 小结217

8．7 案例学习：配置Cisco IOS防火墙218

8．7．1 案例学习背景介绍218

8．7．2 拓扑结构219

8．7．3 网络安全策略219

8．7．4 Cisco IOS防火墙的配置样例219

8．8 复习题222

8．9 参考文献222

8．9．1 配置防火墙222

8．9．2 配置Cisco IOS防火墙223

第四部分 配置CiscoSecure PIX防火墙227

第9章PIX防火墙基础227

9．1 什么是PIX防火墙227

9．2 从外部通过防火墙229

9．2．1 PIX的ASA229

9．2．2 为入访问使用管道和静态转换231

9．2．3 直通式（cut-through）代理的用户认证235

9．3 防火墙型号和组件236

9．3．1 CiscoSecure PIX515238

9．3．2 CiscoSecure PIX520238

9．3．3 PIX防火墙支持的网络接口239

9．4 配置PIX防火墙241

9．4．1 PIX的命令行接口242

9．4．2 实施接口安全244

9．4．3 使用“interface”和“ip address”命令246

9．4．4 使用“Global”和“NAT”命令的PIX防火墙地址翻译249

9．4．5 测试基本的防火墙配置252

9．5 PIX防火墙配置示例256

9．6 小结258

9．7 案例学习：在PIX防火墙上配置NAT来保护内部网络的身份258

9．7．1 案例学习背景介绍258

9．7．2 拓扑结构259

9．7．3 网络安全策略259

9．7．4 PIX防火墙配置样例260

9．8 复习题260

9．9．4 网络安全261

9．9．3 命令行接口（CLI）261

9．9 参考文献261

9．9．1 NAT261

9．9．2 黑客（hacker）和攻击（hacking）261

9．9．5 与安全相关的其他资源262

第10章 配置通过PIX防火墙访问263

10．1 配置外出访问控制263

10．1．2 为外出访问控制配置NAT264

10．1．1 PIX NAT概述264

10．1．3 “nat0”配置例子267

10．1．4 端口地址翻译269

10．1．5 NetBIOS翻译271

10．1．6 控制外出访问和入访问272

10．1．7 PIX支持的多媒体应用274

10．2 控制对内部主机的访问276

10．2．1 静态翻译276

10．2．2 允许ping访问286

10．2．3 PIX的DNS警卫（DNS Guard）和拒绝服务（DoS）防护特性287

10．4 案例学习：为安全的双向通信配置PIX防火墙290

10．3 小结290

10．4．1 案例学习背景介绍291

10．4．2 拓扑结构291

10．4．3 网络安全策略291

10．4．4 实施PIX防火墙的配置样例292

10．5 复习题293

10．6 参考文献294

10．6．1 配置管道命令294

10．6．2 DoS攻击294

10．6．3 “Xlates”和命令结构294

第11章 在PIX防火墙上配置多个接口和AAA295

11．1 配置对多个接口的访问295

11．1．1 配置多接口支持296

11．1．2 配置由内到外的转换：使用“global”和“nat”命令299

11．1．3 “show”命令和其他有用的命令303

11．1．4 配置外部对DMZ区的访问：使用静态转换和管道304

11．1．5 允许ping访问和过滤ICMP包306

11．1．6 配置Syslog输出307

11．2 配置用户认证311

11．2．1 配置PIX防火墙AAA服务311

11．2．2 AAA示例313

11．4．2 拓扑结构316

11．3 小结316

11．4 案例学习：在PIX防火墙上配置多个接口和AAA316

11．4．1 案例学习背景介绍316

11．4．3 网络设计和安全策略317

11．4．4 XYZ公司PIX防火墙的配置样例318

11．5 复习题320

11．6 参考文献321

11．6．1 通用PIX防火墙信息在线321

11．6．3 通用安全在线321

11．6．4 PIX防火墙软件信息在线321

11．6．2 AAA信息在线321

第12章 配置PIX防火墙高级特性323

12．1 高级网络地址翻译：NAT0323

12．2 控制外出访问325

12．3 配置Java Applet封锁和URL过滤328

12．3．1 Java Applet封锁328

12．3．2 URL过滤329

12．4 配置FTP和URL日志记录（logging）331

12．5 配置SNMP333

12．6 配置PIX防火墙失效切换（failover）334

12．6．1 基本失效切换335

12．6．2 状态型失效切换335

12．6．3 失效切换的操作336

12．6．4 配置失效切换336

12．7 配置VPN特性337

12．7．1 私有链路加密338

12．7．2 配置PPTP支持340

12．8 CiscoSecure策略管理器342

12．9 PIX防火墙维护342

12．9．1 PIX防火墙口令恢复342

12．9．2 PIX防火墙软件升级343

12．10 小结344

12．11 案例学习：配置PIX防火墙高级特性345

12．11．3 网络设计和安全策略的增加345

12．11．1 案例学习背景介绍345

12．11．2 拓扑结构345

12．11．4 XYZ公司PIX防火墙的配置样例346

12．13 参考文献349

12．13．1 URL过滤349

12．13．2 私有链路加密349

12．13．3 点对点隧道协议（PPTP）349

12．12 复习题349

12．13．4 TFTP服务器350

12．13．5 CiscoSecure策略管理器350

12．13．6 CiscoSecure软件中心350

第五部分 配置Cisco加密技术353

第13章 Cisco加密技术概览353

13．1 加密解决方案353

13．1．1 数据完整性问题和解决方案353

13．1．2 什么是加密354

13．1．3 加密是如何工作的355

13．1．4 加密的应用356

13．1．5 加密的选择357

13．2 Cisco IOS加密系统概述359

13．2．1 DES加密360

13．2．2 MD5消息散列（hashing）361

13．2．3 DSS加密362

13．2．4 Diffie-Hellman密钥协定364

13．3 小结364

13．4 复习题365

13．5 参考文献365

13．5．1 CET的操作365

13．5．2 加密算法和操作365

13．5．3 MDS366

13．5．4 DSS366

13．5．5 其他加密参考文献366

14．1 Cisco加密技术基础367

第14章 配置Cisco加密技术367

14．1．1 CET加密引擎368

14．1．2 Cisco加密技术的操作369

14．2 配置Cisco加密技术373

14．2．1 步骤1：产生DSS公钥和私钥374

14．2．2 步骤2：交换DSS公钥376

14．2．3 步骤3：定义全局的加密策略381

14．2．4 步骤4：配置按会话的加密策略383

14．2．5 步骤5：测试和验证加密388

14．3 诊断和为Cisco加密技术排错393

14．3．1 调试（Debug）命令393

14．3．2 调试crypto sesmgmt消息示例394

14．4 加密实现考虑395

14．4．1 设计考虑395

14．4．2 配置CET的技巧396

14．5 加密输出政策397

14．6 加密规划工作帮助397

14．6．1 通用规划397

14．7 配置过程工作帮助398

14．8 小结398

14．6．2 按站点规划398

14．9 复习题400

14．10 参考文献400

14．10．1 CET技术、设计和配置概述400

14．10．2 ESA和VIP2-40信息401

14．10．3 配置Cisco加密技术401

第六部分 用IPSec配置VPN405

第15章 理解Cisco对IPSec的支持405

15．1 用IPSec启用安全的VPN405

15．2 什么是IPSec406

15．2．1 安全关联（security association）407

15．2．2 IPSec设备基础设施407

15．3 IPSec的工作过程408

15．3．1 步骤1：IPSec过程初始化409

15．3．2 步骤2：IKE阶段1409

15．3．3 步骤3：IKE阶段2410

15．3．4 步骤4：数据传输411

15．4 IPSec中使用的技术412

15．3．5 步骤5：IPSec隧道终结412

15．4．1 认证头标412

15．4．2 封装安全净载413

15．4．3 数据加密标准418

15．4．4 Internet密钥交换（IKE）419

15．4．5 Diffie-Hellman密钥协定422

15．4．6 散列消息认证代码424

15．4．7 RSA安全性426

15．5 公钥基础设施和CA支持428

15．5．1 支持的CA标准429

15．5．2 CA登记如何与SCEP协同工作430

15．6 Cisco IOS软件中的IKE和IPSec流431

15．5．3 CA服务器支持431

15．7 配置IPSec加密任务概述432

15．8 小结437

15．9 复习题438

15．10 参考文献438

15．10．1 IPSec标准439

15．10．2 加密439

15．10．3 IKE439

15．10．4 散列算法440

15．10．5 公钥密码术440

15．10．6 数字证书和证书授权440

15．10．7 通用安全440

第16章 配置Cisco IOS IPSec443

16．1 使用预共享密钥配置Cisco IOS IPSec进行认证444

16．1．1 任务1：为IPSec做准备444

16．1．2 任务2：为预共享密钥配置IKE445

16．1．3 任务3：配置IPSec449

16．1．4 任务4：测试和验证IPSec460

16．2 用RSA加密的随机数（nonce）配置Cisco IOS IPSec进行认证466

16．2．1 任务1：为IPSec做准备466

16．2．2 任务2：配置RSA加密467

16．2．3 任务3：为RSA加密的随机数（nonce）配置IKE472

16．4．1 案例学习背景介绍473

16．4 案例学习：为预共享密钥配置Cisco IOS IPSec473

16．4．2 拓扑结构474

16．4．3 网络安全策略474

16．4．4 perimeter1路由器的配置样例474

16．5 复习题476

16．6 参考文献477

16．6．1 IKE配置477

16．6．2 IPSec配置477

16．6．4 系统错误信息和调试参考478

16．6．3 扩展IP访问列表478

第17章 配置PIX防火墙对IPSec的支持479

17．1 任务1：为IPSec做准备480

17．2 任务2：为预共享密钥配置IKE481

17．2．1 步骤1：启用或关闭IKE481

17．2．2 步骤2：创建IKE策略481

17．2．3 步骤3：配置预共享密钥483

17．2．4 步骤4：验证IKE的配置485

17．3．1 步骤1：创建加密用访问列表486

17．3 任务3：配置IPSec486

17．3．2 步骤2：配置变换集489

17．3．3 步骤3：配置全局IPSec安全关联的生存期491

17．3．4 步骤4：创建加密图492

17．3．5 步骤5：将加密图应用到接口上496

17．3．6 步骤6：验证IPSec的配置496

17．4 测试和验证IPSec的整体配置498

17．4．1 测试和验证IKE配置498

17．4．2 测试和验证IPSec配置498

17．4．3 监视和管理IKE和IPSec通信499

17．5 小结500

17．6 案例学习：为预共享密钥配置PIX防火墙IPSec500

17．6．1 案例学习背景介绍500

17．6．2 拓扑结构501

17．6．3 网络安全策略501

17．6．4 防火墙PIX1的配置样例501

17．6．5 防火墙PIX2的配置样例503

17．7 复习题504

17．8 参考文献505

18．1 在Cisco路由器和PIX防火墙中配置CA支持507

第18章 扩展 Cisco IPSec网络507

18．1．1 任务1：为IPSec做准备508

18．1．2 任务2：配置CA支持510

18．1．3 任务3：为IPSec配置IKE527

18．1．4 任务4：配置IPSec527

18．1．5 任务5：验证VPN配置527

18．2 扩展Cisco VPN529

18．2．1 配置动态加密图529

18．2．2 配置IKE模式配置531

18．2．3 配置IPSec扩展认证533

18．2．4 配置隧道终点发现533

18．3 小结534

18．4 复习题535

18．5 参考文献535

18．5．3 用于PIX防火墙的CA536

18．5．4 IPSec标准和RFC文档536

18．5．2 为Cisco IOS软件配置CA536

18．5．1 CA标准与概述536

18．5．5 安全联合程序（Security Associates Program）537

第七部分 附录541

附录A XYZ公司案例学习背景介绍541

A．1 XYZ公司概述541

A．1．1 拨号访问542

A．2．2 销售部门543

A．2．1 信息系统（IS）部门543

A．2 所涉及的部门543

A．1．2 Internet访问543

A．2．3 工程部门544

A．3 XYZ公司的网络安全目标544

附录B XYZ公司网络安全策略的一个例子547

B．1 权力与范围声明547

B．1．1 适用对象547

B．1．2 安全策略的范围548

B．1．3 策略风险承担者548

B．1．4 系统管理员责任548

B．2 可接受的使用策略549

B．1．7 用户培训549

B．1．5 安全策略维护流程549

B．1．6 实施过程549

B．2．1 可接受的网络使用550

B．2．2 不可接受的网络使用550

B．2．3 服从要求550

B．3 身份识别和认证策略550

B．3．1 口令管理指导原则550

B．3．2 认证指导原则550

B．4 Internet访问策略551

B．4．1 可接受的使用551

B．4．2 防火墙策略551

B．4．3 公共服务策略551

B．5 园区网访问策略551

B．5．1 信任关系551

B．6．1 移动计算552

B．6．2 在家访问552

B．6．3 远程办公者协定552

B．6 远程访问策略552

B．5．2 网络设备安全552

B．6．4 分支办事处访问553

B．6．5 商业伙伴（Extranet）访问553

B．6．6 加密策略553

B．7 事件处理流程553

B．7．1 入侵检测需求553

B．7．2 事件响应流程554

B．7．3 联络点554

附录C 配置标准和扩展访问控制列表557

C．1 IP编址和通用访问控制列表概念558

C．1．1 IP编址559

C．1．2 通配掩码562

C．1．3 通用访问控制列表配置任务563

C．1．4 访问控制列表配置原则564

C．2 配置标准IP访问控制列表564

C．2．1 标准IP访问控制列表处理565

C．2．2 标准IP访问控制列表命令567

C．2．3 标准访问控制列表的放置位置568

C．2．5 标准IP访问控制列表示例569

C．2．4 标准IP访问控制列表的常见错误569

C．3 配置扩展IP访问控制列表570

C．3．1 扩展IP访问控制列表处理571

C．3．2 扩展IP访问控制列表命令572

C．3．3 ICMP命令句法574

C．3．4 TCP句法576

C．3．5 UDP句法578

C．3．6 扩展IP访问控制列表的放置位置580

C．3．7 扩展IP访问控制列表示例1581

C．3．8 扩展IP访问控制列表示例2581

C．4 核验访问控制列表的配置582

C．5 由名字索引的IP访问控制列表583

C．6 小结583

C．7 参考文献584

C．7．1 配置IP访问控制列表584

C．7．2 IP协议和编址信息584

D．1 第1章585

附录D 复习题答案585

D．2 第2章586

D．3 第3章587

D．4 第4章589

D．5 第5章589

D．6 第6章590

D．7 第7章592

D．9 第9章593

D．8 第8章593

D．10 第10章594

D．11 第11章595

D．12 第12章596

D．13 第13章596

D．14 第14章597

D．15 第15章598

D．16 第16章599

D．17 第17章600

D．18 第18章601