书 名: 网路安全技术与解决方案

作　者：(美国)(Yusufbhaiji)海吉

出版社： 人民邮电出版社

出版时间： 2009

ISBN: 9787115193117

开本： 16

定价: 79.00 元

与主要关注概念与理论的图书不同，《网路安全技术与解决方案》可作为配置和管理Cisco的领先动态链路的便捷工具书。

无论是对网路工程师或安全工程师、顾问，还是从事安全认证方面研究的读者，《网路安全技术与解决方案》都是设计和构建安全网路的重要参考资料。此外，《网路安全技术与解决方案》还为拟参加CCIE安全认证考试的读者提供了涵盖新大纲考点宝贵的备考资源。

YusufBhaiji，CCIE#9305（路由和交换与安全），已在Cisco公司工作了7年，现任CiscoCCIE安全认证的项目经理和CiscoDubai实验室的CCIE代理人。此前，他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用，这从他最初攻读计算机科学硕士学位时就开始了，他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力，他已经指导了许多成功的考生，还在国际上设计和发表了许多网路安全解决方案。

Yusuf是几个非营利组织的谘询委员会成员，这些组织在Intemet网路中发扬传统美德，通过学术和专业活动进行技术传播。Yusuf在巴基斯坦网路安全（NSP）和IPv6巴基斯坦论坛担任要职。

Yusuf还于2004年年初，通过Cisco出版社出版了一本名为《CCIE安全Lab实战》（已由人民邮电出版社翻译出版）的着作。他一直是Cisco出版社出版业务的技术评审，为之撰写文章、白皮书，并介绍各种安全技术。他还经常在一些会议和研讨会上进行着名的演讲。

在交换机上使用访问列表过滤流量。实施安全功能；配置CiscolOS路由器防火墙功能．部署ASA和PIX防火墙设备；理解攻击向量并套用2层和3层缓解技术；AAA安全访问管理；利用多因素验证技术的安全访问控制：实施基于身份的网路访问控制：套用最新的无线区域网路安全解决方案；遵循CiscoNAC来执行安全策略；学习密码学基础并实施lPSecVPN、DMVPN、GETVPN、SSL．VPN和MPt-SVPN技术：使用网路和主机入侵防御、异常检测和安全监控及相关技术，监控网路活动和安全事件回响；部署Cisco安全管理器、SDM、ADSM、PDM和IDM等安全管理解决方案：学习GLBA、HIPPA和SOx等法规遵从性问题。

《网路安全技术与解决方案》介绍了先进的网路安全产品和可行方案，能够帮助读者理解和实施最新的网路安全技术，以保障整个网路基础设施的通信安全。

《网路安全技术与解决方案》是一个网路安全知识库。涵盖了CIsco网路安全的各个方面，通过简单易懂的方式帮助读者实施端到端安全解决方案。

书中将CIsco安全技术和解决方案归纳为边界安全、身份安全与访问管理、数据保密、安全监控和安全管理5个部分。这5个部分共同作用使得客户安全策略、用户或主机身份和网路基础设施之间的动态连结成为可能。

凭藉这本权威的参考书。读者能够更加深刻地理解可行的解决方案，并能学习到如何在现代异构网路体系中构建多业务安全网路。对于那些寻求有关成熟或新兴安全策略的综合参考书的读者来说，《网路安全技术与解决方案》无疑是绝佳的首选。《网路安全技术与解决方案》也是CClE安全考试极佳的学习指南。

第1部分　边界安全

第1章　网路安全概述

1.1　网路安全的基本问题

1.2　安全範例的变化

1.3　安全準则——CIA模型

1.3.1　机密性

1.3.2　完整性

1.3.3　可用性

1.4　策略、标準、规程、基线、準则

1.4.1　安全策略

1.4.2　标準

1.4.3　规程

1.4.4　基线

1.4.5　準则

1.5　安全模型

1.6　边界安全

1.6.1　是否存在边界安全

1.6.2　定义边界的难点

1.6.3　可靠的边界安全解决方案

1.7　各层的安全

1.7.1　多层边界解决方案

1.7.2　多米诺效应

1.8　安全轮

1.9　小结

第2章　访问控制

2.1　利用ACL的流量过滤

2.1.1　ACL概述

2.1.2　ACL套用

2.1.3　何时配置ACL

2.2　IP位址概述

2.2.1　IP位址分类

2.2.2　理解IP位址分类

2.2.3　专用IP位址(RFC1918)

2.3　子网掩码与反掩码概述

2.3.1　子网掩码

2.3.2　反掩码

2.4　ACL配置

2.4.1　创建ACL

2.4.2　为ACL分配唯一名称或数值

2.4.3　将ACL套用于接口

2.4.4　ACL的方向

2.5　理解ACL的处理

2.5.1　入站ACL

2.5.2　出站ACL

2.5.3　多种分组类型的分组流规则

2.5.4　实施ACL準则

2.6　访问列表类型

2.6.1　标準ACL

2.6.2　扩展ACL

2.6.3　IP命名ACL

2.6.4　锁与密钥(动态ACL)

2.6.5　自反ACL

2.6.6　既定ACL

2.6.7　使用时间範围的定时ACL

2.6.8　分散式定时ACL

2.6.9　配置分散式定时ACL

2.6.10　TurboACL

2.6.11　接收ACL(rACL)

2.6.12　基础设施保护ACL(iACL)

2.6.13　传输ACL

2.6.14　分类ACL

2.6.15　利用ACL调试流量

2.7　小结

2.8　参考

第3章　设备安全

3.1　设备安全策略

3.2　增强设备安全

3.2.1　物理安全

3.2.2　密码

3.2.3　用户账号

3.2.4　优先权等级

3.2.5　基础ACL

3.2.6　互动访问模式

3.2.7　旗标讯息

3.2.8　CiscoIOS弹性配置

3.2.9　Cisco设备发现协定(CDP)

3.2.10　TCP/UDP小型伺服器

3.2.11　查找器

3.2.12　识别协定(auth)

3.2.13　DHCP和BOOTP服务

3.2.14　简单档案传输协定(TFTP)服务

3.2.15　档案传输协定(FTP)服务

3.2.16　半自动设备配置

3.2.17　PAD

3.2.18　IP源路由选择

3.2.19　代理ARP(ProxyARP)

3.2.20　无偿ARP

3.2.21　IP直播

3.2.22　IP掩码应答

3.2.23　IP重定向

3.2.24　ICMP不可达

3.2.25　HTTP

3.2.26　网路时间协定(NTP)

3.2.27　简单网路管理协定(SNMP)

3.2.28　Auto-Secure特性

3.3　安全设备的安全管理访问

3.3.1　设备访问安全——PIX500和ASA5500安全设备

3.3.2　IPS4200系列感测器(前身为IDS4200)

3.4　设备安全清单

3.5　小结

3.6　参考

第4章　交换机的安全特性

4.1　保护第2层

4.2　连线埠级流量控制

4.2.1　风暴控制

4.2.2　受保护的连线埠(PVLAN边缘)

4.3　专用VLAN(PVLAN)

4.3.1　配置PVLAN

4.3.2　连线埠阻塞

4.3.3　连线埠安全

4.4　交换机的访问列表

4.4.1　路由器ACL

4.4.2　连线埠ACL

4.4.3　VLANACL(VACL)

4.4.4　MACACL

4.5　生成树协定的特性

4.5.1　BPDU保护

4.5.2　根保护

4.5.3　乙太网信道保护

4.5.4　环路保护

4.6　监测DHCP

4.7　IP源保护

4.8　动态ARP检测(DAI)

4.8.1　DHCP环境下的DAI

4.8.2　非DHCP环境下的DAI

4.8.3　限制ARP包的进入速率

4.8.4　ARP确认检查

4.9　Catalyst高端交换机的高级集成安全特性

4.10　控制层管制(CoPP)特性

4.11　CPU速率限制器

4.12　第2层安全的最佳实践

4.13　小结

4.14　参考

第5章　CiscoIOS防火墙

5.1　基于路由器的防火墙解决方案

5.2　CBAC的功能

5.2.1　流量过滤

5.2.2　流量检测

5.2.3　报警和审计跟蹤

5.3　CBAC工作原理

5.3.1　分组检测

5.3.2　逾时值和阈值

5.3.3　会话状态

5.3.4　UDP连线

5.3.5　动态ACL条目

5.3.6　未完成(半开)会话

5.3.7　Per-hostDoS预防

5.4　支持CBAC的协定

5.5　配置CBAC

5.5.1　步骤1——选择一个接口：内部或外部

5.5.2　步骤2——配置IP访问列表

5.5.3　步骤3——定义检测规则

5.5.4　步骤4——配置全局逾时值和阈值

5.5.5　步骤5——将访问列表和监测规则套用到接口

5.5.6　步骤6——验证和监控CBAC

5.5.7　整理思路

5.6　IOS防火墙高级特性

5.6.1　HTTP检测引擎

5.6.2　E-mail检测引擎

5.6.3　防火墙ACL旁路

5.6.4　透明IOS防火墙(第2层)

5.6.5　虚拟碎片重组(VFR)

5.6.6　VRF-awareIOS防火墙

5.6.7　路由器产生的流量检测

5.7　区域式策略防火墙(ZFW)

5.7.1　区域式策略概述

5.7.2　安全区域

5.7.3　配置区域式策略防火墙

5.7.4　利用Cisco策略语言(CPL)配置ZFW

5.7.5　套用检测和控制(AIC)

5.8　小结

5.9　参考

第6章　Cisco防火墙：设备和模组

6.1　防火墙概述

6.2　硬体与软体防火墙

6.3　CiscoPIX500系列安全设备

6.4　CiscoASA5500系列自适应安全设备

6.5　Cisco防火墙服务模组(FWSM)

6.6　PIX500和ASA5500防火墙设备软体

6.7　防火墙设备作业系统软体

6.8　防火墙模式

6.8.1　路由防火墙模式

6.8.2　透明防火墙模式(隐藏的防火墙)

6.9　全状态监测

6.10　套用层协定检测

6.11　自适应安全算法原理

6.12　安全环境

6.12.1　多环境——路由模式(资源共享)

6.12.2　多环境——透明模式

6.12.3　配置安全环境

6.13　安全级别

6.14　冗余接口

6.15　IP路由选择

6.15.1　静态和默认路由

6.15.2　开放式最短路径优先(OSPF)

6.15.3　路由选择信息协定(RIP)

6.15.4　增强型内部网关路由选择协定(EIGRP)

6.16　网路地址转换(NAT)

6.16.1　NAT控制

6.16.2　NAT的类型

6.16.3　NAT控制激活时绕过NAT

6.16.4　策略NAT

6.16.5　NAT处理的顺序

6.17　控制流量和网路访问

6.17.1　ACL概述和在安全设备中的套用

6.17.2　通过使用访问列表的安全设备控制入站和出站的流量

6.17.3　利用对象组简化访问列表

6.18　模组式策略架构(MPF)

6.19　Cisco任意连线VPN客户端

6.20　冗余和负载均衡

6.20.1　故障恢复要求

6.20.2　故障恢复链路

6.20.3　状态链路

6.20.4　故障恢复的部署

6.20.5　非对称路由选择支持(ASR)

6.21　防火墙服务模组(FWSM)的“模组化”软体

6.22　防火墙模组的作业系统软体

6.23　通过防火墙模组的网路流量

6.24　部署路由器/MSFC

6.24.1　单环境模式

6.24.2　多环境模式

6.25　配置FWSM

6.26　小结

6.27　参考

第7章　攻击向量和缓解技术

7.1　漏洞、威胁和漏洞利用

7.1.1　攻击类型

7.1.2　攻击向量

7.1.3　攻击者类型

7.1.4　风险评估

7.2　第3层缓解技术

7.2.1　流量表征

7.2.2　IP源追蹤器

7.2.3　IP欺骗攻击

7.2.4　分组分类和标记技术

7.2.5　允许访问速率(CAR)

7.2.6　模组式QoSCLI(MQC)

7.2.7　流量管制

7.2.8　基于网路的应用程式识别(NBAR)

7.2.9　TCP拦截

7.2.10　基于策略的路由选择(PBR)

7.2.11　单播反向路径转发(uRPF)

7.2.12　NetFlow

7.3　第2层防範技术

7.3.1　CAM表溢出-MAC攻击

7.3.2　MAC欺骗攻击

7.3.3　ARP欺骗攻击

7.3.4　VTP攻击

7.3.5　VLAN跳跃攻击

7.3.6　PVLAN攻击

7.3.7　生成树攻击

7.3.8　DHCP欺骗和耗尽攻击

7.3.9　802.1x攻击

7.4　安全事件应急回响框架

7.4.1　什幺是安全事件

7.4.2　安全事件应急回响处理

7.4.3　安全事件的应急回响方法

7.5　小结

7.6　参考

第2部分　身份安全和访问管理

第8章　安全访问管理

8.1　AAA安全服务

8.1.1　AAA範例

8.1.2　AAA的相关性

8.2　验证协定

8.2.1　RADIUS

8.2.2　TACACS+

8.2.3　RADIUS和TACACS+的比较

8.3　实现AAA

8.3.1　AAA方法

8.3.2　AAA功能的服务类型

8.4　配置实例

8.4.1　利用RADIUS进行PPP验证、授权和统计

8.4.2　利用TACACS+进行登录验证、命令授权和统计

8.4.3　带密码重试锁定的登录验证

8.5　小结

8.6　参考

第9章　Cisco安全ACS软体和设备

9.1　Windows环境下的Cisco安全ACS软体

9.1.1　AAA伺服器：Cisco安全ACS

9.1.2　遵循的协定

9.2　ACS高级功能和特性

9.2.1　共享型配置档案组件(SPC)

9.2.2　可下载的IPACL

9.2.3　网路访问过滤器

9.2.4　RADIUS授权组件

9.2.5　Shell命令授权集

9.2.6　网路访问限制

9.2.7　设备访问限制

9.2.8　网路访问配置档案

9.2.9　CiscoNAC支持

9.3　配置ACS

9.4　Cisco安全ACS设备

9.5　小结

9.6　参考

第10章　多因素验证

10.1　识别和验证

10.2　双因素验证系统

10.2.1　OTP

10.2.2　S/KEY

10.2.3　利用OTP解决方案对抗重放攻击

10.2.4　双因素验证系统的属性

10.3　支持双因素验证系统的CiscoSecureACS

10.3.1　CiscoSecureACS工作原理

10.3.2　为启用了RADIUS的令牌伺服器配置CiscoSecureACS

10.3.3　为RSASecurID令牌伺服器配置CiscoSecureACS

10.4　小结

10.5　参考

第11章　第2层访问控制

11.1　信任与身份管理解决方案

11.2　基于身份的网路服务(IBNS)

11.2.1　Cisco安全ACS

11.2.2　外部资料库支持

11.3　IEEE802.1x

11.3.1　IEEE802.1x组件

11.3.2　连线埠状态：授权与非授权

11.3.3　EAP方法

11.4　部署802.1x的解决方案

11.4.1　有线区域网路(点对点)

11.4.2　无线区域网路(多点)

11.5　实现基于802.1x连线埠的验证

11.5.1　在运行CiscoIOS软体的CiscoCatelyst交换机上配置802.1x和RADIUS

11.5.2　为在交换机上终止的不遵从访问点启用多用户

11.5.3　RADIUS授权

11.5.4　在CsicoArionet无线区域网路访问节点上运行CiscoIOS软体配置802.1x和RADIUS

11.5.5　WindowsXP客户端上的申请者IEEE802.1x设定

11.6　小结

11.7　参考

第12章　无线区域网路(WLAN)的安全

12.1　无线区域网路(WLAN)

12.1.1　无线电波

12.1.2　IEEE协定标準

12.1.3　通信方法——无线电频率(RF)

12.1.4　WLAN组件

12.2　WLAN安全

12.2.1　伺服器设定识别(SSID)

12.2.2　MAC验证

12.2.3　客户端验证(开放和共享的密钥)

12.2.4　静态有线对等加密(WEP)

12.2.5　WPA、WPA2和802.11i(改进的WEP)

12.2.6　IEEE802.1x和EAP

12.2.7　WLANNAC

12.2.8　WLANIPS

12.2.9　VPNIPSec

12.3　缓解WLAN攻击

12.4　Cisco统一无线网路解决方案

12.5　小结

12.6　参考

第13章　网路準入控制(NAC)

13.1　创建自防御网路(SDN)

13.2　网路準入控制(NAC)

13.2.1　为什幺需要NAC

13.2.2　CiscoNAC

13.2.3　NAC套用与NAC框架比较

13.3　CiscoNAC设备解决方案

13.3.1　CiscoNAC设备机制

13.3.2　NAC设备组件

13.3.3　NAC套用部署方案

13.4　CiscoNAC框架解决方案

13.4.1　CiscoNAC框架解决方案机制

13.4.2　CiscoNAC框架组件

13.4.3　CiscoNAC框架部署方案

13.4.4　CiscoNAC框架实施方法

13.5　小结

13.6　参考

第3部分　数据保密

第14章　密码学

14.1　安全通信

14.1.1　密码系统

14.1.2　密码学概述

14.1.3　密码术语

14.1.4　密码算法

14.2　虚拟专用网(VPN)

14.3　小结

14.4　参考

第15章　IPSecVPN

15.1　虚拟专用网(VPN)

15.1.1　VPN技术的类型

15.1.2　VPN部署的类型

15.2　IPSecVPN(安全VPN)

15.2.1　IPSec请求评论(RFC)

15.2.2　IPSec模式

15.2.3　IPSec协定头

15.2.4　IPSec反重放服务

15.2.5　ISAKMP和IKE

15.2.6　ISAKMP档案

15.2.7　IPSec档案

15.2.8　IPSec虚拟隧道接口(IPSecVTI)

15.3　公钥基础结构(PKI)

15.3.1　PKI组成

15.3.2　证书注册

15.4　实现IPSecVPN

15.4.1　CiscoIPSecVPN实现

15.4.2　站点到站点IPSecVPN

15.4.3　远程访问IPSecVPN

15.5　小结

15.6　参考

第16章　动态多点VPN

16.1　DMVPN解决方案的结构

16.1.1　DMVPN网路设计

16.1.2　DMVPN解决方案的组成

16.1.3　DMVPN工作原理

16.1.4　DMVPN数据结构

16.2　DMVPN部署的拓扑结构

16.3　实现DMVPN中心到节点结构

16.3.1　实现单中心单DMVPN(SHSD)的拓扑结构

16.3.2　实现双中心双DMVPN(DHDD)的拓扑结构

16.3.3　实现SLB的拓扑结构

16.4　实现动态格线的节点到节点的DMVPN结构

16.4.1　实现双中心单DMVPN的拓扑结构

16.4.2　实现多中心单DMVPN的拓扑结构

16.4.3　实施分层(基于树型)的拓扑结构

16.5　小结

16.6　参考

第17章　群组加密传输VPN

17.1　GETVPN解决方案体系结构

17.1.1　GETVPN特性

17.1.2　为什幺需要GETVPN

17.1.3　GETVPN和DMVPN

17.1.4　何时部署GETVPN

17.1.5　GETVPN解决方案组成

17.1.6　GETVPN工作原理

17.1.7　IP报头保护

17.1.8　群组成员的ACL

17.2　实现CiscoIOSGETVPN

17.3　小结

17.4　参考

第18章　安全套接字层VPN(SSLVPN)

18.1　安全套接字层协定

18.2　SSLVPN解决方案的体系结构

18.2.1　SSLVPN概述

18.2.2　SSLVPN特性

18.2.3　SSLVPN部署考虑事项

18.2.4　SSLVPN访问方法

18.2.5　SSLVPNCitrix支持

18.3　实现CiscoIOSSSLVPN

18.4　CiscoAnyConnectVPN客户端

18.5　小结

18.6　参考

第19章　多协定标籤交换VPN(MPLSVPN)

19.1　多协定标籤交换

19.1.1　MPLS体系结构概述

19.1.2　MPLS工作原理

19.1.3　MPLSVPN和IPSecVPN

19.1.4　部署方案

19.1.5　面向连线和无连线的VPN技术

19.2　MPLSVPN(可信VPN)

19.3　第3层VPN(L3VPN)和第2层VPN(L2VPN)的比较

19.4　L3VPN

19.4.1　L3VPN的组成

19.4.2　L3VPN的工作原理

19.4.3　VRF表的工作原理

19.5　实现L3VPN

19.6　L2VPN

19.7　实现L2VPN

19.7.1　利用基于VPWS的体系结构在MPLS服务中实现乙太网VLAN

19.7.2　利用基于VPLS的体系结构在MPLS服务中实现乙太网VLAN

19.8　小结

19.9　参考

第4部分　安全监控

第20章　网路入侵防御

20.1　入侵系统专业术语

20.2　网路入侵保护概述

20.3　CiscoIPS4200系列感测器

20.4　CiscoIDS服务模组(IDSM-2)

20.5　Cisco增强型检测和防御安全服务系统模组(AIP-SSM)

20.6　CiscoIPS增强型集成模组(IPS-AIM)

20.7　CiscoIOSIPS

20.8　部署IPS

20.9　CiscoIPS感测器操作软体

20.10　CiscoIPS感测器软体

20.10.1　感测器软体——系统构架

20.10.2　感测器软体——通信协定

20.10.3　感测器软体——用户角色

20.10.4　感测器软体——分区

20.10.5　感测器软体——特徵库和特徵引擎

20.10.6　感测器软体——IPS事件

20.10.7　感测器软体——IPS事件动作

20.10.8　感测器软体——风险等级(RR)

20.10.9　感测器软体——IPS威胁等级

20.10.10　感测器软体——IPS接口

20.10.11　感测器软体——IPS接口模式

20.10.12　感测器软体——IPS阻塞(迴避)

20.10.13　感测器软体——IPS速率限制

20.10.14　感测器软体——IPS虚拟化

20.10.15　感测器软体——IPS安全策略

20.10.16　感测器软体——IPS异常检测(AD)

20.11　IPS高可靠性

20.11.1　IPS应急开放机制

20.11.2　故障转移机制

20.11.3　应急开放和故障转移的部署

20.11.4　负载均衡技术

20.12　IPS设备部署準则

20.13　Cisco入侵保护系统设备管理器(IDM)

20.14　配置IPS内部VLAN对模式

20.15　配置IPS内部接口对模式

20.16　配置定製特徵和IPS阻塞

20.17　小结

20.18　参考

第21章　主机入侵保护

21.1　利用非特徵机制保护终端节点

21.2　Cisco安全代理(CSA)

21.3　CSA体系结构

21.3.1　CSA拦截和相关性

21.3.2　CSA扩展全局相关性

21.3.3　CSA访问控制过程

21.3.4　CSA深度防御——零天保护

21.4　CSA功能和安全形色

21.5　CSA部件

21.6　利用CSAMC配置并管理CSA部署

21.6.1　管理CSA主机

21.6.2　管理CSA代理工具箱

21.6.3　管理CSA群组

21.6.4　CSA代理用户界面

21.6.5　CSA策略、规则模组和规则

21.7　小结

21.8　参考

第22章　异常检测和缓解

22.1　攻击範围

22.1.1　拒绝服务攻击(DoS)定义

22.1.2　分散式拒绝服务(DDoS)攻击——如何定义

22.2　异常检测和缓解系统

22.3　CiscoDDoS异常检测和缓解解决方案

22.4　Cisco流量异常检测器

22.5　CiscoGuardDDoS缓解

22.6　整体运行

22.7　配置和管理Cisco流量异常检测器

22.7.1　管理检测器

22.7.2　通过CLI控制台访问初始化检测器

22.7.3　配置检测器(区域、过滤器、策略和学习过程)

22.8　配置和管理CiscoGuard缓解

22.8.1　管理Guard

22.8.2　利用CLI控制台访问并初始化Guard

22.8.3　配置Guard(区域、过滤器、策略和学习过程)

22.9　小结

22.10　参考

第23章　安全监控和相关性

23.1　安全信息和事件管理

23.2　Cisco安全监控、分析和回响系统(CS-MARS)

23.2.1　安全威胁防御(STM)系统

23.2.2　拓扑结构感知和网路映射

23.2.3　关键概念——事件、会话、规则和事故

23.2.4　CS-MARS事件处理

23.2.5　CS-MARS中的误报

23.3　部署CS-MARS

23.3.1　独立和本地控制器(LC)

23.3.2　全局控制器(GC)

23.3.3　软体版本化信息

23.3.4　报告和防御设备

23.3.5　运行级别

23.3.6　流量和已开启视窗

23.3.7　基于Web的管理界面

23.3.8　初始化CS-MARS

23.4　小结

23.5　参考

第5部分　安全管理

第24章　安全和策略管理

24.1　Cisco安全管理解决方案

24.2　Cisco安全管理器

24.2.1　Cisco安全管理器——特徵和性能

24.2.2　Cisco安全管理器——防火墙管理

24.2.3　Cisco安全管理器——VPN管理

24.2.4　Cisco安全管理器——IPS管理

24.2.5　Cisco安全管理器——平台管理

24.2.6　Cisco安全管理器——体系结构

24.2.7　Cisco安全管理器——配置视图

24.2.8　Cisco安全管理器——设备管理

24.2.9　Cisco安全管理器——工作流模式

24.2.10　Cisco安全管理器——基于角色的访问控制

24.2.11　Cisco安全管理器——交叉-启动xDM

24.2.12　Cisco安全管理器——支持的设备和OS版本

24.2.13　Cisco安全管理器——伺服器和客户端要求及限制

24.2.14　Cisco安全管理器——流量和已打开连线埠

24.3　Cisco路由器和安全设备管理器(SDM)

24.3.1　CiscoSDM——特徵与性能

24.3.2　CiscoSDM工作原理

24.3.3　CiscoSDM——路由器安全审计功能

24.3.4　CiscoSDM——一步锁定功能

24.3.5　CiscoSDM——监控模式

24.3.6　CiscoSDM——所支持路由和IOS版本

24.3.7　CiscoSDM——系统要求

24.4　Cisco自适应安全设备管理器(ASDM)

24.4.1　CiscoASDM——特徵和性能

24.4.2　CiscoASDM——工作原理

24.4.3　CiscoASDM——分组追蹤器程式

24.4.4　CiscoASDM——相关访问规则系统日誌

24.4.5　CiscoASDM——支持的防火墙和软体版本

24.4.6　CiscoASDM——用户要求

24.5　CiscoPIX设备管理器(PDM)

24.6　CiscoPIX设备管理器(IDM)

24.6.1　CiscoIDM——工作原理

24.6.2　CiscoIDM——系统要求

24.7　小结

24.8　参考

第25章　安全框架和规章制度

25.1　安全模型

25.2　策略、标準、準则和规程

25.2.1　安全策略

25.2.2　标準

25.2.3　準则

25.2.4　规程

25.3　最佳实践框架

25.3.1　ISO/IEC17799(ISO/IEC27002)

25.3.2　COBIT

25.3.3　17799/27002和COBIT比较

25.4　遵从性和风险管理

25.5　法规遵从和立法行为

25.6　GLBA——格雷姆-里奇-比利雷法

25.6.1　谁受到影响

25.6.2　GLBA要求

25.6.3　违反处罚

25.6.4　满足GLBA的Cisco解决方案

25.6.5　GLBA总结

25.7　HIPPA——健康保险携带和责任法案

25.7.1　谁受到影响

25.7.2　HIPPA要求

25.7.3　违反处罚

25.7.4　满足HIPPA的Cisco解决方案

25.7.5　HIPPA总结

25.8　SOX——萨班斯-奥克斯莱法案

25.8.1　谁受到影响

25.8.2　SOX法案要求

25.8.3　违反处罚

25.8.4　满足SOX法案的Cisco解决方案

25.8.5　SOX总结

25.9　展望全球法规遵从法案和立法

25.9.1　在美国

25.9.2　在欧洲

25.9.3　在亚太地区

25.10　Cisco自防御网路解决方案

25.11　小结

25.12　参考

……

要进行网路安全审计建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、準确得解决网路安全问题。经过多年的深入研究和技术积累，安天实验室推出了多维度智慧型主机安全检查系统，它是针对区域网路计算机进行全面的安全保密检查及精準的安全等级判定的软体系统，并有着强有力的区域网路安全检测分析能力和修复能力。主机安全检查系统具有操作简单、检查全面、快速分级、检查日誌、例外排除等诸多特点，解决了扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业内技术难题，是堪当重任的风险评估、等保评估与系统全网安全隐患检查工具。