基本信息
中文名: CCSP自学指南:安全Cisco IOS网路(SECUR)
作者: [美]John F.Roland
译者: 张耀疆
图书分类: 网路
资源格式: PDF
版本: 扫描版
出版社: 人民邮电出版社
书号: 9787115129857
发行时间: 2005年2月1日
地区: 大陆
语言: 简体中文
内容推荐
本书全面系统地介绍了在基于Cisco路由器的网路环境中,如何实施和管理网路安全。全书共13章,从内容上可以分成5个部分。第一部分包括第1章到第4章,详尽地介绍了网路安全的基本概念和相关Cisco路由器的基本的安全配置;第二部分包括第5章到第7章,介绍了3种Cisco IOS的增强功能——防火墙特徵集;第三部分包括第8章到第10章,介绍了怎样利用Cisco路由器建立和管理VPN;第四部分包括第11章到13章,介绍了两种Cisco网路安全的管理工具——安全设备管理器(SDM)和路由器管理中心(MC),以及一个全面地配置Cisco路由器的综合案例;附录部分给出了章节複习题答案、网路安全策略样例和访问控制列表参考。
本书是Cisco Press出版的关于CCSP的官方教材,是CCSP应试者的必备书籍。同时本书内容翔实,涉及知识面广,也适合广大网路管理人员和网路爱好者阅读与参考,更全面、更有效地保护自己的网路安全。
本书是Cisco Press出版的关于CCSP的官方教材,是CCSP应试者的必备书籍。同时本书内容翔实,涉及知识面广,也适合广大网路管理人员和网路爱好者阅读与参考,更全面、更有效地保护自己的网路安全。
目录
第1章 网路安全简介 1
1.1 目标 2
1.1.1 一个封闭的网路 2
1.1.2 现代网路 3
1.1.3 威胁的能力——更危险更容易 4
1.1.4 安全形色的转变 4
1.1.5 电子商务的挑战 5
1.1.6 法律和政策的问题 5
1.2 Cisco SAFE Blueprint 6
1.2.1 路由器目标 7
1.2.2 交换机目标 7
1.2.3 主机目标 7
1.2.4 网路目标 7
1.2.5 套用目标 8
1.2.6 安全的管理和报告 8
1.3 网路攻击类型 9
1.3.1 网路安全威胁 9
1.3.2 网路攻击类型 10
1.4 网路安全策略 22
1.5 Cisco网路安全产品 23
1.6 Cisco管理软体 23
1.6.1 Cisco VPN设备管理器 23
1.6.2 Cisco PIX设备管理器 23
1.6.3 Cisco VPN方案中心 24
1.6.4 CiscoWorks VPN/安全管理方案 24
1.7 管理协定和功能 25
1.7.1 Telnet 25
1.7.2 简单网路管理协定 25
1.7.3 Syslog 26
1.7.4 简单档案传输协定 26
1.7.5 网路时间协定 26
1.8 NAT和NAT穿透 27
1.9 本章小结 28
1.10 本章複习题 29
第2章 Cisco路由器安全基础 31
2.1 Cisco IOS防火墙特性 31
2.1.1 Cisco IOS防火墙价值 32
2.1.2 Cisco IOS防火墙特点 32
2.2 安全的Cisco路由器安装 33
2.2.1 对安装进行风险评估 33
2.2.2 Cisco路由器和交换机物理安装常见威胁 34
2.3 安全的Cisco路由器管理访问 36
2.3.1 连线路由器控制台连线埠 36
2.3.2 口令创建规则 37
2.3.3 初始化配置对话 37
2.3.4 配置最小口令长度 38
2.3.5 配置Enable Secret口令 38
2.3.6 配置控制台连线埠用户级口令 39
2.3.7 配置一个vty用户级口令 40
2.3.8 配置一个AUX用户级口令 41
2.3.9 用service password-encryption命令加密口令 41
2.3.10 增强用户名口令安全 42
2.3.11 用no service password-recovery保护ROMMON 43
2.3.12 记录认证失败率 44
2.3.13 设定路由器链路逾时 44
2.3.14 设定特权级别 45
2.3.15 配置旗标讯息 46
2.3.16 安全的SNMP访问 47
2.4 Cisco路由器AAA介绍 57
2.4.1 AAA模型:网路安全结构 57
2.4.2 实施AAA 58
2.4.3 用本地服务实施AAA 59
2.4.4 用外部服务实施AAA 59
2.4.5 TACACS+和RADIUS AAA协定 60
2.4.6 认证方法和易用性 61
2.5 为Cisco边界路由器配置AAA 65
2.5.1 认证边界路由器访问 65
2.5.2 边界路由器AAA配置过程 66
2.5.3 对特权EXEC和配置模式进行安全访问 66
2.5.4 用aaa new-model命令启用AAA 67
2.5.5 aaa authentication命令 67
2.5.6 aaa authorization命令 70
2.5.7 aaa accounting命令 72
2.6 AAA排障 73
2.6.1 debug aaa authentication命令 73
2.6.2 debug aaa authorization命令 74
2.6.3 debug aaa accounting命令 75
2.7 本章小结 76
2.8 Cisco IOS命令回顾 76
2.9 本章複习题 76
2.10 案例研究 76
2.10.1 未来公司 77
2.10.2 安全策略符合性 78
2.10.3 解决方案 79
第3章 Cisco路由器网路高级AAA安全 83
3.1 Cisco Secure ACS介绍 83
3.1.1 Cisco Secure ACS for Windows 84
3.1.2 Cisco Secure ACS for UNIX(Solaris) 94
3.2 安装Cisco Secure ACS 3.0 forWindows 2000/NT伺服器 95
3.2.1 配置伺服器 96
3.2.2 校验Windows伺服器和其他网路设备间的连线 96
3.2.3 在伺服器上安装Cisco SecureACS for Windows 96
3.2.4 用Web浏览器配置CiscoSecure ACS for Windows 96
3.2.5 为AAA配置其余设备 97
3.2.6 校验正确安装和操作 97
3.3 Cisco Secure ACS for Windows管理和排障 97
3.3.1 认证失败 99
3.3.2 授权失败 100
3.3.3 记帐失败 100
3.3.4 拨入PC问题排障 100
3.3.5 使用Cisco IOS命令排障 101
3.4 TACACS+概述 101
3.4.1 一般特性 101
3.4.2 配置TACACS+ 102
3.4.3 校验TACACS+ 105
3.5 RADIUS概述 107
3.5.1 客户端/伺服器模型 108
3.5.2 网路安全 108
3.5.3 灵活的认证机制 108
3.5.4 配置RADIUS 108
3.5.5 RADIUS增强属性 110
3.6 Kerberos概述 111
3.7 本章小结 112
3.8 Cisco IOS命令回顾 112
3.9 本章複习题 112
3.10 案例研究 113
3.10.1 场景 114
3.10.2 解决方案 114
第4章 Cisco路由器威胁对策 117
4.1 用路由器来保护网路 117
4.1.1 单个边界路由器 117
4.1.2 边界路由器和防火墙 118
4.1.3 集成防火墙的边界路由器 118
4.1.4 边界路由器、防火墙和内部路由器 119
4.2 加强路由器服务和接口的安全性 119
4.2.1 关闭BOOTP伺服器 120
4.2.2 关闭CDP服务 120
4.2.3 关闭配置自动载入服务 121
4.2.4 限制DNS服务 122
4.2.5 关闭FTP伺服器 122
4.2.6 关闭Finger服务 123
4.2.7 关闭无根据ARP 124
4.2.8 关闭HTTP服务 125
4.2.9 关闭IP无类别路由选择服务 125
4.2.10 关闭IP定向广播 126
4.2.11 关闭IP鉴别 126
4.2.12 关闭ICMP掩码应答 127
4.2.13 关闭ICMP重定向 127
4.2.14 关闭IP源路由选择 128
4.2.15 关闭ICMP不可达讯息 128
4.2.16 关闭MOP服务 129
4.2.17 关闭NTP服务 129
4.2.18 关闭PAD服务 130
4.2.19 关闭代理ARP 131
4.2.20 关闭SNMP服务 132
4.2.21 关闭小型伺服器 133
4.2.22 启用TCP Keepalive 134
4.2.23 关闭TFTP伺服器 135
4.3 关闭不用的路由器接口 136
4.4 实施Cisco访问控制列表 137
4.4.1 识别访问控制列表 137
4.4.2 IP访问控制列表类型 138
4.4.3 注释IP ACL条款 143
4.4.4 开发ACL规则 143
4.4.5 ACL定向过滤 143
4.4.6 将ACL套用到接口 144
4.4.7 显示ACL 144
4.4.8 启用Turbo ACL 145
4.4.9 增强ACL 146
4.5 用ACL来应对安全威胁 147
4.5.1 流量过滤 148
4.5.2 理论网路 149
4.6 过滤路由器服务流量 150
4.6.1 Telnet服务 150
4.6.2 SNMP服务 150
4.6.3 路由选择协定 151
4.7 过滤网路流量 151
4.7.1 IP位址欺骗对策 152
4.7.2 DoS TCP SYN攻击对策 153
4.7.3 DoS Smurf攻击对策 153
4.7.4 过滤ICMP讯息 154
4.8 DDoS对策 155
4.8.1 TRIN00 155
4.8.2 Stacheldraht 156
4.8.3 Trinity V3 156
4.8.4 Subseven 156
4.9 路由器配置示例 157
4.10 实施Syslog日誌 158
4.10.1 Syslog系统 159
4.10.2 Cisco日誌安全级别 159
4.10.3 日誌讯息格式 160
4.10.4 Syslog路由器命令 161
4.11 为企业网路设计安全的管理和报告系统 162
4.11.1 SAFE结构通览 163
4.11.2 信息路径 164
4.11.3 带外管理一般指南 165
4.11.4 日誌和报告 166
4.11.5 配置SSH伺服器 167
4.11.6 安全的SNMP访问 168
4.12 用AutoSecure加强Cisco路由器安全 172
4.12.1 起点 172
4.12.2 接口选择 173
4.12.3 安全的Management层面服务 173
4.12.4 创建安全旗标 174
4.12.5 配置口令、AAA、SSH 伺服器和域名 175
4.12.6 配置特定接口服务 175
4.12.7 配置Cisco Express Forwarding和入口过滤 176
4.12.8 配置入口过滤和CBAC 176
4.12.9 检查配置并套用于运行配置中 177
4.12.10 例子:使用AutoSecure之前典型的路由器配置 184
4.12.11 例子:使用AutoSecure之后典型的路由器配置 185
4.13 本章小结 190
4.14 Cisco IOS命令回顾 190
4.15 本章複习题 190
4.16 案例研究 191
4.16.1 场景 192
4.16.2 解决方案 192
第5章 Cisco IOS防火墙基于上下文访问控制的配置 197
5.1 Cisco IOS防火墙介绍 197
5.1.1 Cisco IOS防火墙特徵集 198
5.1.2 理解CBAC 198
5.1.3 理解认证代理 199
5.1.4 理解入侵检测 199
5.2 用CBAC保护用户免受攻击 200
5.2.1 Cisco IOS访问控制列表 200
5.2.2 CBAC是如何工作的 200
5.2.3 支持的协定 202
5.2.4 告警和审计跟蹤 202
5.3 配置CBAC 203
5.3.1 打开审计跟蹤和告警 203
5.3.2 全局逾时值和阈值 203
5.3.3 连线埠到套用的映射(Port-To-Application Mapping) 206
5.3.4 定义套用协定审查规则 208
5.3.5 路由器接口审查规则和ACL 211
5.3.6 测试和验证CBAC 215
5.4 本章小结 216
5.5 Cisco IOS命令回顾 217
5.6 本章複习题 217
5.7 案例研究 218
5.7.1 场景 219
5.7.2 解决方案 219
第6章 Cisco IOS防火墙认证代理 223
6.1 介绍Cisco IOS防火墙认证代理 223
6.1.1 定义认证代理 223
6.1.2 支持AAA协定和伺服器 224
6.1.3 发起一个会话 224
6.1.4 认证代理过程 225
6.1.5 套用认证代理 227
6.1.6 配置认证代理 227
6.2 配置AAA伺服器 228
6.2.1 在Cisco安全访问控制伺服器(CSACS)上配置认证代理服务 228
6.2.2 在Cisco安全访问控制伺服器上建立用户授权配置档案 229
6.2.3 在建立用户授权配置档案时使用proxyacl#n属性 230
6.3 用AAA伺服器配置Cisco IOS 防火墙 230
6.3.1 打开AAA 231
6.3.2 指定认证协定 231
6.3.3 指定授权协定 231
6.3.4 定义TACACS+伺服器和它的密钥 231
6.3.5 定义RADIUS伺服器和它的密钥 232
6.3.6 允许到路由器的AAA流量 232
6.3.7 打开路由器的HTTP伺服器 233
6.4 配置认证代理 234
6.4.1 设定默认空闲时间 234
6.4.2 定义可选的认证代理标誌 234
6.4.3 定义和套用认证代理规则 235
6.4.4 将认证代理规则关联到ACL 236
6.5 测试和验证配置 236
6.5.1 show命令 236
6.5.2 debug命令 236
6.5.3 清除认证代理快取 237
6.6 本章小结 237
6.7 Cisco IOS命令回顾 238
6.8 本章複习题 238
6.9 案例研究 238
6.9.1 场景 239
6.9.2 解决方案 239
第7章 Cisco IOS防火墙入侵检测系统 243
7.1 Cisco IOS IDS介绍 243
7.1.1 网路能见度 245
7.1.2 支持的路由器平台 245
7.1.3 实施问题 247
7.1.4 签名套用 247
7.1.5 回响选项 248
7.2 配置Cisco IOS IDS 248
7.2.1 步骤1——初始化Cisco IOS IDS路由器 249
7.2.2 步骤2——配置保护、关闭和排除签名 250
7.2.3 步骤3——建立和套用审查规则 251
7.2.4 步骤4——验证配置 253
7.2.5 步骤5——将Cisco IOS IDS路由器加到CiscoWorks安全监控中心 254
7.3 本章小结 256
7.4 Cisco IOS IDS使用的签名 256
7.5 Cisco IOS命令回顾 259
7.6 本章複习题 259
7.7 案例研究 260
7.7.1 场景 261
7.7.2 解决方案 261
第8章 用Cisco路由器和预共享密钥建立IPSec VPN 265
8.1 在Cisco路由器打开安全VPN 265
8.1.1 定义VPN 265
8.1.2 Cisco VPN路由器产品线 267
8.2 什幺是IPSec 268
8.2.1 机密性(加密) 269
8.2.2 数据完整性 273
8.2.3 起源认证 274
8.2.4 反重放保护 277
8.3 IPSec协定框架 278
8.3.1 IPSec协定 278
8.3.2 使用模式:比较隧道模式和传输模式 280
8.3.3 在IPSec隧道中的DF位覆盖功能性 281
8.3.4 IPSec框架 282
8.4 IPSec的5个步骤 282
8.4.1 IPSec步骤1:感兴趣的流量 283
8.4.2 IPSec步骤2:IKE阶段1 283
8.4.3 IPSec步骤3:IKE阶段2 285
8.4.4 IPSec步骤4:数据传输 286
8.4.5 IPSec步骤5:隧道终止 287
8.5 IPSec和动态虚拟专用网 287
8.6 使用IKE预共享密钥配置IPSec 294
8.6.1 任务1配置IPSec加密:为IKE和IPSec準备 294
8.6.2 任务2配置IPSec加密:配置IKE 300
8.6.3 任务 3 配置IPSec加密:配置IPSec 303
8.6.4 任务4配置IPSec加密:测试和验证IPSec和ISAKMP 311
8.7 手动配置IPSec 315
8.8 使用RSA加密Nonces配置IPSec 316
8.9 和IPSec一起使用NAT 318
8.9.1 IKE阶段1和阶段2协商 318
8.9.2 NAT穿透包封装 319
8.9.3 配置IPSec和NAT一起工作 319
8.10 本章小结 320
8.11 Cisco IOS命令回顾 320
8.12 本章複习题 320
8.13 案例研究 321
8.13.1 场景 321
8.13.2 解决方案 322
第9章 用Cisco路由器和CA建立高级IPSec VPN 327
9.1 证书权威 327
9.1.1 Cisco IOS CA支持标準 328
9.1.2 简单证书登记协定 329
9.1.3 CA伺服器和Cisco路由器的协同性 329
9.1.4 用CA登记一台设备 331
9.1.5 多个RSA密钥对支持 331
9.2 配置CA支持任务 332
9.2.1 配置CA支持之任务1:为IKE和IPSec作準备 332
9.2.2 配置CA支持之任务2:配置CA支持 335
9.2.3 配置CA支持之任务3:为IPSec配置IKE 345
9.2.4 配置CA支持之任务4:配置IPSec 346
9.2.5 配置CA支持之任务5:测试和验证IPSec 346
9.3 本章小结 347
9.4 Cisco IOS命令回顾 347
9.5 本章複习题 347
9.6 案例研究 347
9.6.1 场景 348
9.6.2 解决方案 349
第10章 用Cisco Easy VPN 配置IOS 远程接入 353
10.1 介绍Cisco Easy VPN 353
10.1.1 Cisco Easy VPN Server 353
10.1.2 Cisco Easy VPN Remote 354
10.2 Cisco Easy VPN Server概述 354
10.2.1 12.2(8)T和Cisco Easy VPN的新特徵 355
10.2.2 支持的IPSec属性 356
10.2.3 不支持的IPSec属性 356
10.3 Cisco Easy VPN Remote概述 357
10.3.1 支持的Cisco Easy VPN远程客户端 357
10.3.2 Cisco Easy VPN Remote 阶段II 360
10.3.3 Cisco VPN Client 3.5概述 363
10.3.4 Cisco Easy VPN功能 365
10.4 配置Cisco Easy VPN Server支持XAUTH 368
10.4.1 任务1:配置XAUTH 369
10.4.2 任务2:建立IP位址池 370
10.4.3 任务3:配置组策略搜寻 370
10.4.4 任务4:为远程VPN客户接入建立ISAKMP策略 371
10.4.5 任务5:为MC“推”定义组策略 371
10.4.6 任务6:建立变换集 373
10.4.7 任务7:用RRI建立动态加密映射 373
10.4.8 任务8:将MC套用到动态加密映射 374
10.4.9 任务9:将动态加密映射套用到路由器的外部接口 375
10.4.10 任务10:打开IKE DPD(可选) 375
10.5 为组配置档案配置RADIUS认证 376
10.6 Cisco VPN Client 3.5安装和配置任务 377
10.6.1 任务1:安装Cisco VPN Client 3.x 377
10.6.2 任务2:建立新的连线条目 378
10.6.3 任务3(可选):修改Cisco VPN Client选项 378
10.6.4 任务4:配置Cisco VPN Client基本属性 379
10.6.5 任务5:配置Cisco VPN Client认证属性 380
10.6.6 任务6:配置Cisco VPN Client连线属性 381
10.7 和Cisco VPN Client 3.5一起工作 382
10.7.1 程式选单 382
10.7.2 日誌查看器 383
10.7.3 设定MTU大小 383
10.7.4 客户端连线状态:基本标籤 384
10.7.5 客户端连线状态:统计标籤 385
10.8 即将来临的Cisco VPN Client更新 386
10.8.1 虚拟适配器 386
10.8.2 对Windows和Mac统一了VPN客户端 386
10.8.3 删除警告(包括原因) 387
10.8.4 单一IPSec-SA 387
10.8.5 个人防火墙增强 387
10.8.6 第三方VPN厂商兼容 387
10.8.7 RADIUS SDI XAUTH请求管理 387
10.8.8 ISO标準格式日誌档案名称 388
10.8.9 GINA增强 388
10.9 本章小结 388
10.10 Cisco IOS命令回顾 388
10.11 本章複习题 388
10.12 案例研究 389
10.12.1 场景 390
10.12.2 解决方案 390
第11章 使用安全设备管理器保护Cisco路由器 395
11.1 理解安全设备管理器 395
11.1.1 SDM特徵 396
11.1.2 智慧型安全配置 396
11.1.3 SDM用户类型 397
11.1.4 SDM特徵的详细资讯 397
11.2 理解SDM软体 397
11.2.1 支持的Cisco IOS版本和设备 398
11.2.2 获取SDM 398
11.2.3 在已有的路由器上安装SDM 398
11.2.4 显示路由器的快闪记忆体空间 399
11.2.5 SDM软体需求 399
11.2.6 SDM路由器通信 400
11.3 使用SDM启动嚮导 400
11.3.1 第一次SDM访问 401
11.3.2 诊断SDM故障 407
11.4 介绍SDM用户界面 407
11.4.1 SDM主视窗特徵 407
11.4.2 SDM选单栏 408
11.4.3 SDM工具列 408
11.4.4 SDM嚮导模式选项 409
11.5 使用WAN嚮导配置WAN 410
11.5.1 建立新WAN连线 410
11.5.2 运行串口嚮导 411
11.5.3 配置封装和IP位址 411
11.5.4 配置LMI和DLCI 411
11.5.5 配置高级选项 412
11.5.6 完成WAN接口配置 412
11.5.7 查看和编辑已有的WAN连线 412
11.5.8 使用高级模式验证接口状态 413
11.6 使用SDM配置防火墙 413
11.6.1 建立基本防火墙 414
11.6.2 建立高级防火墙 415
11.7 使用SDM配置VPN 418
11.7.1 使用预共享密钥建立站到站的VPN 419
11.7.2 查看或改变VPN设定 420
11.8 使用SDM执行安全审查 420
11.8.1 执行安全审查 420
11.8.2 一步加固 422
11.9 使用出厂复位嚮导 424
11.10 使用SDM高级模式 424
11.10.1 高级模式——概要 424
11.10.2 高级模式——接口和连线 426
11.10.3 高级模式——规则 427
11.10.4 高级模式——路由选择 427
11.10.5 高级模式——NAT 428
11.10.6 高级模式——系统属性 429
11.10.7 高级模式——VPN 431
11.11 理解监控模式 431
11.12 本章小结 432
11.13 Cisco IOS命令回顾 432
11.14 本章複习题 432
11.15 案例研究 433
11.15.1 场景 434
11.15.2 解决方案 434
第12章 管理企业VPN路由器 437
12.1 路由器MC 1.2.1简介 437
12.1.1 理解路由器MC概念 438
12.1.2 路由器MC组件 439
12.1.3 路由器MC 1.2.1支持的设备 440
12.1.4 路由器MC通信 440
12.1.5 支持的隧道技术 441
12.2 安装路由器MC 441
12.2.1 安装需求 441
12.2.2 客户端访问需求 442
12.2.3 安装过程 443
12.2.4 配置路由器支持SSH 443
12.3 使用路由器MC 443
12.3.1 CiscoWorks登录 444
12.3.2 CiscoWorks用户授权角色 444
12.3.3 在CiscoWorks中添加用户 446
12.3.4 启动路由器MC 446
12.3.5 使用路由器MC主视窗 447
12.3.6 使用路由器MC界面 447
12.3.7 使用设备标籤 448
12.3.8 使用配置标籤 449
12.3.9 使用部署标籤 450
12.3.10 使用报告标籤 450
12.3.11 使用管理标籤 450
12.4 建立工作流程和活动 451
12.4.1 工作流程任务 451
12.4.2 任务1:建立活动 452
12.4.3 任务2:建立设备组 454
12.4.4 任务3:导入设备 455
12.4.5 任务4:定义VPN设定 459
12.4.6 任务5:定义VPN策略 464
12.4.7 任务6:批准活动 471
12.4.8 任务7:建立和部署作业 471
12.5 配置基本的Cisco IOS防火墙设定 474
12.5.1 分片规则 475
12.5.2 逾时值和性能 475
12.5.3 半打开连线限制 476
12.5.4 日誌 476
12.5.5 ACL範围 477
12.6 建立访问规则 477
12.7 使用建构块 478
12.7.1 网路组 478
12.7.2 变换集 479
12.7.3 服务组 479
12.8 网路地址转换规则 480
12.8.1 地址池 480
12.8.2 流量过滤 480
12.9 管理配置 481
12.9.1 上传 481
12.9.2 查看配置 482
12.9.3 路由器MC部署选项 483
12.10 管理 485
12.10.1 部署报告 485
12.10.2 活动报告 486
12.10.3 审计跟蹤报告 486
12.10.4 管理 486
12.11 本章小结 487
12.12 本章複习题 487
12.13 案例研究 487
12.13.1 场景 488
12.13.2 解决方案 488
第13章 案例研究 491
13.1 简介 491
13.2 需求 491
13.3 解决方案 494
13.3.1 开始路由器配置 494
13.3.2 解决方案的配置步骤 495
13.3.3 结束路由器配置 500
附录A 各章複习题答案 505
第1章 505
第2章 506
第3章 507
第4章 508
第5章 510
第6章 511
第7章 512
第8章 513
第9章 514
第10章 515
第11章 516
第12章 518
附录B 网路安全策略实例 521
B.1 授权和範围的说明 521
B.1.1 适用对象 521
B.1.2 网路安全策略的範围 522
B.1.3 网路安全策略负责人 522
B.1.4 系统管理员责任 522
B.1.5 网路安全策略维护流程 523
B.1.6 实施过程 523
B.1.7 用户培训 523
B.2 漏洞审计策略 523
B.2.1 可接受的使用 523
B.2.2 频率 523
B.2.3 审计目标 523
B.2.4 报告 524
B.3 网路使用策略 524
B.3.1 可接收的网路使用 524
B.3.2 不可接收的网路使用 524
B.3.3 服从要求 524
B.4 身份鉴别和认证策略 524
B.4.1 可接受的使用 525
B.4.2 密码管理 525
B.4.3 认证管理 525
B.5 Internet访问策略 525
B.5.1 可接受的使用 525
B.5.2 防火墙使用 525
B.5.3 公共服务使用 525
B.6 园区访问策略 526
B.6.1 可接受的使用 526
B.6.2 信任关係 526
B.6.3 网路设备安全 526
B.7 远程访问策略 526
B.7.1 可以接受的使用 527
B.7.2 移动计算 527
B.7.3 从家中访问 527
B.7.4 远距离工作协定 527
B.7.5 分支机构访问 527
B.7.6 商务合作者(外联网)访问 527
B.7.7 加密 527
B.8 事件处理策略 528
B.8.1 入侵检测需求 528
B.8.2 事件回响过程 528
B.8.3 联络点 529
附录C 配置标準和扩展访问列表 531
C.1 IP编址和通用访问列表概念 532
C.1.1 IP位址 532
C.1.2 通配符掩码 535
C.1.3 一般访问列表配置任务 536
C.1.4 访问列表配置原则 536
C.2 配置标準IP访问列表 537
C.2.1 标準IP访问列表处理 537
C.2.2 标準IP访问列表命令 538
C.2.3 标準访问列表的定位 539
C.2.4 标準IP访问列表中的一般错误 540
C.2.5 标準IP访问列表举例 541
C.3 配置扩展IP访问列表 541
C.3.1 扩展IP访问列表处理 542
C.3.2 扩展IP访问列表命令 543
C.3.3 ICMP命令语法 544
C.3.4 TCP语法 546
C.3.5 UDP语法 547
C.3.6 扩展IP访问列表的定位 548
C.3.7 扩展IP访问列表举例1 548
C.3.8 扩展IP访问列表举例2 549
C.4 验证访问列表配置 549
C.5 命名的IP访问列表 550
C.6 总结 552
C.7 参考文献 552
C.7.1 配置IP访问列表 552
C.7.2 IP协定和编址信息 553
术语表 555
1.1 目标 2
1.1.1 一个封闭的网路 2
1.1.2 现代网路 3
1.1.3 威胁的能力——更危险更容易 4
1.1.4 安全形色的转变 4
1.1.5 电子商务的挑战 5
1.1.6 法律和政策的问题 5
1.2 Cisco SAFE Blueprint 6
1.2.1 路由器目标 7
1.2.2 交换机目标 7
1.2.3 主机目标 7
1.2.4 网路目标 7
1.2.5 套用目标 8
1.2.6 安全的管理和报告 8
1.3 网路攻击类型 9
1.3.1 网路安全威胁 9
1.3.2 网路攻击类型 10
1.4 网路安全策略 22
1.5 Cisco网路安全产品 23
1.6 Cisco管理软体 23
1.6.1 Cisco VPN设备管理器 23
1.6.2 Cisco PIX设备管理器 23
1.6.3 Cisco VPN方案中心 24
1.6.4 CiscoWorks VPN/安全管理方案 24
1.7 管理协定和功能 25
1.7.1 Telnet 25
1.7.2 简单网路管理协定 25
1.7.3 Syslog 26
1.7.4 简单档案传输协定 26
1.7.5 网路时间协定 26
1.8 NAT和NAT穿透 27
1.9 本章小结 28
1.10 本章複习题 29
第2章 Cisco路由器安全基础 31
2.1 Cisco IOS防火墙特性 31
2.1.1 Cisco IOS防火墙价值 32
2.1.2 Cisco IOS防火墙特点 32
2.2 安全的Cisco路由器安装 33
2.2.1 对安装进行风险评估 33
2.2.2 Cisco路由器和交换机物理安装常见威胁 34
2.3 安全的Cisco路由器管理访问 36
2.3.1 连线路由器控制台连线埠 36
2.3.2 口令创建规则 37
2.3.3 初始化配置对话 37
2.3.4 配置最小口令长度 38
2.3.5 配置Enable Secret口令 38
2.3.6 配置控制台连线埠用户级口令 39
2.3.7 配置一个vty用户级口令 40
2.3.8 配置一个AUX用户级口令 41
2.3.9 用service password-encryption命令加密口令 41
2.3.10 增强用户名口令安全 42
2.3.11 用no service password-recovery保护ROMMON 43
2.3.12 记录认证失败率 44
2.3.13 设定路由器链路逾时 44
2.3.14 设定特权级别 45
2.3.15 配置旗标讯息 46
2.3.16 安全的SNMP访问 47
2.4 Cisco路由器AAA介绍 57
2.4.1 AAA模型:网路安全结构 57
2.4.2 实施AAA 58
2.4.3 用本地服务实施AAA 59
2.4.4 用外部服务实施AAA 59
2.4.5 TACACS+和RADIUS AAA协定 60
2.4.6 认证方法和易用性 61
2.5 为Cisco边界路由器配置AAA 65
2.5.1 认证边界路由器访问 65
2.5.2 边界路由器AAA配置过程 66
2.5.3 对特权EXEC和配置模式进行安全访问 66
2.5.4 用aaa new-model命令启用AAA 67
2.5.5 aaa authentication命令 67
2.5.6 aaa authorization命令 70
2.5.7 aaa accounting命令 72
2.6 AAA排障 73
2.6.1 debug aaa authentication命令 73
2.6.2 debug aaa authorization命令 74
2.6.3 debug aaa accounting命令 75
2.7 本章小结 76
2.8 Cisco IOS命令回顾 76
2.9 本章複习题 76
2.10 案例研究 76
2.10.1 未来公司 77
2.10.2 安全策略符合性 78
2.10.3 解决方案 79
第3章 Cisco路由器网路高级AAA安全 83
3.1 Cisco Secure ACS介绍 83
3.1.1 Cisco Secure ACS for Windows 84
3.1.2 Cisco Secure ACS for UNIX(Solaris) 94
3.2 安装Cisco Secure ACS 3.0 forWindows 2000/NT伺服器 95
3.2.1 配置伺服器 96
3.2.2 校验Windows伺服器和其他网路设备间的连线 96
3.2.3 在伺服器上安装Cisco SecureACS for Windows 96
3.2.4 用Web浏览器配置CiscoSecure ACS for Windows 96
3.2.5 为AAA配置其余设备 97
3.2.6 校验正确安装和操作 97
3.3 Cisco Secure ACS for Windows管理和排障 97
3.3.1 认证失败 99
3.3.2 授权失败 100
3.3.3 记帐失败 100
3.3.4 拨入PC问题排障 100
3.3.5 使用Cisco IOS命令排障 101
3.4 TACACS+概述 101
3.4.1 一般特性 101
3.4.2 配置TACACS+ 102
3.4.3 校验TACACS+ 105
3.5 RADIUS概述 107
3.5.1 客户端/伺服器模型 108
3.5.2 网路安全 108
3.5.3 灵活的认证机制 108
3.5.4 配置RADIUS 108
3.5.5 RADIUS增强属性 110
3.6 Kerberos概述 111
3.7 本章小结 112
3.8 Cisco IOS命令回顾 112
3.9 本章複习题 112
3.10 案例研究 113
3.10.1 场景 114
3.10.2 解决方案 114
第4章 Cisco路由器威胁对策 117
4.1 用路由器来保护网路 117
4.1.1 单个边界路由器 117
4.1.2 边界路由器和防火墙 118
4.1.3 集成防火墙的边界路由器 118
4.1.4 边界路由器、防火墙和内部路由器 119
4.2 加强路由器服务和接口的安全性 119
4.2.1 关闭BOOTP伺服器 120
4.2.2 关闭CDP服务 120
4.2.3 关闭配置自动载入服务 121
4.2.4 限制DNS服务 122
4.2.5 关闭FTP伺服器 122
4.2.6 关闭Finger服务 123
4.2.7 关闭无根据ARP 124
4.2.8 关闭HTTP服务 125
4.2.9 关闭IP无类别路由选择服务 125
4.2.10 关闭IP定向广播 126
4.2.11 关闭IP鉴别 126
4.2.12 关闭ICMP掩码应答 127
4.2.13 关闭ICMP重定向 127
4.2.14 关闭IP源路由选择 128
4.2.15 关闭ICMP不可达讯息 128
4.2.16 关闭MOP服务 129
4.2.17 关闭NTP服务 129
4.2.18 关闭PAD服务 130
4.2.19 关闭代理ARP 131
4.2.20 关闭SNMP服务 132
4.2.21 关闭小型伺服器 133
4.2.22 启用TCP Keepalive 134
4.2.23 关闭TFTP伺服器 135
4.3 关闭不用的路由器接口 136
4.4 实施Cisco访问控制列表 137
4.4.1 识别访问控制列表 137
4.4.2 IP访问控制列表类型 138
4.4.3 注释IP ACL条款 143
4.4.4 开发ACL规则 143
4.4.5 ACL定向过滤 143
4.4.6 将ACL套用到接口 144
4.4.7 显示ACL 144
4.4.8 启用Turbo ACL 145
4.4.9 增强ACL 146
4.5 用ACL来应对安全威胁 147
4.5.1 流量过滤 148
4.5.2 理论网路 149
4.6 过滤路由器服务流量 150
4.6.1 Telnet服务 150
4.6.2 SNMP服务 150
4.6.3 路由选择协定 151
4.7 过滤网路流量 151
4.7.1 IP位址欺骗对策 152
4.7.2 DoS TCP SYN攻击对策 153
4.7.3 DoS Smurf攻击对策 153
4.7.4 过滤ICMP讯息 154
4.8 DDoS对策 155
4.8.1 TRIN00 155
4.8.2 Stacheldraht 156
4.8.3 Trinity V3 156
4.8.4 Subseven 156
4.9 路由器配置示例 157
4.10 实施Syslog日誌 158
4.10.1 Syslog系统 159
4.10.2 Cisco日誌安全级别 159
4.10.3 日誌讯息格式 160
4.10.4 Syslog路由器命令 161
4.11 为企业网路设计安全的管理和报告系统 162
4.11.1 SAFE结构通览 163
4.11.2 信息路径 164
4.11.3 带外管理一般指南 165
4.11.4 日誌和报告 166
4.11.5 配置SSH伺服器 167
4.11.6 安全的SNMP访问 168
4.12 用AutoSecure加强Cisco路由器安全 172
4.12.1 起点 172
4.12.2 接口选择 173
4.12.3 安全的Management层面服务 173
4.12.4 创建安全旗标 174
4.12.5 配置口令、AAA、SSH 伺服器和域名 175
4.12.6 配置特定接口服务 175
4.12.7 配置Cisco Express Forwarding和入口过滤 176
4.12.8 配置入口过滤和CBAC 176
4.12.9 检查配置并套用于运行配置中 177
4.12.10 例子:使用AutoSecure之前典型的路由器配置 184
4.12.11 例子:使用AutoSecure之后典型的路由器配置 185
4.13 本章小结 190
4.14 Cisco IOS命令回顾 190
4.15 本章複习题 190
4.16 案例研究 191
4.16.1 场景 192
4.16.2 解决方案 192
第5章 Cisco IOS防火墙基于上下文访问控制的配置 197
5.1 Cisco IOS防火墙介绍 197
5.1.1 Cisco IOS防火墙特徵集 198
5.1.2 理解CBAC 198
5.1.3 理解认证代理 199
5.1.4 理解入侵检测 199
5.2 用CBAC保护用户免受攻击 200
5.2.1 Cisco IOS访问控制列表 200
5.2.2 CBAC是如何工作的 200
5.2.3 支持的协定 202
5.2.4 告警和审计跟蹤 202
5.3 配置CBAC 203
5.3.1 打开审计跟蹤和告警 203
5.3.2 全局逾时值和阈值 203
5.3.3 连线埠到套用的映射(Port-To-Application Mapping) 206
5.3.4 定义套用协定审查规则 208
5.3.5 路由器接口审查规则和ACL 211
5.3.6 测试和验证CBAC 215
5.4 本章小结 216
5.5 Cisco IOS命令回顾 217
5.6 本章複习题 217
5.7 案例研究 218
5.7.1 场景 219
5.7.2 解决方案 219
第6章 Cisco IOS防火墙认证代理 223
6.1 介绍Cisco IOS防火墙认证代理 223
6.1.1 定义认证代理 223
6.1.2 支持AAA协定和伺服器 224
6.1.3 发起一个会话 224
6.1.4 认证代理过程 225
6.1.5 套用认证代理 227
6.1.6 配置认证代理 227
6.2 配置AAA伺服器 228
6.2.1 在Cisco安全访问控制伺服器(CSACS)上配置认证代理服务 228
6.2.2 在Cisco安全访问控制伺服器上建立用户授权配置档案 229
6.2.3 在建立用户授权配置档案时使用proxyacl#n属性 230
6.3 用AAA伺服器配置Cisco IOS 防火墙 230
6.3.1 打开AAA 231
6.3.2 指定认证协定 231
6.3.3 指定授权协定 231
6.3.4 定义TACACS+伺服器和它的密钥 231
6.3.5 定义RADIUS伺服器和它的密钥 232
6.3.6 允许到路由器的AAA流量 232
6.3.7 打开路由器的HTTP伺服器 233
6.4 配置认证代理 234
6.4.1 设定默认空闲时间 234
6.4.2 定义可选的认证代理标誌 234
6.4.3 定义和套用认证代理规则 235
6.4.4 将认证代理规则关联到ACL 236
6.5 测试和验证配置 236
6.5.1 show命令 236
6.5.2 debug命令 236
6.5.3 清除认证代理快取 237
6.6 本章小结 237
6.7 Cisco IOS命令回顾 238
6.8 本章複习题 238
6.9 案例研究 238
6.9.1 场景 239
6.9.2 解决方案 239
第7章 Cisco IOS防火墙入侵检测系统 243
7.1 Cisco IOS IDS介绍 243
7.1.1 网路能见度 245
7.1.2 支持的路由器平台 245
7.1.3 实施问题 247
7.1.4 签名套用 247
7.1.5 回响选项 248
7.2 配置Cisco IOS IDS 248
7.2.1 步骤1——初始化Cisco IOS IDS路由器 249
7.2.2 步骤2——配置保护、关闭和排除签名 250
7.2.3 步骤3——建立和套用审查规则 251
7.2.4 步骤4——验证配置 253
7.2.5 步骤5——将Cisco IOS IDS路由器加到CiscoWorks安全监控中心 254
7.3 本章小结 256
7.4 Cisco IOS IDS使用的签名 256
7.5 Cisco IOS命令回顾 259
7.6 本章複习题 259
7.7 案例研究 260
7.7.1 场景 261
7.7.2 解决方案 261
第8章 用Cisco路由器和预共享密钥建立IPSec VPN 265
8.1 在Cisco路由器打开安全VPN 265
8.1.1 定义VPN 265
8.1.2 Cisco VPN路由器产品线 267
8.2 什幺是IPSec 268
8.2.1 机密性(加密) 269
8.2.2 数据完整性 273
8.2.3 起源认证 274
8.2.4 反重放保护 277
8.3 IPSec协定框架 278
8.3.1 IPSec协定 278
8.3.2 使用模式:比较隧道模式和传输模式 280
8.3.3 在IPSec隧道中的DF位覆盖功能性 281
8.3.4 IPSec框架 282
8.4 IPSec的5个步骤 282
8.4.1 IPSec步骤1:感兴趣的流量 283
8.4.2 IPSec步骤2:IKE阶段1 283
8.4.3 IPSec步骤3:IKE阶段2 285
8.4.4 IPSec步骤4:数据传输 286
8.4.5 IPSec步骤5:隧道终止 287
8.5 IPSec和动态虚拟专用网 287
8.6 使用IKE预共享密钥配置IPSec 294
8.6.1 任务1配置IPSec加密:为IKE和IPSec準备 294
8.6.2 任务2配置IPSec加密:配置IKE 300
8.6.3 任务 3 配置IPSec加密:配置IPSec 303
8.6.4 任务4配置IPSec加密:测试和验证IPSec和ISAKMP 311
8.7 手动配置IPSec 315
8.8 使用RSA加密Nonces配置IPSec 316
8.9 和IPSec一起使用NAT 318
8.9.1 IKE阶段1和阶段2协商 318
8.9.2 NAT穿透包封装 319
8.9.3 配置IPSec和NAT一起工作 319
8.10 本章小结 320
8.11 Cisco IOS命令回顾 320
8.12 本章複习题 320
8.13 案例研究 321
8.13.1 场景 321
8.13.2 解决方案 322
第9章 用Cisco路由器和CA建立高级IPSec VPN 327
9.1 证书权威 327
9.1.1 Cisco IOS CA支持标準 328
9.1.2 简单证书登记协定 329
9.1.3 CA伺服器和Cisco路由器的协同性 329
9.1.4 用CA登记一台设备 331
9.1.5 多个RSA密钥对支持 331
9.2 配置CA支持任务 332
9.2.1 配置CA支持之任务1:为IKE和IPSec作準备 332
9.2.2 配置CA支持之任务2:配置CA支持 335
9.2.3 配置CA支持之任务3:为IPSec配置IKE 345
9.2.4 配置CA支持之任务4:配置IPSec 346
9.2.5 配置CA支持之任务5:测试和验证IPSec 346
9.3 本章小结 347
9.4 Cisco IOS命令回顾 347
9.5 本章複习题 347
9.6 案例研究 347
9.6.1 场景 348
9.6.2 解决方案 349
第10章 用Cisco Easy VPN 配置IOS 远程接入 353
10.1 介绍Cisco Easy VPN 353
10.1.1 Cisco Easy VPN Server 353
10.1.2 Cisco Easy VPN Remote 354
10.2 Cisco Easy VPN Server概述 354
10.2.1 12.2(8)T和Cisco Easy VPN的新特徵 355
10.2.2 支持的IPSec属性 356
10.2.3 不支持的IPSec属性 356
10.3 Cisco Easy VPN Remote概述 357
10.3.1 支持的Cisco Easy VPN远程客户端 357
10.3.2 Cisco Easy VPN Remote 阶段II 360
10.3.3 Cisco VPN Client 3.5概述 363
10.3.4 Cisco Easy VPN功能 365
10.4 配置Cisco Easy VPN Server支持XAUTH 368
10.4.1 任务1:配置XAUTH 369
10.4.2 任务2:建立IP位址池 370
10.4.3 任务3:配置组策略搜寻 370
10.4.4 任务4:为远程VPN客户接入建立ISAKMP策略 371
10.4.5 任务5:为MC“推”定义组策略 371
10.4.6 任务6:建立变换集 373
10.4.7 任务7:用RRI建立动态加密映射 373
10.4.8 任务8:将MC套用到动态加密映射 374
10.4.9 任务9:将动态加密映射套用到路由器的外部接口 375
10.4.10 任务10:打开IKE DPD(可选) 375
10.5 为组配置档案配置RADIUS认证 376
10.6 Cisco VPN Client 3.5安装和配置任务 377
10.6.1 任务1:安装Cisco VPN Client 3.x 377
10.6.2 任务2:建立新的连线条目 378
10.6.3 任务3(可选):修改Cisco VPN Client选项 378
10.6.4 任务4:配置Cisco VPN Client基本属性 379
10.6.5 任务5:配置Cisco VPN Client认证属性 380
10.6.6 任务6:配置Cisco VPN Client连线属性 381
10.7 和Cisco VPN Client 3.5一起工作 382
10.7.1 程式选单 382
10.7.2 日誌查看器 383
10.7.3 设定MTU大小 383
10.7.4 客户端连线状态:基本标籤 384
10.7.5 客户端连线状态:统计标籤 385
10.8 即将来临的Cisco VPN Client更新 386
10.8.1 虚拟适配器 386
10.8.2 对Windows和Mac统一了VPN客户端 386
10.8.3 删除警告(包括原因) 387
10.8.4 单一IPSec-SA 387
10.8.5 个人防火墙增强 387
10.8.6 第三方VPN厂商兼容 387
10.8.7 RADIUS SDI XAUTH请求管理 387
10.8.8 ISO标準格式日誌档案名称 388
10.8.9 GINA增强 388
10.9 本章小结 388
10.10 Cisco IOS命令回顾 388
10.11 本章複习题 388
10.12 案例研究 389
10.12.1 场景 390
10.12.2 解决方案 390
第11章 使用安全设备管理器保护Cisco路由器 395
11.1 理解安全设备管理器 395
11.1.1 SDM特徵 396
11.1.2 智慧型安全配置 396
11.1.3 SDM用户类型 397
11.1.4 SDM特徵的详细资讯 397
11.2 理解SDM软体 397
11.2.1 支持的Cisco IOS版本和设备 398
11.2.2 获取SDM 398
11.2.3 在已有的路由器上安装SDM 398
11.2.4 显示路由器的快闪记忆体空间 399
11.2.5 SDM软体需求 399
11.2.6 SDM路由器通信 400
11.3 使用SDM启动嚮导 400
11.3.1 第一次SDM访问 401
11.3.2 诊断SDM故障 407
11.4 介绍SDM用户界面 407
11.4.1 SDM主视窗特徵 407
11.4.2 SDM选单栏 408
11.4.3 SDM工具列 408
11.4.4 SDM嚮导模式选项 409
11.5 使用WAN嚮导配置WAN 410
11.5.1 建立新WAN连线 410
11.5.2 运行串口嚮导 411
11.5.3 配置封装和IP位址 411
11.5.4 配置LMI和DLCI 411
11.5.5 配置高级选项 412
11.5.6 完成WAN接口配置 412
11.5.7 查看和编辑已有的WAN连线 412
11.5.8 使用高级模式验证接口状态 413
11.6 使用SDM配置防火墙 413
11.6.1 建立基本防火墙 414
11.6.2 建立高级防火墙 415
11.7 使用SDM配置VPN 418
11.7.1 使用预共享密钥建立站到站的VPN 419
11.7.2 查看或改变VPN设定 420
11.8 使用SDM执行安全审查 420
11.8.1 执行安全审查 420
11.8.2 一步加固 422
11.9 使用出厂复位嚮导 424
11.10 使用SDM高级模式 424
11.10.1 高级模式——概要 424
11.10.2 高级模式——接口和连线 426
11.10.3 高级模式——规则 427
11.10.4 高级模式——路由选择 427
11.10.5 高级模式——NAT 428
11.10.6 高级模式——系统属性 429
11.10.7 高级模式——VPN 431
11.11 理解监控模式 431
11.12 本章小结 432
11.13 Cisco IOS命令回顾 432
11.14 本章複习题 432
11.15 案例研究 433
11.15.1 场景 434
11.15.2 解决方案 434
第12章 管理企业VPN路由器 437
12.1 路由器MC 1.2.1简介 437
12.1.1 理解路由器MC概念 438
12.1.2 路由器MC组件 439
12.1.3 路由器MC 1.2.1支持的设备 440
12.1.4 路由器MC通信 440
12.1.5 支持的隧道技术 441
12.2 安装路由器MC 441
12.2.1 安装需求 441
12.2.2 客户端访问需求 442
12.2.3 安装过程 443
12.2.4 配置路由器支持SSH 443
12.3 使用路由器MC 443
12.3.1 CiscoWorks登录 444
12.3.2 CiscoWorks用户授权角色 444
12.3.3 在CiscoWorks中添加用户 446
12.3.4 启动路由器MC 446
12.3.5 使用路由器MC主视窗 447
12.3.6 使用路由器MC界面 447
12.3.7 使用设备标籤 448
12.3.8 使用配置标籤 449
12.3.9 使用部署标籤 450
12.3.10 使用报告标籤 450
12.3.11 使用管理标籤 450
12.4 建立工作流程和活动 451
12.4.1 工作流程任务 451
12.4.2 任务1:建立活动 452
12.4.3 任务2:建立设备组 454
12.4.4 任务3:导入设备 455
12.4.5 任务4:定义VPN设定 459
12.4.6 任务5:定义VPN策略 464
12.4.7 任务6:批准活动 471
12.4.8 任务7:建立和部署作业 471
12.5 配置基本的Cisco IOS防火墙设定 474
12.5.1 分片规则 475
12.5.2 逾时值和性能 475
12.5.3 半打开连线限制 476
12.5.4 日誌 476
12.5.5 ACL範围 477
12.6 建立访问规则 477
12.7 使用建构块 478
12.7.1 网路组 478
12.7.2 变换集 479
12.7.3 服务组 479
12.8 网路地址转换规则 480
12.8.1 地址池 480
12.8.2 流量过滤 480
12.9 管理配置 481
12.9.1 上传 481
12.9.2 查看配置 482
12.9.3 路由器MC部署选项 483
12.10 管理 485
12.10.1 部署报告 485
12.10.2 活动报告 486
12.10.3 审计跟蹤报告 486
12.10.4 管理 486
12.11 本章小结 487
12.12 本章複习题 487
12.13 案例研究 487
12.13.1 场景 488
12.13.2 解决方案 488
第13章 案例研究 491
13.1 简介 491
13.2 需求 491
13.3 解决方案 494
13.3.1 开始路由器配置 494
13.3.2 解决方案的配置步骤 495
13.3.3 结束路由器配置 500
附录A 各章複习题答案 505
第1章 505
第2章 506
第3章 507
第4章 508
第5章 510
第6章 511
第7章 512
第8章 513
第9章 514
第10章 515
第11章 516
第12章 518
附录B 网路安全策略实例 521
B.1 授权和範围的说明 521
B.1.1 适用对象 521
B.1.2 网路安全策略的範围 522
B.1.3 网路安全策略负责人 522
B.1.4 系统管理员责任 522
B.1.5 网路安全策略维护流程 523
B.1.6 实施过程 523
B.1.7 用户培训 523
B.2 漏洞审计策略 523
B.2.1 可接受的使用 523
B.2.2 频率 523
B.2.3 审计目标 523
B.2.4 报告 524
B.3 网路使用策略 524
B.3.1 可接收的网路使用 524
B.3.2 不可接收的网路使用 524
B.3.3 服从要求 524
B.4 身份鉴别和认证策略 524
B.4.1 可接受的使用 525
B.4.2 密码管理 525
B.4.3 认证管理 525
B.5 Internet访问策略 525
B.5.1 可接受的使用 525
B.5.2 防火墙使用 525
B.5.3 公共服务使用 525
B.6 园区访问策略 526
B.6.1 可接受的使用 526
B.6.2 信任关係 526
B.6.3 网路设备安全 526
B.7 远程访问策略 526
B.7.1 可以接受的使用 527
B.7.2 移动计算 527
B.7.3 从家中访问 527
B.7.4 远距离工作协定 527
B.7.5 分支机构访问 527
B.7.6 商务合作者(外联网)访问 527
B.7.7 加密 527
B.8 事件处理策略 528
B.8.1 入侵检测需求 528
B.8.2 事件回响过程 528
B.8.3 联络点 529
附录C 配置标準和扩展访问列表 531
C.1 IP编址和通用访问列表概念 532
C.1.1 IP位址 532
C.1.2 通配符掩码 535
C.1.3 一般访问列表配置任务 536
C.1.4 访问列表配置原则 536
C.2 配置标準IP访问列表 537
C.2.1 标準IP访问列表处理 537
C.2.2 标準IP访问列表命令 538
C.2.3 标準访问列表的定位 539
C.2.4 标準IP访问列表中的一般错误 540
C.2.5 标準IP访问列表举例 541
C.3 配置扩展IP访问列表 541
C.3.1 扩展IP访问列表处理 542
C.3.2 扩展IP访问列表命令 543
C.3.3 ICMP命令语法 544
C.3.4 TCP语法 546
C.3.5 UDP语法 547
C.3.6 扩展IP访问列表的定位 548
C.3.7 扩展IP访问列表举例1 548
C.3.8 扩展IP访问列表举例2 549
C.4 验证访问列表配置 549
C.5 命名的IP访问列表 550
C.6 总结 552
C.7 参考文献 552
C.7.1 配置IP访问列表 552
C.7.2 IP协定和编址信息 553
术语表 555
