网络安全技术与解决方案
当前位置:首页 > 计算机网络 > 信息安全 > 网络安全技术与解决方案
出版社:人民邮电
出版日期:2010-1
ISBN:9787115217349
作者:[美] Yusuf Bhaiji
页数:582页
作者简介
《网络安全技术与解决方案(修订版)》包含了Cisco网络安全解决方案中最为常见的产品、技术,以及它们的配置方法和部署方针。在产品方面,《网络安全技术与解决方案(修订版)》从硬件的PIX、ASA、FWSM模块、NAC设备、IDS、IPS、各类入侵检测模块、Cisco流量异常检测器、CS-MARS等,到软件的Cisco Secure ACS CSA、SDM和集成在各设备中的系统等,无所不包。
在技术方面,《网络安全技术与解决方案(修订版)》全面涵盖了Cisco网络中的各类安全技术,包括Cisco路由器、交换机上的多种攻击防御特性、CBAC、ZFW、各类WLAN安全技术、各类加密技术、VPN技术、IOS IPS技术等,无所不含。仅ACL技术一项,《网络安全技术与解决方案(修订版)》就分成了10余个种类并分别加以阐述。
在解决方案方面,《网络安全技术与解决方案(修订版)》以Cisco各类产品及其所支持的技术为纲,讲术了它们在不同环境、不同场合、不同媒介中的应用方法。
《网络安全技术与解决方案(修订版)》的任何一部分都始于理论,终于实践:开篇阐明某种攻击的技术要略,而后引入具体的应对设备、技术,以及部署和配置方法,作为相应的解决方案,纲举目张,博而不乱。
《网络安全技术与解决方案(修订版)》适用于网络工程师、网络安全工程师、网络管理维护人员,及其他网络安全技术相关领域的从业人员,可在他们设计、实施网络安全解决方案时作为技术指导和参考资料。尤其推荐那些正在备考安全方向CCIE的考生阅读《网络安全技术与解决方案(修订版)》,相信《网络安全技术与解决方案(修订版)》一定能够帮助他们更好地理解与考试相关的知识点,并为他们顺利通过考试铺平道路。
书籍目录
第1部分 边界安全
第1章 网络安全概述
3
1.1 网络安全的基本问题
3
1.2 安全范例的变化
5
1.3 安全准则——CIA模型
5
1.3.1 机密性
5
1.3.2 完整性
6
1.3.3 可用性
6
1.4 策略、标准、流程、基线、部署准则
6
1.4.1 安全策略
6
1.4.2 标准
7
1.4.3 流程
8
1.4.4 基线
8
1.4.5 部署准则
8
1.5 安全模型
9
1.6 边界安全
9
1.6.1 边界安全正在消失吗?
9
1.6.2 定义边界的复杂性
10
1.6.3 可靠的边界安全解决方案
10
1.7 各层的安全
10
1.7.1 多层边界解决方案
10
1.7.2 多米诺效应
11
1.8 安全轮型图
12
1.9 总结
13
1.10 参考
13
第2章 访问控制
15
2.1 使用ACL进行流量过滤
15
2.1.1 ACL概述
15
2.1.2 ACL的应用
15
2.1.3 何时配置ACL
16
2.2 IP地址概述
17
2.2.1 IP地址分类
17
2.2.2 理解IP地址分类
17
2.2.3 私有IP地址(RFC 1918)
19
2.3 子网掩码与反掩码概述
20
2.3.1 子网掩码
20
2.3.2 反掩码
20
2.4 ACL配置
21
2.4.1 创建一个ACL
21
2.4.2 为每个ACL设置唯一的列表名或数字
21
2.4.3 把ACL应用到接口上
22
2.4.4 ACL的方向
23
2.5 理解ACL的处理过程
23
2.5.1 入站ACL
23
2.5.2 出站ACL
24
2.5.3 各类数据包的包过滤原则
25
2.5.4 实施ACL的准则
26
2.6 访问控制列表类型
26
2.6.1 标准ACL
27
2.6.2 扩展ACL
27
2.6.3 命名的IP ACL
28
2.6.4 锁和密钥(动态ACL)
29
2.6.5 自反ACL
30
2.6.6 Established ACL
31
2.6.7 使用时间范围(Time Range)的时间ACL
32
2.6.8 分布式时间ACL
33
2.6.9 配置分布式时间ACL
33
2.6.10 Turbo ACL
33
2.6.11 限速ACL(rACL)
34
2.6.12 设备保护ACL(iACL)
34
2.6.13 过境ACL
34
2.6.14 分类ACL
35
2.6.15 用ACL进行流量调试
36
2.7 总结
36
2.8 参考
36
第3章 设备安全
39
3.1 设备安全策略
39
3.2 设备加固
40
3.2.1 物理安全
40
3.2.2 密码
41
3.2.3 用户账户
45
3.2.4 特权级别
45
3.2.5 设备保护ACL(Infrastructure ACL)
46
3.2.6 交换访问方法
46
3.2.7 Banner消息
48
3.2.8 Cisco IOS快速复原配置(Resilient Configuration)
50
3.2.9 Cisco发现协议(CDP)
50
3.2.10 TCP/UDP低端口服务(Small-Servers)
51
3.2.11 Finger
51
3.2.12 Identd(auth)协议(Identification Protocol)
51
3.2.13 DHCP与BOOTP服务
52
3.2.14 简单文件传输(TFTP)协议
52
3.2.15 文件传输(FTP)协议
52
3.2.16 自动加载设备配置
52
3.2.17 PAD
52
3.2.18 IP源路由
53
3.2.19 代理ARP
53
3.2.20 无故ARP(Gratuitous ARP)
53
3.2.21 IP定向广播
54
3.2.22 IP掩码应答
(IP Mask Reply)
54
3.2.23 IP重定向
54
3.2.24 ICMP不可达
54
3.2.25 HTTP
55
3.2.26 网络时间协议(NTP)
55
3.2.27 简单网络管理协议(SNMP)
56
3.2.28 Auto-Secure特性
56
3.3 保护安全设备的管理访问
56
3.3.1 PIX 500与ASA 5500系列安全设备—设备访问安全
57
3.3.2 IPS 4200系列传感器(前身为IDS 4200)
58
3.4 设备安全的自查列表
60
3.5 总结
60
3.6 参考
60
第4章 交换机安全特性
63
4.1 保护二层网络
63
4.2 端口级流量控制
64
4.2.1 风暴控制(Storm Control)
64
4.2.2 端口隔离(Protected Port/PVLAN Edge)
64
4.3 私有VLAN(PVLAN)
65
4.3.1 配置PVLAN
68
4.3.2 端口阻塞(Port Blocking)
69
4.3.3 端口安全(Port Security)
69
4.4 交换机访问列表
71
4.4.1 路由器ACL
71
4.4.2 端口ACL
71
4.4.3 VLAN ACL(VACL)
72
4.4.4 MAC ACL
74
4.5 生成树协议特性
74
4.5.1 桥协议数据单元防护(BPDU Guard)
74
4.5.2 根防护(Root Guard)
75
4.5.3 Etherchannel防护(Etherchannel Guard)
75
4.5.4 环路防护(Loop Guard)
76
4.6 动态主机配置协议(DHCP)Snooping
76
4.7 IP源地址防护(IP Source Guard)
78
4.8 DAI(动态ARP监控)
78
4.8.1 DHCP环境中的DAI
80
4.8.2 非DHCP环境中的DAI
80
4.8.3 为入站ARP数据包限速
81
4.8.4 ARP确认检查(ARP Validation Checks)
81
4.9 高端Catalyst交换机上的高级安全特性
81
4.10 控制面监管(CoPP)特性
82
4.11 CPU限速器
83
4.12 二层安全的最佳推荐做法
83
4.13 总结
84
4.14 参考
84
第5章 Cisco IOS防火墙
87
5.1 路由器防火墙之解决方案
87
5.2 基于上下文的访问控制(CBAC)
89
5.3 CBAC功能
89
5.3.1 流量过滤
89
5.3.2 流量监控
90
5.3.3 告警与审计跟踪
90
5.4 CBAC工作原理
91
5.4.1 数据包监控
91
5.4.2 超时时间与门限值
91
5.4.3 会话状态表
91
5.4.4 UDP连接
92
5.4.5 动态ACL条目
92
5.4.6 初始(半开)会话
92
5.4.7 为主机进行DoS防护
93
5.5 CBAC支持的协议
93
5.6 配置CBAC
94
5.6.1 第一步:选择一个接口:内部接口或者外部接口
94
5.6.2 第二步:配置IP访问列表
95
5.6.3 第三步:定义监控规则
95
5.6.4 第四步:配置全局的超时时间和门限值
95
5.6.5 第五步:把访问控制列表和监控规则应用到接口下
96
5.6.6 第六步:验证和监测CBAC配置
97
5.6.7 综合应用范例
97
5.7 IOS防火墙增强特性
97
5.7.1 HTTP监控功能
98
5.7.2 电子邮件监控功能
98
5.7.3 防火墙ACL旁路
99
5.7.4 透明IOS防火墙(二层防火墙)
99
5.7.5 虚拟分片重组(VFR)
100
5.7.6 VRF感知型(VRF-Aware)IOS防火墙
100
5.7.7 监控路由器生成的流量
101
5.8 基于区域的策略防火墙(ZFW)
101
5.8.1 基于区域的策略概述
101
5.8.2 安全区域
102
5.8.3 配置基于区域的策略防火墙
103
5.8.4 使用CPL配置ZFW
103
5.8.5 应用程序检查与控制(AIC)
104
5.9 总结
105
5.10 参考
105
第6章 Cisco防火墙:设备与模块
107
6.1 防火墙概述
107
6.2 硬件防火墙与软件防火墙的对比
108
6.3 Cisco PIX 500系列安全设备
108
6.4 Cisco ASA 5500系列自适应安全设备
109
6.5 Cisco防火墙服务模块(FWSM)
110
6.6 PIX 500和ASA 550系列防火墙设备操作系统
111
6.7 防火墙设备OS软件
112
6.8 防火墙模式
112
6.8.1 路由模式防火墙
112
6.8.2 透明模式防火墙(隐藏防火墙)
113
6.9 状态化监控
114
6.10 应用层协议监控
115
6.11 自适应安全算法的操作
116
6.12 安全虚拟防火墙
117
6.12.1 多虚拟防火墙——路由模式(及共享资源)
118
6.12.2 多虚拟防火墙——透明模式
118
6.12.3 配置安全虚拟防火墙
120
6.13 安全级别
121
6.14 冗余接口
122
6.15 IP路由
123
6.15.1 静态及默认路由
123
6.15.2 最短路径优先(OSPF)
125
6.15.3 路由信息协议(RIP)
128
6.15.4 增强型内部网关路由协议(EIGRP)
129
6.16 网络地址转换(NAT)
130
6.16.1 NAT控制
(NAT Control)
130
6.16.2 NAT的类型
132
6.16.3 在启用NAT的情况下绕过NAT转换
137
6.16.4 策略NAT
139
6.16.5 NAT的处理顺序
140
6.17 控制流量与网络访问
141
6.17.1 ACL概述及其在安全设备上的应用
141
6.17.2 使用访问列表控制通过安全设备的出入站流量
141
6.17.3 用对象组简化访问列表
143
6.18 组件策略框架(MPF,Modular Policy Framework)
144
6.19 Cisco AnyConnect VPN客户端
146
6.20 冗余备份与负载分担
147
6.20.1 故障切换需求
147
6.20.2 故障切换链路
148
6.20.3 状态链路(State Link)
148
6.20.4 故障切换的实施
149
6.20.5 非对称路由支持(ASR)
151
6.21 防火墙服务模块(FWSM)的防火墙“模块化”系统
151
6.22 防火墙模块OS系统
151
6.23 穿越防火墙模块的网络流量
152
6.24 路由器/MSFC的部署
152
6.24.1 单模防火墙
153
6.24.2 多模防火墙
153
6.25 配置FWSM
154
6.26 总结
155
6.27 参考
156
第7章 攻击矢量与缓解技术
159
7.1 网络漏洞、网络威胁与网络渗透
159
7.1.1 攻击的分类
160
7.1.2 攻击矢量
160
7.1.3 黑客家族的构成
161
7.1.4 风险评估
162
7.2 三层缓解技术
163
7.2.1 流量分类
163
7.2.2 IP源地址跟踪器
167
7.2.3 IP欺骗攻击
168
7.2.4 数据包分类与标记方法
171
7.2.5 承诺访问速率(CAR)
171
7.2.6 模块化QoS CLI(MQC)
173
7.2.7 流量管制(Traffic Policing)
174
7.2.8 基于网络的应用识别(NBAR)
175
7.2.9 TCP拦截
177
7.2.10 基于策略的路由(PBR)
179
7.2.11 单播逆向路径转发(uRPF)
180
7.2.12 NetFlow
182
7.3 二层缓解方法
184
7.3.1 CAM表溢出—MAC攻击
185
7.3.2 MAC欺骗攻击
185
7.3.3 ARP欺骗攻击
186
7.3.4 VTP攻击
187
7.3.5 VLAN跳转攻击
188
7.3.6 PVLAN攻击
190
7.3.7 生成树攻击
192
7.3.8 DHCP欺骗与耗竭(Starvation)攻击
193
7.3.9 802.1x攻击
193
7.4 安全事故响应架构
195
7.4.1 什么是安全事故
195
7.4.2 安全事故响应处理
195
7.4.3 事故响应小组(IRT)
195
7.4.4 安全事故响应方法指导
196
7.5 总结
198
7.6 参考
199
第2部分 身份安全和访问管理
第8章 保护管理访问
203
8.1 AAA安全服务
203
8.1.1 AAA范例
204
8.1.2 AAA之间的依赖关系
205
8.2 认证协议
205
8.2.1 RADIUS(远程认证拨入用户服务)
205
8.2.2 TACACS+(终端访问控制器访问控制系统)
208
8.2.3 RADIUS与TACACS+的对比
211
8.3 实施AAA
211
8.3.1 AAA方法
212
8.3.2 AAA功能服务类型
213
8.4 配置案例
215
8.4.1 使用RADIUS实现PPP认证、授权、审计
215
8.4.2 使用TACACS+服务器实现登录认证、命令授权和审计
216
8.4.3 设置了密码重试次数限制的登录认证
216
8.5 总结
217
8.6 参考
217
第9章 Cisco Secure ACS软件与设备
219
9.1 Windows操作系统下的
Cisco Secure ACS软件
219
9.1.1 AAA服务器:Cisco
Secure ACS
220
9.1.2 遵循的协议
221
9.2 高级ACS功能与特性
222
9.2.1 共享配置文件组件(SPC)
222
9.2.2 可下载的IP ACL
222
9.2.3 网络访问过滤器(NAF)
223
9.2.4 RADIUS授权组件(RAC)
223
9.2.5 Shell命令授权集
223
9.2.6 网络访问限制(NAR)
224
9.2.7 设备访问限制(MAR)
224
9.2.8 网络访问配置文件(NAP)
224
9.2.9 Cisco NAC支持
225
9.3 配置ACS
225
9.4 Cisco Secure ACS设备
234
9.5 总结
234
9.6 参考
235
第10章 多重认证
237
10.1 身份识别和认证(Identification and Authentication)
237
10.2 双重认证系统
238
10.2.1 一次性密码(OTP)
238
10.2.2 S/KEY
239
10.2.3 用OTP解决方案抵抗重放攻击(Replay Attack)
239
10.2.4 双重认证系统的属性
239
10.3 Cisco Secure ACS支持的双重认证系统
240
10.3.1 Cisco Secure ACS是如何工作的
241
10.3.2 在Cisco Secure ACS上配置启用了RADIUS的令牌服务器
242
10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服务器
245
10.4 总结
245
10.5 参考
246
第11章 第2层访问控制
249
11.1 信任与身份识别管理解决方案
250
11.2 基于身份的网络服务(IBNS)
251
11.2.1 Cisco Secure ACS
252
11.2.2 外部数据库支持
252
11.3 IEEE 802.1x
252
11.3.1 IEEE802.1x组件
253
11.3.2 端口状态:授权与未授权
254
11.3.3 EAP认证方式
255
11.4 部署802.1x解决方案
256
11.4.1 无线LAN(点到点)
256
11.4.2 无线LAN(多点)
256
11.5 部署802.1x基于端口的认证
258
11.5.1 在运行Cisco IOS的Cisco Catalyst交换机上
配置802.1x和RADIUS
258
11.5.2 在运行Cisco IOS的Cisco Aironet无线LAN接入点上
配置802.1x和RADIUS
262
11.5.3 在Windows XP客户端配置遵循IEEE 802.1x的
用户接入设备
263
11.6 总结
263
11.7 参考
264
第12章 无线局域网(WLAN)安全
267
12.1 无线LAN(LAN)
267
12.1.1 无线电波
267
12.1.2 IEEE协议标准
268
12.1.3 通信方式——无线频率(RF)..
268
12.1.4 WLAN的组成
269
12.2 WLAN安全
270
12.2.1 服务集标识(SSID)
270
12.2.2 MAC认证
271
12.2.3 客户端认证
271
12.2.4 静态WEP(有线等效保密)
272
12.2.5 WPA、WPA2和802.11i(WEP的增强)
272
12.2.6 IEEE 802.1x和EAP
273
12.2.7 WLAN NAC
281
12.2.8 WLAN IPS
281
12.2.9 VPN IPsec
282
12.3 缓解WLAN攻击
282
12.4 Cisco统一无线网络解决方案
282
12.5 总结
284
12.6 参考
284
第13章 网络准入控制(NAC)
287
13.1 建立自防御网络(SDN)
287
13.2 网络准入控制(NAC)
288
13.2.1 为何使用NAC
288
13.2.2 Cisco NAC
289
13.2.3 对比NAC产品和NAC框架
290
13.3 Cisco NAC产品解决方案
291
13.3.1 Cisco NAC产品解决方案机制
291
13.3.2 NAC产品组件
291
13.3.3 NAC产品部署方案
292
13.4 Cisco NAC框架解决方案
294
13.4.1 Cisco NAC框架解决方案机制
294
13.4.2 NAC框架组件
296
13.4.3 NAC框架部署环境
300
13.4.4 NAC框架的执行方法
300
13.4.5 实施NAC-L3-IP
301
13.4.6 实施NAC-L2-IP
303
13.4.7 部署NAC-L2-802.1x
306
13.5 总结
308
13.6 参考
309
第3部分 数据保密
第14章 密码学
313
14.1 安全通信
313
14.1.1 加密系统
313
14.1.2 密码学概述
314
14.1.3 加密术语
314
14.1.4 加密算法
315
14.2 虚拟专用网(VPN)
322
14.3 总结
323
14.4 参考
323
第15章 IPsec VPN
325
15.1 虚拟专用网络(VPN)
325
15.1.1 VPN技术类型
325
15.1.2 VPN部署方案类型
326
15.2 IPsec VPN(安全VPN)
327
15.2.1 IPsec RFC
327
15.2.2 IPsec模式
330
15.2.3 IPsec协议头
331
15.2.4 IPsec反重放保护
333
15.2.5 ISAKMP和IKE
333
15.2.6 ISAKMP Profile
337
15.2.7 IPsec Profile
338
15.2.8 IPsec虚拟隧道接口(IPsec VTI)
339
15.3 公钥基础结构(PKI)
340
15.3.1 PKI组件
341
15.3.2 证书登记
341
15.4 部署IPsec VPN
343
15.4.1 Cisco IPsec VPN部署环境
343
15.4.2 站点到站点IPsec VPN
345
15.4.3 远程访问IPsec VPN
348
15.5 总结
355
15.6 参考
356
第16章 动态多点VPN(DMVPN)
359
16.1 DMVPN解决方案技术架构
359
16.1.1 DMVPN网络设计
360
16.1.2 DMVPN解决方案组件
362
16.1.3 DMVPN如何工作
362
16.1.4 DMVPN数据结构
363
16.2 DMVPN部署环境拓扑
364
16.3 实施DMVPN中心到节点的设计方案
364
16.3.1 实施单hub单DMVPN(SHSD)拓扑
365
16.3.2 实施双hub双DMVPN(DHDD)拓扑
370
16.3.3 实施服务器负载均衡(SLB)拓扑
371
16.4 实施DMVPN动态网状节点到节点的设计方案
372
16.4.1 实施双hub单DMVPN(DHSD)拓扑
373
16.4.2 实施多hub单DMVPN(MHSD)拓扑
381
16.4.3 实施分层(基于树的)拓扑
382
16.5 总结
382
16.6 参考
383
第17章 群组加密传输VPN(GET VPN)
385
17.1 GET VPN解决方案技术构架
385
17.1.1 GET VPN特性
386
17.1.2 为何选择GET VPN
387
17.1.3 GET VPN和DMVPN
389
17.1.4 GET VPN部署需要考虑的因素
388
17.1.5 GET VPN解决方案组件
388
17.1.6 GET VPN的工作方式
389
17.1.7 保留IP包头
391
17.1.8 组成员ACL
391
17.2 实施Cisco IOS GET VPN
392
17.3 总结
396
17.4 参考
397
第18章 安全套接字层VPN(SSL VPN)
309
18.1 安全套接字层(SSL)协议
309
18.2 SSL VPN解决方案技术架构
400
18.2.1 SSL VPN概述
400
18.2.2 SSL VPN特性
401
18.2.3 部署SSL VPN需要考虑的因素
401
18.2.4 SSL VPN访问方式
402
18.2.5 SSL VPN Citrix支持
403
18.3 部署Cisco IOS SSL VPN
404
18.4 Cisco AnyConnect VPN Client
405
18.5 总结
406
18.6 参考
406
第19章 多协议标签交换VPN(MPLS VPN)
409
19.1 多协议标签交换(MPLS)
409
19.1.1 MPLS技术架构概述
410
19.1.2 MPLS如何工作
411
19.1.3 MPLS VPN和IPsec VPN
411
19.1.4 部署场景
412
19.1.5 面向连接和无连接的VPN技术
413
19.2 MPLS VPN(可信VPN)
414
19.3 L3 VPN和L2 VPN的对比
414
19.4 L3VPN
415
19.4.1 L3VPN组件
415
19.4.2 L3VPN如何实施
416
19.4.3 VRF如何工作
416
19.5 实施L3VPN
416
19.6 L2VPN
422
19.7 实施L2VPN
424
19.7.1 在MPLS服务上部署以太网VLAN——使用
基于VPWS的技术架构
424
19.7.2 在MPLS服务上部署以太网VLAN——使用
基于VPLS的技术架构
424
19.8 总结
425
19.9 参考
426
第4部分 安全监控
第20章 网络入侵防御
431
20.1 入侵系统术语
431
20.2 网络入侵防御概述
432
20.3 Cisco IPS 4200系列传感器
432
20.4 Cisco IDS服务模块(IDSM-2)
434
20.5 Cisco高级检测和防御安全服务模块(AIP-SSM)
435
20.6 Cisco IPS高级集成模块(IPS-AIM)
436
20.7 Cisco IOS IPS
437
20.8 部署IPS
437
20.9 Cisco IPS传感器OS软件
438
20.10 Cisco IPS传感器软件
440
20.10.1 传感器软件—系统架构
440
20.10.2 传感器软件—通信协议
441
20.10.3 传感器软件—用户角色
442
20.10.4 传感器软件—分区
442
20.10.5 传感器软件—特征和特征引擎
442
20.10.6 传感器软件—IPS事件
444
20.10.7 传感器软件—IPS事件响应
445
20.10.8 传感器软件—IPS风险评估(RR)
446
20.10.9 传感器软件—IPS威胁评估
447
20.10.10 传感器软件—IPS接口
447
20.10.11 传感器软件—IPS接口模式
449
20.10.12 传感器软件—IPS阻塞(block/shun)
452
20.10.13 传感器软件—IPS速率限制
453
20.10.14 传感器软件—IPS虚拟化
453
20.10.15 传感器软件—IPS安全策略
454
20.10.16 传感器软件—IPS异常检测(AD)
454
20.11 IPS高可用性
455
20.11.1 IPS失效开放机制
456
20.11.2 故障切换机制
456
20.11.3 失效开放和故障切换的部署
457
20.11.4 负载均衡技术
457
20.12 IPS设备部署准则
457
20.13 Cisco入侵防御系统设备管理器(IDM)
457
20.14 配置IPS在线VLAN对模式
458
20.15 配置IPS在线接口对模式
460
20.16 配置自定义特征和IPS阻塞
464
20.17 总结
465
20.18 参考
466
第21章 主机入侵防御
469
21.1 使用无特征机制保障终端安全
469
21.2 Cisco安全代理(CSA)
470
21.3 CSA技术架构
471
21.3.1 CSA拦截和关联
472
21.3.2 CSA关联的全局扩展
473
21.3.3 CSA访问控制过程
473
21.3.4 CSA深层防御——零时差保护
474
21.4 CSA的能力和安全功能角色
474
21.5 CSA组件
475
21.6 使用CSA MC配置和管理CSA部署
476
21.6.1 管理CSA主机
476
21.6.2 管理CSA代理工具包
479
21.6.3 管理CSA组
481
21.6.4 CSA代理用户界面
482
21.6.5 CSA策略、规则模块和规则
484
21.7 总结
485
21.8 参考
486
第22章 异常检测与缓解
489
22.1 攻击概述
489
22.1.1 拒绝服务(DoS)攻击定义
489
22.1.2 分布式拒绝服务(DDoS)攻击定义
490
22.2 异常检测和缓解系统
491
22.3 Cisco DDoS异常检测和缓解解决方案
492
22.4 Cisco流量异常检测器(Cisco Traffic Anomaly Detecor)
493
22.5 Cisco Guard DDoS缓解设备
495
22.6 整体运行
497
22.7 配置和管理Cisco流量异常检测器
499
22.7.1 管理检测器
500
22.7.2 通过CLI控制台初始化检测器
500
22.7.3 配置检测器(区域、过滤器、策略和学习过程)
501
22.8 配置和管理Cisco Guard缓解设备
504
22.8.1 管理Guard
504
22.8.2 通过CLI控制台初始化Guard
505
22.8.3 配置Guard(区域、过滤器、策略和学习过程)
505
22.9 总结
508
22.10 参考
508
第23章 安全监控和关联
511
23.1 安全信息和事件管理
511
23.2 Cisco安全监控、分析和响应系统(CS-MARS)
512
23.2.1 安全威胁防御(STM)系统
513
23.2.2 拓扑感知和网络映射
514
23.2.3 关键概念——事件、会话、规则和事故
515
23.2.4 CS-MARS中的事件处理
517
23.2.5 CS-MARS中的误报
518
23.3 部署CS-MARS
518
23.3.1 独立控制器和本地控制器(LC)
519
23.3.2 全局控制器(GC)
520
23.3.3 软件版本信息
521
23.3.4 报告和防御设备
522
23.3.5 运行级别
523
23.3.6 必需的流量和需要开放的端口
523
23.3.7 基于Web的管理界面
525
23.3.8 初始化CS-MARS
526
23.4 总结
527
23.5 参考
528
第5部分 安全管理
第24章 安全和策略管理
533
24.1 Cisco安全管理解决方案
533
24.2 Cisco安全管理器
534
24.2.1 Cisco安全管理器—特性和能力
534
24.2.2 Cisco安全管理器—防火墙管理
536
24.2.3 Cisco安全管理器—VPN管理
536
24.2.4 Cisco安全管理器—IPS管理
537
24.2.5 Cisco安全管理器—平台管理
538
24.2.6 Cisco安全管理器—系统架构
538
24.2.7 Cisco安全管理器—配置视图
539
24.2.8 Cisco安全管理器—管理设备
541
24.2.9 Cisco安全管理器—工作流模式
541
24.2.10 Cisco安全管理器—基于角色的访问控制(RBAC)
542
24.2.11 Cisco安全管理器—交叉启动xDM
543
24.2.12 Cisco安全管理器—支持的设备和OS版本
545
24.2.13 Cisco安全管理器—服务器和客户端的要求与限制
546
24.2.14 Cisco安全管理器—必需的流量和需要开放的端口
547
24.3 Cisco路由器和安全设备管理器(SDM)
549
24.3.1 Cisco SDM—特性和能力
549
24.3.2 Cisco SDM—如何工作
550
24.3.3 Cisco SDM—路由器安全审计特性
552
24.3.4 Cisco SDM—一步锁定特性
552
24.3.5 Cisco SDM—监测模式
553
24.3.6 Cisco SDM—支持的路由器和IOS版本
554
24.3.7 Cisco SDM—系统要求
555
24.4 Cisco自适应安全设备管理器(ASDM)
556
24.4.1 Cisco ASDM—特性和能力
556
24.4.2 Cisco ASDM—如何工作
556
24.4.3 Cisco ASDM—数据包追踪器程序
559
24.4.4 Cisco ASDM—系统日志到访问规则的关联
559
24.4.5 Cisco ASDM—支持的防火墙和软件版本
560
24.4.6 Cisco ASDM——用户要求
560
24.5 Cisco PIX设备管理器(PDM)
560
24.6 Cisco IPS设备管理器(IDM)
561
24.6.1 Cisco IDM—如何工作
562
24.6.2 Cisco IDM—系统要求
562
24.7 总结
563
24.8 参考
563
第25章 安全框架与法规遵从性
567
25.1 安全模型
567
25.2 策略、标准、部署准则和流程
568
25.2.1 安全策略
569
25.2.2 标准
569
25.2.3 部署准则
569
25.2.4 流程
569
25.3 最佳做法框架
570
25.3.1 ISO/IEC 17799(现为ISO/IEC 27002)
570
25.3.2 COBIT
571
25.3.3 17799/27002和COBIT的对比
571
25.4 遵从性和风险管理
572
25.5 法规遵从性和立法行为
572
25.6 GLBA——格雷姆-里奇-比利雷法
572
25.6.1 对谁有效
573
25.6.2 GLBA的要求
573
25.6.3 违规处罚
574
25.6.4 满足GLBA的Cisco解决方案
574
25.6.5 GLBA总结
574
25.7 HIPAA——健康保险可携性与责任法案
575
25.7.1 对谁有效
575
25.7.2 HIPAA的要求
575
25.7.3 违规处罚
575
25.7.4 满足HIPAA的Cisco解决方案
576
25.7.5 HIPAA总结
576
25.8 SOX——萨班斯-奥克斯利法案
576
25.8.1 对谁有效
577
25.8.2 SOX法案的要求
577
25.8.3 违规处罚
578
25.8.4 满足SOX的Cisco解决方案
579
25.8.5 SOX总结
579
25.9 法规遵从性规章制度的全球性展望
579
25.9.1 在美国
580
25.9.2 在欧洲
580
25.9.3 在亚太地区
580
25.10 Cisco自防御网络解决方案
581
25.11 总结
581
25.12 参考
581
编辑推荐
《网络安全技术与解决方案(修订版)》涵盖了众多当今最尖端的安全产品与技术,适合网络技术领域的专业人士参考学习。它会帮助读者深入理解和实施这些尖端的网络安全技术,以确保穿越网络设备的通信是安全的。《网络安全技术与解决方案(修订版)》中所介绍的方法简便易行,它就像是一座安全知识的宝库,不仅能够协助读者实施端到端的安全解决方案,还会为他们提供一个涵盖了所有Cisco网络安全方案的知识之源。《网络安全技术与解决方案(修订版)》分为5个部分,分别对应Cisco安全技术与解决方案的5个方面:边界安全、身份安全与访问管理、数据隐私、安全监测、安全管理。将这些技术和解决方案结合起来使用。便可以为客户安全策略之间、用户或主机身份之间,以及网络设备之间的动态链路提供保护。读者不仅可以通过阅读《网络安全技术与解决方案(修订版)》来加深对于各类解决方案的理解,还能够掌握如何在当前的异构网络环境中.搭建起一个业务功能强大、数据传输安全的网络。对于那些正在研究各类新老安全策略的读者,这本全面、详实的技术书籍可以为他们打开通往知识宝库的大门;对于那些准备参加CCIE安全考试的考生,《网络安全技术与解决方案(修订版)》亦可成为照亮他们考试前途的明灯。通过访问控制列表过滤流量和实施交换机安全特性;配置Cisco IOS路由器防火墙特性和部署ASA与PIX防火墙设备;理解网络攻击技术和应用2层与3层的攻击缓解技术;使用AAA保护管理访问;使用多重认证技术实现访问控制功能;实施基于身份的网络访问控制;应用最新的无线LAN安全解决方案;遵循Cisco NAC执行安全策略;了解密码学的基本概念和实施IPsec VPNs、DMVPN、GET VPN、SSI VPN及MPLS VPN技术;通过网络与主机入侵防御、异常检测、监控与关联技术,实现对网络行为监控及安全事故响应功能;部署安全管理解决方案,如Cisco Security Manager、SDM、ADSM、PDM及IDM;了解各类安全法规。如GLBA、HIPPA和SOX。《网络安全技术与解决方案(修订版)》系Cisco Press出版的Cisco CCIE职业发展系列丛书之一,可为读者提供专家级网络设计、部署和支持方案.以指导网络技术领域的专业人士管理复杂的网络及备战CCIE考试。
前言
在互联网经济蓬勃发展的大背景下,网络系统无疑承担着重大的时代使命,而网络系统必力求稳定,成为了这个时代的人心所向、大势所趋。无论是企业的客户、员工还是供应商,无不由衷期待企业领导和网络管理员有能力为他们打造一个绝对安全的网络环境,使他们能够随时获取网络中的资源,并能随时访问网络中的各类应用和数据。我们所面临的已经不再是单纯的挑战,还必须面对因网络安全一朝遭到破坏,而有可能给我们带来的巨大损失。《网络安全技术与解决方案》这本书全面、翔实地阐述了管理Cisco网络的方法,在它的指导下,网络安全技术人员可以更好地理解和实施当前最高端的安全技术和解决方案。无论是对网络安全专家还是初学者,这本书都是实属难得的宝贵资源。网络安全方面的书籍大都将重点放在了阐述概念和理论上,而《网络安全技术与解决方案》一书即打破了这种常规,它是一本着眼于配置和管理Cisco动态链路的实用型工具书。在占有市场主导地位的Cisco链路环境中,包含了客户的安全策略、用户或主机的身份以及网络设备。而这本书以Cisco安全解决方案的核心要素为纲,介绍了正确配置各类网络安全技术最为实际,应用也最为广泛的指导方法,这些技术涵盖了安全边界、身份安全与访问管理、数据保密,及安全监视和管理等方面,几乎无所不包。YusufBhaiji已在Cisco任职7年,现为CiscoCCIE安全认证的项目经理和Cisco迪拜Lab考场的考官,此前担任悉尼TAC安全与VPN团队的技术负责人。早在Yusuf获得计算机科学硕士学位时,他对安全技术和解决方案就表现出了极高的热情,这种热情现已陪伴他度过了17年的职业生涯。他所获得的大量认证就是他钟爱此类技术的最好体现。Yusuf在网络安全领域拥有丰富的执教阅历,这种经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。
内容概要
Yusuf Bhaiji,CCIE#9305(路由和交换与安全),已在Cisco公司工作了7年,现任Cisco CCIE安全认证的项目经理和Cisco Dubai实验室的CCIE代理人。此前,他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用,这从他最初攻读计算机科学硕士学位时就开始了,他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力,他已经指导了许多成功的考生,还在国际上设计和发表了许多网络安全解决方案。
媒体关注与评论
Yusuf在网络安全领域业已执教多年,丰富的经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。 ——Steve Gordon, Cisco技术服务部副总裁
章节摘录
插图:3.2.2 密码验证用户身份主要依靠用户名和密码的结合。所谓密码就是用来验证用户身份的受保护字符串。Cisco IOS中有如下3种密码保护方案。·明文密码:由于没有加密密码,因此这是最不安全的一种类型。在设备配置文件中,密码以明文的形式存在,可以进行浏览。·7类密码:使用了Cisco私有加密算法对密码进行加密,这种算法比较脆弱。有很多密码破解工具可以对7类加密密码进行破解。可以使用命令enable password、 username和line password来应用7类密码。·5类密码:使用了MD5散列算法(单向散列)加密密码,由于加密过程不可逆,因此一般认为这种算法非常强大。破解5类密码的唯一途径是暴力破解或字典攻击。在任何情况下,设备用户都应尽量采用5类密码而不是7类密码。5类加密通过命令enable secret来实现,它与enable password相比多了一层保障。而且命令enable secret的优先级高于enable password。另外,username secret命令同样使用的是5类密码。3.2.2.1 创建强壮的密码在设备安全中,创建强壮的密码是最为重要的任务之一。有时候,用户会用宠物的名字、自己的姓式、生日或其他类似的字符来创建密码,这些密码往往过于简单,很容易被字典攻击或暴力破解的方式攻破。然而,采用完全随机的数字与符号组合作为密码也不理想,因为这类随机的密码很容易遗忘。为了让自己记住这些密码,用户会把密码写在纸上压在键盘下面,或者把它保存在计算机的文本文件里。但是,这些习惯都与正确的常规安全作法背道而驰。强壮的密码至少要有8~10个字符,并且是一个包含有字母(大小写组合)、数字和特殊符号的字符组合。这里需要重申的是,由字符和符号组成的密码不便于记忆。因此,安全管理员一般更喜欢使用密码短语(pass phrase)的方法创建密码。
图书封面
发布书评
精彩书评 (总计2条)
-
边界安全说是边界安全,实际上是不准确的,因为网络安全符合短板效应,攻击者可能会从底层往上攻击,也可能从网络的任何一个角落发起攻击。所以说安全是个整体是个系统,每个组成网络的组件都要协同防护,才能将风险降到最低。一,访问控制列表在安全的范畴内,访问控制列表一般有两个作用:过滤出入站的流量,匹配某些特殊流量以备查看。一个入站的例子:ip access-list extended EXTERNAL_SECURITY_ACLpermit ip 0.0.0.0 0.255.255.255 anypermit ip 127.0.0.0 0.255.255.255 anypermit ip 240.0.0.0 15.255.255.255 anypermit ip host 255.255.255.255 anypermit ip 224.0.0.0 31.255.255.255 anypermit ip 128.0.0.0 0.0.255.255 anypermit ip 191.255.0.0 0.0.255.255 anypermit ip 223.255.255.0 0.0.0.255 any干掉除单播的各种播deny icmp any any echo-replydeny icmp any any unreachabledeny icmp any any echodeny icmp any any time-exceededpermit icmp any any允许icmp的回应,超时 不可达 echo,剩下的icmp全干掉deny udp host 128.105.39.11 any eq ntpdeny udp host 148.167.132.201 any eq ntpdeny udp host 128.101.101.101 any eq ntpdeny udp host 204.34.198.40 any eq ntpdeny udp host 192.43.244.18 any eq ntpdeny udp host 192.5.41.41 any eq ntpdeny udp host 192.5.41.40 any eq ntpdeny udp host 192.5.41.209 any eq ntppermit udp any any eq ntp允许一些良性的ntp,剩下的ntp服务全干掉deny udp any anydeny tcp any anydeny gre any anydeny esp any anypermit ip any any除了传输层端到端的协议和GRE,ESP这两种vpn的安全载荷。。ip层统统干掉!! 干掉!!deny udp any eq domain anydeny udp any any eq domaindeny udp any eq ntp anydeny udp any any eq ntpdeny udp any eq snmp anydeny udp any any eq snmpdeny udp any eq 167 anydeny udp any any eq 167deny udp any eq snmptrap anydeny udp any any eq snmptrapdeny udp any eq isakmp anydeny udp any any eq isakmpdeny udp any eq non500-isakmp anydeny udp any any eq non500-isakmpdeny udp any eq syslog host X.X.X.Xdeny udp any host X.X.X.X eq syslogpermit udp any anyudp的除了域名解析,ntp,snmp,snmptrap,isakmp,167号端口,某个syslog服务器。剩下的统统干掉。。干掉!!class-map match-all EXTERNAL_SECURITY_CLASSmatch access-group name EXTERNAL_SECURITY_ACLpolicy-map SPECTRANET_TRAFFIC_POLICING_MAPclass EXTERNAL_SECURITY_CLASSdrop调用!!!!!!!!!!!!然后再出站的例子:ip access-list extended OUTBOUND_PRIVATE_ACLpermit ip 0.0.0.0 0.255.255.255 anypermit ip 127.0.0.0 0.255.255.255 anypermit ip host 127.0.0.1 anypermit ip 224.0.0.0 15.255.255.255 anypermit ip host 255.255.255.255 anypermit ip 192.168.0.0 0.0.255.255 anypermit ip 10.0.0.0 0.255.255.255 anypermit ip 172.16.0.0 0.15.255.255 anydeny ip any any在ip里干掉各种广播 组播 及私有地址,剩下的允许~class-map match-all OUTBOUND_PRIVATE_CLASSmatch access-group name OUTBOUND_PRIVATE_ACLpolicy-map OUTBOUND_POLICING_MAPclass OUTBOUND_PRIVATE_CLASSdrop再调用到接口·~查看DoS攻击的:access-list 100 permit icmp any any eq echo检查是否有icmp smurf攻击access-list 100 permit tcp any any syn检查是否有任何类型的tcp syn攻击access-list 100 permit tcp any any fragmentaccess-list 100 permit udp any any fragmentaccess-list 100 permit ip any any fragment是否有分片攻击show access-list 100二,设备安全1.设备加固指登入设备需输入密码,有两种登入设备的方式console和telnet:console推荐使用username+service password-encryptiontelnet推荐使用ssh协议和访问列表控制访问2.cdpcdp可能会被黑客或网管软件利用查看cisco设备重要信息:no cdp run3.tcp/udp低端口服务(已过时)默认禁用,未被禁用:no service tcp-small-servers no service udp-small-servers4.finger利用finger可以查看当前用户列表,禁用:no ip finger5.identd利用identd可以让路由器对自己验证,可作为侦查工具。:no ip identd6.dhcp和bootp如果不需要这两个服务,可以no ip bootp server 和 no service dhcp 相当于禁用UDP 67号端口7.tftp默认关闭,手动:no tftp-server flash:[filename]8.自动加载设备配置项会直接从网络中的服务器上自动加载设备配置,配置文件肯能会被未授权的人查看。no service config no boot network9.ip源路由功能ip源路由功能允许主机指定一条路由来穿越网络而不是按照网络设备的路由表来转发。会被黑客利用。no ip source-route 10.代理ARP路由器会通过代理ARP代替其他主机响应入站的ARP请求。no ip proxy-arp 是否该禁用该功能是个很复杂的问题,禁用前需慎重考虑11.无故ARP设备主动提供ARP广播,包含主机ip地址和路由器mac。no ip gratuitous-arp12.icmp不可达no ip unreachables13.ip定向广播no ip dircted-broadcast14.ip 掩码应答对icmp掩码请求的响应 no ip mask-reply15.httpcisco ios 可以通过web页面进行管理,禁用 no ip http server ,亦可利用访问列表限制访问:ip http access-class [acl号] 也可以通过ip http authentication 来通过AAA进行认证三,交换机安全特性1.风暴控制可在全局模式下storm-control [广播|单播|组播]来启用或禁用风暴控制,亦可使用storm-control action [shutdown|trap]来定义发现风暴后的行为2.私有vlan私有vlan需开启杂合端口,在杂合端口下可定义孤立端口和团体端口,杂合端口下的孤立,团体之间不能互访,不同团体之间不能互访(除非跨越三层设备),在同一团体下的vlan可以互访。配置之前要将vtp设置成透明模式。配置:步骤1:建立主私有vlan和辅助私有vlanvlan 10 private-vlan primary 主vlanvlan 20private-vlan community团体vlanvlan 30private-vlan isolated 孤立vlan步骤2:将辅助vlan关联到主vlanvlan10private-vlan association 20,30步骤3:将辅助vlan映射进SVI接口int vlan 10private-vlan mapping add 20,30步骤4:把二层端口配置成辅助端口,然后和主vlan和辅助vlan关联int f0/1sw mo private-vlan host sw private-vlan host-association 10 20int f0/2sw mo private-vlan host sw private-vlan host-association 10 30 步骤5:将二层端口配置成杂合端口,并分别把它和主vlan和辅助vlan关联int f0/10sw mo private-vlan promiscuoussw private-vlan mapping 10 20,303.端口阻塞当交换机找不到对映的mac地址时就会泛洪,但有些端口不希望收到这种泛洪。可以定义接口拒绝接受组播和单播 switchport block multicast switchport block unicast4.端口安全端口安全采用限制未知mac地址的方法保护端口安全,有三种模式静态动态和sticky 静态是端口上手动指定 动态是通过交换机mac获得一次只有效一次,sticky是结合上两种动态获得 并一直有效配置:int f0/1sw mo accsw port-security 开启端口安全功能sw port-security mac-add XXXX.XXXX.XXXX 静态指定macsw port-security mac-add sticky sticky方式如接收到未知mac也可定义处理方式 , 方式有:保护(丢包)限制(丢包并记录)关闭(关闭端口)5.交换机访问控制列表交换机的访问控制列表一般有下面四种:(1)路由器ACL:用在SVI上过滤流量的,跟路由器差不多(2)端口ACL:跟路由器ACL差不多,只不过是用在端口上的(3)vlan ACL(VACL又称vlan map):vacl是用来对流量进行过滤的,它靠硬件来处理的,完 全不会影响网络性能。例:access-list 1 permit 192.168.1.0 0.0.0.255access-list 2 permit any vlan access-map mymap 10match ip add 1action dorpvlan access-map mymap 20match ip add 2action forwardvlan filter mymap vlan-list 5-10(4)macvlan又称以太网vlan,用来过滤某个vlan或物理接口中的非ip流量。mac access-list extended [ ]deny any any aarppermit any any int f0/1mac access-group [ ] in过滤掉了appletalk解析协议6.生成树特性(1)BPDU防护:保护portfast不收到BPDU,全局:spanning-tree portfast bpduguard default ,接口:spanning-tree portfast bpduguard enable(2)根防护:根防护把二层端口设置成指定,一旦接入的设备成为根桥,将阻塞该端口。 spanning-tree guard root(3)etherchannel防护:当etherchannel两端不匹配时,端口将被阻塞。spanning-tree guard misconfig(4)环路防护:是指根端口和替代端口不会变成指定端口:spanning-tree loopguard default7.DHCPsnooping用于隔离非法的dhcp 服务器。可在端口或vlan下使用,用法:int f0/1ip dhcp snooping trustip dhcp snooping limit rate 100ip dhcp snooping vlan 5ip dhcp snoopingip dhcp snooping information option8.ip源地址防护通过dhcp绑定表或手动绑定的ip源地址来对ip流量过滤,要和dhcp snooping共同使用int f0/1ip verify source port-security9.DAI(动态ARP监控)DAI把ip到mac地址绑定映射关系存进DHCP snooping绑定表中,并在转发之前对其核实。int f0/1 ip arp inspection trustexitip arp inspection vlan 5-1010.为入站的ARP限速运行DAI后可以在接口上使用ip arp inspection limit来限速四,IOS防火墙cisco ios 防火墙特性是集成在ios内的状态化监控的防火墙软件,它由以下几个子系统组成:1.CBAC(基于上下文的访问控制)CBAC类似于传统防火墙,可以针对不同的应用层协议来过滤tcp udp数据包,它的原则是放行所有信任区域穿越防火墙去往不信任区域的流量。操纵步骤:(1).配置访问列表和监控规则例:ip access-list 100 permit tcp host [hostname] eq httpip access-list 100 deny ip any anyip inspect name [name] httpip inspect name [name] ftpip inspect name [name] smtpip inspect name [name] tcpip inspect name [name] udp(2).在接口上应用(假设需要监控的是内部接口)int f0/1ip inspect [hostname] in ip access-group 100 out (3).验证show ip inspect [int/all]show ip inspect sessionshow ip access list2.ios防火墙增强特性多非ip流量,http监控功能可以监视此类流量(2)电子邮件监控功能 ip inspect name [name]{smtp/esmtp}(3)防火墙acl旁路,没有应用防火墙acl旁路,要经历三个步骤,入站acl,出站acl,防火墙回话表。运用防火墙acl旁路只需要经过防火墙回话检查,可以提高数据包穿透防火墙的性能(4)透明ios防火墙,可以同时工作在二三层五,cisco 防火墙思科防火墙主要有pix和asa两个系列,pix已经逐步淘汰,主流是asa。硬件防火墙和软件防火墙主要的区别是操作系统不同,硬件防火墙的系统是专门为防火墙功能开发的,所以更加坚固漏洞更少。asa防火墙有两种模式,路由模式和透明模式。路由模式是让防火墙成为一个三层设备,可以实现路由协议和nat。透明模式是类似于交换机的状态,但同时可以提供自适应的防火墙功能,而且透明模式易于隐藏自己,不被发现。asa防火墙自带状态化监控和应用层监控,支持多虚拟防火墙,冗余接口,负载均衡和vpn。asa防火墙的配置这里就不多说了,有兴趣可以参考《Cisco ASA、PIX与FWSM防火墙手册》 -
IPsecVPNipsecvpn是解决站点到站点直接通信的问题,它将地理位置不同的站点连接在一起。这点它类似于专线,但和专线不同的是它走的是Internet。所以碰到最大的问题就是安全问题。1 认证(预共享密钥,数字证书)身份验证2 数据的完整性靠hash(md5或sha)任意长度输入得到固定长度输出修改一点源数据,hash结果就会变(雪崩效应)不可逆,只能做比较 3 机密性靠加密 (des,3des,aes)ipsec模式:ipsec通过以下两种模式在网络中传输数据隧道模式:隧道模式主要用于站点到站点传输模式:传输模式主要用于主机到主机或端到端隧道模式比传输模式多加了一个新ip头部,这个ip头部是公网接口地址,传输模式主要用于私网内部.IKE: -------控制层面------IKE(互联网密钥交换):IKE是个统称,它使用udp500端口,是由isakmp组成.ISAKMP(互联网安全关联和密钥管理协议):isakmp协商用于ESP/AH的SA(安全管理),周期性的生成,刷新,管理key.IKE使用的是UDP的500端口. isakmp只提供认证.阶段1:isakmp saIKE在阶段1中确认对等体的身份,协商SA,设置模式(主模式和积极模式)IKE阶段1主要就是协商SA,SA包括以下几点(1).用来保护阶段1的技术(加密或散列算法). (2).生成密钥的参数(diffie-hellman组). (3).身份认证方法(预共享密钥,公钥加密或数字签名). (4).在阶段2中使用的密钥材料阶段2:ipsec saIKE阶段2保护用户数据并为ipsec建立SAIKE阶段2协商以下参数:(1).保护集(ESP和AH)(2).保护集使用的算法(DES,3DES,AES,SHA)(3).需要被保护的网络或ip流量(叫代理对等体或阶段2对等体)(4).可供协商出的协议选择的密钥材料ipsec头部: -------数据层面------ipsec向所有的ip数据包添加一个新的ipsec包头,这个包头所含的信息可以对原始ip包内的数据形成保护作用。ipsec头部有以下两种类型:ESP(封装安全载荷):ESP是基于ip的协议号为50.既加密又认证AH(认证包头):AH也是基于ip的协议号为51.只认证实施:1.底层能通2.感兴趣流(两边要对称)3.isakmp SA(协商policy,使用预共享密钥通过DH算出SKYID,认证)4.ipsec SA (ESP或AH Tunnel)5.通道建立ISAKMP profileisakmp profile用来在一个设备有一个以上的ipsec对等体中使用,isakmp解决需要多个IEK阶段1参数集对映不同对等体的情况.它使用match identity标识设备,对不同的参数进行匹配.亦应用于easy vpn 和 vrf-aware ipsec的配置上ipsec profileipsec profile是可以不适用命令crypto-map就把阶段2关联到一个隧道接口的方法.没有crypto-map就没有set peer和match address. ios软件会从隧道参数和NHRP(下一跳解析协议)缓存中获得set peer和match address的参数.主要应用于DMVPN(动态多点VPN)和ipsec VTI(虚拟隧道接口)部署环境.下面是一个典型的点到多点ipsecvpn配置crypto keyring key pre-shared-key address 23.1.1.2 key cisco123!crypto isakmp policy 10encr 3deshash md5authentication pre-sharecrypto isakmp profile profilekeyring keymatch identity address 23.1.1.2 255.255.255.255!!crypto ipsec transform-set ipsec esp-3des esp-md5-hmac !crypto map ipsecvpn 10 ipsec-isakmp set peer 23.1.1.2set transform-set ipsec set isakmp-profile profilematch address 101!!!!interface Loopback0ip address 192.168.1.1 255.255.255.0ip nat insideip virtual-reassembly!interface Serial1/0ip address 12.1.1.1 255.255.255.252ip nat outsideip virtual-reassemblyserial restart-delay 0crypto map ipsecvpn!ip route 0.0.0.0 0.0.0.0 12.1.1.2!!ip nat inside source list 100 interface Serial1/0 overload!access-list 100 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255access-list 100 permit ip any anyaccess-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255下面是拨号的EZVPN的做法sername cisco password 0 ciscoaccess-list 100 permit ip 10.2.2.0 0.0.0.255 any /指定感兴趣流ip local pool pool-xxx 10.2.2.10 10.2.2.20 /指定为Client VPN分配的IP地址池crypto isakmp policy 1encr 3des /必须指为3des,因为只支持 3des的hash md5 /此加密策略和转换集中的esp-md5-hmac对应authentication pre-sharegroup 2 / DF同样也得改!crypto isakmp keepalive 20 10 /20为发送DPD的时间间隔,10失效重发时间间隔!crypto isakmp client configuration group xxx /建立一个客户组,client认证使用key cisco /预共享的密钥domain xxx.com.cnpool pool-xxx /使用定义好的地址池给VPN Client分配地址acl 101 /感兴趣的流量crypto ipsec transform-set xxx-trans esp-3des esp-md5-hmac /设置转换集crypto dynamic-map xxxdymap 1 /建立一个动态图set transform-set xxx-trans reverse-route /反向路由注入,可以让从公司内网到client的数据发到对端 crypto map xxxstmap 1 ipsec-isakmp dynamic xxxdymap /把动态加密图映射到静态加密图中crypto map xxxstmap client configuration address respond /配置路由器响应模式配置的请求aaa new-model aaa authentication login ezvpnuser local /启动AAA 登陆认证aaa authorization network ezvpngroup local /启动组认证(此处名称必须和客户组名称一致)crypto map xxxstmap client authentication list ezvpnuser /为静态加密图启动IKE Xauth功能crypto map xxxstmap isakmp authorization list ezvpngroup(此名称必须和客户组名称一致)/启动IKE组策略查询
精彩短评 (总计79条)
-
很具有实战的参考意义 -
看了几章了,感觉这书很不错的。 -
内容不深入,只能大概了解 -
是为了查一些东西准备的。 -
书上内容比较肤浅。 -
还不错,应仔细看看,虽然翻译一般. -
速度也快~ -
以思科安全产品为主线介绍相关方案及应用方法...谢@赵迪_胖 推荐 -
学习网络安全技术需要的书籍 -
和我以前那两本一样,字很清晰,应该是正版,比较满意 -
书看着还行,对我作用很大。 -
看了一些,比较理论化,而且较浅 -
对我自身很有帮助的一本书 -
基础的东西比较少,感觉像植入广告。不过人家出的东西,介绍自己的产品也无可厚非 -
思科的书就是不一样 -
忘记评价了,属很不错。 -
次书质量不错,内容也很不错,是学网络安全的一本好书! -
这书买的很值、书到的很快 -
书的内容涉及的内容相对较广,但有关技术的具体应用写得更为详尽更好!
关键指令缺乏说明,只是将配置文件贴出来了! -
符合购买时的要求, -
这书不好评价。 -
对于学cisco安全的人来说真是宝典啊 -
思科的书,延续了经典,很有思想 -
网络安全技术与解决方案(修订版)写的可以,我喜欢! -
专业书籍,放着需要的时候查看,很好,学无止境啊!!! -
书的内容挺多的,但比较浅,适合了解一些安全知识和一些安全产品 -
不好意思,联系号码写错了 -
书不错。正在看,送货速度很快! -
能帮我补充一些学习进程中未知的知识点 -
走向CCIE安全 -
还不错。之前的没看,但是修订版的质量还可以。 -
还行吧 还没看 -
20号拍的,说24号送到,结果21号发货22号就送到了。神速啊。书的质量非常不错,就只是这本书在装订的时候有点小问题,背面有点不平。我第一次在亚马逊上买书,所以还特意上网查了一下,都说亚马逊的都是正品质量非常好。虽然说有些外文翻译的工具书纸张可能没有想像的好,但都说是出版商的的问题并不是书本身的问题,更不可能是亚马逊的问题。总之,买了三本书质量都还不错,下次还会再来买的。 -
总体来说还算满意,但不是很全面 -
正版, 清楚, 但内容更适合初级者 -
书的质量不错。哈哈内容也还算新 -
适合入门的读者,网络安全是一块很大的课题,围绕它各厂商都有丰富的产品。思科有自己的理解,对网络完全的体系结构。 -
很好,很不错的很好,很不错的 -
送货速度很快!有点美中不足就是书的侧面有一个小洞,书皮没有了 -
不错!支持正版! -
书是偏理论的,思科网络安全方面的考试用书 -
适合ccie学习 -
书还好了。可又看看。 -
好书一本。。。。。 -
刚刚买过,今天怎么降价了啊 晕倒! -
书本很好,很适合我 -
内容还行,纸质有点差! -
绝对是 security CCIE必看之书 -
物品很好,但由于本人因为一些事情耽搁了所以评论完了 -
感觉很像盗版,很像,很像,伤心啊! -
书本对的起这个价格 总体还是可以吧 -
学习安全,有个总体把握 -
挺好的就是不够详细, -
一般了,理论的东西太多,可能对一些人有用 -
便宜,送书上门快!可惜书是翻版的,但纸质还是可以! -
书真的很好,内容真的也不错 -
之前买了本09年3月份出的,翻译太差,连扩展ACL号范围都出错,看了100来也看不下去了,修订版的不错~~~ -
思科的体系很使用,知识讲解的非常到位! -
如果不是专注于cisco系统的可以飘过 -
有的截图印刷很模糊,根本看不清! -
很详细,但是作为初学者的教材还是太细了。某种程度上说,更像是一个reference book。 -
介绍了网络安全技术,但是并不详细,如果要详细的话,需要自己去看其他方面的书,看这个书可以了解网络安全的大概 -
工作参考用书,还不错吧! -
正版图书,质量很好,内容很全面。 -
CCIE Security的学习基础,非常值得看的一本书! -
该本书基本还行 -
网络时代要研究网络安全,不论是网络安全技术还是解决方案,必须掌握Cisco的东西,值得一读。 -
粗略浏览一下,发现挺不错 -
书内容很好,是学思科安全必须看的一本书。但是,快递公司很差,卓配不行,最终还是让特能送的。留下的服务电话要么没人接要么打不通。 -
对cisco的网络安全防护很有用,本书中所得讲的东西都知道,我想只要学了NP的人都知道里面的知识,但是本书系统化了,思路更清晰了,对于考安全的IE有帮助。 -
刚拿到书,书的质量很好,大致翻看了下,很不错!很好 -
等读完再写评论 -
工作上需要,网络安全技术参考~~ -
看过这本书,经典、网络安全应该拥有 -
书写的很详细,很受用 -
CISCO的书都说的过去 -
这本书对我很有帮助非常好 -
书很不错。。。我喜欢,呵呵,配送的速度很快 -
果然是行业领军啊 架构设计理念很完美