当前位置:首页 > 计算机网络 > 信息安全 > 网络安全技术与解决方案
出版社:人民邮电
出版日期:2010-1
ISBN:9787115217349
作者:[美] Yusuf Bhaiji
页数:582页
作者简介
《网络安全技术与解决方案(修订版)》包含了Cisco网络安全解决方案中最为常见的产品、技术,以及它们的配置方法和部署方针。在产品方面,《网络安全技术与解决方案(修订版)》从硬件的PIX、ASA、FWSM模块、NAC设备、IDS、IPS、各类入侵检测模块、Cisco流量异常检测器、CS-MARS等,到软件的Cisco Secure ACS CSA、SDM和集成在各设备中的系统等,无所不包。
在技术方面,《网络安全技术与解决方案(修订版)》全面涵盖了Cisco网络中的各类安全技术,包括Cisco路由器、交换机上的多种攻击防御特性、CBAC、ZFW、各类WLAN安全技术、各类加密技术、VPN技术、IOS IPS技术等,无所不含。仅ACL技术一项,《网络安全技术与解决方案(修订版)》就分成了10余个种类并分别加以阐述。
在解决方案方面,《网络安全技术与解决方案(修订版)》以Cisco各类产品及其所支持的技术为纲,讲术了它们在不同环境、不同场合、不同媒介中的应用方法。
《网络安全技术与解决方案(修订版)》的任何一部分都始于理论,终于实践:开篇阐明某种攻击的技术要略,而后引入具体的应对设备、技术,以及部署和配置方法,作为相应的解决方案,纲举目张,博而不乱。
《网络安全技术与解决方案(修订版)》适用于网络工程师、网络安全工程师、网络管理维护人员,及其他网络安全技术相关领域的从业人员,可在他们设计、实施网络安全解决方案时作为技术指导和参考资料。尤其推荐那些正在备考安全方向CCIE的考生阅读《网络安全技术与解决方案(修订版)》,相信《网络安全技术与解决方案(修订版)》一定能够帮助他们更好地理解与考试相关的知识点,并为他们顺利通过考试铺平道路。
书籍目录
第1部分 边界安全
第1章 网络安全概述
3
1.1 网络安全的基本问题
3
1.2 安全范例的变化
5
1.3 安全准则——CIA模型
5
1.3.1 机密性
5
1.3.2 完整性
6
1.3.3 可用性
6
1.4 策略、标准、流程、基线、部署准则
6
1.4.1 安全策略
6
1.4.2 标准
7
1.4.3 流程
8
1.4.4 基线
8
1.4.5 部署准则
8
1.5 安全模型
9
1.6 边界安全
9
1.6.1 边界安全正在消失吗?
9
1.6.2 定义边界的复杂性
10
1.6.3 可靠的边界安全解决方案
10
1.7 各层的安全
10
1.7.1 多层边界解决方案
10
1.7.2 多米诺效应
11
1.8 安全轮型图
12
1.9 总结
13
1.10 参考
13
第2章 访问控制
15
2.1 使用ACL进行流量过滤
15
2.1.1 ACL概述
15
2.1.2 ACL的应用
15
2.1.3 何时配置ACL
16
2.2 IP地址概述
17
2.2.1 IP地址分类
17
2.2.2 理解IP地址分类
17
2.2.3 私有IP地址(RFC 1918)
19
2.3 子网掩码与反掩码概述
20
2.3.1 子网掩码
20
2.3.2 反掩码
20
2.4 ACL配置
21
2.4.1 创建一个ACL
21
2.4.2 为每个ACL设置唯一的列表名或数字
21
2.4.3 把ACL应用到接口上
22
2.4.4 ACL的方向
23
2.5 理解ACL的处理过程
23
2.5.1 入站ACL
23
2.5.2 出站ACL
24
2.5.3 各类数据包的包过滤原则
25
2.5.4 实施ACL的准则
26
2.6 访问控制列表类型
26
2.6.1 标准ACL
27
2.6.2 扩展ACL
27
2.6.3 命名的IP ACL
28
2.6.4 锁和密钥(动态ACL)
29
2.6.5 自反ACL
30
2.6.6 Established ACL
31
2.6.7 使用时间范围(Time Range)的时间ACL
32
2.6.8 分布式时间ACL
33
2.6.9 配置分布式时间ACL
33
2.6.10 Turbo ACL
33
2.6.11 限速ACL(rACL)
34
2.6.12 设备保护ACL(iACL)
34
2.6.13 过境ACL
34
2.6.14 分类ACL
35
2.6.15 用ACL进行流量调试
36
2.7 总结
36
2.8 参考
36
第3章 设备安全
39
3.1 设备安全策略
39
3.2 设备加固
40
3.2.1 物理安全
40
3.2.2 密码
41
3.2.3 用户账户
45
3.2.4 特权级别
45
3.2.5 设备保护ACL(Infrastructure ACL)
46
3.2.6 交换访问方法
46
3.2.7 Banner消息
48
3.2.8 Cisco IOS快速复原配置(Resilient Configuration)
50
3.2.9 Cisco发现协议(CDP)
50
3.2.10 TCP/UDP低端口服务(Small-Servers)
51
3.2.11 Finger
51
3.2.12 Identd(auth)协议(Identification Protocol)
51
3.2.13 DHCP与BOOTP服务
52
3.2.14 简单文件传输(TFTP)协议
52
3.2.15 文件传输(FTP)协议
52
3.2.16 自动加载设备配置
52
3.2.17 PAD
52
3.2.18 IP源路由
53
3.2.19 代理ARP
53
3.2.20 无故ARP(Gratuitous ARP)
53
3.2.21 IP定向广播
54
3.2.22 IP掩码应答
(IP Mask Reply)
54
3.2.23 IP重定向
54
3.2.24 ICMP不可达
54
3.2.25 HTTP
55
3.2.26 网络时间协议(NTP)
55
3.2.27 简单网络管理协议(SNMP)
56
3.2.28 Auto-Secure特性
56
3.3 保护安全设备的管理访问
56
3.3.1 PIX 500与ASA 5500系列安全设备—设备访问安全
57
3.3.2 IPS 4200系列传感器(前身为IDS 4200)
58
3.4 设备安全的自查列表
60
3.5 总结
60
3.6 参考
60
第4章 交换机安全特性
63
4.1 保护二层网络
63
4.2 端口级流量控制
64
4.2.1 风暴控制(Storm Control)
64
4.2.2 端口隔离(Protected Port/PVLAN Edge)
64
4.3 私有VLAN(PVLAN)
65
4.3.1 配置PVLAN
68
4.3.2 端口阻塞(Port Blocking)
69
4.3.3 端口安全(Port Security)
69
4.4 交换机访问列表
71
4.4.1 路由器ACL
71
4.4.2 端口ACL
71
4.4.3 VLAN ACL(VACL)
72
4.4.4 MAC ACL
74
4.5 生成树协议特性
74
4.5.1 桥协议数据单元防护(BPDU Guard)
74
4.5.2 根防护(Root Guard)
75
4.5.3 Etherchannel防护(Etherchannel Guard)
75
4.5.4 环路防护(Loop Guard)
76
4.6 动态主机配置协议(DHCP)Snooping
76
4.7 IP源地址防护(IP Source Guard)
78
4.8 DAI(动态ARP监控)
78
4.8.1 DHCP环境中的DAI
80
4.8.2 非DHCP环境中的DAI
80
4.8.3 为入站ARP数据包限速
81
4.8.4 ARP确认检查(ARP Validation Checks)
81
4.9 高端Catalyst交换机上的高级安全特性
81
4.10 控制面监管(CoPP)特性
82
4.11 CPU限速器
83
4.12 二层安全的最佳推荐做法
83
4.13 总结
84
4.14 参考
84
第5章 Cisco IOS防火墙
87
5.1 路由器防火墙之解决方案
87
5.2 基于上下文的访问控制(CBAC)
89
5.3 CBAC功能
89
5.3.1 流量过滤
89
5.3.2 流量监控
90
5.3.3 告警与审计跟踪
90
5.4 CBAC工作原理
91
5.4.1 数据包监控
91
5.4.2 超时时间与门限值
91
5.4.3 会话状态表
91
5.4.4 UDP连接
92
5.4.5 动态ACL条目
92
5.4.6 初始(半开)会话
92
5.4.7 为主机进行DoS防护
93
5.5 CBAC支持的协议
93
5.6 配置CBAC
94
5.6.1 第一步:选择一个接口:内部接口或者外部接口
94
5.6.2 第二步:配置IP访问列表
95
5.6.3 第三步:定义监控规则
95
5.6.4 第四步:配置全局的超时时间和门限值
95
5.6.5 第五步:把访问控制列表和监控规则应用到接口下
96
5.6.6 第六步:验证和监测CBAC配置
97
5.6.7 综合应用范例
97
5.7 IOS防火墙增强特性
97
5.7.1 HTTP监控功能
98
5.7.2 电子邮件监控功能
98
5.7.3 防火墙ACL旁路
99
5.7.4 透明IOS防火墙(二层防火墙)
99
5.7.5 虚拟分片重组(VFR)
100
5.7.6 VRF感知型(VRF-Aware)IOS防火墙
100
5.7.7 监控路由器生成的流量
101
5.8 基于区域的策略防火墙(ZFW)
101
5.8.1 基于区域的策略概述
101
5.8.2 安全区域
102
5.8.3 配置基于区域的策略防火墙
103
5.8.4 使用CPL配置ZFW
103
5.8.5 应用程序检查与控制(AIC)
104
5.9 总结
105
5.10 参考
105
第6章 Cisco防火墙:设备与模块
107
6.1 防火墙概述
107
6.2 硬件防火墙与软件防火墙的对比
108
6.3 Cisco PIX 500系列安全设备
108
6.4 Cisco ASA 5500系列自适应安全设备
109
6.5 Cisco防火墙服务模块(FWSM)
110
6.6 PIX 500和ASA 550系列防火墙设备操作系统
111
6.7 防火墙设备OS软件
112
6.8 防火墙模式
112
6.8.1 路由模式防火墙
112
6.8.2 透明模式防火墙(隐藏防火墙)
113
6.9 状态化监控
114
6.10 应用层协议监控
115
6.11 自适应安全算法的操作
116
6.12 安全虚拟防火墙
117
6.12.1 多虚拟防火墙——路由模式(及共享资源)
118
6.12.2 多虚拟防火墙——透明模式
118
6.12.3 配置安全虚拟防火墙
120
6.13 安全级别
121
6.14 冗余接口
122
6.15 IP路由
123
6.15.1 静态及默认路由
123
6.15.2 最短路径优先(OSPF)
125
6.15.3 路由信息协议(RIP)
128
6.15.4 增强型内部网关路由协议(EIGRP)
129
6.16 网络地址转换(NAT)
130
6.16.1 NAT控制
(NAT Control)
130
6.16.2 NAT的类型
132
6.16.3 在启用NAT的情况下绕过NAT转换
137
6.16.4 策略NAT
139
6.16.5 NAT的处理顺序
140
6.17 控制流量与网络访问
141
6.17.1 ACL概述及其在安全设备上的应用
141
6.17.2 使用访问列表控制通过安全设备的出入站流量
141
6.17.3 用对象组简化访问列表
143
6.18 组件策略框架(MPF,Modular Policy Framework)
144
6.19 Cisco AnyConnect VPN客户端
146
6.20 冗余备份与负载分担
147
6.20.1 故障切换需求
147
6.20.2 故障切换链路
148
6.20.3 状态链路(State Link)
148
6.20.4 故障切换的实施
149
6.20.5 非对称路由支持(ASR)
151
6.21 防火墙服务模块(FWSM)的防火墙“模块化”系统
151
6.22 防火墙模块OS系统
151
6.23 穿越防火墙模块的网络流量
152
6.24 路由器/MSFC的部署
152
6.24.1 单模防火墙
153
6.24.2 多模防火墙
153
6.25 配置FWSM
154
6.26 总结
155
6.27 参考
156
第7章 攻击矢量与缓解技术
159
7.1 网络漏洞、网络威胁与网络渗透
159
7.1.1 攻击的分类
160
7.1.2 攻击矢量
160
7.1.3 黑客家族的构成
161
7.1.4 风险评估
162
7.2 三层缓解技术
163
7.2.1 流量分类
163
7.2.2 IP源地址跟踪器
167
7.2.3 IP欺骗攻击
168
7.2.4 数据包分类与标记方法
171
7.2.5 承诺访问速率(CAR)
171
7.2.6 模块化QoS CLI(MQC)
173
7.2.7 流量管制(Traffic Policing)
174
7.2.8 基于网络的应用识别(NBAR)
175
7.2.9 TCP拦截
177
7.2.10 基于策略的路由(PBR)
179
7.2.11 单播逆向路径转发(uRPF)
180
7.2.12 NetFlow
182
7.3 二层缓解方法
184
7.3.1 CAM表溢出—MAC攻击
185
7.3.2 MAC欺骗攻击
185
7.3.3 ARP欺骗攻击
186
7.3.4 VTP攻击
187
7.3.5 VLAN跳转攻击
188
7.3.6 PVLAN攻击
190
7.3.7 生成树攻击
192
7.3.8 DHCP欺骗与耗竭(Starvation)攻击
193
7.3.9 802.1x攻击
193
7.4 安全事故响应架构
195
7.4.1 什么是安全事故
195
7.4.2 安全事故响应处理
195
7.4.3 事故响应小组(IRT)
195
7.4.4 安全事故响应方法指导
196
7.5 总结
198
7.6 参考
199
第2部分 身份安全和访问管理
第8章 保护管理访问
203
8.1 AAA安全服务
203
8.1.1 AAA范例
204
8.1.2 AAA之间的依赖关系
205
8.2 认证协议
205
8.2.1 RADIUS(远程认证拨入用户服务)
205
8.2.2 TACACS+(终端访问控制器访问控制系统)
208
8.2.3 RADIUS与TACACS+的对比
211
8.3 实施AAA
211
8.3.1 AAA方法
212
8.3.2 AAA功能服务类型
213
8.4 配置案例
215
8.4.1 使用RADIUS实现PPP认证、授权、审计
215
8.4.2 使用TACACS+服务器实现登录认证、命令授权和审计
216
8.4.3 设置了密码重试次数限制的登录认证
216
8.5 总结
217
8.6 参考
217
第9章 Cisco Secure ACS软件与设备
219
9.1 Windows操作系统下的
Cisco Secure ACS软件
219
9.1.1 AAA服务器:Cisco
Secure ACS
220
9.1.2 遵循的协议
221
9.2 高级ACS功能与特性
222
9.2.1 共享配置文件组件(SPC)
222
9.2.2 可下载的IP ACL
222
9.2.3 网络访问过滤器(NAF)
223
9.2.4 RADIUS授权组件(RAC)
223
9.2.5 Shell命令授权集
223
9.2.6 网络访问限制(NAR)
224
9.2.7 设备访问限制(MAR)
224
9.2.8 网络访问配置文件(NAP)
224
9.2.9 Cisco NAC支持
225
9.3 配置ACS
225
9.4 Cisco Secure ACS设备
234
9.5 总结
234
9.6 参考
235
第10章 多重认证
237
10.1 身份识别和认证(Identification and Authentication)
237
10.2 双重认证系统
238
10.2.1 一次性密码(OTP)
238
10.2.2 S/KEY
239
10.2.3 用OTP解决方案抵抗重放攻击(Replay Attack)
239
10.2.4 双重认证系统的属性
239
10.3 Cisco Secure ACS支持的双重认证系统
240
10.3.1 Cisco Secure ACS是如何工作的
241
10.3.2 在Cisco Secure ACS上配置启用了RADIUS的令牌服务器
242
10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服务器
245
10.4 总结
245
10.5 参考
246
第11章 第2层访问控制
249
11.1 信任与身份识别管理解决方案
250
11.2 基于身份的网络服务(IBNS)
251
11.2.1 Cisco Secure ACS
252
11.2.2 外部数据库支持
252
11.3 IEEE 802.1x
252
11.3.1 IEEE802.1x组件
253
11.3.2 端口状态:授权与未授权
254
11.3.3 EAP认证方式
255
11.4 部署802.1x解决方案
256
11.4.1 无线LAN(点到点)
256
11.4.2 无线LAN(多点)
256
11.5 部署802.1x基于端口的认证
258
11.5.1 在运行Cisco IOS的Cisco Catalyst交换机上
配置802.1x和RADIUS
258
11.5.2 在运行Cisco IOS的Cisco Aironet无线LAN接入点上
配置802.1x和RADIUS
262
11.5.3 在Windows XP客户端配置遵循IEEE 802.1x的
用户接入设备
263
11.6 总结
263
11.7 参考
264
第12章 无线局域网(WLAN)安全
267
12.1 无线LAN(LAN)
267
12.1.1 无线电波
267
12.1.2 IEEE协议标准
268
12.1.3 通信方式——无线频率(RF)..
268
12.1.4 WLAN的组成
269
12.2 WLAN安全
270
12.2.1 服务集标识(SSID)
270
12.2.2 MAC认证
271
12.2.3 客户端认证
271
12.2.4 静态WEP(有线等效保密)
272
12.2.5 WPA、WPA2和802.11i(WEP的增强)
272
12.2.6 IEEE 802.1x和EAP
273
12.2.7 WLAN NAC
281
12.2.8 WLAN IPS
281
12.2.9 VPN IPsec
282
12.3 缓解WLAN攻击
282
12.4 Cisco统一无线网络解决方案
282
12.5 总结
284
12.6 参考
284
第13章 网络准入控制(NAC)
287
13.1 建立自防御网络(SDN)
287
13.2 网络准入控制(NAC)
288
13.2.1 为何使用NAC
288
13.2.2 Cisco NAC
289
13.2.3 对比NAC产品和NAC框架
290
13.3 Cisco NAC产品解决方案
291
13.3.1 Cisco NAC产品解决方案机制
291
13.3.2 NAC产品组件
291
13.3.3 NAC产品部署方案
292
13.4 Cisco NAC框架解决方案
294
13.4.1 Cisco NAC框架解决方案机制
294
13.4.2 NAC框架组件
296
13.4.3 NAC框架部署环境
300
13.4.4 NAC框架的执行方法
300
13.4.5 实施NAC-L3-IP
301
13.4.6 实施NAC-L2-IP
303
13.4.7 部署NAC-L2-802.1x
306
13.5 总结
308
13.6 参考
309
第3部分 数据保密
第14章 密码学
313
14.1 安全通信
313
14.1.1 加密系统
313
14.1.2 密码学概述
314
14.1.3 加密术语
314
14.1.4 加密算法
315
14.2 虚拟专用网(VPN)
322
14.3 总结
323
14.4 参考
323
第15章 IPsec VPN
325
15.1 虚拟专用网络(VPN)
325
15.1.1 VPN技术类型
325
15.1.2 VPN部署方案类型
326
15.2 IPsec VPN(安全VPN)
327
15.2.1 IPsec RFC
327
15.2.2 IPsec模式
330
15.2.3 IPsec协议头
331
15.2.4 IPsec反重放保护
333
15.2.5 ISAKMP和IKE
333
15.2.6 ISAKMP Profile
337
15.2.7 IPsec Profile
338
15.2.8 IPsec虚拟隧道接口(IPsec VTI)
339
15.3 公钥基础结构(PKI)
340
15.3.1 PKI组件
341
15.3.2 证书登记
341
15.4 部署IPsec VPN
343
15.4.1 Cisco IPsec VPN部署环境
343
15.4.2 站点到站点IPsec VPN
345
15.4.3 远程访问IPsec VPN
348
15.5 总结
355
15.6 参考
356
第16章 动态多点VPN(DMVPN)
359
16.1 DMVPN解决方案技术架构
359
16.1.1 DMVPN网络设计
360
16.1.2 DMVPN解决方案组件
362
16.1.3 DMVPN如何工作
362
16.1.4 DMVPN数据结构
363
16.2 DMVPN部署环境拓扑
364
16.3 实施DMVPN中心到节点的设计方案
364
16.3.1 实施单hub单DMVPN(SHSD)拓扑
365
16.3.2 实施双hub双DMVPN(DHDD)拓扑
370
16.3.3 实施服务器负载均衡(SLB)拓扑
371
16.4 实施DMVPN动态网状节点到节点的设计方案
372
16.4.1 实施双hub单DMVPN(DHSD)拓扑
373
16.4.2 实施多hub单DMVPN(MHSD)拓扑
381
16.4.3 实施分层(基于树的)拓扑
382
16.5 总结
382
16.6 参考
383
第17章 群组加密传输VPN(GET VPN)
385
17.1 GET VPN解决方案技术构架
385
17.1.1 GET VPN特性
386
17.1.2 为何选择GET VPN
387
17.1.3 GET VPN和DMVPN
389
17.1.4 GET VPN部署需要考虑的因素
388
17.1.5 GET VPN解决方案组件
388
17.1.6 GET VPN的工作方式
389
17.1.7 保留IP包头
391
17.1.8 组成员ACL
391
17.2 实施Cisco IOS GET VPN
392
17.3 总结
396
17.4 参考
397
第18章 安全套接字层VPN(SSL VPN)
309
18.1 安全套接字层(SSL)协议
309
18.2 SSL VPN解决方案技术架构
400
18.2.1 SSL VPN概述
400
18.2.2 SSL VPN特性
401
18.2.3 部署SSL VPN需要考虑的因素
401
18.2.4 SSL VPN访问方式
402
18.2.5 SSL VPN Citrix支持
403
18.3 部署Cisco IOS SSL VPN
404
18.4 Cisco AnyConnect VPN Client
405
18.5 总结
406
18.6 参考
406
第19章 多协议标签交换VPN(MPLS VPN)
409
19.1 多协议标签交换(MPLS)
409
19.1.1 MPLS技术架构概述
410
19.1.2 MPLS如何工作
411
19.1.3 MPLS VPN和IPsec VPN
411
19.1.4 部署场景
412
19.1.5 面向连接和无连接的VPN技术
413
19.2 MPLS VPN(可信VPN)
414
19.3 L3 VPN和L2 VPN的对比
414
19.4 L3VPN
415
19.4.1 L3VPN组件
415
19.4.2 L3VPN如何实施
416
19.4.3 VRF如何工作
416
19.5 实施L3VPN
416
19.6 L2VPN
422
19.7 实施L2VPN
424
19.7.1 在MPLS服务上部署以太网VLAN——使用
基于VPWS的技术架构
424
19.7.2 在MPLS服务上部署以太网VLAN——使用
基于VPLS的技术架构
424
19.8 总结
425
19.9 参考
426
第4部分 安全监控
第20章 网络入侵防御
431
20.1 入侵系统术语
431
20.2 网络入侵防御概述
432
20.3 Cisco IPS 4200系列传感器
432
20.4 Cisco IDS服务模块(IDSM-2)
434
20.5 Cisco高级检测和防御安全服务模块(AIP-SSM)
435
20.6 Cisco IPS高级集成模块(IPS-AIM)
436
20.7 Cisco IOS IPS
437
20.8 部署IPS
437
20.9 Cisco IPS传感器OS软件
438
20.10 Cisco IPS传感器软件
440
20.10.1 传感器软件—系统架构
440
20.10.2 传感器软件—通信协议
441
20.10.3 传感器软件—用户角色
442
20.10.4 传感器软件—分区
442
20.10.5 传感器软件—特征和特征引擎
442
20.10.6 传感器软件—IPS事件
444
20.10.7 传感器软件—IPS事件响应
445
20.10.8 传感器软件—IPS风险评估(RR)
446
20.10.9 传感器软件—IPS威胁评估
447
20.10.10 传感器软件—IPS接口
447
20.10.11 传感器软件—IPS接口模式
449
20.10.12 传感器软件—IPS阻塞(block/shun)
452
20.10.13 传感器软件—IPS速率限制
453
20.10.14 传感器软件—IPS虚拟化
453
20.10.15 传感器软件—IPS安全策略
454
20.10.16 传感器软件—IPS异常检测(AD)
454
20.11 IPS高可用性
455
20.11.1 IPS失效开放机制
456
20.11.2 故障切换机制
456
20.11.3 失效开放和故障切换的部署
457
20.11.4 负载均衡技术
457
20.12 IPS设备部署准则
457
20.13 Cisco入侵防御系统设备管理器(IDM)
457
20.14 配置IPS在线VLAN对模式
458
20.15 配置IPS在线接口对模式
460
20.16 配置自定义特征和IPS阻塞
464
20.17 总结
465
20.18 参考
466
第21章 主机入侵防御
469
21.1 使用无特征机制保障终端安全
469
21.2 Cisco安全代理(CSA)
470
21.3 CSA技术架构
471
21.3.1 CSA拦截和关联
472
21.3.2 CSA关联的全局扩展
473
21.3.3 CSA访问控制过程
473
21.3.4 CSA深层防御——零时差保护
474
21.4 CSA的能力和安全功能角色
474
21.5 CSA组件
475
21.6 使用CSA MC配置和管理CSA部署
476
21.6.1 管理CSA主机
476
21.6.2 管理CSA代理工具包
479
21.6.3 管理CSA组
481
21.6.4 CSA代理用户界面
482
21.6.5 CSA策略、规则模块和规则
484
21.7 总结
485
21.8 参考
486
第22章 异常检测与缓解
489
22.1 攻击概述
489
22.1.1 拒绝服务(DoS)攻击定义
489
22.1.2 分布式拒绝服务(DDoS)攻击定义
490
22.2 异常检测和缓解系统
491
22.3 Cisco DDoS异常检测和缓解解决方案
492
22.4 Cisco流量异常检测器(Cisco Traffic Anomaly Detecor)
493
22.5 Cisco Guard DDoS缓解设备
495
22.6 整体运行
497
22.7 配置和管理Cisco流量异常检测器
499
22.7.1 管理检测器
500
22.7.2 通过CLI控制台初始化检测器
500
22.7.3 配置检测器(区域、过滤器、策略和学习过程)
501
22.8 配置和管理Cisco Guard缓解设备
504
22.8.1 管理Guard
504
22.8.2 通过CLI控制台初始化Guard
505
22.8.3 配置Guard(区域、过滤器、策略和学习过程)
505
22.9 总结
508
22.10 参考
508
第23章 安全监控和关联
511
23.1 安全信息和事件管理
511
23.2 Cisco安全监控、分析和响应系统(CS-MARS)
512
23.2.1 安全威胁防御(STM)系统
513
23.2.2 拓扑感知和网络映射
514
23.2.3 关键概念——事件、会话、规则和事故
515
23.2.4 CS-MARS中的事件处理
517
23.2.5 CS-MARS中的误报
518
23.3 部署CS-MARS
518
23.3.1 独立控制器和本地控制器(LC)
519
23.3.2 全局控制器(GC)
520
23.3.3 软件版本信息
521
23.3.4 报告和防御设备
522
23.3.5 运行级别
523
23.3.6 必需的流量和需要开放的端口
523
23.3.7 基于Web的管理界面
525
23.3.8 初始化CS-MARS
526
23.4 总结
527
23.5 参考
528
第5部分 安全管理
第24章 安全和策略管理
533
24.1 Cisco安全管理解决方案
533
24.2 Cisco安全管理器
534
24.2.1 Cisco安全管理器—特性和能力
534
24.2.2 Cisco安全管理器—防火墙管理
536
24.2.3 Cisco安全管理器—VPN管理
536
24.2.4 Cisco安全管理器—IPS管理
537
24.2.5 Cisco安全管理器—平台管理
538
24.2.6 Cisco安全管理器—系统架构
538
24.2.7 Cisco安全管理器—配置视图
539
24.2.8 Cisco安全管理器—管理设备
541
24.2.9 Cisco安全管理器—工作流模式
541
24.2.10 Cisco安全管理器—基于角色的访问控制(RBAC)
542
24.2.11 Cisco安全管理器—交叉启动xDM
543
24.2.12 Cisco安全管理器—支持的设备和OS版本
545
24.2.13 Cisco安全管理器—服务器和客户端的要求与限制
546
24.2.14 Cisco安全管理器—必需的流量和需要开放的端口
547
24.3 Cisco路由器和安全设备管理器(SDM)
549
24.3.1 Cisco SDM—特性和能力
549
24.3.2 Cisco SDM—如何工作
550
24.3.3 Cisco SDM—路由器安全审计特性
552
24.3.4 Cisco SDM—一步锁定特性
552
24.3.5 Cisco SDM—监测模式
553
24.3.6 Cisco SDM—支持的路由器和IOS版本
554
24.3.7 Cisco SDM—系统要求
555
24.4 Cisco自适应安全设备管理器(ASDM)
556
24.4.1 Cisco ASDM—特性和能力
556
24.4.2 Cisco ASDM—如何工作
556
24.4.3 Cisco ASDM—数据包追踪器程序
559
24.4.4 Cisco ASDM—系统日志到访问规则的关联
559
24.4.5 Cisco ASDM—支持的防火墙和软件版本
560
24.4.6 Cisco ASDM——用户要求
560
24.5 Cisco PIX设备管理器(PDM)
560
24.6 Cisco IPS设备管理器(IDM)
561
24.6.1 Cisco IDM—如何工作
562
24.6.2 Cisco IDM—系统要求
562
24.7 总结
563
24.8 参考
563
第25章 安全框架与法规遵从性
567
25.1 安全模型
567
25.2 策略、标准、部署准则和流程
568
25.2.1 安全策略
569
25.2.2 标准
569
25.2.3 部署准则
569
25.2.4 流程
569
25.3 最佳做法框架
570
25.3.1 ISO/IEC 17799(现为ISO/IEC 27002)
570
25.3.2 COBIT
571
25.3.3 17799/27002和COBIT的对比
571
25.4 遵从性和风险管理
572
25.5 法规遵从性和立法行为
572
25.6 GLBA——格雷姆-里奇-比利雷法
572
25.6.1 对谁有效
573
25.6.2 GLBA的要求
573
25.6.3 违规处罚
574
25.6.4 满足GLBA的Cisco解决方案
574
25.6.5 GLBA总结
574
25.7 HIPAA——健康保险可携性与责任法案
575
25.7.1 对谁有效
575
25.7.2 HIPAA的要求
575
25.7.3 违规处罚
575
25.7.4 满足HIPAA的Cisco解决方案
576
25.7.5 HIPAA总结
576
25.8 SOX——萨班斯-奥克斯利法案
576
25.8.1 对谁有效
577
25.8.2 SOX法案的要求
577
25.8.3 违规处罚
578
25.8.4 满足SOX的Cisco解决方案
579
25.8.5 SOX总结
579
25.9 法规遵从性规章制度的全球性展望
579
25.9.1 在美国
580
25.9.2 在欧洲
580
25.9.3 在亚太地区
580
25.10 Cisco自防御网络解决方案
581
25.11 总结
581
25.12 参考
581
编辑推荐
《网络安全技术与解决方案(修订版)》涵盖了众多当今最尖端的安全产品与技术,适合网络技术领域的专业人士参考学习。它会帮助读者深入理解和实施这些尖端的网络安全技术,以确保穿越网络设备的通信是安全的。《网络安全技术与解决方案(修订版)》中所介绍的方法简便易行,它就像是一座安全知识的宝库,不仅能够协助读者实施端到端的安全解决方案,还会为他们提供一个涵盖了所有Cisco网络安全方案的知识之源。《网络安全技术与解决方案(修订版)》分为5个部分,分别对应Cisco安全技术与解决方案的5个方面:边界安全、身份安全与访问管理、数据隐私、安全监测、安全管理。将这些技术和解决方案结合起来使用。便可以为客户安全策略之间、用户或主机身份之间,以及网络设备之间的动态链路提供保护。读者不仅可以通过阅读《网络安全技术与解决方案(修订版)》来加深对于各类解决方案的理解,还能够掌握如何在当前的异构网络环境中.搭建起一个业务功能强大、数据传输安全的网络。对于那些正在研究各类新老安全策略的读者,这本全面、详实的技术书籍可以为他们打开通往知识宝库的大门;对于那些准备参加CCIE安全考试的考生,《网络安全技术与解决方案(修订版)》亦可成为照亮他们考试前途的明灯。通过访问控制列表过滤流量和实施交换机安全特性;配置Cisco IOS路由器防火墙特性和部署ASA与PIX防火墙设备;理解网络攻击技术和应用2层与3层的攻击缓解技术;使用AAA保护管理访问;使用多重认证技术实现访问控制功能;实施基于身份的网络访问控制;应用最新的无线LAN安全解决方案;遵循Cisco NAC执行安全策略;了解密码学的基本概念和实施IPsec VPNs、DMVPN、GET VPN、SSI VPN及MPLS VPN技术;通过网络与主机入侵防御、异常检测、监控与关联技术,实现对网络行为监控及安全事故响应功能;部署安全管理解决方案,如Cisco Security Manager、SDM、ADSM、PDM及IDM;了解各类安全法规。如GLBA、HIPPA和SOX。《网络安全技术与解决方案(修订版)》系Cisco Press出版的Cisco CCIE职业发展系列丛书之一,可为读者提供专家级网络设计、部署和支持方案.以指导网络技术领域的专业人士管理复杂的网络及备战CCIE考试。
前言
在互联网经济蓬勃发展的大背景下,网络系统无疑承担着重大的时代使命,而网络系统必力求稳定,成为了这个时代的人心所向、大势所趋。无论是企业的客户、员工还是供应商,无不由衷期待企业领导和网络管理员有能力为他们打造一个绝对安全的网络环境,使他们能够随时获取网络中的资源,并能随时访问网络中的各类应用和数据。我们所面临的已经不再是单纯的挑战,还必须面对因网络安全一朝遭到破坏,而有可能给我们带来的巨大损失。《网络安全技术与解决方案》这本书全面、翔实地阐述了管理Cisco网络的方法,在它的指导下,网络安全技术人员可以更好地理解和实施当前最高端的安全技术和解决方案。无论是对网络安全专家还是初学者,这本书都是实属难得的宝贵资源。网络安全方面的书籍大都将重点放在了阐述概念和理论上,而《网络安全技术与解决方案》一书即打破了这种常规,它是一本着眼于配置和管理Cisco动态链路的实用型工具书。在占有市场主导地位的Cisco链路环境中,包含了客户的安全策略、用户或主机的身份以及网络设备。而这本书以Cisco安全解决方案的核心要素为纲,介绍了正确配置各类网络安全技术最为实际,应用也最为广泛的指导方法,这些技术涵盖了安全边界、身份安全与访问管理、数据保密,及安全监视和管理等方面,几乎无所不包。YusufBhaiji已在Cisco任职7年,现为CiscoCCIE安全认证的项目经理和Cisco迪拜Lab考场的考官,此前担任悉尼TAC安全与VPN团队的技术负责人。早在Yusuf获得计算机科学硕士学位时,他对安全技术和解决方案就表现出了极高的热情,这种热情现已陪伴他度过了17年的职业生涯。他所获得的大量认证就是他钟爱此类技术的最好体现。Yusuf在网络安全领域拥有丰富的执教阅历,这种经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。
内容概要
Yusuf Bhaiji,CCIE#9305(路由和交换与安全),已在Cisco公司工作了7年,现任Cisco CCIE安全认证的项目经理和Cisco Dubai实验室的CCIE代理人。此前,他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用,这从他最初攻读计算机科学硕士学位时就开始了,他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力,他已经指导了许多成功的考生,还在国际上设计和发表了许多网络安全解决方案。
媒体关注与评论
Yusuf在网络安全领域业已执教多年,丰富的经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。 ——Steve Gordon, Cisco技术服务部副总裁
章节摘录
插图:3.2.2 密码验证用户身份主要依靠用户名和密码的结合。所谓密码就是用来验证用户身份的受保护字符串。Cisco IOS中有如下3种密码保护方案。·明文密码:由于没有加密密码,因此这是最不安全的一种类型。在设备配置文件中,密码以明文的形式存在,可以进行浏览。·7类密码:使用了Cisco私有加密算法对密码进行加密,这种算法比较脆弱。有很多密码破解工具可以对7类加密密码进行破解。可以使用命令enable password、 username和line password来应用7类密码。·5类密码:使用了MD5散列算法(单向散列)加密密码,由于加密过程不可逆,因此一般认为这种算法非常强大。破解5类密码的唯一途径是暴力破解或字典攻击。在任何情况下,设备用户都应尽量采用5类密码而不是7类密码。5类加密通过命令enable secret来实现,它与enable password相比多了一层保障。而且命令enable secret的优先级高于enable password。另外,username secret命令同样使用的是5类密码。3.2.2.1 创建强壮的密码在设备安全中,创建强壮的密码是最为重要的任务之一。有时候,用户会用宠物的名字、自己的姓式、生日或其他类似的字符来创建密码,这些密码往往过于简单,很容易被字典攻击或暴力破解的方式攻破。然而,采用完全随机的数字与符号组合作为密码也不理想,因为这类随机的密码很容易遗忘。为了让自己记住这些密码,用户会把密码写在纸上压在键盘下面,或者把它保存在计算机的文本文件里。但是,这些习惯都与正确的常规安全作法背道而驰。强壮的密码至少要有8~10个字符,并且是一个包含有字母(大小写组合)、数字和特殊符号的字符组合。这里需要重申的是,由字符和符号组成的密码不便于记忆。因此,安全管理员一般更喜欢使用密码短语(pass phrase)的方法创建密码。
图书封面