CCSP自学指南：安全Cisco.IOS网络（中文）.pdf

中文名: CCSP自学指南：安全Cisco IOS网络（中文） 原名: CCSP Self-Study : Securing Cisco IOS Networks (SECUR) 作者: John F.Roland译者: 张耀疆 陈克忠资源格式: PDF 版本: 扫描版 出版社: 人民邮电出版社书号: 7115129851发行时间: 2005年 地区: 大陆 语言: 简体中文,英文 简介: 内容简介 本书全面系统地介绍了在基于Cisco路由器的网络环境中，如何实施和管理网络安全。全书共13章，从内容上可以分成5个部分，，第一部分包括第1章到第4章，详尽地介绍了网络安全的基本概念和相关Cisc。路由器的基本的安全配置；第二部分包括第5章到第7章，介绍了3种Cisco IOS的增强功能--防火墙特征集；第三部分包括第8章到第10章，介绍了怎样利用Cisco路由器建立和管理***；第四部分包括第11章到13章，介绍了两种Cisco网络安全的管理工具--安全设备管理器(SDM)和路由器管理中心(MC)，以及一个全面地配置Cisco路由器的综合案例；附录部分给出了章节复习题答案、网络安全策略样例和访问控制列表参考。 本书是Cisco Press出版的 关于CCSP的官方教材，是CCSP应试者的必备书籍。同时本书内容翔实，涉及知识面广，也适合广大网络管理人员和网络爱好者阅读与参考，更全面、更有效地保护自己的网络安全。 本书特色： 本书是一本针对与Cisco IOS设备协同工作相关的安全实践、协议、软件和设备的指南，以提供层次化的网络安全。除了直接有助于CCSPSECUR642-501考试之外，本书所提供的理论和配置指南都是非常有价值的。 本书是Cisco授权的面向自学的工具，有助于读者掌握所有的安全技术和技能，包括最新的一些主题，例如Cisco Easy ***和SDM(SecuntyDevice Manager)。各章节概述可以让读者快速提升用于加强网络安全的技术，配置练习则向读者演示了实施Cisco IOS设备保护的方法，而每一章最后的小结则提供了测试知识掌握程度的练习题。 无论读者是要寻找一本用于Cisco IOS安全工作的指导书，还是直接针对642-501考试，本书都是很好的选择。 ●了解Cisco的系统网络安全产品线，列举一个完整的安全策略的组件； ●用Cisco Secure ACS for Windows和CiscoSecure ACS for UNIX来实施Cisco路由器网络所支持的TACACS+和RADIUS AAA： ●配置Cisco边界路由器和Cisco IOS防火墙所支持的AAA, ●实施标准实践，以保护管理访问的安全，禁止不用的路由器协议、服务和接口； ●用AutoSecure来配置Cisco路由器的安全参数； ●配置Cisco IOS防火墙的CBAC。认证代理和AAA支持； ●配置并管理Cisco IOS IDS路由器签名和审计规则； ●用安全监视器或Syslog服务器来监视Cisco IOS IDS路由器； ●用预先共享密钥或RSA签名在Cisco路由器上配置IPSec ***隧道； ●配置Cisco路由器，以使用带NAT的IPSec, ●用安全设备管理器和路由器管理中心来配置和管理Cisco IOS ***和Cisco IOS防火墙策略； ●用ACL来消减常见的路由器安全威胁。 本书提供作译者介绍 John P．Roland，CCNA，CCDA，CCNP，CCDP，CSS-1，MCSE，是WesTek顾问公司的一名安全专家。从IBM大型机上的COBOL编程到局域网／广域网设计和实施(美国军方网络)，一直到最近开发Cisc及微软认证培训材料，John已经在IT领域从业22年了。目前，John受托为一家大型的电缆通信公司设计技术培训材料。 John拥有Tiffin大学会计学士学位，在General Motors研究所辅修数学和电子工程。 关于技术编辑 前言 本书的目标是帮助读者实施Cisco IOS网络安全技术，创建高度可管理且安全的网络。本书专为Cisco SECUK课程而设计，也可以作为独立参考材料。 期望读者群 本书适合于任何想要了解Cisco网络安全特性和技术的人员。主要的目标受众是需要扩展路由选择及交换技术知识，并且需要用CiscoIOS软件及Cisco IOS防火墙的强大特性来提升安装、配置、监视和校验Cisco网络安全技能的网络专家。本书假定读者已经具备与通过CCNA认证考试同等的Cisco网络知识。 第二个目标受众是需要理解网络安全威胁及其对策的一般用户。本书介绍了许多网络安全的概念和技术，讲述方式非常友好，不会让读者有参考技术手册那样的晦涩感。 Cisco认证安全专家 如果读者有意获取专业证书，可以通过Cisco所要求的系列认证考试来向当前或者预期的雇主或伙伴证明自己的能力。许多网络专家都追崇CCSP证书，因为网络安全已经日益成为21世纪商业活动全面安全计划中非常关键的一个要素。本书就是设计用来帮助读者取得这一享有极高声望的证书的，如果它就是你的目标的话。 CCSP认证是一个主流的思科认证方向，始于CCNA，终止于CCIE，就像CCNP、CCDP和CCIP认证那样。CCSP认证需要你通过5门考试。完成这些考试并获取CCSP证书的前提条件是你必须持有一张CCNA证书。表I-1包含了一列CCSP认证系列的考试科目。 CCSP证书有效期是3年，之后必须履行再认证的要求。目前，再认证的要求是重新参加最新版本的适当的考试。在Cisco．com上可以看到很多关于CCSP的信息。 本书特点 本书具有诸多特色，有助于读者掌握本书覆盖的网络安全内容： ● 概念--在每一章的开始处都会列出本章覆盖的话题，这提供了对相关概念的参考，可用作高效的组织。 ● 图、例子和表格--本书每个章节都包含图片、例子和表格，这使得章节内容易读易懂。图片用来解释概念和软件过程，例子提供了命令和输出的示例，表格提供了诸如命令语法和描述的知识。 ● 案例研究--未来公司，一家假设的企业，在本书每个章节都会提及，它是配置示例的落脚点，这使得全书例子的组织浑然一体并且更近现实。一个基于未来公司的例子网络安全策略贯穿全书，成为实施安全策略指导的一个模型。许多章节中的案例研究网络示例都是对本章讲述的配置信息的归纳总结，当然，其基础也是未来公司的客户环境。 ● 命令概要--每小节都包含命令概要，易于学习和任务实践。 ● 章节小结--在每一章的最后都有一个对本章讲述概念的总结，可以作为章节大纲，有助于学习。 ● 复习题--在每一章的小结后面，都会有10个或者更多的问题，这些问题可以促进对本章讲述概念的记忆，有助于在知新之前先行温故。问题答案都在附录A中。 ● 术语表--术语表提供了对本书用到的关键术语的简洁解释。 本书组织 本书一共包括13章、3个附录和一个术语表。 ● 第1章，"网络安全简介"，讨论了网络安全所面临的一些威胁，以及可用来消除这些威胁和潜在破坏性影响的工具和过程。 .● 第2章，"Cisco路由器安全基础"，介绍了加强物理路由器设备安全、保护路由器管理接口以及实施AAA的有效方法。 ● 第3章，"Cisco路由器网络高级AAA安全"，覆盖了Cisco Secure ACS software for Windows NT或Windows 2000、UNIX(Solaris)和新的Cisco Secure ACS应用，包括TACACS+、RADIUS和Kerberos安全服务。 ● 第4章，"Cisco路由器威胁对策"，描述了将企业连接到因特网的风险，以及可用来消减这些风险的方法。 ● 第5章，"Cisco IOS防火墙基于上下文访问控制的配置"，介绍Cisco IOS防火墙，讨论CBAC、全局超时和阈值、端口到应用映射以及检查规则。 ● 第6章，"Cisco IOS防火墙认证代理"，介绍Cisco IOS防火墙认证代理和服务器，以及支持认证代理所需的路由器配置。 ● 第7章，"Cisco IOS防火墙入侵检测系统"，介绍针对Cisco路由器的Cisco IOS防火墙入侵检测系统包，及其配置方法。 ● 第8章，"用Cisco路由器和预共享密钥建立IPSec ***"，介绍用预先共享密钥认证来配置Cisco IOS IPSec的方法。 ● 第9章，"用Cisco路由器和CA建立高级IPSec***"，介绍用CA对Cisco IOS IPSec的配置。 ● 第10章，"用Cisco Easy ***配置IOS远程接入"，介绍使用Cisco Easy ***和Cisco ***客户端来配置Cisco IOS远程接入。 ● 第11章，"使用安全设备管理器保护Cisco路由器"，介绍和说明Cisco安全设备管理器。 ● 第12章，"管理企业***路由器"，介绍和说明Management Center for *** Router(Router MC)。 ● 第13章，"案例研究"，最大程度上利用本书讨论过的大多数安全要素。 ● 附录A，"各章复习题答案"，提供了每章最后复习题的答案。 ● 附录B，"网络安全策略实例"，包含针对未来公司网络的网络安全策略的例子。 ● 附录c，"配置标准和扩展访问列表"，概览在Cisco IOS软件中配置标准和扩展IP访问列表。 ● 术语表提供了对本书涉及的术语的简洁解释。 命令语法约定 本书在命令语法的表示上与Cisco IOS命令参考的约定相同： ● 黑体字指出字面显示的命令和关键字。在实际的配置例子和输出(并非一般的命令语法)中，黑体字指出用户手工输入的命令(例如show命令)； ● 斜体字指出需要提供实际值的参数； ● 竖线(│)分隔替换项，相互排斥的元素； ● 方括弧([])指出可选元素； ● 大括弧({})指出必须的选择； ● 带方括弧的大括弧([{}]) 指出在一个可选元素中的必须的选择。 目录: 第1章 网络安全简介 1．1 目标 1．1．1 一个封闭的网络 1．1．2 现代网络 1．1．3 威胁的能力--更危险更容易 1．1．4 安全角色的转变 1．1．5 电子商务的挑战 1．1．6 法律和政策的问题 1．2 Cisco SAFE Blueprint 1．2．1 路由器目标 1．2．2 交换机目标 1．2．3 主机目标 1．2．4 网络目标 1．2．5 应用目标 1．2．6 安全的管理和报告 1．3 网络攻击类型 1．3．1 网络安全威胁 1．3．2 网络攻击类型 1．4 网络安全策略 1．5 Cisco网络安全产品 .1．6 Cisco管理软件 1．6．1 Cisco ***设备管理器 1．6．2 Cisco PIX设备管理器 1．6．3 Cisco ***方案中心 1．6．4 Cisco Works ***／安全管理方案 1．7 管理协议和功能 1．7．1 Telnet 1．7．2 简单网络管理协议 1．7．3 Syslog 1．7．4 简单文件传输协议 1．7．5 网络时间协议 1．8 NAT和NAT穿透 1．9 本章小结 1．10 本章复习题 第2章 Cisco路由器安全基础 2．1 Cisco IOS防火墙特性 2．1．1 Cisco IOS防火墙价值 2．1．2 Cisco IOS防火墙特点 2．2 安全的Cisco路由器安装 2．2．1 对安装进行风险评估 2．2．2 Cisco路由器和交换机物理安装常见威胁 2．3 安全的Cisco路由器管理访问 2．3．1 连接路由器控制台端口 2．3．2 口令创建规则 2．3．3 初始化配置对话 2．3．4 配置最小口令长度 2．3．5 配置Enable Secret口令 2．3．6 配置控制台端口用户级口令 2．3．7 配置一个vty用户级口令 2．3．8 配置一个AUX用户级口令 2．3．9 用service password-encrypfion命令加密口令 2．3．10 增强用户名口令安全 2．3．11 用no service password-recovery保护ROMMON 2．3．12 记录认证失败率 2．3．13 设置路由器链路超时 2．3．14 设置特权级别 2．3．15 配置旗标消息 2．3．16 安全的SNMP访问 2．4 Cisco路由器AAA介绍 2．4．1 AAA模型：网络安全结构 2．4．2 实施AAA 2．4．3 用本地服务实施AAA 2．4．4 用外部服务实施AAA 2．4．5 TACACS+和RADIUS AAA协议 2．4．6 认证方法和易用性 2．5 为Cisco边界路由器配置AAA 2．5．1 认证边界路由器访问 2．5．2 边界路由器AAA配置过程 2．5．3 对特权EXEC和配置模式进行安全访问 2．5．4 用aaa new-model命令启用AAA 2．5．5 aaa authentication命令 2．5．6 aaa authorization命令 2．5．7 aaa accounting命令 2．6 AAA排障 2．6．1 debug aaa authentication命令 2．6．2 debug aaa authorization命令 2．6．3 debug aaa accounting命令 2．7 本章小结 2．8 Cisco IOS命令回顾 2．9 本章复习题 2．10 案例研究 2．10．1 未来公司 2．10．2 安全策略符合性 2．10．3 解决方案 第3章 Cisco路由器网络高级AAA安全 3．1 Cisco Secure ACS介绍 3．1．1 Cisco Secure ACS for Windows 3．1．2 Cisco Secure ACS for UNIX(Solaris) 3．2 安装Cisco Secure ACS 3．0 forWindows 2000／NT服务器 3．2．1 配置服务器 3．2．2 校验Windows服务器和其他网络设备间的连接 3．2．3 在服务器上安装Cisco Secure ACS for Windows 3．2．4 用Web浏览器配置Cisco Secure ACS for Windows 3．2．5 为AAA配置其余设备 3．2．6 校验正确安装和操作 3．3 Cisco Secure ACS for Windows管理和排障 3．3．1 认证失败 3．3．2 授权失败 3．3．3 记帐失败 3．3．4 拨入PC问题排障 3．3．5 使用Cisco IOS命令排障 3．4 TACACS+概述 3．4．1 一般特性 3．4．2 配置TACACS+ 3．4．3 校验TACACS+ 3．5 RADIUS概述 3．5．1 客户端／服务器模型 3．5．2 网络安全 3．5．3 灵活的认证机制 3．5．4 配置RADIUS 3．5．5 RADIUS增强属性 3．6 Kerberos概述 3．7 本章小结 3．8 Cisco IOS命令回顾 3．9 本章复习题 3．10 案例研究 3．10．1 场景 3．10．2 解决方案 第4章 Cisco路由器威胁对策 4．1 用路由器来保护网络 4．1．1 单个边界路由器 4．1．2 边界路由器和防火墙 4．1．3 集成防火墙的边界路由器 4．1．4 边界路由器、防火墙和内部路由器 4．2 加强路由器服务和接口的安全性 4．2．1 关闭BOOTP服务器 4．2．2 关闭CDP服务 4．2．3 关闭配置自动加载服务 4．2．4 限制DNS服务 4．2．5 关闭FTP服务器 4．2．6 关闭Finger服务 4．2．7 关闭无根据ARP 4．2．8 关闭HTTP服务 4．2．9 关闭IP无类别路由选择服务 4．2．10 关闭IP定向广播 4．2．11 关闭IP鉴别 4．2．12 关闭ICMP掩码应答 4．2．13 关闭ICMP重定向 4．2．14 关闭IP源路由选择 4．2．15 关闭ICMP不可达消息 4．2．16 关闭MOP服务 4．2．17 关闭NTP服务 4．2．18 关闭PAD服务 4．2．19 关闭代理AKP 4．2．20 关闭SNMP服务 4．2．21 关闭小型服务器 4．2．22 启用TCPKeepalive 4．2．23 关闭TFTP服务器 4．3 关闭不用的路由器接口 4．4 实施Cisco访问控制列表 4．4．1 识别访问控制列表 4．4．2 IP访问控制列表类型 4．4．3 注释IPACL条款 4．4．4 开发ACL规则 4．4．5 ACL定向过滤 4．4．6 将ACL应用到接口 4．4．7 显示ACL 4．4．8 启用Turbo ACL 4．4．9 增强ACL 4．5 用ACL来应对安全威胁 4．5．1 流量过滤 4．5．2 理论网络 4．6 过滤路由器服务流量 4．6．1 Telnet服务 4．6．2 SNMP服务 4．6．3 路由选择协议 4．7 过滤网络流量 4．7．1 IP地址欺骗对策 4．7．2 DoS TCP SYN攻击对策 4．7．3 DoS Smuff攻击对策 4．7．4 过滤ICMP消息 4．8 DDoS对策 4．8．1 TKIN00 4．8．2 Stacheldraht 4．8．3 Trinity V3 4．8．4 Subseven 4．9 路由器配置示例 4．10 实施Syslog日志 4．10．1 Syslog系统 4．10．2 Cisco日志安全级别 4．10．3 日志消息格式 4．10．4 Syslog路由器命令 4．11 为企业网络设计安全的管理和报告系统 4．11．1 SAFE结构通览 4．11．2 信息路径 4．11．3 带外管理一般指南 4．11．4 日志和报告 4．11．5 配置SSH服务器 4．11．6 安全的SNMP访问 4．12 用AutoSecure加强Cisco路由器安全 4．12．1 起点 4．12．2 接口选择 4．12．3 安全的Management层面服务 4．12．4 创建安全旗标 4．12．5 配置口令、AAA、SSH服务器和域名 4．12．6 配置特定接口服务 4．12．7 配Cisco Express Forwarding和入口过滤 4．12．8 配置入口过滤和CBAC 4．12．9 检查配置并应用于运行配置中 4．12．10 例子：使用AutoSecure之前典型的路由器配置 4．12．11 例子：使用AutoSecure之后典型的路由器配置 4．13 本章小结 4．14 Cisco IOS命令回顾 4．15 本章复习题 4．16 案例研究 4．16．1 场景 4．16．2 解决方案 第5章 Cisco IOS防火墙基于上下文访问控制的配置 5．1 Cisco IOS防火墙介绍 5．1．1 Cisco IOS防火墙特征集 5．1．2 理解CBAC 5．1．3 理解认证代理 5．1．4 理解入侵检测 5．2 用CBAC保护用户免受攻击 5．2．1 Cisco IOS访问控制列表 5．2．2 CBAC是如何工作的 5．2．3 支持的协议 5．2．4 告警和审计跟踪 5．3 配置CBAC 5．3．1 打开审计跟踪和告警 5．3．2 全局超时值和阈值 5．3．3端口到应用的映射(Poft-To-Application Mapping) 5．3．4 定义应用协议审查规则 5．3．5 路由器接口审查规则和ACL 5．3．6 测试和验证CBAC 5．4 本章小结 5．5 Cisco IOS命令回顾 5．6 本章复习题 5．7 案例研究 5．7．1 场景 5．7．2 解决方案 第6章 Cisco IOS防火墙认证代理 6．1 介绍Cisco IOS防火墙认证代理 6．1．1 定义认证代理 6．1．2 支持AAA协议和服务器 6．1．3 发起一个会话 6．1．4 认证代理过程 6．1．5 应用认证代理 6．1．6 配置认证代理 6．2 配置AAA服务器 6．2．1 在Cisco安全访问控制服务器(CSACS)上配置认证代理服务 6．2．2 在Cisco安全访问控制服务器上建立用户授权配置文件 6．2．3 在建立用户授权配置文件时使用proxyacl#n属性 6．3 用AAA服务器配置Cisco IOS防火墙 6．3．1 打开AAA 6．3．2 指定认证协议 6．3．3 指定授权协议 6．3．4 定义TACACS+服务器和它的密钥 6．3．5 定义RADIUS服务器和它的密钥 6．3．6 允许到路由器的AAA流量 6．3．7 打开路由器的HTTP月赂器 6．4 配置认证代理 6．4．1 设置默认空闲时间 6．4．2 定义可选的认证代理标志 6．4．3 定义和应用认证代理规则 6．4．4 将认证代理规则关联到ACL 6．5 测试和验证配置 6．5．1 show命令 6．5．2 debug命令 6．5．3 清除认证代理缓存 6．6 本章小结 6．7 Cisco IOS命令回顾 6．8 本章复习题 6．9 案例研究 6．9．1 场景 6．9．2 解决方案 第7章 Cisco IOS防火墙入侵检测系统 7．1 Cisco IOS IDS介绍 7．1．1 网络能见度 7．1．2 支持的路由器平台 7．1．3 实施问题 7．1．4 签名应用 7．1．5 响应选项 7．2 配置Cisco IOS IDS 7．2．1 步骤1--初始化Cisco IOSIDS路由器 7．2．2 步骤2--配置保护、关闭和排除签名 7．2．3 步骤3--健立和应用审查规则 7．2．4 步骤4--险证配置 7．2．5 步骤5--Cisco IOS IDS路由器加到CiscoWorks安全监控中心 7．3 本章小结 7．4 Cisco IOS IDS使用的签名 7．5 Cisco IOS命令回顾 7．6 本章复习题 7．7 案例研究 7．7．1 场景 7．7．2 解决方案 第8章 用Cisco路由器和预共享密钥建立DSec *** 8．1 在Cisco路由器打开安全*** 8．1．1 定义*** 8．1．2 Cisco ***路由器产品线 8．2 什么是IPSec 8．2．1 机密性(加密) 8．2．2 数据完整性 8．2．3 起源认证 8．2．4 反重放保护 8．3 IPSec协议框架 8．3．1 IPSec协议 8．3．2 使用模式：比较隧道模式和传输模式 8．3．3 在IPSec隧道中的DF位覆盖功能性 8．3．4 IPSec框架 8．4 IPSec的5个步骤 8．4．1 IPSec步骤1：感兴趣的流量 8．4．2 IPSec步骤2：IKE阶段1 8．4．3 IPSec步骤3：IKE阶段2 8．4．4 IPSec步骤4：数据传输 8．4．5 IPSec步骤5：隧道终止 8．5 IPSec和动态虚拟专用网 8．6 使用IKE预共享密钥配置IPSec 8．6．1 任务1配置IPSec加密：为IKE和IPSec准备 8．6．2 任务2配置IPSec加密：配置IKE 8．6．3 任务3配置IPSec加密：配置IPSec 8．6．4 任务4配置IPSec加密：测试和验证IPSec和ISAKMP 8．7 手动配置IPSec 8．8 使用RSA加密Nonces配置IPSec 8．9 和IPSec一起使用NAT 8．9．1 IKE阶段1和阶段2协商 8．9．2 NAT穿透包封装 8．9．3 配置IPSec和NAT一起工作 8．10 本章小结 8．11 CiscolOS命令回顾 8．12 本章复习题 8．13 案例研究 8．13．1 场景 8．13．2 解决方案 第9章 用Cisco路由器和CA建立高级IPSec *** 9．1 证书权威 9．1．1 Cisco IOS CA支持标准 9．1．2 简单证书登记协议 9．1．3 CA服务器和Cisco路由器的协同性 9．1．4 用CA登记一台设备 9．1．5 多个RSA密钥对支持 9．2 配置CA支持任务 9．2．1 配置CA支持之任务1：为IKE和IPSec作准备 9．2．2 配置CA支持之任务2：配置CA支持 9．2．3 配置CA支持之任务3：为IPSec配置IKE 9．2．4 配置CA支持之任务4：配置IPSec 9．2．5 配置CA支持之任务5：测试和验证IPSec 9．3 本章小结 9．4 Cisco IOS命令回顾 9．5 本章复习题 9．6 案例研究 9．6．1 场景 9．6．2 解决方案 第10章 用Cisco Easy ***配置I0S远程接入 10．1 介绍Cisco Easy *** 10．1．1 Cisco Easy *** Server 10．1．2 Cisco Easy *** Remote 10．2 Cisco Easy *** Server概述 10．2．1 12．2(8)T和Cisco Easy***的新特征 10．2．2 支持的IPSec属性 10．2．3 不支持的IPSec属性 10．3 CiscoEasy *** Remote概述 10．3．1 支持的Cisco Easy ***远程客户端 10．3．2 Cisco Easy *** Remote阶段Ⅱ 10．3．3 Cisco *** Chent 3．5概述 10．3．4 Cisco Easy ***功能 10．4 配置Cisco Easy *** Server支持XAUTH 10．4．1 任务1：配置XAUTH 10．4．2 任务2：建立IP地址池 10．4．3 任务3：配置组策略搜寻 10．4．4 任务4：为远程***客户接入建立ISAKMP策略 10．4．5 任务5：为MC"推"定义组策略 10．4．6 任务6：建立变换集 10．4．7 任务7：用RRI建立动态加密映射 10．4．8 任务8：将MC应用到动态加密映射 10．4．9 任务9：将动态加密映射应用到路由器的外部接口 10．4．10 任务10：打开IKEDPD(可选) 10．5 为组B己置文件配置RADIUS认证 10．6 Cisco *** Client 3．5安装和配置任务 10．6．1 任务1：安装Cisco *** Client 3．x 10．6．2 任务2：建立新的连接条目 10．6．3 任务3(可选)：修改Cisco*** Chent选项 10．6．4 任务4：配置Cisco ***Chent基本属性 10．6．5 任务5：配置Cisco ***Chent认证属性 10．6．6 任务6：配置Cisco ***Chent连接属性 10．7 和Cisco *** Chent3．5-起工作 10．7．1 程序菜单 10．7．2 日志查看器， 10．7．3 设置MTU大小 10．7．4 客户端连接状态：基本际签 10．7．5 客户端连接状态：统计标签 10．8 即将来临的Cisco *** Client更新 10．8．1 虚拟适配器 10．8．2 对Windows和Mac统一了***客户端 10．8．3 删除警告(包括原因) 10．8．4 单一IPSec-SA 10．8．5 个人防火墙增强 10．8．6 第三方***厂商兼容 10．8．7 RADIUS SDI XAUTH请求管理 10．8．8 ISO标准格式日志文件名 10．8．9 GINA增强 10．9 本章小结 10．10 Cisco IOS命令回顾 10．11 本章复习题 10．12 案例研究 10．12．1 场景 10．12．2 解决方案 第11章 使用安全设备管理器保护Cisco路由器 11．1 理解安全设备管理器 11．1．1 SDM特征 11．1．2 智能安全配置 11．1．3 SDM用户类型 11．1．4 SDM特征的详细资料 11．2 理解SDM软件 11．2．1 支持的Cisco IOS版本和设备 11．2．2 获取SDM 11．2．3 在已有的路由器上安装SDM 11．2．4 显示路由器的闪存空间 11．2．5 SDM软件需求 11．2．6 SDM路由器通信 11．3 使用SDM启动向导 11．3．1 第一次SDM访问 11．3．2 诊断SDM故障 11．4 介绍SDM用户界面 11．4．1 SDM主窗口特征 11．4．2 SDM菜单栏 11．4．3 SDM工具栏 11．4．4 SDM向导模式选项 11．5 使用WAN向导配置WAN 11．5．1 建立新WAN连接 11．5．2 运行串口向导 11．5．3 配置封装和IP地址 11．5．4 配置LMI和DLCI 11．5．5 配置高级选项 11．5．6 完成WAN接口配置 11．5．7 查看和编辑已有的WAN连接 11．5．8 使用高级模式验证接口状态 11．6 使用SDM配置防火墙 11．6．1 建立基本防火墙 11．6．2 建立高级防火墙 11．7 使用SDM配置*** 11．7．1 使用预共享密钥建立站到站的*** 11．7．2 查看或改变***设置 11．8 使用SDM执行安全审查 11．8．1 执行安全审查 11．8．2 一步加固 11．9 使用出厂复位向导 11．10 使用SDM高级模式 11．10．1 高级模式--概要 11．10．2 高级模式--接口和连接 11．10．3 高级模式--规则 11．10．4 高级模式--路由选择 11．10．5 高级模式--NAT 11．10．6 高级模式--系统属性 11．10．7 高级模式--*** 11．11 理解监控模式 11．12 本章小结 11．13 Cisco IOS命令回顾 11．14 本章复习题 11．15 案例研究 11．15．1 场景 11．15．2 解决方案 第12章 管理企业***路由器 12．1 路由器MC1．2．1简介 12．1．1 理解路由器MC概念 12．1．2 路由器MC组件 12．1．3 路由器MC1．2．1支持的设备 12．1．4 路由器MC通信 12．1．5 支持的隧道技术 12．2 安装路由器MC 12．2．1 安装需求 12．2．2 客户端访问需求 12．2．3 安装过程 12．2．4 配置路由器支持SSH 12．3 使用路由器MC 12．3．1 Cisco Works登录 12．3．2 Cisco Works用户授权角色 12．3．3 在Cisco Works中添加用户 12．3．4 启动路由器MC 12．3．5 使用路由器MC主窗口 12．3．6 使用路由器MC界面 12．3．7 使用设备标签 12．3．8 使用配置标签 12．3．9 使用部署标签 12．3．10 使用报告标签 12．3．11 使用管理标签 12．4 建立工作流程和活动 12．4．1 工作流程任务 12．4．2 任务1：建立活动 12．4．3 任务2：建立设备组 12．4．4 任务3：导入设备 12．4．5 任务4：定义***设置 12．4．6 任务5：定义***策略 12．4．7 任务6：批准活动 12．4．8 任务7：建立和部署作业 12．5 配置基本的Cisco IOS防火墙设置 12．5．1 分片规则 12．5．2 超时值和性能 12．5．3 半打开连接限制 12．5．4 日志 12．5．5 ACL范围 12．6 建立访问规则 12．7 使用建构块 12．7．1 网络组 12．7．2 变换集 12．7．3 服务组 12．8 网络地址转换规则 12．8．1 地址池 12．8．2 流量过滤 12．9 管理配置 12．9．1 上传 12．9．2 查看配置 12．9．3 路由器MC部署选项 12．10 管理 12．10．1 部署报告 12．10．2 活动报告 12．10．3 审计跟踪报告 12．10．4 管理 12．11 本章小结 12．12 本章复习题 12．13 案例研究 12．13．1 场景 12．13．2 解决方案 第13章 案例研究 13．1 简介 13．2 需求 13．3 解决方案 13．3．1 开始路由器配置 13．3．2 解决方案的配置步骤 13．3．3 结束路由器配置 附录A 各章复习题答案 第1章 第2章 第3章 第4章 第5章 第6章 第7章 第8章 第9章 第10章 第11章 第12章 附录B 网络安全策略实例 B．1 授权和范围的说明 B．I．1 适用对象 B．1．2 网络安全策略的范围 B．1．3 网络安全策略负责人 B．1．4 系统管理员责任 B．1．5 网络安全策略维护流程 B．1．6 实施过程 B．1．7 用户培训 B．2 漏洞审计策略 B．2．1 可接受的使用 B．2．2 频率 B．2．3 审计目标 B．2．4 报告 B．3 网络使用策略 B．3．1 可接收的网络使用 B．3．2 不可接收的网络使用 B．3．3 服从要求 B．4 身份鉴别和认证策略 B．4．1 可接受的使用 B．4．2 密码管理 B．4．3 认证管理 B．5 Internet访问策略 B．5．1 可接受的使用 B．5．2 防火墙使用 B．5．3 公共服务使用 B．6 园区访问策略 B．6．1 可接受的使用 B．6．2 信任关系 B．6．3 网络设备安全 B．7 远程访问策略 B．7．1 可以接受的使用 B．7．2 移动计算 B．7．3 从家中访问 B．7．4 远距离工作协议 B．7．5 分支机构访问 B．7．6 商务合作者(外联网)访问 B．7．7 加密 B．8 事件处理策略 B．8．1 入侵检测需求 B．8．2 事件响应过程 B．8．3 联络点 附录C 配置标准和扩展访问列表 C．1 IP编址和通用访问列表概念 C．1．1 IP地址 C．1．2 通配符掩码 C．1．3 一般访问列表配置任务 C．1．4 访问列表配置原则 C．2 配置标准IP访问列表 C．2．1 标准IP访问列表处理 C．2．2 标准IP访问列表命令 C．2．3 标准访问列表的定位 C．2．4 标准IP访问列表中的一般错误 C．2．5 标准IP访问列表举例 C．3 配置扩展IP访问列表 C．3．1 扩展IP访问列表处理 C．3．2 扩展1P访问列表命令 C．3．3 ICMP命令语法 C．3．4 TCP语法 C．3．5 UDP语法 C．3．6 扩展IP访问列表的定位 C．3．7 扩展IP访问列表举例1 C．3．8 扩展IP访问列表举例2 C．4 验证访问列表配置 C．5 命名的IP访问列表 C．6 总结 C．7 参考文献 C．7．1 配置IP访问列表 C．7．2 IP协议和编址信息 术语表