第 1章 現(xiàn)代網(wǎng)絡安全威脅 1 1.1　保護網(wǎng)絡　2 1.1.1　網(wǎng)絡安全的現(xiàn)狀　2 1.1.2　網(wǎng)絡拓撲概述　3 1.2　網(wǎng)絡威脅　6 1.2.1　誰在攻擊我們的網(wǎng)絡　6 1.2.2　黑客工具　7 1.2.3　惡意軟件　8 1.2.4　常見的網(wǎng)絡攻擊　11 1.3　緩解威脅　15 1.3.1　保衛(wèi)網(wǎng)絡　15 1.3.2　網(wǎng)絡安全域　17 1.3.3　Cisco SecureX架構　18 1.3.4　緩解常見的網(wǎng)絡威脅　21 1.3.5　Cisco網(wǎng)絡基礎保護框架　24 1.4　總結　27 第　2章 保護網(wǎng)絡設備　28 2.1　保護對設備的訪問　29 2.1.1　保護邊界路由器　29 2.1.2　配置安全的管理訪問　32 2.1.3　為虛擬登錄配置增強的安全性　34 2.1.4　配置SSH　36 2.2　分配管理角色　37 2.2.1　配置特權級別　37 2.2.2　配置基于角色的CLI　39 2.3　監(jiān)控和管理設備　41 2.3.1　保護Cisco IOS鏡像和配置文件　41 2.3.2　安全管理和報告　44 2.3.3　針對網(wǎng)絡安全使用syslog　45 2.3.4　使用SNMP實現(xiàn)網(wǎng)絡安全　47 2.3.5　使用NTP　50 2.4　使用自動安全特性　52 2.4.1　執(zhí)行安全審計　52 2.4.2　使用AutoSecure鎖定路由器　53 2.5　保護控制平面　55 2.5.1　路由協(xié)議驗證　55 2.5.2　控制平面監(jiān)管　56 2.6　總結　58 第3章　認證、授權和審計　59 3.1　使用AAA的目的　60 3.1.1　AAA概述　60 3.1.2　AAA的特點　61 3.2　本地AAA認證　62 3.2.1　使用CLI配置本地AAA認證　62 3.2.2　本地AAA認證故障排錯　64 3.3　基于服務器的AAA　65 3.3.1　基于服務器AAA的特點　65 3.3.2　基于服務器的AAA通信協(xié)議　66 3.4　基于服務器的AAA認證　69 3.4.1　配置基于服務器的AAA認證　69 3.4.2　基于服務器的AAA認證的故障排錯　71 3.5　基于服務器的AAA授權和審計　71 3.5.1　配置基于服務器的AAA授權　71 3.5.2　配置基于服務器的AAA審計　72 3.5.3　802.1X認證　73 3.6　總結　75 第4章　實施防火墻技術　76 4.1　訪問控制列表　76 4.1.1　用CLI配置標準和擴展IPv4 ACL　76 4.1.2　使用ACL緩解攻擊　78 4.1.3　IPv6 ACL　80 4.2　防火墻技術　81 4.2.1　使用防火墻保護網(wǎng)絡　81 4.2.2　防火墻類型　82 4.2.3　經(jīng)典防火墻　85 4.2.4　網(wǎng)絡設計中的防火墻　87 4.3　基于區(qū)域策略防火墻　89 4.3.1　ZPF概述　89 4.3.2　ZPF的操作　90 4.3.3　配置ZPF　91 4.4　總結　93 第5章　實施入侵防御　95 5.1　IPS技術　95 5.1.1　IDS和IPS特性　95 5.1.2　基于網(wǎng)絡的IPS實施　98 5.1.3　思科交換端口分析器　102 5.2　IPS特征　103 5.2.1　IPS特征的特點　103 5.2.2　IPS特征警報　107 5.2.3　IPS特征行為　110 5.2.4　管理和監(jiān)視IPS　113 5.2.5　IPS全局關聯(lián)　115 5.3　實施IPS　117 5.3.1　使用CLI配置Cisco IOS IPS　117 5.3.2　修改Cisco IOS IPS特征　120 5.3.3　檢驗和監(jiān)控IPS　121 5.4　總結　122 第6章　保護局域網(wǎng)　123 6.1　終端安全　123 6.1.1　終端安全概述　123 6.1.2　反惡意軟件保護　125 6.1.3　郵件和Web安全　127 6.1.4　控制網(wǎng)絡訪問　129 6.2　第 2層安全考慮　132 6.2.1　第 2層安全威脅　132 6.2.2　CAM表攻擊　133 6.2.3　緩解CAM表攻擊　134 6.2.4　緩解VLAN攻擊　137 6.2.5　緩解DHCP攻擊　140 6.2.6　緩解ARP攻擊　143 6.2.7　緩解地址欺騙攻擊　145 6.2.8　生成樹協(xié)議　146 6.2.9　緩解STP攻擊　152 6.3　總結　154 第7章　密碼系統(tǒng)　156 7.1　密碼服務　156 7.1.1　保護通信安全　156 7.1.2　密碼術　159 7.1.3　密碼分析　161 7.1.4　密碼學　163 7.2　基本完整性和真實性　164 7.2.1　密碼散列　164 7.2.2　MD5和SHA-1的完整性　166 7.2.3　HMAC的真實性　167 7.2.4　密鑰管理　169 7.3　機密性　171 7.3.1　加密　171 7.3.2　數(shù)據(jù)加密標準　174 7.3.3　替代加密算法　176 7.3.4　Diffie-Hellman密鑰交換　177 7.4　公鑰密碼術　179 7.4.1　對稱加密與非對稱加密　179 7.4.2　數(shù)字簽名　181 7.4.3　公鑰基礎設施　183 7.5　總結　187 第8章　實施虛擬專用網(wǎng)絡　188 8.1　VPN　188 8.1.1　VPN概述　188 8.1.2　VPN拓撲　189 8.2　IPSec VPN組件和運行　191 8.2.1　IPSec簡介　191 8.2.2　IPSec協(xié)議　193 8.2.3　互聯(lián)網(wǎng)密鑰交換　195 8.3　使用CLI實現(xiàn)站點到站點的IPSec VPN　197 8.3.1　配置一個站點到站點的IPSec VPN　197 8.3.2　ISAKMP策略　198 8.3.3　IPSec策略　199 8.3.4　加密映射　200 8.3.5　IPSec VPN　201 8.4　總結　201 第9章　實施Cisco自適應安全設備（ASA）　202 9.1　ASA簡介　202 9.1.1　ASA解決方案　202 9.1.2　基本ASA配置　206 9.2　ASA防火墻配置　207 9.2.1　ASA防火墻配置　207 9.2.2　配置管理設置和服務　208 9.2.3　對象組　212 9.2.4　ACL　214 9.2.5　ASA上的NAT服務　217 9.2.6　AAA　218 9.2.7　ASA上的服務策略　219 9.3　總結　222 第　10章 高級Cisco自適應安全設備　223 10.1　ASA設備管理器　223 10.1.1　ASDM簡介　223 10.1.2　ASDM向導菜單　227 10.1.3　配置管理設置與服務　229 10.1.4　配置高級ASDM特性　232 10.2　ASA VPN配置　234 10.2.1　站點到站點VPN　234 10.2.2　遠程訪問VPN　237 10.2.3　配置無客戶端SSL VPN　240 10.2.4　配置AnyConnect SSL VPN　244 10.3　總結　248 第　11章 管理一個安全的網(wǎng)絡　250 11.1　安全網(wǎng)絡測試　251 11.1.1　網(wǎng)絡安全測試技術　251 11.1.2　網(wǎng)絡安全測試工具　253 11.2　開發(fā)一個全面的安全策略　256 11.2.1　安全策略概述　256 11.2.2　安全策略的結構　258 11.2.3　標準、指南、規(guī)程　259 11.2.4　角色和職責　261 11.2.5　安全意識和培訓　262 11.2.6　對安全違規(guī)的響應　264 11.3　總結　265