思科網絡技術學院教程：網絡安全基礎

第一部分
第1章 網絡安全概述 3
1.1 網絡安全的基本原理、趨勢和
目標 3
1.1.1 網絡安全的需要 4
1.1.2 影響網絡安全的趨勢 5
1.1.3 網絡安全目標 7
1.1.4 網絡安全的關鍵要素 8
1.1.5 安全意識 9
1.2 安全威脅與攻擊 10
1.2.1 網絡安全弱點 11
1.2.2 主要網絡威脅 12
1.2.3 偵查 13
1.2.4 竊聽 15
1.2.5 系統(tǒng)訪問 16
1.2.6 其他訪問攻擊 19
1.2.7 拒絕服務 20
1.2.8 分布式拒絕服務 22
1.2.9 弱點：OSI層次模型 25
1.3 安全框架與策略 27
1.3.1 安全車輪 27
1.3.2 安全策略基礎 30
1.3.3 網絡安全情況研究 33
1.4 安全產品和解決方案 37
1.4.1 身份 38
1.4.2 防火墻 40
1.4.3 虛擬專網 41
1.4.4 入侵探測 44
1.5 監(jiān)控、管理和審計 46
1.6 SAFE 49
1.7 小結 50
1.8 關鍵術語 51
1.9 復習題 52
第2章 基本的路由器和交換機安全 55
2.1 路由器和交換機安全概要 55
2.1.1 路由器拓撲 56
2.1.2 路由器安裝與安全 58
2.1.3 訪問控制 59
2.1.4 使用密碼控制路由器
訪問 63
2.1.5 設置優(yōu)先級 64
2.1.6 設置用戶賬號 65
2.1.7 登錄標語 66
2.2 禁用不需要的服務 67
2.2.1 路由選擇、代理ARP、
ICMP 72
2.2.2 NTP、SNMP、路由器名字、
DNS 74
2.3 邊界路由器安全 77
2.3.1 控制入站和出站流量 77
2.3.2 網絡地址轉換 79
2.3.3 路由協議驗證與更新
過濾 81
2.3.4 流量過濾 83
2.3.5 過濾ICMP消息 87
2.3.6 Cisco IOS防火墻 88
2.4 路由器管理 89
2.4.1 日志 90
2.4.2 網絡設備間的時間同步 92
2.4.3 軟件和配置的維護 94
2.4.4 使用SSH進行遠程管理 95
2.5 安全交換和局域網訪問 96
2.5.1 第二層攻擊以及緩解 98
2.5.2 端口安全 99
2.5.3 虛擬局域網 101
2.6 小結 102
2.7 關鍵術語 102
2.8 復習題 103
第3章 路由器ACL和CBAC 107
3.1 訪問控制列表 107
3.1.1 在ACL中使用掩碼 109
3.1.2 ACL 總結 110
3.1.3 處理ACL 111
3.1.4 應用ACL 112
3.1.5 編輯ACL 113
3.1.6 排除ACL故障 114
3.2 IP ACL的類型 115
3.2.1 標準ACL 116
3.2.2 擴展ACL 117
3.2.3 命名IP ACL 118
3.2.4 注釋IP ACL條目 118
3.2.5 鎖和密鑰（動態(tài)）ACL 119
3.2.6 反身ACL 120
3.2.7 使用時間范圍的時基
ACL 122
3.2.8 驗證代理 122
3.2.9 Turbo ACL 123
3.3 基于上下文的訪問控制 123
3.3.1 CBAC是如何工作的 125
3.3.2 支持CBAC的協議 127
3.3.3 配置CBAC：第一步
--設置審計跟蹤和
警報 128
3.3.4 配置CBAC：第二步
--設定全局超時和
閾值 129
3.3.5 配置CBAC：第三步
--定義應用程序端口
映射（PAM） 132
3.3.6 配置CBAC：第四步
--定義檢查規(guī)則 134
3.3.7 配置CBAC：第五步
--在路由器接口上應用
檢查規(guī)則和ACL 142
3.3.8 配置CBAC：第六步
--測試和檢驗 145
3.3.9 移除CBAC配置 147
3.3.10 配置一個空接口 147
3.4 小結 148
3.5 關鍵術語 148
3.6 復習題 149
第4章 路由器AAA安全 153
4.1 AAA安全網絡訪問 153
4.1.1 AAA安全網絡構架 154
4.1.2 驗證方法 155
4.2 網絡訪問服務器（NAS）AAA
驗證過程 158
4.2.1 遠程管理 158
4.2.2 遠程網絡訪問 158
4.2.3 AAA安全服務器的
選擇 159
4.2.4 NAS配置 160
4.3 Cisco Secure ACS 160
4.3.1 管理Cisco Secure ACS3.0
for Windows 161
4.3.2 Cisco Secure ACS for
Windows故障排除技術 163
4.3.3 Cisco Secure ACS for UNIX
概述 163
4.3.4 Cisco Secure ACS 2.3 for
UNIX的特性集 164
4.3.5 Cisco Secure ACS解決方案
引擎 165
4.4 AAA服務器概述及配置 167
4.4.1 TACACS 168
4.4.2 XTACACS 168
4.4.3 TACACS+ 168
4.4.4 介紹RADIUS 168
4.4.5 RADIUS和TACACS+的
比較 170
4.4.6 Kerberos概述 171
4.5 Cisco IOS防火墻驗證代理 171
4.5.1 支持的服務器 172
4.5.2 驗證代理操作 172
4.5.3 驗證代理配置任務 173
4.5.4 HTTPS驗證代理 175
4.6 小結 177
4.7 關鍵術語 177
4.8 復習題 178
第5章 路由器入侵探測、監(jiān)控和管理 181
5.1 IOS防火墻IDS 181
5.1.1 實現簽名 183
5.1.2 響應選項 183
5.2 安裝Cisco IOS防火墻IDS 183
5.2.1 步驟1：初始化路由器上
的IOS Firewall IDS--
設置通告的類型 184
5.2.2 步驟2：初始化路由器上的
IOS Firewall IDS--設置
通告隊列的尺寸 184
5.2.3 步驟3：配置、禁用或剔除
簽名 185
5.2.4 步驟3：創(chuàng)建和應用審計
規(guī)則 186
5.2.5 步驟5：檢驗配置 187
5.2.6 步驟6：添加IOS防火墻
IDS到IDS Director的
映射圖 189
5.3 使用日志和Syslog監(jiān)控 189
5.3.1 日志的價值 189
5.3.2 配置日志 190
5.3.3 配置日志消息的同步 191
5.3.4 限制錯誤消息的嚴重
等級 192
5.3.5 系統(tǒng)日志（Syslog） 193
5.4 SNMP 196
5.4.1 SNMP的安全 198
5.4.2 SNMP 版本3
（SNMPv3） 199
5.4.3 如何配置SNMP 201
5.4.4 SNMP管理應用程序 201
5.5 管理路由器 202
5.5.1 管理員的訪問機制 202
5.5.2 升級路由器 203
5.5.3 測試和安全確認 204
5.5.4 企業(yè)監(jiān)控 204
5.6 安全設備管理器（SDM） 205
5.6.1 訪問SDM 207
5.6.2 下載安裝SDM 209
5.6.3 修改現有的配置文件 209
5.6.4 使用默認的配置文件 210
5.7 小結 210
5.8 關鍵術語 211
5.9 復習題 211
第6章 路由器配置Site-to-Site VPN 215
6.1 VPN 215
6.1.1 Site-to-Site VPN 215
6.1.2 VPN技術選項 216
6.1.3 隧道協議 217
6.1.4 隧道接口 218
6.2 IOS密碼系統(tǒng) 219
6.2.1 對稱加密 220
6.2.2 非對稱加密 221
6.2.3 Diffie-Hellman算法 222
6.2.4 數據完整性 223
6.2.5 HMAC 224
6.2.6 來源驗證 225
6.3 IPSec 226
6.3.1 驗證頭 228
6.3.2 ESP協議 229
6.3.3 IPSec傳輸模式 230
6.3.4 安全關聯 231
6.3.5 IPSec的5個步驟 233
6.3.6 IKE 233
6.3.7 IPSec和IKE的邏輯
流程 235
6.4 使用預共享密鑰的Site-to-Site
IPSec VPN 236
6.4.1 任務1：為IKE和IPSec
作準備 236
6.4.2 任務2：配置IKE 237
6.4.3 任務3：配置IPSec 237
6.4.4 任務4：測試和校驗IKE 240
6.5 數字證書 240
6.5.1 SCEP 241
6.5.2 CA服務器 242
6.5.3 用一個CA注冊設備 243
6.6 使用數字證書配置Site-to-Site
IPSec VPN 244
6.6.1 任務1：為IKE和IPSec
做準備 245
6.6.2 任務2：配置CA支持 245
6.6.3 任務3：IKE配置 246
6.6.4 任務4：配置IPSec 247
6.6.5 任務5：測試和檢驗
IPSec 247
6.7 小結 248
6.8 關鍵術語 248
6.9 復習題 249
第7章 路由器遠程訪問VPN 253
7.1 遠程訪問VPN 253
7.1.1 遠程訪問VPN的類型 254
7.1.2 遠程訪問的隧道協議 255
7.2 Cisco Easy VPN 256
7.2.1 Cisco Easy VPN Server 256
7.2.2 Cisco Easy VPN Remote 256
7.2.3 Cisco VPN 3.5 Client 259
7.3 VPN企業(yè)管理 264
7.3.1 路由器MC里的關鍵
概念 264
7.3.2 支持的隧道技術 266
7.3.3 路由器MC的安裝 266
7.3.4 路由器MC的使用 268
7.3.5 路由器MC界面 269
7.4 小結 270
7.5 關鍵術語 270
7.6 復習題 270
第二部分
第8章 PIX安全設備 275
8.1 防火墻簡介 275
8.1.1 使用防火墻的理由 276
8.1.2 防火墻技術 277
8.1.3 防火墻市場 281
8.2 Cisco PIX Security Appliance 282
8.2.1 PIX的特點 283
8.2.2 PIX安全設備家族 288
8.2.3 防火墻服務模塊 289
8.2.4 PIX安全設備許可證
類型 291
8.2.5 PIX安全設備的VPN
功能 291
8.3 開始使用PIX Security
Appliance 292
8.3.1 用戶界面 292
8.3.2 基本PIX設置命令 295
8.3.3 檢查PIX狀態(tài) 298
8.4 路由選擇和多播配置 300
8.4.1 靜態(tài)路由 300
8.4.2 動態(tài)路由 301
8.4.3 多播路由選擇 303
8.4.4 查看和調試存根多播路
由選擇 308
8.5 PIX動態(tài)主機控制配置 308
8.5.1 服務器和客戶端 309
8.5.2 PIX安全設備對DHCP的
支持 309
8.5.3 DHCP服務器 310
8.5.4 配置PIX安全設備作為
DHCP服務器 311
8.6 小結 311
8.7 關鍵術語 311
8.8 復習題 312
第9章 PIX安全設備轉換和連接 315
9.1 傳輸協議 315
9.1.1 IP世界中的會話 315
9.1.2 TCP詳細回顧 316
9.1.3 TCP特點及與PIX的
交互 319
9.1.4 UDP特點及與PIX的
交互 319
9.2 網絡地址轉換 320
9.2.1 連接與轉換 320
9.2.2 地址轉換類型 321
9.3 PIX上的DNS地址更改、目的
NAT和DNS記錄轉換 327
9.3.1 DNS地址更改過程 328
9.3.2 用alias命令實現目的
NAT 329
9.3.3 DNS記錄轉換 329
9.4 連接 330
9.4.1 穿過PIX安全設備的兩種
方法 330
9.4.2 靜態(tài)通道 331
9.5 端口地址轉換 331
9.5.1 PIX安全設備的PAT 332
9.5.2 使用外部地址轉換的
PAT 333
9.5.3 映射子網到PAT地址 334
9.5.4 使用多PAT地址提供后備
PAT地址 334
9.5.5 使用PAT增加全局地址以
支持更多主機 335
9.5.6 端口重定向 335
9.6 PIX安全設備的多接口 337
9.6.1 通過PIX安全設備進行
訪問 337
9.6.2 在PIX安全設備上配置
三個接口 338
9.6.3 配置PIX安全設備的四個
接口 339
9.7 小結 340
9.8 關鍵術語 341
9.9 復習題 341
第10章 PIX安全設備訪問控制列表 345
10.1 ACL和PIX安全設備 345
10.1.1 ACL使用原則 345
10.1.2 實現ACL 346
10.1.3 Turbo ACL 346
10.1.4 ACL與管道技術的
比較 347
10.1.5 ACL案例研究：管道和
ACL行為的差異 348
10.1.6 ACL的驗證和故障
排除 351
10.2 使用ACL 351
10.2.1 使用ACL拒絕內網
用戶的Web訪問 352
10.2.2 使用ACL來允許Web
訪問DMZ 352
10.2.3 ACL的通常用法：允許
合作伙伴Web訪問
DMZ 353
10.2.4 ACL的常規(guī)用法：允許
DMZ訪問內部郵件 354
10.2.5 VPN解決方案：雙DMZ
和VPN集中器 355
10.2.6 用ACL禁用Ping 356
10.3 過濾 357
10.3.1 過濾惡意小程序 357
10.3.2 URL過濾 358
10.4 對象組 359
10.4.1 在ACL中使用對象組 360
10.4.2 配置對象組 362
10.4.3 在對象組上應用ACL 362
10.5 嵌套的對象組 363
10.5.1 配置嵌套的對象組 364
10.5.2 嵌套對象組例子 364
10.5.3 ACL中多個對象組的
例子 365
10.5.4 驗證和管理對象組 366
10.6 小結 367
10.7 關鍵術語 367
10.8 復習題 367
第11章 PIX安全應用AAA 371
11.1 AAA 371
11.1.1 用戶在驗證和授權中看
到了什么 372
11.1.2 切入型代理操作 373
11.1.3 TACACS+和RADIUS 374
11.1.4 CSACS和PIX 375
11.2 PIX上的驗證配置 376
11.2.1 aaa-server命令 376
11.2.2 aaa authentication命令 377
11.2.3 AAA驗證實例 378
11.2.4 驗證非Telnet、非FTP
或非HTTP流量 378
11.2.5 虛擬Telnet 379
11.2.6 虛擬HTTP 380
11.2.7 控制臺訪問驗證 381
11.2.8 更改驗證超時和驗證
提示 382
11.3 PIX安全應用上的授權配置 383
11.3.1 aaa authorization命令 383
11.3.2 使用可下載的ACL提供
授權 384
11.4 在PIX安全應用上配置記賬 385
11.5 使用AAA服務定義流量 386
11.6 監(jiān)控AAA配置 386
11.7 PPPoE和PIX安全應用 387
11.7.1 PIX如何與PPPoE交互
工作 387
11.7.2 配置PIX支持PPPoE 388
11.7.3 監(jiān)控和故障排除PPPoE
客戶端 389
11.8 附錄11-A：如何向CSACS-NT
添加用戶 390
11.8.1 附加用戶信息 391
11.8.2 用戶設置 391
11.8.3 賬號禁用 392
11.9 附錄11-B：CSACS和授權 393
11.9.1 如何在CSACS上建立一
個允許指定服務的授權
規(guī)則 393
11.9.2 如何創(chuàng)建僅對CSACS上
指定主機提供服務的
授權規(guī)則 393
11.9.3 如何在CSACS上為非
telnet、非FTP和非HTTP
的流量授權 394
11.10 附錄11-C：CSACS和
ACL 395
11.11 附錄11-D：如何在CSACS中
查看記賬信息 397
11.12 小結 397
11.13 關鍵術語 398
11.14 復習題 398
第12章 PIX高級協議和入侵檢測 401
12.1 高級協議處理 401
12.1.1 fixup命令 402
12.1.2 FTP Fixup配置 403
12.1.3 遠程Shell（rsh）Fixup
配置 405
12.1.4 SQL*Net Fixup配置 406
12.1.5 SIP Fixup配置 407
12.1.6 小客戶Fixup 配置 407
12.2 多媒體支持和PIX安全應用 408
12.2.1 實時流協議 409
12.2.2 H.323 412
12.2.3 IP電話和PIX安全
應用DHCP服務器 413
12.3 攻擊防護 414
12.3.1 郵件防護 414
12.3.2 DNS防護 415
12.3.3 分片防護和虛擬
重組 416
12.3.4 AAA泛洪防護 416
12.3.5 SYN泛洪攻擊 417
12.3.6 TCP攔截 418
12.4 入侵檢測和PIX安全應用 418
12.4.1 信息和攻擊入侵檢測
特征 419
12.4.2 PIX安全應用中的入侵
檢測 420
12.5 規(guī)避 421
12.6 PIX安全應用系統(tǒng)日志記錄 422
12.7 SNMP 424
12.7.1 SNMP實例 425
12.7.2 MIB支持 425
12.7.3 示例：SNMP通過PIX
安全應用 426
12.8 小結 428
12.9 關鍵術語 428
12.10 復習題 429
第13章 PIX故障轉移與系統(tǒng)維護 433
13.1 了解PIX Security Appliance
故障轉移 433
13.1.1 故障轉移的IP地址 435
13.1.2 配置文件復制 435
13.1.3 故障轉移和有狀態(tài)故障
轉移 436
13.1.4 故障轉移接口測試 437
13.2 串行電纜故障轉移配置 438
13.2.1 步驟1：連接防火墻 438
13.2.2 步驟2：連接故障轉移
電纜 439
13.2.3 步驟3：配置主PIX 440
13.2.4 步驟4：從防火墻接電 440
13.2.5 驗證故障轉移配置
文件 442
13.3 基于LAN的故障轉移配置 443
13.3.1 步驟1～4：配置主
PIX 444
13.3.2 步驟5～10：配置從
PIX 445
13.4 通過遠程訪問維護系統(tǒng) 447
13.4.1 為PIX Security Appliance
控制臺配置Telnet訪問 447
13.4.2 SSH連接到PIX Security
Appliance 448
13.4.3 用SSH客戶端連接到
PIX Security Appliance 448
13.5 命令授權 449
13.5.1 方法1：啟用級別命令
授權 450
13.5.2 方法2：本地命令授權 450
13.5.3 方法3：ACS命令
授權 451
13.6 PIX Security Appliance密碼
恢復 452
13.7 升級PIX Security Appliance
映像及激活密鑰 452
13.8 小結 453
13.9 關鍵術語 453
13.10 復習題 454
第14章 PIX Security Appliance VPN 457
14.1 PIX Security Appliance實現
安全的VPN 457
14.1.1 PIX VPN性能 457
14.1.2 PIX VPN拓撲結構 458
14.1.3 IPSec實現PIX VPN
特性 459
14.1.4 IPSec概述 459
14.1.5 PIX Security Appliance
支持IPSec標準 459
14.2 配置VPN任務 461
14.2.1 任務1：準備配置VPN
支持 462
14.2.2 任務2：配置IKE
參數 465
14.2.3 任務3：配置IPSec
參數 467
14.2.4 任務4：測試和校驗
VPN配置 470
14.3 Cisco VPN客戶端 473
14.3.1 Cisco VPN客戶端拓撲
結構 474
14.3.2 PIX Security Appliance
分配IP地址到VPN
客戶端 475
14.3.3 配置PIX Security
Appliance的PIX到VPN
客戶端隧道 476
14.3.4 為PIX到PIX客戶端
隧道配置VPN客戶端 478
14.4 使用CA擴展PIX VPN 479
14.5 小結 481
14.6 關鍵術語 481
14.7 復習題 482
第15章 PIX安全設備管理 485
15.1 PIX管理工具 485
15.1.1 PIX設備管理器 486
15.1.2 Cisco安全策略管理器 486
15.1.3 PIX管理中心 487
15.2 Cisco PIX設備管理器 488
15.2.1 PDM運行要求 489
15.2.2 PDM瀏覽器要求 489
15.2.3 PDM的準備 491
15.2.4 運用PDM配置PIX 493
15.2.5 使用PDM創(chuàng)建站點到
站點VPN 501
15.2.6 使用PDM創(chuàng)建遠程
訪問VPN 506
15.3 企業(yè)PIX管理 509
15.3.1 PIX MC 509
15.3.2 PIX MC的主要概念 510
15.3.3 AUS 511
15.4 小結 511
15.5 復習題 512
第三部分
附錄A 關鍵術語 517
附錄B 復習題答案 525
附錄C 物理層安全 531
C.1 什么是物理安全？ 531
C.2 第1層安全的開銷是什么？ 533
C.3 第1層安全保護了什么？ 534
C.4 物理安全同樣能夠防御其他
威脅 534
C.5 物理層安全的基礎 534
C.6 ANSI/TIA/EIA 535
C.7 安全培訓 537
C.7.1 建立安全意識 537
C.7.2 需要進行驗證 538
C.7.3 登錄訪問及操作 538
C.7.4 提出適當有禮的質疑 538
C.7.5 知道向哪些人尋求援助 539
C.8 高級通行證及Biometric
驗證 539
C.9 威懾因素 539
C.10 工作區(qū)安全 540
C.10.1 閑置插座 540
C.10.2 抗干擾插座 540
C.10.3 抗干擾路徑 541
C.10.4 電信間 541
C.11 入侵者怎樣截取信息并
解碼 542
C.11.1 入侵者是怎樣截取
資料的 543
C.11.2 入侵者怎樣對資料
解碼 543
C.12 光纖入侵 543
C.12.1 直接物理入侵 544
C.12.2 管道 545
C.13 無線偵聽 545
C.13.1 競爭駕駛 545
C.13.2 競爭撥號和競爭行走 546
C.14 安全自動控制 546
C.15 物理安全中的人員因素 547
C.16 小結 549
附錄D 操作系統(tǒng)安全 553
D.1 Linux操作系統(tǒng)級安全 553
D.1.1 保護正在運行的進程 554
D.1.2 文件系統(tǒng)和目錄安全 556
D.1.3 驗證安全 560
D.2 Linux基礎設施級安全 562
D.2.1 保護Samba 562
D.2.2 保護NFS 564
D.2.3 保護xinetd守護進程 566
D.3 保護Linux網絡服務 568
D.3.1 保護Linux FTP服務器 568
D.3.2 保護Linux Web服務器 569
D.3.3 保護Linux郵件服務器 571
D.4 Linux網絡安全和過濾方法 573
D.4.1 TCP包裝程序 573
D.4.2 網絡地址轉換 574
D.4.3 防火墻和代理服務 574
D.5 Windows 2000驗證安全 576
D.5.1 識別安全架構 576
D.5.2 在Windows 2000中驗證
用戶 577
D.6 Windows 2000操作系統(tǒng)級
安全 578
D.6.1 保護文件和打印資源 578
D.6.2 加密文件系統(tǒng) 580
D.6.3 審核對資源的訪問 583
D.7 Windows 2000基礎結構級
安全 584
D.7.1 保護活動目錄 584
D.7.2 用組策略輔助安全管理 585
D.7.3 安全模版、安全配置和
分析工具的使用 586
D.7.4 安全地對DNS記錄進行
更新 586
D.8 保護Windows網絡服務 587
D.8.1 保護WWW服務器 588
D.8.2 保護FTP服務器 588
D.8.3 保護Windows郵件
服務器 589
D.8.4 SSL/TLS的使用 590
D.9 Windows網絡的安全方法 590
D.9.1 Internet連接共享 591
D.9.2 網絡地址轉換 592
D.9.3 路由選擇和遠程訪問
服務 592
D.9.4 Internet驗證服務和
RADIUS 594
D.9.5 Internet協議安全 595
D.10 小結 596