思科網絡技術學院教程 CCNA安全(第3版)
內容描述
《思科網絡技術學院教程 CCNA安全(第3版)》所介紹的內容是針對思科網絡技術學院的認證項目之一— CCNA安全課程,作為思科網絡學院的指定教材,本書面向的讀者群需要具備CCNA水平的知識。《思科網絡技術學院教程 CCNA安全(第3版)》共分10章,第 1章介紹了現代網絡安全威脅相關的知識,讓大家瞭解網絡安全發展的歷史和現狀,以及病毒、蠕蟲和木馬為典型代表的各種攻擊的特點和防範。隨後的3章主要側重於如何防止外部網絡對內部網絡的攻擊,比如如何加強對路由器的保護、AAA認證以及防火牆技術和部署。第5章介紹瞭如何對內部網絡自身的保護,強調了網絡入侵防禦系統(IPS)的特點和在思科設備上的實現。第6章是針對局域網的安全防護,主要側重於對於交換網絡的安全部署及配置。第7章介紹了加密算法,普及了加密技術的基本知識。第8章是本書的重要環節,介紹了使用路由器來實現虛擬專用網(VPN)技術,特別是IPSec技術的概念和配置。第9章對Cisco ASA防火牆配置和VPN配置的實施進行了詳細介紹。第 10章綜合了前面的內容,介紹瞭如何設計和部署一個安全網絡的全面解決方案,以及如何制定有效的安全策略等。《思科網絡技術學院教程 CCNA安全(第3版)》所介紹的內容涵蓋了思科認證考試— CCNA安全(IINS 640-554)要求的全部知識,因此適合準備該認證考試的讀者閱讀,對網絡安全感興趣的讀者也可以從中獲益。
目錄大綱
目錄第 1章 現代網絡安全威脅 11.1 一個安全網絡的基本原則 21.1.1 網絡安全的演進 21.1.2 網絡安全的驅動者 41.1.3 網絡安全組織 61.1.4 網絡安全領域 81.1.5 網絡安全策略 81.2 病毒、蠕蟲和特洛伊木馬 101.2.1 病毒 101.2.2 蠕蟲 101.2.3 特洛伊木馬 121.2.4 緩解病毒、蠕蟲和特洛伊木馬 131.3 攻擊方法 141.3.1 偵查攻擊 141.3.2 接入攻擊 161.3.3 拒絕服務攻擊 171.3.4 緩解網絡攻擊 191.4 Cisco網絡基礎保護框架 211.5 總結 23第 2章 保護網絡設備 252.1 保護對設備的訪問 252.1.1 保護邊界路由器 252.1.2 配置安全的管理訪問 282.1.3 為虛擬登錄配置增強的安全性 312.1.4 配置SSH 332.2 分配管理角色 352.2.1 配置特權級別 352.2.2 配置基於角色的CLI訪問 382.3 監控和管理設備 402.3.1 保護Cisco IOS鏡像和配置文件 402.3.2 安全管理和報告 432.3.3 針對網絡安全使用系統日誌 452.3.4 使用SNMP實現網絡安全 482.3.5 使用NTP 512.4 使用自動安全特性 532.4.1 執行安全審計 532.4.2 使用AutoSecure鎖定路由器 552.4.3 用CCP鎖定路由器 562.5 總結 58第3章 認證、授權和審計 593.1 使用AAA的目的 593.1.1 AAA概述 593.1.2 AAA的特點 613.2 本地AAA認證 623.2.1 使用CLI配置本地AAA認證 623.2.2 使用CCP配置本地AAA認證 643.2.3 本地AAA認證故障排錯 653.3 基於服務器的AAA 653.3.1 基於服務器AAA的特點 653.3.2 基於服務器的AAA通信協議 663.3.3Cisco安全ACS 673.3.4 配置Cisco安全ACS 693.3.5 配置Cisco安全ACS用戶和組 723.4 基於服務器的AAA認證 733.4.1 使用CLI配置基於服務器的AAA認證 733.4.2 使用CCP配置基於服務器的AAA認證 743.4.3 基於服務器的AAA認證故障處理 763.5 基於服務器的AAA授權和 審計 763.5.1 配置基於服務器的AAA授權 763.5.2 配置基於服務器的AAA審計 783.6 總結 79第4章 實現防火牆技術 804.1 訪問控制列表 804.1.1 用CLI配置標準和擴展IPv4 ACL 804.1.2 ACL的拓撲和流向 864.1.3 用CCP配置標準和擴展ACL 874.1.4 配置TCP的Established和自反ACL 894.1.5 配置動態ACL 924.1.6 配置基於時間的ACL 934.1.7 對復雜的ACL實施進行排錯 954.1.8 使用ACL緩解攻擊 964.1.9 IPv6 ACL 984.1.10 在ACE中使用對象組 994.2 防火牆技術 1014.2.1 使用防火牆保護網絡 1014.2.2 防火牆類型 1024.2.3 經典防火牆 1054.2.4 網絡設計中的防火牆 1084.3 基於區域策略防火牆 1104.3.1 基於區域策略防火牆的特點 1104.3.2 基於區域策略防火牆的操作 1124.3.3 使用CLI配置區域策略防火牆 1134.3.4 用CCP向導配置區域策略防火牆 1154.4 總結 120第5章 實施入侵防禦 1215.1 IPS技術 1215.1.1 IDS和IPS特性 1215.1.2 基於網絡的IPS實施 1235.2 IPS特徵 1255.2.1 IPS特徵的特點 1255.2.2 IPS特徵警報 1285.2.3 調整IPS特徵報警 1305.2.4 IPS特徵行為 1315.2.5 管理和監視IPS 1335.2.6 IPS全局關聯 1365.3 執行IPS 1375.3.1 使用CLI配置Cisco IOS IPS 1375.3.2 使用Cisco配置專家配置Cisco IOS IPS 1395.3.3 修改Cisco IOS IPS特徵 1415.4 檢驗和監測IPS 1435.4.1 檢驗Cisco IOS IPS 1435.4.2 監測Cisco IOS IPS 1445.5 總結 145第6章 保護局域網 1466.1 終端安全 1466.1.1 終端安全概述 1466.1.2 使用Cisco ESA和WSA的終端安全 1496.1.3 使用網絡準入控制的終端安全 1506.2 第 二層安全考慮 1536.2.1 第 二層安全概述 1536.2.2 MAC地址欺騙攻擊 1546.2.3 MAC地址表溢出 1546.2.4 STP操縱攻擊 1556.2.5 LAN風暴 1606.2.6 VLAN攻擊 1606.3 配置第 二層安全 1626.3.1 配置埠安全 1626.3.2 檢驗埠安全 1646.3.3 配置BPDU保護、BPDU過濾器和根保護 1656.3.4 配置風暴控制 1676.3.5 配置VLAN中繼(Trunk)安全 1686.3.6 配置Cisco交換埠分析器 1696.3.7 配置PVLAN邊緣 1706.3.8 用於第 二層建議的推薦做法 1706.4 無線、VoIP和SAN安全 1716.4.1 企業技術安全考慮 1716.4.2 無線安全考慮 1726.4.3 無線安全解決方案 1756.4.4 VoIP安全考慮 1756.4.5 VoIP安全解決方案 1796.4.6 SAN安全考慮 1806.4.7 SAN安全解決方案 1836.5 總結 184第7章 密碼系統 1867.1 密碼服務 1867.1.1 保護通信安全 1867.1.2 密碼術 1887.1.3 密碼分析 1917.1.4 密碼學 1927.2 基本完整性和真實性 1937.2.1 密碼散列 1937.2.2 MD5和SHA-1的完整性 1947.2.3 HMAC的真實性 1967.2.4 密鑰管理 1977.3 機密性 1997.3.1 加密 1997.3.2 數據加密標準 2027.3.3 3DES 2037.3.4 加密標準(AES) 2047.3.5 替代加密算法 2057.3.6 Diffie-Hellman密鑰交換 2057.4 公鑰密碼術 2077.4.1 對稱加密與非對稱加密 2077.4.2 數字簽名 2087.4.3 Rivest、Shamir和Alderman 2117.4.4 公共密鑰基礎架構 2117.4.5 PKI標準 2137.4.6 認證機構 2157.4.7 數字證書和CA 2167.5 總結 218第8章 實現虛擬專用網絡 2198.1 VPN 2198.1.1 VPN概述 2198.1.2 VPN拓撲 2218.1.3 VPN解決方案 2228.2 GRE VPN 2258.3 IPSec VPN組件和操作 2268.3.1 IPSec介紹 2268.3.2 IPSec安全協議 2298.3.3 Internet密鑰交換 2318.4 使用CLI實現站點到站點的 IPSec VPN 2348.4.1 配置一個站點到站點的IPSec VPN 2348.4.2 任務1—配置兼容ACL 2358.4.3 任務2—配置IKE 2358.4.4 任務3—配置變換集 2368.4.5 任務4—配置加密ACL 2378.4.6 任務5—應用加密映射 2388.4.7 驗證IPSec配置和故障排除 2408.5 使用CCP實現站點到站點的 IPSec VPN 2408.5.1 使用CCP配置IPSec 2408.5.2 VPN向導—快速安裝 2428.5.3 VPN向導—逐步安裝 2428.5.4 驗證、監控VPN和VPN故障排除 2448.6 實現遠程訪問VPN 2448.6.1
作者介紹
思科网络技术学院 (Cisco Networking Academy Program) 是由思科公司联合世界范围内的教育机构、公司、政府和国际组织一起努力推广的以网络技术为主要内容的教育项目。其目的就是为了让更多的年轻人学习先进的网络技术知识,帮助教育机构克服资金和技术两大瓶颈,为互联网时代做准备。 据统计,国内有近600所高职院校加入了思科网络技术学院项目,每年有近3万学生受益该项目。除了火爆畅销的全新版思科网院教程——《思科网络技术学院教程:网络简介》、《思科网络技术学院教程:路由和交换基础》、《思科网络技术学院教程:扩展网络》和《《思科网络技术学院教程:连接网络》以及凸显实用性、实操性的配套实验手册之外,思科网络技术学院还推出了《思科网络技术学院教程:IT基础(第5版)》等全新课程。这些图书的热销为进一步推广思科网络技术学院项目起到了重要的推动作用。