具体描述
《网络安全技术与解决方案》是用于管理Cisco网络的综合性参考资料,能够帮助网络安全专业人士理解和实施先进的网络安全技术和解决方案。书中内容涵盖所有主要的Cisco安全产品、技术和解决方案,包括各种成熟的和新出现的技术信息,如自适应安全设备防火墙8.0,Cisco入侵防御系统感应软件6.0,主机IPS,Cisco组加密传输VPN,MPLS VPN技术,Cisco分布式拒绝服务异常检测和缓解方案,Cisco安全监控、分析和响应系统,以及安全构架、标准和法规遵从性等。与主要关注概念与理论的图书不同,《网络安全技术与解决方案》可作为配置和管理Cisco的领先动态链路的便捷工具书。
无论是对网络工程师或安全工程师、顾问,还是从事安全认证方面研究的读者,《网络安全技术与解决方案》都是设计和构建安全网络的重要参考资料。此外,《网络安全技术与解决方案》还为拟参加CCIE安全认证考试的读者提供了涵盖新大纲考点宝贵的备考资源。
《信息安全:趋势、威胁与防护策略》 在数字浪潮席卷全球的今天,信息已成为最宝贵的资产之一。然而,伴随而来的是日益严峻的信息安全挑战。本书《信息安全:趋势、威胁与防护策略》旨在为读者提供一个全面而深入的视角,剖析当前信息安全领域的最新动态、层出不穷的威胁以及行之有效的防护策略。 本书将首先深入探讨信息安全领域的核心概念与发展演变。从早期简单的加密技术到如今复杂的网络攻防博弈,我们将梳理信息安全技术发展的脉络,理解其不断适应新技术、新威胁的内在驱动力。读者将了解到,信息安全并非孤立的技术问题,而是与技术、管理、法律、伦理等多个维度紧密相连的系统工程。 接着,本书将详细剖析当前信息安全面临的主要威胁。我们将聚焦于网络攻击的最新趋势,包括但不限于: 恶意软件的演进: 深入分析勒索软件、间谍软件、木马程序等恶意软件如何不断变异,利用零日漏洞、社会工程学等手段绕过传统防御机制,以及它们对个人、企业乃至国家层面造成的巨大损害。 高级持续性威胁(APT): 揭示APT攻击的隐蔽性、持久性和复杂性,理解其如何通过长期潜伏、多手段协同攻击,针对特定目标进行数据窃取、系统破坏或勒索。 身份认证与访问控制的薄弱环节: 探讨弱密码、凭证填充、身份盗窃等攻击手段如何利用人为疏忽和系统漏洞,造成敏感信息泄露和未经授权的访问。 供应链攻击的蔓延: 分析攻击者如何通过渗透软件供应商、硬件制造商或服务提供商,将恶意代码或后门植入到合法产品或服务中,从而影响更广泛的用户群体。 物联网(IoT)设备的脆弱性: 揭示海量互联设备在安全设计上的不足,以及由此带来的隐私泄露、DDoS攻击等潜在风险。 云安全挑战: 探讨在向云端迁移的过程中,数据泄露、配置错误、API安全等问题如何成为新的安全隐患。 零信任架构的兴起与挑战: 分析零信任模型的核心理念,以及在实际部署中可能遇到的技术、管理与文化阻碍。 人工智能(AI)在攻防中的双刃剑效应: 审视AI技术如何被攻击者用于自动化攻击、生成更具迷惑性的钓鱼邮件,以及AI如何被防御者用于威胁检测、漏洞分析和响应自动化。 数据隐私与合规性要求: 讨论GDPR、CCPA等全球性的数据保护法规,以及企业如何在全球合规框架下保护用户数据,避免巨额罚款和声誉损失。 在深入理解威胁的基础上,本书将重点阐述当前主流的信息安全防护策略与实践。我们将从宏观到微观,提供一套系统的防护思路: 多层次的安全防御体系: 强调构建纵深防御,即在网络边界、内部网络、终端设备、应用程序以及数据本身都部署相应的安全控制措施,确保即使某一环节被突破,整体安全依然能够得到保障。 先进的威胁检测与响应(EDR/XDR): 介绍如何利用机器学习、行为分析等技术,实现对未知威胁的实时检测,并提供快速响应和溯源能力,最大限度地减少损失。 身份与访问管理(IAM)的强化: 探讨多因素认证(MFA)、基于角色的访问控制(RBAC)、特权访问管理(PAM)等策略,确保只有授权人员能在适当的时间访问所需资源。 数据加密与脱敏技术的应用: 讲解静态数据加密(如数据库加密、文件加密)和传输中数据加密(如TLS/SSL)的重要性,以及数据脱敏技术在保护敏感信息方面的作用。 安全意识培训与文化建设: 强调人的因素在信息安全中的关键作用,通过持续的培训和教育,提升员工的安全意识,减少因人为失误导致的安全事件。 漏洞管理与补丁更新策略: 阐述定期进行漏洞扫描、风险评估,并及时应用安全补丁的重要性,以消除已知的安全隐患。 安全审计与合规性审查: 介绍如何建立有效的审计机制,记录安全事件,并定期进行合规性审查,确保安全措施符合行业标准和法律法规要求。 灾难恢复与业务连续性计划(DR/BCP): 强调在面临严重安全事件或自然灾害时,能够快速恢复关键业务和数据的重要性,以及制定详细的DR/BCP计划的必要性。 安全信息与事件管理(SIEM)系统的部署与优化: 讲解如何通过SIEM系统集中收集、分析和关联来自不同安全设备和应用的日志数据,以便及时发现和响应安全事件。 DevSecOps:将安全融入软件开发生命周期: 介绍如何在软件开发的早期阶段就融入安全考虑,通过自动化工具和流程,构建更安全可靠的应用程序。 本书的内容将力求前沿且实用,旨在帮助读者建立起对信息安全挑战的深刻认知,并掌握应对这些挑战的有效工具和方法。无论是初入信息安全领域的学生,还是希望提升自身安全防护能力的专业人士,亦或是关注信息安全的企业管理者,都能从中获得有价值的见解和指导。通过理解当前威胁的本质,并采取科学的防护策略,我们能够共同构建一个更安全、更可靠的数字世界。
作者简介
Yusuf Bhaiji,CCIE#9305(路由和交换与安全),已在Cisco公司工作了7年,现任Cisco CCIE安全认证的项目经理和Cisco Dubai实验室的CCIE代理人。此前,他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用,这从他最初攻读计算机科学硕士学位时就开始了,他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力,他已经指导了许多成功的考生,还在国际上设计和发表了许多网络安全解决方案。.
Yusuf是几个非营利组织的咨询委员会成员,这些组织在Internet网络中发扬传统美德,通过学术和专业活动进行技术传播。Yusuf在巴基斯坦网络安全(NSP)和IPv6巴基斯坦论坛担任要职。..
Yusuf还于2004年年初,通过Cisco出版社出版了一本名为《CCIE安全Lab实战》(已由人民邮电出版社翻译出版)的著作。他一直是Cisco出版社出版业务的技术评审,为之撰写文章、白皮书,并介绍各种安全技术。他还经常在一些会议和研讨会上进行著名的演讲。
目录信息
第1部分 边界安全.
第1章 网络安全概述 3
1.1 网络安全的基本问题 3
1.2 安全范例的变化 5
1.3 安全准则——CIA模型 5
1.3.1 机密性 5
1.3.2 完整性 6
1.3.3 可用性 6
1.4 策略、标准、规程、基线、准则 6
1.4.1 安全策略 6
1.4.2 标准 7
1.4.3 规程 8
1.4.4 基线 8
1.4.5 准则 8
1.5 安全模型 9
1.6 边界安全 9
1.6.1 是否存在边界安全 9
1.6.2 定义边界的难点 10
1.6.3 可靠的边界安全解决方案 10
1.7 各层的安全 10
1.7.1 多层边界解决方案 10
1.7.2 多米诺效应 11
1.8 安全轮 12
1.9 小结 13
第2章 访问控制 15
2.1 利用ACL的流量过滤 15
2.1.1 ACL概述 15
2.1.2 ACL应用 15
2.1.3 何时配置ACL 16
2.2 IP地址概述 17
2.2.1 IP地址分类 17
2.2.2 理解IP地址分类 17
2.2.3 专用IP地址(RFC 1918) 19
2.3 子网掩码与反掩码概述 20
2.3.1 子网掩码 20
2.3.2 反掩码 20
2.4 ACL配置 21
2.4.1 创建ACL 21
2.4.2 为ACL分配唯一名称或数值 21
2.4.3 将ACL应用于接口 22
2.4.4 ACL的方向 23
2.5 理解ACL的处理 23
2.5.1 入站ACL 23
2.5.2 出站ACL 24
2.5.3 多种分组类型的分组流规则 25
2.5.4 实施ACL准则 26
2.6 访问列表类型 26
2.6.1 标准ACL 26
2.6.2 扩展ACL 27
2.6.3 IP命名ACL 28
2.6.4 锁与密钥(动态ACL) 29
2.6.5 自反ACL 30
2.6.6 既定ACL 31
2.6.7 使用时间范围的定时ACL 32
2.6.8 分布式定时ACL 33
2.6.9 配置分布式定时ACL 33
2.6.10 Turbo ACL 33
2.6.11 接收ACL(rACL) 34
2.6.12 基础设施保护ACL(iACL) 34
2.6.13 传输ACL 34
2.6.14 分类ACL 35
2.6.15 利用ACL调试流量 35
2.7 小结 36
2.8 参考 36
第3章 设备安全 39
3.1 设备安全策略 39
3.2 增强设备安全 40
3.2.1 物理安全 40
3.2.2 密码 41
3.2.3 用户账号 44
3.2.4 优先权等级 45
3.2.5 基础ACL 45
3.2.6 交互访问模式 45
3.2.7 旗标消息 48
3.2.8 Cisco IOS弹性配置 49
3.2.9 Cisco设备发现协议(CDP) 49
3.2.10 TCP/UDP小型服务器 50
3.2.11 查找器 50
3.2.12 识别协议(auth) 50
3.2.13 DHCP和BOOTP服务 51
3.2.14 简单文件传输协议(TFTP)服务 51
3.2.15 文件传输协议(FTP)服务 51
3.2.16 半自动设备配置 51
3.2.17 PAD 51
3.2.18 IP源路由选择 52
3.2.19 代理ARP(Proxy ARP) 52
3.2.20 无偿ARP 52
3.2.21 IP直播 53
3.2.22 IP掩码应答 53
3.2.23 IP重定向 53
3.2.24 ICMP不可达 53
3.2.25 HTTP 54
3.2.26 网络时间协议(NTP) 54
3.2.27 简单网络管理协议(SNMP) 54
3.2.28 Auto-Secure特性 55
3.3 安全设备的安全管理访问 55
3.3.1 设备访问安全——PIX500和ASA5500安全设备 55
3.3.2 IPS4200系列传感器(前身为IDS4200) 57
3.4 设备安全清单 58
3.5 小结 59
3.6 参考 59
第4章 交换机的安全特性 61
4.1 保护第2层 61
4.2 端口级流量控制 62
4.2.1 风暴控制 62
4.2.2 受保护的端口(PVLAN边缘) 62
4.3 专用VLAN(PVLAN) 63
4.3.1 配置PVLAN 65
4.3.2 端口阻塞 66
4.3.3 端口安全 67
4.4 交换机的访问列表 68
4.4.1 路由器ACL 69
4.4.2 端口ACL 69
4.4.3 VLAN ACL(VACL) 69
4.4.4 MAC ACL 71
4.5 生成树协议的特性 72
4.5.1 BPDU保护 72
4.5.2 根保护 72
4.5.3 以太网信道保护 73
4.5.4 环路保护 73
4.6 监测DHCP 73
4.7 IP源保护 75
4.8 动态ARP检测(DAI) 75
4.8.1 DHCP环境下的DAI 76
4.8.2 非DHCP环境下的DAI 77
4.8.3 限制ARP包的进入速率 77
4.8.4 ARP确认检查 78
4.9 Catalyst高端交换机的高级集成安全特性 78
4.10 控制层管制(CoPP)特性 78
4.11 CPU速率限制器 79
4.12 第2层安全的最佳实践 80
4.13 小结 80
4.14 参考 80
第5章 Cisco IOS防火墙 83
5.1 基于路由器的防火墙解决方案 83
5.2 CBAC的功能 85
5.2.1 流量过滤 85
5.2.2 流量检测 85
5.2.3 报警和审计跟踪 86
5.3 CBAC工作原理 86
5.3.1 分组检测 87
5.3.2 超时值和阈值 87
5.3.3 会话状态 87
5.3.4 UDP连接 87
5.3.5 动态ACL条目 88
5.3.6 未完成(半开)会话 88
5.3.7 Per-host DoS预防 89
5.4 支持CBAC的协议 89
5.5 配置CBAC 89
5.5.1 步骤1——选择一个接口:内部或外部 90
5.5.2 步骤2——配置IP访问列表 90
5.5.3 步骤3——定义检测规则 90
5.5.4 步骤4——配置全局超时值和阈值 91
5.5.5 步骤5——将访问列表和监测规则应用到接口 91
5.5.6 步骤6——验证和监控CBAC 92
5.5.7 整理思路 92
5.6 IOS防火墙高级特性 93
5.6.1 HTTP检测引擎 93
5.6.2 E-mail检测引擎 93
5.6.3 防火墙ACL旁路 94
5.6.4 透明IOS防火墙(第2层) 95
5.6.5 虚拟碎片重组(VFR) 95
5.6.6 VRF-aware IOS防火墙 95
5.6.7 路由器产生的流量检测 96
5.7 区域式策略防火墙(ZFW) 96
5.7.1 区域式策略概述 97
5.7.2 安全区域 97
5.7.3 配置区域式策略防火墙 98
5.7.4 利用Cisco策略语言(CPL)配置ZFW 98
5.7.5 应用检测和控制(AIC) 100
5.8 小结 100
5.9 参考 100
第6章 Cisco防火墙:设备和模块 103
6.1 防火墙概述 103
6.2 硬件与软件防火墙 104
6.3 Cisco PIX 500系列安全设备 104
6.4 Cisco ASA 5500系列自适应安全设备 105
6.5 Cisco防火墙服务模块(FWSM) 106
6.6 PIX 500和ASA 5500防火墙设备软件 107
6.7 防火墙设备操作系统软件 107
6.8 防火墙模式 108
6.8.1 路由防火墙模式 108
6.8.2 透明防火墙模式(隐藏的防火墙) 108
6.9 全状态监测 109
6.10 应用层协议检测 110
6.11 自适应安全算法原理 111
6.12 安全环境 112
6.12.1 多环境——路由模式(资源共享) 113
6.12.2 多环境——透明模式 113
6.12.3 配置安全环境 115
6.13 安全级别 116
6.14 冗余接口 117
6.15 IP路由选择 117
6.15.1 静态和默认路由 118
6.15.2 开放式最短路径优先(OSPF) 120
6.15.3 路由选择信息协议(RIP) 123
6.15.4 增强型内部网关路由选择协议(EIGRP) 124
6.16 网络地址转换(NAT) 125
6.16.1 NAT控制 125
6.16.2 NAT的类型 127
6.16.3 NAT控制激活时绕过NAT 131
6.16.4 策略NAT 134
6.16.5 NAT处理的顺序 135
6.17 控制流量和网络访问 135
6.17.1 ACL概述和在安全设备中的应用 136
6.17.2 通过使用访问列表的安全设备控制入站和出站的流量 136
6.17.3 利用对象组简化访问列表 137
6.18 模块式策略架构(MPF) 139
6.19 Cisco任意连接VPN客户端 141
6.20 冗余和负载均衡 141
6.20.1 故障恢复要求 142
6.20.2 故障恢复链路 142
6.20.3 状态链路 142
6.20.4 故障恢复的部署 143
6.20.5 非对称路由选择支持(ASR) 144
6.21 防火墙服务模块(FWSM)的“模块化”软件 145
6.22 防火墙模块的操作系统软件 146
6.23 通过防火墙模块的网络流量 146
6.24 部署路由器/MSFC 147
6.24.1 单环境模式 147
6.24.2 多环境模式 148
6.25 配置FWSM 148
6.26 小结 149
6.27 参考 150
第7章 攻击向量和缓解技术 153
7.1 漏洞、威胁和漏洞利用 153
7.1.1 攻击类型 154
7.1.2 攻击向量 154
7.1.3 攻击者类型 155
7.1.4 风险评估 156
7.2 第3层缓解技术 156
7.2.1 流量表征 156
7.2.2 IP源追踪器 161
7.2.3 IP欺骗攻击 162
7.2.4 分组分类和标记技术 165
7.2.5 允许访问速率(CAR) 165
7.2.6 模块式QoS CLI(MQC) 167
7.2.7 流量管制 168
7.2.8 基于网络的应用程序识别(NBAR) 169
7.2.9 TCP拦截 170
7.2.10 基于策略的路由选择(PBR) 172
7.2.11 单播反向路径转发(uRPF) 173
7.2.12 NetFlow 175
7.3 第2层防范技术 177
7.3.1 CAM表溢出-MAC攻击 178
7.3.2 MAC欺骗攻击 178
7.3.3 ARP欺骗攻击 179
7.3.4 VTP攻击 180
7.3.5 VLAN跳跃攻击 181
7.3.6 PVLAN攻击 182
7.3.7 生成树攻击 185
7.3.8 DHCP欺骗和耗尽攻击 185
7.3.9 802.1x攻击 186
7.4 安全事件应急响应框架 187
7.4.1 什么是安全事件 187
7.4.2 安全事件应急响应处理 188
7.4.3 安全事件的应急响应方法 189
7.5 小结 191
7.6 参考 191
第2部分 身份安全和访问管理
第8章 安全访问管理 195
8.1 AAA安全服务 195
8.1.1 AAA范例 196
8.1.2 AAA的相关性 197
8.2 验证协议 197
8.2.1 RADIUS 197
8.2.2 TACACS+ 200
8.2.3 RADIUS和TACACS+的比较 202
8.3 实现AAA 203
8.3.1 AAA方法 203
8.3.2 AAA功能的服务类型 205
8.4 配置实例 207
8.4.1 利用RADIUS进行PPP验证、授权和统计 207
8.4.2 利用TACACS+进行登录验证、命令授权和统计 207
8.4.3 带密码重试锁定的登录验证 208
8.5 小结 209
8.6 参考 209
第9章 Cisco安全ACS软件和设备 211
9.1 Windows环境下的Cisco安全ACS软件 211
9.1.1 AAA服务器:Cisco安全ACS 212
9.1.2 遵循的协议 213
9.2 ACS高级功能和特性 214
9.2.1 共享型配置文件组件(SPC) 214
9.2.2 可下载的IP ACL 214
9.2.3 网络访问过滤器 215
9.2.4 RADIUS授权组件 215
9.2.5 Shell命令授权集.. 215
9.2.6 网络访问限制 216
9.2.7 设备访问限制 216
9.2.8 网络访问配置文件 216
9.2.9 Cisco NAC支持 217
9.3 配置ACS 217
9.4 Cisco安全ACS设备 225
9.5 小结 226
9.6 参考 226
第10章 多因素验证 229
10.1 识别和验证 229
10.2 双因素验证系统 230
10.2.1 OTP 230
10.2.2 S/KEY 230
10.2.3 利用OTP解决方案对抗重放攻击 231
10.2.4 双因素验证系统的属性 231
10.3 支持双因素验证系统的Cisco Secure ACS 232
10.3.1 Cisco Secure ACS工作原理 233
10.3.2 为启用了RADIUS的令牌服务器配置Cisco Secure ACS 233
10.3.3 为RSA SecurID令牌服务器配置Cisco Secure ACS 237
10.4 小结 237
10.5 参考 238
第11章 第2层访问控制 241
11.1 信任与身份管理解决方案 242
11.2 基于身份的网络服务(IBNS) 243
11.2.1 Cisco安全ACS 244
11.2.2 外部数据库支持 244
11.3 IEEE 802.1x 244
11.3.1 IEEE 802.1x组件 245
11.3.2 端口状态:授权与非授权 246
11.3.3 EAP方法 247
11.4 部署802.1x的解决方案 248
11.4.1 有线局域网(点对点) 248
11.4.2 无线局域网(多点) 248
11.5 实现基于802.1x端口的验证 249
11.5.1 在运行Cisco IOS软件的Cisco Catelyst交换机上配置802.1x和RADIUS 250
11.5.2 为在交换机上终止的不遵从访问点启用多用户 250
11.5.3 RADIUS授权 251
11.5.4 在Csico Arionet无线局域网访问节点上运行Cisco IOS软件配置802.1x和RADIUS 254
11.5.5 Windows XP客户端上的申请者IEEE 802.1x设置 254
11.6 小结 255
11.7 参考 255
第12章 无线局域网(WLAN)的安全 257
12.1 无线局域网(WLAN) 257
12.1.1 无线电波 257
12.1.2 IEEE协议标准 258
12.1.3 通信方法——无线电频率(RF) 258
12.1.4 WLAN组件 259
12.2 WLAN安全 260
12.2.1 服务器设置识别(SSID) 260
12.2.2 MAC验证 261
12.2.3 客户端验证(开放和共享的密钥) 261
12.2.4 静态有线对等加密(WEP) 261
12.2.5 WPA、WPA2和802.11i(改进的WEP) 262
12.2.6 IEEE 802.1x和EAP 263
12.2.7 WLAN NAC 271
12.2.8 WLAN IPS 271
12.2.9 VPN IPSec 271
12.3 缓解WLAN攻击 272
12.4 Cisco统一无线网络解决方案 272
12.5 小结 273
12.6 参考 274
第13章 网络准入控制(NAC) 277
13.1 创建自防御网络(SDN) 278
13.2 网络准入控制(NAC) 278
13.2.1 为什么需要NAC 278
13.2.2 Cisco NAC 279
13.2.3 NAC应用与NAC框架比较 280
13.3 Cisco NAC设备解决方案 281
13.3.1 Cisco NAC设备机制 281
13.3.2 NAC设备组件 281
13.3.3 NAC应用部署方案 282
13.4 Cisco NAC框架解决方案 284
13.4.1 Cisco NAC框架解决方案机制 284
13.4.2 Cisco NAC框架组件 287
13.4.3 Cisco NAC框架部署方案 290
13.4.4 Cisco NAC框架实施方法 290
13.5 小结 298
13.6 参考 299
第3部分 数据保密
第14章 密码学 303
14.1 安全通信 303
14.1.1 密码系统 303
14.1.2 密码学概述 304
14.1.3 密码术语 304
14.1.4 密码算法 305
14.2 虚拟专用网(VPN) 312
14.3 小结 313
14.4 参考 313
第15章 IPSec VPN 315
15.1 虚拟专用网(VPN) 315
15.1.1 VPN技术的类型 315
15.1.2 VPN部署的类型 317
15.2 IPSec VPN(安全VPN) 317
15.2.1 IPSec请求评论(RFC) 317
15.2.2 IPSec模式 320
15.2.3 IPSec协议头 322
15.2.4 IPSec反重放服务 323
15.2.5 ISAKMP和IKE 323
15.2.6 ISAKMP文件 328
15.2.7 IPSec文件 329
15.2.8 IPSec虚拟隧道接口(IPSec VTI) 329
15.3 公钥基础结构(PKI) 331
15.3.1 PKI组成 331
15.3.2 证书注册 332
15.4 实现IPSec VPN 333
15.4.1 Cisco IPSec VPN实现 334
15.4.2 站点到站点IPSec VPN 334
15.4.3 远程访问IPSec VPN 338
15.5 小结 345
15.6 参考 346
第16章 动态多点VPN 349
16.1 DMVPN解决方案的结构 349
16.1.1 DMVPN网络设计 350
16.1.2 DMVPN解决方案的组成 350
16.1.3 DMVPN工作原理 352
16.1.4 DMVPN数据结构 353
16.2 DMVPN部署的拓扑结构 354
16.3 实现DMVPN中心到节点结构 354
16.3.1 实现单中心单DMVPN(SHSD)的拓扑结构 355
16.3.2 实现双中心双DMVPN(DHDD)的拓扑结构 360
16.3.3 实现SLB的拓扑结构 360
16.4 实现动态网格的节点到节点的DMVPN结构 362
16.4.1 实现双中心单DMVPN的拓扑结构 362
16.4.2 实现多中心单DMVPN的拓扑结构 371
16.4.3 实施分层(基于树型)的拓扑结构 372
16.5 小结 373
16.6 参考 373
第17章 群组加密传输VPN 375
17.1 GET VPN解决方案体系结构 375
17.1.1 GET VPN特性 376
17.1.2 为什么需要GET VPN 376
17.1.3 GET VPN和DMVPN 377
17.1.4 何时部署GET VPN 378
17.1.5 GET VPN解决方案组成 378
17.1.6 GET VPN工作原理 379
17.1.7 IP报头保护 381
17.1.8 群组成员的ACL 381
17.2 实现Cisco IOS GET VPN 382
17.3 小结 387
17.4 参考 387
第18章 安全套接字层VPN(SSL VPN) 389
18.1 安全套接字层协议 389
18.2 SSL VPN解决方案的体系结构 390
18.2.1 SSL VPN概述 390
18.2.2 SSL VPN特性 391
18.2.3 SSL VPN部署考虑事项 392
18.2.4 SSL VPN访问方法 392
18.2.5 SSL VPN Citrix支持 393
18.3 实现Cisco IOS SSL VPN 394
18.4 Cisco AnyConnect VPN客户端 396
18.5 小结 396
18.6 参考 397
第19章 多协议标签交换VPN(MPLS VPN) 399
19.1 多协议标签交换 399
19.1.1 MPLS体系结构概述 400
19.1.2 MPLS工作原理 401
19.1.3 MPLS VPN和IPSec VPN 402
19.1.4 部署方案 402
19.1.5 面向连接和无连接的VPN技术 403
19.2 MPLS VPN(可信VPN) 404
19.3 第3层VPN(L3VPN)和第2层 VPN(L2VPN)的比较 405
19.4 L3VPN 406
19.4.1 L3VPN的组成 406
19.4.2 L3VPN的工作原理 406
19.4.3 VRF表的工作原理 406
19.5 实现L3VPN 407
19.6 L2VPN 412
19.7 实现L2VPN 414
19.7.1 利用基于VPWS的体系结构在MPLS服务中实现以太网VLAN 414
19.7.2 利用基于VPLS的体系结构在MPLS服务中实现以太网VLAN 414
19.8 小结 416
19.9 参考 416
第4部分 安全监控
第20章 网络入侵防御 421
20.1 入侵系统专业术语 421
20.2 网络入侵保护概述 422
20.3 Cisco IPS 4200系列传感器 422
20.4 Cisco IDS服务模块(IDSM-2) 424
20.5 Cisco增强型检测和防御安全服务系统模块(AIP-SSM) 425
20.6 Cisco IPS增强型集成模块(IPS-AIM) 426
20.7 Cisco IOS IPS 426
20.8 部署IPS 427
20.9 Cisco IPS传感器操作软件 428
20.10 Cisco IPS传感器软件 429
20.10.1 传感器软件——系统构架 429
20.10.2 传感器软件——通信协议 430
20.10.3 传感器软件——用户角色 431
20.10.4 传感器软件——分区 432
20.10.5 传感器软件——特征库和特征引擎 432
20.10.6 传感器软件——IPS事件 433
20.10.7 传感器软件——IPS事件动作 434
20.10.8 传感器软件——风险等级(RR) 435
20.10.9 传感器软件——IPS威胁等级 436
20.10.10 传感器软件——IPS接口 436
20.10.11 传感器软件——IPS接口模式 439
20.10.12 传感器软件——IPS阻塞(回避) 441
20.10.13 传感器软件——IPS速率限制 442
20.10.14 传感器软件——IPS虚拟化 442
20.10.15 传感器软件——IPS安全策略 443
20.10.16 传感器软件——IPS异常检测(AD) 443
20.11 IPS高可靠性 444
20.11.1 IPS应急开放机制 445
20.11.2 故障转移机制 445
20.11.3 应急开放和故障转移的部署 445
20.11.4 负载均衡技术 446
20.12 IPS设备部署准则 446
20.13 Cisco入侵保护系统设备管理器(IDM) 446
20.14 配置IPS内部VLAN对模式 447
20.15 配置IPS内部接口对模式 449
20.16 配置定制特征和IPS阻塞 452
20.17 小结 454
20.18 参考 454
第21章 主机入侵保护 457
21.1 利用非特征机制保护终端节点 457
21.2 Cisco安全代理(CSA) 458
21.3 CSA体系结构 459
21.3.1 CSA拦截和相关性 459
21.3.2 CSA扩展全局相关性 460
21.3.3 CSA访问控制过程 461
21.3.4 CSA深度防御——零天保护 461
21.4 CSA功能和安全角色 461
21.5 CSA部件 463
21.6 利用CSA MC配置并管理CSA部署 463
21.6.1 管理CSA主机 464
21.6.2 管理CSA代理工具箱 466
21.6.3 管理CSA群组 468
21.6.4 CSA代理用户界面 470
21.6.5 CSA策略、规则模块和规则 472
21.7 小结 472
21.8 参考 473
第22章 异常检测和缓解 475
22.1 攻击范围 475
22.1.1 拒绝服务攻击(DoS)定义 475
22.1.2 分布式拒绝服务(DDoS)攻击——如何定义 476
22.2 异常检测和缓解系统 477
22.3 Cisco DDoS异常检测和缓解解决方案 478
22.4 Cisco流量异常检测器 479
22.5 Cisco Guard DDoS缓解 481
22.6 整体运行 482
22.7 配置和管理Cisco流量异常检测器 485
22.7.1 管理检测器 486
22.7.2 通过CLI控制台访问初始化检测器 486
22.7.3 配置检测器(区域、过滤器、策略和学习过程) 487
22.8 配置和管理Cisco Guard缓解 489
22.8.1 管理Guard 490
22.8.2 利用CLI控制台访问并初始化Guard 490
22.8.3 配置Guard(区域、过滤器、策略和学习过程) 491
22.9 小结 494
22.10 参考 494
第23章 安全监控和相关性 497
23.1 安全信息和事件管理 497
23.2 Cisco安全监控、分析和响应系统(CS-MARS) 498
23.2.1 安全威胁防御(STM)系统 499
23.2.2 拓扑结构感知和网络映射 500
23.2.3 关键概念——事件、会话、规则和事故 501
23.2.4 CS-MARS事件处理 502
23.2.5 CS-MARS中的误报 503
23.3 部署CS-MARS 504
23.3.1 独立和本地控制器(LC) 505
23.3.2 全局控制器(GC) 506
23.3.3 软件版本化信息 507
23.3.4 报告和防御设备 508
23.3.5 运行级别 509
23.3.6 流量和已开启窗口 509
23.3.7 基于Web的管理界面 510
23.3.8 初始化CS-MARS 511
23.4 小结 512
23.5 参考 513
第5部分 安全管理
第24章 安全和策略管理 517
24.1 Cisco安全管理解决方案 517
24.2 Cisco安全管理器 518
24.2.1 Cisco安全管理器——特征和性能 518
24.2.2 Cisco安全管理器——防火墙管理 519
24.2.3 Cisco安全管理器——VPN管理 521
24.2.4 Cisco安全管理器——IPS管理 521
24.2.5 Cisco安全管理器——平台管理 522
24.2.6 Cisco安全管理器——体系结构 523
24.2.7 Cisco安全管理器——配置视图 523
24.2.8 Cisco安全管理器——设备管理 525
24.2.9 Cisco安全管理器——工作流模式 526
24.2.10 Cisco安全管理器——基于角色的访问控制 526
24.2.11 Cisco安全管理器——交叉-启动xDM 528
24.2.12 Cisco安全管理器——支持的设备和OS版本 530
24.2.13 Cisco安全管理器——服务器和客户端要求及限制 530
24.2.14 Cisco安全管理器——流量和已打开端口 532
24.3 Cisco路由器和安全设备管理器(SDM) 533
24.3.1 Cisco SDM——特征与性能 534
24.3.2 Cisco SDM工作原理 535
24.3.3 Cisco SDM——路由器安全审计功能 536
24.3.4 Cisco SDM——一步锁定功能 536
24.3.5 Cisco SDM——监控模式 538
24.3.6 Cisco SDM——所支持路由和IOS版本 538
24.3.7 Cisco SDM——系统要求 539
24.4 Cisco自适应安全设备管理器(ASDM) 540
24.4.1 Cisco ASDM——特征和性能 540
24.4.2 Cisco ASDM——工作原理 541
24.4.3 Cisco ASDM——分组追踪器程序 543
24.4.4 Cisco ASDM——相关访问规则系统日志 543
24.4.5 Cisco ASDM——支持的防火墙和软件版本 544
24.4.6 Cisco ASDM——用户要求 544
24.5 Cisco PIX设备管理器(PDM) 544
24.6 Cisco PIX设备管理器(IDM) 545
24.6.1 Cisco IDM——工作原理 545
24.6.2 Cisco IDM——系统要求 546
24.7 小结 547
24.8 参考 547
第25章 安全框架和规章制度 551
25.1 安全模型 551
25.2 策略、标准、准则和规程 552
25.2.1 安全策略 553
25.2.2 标准 553
25.2.3 准则 553
25.2.4 规程 553
25.3 最佳实践框架 554
25.3.1 ISO/IEC 17799(目前是ISO/IEC 27002) 554
25.3.2 COBIT 555
25.3.3 17799/27002和COBIT比较 555
25.4 遵从性和风险管理 556
25.5 法规遵从和立法行为 556
25.6 GLBA——格雷姆-里奇-比利雷法 556
25.6.1 谁受到影响 556
25.6.2 GLBA要求 557
25.6.3 违反处罚 557
25.6.4 满足GLBA的Cisco解决方案 558
25.6.5 GLBA总结 558
25.7 HIPPA——健康保险携带和责任法案 558
25.7.1 谁受到影响 559
25.7.2 HIPPA要求 559
25.7.3 违反处罚 559
25.7.4 满足HIPPA的Cisco解决方案 560
25.7.5 HIPPA总结 560
25.8 SOX——萨班斯-奥克斯莱法案 560
25.8.1 谁受到影响 561
25.8.2 SOX法案要求 561
25.8.3 违反处罚 562
25.8.4 满足SOX法案的Cisco解决方案 562
25.8.5 SOX总结 563
25.9 展望全球法规遵从法案和立法 563
25.9.1 在美国 564
25.9.2 在欧洲 564
25.9.3 在亚太地区 564
25.10 Cisco自防御网络解决方案 565
25.11 小结 565
25.12 参考 565
· · · · · · (收起)
第1章 网络安全概述 3
1.1 网络安全的基本问题 3
1.2 安全范例的变化 5
1.3 安全准则——CIA模型 5
1.3.1 机密性 5
1.3.2 完整性 6
1.3.3 可用性 6
1.4 策略、标准、规程、基线、准则 6
1.4.1 安全策略 6
1.4.2 标准 7
1.4.3 规程 8
1.4.4 基线 8
1.4.5 准则 8
1.5 安全模型 9
1.6 边界安全 9
1.6.1 是否存在边界安全 9
1.6.2 定义边界的难点 10
1.6.3 可靠的边界安全解决方案 10
1.7 各层的安全 10
1.7.1 多层边界解决方案 10
1.7.2 多米诺效应 11
1.8 安全轮 12
1.9 小结 13
第2章 访问控制 15
2.1 利用ACL的流量过滤 15
2.1.1 ACL概述 15
2.1.2 ACL应用 15
2.1.3 何时配置ACL 16
2.2 IP地址概述 17
2.2.1 IP地址分类 17
2.2.2 理解IP地址分类 17
2.2.3 专用IP地址(RFC 1918) 19
2.3 子网掩码与反掩码概述 20
2.3.1 子网掩码 20
2.3.2 反掩码 20
2.4 ACL配置 21
2.4.1 创建ACL 21
2.4.2 为ACL分配唯一名称或数值 21
2.4.3 将ACL应用于接口 22
2.4.4 ACL的方向 23
2.5 理解ACL的处理 23
2.5.1 入站ACL 23
2.5.2 出站ACL 24
2.5.3 多种分组类型的分组流规则 25
2.5.4 实施ACL准则 26
2.6 访问列表类型 26
2.6.1 标准ACL 26
2.6.2 扩展ACL 27
2.6.3 IP命名ACL 28
2.6.4 锁与密钥(动态ACL) 29
2.6.5 自反ACL 30
2.6.6 既定ACL 31
2.6.7 使用时间范围的定时ACL 32
2.6.8 分布式定时ACL 33
2.6.9 配置分布式定时ACL 33
2.6.10 Turbo ACL 33
2.6.11 接收ACL(rACL) 34
2.6.12 基础设施保护ACL(iACL) 34
2.6.13 传输ACL 34
2.6.14 分类ACL 35
2.6.15 利用ACL调试流量 35
2.7 小结 36
2.8 参考 36
第3章 设备安全 39
3.1 设备安全策略 39
3.2 增强设备安全 40
3.2.1 物理安全 40
3.2.2 密码 41
3.2.3 用户账号 44
3.2.4 优先权等级 45
3.2.5 基础ACL 45
3.2.6 交互访问模式 45
3.2.7 旗标消息 48
3.2.8 Cisco IOS弹性配置 49
3.2.9 Cisco设备发现协议(CDP) 49
3.2.10 TCP/UDP小型服务器 50
3.2.11 查找器 50
3.2.12 识别协议(auth) 50
3.2.13 DHCP和BOOTP服务 51
3.2.14 简单文件传输协议(TFTP)服务 51
3.2.15 文件传输协议(FTP)服务 51
3.2.16 半自动设备配置 51
3.2.17 PAD 51
3.2.18 IP源路由选择 52
3.2.19 代理ARP(Proxy ARP) 52
3.2.20 无偿ARP 52
3.2.21 IP直播 53
3.2.22 IP掩码应答 53
3.2.23 IP重定向 53
3.2.24 ICMP不可达 53
3.2.25 HTTP 54
3.2.26 网络时间协议(NTP) 54
3.2.27 简单网络管理协议(SNMP) 54
3.2.28 Auto-Secure特性 55
3.3 安全设备的安全管理访问 55
3.3.1 设备访问安全——PIX500和ASA5500安全设备 55
3.3.2 IPS4200系列传感器(前身为IDS4200) 57
3.4 设备安全清单 58
3.5 小结 59
3.6 参考 59
第4章 交换机的安全特性 61
4.1 保护第2层 61
4.2 端口级流量控制 62
4.2.1 风暴控制 62
4.2.2 受保护的端口(PVLAN边缘) 62
4.3 专用VLAN(PVLAN) 63
4.3.1 配置PVLAN 65
4.3.2 端口阻塞 66
4.3.3 端口安全 67
4.4 交换机的访问列表 68
4.4.1 路由器ACL 69
4.4.2 端口ACL 69
4.4.3 VLAN ACL(VACL) 69
4.4.4 MAC ACL 71
4.5 生成树协议的特性 72
4.5.1 BPDU保护 72
4.5.2 根保护 72
4.5.3 以太网信道保护 73
4.5.4 环路保护 73
4.6 监测DHCP 73
4.7 IP源保护 75
4.8 动态ARP检测(DAI) 75
4.8.1 DHCP环境下的DAI 76
4.8.2 非DHCP环境下的DAI 77
4.8.3 限制ARP包的进入速率 77
4.8.4 ARP确认检查 78
4.9 Catalyst高端交换机的高级集成安全特性 78
4.10 控制层管制(CoPP)特性 78
4.11 CPU速率限制器 79
4.12 第2层安全的最佳实践 80
4.13 小结 80
4.14 参考 80
第5章 Cisco IOS防火墙 83
5.1 基于路由器的防火墙解决方案 83
5.2 CBAC的功能 85
5.2.1 流量过滤 85
5.2.2 流量检测 85
5.2.3 报警和审计跟踪 86
5.3 CBAC工作原理 86
5.3.1 分组检测 87
5.3.2 超时值和阈值 87
5.3.3 会话状态 87
5.3.4 UDP连接 87
5.3.5 动态ACL条目 88
5.3.6 未完成(半开)会话 88
5.3.7 Per-host DoS预防 89
5.4 支持CBAC的协议 89
5.5 配置CBAC 89
5.5.1 步骤1——选择一个接口:内部或外部 90
5.5.2 步骤2——配置IP访问列表 90
5.5.3 步骤3——定义检测规则 90
5.5.4 步骤4——配置全局超时值和阈值 91
5.5.5 步骤5——将访问列表和监测规则应用到接口 91
5.5.6 步骤6——验证和监控CBAC 92
5.5.7 整理思路 92
5.6 IOS防火墙高级特性 93
5.6.1 HTTP检测引擎 93
5.6.2 E-mail检测引擎 93
5.6.3 防火墙ACL旁路 94
5.6.4 透明IOS防火墙(第2层) 95
5.6.5 虚拟碎片重组(VFR) 95
5.6.6 VRF-aware IOS防火墙 95
5.6.7 路由器产生的流量检测 96
5.7 区域式策略防火墙(ZFW) 96
5.7.1 区域式策略概述 97
5.7.2 安全区域 97
5.7.3 配置区域式策略防火墙 98
5.7.4 利用Cisco策略语言(CPL)配置ZFW 98
5.7.5 应用检测和控制(AIC) 100
5.8 小结 100
5.9 参考 100
第6章 Cisco防火墙:设备和模块 103
6.1 防火墙概述 103
6.2 硬件与软件防火墙 104
6.3 Cisco PIX 500系列安全设备 104
6.4 Cisco ASA 5500系列自适应安全设备 105
6.5 Cisco防火墙服务模块(FWSM) 106
6.6 PIX 500和ASA 5500防火墙设备软件 107
6.7 防火墙设备操作系统软件 107
6.8 防火墙模式 108
6.8.1 路由防火墙模式 108
6.8.2 透明防火墙模式(隐藏的防火墙) 108
6.9 全状态监测 109
6.10 应用层协议检测 110
6.11 自适应安全算法原理 111
6.12 安全环境 112
6.12.1 多环境——路由模式(资源共享) 113
6.12.2 多环境——透明模式 113
6.12.3 配置安全环境 115
6.13 安全级别 116
6.14 冗余接口 117
6.15 IP路由选择 117
6.15.1 静态和默认路由 118
6.15.2 开放式最短路径优先(OSPF) 120
6.15.3 路由选择信息协议(RIP) 123
6.15.4 增强型内部网关路由选择协议(EIGRP) 124
6.16 网络地址转换(NAT) 125
6.16.1 NAT控制 125
6.16.2 NAT的类型 127
6.16.3 NAT控制激活时绕过NAT 131
6.16.4 策略NAT 134
6.16.5 NAT处理的顺序 135
6.17 控制流量和网络访问 135
6.17.1 ACL概述和在安全设备中的应用 136
6.17.2 通过使用访问列表的安全设备控制入站和出站的流量 136
6.17.3 利用对象组简化访问列表 137
6.18 模块式策略架构(MPF) 139
6.19 Cisco任意连接VPN客户端 141
6.20 冗余和负载均衡 141
6.20.1 故障恢复要求 142
6.20.2 故障恢复链路 142
6.20.3 状态链路 142
6.20.4 故障恢复的部署 143
6.20.5 非对称路由选择支持(ASR) 144
6.21 防火墙服务模块(FWSM)的“模块化”软件 145
6.22 防火墙模块的操作系统软件 146
6.23 通过防火墙模块的网络流量 146
6.24 部署路由器/MSFC 147
6.24.1 单环境模式 147
6.24.2 多环境模式 148
6.25 配置FWSM 148
6.26 小结 149
6.27 参考 150
第7章 攻击向量和缓解技术 153
7.1 漏洞、威胁和漏洞利用 153
7.1.1 攻击类型 154
7.1.2 攻击向量 154
7.1.3 攻击者类型 155
7.1.4 风险评估 156
7.2 第3层缓解技术 156
7.2.1 流量表征 156
7.2.2 IP源追踪器 161
7.2.3 IP欺骗攻击 162
7.2.4 分组分类和标记技术 165
7.2.5 允许访问速率(CAR) 165
7.2.6 模块式QoS CLI(MQC) 167
7.2.7 流量管制 168
7.2.8 基于网络的应用程序识别(NBAR) 169
7.2.9 TCP拦截 170
7.2.10 基于策略的路由选择(PBR) 172
7.2.11 单播反向路径转发(uRPF) 173
7.2.12 NetFlow 175
7.3 第2层防范技术 177
7.3.1 CAM表溢出-MAC攻击 178
7.3.2 MAC欺骗攻击 178
7.3.3 ARP欺骗攻击 179
7.3.4 VTP攻击 180
7.3.5 VLAN跳跃攻击 181
7.3.6 PVLAN攻击 182
7.3.7 生成树攻击 185
7.3.8 DHCP欺骗和耗尽攻击 185
7.3.9 802.1x攻击 186
7.4 安全事件应急响应框架 187
7.4.1 什么是安全事件 187
7.4.2 安全事件应急响应处理 188
7.4.3 安全事件的应急响应方法 189
7.5 小结 191
7.6 参考 191
第2部分 身份安全和访问管理
第8章 安全访问管理 195
8.1 AAA安全服务 195
8.1.1 AAA范例 196
8.1.2 AAA的相关性 197
8.2 验证协议 197
8.2.1 RADIUS 197
8.2.2 TACACS+ 200
8.2.3 RADIUS和TACACS+的比较 202
8.3 实现AAA 203
8.3.1 AAA方法 203
8.3.2 AAA功能的服务类型 205
8.4 配置实例 207
8.4.1 利用RADIUS进行PPP验证、授权和统计 207
8.4.2 利用TACACS+进行登录验证、命令授权和统计 207
8.4.3 带密码重试锁定的登录验证 208
8.5 小结 209
8.6 参考 209
第9章 Cisco安全ACS软件和设备 211
9.1 Windows环境下的Cisco安全ACS软件 211
9.1.1 AAA服务器:Cisco安全ACS 212
9.1.2 遵循的协议 213
9.2 ACS高级功能和特性 214
9.2.1 共享型配置文件组件(SPC) 214
9.2.2 可下载的IP ACL 214
9.2.3 网络访问过滤器 215
9.2.4 RADIUS授权组件 215
9.2.5 Shell命令授权集.. 215
9.2.6 网络访问限制 216
9.2.7 设备访问限制 216
9.2.8 网络访问配置文件 216
9.2.9 Cisco NAC支持 217
9.3 配置ACS 217
9.4 Cisco安全ACS设备 225
9.5 小结 226
9.6 参考 226
第10章 多因素验证 229
10.1 识别和验证 229
10.2 双因素验证系统 230
10.2.1 OTP 230
10.2.2 S/KEY 230
10.2.3 利用OTP解决方案对抗重放攻击 231
10.2.4 双因素验证系统的属性 231
10.3 支持双因素验证系统的Cisco Secure ACS 232
10.3.1 Cisco Secure ACS工作原理 233
10.3.2 为启用了RADIUS的令牌服务器配置Cisco Secure ACS 233
10.3.3 为RSA SecurID令牌服务器配置Cisco Secure ACS 237
10.4 小结 237
10.5 参考 238
第11章 第2层访问控制 241
11.1 信任与身份管理解决方案 242
11.2 基于身份的网络服务(IBNS) 243
11.2.1 Cisco安全ACS 244
11.2.2 外部数据库支持 244
11.3 IEEE 802.1x 244
11.3.1 IEEE 802.1x组件 245
11.3.2 端口状态:授权与非授权 246
11.3.3 EAP方法 247
11.4 部署802.1x的解决方案 248
11.4.1 有线局域网(点对点) 248
11.4.2 无线局域网(多点) 248
11.5 实现基于802.1x端口的验证 249
11.5.1 在运行Cisco IOS软件的Cisco Catelyst交换机上配置802.1x和RADIUS 250
11.5.2 为在交换机上终止的不遵从访问点启用多用户 250
11.5.3 RADIUS授权 251
11.5.4 在Csico Arionet无线局域网访问节点上运行Cisco IOS软件配置802.1x和RADIUS 254
11.5.5 Windows XP客户端上的申请者IEEE 802.1x设置 254
11.6 小结 255
11.7 参考 255
第12章 无线局域网(WLAN)的安全 257
12.1 无线局域网(WLAN) 257
12.1.1 无线电波 257
12.1.2 IEEE协议标准 258
12.1.3 通信方法——无线电频率(RF) 258
12.1.4 WLAN组件 259
12.2 WLAN安全 260
12.2.1 服务器设置识别(SSID) 260
12.2.2 MAC验证 261
12.2.3 客户端验证(开放和共享的密钥) 261
12.2.4 静态有线对等加密(WEP) 261
12.2.5 WPA、WPA2和802.11i(改进的WEP) 262
12.2.6 IEEE 802.1x和EAP 263
12.2.7 WLAN NAC 271
12.2.8 WLAN IPS 271
12.2.9 VPN IPSec 271
12.3 缓解WLAN攻击 272
12.4 Cisco统一无线网络解决方案 272
12.5 小结 273
12.6 参考 274
第13章 网络准入控制(NAC) 277
13.1 创建自防御网络(SDN) 278
13.2 网络准入控制(NAC) 278
13.2.1 为什么需要NAC 278
13.2.2 Cisco NAC 279
13.2.3 NAC应用与NAC框架比较 280
13.3 Cisco NAC设备解决方案 281
13.3.1 Cisco NAC设备机制 281
13.3.2 NAC设备组件 281
13.3.3 NAC应用部署方案 282
13.4 Cisco NAC框架解决方案 284
13.4.1 Cisco NAC框架解决方案机制 284
13.4.2 Cisco NAC框架组件 287
13.4.3 Cisco NAC框架部署方案 290
13.4.4 Cisco NAC框架实施方法 290
13.5 小结 298
13.6 参考 299
第3部分 数据保密
第14章 密码学 303
14.1 安全通信 303
14.1.1 密码系统 303
14.1.2 密码学概述 304
14.1.3 密码术语 304
14.1.4 密码算法 305
14.2 虚拟专用网(VPN) 312
14.3 小结 313
14.4 参考 313
第15章 IPSec VPN 315
15.1 虚拟专用网(VPN) 315
15.1.1 VPN技术的类型 315
15.1.2 VPN部署的类型 317
15.2 IPSec VPN(安全VPN) 317
15.2.1 IPSec请求评论(RFC) 317
15.2.2 IPSec模式 320
15.2.3 IPSec协议头 322
15.2.4 IPSec反重放服务 323
15.2.5 ISAKMP和IKE 323
15.2.6 ISAKMP文件 328
15.2.7 IPSec文件 329
15.2.8 IPSec虚拟隧道接口(IPSec VTI) 329
15.3 公钥基础结构(PKI) 331
15.3.1 PKI组成 331
15.3.2 证书注册 332
15.4 实现IPSec VPN 333
15.4.1 Cisco IPSec VPN实现 334
15.4.2 站点到站点IPSec VPN 334
15.4.3 远程访问IPSec VPN 338
15.5 小结 345
15.6 参考 346
第16章 动态多点VPN 349
16.1 DMVPN解决方案的结构 349
16.1.1 DMVPN网络设计 350
16.1.2 DMVPN解决方案的组成 350
16.1.3 DMVPN工作原理 352
16.1.4 DMVPN数据结构 353
16.2 DMVPN部署的拓扑结构 354
16.3 实现DMVPN中心到节点结构 354
16.3.1 实现单中心单DMVPN(SHSD)的拓扑结构 355
16.3.2 实现双中心双DMVPN(DHDD)的拓扑结构 360
16.3.3 实现SLB的拓扑结构 360
16.4 实现动态网格的节点到节点的DMVPN结构 362
16.4.1 实现双中心单DMVPN的拓扑结构 362
16.4.2 实现多中心单DMVPN的拓扑结构 371
16.4.3 实施分层(基于树型)的拓扑结构 372
16.5 小结 373
16.6 参考 373
第17章 群组加密传输VPN 375
17.1 GET VPN解决方案体系结构 375
17.1.1 GET VPN特性 376
17.1.2 为什么需要GET VPN 376
17.1.3 GET VPN和DMVPN 377
17.1.4 何时部署GET VPN 378
17.1.5 GET VPN解决方案组成 378
17.1.6 GET VPN工作原理 379
17.1.7 IP报头保护 381
17.1.8 群组成员的ACL 381
17.2 实现Cisco IOS GET VPN 382
17.3 小结 387
17.4 参考 387
第18章 安全套接字层VPN(SSL VPN) 389
18.1 安全套接字层协议 389
18.2 SSL VPN解决方案的体系结构 390
18.2.1 SSL VPN概述 390
18.2.2 SSL VPN特性 391
18.2.3 SSL VPN部署考虑事项 392
18.2.4 SSL VPN访问方法 392
18.2.5 SSL VPN Citrix支持 393
18.3 实现Cisco IOS SSL VPN 394
18.4 Cisco AnyConnect VPN客户端 396
18.5 小结 396
18.6 参考 397
第19章 多协议标签交换VPN(MPLS VPN) 399
19.1 多协议标签交换 399
19.1.1 MPLS体系结构概述 400
19.1.2 MPLS工作原理 401
19.1.3 MPLS VPN和IPSec VPN 402
19.1.4 部署方案 402
19.1.5 面向连接和无连接的VPN技术 403
19.2 MPLS VPN(可信VPN) 404
19.3 第3层VPN(L3VPN)和第2层 VPN(L2VPN)的比较 405
19.4 L3VPN 406
19.4.1 L3VPN的组成 406
19.4.2 L3VPN的工作原理 406
19.4.3 VRF表的工作原理 406
19.5 实现L3VPN 407
19.6 L2VPN 412
19.7 实现L2VPN 414
19.7.1 利用基于VPWS的体系结构在MPLS服务中实现以太网VLAN 414
19.7.2 利用基于VPLS的体系结构在MPLS服务中实现以太网VLAN 414
19.8 小结 416
19.9 参考 416
第4部分 安全监控
第20章 网络入侵防御 421
20.1 入侵系统专业术语 421
20.2 网络入侵保护概述 422
20.3 Cisco IPS 4200系列传感器 422
20.4 Cisco IDS服务模块(IDSM-2) 424
20.5 Cisco增强型检测和防御安全服务系统模块(AIP-SSM) 425
20.6 Cisco IPS增强型集成模块(IPS-AIM) 426
20.7 Cisco IOS IPS 426
20.8 部署IPS 427
20.9 Cisco IPS传感器操作软件 428
20.10 Cisco IPS传感器软件 429
20.10.1 传感器软件——系统构架 429
20.10.2 传感器软件——通信协议 430
20.10.3 传感器软件——用户角色 431
20.10.4 传感器软件——分区 432
20.10.5 传感器软件——特征库和特征引擎 432
20.10.6 传感器软件——IPS事件 433
20.10.7 传感器软件——IPS事件动作 434
20.10.8 传感器软件——风险等级(RR) 435
20.10.9 传感器软件——IPS威胁等级 436
20.10.10 传感器软件——IPS接口 436
20.10.11 传感器软件——IPS接口模式 439
20.10.12 传感器软件——IPS阻塞(回避) 441
20.10.13 传感器软件——IPS速率限制 442
20.10.14 传感器软件——IPS虚拟化 442
20.10.15 传感器软件——IPS安全策略 443
20.10.16 传感器软件——IPS异常检测(AD) 443
20.11 IPS高可靠性 444
20.11.1 IPS应急开放机制 445
20.11.2 故障转移机制 445
20.11.3 应急开放和故障转移的部署 445
20.11.4 负载均衡技术 446
20.12 IPS设备部署准则 446
20.13 Cisco入侵保护系统设备管理器(IDM) 446
20.14 配置IPS内部VLAN对模式 447
20.15 配置IPS内部接口对模式 449
20.16 配置定制特征和IPS阻塞 452
20.17 小结 454
20.18 参考 454
第21章 主机入侵保护 457
21.1 利用非特征机制保护终端节点 457
21.2 Cisco安全代理(CSA) 458
21.3 CSA体系结构 459
21.3.1 CSA拦截和相关性 459
21.3.2 CSA扩展全局相关性 460
21.3.3 CSA访问控制过程 461
21.3.4 CSA深度防御——零天保护 461
21.4 CSA功能和安全角色 461
21.5 CSA部件 463
21.6 利用CSA MC配置并管理CSA部署 463
21.6.1 管理CSA主机 464
21.6.2 管理CSA代理工具箱 466
21.6.3 管理CSA群组 468
21.6.4 CSA代理用户界面 470
21.6.5 CSA策略、规则模块和规则 472
21.7 小结 472
21.8 参考 473
第22章 异常检测和缓解 475
22.1 攻击范围 475
22.1.1 拒绝服务攻击(DoS)定义 475
22.1.2 分布式拒绝服务(DDoS)攻击——如何定义 476
22.2 异常检测和缓解系统 477
22.3 Cisco DDoS异常检测和缓解解决方案 478
22.4 Cisco流量异常检测器 479
22.5 Cisco Guard DDoS缓解 481
22.6 整体运行 482
22.7 配置和管理Cisco流量异常检测器 485
22.7.1 管理检测器 486
22.7.2 通过CLI控制台访问初始化检测器 486
22.7.3 配置检测器(区域、过滤器、策略和学习过程) 487
22.8 配置和管理Cisco Guard缓解 489
22.8.1 管理Guard 490
22.8.2 利用CLI控制台访问并初始化Guard 490
22.8.3 配置Guard(区域、过滤器、策略和学习过程) 491
22.9 小结 494
22.10 参考 494
第23章 安全监控和相关性 497
23.1 安全信息和事件管理 497
23.2 Cisco安全监控、分析和响应系统(CS-MARS) 498
23.2.1 安全威胁防御(STM)系统 499
23.2.2 拓扑结构感知和网络映射 500
23.2.3 关键概念——事件、会话、规则和事故 501
23.2.4 CS-MARS事件处理 502
23.2.5 CS-MARS中的误报 503
23.3 部署CS-MARS 504
23.3.1 独立和本地控制器(LC) 505
23.3.2 全局控制器(GC) 506
23.3.3 软件版本化信息 507
23.3.4 报告和防御设备 508
23.3.5 运行级别 509
23.3.6 流量和已开启窗口 509
23.3.7 基于Web的管理界面 510
23.3.8 初始化CS-MARS 511
23.4 小结 512
23.5 参考 513
第5部分 安全管理
第24章 安全和策略管理 517
24.1 Cisco安全管理解决方案 517
24.2 Cisco安全管理器 518
24.2.1 Cisco安全管理器——特征和性能 518
24.2.2 Cisco安全管理器——防火墙管理 519
24.2.3 Cisco安全管理器——VPN管理 521
24.2.4 Cisco安全管理器——IPS管理 521
24.2.5 Cisco安全管理器——平台管理 522
24.2.6 Cisco安全管理器——体系结构 523
24.2.7 Cisco安全管理器——配置视图 523
24.2.8 Cisco安全管理器——设备管理 525
24.2.9 Cisco安全管理器——工作流模式 526
24.2.10 Cisco安全管理器——基于角色的访问控制 526
24.2.11 Cisco安全管理器——交叉-启动xDM 528
24.2.12 Cisco安全管理器——支持的设备和OS版本 530
24.2.13 Cisco安全管理器——服务器和客户端要求及限制 530
24.2.14 Cisco安全管理器——流量和已打开端口 532
24.3 Cisco路由器和安全设备管理器(SDM) 533
24.3.1 Cisco SDM——特征与性能 534
24.3.2 Cisco SDM工作原理 535
24.3.3 Cisco SDM——路由器安全审计功能 536
24.3.4 Cisco SDM——一步锁定功能 536
24.3.5 Cisco SDM——监控模式 538
24.3.6 Cisco SDM——所支持路由和IOS版本 538
24.3.7 Cisco SDM——系统要求 539
24.4 Cisco自适应安全设备管理器(ASDM) 540
24.4.1 Cisco ASDM——特征和性能 540
24.4.2 Cisco ASDM——工作原理 541
24.4.3 Cisco ASDM——分组追踪器程序 543
24.4.4 Cisco ASDM——相关访问规则系统日志 543
24.4.5 Cisco ASDM——支持的防火墙和软件版本 544
24.4.6 Cisco ASDM——用户要求 544
24.5 Cisco PIX设备管理器(PDM) 544
24.6 Cisco PIX设备管理器(IDM) 545
24.6.1 Cisco IDM——工作原理 545
24.6.2 Cisco IDM——系统要求 546
24.7 小结 547
24.8 参考 547
第25章 安全框架和规章制度 551
25.1 安全模型 551
25.2 策略、标准、准则和规程 552
25.2.1 安全策略 553
25.2.2 标准 553
25.2.3 准则 553
25.2.4 规程 553
25.3 最佳实践框架 554
25.3.1 ISO/IEC 17799(目前是ISO/IEC 27002) 554
25.3.2 COBIT 555
25.3.3 17799/27002和COBIT比较 555
25.4 遵从性和风险管理 556
25.5 法规遵从和立法行为 556
25.6 GLBA——格雷姆-里奇-比利雷法 556
25.6.1 谁受到影响 556
25.6.2 GLBA要求 557
25.6.3 违反处罚 557
25.6.4 满足GLBA的Cisco解决方案 558
25.6.5 GLBA总结 558
25.7 HIPPA——健康保险携带和责任法案 558
25.7.1 谁受到影响 559
25.7.2 HIPPA要求 559
25.7.3 违反处罚 559
25.7.4 满足HIPPA的Cisco解决方案 560
25.7.5 HIPPA总结 560
25.8 SOX——萨班斯-奥克斯莱法案 560
25.8.1 谁受到影响 561
25.8.2 SOX法案要求 561
25.8.3 违反处罚 562
25.8.4 满足SOX法案的Cisco解决方案 562
25.8.5 SOX总结 563
25.9 展望全球法规遵从法案和立法 563
25.9.1 在美国 564
25.9.2 在欧洲 564
25.9.3 在亚太地区 564
25.10 Cisco自防御网络解决方案 565
25.11 小结 565
25.12 参考 565
· · · · · · (收起)
读后感
评分
评分
评分
评分
评分
用户评价
评分
这本书的**前沿性探索**部分,尤其是在面向未来的安全领域,给了我最大的惊喜,但也带来了最深层次的困惑。作者花了相当大的篇幅来讨论量子计算对现有公钥加密体系的颠覆性影响,并详细分析了格密码学(Lattice-based Cryptography)作为后量子时代的潜在解决方案的数学基础和实现难度。这种对学术前沿的把握令人印象深刻,它迫使我必须跳出日常工作的舒适区,去思考十年后的安全挑战。更具启发性的是,书中还探讨了基于区块链的去中心化身份管理(DID)的潜力,并深入分析了如何在零知识证明(ZKP)的框架下构建既保护隐私又可验证的访问控制系统。然而,这种对“未来”的极致推崇,使得本书在处理“当下”的紧迫问题时显得有些力不从心。比如,对于日益猖獗的勒索软件团伙利用供应链漏洞进行大规模攻击的防御策略,书中提供的建议依然停留在“加强端点检测与响应(EDR)的部署”这一层面,而缺乏针对当前横行的横向移动技术和无文件恶意软件的**高阶对抗战术**的深入剖析。这本书更像是一份来自未来世界的“警示录”和“理论蓝图”,对于解决我明天早上就要面对的某个特定漏洞扫描报告中的高危项,它的帮助微乎其微。
评分这本《网络安全技术与解决方案》的标题着实吸引人,但实际翻开书页,我发现它更像是一部宏大的历史叙事,而非我所期待的那种侧重于具体操作和最新技术栈的实战指南。作者似乎对信息安全的**哲学起源和演变**有着近乎痴迷的热爱。开篇用了大量的篇幅追溯了图灵机的诞生及其对信息加密概念的奠基性影响,接着笔锋一转,深入探讨了冷战时期密码学竞赛如何驱动了现代公钥基础设施的萌芽。我花了好长时间才理解作者是如何将早期的博弈论模型,比如冯·诺依曼提出的零和博弈,巧妙地嵌入到当代的威胁情报分析框架中。阅读过程中,我时不时会停下来,上网去查阅那些被提及的早期密码学家的生平和他们那些晦涩难懂的数学定理。这本书的深度令人敬畏,但对于一个迫切想知道如何配置最新的防火墙策略或者部署零信任架构的IT从业者来说,它提供的**理论基石**固然重要,但**实践的“肉身”**部分则显得过于单薄和抽象了。它更像是一本给安全史学家或者信息安全专业硕士生准备的教材,充满了对“为什么是这样”的追问,而非“该怎么做”的直接指导。我对其中关于“信息熵与系统脆弱性”的章节印象尤为深刻,那部分内容将纯粹的数学原理与现实世界的系统崩溃案例结合得非常精妙,足以让人重新审视我们对“安全”的理解。
评分我发现这本书在**风险管理和合规性框架**的阐述上达到了一个令人侧目的高度,远超出了我预期的技术范畴。作者并没有简单地罗列ISO 27001或NIST CSF的条目,而是将其置于更广阔的商业决策背景下进行分析。书中有一个章节专门探讨了如何将“可接受的风险阈值”与企业的季度盈利目标进行量化挂钩,甚至引入了期权定价模型来评估安全投资的回报率(ROI)。这对于那些需要向董事会或高层管理人员阐述安全预算申请的CISO(首席信息安全官)来说,无疑是极具价值的视角。他们能从这本书中找到用商业语言来阐述技术风险的有力工具。然而,这种对高层决策的聚焦,不可避免地牺牲了底层技术人员的利益。比如,书中对Web应用防火墙(WAF)的介绍,仅仅停留在“WAF是抵御OWASP Top 10的必要屏障”这一层面,完全没有深入到ModSecurity规则集的定制化、误报率的调优,或者如何应对基于容器的攻击向量绕过WAF保护的问题。它提供了一张完美的**航海图**,清晰标明了目的地和主要航线,但对驾驶船只所需的**引擎维护手册**却显得过于简略了。
评分这本书的语言风格非常独特,它不像一本技术手册,反而更像是一系列**散文式的案例研究集合**。作者似乎更倾向于用文学化的手法来描绘那些经典的黑客事件,而非罗列技术指标。比如,在描述某次著名的APT攻击时,作者花费了大量笔墨去刻画攻击者在渗透过程中所展现出的“耐心”和“隐蔽性”,将入侵过程比作一场精心编排的交响乐,而非简单的技术步骤堆砌。我喜欢这种叙事方式带来的沉浸感,它让人能更好地理解攻击者思维的复杂性,而不是仅仅停留在“打补丁”的层面。然而,这种风格带来的直接后果就是,当我需要快速查阅某个特定防御机制的实施细节时,比如如何配置一个具有深度数据包检测功能的下一代防火墙(NGFW)的特定规则集,我必须穿过好几页关于“防御方在信息不对称下的心理博弈”的论述才能找到只言片语的关键信息。这本书在**“故事性”和“工具性”**之间严重偏向了前者。它成功地激发了我对安全领域的兴趣和敬畏感,但如果我需要一个快速参考指南来解决一个紧急的配置错误,这本书无异于抱着一本精美的《战争与和平》去查阅电话号码,显得力不从心。
评分当我拿到这本书时,我本以为能从中找到关于**云原生安全和DevSecOps流水线**的深入剖析。毕竟在当前这个容器化和微服务爆炸的时代,这些才是我们日常工作中要面对的“硬骨头”。然而,这本书的内容似乎滞留在了十年前的某个时间点。它对传统的网络边界防御——比如IDS/IPS的签名匹配和SIEM的日志关联分析——进行了非常详尽的阐述,甚至连BGP劫持的经典攻击路径都模拟得惟妙惟肖。这部分内容对于那些刚踏入信息安全领域,需要建立基础安全知识体系的读者来说,或许是无可替代的“红宝书”。但是,书中对诸如Kubernetes安全上下文(Security Contexts)、Istio服务网格中的授权策略,或者如何利用Serverless函数的特性来设计更具弹性的安全控制,几乎是只字未提,或者仅仅是一带而过。我特别期望看到作者能结合最新的攻击面,例如供应链攻击中对Open Source组件的深入挖掘,能提供一些切实可行的工具链和自动化脚本示例。遗憾的是,我只能从那些描述传统网络拓扑的章节中,去**逆向推导出**我们现在应该如何去加固这些新环境,这无疑增加了阅读的难度和心理的落差感。这本书的视角过于宏观,对于那些寻求即时生产力的工程师来说,可能需要再配上几本针对特定云平台或工具集的技术手册才能满足需求。
评分 评分 评分 评分 评分相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2026 book.wenda123.org All Rights Reserved. 图书目录大全 版权所有