Cisco 网络安全

第1章 理解网络安全的风险和威胁
1.1 技术弱点
1.1.1 协议
1.1.2 操作系统
1.1.3 网络设备
1.1.4 防火墙漏洞
1.2 配置弱点
1.3 策略弱点
1.4 安全威胁的来源
1.4.1 寻求刺激的冒险家
1.4.2 竞争对手
1.4.3 窃贼
1.4.4 敌对者或间谍
1.4.5 怀有敌意的员工
1.4.6 怀有敌意的前雇员
1.4.7 其他员工
1.5 对于网络安全的威胁
1.5.1 电子窃听
1.5.2 拒绝服务
1.5.3 未授权的访问
1.5.4 会话重放
1.5.5 会话截取
1.5.6 假冒
1.5.7 恶意破坏
1.5.8 否认
1.5.9 病毒、特洛伊木马和蠕虫
1.5.10 重路由
1.6 应该怎么做
1.6.1 需要保护什么
1.6.2 风险的本质是什么
1.6.3 哪类保护是必须的
1.6.4 能支付多少钱
1.7 小结
第2章 安全体系结构
2.1 安全策略的目标
2.1.1 数据的机密性和私密性
2.1.2 数据的可用性
2.1.3 数据的完整性
2.1.4 身份的认证和授权
2.1.5 不可否认性
2.2 物理安全
2.2.1 电缆
2.2.2 交换机
2.2.3 路由器
2.3 基本网络安全
2.3.1 密码
2.3.2 网络安全解决方案
2.3.3 边界路由器——第一道防线
2.3.4 防火墙——边界的加固
2.3.5 虚拟专用网
2.3.6 数据私密性和完整性
2.3.7 漏洞评估
2.3.8 入侵检测
2.3.9 访问控制和身份
2.3.10 安全策略的管理和实施
2.4 小结
第3章 边界路由器
3.1 密码
3.1.1 特权用户
3.1.2 基本用户
3.2 禁用EXEC模式
3.3 设立线路特定的密码
3.4 设立用户特定的密码
3.5 使用访问列表作为过滤器来限制访问
3.6 其他问题
3.7 路由器服务和协议
3.7.1 简单网络管理协议
3.7.2 HTTP
3.7.3 TCP／IP服务
3.7.4 禁用IP源路由
3.7.5 禁用不必要的TCP和UDP服务
3.7.6 禁用Finger服务
3.7.7 禁用代ARP
3.7.8 禁用定向广播
3.7.9 禁用Cisco发现协议
3.7.10 禁用ICMP重定向
3.7.11 禁用网络时间协议
3.7.12 禁用ICMP不可达消息
3.8 流量管理
3.9 基于路由器的攻击防卫
3.10 路由选择协议
3.11 小结
第4章 防火墙
4.1 因特网协议
4.1.1 IP——因特网协议
4.1.2 TCP——传输控制协议
4.1.3 UDP——用户数据报协议
4.1.4 TCP和UDP端口
4.2 什么是网络防火墙
4.3 防火墙提供哪种类型的保护
4.3.1 防火墙提供的保护和特性
4.3.2 防火墙所不能防护的内容
4.4 防火墙设计方法
4.4.1 网络层防火墙
4.4.2 应用层防火墙
4.5 使用防火墙的网络设计
4.5.1 传统的防火墙设计
4.5.2 当前的设计
4.5.3 基于路由器的防火墙
4.6 小结
第5章 PIX防火墙简介
5.1 安全级别
5.2 适应性安全算法
5.3 网络地址转换
5.4 PIX防火墙特性
5.4.1 抵御网络攻击
5.4.2 特殊的应用和协议
5.5 控制通过PIX防火墙的流量
5.5.1 使用管道控制人站流量
5.5.2 直接代理
5.5.3 利用RADIUS和TACACS+实现AAA支持
5.6 小结
第6章 PIX防火墙的配置
6.1 配置前的准备
6.2 配置PIX防火墙
6.2.1 标识接口
6.2.2 允许来自内部的访问
6.2.3 建立PIX防火墙路由
6.2.4 允许来自外部的访问
6.2.5 测试和远程管理
6.3 控制出站的访问
6.4 认证和授权
6.4.1 入站连接
6.4.2 出站连接
6.5 记录事件
6.6 实现故障转移的备用PIX防火墙
6.7 小结
第7章 基于路由器的防火墙
7.1 访问列表
7.1.1 标准访问列表
7.1.2 扩展访问列表
7.1.3 关于访问列表的指导原则
7.2 Cisco网络安全集成软件
7.2.1 Cisco网络安全集成软件的体系结构
7.2.2 CBAC和状态数据包过滤
7.2.3 CBAC所支持的应用
7.2.4 CBAC的其他限制
7.2.5 Cisco网络安全集成软件的其他特性
7.2.6 配置CBAC
7.3 其他注意事项
7.4 小结
第8章 加密技术介绍
8.1 对称密钥加密
8.1.1 数据加密标准
8.1.2 高级加密标准及其他
8.1.3 密钥管理
8.2 非对称密钥加密
8.3 对称方法与非对称方法的比较
8.4 Diffie—Hellman算法
8.5 RSA公钥加密
8.6 消息认证码
8.7 小结
第9章 IPSec简介
9.1 应用加密技术的场合
9.1.1 数据链路层
9.1.2 网络层
9.1.3 传输层
9.1.4 应用层
9.2 目标
9.3 IPSec概述
9.4 IPSec详细内容
9.4.1 AH——认证报头
9.4.2 ESP——封装安全有效载荷
9.4.3 模式
9.4.4 SA、SPI和SPD的定义
9.5 密钥管理
9.5.1 因特网密钥交换
9.5.2 IKE、ISAKMP、OAKLEY和DOI
9.6 基本密钥交换
9.6.1 IKE的第1阶段
9.6.2 IKE的第2阶段
9.7 小结
第10章 IPSec的配置
10.1 第1步——规划IPSec
10.2 第2步——配置因特网密钥交换(IKE)
10.2.1 配置人工密钥
10.2.2 动态密钥管理
10.2.3 PFS和SA的有效期
10.2.4 其他IKE配置选项
10.2.5 IKE的命令语法
10.3 第3步——定义转换集
10.4 第4步——创建加密访问列表
10.5 第5步——创建加密映射
10.6 第6步——将加密映射应用于接口
10.7 第7步——测试和检验
10.8 配置示例
10.8.1 配置示例1——IPSec人工密钥
10.8.2 配置示例2——使用预共享密钥的IKE
10.9 小结
第11章 VPN——虚拟专用网
11.1 VPN的推动因素
11.2 为何使用VPN
11.3 VPN技术
11.3.1 PPTP
11.3.2 L2TP
11.3.3 IPSec
11.4 认证的限制
11.5 小结
第12章 Cisco其他安全产品
12.1 访问控制
12.2 漏洞评估
12.2.1 第1阶段——网络映射
12.2.2 第2阶段——数据收集
12.2.3 第3阶段——数据分析
12.2.4 第4阶段——漏洞确认
12.2.5 第5阶段——数据表达以及操作
12.2.6 第6阶段——报告
12.3 入侵检测
12.4 小结