第1章 对网络安全的需要 1
1.1 安全威胁 2
1.1.1 无组织的威胁 3
1.1.2 有组织的威胁 4
1.1.3 外部威胁 5
1.1.4 内部威胁 5
1.2 安全概念 6
1.3 攻击的各个阶段 6
1.3.1 设定攻击目标 7
1.3.2 攻击前的侦察 7
1.3.3 正式攻击 9
1.4 攻击方法 9
1.4.1 即兴攻击 10
1.4.2 系统性攻击 10
1.4.3 外科手术式打击 10
1.4.4 耐心 慢 攻击 10
1.5 网络攻击点 10
1.5.1 网络资源 10
1.5.2 网络协议 12
1.6 黑客工具与技术 13
1.6.1 使用侦察工具 13
1.6.2 攻击网络中的薄弱点 14
1.6.3 实施拒绝服务攻击技术 17
1.7 小结 20
1.8 复习题 21
第2章 网络安全与Cisco 23
2.1 保护网络安全 24
2.1.1 加强认证 25
2.1.2 建立安全边界 27
2.1.3 通过虚拟专用网提供私密性 28
2.1.4 漏洞修补 30
2.2 监控网络安全 31
2.2.1 人工监控 31
2.2.2 自动监控 31
2.3 检验网络安全 32
2.3.1 使用安全扫描器 32
2.3.2 进行专业安全评估 32
2.4 提升网络安全 33
2.4.1 留意安全新闻 33
2.4.2 定期检查配置文件 34
2.4.3 评估传感器的放置 34
2.4.4 验证安全配置 35
2.5 Cisco集成化语音. 视频和数据 AVVID 体系结构 35
2.5.1 Cisco AVVID体系结构 36
2.5.2 Cisco AVVID的益处 37
2.6 Cisco SAFE 38
2.6.1 SAFE模块化蓝图 38
2.6.2 SAFE的益处 39
2.7 小结 39
2.8 复习题 40
第3章 入侵检测的概念 43
3.1 入侵检测的定义 43
3.2 IDS警报术语 44
3.2.1 错误警报 44
3.2.2 正确警报 44
3.3 IDS触发器 45
3.3.1 异常检测 45
3.3.2 滥用检测 48
3.3.3 协议分析 49
3.4 IDS监控位置 50
3.4.1 基于主机的IDS 50
3.4.2 基于网络的IDS 51
3.5 混合IDS 53
3.5.1 优点 53
3.5.2 缺点 53
3.6 入侵检测响应技术 53
3.6.1 TCP重置 54
3.6.2 IP拦阻 54
3.6.3 记录 54
3.6.4 访问限制 54
3.7 入侵检测逃避技术 55
3.7.1 泛洪 55
3.7.2 分片 55
3.7.3 加密 56
3.7.4 迷惑 56
3.7.5 TTL操作 57
3.8 小结 58
3.9 复习题 59
第4章 Cisco入侵防护 63
4.1 Cisco入侵检测系统 IDS 解决方案概述 64
4.1.1 入侵防护 64
4.1.2 积极防御 65
4.1.3 深入防御 68
4.2 Cisco IDS传感器 68
4.2.1 网络传感器 69
4.2.2 交换机传感器 69
4.2.3 路由器传感器 70
4.2.4 防火墙传感器 71
4.2.5 主机代理 71
4.3 Cisco威胁响应 72
4.4 Cisco传感器管理 72
4.4.1 Cisco IDS设备管理器 73
4.4.2 Cisco IDS管理中心 73
4.5 Cisco警报监控与报告 73
4.5.1 Cisco IDS事件查看器 74
4.5.2 Cisco IDS安全监控器 74
4.6 部署Cisco IDS 74
4.6.1 传感器的选择 74
4.6.2 传感器的布放 75
4.6.3 传感器部署的考虑 77
4.6.4 传感器部署的情形 79
4.7 小结 80
4.8 复习题 82
第5章 Cisco IDS体系结构 85
5.1 以前的软件体系结构 85
5.2 Cisco IDS 4.0软件体系结构 86
5.2.1 cidWebServer 87
5.2.2 mainApp 88
5.2.3 logApp 88
5.2.4 认证 88
5.2.5 网络接入控制器 NAC 89
5.2.6 ctlTransSource 89
5.2.7 sensorApp 89
5.2.8 事件存储 Event Store 89
5.2.9 cidCLI 90
5.3 Cisco IDS 4.0通信体系结构 90
5.3.1 通信概述 90
5.3.2 入侵检测应用程序接口 90
5.3.3 远程数据交换协议 90
5.4 用户账号和角色 92
5.4.1 管理员 93
5.4.2 操作员 93
5.4.3 查看者 93
5.4.4 服务 93
5.5 小结 93
5.6 复习题 95
第6章 捕获网络数据流量 97
6.1 数据流量捕获设备 97
6.1.1 集线器 97
6.1.2 网络分接头 98
6.1.3 交换机 99
6.2 交换机端口分析 100
6.2.1 交换机端口分析 SPAN 端口术语 101
6.2.2 传输控制协议 TCP 重置限制 101
6.2.3 Catalyst 2900XL/3500XL交换机 102
6.2.4 Catalyst 4000和6500交换机 104
6.3 远程交换机端口分析 105
6.4 虚拟局域网 Virtual Local-Area Network, VLAN 访问控制列表 107
6.4.1 定义感兴趣的数据流量 Interesting Traffic 107
6.4.2 在CatOS上配置虚拟局域网访问控制列表 VACL 108
6.4.3 在Cisco互联操作系统 IOS 防火墙下配置VACL 111
6.5 高级数据流量捕获 113
6.6 小结 115
6.7 复习题 116
第7章 Cisco IDS网络传感器的安装 119
7.1 IDS设备 120
7.1.1 设备型号 120
7.1.2 设备限制 123
7.1.3 硬件注意事项 124
7.2 IDS加速卡 126
7.3 IDS设备命令行接口 127
7.3.1 使用CLI 127
7.3.2 用户角色 130
7.3.3 CLI命令模式 131
7.3.4 管理任务 135
7.3.5 配置任务 135
7.4 安装IDS设备 135
7.4.1 从3.1版本升级到4.0版本 135
7.4.2 初始化配置任务 137
7.5 小结 142
7.6 复习题 143
第8章 Cisco IDS模块配置 147
8.1 Cisco IDS模块 IDSM 147
8.1.1 第二代入侵检测系统模块 IDSM-2 技术指标 147
8.1.2 关键特性 148
8.1.3 IDSM同IDSM-2的比较 149
8.2 IDSM-2配置 149
8.2.1 IDSM-2初始化 150
8.2.2 IDSM-2端口 151
8.2.3 捕获数据流量 152
8.2.4 IDSM-2数据流量流向 152
8.3 Catalyst 6500交换机配置 153
8.3.1 配置命令和控制端口 153
8.3.2 监控数据流量 154
8.3.3 中继配置任务 158
8.3.4 管理任务 158
8.4 故障排除 159
8.4.1 IDSM-2状态发光二极管 LED 159
8.4.2 Catalyst 6500命令 159
8.5 小结 161
8.6 复习题 162
第9章 Cisco IDS设备管理器与事件查看器 165
9.1 Cisco IDS设备管理器 165
9.1.1 系统要求 165
9.1.2 安装Cisco IDS设备管理器 166
9.1.3 Cisco IDS设备管理器接口结构 166
9.1.4 访问IDS设备管理器 IDM 168
9.1.5 访问在线IDM帮助 169
9.1.6 IDS设备管理器与Cookie 169
9.1.7 IDS设备管理器与证书 169
9.2 Cisco IDS事件查看器 171
9.2.1 系统要求 172
9.2.2 安装Cisco IDS事件查看器 172
9.2.3 卸载Cisco IDS事件查看器 173
9.2.4 启动Cisco IDS事件查看器 173
9.2.5 指定使用IDS设备监控 173
9.2.6 配置过滤器 177
9.2.7 配置视图 183
9.2.8 查看事件数据 187
9.2.9 使用警报 190
9.2.10 网络安全数据库 NSDB 194
9.2.11 配置首选项 197
9.2.12 配置应用程序设置 199
9.2.13 数据库管理 200
9.3 小结 202
9.4 复习题 203
第10章 传感器配置 207
10.1 在IDS传感器管理中心中添加传感器 IDS MC 208
10.1.1 传感器组 208
10.1.2 独立传感器 209
10.2 配置网络设置 210
10.3 配置允许主机 212
10.4 远程访问 213
10.5 安全Shell SSH 属性 213
10.5.1 定义授权密钥 214
10.5.2 生成新的主机密钥 215
10.5.3 配置SSH已知主机密钥 216
10.6 证书管理 218
10.6.1 信任主机证书 218
10.6.2 产生主机证书 219
10.6.3 查看服务器证书 220
10.7 配置时间 221
10.7.1 设置时间 221
10.7.2 配置时区 222
10.7.3 配置NTP服务器 222
10.7.4 配置夏令时 223
10.7.5 修正时间 224
10.8 添加用户 224
10.9 管理任务 226
10.9.1 查看系统信息 226
10.9.2 查看诊断信息 227
10.9.3 重新启动传感器 228
10.10 小结 229
10.11 复习题 231
第11章 特征配置 233
11.1 全局探测配置 233
11.1.1 内部网络 233
11.1.2 重组选项 237
11.2 IDM中的特征组 241
11.2.1 特征ID 242
11.2.2 特征引擎 243
11.2.3 攻击类型 243
11.2.4 L2/L3/L4协议 244
11.2.5 操作系统 245
11.2.6 服务 246
11.3 IDS MC中的特征组 247
11.4 特征过滤 250
11.4.1 定义事件过滤器 250
11.4.2 过滤程序 251
11.4.3 使用IDM添加事件过滤器 251
11.4.4 使用IDS MC添加事件过滤器 253
11.5 特征配置 257
11.5.1 特征调整 257
11.5.2 自定义特征 257
11.5.3 调整特征 258
11.5.4 使用IDM调整特征6250 260
11.5.5 使用IDS MC调整特征6250 261
11.6 创建自定义特征 262
11.6.1 选择特征引擎 263
11.6.2 验证现有功能 264
11.6.3 定义特征参数 264
11.6.4 测试特征的有效性 265
11.6.5 自定义特征情形 265
11.7 小结 273
11.8 复习题 274
第12章 特征响应 277
12.1 特征响应概述 277
12.2 IP拦阻 277
12.2.1 IP拦阻定义 278
12.2.2 IP拦阻设备 278
12.2.3 拦阻指导方针 280
12.2.4 拦阻过程 282
12.3 ACL放置考虑 283
12.4 配置IP拦阻 286
12.4.1 指定拦阻行为 286
12.4.2 设置拦阻属性 288
12.4.3 定义从不拦阻地址 290
12.4.4 安装逻辑设备 292
12.4.5 定义拦阻设备 293
12.4.6 定义主拦阻传感器 301
12.5 手动拦阻 302
12.5.1 拦阻主机 303
12.5.2 拦阻网络 303
12.6 IP记录 304
12.6.1 IDM中的IP记录参数 304
12.6.2 IDS MC中的IP记录参数 305
12.6.3 手动IP记录 306
12.7 TCP重置 307
12.8 小结 307
12.9 复习题 309
第13章 Cisco IDS警报与特征 311
13.1 Cisco IDS特征 311
13.1.1 警报扼杀模式 311
13.1.2 Summary模式升级 313
13.1.3 正则表达式字符串匹配 314
13.2 Cisco IDS警报 315
13.2.1 严重级别 315
13.2.2 传感器状态警报 315
13.3 Cisco IDS特征引擎 316
13.3.1 特征参数 316
13.3.2 Atomic特征引擎 318
13.3.3 Flood特征引擎 323
13.3.4 OTHER特征引擎 325
13.3.5 Service特征引擎 326
13.3.6 State特征引擎 336
13.3.7 String特征引擎 337
13.3.8 Sweep特征引擎 338
13.3.9 Traffic特征引擎 342
13.3.10 Trojan特征引擎 343
13.4 小结 343
13.5 复习题 345
第14章 主机入侵防护 349
14.1 端点防护 349
14.1.1 零日防护 349
14.1.2 数据防护 350
14.1.3 服务器和台式机维护 350
14.2 Cisco安全代理 CSA 350
14.2.1 攻击保护 350
14.2.2 部署概述 351
14.2.3 Cisco安全代理管理中心 352
14.3 使用Cisco安全代理的管理中心 353
14.3.1 定义安全策略 353
14.3.2 基于角色的管理 353
14.3.3 部署CSA策略 354
14.4 监控CSA事件 355
14.4.1 状态总结 356
14.4.2 事件日志 356
14.4.3 根据事件属性过滤 358
14.4.4 定义过滤器 358
14.4.5 事件日志管理 359
14.4.6 事件监控器 361
14.4.7 事件集 361
14.4.8 警报 363
14.5 配置组与管理主机 364
14.5.1 配置组 365
14.5.2 主机 368
14.6 CSA策略 369
14.6.1 CSA策略组件 370
14.6.2 配置策略 372
14.6.3 理解规则 375
14.6.4 使用配置变量 376
14.6.5 配置应用程序类 378
14.6.6 全局事件关联 380
14.7 代理工具 380
14.7.1 创建代理工具 380
14.7.2 控制代理注册 382
14.8 发布软件更新 383
14.8.1 可用软件更新 383
14.8.2 定期软件更新 383
14.9 报告 384
14.10 Profiler工具 384
14.11 小结 385
14.12 复习题 387
第15章 Cisco IDS维护与故障排除 389
15.1 软件更新 389
15.1.1 IDS软件的文件格式 390
15.1.2 软件更新向导 391
15.2 升级传感器软件 392
15.2.1 通过CLI的软件安装 392
15.2.2 使用IDS设备管理器 IDM 的软件安装 393
15.2.3 使用IDS MC安装软件 395
15.2.4 降级镜像 397
15.3 镜像恢复 397
15.4 基本故障排除 398
15.4.1 show version 398
15.4.2 show interfaces 399
15.4.3 show interfaces command-control 400
15.4.4 show interfaces sensing 401
15.4.5 show interfaces group 401
15.4.6 show tech-support 402
15.4.7 show statistics 403
15.4.8 show events 404
15.5 小结 405
15.6 复习题 406
第16章 企业级IDS管理 409
16.1 CiscoWorks 410
16.1.1 登录过程 410
16.1.2 授权角色 411
16.1.3 添加用户 411
16.2 IDS传感器管理中心 IDS MC 412
16.2.1 体系结构概述 413
16.2.2 Windows上的安装 415
16.2.3 Solaris上的安装 417
16.2.4 客户端要求 418
16.2.5 启动IDS MC 418
16.2.6 IDS MC界面 419
16.2.7 在IDS MC中访问在线帮助 421
16.3 IDS配置文件的部署 422
16.3.1 配置与生成 423
16.3.2 配置和批准 424
16.3.3 部署 424
16.4 小结 427
16.5 复习题 428
第17章 企业级IDS监控和报告 431
17.1 安全监控中心 431
17.1.1 服务器要求 432
17.1.2 客户端要求 432
17.1.3 用户界面 433
17.2 安全监控器配置 435
17.2.1 添加设备 435
17.2.2 导入设备 440
17.2.3 事件通知 442
17.2.4 监控设备 446
17.3 安全监控器的事件查看器 450
17.3.1 移动列 450
17.3.2 删除列或行 450
17.3.3 折叠列 451
17.3.4 设置事件展开区间 453
17.3.5 展开列 453
17.3.6 挂起和恢复处理新事件 454
17.3.7 改变显示首选项 455
17.3.8 创建图表 458
17.3.9 显示 459
17.4 安全监控器管理 461
17.4.1 数据库维护 461
17.4.2 系统配置的设置 463
17.4.3 定义事件查看器的首选项 463
17.5 安全监控器报告 464
17.5.1 定义报告 465
17.5.2 计划报告 466
17.5.3 查看报告 466
17.6 小结 468
17.7 复习题 469
第18章 Cisco威胁响应 473
18.1 概要 473
18.1.1 优点 473
18.1.2 术语和定义 475
18.1.3 调查等级 475
18.1.4 预定义策略类型 476
18.2 Cisco威胁响应 CTR 的配置要求 477
18.2.1 系统要求 477
18.2.2 IDS要求 478
18.2.3 防火墙设置 478
18.2.4 迁移到CiscoWorks VPN/安全管理解决方案 478
18.3 软件安装 478
18.3.1 访问CTR图形界面接口 GUI 479
18.3.2 快速启动 480
18.3.3 使用Cisco威胁响应 481
18.4 基本设置 484
18.4.1 定义警报源 484
18.4.2 配置安全区域 487
18.4.3 定义受保护系统 490
18.5 高级设置 494
18.6 警报和报告 494
18.6.1 显示警报 494
18.6.2 过滤警报 498
18.6.3 生成报告 499
18.7 维护 501
18.7.1 自动更新 501
18.7.2 用户 503
18.8 小结 504
18.9 复习题 505
第19章 Cisco入侵防护系统预计功能 509
19.1 Cisco入侵防护系统概述 509
19.1.1 威胁检测的精确性 509
19.1.2 威胁调查的智能性 510
19.1.3 管理的简便性 510
19.1.4 部署选项的灵活性 510
19.2 新的硬件平台 510
19.2.1 4215工具传感器 511
19.2.2 路由器网络模块 511
19.3 新的软件功能 512
19.3.1 支持多接口 512
19.3.2 捕获数据包 512
19.4 内嵌的 In-Line IDS处理 513
19.5 新的特征 513
19.5.1 S44特征更新 513
19.5.2 S46特征更新 514
19.6 管理 514
19.7 主机入侵防护 HIP 515
19.8 小结 515
附录A Cisco入侵防护解决方案调整:案例研究 519
附录B 复习题答案 535
术语表 551