CCSP自学指南：安全Cisco IOS网络 SECUR【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

CCSP自学指南：安全Cisco IOS网络 SECURPDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 网络安全简介1

1.1.1一个封闭的网络2

1.1 目标2

1.1.2现代网络3

1.1.4安全角色的转变4

1.1.3 威胁的能力——更危险更容易4

1.1.6法律和政策的问题5

1.1.5电子商务的挑战5

1.2 Cisco SAFE Blueprint6

1.2.4网络目标7

1.2.3主机目标7

1.2.1路由器目标7

1.2.2交换机目标7

1.2.6安全的管理和报告8

1.2.5应用目标8

1.3.1网络安全威胁9

1.3网络攻击类型9

1.3.2网络攻击类型10

1.4网络安全策略22

1.6.2 Cisco PIX设备管理器23

1.6.1 Cisco VPN设备管理器23

1.5 Cisco网络安全产品23

1.6 Cisco管理软件23

1.6.4 CiscoWorks VPN／安全管理方案24

1.6.3 Cisco VPN方案中心24

1.7.2简单网络管理协议25

1.7.1 Telnet25

1.7管理协议和功能25

1.7.5网络时间协议26

1.7.4简单文件传输协议26

1.7.3 Syslog26

1.8 NAT和NAT穿透27

1.9本章小结28

1.10本章复习题29

2.1 Cisco IOS防火墙特性31

第2章 Cisco路由器安全基础31

2.1.2 Cisco IOS防火墙特点32

2.1.1 Cisco IOS防火墙价值32

2.2.1对安装进行风险评估33

2.2安全的Cisco路由器安装33

2.2.2 Cisco路由器和交换机物理安装常见威胁34

2.3.1连接路由器控制台端口36

2.3安全的Cisco路由器管理访问36

2.3.3初始化配置对话37

2.3.2口令创建规则37

2.3.5配置Enable Secret口令38

2.3.4配置最小口令长度38

2.3.6配置控制台端口用户级口令39

2.3.7配置一个vty用户级口令40

2.3.9用service password-encryption命令加密口令41

2.3.8配置一个AUX用户级口令41

2.3.10增强用户名口令安全42

2.3.11用no service password-recovery保护ROMMON43

2.3.13设置路由器链路超时44

2.3.12记录认证失败率44

2.3.14设置特权级别45

2.3.15配置旗标消息46

2.3.16安全的SNMP访问47

2.4.1AAA模型：网络安全结构57

2.4 Cisco路由器AAA介绍57

2.4.2实施AAA58

2.4.4用外部服务实施AAA59

2.4.3用本地服务实施AAA59

2.4.5 TACACS+和RADIUS AAA协议60

2.4.6认证方法和易用性61

2.5.1认证边界路由器访问65

2.5为Cisco边界路由器配置AAA65

2.5.3对特权EXEC和配置模式进行安全访问66

2.5.2边界路由器AAA配置过程66

2.5.5 aaa authentication命令67

2.5.4用aaa new-model命令启用AAA67

2.5.6 aaa authorization命令70

2.5.7 aaa accounting命令72

2.6.1 debug aaa authentication命令73

2.6 AAA排障73

2.6.2 debug aaa authorization命令74

2.6.3 debug aaa accounting命令75

2.10案例研究76

2.9本章复习题76

2.7本章小结76

2.8 Cisco IOS命令回顾76

2.10.1未来公司77

2.10.2安全策略符合性78

2.10.3解决方案79

3.1 Cisco Secure ACS介绍83

第3章 Cisco路由器网络高级AAA安全83

3.1.1 Cisco Secure ACS for Windows84

3.1.2 Cisco Secure ACS for UNIX(Solaris)94

3.2安装Cisco Secure ACS 3.0 for Windows 2000/NT服务器95

3.2.4用Web浏览器配置Cisco Secure ACS for Windows96

3.2.3在服务器上安装Cisco Secure ACS for Windows96

3.2.1配置服务器96

3.2.2校验Windows服务器和其他网络设备间的连接96

3.3 Cisco Secure ACS for Windows管理和排障97

3.2.6校验正确安装和操作97

3.2.5为AAA配置其余设备97

3.3.1认证失败99

3.3.4拨入PC问题排障100

3.3.3记帐失败100

3.3.2授权失败100

3.4.1一般特性101

3.4 TACACS+概述101

3.3.5使用Cisco IOS命令排障101

3.4.2配置TACACS+102

3.4.3校验TACACS+105

3.5 RADIUS概述107

3.5.4配置RADIUS108

3.5.3灵活的认证机制108

3.5.1客户端／服务器模型108

3.5.2网络安全108

3.5.5 RADIUS增强属性110

3.6 Kerberos概述111

3.9本章复习题112

3.8 Cisco IOS命令回顾112

3.7本章小结112

3.10案例研究113

3.10.2解决方案114

3.10.1场景114

4.1.1单个边界路由器117

4.1用路由器来保护网络117

第4章 Cisco路由器威胁对策117

4.1.3集成防火墙的边界路由器118

4.1.2边界路由器和防火墙118

4.2加强路由器服务和接口的安全性119

4.1.4边界路由器、防火墙和内部路由器119

4.2.2关闭CDP服务120

4.2.1关闭BOOTP服务器120

4.2.3关闭配置自动加载服务121

4.2.5关闭FTP服务器122

4.2.4限制DNS服务122

4.2.6关闭Finger服务123

4.2.7关闭无根据ARP124

4.2.9关闭IP无类别路由选择服务125

4.2.8关闭HTTP服务125

4.2.11关闭IP鉴别126

4.2.10关闭IP定向广播126

4.2.13关闭ICMP重定向127

4.2.12关闭ICMP掩码应答127

4.2.15关闭ICMP不可达消息128

4.2.14关闭IP源路由选择128

4.2.17关闭NTP服务129

4.2.16关闭MOP服务129

4.2.18关闭PAD服务130

4.2.19关闭代理ARP131

4.2.20关闭SNMP服务132

4.2.21关闭小型服务器133

4.2.22启用TCP Keepalive134

4.2.23关闭TFTP服务器135

4.3关闭不用的路由器接口136

4.4.1识别访问控制列表137

4.4实施Cisco访问控制列表137

4.4.2 IP访问控制列表类型138

4.4.5 ACL定向过滤143

4.4.4开发ACL规则143

4.4.3注释IP ACL条款143

4.4.7显示ACL144

4.4.6将ACL应用到接口144

4.4.8启用Turbo ACL145

4.4.9增强ACL146

4.5用ACL来应对安全威胁147

4.5.1流量过滤148

4.5.2理论网络149

4.6.2 SNMP服务150

4.6.1 Telnet服务150

4.6过滤路由器服务流量150

4.7过滤网络流量151

4.6.3路由选择协议151

4.7.1 IP地址欺骗对策152

4.7.3 DoS Smurf攻击对策153

4.7.2 DoS TCP SYN攻击对策153

4.7.4过滤ICMP消息154

4.8.1 TRINOO155

4.8 DDoS对策155

4.8.4 Subseven156

4.8.3 Trinity V3156

4.8.2 Stacheldraht156

4.9路由器配置示例157

4.10实施Syslog日志158

4.10.2 Cisco日志安全级别159

4.10.1 Syslog系统159

4.10.3日志消息格式160

4.10.4 Syslog路由器命令161

4.11为企业网络设计安全的管理和报告系统162

4.11.1 SAFE结构通览163

4.11.2信息路径164

4.11.3带外管理一般指南165

4.11.4 日志和报告166

4.11.5配置SSH服务器167

4.11.6安全的SNMP访问168

4.12.1起点172

4.12 用AutoSecure加强Cisco路由器安全172

4.12.3安全的Management层面服务173

4.12.2接口选择173

4.12.4创建安全旗标174

4.12.6配置特定接口服务175

4.12.5配置口令、AAA、SSH服务器和域名175

4.12.8配置入口过滤和CBAC176

4.12.7配置Cisco Express Forwarding和入口过滤176

4.12.9检查配置并应用于运行配置中177

4.12.10例子：使用AutoSecure之前典型的路由器配置184

4.12.11例子：使用AutoSecure之后典型的路由器配置185

4.15本章复习题190

4.14 Cisco IOS命令回顾190

4.13本章小结190

4.16案例研究191

4.16.2解决方案192

4.16.1场景192

5.1 Cisco IOS防火墙介绍197

第5章 Cisco IOS防火墙基于上下文访问控制的配置197

5.1.2理解CBAC198

5 1.1 Cisco IOS防火墙特征集198

5.1.4理解入侵检测199

5.1.3理解认证代理199

5.2.2 CBAC是如何工作的200

5.2.1 Cisco IOS访问控制列表200

5.2用CBAC保护用户免受攻击200

5.2.4告警和审计跟踪202

5.2.3支持的协议202

5.3.2全局超时值和阈值203

5.3.1打开审计跟踪和告警203

5.3配置CBAC203

5.3.3端口到应用的映射（Port-To-Application Mapping）206

5.3.4定义应用协议审查规则208

5.3.5路由器接口审查规则和ACL211

5.3.6测试和验证CBAC215

5.4本章小结216

5.6本章复习题217

5.5 Cisco IOS命令回顾217

5.7案例研究218

5.7.2解决方案219

5.7.1场景219

6.1.1定义认证代理223

6.1介绍Cisco IOS防火墙认证代理223

第6章 Cisco IOS防火墙认证代理223

6.1.3发起一个会话224

6.1.2支持AAA协议和服务器224

6.1.4认证代理过程225

6.1.6配置认证代理227

6.1.5应用认证代理227

6.2.1在Cisco安全访问控制服务器（CSACS）上配置认证代理服务228

6.2配置AAA服务器228

6.2.2在Cisco安全访问控制服务器上建立用户授权配置文件229

6.3用AAA服务器配置Cisco IOS防火墙230

6.2.3在建立用户授权配置文件时使用proxyacl#n属性230

6.3.4定义TACACS+服务器和它的密钥231

6.3.3指定授权协议231

6.3.1 打开AAA231

6.3.2指定认证协议231

6.3.6允许到路由器的AAA流量232

6.3.5定义RADIUS服务器和它的密钥232

6.3.7打开路由器的HTTP服务器233

6.4.2定义可选的认证代理标志234

6.4.1设置默认空闲时间234

6.4配置认证代理234

6.4.3定义和应用认证代理规则235

6.5.2 debug命令236

6.5.1 show命令236

6.4.4将认证代理规则关联到ACL236

6.5测试和验证配置236

6.6本章小结237

6.5.3清除认证代理缓存237

6.9案例研究238

6.8本章复习题238

6.7 Cisco IOS命令回顾238

6.9.2解决方案239

6.9.1场景239

7.1 Cisco IOS IDS介绍243

第7章 Cisco IOS防火墙入侵检测系统243

7.1.2支持的路由器平台245

7.1.1网络能见度245

7.1.4签名应用247

7.1.3实施问题247

7.2配置Cisco IOS IDS248

7.1.5响应选项248

7.2.1步骤1——初始化Cisco IOS IDS路由器249

7.2.2步骤2——配置保护、关闭和排除签名250

7.2.3步骤3——建立和应用审查规则251

7.2.4步骤4——验证配置253

7.2.5步骤5——将Cisco IOS IDS路由器加到CiscoWorks安全监控中心254

7.3本章小结256

7.4 Cisco IOS IDS使用的签名256

7.6本章复习题259

7.5 Cisco IOS命令回顾259

7.7案例研究260

7.7.2解决方案261

7.7.1 场景261

8.1.1定义VPN265

8.1在Cisco路由器打开安全VPN265

第8章 用Cisco路由器和预共享密钥建立IPSec VPN265

8.1.2 Cisco VPN路由器产品线267

8.2什么是IPSec268

8.2.1机密性（加密）269

8.2.2数据完整性273

8.2.3起源认证274

8.2.4反重放保护277

8.3.1 IPSec协议278

8.3 IPSec协议框架278

8.3.2使用模式：比较隧道模式和传输模式280

8.3.3在IPSec隧道中的DF位覆盖功能性281

8.4 IPSec的5个步骤282

8.3.4 IPSec框架282

8.4.2 IPSec步骤2：IKE阶段1283

8.4.1 IPSec步骤1：感兴趣的流量283

8.4.3 IPSec步骤3：IKE阶段2285

8.4.4 IPSec步骤4：数据传输286

8.5 IPSec和动态虚拟专用网287

8.4.5 IPSec步骤5：隧道终止287

8.6.1任务1配置IPSec加密：为IKE和IPSec准备294

8.6使用IKE预共享密钥配置IPSec294

8.6.2任务2配置IPSec加密：配置IKE300

8.6.3任务3配置IPSec加密：配置IPSec303

8.6.4任务4配置IPSec加密：测试和验证IPSec和ISAKMP311

8.7手动配置IPSec315

8.8使用RSA加密Nonces配置IPSec316

8.9.1 IKE阶段1和阶段2协商318

8.9和IPSec一起使用NAT318

8.9.3配置IPSec和NAT一起工作319

8.9.2 NAT穿透包封装319

8.12本章复习题320

8.11 Cisco IOS命令回顾320

8.10本章小结320

8.13.1场景321

8.13案例研究321

8.13.2解决方案322

9.1证书权威327

第9章 用Cisco路由器和CA建立高级IPSec VPN327

9.1.1 Cisco IOS CA支持标准328

9.1.3 CA服务器和Cisco路由器的协同性329

9.1.2简单证书登记协议329

9.1.5多个RSA密钥对支持331

9.1.4用CA登记一台设备331

9.2.1配置CA支持之任务1：为IKE和IPSec作准备332

9.2配置CA支持任务332

9.2.2配置CA支持之任务2：配置CA支持335

9.2.3配置CA支持之任务3：为IPSec配置IKE345

9.2.5配置CA支持之任务5：测试和验证IPSec346

9.2.4配置CA支持之任务4：配置IPSec346

9.6案例研究347

9.5本章复习题347

9.3本章小结347

9.4 Cisco IOS命令回顾347

9.6.1场景348

9.6.2解决方案349

10.1.1 Cisco Easy VPN Server353

10.1介绍Cisco Easy VPN353

第10章 用Cisco Easy VPN配置IOS远程接入353

10.2 Cisco Easy VPN Server概述354

10.1.2 Cisco Easy VPN Remote354

10.2.1 12.2(8)T和Cisco EasyVPN的新特征355

10.2.3不支持的IPSec属性356

10.2.2支持的IPSec属性356

10.3.1支持的Cisco Easy VPN远程客户端357

10.3 Cisco Easy VPN Remote概述357

10.3.2 Cisco Easy VPN Remote阶段Ⅱ360

10.3.3 Cisco VPN Client 3.5概述363

10.3.4 Cisco Easy VPN功能365

10.4配置Cisco Easy VPN Server支持XAUTH368

10.4.1任务1：配置XAUTH369

10.4.3任务3：配置组策略搜寻370

10.4.2任务2：建立IP地址池370

10.4.5任务5：为MC“推”定义组策略371

10.4.4任务4：为远程VPN客户接入建立ISAKMP策略371

10.4.7任务7：用RRI建立动态加密映射373

10.4.6任务6：建立变换集373

10.4.8任务8：将MC应用到动态加密映射374

10.4.10任务10：打开IKE DPD（可选）375

10.4.9任务9：将动态加密映射应用到路由器的外部接口375

10.5为组配置文件配置RADIUS认证376

10.6.1任务1：安装Cisco VPNClient 3.x377

10.6 Cisco VPN Client 3.5安装和配置任务377

10.6.3任务3（可选）：修改CiscoVPN Client选项378

10.6.2任务2：建立新的连接条目378

10.6.4任务4：配置Cisco VPNClient基本属性379

10.6.5任务5：配置Cisco VPNClient认证属性380

10.6.6任务6：配置Cisco VPNClient连接属性381

10.7.1程序菜单382

10.7和Cisco VPN Client 3.5一起工作382

10.7.3设置MTU大小383

10.7.2 日志查看器383

10.7.4客户端连接状态：基本标签384

10.7.5客户端连接状态：统计标签385

10.8.2对Windows和Mac统一了VPN客户端386

10.8.1虚拟适配器386

10.8即将来临的Cisco VPN Client更新386

10.8.7 RADIUS SDI XAUTH请求管理387

10.8.6第三方VPN厂商兼容387

10.8.3删除警告（包括原因）387

10.8.4单一IPSec-SA387

10.8.5个人防火墙增强387

10.11本章复习题388

10.10 Cisco IOS命令回顾388

10.8.8 ISO标准格式日志文件名388

10.8.9 GINA增强388

10.9本章小结388

10.12案例研究389

10.12.2解决方案390

10.12.1 场景390

11.1理解安全设备管理器395

第11章 使用安全设备管理器保护Cisco路由器395

11.1.2智能安全配置396

11.1.1 SDM特征396

11.2理解SDM软件397

11.1.4 SDM特征的详细资料397

11.1.3 SDM用户类型397

11.2.3在已有的路由器上安装SDM398

11.2.2获取SDM398

11.2.1支持的Cisco IOS版本和设备398

11.2.5 SDM软件需求399

11.2.4显示路由器的闪存空间399

11.3使用SDM启动向导400

11.2.6 SDM路由器通信400

11.3.1第一次SDM访问401

11.4.1 SDM主窗口特征407

11.4介绍SDM用户界面407

11.3.2诊断SDM故障407

11.4.3 SDM工具栏408

11.4.2 SDM菜单栏408

11.4.4 SDM向导模式选项409

11.5.1建立新WAN连接410

11.5使用WAN向导配置WAN410

11.5.4配置LMI和DLCI411

11.5.3配置封装和IP地址411

11.5.2运行串口向导411

11.5.7查看和编辑已有的WAN连接412

11.5.6完成WAN接口配置412

11.5.5配置高级选项412

11.6.使用SDM配置防火墙413

11.5.8使用高级模式验证接口状态413

11.6.1建立基本防火墙414

11.6.2建立高级防火墙415

11.7使用SDM配置VPN418

11.7.1使用预共享密钥建立站到站的VPN419

11.8.1执行安全审查420

11.8使用SDM执行安全审查420

11.7.2查看或改变VPN设置420

11.8.2一步加固422

11.10.1高级模式——概要424

11.10使用SDM高级模式424

11.9使用出厂复位向导424

11.10.2高级模式——接口和连接426

11.10.4高级模式——路由选择427

11.10.3高级模式——规则427

11.10.5高级模式——NAT428

11.10.6高级模式——系统属性429

11.11理解监控模式431

11.10.7高级模式——VPN431

11.14本章复习题432

11.13 Cisco IOS命令回顾432

11.12本章小结432

11.15案例研究433

11.15.2解决方案434

11.15.1场景434

12.1路由器MC1.2.1简介437

第12章 管理企业VPN路由器437

12.1.1理解路由器MC概念438

12.1.2路由器MC组件439

12.1.4路由器MC通信440

12.1.3路由器MC1.2.1支持的设备440

12.2.1安装需求441

12.2安装路由器MC441

12.1.5支持的隧道技术441

12.2.2客户端访问需求442

12.3使用路由器MC443

12.2.4配置路由器支持SSH443

12.2.3安装过程443

12.3.2 Cisco Works用户授权角色444

12.3.1 Cisco Works登录444

12.3.4启动路由器MC446

12.3.3在Cisco Works中添加用户446

12.3.6使用路由器MC界面447

12.3.5使用路由器MC主窗口447

12.3.7使用设备标签448

12.3.8使用配置标签449

12.3.11使用管理标签450

12.3.10使用报告标签450

12.3.9使用部署标签450

12.4.1工作流程任务451

12.4建立工作流程和活动451

12.4.2任务1：建立活动452

12.4.3任务2：建立设备组454

12.4.4任务3：导入设备455

12.4.5任务4：定义VPN设置459

12.4.6任务5：定义VPN策略464

12.4.8任务7：建立和部署作业471

12.4.7任务6：批准活动471

12.5配置基本的Cisco IOS防火墙设置474

12.5.2超时值和性能475

12.5.1分片规则475

12.5.4 日志476

12.5.3半打开连接限制476

12.6建立访问规则477

12.5.5 ACL范围477

12.7.1 网络组478

12.7使用建构块478

12.7.3服务组479

12.7.2变换集479

12.8.2流量过滤480

12.8.1地址池480

12.8网络地址转换规则480

12.9.1上传481

12.9管理配置481

12.9.2查看配置482

12.9.3路由器MC部署选项483

12.10.1部署报告485

12.10管理485

12.10.4管理486

12.10.3审计跟踪报告486

12.10.2活动报告486

12.13案例研究487

12.12本章复习题487

12.11本章小结487

12.13.2解决方案488

12.13.1场景488

13.2需求491

13.1简介491

第13章 案例研究491

13.3.1开始路由器配置494

13.3解决方案494

13.3.2解决方案的配置步骤495

13.3.3结束路由器配置500

第1章505

附录A 各章复习题答案505

第2章506

第3章507

第4章508

第5章510

第6章511

第7章512

第8章513

第9章514

第10章515

第11章516

第12章518

附录B 网络安全策略实例521

B.1授权和范围的说明521

B.1.1适用对象521

B.1.2网络安全策略的范围522

B.1.3网络安全策略负责人522

B.1.4系统管理员责任522

B.2漏洞审计策略523

B.2.2频率523

B.2.1可接受的使用523

B.2.3审计目标523

B.1.7用户培训523

B.1.6实施过程523

B.1.5网络安全策略维护流程523

B.3.2不可接收的网络使用524

B.3.1可接收的网络使用524

B.3.3服从要求524

B.4身份鉴别和认证策略524

B.3网络使用策略524

B.2.4报告524

B.5.1可接受的使用525

B.5 Internet访问策略525

B.5.2防火墙使用525

B.5.3公共服务使用525

B.4.3认证管理525

B.4.2密码管理525

B.4.1可接受的使用525

B.6.3网络设备安全526

B.6.2信任关系526

B.7远程访问策略526

B.6.1可接受的使用526

B.6园区访问策略526

B.7.5分支机构访问527

B.7.4远距离工作协议527

B.7.6商务合作者（外联网）访问527

B.7.7加密527

B.7.3从家中访问527

B.7.2移动计算527

B.7.1可以接受的使用527

B.8.1入侵检测需求528

B.8.2事件响应过程528

B.8事件处理策略528

B.8.3联络点529

附录C 配置标准和扩展访问列表531

C.1 IP编址和通用访问列表概念532

C.1.1 IP地址532

C.1.2通配符掩码535

C.1.3一般访问列表配置任务536

C.1.4访问列表配置原则536

C.2配置标准IP访问列表537

C.2.1标准IP访问列表处理537

C.2.2标准IP访问列表命令538

C.2.3标准访问列表的定位539

C.2.4标准IP访问列表中的一般错误540

C.2.5标准IP访问列表举例541

C.3配置扩展IP访问列表541

C.3.1扩展IP访问列表处理542

C.3.2扩展IP访问列表命令543

C.3.3 ICMP命令语法544

C.3.4 TCP语法546

C.3.5 UDP语法547

C.3.6扩展IP访问列表的定位548

C.3.7扩展IP访问列表举例1548

C.3.8扩展IP访问列表举例2549

C.4验证访问列表配置549

C.5命名的IP访问列表550

C.7参考文献552

C.7.1配置IP访问列表552

C.6总结552

C.7.2 IP协议和编址信息553

术语表555