思科网络技术学院教程 网络安全基础2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

思科网络技术学院教程 网络安全基础PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　网络安全概述3

1.1 网络安全的基本原理、趋势和目标3

目录3

第一部分3

1.1.1 网络安全的需要4

1.1.2　影响网络安全的趋势5

1.1.3　网络安全目标7

1.1.4　网络安全的关键要素8

1.1.5　安全意识9

1.2　安全威胁与攻击10

1.2.1 网络安全弱点11

1.2.2　主要网络威胁12

1.2.3　侦查13

1.2.4　窃听15

1.2.5 系统访问16

1.2.6　其他访问攻击19

1.2.7　拒绝服务20

1.2.8　分布式拒绝服务22

1.2.9　弱点：OSI层次模型25

1.3.1　安全车轮27

1.3　安全框架与策略27

1.3.2　安全策略基础30

1.3.3 网络安全情况研究33

1.4　安全产品和解决方案37

1.4.1　身份38

1.4.2　防火墙40

1.4.3　虚拟专网41

1.4.4 入侵探测44

1.5　监控、管理和审计46

1.6 SAFE49

1.7　小结50

1.8　关键术语51

1.9　复习题52

2.1　路由器和交换机安全概要55

第2章　基本的路由器和交换机安全55

2.1.1　路由器拓扑56

2.1.2　路由器安装与安全58

2.1.3　访问控制59

2.1.4　使用密码控制路由器访问63

2.1.5　设置优先级64

2.1.6　设置用户账号65

2.1.7　登录标语66

2.2　禁用不需要的服务67

2.2.1　路由选择、代理ARP、ICMP72

2.2.2 NTP、SNMP、路由器名字、DNS74

2.3.1　控制入站和出站流量77

2.3　边界路由器安全77

2.3.2 网络地址转换79

2.3.3　路由协议验证与更新过滤81

2.3.4　流量过滤83

2.3.5　过滤ICMP消息87

2.3.6 Cisco IOS防火墙88

2.4　路由器管理89

2.4.1 日志90

2.4.2　网络设备间的时间同步92

2.4.3　软件和配置的维护94

2.4.4　使用SSH进行远程管理95

2.5　安全交换和局域网访问96

2.5.1　第二层攻击以及缓解98

2.5.2　端口安全99

2.5.3　虚拟局域网101

2.7　关键术语102

2.6　小结102

2.8　复习题103

3.1　访问控制列表107

第3章 路由器ACL和CBAC107

3.1.1　在ACL中使用掩码109

3.1.2 ACL总结110

3.1.3 处理ACL111

3.1.4　应用ACL112

3.1.5 编辑ACL113

3.1.6　排除ACL故障114

3.2 IP ACL的类型115

3.2.1 标准ACL116

3.2.2　扩展ACL117

3.2.4　注释IPACL条目118

3.2.3 命名IP ACL118

3.2.5　锁和密钥（动态）ACL119

3.2.6　反身ACL120

3.2.8　验证代理122

3.2.7　使用时间范围的时基ACL122

3.3　基于上下文的访问控制123

3.2.9 Turbo ACL123

3.3.1 CBAC是如何工作的125

3.3.2 支持CBAC的协议127

3.3.3　配置CBAC：第一步——设置审计跟踪和警报128

3.3.4　配置CBAC：第二步——设定全局超时和阈值129

3.3.5　配置CBAC：第三步——定义应用程序端口映射（PAM）132

3.3.6　配置CBAC：第四步——定义检查规则134

3.3.7　配置CBAC：第五步——在路由器接口上应用检查规则和ACL142

3.3.8　配置CBAC：第六步——测试和检验145

3.3.10　配置一个空接口147

3.3.9　移除CBAC配置147

3.5　关键术语148

3.4　小结148

3.6　复习题149

4.1 AAA安全网络访问153

第4章　路由器AAA安全153

4.1.1 AAA安全网络构架154

4.1.2　验证方法155

4.2.2　远程网络访问158

4.2.1　远程管理158

4.2　网络访问服务器（NAS）AAA验证过程158

4.2.3 AAA安全服务器的选择159

4.3 Cisco Secure ACS160

4.2.4 NAS配置160

4.3.1 管理Cisco Secure ACS3.0 for Windows161

4.3.3 Cisco Secure ACS for UNIX概述163

4.3.2 Cisco Secure ACS for Windows故障排除技术163

4.3.4 Cisco Secure ACS 2.3 for UNIX的特性集164

4.3.5 Cisco Secure ACS解决方案引擎165

4.4 AAA服务器概述及配置167

4.4.4 介绍RADIUS168

4.4.3 TACACS＋168

4.4.1 TACACS168

4.4.2 XTACACS168

4.4.5 RADIUS和TACACS＋的比较170

4.5 Cisco IOS防火墙验证代理171

4.4.6 Kerberos概述171

4.5.2　验证代理操作172

4.5.1 支持的服务器172

4.5.3　验证代理配置任务173

4.5.4 HTTPS验证代理175

4.7　关键术语177

4.6　小结177

4.8　复习题178

5.1 IOS防火墙IDS181

第5章　路由器入侵探测、监控和管理181

5.2　安装Cisco IOS防火墙IDS183

5.1.2　响应选项183

5.1.1 实现签名183

5.2.2　步骤2：初始化路由器上的IOS Firewall IDS———设置通告队列的尺寸184

5.2.1 步骤1：初始化路由器上的IOS Firewall IDS——设置通告的类型184

5.2.3　步骤3：配置、禁用或剔除签名185

5.2.4　步骤4：创建和应用审计规则186

5.2.5　步骤5：检验配置187

5.3.1 日志的价值189

5.3　使用日志和Syslog监控189

5.2.6　步骤6：添加IOS防火墙IDS到IDSDirector的映射图189

5.3.2　配置日志190

5.3.3　配置日志消息的同步191

5.3.4　限制错误消息的严重等级192

5.3.5　系统日志（Syslog）193

5.4 SNMP196

5.4.1 SNMP的安全198

5.4.2 SNMP版本3（SNMPv3）199

5.4.4 SNMP管理应用程序201

5.4.3　如何配置SNMP201

5.5.1 管理员的访问机制202

5.5　管理路由器202

5.5.2　升级路由器203

5.5.4　企业监控204

5.5.3　测试和安全确认204

5.6　安全设备管理器（SDM）205

5.6.1 访问SDM207

5.6.3　修改现有的配置文件209

5.6.2　下载安装SDM209

5.7　小结210

5.6.4　使用默认的配置文件210

5.9　复习题211

5.8　关键术语211

6.1.1 Site-to-Site VPN215

6.1 VPN215

第6章　路由器配置Site-to-Site VPN215

6.1.2 VPN技术选项216

6.1.3　隧道协议217

6.1.4　隧道接口218

6.2 IOS密码系统219

6.2.1　对称加密220

6.2.2　非对称加密221

6.2.3 Difiie-Hellman算法222

6.2.4　数据完整性223

6.2.5 HMAC224

6.2.6　来源验证225

6.3 IPSec226

6.3.1　验证头228

6.3.2 ESP协议229

6.3.3 IPSec传输模式230

6.3.4　安全关联231

6.3.6 IKE233

6.3.5　IPSec的5个步骤233

6.3.7 IPSec和IKE的逻辑流程235

6.4.1　任务1：为IKE和IPSec做准备236

6.4　使用预共享密钥的Site-to-Site IPSec VPN236

6.4.3　任务3：配置IPSec237

6.4.2　任务2：配置IKE237

6.5　数字证书240

6.4.4　任务4：测试和校验IKE240

6.5.1 SCEP241

6.5.2 CA服务器242

6.5.3　用一个CA注册设备243

6.6　使用数字证书配置Site-to-Site IPSec VPN244

6.6.2　任务2：配置CA支持245

做准备245

6.6.1　任务1：为IKE和IPSec245

6.6.3　任务3：IKE配置246

6.6.5　任务5：测试和检验IPSec247

6.6.4　任务4：配置IPSec247

6.8　关键术语248

6.7　小结248

6.9　复习题249

7.1　远程访问VPN253

第7章　路由器远程访问VPN253

7.1.1　远程访问VPN的类型254

7.1.2　远程访问的隧道协议255

7.2.1 Cisco Easy VPN Server256

7.2.2 Cisco Easy VPN Remote256

7.2 Cisco Easy VPN256

7.2.3 Cisco VPN 3.5 Client259

7.3.1　路由器MC里的关键概念264

7.3 VPN企业管理264

7.3.3　路由器MC的安装266

7.3.2　支持的隧道技术266

7.3.4　路由器MC的使用268

7.3.5　路由器MC界面269

7.6　复习题270

7.5　关键术语270

7.4　小结270

8.1　防火墙简介275

第8章　PIX安全设备275

第二部分275

8.1.1　使用防火墙的理由276

8.1.2　防火墙技术277

8.1.3　防火墙市场281

8.2 Cisco PIX Security Appliance282

8.2.1 PIX的特点283

8.2.2 PIX安全设备家族288

8.2.3 防火墙服务模块289

8.2.5 PIX安全设备的VPN功能291

8.2.4 PIX安全设备许可证类型291

8.3.1　用户界面292

8.3　开始使用PIX SecurityAppliance292

8.3.2　基本PIX设置命令295

8.3.3　检查PIX状态298

8.4.1　静态路由300

8.4　路由选择和多播配置300

8.4.2　动态路由301

8.4.3　多播路由选择303

8.5 PIX动态主机控制配置308

8.4.4　查看和调试存根多播路由选择308

8.5.2 PIX安全设备对DHCP的支持309

8.5.1　服务器和客户端309

8.5.3 DHCP服务器310

8.7　关键术语311

8.6　小结311

8.5.4　配置PIX安全设备作为DHCP服务器311

8.8　复习题312

9.1.1 IP世界中的会话315

9.1　传输协议315

第9章　PIX安全设备转换和连接315

9.1.2 TCP详细回顾316

9.1.4 UDP特点及与PIX的交互319

9.1.3 TCP特点及与PIX的交互319

9.2.1　连接与转换320

9.2　网络地址转换320

9.2.2　地址转换类型321

9.3 PIX上的DNS地址更改、目的NAT和DNS记录转换327

9.3.1 DNS地址更改过程328

9.3.3 DNS记录转换329

9.3.2　用alias命令实现目的NAT329

9.4.1　穿过PIX安全设备的两种方法330

9.4 连接330

9.5　端口地址转换331

9.4.2　静态通道331

9.5.1 PIX安全设备的PAT332

9.5.2　使用外部地址转换的PAT333

9.5.4　使用多PAT地址提供后备PAT地址334

9.5.3　映射子网到PAT地址334

9.5.6　端口重定向335

9.5.5　使用PAT增加全局地址以支持更多主机335

9.6.1　通过PIX安全设备进行访问337

9.6 PIX安全设备的多接口337

9.6.2　在PIX安全设备上配置三个接口338

9.6.3　配置PIX安全设备的四个接口339

9.7　小结340

9.9　复习题341

9.8　关键术语341

10.1.1 ACL使用原则345

10.1 ACL和PIX安全设备345

第10章　PIX安全设备访问控制列表345

10.1.3 Turbo ACL346

10.1.2 实现ACL346

10.1.4 ACL与管道技术的比较347

10.1.5 ACL案例研究：管道和ACL行为的差异348

10.2　使用ACL351

10.1.6 ACL的验证和故障排除351

10.2.2　使用ACL来允许Web访问DMZ352

10.2.1　使用ACL拒绝内网用户的Web访问352

10.2.3 ACL的通常用法：允许合作伙伴Web访问DMZ353

10.2.4 ACL的常规用法：允许DMZ访问内部邮件354

10.2.5 VPN解决方案：双DMZ和VPN集中器355

10.2.6 用ACL禁用Ping356

10.3.1　过滤恶意小程序357

10.3　过滤357

10.3.2 URL过滤358

10.4　对象组359

10.4.1　在ACL中使用对象组360

10.4.3　在对象组上应用ACL362

10.4.2　配置对象组362

10.5　嵌套的对象组363

10.5.2　嵌套对象组例子364

10.5.1 配置嵌套的对象组364

10.5.3 ACL中多个对象组的例子365

10.5.4　验证和管理对象组366

10.8　复习题367

10.7　关键术语367

10.6　小结367

11.1 AAA371

第11章　PIX安全应用AAA371

11.1.1　用户在验证和授权中看到了什么372

11.1.2　切入型代理操作373

11.1.3 TACACS＋和RADIUS374

11.1.4 CSACS和PIX375

11.2.1 aaa-server命令376

11.2 PIX上的验证配置376

11.2.2 aaa authentication命令377

11.2.4　验证非Telnet、非FTP或非HTTP流量378

11.2.3 AAA验证实例378

11.2.5 虚拟Telnet379

11.2.6 虚拟HTTP380

11.2.7　控制台访问验证381

11.2.8　更改验证超时和验证提示382

11.3.1 aaa authorization命令383

11.3 PIX安全应用上的授权配置383

11.3.2　使用可下载的ACL提供授权384

11.4　在PIX安全应用上配置记账385

11.6　监控AAA配置386

11.5　使用AAA服务定义流量386

11.7.1 PIX如何与PPPoE交互工作387

11.7 PPPoE和PIX安全应用387

11.7.2　配置PIX支持PPPoE388

11.7.3　监控和故障排除PPPoE客户端389

11.8 附录11-A：如何向CSACS-NT添加用户390

11.8.2　用户设置391

11.8.1 附加用户信息391

11.8.3 账号禁用392

11.9.2　如何创建仅对CSACS上指定主机提供服务的授权规则393

11.9.1　如何在CSACS上建立一个允许指定服务的授权规则393

11.9　附录11-B：CSACS和授权393

11.9.3　如何在CSACS上为非telnet、非FTP和非HTTP的流量授权394

11.10　附录11-C：CSACS和ACL395

11.12　小结397

11.11　附录11-D：如何在CSACS中查看记账信息397

11.14　复习题398

11.13　关键术语398

12.1　高级协议处理401

第12章　PIX高级协议和入侵检测401

12.1.1 fixup命令402

12.1.2 FTP Fixup配置403

12.1.3　远程Shell（rsh）Fixup 配置405

12.1.4 SQL＊Net Fixup配置406

12.1.6 小客户Fixup配置407

12.1.5 SIP Fixup配置407

12.2 多媒体支持和PIX安全应用408

12.2.1 实时流协议409

12.2.2 H.323412

12.2.3 IP电话和PIX安全应用DHCP服务器413

12.3.1　邮件防护414

12.3　攻击防护414

12.3.2 DNS防护415

12.3.4 AAA泛洪防护416

12.3.3　分片防护和虚拟重组416

12.3.5 SYN泛洪攻击417

12.4 入侵检测和PIX安全应用418

12.3.6 TCP拦截418

12.4.1 信息和攻击入侵检测特征419

12.4.2 PIX安全应用中的入侵检测420

12.5　规避421

12.6 PIX安全应用系统日志记录422

12.7 SNMP424

12.7.2 MIB支持425

12.7.1 SNMP实例425

12.7.3 示例：SNMP通过PIX安全应用426

12.9　关键术语428

12.8　小结428

12.10　复习题429

13.1　了解PIX Security Appliance故障转移433

第13章　PIX故障转移与系统维护433

13.1.2　配置文件复制435

13.1.1　故障转移的IP地址435

13.1.3　故障转移和有状态故障转移436

13.1.4　故障转移接口测试437

13.2.1　步骤1：连接防火墙438

13.2　串行电缆故障转移配置438

13.2.2　步骤2：连接故障转移电缆439

13.2.4 步骤4：从防火墙接电440

13.2.3 步骤3：配置主PIX440

13.2.5 验证故障转移配置文件442

13.3 基于LAN的故障转移配置443

13.3.1 步骤1～4：配置主PIX444

13.3.2 步骤5～10：配置从PIX445

13.4.1 为PIX Security Appliance控制台配置Telnet访问447

13.4 通过远程访问维护系统447

13.4.3 用SSH客户端连接到PIX Security Appliance448

13.4.2 SSH连接到PIX Security Appliance448

13.5 命令授权449

13.5.2 方法2：本地命令授权450

13.5.1 方法1：启用级别命令授权450

13.5.3 方法3：ACS命令授权451

13.7 升级PIX Security Appliance映像及激活密钥452

13.6 PIX Security Appliance密码恢复452

13.9 关键术语453

13.8 小结453

13.10 复习题454

14.1.1 PIX VPN性能457

14.1 PIX Security Appliance实现安全的VPN457

第14章 PIX Security Appliance VPN457

14.1.2 PIX VPN拓扑结构458

14.1.5 PIX Security Appliance支持IPSec标准459

14.1.4 IPSec概述459

14.1.3 IPSec实现PIXVPN特性459

14.2 配置VPN任务461

14.2.1 任务1：准备配置VPN支持462

14.2.2 任务2：配置IKE参数465

14.2.3 任务3：配置IPSec参数467

14.2.4 任务4：测试和校验VPN配置470

14.3 Cisco VPN客户端473

14.3.1 Cisco VPN客户端拓扑结构474

14.3.2 PIX Security Appliance分配IP地址到VPN客户端475

14.3.3 配置PIX Security Appliance的PIX到VPN客户端隧道476

14.3.4 为PIX到PIX客户端隧道配置VPN客户端478

14.4 使用CA扩展PIX VPN479

14.6 关键术语481

14.5 小结481

14.7 复习题482

15.1 PIX管理工具485

第15章 PIX安全设备管理485

15.1.2 Cisco安全策略管理器486

15.1.1 PIX设备管理器486

15.1.3 PIX管理中心487

15.2 Cisco PIX设备管理器488

15.2.2 PDM浏览器要求489

15.2.1 PDM运行要求489

15.2.3 PDM的准备491

15.2.4 运用PDM配置PIX493

15.2.5 使用PDM创建站点到站点VPN501

15.2.6 使用PDM创建远程访问VPN506

15.3.1 PIX MC509

15.3 企业PIX管理509

15.3.2 PIX MC的主要概念510

15.4 小结511

15.3.3 AUS511

15.5 复习题512

第三部分517

附录A 关键术语517

附录B 复习题答案525

附录C 物理层安全531

C.1 什么是物理安全？531

C.2 第1层安全的开销是什么？533

C.3 第1层安全保护了什么？534

C.4 物理安全同样能够防御其他威胁534

C.5 物理层安全的基础534

C.6 ANSI/TIA/EIA535

C.7 安全培训537

C.7.1 建立安全意识537

C.7.3 登录访问及操作538

C.7.4 提出适当有礼的质疑538

C.7.2 需要进行验证538

C.8 高级通行证及Biometric验证539

C.9 威慑因素539

C.7.5 知道向哪些人寻求援助539

C.10.1 闲置插座540

C.10.2 抗干扰插座540

C.10 工作区安全540

C.10.3 抗干扰路径541

C.10.4 电信间541

C.11 入侵者怎样截取信息并解码542

C.11.2 入侵者怎样对资料解码543

C.12 光纤入侵543

C.11.1 入侵者是怎样截取资料的543

C.12.1 直接物理入侵544

C.13 无线侦听545

C.13.1 竞争驾驶545

C.12.2 管道545

C.13.2 竞争拨号和竞争行走546

C.14 安全自动控制546

C.15 物理安全中的人员因素547

C.16 小结549

附录D 操作系统安全553

D.1 Linux操作系统级安全553

D.1.1 保护正在运行的进程554

D.1.2 文件系统和目录安全556

D.1.3 验证安全560

D.2 Linux基础设施级安全562

D.2.1 保护Samba562

D.2.2 保护NFS564

D.2.3 保护xinetd守护进程566

D.3 保护Linux网络服务568

D.3.1 保护Linux FTP服务器568

D.3.2 保护Linux Web服务器569

D.3.3 保护Linux邮件服务器571

D.4 Linux网络安全和过滤方法573

D.4.1 TCP包装程序573

D.4.2 网络地址转换574

D.4.3 防火墙和代理服务574

D.5 Windows 2000验证安全576

D.5.1 识别安全架构576

D.5.2 在Windows 2000中验证用户577

D.6 Windows 2000操作系统级安全578

D.6.1 保护文件和打印资源578

D.6.2 加密文件系统580

D.6.3 审核对资源的访问583

D.7 Windows 2000基础结构级安全584

D.7.1 保护活动目录584

D.7.2 用组策略辅助安全管理585

D.7.3 安全模版、安全配置和分析工具的使用586

D.7.4 安全地对DNS记录进行更新586

D.8 保护Windows网络服务587

D.8.1 保护WWW服务器588

D.8.2 保护FTP服务器588

D.8.3 保护Windows邮件服务器589

D.8.4 SSL/TLS的使用590

D.9 Windows网络的安全方法590

D.9.1 Internet连接共享591

D.9.2 网络地址转换592

D.9.3 路由选择和远程访问服务592

D.9.4 Internet验证服务和RADIUS594

D.9.5 Internet协议安全595

D.10 小结596