中文名: CCSP自學指南：安全Cisco IOS網絡（中文）
原名: CCSP Self-Study : Securing Cisco IOS Networks (SECUR)
作者: John F.Roland
譯者: 張耀疆
陳克忠
資源格式: PDF
版本: 掃描版
出版社: 人民郵電出版社
書號: 7115129851
發行時間: 2005年
地區: 大陸
語言: 簡體中文,英文
簡介:

內容簡介
本書全面系統地介紹了在基於Cisco路由器的網絡環境中，如何實施和管理網絡安全。全書共13章，從內容上可以分成5個部分，，第一部分包括第1章到第4章，詳盡地介紹了網絡安全的基本概念和相關Cisc。路由器的基本的安全配置；第二部分包括第5章到第7章，介紹了3種Cisco IOS的增強功能--防火牆特征集；第三部分包括第8章到第10章，介紹了怎樣利用Cisco路由器建立和管理VPN；第四部分包括第11章到13章，介紹了兩種Cisco網絡安全的管理工具--安全設備管理器(SDM)和路由器管理中心(MC)，以及一個全面地配置Cisco路由器的綜合案例；附錄部分給出了章節復習題答案、網絡安全策略樣例和訪問控制列表參考。
本書是Cisco Press出版的關於CCSP的官方教材，是CCSP應試者的必備書籍。同時本書內容翔實，涉及知識面廣，也適合廣大網絡管理人員和網絡愛好者閱讀與參考，更全面、更有效地保護自己的網絡安全。
本書特色：
本書是一本針對與Cisco IOS設備協同工作相關的安全實踐、協議、軟件和設備的指南，以提供層次化的網絡安全。除了直接有助於CCSPSECUR642-501考試之外，本書所提供的理論和配置指南都是非常有價值的。
本書是Cisco授權的面向自學的工具，有助於讀者掌握所有的安全技術和技能，包括最新的一些主題，例如Cisco Easy VPN和SDM(SecuntyDevice Manager)。各章節概述可以讓讀者快速提升用於加強網絡安全的技術，配置練習則向讀者演示了實施Cisco IOS設備保護的方法，而每一章最後的小結則提供了測試知識掌握程度的練習題。
無論讀者是要尋找一本用於Cisco IOS安全工作的指導書，還是直接針對642-501考試，本書都是很好的選擇。
●了解Cisco的系統網絡安全產品線，列舉一個完整的安全策略的組件；
●用Cisco Secure ACS for Windows和CiscoSecure ACS for UNIX來實施Cisco路由器網絡所支持的TACACS+和RADIUS AAA：
●配置Cisco邊界路由器和Cisco IOS防火牆所支持的AAA,
●實施標准實踐，以保護管理訪問的安全，禁止不用的路由器協議、服務和接口；
●用AutoSecure來配置Cisco路由器的安全參數；
●配置Cisco IOS防火牆的CBAC。認證代理和AAA支持；
●配置並管理Cisco IOS IDS路由器簽名和審計規則；
●用安全監視器或Syslog服務器來監視Cisco IOS IDS路由器；
●用預先共享密鑰或RSA簽名在Cisco路由器上配置IPSec VPN隧道；
●配置Cisco路由器，以使用帶NAT的IPSec,
●用安全設備管理器和路由器管理中心來配置和管理Cisco IOS VPN和Cisco IOS防火牆策略；
●用ACL來消減常見的路由器安全威脅。
本書提供作譯者介紹
John P．Roland，CCNA，CCDA，CCNP，CCDP，CSS-1，MCSE，是WesTek顧問公司的一名安全專家。從IBM大型機上的COBOL編程到局域網／廣域網設計和實施(美國軍方網絡)，一直到最近開發Cisc及微軟認證培訓材料，John已經在IT領域從業22年了。目前，John受托為一家大型的電纜通信公司設計技術培訓材料。
John擁有Tiffin大學會計學士學位，在General Motors研究所輔修數學和電子工程。
關於技術編輯
前言
本書的目標是幫助讀者實施Cisco IOS網絡安全技術，創建高度可管理且安全的網絡。本書專為Cisco SECUK課程而設計，也可以作為獨立參考材料。
期望讀者群
本書適合於任何想要了解Cisco網絡安全特性和技術的人員。主要的目標受眾是需要擴展路由選擇及交換技術知識，並且需要用CiscoIOS軟件及Cisco IOS防火牆的強大特性來提升安裝、配置、監視和校驗Cisco網絡安全技能的網絡專家。本書假定讀者已經具備與通過CCNA認證考試同等的Cisco網絡知識。
第二個目標受眾是需要理解網絡安全威脅及其對策的一般用戶。本書介紹了許多網絡安全的概念和技術，講述方式非常友好，不會讓讀者有參考技術手冊那樣的晦澀感。
Cisco認證安全專家
如果讀者有意獲取專業證書，可以通過Cisco所要求的系列認證考試來向當前或者預期的雇主或伙伴證明自己的能力。許多網絡專家都追崇CCSP證書，因為網絡安全已經日益成為21世紀商業活動全面安全計劃中非常關鍵的一個要素。本書就是設計用來幫助讀者取得這一享有極高聲望的證書的，如果它就是你的目標的話。
CCSP認證是一個主流的思科認證方向，始於CCNA，終止於CCIE，就像CCNP、CCDP和CCIP認證那樣。CCSP認證需要你通過5門考試。完成這些考試並獲取CCSP證書的前提條件是你必須持有一張CCNA證書。表I-1包含了一列CCSP認證系列的考試科目。
CCSP證書有效期是3年，之後必須履行再認證的要求。目前，再認證的要求是重新參加最新版本的適當的考試。在Cisco．com上可以看到很多關於CCSP的信息。
本書特點
本書具有諸多特色，有助於讀者掌握本書覆蓋的網絡安全內容：
● 概念--在每一章的開始處都會列出本章覆蓋的話題，這提供了對相關概念的參考，可用作高效的組織。
● 圖、例子和表格--本書每個章節都包含圖片、例子和表格，這使得章節內容易讀易懂。圖片用來解釋概念和軟件過程，例子提供了命令和輸出的示例，表格提供了諸如命令語法和描述的知識。
● 案例研究--未來公司，一家假設的企業，在本書每個章節都會提及，它是配置示例的落腳點，這使得全書例子的組織渾然一體並且更近現實。一個基於未來公司的例子網絡安全策略貫穿全書，成為實施安全策略指導的一個模型。許多章節中的案例研究網絡示例都是對本章講述的配置信息的歸納總結，當然，其基礎也是未來公司的客戶環境。
● 命令概要--每小節都包含命令概要，易於學習和任務實踐。
● 章節小結--在每一章的最後都有一個對本章講述概念的總結，可以作為章節大綱，有助於學習。
● 復習題--在每一章的小結後面，都會有10個或者更多的問題，這些問題可以促進對本章講述概念的記憶，有助於在知新之前先行溫故。問題答案都在附錄A中。
● 術語表--術語表提供了對本書用到的關鍵術語的簡潔解釋。
本書組織
本書一共包括13章、3個附錄和一個術語表。
● 第1章，"網絡安全簡介"，討論了網絡安全所面臨的一些威脅，以及可用來消除這些威脅和潛在破壞性影響的工具和過程。
.● 第2章，"Cisco路由器安全基礎"，介紹了加強物理路由器設備安全、保護路由器管理接口以及實施AAA的有效方法。
● 第3章，"Cisco路由器網絡高級AAA安全"，覆蓋了Cisco Secure ACS software for Windows NT或Windows 2000、UNIX(Solaris)和新的Cisco Secure ACS應用，包括TACACS+、RADIUS和Kerberos安全服務。
● 第4章，"Cisco路由器威脅對策"，描述了將企業連接到因特網的風險，以及可用來消減這些風險的方法。
● 第5章，"Cisco IOS防火牆基於上下文訪問控制的配置"，介紹Cisco IOS防火牆，討論CBAC、全局超時和阈值、端口到應用映射以及檢查規則。
● 第6章，"Cisco IOS防火牆認證代理"，介紹Cisco IOS防火牆認證代理和服務器，以及支持認證代理所需的路由器配置。
● 第7章，"Cisco IOS防火牆入侵檢測系統"，介紹針對Cisco路由器的Cisco IOS防火牆入侵檢測系統包，及其配置方法。
● 第8章，"用Cisco路由器和預共享密鑰建立IPSec VPN"，介紹用預先共享密鑰認證來配置Cisco IOS IPSec的方法。
● 第9章，"用Cisco路由器和CA建立高級IPSecVPN"，介紹用CA對Cisco IOS IPSec的配置。
● 第10章，"用Cisco Easy VPN配置IOS遠程接入"，介紹使用Cisco Easy VPN和Cisco VPN客戶端來配置Cisco IOS遠程接入。
● 第11章，"使用安全設備管理器保護Cisco路由器"，介紹和說明Cisco安全設備管理器。
● 第12章，"管理企業VPN路由器"，介紹和說明Management Center for VPN Router(Router MC)。
● 第13章，"案例研究"，最大程度上利用本書討論過的大多數安全要素。
● 附錄A，"各章復習題答案"，提供了每章最後復習題的答案。
● 附錄B，"網絡安全策略實例"，包含針對未來公司網絡的網絡安全策略的例子。
● 附錄c，"配置標准和擴展訪問列表"，概覽在Cisco IOS軟件中配置標准和擴展IP訪問列表。
● 術語表提供了對本書涉及的術語的簡潔解釋。
命令語法約定
本書在命令語法的表示上與Cisco IOS命令參考的約定相同：
● 黑體字指出字面顯示的命令和關鍵字。在實際的配置例子和輸出(並非一般的命令語法)中，黑體字指出用戶手工輸入的命令(例如show命令)；
● 斜體字指出需要提供實際值的參數；
● 豎線(│)分隔替換項，相互排斥的元素；
● 方括弧([])指出可選元素；
● 大括弧({})指出必須的選擇；
● 帶方括弧的大括弧([{}]) 指出在一個可選元素中的必須的選擇。

目錄:
第1章 網絡安全簡介
1．1 目標
1．1．1 一個封閉的網絡
1．1．2 現代網絡
1．1．3 威脅的能力--更危險更容易
1．1．4 安全角色的轉變
1．1．5 電子商務的挑戰
1．1．6 法律和政策的問題
1．2 Cisco SAFE Blueprint
1．2．1 路由器目標
1．2．2 交換機目標
1．2．3 主機目標
1．2．4 網絡目標
1．2．5 應用目標
1．2．6 安全的管理和報告
1．3 網絡攻擊類型
1．3．1 網絡安全威脅
1．3．2 網絡攻擊類型
1．4 網絡安全策略
1．5 Cisco網絡安全產品
.1．6 Cisco管理軟件
1．6．1 Cisco VPN設備管理器
1．6．2 Cisco PIX設備管理器
1．6．3 Cisco VPN方案中心
1．6．4 Cisco Works VPN／安全管理方案
1．7 管理協議和功能
1．7．1 Telnet
1．7．2 簡單網絡管理協議
1．7．3 Syslog
1．7．4 簡單文件傳輸協議
1．7．5 網絡時間協議
1．8 NAT和NAT穿透
1．9 本章小結
1．10 本章復習題
第2章 Cisco路由器安全基礎
2．1 Cisco IOS防火牆特性
2．1．1 Cisco IOS防火牆價值
2．1．2 Cisco IOS防火牆特點
2．2 安全的Cisco路由器安裝
2．2．1 對安裝進行風險評估
2．2．2 Cisco路由器和交換機物理安裝常見威脅
2．3 安全的Cisco路由器管理訪問
2．3．1 連接路由器控制台端口
2．3．2 口令創建規則
2．3．3 初始化配置對話
2．3．4 配置最小口令長度
2．3．5 配置Enable Secret口令
2．3．6 配置控制台端口用戶級口令
2．3．7 配置一個vty用戶級口令
2．3．8 配置一個AUX用戶級口令
2．3．9 用service password-encrypfion命令加密口令
2．3．10 增強用戶名口令安全
2．3．11 用no service password-recovery保護ROMMON
2．3．12 記錄認證失敗率
2．3．13 設置路由器鏈路超時
2．3．14 設置特權級別
2．3．15 配置旗標消息
2．3．16 安全的SNMP訪問
2．4 Cisco路由器AAA介紹
2．4．1 AAA模型：網絡安全結構
2．4．2 實施AAA
2．4．3 用本地服務實施AAA
2．4．4 用外部服務實施AAA
2．4．5 TACACS+和RADIUS AAA協議
2．4．6 認證方法和易用性
2．5 為Cisco邊界路由器配置AAA
2．5．1 認證邊界路由器訪問
2．5．2 邊界路由器AAA配置過程
2．5．3 對特權EXEC和配置模式進行安全訪問
2．5．4 用aaa new-model命令啟用AAA
2．5．5 aaa authentication命令
2．5．6 aaa authorization命令
2．5．7 aaa accounting命令
2．6 AAA排障
2．6．1 debug aaa authentication命令
2．6．2 debug aaa authorization命令
2．6．3 debug aaa accounting命令
2．7 本章小結
2．8 Cisco IOS命令回顧
2．9 本章復習題
2．10 案例研究
2．10．1 未來公司
2．10．2 安全策略符合性
2．10．3 解決方案
第3章 Cisco路由器網絡高級AAA安全
3．1 Cisco Secure ACS介紹
3．1．1 Cisco Secure ACS for Windows
3．1．2 Cisco Secure ACS for UNIX(Solaris)
3．2 安裝Cisco Secure ACS 3．0 forWindows 2000／NT服務器
3．2．1 配置服務器
3．2．2 校驗Windows服務器和其他網絡設備間的連接
3．2．3 在服務器上安裝Cisco Secure ACS for Windows
3．2．4 用Web浏覽器配置Cisco Secure ACS for Windows
3．2．5 為AAA配置其余設備
3．2．6 校驗正確安裝和操作
3．3 Cisco Secure ACS for Windows管理和排障
3．3．1 認證失敗
3．3．2 授權失敗
3．3．3 記帳失敗
3．3．4 撥入PC問題排障
3．3．5 使用Cisco IOS命令排障
3．4 TACACS+概述
3．4．1 一般特性
3．4．2 配置TACACS+
3．4．3 校驗TACACS+
3．5 RADIUS概述
3．5．1 客戶端／服務器模型
3．5．2 網絡安全
3．5．3 靈活的認證機制
3．5．4 配置RADIUS
3．5．5 RADIUS增強屬性
3．6 Kerberos概述
3．7 本章小結
3．8 Cisco IOS命令回顧
3．9 本章復習題
3．10 案例研究
3．10．1 場景
3．10．2 解決方案
第4章 Cisco路由器威脅對策
4．1 用路由器來保護網絡
4．1．1 單個邊界路由器
4．1．2 邊界路由器和防火牆
4．1．3 集成防火牆的邊界路由器
4．1．4 邊界路由器、防火牆和內部路由器
4．2 加強路由器服務和接口的安全性
4．2．1 關閉BOOTP服務器
4．2．2 關閉CDP服務
4．2．3 關閉配置自動加載服務
4．2．4 限制DNS服務
4．2．5 關閉FTP服務器
4．2．6 關閉Finger服務
4．2．7 關閉無根據ARP
4．2．8 關閉HTTP服務
4．2．9 關閉IP無類別路由選擇服務
4．2．10 關閉IP定向廣播
4．2．11 關閉IP鑒別
4．2．12 關閉ICMP掩碼應答
4．2．13 關閉ICMP重定向
4．2．14 關閉IP源路由選擇
4．2．15 關閉ICMP不可達消息
4．2．16 關閉MOP服務
4．2．17 關閉NTP服務
4．2．18 關閉PAD服務
4．2．19 關閉代理AKP
4．2．20 關閉SNMP服務
4．2．21 關閉小型服務器
4．2．22 啟用TCPKeepalive
4．2．23 關閉TFTP服務器
4．3 關閉不用的路由器接口
4．4 實施Cisco訪問控制列表
4．4．1 識別訪問控制列表
4．4．2 IP訪問控制列表類型
4．4．3 注釋IPACL條款
4．4．4 開發ACL規則
4．4．5 ACL定向過濾
4．4．6 將ACL應用到接口
4．4．7 顯示ACL
4．4．8 啟用Turbo ACL
4．4．9 增強ACL
4．5 用ACL來應對安全威脅
4．5．1 流量過濾
4．5．2 理論網絡
4．6 過濾路由器服務流量
4．6．1 Telnet服務
4．6．2 SNMP服務
4．6．3 路由選擇協議
4．7 過濾網絡流量
4．7．1 IP地址欺騙對策
4．7．2 DoS TCP SYN攻擊對策
4．7．3 DoS Smuff攻擊對策
4．7．4 過濾ICMP消息
4．8 DDoS對策
4．8．1 TKIN00
4．8．2 Stacheldraht
4．8．3 Trinity V3
4．8．4 Subseven
4．9 路由器配置示例
4．10 實施Syslog日志
4．10．1 Syslog系統
4．10．2 Cisco日志安全級別
4．10．3 日志消息格式
4．10．4 Syslog路由器命令
4．11 為企業網絡設計安全的管理和報告系統
4．11．1 SAFE結構通覽
4．11．2 信息路徑
4．11．3 帶外管理一般指南
4．11．4 日志和報告
4．11．5 配置SSH服務器
4．11．6 安全的SNMP訪問
4．12 用AutoSecure加強Cisco路由器安全
4．12．1 起點
4．12．2 接口選擇
4．12．3 安全的Management層面服務
4．12．4 創建安全旗標
4．12．5 配置口令、AAA、SSH服務器和域名
4．12．6 配置特定接口服務
4．12．7 配Cisco Express Forwarding和入口過濾
4．12．8 配置入口過濾和CBAC
4．12．9 檢查配置並應用於運行配置中
4．12．10 例子：使用AutoSecure之前典型的路由器配置
4．12．11 例子：使用AutoSecure之後典型的路由器配置
4．13 本章小結
4．14 Cisco IOS命令回顧
4．15 本章復習題
4．16 案例研究
4．16．1 場景
4．16．2 解決方案
第5章 Cisco IOS防火牆基於上下文訪問控制的配置
5．1 Cisco IOS防火牆介紹
5．1．1 Cisco IOS防火牆特征集
5．1．2 理解CBAC
5．1．3 理解認證代理
5．1．4 理解入侵檢測
5．2 用CBAC保護用戶免受攻擊
5．2．1 Cisco IOS訪問控制列表
5．2．2 CBAC是如何工作的
5．2．3 支持的協議
5．2．4 告警和審計跟蹤
5．3 配置CBAC
5．3．1 打開審計跟蹤和告警
5．3．2 全局超時值和阈值
5．3．3端口到應用的映射(Poft-To-Application Mapping)
5．3．4 定義應用協議審查規則
5．3．5 路由器接口審查規則和ACL
5．3．6 測試和驗證CBAC
5．4 本章小結
5．5 Cisco IOS命令回顧
5．6 本章復習題
5．7 案例研究
5．7．1 場景
5．7．2 解決方案
第6章 Cisco IOS防火牆認證代理
6．1 介紹Cisco IOS防火牆認證代理
6．1．1 定義認證代理
6．1．2 支持AAA協議和服務器
6．1．3 發起一個會話
6．1．4 認證代理過程
6．1．5 應用認證代理
6．1．6 配置認證代理
6．2 配置AAA服務器
6．2．1 在Cisco安全訪問控制服務器(CSACS)上配置認證代理服務
6．2．2 在Cisco安全訪問控制服務器上建立用戶授權配置文件
6．2．3 在建立用戶授權配置文件時使用proxyacl#n屬性
6．3 用AAA服務器配置Cisco IOS防火牆
6．3．1 打開AAA
6．3．2 指定認證協議
6．3．3 指定授權協議
6．3．4 定義TACACS+服務器和它的密鑰
6．3．5 定義RADIUS服務器和它的密鑰
6．3．6 允許到路由器的AAA流量
6．3．7 打開路由器的HTTP月賂器
6．4 配置認證代理
6．4．1 設置默認空閒時間
6．4．2 定義可選的認證代理標志
6．4．3 定義和應用認證代理規則
6．4．4 將認證代理規則關聯到ACL
6．5 測試和驗證配置
6．5．1 show命令
6．5．2 debug命令
6．5．3 清除認證代理緩存
6．6 本章小結
6．7 Cisco IOS命令回顧
6．8 本章復習題
6．9 案例研究
6．9．1 場景
6．9．2 解決方案
第7章 Cisco IOS防火牆入侵檢測系統
7．1 Cisco IOS IDS介紹
7．1．1 網絡能見度
7．1．2 支持的路由器平台
7．1．3 實施問題
7．1．4 簽名應用
7．1．5 響應選項
7．2 配置Cisco IOS IDS
7．2．1 步驟1--初始化Cisco IOSIDS路由器
7．2．2 步驟2--配置保護、關閉和排除簽名
7．2．3 步驟3--健立和應用審查規則
7．2．4 步驟4--險證配置
7．2．5 步驟5--Cisco IOS IDS路由器加到CiscoWorks安全監控中心
7．3 本章小結
7．4 Cisco IOS IDS使用的簽名
7．5 Cisco IOS命令回顧
7．6 本章復習題
7．7 案例研究
7．7．1 場景
7．7．2 解決方案
第8章 用Cisco路由器和預共享密鑰建立DSec VPN
8．1 在Cisco路由器打開安全VPN
8．1．1 定義VPN
8．1．2 Cisco VPN路由器產品線
8．2 什麼是IPSec
8．2．1 機密性(加密)
8．2．2 數據完整性
8．2．3 起源認證
8．2．4 反重放保護
8．3 IPSec協議框架
8．3．1 IPSec協議
8．3．2 使用模式：比較隧道模式和傳輸模式
8．3．3 在IPSec隧道中的DF位覆蓋功能性
8．3．4 IPSec框架
8．4 IPSec的5個步驟
8．4．1 IPSec步驟1：感興趣的流量
8．4．2 IPSec步驟2：IKE階段1
8．4．3 IPSec步驟3：IKE階段2
8．4．4 IPSec步驟4：數據傳輸
8．4．5 IPSec步驟5：隧道終止
8．5 IPSec和動態虛擬專用網
8．6 使用IKE預共享密鑰配置IPSec
8．6．1 任務1配置IPSec加密：為IKE和IPSec准備
8．6．2 任務2配置IPSec加密：配置IKE
8．6．3 任務3配置IPSec加密：配置IPSec
8．6．4 任務4配置IPSec加密：測試和驗證IPSec和ISAKMP
8．7 手動配置IPSec
8．8 使用RSA加密Nonces配置IPSec
8．9 和IPSec一起使用NAT
8．9．1 IKE階段1和階段2協商
8．9．2 NAT穿透包封裝
8．9．3 配置IPSec和NAT一起工作
8．10 本章小結
8．11 CiscolOS命令回顧
8．12 本章復習題
8．13 案例研究
8．13．1 場景
8．13．2 解決方案
第9章 用Cisco路由器和CA建立高級IPSec VPN
9．1 證書權威
9．1．1 Cisco IOS CA支持標准
9．1．2 簡單證書登記協議
9．1．3 CA服務器和Cisco路由器的協同性
9．1．4 用CA登記一台設備
9．1．5 多個RSA密鑰對支持
9．2 配置CA支持任務
9．2．1 配置CA支持之任務1：為IKE和IPSec作准備
9．2．2 配置CA支持之任務2：配置CA支持
9．2．3 配置CA支持之任務3：為IPSec配置IKE
9．2．4 配置CA支持之任務4：配置IPSec
9．2．5 配置CA支持之任務5：測試和驗證IPSec
9．3 本章小結
9．4 Cisco IOS命令回顧
9．5 本章復習題
9．6 案例研究
9．6．1 場景
9．6．2 解決方案
第10章 用Cisco Easy VPN配置I0S遠程接入
10．1 介紹Cisco Easy VPN
10．1．1 Cisco Easy VPN Server
10．1．2 Cisco Easy VPN Remote
10．2 Cisco Easy VPN Server概述
10．2．1 12．2(8)T和Cisco EasyVPN的新特征
10．2．2 支持的IPSec屬性
10．2．3 不支持的IPSec屬性
10．3 CiscoEasy VPN Remote概述
10．3．1 支持的Cisco Easy VPN遠程客戶端
10．3．2 Cisco Easy VPN Remote階段Ⅱ
10．3．3 Cisco VPN Chent 3．5概述
10．3．4 Cisco Easy VPN功能
10．4 配置Cisco Easy VPN Server支持XAUTH
10．4．1 任務1：配置XAUTH
10．4．2 任務2：建立IP地址池
10．4．3 任務3：配置組策略搜尋
10．4．4 任務4：為遠程VPN客戶接入建立ISAKMP策略
10．4．5 任務5：為MC"推"定義組策略
10．4．6 任務6：建立變換集
10．4．7 任務7：用RRI建立動態加密映射
10．4．8 任務8：將MC應用到動態加密映射
10．4．9 任務9：將動態加密映射應用到路由器的外部接口
10．4．10 任務10：打開IKEDPD(可選)
10．5 為組B己置文件配置RADIUS認證
10．6 Cisco VPN Client 3．5安裝和配置任務
10．6．1 任務1：安裝Cisco VPN Client 3．x
10．6．2 任務2：建立新的連接條目
10．6．3 任務3(可選)：修改CiscoVPN Chent選項
10．6．4 任務4：配置Cisco VPNChent基本屬性
10．6．5 任務5：配置Cisco VPNChent認證屬性
10．6．6 任務6：配置Cisco VPNChent連接屬性
10．7 和Cisco VPN Chent3．5-起工作
10．7．1 程序菜單
10．7．2 日志查看器，
10．7．3 設置MTU大小
10．7．4 客戶端連接狀態：基本際簽
10．7．5 客戶端連接狀態：統計標簽
10．8 即將來臨的Cisco VPN Client更新
10．8．1 虛擬適配器
10．8．2 對Windows和Mac統一了VPN客戶端
10．8．3 刪除警告(包括原因)
10．8．4 單一IPSec-SA
10．8．5 個人防火牆增強
10．8．6 第三方VPN廠商兼容
10．8．7 RADIUS SDI XAUTH請求管理
10．8．8 ISO標准格式日志文件名
10．8．9 GINA增強
10．9 本章小結
10．10 Cisco IOS命令回顧
10．11 本章復習題
10．12 案例研究
10．12．1 場景
10．12．2 解決方案
第11章 使用安全設備管理器保護Cisco路由器
11．1 理解安全設備管理器
11．1．1 SDM特征
11．1．2 智能安全配置
11．1．3 SDM用戶類型
11．1．4 SDM特征的詳細資料
11．2 理解SDM軟件
11．2．1 支持的Cisco IOS版本和設備
11．2．2 獲取SDM
11．2．3 在已有的路由器上安裝SDM
11．2．4 顯示路由器的閃存空間
11．2．5 SDM軟件需求
11．2．6 SDM路由器通信
11．3 使用SDM啟動向導
11．3．1 第一次SDM訪問
11．3．2 診斷SDM故障
11．4 介紹SDM用戶界面
11．4．1 SDM主窗口特征
11．4．2 SDM菜單欄
11．4．3 SDM工具欄
11．4．4 SDM向導模式選項
11．5 使用WAN向導配置WAN
11．5．1 建立新WAN連接
11．5．2 運行串口向導
11．5．3 配置封裝和IP地址
11．5．4 配置LMI和DLCI
11．5．5 配置高級選項
11．5．6 完成WAN接口配置
11．5．7 查看和編輯已有的WAN連接
11．5．8 使用高級模式驗證接口狀態
11．6 使用SDM配置防火牆
11．6．1 建立基本防火牆
11．6．2 建立高級防火牆
11．7 使用SDM配置VPN
11．7．1 使用預共享密鑰建立站到站的VPN
11．7．2 查看或改變VPN設置
11．8 使用SDM執行安全審查
11．8．1 執行安全審查
11．8．2 一步加固
11．9 使用出廠復位向導
11．10 使用SDM高級模式
11．10．1 高級模式--概要
11．10．2 高級模式--接口和連接
11．10．3 高級模式--規則
11．10．4 高級模式--路由選擇
11．10．5 高級模式--NAT
11．10．6 高級模式--系統屬性
11．10．7 高級模式--VPN
11．11 理解監控模式
11．12 本章小結
11．13 Cisco IOS命令回顧
11．14 本章復習題
11．15 案例研究
11．15．1 場景
11．15．2 解決方案
第12章 管理企業VPN路由器
12．1 路由器MC1．2．1簡介
12．1．1 理解路由器MC概念
12．1．2 路由器MC組件
12．1．3 路由器MC1．2．1支持的設備
12．1．4 路由器MC通信
12．1．5 支持的隧道技術
12．2 安裝路由器MC
12．2．1 安裝需求
12．2．2 客戶端訪問需求
12．2．3 安裝過程
12．2．4 配置路由器支持SSH
12．3 使用路由器MC
12．3．1 Cisco Works登錄
12．3．2 Cisco Works用戶授權角色
12．3．3 在Cisco Works中添加用戶
12．3．4 啟動路由器MC
12．3．5 使用路由器MC主窗口
12．3．6 使用路由器MC界面
12．3．7 使用設備標簽
12．3．8 使用配置標簽
12．3．9 使用部署標簽
12．3．10 使用報告標簽
12．3．11 使用管理標簽
12．4 建立工作流程和活動
12．4．1 工作流程任務
12．4．2 任務1：建立活動
12．4．3 任務2：建立設備組
12．4．4 任務3：導入設備
12．4．5 任務4：定義VPN設置
12．4．6 任務5：定義VPN策略
12．4．7 任務6：批准活動
12．4．8 任務7：建立和部署作業
12．5 配置基本的Cisco IOS防火牆設置
12．5．1 分片規則
12．5．2 超時值和性能
12．5．3 半打開連接限制
12．5．4 日志
12．5．5 ACL范圍
12．6 建立訪問規則
12．7 使用建構塊
12．7．1 網絡組
12．7．2 變換集
12．7．3 服務組
12．8 網絡地址轉換規則
12．8．1 地址池
12．8．2 流量過濾
12．9 管理配置
12．9．1 上傳
12．9．2 查看配置
12．9．3 路由器MC部署選項
12．10 管理
12．10．1 部署報告
12．10．2 活動報告
12．10．3 審計跟蹤報告
12．10．4 管理
12．11 本章小結
12．12 本章復習題
12．13 案例研究
12．13．1 場景
12．13．2 解決方案
第13章 案例研究
13．1 簡介
13．2 需求
13．3 解決方案
13．3．1 開始路由器配置
13．3．2 解決方案的配置步驟
13．3．3 結束路由器配置
附錄A 各章復習題答案
第1章
第2章
第3章
第4章
第5章
第6章
第7章
第8章
第9章
第10章
第11章
第12章
附錄B 網絡安全策略實例
B．1 授權和范圍的說明
B．I．1 適用對象
B．1．2 網絡安全策略的范圍
B．1．3 網絡安全策略負責人
B．1．4 系統管理員責任
B．1．5 網絡安全策略維護流程
B．1．6 實施過程
B．1．7 用戶培訓
B．2 漏洞審計策略
B．2．1 可接受的使用
B．2．2 頻率
B．2．3 審計目標
B．2．4 報告
B．3 網絡使用策略
B．3．1 可接收的網絡使用
B．3．2 不可接收的網絡使用
B．3．3 服從要求
B．4 身份鑒別和認證策略
B．4．1 可接受的使用
B．4．2 密碼管理
B．4．3 認證管理
B．5 Internet訪問策略
B．5．1 可接受的使用
B．5．2 防火牆使用
B．5．3 公共服務使用
B．6 園區訪問策略
B．6．1 可接受的使用
B．6．2 信任關系
B．6．3 網絡設備安全
B．7 遠程訪問策略
B．7．1 可以接受的使用
B．7．2 移動計算
B．7．3 從家中訪問
B．7．4 遠距離工作協議
B．7．5 分支機構訪問
B．7．6 商務合作者(外聯網)訪問
B．7．7 加密
B．8 事件處理策略
B．8．1 入侵檢測需求
B．8．2 事件響應過程
B．8．3 聯絡點
附錄C 配置標准和擴展訪問列表
C．1 IP編址和通用訪問列表概念
C．1．1 IP地址
C．1．2 通配符掩碼
C．1．3 一般訪問列表配置任務
C．1．4 訪問列表配置原則
C．2 配置標准IP訪問列表
C．2．1 標准IP訪問列表處理
C．2．2 標准IP訪問列表命令
C．2．3 標准訪問列表的定位
C．2．4 標准IP訪問列表中的一般錯誤
C．2．5 標准IP訪問列表舉例
C．3 配置擴展IP訪問列表
C．3．1 擴展IP訪問列表處理
C．3．2 擴展1P訪問列表命令
C．3．3 ICMP命令語法
C．3．4 TCP語法
C．3．5 UDP語法
C．3．6 擴展IP訪問列表的定位
C．3．7 擴展IP訪問列表舉例1
C．3．8 擴展IP訪問列表舉例2
C．4 驗證訪問列表配置
C．5 命名的IP訪問列表
C．6 總結
C．7 參考文獻
C．7．1 配置IP訪問列表
C．7．2 IP協議和編址信息
術語表