第一部分 網(wǎng)絡安全介紹
第1章 網(wǎng)絡安全介紹
1.1 網(wǎng)絡安全目標
1.2 資產(chǎn)確定
1.3 威脅評估
1.4 風險評估
1.5 構(gòu)建網(wǎng)絡安全策略
1.6 網(wǎng)絡安全策略的要素
1.7 實現(xiàn)網(wǎng)絡安全策略
1.8 網(wǎng)絡安全體系結(jié)構(gòu)的實現(xiàn)
1.9 審計和改進
1.10 實例研究
1.10.1 資產(chǎn)確定
1.10.2 威脅確定
1.10.3 風險分析
1.10.4 定義安全策略
1.11 小結(jié)
1.12 復習題
第二部分 構(gòu)建網(wǎng)絡安全
第2章 定義安全區(qū)
2.1 安全區(qū)介紹
2.2 設計一個DMZ
2.2.1 使用一個三腳防火墻創(chuàng)建DMZ
2.2.2 DMZ置于防火墻之外，公共網(wǎng)絡和防火墻之間
2.2.3 DMZ置于防火墻之外，但不在公共網(wǎng)絡和防火墻之間的通道上
2.2.4 在層疊的防火墻之間創(chuàng)建DMZ
2.3 實例研究：使用PIX防火墻創(chuàng)建區(qū)
2.4 小結(jié)
2.5 復習題
第3章 設備安全
3.1 物理安全
3.1.1 冗余位置
3.1.2 網(wǎng)絡拓撲設計
3.1.3 網(wǎng)絡的安全位置
3.1.4 選擇安全介質(zhì)
3.1.5 電力供應
3.1.6 環(huán)境因素
3.2 設備冗余
3.2.1 路由冗余
3.2.2 HSRP
3.2.3 虛擬路由器冗余協(xié)議（VRRP）
3.3 路由器安全
3.3.1 配置管理
3.3.2 控制對路由器的訪問
3.3.3 對路由器的安全訪問
3.3.4 密碼管理
3.3.5 記錄路由器事件
3.3.6 禁用不需要的服務
3.3.7 使用回環(huán)接口
3.3.8 控制SNMP作為一個管理協(xié)議
3.3.9 控制HTTP作為一個管理協(xié)議
3.3.10 將CEF作為一種交換機制使用
3.3.11 從安全的角度來建立調(diào)度表
3.3.12 使用NTP
3.3.13 登錄標志
3.3.14 捕獲存儲器信息轉(zhuǎn)存
3.3.15 在CPU高負載期間使用nagle服務以提高Telnet訪問
3.4 PIX防火墻安全
3.4.1 配置管理
3.4.2 控制對PIX的訪問
3.4.3 安全訪問PIX
3.4.4 密碼管理
3.4.5 記錄PIX事件
3.5 交換機安全
3.5.1 配置管理
3.5.2 控制對交換機的訪問
3.5.3 對交換機的安全訪問
3.5.4 記錄交換機事件
3.5.5 控制管理協(xié)議（基于SNMP的管理）
3.5.6 使用NTP
3.5.7 登錄標志
3.5.8 捕獲存儲器信息轉(zhuǎn)存
3.6 小結(jié)
3.7 復習題
第4章 安全路由
4.1 將安全作為路由設計的一部分
4.1.1 路由過濾
4.1.2 收斂性
4.1.3 靜態(tài)路由
4.2 路由器和路由認證
4.3 定向組播控制
4.4 黑洞過濾
4.5 單播反向路徑轉(zhuǎn)發(fā)
4.6 路徑完整性
4.6.1 ICMP重定向
4.6.2 IP源路由
4.7 實例研究：BGP路由協(xié)議安全
4.7.1 BGP對等認證
4.7.2 輸入路由過濾
4.7.3 輸出路由過濾
4.7.4 BGP網(wǎng)絡通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本協(xié)商
4.7.8 維持路由表的深度和穩(wěn)定性
4.7.9 BGP鄰居狀態(tài)的日志記錄改變
4.8 實例研究：OSPF路由協(xié)議的安全
4.8.1 OSPF路由器認證
4.8.2 OSPF非廣播鄰居配置
4.8.3 使用端區(qū)
4.8.4 使用回環(huán)接口作為路由器ID
4.8.5 開啟SPF計時器
4.8.6 路由過濾
4.9 小結(jié)
4.10 復習題
第5章 安全LAN交換
5.1 一般交換和第2層安全
5.2 端口安全
5.3 IP許可列表
5.4 協(xié)議過濾和控制LAN泛洪
5.5 Catalyst 6000上的專用VLAN
5.6 使用IEEE802.1x標準進行端口認證和訪問控制
5.6.1 802.1x實體
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口認證
5.7 小結(jié)
5.8 復習題
第6章 網(wǎng)絡地址轉(zhuǎn)換與安全
6.1 網(wǎng)絡地址轉(zhuǎn)換的安全利益
6.2 依賴NAT提供安全的缺點
6.2.1 除了端口號信息外沒有協(xié)議信息跟蹤
6.2.2 基于PAT表沒有限制內(nèi)容流動的類型
6.2.3 初始連接上有限的控制
6.3 小結(jié)
6.4 復習題
第三部分 防火墻
第7章 什么是防火墻
7.1 防火墻
7.1.1 日志和通知能力
7.1.2 高容量的分組檢查
7.1.3 易于配置
7.1.4 設備安全和冗余
7.2 防火墻的類型
7.2.1 電路級防火墻
7.2.2 代理服務器防火墻
7.2.3 無狀態(tài)分組過濾器
7.2.4 有狀態(tài)分組過濾器
7.2.5 個人防火墻
7.3 防火墻的設置
7.4 小結(jié)
第8章 PIX防火墻
8.1 自適應安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火墻的基本特性
8.2.1 使用ASA對流量進行有狀態(tài)檢測
8.2.2 為接口分配可變的安全級別
8.2.3 訪問控制列表
8.2.4 擴展的日志能力
8.2.5 基本的路由能力，包括對RIP的支持
8.2.6 網(wǎng)絡地址轉(zhuǎn)換
8.2.7 失效處理機制和冗余
8.2.8 認證通過PIX的流量
8.3 PIX防火墻的高級特性
8.3.1 別名
8.3.2 X防護
8.3.3 高級過濾
8.3.4 多媒體支持
8.3.5 欺騙檢測或者單播 RPF
8.3.6 協(xié)議修正
8.3.7 多功能的sysopt命令
8.3.8 組播支持
8.3.9 分片處理
8.4 實例研究
8.4.1 帶有三個接口，運行在DMZ的Web服務器上的PIX
8.4.2 為失效處理機制將PIX設置為二級設備
8.4.3 為DMZ上的服務器使用alias命令設置PIX
8.4.4 為貫穿式代理認證和授權(quán)設置PIX
8.4.5 使用對象組和Turbo ACL來縮放PIX配置
8.5 小結(jié)
8.6 復習題
第9章 IOS防火墻
9.1 基于上下文的訪問控制
9.2 IOS防火墻的特性
9.2.1 傳輸層檢查
9.2.2 應用層檢查
9.2.3 對無效命令進行過濾
9.2.4 Java阻塞
9.2.5 保護網(wǎng)絡以免遭到拒絕服務攻擊
9.2.6 IOS防火墻中的分片處理
9.3 實例研究：配置了NAT的路由器上的CBAC
9.4 小結(jié)
9.5 復習題
第四部分 VPN
第10章 VPN的概念
10.1 VPN定義
10.2 基于加密與不加密的VPN類型比較
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基于OSI模型分層的VPN類型
10.3.1 數(shù)據(jù)鏈路層VPN
10.3.2 網(wǎng)絡層VPN
10.3.3 應用層VPN
10.4 基于商業(yè)功能性的VPN類型
10.5 內(nèi)部網(wǎng)VPN
10.6 小結(jié)
第11章 GRE
11.1 GRE
11.2 實例研究
11.2.1 連接兩個專用網(wǎng)絡的簡單GRE隧道
11.2.2 多個站點間的GRE
11.2.3 運行IPX的兩個站點間的GRE
11.3 小結(jié)
11.4 復習題
第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能細節(jié)
12.2.1 建立控制連接
12.2.2 建立會話
12.2.3 頭格式
12.3 實例研究
12.3.1 創(chuàng)建強制型L2TP隧道
12.3.2 在強制型隧道的創(chuàng)建中使用IPsec保護L2TP通信
12.4 小結(jié)
12.5 復習題
第13章 IPsec
13.1 IPsec VPN的類型
13.1.1 LAN-to-LAN IPsec實現(xiàn)
13.1.2 遠程訪問客戶端IPsec實現(xiàn)
13.2 IPsec的組成
13.3 IKE介紹
13.3.1 主模式（或者主動模式）的目標
13.3.2 快速模式的目標
13.4 使用IKE協(xié)議的IPsec協(xié)商
13.4.1 使用預共享密鑰認證的主模式后接快速模式的協(xié)商
13.4.2 使用數(shù)字簽名認證后接快速模式的主模式
13.4.3 使用預共享密鑰認證的主動模式
13.5 IKE認證機制
13.5.1 預共享密鑰
13.5.2 數(shù)字簽名
13.5.3 加密臨時值
13.6 IPsec中加密和完整性檢驗機制
13.6.1 加密
13.6.2 完整性檢驗
13.7 IPsec中分組的封裝
13.7.1 傳輸模式
13.7.2 隧道模式
13.7.3 ESP（封裝安全負載）
13.7.4 AH（認證頭）
13.8 增強遠程訪問客戶端IPsec的IKE
13.8.1 擴展認證
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPsec失效對等體的發(fā)現(xiàn)機制
13.10 實例研究
13.10.1 使用預共享密鑰作為認證機制的路由器到路由器的IPsec
13.10.2 使用數(shù)字簽名和數(shù)字證書的路由器到路由器的IPsec
13.10.3 使用RSA加密臨時值的路由器到路由器的IPsec
13.10.4 一對多路由器IPsec
13.10.5 High-Availability-IPsec-Over-GRE設置
13.10.6 使用x-auth、動態(tài)crypto映射、模式配置和預共享密鑰的遠程訪問IPsec
13.10.7 LAN-to-LAN和遠程訪問的PIX IPsec設置
13.10.8 使用自發(fā)型隧道的L2TP上的IPsec
13.10.9 IPsec隧道終點發(fā)現(xiàn)（TED）
13.10.10 NAT同IPsec的相互作用
13.10.11 防火墻和IPsec的相互作用
13.11 小結(jié)
13.12 復習題
第五部分 入侵檢測
第14章 什么是入侵檢測
14.1 對入侵檢測的需求
14.2 基于攻擊模式的網(wǎng)絡攻擊類型
14.2.1 拒絕服務攻擊
14.2.2 網(wǎng)絡訪問攻擊
14.3 基于攻擊發(fā)起者的網(wǎng)絡攻擊類型
14.3.1 由受信任的（內(nèi)部）用戶發(fā)起的攻擊
14.3.2 由不受信任的（外部）用戶發(fā)起的攻擊
14.3.3 由沒有經(jīng)驗的"腳本少年"黑客發(fā)起的攻擊
14.3.4 由有經(jīng)驗的"專業(yè)"黑客發(fā)起的攻擊
14.4 常見的網(wǎng)絡攻擊
14.4.1 拒絕服務攻擊
14.4.2 資源耗盡類型的DoS攻擊
14.4.3 旨在導致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型
14.4.4 網(wǎng)絡訪問攻擊
14.5 檢測入侵的過程
14.6 實例研究：Kevin Metnick對 Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉(zhuǎn)敗局的
14.7 小結(jié)
第15章 Cisco安全入侵檢測
15.1 Cisco安全IDS的組件
15.2 構(gòu)建管理控制臺
15.2.1 兩種類型的管理控制臺
15.2.2 UNIX Director的內(nèi)部結(jié)構(gòu)
15.2.3 CSPM IDS控制臺的內(nèi)部結(jié)構(gòu)
15.3 構(gòu)建探測器
15.4 對入侵的響應
15.4.1 日志記錄
15.4.2 TCP重置
15.4.3 屏蔽
15.5 簽名類型
15.5.1 簽名引擎（Engine）
15.5.2 缺省的警報級別
15.6 把路由器、PIX或者IDSM作為探測器使用
15.7 實例研究
15.7.1 把路由器作為探測器設備使用
15.7.2 把PIX作為探測器設備使用
15.7.3 把Catalyst 6000 IDSM作為探測器使用
15.7.4 設置路由器或者UNIX Director進行屏蔽
15.7.5 創(chuàng)建定制的簽名
15.8 小結(jié)
15.9 復習題
第六部分 網(wǎng)絡訪問控制
第16章 AAA
16.1 AAA組件的定義
16.2 認證概述
16.3 設置認證
16.3.1 啟用AAA
16.3.2 設置一個本地用戶認證參數(shù)數(shù)據(jù)庫或者設置對配置好的RADIUS或TACACS+服務器的訪問
16.3.3 設置方法列表
16.3.4 應用方法列表
16.4 授權(quán)概述
16.5 設置授權(quán)
16.5.1 設置方法列表
16.5.2 應用方法列表
16.6 統(tǒng)計概述
16.7 設置統(tǒng)計
16.7.1 設置一個方法列表
16.7.2 將方法列表應用到行和/或者接口
16.8 實例研究
16.8.1 使用AAA對PPP連接進行認證和授權(quán)
16.8.2 使用AAA下載路由和應用訪問列表
16.8.3 使用AAA設置PPP超時
16.9 小結(jié)
16.10 復習題
第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信體系結(jié)構(gòu)
17.3 TACACS+分組加密
17.4 TACACS+的認證
17.5 TACACS+的授權(quán)
17.6 TACACS+的統(tǒng)計
17.7 小結(jié)
17.8 復習題
第18章 RADIUS
18.1 RADIUS介紹
18.2 RADIUS通信的體系結(jié)構(gòu)
18.2.1 RADIUS分組格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的認證
18.2.4 RADIUS的授權(quán)
18.2.5 RADIUS的統(tǒng)計
18.3 小結(jié)
18.4 復習題
第19章 使用AAA實現(xiàn)安全特性的特殊實例
19.1 使用AAA對IPsec提供預共享的密鑰
19.2 在ISAKMP中對X-Auth使用AAA
19.3 對Auth-Proxy使用AAA
19.4 對VPDN使用AAA
19.5 對鎖和密鑰使用AAA
19.6 對命令授權(quán)使用AAA
19.7 小結(jié)
19.8 復習題
第七部分 服務提供商安全
第20章 服務提供商安全的利益和挑戰(zhàn)
20.1 擁有服務提供商安全的動機
20.1.1 阻止攻擊并致偏的能力
20.1.2 跟蹤流量模式的能力
20.1.3 向下跟蹤攻擊源的能力
20.2 在服務提供商級別上實現(xiàn)安全的挑戰(zhàn)
20.3 服務提供商安全的關鍵組件
20.4 小結(jié)
20.5 復習題
第21章 有效使用訪問控制列表
21.1 訪問控制列表概述
21.1.1 ACL的類型
21.1.2 ACL的特性和特征
21.2 使用訪問控制列表阻止未經(jīng)授權(quán)的訪問
21.2.1 ACL的基本訪問控制功能
21.2.2 使用ACL阻塞ICMP分組
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組
21.2.4 用ACL阻塞去往網(wǎng)絡中不可用服務的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL識別拒絕服務攻擊
21.3.1 使用訪問控制列表識別smurf攻擊
21.3.2 使用訪問控制列表識別fraggle攻擊
21.3.3 使用訪問控制列表識別SYN泛洪
21.4 使用ACL阻止拒絕服務攻擊
21.4.1 使用ACL阻止來自不合法IP地址的流量
21.4.2 過濾RFC 1918地址空間
21.4.3 拒絕其他不必要的流量
21.5 通過ACL處理IP分片
21.5.1 過濾IP分片
21.5.2 保護網(wǎng)絡免遭IP分片攻擊
21.6 ACL對性能的影響
21.7 Turbo ACL
21.8 NetFlow交換和ACL
21.8.1 NetFlow交換功能
21.8.2 NetFlow交換使訪問控制列表性能增強
21.8.3 使用NetFlow
21.9 小結(jié)
21.10 復習題
第22章 使用NBAR識別和控制攻擊
22.1 NBAR概述
22.2 使用NBAR對分組進行分類
22.3 使用NBAR檢測網(wǎng)絡攻擊
22.3.1 用帶有簡單訪問控制列表的DSCP或ToS標記或丟棄分組
22.3.2 使用帶有策略路由的DSCP或者ToS來標記或丟棄經(jīng)NBAR分類的流量
22.3.3 用流量管制管理經(jīng)NBAR分類的流量
22.4 聯(lián)合使用NBAR和PDLM對網(wǎng)絡攻擊分類
22.5 使用基于NBAR的訪問控制技術(shù)對性能的影響
22.6 實例研究：紅色代碼病毒和NBAR
22.7 小結(jié)
22.8 復習題
第23章 使用CAR控制攻擊
23.1 CAR概述
23.2 使用CAR限制速率或者丟棄額外的惡意流量
23.2.1 限制拒絕服務攻擊的速率
23.2.2 限制可疑惡意內(nèi)容的速率
23.3 實例研究：使用CAR限制DDoS攻擊
23.4 小結(jié)
23.5 復習題
第八部分 疑難解析
第24章 網(wǎng)絡安全實施疑難解析
24.1 NAT疑難解析
24.1.1 NAT操作的順序
24.1.2 NAT調(diào)試工具
24.1.3 NAT show命令
24.1.4 常見的NAT問題以及解決方案
24.2 PIX防火墻疑難解析
24.2.1 引起與PIX相關的問題的根源
24.2.2 PIX中NAT操作的順序
24.2.3 PIX調(diào)試
24.2.4 推薦的PIX 6.2超時值
24.2.5 PIX show命令
24.2.6 常見的PIX問題及其解決方法
24.2.7 PIX疑難解析實例研究
24.3 IOS防火墻疑難解析
24.3.1 IOS防火墻中的操作順序
24.3.2 IOS防火墻的show命令
24.3.3 常見的IOS防火墻問題及其解決辦法
24.4 IPsec VPN疑難解析
24.4.1 IPsec事件的執(zhí)行順序
24.4.2 IPsec的調(diào)試
24.4.3 IPsec show命令
24.4.4 常見的IPsec問題以及解決辦法
24.5 入侵檢測疑難解析
24.6 AAA疑難解析
24.6.1 AAA show 命令
24.6.2 AAA的debug命令
24.6.3 常見的AAA問題和解決辦法
24.7 小結(jié)
24.8 復習題
第九部分 附錄
附錄A 復習題答案
附錄B SAFE：企業(yè)網(wǎng)絡安全藍圖白皮書