思科網路技術學院教程：網路安全

《思科網路技術學院教程網路安全》包括兩個學期的課程內容。第一學期課程內容側重於網路中的總體安全進程，並特別關注以下領域的實際操作技巧：安全策略設計和管理，安全技術、產品、解決方案，防火牆和安全路由器設計、安裝、配置、維護，使用路由器和防火牆實現AAA，在OSI模型的第二層和第三層保護網路等。第二學期課程內容側重於安全策略設計和管理，安全技術、產品、解決方案，防火牆和安全路由器設計、安裝、配置、維護，使用路由器和防火牆實現入侵預防系統(IPS)，使用路由器和防火牆實現虛擬專用網(VPN)等。

Antoon“Tony”W．Rufi目前在沃爾登大學攻讀基於信息系統的套用商務管理和決策學博士。Tony畢業於馬里蘭大學，獲得信息系統碩士學位，並獲得南伊利諾斯大學工業技術學士學位。Tony目前是技術校園所有ECPI學院的計算機和信息科學(CIS)副院長，講授(3isco學院CCNA、CCNP、網路安全以及IP電話課程。在成為ECPI講師之前，他在美國空軍工作近30年，從事大量電子及電腦程式和項目工作。Tony現在與妻子居住在佛吉尼亞州的普庫森，他們已經在那裡生活了33年。關於技術審稿人

DaleLiu(CCAI、CCNA、CISSP、NSAIAM、NSAIEM)已經在計算機和網路領域工作了20年，具有編程、網路、信息安全等多方面經驗。他目前講授網路、路由以及安全課程，並在中小型公司的安全審計和架構設計領域工作。I)ale目前居住在德克薩斯州的休斯頓。

BeLLeWoodward(CCNA、CCAI、CCNP)在位於伊利諾伊舟卡本代爾的南伊利諾伊大學(SIU，SourthernIllinoisUniversity)套用科學與藝術學院信息系統和套用技術學校擔任助教。Belle有超過8年的網路和網路安全經驗。她講授網路安全、高級網路以及電信學。她對網路及網路安全大學課程進行重新設計後，她的學生在2006年美國中西部地區學院賽博對抗賽(CCDC，CollegiatecyberDefeuseCompetition)中獲得第一名，並在美國全國CCDC中獲得第四名。

第1章弱點、威脅、攻擊2

1.1關鍵術語2

1.2網路安全簡介3

1.2.1網路安全需求3

1.2.2識別網路安全的潛在風險5

1.2.3開放的與封閉的安全模型5

1.2.4網路安全的發展趨勢9

1.2.5信息安全組織11

1.3弱點、威脅和攻擊介紹12

1.3.1弱點13

1.3.2威脅14

1.3.3攻擊15

1.4攻擊事例16

1.4.1偵查攻擊17

1.4.2訪問攻擊18

1.4.3拒絕服務(DoS)攻擊21

1.4.4假冒/IP欺騙攻擊22

1.4.5分散式拒絕服務攻擊23

1.4.6惡意代碼25

1.5弱點分析27

1.5.1政策定位27

1.5.2網路分析27

1.5.3主機分析30

1.5.4分析工具31

1.6總結31

1.7檢查你的理解32

第2章安全計畫與策略34

2.1關鍵術語34

2.2關於網路安全及Cisco34

2.2.1安全輪(SecurityWheel)35

2.2.2網路安全策略37

2.3端點保護和管理39

2.3.1基於主機和伺服器的安全組件和技術39

2.3.2PC管理41

2.4網路保護和管理42

2.4.1基於網路的安全組件和技術42

2.4.2網路安全管理47

2.5安全體系50

2.5.1安全體系SAFE50

2.5.2Cisco自防衛網路51

2.5.3保護連通性(secureconnectivity)51

2.5.4威脅防範(ThreatDefense)52

2.5.5Cisco集成安全54

2.5.6計畫、設計、實施、運行、最佳化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)55

2.6基本的路由器安全57

2.6.1控制對網路設備的訪問57

2.6.2使用SSH進行遠程配置59

2.6.3路由器口令60

2.6.4路由器優先權和賬戶62

2.6.5CiscoIOS網路服務63

2.6.6路由、代理ARP、ICMP68

2.6.7路由協定認證和升級過濾70

2.6.8NTP、SNMP、路由器名、DNS72

2.7總結74

2.8檢查你的理解74

第3章安全設備76

3.1可選設備76

3.1.1Cisco防火牆特性集77

3.1.2創建用戶的防火牆78

3.1.3PIX安全設備78

3.1.4自適應安全設備79

3.1.5Finesse作業系統81

3.1.6自適應安全算法81

3.1.7防火牆服務模組81

3.2使用安全設備管理器82

3.2.1使用SDM啟動嚮導83

3.2.2SDM用戶界面84

3.2.3SDM嚮導85

3.2.4用SDM配置WAN85

3.2.5使用恢復出廠配置嚮導86

3.2.6監控模式86

3.3Cisco安全設備家族介紹88

3.3.1PIX501安全設備88

3.3.2PIX506E安全設備88

3.3.3PIX515E安全設備88

3.3.4PIX525安全設備88

3.3.5PIX535安全設備89

3.3.6自適應安全設備模組89

3.3.7PIX安全設備許可證91

3.3.8PIXVPN加密許可91

3.3.9安全上下文92

3.3.10PIX安全設備上下文許可證92

3.3.11ASA安全設備許可證92

3.3.12擴展PIX515E特性93

3.3.13擴展PIX525特性93

3.3.14擴展PIX535特性93

3.3.15擴展自適應安全設備家族的特性94

3.4開始配置PIX安全設備94

3.4.1配置PIX安全設備95

3.4.2幫助命令96

3.4.3安全級別96

3.4.4基本PIX安全設備的配置命令97

3.4.5其他PIX安全設備的配置命令100

3.4.6檢查PIX安全設備的狀態105

3.4.7時間設定和NTP支持108

3.4.8日誌(syslog)配置109

3.5安全設備的轉換和連線111

3.5.1傳輸協定111

3.5.2NAT112

3.5.3動態內部NAT114

3.5.4兩個接口的NAT114

3.5.53個接口的NAT115

3.5.6PAT116

3.5.7增加PAT的全局地址池118

3.5.8static命令118

3.5.9nat0命令120

3.5.10連線和轉換121

3.6用自適應安全設備管理器管理PIX127

3.6.1ASDM運行需求127

3.6.2ASDM的準備129

3.6.3使用ASDM配置PIX安全設備130

3.7PIX安全設備的路由功能131

3.7.1虛擬LAN131

3.7.2靜態和RIP路由135

3.7.3OSPF137

3.7.4多播路由140

3.8防火牆服務模組的運行143

3.8.1FWSM的運行要求144

3.8.2開始使用FWSM144

3.8.3校驗FWSM的安裝145

3.8.4配置FWSM的訪問列表146

3.8.5在FWSM上使用PDM147

3.8.6重置和重啟FWSM147

3.9總結148

3.10檢查你的理解148

第4章信任和身份技術150

4.1關鍵術語150

4.2AAA150

4.2.1TACACS151

4.2.2RADIUS151

4.2.3TACACS+和RADIUS的比較153

4.3驗證技術154

4.3.1靜態口令154

4.3.2一次性口令154

4.3.3令牌卡155

4.3.4令牌卡和伺服器方法155

4.3.5數字證書156

4.3.6生物測定學157

4.4基於身份網路服務(IBNS)158

4.5有線的和無線的執行160

4.6網路準入控制(NAC)161

4.6.1NAC組成161

4.6.2NAC階段162

4.6.3NAC運行163

4.6.4NAC廠商的參與164

4.7總結165

4.8檢查你的理解165

第5章Cisco安全訪問控制伺服器167

5.1關鍵術語167

5.2Cisco安全訪問控制伺服器產品概述167

5.2.1驗證和用戶資料庫169

5.2.2Cisco安全ACS用戶資料庫169

5.2.3保持資料庫穩定170

5.2.4基於Windows的Cisco安全ACS體系架構171

5.2.5Cisco安全ACS如何驗證用戶172

5.2.6用戶可更改的口令174

5.3使用Cisco安全ACS配置TACACS+和RADIUS175

5.3.1安裝步驟175

5.3.2管理基於Windows的Cisco安全ACS176

5.3.3排錯177

5.3.4啟用TACACS+178

5.4檢驗TACACS+180

5.4.1失敗180

5.4.2通過181

5.5配置RADIUS183

5.6總結183

5.7檢查你的理解184

第6章在三層配置信任和身份186

6.1關鍵術語186

6.2CiscoIOS防火牆認證代理186

6.2.1認證代理的運行186

6.2.2支持的AAA伺服器187

6.2.3AAA伺服器配置188

6.2.4AAA配置188

6.2.5允許AAA流量到路由器190

6.2.6認證代理配置191

6.2.7測試和驗證認證代理192

6.3介紹PIX安全器件AAA特性193

6.3.1PIX安全器件認證193

6.3.2PIX安全器件授權194

6.3.3PIX安全器件計費195

6.3.4AAA伺服器支持195

6.4在PIX安全器件上配置AAA196

6.4.1PIX安全器件訪問認證196

6.4.2互動式用戶認證196

6.4.3本地用戶資料庫198

6.4.4認證提示和逾時199

6.4.5直通代理認證200

6.4.6認證非Telnet、FTP、HTTP或HTTPS流量201

6.4.7隧道用戶認證203

6.4.8授權配置204

6.4.9可下載的ACL205

6.4.10計費配置207

6.4.11控制台會話計費208

6.4.12命令計費209

6.4.13AAA配置故障處理209

6.5總結212

6.6檢查你的理解212

第7章在二層配置信任和身份214

7.1關鍵術語214

7.2基於身份的網路服務(IBNS)214

7.2.1特點及好處214

7.2.2IEEE802.1x215

7.2.3選擇正確的EAP219

7.2.4CiscoLEAP220

7.2.5IBNS和Cisco安全ACS221

7.2.6部署ACS的考慮223

7.2.7Cisco安全ACSRADIUS配置224

7.3配置802.1x基於連線埠的認證225

7.3.1使能802.1x認證227

7.3.2配置交換機到RADIUS伺服器的通信227

7.3.3使能周期性重認證228

7.3.4手工重認證連線到連線埠的客戶229

7.3.5使能多主機229

7.3.6將802.1x配置重設為默認值229

7.3.7查看802.1x統計信息和狀態229

7.4總結230

7.5檢查你的理解230

第8章在路由器上配置過濾232

8.1關鍵術語232

8.2過濾和訪問列表232

8.2.1數據包過濾233

8.2.2狀態過濾233

8.2.3URL過濾235

8.3CiscoIOS防火牆基於上下文的訪問控制235

8.3.1CBAC數據包236

8.3.2CiscoIOSACL236

8.3.3CBAC如何運行236

8.3.4CBAC所支持的協定238

8.4配置CiscoIOS防火牆基於上下文的訪問控制239

8.4.1CBAC配置任務239

8.4.2準備CBAC239

8.4.3設定審計跟蹤和警告240

8.4.4設定全局逾時時間241

8.4.5設定全局閾值242

8.4.6主機限制的半開連線243

8.4.7系統定義的連線埠與套用映射243

8.4.8用戶定義的PAM244

8.4.9設定套用的檢測規則245

8.4.10為IP分片定義檢測規則246

8.4.11定義ICMP檢測規則247

8.4.12將檢測規則和ACL套用於接口248

8.5測試與校驗CBAC251

用SDM配置CiscoIOS防火牆252

8.6總結253

8.7檢查你的理解253

第9章在PIX安全器件上配置過濾256

9.1關鍵術語256

9.2配置ACL和內容過濾256

9.2.1PIX安全器件ACL257

9.2.2配置ACL258

9.2.3ACL行號259

9.2.4icmp命令259

9.2.5nat0ACL260

9.2.6TurboACL262

9.2.7使用ACL262

9.2.8惡意代碼過濾265

9.2.9URL過濾266

9.3對象分組268

9.3.1開始使用對象分組269

9.3.2配置對象分組269

9.3.3嵌套對象分組271

9.3.4管理對象分組274

9.4配置安全器件模組策略275

9.4.1配置一個類映射277

9.4.2配置一個策略映射277

9.4.3配置一個服務策略279

9.5配置高級協定檢查280

9.5.1默認流量檢查和連線埠號280

9.5.2FTP檢查283

9.5.3FTP深度報文檢查285

9.5.4HTTP檢查286

9.5.5協定應用程式檢查287

9.5.6多媒體支持291

9.5.7實時流協定(Real-TimeStreamingProtocol，RSTP)291

9.5.8支持IP電話所需要的協定293

9.5.9DNS檢查295

9.6總結296

9.7檢查你的理解297

第10章在交換機上配置過濾299

10.1關鍵術語299

10.2二層攻擊簡介299

10.3MAC地址、ARP和DHCP攻擊300

10.3.1減少CAM表過載攻擊301

10.3.2MAC欺騙：中間人攻擊302

10.3.3ARP欺騙303

10.4DHCP偵聽(DHCPSnooping)303

10.4.1動態ARP檢測305

10.4.2DHCP耗盡攻擊(DHCPStarvationAttacks)305

10.5VLAN攻擊306

10.5.1VLAN跳躍攻擊306

10.5.2私用VLAN攻擊308

10.5.3私用VLAN防禦308

10.6生成樹協定攻擊309

10.7總結310

10.8檢查你的理解310

第二學期

第1章入侵檢測和防禦技術314

1.1關鍵術語314

1.2入侵檢測和防禦介紹314

1.2.1基於網路與基於主機315

1.2.2警報的類型315

1.3檢測引擎317

1.3.1基於簽名的探測317

1.3.2簽名的類型317

1.3.3基於異常狀態檢測318

1.4Cisco的IDS和IPS設備319

1.4.1Cisco集成的解決方案319

1.4.2CiscoIPS4200系列探測器320

1.5總結320

1.6檢查你的理解321

第2章配置網路入侵檢測和入侵防護322

2.1關鍵術語322

2.2CiscoIOS入侵防護系統(IPS)322

2.2.1CiscoIOS入侵防護系統的起源324

2.2.2路由器的性能324

2.2.3CiscoIOS入侵防護系統特徵庫324

2.2.4配置CiscoIOS入侵防護系統的過程325

2.3在PIX安全設備上啟用攻擊防護功能(attackguards)329

2.3.1MailGuard329

2.3.2DNSGuard329

2.3.3FragGuard和虛擬重組(VirtualReassembly)330

2.3.4AAA泛洪防護331

2.3.5SYN泛洪保護332

2.3.6TCPintercept332

2.3.7SYNCookies333

2.3.8連線限制333

2.4在PIX安全設備上配置入侵防護334

2.4.1入侵檢測和PIX安全設備334

2.4.2配置入侵防護335

2.4.3配置IDS策略336

2.5在PIX安全設備上配置阻斷(shunning)337

2.6總結338

2.7檢查你的理解339

第3章加密與VPN技術341

3.1關鍵術語341

3.2加密的基本方法341

3.2.1對稱加密341

3.2.2不對稱加密342

3.2.3Diffie-Hellman343

3.3完整性要素344

3.3.1散列345

3.3.2散列方法認證碼HMAC345

3.3.3數字簽名和證書346

3.4實現數字證書348

3.4.1認證中心支持348

3.4.2簡單證書註冊協定SCEP349

3.4.3CA伺服器349

3.4.4使用CA註冊一台設備352

3.5VPN拓撲352

3.5.1站點到站點VPN353

3.5.2遠程訪問VPN353

3.6VPN技術354

3.6.1WebVPN355

3.6.2隧道協定356

3.6.3隧道接口358

3.6.4IPSec358

3.6.5認證頭AH359

3.6.6封裝安全載荷ESP361

3.6.7隧道和傳輸模式361

3.6.8安全關聯363

3.6.9IPSec的5個步驟364

3.6.10網際網路密鑰交換IKE366

3.6.11IKE和IPSec367

3.6.12CiscoVPN解決方案368

3.7總結369

3.8檢查你的理解369

第4章使用預共享密鑰配置站點到站點VPN371

4.1關鍵術語371

4.2使用預共享密鑰的IPSec加密371

4.2.1規劃IKE和IPSec策略373

4.2.2步驟1：確定ISAKMP(IKE階段1)策略373

4.2.3步驟2：定義IPSec(IKE階段2)策略375

4.2.4步驟3：檢查當前配置375

4.2.5步驟4：確保網路在沒有加密時也能工作376

4.2.6步驟5：確認ACL允許IPSec377

4.3使用預共享密鑰在路由器上配置IKE378

4.3.1步驟1：啟用或禁止IKE378

4.3.2步驟2：創建IKE策略378

4.3.3步驟3：配置預共享密鑰381

4.3.4步驟4：驗證IKE配置382

4.4使用預共享密鑰為路由器配置IPSec382

4.4.1步驟1：配置變換集382

4.4.2步驟2：確定IPSec(IKE階段2)策略384

4.4.3步驟3：創建加密ACL384

4.4.4步驟4：創建加密圖386

4.4.5步驟5：將加密圖套用到接口387

4.5測試和驗證路由器的IPSec配置388

4.5.1查看配置的ISAKMP策略388

4.5.2顯示配置的變換集389

4.5.3顯示IPSecSA的當前狀態389

4.5.4顯示配置的加密圖389

4.5.5打開IPSec事件的調試輸出390

4.5.6打開ISAKMP事件的調試輸出390

4.5.7使用SDM配置一個VPN391

4.6使用預共享密鑰配置一個PIX安全器件站點到站點VPN391

4.6.1任務1：準備配置VPN支持392

4.6.2任務2：配置IKE參數392

4.6.3任務3：配置IPSec參數394

4.6.4任務4：測試和驗證IPSec配置397

4.7總結398

4.8檢查你的理解398

第5章使用數字證書配置站點到站點VPN400

5.1關鍵術語400

5.2在路由器上配置CA支持400

5.2.1步驟1：管理NVRAM401

5.2.2步驟2：設定路由器的時間和日期402

5.2.3步驟3：在路由器主機表中加入CA伺服器條目402

5.2.4步驟4：生成RSA密鑰對403

5.2.5步驟5：聲明一個CA405

5.2.6步驟6：認證CA406

5.2.7步驟7：為路由器申請一個證書407

5.2.8步驟8：保存配置407

5.2.9步驟9：監視和維護CA互操作性408

5.2.10步驟10：驗證CA支持配置409

5.3使用數字證書配置CiscoIOS路由器站點到站點VPN410

5.3.1任務1：準備IKE和IPSec411

5.3.2任務2：配置CA支持411

5.3.3任務3：配置IKE412

5.3.4任務4：配置IPSec413

5.3.5任務5：測試和驗證IPSec413

5.4使用數字證書配置PIX安全設備站點到站點VPN413

5.5總結415

5.6檢查你的理解415

第6章配置遠程訪問VPN417

6.1關鍵術語417

6.2CiscoEasyVPN介紹417

6.2.1EasyVPN伺服器概覽418

6.2.2CiscoEasyVPNRemote概覽418

6.2.3CiscoEasyVPN如何工作419

6.3CiscoEasyVPN伺服器配置任務421

6.3.1任務1：創建一個IP位址池422

6.3.2任務2：配置組策略查找422

6.3.3任務3：為遠程VPN客戶訪問創建ISAKMP策略423

6.3.4任務4：為模式配置推送定義一個組策略423

6.3.5任務5：創建一個變換集424

6.3.6任務6：創建一個帶RRI的加密圖424

6.3.7任務7：將模式配置套用到動態加密圖425

6.3.8任務8：將動態加密圖套用到路由器接口上426

6.3.9任務9：使能IKE失效對等體檢測426

6.3.10任務10：(可選)配置XAUTH427

6.3.11任務11：(可選)啟用XAUTH保存口令特性427

6.4CiscoEasyVPN客戶端4.x配置任務428

6.4.1任務1：在遠程用戶的PC上安裝CiscoVPN客戶端4.x428

6.4.2任務2：創建一個新的客戶端連線條目429

6.4.3任務3：選擇一個認證方法429

6.4.4任務4：配置透明隧道430

6.4.5任務5：啟用並增加備份伺服器432

6.4.6任務6：通過撥號網路配置一條到網際網路的連線432

6.5為接入路由器配置CiscoEasyVPNRemote433

6.5.1EasyVPNRemote操作模式434

6.5.2接入路由器的CiscoEasyVPNRemote配置任務435

6.6配置PIX安全器件作為EasyVPN伺服器439

6.6.1任務1：為遠程VPN客戶端訪問創建一個ISAKMP策略439

6.6.2任務2：創建一個IP位址池439

6.6.3任務3：為模式配置推送定義一個組策略440

6.6.4任務4：創建一個變換集442

6.6.5任務5至任務7：動態加密圖442

6.6.6任務8：配置XAUTH443

6.6.7任務9：配置NAT和NAT0443

6.6.8任務10：啟用IKEDPD443

6.7配置PIX501或506E作為EasyVPN客戶端444

6.7.1PIX安全器件EasyVPNRemote特性概覽444

6.7.2EasyVPNRemote配置445

6.7.3EasyVPN客戶端模式以及啟用EasyVPNRemote客戶端446

6.7.4EasyVPNRemote認證447

6.8配置適應性安全器件支持WebVPN448

6.8.1WebVPN最終用戶接口448

6.8.2配置WebVPN常用參數450

6.8.3配置WebVPN伺服器和URL452

6.8.4配置WebVPN連線埠轉發453

6.8.5配置WebVPNE-mail代理455

6.8.6配置WebVPN內容過濾器和ACL455

6.9總結456

6.10檢查你的理解456

第7章安全網路體系和管理458

7.1關鍵術語458

7.2影響二層消除技術的因素458

7.2.1單安全區域、單用戶組、單物理交換機459

7.2.2單安全區域、單用戶組、多物理交換機461

7.2.3單安全區域、多用戶組、單物理交換機462

7.2.4單安全區域、多用戶組、多物理交換機462

7.2.5多安全區域、單用戶組、單物理交換機463

7.2.6多安全區域、單用戶組、多物理交換機464

7.2.7多安全區域、多用戶組、單物理交換機465

7.2.8多安全區域、多用戶組、多物理交換機466

7.2.9二層安全最佳實踐467

7.3SDM安全審計468

7.4路由器管理中心470

7.4.1Hub-and-Spoke拓撲472

7.4.2VPN設定和策略472

7.4.3設備層級和繼承472

7.4.4活動473

7.4.5工作473

7.4.6構建塊473

7.4.7支持的隧道技術473

7.4.8安裝RouterMC474

7.4.9開始使用RouterMC475

7.4.10RouterMC界面476

7.4.11RouterMC標籤477

7.4.12基本工作流和任務480

7.5簡單網路管理協定SNMP481

7.5.1SNMP介紹481

7.5.2SNMP安全483

7.5.3SNMP版本3(SNMPv3)484

7.5.4SNMP管理應用程式485

7.5.5在CiscoIOS路由器上配置SNMP支持486

7.5.6在PIX安全器件上配置SNMP支持489

7.6總結490

7.7檢查你的理解490

第8章PIX安全器件上下文、故障倒換和管理492

8.1關鍵術語492

8.2配置PIX安全器件在多上下文模式中運行492

8.2.1啟用多上下文模式495

8.2.2配置安全上下文496

8.2.3管理安全上下文497

8.3配置PIX安全器件故障倒換497

8.3.1理解故障倒換497

8.3.2故障倒換的要求499

8.3.3基於串列電纜的故障倒換配置500

8.3.4基於LAN的活躍/備用故障倒換配置501

8.3.5活躍/活躍故障倒換502

8.3.6配置透明防火牆模式502

8.3.7透明防火牆模式概覽503

8.3.8啟用透明防火牆模式504

8.3.9監控和維護透明防火牆506

8.4PIX安全器件管理507

8.4.1管理Telnet訪問507

8.4.2管理SSH訪問508

8.4.3命令授權509

8.4.4PIX安全器件口令恢復511

8.4.5適應性安全器件口令恢復512

8.4.6檔案管理512

8.4.7映像升級和認證密鑰514

8.5總結515

8.6檢查你的理解516

附錄A“檢查你的理解”部分的答案518

術語表527

……