網路安全技術與解決方案

書 名: 網路安全技術與解決方案

作　者：(美國)(Yusufbhaiji)海吉

出版社： 人民郵電出版社

出版時間： 2009

ISBN: 9787115193117

開本： 16

定價: 79.00 元

與主要關注概念與理論的圖書不同，《網路安全技術與解決方案》可作為配置和管理Cisco的領先動態鏈路的便捷工具書。

無論是對網路工程師或安全工程師、顧問，還是從事安全認證方面研究的讀者，《網路安全技術與解決方案》都是設計和構建安全網路的重要參考資料。此外，《網路安全技術與解決方案》還為擬參加CCIE安全認證考試的讀者提供了涵蓋新大綱考點寶貴的備考資源。

YusufBhaiji，CCIE#9305（路由和交換與安全），已在Cisco公司工作了7年，現任CiscoCCIE安全認證的項目經理和CiscoDubai實驗室的CCIE代理人。此前，他曾是悉尼TAC安全及VPN團隊的技術骨幹。Yusuf對安全技術和解決方案的熱情在他17年的行業經驗中起著非常重要的作用，這從他最初攻讀計算機科學碩士學位時就開始了，他畢業之後所獲得的眾多成就也證明了這一點。讓Yusuf自豪的是他的知識共享能力，他已經指導了許多成功的考生，還在國際上設計和發表了許多網路安全解決方案。

Yusuf是幾個非營利組織的諮詢委員會成員，這些組織在Intemet網路中發揚傳統美德，通過學術和專業活動進行技術傳播。Yusuf在巴基斯坦網路安全（NSP）和IPv6巴基斯坦論壇擔任要職。

Yusuf還於2004年年初，通過Cisco出版社出版了一本名為《CCIE安全Lab實戰》（已由人民郵電出版社翻譯出版）的著作。他一直是Cisco出版社出版業務的技術評審，為之撰寫文章、白皮書，並介紹各種安全技術。他還經常在一些會議和研討會上進行著名的演講。

在交換機上使用訪問列表過濾流量。實施安全功能；配置CiscolOS路由器防火牆功能．部署ASA和PIX防火牆設備；理解攻擊向量並套用2層和3層緩解技術；AAA安全訪問管理；利用多因素驗證技術的安全訪問控制：實施基於身份的網路訪問控制：套用最新的無線區域網路安全解決方案；遵循CiscoNAC來執行安全策略；學習密碼學基礎並實施lPSecVPN、DMVPN、GETVPN、SSL．VPN和MPt-SVPN技術：使用網路和主機入侵防禦、異常檢測和安全監控及相關技術，監控網路活動和安全事件回響；部署Cisco安全管理器、SDM、ADSM、PDM和IDM等安全管理解決方案：學習GLBA、HIPPA和SOx等法規遵從性問題。

《網路安全技術與解決方案》介紹了先進的網路安全產品和可行方案，能夠幫助讀者理解和實施最新的網路安全技術，以保障整個網路基礎設施的通信安全。

《網路安全技術與解決方案》是一個網路安全知識庫。涵蓋了CIsco網路安全的各個方面，通過簡單易懂的方式幫助讀者實施端到端安全解決方案。

書中將CIsco安全技術和解決方案歸納為邊界安全、身份安全與訪問管理、數據保密、安全監控和安全管理5個部分。這5個部分共同作用使得客戶安全策略、用戶或主機身份和網路基礎設施之間的動態連結成為可能。

憑藉這本權威的參考書。讀者能夠更加深刻地理解可行的解決方案，並能學習到如何在現代異構網路體系中構建多業務安全網路。對於那些尋求有關成熟或新興安全策略的綜合參考書的讀者來說，《網路安全技術與解決方案》無疑是絕佳的首選。《網路安全技術與解決方案》也是CClE安全考試極佳的學習指南。

第1部分　邊界安全

第1章　網路安全概述

1.1　網路安全的基本問題

1.2　安全範例的變化

1.3　安全準則——CIA模型

1.3.1　機密性

1.3.2　完整性

1.3.3　可用性

1.4　策略、標準、規程、基線、準則

1.4.1　安全策略

1.4.2　標準

1.4.3　規程

1.4.4　基線

1.4.5　準則

1.5　安全模型

1.6　邊界安全

1.6.1　是否存在邊界安全

1.6.2　定義邊界的難點

1.6.3　可靠的邊界安全解決方案

1.7　各層的安全

1.7.1　多層邊界解決方案

1.7.2　多米諾效應

1.8　安全輪

1.9　小結

第2章　訪問控制

2.1　利用ACL的流量過濾

2.1.1　ACL概述

2.1.2　ACL套用

2.1.3　何時配置ACL

2.2　IP位址概述

2.2.1　IP位址分類

2.2.2　理解IP位址分類

2.2.3　專用IP位址(RFC1918)

2.3　子網掩碼與反掩碼概述

2.3.1　子網掩碼

2.3.2　反掩碼

2.4　ACL配置

2.4.1　創建ACL

2.4.2　為ACL分配唯一名稱或數值

2.4.3　將ACL套用於接口

2.4.4　ACL的方向

2.5　理解ACL的處理

2.5.1　入站ACL

2.5.2　出站ACL

2.5.3　多種分組類型的分組流規則

2.5.4　實施ACL準則

2.6　訪問列表類型

2.6.1　標準ACL

2.6.2　擴展ACL

2.6.3　IP命名ACL

2.6.4　鎖與密鑰(動態ACL)

2.6.5　自反ACL

2.6.6　既定ACL

2.6.7　使用時間範圍的定時ACL

2.6.8　分散式定時ACL

2.6.9　配置分散式定時ACL

2.6.10　TurboACL

2.6.11　接收ACL(rACL)

2.6.12　基礎設施保護ACL(iACL)

2.6.13　傳輸ACL

2.6.14　分類ACL

2.6.15　利用ACL調試流量

2.7　小結

2.8　參考

第3章　設備安全

3.1　設備安全策略

3.2　增強設備安全

3.2.1　物理安全

3.2.2　密碼

3.2.3　用戶賬號

3.2.4　優先權等級

3.2.5　基礎ACL

3.2.6　互動訪問模式

3.2.7　旗標訊息

3.2.8　CiscoIOS彈性配置

3.2.9　Cisco設備發現協定(CDP)

3.2.10　TCP/UDP小型伺服器

3.2.11　查找器

3.2.12　識別協定(auth)

3.2.13　DHCP和BOOTP服務

3.2.14　簡單檔案傳輸協定(TFTP)服務

3.2.15　檔案傳輸協定(FTP)服務

3.2.16　半自動設備配置

3.2.17　PAD

3.2.18　IP源路由選擇

3.2.19　代理ARP(ProxyARP)

3.2.20　無償ARP

3.2.21　IP直播

3.2.22　IP掩碼應答

3.2.23　IP重定向

3.2.24　ICMP不可達

3.2.25　HTTP

3.2.26　網路時間協定(NTP)

3.2.27　簡單網路管理協定(SNMP)

3.2.28　Auto-Secure特性

3.3　安全設備的安全管理訪問

3.3.1　設備訪問安全——PIX500和ASA5500安全設備

3.3.2　IPS4200系列感測器(前身為IDS4200)

3.4　設備安全清單

3.5　小結

3.6　參考

第4章　交換機的安全特性

4.1　保護第2層

4.2　連線埠級流量控制

4.2.1　風暴控制

4.2.2　受保護的連線埠(PVLAN邊緣)

4.3　專用VLAN(PVLAN)

4.3.1　配置PVLAN

4.3.2　連線埠阻塞

4.3.3　連線埠安全

4.4　交換機的訪問列表

4.4.1　路由器ACL

4.4.2　連線埠ACL

4.4.3　VLANACL(VACL)

4.4.4　MACACL

4.5　生成樹協定的特性

4.5.1　BPDU保護

4.5.2　根保護

4.5.3　乙太網信道保護

4.5.4　環路保護

4.6　監測DHCP

4.7　IP源保護

4.8　動態ARP檢測(DAI)

4.8.1　DHCP環境下的DAI

4.8.2　非DHCP環境下的DAI

4.8.3　限制ARP包的進入速率

4.8.4　ARP確認檢查

4.9　Catalyst高端交換機的高級集成安全特性

4.10　控制層管制(CoPP)特性

4.11　CPU速率限制器

4.12　第2層安全的最佳實踐

4.13　小結

4.14　參考

第5章　CiscoIOS防火牆

5.1　基於路由器的防火牆解決方案

5.2　CBAC的功能

5.2.1　流量過濾

5.2.2　流量檢測

5.2.3　報警和審計跟蹤

5.3　CBAC工作原理

5.3.1　分組檢測

5.3.2　逾時值和閾值

5.3.3　會話狀態

5.3.4　UDP連線

5.3.5　動態ACL條目

5.3.6　未完成(半開)會話

5.3.7　Per-hostDoS預防

5.4　支持CBAC的協定

5.5　配置CBAC

5.5.1　步驟1——選擇一個接口：內部或外部

5.5.2　步驟2——配置IP訪問列表

5.5.3　步驟3——定義檢測規則

5.5.4　步驟4——配置全局逾時值和閾值

5.5.5　步驟5——將訪問列表和監測規則套用到接口

5.5.6　步驟6——驗證和監控CBAC

5.5.7　整理思路

5.6　IOS防火牆高級特性

5.6.1　HTTP檢測引擎

5.6.2　E-mail檢測引擎

5.6.3　防火牆ACL旁路

5.6.4　透明IOS防火牆(第2層)

5.6.5　虛擬碎片重組(VFR)

5.6.6　VRF-awareIOS防火牆

5.6.7　路由器產生的流量檢測

5.7　區域式策略防火牆(ZFW)

5.7.1　區域式策略概述

5.7.2　安全區域

5.7.3　配置區域式策略防火牆

5.7.4　利用Cisco策略語言(CPL)配置ZFW

5.7.5　套用檢測和控制(AIC)

5.8　小結

5.9　參考

第6章　Cisco防火牆：設備和模組

6.1　防火牆概述

6.2　硬體與軟體防火牆

6.3　CiscoPIX500系列安全設備

6.4　CiscoASA5500系列自適應安全設備

6.5　Cisco防火牆服務模組(FWSM)

6.6　PIX500和ASA5500防火牆設備軟體

6.7　防火牆設備作業系統軟體

6.8　防火牆模式

6.8.1　路由防火牆模式

6.8.2　透明防火牆模式(隱藏的防火牆)

6.9　全狀態監測

6.10　套用層協定檢測

6.11　自適應安全算法原理

6.12　安全環境

6.12.1　多環境——路由模式(資源共享)

6.12.2　多環境——透明模式

6.12.3　配置安全環境

6.13　安全級別

6.14　冗餘接口

6.15　IP路由選擇

6.15.1　靜態和默認路由

6.15.2　開放式最短路徑優先(OSPF)

6.15.3　路由選擇信息協定(RIP)

6.15.4　增強型內部網關路由選擇協定(EIGRP)

6.16　網路地址轉換(NAT)

6.16.1　NAT控制

6.16.2　NAT的類型

6.16.3　NAT控制激活時繞過NAT

6.16.4　策略NAT

6.16.5　NAT處理的順序

6.17　控制流量和網路訪問

6.17.1　ACL概述和在安全設備中的套用

6.17.2　通過使用訪問列表的安全設備控制入站和出站的流量

6.17.3　利用對象組簡化訪問列表

6.18　模組式策略架構(MPF)

6.19　Cisco任意連線VPN客戶端

6.20　冗餘和負載均衡

6.20.1　故障恢復要求

6.20.2　故障恢復鏈路

6.20.3　狀態鏈路

6.20.4　故障恢復的部署

6.20.5　非對稱路由選擇支持(ASR)

6.21　防火牆服務模組(FWSM)的“模組化”軟體

6.22　防火牆模組的作業系統軟體

6.23　通過防火牆模組的網路流量

6.24　部署路由器/MSFC

6.24.1　單環境模式

6.24.2　多環境模式

6.25　配置FWSM

6.26　小結

6.27　參考

第7章　攻擊向量和緩解技術

7.1　漏洞、威脅和漏洞利用

7.1.1　攻擊類型

7.1.2　攻擊向量

7.1.3　攻擊者類型

7.1.4　風險評估

7.2　第3層緩解技術

7.2.1　流量表征

7.2.2　IP源追蹤器

7.2.3　IP欺騙攻擊

7.2.4　分組分類和標記技術

7.2.5　允許訪問速率(CAR)

7.2.6　模組式QoSCLI(MQC)

7.2.7　流量管制

7.2.8　基於網路的應用程式識別(NBAR)

7.2.9　TCP攔截

7.2.10　基於策略的路由選擇(PBR)

7.2.11　單播反向路徑轉發(uRPF)

7.2.12　NetFlow

7.3　第2層防範技術

7.3.1　CAM表溢出-MAC攻擊

7.3.2　MAC欺騙攻擊

7.3.3　ARP欺騙攻擊

7.3.4　VTP攻擊

7.3.5　VLAN跳躍攻擊

7.3.6　PVLAN攻擊

7.3.7　生成樹攻擊

7.3.8　DHCP欺騙和耗盡攻擊

7.3.9　802.1x攻擊

7.4　安全事件應急回響框架

7.4.1　什麼是安全事件

7.4.2　安全事件應急回響處理

7.4.3　安全事件的應急回響方法

7.5　小結

7.6　參考

第2部分　身份安全和訪問管理

第8章　安全訪問管理

8.1　AAA安全服務

8.1.1　AAA範例

8.1.2　AAA的相關性

8.2　驗證協定

8.2.1　RADIUS

8.2.2　TACACS+

8.2.3　RADIUS和TACACS+的比較

8.3　實現AAA

8.3.1　AAA方法

8.3.2　AAA功能的服務類型

8.4　配置實例

8.4.1　利用RADIUS進行PPP驗證、授權和統計

8.4.2　利用TACACS+進行登錄驗證、命令授權和統計

8.4.3　帶密碼重試鎖定的登錄驗證

8.5　小結

8.6　參考

第9章　Cisco安全ACS軟體和設備

9.1　Windows環境下的Cisco安全ACS軟體

9.1.1　AAA伺服器：Cisco安全ACS

9.1.2　遵循的協定

9.2　ACS高級功能和特性

9.2.1　共享型配置檔案組件(SPC)

9.2.2　可下載的IPACL

9.2.3　網路訪問過濾器

9.2.4　RADIUS授權組件

9.2.5　Shell命令授權集

9.2.6　網路訪問限制

9.2.7　設備訪問限制

9.2.8　網路訪問配置檔案

9.2.9　CiscoNAC支持

9.3　配置ACS

9.4　Cisco安全ACS設備

9.5　小結

9.6　參考

第10章　多因素驗證

10.1　識別和驗證

10.2　雙因素驗證系統

10.2.1　OTP

10.2.2　S/KEY

10.2.3　利用OTP解決方案對抗重放攻擊

10.2.4　雙因素驗證系統的屬性

10.3　支持雙因素驗證系統的CiscoSecureACS

10.3.1　CiscoSecureACS工作原理

10.3.2　為啟用了RADIUS的令牌伺服器配置CiscoSecureACS

10.3.3　為RSASecurID令牌伺服器配置CiscoSecureACS

10.4　小結

10.5　參考

第11章　第2層訪問控制

11.1　信任與身份管理解決方案

11.2　基於身份的網路服務(IBNS)

11.2.1　Cisco安全ACS

11.2.2　外部資料庫支持

11.3　IEEE802.1x

11.3.1　IEEE802.1x組件

11.3.2　連線埠狀態：授權與非授權

11.3.3　EAP方法

11.4　部署802.1x的解決方案

11.4.1　有線區域網路(點對點)

11.4.2　無線區域網路(多點)

11.5　實現基於802.1x連線埠的驗證

11.5.1　在運行CiscoIOS軟體的CiscoCatelyst交換機上配置802.1x和RADIUS

11.5.2　為在交換機上終止的不遵從訪問點啟用多用戶

11.5.3　RADIUS授權

11.5.4　在CsicoArionet無線區域網路訪問節點上運行CiscoIOS軟體配置802.1x和RADIUS

11.5.5　WindowsXP客戶端上的申請者IEEE802.1x設定

11.6　小結

11.7　參考

第12章　無線區域網路(WLAN)的安全

12.1　無線區域網路(WLAN)

12.1.1　無線電波

12.1.2　IEEE協定標準

12.1.3　通信方法——無線電頻率(RF)

12.1.4　WLAN組件

12.2　WLAN安全

12.2.1　伺服器設定識別(SSID)

12.2.2　MAC驗證

12.2.3　客戶端驗證(開放和共享的密鑰)

12.2.4　靜態有線對等加密(WEP)

12.2.5　WPA、WPA2和802.11i(改進的WEP)

12.2.6　IEEE802.1x和EAP

12.2.7　WLANNAC

12.2.8　WLANIPS

12.2.9　VPNIPSec

12.3　緩解WLAN攻擊

12.4　Cisco統一無線網路解決方案

12.5　小結

12.6　參考

第13章　網路準入控制(NAC)

13.1　創建自防禦網路(SDN)

13.2　網路準入控制(NAC)

13.2.1　為什麼需要NAC

13.2.2　CiscoNAC

13.2.3　NAC套用與NAC框架比較

13.3　CiscoNAC設備解決方案

13.3.1　CiscoNAC設備機制

13.3.2　NAC設備組件

13.3.3　NAC套用部署方案

13.4　CiscoNAC框架解決方案

13.4.1　CiscoNAC框架解決方案機制

13.4.2　CiscoNAC框架組件

13.4.3　CiscoNAC框架部署方案

13.4.4　CiscoNAC框架實施方法

13.5　小結

13.6　參考

第3部分　數據保密

第14章　密碼學

14.1　安全通信

14.1.1　密碼系統

14.1.2　密碼學概述

14.1.3　密碼術語

14.1.4　密碼算法

14.2　虛擬專用網(VPN)

14.3　小結

14.4　參考

第15章　IPSecVPN

15.1　虛擬專用網(VPN)

15.1.1　VPN技術的類型

15.1.2　VPN部署的類型

15.2　IPSecVPN(安全VPN)

15.2.1　IPSec請求評論(RFC)

15.2.2　IPSec模式

15.2.3　IPSec協定頭

15.2.4　IPSec反重放服務

15.2.5　ISAKMP和IKE

15.2.6　ISAKMP檔案

15.2.7　IPSec檔案

15.2.8　IPSec虛擬隧道接口(IPSecVTI)

15.3　公鑰基礎結構(PKI)

15.3.1　PKI組成

15.3.2　證書註冊

15.4　實現IPSecVPN

15.4.1　CiscoIPSecVPN實現

15.4.2　站點到站點IPSecVPN

15.4.3　遠程訪問IPSecVPN

15.5　小結

15.6　參考

第16章　動態多點VPN

16.1　DMVPN解決方案的結構

16.1.1　DMVPN網路設計

16.1.2　DMVPN解決方案的組成

16.1.3　DMVPN工作原理

16.1.4　DMVPN數據結構

16.2　DMVPN部署的拓撲結構

16.3　實現DMVPN中心到節點結構

16.3.1　實現單中心單DMVPN(SHSD)的拓撲結構

16.3.2　實現雙中心雙DMVPN(DHDD)的拓撲結構

16.3.3　實現SLB的拓撲結構

16.4　實現動態格線的節點到節點的DMVPN結構

16.4.1　實現雙中心單DMVPN的拓撲結構

16.4.2　實現多中心單DMVPN的拓撲結構

16.4.3　實施分層(基於樹型)的拓撲結構

16.5　小結

16.6　參考

第17章　群組加密傳輸VPN

17.1　GETVPN解決方案體系結構

17.1.1　GETVPN特性

17.1.2　為什麼需要GETVPN

17.1.3　GETVPN和DMVPN

17.1.4　何時部署GETVPN

17.1.5　GETVPN解決方案組成

17.1.6　GETVPN工作原理

17.1.7　IP報頭保護

17.1.8　群組成員的ACL

17.2　實現CiscoIOSGETVPN

17.3　小結

17.4　參考

第18章　安全套接字層VPN(SSLVPN)

18.1　安全套接字層協定

18.2　SSLVPN解決方案的體系結構

18.2.1　SSLVPN概述

18.2.2　SSLVPN特性

18.2.3　SSLVPN部署考慮事項

18.2.4　SSLVPN訪問方法

18.2.5　SSLVPNCitrix支持

18.3　實現CiscoIOSSSLVPN

18.4　CiscoAnyConnectVPN客戶端

18.5　小結

18.6　參考

第19章　多協定標籤交換VPN(MPLSVPN)

19.1　多協定標籤交換

19.1.1　MPLS體系結構概述

19.1.2　MPLS工作原理

19.1.3　MPLSVPN和IPSecVPN

19.1.4　部署方案

19.1.5　面向連線和無連線的VPN技術

19.2　MPLSVPN(可信VPN)

19.3　第3層VPN(L3VPN)和第2層VPN(L2VPN)的比較

19.4　L3VPN

19.4.1　L3VPN的組成

19.4.2　L3VPN的工作原理

19.4.3　VRF表的工作原理

19.5　實現L3VPN

19.6　L2VPN

19.7　實現L2VPN

19.7.1　利用基於VPWS的體系結構在MPLS服務中實現乙太網VLAN

19.7.2　利用基於VPLS的體系結構在MPLS服務中實現乙太網VLAN

19.8　小結

19.9　參考

第4部分　安全監控

第20章　網路入侵防禦

20.1　入侵系統專業術語

20.2　網路入侵保護概述

20.3　CiscoIPS4200系列感測器

20.4　CiscoIDS服務模組(IDSM-2)

20.5　Cisco增強型檢測和防禦安全服務系統模組(AIP-SSM)

20.6　CiscoIPS增強型集成模組(IPS-AIM)

20.7　CiscoIOSIPS

20.8　部署IPS

20.9　CiscoIPS感測器操作軟體

20.10　CiscoIPS感測器軟體

20.10.1　感測器軟體——系統構架

20.10.2　感測器軟體——通信協定

20.10.3　感測器軟體——用戶角色

20.10.4　感測器軟體——分區

20.10.5　感測器軟體——特徵庫和特徵引擎

20.10.6　感測器軟體——IPS事件

20.10.7　感測器軟體——IPS事件動作

20.10.8　感測器軟體——風險等級(RR)

20.10.9　感測器軟體——IPS威脅等級

20.10.10　感測器軟體——IPS接口

20.10.11　感測器軟體——IPS接口模式

20.10.12　感測器軟體——IPS阻塞(迴避)

20.10.13　感測器軟體——IPS速率限制

20.10.14　感測器軟體——IPS虛擬化

20.10.15　感測器軟體——IPS安全策略

20.10.16　感測器軟體——IPS異常檢測(AD)

20.11　IPS高可靠性

20.11.1　IPS應急開放機制

20.11.2　故障轉移機制

20.11.3　應急開放和故障轉移的部署

20.11.4　負載均衡技術

20.12　IPS設備部署準則

20.13　Cisco入侵保護系統設備管理器(IDM)

20.14　配置IPS內部VLAN對模式

20.15　配置IPS內部接口對模式

20.16　配置定製特徵和IPS阻塞

20.17　小結

20.18　參考

第21章　主機入侵保護

21.1　利用非特徵機制保護終端節點

21.2　Cisco安全代理(CSA)

21.3　CSA體系結構

21.3.1　CSA攔截和相關性

21.3.2　CSA擴展全局相關性

21.3.3　CSA訪問控制過程

21.3.4　CSA深度防禦——零天保護

21.4　CSA功能和安全形色

21.5　CSA部件

21.6　利用CSAMC配置並管理CSA部署

21.6.1　管理CSA主機

21.6.2　管理CSA代理工具箱

21.6.3　管理CSA群組

21.6.4　CSA代理用戶界面

21.6.5　CSA策略、規則模組和規則

21.7　小結

21.8　參考

第22章　異常檢測和緩解

22.1　攻擊範圍

22.1.1　拒絕服務攻擊(DoS)定義

22.1.2　分散式拒絕服務(DDoS)攻擊——如何定義

22.2　異常檢測和緩解系統

22.3　CiscoDDoS異常檢測和緩解解決方案

22.4　Cisco流量異常檢測器

22.5　CiscoGuardDDoS緩解

22.6　整體運行

22.7　配置和管理Cisco流量異常檢測器

22.7.1　管理檢測器

22.7.2　通過CLI控制台訪問初始化檢測器

22.7.3　配置檢測器(區域、過濾器、策略和學習過程)

22.8　配置和管理CiscoGuard緩解

22.8.1　管理Guard

22.8.2　利用CLI控制台訪問並初始化Guard

22.8.3　配置Guard(區域、過濾器、策略和學習過程)

22.9　小結

22.10　參考

第23章　安全監控和相關性

23.1　安全信息和事件管理

23.2　Cisco安全監控、分析和回響系統(CS-MARS)

23.2.1　安全威脅防禦(STM)系統

23.2.2　拓撲結構感知和網路映射

23.2.3　關鍵概念——事件、會話、規則和事故

23.2.4　CS-MARS事件處理

23.2.5　CS-MARS中的誤報

23.3　部署CS-MARS

23.3.1　獨立和本地控制器(LC)

23.3.2　全局控制器(GC)

23.3.3　軟體版本化信息

23.3.4　報告和防禦設備

23.3.5　運行級別

23.3.6　流量和已開啟視窗

23.3.7　基於Web的管理界面

23.3.8　初始化CS-MARS

23.4　小結

23.5　參考

第5部分　安全管理

第24章　安全和策略管理

24.1　Cisco安全管理解決方案

24.2　Cisco安全管理器

24.2.1　Cisco安全管理器——特徵和性能

24.2.2　Cisco安全管理器——防火牆管理

24.2.3　Cisco安全管理器——VPN管理

24.2.4　Cisco安全管理器——IPS管理

24.2.5　Cisco安全管理器——平台管理

24.2.6　Cisco安全管理器——體系結構

24.2.7　Cisco安全管理器——配置視圖

24.2.8　Cisco安全管理器——設備管理

24.2.9　Cisco安全管理器——工作流模式

24.2.10　Cisco安全管理器——基於角色的訪問控制

24.2.11　Cisco安全管理器——交叉-啟動xDM

24.2.12　Cisco安全管理器——支持的設備和OS版本

24.2.13　Cisco安全管理器——伺服器和客戶端要求及限制

24.2.14　Cisco安全管理器——流量和已打開連線埠

24.3　Cisco路由器和安全設備管理器(SDM)

24.3.1　CiscoSDM——特徵與性能

24.3.2　CiscoSDM工作原理

24.3.3　CiscoSDM——路由器安全審計功能

24.3.4　CiscoSDM——一步鎖定功能

24.3.5　CiscoSDM——監控模式

24.3.6　CiscoSDM——所支持路由和IOS版本

24.3.7　CiscoSDM——系統要求

24.4　Cisco自適應安全設備管理器(ASDM)

24.4.1　CiscoASDM——特徵和性能

24.4.2　CiscoASDM——工作原理

24.4.3　CiscoASDM——分組追蹤器程式

24.4.4　CiscoASDM——相關訪問規則系統日誌

24.4.5　CiscoASDM——支持的防火牆和軟體版本

24.4.6　CiscoASDM——用戶要求

24.5　CiscoPIX設備管理器(PDM)

24.6　CiscoPIX設備管理器(IDM)

24.6.1　CiscoIDM——工作原理

24.6.2　CiscoIDM——系統要求

24.7　小結

24.8　參考

第25章　安全框架和規章制度

25.1　安全模型

25.2　策略、標準、準則和規程

25.2.1　安全策略

25.2.2　標準

25.2.3　準則

25.2.4　規程

25.3　最佳實踐框架

25.3.1　ISO/IEC17799(ISO/IEC27002)

25.3.2　COBIT

25.3.3　17799/27002和COBIT比較

25.4　遵從性和風險管理

25.5　法規遵從和立法行為

25.6　GLBA——格雷姆-里奇-比利雷法

25.6.1　誰受到影響

25.6.2　GLBA要求

25.6.3　違反處罰

25.6.4　滿足GLBA的Cisco解決方案

25.6.5　GLBA總結

25.7　HIPPA——健康保險攜帶和責任法案

25.7.1　誰受到影響

25.7.2　HIPPA要求

25.7.3　違反處罰

25.7.4　滿足HIPPA的Cisco解決方案

25.7.5　HIPPA總結

25.8　SOX——薩班斯-奧克斯萊法案

25.8.1　誰受到影響

25.8.2　SOX法案要求

25.8.3　違反處罰

25.8.4　滿足SOX法案的Cisco解決方案

25.8.5　SOX總結

25.9　展望全球法規遵從法案和立法

25.9.1　在美國

25.9.2　在歐洲

25.9.3　在亞太地區

25.10　Cisco自防禦網路解決方案

25.11　小結

25.12　參考

……

要進行網路安全審計建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、準確得解決網路安全問題。經過多年的深入研究和技術積累，安天實驗室推出了多維度智慧型主機安全檢查系統，它是針對區域網路計算機進行全面的安全保密檢查及精準的安全等級判定的軟體系統，並有著強有力的區域網路安全檢測分析能力和修復能力。主機安全檢查系統具有操作簡單、檢查全面、快速分級、檢查日誌、例外排除等諸多特點，解決了掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結論模糊等一系列業內技術難題，是堪當重任的風險評估、等保評估與系統全網安全隱患檢查工具。