CCSP Cisco安全PIX防火墙认证考试指南 (2008 年度畅销榜NO.14127 )

本书是为那些对安全认证感兴趣的安全专业人员和网络专业人员设计的，目的是帮助他们通过9E0-111或者642-521 Cisco PIX防火墙高级(CSPFA)认证考试。全书共分15章，分别介绍了网络安全、防火墙技术和Cisco PIX防火墙、系统维护、理解Cisco PIX防火墙转换和连接、开始使用Cisco PIX防火墙、配置访问、系统日志、Cisco PIX防火墙故障切换、虚拟专用网、PIX设备管理员、用Cisco PIX防火墙进行内容过滤、AAA和Cisco PIX防火墙概述、Cisco PIX防火墙上的AAA配置、攻击防护和多媒体支持等。
本书适合参加CCSP认证考试中关于PIX防火墙考试的应试者阅读。

第1章 网络安全 3
1.1 漏洞 4
1.2 威胁 4
1.3 攻击类型 4
1.3.1 侦察攻击 5
1.3.2 访问攻击 5
1.3.3 拒绝服务攻击 6
1.4 网络安全策略 6
1.5 AVVID和SAFE 8
1.5.1 什么是AVVID 8
1.5.2 什么是SAFE 9

第2章 防火墙技术和Cisco PIX防火墙 11
2.1 如何最好地使用本章 11
2.2 “我已经知道这些了吗？”测验 11
2.3 防火墙技术 12
2.3.1 分组过滤 12
2.3.2 代理 13
2.3.3 状态检测 13
2.4 Cisco PIX防火墙 14
2.4.1 安全实时嵌入式系统 14
2.4.2 自适应安全算法(ASA) 14
2.4.3 贯穿式代理 14
2.4.4 冗余 15

第3章 Cisco安全PIX 防火墙 17
3.1 如何最好地使用本章 17
3.2 “我已经知道这些了吗？”测试 17
3.3 Cisco PIX防火墙概述 18
3.3.1 自适应安全算法(ASA) 18
3.3.2 贯穿式代理 19
3.4 Cisco PIX防火墙型号和特性 20
3.4.1 入侵保护 20
3.4.2 AAA支持 21
3.4.3 X.509证书支持 21
3.4.4 网络地址转换/端口地址转换 21
3.4.5 防火墙管理 21
3.4.6 简单网络管理协议(SNMP) 22
3.4.7 系统日志支持 22
3.4.8 虚拟专用网(VPN) 22
3.4.9 Cisco安全PIX 501 22
3.4.10 Cisco安全PIX 506 23
3.4.11 Cisco安全PIX 515 24
3.4.12 Cisco安全PIX 520 26
3.4.13 Cisco安全PIX 525 27
3.4.14 Cisco安全PIX 535 29

第4章 系统维护 33
4.1 如何最好地使用本章 33
4.2 “我已经知道这些了吗？”测试 33
4.3 访问Cisco PIX防火墙 34
4.3.1 用Telnet访问Cisco PIX防火墙 34
4.3.2 使用安全shell(SSH)访问Cisco PIX防火墙 35
4.4 安装一个新的操作系统 36
4.5 升级Cisco PIX OS 38
4.5.1 使用copy tftp flash命令升级OS 39
4.5.2 使用监控模式升级OS 39
4.5.3 使用一个HTTP客户端升级OS 41
4.6 使用Windows PC创建一个引导帮助盘 41
4.7 自动更新支持 42
4.8 密码恢复 42
4.8.1 Cisco PIX密码恢复：开始 43
4.8.2 有一个软盘驱动器的PIX(PIX520)密码恢复过程 43
4.8.3 无盘PIX(PIX521、506、515、525和535)密码恢复过程 44

第5章 理解Cisco PIX防火墙的转换和连接 49
5.1 如何最好地使用本章 49
5.2 “我已经知道这些了吗？”测试 49
5.3 PIX防火墙如何处理流量 50
5.3.1 接口安全等级和默认的安全策略 50
5.3.2 传输协议 50
5.4 地址转换 53
5.4.1 转换命令 54
5.4.2 网络地址转换 55
5.4.3 端口地址转换 56
5.4.4 静态转换 57
5.4.5 使用static命令实现端口重定向 58
5.4.6 在Cisco PIX防火墙上配置多个转换类型 58
5.4.7 双向网络地址转换 59
5.5 转换与连接 59
5.6 配置DNS支持 61

第6章 开始使用Cisco PIX 防火墙 67
6.1 “我已经知道这些了吗？”测试 67
6.2 访问模式 68
6.3 配置PIX防火墙 68
6.3.1 interface命令 69
6.3.2 nameif命令 70
6.3.3 ip address命令 70
6.3.4 nat命令 71
6.3.5 global命令 71
6.3.6 route命令 72
6.3.7 RIP 73
6.3.8 测试配置 73
6.3.9 保存配置 74
6.4 在Cisco PIX防火墙上配置DHCP 74
6.4.1 使用PIX防火墙DHCP服务器 74
6.4.2 配置PIX防火墙DHCP客户端 75
6.5 在Cisco PIX防火墙上配置时间设置 76
6.5.1 网络时间协议(NTP) 76
6.5.2 PIX防火墙系统时钟 77
6.6 PIX配置示例 78

第7章 访问配置 83
7.1 “我已经知道这些了吗？”测试 83
7.2 配置经由PIX的入站访问 84
7.2.1 静态网络地址转换 84
7.2.2 静态端口地址转换 85
7.3 TCP拦截功能 86
7.3.1 nat 0命令 86
7.3.2 访问列表 87
7.4 TurboACL 89
7.4.1 配置单个TurboACL 89
7.4.2 全局配置TurboACL 90
7.5 对象分组 90
7.5.1 network对象类型 90
7.5.2 protocol对象类型 91
7.5.3 service对象类型 91
7.5.4 icmp-type对象类型 92
7.5.5 嵌套对象分组 92
7.6 fixup命令的使用 92
7.7 高级的协议处理 93
7.7.1 文件传送协议(FTP) 94
7.7.2 多媒体支持 94

第8章 系统日志(syslog) 99
8.1 “我已经知道这些了吗？”测试 99
8.2 syslog如何工作 100
8.2.1 日志部件 101
8.2.2 日志级别 101
8.3 配置Cisco PIX防火墙中的syslog 102
8.3.1 配置PIX设备管理器来观察日志 102
8.3.2 在控制台配置syslog消息 103
8.3.3 查看一个Telnet控制台会话的消息 103
8.3.4 配置Cisco PIX防火墙以发送syslog消息到log服务器 104
8.3.5 配置一个syslogd服务器 104
8.3.6 PIX防火墙系统日志服务器(PFSS) 105
8.4 配置SNMP陷阱和SNMP请求 105
8.5 如何组织log消息 106
8.6 如何阅读系统日志消息 106
8.7 禁止syslog消息 106

第9章 PIX防火墙故障切换 111
9.1 “我已经知道这些了吗？”测试 112
9.2 什么引起故障切换事件 112
9.3 什么是故障切换配置所必需的 113
9.4 故障切换监控 113
9.5 配置复制 114
9.6 有状态的故障切换 114
9.7 基于LAN(LAN-Based)的故障切换 115
9.8 配置故障切换 116

第10章 虚拟专用网络 123
10.1 如何最好地使用本章 123
10.2 “我已经知道这些了吗？”测试 124
10.3 VPN技术概述 124
10.4 网络协议安全(IPSec) 125
10.5 Internet密钥交换(IKE) 127
10.6 证书颁发机构(CAs) 129
10.7 将防火墙配置为VPN网关 129
10.7.1 选择配置 130
10.7.2 配置IKE 130
10.7.3 配置IPSec 133
10.7.4 VPN连接疑难解析 139
10.8 Cisco VPN客户端 143
10.8.1 VPN组 143
10.8.2 点对点隧道协议(PPTP)和第2层隧道协议(L2TP) 144
10.9 为可扩展的VPN配置PIX防火墙 145
10.10 PPPoE支持 146
10.11 VPN配置 147
10.11.1 洛杉矶配置 153
10.11.2 波士顿配置 154
10.11.3 亚特兰大配置 154
10.12 配置行如何互相作用 160

第11章 PIX设备管理器 163
11.1 “我已经知道这些了吗？”测试 163
11.2 PDM概述 164
11.3 运行PDM的PIX防火墙的要求 165
11.3.1 PDM运行的要求 166
11.3.2 对浏览器的要求 166
11.3.3 对Windows的要求 166
11.3.4 对SUN Solaris的要求 166
11.3.5 对Linux的要求 167
11.4 PDM的安装和配置 167
11.5 使用PDM对VPN进行配置 177
11.5.1 使用PDM来创建一个站点到站点的VPN 177
11.5.2 使用PDM来创建远程访问VPN 181

第12章 Cisco PIX防火墙的内容过滤功能 193
12.1 “我已经知道这些了吗？”测试 193
12.2 过滤Java applet 194
12.3 过滤ActiveX对象 195
12.4 过滤URL 195

第13章 AAA及Cisco PIX防火墙概述 203
13.1 如何最好地使用本章 203
13.2 “我已经知道这些了吗？”测试 204
13.3 AAA与Cisco PIX防火墙概述 204
13.4 Cisco安全访问控制服务器(CSACS) 207
13.4.1 CSACS对硬件及操作系统的最低要求 207
13.4.2 在Windows 2000/NT服务器下安装CSACS 207

第14章 在PIX防火墙上配置AAA 215
14.1 如何最好地使用本章 215
14.2 “我已经知道这些了吗？”测试 216
14.3 指定AAA服务器 217
14.4 配置Cisco PIX防火墙上的AAA 217
14.4.1 步骤1：标识AAA服务器及NAS 217
14.4.2 步骤2：配置认证 219
14.4.3 步骤3：配置授权 225
14.4.4 步骤4：配置统计 231
14.5 Cisco安全及贯穿(Cut-through)配置 234
14.6 配置可下载PIX ACL 234
14.7 AAA设置疑难解析 236
14.7.1 检查PIX防火墙 236
14.7.2 检查CSACS 239

第15章 攻击保护及多媒体支持 243
15.1 “我已经知道这些了吗？”测试 243
15.2 Cisco PIX防火墙上的多媒体支持 244
15.2.1 实时流协议(RTSP) 245
15.2.2 H.323 245
15.3 攻击保护 246
15.3.1 分段保护及虚拟重组 247
15.3.2 域名系统(DNS)保护 247
15.3.3 邮件保护 248
15.3.4 泛洪防护 249
15.3.5 AAA FloodGuard 249
15.4 PIX防火墙的入侵检测特性 249
15.4.1 入侵检测配置 250
15.4.2 动态屏蔽(shuning) 251
15.4.3 ip verify reverse-path命令 252

附录A “我已经知道这些了吗？”测试和Q&A问题答案 257
附录B 案例研究与实例配置 291

术语表 319

本书的主要目的是在你为获得CCSP或者PIX认证而努力时，帮助你通过9E0-111或者642-521CiscoPIX防火墙高级(CSPFA)认证考试。 谁应该读这本书 网络安全是一个非常复杂的问题。Cisco PIX防火墙作为安全程序的一部分执行了一些非常特殊的功能。在你着手CSPFA认证之前，熟悉许多网络和网络安全的概念是非常重要的。本书是为那些开始对安全认证过程感兴趣的安全专业人员和网络专业人员设计的。 如何使用本书 本书由15章组成，每一章都以前一章为基础。涉及特殊命令和配置的章节都包括案例研究(case study)或者配置实践。附录B包括一个组合了许多不同知识点的附加的“高级”案例研究。它能够让你决定配置是否能够满足要求以及为什么能够满足要求。 这些章节所涉及的知识点如下。 第1章，“网络安全”——本章提供了网络安全的一个概述——网络安全过程和潜在的威胁。也讨论了在公司关系变得越来越密切，且他们的网络边界变得越来越模糊时，网络安全如何对商务变得日益重要。本章还讨论了网络安全策略和两个Cisco程序，它们能够帮助公司设计和实现可靠的安全策略、过程和体系结构。 第2章， “防火墙技术和Cisco PIX防火墙”——本章涉及不同的防火墙技术和Cisco PIX防火墙。本章分析了PIX防火墙的设计并且讨论了这些设计的一些安全优势。 第3章，“Cisco PIX防火墙”——第3章更详细地讨论了Cisco PIX防火墙的设计。本章列出了不同的PIX型号和它们的应用目标，并讨论了每种型号可用的各种特性以及每种型号是如何实现的。 第4章，“系统维护”——第4章讨论了Cisco PIX防火墙OS的安装和配置。本章涉及允许PIX远程管理的不同配置选项。 第5章，“理解Cisco PIX防火墙转换和连接”——本章涉及不同的转换协议以及PIX防火墙是如何处理它们的。本章也讨论了网络地址和PIX如何能够更改节点或者网络地址以确保这些要素的安全。 第6章，“开始使用Cisco PIX防火墙”——从本章才开始真正接触到PIX的“骨肉”。本章涉及PIX操作的基本命令，讨论了连接PIX防火墙的方法以及PIX可用的众多配置选项中的一部分。 第7章，“配置访问”——本章涉及允许使用PIX防火墙的网络控制访问的不同配置。本章也涉及允许特定协议通过防火墙所需要的一些特殊配置。 第8章，“系统日志”——本章涉及PIX防火墙日志功能，以及允许PIX防火墙登录一个系统日志服务器所需要的配置。 第9章，“Cisco PIX防火墙故障切换”——本章讨论一个冗余防火墙配置的好处，以及在故障切换模式下配置两个PIX防火墙所需要的步骤。 第10章，“虚拟专用网”——许多的商业活动处于不同的位置，它们需要相互连接。第10章研究了能够配置在PIX防火墙和其他VPN端点间的虚拟专用网安全连接的不 同类型。它涉及用于穿过公共网络创建和维护VPN的技术和协议。 第11章，“PIX设备管理员”——能够使用多种工具管理Cisco PIX防火墙。第11章讨论了PIX设备管理员，它是一个能够用于管理PIX的基于Web的图形用户接口(GUI)。 第12章，“用Cisco PIX防火墙进行内容过滤”——将攻击代码置入到一个Web页的内容之中是黑客常用的手法。某些类型的程序代码因为它们的交互特性特别适合这种类型的攻击。本章讨论这些类型的代码并确定它们的危险性。本章也涉及过滤通过防火墙的潜在恶意流量的不同PIX配置。 第13章，“AAA和Cisco PIX防火墙概述”——确保只有授权的用户才能访问你的网络极其重要。本章讨论配置认证、授权和统计(AAA)服务的PIX防火墙的不同型号。本章也介绍Cisco安全访问控制服务器(CSACS)，它是Cisco的AAA服务器组件。 第14章，“Cisco PIX防火墙上的AAA配置”——本章讨论为与AAA服务器通信 而在PIX防火墙上的特殊配置，包括CSACS。涉及PIX防火墙上AAA的实现、功能 性和故障查找。 第15章，“攻击防护和多媒体支持”——能够对网络和它的周边设备发动许多不同类型的攻击。本章讨论了大部常见的攻击，以及怎样配置PIX防火墙来抵制这些攻击。 本书中每章都有相同的格式，并且融入了下面的特征，通过对你当前知识的评估和强调本章使你感兴趣的特殊领域来辅导你。 “我已经知道这些了吗?”测试——每章的开始都有一个测试，帮助你评估当前所掌握的本章的知识有多少。这个测试主要涉及所强调的特定领域，从而帮助你当开始本 章的学习时确定把重点放在什么地方。 基础知识点——这是每章的核心部分。它主要讲述为成功地准备考试而必须熟练掌握的特定协议、概念或者技巧。 基础知识小结——在每章的结尾，都要将本章的基础知识点总结成重点集锦。在大部分情况下，基础知识点总结在表格中。但在另一些情况下，每章中的重点部分只在问题范围内简单地重申一下以强调它们的重要性。记住本书中每章的基础知识部分是帮助你为考试做准备的。虽然基础知识点和基础知识小结是你在考试前最后时刻复习的好工具，但是只学习这些就能成功地完成考试是不太可能的。 Q&A——每章都以一系列测试你对本章材料理解程度的复习题结束。这些习题是确保你不但理解本章中的材料，而且是锻练你回忆事实的好方法。 案例研究／场景——这些章更多的是讨论在简单场景中配置Cisco PIX防火墙。这些场景能够帮助你理解不同的配置选项，以及在防火墙的配置中每个构件是如何影响其他构件的。本书将要结束时的两个案例研究允许你练习配置防火墙执行特定的功能。这里也有一部分可行或者不可行的配置，你要正确地确定它们是否可行，并且为什么可行或者不可行。因为认证考试要问关于Cisco PIX防火墙的特殊问题，因此非常熟悉不同的命令和PIX配置的构件非常重要。 CD上的测试题——在本书所附的CD上，你会发现有超过200个题目的测试题，这些问题覆盖了CSPFA考试的重点。使用我们的可定制的考试引擎，你就能设计一个测试用例，它或者是集中于特定的问题领域，或者是一些随机的问题。每个测试题目有一个指向本书电子PDF版的相关部分的链接，它也包含在CD上。