CCSP：思科IOS网络安全全息教程 (2008 年度畅销榜NO.21750 )

本书主要介绍CCSP认证考试涉及的全面内容，并提供了大量的实验题和复习题。\r\n\r\n 本书首先概括地介绍了网络安全和基本的网络威胁，然后依次介绍了AAA安全、配置CiscoSecureACS和TACACS+、Cisco边界路由器、基于上下文的访问控制配置、Cisco IOS防火墙认证和入侵检测、CiscoIOS IPSec支持、Cisco IPSec预共享密钥、Cisco Easy VPN和PIX防火墙。另外，因为本书是针对认证考试的，所以书中还提供了大量的模拟试题，通过这些试题，读者可以进一步加深与巩固所学的知识。\r\n\r\n 本书主要针对那些准备参加CCSP认证考试的人员。不过，任何对网络安全感兴趣的读者都可以从本书中获取大量有用的知识。\r\n
\r\n

前言 \r\n\r\n 网络安全概述 \r\n\r\n 网络安全威胁的分类 \r\n\r\n 安全弱点的分类 \r\n\r\n 网络攻击的分类 \r\n\r\n 公司安全策略 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第2章 AAA安全 \r\n\r\n 了解网络访问服务器和Cisco AAA \r\n\r\n 认证方法 \r\n\r\n 为AAA配置NAS \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第3章 配置CiscoSecureACS和TACACS+ \r\n\r\n CiscoSecure ACS介绍 \r\n\r\n 安装CiscoSecure ACS 3. 0 \r\n\r\n 管理CiscoSecureACS \r\n\r\n TACACS+概述 \r\n\r\n 配置TACACS+ \r\n\r\n 使用RADIUS \r\n\r\n 验证TACACS+ \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第4章 Cisco边界路由器问题及解决方案 \r\n\r\n 解决窃听和会话重放问题 \r\n\r\n 防止非授权访问. 数据操作和恶意破坏 \r\n\r\n 解决缺乏合法IP地址的问题 \r\n\r\n 对付重路由攻击 \r\n\r\n 对付拒绝服务攻击 \r\n\r\n 关闭和配置网络服务 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第5章 基于上下文的访问控制配置 \r\n\r\n 了解Cisco IOS防火墙 \r\n\r\n 认证代理和IDS \r\n\r\n 基于上下文的访问控制 \r\n\r\n CBAC配置简介 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第6章 CiscoIOS防火墙认证和入侵检测 \r\n\r\n Cisco IOS防火墙认证代理简介 \r\n\r\n 配置认证代理 \r\n\r\n 测试和验证配置 \r\n\r\n Cisco IOS防火墙IDS简介 \r\n\r\n 创建和应用审核规则 \r\n\r\n 验证配置 \r\n\r\n 停止IOS防火墙IDS \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第7章 了解Cisco IOS IPSec支持 \r\n\r\n 什么是虚拟专用网络 \r\n\r\n Cisco IOS IPSec简介 \r\n\r\n IPSec的组件 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 第8章 CiscoIOSIPSec预共享密钥和认证中心支持 \r\n\r\n 配置Cisco IOS IPSec, 用于预共享密钥站点对站点 \r\n\r\n 手动配置IPSec \r\n\r\n 配置Cisco IOS IPSec认证中心支持站点对站点 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 本章中使用的命令 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 动手实验的答案 \r\n\r\n 第9章 使用CiscoEasyVPN进行远程访问 \r\n\r\n 使用Cisco Easy VPN配置IOS远程访问 \r\n\r\n Cisco VPN 3. 5 Client简介 \r\n\r\n 小结 \r\n\r\n 考试要点 \r\n\r\n 关键术语 \r\n\r\n 书面实验 \r\n\r\n 复习题 \r\n\r\n 动手实验 \r\n\r\n 书面实验的答案 \r\n\r\n 复习题的答案 \r\n\r\n 附录 PIX防火墙介绍 \r\n\r\n Cisco PIX防火墙 \r\n\r\n 防火墙配置基础 \r\n\r\n 配置通过PIX防火墙的访问 \r\n\r\n 在PIX防火墙上配置多个接口和AAA \r\n\r\n 配置PIX防火墙的高级功能 \r\n\r\n 词汇表 \r\n
\r\n

Cisco认证是网络领域中最具权威性的认证体系, 它包括CCNA. CCNP. CCDA. CCDP. CCIE以及最新的CCSP. 本书正是专门针对CCSP认证的最新考试(642-501)而编写的, 其中包含CCSP考试的所有考试主题, 并提供了大量的练习和模拟试题. 本书由经验丰富的Cisco互联网安全专家编写, 因此还包括了他们的丰富实践经验.

本书介绍了以下方面的内容：第1章“网络安全概述”, 介绍了必须知道的网络安全和基本的网络威胁. 第2章“AAA安全”, 介绍了CiscoNAS(网络访问服务器)和AAA安全. 第3章“配置CiscoSecureACS和TACACS+”, 解释了如何安装. 配置和管理Windows 2000和WindowsNT服务器上的CiscoSecureACS. 第4章“Cisco边界路由器问题及解决方案”, 介绍了Cisco边界路由器以及网络边界路由器可能发生的问题. 第5章“基于上下文的访问控制配置”, 介绍了CiscoIOS防火墙及其主要组件一基于上下文的访问控制(CBAC). 第6章“Cisco IOS防火墙认证和入侵检测”, 讨论了IOS防火墙认证代理(IOS Firewall Authentication Proxy), 它允许创建访问控制策略并将其应用到个人而不是地址. 第7章“了解Cisco IOS IPSec支持”, 介绍了虚拟专用网络(VPN)的概念, 并解释了满足公司远程网络访问所需要的解决方案. 第8章“Cisco IOS IPSec预共享密钥和认证中心支持”, 解释了如何配置IPSec来利用预共享密钥(这是最简单的IPSec实现), 以及如何配置站点到站点的IPSec来支持认证中心. 第9章“使用Cisco Easy VPN进行远程访问”, 讨论了一种非常优秀的VPN技术——Cisco Easy VPN. Cisco Easy VPN是IOS中的新功能, 它允许有能力的IOS路由器作为VPN服务器. 附录A“PIX防火墙介绍”, 描述了CiscoPIX防火墙的功能和基本配置. 虽然这不是SECUR考试目标的内容, 但是这个附录能够帮助你了解和配置PIX防火墙. 词汇表汇集了Cisco术语, 它是很好的一个参考工具, 可用来了解本书中一些晦涩难懂的术语.

本书主要由王军翻译. 译者具有多年的计算机和网络工作经验, 而且从事了多年的计算机图书编写与翻译工作. 为了把国外优秀的图书介绍给国内的读者, 译者做出了自己最大的努力. 但是, 诸事都不可能完美, 书中难免包含不妥之处, 恳请读者谅解并提出宝贵的意见. 参与翻译工作的还有孙永强. 周涛. 王 , 王健. 何文. 陈雪松. 张吉祥. 吕杰. 刘体争. 陈旌. 方勇. 许萍. 张雯静等.

最后, 要特别感谢我的妻子一刘芳, 她在全书的翻译和统稿过程中一直鼓励我. 支持我, 没有她, 我就无法完成这项艰巨的任务.

欢迎进入Cisco安全认证的精彩世界!你选择了这本书, 是因为你想获得更多更好的技术. 更多的机遇. 更好的工作. 更多的工作保证. 更高的生活质量. 然而, 天上不会掉馅饼, 我的朋友——你非常聪明!我怎么会知道?因为你做出了聪明的决策——选择了本书, 如果你不聪明, 就不会这样做. 而且, 你是正确的——Cisco安全认证能够帮助你得到第一份网络工作, 并实现更多薪水. 更高声望和工作保证的梦想. 实际上, 只要你没有怪异的工作习惯, 选择Cisco认证, 就会获得飞快的提升. 而且, 如果进入到安全领域并获得安全认证, 那就

会获得更多!

Cisco安全认证能够给予你另一个重要的优势：突破这些条条框框, 并认识到获得这些证书所需要的知识完全可以提高你对安全连网技术的理解, 这不仅仅是与Cisco产品相关. 你将会完全掌握网络安全的知识, 以及多种拓扑如何组合在一起, 来形成安全的网络. 这一定不会给你带来什么伤害!了解了这些知识, 你就完全能够胜任每个网络工作一这也是Cisco安全认证所要求的, 即使是在只有少数Cisco设备的公司!

这些新的Cisco安全认证已经超出了普通认证的范围, 如CCNA／CCDA和CCNP／CCDP, 它提供了在理解当前安全网络时一个必不可少的因素——深入网络互连的Cisco安全领域.

事实上, 当你决定要获得Cisco安全认证时, 就决定了要成为最出色的——在路由选择和网络安全方面都是最出色的. 本书就可以帮你实现这个目标.

你可能会想： “为什么网络容易受到安全破坏?为什么操作系统不能够提供保护?”答案非常简单明了：用户想拥有更多功能, 而Microsoft会尽可能地提供给用户这些功能, 因为这些功能是需要支付费用的. 像共享文件和打印机这些功能, 和从Internet登录到公司基础设施, 这些并不是必要的——它们只是所期望的. 新的公司战斗口号是： “给予我们完整的Internet访问权限, 并使得它更快更容易, 但是必须确保它是安全的!”是的, 我们正在这样做.

我是否在说Microsoft是问题所在?不是一他们只是问题的一部分, 还有很多其他安全问题. 如果用户通过单击鼠标就能够执行网络上的几乎所有功能, 这当然会导致非常严重的安全问题. 而且, 如果Windows没有后门, 当前也就不会有黑客. 然而, 所有这些实际上只是开始. 要能够真正地保护自己, 必须了解很多技术和网络互连设备的弱点. 相信我, 这些技术和网络互连设备是非常多的.

因此, 这里的目标实际上包含两个方面：首先, 我们将提供理解所有这些弱点所需要的信息, 其次, 我们将介绍如何创建一个单一的. 网络范围的安全策略. 但是, 我们要先看看Internet上多数安全问题幕后的两个关键问题：

·如何保护机密信息并且仍然允许公司用户获得这个信息的访问权限?

·如何保护网络及其资源不被网络外面的未知用户访问?

如果想保护某些东西, 就必须知道它在哪里, 对吗?重要的／机密的信息保存在何处对于网络安全管理员来说是至关重要的. 有两个地方可保存信息：物理存储介质(例如硬盘或RAM)和以数据包的形式在网络中传输. 本书的重点是有关网络上传输机密信息的网络安全问题. 但是, 要记住, 物理介质和数据包都必须受到保护以防网络内外的入侵者. 本书中的所有例子都将使用TCP／IP, 因为它是当前最流行的协议并且它有一些固有的安全弱点.

但是, 不能停留在这里. 除了TCP／IP之外, 还需要了解操作系统和网络设备的一些弱点. 如果在网络设备上没有设置密码和认证, 显然会有麻烦. 如果没有理解路由选择协议, 特别是不了解它们如何在网络中通告, 那么可能就等于半夜不锁大门. 此外, 你对防火墙了解多少?是否有防火墙?如果有, 其弱点在哪里?它是否有漏洞?如果没有考虑这些问题, 则设备将是网络的致命弱点.



什么是真正的安全

至此, 你有了保护网络安全的想法. 要在该游戏中保持竞争力, 需要有定期监视和使用的安全策略. 好的想法不能够阻止黑客攻击, 使自己免于遭难才是有远见的. 必须考虑所有可能的问题, 写下来, 讨论, 并提出解决方案和坚固的行动计划.

需要清晰简明地向老板表达你的计划, 以便他们做出决策. 有了这些知识和详尽的计划之后, 就需要平衡安全需求和用户友好访问. 需要在可接受的成本下完成这些工作. 但是, 与许多有价值的东西一样, 要获得它并不容易.

第一级安全方案应该允许网络管理者向公司客户提供很好的服务——包括内部客户和外部客户, 并且同时为公司节省大笔资金. 如果可以这样做, 其最好的结果是耗费不多的资金而运行. 所有人(不包括黑客)都会满意. 很好!

实际上, 如果能够了解安全, 并且想出了如何有效提供网络服务而且不会花费整个IT预算, 则会得到一个长期的. 前途光明的IT职业. 你必须能够：

·启用新的网络应用程序和服务.

·减少实现成本和网络操作.

·使得因特网成为全局的低成本访问媒体.

能使复杂事情简单化并更易于管理的人会受到尊敬——现实中非常需要这样的人. 简化复杂性的一种方法是将大的. 多层次的事情划分为易于管理的小块. 为此, 需要将每个网络归类为以下3种网络安全之一：受信任网络. 不受信任网络和未知网络. 在开始学习本书之前, 应该对这些网络有所了解.

受信任网络 受信任网络(Trusted networks)是想保护的网络, 它们位于安全周边(security perimeter)的区域. 安全周边通过网络适配器连接到防火墙服务器. 虚拟专用网络(Virtual private networks, VPN)也可以认为是受信任的网络, 只有它们通过不受信任的网络来发送数据. 因此, VPN比较特殊——它们使用特殊的环境并需要特殊的考虑来建立安全策略. VPN上传输的数据包是在受信任网络上建立的, 因此防火墙服务器需要认证这些数据包的来源. 检查数据完整性并提供其他安全需要.

不受信任网络 不受信任网络(Untrusted networks)是安全周边外的区域并且不受你或管理员控制, 例如因特网和公司ISP. 实际上, 需要在这些网络上保护自己, 同时又要允许访问它们.

未知网络 因为不能归类所不知道的东西, 所以未知网络(unknown networks)可以是受信任网络也可以是不受信任网络. 这种网络没有告诉防火墙它是内部(受信任)网络还是外部(不受信任)网络. 你可能不喜欢这些网络来打扰你.

如何使用本书

如果想努力学习并准备通过Securing Cisco IOS Networks(SECUR 642-501)考试, 则本书正是你所需要的. 本书详细介绍了通过SECUR考试所需要的知识, 并且教会你如何在Cisco路由器上配置安全.

本书包含了很多有价值的信息. 如果能够理解本书的组织方式, 则学习效率会更高.

要从本书中获得最大的收益, 建议：

1. 立即完成前言后面的评估考试(答案位于考试的末尾, 不要作弊). 如果不知道某些答案, 非常好——这就是购买本书的原因!但是, 需要仔细阅读错误答案的解释, 并记录内容来自哪一章. 它将有助于规划你的学习策略. 而且, 如果不知道答案, 没有关系——只需要考虑, 你将学习这些知识!

2. 认真地学习每一章, 确保完全理解了每章开始所列出的信息和考试目标, 并且要特别注意与评估考试中答错题相关的一些章节.

3. 花一些时间完成每章后面的书面实验. 不要跳过它——它与SECUR考试直接相关, 这也是每章的重点. 因此, 不要忽略它——一定要理解每个问题及其答案.

4. 回答每章中的复习题(答案位于每章的末尾). 在回答问题的同时, 记下有疑惑的问题, 并复习相关内容. 不要丢掉你的学习笔记——在参加考试之前应该再次复习对你来说比较困难的一些问题!确保完全理解了每个问题的答案, 因为这些问题能够帮助你在参加SECUR考试之前掌握所必须知道的材料.

5. 完成每章中的动手实验, 参照相关章节的材料, 以便能够理解每一步. 如果手头没有Cisco的设备, 则一定要更加认真学习这些例子. 可以到www. routersim. cOm查看路由器模拟器, 来帮助获得实践经验.

6. 尽量去做本书选配光碟中的额外考试题. 这些问题只位于本书选配光碟中, 可用来测试自己, 对自己的知识水平有一个大体的了解.

7. 回答本书选配光碟上的所有闪卡问题. 闪卡程序能够有助于你准备SECUR考试.

提示： 电子闪卡可用&Windows计算机. Pocket PC&Palmi设备上.

8. 确保阅读了每章末尾的考试要点. 关键术语和本章中使用的命令, 并要非常熟悉这3个部分的信息.

我不会骗你——学习本书中的所有知识不是一天就可以完成的. 我要说的是, 它是有点难度的. 不过这也是值得的. 因此, 必须做一个好学生, 定期学习. 每天花一些时间来学习, 并选择一个舒适的. 安静的环境. 不是利用每个晚上熄灯之前躺在床上的15分钟来学习, 实际上你不想一遍又一遍地阅读相同的章节, 是不是?如果选择一个难于集中精神学习的时间／地点, 那么一遇到难题, 你就会很快放弃!

本书覆盖了通过SECUR考试所需要知道的所有内容. 但是, 即使这样, 还需要花一些时间来实际使用路由器或路由器模拟软件, 这才是打开成功之门的真正钥匙.

如果按照上述8个步骤来认真学习, 练习每个复习题. 额外考试. 电子闪卡. 书曲买验和动手实验, 并利用路由器或路由器模拟程序来实践, 要不通过SECUR考试都很困难!

本书包含哪些内容

下面是通过SECUR考试所必须知道的信息——也就是本书中所要介绍的内容.

第1章介绍了必须知道的网络安全和基本的网络威胁. 第1章还描述了网络中可能存在的弱点. 所有组织都必须有很好的策略, 本章解释了如何开发坚固的公司安全策略及其应该包含的大纲指南.

第2章介绍了CiscoNAS(网络访问服务器)和AAA安全. 第2章解释了如何配置Cisco NAS路由器以便进行认证. 授权和记账.

第3章解释了如何安装. 配置和管理Windows 2000和Windows NT服务器上的Cisco Secure ACS(第3章还简单介绍了UNIX服务器上的CiscoS ecure ACS). 此外, 本章还描述了NAS如何使用TACACS+或RADIUS来向ACS传递用户访问请求.

第4章介绍了Cisco边界路由器以及从黑客到网络边界路由器所可能发生的问题. 本章还描述了如何实现这些问题的解决方案.

第5章介绍了Cisco IOS防火墙及其主要组件——基于上下文的访问控制(Context-Based Access Control, CBAC). 该章还解释了在保护网络方面, CBAC如何不同于且优于静态的ACLo

第6章讨论了IOS防火墙认证代理(IOS Firewall Authentication Proxy), 它允许创建并可以将访问控制策略应用到个人而不是地址. 此外, 该章还解释了IOS防火墙入侵检测系统(Firewall Intrusion Detection System, IDS), 它允许IOS路由器作为CiscoSecureIDS探测器, 对潜在的恶意数据包做出反应.

第7章介绍了虚拟专用网络(virtual private networks, VPN)的概念, 并解释了满足公司远程网络访问需要的解决方案. 该章还描述了VPN如何使用IP安全(IPSec)来在公共网络上提供安全通信.

第8章解释了配置IPSec利用预共享密钥(这是最简单的IPSec实现), 以及如何配置站点到站点的IPSec来支持认证中心.

第9章讨论了一种非常酷的VPN技术——Cisco Easy VPN. Cisco Easy VPN是IOS中的新功能, 它允许有能力的IOS路由器作为VPN服务器.

附录描述了CiscoPIX防火墙的功能和基本配置. 虽然这不是SECUR考试目标的内容, 但是这个附录能够帮助你了解和配置PIX防火墙.

词汇表汇集了Cisco术语, 它是很好的一个参考工具, 可用来了解本书中一些晦涩难懂的术语.

多数章节包含书面实验. 动手实验和大量复习题来帮助你掌握这些内容. 不要忽略这些工具——它们对于你成功地通过考试是非常重要的.

无封面