Cisco网络安全 (2008 年度畅销榜NO.4540 )

本书是关于Cisco网络安全中关键要素的实现和配置的最实用、最方便的指南!
资深网络安全顾问James Pike为Cisco安全产品的实现和配置提供了循序渐进的指南——包括使用PIX防火墙的深入介绍。

本书内容：
Cisco安全术语，技术和设计标准
在VPN环境中配置IPSec的完整技术介绍
Cisco Secure IDS／Net Ranger入侵检测，Cisco
Secure Scanner／NetSonar扫描和Cisco Secure
Access Control System
没有其他书可以带来如此多的Cisco安全信息：循序渐进的指南、深层的参考资料、用于配置的关键数据，以及决策制定的专家指导。无论在Cisco网络安全领域从事什么工作，本书都将立刻成为您的首选资源。

第1章理解网络安全的风险和威胁
1.1技术弱点
1.1.1协议
1.1.2操作系统
1.1.3网络设备
1.1.4防火墙漏洞
1.2配置弱点
1.3策略弱点
1.4安全威胁的来源
1.4.1寻求刺激的冒险家
1.4.2竞争对手
1.4.3窃贼
1.4.4敌对者或间谍
1.4.5怀有敌意的员工
1.4.6怀有敌意的前雇员
1.4.?其他员工
1.5对于网络安全的威胁
1.5.1电子窃听
1.5.2拒绝服务
1.5.3未授权的访问
1.5.4会话重放
1.5.5会话截取
1.5.6假冒
1.5.7恶意破坏
1.5.8否认
1.5.9病毒、特洛伊木马和蠕虫
1.5.10重路由
1.6应该怎么做
1.6.1需要保护什么
1.6.2风险的本质是什么
1.6.3哪类保护是必须的
1.6.4能支付多少钱
1.7小结
第2章安全体系结构
2.1安全策略的目标
2.1.1数据的机密性和私密性
2.1.2数据的可用性
2。1.3数据的完整性
2.1.4身份的认证和授权
2.1.5不可否认性
2.2物理安全
2.2.1电缆
2.2.2交换机
2.2.3路由器
2.3基本网络安全
2.3.1密码
2.3.2网络安全解决方案
2.3.3边界路由器——第一道防线
2.3.4防火墙——边界的加固
2.3.5虚拟专用网
2.3.6数据私密性和完整性
2.3.7漏洞评估
2.3.8入侵检测
2.3.9访问控制和身份
2.3.10安全策略的管理和实施
2.4小结
第3章边界路由器
3.1密码
3.1.1特权用户
3.1.2基本用户
3.2禁用EXEC模式
3.3设立线路特定的密码
3.4设立用户特定的密码
3.5使用访问列表作为过滤器来限制访问
3.6其他问题
3.7路由器服务和协议
3.7.1简单网络管理协议
3.7.2HTTP
3.7.3TCP／IP服务
3.7.4禁用IP源路由
3.7.5禁用不必要的TCP和UDP服务
3.7.6禁用Finger服务
3.7.?禁用代ARP
3.7.8禁用定向广播
3.7.9禁用Cisco发现协议
3.7.10禁用ICMP重定向
3.7.11禁用网络时间协议
3.7.12禁用ICMP不可达消息
3.8流量管理+
3.9基于路由器的攻击防卫
3.10路由选择协议
3.11小结
第4章防火墙
4.1因特网协议
4.1.11P——因特网协议
4.1.2TCP——传输控制协议
4.1.3UDP——用户数据报协议
4.1.4TCP和UDP端口
4.2什么是网络防火墙
4.3防火墙提供哪种类型的保护
4.3.1防火墙提供的保护和特性
4.3.2防火墙所不能防护的内容
4.4防火墙设计方法
4.4.1网络层防火墙
4.4.2应用层防火墙
4.5使用防火墙的网络设计
4.5.1传统的防火墙设计
4.5.2当前的设计
4.5.3基于路由器的防火墙
4.6小结
第5章PIX防火墙简介
5.1安全级别
5.2适应性安全算法
5.3网络地址转换
5.4PIX防火墙特性
5.4.1抵御网络攻击
5.4.2特殊的应用和协议
5.5控制通过PIX防火墙的流量
5.5.1使用管道控制人站流量
5.5.2直接代理
5.5.3利用RADIUS和TACACS+实现AAA支持
5.6小结
第6章PIX防火墙的配置
6.1配置前的准备；
6.2配置PIX防火墙
6.2.1标识接口
6.2.2允许来自内部的访问
6.2.3建立PIX防火墙路由
6.2.4允许来自外部的访问
6.2.5测试和远程管理
6.3控制出站的访问
6；4认证和授权
6.4.1人站连接
6.4.2出站连接
6.5记录事件
6.6实现故障转移的备用PIX防火墙
6.7小结
第7章基于路由器的防火墙
7.1访问列表
7.1.1标准访问列表
7.1.2扩展访问列表
7.1.3关于访问列表的指导原则
7.2Cisco网络安全集成软件
7.2.1Cisco网络安全集成软件的体系结构
7.2.2CBAC和状态数据包过滤
7.2.3CBAC所支持的应用
7.2.4CBAC的其他限制
7.2.5Cisco网络安全集成软件的其他特性
7.2.6配置CBAC
7.3其他注意事项
7.4小结
第8章加密技术介绍
8；1对称密钥加密
8.1.1数据加密标准
8.1.2高级加密标准及其他
8.1.3密钥管理
8.2非对称密钥加密
8.3对称方法与非对称方法的比较
8.4Diffie—Hellman算法
8.5RSA公钥加密
8.6消息认证码
8.7小结
第9章IPSec简介
9.1应用加密技术的场合
9.1.1数据链路层
9.1.2网络层
9.1.3传输层
9.1.4应用层
9.2目标
9.31PSec概述
9.41PSec详细内容
9.4.1AH——认证报头
9.4.2ESP——封装安全有效载荷
9.4.3模式
9.4.4SA、SPI和SPD的定义
9.5密钥管理
9.5.1因特网密钥交换
9.5.21KE、ISAKMP、OAKLEY和DOI
9.6基本密钥交换
9.6.11KE的第1阶段
9.6.21KE的第2阶段
9.7小结
第10章IPSec的配置
10.1第1步——规划IPSec
10.2第2步——配置因特网密钥交换(1KE)
10.2.1配置人工密钥
10.2.2动态密钥管理
10.2.3PFS和SA的有效期
10.2.4其他IKE配置选项
10.2.51KE的命令语法
10.3第3步——定义转换集
10.4第4步——创建加密访问列表
10.5第5步——创建加密映射
10.6第6步——将加密映射应用于接口
10.7第7步——测试和检验
10.8配置示例
10.8。1配置示例11PSec人工密钥
10.8.2配置示例2——使用预共享密钥的IKE
10.9小结
第11章VPN——虚拟专用网
11.1VPN的推动因素
11.2为何使用VPN
11.3VPN技术
11.3.1PPTP
11.3.2L2TP
11.3.31PSec
11.4认证的限制
11.5小结
第12章Cisco其他安全产品
12.1访问控制
12.2漏洞评估
12.2.1第1阶段——网络映射
12.2.2第2阶段——数据收集
12.2.3第3阶段——数据分析
12.2.4第4阶段——漏洞确认
12.2.5第5阶段——数据表达以及操作
12.2.6第6阶段——报告
12.3入侵检测
12.4小结

如何制定网络安全策略?如何设计安全体系结构?如何选择合适的安全设备?如何正确地配置安全设备?这是企业IT部门所面对的棘手而又至关重要的问题。因为，企业只要一上网，就不可避免地要考虑网络安全。 本书前两章对前两个问题做了一些简单介绍，并在后面的章节多次涉及，但未进行深入讨论。由于不同企业的情况千差万别，因此对前两个问题的回答会有很大的不同，并没有一个统一的具体方案可以遵循。关于前两个问题的详细探讨，读者可以参考清华大学出版社出版的《安全体系结构》一书。 本书重点在于回答上述问题中的后两个，详细地介绍了各种Cisco设备的原理、应用场合和配置方法。第1章列举了网络所面临和各种风险和威胁；第2章简单介绍了安全体系结构；第3章介绍了如何正确地设置边界路由器，以形成网络的第一道安全屏障；第4～7章介绍的是防火墙；第8～10章主要介绍Cisco产品的IPSec实现；第1l章讲述了VPN的基本原理和Cisco的实现及配置方法；最后，第1.2章简单介绍了Cisco的其他各种安全产品，包括用于访问控制、漏洞评估和入侵检测的产品。这些内容主要针对Cisco安全设备，其中的基本原理和理念同样可以适用于其他类似的设备。 本书兼顾理论和实践，是一本难得的权威性Cisco安全设备配置指南。 常晓波、杨剑峰是本书的主要译者，参加本书翻译的还有栗庆丰、朱剑平、吴东升、汪青青、李静、王伯剑、杨战伟等人，负责本书版式工作的是杨晓桃，在此向北京技桥工作室的同仁表示感谢。 在与清华大学出版社计算机外版图书编辑室的合作过程中，出版社编辑一丝不苟的工作态度使我们受益颇多。在此一并致以诚挚的谢意。， 限于译者水平，本书翻译的缺点和错误在所难免，请读者不吝指正

James Pike是专门从事网络安全咨询的AtlantisCommunications公司的总裁。他在计算机和网络方面拥有25年的经验，作为独立的顾问和讲师也已经有10多年了。作为Cisco认证培训教师，他为几家Cisco授权培训合作伙伴讲授高级路由选择和网络安全课程已经有6年之久。

随着因特网(Internet)和网络互联技术的迅速发展与普及，总体上人们对信息安全有了更高的要求。尽管当计算机网络和远程通信出现后，网络安全就已经开始考虑了，但当今的环境需要一种新的方法来保障网络的安全。 几年前，网络还是一个相对封闭的、可控制的环境，访问是有限制的，访问点也很容易识别，而因特网没有这两个前提条件，它本质上是一个开放的环境，访问是实际的、随意的、无限制的，访问点数目众多且无法预测。试图利用这种开放式互联系统的众多优势的很多组织也继承了伴随着这种复杂环境而来的风险和责任。为了防卫恶意的或敌意的行为，各个组织必须理解威胁的性质和防御工具的适用范围。 许多具有丰富的信息系统知识的专业人员都意识到风险和威胁的存在，而这些风险和威胁的性质和可用的防御工具和技术却常常不为人所知。与许多正在发展中的技术一样，有很多提供防御工具的信息也可利用，但这些信息常常分散在许多地方，而且要求对新词汇有彻底的了解。同时，信息不会总是以真正可用的形式出现，而且这些信息对那些需要采取防御措施的人来说常常太抽象和太理论化，或者是过于简化，以至于我们在需要完全彻底地运用这些工具时没有足够的信心。 于是便造成了这样一种情况：不管专业技术人员所获得的信息过多或者过少，都要对网络安全的解决方案的选择和应用作出专业的判断。 本书试图在网络安全的理论和实践之间的缺口上架起桥梁，为网络安全的原理和协议的理解提供了足够多的详细介绍，以便网络专业人员能够据此作出确凿的选择，同时还提供了具体的做法。虽然主要关注的是Cisco公司的产品，但书中所讲述的原理也可以应用于其他环境。虽然用户的接口和配置有可能会不同，但同类产品的功能都是相似的。 最难的是要在大量的选项和选择中作出取舍。希望本书对设计理论的详细讨论能对选择网络安全的解决方案有一个更清楚的理解。 本书主要面向专业技术人员，学生、教师、企业审核人员与管理人员以及其他对网络安全感兴趣的人也可以从本书中得到帮助。