CCSP自学指南：安全Cisco IOS网络（SECUR）——Cisco职业认证培训系列

    本书全面系统地介绍了在基于Cisco路由器的网络环境中，如何实施和管理网络安全。全书共13章，从内容上可以分成5个部分。第一部分包括第1章到第4章，详尽地介绍了网络安全的基本概念和相关Cisco路由器的基本的安全配置；第二部分包括第5章到第7章，介绍了3种Cisco IOS的增强功能——防火墙特征集；第三部分包括第8章到第10章，介绍了怎样利用Cisco路由器建立和管理VPN；第四部分包括第11章到13章，介绍了两种Cisco网络安全的管理工具——安全设备管理器(SDM)和路由器管理中心(MC)，以及一个全面地配置Cisco路由器的综合案例；附录部分给出了章节复习题答案、网络安全策略样例和访问控制列表参考。
　　本书是Cisco Press出版的关于CCSP的官方教材，是CCSP应试者的必备书籍。同时本书内容翔实，涉及知识面广，也适合广大网络管理人员和网络爱好者阅读与参考，更全面、更有效地保护自己的网络安全。

    

    John F.Roland，CCNA，CCDA，CCNP，CCDP，CSS-1，MCSE，是WesTek顾问公司的一名安全专家。从IBM大型机上的COBOL编程到局域网/广域网设计和实施（美国军方网络），一直到最近开发CISCO及微软认证培训材料，JOHN已经在IT领域从业22年了。目前，JOHN受托为一家大型的电缆通信公司设计技术培训材料。 JOHN拥有TIFFIN大学会计学士学位，在GENERAL MOTORS研究所辅修数学和电子工程。

第1章　网络安全简介　1
1.1　目标　2
1.1.1　一个封闭的网络　2
1.1.2　现代网络　3
1.1.3　威胁的能力——更危险更容易　4
1.1.4　安全角色的转变　4
1.1.5　电子商务的挑战　5
1.1.6　法律和政策的问题　5
1.2　Cisco SAFE Blueprint　6
1.2.1　路由器目标　7
1.2.2　交换机目标　7
1.2.3　主机目标　7
1.2.4　网络目标　7
1.2.5　应用目标　8
1.2.6　安全的管理和报告　8
1.3　网络攻击类型　9
1.3.1　网络安全威胁　9
1.3.2　网络攻击类型　10
1.4　网络安全策略　22
1.5　Cisco网络安全产品　23
1.6　Cisco管理软件　23
1.6.1　Cisco VPN设备管理器　23
1.6.2　Cisco PIX设备管理器　23
1.6.3　Cisco VPN方案中心　24
1.6.4　CiscoWorks VPN/安全管理方案　24
1.7　管理协议和功能　25
1.7.1　Telnet　25
1.7.2　简单网络管理协议　25
1.7.3　Syslog　26
1.7.4　简单文件传输协议　26
1.7.5　网络时间协议　26
1.8　NAT和NAT穿透　27
1.9　本章小结　28
1.10　本章复习题　29

第2章　Cisco路由器安全基础　31
2.1　Cisco IOS防火墙特性　31
2.1.1　Cisco IOS防火墙价值　32
2.1.2　Cisco IOS防火墙特点　32
2.2　安全的Cisco路由器安装　33
2.2.1　对安装进行风险评估　33
2.2.2　Cisco路由器和交换机物理安装常见威胁　34
2.3　安全的Cisco路由器管理访问　36
2.3.1　连接路由器控制台端口　36
2.3.2　口令创建规则　37
2.3.3　初始化配置对话　37
2.3.4　配置最小口令长度　38
2.3.5　配置Enable Secret口令　38
2.3.6　配置控制台端口用户级口令　39
2.3.7　配置一个vty用户级口令　40
2.3.8　配置一个AUX用户级口令　41
2.3.9　用service password-encryption命令加密口令　41
2.3.10　增强用户名口令安全　42
2.3.11　用no service password-recovery保护ROMMON　43
2.3.12　记录认证失败率　44
2.3.13　设置路由器链路超时　44
2.3.14　设置特权级别　45
2.3.15　配置旗标消息　46
2.3.16　安全的SNMP访问　47
2.4　Cisco路由器AAA介绍　57
2.4.1　AAA模型：网络安全结构　57
2.4.2　实施AAA　58
2.4.3　用本地服务实施AAA　59
2.4.4　用外部服务实施AAA　59
2.4.5　TACACS+和RADIUS AAA协议　60
2.4.6　认证方法和易用性　61
2.5　为Cisco边界路由器配置AAA　65
2.5.1　认证边界路由器访问　65
2.5.2　边界路由器AAA配置过程　66
2.5.3　对特权EXEC和配置模式进行安全访问　66
2.5.4　用aaa new-model命令启用AAA　67
2.5.5　aaa authentication命令　67
2.5.6　aaa authorization命令　70
2.5.7　aaa accounting命令　72
2.6　AAA排障　73
2.6.1　debug aaa authentication命令　73
2.6.2　debug aaa authorization命令　74
2.6.3　debug aaa accounting命令　75
2.7　本章小结　76
2.8　Cisco IOS命令回顾　76
2.9　本章复习题　76
2.10　案例研究　76
2.10.1　未来公司　77
2.10.2　安全策略符合性　78
2.10.3　解决方案　79

第3章　Cisco路由器网络高级AAA安全　83
3.1　Cisco Secure ACS介绍　83
3.1.1　Cisco Secure ACS for Windows　84
3.1.2　Cisco Secure ACS for UNIX(Solaris)　94
3.2　安装Cisco Secure ACS 3.0 forWindows 2000/NT服务器　95
3.2.1　配置服务器　96
3.2.2　校验Windows服务器和其他网络设备间的连接　96
3.2.3　在服务器上安装Cisco SecureACS for Windows　96
3.2.4　用Web浏览器配置CiscoSecure ACS for Windows　96
3.2.5　为AAA配置其余设备　97
3.2.6　校验正确安装和操作　97
3.3　Cisco Secure ACS for Windows管理和排障　97
3.3.1　认证失败　99
3.3.2　授权失败　100
3.3.3　记帐失败　100
3.3.4　拨入PC问题排障　100
3.3.5　使用Cisco IOS命令排障　101
3.4　TACACS+概述　101
3.4.1　一般特性　101
3.4.2　配置TACACS+　102
3.4.3　校验TACACS+　105
3.5　RADIUS概述　107
3.5.1　客户端/服务器模型　108
3.5.2　网络安全　108
3.5.3　灵活的认证机制　108
3.5.4　配置RADIUS　108
3.5.5　RADIUS增强属性　110
3.6　Kerberos概述　111
3.7　本章小结　112
3.8　Cisco IOS命令回顾　112
3.9　本章复习题　112
3.10　案例研究　113
3.10.1　场景　114
3.10.2　解决方案　114

第4章　Cisco路由器威胁对策　117
4.1　用路由器来保护网络　117
4.1.1　单个边界路由器　117
4.1.2　边界路由器和防火墙　118
4.1.3　集成防火墙的边界路由器　118
4.1.4　边界路由器、防火墙和内部路由器　119
4.2　加强路由器服务和接口的安全性　119
4.2.1　关闭BOOTP服务器　120
4.2.2　关闭CDP服务　120
4.2.3　关闭配置自动加载服务　121
4.2.4　限制DNS服务　122
4.2.5　关闭FTP服务器　122
4.2.6　关闭Finger服务　123
4.2.7　关闭无根据ARP　124
4.2.8　关闭HTTP服务　125
4.2.9　关闭IP无类别路由选择服务　125
4.2.10　关闭IP定向广播　126
4.2.11　关闭IP鉴别　126
4.2.12　关闭ICMP掩码应答　127
4.2.13　关闭ICMP重定向　127
4.2.14　关闭IP源路由选择　128
4.2.15　关闭ICMP不可达消息　128
4.2.16　关闭MOP服务　129
4.2.17　关闭NTP服务　129
4.2.18　关闭PAD服务　130
4.2.19　关闭代理ARP　131
4.2.20　关闭SNMP服务　132
4.2.21　关闭小型服务器　133
4.2.22　启用TCP Keepalive　134
4.2.23　关闭TFTP服务器　135
4.3　关闭不用的路由器接口　136
4.4　实施Cisco访问控制列表　137
4.4.1　识别访问控制列表　137
4.4.2　IP访问控制列表类型　138
4.4.3　注释IP ACL条款　143
4.4.4　开发ACL规则　143
4.4.5　ACL定向过滤　143
4.4.6　将ACL应用到接口　144
4.4.7　显示ACL　144
4.4.8　启用Turbo ACL　145
4.4.9　增强ACL　146
4.5　用ACL来应对安全威胁　147
4.5.1　流量过滤　148
4.5.2　理论网络　149
4.6　过滤路由器服务流量　150
4.6.1　Telnet服务　150
4.6.2　SNMP服务　150
4.6.3　路由选择协议　151
4.7　过滤网络流量　151
4.7.1　IP地址欺骗对策　152
4.7.2　DoS TCP SYN攻击对策　153
4.7.3　DoS Smurf攻击对策　153
4.7.4　过滤ICMP消息　154
4.8　DDoS对策　155
4.8.1　TRIN00　155
4.8.2　Stacheldraht　156
4.8.3　Trinity V3　156
4.8.4　Subseven　156
4.9　路由器配置示例　157
4.10　实施Syslog日志　158
4.10.1　Syslog系统　159
4.10.2　Cisco日志安全级别　159
4.10.3　日志消息格式　160
4.10.4　Syslog路由器命令　161
4.11　为企业网络设计安全的管理和报告系统　162
4.11.1　SAFE结构通览　163
4.11.2　信息路径　164
4.11.3　带外管理一般指南　165
4.11.4　日志和报告　166
4.11.5　配置SSH服务器　167
4.11.6　安全的SNMP访问　168
4.12　用AutoSecure加强Cisco路由器安全　172
4.12.1　起点　172
4.12.2　接口选择　173
4.12.3　安全的Management层面服务　173
4.12.4　创建安全旗标　174
4.12.5　配置口令、AAA、SSH 服务器和域名　175
4.12.6　配置特定接口服务　175
4.12.7　配置Cisco Express Forwarding和入口过滤　176
4.12.8　配置入口过滤和CBAC　176
4.12.9　检查配置并应用于运行配置中　177
4.12.10　例子：使用AutoSecure之前典型的路由器配置　184
4.12.11　例子：使用AutoSecure之后典型的路由器配置　185
4.13　本章小结　190
4.14　Cisco IOS命令回顾　190
4.15　本章复习题　190
4.16　案例研究　191
4.16.1　场景　192
4.16.2　解决方案　192

第5章　Cisco IOS防火墙基于上下文访问控制的配置　197
5.1　Cisco IOS防火墙介绍　197
5.1.1　Cisco IOS防火墙特征集　198
5.1.2　理解CBAC　198
5.1.3　理解认证代理　199
5.1.4　理解入侵检测　199
5.2　用CBAC保护用户免受攻击　200
5.2.1　Cisco IOS访问控制列表　200
5.2.2　CBAC是如何工作的　200
5.2.3　支持的协议　202
5.2.4　告警和审计跟踪　202
5.3　配置CBAC　203
5.3.1　打开审计跟踪和告警　203
5.3.2　全局超时值和阈值　203
5.3.3　端口到应用的映射(Port-To-Application Mapping)　206
5.3.4　定义应用协议审查规则　208
5.3.5　路由器接口审查规则和ACL　211
5.3.6　测试和验证CBAC　215
5.4　本章小结　216
5.5　Cisco IOS命令回顾　217
5.6　本章复习题　217
5.7　案例研究　218
5.7.1　场景　219
5.7.2　解决方案　219

第6章　Cisco IOS防火墙认证代理　223
6.1　介绍Cisco IOS防火墙认证代理　223
6.1.1　定义认证代理　223
6.1.2　支持AAA协议和服务器　224
6.1.3　发起一个会话　224
6.1.4　认证代理过程　225
6.1.5　应用认证代理　227
6.1.6　配置认证代理　227
6.2　配置AAA服务器　228
6.2.1　在Cisco安全访问控制服务器(CSACS)上配置认证代理服务　228
6.2.2　在Cisco安全访问控制服务器上建立用户授权配置文件　229
6.2.3　在建立用户授权配置文件时使用proxyacl#n属性　230
6.3　用AAA服务器配置Cisco IOS　 防火墙　230
6.3.1　打开AAA　231
6.3.2　指定认证协议　231
6.3.3　指定授权协议　231
6.3.4　定义TACACS+服务器和它的密钥　231
6.3.5　定义RADIUS服务器和它的密钥　232
6.3.6　..

网络安全是许多年来大多数组织都非常关注的问题，从最初的“管理Cisco网络安全”(Managing Cisco Network Security，MCNS)课程，到现在这门课程，都因为安全这个热点问题而被广泛接受。这些精心设计的课程为网络工作者提供了最关键的信息，使其能够从容应对日益增多的网络威胁。MCNS课程是以前的Cisco安全专 家(CSS-1)课程表中的一个组成部分。 因为客户要求有一个专家级的安全课程，Cisc。对最初的CSS-1课程进行了重新设计，建立了新的Cisco认证安全专家(Cisco Certified Security Professional，CCSP)课程体系。重新设计后的MCNS课程就成为了Cisco IOS网络安全(Securing Cisco IOS Network，SE..

本书的目标是帮助读者实施Cisco IOS网络安全技术，创建高度可管理且安全的网络。本书专为Cisco SECUK课程而设计，也可以作为独立参考材料。 期望读者群 本书适合于任何想要了解Cisco网络安全特性和技术的人员。主要的目标受众是需要扩展路由选择及交换技术知识，并且需要用CiscoIOS软件及Cisco IOS防火墙的强大特性来提升安装、配置、监视和校验Cisco网络安全技能的网络专家。本书假定读者已经具备与通过CCNA认证考试同等的Cisco网络知识。 第二个目标受众是需要理解网络安全威胁及其对策的一般用户。本书介绍了许多网络安全的概念和技术，讲述方式非常友好，不会让读者有参考技术..

本书是一部Cisco权威认可的自学工具，可以帮助读者理解SECUR考试所覆盖的基本概念。本书由Cisco Internet学习方案组(Cisco Internet Learning Solutions Group)以及Cisco负责开发SECUR考试的小组协作完成。作为考试初期准备的材料，本书介绍了识别安全威胁的必要知识以及使用Cisco IOS安全特性的必要技能。无论是想通过学习而取得CCSP认证资格，还是只想寻求对加强CiscoIOS路由器网络安全有用的产品、服务及策略的更好的理解，读者都会从本书提供的信息中获益。 Cisco公司和CiscoPress期望通过这种文字格式的出版物向客户以及广大的用户群体提供一种卓有成效的学习工具。尽管简单的一部出..