Cisco路由器防火墙安全2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

Cisco路由器防火墙安全PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分　安全概述和防火墙3

第1章　安全威胁3

目录3

1.1 安全计划4

1.1.1 不同的平台4

1.1.2　安全目标5

1.2　安全问题的起因5

1.2.1 策略定义6

1.2.2　计算机技术9

1.2.3　设备配置11

1.3　安全威胁的类型11

1.3.1 外部和内部威胁12

1.3.2　无组织的和有组织的威胁12

1.4.1　勘测攻击13

1.4　威胁的分类13

1.4.2　访问攻击16

1.4.3　拒绝服务攻击23

1.5　安全解决方案25

1.5.1　设计安全解决方案25

1.5.2　Cisco安全轮形图26

1.5.3　安全检查列表27

1.5.4 附加信息28

1.6 小结28

第2章　防火墙概述31

2.1　防火墙简介31

2.1.1　防火墙定义32

2.1.2　防火墙保护32

2.2.1　OSI参考模型概要34

2.2　流量控制和OSI参考模型34

2.2.2 防火墙和OSI参考模型35

2.3　防火墙种类35

2.3.1 包过滤防火墙36

2.3.2　状态防火墙40

2.3.3　应用网关防火墙48

2.3.4　地址转换防火墙54

2.3.5　基于主机的防火墙57

2.3.6　混合防火墙59

2.3.7　防火墙和其他服务60

2.4　防火墙设计61

2.4.1　设计准则61

2.4.2 DMZ64

2.4.3 组件68

2.4.4　组件布局71

2.4.5 防火墙实施74

2.4.6　防火墙管理76

2.5　Cisco IOS安全76

2.5.1 Cisco IOS的使用77

2.5.2　Cisco IOS的安全特性77

2.5.3 Cisco IOS设备及其使用78

2.5.4 何时使用Cisco IOS防火墙79

2.6 小结80

第二部分　管理到路由器的访问85

第3章　访问路由器85

3.1 认证类型85

3.1.1　没有口令认证86

3.1.2　静态口令认证86

3.1.4　一次性口令认证87

3.1.3 时效口令认证87

3.1.5　令牌卡服务88

3.2　用户级EXEC访问方法90

3.2.1　本地访问：控制台和辅助线路91

3.2.2　远程访问93

3.3 特权级EXEC访问112

3.3.1 口令112

3.3.2　权限级别112

3.4　其他访问问题116

3.4.1　加密口令116

3.4.2 标识117

3.5　配置实例119

3.6　小结121

4.1　关闭全局服务123

第4章　关闭不必要的服务123

4.1.1 Cisco发现协议124

4.1.2　TCP和UDP低端口服务125

4.1.3 Finger126

4.1.4 IdentD126

4.1.5　IP源路由127

4.1.6 FTP和TFTP128

4.1.7　HTTP128

4.1.8 SNMP129

4.1.9　域名解析130

4.1.10　BootP131

4.1.11 DHCP131

4.1.12 PAD132

4.1.13　配置自动加载132

4.2.1 不安全接口上的CDP133

4.2　关闭接口服务133

4.2.2　ARP代理134

4.2.3 定向广播135

4.2.4 ICMP消息136

4.2.5　维护操作协议139

4.2.6 VTY140

4.2.7 未使用的接口141

4.3　在边界路由器上手动关闭服务的配置例子141

4.4　AutoSecure142

4.4.1 安全平面142

4.4.2 AutoSecure配置144

4.5 小结154

第5章　认证、授权和记账157

5.1　AAA概述157

5.1.2　打开AAA158

5.1.1 AAA工作原理158

5.1.3　安全协议159

5.2　认证166

5.2.1　认证方法167

5.2.2　认证配置168

5.2.3　认证排错171

5.2.4　认证例子171

5.3　授权172

5.3.1　授权方法173

5.3.2　授权配置173

5.3.3　授权排错174

5.3.4　授权例子175

5.4　记账175

5.4.2　记账配置176

5.4.1　记账方法176

5.4.3　记账排错178

5.4.4　记账例子179

5.5　安全复制179

5.5.1 SCP准备180

5.5.2　SCP配置180

5.5.3　SCP排错180

5.5.4　SCP例子181

5.6　小结181

第三部分　无状态的过滤技术185

第6章　访问列表概述185

6.1　访问列表简介185

6.1.1　ACL和过滤186

6.1.2　ACL类型187

6.1.3 处理ACL188

6.2　基本ACL的配置194

6.2.1 建立ACL195

6.2.2　激活ACL196

6.2.3 编辑ACL197

6.3　通配符掩码198

6.3.1　将子网掩码转换成通配符掩码199

6.3.2　通配符掩码错误200

6.4　小结200

第7章　基本访问列表203

7.1 ACL的类型203

7.1.1 标准ACL204

7.1.2 扩展ACL207

7.1.3 ACL验证218

7.1.4 分片和扩展ACL219

7.1.5 定时ACL223

7.2 其他的ACL特性226

7.2.1 ACL注释226

7.2.2 日志记录更新228

7.2.3 IP统计和ACL228

7.2.4 Turbo ACL230

7.2.5　有序的ACL232

7.3　受攻击时的保护235

7.3.1　Bogon阻塞和欺骗235

7.3.2　DoS和分布式DoS攻击240

7.3.3 简单勘查攻击246

7.3.4　分布式DoS攻击248

7.3.5　特洛伊木马254

7.3.6　蠕虫256

7.4.1 一场艰难的战斗260

7.4　阻塞不必要的服务260

7.4.2　即时消息产品261

7.4.3　文件共享：端到端产品265

7.5　小结272

第四部分　有状态的和高级的过滤技术277

第8章　反射访问列表277

8.1 反射ACL概述277

8.1.1 扩展的ACL相比反射ACL278

8.1.2　反射ACL的工作原理282

8.1.3 反射ACL的局限性285

8.2 配置反射ACL288

8.2.1　接口选择288

8.2.2　配置命令291

8.3.2 两个接口的RACL例子295

8.3 反射ACL举例295

8.3.1 简单的RACL例子295

8.3.3 三个接口的RACL例子296

8.4　小结299

第9章　基于上下文的访问控制301

9.1　Cisco IOS防火墙特性301

9.2　CBAC的功能302

9.2.1　过滤流量302

9.2.2　审查流量303

9.2.3　检测入侵303

9.2.4　生成警告和审计信息303

9.3 CBAC的操作303

9.3.1 基本操作303

9.3.2　CBAC相对RACL的增强305

9.4 CBAC支持的协议308

9.4.1 RTSP应用309

9.4.2　H.323应用310

9.4.3　Skinny支持310

9.4.4　SIP支持311

9.5　CBAC的性能312

9.5.1　吞吐量改进特性313

9.5.2　每秒连接改进特性313

9.5.3　CPU使用率改进特性313

9.6 CBAC的局限性314

9.7　CBAC的配置314

9.7.1 步骤1：接口选择315

9.7.2 步骤2：ACL配置315

9.7.3 步骤3：全局超时值316

9.7.4　步骤4：端口应用映射317

9.7.5　步骤5：审查规则320

9.7.7 步骤7：CBAC排错324

9.7.6　步骤6：激活审查324

9.7.8 删除CBAC328

9.8 CBAC例子328

9.8.1 简单例子328

9.8.2 两个接口的CBAC例子330

9.8.3 三接口的CBAC例子331

9.9 小结334

第10章　过滤Web和应用流量337

10.1 Java小程序337

10.1.1 Java审查338

10.1.2　Java阻塞338

10.1.3　Java阻塞例子338

10.2.1　URL过滤操作340

10.2　URL过滤340

10.2.2　URL过滤的优点和局限性341

10.2.3　URL过滤实施343

10.2.4　URL过滤验证349

10.2.5　URL过滤例子351

10.3　基于网络的应用识别352

10.3.1　QoS的组件352

10.3.2　NBAR和分类353

10.3.3　NBAR的限制和局限性357

10.3.4 基本的NBAR配置358

10.3.5　NBAR验证364

10.3.6　NBAR例子367

10.4　小结372

11.1.1　私有地址377

11.1　地址转换概述377

第五部分　地址转换和防火墙377

第11章　地址转换377

11.1.2　地址转换378

11.2　地址转换的工作原理379

11.2.1 用于地址转换的术语380

11.2.2　执行地址转换380

11.2.3　地址转换的局限性385

11.3　地址转换配置386

11.3.1 NAT配置386

11.3.2　PAT配置389

11.3.3 端口地址重定向配置391

11.3.4　处理重叠的地址393

11.3.5　流量分配配置396

11.3.7　地址转换的验证和排错398

11.3.6　配置转换限制398

11.4　NAT和CBAC的例子401

11.5 小结403

第12章　地址转换问题405

12.1　嵌入的地址信息405

12.1.1　嵌入地址信息问题406

12.1.2　支持的协议和应用407

12.1.3　非标准的端口号408

12.2　控制地址转换409

12.2.1　使用ACL409

12.2.2　使用路由映射：动态转换410

12.2.3　使用路由映射：静态转换413

12.3　地址转换和冗余415

12.3.1 使用HSRP的静态NAT冗余415

12.3.2　有状态的地址转换失败切换419

12.4　使用服务器负载平衡来分配流量426

12.4.1　SLB过程426

12.4.2 SLB的优点和局限性429

12.4.3 SLB的配置429

12.4.4　SLB验证432

12.4.5 SLB例子433

12.5 小结434

第六部分　管理通过路由器的访问439

第13章　锁和密钥访问列表439

13.1　锁和密钥概述439

13.1.1　锁和密钥与普通ACL439

13.1.2　何时使用锁和密钥440

13.1.3　锁和密钥的好处440

13.1.4　锁和密钥的处理过程441

13.2　锁和密钥配置442

13.2.1 配置步骤442

13.2.2　允许远程管理访问446

13.2.3　验证和排错447

13.3　锁和钥匙举例448

13.4　小结449

第14章　认证代理451

14.1 AP简介451

14.1.1 AP特性452

14.1.2　AP过程453

14.1.3 AP的使用455

14.1.4　AP的局限性456

14.2　AP的配置457

14.2.1 在路由器上配置AAA457

14.2.2 在服务器上配置AAA458

14.2.3 为HTTP或HTTPS作准备460

14.2.4 配置AP策略461

14.2.5　调整AP462

14.2.6　防止访问攻击463

14.3　AP验证和排错464

14.3.1 show命令464

14.3.2 clear命令465

14.3.3　debug命令466

14.4　AP举例466

14.4.1 简单的AP例子466

14.4.2　复杂的AP例子：CBAC和NAT469

14.5 小结472

15.1 静态和黑洞路由选择475

第15章　路由选择协议保护475

15.1.1　静态路由476

15.1.2　Null路由476

15.1.3　基于策略的路由选择478

15.2 内部网关协议安全480

15.2.1 认证481

15.2.2　RIPv2482

15.2.3 EIGRP483

15.2.4 OSPF484

15.2.5　IS-IS484

15.2.6　其他工具486

15.2.7　HSRP488

15.3　BGP安全490

15.3.1　认证490

15.3.2　路由翻动阻尼491

15.3.3　BGP路由选择例子492

15.4.1 RPF过程496

15.4　逆向路径转发（单播流量）496

15.4.2　RPF的使用498

15.4.3 RPF局限性499

15.4.4　RPF配置499

15.4.5 RPF验证500

15.4.6　单播RPF例子501

15.5 小结501

第七部分　检测和防止攻击505

第16章　入侵检测系统505

16.1 IDS简介505

16.1.1　IDS的实现506

16.1.2　IDS解决方案507

16.1.3　IDS要点509

16.2.1　签名实现510

16.2　IDS签名510

16.2.2 签名结构511

16.2.3　基本分类511

16.2.4　Cisco签名类型511

16.3　Cisco路由器IDS解决方案512

16.3.1　签名支持512

16.3.2　路由器IDS过程515

16.3.3 内存和性能问题516

16.4　IDS配置517

16.4.1　步骤1：初始化配置517

16.4.2　步骤2：日志和邮局配置517

16.4.3　步骤3：审查规则配置和激活518

16.4.4　IDS验证520

16.5　IDS举例521

16.6　小结522

第17章　DoS防护525

17.1　检测DoS攻击525

17.1.1 常见的攻击525

17.1.2　检查CPU使用率来检测DoS攻击526

17.1.3　使用ACL检测DoS攻击528

17.1.4　使用Netflow来检测DoS攻击533

17.2　CEF交换538

17.3　TCP截取539

17.3.1 TCPSYN洪水攻击539

17.3.2　TCP截取模式539

17.3.3　TCP截取的配置和验证540

17.3.4　TCP截取举例544

17.4.1　超时和阈值545

17.4　CBAC和DoS攻击545

17.4.2 CBACDoS阻止验证547

17.4.3　CBAC配置举例547

17.5　速率限制548

17.5.1 ICMP速率限制549

17.5.2 CAR550

17.5.3 NBAR554

17.6　小结557

第18章　记录日志事件559

18.1 基本日志记录559

18.1.1 日志消息格式560

18.1.2　基本日志记录配置560

18.1.3 日志记录目的地561

18.1.4　其他日志命令566

18.1.5 日志记录验证567

18.1.6 日志记录和错误计数569

18.2　时间和日期与CiscoIOS570

18.2.1　路由器时间源570

18.2.2　时间和日期的手动配置571

18.2.3 网络时间协议简介573

18.2.4　为NTP配置路由器客户端573

18.2.5　为NTP配置路由器服务器575

18.2.6　NTP安全576

18.2.7 其他NTP命令578

18.2.8　NTP验证578

18.2.9　NTP配置举例580

18.3 内置的系统日志管理器580

18.3.1 ESM简介581

18.3.2　ESM过滤模块581

18.3.3　ESM的建立和配置介绍584

18.4　其他日志记录信息586

18.4.1　要寻找什么586

18.4.2　其他工具587

18.5　小结589

第八部分　虚拟专用网593

第19章　站到站的IPSec连接593

19.1　IPSec准备593

19.1.1　基本任务593

19.1.2 外部ACL594

19.2　IKE阶段1：管理连接595

19.2.1 打开ISAKMP/IKE596

19.2.2　定义IKE阶段1策略596

19.3　IKE阶段1对等体认证598

19.3.1 身份类型598

19.3.3　使用RSA加密Nonce的认证599

19.3.2　使用预共享密钥的认证599

19.3.4　使用证书认证601

19.4　IKE阶段2：数据连接607

19.4.1　步骤1：建立一个加密映射607

19.4.2　步骤2：建立变换集608

19.4.3　步骤3：建立加密映射610

19.4.4　步骤4：激活加密映射613

19.4.5　步骤5：验证加密映射配置613

19.5　IPSec连接排错614

19.5.1　检查SA614

19.5.2　使用debug命令616

19.5.3 清除连接618

19.6　L2L举例618

19.7 小结620

第20章　IPSec远程接入连接623

20.1　远程接入概述623

20.1.1 EasyVPN介绍624

20.1.2　EasyVPN IPSec支持625

20.1.3　EasyVPN特性625

20.2　IPSec远程接入连接过程626

20.2.1 步骤1：EVC发起IPSec连接627

20.2.2　步骤2：EVC发送IKE阶段1策略627

20.2.3　步骤3：EVS接受IKE阶段1策略627

20.2.4　步骤4：EVS认证用户627

20.2.5　步骤5：EVS执行IKE模式配置628

20.2.6　步骤6：EVS使用RRI处理路由628

20.2.7 步骤7：IPSec设备建立数据连接629

20.3　IPSee远程接入EVS设置629

20.3.2　任务1：认证策略630

20.3.1 配置过程630

20.3.3　任务2：组策略631

20.3.4　任务3：IKE阶段1策略632

20.3.5　任务4：动态加密映射633

20.3.6　任务5：静态加密映射635

20.3.7　任务6：远程接入验证636

20.4　IPSec远程接入举例637

20.5 小结639

第九部分　案例学习643

第21章　案例学习643

21.1 公司简介643

21.1.1　公司总部643

21.1.2　分支机构645

21.1.3　远程接入用户645

21.2　提议646

21.3　案例学习配置647

21.3.1　基本配置647

21.3.2　不必要的服务和SSH648

21.3.3　AAA650

21.3.4　访问控制列表652

21.3.5 CBAC和Web过滤656

21.3.6　地址转换657

21.3.7　路由选择659

21.3.8　入侵检测系统660

21.3.9　连接攻击和CBAC661

21.3.10　速率限制661

21.3.11　NTP和系统日志663

21.3.12　站到站VPN664

21.3.13　远程接入VPN666

21.4　小结668