第1部分　边界安全.
第1章　网络安全概述　3
1.1　网络安全的基本问题　3
1.2　安全范例的变化　5
1.3　安全准则——CIA模型　5
1.3.1　机密性　5
1.3.2　完整性　6
1.3.3　可用性　6
1.4　策略、标准、规程、基线、准则　6
1.4.1　安全策略　6
1.4.2　标准　7
1.4.3　规程　8
1.4.4　基线　8
1.4.5　准则　8
1.5　安全模型　9
1.6　边界安全　9
1.6.1　是否存在边界安全　9
1.6.2　定义边界的难点　10
1.6.3　可靠的边界安全解决方案　10
1.7　各层的安全　10
1.7.1　多层边界解决方案　10
1.7.2　多米诺效应　11
1.8　安全轮　12
1.9　小结　13
第2章　访问控制　15
2.1　利用ACL的流量过滤　15
2.1.1　ACL概述　15
2.1.2　ACL应用　15
2.1.3　何时配置ACL　16
2.2　IP地址概述　17
2.2.1　IP地址分类　17
2.2.2　理解IP地址分类　17
2.2.3　专用IP地址(RFC 1918)　19
2.3　子网掩码与反掩码概述　20
2.3.1　子网掩码　20
2.3.2　反掩码　20
2.4　ACL配置　21
2.4.1　创建ACL　21
2.4.2　为ACL分配唯一名称或数值　21
2.4.3　将ACL应用于接口　22
2.4.4　ACL的方向　23
2.5　理解ACL的处理　23
2.5.1　入站ACL　23
2.5.2　出站ACL　24
2.5.3　多种分组类型的分组流规则　25
2.5.4　实施ACL准则　26
2.6　访问列表类型　26
2.6.1　标准ACL　26
2.6.2　扩展ACL　27
2.6.3　IP命名ACL　28
2.6.4　锁与密钥(动态ACL)　29
2.6.5　自反ACL　30
2.6.6　既定ACL　31
2.6.7　使用时间范围的定时ACL　32
2.6.8　分布式定时ACL　33
2.6.9　配置分布式定时ACL　33
2.6.10　Turbo ACL　33
2.6.11　接收ACL(rACL)　34
2.6.12　基础设施保护ACL(iACL)　34
2.6.13　传输ACL　34
2.6.14　分类ACL　35
2.6.15　利用ACL调试流量　35
2.7　小结　36
2.8　参考　36
第3章　设备安全　39
3.1　设备安全策略　39
3.2　增强设备安全　40
3.2.1　物理安全　40
3.2.2　密码　41
3.2.3　用户账号　44
3.2.4　优先权等级　45
3.2.5　基础ACL　45
3.2.6　交互访问模式　45
3.2.7　旗标消息　48
3.2.8　Cisco IOS弹性配置　49
3.2.9　Cisco设备发现协议(CDP)　49
3.2.10　TCP/UDP小型服务器　50
3.2.11　查找器　50
3.2.12　识别协议(auth)　50
3.2.13　DHCP和BOOTP服务　51
3.2.14　简单文件传输协议(TFTP)服务　51
3.2.15　文件传输协议(FTP)服务　51
3.2.16　半自动设备配置　51
3.2.17　PAD　51
3.2.18　IP源路由选择　52
3.2.19　代理ARP(Proxy ARP)　52
3.2.20　无偿ARP　52
3.2.21　IP直播　53
3.2.22　IP掩码应答　53
3.2.23　IP重定向　53
3.2.24　ICMP不可达　53
3.2.25　HTTP　54
3.2.26　网络时间协议(NTP)　54
3.2.27　简单网络管理协议(SNMP)　54
3.2.28　Auto-Secure特性　55
3.3　安全设备的安全管理访问　55
3.3.1　设备访问安全——PIX500和ASA5500安全设备　55
3.3.2　IPS4200系列传感器(前身为IDS4200)　57
3.4　设备安全清单　58
3.5　小结　59
3.6　参考　59
第4章　交换机的安全特性　61
4.1　保护第2层　61
4.2　端口级流量控制　62
4.2.1　风暴控制　62
4.2.2　受保护的端口(PVLAN边缘)　62
4.3　专用VLAN(PVLAN)　63
4.3.1　配置PVLAN　65
4.3.2　端口阻塞　66
4.3.3　端口安全　67
4.4　交换机的访问列表　68
4.4.1　路由器ACL　69
4.4.2　端口ACL　69
4.4.3　VLAN ACL(VACL)　69
4.4.4　MAC ACL　71
4.5　生成树协议的特性　72
4.5.1　BPDU保护　72
4.5.2　根保护　72
4.5.3　以太网信道保护　73
4.5.4　环路保护　73
4.6　监测DHCP　73
4.7　IP源保护　75
4.8　动态ARP检测(DAI)　75
4.8.1　DHCP环境下的DAI　76
4.8.2　非DHCP环境下的DAI　77
4.8.3　限制ARP包的进入速率　77
4.8.4　ARP确认检查　78
4.9　Catalyst高端交换机的高级集成安全特性　78
4.10　控制层管制(CoPP)特性　78
4.11　CPU速率限制器　79
4.12　第2层安全的最佳实践　80
4.13　小结　80
4.14　参考　80
第5章　Cisco IOS防火墙　83
5.1　基于路由器的防火墙解决方案　83
5.2　CBAC的功能　85
5.2.1　流量过滤　85
5.2.2　流量检测　85
5.2.3　报警和审计跟踪　86
5.3　CBAC工作原理　86
5.3.1　分组检测　87
5.3.2　超时值和阈值　87
5.3.3　会话状态　87
5.3.4　UDP连接　87
5.3.5　动态ACL条目　88
5.3.6　未完成(半开)会话　88
5.3.7　Per-host DoS预防　89
5.4　支持CBAC的协议　89
5.5　配置CBAC　89
5.5.1　步骤1——选择一个接口：内部或外部　90
5.5.2　步骤2——配置IP访问列表　90
5.5.3　步骤3——定义检测规则　90
5.5.4　步骤4——配置全局超时值和阈值　91
5.5.5　步骤5——将访问列表和监测规则应用到接口　91
5.5.6　步骤6——验证和监控CBAC　92
5.5.7　整理思路　92
5.6　IOS防火墙高级特性　93
5.6.1　HTTP检测引擎　93
5.6.2　E-mail检测引擎　93
5.6.3　防火墙ACL旁路　94
5.6.4　透明IOS防火墙(第2层)　95
5.6.5　虚拟碎片重组(VFR)　95
5.6.6　VRF-aware IOS防火墙　95
5.6.7　路由器产生的流量检测　96
5.7　区域式策略防火墙(ZFW)　96
5.7.1　区域式策略概述　97
5.7.2　安全区域　97
5.7.3　配置区域式策略防火墙　98
5.7.4　利用Cisco策略语言(CPL)配置ZFW　98
5.7.5　应用检测和控制(AIC)　100
5.8　小结　100
5.9　参考　100
第6章　Cisco防火墙：设备和模块　103
6.1　防火墙概述　103
6.2　硬件与软件防火墙　104
6.3　Cisco PIX 500系列安全设备　104
6.4　Cisco ASA 5500系列自适应安全设备　105
6.5　Cisco防火墙服务模块(FWSM)　106
6.6　PIX 500和ASA 5500防火墙设备软件　107
6.7　防火墙设备操作系统软件　107
6.8　防火墙模式　108
6.8.1　路由防火墙模式　108
6.8.2　透明防火墙模式(隐藏的防火墙)　108
6.9　全状态监测　109
6.10　应用层协议检测　110
6.11　自适应安全算法原理　111
6.12　安全环境　112
6.12.1　多环境——路由模式(资源共享)　113
6.12.2　多环境——透明模式　113
6.12.3　配置安全环境　115
6.13　安全级别　116
6.14　冗余接口　117
6.15　IP路由选择　117
6.15.1　静态和默认路由　118
6.15.2　开放式最短路径优先(OSPF)　120
6.15.3　路由选择信息协议(RIP)　123
6.15.4　增强型内部网关路由选择协议(EIGRP)　124
6.16　网络地址转换(NAT)　125
6.16.1　NAT控制　125
6.16.2　NAT的类型　127
6.16.3　NAT控制激活时绕过NAT　131
6.16.4　策略NAT　134
6.16.5　NAT处理的顺序　135
6.17　控制流量和网络访问　135
6.17.1　ACL概述和在安全设备中的应用　136
6.17.2　通过使用访问列表的安全设备控制入站和出站的流量　136
6.17.3　利用对象组简化访问列表　137
6.18　模块式策略架构(MPF)　139
6.19　Cisco任意连接VPN客户端　141
6.20　冗余和负载均衡　141
6.20.1　故障恢复要求　142
6.20.2　故障恢复链路　142
6.20.3　状态链路　142
6.20.4　故障恢复的部署　143
6.20.5　非对称路由选择支持(ASR)　144
6.21　防火墙服务模块(FWSM)的“模块化”软件　145
6.22　防火墙模块的操作系统软件　146
6.23　通过防火墙模块的网络流量　146
6.24　部署路由器/MSFC　147
6.24.1　单环境模式　147
6.24.2　多环境模式　148
6.25　配置FWSM　148
6.26　小结　149
6.27　参考　150
第7章　攻击向量和缓解技术　153
7.1　漏洞、威胁和漏洞利用　153
7.1.1　攻击类型　154
7.1.2　攻击向量　154
7.1.3　攻击者类型　155
7.1.4　风险评估　156
7.2　第3层缓解技术　156
7.2.1　流量表征　156
7.2.2　IP源追踪器　161
7.2.3　IP欺骗攻击　162
7.2.4　分组分类和标记技术　165
7.2.5　允许访问速率(CAR)　165
7.2.6　模块式QoS CLI(MQC)　167
7.2.7　流量管制　168
7.2.8　基于网络的应用程序识别(NBAR)　169
7.2.9　TCP拦截　170
7.2.10　基于策略的路由选择(PBR)　172
7.2.11　单播反向路径转发(uRPF)　173
7.2.12　NetFlow　175
7.3　第2层防范技术　177
7.3.1　CAM表溢出-MAC攻击　178
7.3.2　MAC欺骗攻击　178
7.3.3　ARP欺骗攻击　179
7.3.4　VTP攻击　180
7.3.5　VLAN跳跃攻击　181
7.3.6　PVLAN攻击　182
7.3.7　生成树攻击　185
7.3.8　DHCP欺骗和耗尽攻击　185
7.3.9　802.1x攻击　186
7.4　安全事件应急响应框架　187
7.4.1　什么是安全事件　187
7.4.2　安全事件应急响应处理　188
7.4.3　安全事件的应急响应方法　189
7.5　小结　191
7.6　参考　191
第2部分　身份安全和访问管理
第8章　安全访问管理　195
8.1　AAA安全服务　195
8.1.1　AAA范例　196
8.1.2　AAA的相关性　197
8.2　验证协议　197
8.2.1　RADIUS　197
8.2.2　TACACS+　200
8.2.3　RADIUS和TACACS+的比较　202
8.3　实现AAA　203
8.3.1　AAA方法　203
8.3.2　AAA功能的服务类型　205
8.4　配置实例　207
8.4.1　利用RADIUS进行PPP验证、授权和统计　207
8.4.2　利用TACACS+进行登录验证、命令授权和统计　207
8.4.3　带密码重试锁定的登录验证　208
8.5　小结　209
8.6　参考　209
第9章　Cisco安全ACS软件和设备　211
9.1　Windows环境下的Cisco安全ACS软件　211
9.1.1　AAA服务器：Cisco安全ACS　212
9.1.2　遵循的协议　213
9.2　ACS高级功能和特性　214
9.2.1　共享型配置文件组件(SPC)　214
9.2.2　可下载的IP ACL　214
9.2.3　网络访问过滤器　215
9.2.4　RADIUS授权组件　215
9.2.5　Shell命令授权集..　215
9.2.6　网络访问限制　216
9.2.7　设备访问限制　216
9.2.8　网络访问配置文件　216
9.2.9　Cisco NAC支持　217
9.3　配置ACS　217
9.4　Cisco安全ACS设备　225
9.5　小结　226
9.6　参考　226
第10章　多因素验证　229
10.1　识别和验证　229
10.2　双因素验证系统　230
10.2.1　OTP　230
10.2.2　S/KEY　230
10.2.3　利用OTP解决方案对抗重放攻击　231
10.2.4　双因素验证系统的属性　231
10.3　支持双因素验证系统的Cisco Secure ACS　232
10.3.1　Cisco Secure ACS工作原理　233
10.3.2　为启用了RADIUS的令牌服务器配置Cisco Secure ACS　233
10.3.3　为RSA SecurID令牌服务器配置Cisco Secure ACS　237
10.4　小结　237
10.5　参考　238
第11章　第2层访问控制　241
11.1　信任与身份管理解决方案　242
11.2　基于身份的网络服务(IBNS)　243
11.2.1　Cisco安全ACS　244
11.2.2　外部数据库支持　244
11.3　IEEE 802.1x　244
11.3.1　IEEE 802.1x组件　245
11.3.2　端口状态：授权与非授权　246
11.3.3　EAP方法　247
11.4　部署802.1x的解决方案　248
11.4.1　有线局域网(点对点)　248
11.4.2　无线局域网(多点)　248
11.5　实现基于802.1x端口的验证　249
11.5.1　在运行Cisco IOS软件的Cisco Catelyst交换机上配置802.1x和RADIUS　250
11.5.2　为在交换机上终止的不遵从访问点启用多用户　250
11.5.3　RADIUS授权　251
11.5.4　在Csico Arionet无线局域网访问节点上运行Cisco IOS软件配置802.1x和RADIUS　254
11.5.5　Windows XP客户端上的申请者IEEE 802.1x设置　254
11.6　小结　255
11.7　参考　255
第12章　无线局域网(WLAN)的安全　257
12.1　无线局域网(WLAN)　257
12.1.1　无线电波　257
12.1.2　IEEE协议标准　258
12.1.3　通信方法——无线电频率(RF)　258
12.1.4　WLAN组件　259
12.2　WLAN安全　260
12.2.1　服务器设置识别(SSID)　260
12.2.2　MAC验证　261
12.2.3　客户端验证(开放和共享的密钥)　261
12.2.4　静态有线对等加密(WEP)　261
12.2.5　WPA、WPA2和802.11i(改进的WEP)　262
12.2.6　IEEE 802.1x和EAP　263
12.2.7　WLAN NAC　271
12.2.8　WLAN IPS　271
12.2.9　VPN IPSec　271
12.3　缓解WLAN攻击　272
12.4　Cisco统一无线网络解决方案　272
12.5　小结　273
12.6　参考　274
第13章　网络准入控制(NAC)　277
13.1　创建自防御网络(SDN)　278
13.2　网络准入控制(NAC)　278
13.2.1　为什么需要NAC　278
13.2.2　Cisco NAC　279
13.2.3　NAC应用与NAC框架比较　280
13.3　Cisco NAC设备解决方案　281
13.3.1　Cisco NAC设备机制　281
13.3.2　NAC设备组件　281
13.3.3　NAC应用部署方案　282
13.4　Cisco NAC框架解决方案　284
13.4.1　Cisco NAC框架解决方案机制　284
13.4.2　Cisco NAC框架组件　287
13.4.3　Cisco NAC框架部署方案　290
13.4.4　Cisco NAC框架实施方法　290
13.5　小结　298
13.6　参考　299
第3部分　数据保密
第14章　密码学　303
14.1　安全通信　303
14.1.1　密码系统　303
14.1.2　密码学概述　304
14.1.3　密码术语　304
14.1.4　密码算法　305
14.2　虚拟专用网(VPN)　312
14.3　小结　313
14.4　参考　313
第15章　IPSec VPN　315
15.1　虚拟专用网(VPN)　315
15.1.1　VPN技术的类型　315
15.1.2　VPN部署的类型　317
15.2　IPSec VPN(安全VPN)　317
15.2.1　IPSec请求评论(RFC)　317
15.2.2　IPSec模式　320
15.2.3　IPSec协议头　322
15.2.4　IPSec反重放服务　323
15.2.5　ISAKMP和IKE　323
15.2.6　ISAKMP文件　328
15.2.7　IPSec文件　329
15.2.8　IPSec虚拟隧道接口(IPSec VTI)　329
15.3　公钥基础结构(PKI)　331
15.3.1　PKI组成　331
15.3.2　证书注册　332
15.4　实现IPSec VPN　333
15.4.1　Cisco IPSec VPN实现　334
15.4.2　站点到站点IPSec VPN　334
15.4.3　远程访问IPSec VPN　338
15.5　小结　345
15.6　参考　346
第16章　动态多点VPN　349
16.1　DMVPN解决方案的结构　349
16.1.1　DMVPN网络设计　350
16.1.2　DMVPN解决方案的组成　350
16.1.3　DMVPN工作原理　352
16.1.4　DMVPN数据结构　353
16.2　DMVPN部署的拓扑结构　354
16.3　实现DMVPN中心到节点结构　354
16.3.1　实现单中心单DMVPN(SHSD)的拓扑结构　355
16.3.2　实现双中心双DMVPN(DHDD)的拓扑结构　360
16.3.3　实现SLB的拓扑结构　360
16.4　实现动态网格的节点到节点的DMVPN结构　362
16.4.1　实现双中心单DMVPN的拓扑结构　362
16.4.2　实现多中心单DMVPN的拓扑结构　371
16.4.3　实施分层(基于树型)的拓扑结构　372
16.5　小结　373
16.6　参考　373
第17章　群组加密传输VPN　375
17.1　GET VPN解决方案体系结构　375
17.1.1　GET VPN特性　376
17.1.2　为什么需要GET VPN　376
17.1.3　GET VPN和DMVPN　377
17.1.4　何时部署GET VPN　378
17.1.5　GET VPN解决方案组成　378
17.1.6　GET VPN工作原理　379
17.1.7　IP报头保护　381
17.1.8　群组成员的ACL　381
17.2　实现Cisco IOS GET VPN　382
17.3　小结　387
17.4　参考　387
第18章　安全套接字层VPN(SSL VPN)　389
18.1　安全套接字层协议　389
18.2　SSL VPN解决方案的体系结构　390
18.2.1　SSL VPN概述　390
18.2.2　SSL VPN特性　391
18.2.3　SSL VPN部署考虑事项　392
18.2.4　SSL VPN访问方法　392
18.2.5　SSL VPN Citrix支持　393
18.3　实现Cisco IOS SSL VPN　394
18.4　Cisco AnyConnect VPN客户端　396
18.5　小结　396
18.6　参考　397
第19章　多协议标签交换VPN(MPLS VPN)　399
19.1　多协议标签交换　399
19.1.1　MPLS体系结构概述　400
19.1.2　MPLS工作原理　401
19.1.3　MPLS VPN和IPSec VPN　402
19.1.4　部署方案　402
19.1.5　面向连接和无连接的VPN技术　403
19.2　MPLS VPN(可信VPN)　404
19.3　第3层VPN(L3VPN)和第2层 VPN(L2VPN)的比较　405
19.4　L3VPN　406
19.4.1　L3VPN的组成　406
19.4.2　L3VPN的工作原理　406
19.4.3　VRF表的工作原理　406
19.5　实现L3VPN　407
19.6　L2VPN　412
19.7　实现L2VPN　414
19.7.1　利用基于VPWS的体系结构在MPLS服务中实现以太网VLAN　414
19.7.2　利用基于VPLS的体系结构在MPLS服务中实现以太网VLAN　414
19.8　小结　416
19.9　参考　416
第4部分　安全监控
第20章　网络入侵防御　421
20.1　入侵系统专业术语　421
20.2　网络入侵保护概述　422
20.3　Cisco IPS 4200系列传感器　422
20.4　Cisco IDS服务模块(IDSM-2)　424
20.5　Cisco增强型检测和防御安全服务系统模块(AIP-SSM)　425
20.6　Cisco IPS增强型集成模块(IPS-AIM)　426
20.7　Cisco IOS IPS　426
20.8　部署IPS　427
20.9　Cisco IPS传感器操作软件　428
20.10　Cisco IPS传感器软件　429
20.10.1　传感器软件——系统构架　429
20.10.2　传感器软件——通信协议　430
20.10.3　传感器软件——用户角色　431
20.10.4　传感器软件——分区　432
20.10.5　传感器软件——特征库和特征引擎　432
20.10.6　传感器软件——IPS事件　433
20.10.7　传感器软件——IPS事件动作　434
20.10.8　传感器软件——风险等级(RR)　435
20.10.9　传感器软件——IPS威胁等级　436
20.10.10　传感器软件——IPS接口　436
20.10.11　传感器软件——IPS接口模式　439
20.10.12　传感器软件——IPS阻塞(回避)　441
20.10.13　传感器软件——IPS速率限制　442
20.10.14　传感器软件——IPS虚拟化　442
20.10.15　传感器软件——IPS安全策略　443
20.10.16　传感器软件——IPS异常检测(AD)　443
20.11　IPS高可靠性　444
20.11.1　IPS应急开放机制　445
20.11.2　故障转移机制　445
20.11.3　应急开放和故障转移的部署　445
20.11.4　负载均衡技术　446
20.12　IPS设备部署准则　446
20.13　Cisco入侵保护系统设备管理器(IDM)　446
20.14　配置IPS内部VLAN对模式　447
20.15　配置IPS内部接口对模式　449
20.16　配置定制特征和IPS阻塞　452
20.17　小结　454
20.18　参考　454
第21章　主机入侵保护　457
21.1　利用非特征机制保护终端节点　457
21.2　Cisco安全代理(CSA)　458
21.3　CSA体系结构　459
21.3.1　CSA拦截和相关性　459
21.3.2　CSA扩展全局相关性　460
21.3.3　CSA访问控制过程　461
21.3.4　CSA深度防御——零天保护　461
21.4　CSA功能和安全角色　461
21.5　CSA部件　463
21.6　利用CSA MC配置并管理CSA部署　463
21.6.1　管理CSA主机　464
21.6.2　管理CSA代理工具箱　466
21.6.3　管理CSA群组　468
21.6.4　CSA代理用户界面　470
21.6.5　CSA策略、规则模块和规则　472
21.7　小结　472
21.8　参考　473
第22章　异常检测和缓解　475
22.1　攻击范围　475
22.1.1　拒绝服务攻击(DoS)定义　475
22.1.2　分布式拒绝服务(DDoS)攻击——如何定义　476
22.2　异常检测和缓解系统　477
22.3　Cisco DDoS异常检测和缓解解决方案　478
22.4　Cisco流量异常检测器　479
22.5　Cisco Guard DDoS缓解　481
22.6　整体运行　482
22.7　配置和管理Cisco流量异常检测器　485
22.7.1　管理检测器　486
22.7.2　通过CLI控制台访问初始化检测器　486
22.7.3　配置检测器(区域、过滤器、策略和学习过程)　487
22.8　配置和管理Cisco Guard缓解　489
22.8.1　管理Guard　490
22.8.2　利用CLI控制台访问并初始化Guard　490
22.8.3　配置Guard(区域、过滤器、策略和学习过程)　491
22.9　小结　494
22.10　参考　494
第23章　安全监控和相关性　497
23.1　安全信息和事件管理　497
23.2　Cisco安全监控、分析和响应系统(CS-MARS)　498
23.2.1　安全威胁防御(STM)系统　499
23.2.2　拓扑结构感知和网络映射　500
23.2.3　关键概念——事件、会话、规则和事故　501
23.2.4　CS-MARS事件处理　502
23.2.5　CS-MARS中的误报　503
23.3　部署CS-MARS　504
23.3.1　独立和本地控制器(LC)　505
23.3.2　全局控制器(GC)　506
23.3.3　软件版本化信息　507
23.3.4　报告和防御设备　508
23.3.5　运行级别　509
23.3.6　流量和已开启窗口　509
23.3.7　基于Web的管理界面　510
23.3.8　初始化CS-MARS　511
23.4　小结　512
23.5　参考　513
第5部分　安全管理
第24章　安全和策略管理　517
24.1　Cisco安全管理解决方案　517
24.2　Cisco安全管理器　518
24.2.1　Cisco安全管理器——特征和性能　518
24.2.2　Cisco安全管理器——防火墙管理　519
24.2.3　Cisco安全管理器——VPN管理　521
24.2.4　Cisco安全管理器——IPS管理　521
24.2.5　Cisco安全管理器——平台管理　522
24.2.6　Cisco安全管理器——体系结构　523
24.2.7　Cisco安全管理器——配置视图　523
24.2.8　Cisco安全管理器——设备管理　525
24.2.9　Cisco安全管理器——工作流模式　526
24.2.10　Cisco安全管理器——基于角色的访问控制　526
24.2.11　Cisco安全管理器——交叉-启动xDM　528
24.2.12　Cisco安全管理器——支持的设备和OS版本　530
24.2.13　Cisco安全管理器——服务器和客户端要求及限制　530
24.2.14　Cisco安全管理器——流量和已打开端口　532
24.3　Cisco路由器和安全设备管理器(SDM)　533
24.3.1　Cisco SDM——特征与性能　534
24.3.2　Cisco SDM工作原理　535
24.3.3　Cisco SDM——路由器安全审计功能　536
24.3.4　Cisco SDM——一步锁定功能　536
24.3.5　Cisco SDM——监控模式　538
24.3.6　Cisco SDM——所支持路由和IOS版本　538
24.3.7　Cisco SDM——系统要求　539
24.4　Cisco自适应安全设备管理器(ASDM)　540
24.4.1　Cisco ASDM——特征和性能　540
24.4.2　Cisco ASDM——工作原理　541
24.4.3　Cisco ASDM——分组追踪器程序　543
24.4.4　Cisco ASDM——相关访问规则系统日志　543
24.4.5　Cisco ASDM——支持的防火墙和软件版本　544
24.4.6　Cisco ASDM——用户要求　544
24.5　Cisco PIX设备管理器(PDM)　544
24.6　Cisco PIX设备管理器(IDM)　545
24.6.1　Cisco IDM——工作原理　545
24.6.2　Cisco IDM——系统要求　546
24.7　小结　547
24.8　参考　547
第25章　安全框架和规章制度　551
25.1　安全模型　551
25.2　策略、标准、准则和规程　552
25.2.1　安全策略　553
25.2.2　标准　553
25.2.3　准则　553
25.2.4　规程　553
25.3　最佳实践框架　554
25.3.1　ISO/IEC 17799(目前是ISO/IEC 27002)　554
25.3.2　COBIT　555
25.3.3　17799/27002和COBIT比较　555
25.4　遵从性和风险管理　556
25.5　法规遵从和立法行为　556
25.6　GLBA——格雷姆-里奇-比利雷法　556
25.6.1　谁受到影响　556
25.6.2　GLBA要求　557
25.6.3　违反处罚　557
25.6.4　满足GLBA的Cisco解决方案　558
25.6.5　GLBA总结　558
25.7　HIPPA——健康保险携带和责任法案　558
25.7.1　谁受到影响　559
25.7.2　HIPPA要求　559
25.7.3　违反处罚　559
25.7.4　满足HIPPA的Cisco解决方案　560
25.7.5　HIPPA总结　560
25.8　SOX——萨班斯-奥克斯莱法案　560
25.8.1　谁受到影响　561
25.8.2　SOX法案要求　561
25.8.3　违反处罚　562
25.8.4　满足SOX法案的Cisco解决方案　562
25.8.5　SOX总结　563
25.9　展望全球法规遵从法案和立法　563
25.9.1　在美国　564
25.9.2　在欧洲　564
25.9.3　在亚太地区　564
25.10　Cisco自防御网络解决方案　565
25.11　小结　565
25.12　参考　565
· · · · · · (收起)