第1部分　邊界安全.
第1章　網絡安全概述　3
1.1　網絡安全的基本問題　3
1.2　安全範例的變化　5
1.3　安全準則——CIA模型　5
1.3.1　機密性　5
1.3.2　完整性　6
1.3.3　可用性　6
1.4　策略、標準、規程、基綫、準則　6
1.4.1　安全策略　6
1.4.2　標準　7
1.4.3　規程　8
1.4.4　基綫　8
1.4.5　準則　8
1.5　安全模型　9
1.6　邊界安全　9
1.6.1　是否存在邊界安全　9
1.6.2　定義邊界的難點　10
1.6.3　可靠的邊界安全解決方案　10
1.7　各層的安全　10
1.7.1　多層邊界解決方案　10
1.7.2　多米諾效應　11
1.8　安全輪　12
1.9　小結　13
第2章　訪問控製　15
2.1　利用ACL的流量過濾　15
2.1.1　ACL概述　15
2.1.2　ACL應用　15
2.1.3　何時配置ACL　16
2.2　IP地址概述　17
2.2.1　IP地址分類　17
2.2.2　理解IP地址分類　17
2.2.3　專用IP地址(RFC 1918)　19
2.3　子網掩碼與反掩碼概述　20
2.3.1　子網掩碼　20
2.3.2　反掩碼　20
2.4　ACL配置　21
2.4.1　創建ACL　21
2.4.2　為ACL分配唯一名稱或數值　21
2.4.3　將ACL應用於接口　22
2.4.4　ACL的方嚮　23
2.5　理解ACL的處理　23
2.5.1　入站ACL　23
2.5.2　齣站ACL　24
2.5.3　多種分組類型的分組流規則　25
2.5.4　實施ACL準則　26
2.6　訪問列錶類型　26
2.6.1　標準ACL　26
2.6.2　擴展ACL　27
2.6.3　IP命名ACL　28
2.6.4　鎖與密鑰(動態ACL)　29
2.6.5　自反ACL　30
2.6.6　既定ACL　31
2.6.7　使用時間範圍的定時ACL　32
2.6.8　分布式定時ACL　33
2.6.9　配置分布式定時ACL　33
2.6.10　Turbo ACL　33
2.6.11　接收ACL(rACL)　34
2.6.12　基礎設施保護ACL(iACL)　34
2.6.13　傳輸ACL　34
2.6.14　分類ACL　35
2.6.15　利用ACL調試流量　35
2.7　小結　36
2.8　參考　36
第3章　設備安全　39
3.1　設備安全策略　39
3.2　增強設備安全　40
3.2.1　物理安全　40
3.2.2　密碼　41
3.2.3　用戶賬號　44
3.2.4　優先權等級　45
3.2.5　基礎ACL　45
3.2.6　交互訪問模式　45
3.2.7　旗標消息　48
3.2.8　Cisco IOS彈性配置　49
3.2.9　Cisco設備發現協議(CDP)　49
3.2.10　TCP/UDP小型服務器　50
3.2.11　查找器　50
3.2.12　識彆協議(auth)　50
3.2.13　DHCP和BOOTP服務　51
3.2.14　簡單文件傳輸協議(TFTP)服務　51
3.2.15　文件傳輸協議(FTP)服務　51
3.2.16　半自動設備配置　51
3.2.17　PAD　51
3.2.18　IP源路由選擇　52
3.2.19　代理ARP(Proxy ARP)　52
3.2.20　無償ARP　52
3.2.21　IP直播　53
3.2.22　IP掩碼應答　53
3.2.23　IP重定嚮　53
3.2.24　ICMP不可達　53
3.2.25　HTTP　54
3.2.26　網絡時間協議(NTP)　54
3.2.27　簡單網絡管理協議(SNMP)　54
3.2.28　Auto-Secure特性　55
3.3　安全設備的安全管理訪問　55
3.3.1　設備訪問安全——PIX500和ASA5500安全設備　55
3.3.2　IPS4200係列傳感器(前身為IDS4200)　57
3.4　設備安全清單　58
3.5　小結　59
3.6　參考　59
第4章　交換機的安全特性　61
4.1　保護第2層　61
4.2　端口級流量控製　62
4.2.1　風暴控製　62
4.2.2　受保護的端口(PVLAN邊緣)　62
4.3　專用VLAN(PVLAN)　63
4.3.1　配置PVLAN　65
4.3.2　端口阻塞　66
4.3.3　端口安全　67
4.4　交換機的訪問列錶　68
4.4.1　路由器ACL　69
4.4.2　端口ACL　69
4.4.3　VLAN ACL(VACL)　69
4.4.4　MAC ACL　71
4.5　生成樹協議的特性　72
4.5.1　BPDU保護　72
4.5.2　根保護　72
4.5.3　以太網信道保護　73
4.5.4　環路保護　73
4.6　監測DHCP　73
4.7　IP源保護　75
4.8　動態ARP檢測(DAI)　75
4.8.1　DHCP環境下的DAI　76
4.8.2　非DHCP環境下的DAI　77
4.8.3　限製ARP包的進入速率　77
4.8.4　ARP確認檢查　78
4.9　Catalyst高端交換機的高級集成安全特性　78
4.10　控製層管製(CoPP)特性　78
4.11　CPU速率限製器　79
4.12　第2層安全的最佳實踐　80
4.13　小結　80
4.14　參考　80
第5章　Cisco IOS防火牆　83
5.1　基於路由器的防火牆解決方案　83
5.2　CBAC的功能　85
5.2.1　流量過濾　85
5.2.2　流量檢測　85
5.2.3　報警和審計跟蹤　86
5.3　CBAC工作原理　86
5.3.1　分組檢測　87
5.3.2　超時值和閾值　87
5.3.3　會話狀態　87
5.3.4　UDP連接　87
5.3.5　動態ACL條目　88
5.3.6　未完成(半開)會話　88
5.3.7　Per-host DoS預防　89
5.4　支持CBAC的協議　89
5.5　配置CBAC　89
5.5.1　步驟1——選擇一個接口：內部或外部　90
5.5.2　步驟2——配置IP訪問列錶　90
5.5.3　步驟3——定義檢測規則　90
5.5.4　步驟4——配置全局超時值和閾值　91
5.5.5　步驟5——將訪問列錶和監測規則應用到接口　91
5.5.6　步驟6——驗證和監控CBAC　92
5.5.7　整理思路　92
5.6　IOS防火牆高級特性　93
5.6.1　HTTP檢測引擎　93
5.6.2　E-mail檢測引擎　93
5.6.3　防火牆ACL旁路　94
5.6.4　透明IOS防火牆(第2層)　95
5.6.5　虛擬碎片重組(VFR)　95
5.6.6　VRF-aware IOS防火牆　95
5.6.7　路由器産生的流量檢測　96
5.7　區域式策略防火牆(ZFW)　96
5.7.1　區域式策略概述　97
5.7.2　安全區域　97
5.7.3　配置區域式策略防火牆　98
5.7.4　利用Cisco策略語言(CPL)配置ZFW　98
5.7.5　應用檢測和控製(AIC)　100
5.8　小結　100
5.9　參考　100
第6章　Cisco防火牆：設備和模塊　103
6.1　防火牆概述　103
6.2　硬件與軟件防火牆　104
6.3　Cisco PIX 500係列安全設備　104
6.4　Cisco ASA 5500係列自適應安全設備　105
6.5　Cisco防火牆服務模塊(FWSM)　106
6.6　PIX 500和ASA 5500防火牆設備軟件　107
6.7　防火牆設備操作係統軟件　107
6.8　防火牆模式　108
6.8.1　路由防火牆模式　108
6.8.2　透明防火牆模式(隱藏的防火牆)　108
6.9　全狀態監測　109
6.10　應用層協議檢測　110
6.11　自適應安全算法原理　111
6.12　安全環境　112
6.12.1　多環境——路由模式(資源共享)　113
6.12.2　多環境——透明模式　113
6.12.3　配置安全環境　115
6.13　安全級彆　116
6.14　冗餘接口　117
6.15　IP路由選擇　117
6.15.1　靜態和默認路由　118
6.15.2　開放式最短路徑優先(OSPF)　120
6.15.3　路由選擇信息協議(RIP)　123
6.15.4　增強型內部網關路由選擇協議(EIGRP)　124
6.16　網絡地址轉換(NAT)　125
6.16.1　NAT控製　125
6.16.2　NAT的類型　127
6.16.3　NAT控製激活時繞過NAT　131
6.16.4　策略NAT　134
6.16.5　NAT處理的順序　135
6.17　控製流量和網絡訪問　135
6.17.1　ACL概述和在安全設備中的應用　136
6.17.2　通過使用訪問列錶的安全設備控製入站和齣站的流量　136
6.17.3　利用對象組簡化訪問列錶　137
6.18　模塊式策略架構(MPF)　139
6.19　Cisco任意連接VPN客戶端　141
6.20　冗餘和負載均衡　141
6.20.1　故障恢復要求　142
6.20.2　故障恢復鏈路　142
6.20.3　狀態鏈路　142
6.20.4　故障恢復的部署　143
6.20.5　非對稱路由選擇支持(ASR)　144
6.21　防火牆服務模塊(FWSM)的“模塊化”軟件　145
6.22　防火牆模塊的操作係統軟件　146
6.23　通過防火牆模塊的網絡流量　146
6.24　部署路由器/MSFC　147
6.24.1　單環境模式　147
6.24.2　多環境模式　148
6.25　配置FWSM　148
6.26　小結　149
6.27　參考　150
第7章　攻擊嚮量和緩解技術　153
7.1　漏洞、威脅和漏洞利用　153
7.1.1　攻擊類型　154
7.1.2　攻擊嚮量　154
7.1.3　攻擊者類型　155
7.1.4　風險評估　156
7.2　第3層緩解技術　156
7.2.1　流量錶徵　156
7.2.2　IP源追蹤器　161
7.2.3　IP欺騙攻擊　162
7.2.4　分組分類和標記技術　165
7.2.5　允許訪問速率(CAR)　165
7.2.6　模塊式QoS CLI(MQC)　167
7.2.7　流量管製　168
7.2.8　基於網絡的應用程序識彆(NBAR)　169
7.2.9　TCP攔截　170
7.2.10　基於策略的路由選擇(PBR)　172
7.2.11　單播反嚮路徑轉發(uRPF)　173
7.2.12　NetFlow　175
7.3　第2層防範技術　177
7.3.1　CAM錶溢齣-MAC攻擊　178
7.3.2　MAC欺騙攻擊　178
7.3.3　ARP欺騙攻擊　179
7.3.4　VTP攻擊　180
7.3.5　VLAN跳躍攻擊　181
7.3.6　PVLAN攻擊　182
7.3.7　生成樹攻擊　185
7.3.8　DHCP欺騙和耗盡攻擊　185
7.3.9　802.1x攻擊　186
7.4　安全事件應急響應框架　187
7.4.1　什麼是安全事件　187
7.4.2　安全事件應急響應處理　188
7.4.3　安全事件的應急響應方法　189
7.5　小結　191
7.6　參考　191
第2部分　身份安全和訪問管理
第8章　安全訪問管理　195
8.1　AAA安全服務　195
8.1.1　AAA範例　196
8.1.2　AAA的相關性　197
8.2　驗證協議　197
8.2.1　RADIUS　197
8.2.2　TACACS+　200
8.2.3　RADIUS和TACACS+的比較　202
8.3　實現AAA　203
8.3.1　AAA方法　203
8.3.2　AAA功能的服務類型　205
8.4　配置實例　207
8.4.1　利用RADIUS進行PPP驗證、授權和統計　207
8.4.2　利用TACACS+進行登錄驗證、命令授權和統計　207
8.4.3　帶密碼重試鎖定的登錄驗證　208
8.5　小結　209
8.6　參考　209
第9章　Cisco安全ACS軟件和設備　211
9.1　Windows環境下的Cisco安全ACS軟件　211
9.1.1　AAA服務器：Cisco安全ACS　212
9.1.2　遵循的協議　213
9.2　ACS高級功能和特性　214
9.2.1　共享型配置文件組件(SPC)　214
9.2.2　可下載的IP ACL　214
9.2.3　網絡訪問過濾器　215
9.2.4　RADIUS授權組件　215
9.2.5　Shell命令授權集..　215
9.2.6　網絡訪問限製　216
9.2.7　設備訪問限製　216
9.2.8　網絡訪問配置文件　216
9.2.9　Cisco NAC支持　217
9.3　配置ACS　217
9.4　Cisco安全ACS設備　225
9.5　小結　226
9.6　參考　226
第10章　多因素驗證　229
10.1　識彆和驗證　229
10.2　雙因素驗證係統　230
10.2.1　OTP　230
10.2.2　S/KEY　230
10.2.3　利用OTP解決方案對抗重放攻擊　231
10.2.4　雙因素驗證係統的屬性　231
10.3　支持雙因素驗證係統的Cisco Secure ACS　232
10.3.1　Cisco Secure ACS工作原理　233
10.3.2　為啓用瞭RADIUS的令牌服務器配置Cisco Secure ACS　233
10.3.3　為RSA SecurID令牌服務器配置Cisco Secure ACS　237
10.4　小結　237
10.5　參考　238
第11章　第2層訪問控製　241
11.1　信任與身份管理解決方案　242
11.2　基於身份的網絡服務(IBNS)　243
11.2.1　Cisco安全ACS　244
11.2.2　外部數據庫支持　244
11.3　IEEE 802.1x　244
11.3.1　IEEE 802.1x組件　245
11.3.2　端口狀態：授權與非授權　246
11.3.3　EAP方法　247
11.4　部署802.1x的解決方案　248
11.4.1　有綫局域網(點對點)　248
11.4.2　無綫局域網(多點)　248
11.5　實現基於802.1x端口的驗證　249
11.5.1　在運行Cisco IOS軟件的Cisco Catelyst交換機上配置802.1x和RADIUS　250
11.5.2　為在交換機上終止的不遵從訪問點啓用多用戶　250
11.5.3　RADIUS授權　251
11.5.4　在Csico Arionet無綫局域網訪問節點上運行Cisco IOS軟件配置802.1x和RADIUS　254
11.5.5　Windows XP客戶端上的申請者IEEE 802.1x設置　254
11.6　小結　255
11.7　參考　255
第12章　無綫局域網(WLAN)的安全　257
12.1　無綫局域網(WLAN)　257
12.1.1　無綫電波　257
12.1.2　IEEE協議標準　258
12.1.3　通信方法——無綫電頻率(RF)　258
12.1.4　WLAN組件　259
12.2　WLAN安全　260
12.2.1　服務器設置識彆(SSID)　260
12.2.2　MAC驗證　261
12.2.3　客戶端驗證(開放和共享的密鑰)　261
12.2.4　靜態有綫對等加密(WEP)　261
12.2.5　WPA、WPA2和802.11i(改進的WEP)　262
12.2.6　IEEE 802.1x和EAP　263
12.2.7　WLAN NAC　271
12.2.8　WLAN IPS　271
12.2.9　VPN IPSec　271
12.3　緩解WLAN攻擊　272
12.4　Cisco統一無綫網絡解決方案　272
12.5　小結　273
12.6　參考　274
第13章　網絡準入控製(NAC)　277
13.1　創建自防禦網絡(SDN)　278
13.2　網絡準入控製(NAC)　278
13.2.1　為什麼需要NAC　278
13.2.2　Cisco NAC　279
13.2.3　NAC應用與NAC框架比較　280
13.3　Cisco NAC設備解決方案　281
13.3.1　Cisco NAC設備機製　281
13.3.2　NAC設備組件　281
13.3.3　NAC應用部署方案　282
13.4　Cisco NAC框架解決方案　284
13.4.1　Cisco NAC框架解決方案機製　284
13.4.2　Cisco NAC框架組件　287
13.4.3　Cisco NAC框架部署方案　290
13.4.4　Cisco NAC框架實施方法　290
13.5　小結　298
13.6　參考　299
第3部分　數據保密
第14章　密碼學　303
14.1　安全通信　303
14.1.1　密碼係統　303
14.1.2　密碼學概述　304
14.1.3　密碼術語　304
14.1.4　密碼算法　305
14.2　虛擬專用網(VPN)　312
14.3　小結　313
14.4　參考　313
第15章　IPSec VPN　315
15.1　虛擬專用網(VPN)　315
15.1.1　VPN技術的類型　315
15.1.2　VPN部署的類型　317
15.2　IPSec VPN(安全VPN)　317
15.2.1　IPSec請求評論(RFC)　317
15.2.2　IPSec模式　320
15.2.3　IPSec協議頭　322
15.2.4　IPSec反重放服務　323
15.2.5　ISAKMP和IKE　323
15.2.6　ISAKMP文件　328
15.2.7　IPSec文件　329
15.2.8　IPSec虛擬隧道接口(IPSec VTI)　329
15.3　公鑰基礎結構(PKI)　331
15.3.1　PKI組成　331
15.3.2　證書注冊　332
15.4　實現IPSec VPN　333
15.4.1　Cisco IPSec VPN實現　334
15.4.2　站點到站點IPSec VPN　334
15.4.3　遠程訪問IPSec VPN　338
15.5　小結　345
15.6　參考　346
第16章　動態多點VPN　349
16.1　DMVPN解決方案的結構　349
16.1.1　DMVPN網絡設計　350
16.1.2　DMVPN解決方案的組成　350
16.1.3　DMVPN工作原理　352
16.1.4　DMVPN數據結構　353
16.2　DMVPN部署的拓撲結構　354
16.3　實現DMVPN中心到節點結構　354
16.3.1　實現單中心單DMVPN(SHSD)的拓撲結構　355
16.3.2　實現雙中心雙DMVPN(DHDD)的拓撲結構　360
16.3.3　實現SLB的拓撲結構　360
16.4　實現動態網格的節點到節點的DMVPN結構　362
16.4.1　實現雙中心單DMVPN的拓撲結構　362
16.4.2　實現多中心單DMVPN的拓撲結構　371
16.4.3　實施分層(基於樹型)的拓撲結構　372
16.5　小結　373
16.6　參考　373
第17章　群組加密傳輸VPN　375
17.1　GET VPN解決方案體係結構　375
17.1.1　GET VPN特性　376
17.1.2　為什麼需要GET VPN　376
17.1.3　GET VPN和DMVPN　377
17.1.4　何時部署GET VPN　378
17.1.5　GET VPN解決方案組成　378
17.1.6　GET VPN工作原理　379
17.1.7　IP報頭保護　381
17.1.8　群組成員的ACL　381
17.2　實現Cisco IOS GET VPN　382
17.3　小結　387
17.4　參考　387
第18章　安全套接字層VPN(SSL VPN)　389
18.1　安全套接字層協議　389
18.2　SSL VPN解決方案的體係結構　390
18.2.1　SSL VPN概述　390
18.2.2　SSL VPN特性　391
18.2.3　SSL VPN部署考慮事項　392
18.2.4　SSL VPN訪問方法　392
18.2.5　SSL VPN Citrix支持　393
18.3　實現Cisco IOS SSL VPN　394
18.4　Cisco AnyConnect VPN客戶端　396
18.5　小結　396
18.6　參考　397
第19章　多協議標簽交換VPN(MPLS VPN)　399
19.1　多協議標簽交換　399
19.1.1　MPLS體係結構概述　400
19.1.2　MPLS工作原理　401
19.1.3　MPLS VPN和IPSec VPN　402
19.1.4　部署方案　402
19.1.5　麵嚮連接和無連接的VPN技術　403
19.2　MPLS VPN(可信VPN)　404
19.3　第3層VPN(L3VPN)和第2層 VPN(L2VPN)的比較　405
19.4　L3VPN　406
19.4.1　L3VPN的組成　406
19.4.2　L3VPN的工作原理　406
19.4.3　VRF錶的工作原理　406
19.5　實現L3VPN　407
19.6　L2VPN　412
19.7　實現L2VPN　414
19.7.1　利用基於VPWS的體係結構在MPLS服務中實現以太網VLAN　414
19.7.2　利用基於VPLS的體係結構在MPLS服務中實現以太網VLAN　414
19.8　小結　416
19.9　參考　416
第4部分　安全監控
第20章　網絡入侵防禦　421
20.1　入侵係統專業術語　421
20.2　網絡入侵保護概述　422
20.3　Cisco IPS 4200係列傳感器　422
20.4　Cisco IDS服務模塊(IDSM-2)　424
20.5　Cisco增強型檢測和防禦安全服務係統模塊(AIP-SSM)　425
20.6　Cisco IPS增強型集成模塊(IPS-AIM)　426
20.7　Cisco IOS IPS　426
20.8　部署IPS　427
20.9　Cisco IPS傳感器操作軟件　428
20.10　Cisco IPS傳感器軟件　429
20.10.1　傳感器軟件——係統構架　429
20.10.2　傳感器軟件——通信協議　430
20.10.3　傳感器軟件——用戶角色　431
20.10.4　傳感器軟件——分區　432
20.10.5　傳感器軟件——特徵庫和特徵引擎　432
20.10.6　傳感器軟件——IPS事件　433
20.10.7　傳感器軟件——IPS事件動作　434
20.10.8　傳感器軟件——風險等級(RR)　435
20.10.9　傳感器軟件——IPS威脅等級　436
20.10.10　傳感器軟件——IPS接口　436
20.10.11　傳感器軟件——IPS接口模式　439
20.10.12　傳感器軟件——IPS阻塞(迴避)　441
20.10.13　傳感器軟件——IPS速率限製　442
20.10.14　傳感器軟件——IPS虛擬化　442
20.10.15　傳感器軟件——IPS安全策略　443
20.10.16　傳感器軟件——IPS異常檢測(AD)　443
20.11　IPS高可靠性　444
20.11.1　IPS應急開放機製　445
20.11.2　故障轉移機製　445
20.11.3　應急開放和故障轉移的部署　445
20.11.4　負載均衡技術　446
20.12　IPS設備部署準則　446
20.13　Cisco入侵保護係統設備管理器(IDM)　446
20.14　配置IPS內部VLAN對模式　447
20.15　配置IPS內部接口對模式　449
20.16　配置定製特徵和IPS阻塞　452
20.17　小結　454
20.18　參考　454
第21章　主機入侵保護　457
21.1　利用非特徵機製保護終端節點　457
21.2　Cisco安全代理(CSA)　458
21.3　CSA體係結構　459
21.3.1　CSA攔截和相關性　459
21.3.2　CSA擴展全局相關性　460
21.3.3　CSA訪問控製過程　461
21.3.4　CSA深度防禦——零天保護　461
21.4　CSA功能和安全角色　461
21.5　CSA部件　463
21.6　利用CSA MC配置並管理CSA部署　463
21.6.1　管理CSA主機　464
21.6.2　管理CSA代理工具箱　466
21.6.3　管理CSA群組　468
21.6.4　CSA代理用戶界麵　470
21.6.5　CSA策略、規則模塊和規則　472
21.7　小結　472
21.8　參考　473
第22章　異常檢測和緩解　475
22.1　攻擊範圍　475
22.1.1　拒絕服務攻擊(DoS)定義　475
22.1.2　分布式拒絕服務(DDoS)攻擊——如何定義　476
22.2　異常檢測和緩解係統　477
22.3　Cisco DDoS異常檢測和緩解解決方案　478
22.4　Cisco流量異常檢測器　479
22.5　Cisco Guard DDoS緩解　481
22.6　整體運行　482
22.7　配置和管理Cisco流量異常檢測器　485
22.7.1　管理檢測器　486
22.7.2　通過CLI控製颱訪問初始化檢測器　486
22.7.3　配置檢測器(區域、過濾器、策略和學習過程)　487
22.8　配置和管理Cisco Guard緩解　489
22.8.1　管理Guard　490
22.8.2　利用CLI控製颱訪問並初始化Guard　490
22.8.3　配置Guard(區域、過濾器、策略和學習過程)　491
22.9　小結　494
22.10　參考　494
第23章　安全監控和相關性　497
23.1　安全信息和事件管理　497
23.2　Cisco安全監控、分析和響應係統(CS-MARS)　498
23.2.1　安全威脅防禦(STM)係統　499
23.2.2　拓撲結構感知和網絡映射　500
23.2.3　關鍵概念——事件、會話、規則和事故　501
23.2.4　CS-MARS事件處理　502
23.2.5　CS-MARS中的誤報　503
23.3　部署CS-MARS　504
23.3.1　獨立和本地控製器(LC)　505
23.3.2　全局控製器(GC)　506
23.3.3　軟件版本化信息　507
23.3.4　報告和防禦設備　508
23.3.5　運行級彆　509
23.3.6　流量和已開啓窗口　509
23.3.7　基於Web的管理界麵　510
23.3.8　初始化CS-MARS　511
23.4　小結　512
23.5　參考　513
第5部分　安全管理
第24章　安全和策略管理　517
24.1　Cisco安全管理解決方案　517
24.2　Cisco安全管理器　518
24.2.1　Cisco安全管理器——特徵和性能　518
24.2.2　Cisco安全管理器——防火牆管理　519
24.2.3　Cisco安全管理器——VPN管理　521
24.2.4　Cisco安全管理器——IPS管理　521
24.2.5　Cisco安全管理器——平颱管理　522
24.2.6　Cisco安全管理器——體係結構　523
24.2.7　Cisco安全管理器——配置視圖　523
24.2.8　Cisco安全管理器——設備管理　525
24.2.9　Cisco安全管理器——工作流模式　526
24.2.10　Cisco安全管理器——基於角色的訪問控製　526
24.2.11　Cisco安全管理器——交叉-啓動xDM　528
24.2.12　Cisco安全管理器——支持的設備和OS版本　530
24.2.13　Cisco安全管理器——服務器和客戶端要求及限製　530
24.2.14　Cisco安全管理器——流量和已打開端口　532
24.3　Cisco路由器和安全設備管理器(SDM)　533
24.3.1　Cisco SDM——特徵與性能　534
24.3.2　Cisco SDM工作原理　535
24.3.3　Cisco SDM——路由器安全審計功能　536
24.3.4　Cisco SDM——一步鎖定功能　536
24.3.5　Cisco SDM——監控模式　538
24.3.6　Cisco SDM——所支持路由和IOS版本　538
24.3.7　Cisco SDM——係統要求　539
24.4　Cisco自適應安全設備管理器(ASDM)　540
24.4.1　Cisco ASDM——特徵和性能　540
24.4.2　Cisco ASDM——工作原理　541
24.4.3　Cisco ASDM——分組追蹤器程序　543
24.4.4　Cisco ASDM——相關訪問規則係統日誌　543
24.4.5　Cisco ASDM——支持的防火牆和軟件版本　544
24.4.6　Cisco ASDM——用戶要求　544
24.5　Cisco PIX設備管理器(PDM)　544
24.6　Cisco PIX設備管理器(IDM)　545
24.6.1　Cisco IDM——工作原理　545
24.6.2　Cisco IDM——係統要求　546
24.7　小結　547
24.8　參考　547
第25章　安全框架和規章製度　551
25.1　安全模型　551
25.2　策略、標準、準則和規程　552
25.2.1　安全策略　553
25.2.2　標準　553
25.2.3　準則　553
25.2.4　規程　553
25.3　最佳實踐框架　554
25.3.1　ISO/IEC 17799(目前是ISO/IEC 27002)　554
25.3.2　COBIT　555
25.3.3　17799/27002和COBIT比較　555
25.4　遵從性和風險管理　556
25.5　法規遵從和立法行為　556
25.6　GLBA——格雷姆-裏奇-比利雷法　556
25.6.1　誰受到影響　556
25.6.2　GLBA要求　557
25.6.3　違反處罰　557
25.6.4　滿足GLBA的Cisco解決方案　558
25.6.5　GLBA總結　558
25.7　HIPPA——健康保險攜帶和責任法案　558
25.7.1　誰受到影響　559
25.7.2　HIPPA要求　559
25.7.3　違反處罰　559
25.7.4　滿足HIPPA的Cisco解決方案　560
25.7.5　HIPPA總結　560
25.8　SOX——薩班斯-奧剋斯萊法案　560
25.8.1　誰受到影響　561
25.8.2　SOX法案要求　561
25.8.3　違反處罰　562
25.8.4　滿足SOX法案的Cisco解決方案　562
25.8.5　SOX總結　563
25.9　展望全球法規遵從法案和立法　563
25.9.1　在美國　564
25.9.2　在歐洲　564
25.9.3　在亞太地區　564
25.10　Cisco自防禦網絡解決方案　565
25.11　小結　565
25.12　參考　565
· · · · · · (收起)