思科网络学院课程设计用来使你进入计算机网络领域，在这个领域工作或继续接受更多的教育和培训。

本书的目标是基于安全策略设计和管理教授全部安全过程。重点是安全技术、产品、解决方案，以及防火墙和安全路由器设计、安装、配置、维护。本书的第一学期课程内容介绍了使用路由器和防火墙实现认证、授权、计费，以及在OSI模型的第二层和第三层进行网络保护。本书的第二学期课程内容介绍了使用路由器和防火墙实现入侵预防系统，以及使用路由器和防火墙实现虚拟专用网。

思科网络技术学院项目(Cisco Networking Academy Program)是Cisco公司在全球范围推出的一个主要面向初级网络工程技术人员的培训项目。作为它的课程之一，本书介绍了如何在Cisco的网络设备中实施IP网络的安全。

本书包括两个学期的课程内容。第一学期课程内容侧重于网络中的总体安全进程，并特别关注以下领域的实际操作技巧：安全策略设计和管理，安全技术、产品、解决方案，防火墙和安全路由器设计、安装、配置、维护，使用路由器和防火墙实现AAA，在OSI模型的第二层和第三层保护网络等。第二学期课程内容侧重于安全策略设计和管理，安全技术、产品、解决方案，防火墙和安全路由器设计、安装、配置、维护，使用路由器和防火墙实现入侵预防系统(IPS)，使用路由器和防火墙实现虚拟专用网(VPN)等。

本书作为思科网络技术学院网络安全的指定教材，适合具备CCNA水平的读者学习。另外，将要参加思科公司的CCSP认证考试的人员也可以把本书作为考试指南。

第一学期

第1章 弱点、威胁、攻击

 1.1 关键术语

 1.2 网络安全简介

1.2.1 网络安全需求

1.2.2 识别网络安全的潜在风险

1.2.3 开放的与封闭的安全模型

1.2.4 网络安全的发展趋势

1.2.5 信息安全组织

 1.3 弱点、威胁和攻击介绍

1.3.1 弱点

1.3.2 威胁

1.3.3 攻击

 1.4 攻击事例

1.4.1 侦查攻击

1.4.2 访问攻击

1.4.3 拒绝服务(DoS)攻击

1.4.4 假冒/IP欺骗攻击

1.4.5 分布式拒绝服务攻击

1.4.6 恶意代码

 1.5 弱点分析

1.5.1 政策定位

1.5.2 网络分析

1.5.3 主机分析

1.5.4 分析工具

 1.6 总结

 1.7 检查你的理解

第2章 安全计划与策略

 2.1 关键术语

 2.2 关于网络安全及Cisco

2.2.1 安全轮(Security Wheel)

2.2.2 网络安全策略

 2.3 端点保护和管理

2.3.1 基于主机和服务器的安全组件和技术

2.3.2 PC管理

 2.4 网络保护和管理

2.4.1 基于网络的安全组件和技术

2.4.2 网络安全管理

 2.5 安全体系

2.5.1 安全体系SAFE

2.5.2 Cisco自防卫网络

2.5.3 保护连通性(secure connectivity)

2.5.4 威胁防范(Threat Defense)

2.5.5 Cisco集成安全

2.5.6 计划、设计、实施、运行、优化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)

 2.6 基本的路由器安全

2.6.1 控制对网络设备的访问

2.6.2 使用SSH进行远程配置

2.6.3 路由器口令

2.6.4 路由器优先级和账户

2.6.5 Cisco IOS网络服务

2.6.6 路由、代理ARP、ICMP

2.6.7 路由协议认证和升级过滤

2.6.8 NTP、SNMP、路由器名、DNS

 2.7 总结

 2.8 检查你的理解

第3章 安全设备

 3.1 可选设备

3.1.1 Cisco防火墙特性集

3.1.2 创建用户的防火墙

3.1.3 PIX安全设备

3.1.4 自适应安全设备

3.1.5 Finesse操作系统

3.1.6 自适应安全算法

3.1.7 防火墙服务模块

 3.2 使用安全设备管理器

3.2.1 使用SDM启动向导

3.2.2 SDM用户界面

3.2.3 SDM向导

3.2.4 用SDM配置WAN

3.2.5 使用恢复出厂配置向导

3.2.6 监控模式

 3.3 Cisco安全设备家族介绍

3.3.1 PIX501安全设备

3.3.2 PIX506E安全设备

3.3.3 PIX515E安全设备

3.3.4 PIX525安全设备

3.3.5 PIX535安全设备

3.3.6 自适应安全设备模块

3.3.7 PIX安全设备许可证

3.3.8 PIX VPN 加密许可

3.3.9 安全上下文

3.3.10 PIX安全设备上下文许可证

3.3.11 ASA安全设备许可证

3.3.12 扩展PIX515E特性

3.3.13 扩展PIX525特性

3.3.14 扩展PIX535特性

3.3.15 扩展自适应安全设备家族的特性

 3.4 开始配置PIX安全设备

3.4.1 配置PIX 安全设备

3.4.2 帮助命令

3.4.3 安全级别

3.4.4 基本PIX安全设备的配置命令

3.4.5 其他PIX安全设备的配置命令

3.4.6 检查PIX安全设备的状态

3.4.7 时间设置和NTP支持

3.4.8 日志(syslog)配置

 3.5 安全设备的转换和连接

3.5.1 传输协议

3.5.2 NAT

3.5.3 动态内部NAT

3.5.4 两个接口的NAT

3.5.5个接口的NAT

3.5.6 PAT

3.5.7 增加PAT的全局地址池

3.5.8 static命令

3.5.9 nat 0命令

3.5.10 连接和转换

 3.6 用自适应安全设备管理器管理PIX

3.6.1 ASDM运行需求

3.6.2 ASDM的准备

3.6.3 使用ASDM配置PIX安全设备

 3.7 PIX安全设备的路由功能

3.7.1 虚拟LAN

3.7.2 静态和RIP路由

3.7.3 OSPF

3.7.4 多播路由

 3.8 防火墙服务模块的运行

3.8.1 FWSM的运行要求

3.8.2 开始使用FWSM

3.8.3 校验FWSM的安装

3.8.4 配置FWSM的访问列表

3.8.5 在FWSM上使用PDM

3.8.6 重置和重启FWSM

 3.9 总结

 3.10 检查你的理解

第4章 信任和身份技术

 4.1 关键术语

 4.2 AAA

4.2.1 TACACS

4.2.2 RADIUS

4.2.3 TACACS+和RADIUS的比较

 4.3 验证技术

4.3.1 静态口令

4.3.2 一次性口令

4.3.3 令牌卡

4.3.4 令牌卡和服务器方法

4.3.5 数字证书

4.3.6 生物测定学

 4.4 基于身份网络服务(IBNS)

 4.5 有线的和无线的执行

 4.6 网络准入控制(NAC)

4.6.1 NAC组成

4.6.2 NAC阶段

4.6.3 NAC运行

4.6.4 NAC厂商的参与

 4.7 总结

 4.8 检查你的理解

第5章 Cisco安全访问控制服务器

 5.1 关键术语

 5.2 Cisco安全访问控制服务器产品概述

5.2.1 验证和用户数据库

5.2.2 Cisco安全ACS用户数据库

5.2.3 保持数据库稳定

5.2.4 基于Windows的Cisco安全ACS体系架构

5.2.5 Cisco安全ACS如何验证用户

5.2.6 用户可更改的口令

 5.3 使用Cisco安全ACS配置TACACS+和RADIUS

5.3.1 安装步骤

5.3.2 管理基于Windows的Cisco安全ACS

5.3.3 排错

5.3.4 启用TACACS+

 5.4 检验TACACS+

5.4.1 失败

5.4.2 通过

 5.5 配置RADIUS

 5.6 总结

 5.7 检查你的理解

第6章 在三层配置信任和身份

 6.1 关键术语

 6.2 Cisco IOS防火墙认证代理

6.2.1 认证代理的运行

6.2.2 支持的AAA服务器

6.2.3 AAA服务器配置

6.2.4 AAA配置

6.2.5 允许AAA流量到路由器

6.2.6 认证代理配置

6.2.7 测试和验证认证代理

 6.3 介绍PIX安全器件AAA特性

6.3.1 PIX安全器件认证

6.3.2 PIX安全器件授权

6.3.3 PIX安全器件计费

6.3.4 AAA服务器支持

 6.4 在PIX安全器件上配置AAA

6.4.1 PIX安全器件访问认证

6.4.2 交互式用户认证

6.4.3 本地用户数据库

6.4.4 认证提示和超时

6.4.5 直通代理认证

6.4.6 认证非Telnet、FTP、HTTP或HTTPS流量

6.4.7 隧道用户认证

6.4.8 授权配置

6.4.9 可下载的ACL

6.4.10 计费配置

6.4.11 控制台会话计费

6.4.12 命令计费

6.4.13 AAA配置故障处理

 6.5 总结

 6.6 检查你的理解

第7章 在二层配置信任和身份

 7.1 关键术语

 7.2 基于身份的网络服务(IBNS)

7.2.1 特点及好处

7.2.2 IEEE 802.1x

7.2.3 选择正确的EAP

7.2.4 Cisco LEAP

7.2.5 IBNS和Cisco安全ACS

7.2.6 部署ACS的考虑

7.2.7 Cisco安全ACS RADIUS配置

 7.3 配置802.1x基于端口的认证

7.3.1 使能802.1x认证

7.3.2 配置交换机到RADIUS服务器的通信

7.3.3 使能周期性重认证

7.3.4 手工重认证连接到端口的客户

7.3.5 使能多主机

7.3.6 将802.1x配置重设为默认值

7.3.7 查看802.1x统计信息和状态

 7.4 总结

 7.5 检查你的理解

第8章 在路由器上配置过滤

 ……

第9章 在PIX安全器件上配置过滤

第10章 在交换机上配置过滤

第二学期

第1章 入侵检测和防御技术

第2章 配置网络入侵检测和入侵防护

第3章 加密与VPN技术

第4章 使用预共享密钥配置站点到站点VPN

第5章 使用数字证书配置站点到站点VPN

第6章 配置远程访问VPN

第7章 安全网络体系和管理

第8章 PIX安全器件上下文、故障倒换和管理

附录A “检查你的理解”部分的答案

术语表