网络安全技术与解决方案(Network security technologies and solutions)
点此进入淘宝搜索页搜索分類: 图书,计算机与互联网,家庭与计算机,PC机,PC安全,
品牌: 海吉
基本信息·出版社:人民邮电出版社
·页码:565 页
·出版日期:2009年
·ISBN:7115193118/9787115193117
·条形码:9787115193117
·包装版本:1版
·装帧:平装
·开本:16
·正文语种:中文
·外文书名:Network security technologies and solutions
产品信息有问题吗?请帮我们更新产品信息。
内容简介《网络安全技术与解决方案》是用于管理Cisco网络的综合性参考资料,能够帮助网络安全专业人士理解和实施先进的网络安全技术和解决方案。书中内容涵盖所有主要的Cisco安全产品、技术和解决方案,包括各种成熟的和新出现的技术信息,如自适应安全设备防火墙8.0,Cisco入侵防御系统感应软件6.0,主机IPS,Cisco组加密传输VPN,MPLS VPN技术,Cisco分布式拒绝服务异常检测和缓解方案,Cisco安全监控、分析和响应系统,以及安全构架、标准和法规遵从性等。与主要关注概念与理论的图书不同,《网络安全技术与解决方案》可作为配置和管理Cisco的领先动态链路的便捷工具书。
无论是对网络工程师或安全工程师、顾问,还是从事安全认证方面研究的读者,《网络安全技术与解决方案》都是设计和构建安全网络的重要参考资料。此外,《网络安全技术与解决方案》还为拟参加CCIE安全认证考试的读者提供了涵盖新大纲考点宝贵的备考资源。
作者简介Yusuf Bhaiji,CCIE#9305(路由和交换与安全),已在Cisco公司工作了7年,现任Cisco CCIE安全认证的项目经理和Cisco Dubai实验室的CCIE代理人。此前,他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用,这从他最初攻读计算机科学硕士学位时就开始了,他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力,他已经指导了许多成功的考生,还在国际上设计和发表了许多网络安全解决方案。
Yusuf是几个非营利组织的咨询委员会成员,这些组织在Intemet网络中发扬传统美德,通过学术和专业活动进行技术传播。Yusuf在巴基斯坦网络安全(NSP)和IPv6巴基斯坦论坛担任要职。
Yusuf还于2004年年初,通过Cisco出版社出版了一本名为《CCIE安全Lab实战》(已由人民邮电出版社翻译出版)的著作。他一直是Cisco出版社出版业务的技术评审,为之撰写文章、白皮书,并介绍各种安全技术。他还经常在一些会议和研讨会上进行著名的演讲。
媒体推荐“Yusuf是安全技术领域的导师和顾问,他丰富的阅历磨练了他将高技术含量的知识转化成一种简单直白、易于理解的形式的能力。如果要寻求网络安全方面真正全面的参考书,则非本书莫属!”
——steve Gordon,Cisco技术服务部副总裁
编辑推荐在交换机上使用访问列表过滤流量。实施安全功能;配置Cisco lOS路由器防火墙功能.部署ASA和PIX防火墙设备;理解攻击向量并应用2层和3层缓解技术;AAA安全访问管理;利用多因素验证技术的安全访问控制:实施基于身份的网络访问控制:应用最新的无线局域网安全解决方案;遵循Cisco NAC来执行安全策略;学习密码学基础并实施lPSecVPN、DMVPN、GET VPN、SSL.VPN和MPt-S VPN技术:使用网络和主机入侵防御、异常检测和安全监控及相关技术,监控网络活动和安全事件响应;部署Cisco安全管理器、SDM、ADSM、PDM和IDM等安全管理解决方案:学习GLBA、HIPPA和SOx等法规遵从性问题。
《网络安全技术与解决方案》介绍了先进的网络安全产品和可行方案,能够帮助读者理解和实施最新的网络安全技术,以保障整个网络基础设施的通信安全。
《网络安全技术与解决方案》是一个网络安全知识库。涵盖了CIsco网络安全的各个方面,通过简单易懂的方式帮助读者实施端到端安全解决方案。
书中将CIsco安全技术和解决方案归纳为边界安全、身份安全与访问管理、数据保密、安全监控和安全管理5个部分。这5个部分共同作用使得客户安全策略、用户或主机身份和网络基础设施之间的动态链接成为可能。
凭借这本权威的参考书。读者能够更加深刻地理解可行的解决方案,并能学习到如何在现代异构网络体系中构建多业务安全网络。对于那些寻求有关成熟或新兴安全策略的综合参考书的读者来说,《网络安全技术与解决方案》无疑是绝佳的首选。《网络安全技术与解决方案》也是CClE安全考试极佳的学习指南。
目录
第1部分边界安全
第1章网络安全概述
1.1网络安全的基本问题
1.2安全范例的变化
1.3安全准则——CIA模型
1.3.1机密性
1.3.2完整性
1.3.3可用性
1.4策略、标准、规程、基线、准则
1.4.1安全策略
1.4.2标准
1.4.3规程
1.4.4基线
1.4.5准则
1.5安全模型
1.6边界安全
1.6.1是否存在边界安全
1.6.2定义边界的难点
1.6.3可靠的边界安全解决方案
1.7各层的安全
1.7.1多层边界解决方案
1.7.2多米诺效应
1.8安全轮
1.9小结
第2章访问控制
2.1利用ACL的流量过滤
2.1.1ACL概述
2.1.2ACL应用
2.1.3何时配置ACL
2.2IP地址概述
2.2.1IP地址分类
2.2.2理解IP地址分类
2.2.3专用IP地址(RFC 1918)
2.3子网掩码与反掩码概述
2.3.1子网掩码
2.3.2反掩码
2.4ACL配置
2.4.1创建ACL
2.4.2为ACL分配唯一名称或数值
2.4.3将ACL应用于接口
2.4.4ACL的方向
2.5理解ACL的处理
2.5.1入站ACL
2.5.2出站ACL
2.5.3多种分组类型的分组流规则
2.5.4实施ACL准则
2.6访问列表类型
2.6.1标准ACL
2.6.2扩展ACL
2.6.3IP命名ACL
2.6.4锁与密钥(动态ACL)
2.6.5自反ACL
2.6.6既定ACL
2.6.7使用时间范围的定时ACL
2.6.8分布式定时ACL
2.6.9配置分布式定时ACL
2.6.10Turbo ACL
2.6.11接收ACL(rACL)
2.6.12基础设施保护ACL(iACL)
2.6.13传输ACL
2.6.14分类ACL
2.6.15利用ACL调试流量
2.7小结
2.8参考
第3章设备安全
3.1设备安全策略
3.2增强设备安全
3.2.1物理安全
3.2.2密码
3.2.3用户账号
3.2.4优先权等级
3.2.5基础ACL
3.2.6交互访问模式
3.2.7旗标消息
3.2.8Cisco IOS弹性配置
3.2.9Cisco设备发现协议(CDP)
3.2.10TCP/UDP小型服务器
3.2.11查找器
3.2.12识别协议(auth)
3.2.13DHCP和BOOTP服务
3.2.14简单文件传输协议(TFTP)服务
3.2.15文件传输协议(FTP)服务
3.2.16半自动设备配置
3.2.17PAD
3.2.18IP源路由选择
3.2.19代理ARP(Proxy ARP)
3.2.20无偿ARP
3.2.21IP直播
3.2.22IP掩码应答
3.2.23IP重定向
3.2.24ICMP不可达
3.2.25HTTP
3.2.26网络时间协议(NTP)
3.2.27简单网络管理协议(SNMP)
3.2.28Auto-Secure特性
3.3安全设备的安全管理访问
3.3.1设备访问安全——PIX500和ASA5500安全设备
3.3.2IPS4200系列传感器(前身为IDS4200)
3.4设备安全清单
3.5小结
3.6参考
第4章交换机的安全特性
4.1保护第2层
4.2端口级流量控制
4.2.1风暴控制
4.2.2受保护的端口(PVLAN边缘)
4.3专用VLAN(PVLAN)
4.3.1配置PVLAN
4.3.2端口阻塞
4.3.3端口安全
4.4交换机的访问列表
4.4.1路由器ACL
4.4.2端口ACL
4.4.3VLAN ACL(VACL)
4.4.4MAC ACL
4.5生成树协议的特性
4.5.1BPDU保护
4.5.2根保护
4.5.3以太网信道保护
4.5.4环路保护
4.6监测DHCP
4.7IP源保护
4.8动态ARP检测(DAI)
4.8.1DHCP环境下的DAI
4.8.2非DHCP环境下的DAI
4.8.3限制ARP包的进入速率
4.8.4ARP确认检查
4.9Catalyst高端交换机的高级集成安全特性
4.10控制层管制(CoPP)特性
4.11CPU速率限制器
4.12第2层安全的最佳实践
4.13小结
4.14参考
第5章Cisco IOS防火墙
5.1基于路由器的防火墙解决方案
5.2CBAC的功能
5.2.1流量过滤
5.2.2流量检测
5.2.3报警和审计跟踪
5.3CBAC工作原理
5.3.1分组检测
5.3.2超时值和阈值
5.3.3会话状态
5.3.4UDP连接
5.3.5动态ACL条目
5.3.6未完成(半开)会话
5.3.7Per-host DoS预防
5.4支持CBAC的协议
5.5配置CBAC
5.5.1步骤1——选择一个接口:内部或外部
5.5.2步骤2——配置IP访问列表
5.5.3步骤3——定义检测规则
5.5.4步骤4——配置全局超时值和阈值
5.5.5步骤5——将访问列表和监测规则应用到接口
5.5.6步骤6——验证和监控CBAC
5.5.7整理思路
5.6IOS防火墙高级特性
5.6.1HTTP检测引擎
5.6.2E-mail检测引擎
5.6.3防火墙ACL旁路
5.6.4透明IOS防火墙(第2层)
5.6.5虚拟碎片重组(VFR)
5.6.6VRF-aware IOS防火墙
5.6.7路由器产生的流量检测
5.7区域式策略防火墙(ZFW)
5.7.1区域式策略概述
5.7.2安全区域
5.7.3配置区域式策略防火墙
5.7.4利用Cisco策略语言(CPL)配置ZFW
5.7.5应用检测和控制(AIC)
5.8小结
5.9参考
第6章Cisco防火墙:设备和模块
6.1防火墙概述
6.2硬件与软件防火墙
6.3Cisco PIX 500系列安全设备
6.4Cisco ASA 5500系列自适应安全设备
6.5Cisco防火墙服务模块(FWSM)
6.6PIX 500和ASA 5500防火墙设备软件
6.7防火墙设备操作系统软件
6.8防火墙模式
6.8.1路由防火墙模式
6.8.2透明防火墙模式(隐藏的防火墙)
6.9全状态监测
6.10应用层协议检测
6.11自适应安全算法原理
6.12安全环境
6.12.1多环境——路由模式(资源共享)
6.12.2多环境——透明模式
6.12.3配置安全环境
6.13安全级别
6.14冗余接口
6.15IP路由选择
6.15.1静态和默认路由
6.15.2开放式最短路径优先(OSPF)
6.15.3路由选择信息协议(RIP)
6.15.4增强型内部网关路由选择协议(EIGRP)
6.16网络地址转换(NAT)
6.16.1NAT控制
6.16.2NAT的类型
6.16.3NAT控制激活时绕过NAT
6.16.4策略NAT
6.16.5NAT处理的顺序
6.17控制流量和网络访问
6.17.1ACL概述和在安全设备中的应用
6.17.2通过使用访问列表的安全设备控制入站和出站的流量
6.17.3利用对象组简化访问列表
6.18模块式策略架构(MPF)
6.19Cisco任意连接VPN客户端
6.20冗余和负载均衡
6.20.1故障恢复要求
6.20.2故障恢复链路
6.20.3状态链路
6.20.4故障恢复的部署
6.20.5非对称路由选择支持(ASR)
6.21防火墙服务模块(FWSM)的“模块化”软件
6.22防火墙模块的操作系统软件
6.23通过防火墙模块的网络流量
6.24部署路由器/MSFC
6.24.1单环境模式
6.24.2多环境模式
6.25配置FWSM
6.26小结
6.27参考
第7章攻击向量和缓解技术
7.1漏洞、威胁和漏洞利用
7.1.1攻击类型
7.1.2攻击向量
7.1.3攻击者类型
7.1.4风险评估
7.2第3层缓解技术
7.2.1流量表征
7.2.2IP源追踪器
7.2.3IP欺骗攻击
7.2.4分组分类和标记技术
7.2.5允许访问速率(CAR)
7.2.6模块式QoS CLI(MQC)
7.2.7流量管制
7.2.8基于网络的应用程序识别(NBAR)
7.2.9TCP拦截
7.2.10基于策略的路由选择(PBR)
7.2.11单播反向路径转发(uRPF)
7.2.12NetFlow
7.3第2层防范技术
7.3.1CAM表溢出-MAC攻击
7.3.2MAC欺骗攻击
7.3.3ARP欺骗攻击
7.3.4VTP攻击
7.3.5VLAN跳跃攻击
7.3.6PVLAN攻击
7.3.7生成树攻击
7.3.8DHCP欺骗和耗尽攻击
7.3.9802.1x攻击
7.4安全事件应急响应框架
7.4.1什么是安全事件
7.4.2安全事件应急响应处理
7.4.3安全事件的应急响应方法
7.5小结
7.6参考
第2部分身份安全和访问管理
第8章安全访问管理
8.1AAA安全服务
8.1.1AAA范例
8.1.2AAA的相关性
8.2验证协议
8.2.1RADIUS
8.2.2TACACS+
8.2.3RADIUS和TACACS+的比较
8.3实现AAA
8.3.1AAA方法
8.3.2AAA功能的服务类型
8.4配置实例
8.4.1利用RADIUS进行PPP验证、授权和统计
8.4.2利用TACACS+进行登录验证、命令授权和统计
8.4.3带密码重试锁定的登录验证
8.5小结
8.6参考
第9章Cisco安全ACS软件和设备
9.1Windows环境下的Cisco安全ACS软件
9.1.1AAA服务器:Cisco安全ACS
9.1.2遵循的协议
9.2ACS高级功能和特性
9.2.1共享型配置文件组件(SPC)
9.2.2可下载的IP ACL
9.2.3网络访问过滤器
9.2.4RADIUS授权组件
9.2.5Shell命令授权集
9.2.6网络访问限制
9.2.7设备访问限制
9.2.8网络访问配置文件
9.2.9Cisco NAC支持
9.3配置ACS
9.4Cisco安全ACS设备
9.5小结
9.6参考
第10章多因素验证
10.1识别和验证
10.2双因素验证系统
10.2.1OTP
10.2.2S/KEY
10.2.3利用OTP解决方案对抗重放攻击
10.2.4双因素验证系统的属性
10.3支持双因素验证系统的Cisco Secure ACS
10.3.1Cisco Secure ACS工作原理
10.3.2为启用了RADIUS的令牌服务器配置Cisco Secure ACS
10.3.3为RSA SecurID令牌服务器配置Cisco Secure ACS
10.4小结
10.5参考
第11章第2层访问控制
11.1信任与身份管理解决方案
11.2基于身份的网络服务(IBNS)
11.2.1Cisco安全ACS
11.2.2外部数据库支持
11.3IEEE 802.1x
11.3.1IEEE 802.1x组件
11.3.2端口状态:授权与非授权
11.3.3EAP方法
11.4部署802.1x的解决方案
11.4.1有线局域网(点对点)
11.4.2无线局域网(多点)
11.5实现基于802.1x端口的验证
11.5.1在运行Cisco IOS软件的Cisco Catelyst交换机上配置802.1x和RADIUS
11.5.2为在交换机上终止的不遵从访问点启用多用户
11.5.3RADIUS授权
11.5.4在Csico Arionet无线局域网访问节点上运行Cisco IOS软件配置802.1x和RADIUS
11.5.5Windows XP客户端上的申请者IEEE 802.1x设置
11.6小结
11.7参考
第12章无线局域网(WLAN)的安全
12.1无线局域网(WLAN)
12.1.1无线电波
12.1.2IEEE协议标准
12.1.3通信方法——无线电频率(RF)
12.1.4WLAN组件
12.2WLAN安全
12.2.1服务器设置识别(SSID)
12.2.2MAC验证
12.2.3客户端验证(开放和共享的密钥)
12.2.4静态有线对等加密(WEP)
12.2.5WPA、WPA2和802.11i(改进的WEP)
12.2.6IEEE 802.1x和EAP
12.2.7WLAN NAC
12.2.8WLAN IPS
12.2.9VPN IPSec
12.3缓解WLAN攻击
12.4Cisco统一无线网络解决方案
12.5小结
12.6参考
第13章网络准入控制(NAC)
13.1创建自防御网络(SDN)
13.2网络准入控制(NAC)
13.2.1为什么需要NAC
13.2.2Cisco NAC
13.2.3NAC应用与NAC框架比较
13.3Cisco NAC设备解决方案
13.3.1Cisco NAC设备机制
13.3.2NAC设备组件
13.3.3NAC应用部署方案
13.4Cisco NAC框架解决方案
13.4.1Cisco NAC框架解决方案机制
13.4.2Cisco NAC框架组件
13.4.3Cisco NAC框架部署方案
13.4.4Cisco NAC框架实施方法
13.5小结
13.6参考
第3部分数据保密
第14章密码学
14.1安全通信
14.1.1密码系统
14.1.2密码学概述
14.1.3密码术语
14.1.4密码算法
14.2虚拟专用网(VPN)
14.3小结
14.4参考
第15章IPSec VPN
15.1虚拟专用网(VPN)
15.1.1VPN技术的类型
15.1.2VPN部署的类型
15.2IPSec VPN(安全VPN)
15.2.1IPSec请求评论(RFC)
15.2.2IPSec模式
15.2.3IPSec协议头
15.2.4IPSec反重放服务
15.2.5ISAKMP和IKE
15.2.6ISAKMP文件
15.2.7IPSec文件
15.2.8IPSec虚拟隧道接口(IPSec VTI)
15.3公钥基础结构(PKI)
15.3.1PKI组成
15.3.2证书注册
15.4实现IPSec VPN
15.4.1Cisco IPSec VPN实现
15.4.2站点到站点IPSec VPN
15.4.3远程访问IPSec VPN
15.5小结
15.6参考
第16章动态多点VPN
16.1DMVPN解决方案的结构
16.1.1DMVPN网络设计
16.1.2DMVPN解决方案的组成
16.1.3DMVPN工作原理
16.1.4DMVPN数据结构
16.2DMVPN部署的拓扑结构
16.3实现DMVPN中心到节点结构
16.3.1实现单中心单DMVPN(SHSD)的拓扑结构
16.3.2实现双中心双DMVPN(DHDD)的拓扑结构
16.3.3实现SLB的拓扑结构
16.4实现动态网格的节点到节点的DMVPN结构
16.4.1实现双中心单DMVPN的拓扑结构
16.4.2实现多中心单DMVPN的拓扑结构
16.4.3实施分层(基于树型)的拓扑结构
16.5小结
16.6参考
第17章群组加密传输VPN
17.1GET VPN解决方案体系结构
17.1.1GET VPN特性
17.1.2为什么需要GET VPN
17.1.3GET VPN和DMVPN
17.1.4何时部署GET VPN
17.1.5GET VPN解决方案组成
17.1.6GET VPN工作原理
17.1.7IP报头保护
17.1.8群组成员的ACL
17.2实现Cisco IOS GET VPN
17.3小结
17.4参考
第18章安全套接字层VPN(SSL VPN)
18.1安全套接字层协议
18.2SSL VPN解决方案的体系结构
18.2.1SSL VPN概述
18.2.2SSL VPN特性
18.2.3SSL VPN部署考虑事项
18.2.4SSL VPN访问方法
18.2.5SSL VPN Citrix支持
18.3实现Cisco IOS SSL VPN
18.4Cisco AnyConnect VPN客户端
18.5小结
18.6参考
第19章多协议标签交换VPN(MPLS VPN)
19.1多协议标签交换
19.1.1MPLS体系结构概述
19.1.2MPLS工作原理
19.1.3MPLS VPN和IPSec VPN
19.1.4部署方案
19.1.5面向连接和无连接的VPN技术
19.2MPLS VPN(可信VPN)
19.3第3层VPN(L3VPN)和第2层 VPN(L2VPN)的比较
19.4L3VPN
19.4.1L3VPN的组成
19.4.2L3VPN的工作原理
19.4.3VRF表的工作原理
19.5实现L3VPN
19.6L2VPN
19.7实现L2VPN
19.7.1利用基于VPWS的体系结构在MPLS服务中实现以太网VLAN
19.7.2利用基于VPLS的体系结构在MPLS服务中实现以太网VLAN
19.8小结
19.9参考
第4部分安全监控
第20章网络入侵防御
20.1入侵系统专业术语
20.2网络入侵保护概述
20.3Cisco IPS 4200系列传感器
20.4Cisco IDS服务模块(IDSM-2)
20.5Cisco增强型检测和防御安全服务系统模块(AIP-SSM)
20.6Cisco IPS增强型集成模块(IPS-AIM)
20.7Cisco IOS IPS
20.8部署IPS
20.9Cisco IPS传感器操作软件
20.10Cisco IPS传感器软件
20.10.1传感器软件——系统构架
20.10.2传感器软件——通信协议
20.10.3传感器软件——用户角色
20.10.4传感器软件——分区
20.10.5传感器软件——特征库和特征引擎
20.10.6传感器软件——IPS事件
20.10.7传感器软件——IPS事件动作
20.10.8传感器软件——风险等级(RR)
20.10.9传感器软件——IPS威胁等级
20.10.10传感器软件——IPS接口
20.10.11传感器软件——IPS接口模式
20.10.12传感器软件——IPS阻塞(回避)
20.10.13传感器软件——IPS速率限制
20.10.14传感器软件——IPS虚拟化
20.10.15传感器软件——IPS安全策略
20.10.16传感器软件——IPS异常检测(AD)
20.11IPS高可靠性
20.11.1IPS应急开放机制
20.11.2故障转移机制
20.11.3应急开放和故障转移的部署
20.11.4负载均衡技术
20.12IPS设备部署准则
20.13Cisco入侵保护系统设备管理器(IDM)
20.14配置IPS内部VLAN对模式
20.15配置IPS内部接口对模式
20.16配置定制特征和IPS阻塞
20.17小结
20.18参考
第21章主机入侵保护
21.1利用非特征机制保护终端节点
21.2Cisco安全代理(CSA)
21.3CSA体系结构
21.3.1CSA拦截和相关性
21.3.2CSA扩展全局相关性
21.3.3CSA访问控制过程
21.3.4CSA深度防御——零天保护
21.4CSA功能和安全角色
21.5CSA部件
21.6利用CSA MC配置并管理CSA部署
21.6.1管理CSA主机
21.6.2管理CSA代理工具箱
21.6.3管理CSA群组
21.6.4CSA代理用户界面
21.6.5CSA策略、规则模块和规则
21.7小结
21.8参考
第22章异常检测和缓解
22.1攻击范围
22.1.1拒绝服务攻击(DoS)定义
22.1.2分布式拒绝服务(DDoS)攻击——如何定义
22.2异常检测和缓解系统
22.3Cisco DDoS异常检测和缓解解决方案
22.4Cisco流量异常检测器
22.5Cisco Guard DDoS缓解
22.6整体运行
22.7配置和管理Cisco流量异常检测器
22.7.1管理检测器
22.7.2通过CLI控制台访问初始化检测器
22.7.3配置检测器(区域、过滤器、策略和学习过程)
22.8配置和管理Cisco Guard缓解
22.8.1管理Guard
22.8.2利用CLI控制台访问并初始化Guard
22.8.3配置Guard(区域、过滤器、策略和学习过程)
22.9小结
22.10参考
第23章安全监控和相关性
23.1安全信息和事件管理
23.2Cisco安全监控、分析和响应系统(CS-MARS)
23.2.1安全威胁防御(STM)系统
23.2.2拓扑结构感知和网络映射
23.2.3关键概念——事件、会话、规则和事故
23.2.4CS-MARS事件处理
23.2.5CS-MARS中的误报
23.3部署CS-MARS
23.3.1独立和本地控制器(LC)
23.3.2全局控制器(GC)
23.3.3软件版本化信息
23.3.4报告和防御设备
23.3.5运行级别
23.3.6流量和已开启窗口
23.3.7基于Web的管理界面
23.3.8初始化CS-MARS
23.4小结
23.5参考
第5部分安全管理
第24章安全和策略管理
24.1Cisco安全管理解决方案
24.2Cisco安全管理器
24.2.1Cisco安全管理器——特征和性能
24.2.2Cisco安全管理器——防火墙管理
24.2.3Cisco安全管理器——VPN管理
24.2.4Cisco安全管理器——IPS管理
24.2.5Cisco安全管理器——平台管理
24.2.6Cisco安全管理器——体系结构
24.2.7Cisco安全管理器——配置视图
24.2.8Cisco安全管理器——设备管理
24.2.9Cisco安全管理器——工作流模式
24.2.10Cisco安全管理器——基于角色的访问控制
24.2.11Cisco安全管理器——交叉-启动xDM
24.2.12Cisco安全管理器——支持的设备和OS版本
24.2.13Cisco安全管理器——服务器和客户端要求及限制
24.2.14Cisco安全管理器——流量和已打开端口
24.3Cisco路由器和安全设备管理器(SDM)
24.3.1Cisco SDM——特征与性能
24.3.2Cisco SDM工作原理
24.3.3Cisco SDM——路由器安全审计功能
24.3.4Cisco SDM——一步锁定功能
24.3.5Cisco SDM——监控模式
24.3.6Cisco SDM——所支持路由和IOS版本
24.3.7Cisco SDM——系统要求
24.4Cisco自适应安全设备管理器(ASDM)
24.4.1Cisco ASDM——特征和性能
24.4.2Cisco ASDM——工作原理
24.4.3Cisco ASDM——分组追踪器程序
24.4.4Cisco ASDM——相关访问规则系统日志
24.4.5Cisco ASDM——支持的防火墙和软件版本
24.4.6Cisco ASDM——用户要求
24.5Cisco PIX设备管理器(PDM)
24.6Cisco PIX设备管理器(IDM)
24.6.1Cisco IDM——工作原理
24.6.2Cisco IDM——系统要求
24.7小结
24.8参考
第25章安全框架和规章制度
25.1安全模型
25.2策略、标准、准则和规程
25.2.1安全策略
25.2.2标准
25.2.3准则
25.2.4规程
25.3最佳实践框架
25.3.1ISO/IEC 17799(目前是ISO/IEC 27002)
25.3.2COBIT
25.3.317799/27002和COBIT比较
25.4遵从性和风险管理
25.5法规遵从和立法行为
25.6GLBA——格雷姆-里奇-比利雷法
25.6.1谁受到影响
25.6.2GLBA要求
25.6.3违反处罚
25.6.4满足GLBA的Cisco解决方案
25.6.5GLBA总结
25.7HIPPA——健康保险携带和责任法案
25.7.1谁受到影响
25.7.2HIPPA要求
25.7.3违反处罚
25.7.4满足HIPPA的Cisco解决方案
25.7.5HIPPA总结
25.8SOX——萨班斯-奥克斯莱法案
25.8.1谁受到影响
25.8.2SOX法案要求
25.8.3违反处罚
25.8.4满足SOX法案的Cisco解决方案
25.8.5SOX总结
25.9展望全球法规遵从法案和立法
25.9.1在美国
25.9.2在欧洲
25.9.3在亚太地区
25.10Cisco自防御网络解决方案
25.11小结
25.12参考
……[看更多目录]
序言随着Internet经济的爆发式增长,关键任务系统的持续可用性已变得前所未有的重要。客户、员工和提供商都期望网络管理员和业务管理员能提供持续可用的网络资源,并能在一个完全安全的环境下访问关键应用和数据。这不仅仅是一个挑战,而且违反网络安全的代价也从未这样高过。
本书是一本用于管理Cisco网络,具有综合性、统一性价值的参考资料。编写本书的目的在于帮助网络安全专业人士理解和实施现有先进的网络安全技术与解决方案。无论读者是一名网络安全方面的专家,还是一名业内的新手,这本书都是一个宝贵资源。
许多关于网络安全方面的书籍,主要注重概念与理论。而本书却与之截然不同。本书可作为配置和管理Cisco市场领先动态链路的便捷工具书。这一链接存在于客户安全策略、用户或主机识别以及网络基础设施之间。本书的内容建立在Cisco安全解决方案中的关键要素之上。就如何成功地设置网络安全的各个方面提供实用的日常指导,涵盖诸如边界安全、安全识别、访问管理、数据隐私以及安全监控和管理等内容。
YusufBhaiii已在Cisco Systems工作了7年,现担任产品经理,负责Cisco CCIE安全验证拓展,同时他还是Cisco Dubai实验室的一名CCIE代理。Yusuf对安全技术和解决方案的热情在他17年的行业经验和无数验证中表露无遗。作为安全技术领域的导师和顾问,Yusuf丰富的阅历,磨炼了他将高技术含量的知识转化成一种简单直白,易于理解格式的能力。如果要寻求网络安全方面真正全面的向导,非Yusuf Bhaiji莫属!
文摘9.如何减小风险?
10.风险的承受能力有多大?
可以根据这些疑问讨论并回答一些与建立安全网络基本需求相关的基本问题。网络安全技术能降低风险,为扩展企业内部网、外部网及电子商贸应用业务提供基础。
解决方案也能避免敏感数据和企业资源受到入侵和破坏。
现在,先进的技术能为中小型公司(SMB,small and medium-sized businesses)以及大型网络提供发展和竞争的机会;同时,这些技术还强调了保护计算机系统免受大规模安全威胁的必要性。
对于业务来说,保持网络基础设施安全的挑战已经变得前所未有的关键和重要。尽管信息安全方面的投资相当大,但组织机构仍然被网上事件所困扰。同时,管理部门追求使用较少的资源,以取得较大的成效。因此,提高安全的有效性仍然很重要,如果没有必要,则加强可用性和灵活性也将成为首要目标。
如果没有适当的保护,网络的每个部分都容易经受到来自入侵者、竞争对手甚至是雇员的安全破坏行为或未经授权的破坏活动。许多自己管理内部网络安全且上网不仅仅是进行邮件收发的组织机构会受到网络攻击——而大多数公司甚至都不知道自己遭受攻击。较小的公司往往会怡然自得,产生安全错觉,经常只回应最近遭遇的病毒或最近公司网站的受损,但这些企业会陷入一种困境,没有足够的时间和资源用于安全防范。
为了解决这些问题,Cisco已开发出一套综合安全规划,建议和阐述了针对网络不同部位的特定安全方案。
插图:
