內容介紹
本書是21世紀網路工程師設計寶典系列之一,全面介紹了如何針對Cisco網路設備配置CiscoIOS安全特性。通過CiscoIOS安全特性的配置,使我們的網路能夠避免有意和無意的攻擊,避免由於合法用戶的誤操作造成的數據丟失或泄露,從而保護網路系統的安全。全書共分六部分:認證、授權及記帳(AAA)、安全伺服器協定、流量過濾和防火牆、IP安全和加密技術、其它安全特性和附錄。認證提供了識別用戶的方法,它在允許用戶訪問網路以及網路資源之前確認用戶的身份;授權提供了遠程訪問控制的方法,它包括一次性授權和對每個服務進行授權;記帳提供了收集和傳送帳單信息、審計信息以及報告信息的手段。安全伺服器協定部分講述了配置RADIUS、Kerberos、TACACS+、TACACS和擴展TACACS的方法、命令和過程。流量過濾和防火牆部分講述了如何配置網路設備進行流量過濾以及如何把網路設備配置成精細入微的防火牆。IP安全與加密部分講述配置Cisco加密技術、配置IPSec、配置證書認證機構(CA)的互操作能力以及配置Intemet密鑰交換的方法。其它安全特性部分講述了進一步加強網路安全的其它技術與措施。
本書內容極為豐富,技術新、指導性和實用性強,不但是從事網路規劃和設計的廣大工程人員、系統分析人員和網管人員的重要學習指導書,同時也是高等院校相關專業師生重要的自學、教學參考用書和社會相關領域培訓班教材。
本書配套光碟內容包括與本書配套的電子書。
作品目錄
(上)引論:安全性概覽
關於本書
建立有效的安全策略
識別網路風險以及Cisco IOS解決方案
關於Cisco IOS12.0參考庫
使用 Cisco lOS 軟體
第一部分認證授權及記帳AAA
第1章 AAA概要
AAA安全服務
從哪裡開始
下面做什麼
第2章 認證配置
AAA 認證方法列表
AAA認證方法
非 AAA 認證方法
認證示例
第3章 認證命令
aaa authendcation arap
aaa authentication banner
aaa authentication enable default
aaa authentication fail-message
aaa authentication local-ovemde
aaa authentication login
aaa authentication nasi
aaa authentication password-prompt
aaa authentication ppp
aaa authentication usemame-prompt
aaa new-model
aaa processes
access-profile
arap authentication
clear ip trigger-authentication
ip trigger-authentication
(global configuration)
ip trigger-authentication
(interface configuration)
login authentication
login tacacs
nasi authentication
ppp authetication
ppp chap hostname
ppp chap password
ppp chap refuse
ppp chap wait
ppp pap sent-usemame
ppp use-tacacs
show ip trigger-authentication
show ppp queues.
timeout login response
第4章 授權配置
AAA授權類型
授權的命名方法列表
AAA 授權方法
AAA 授權先決條件
AAA 授權配置
授權配置
使用命名方法列表配置AAA授權
關閉全局配置命令授權
反向Telnet授權
授權屬性值對 (Attribute-ValuePair)
授權配置示例
第5章 授權命令
aaa authorization
aaa authorization config-commands
aaa authorization reverse-access
aaa new-model
authorizadon
ppp authorization
第6章 記帳配置
記帳的命名方法列表
AAA 記帳類型
AAA 記帳先決條件
AAA 記帳配置任務列表
使用命名方法列表配置AAA記帳
開放記帳
監督記帳
記帳屬性值對 (Attribute-ValuePair)
記帳配置示例
第7章 記帳命令
aaa accounting
aaa accounting suppress null-usemame
aaa accounting update
accounting
ppp accounting
show accounting
第二部分 安全伺服器協定
第8章 配置RADIUS
RADIUS 概覽
RADIUS 操作
RADIUS 配置任務表
第9章 RADIUS命令
aaa nas-port extended
ip radius source-interfacr
radius-server attribute nas-port extended
radius-server configure-nas
radius-server dead-time
radius-server extended-portnames
radius-server host
radius-server host non-standard
radius-server optional passwords
radius-server key
radius-server retransmit
radius-server timeout.
radius-server vsa send
第10章 配置TACACS+
TACACS+概覽
TACACS+操作
TACACS+配置任務列表
TACACS+配置示例
第11章 配置TACACS和擴展TACACS
TACACS 協定描述
TACACS 和擴展TACACS配置任務列表
TACACS 配置示例
第12章 TACACS、擴展TACACS和TACACS+命令
TACACS命令比較
arap use-tacacs
enable last-resort
enable use-tacacs
ip tacacs source-interface
tacacs-server attempts
tacacs-server authenticate
tacacs-server directed-request
tacacs-server extended
tacacs-server host
tacacs-server key
tacacs-server last-resort
tacacs-server login-timeout
tacacs-server notify
tacacs-server optional-passwords
tacacs-server retransmit
tacacs-servertimeout.
第13章 配置kerberos
Kerberos概覽
Kerberos客戶機支持的操作
Kerberos配置任務列表
Kerberos配置示例
第14章kerberos命令
clearkerberoscreds
connect
kerberosclientsmandatory
kerberoscredentialsforward
kerberosinstancemap
kerberoslocal-realm
kerberospreauth
kerberosrealm
keeberosserver
kerberossrvtabentry
kerberossrvtabremote
keyconfig-key
showkerberoscreds
teInet
第三部分 流量過濾與防火牆
第15章 訪問控制列表:概述與指導
關於訪問控制列表
訪問列表配置概述
查找訪問列表的完整配置和命令信息
第16章 Cisco Ios防火牆概述
防火牆概述
CiscoIOS防火牆解決方案
創建專用的防火牆
配製防火牆的其它指導原則
第17章 配置鎖定和密鑰的安全性
(動態訪問列表)
關於鎖定和密鑰
CiscoIOS版本11.1與早期版本的
兼容性
地址欺詐對鎖定和密鑰的威脅
使用鎖定和密鑰對路由器性能的影響
配置鎖定和密鑰的前提條件
配置鎖定和密鑰
檢驗鎖定和密鑰配置
鎖定和密鑰的維護
配置鎖定和密鑰示例
第18章 鎖定和密鑰命令
accessenable
access-template
clearaccess-template
showopaccounting
第19章 配置IP會話過濾
(反射訪問列表)
關於反射訪問列表
配置反射訪問列表前的準備工作
配置反射訪問列表
配置反射訪問列表示例
第20章 反射訪問列表命令
eValuate
ipreflexive-listtimeout
permit(reflexive)
第21章 配置TCP截取(防止
拒絕服務攻擊)
關於TCP截取
TCP截取的配置任務列表
TCP截取的配置範例
第22章 TCP截取命令
iptcpinterceptconnection-timeout
iptcpinterceptdrop-mode
iptcpinterceptfinrst-timeout
iptcpinterceptlist
iptcpinterceptmax-incompletehigh
iptcpinterceptmax-incompletelow
iptcpinterceptmode
iptcpinterceptone-minutehigh
iptcpinterceptone-minutelow
iptcpinterceptwatch-timeout
showtcpinterceptconnections
showtcpinterceptstatistics
第23章 配置基於上下文的訪問控制
CBAC概述
CBAC配置的任務
CBAC配置示例
第24章 基於上下文的訪問控制命令
ipinspectaudittraiI
ipinspectdns-timeout
ipinspect(interfaceconfiguration)
ipinspectmax-incompletehigh
iPinsPectmax-incompletelow
ipinspectname(globalcofiguration)
ipinspectone-minutehigh
ipinspectone-minutelow
ipinspecttcpfinwait-time
ipinspecttcpidle-time
ipinspecttcpmax-incompletehost
ipinspecttcpsynwait-time
ipinspectudpodle-time
noipinspect
showiPinsPect
(下)
第四部分 IP安全和加密技術
第25章 IP安全加密技術概述
Cisco 加密技術
IPSes網路安全性
Intemet密鑰交換安全性協定
身份認證互操作性
第26章 配置Cisco加密技術
為什麼要加密
cisco 加密的實現
補充信息來源
準備工作:在配置加密之前
配置加密
GRE 隧道加密配置
VIP2 中 ESA 加密配置
對 Cisco 7200 系列路由器上的ESA
進行加密配置
定製加密(配置選項)
關閉加密
加密測試和故障排除
加密配置示例
第27章 Cisco加密技術命令
access-list (encryption)
clear crypto connection
crypto algorithm 40-bit-des
crypto algorithm des
crypto card
crypto card clear-latch
crypto cisco algorithm 40-bit-des
crypto cisco algorithm des
crypto cisco connections
crypto cisco entities
crypto cisco key-timeout
crypto cisco pregen-dh-pairs
crypto clear-latch
crypto esa
crypto gen-signature-keys
crypto key-exchange
crypto key exchange dss.
crypto key exchange dss passive
crypto key-exchange passive
crypto key generate dss
crypto key pubkey-chain dss
crypto key-timeout
crypto key zeroize dss
crypto map(global configuraion)
crypto map(nterface configurat'on)
crypto pregen-dh-pairs
crypto public-key
crypto sdu connections
crypto sdu entities
crypto zeroize
deny
ip access-list extended(Cencryption)
match address
permit.
set algonthm 40-bit-des
set algorithm des
setpeer
show crypto algorithms
show crypto card.
show crypto cisco algorithms
show crypto cisco connections
show crypto cisco key-timeout
show crypto cisco pregen-dh-pairs
show crypto connections
show crypto engine brief
show crypto engine configuration
show crypto engine connections active
show crypto engine connections
dropped-packets
show crypto key mypubkey dss
show crypto key pubkey-chain dss
show crypto key-timeout
show crypto map
show crypto mypubkey
show crypto pregen-dh-pairs
show crypto pubkey
show crypto pubkey name
show crypto pubkey serial
test crypto initiate-session
第28章 配置IPSec網路安全
IPSec概述
IPSec 配置任務列表
IPSec 配置示例
第29章 IPSec網路安全性命令
clear crypto sa
crypto dynamic-map
crypto ipsec security-association lifetime
crypto ipsec transform-set
cryptomap (globalconfiguration)
cryptomap (interfaceconfiguration)
crypto map local-address
initialization-vector size
match address
mode
set prs
set security-association level per-host
set security-association lifetime
set session-key
set transfonn-set.
show crypto ipsec sa
show crypto ipsec security-association
lifetime
show crypto ipsec transform-set
show crypto dynamic-map
show crypto map
第30章 配置身份證互操作性
CA互操作性概述
證證機構概述
CA互操作性配置任務列表
下面要做什麼
CA 互操作性配置示例
第31章 身份認證互操作性命令
certificate
crl optional
crypto ca authenticate
crypto ca certificate chain
crypto ca certificate query
crypto ca crl request
crypto ca enroll.
crypto ca identity
crypto key generate rsa
crypto key zeroize rsa
enrollment mode ra
enrollment retry-count
enrollment retry-period
enrollment url
query url
show crypto ca certificates
第32章 配置Internet密鑰交換
安全協方
IKE根本要
IKE 配置任務列表
下面做什麼
IKE 配置示例
第33章 Internet密鑰交換
安全協定命令
address
addressed-key
authentication^KE policy)
clear crypto isakmp
crypto isakmp enable
crypto isakmp identity
crypto isakmp key
crypto isakmp policy
crypto key generate rsa
crypto key pubkey-chain rsa
encryption(IKE policy)
group(IKE policy)
hash(IKE policy)
key-string.
lifetimeIKE policy)
named-key
show crypto isakmp policy
show crypto isakmp sa
show crypto key mypubkey rsa
show crypto key pubkey-chain rsa
第五部分 其它安全特性
第34章 配置口令和特權
保護到特權EXEC命令的訪問
加密口令
配置多重特權級別
恢復丟失的有效口令
恢復丟失的有效口令
配置標識支持
口令矣特權配置示例
第35章 口令和特權命令
enable
enable password
enable secret
ip identd
password
privilege level (global)
privilege level (line)
service password-encryption
show privilege
usemame
第36章 鄰接路由器認證:概要及方略
鄰接認證的優點
使用鄰 接認證的協定
何時配置鄰接認證
鄰接認證工作原理
密鑰管理(密鑰鏈)
第37章 配置IP安全選項
配置基本IP安全選項
配置擴展IP安全選項
配置DNSIX審計跟蹤功能
IPSO配置示例
第38章 IP 安全選項命令
dnsix-dmdp retries
dnsix-nat authorized-redirection
dnsix-nat primary
dnsix-nat secondary
dnsix-nat source
dnsix-nat transmit-count
ip security add.
ip security aeso
ip security dedicated
ip security eso-info
ip security eso-max
ip security eso-min
ip security extended-allowed
ip security first
ip security ignore-authorities
ip security implicit-labelling
ip security multilevel
ip security reserved-allowed
ip security strip
show dnsix
第六部分 附 錄
附錄ARADIUS屬性
所支持的RADIUS屬性
RADIUS屬性完整列表
附錄8TACACS+屬性值對
TACACS+屬性值(AV)對
TACACS+記帳屬性值(AV)對
