CISCO IOS網(wǎng)絡(luò)安全

第1章 安全性概述
1.1 本書內(nèi)容簡介
1.1.1 身份認(rèn)證、授權(quán)和統(tǒng)計(jì)
1.1.2 安全服務(wù)器協(xié)議
1.1.3 數(shù)據(jù)流過濾
1.1.4 網(wǎng)絡(luò)數(shù)據(jù)加密
1.1.5 其他安全特性
1.2 創(chuàng)建有效的安全策略
1.2.1 安全策略的性質(zhì)
1.2.2 安全策略的兩個級別
1.2.3 開發(fā)有效的安全策略的技巧
1.3 認(rèn)識安全危險(xiǎn)和Cisco IOS 解決方案
1.3.1 防止對網(wǎng)絡(luò)設(shè)備的未經(jīng)授權(quán)的訪問
1.3.2 防止對網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問
1.3.3 防止網(wǎng)絡(luò)數(shù)據(jù)竊聽
1.3.4 防止欺騙性路由更新
1.4 使用Cisco IOS軟件創(chuàng)建防火墻
1.4.1 防火墻概述
1.4.2 創(chuàng)建防火墻
1.4.3 配置防火墻的其他指導(dǎo)原則
第一部分 身份認(rèn)證、授權(quán)和統(tǒng)計(jì)（AAA）
第2章 AAA概述
2.1 AAA安全服務(wù)
2.1.1 使用AAA的益處
2.1.2 AAA基本原理
2.1.3 方法列表
2.2 從何處開始
2.2.1 AAA配置過程概述
2.2.2 啟用AAA
2.2.3 停用AAA
2.3 下一步工作
第3章 配置認(rèn)證
3.1 AAA身份認(rèn)證方法列表
3.1.1 方法列表舉例
3.1.2 配置AAA身份認(rèn)證的通用步驟
3.2 AAA身份認(rèn)證方法
3.2.1 使用AAA配置登錄身份認(rèn)證
3.2.2 使用AAA配置PPP身份認(rèn)證
3.2.3 使用AAA配置ARA身份認(rèn)證
3.2.4 使用AAA配置NASI身份認(rèn)證
3.2.5 啟用特權(quán)級口令保護(hù)
3.2.6 啟用身份認(rèn)證覆蓋（override）
3.2.7 啟用雙重身份認(rèn)證
3.3 非AAA身份認(rèn)證方法
3.3.1 配置線路口令保護(hù)
3.3.2 建立用戶名身份認(rèn)證
3.3.3 啟用CHAP或PAP身份認(rèn)證
3.3.4 配置TACACS和擴(kuò)展TACACS口令保護(hù)
3.4 身份認(rèn)證示例
3.4.1 RADIUS身份認(rèn)證示例
3.4.2 TACACS+身份認(rèn)證示例
3.4.3 TACACS和擴(kuò)展TACACS身份認(rèn)證示例
3.4.4 Kerberos身份認(rèn)證示例
3.4.5 雙重身份認(rèn)證配置示例
第4章 身份認(rèn)證命令
4.1 aaa authentication arap
4.2 aaa authentication enable default
4.3 aaa authentication local-override
4.4 aaa authentication login
4.5 aaa authentication nasi
4.6 aaa authentication password-prompt
4.7 aaa authentication ppp
4.8 aaa authentication username-prompt
4.9 aaa new-model
4.10 access-profile
4.11 arap authentication
4.12 login authentication
4.13 login tacacs
4.14 nasi authentication
4.15 ppp authetication
4.16 ppp chap hostname
4.17 ppp chap password
4.18 ppp chap refuse
4.19 ppp chap wait
4.20 ppp pap sent-username
4.21 ppp use-tacacs
第5章 配置授權(quán)
5.1 AAA授權(quán)類型
5.2 AAA授權(quán)方法
5.3 AAA授權(quán)前的準(zhǔn)備工作
5.4 AAA授權(quán)配置任務(wù)列表
5.5 配置授權(quán)
5.6 關(guān)閉全局配置命令授權(quán)
5.7 授權(quán)屬性-值對（Attribute-Value Pair）
5.8 授權(quán)配置示例
5.8.1 TACACS+授權(quán)示例
5.8.2 RADIUS授權(quán)示例
5.8.3 Kerberos實(shí)例映射示例
第6章 授權(quán)命令
6.1 aaa authorization
6.2 aaa authorization config-commands
6.3 aaa new-model
第7章 配置統(tǒng)計(jì)
7.1 AAA統(tǒng)計(jì)類型
7.1.1 網(wǎng)絡(luò)統(tǒng)計(jì)
7.1.2 連接統(tǒng)計(jì)
7.1.3 EXEC統(tǒng)計(jì)
7.1.4 系統(tǒng)統(tǒng)計(jì)
7.1.5 命令統(tǒng)計(jì)
7.2 AAA統(tǒng)的準(zhǔn)備工作
7.3 AAA統(tǒng)計(jì)配置任務(wù)列表
7.4 啟用AAA統(tǒng)計(jì)
7.4.1 禁止為用戶名字符串為空的用戶會話生成統(tǒng)計(jì)記錄 
7.4.2 生成臨時(shí)統(tǒng)計(jì)記錄
7.5 監(jiān)視統(tǒng)計(jì)
7.6 統(tǒng)計(jì)屬性-值對
7.7 統(tǒng)計(jì)配置示例
第8章 統(tǒng)計(jì)命令
8.1 aaa accounting
8.2 aaa accounting suppress null-username
8.3 aaa accounting update
8.4 show accounting
第二部分 安全服務(wù)器協(xié)議
第9章 配置RADIUS
9.1 RADIUS概述
9.2 RADIUS操作
9.3 RADIUS配置任務(wù)列表
9.4 為RADIUS服務(wù)器通信配置路由器
9.5 為廠商專用的RADIUS 服務(wù)器通信配置路由器
9.6 配置路由器以便向RADIUS服務(wù)器 查詢靜態(tài)路由和IP地址 
9.7 指定RADIUS身份驗(yàn)證
9.8 指定RADIUS授權(quán)
9.9 指定RADIUS統(tǒng)計(jì)
9.10 RADIUS屬性
9.11 廠商專用的RADIUS屬性
9.12 RADIUS配置示例
9.12.1 RADIUS身份驗(yàn)證和授權(quán)示例
9.12.2 RADIUS AAA示例
9.12.3 廠商專用的RADIUS配置示例
第10章 RADIUS命令
10.1 ip radius source-interface
10.2 radius-server configure-nas
10.3 radius-server dead-time
10.4 radius-server host
10.5 radius-server host non-standard
10.6 radius-server key
10.7 radius-server retransmit
10.8 radius-server timeout
第11章 配置TACACS+
11.1 TACACS+概述
11.2 TACACS+操作
11.3 TACACS+配置任務(wù)列表
11.4 指定TACACS+服務(wù)器主機(jī)
11.5 設(shè)置TACACS+身份驗(yàn)證密匙
11.6 指定TACACS+身份驗(yàn)證
11.7 指定TACACS+授權(quán)
11.8 指定TACACS+統(tǒng)計(jì)
11.9 TACACS+ AV對
11.10 TACACS+配置示例
11.10.1 TACACS+身份驗(yàn)證示例
11.10.2 TACACS+授權(quán)示例
11.10.3 TACACS+統(tǒng)計(jì)示例
11.10.4 TACACS+后臺程序配置示例
第12章 配置TACACS和擴(kuò)展TACACS
12.1 TACACS協(xié)議描述
12.2 TACACS和擴(kuò)展TACACS配置任務(wù)列表
12.3 設(shè)置用戶級TACACS口令保護(hù)
12.4 關(guān)閉用戶級口令核查
12.5 設(shè)置可選的口令驗(yàn)證
12.6 設(shè)置特權(quán)級TACACS口令保護(hù)
12.7 關(guān)閉特權(quán)級口令核查
12.8 設(shè)置用戶操作通知
12.9 設(shè)置用戶操作身份驗(yàn)證
12.10 建立TACACS服務(wù)器主機(jī)
12.11 限制嘗試登錄的次數(shù)
12.12 指定登錄輸入時(shí)間
12.13 啟用擴(kuò)展TACACS模式
12.14 為PPP身份驗(yàn)證啟用擴(kuò)展TACACS
12.15 為ARA身份驗(yàn)證啟用標(biāo)準(zhǔn)TACACS
12.16 為ARA身份驗(yàn)證啟用擴(kuò)展TACACS
12.17 啟用TACACS，以使用特定的IP地址
12.18 TACACS配置示例
第13章 TACACS、擴(kuò)展TACACS和TACACS+命令
13.1 TACACS命令比較
13.2 arap use-tacacs
13.3 enable last-resort
13.4 enable use-tacacs
13.5 ip tacacs source-interface
13.6 tacacs-server attempts
13.7 tacacs-server authenticate
13.8 tacacs-server directed-request
13.9 tacacs-server extended
13.10 tacacs-server host
13.11 tacacs-server key
13.12 tacacs-server last-resort
13.13 tacacs-server login-timeout
13.14 tacacs-server notify
13.15 tacacs-server optional-passwords
13.16 tacacs-server retransmit
13.17 tacacs-server timeout
第14章 配置Kerberos
14.1 Kerberos概述
14.2 Kerberos客戶支持操作
14.2.1 向邊界路由器證明身份
14.2.2 從KDC取得TGT
14.2.3 向網(wǎng)絡(luò)服務(wù)證明身份
14.3 Kerberos配置任務(wù)列表
14.4 使用Kerberos命令配置KDC
14.4.1 將用戶加入到KDC數(shù)據(jù)庫中
14.4.2 在KDC中創(chuàng)建SRVTAB
14.4.3 提取SRVTAB
14.5 配置路由器，使之使用Kerberos協(xié)議
14.5.1 定義Kerberos域
14.5.2 復(fù)制SRVTAB文件
14.5.3 指定Kerberos身份驗(yàn)證
14.5.4 啟用證書轉(zhuǎn)發(fā)功能
14.5.5 用Telnet登錄到路由器
14.5.6 建立加密的Kerberized Telnet會話
14.5.7 啟用強(qiáng)制性Kerberos身份驗(yàn)證
14.5.8 啟用Kerberos實(shí)例映射
14.6 監(jiān)視并維護(hù)Kerberos
14.7 Kerberos配置示例
14.7.1 定義Kerberos域示例
14.7.2 復(fù)制SRVTAB文件示例
14.7.3 Kerberos配置示例
14.7.4 指定加密Telnet會話示例
第15章 Kerberos命令
15.1 clear kerberos creds
15.2 connect
15.3 kerberos clients mandatory
15.4 kerberos credentials forward
15.5 kerberos instance map
15.6 kerberos local-realm
15.7 kerberos preauth
15.8 kerberos realm
15.9 kerberos server
15.10 kerberos srvtab entry
15.11 kerberos srvtab remote
15.12 key config-key
15.13 show kerberos creds
15.14 telnet
第三部分 數(shù)據(jù)流過濾
第16章 訪問控制列表：概述和指南
16.1 本章內(nèi)容
16.2 關(guān)于訪問控制列表
16.2.1 訪問列表的功能
16.2.2 為什么要配置訪問列表
16.2.3 何時(shí)配置訪問列表
16.2.4 基本訪問控制列表與高級訪問控制列表
16.3 訪問列表配置概述
16.3.1 創(chuàng)建訪問列表
16.3.2 給每個訪問列表指定一個唯一的名稱或編號
16.3.3 定義轉(zhuǎn)發(fā)包或阻斷分組的準(zhǔn)則
16.3.4 在TFTP服務(wù)器上創(chuàng)建和編輯訪問列表語句
16.3.5 將訪問列表用于接口
16.4 查找訪問列表的完整配置和命令信息
第17章 配置鎖定和密鑰安全性（動態(tài)訪問列表）
17.1 本章內(nèi)容
17.2 關(guān)于鎖定和密鑰
17.2.1 鎖定和密鑰優(yōu)點(diǎn)
17.2.2 何時(shí)使用鎖定和密鑰
17.2.3 鎖定和密鑰的工作原理
17.3 Cisco IOS Release 11.1與早期版本的兼容性
17.4 電子欺騙對鎖定和密鑰的威脅
17.5 鎖定和密鑰對路由器性能的影響
17.6 配置鎖定和密鑰前的準(zhǔn)備工作
17.7 配置鎖定和密鑰
17.7.1 鎖定和密鑰配置的注意事項(xiàng)
17.8 驗(yàn)證鎖定和密鑰配置
17.9 鎖定和密鑰的維護(hù)
17.9.1 顯示動態(tài)訪問列表?xiàng)l目
17.9.2 手工刪除動態(tài)訪問列表?xiàng)l目
17.10 鎖定和密鑰配置示例
17.10.1 使用本地身份驗(yàn)證的鎖定和密鑰示例
17.10.2 使用TACACS+身份驗(yàn)證的鎖定和密鑰示例
第18章 鎖定和密鑰命令
18.1 access-enable
18.2 access-template
18.3 clear access-template
18.4 show ip accounting
第19章 配置IP會話過濾（反射訪問列表）
19.1 本章的內(nèi)容
19.2 關(guān)于反射訪問列表
19.2.1 反射訪問列表的優(yōu)點(diǎn)
19.2.2 什么是反射訪問列表
19.2.3 反射訪問列表如何實(shí)現(xiàn)會話過濾
19.2.4 在何處配置反射訪問列表
19.2.5 反射訪問列表的工作原理
19.2.6 使用反射訪問列表的限制
19.3 配置反射訪問列表前的準(zhǔn)備工作
19.3.1 選擇內(nèi)部接口還是外部接口
19.4 配置反射訪問列表
19.4.1 外部接口配置任務(wù)列表
19.4.2 內(nèi)部接口配置任務(wù)列表
19.4.3 定義反射訪問列表
19.4.4 嵌套反射訪問列表
19.4.5 設(shè)置全局超時(shí)值（可選）
19.5 反射訪問列表配置示例
19.5.1 外部接口配置示例
19.5.2 內(nèi)部接口配置示例
第20章 反射訪問列表命令
20.1 evaluate
20.2 ip reflexive-list timeout
20.3 permit (reflexive)
第21章 配置TCP截取（防止拒絕服務(wù)攻擊）
21.1 本章內(nèi)容
21.2 關(guān)于TCP截取
21.3 TCP截取配置任務(wù)列表
21.4 啟用TCP截取
21.5 設(shè)置TCP截取模式
21.6 設(shè)置TCP截取刪除模式
21.7 更改TCP截取定時(shí)器
21.8 更改TCP截取主動閾值
21.9 監(jiān)視和維護(hù)TCP截取
21.10 TCP截取配置范例
第22章 TCP截取命令
22.1 ip tcp intercept connection-timeout
22.2 ip tcp intercept drop-mode
22.3 ip tcp intercept finrst-timeout
22.4 ip tcp intercept list
22.5 ip tcp intercept max-incomplete high
22.6 ip tcp intercept max-incomplete low
22.7 ip tcp intercept mode
22.8 ip tcp intercept one-minute high
22.9 ip tcp intercept one-minute low
22.10 ip tcp intercept watch-timeout
22.11 show tcp intercept connections
22.12 show tcp intercept statistics
第四部分 網(wǎng)絡(luò)數(shù)據(jù)加密
第23章 配置網(wǎng)絡(luò)數(shù)據(jù)加密
23.1 為什么要加密
23.2 Cisco的加密實(shí)現(xiàn)
23.2.1 什么被加密了
23.2.2 分組在網(wǎng)絡(luò)的什么地方被加密和解密
23.2.3 加密分組何時(shí)被交換
23.2.4 加密路由器如何識別其他對等加密路由器
23.2.5 Cisco加密實(shí)現(xiàn)了哪些標(biāo)準(zhǔn)
23.2.6 Cisco加密如何工作
23.3 配置加密前的準(zhǔn)備工作
23.3.1 確定對等路由器
23.3.2 考慮網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
23.3.3 確定每個對等路由器中的加密引擎
23.3.4 理解實(shí)現(xiàn)要點(diǎn)和局限性
23.4 配置加密
23.4.1 生成DSS公鑰/私鑰
23.4.2 交換DSS公鑰
23.4.3 啟用DES加密算法
23.4.4 定義加密映射表，并將它們指定給接口
23.4.5 備份配置
23.5 GRE隧道加密配置
23.5.1 只對GRE隧道通信進(jìn)行加密
23.5.2 對GRE隧道通信和其他通信都進(jìn)行加密
23.6 VIP2中ESA加密配置
23.6.1 重置ESA
23.6.2 執(zhí)行其他的加密配置
23.7 對Cisco 7200系列路由器上的ESA 進(jìn)行加密配置
23.7.1 必須完成的任務(wù)
23.7.2 可選任務(wù)
23.7.3 重置ESA
23.7.4 執(zhí)行其他加密配置
23.7.5 啟用ESA
23.7.6 選擇加密引擎
23.7.7 刪除DSS密鑰
23.8 定制加密（配置選項(xiàng)）
23.8.1 定義加密會話的持續(xù)時(shí)間
23.8.2 通過預(yù)先生成DH編號縮短會話的建立時(shí)間
23.8.3 修改加密訪問列表的限制
23.9 關(guān)閉加密
23.10 加密測試和故障排除
23.10.1 測試加密配置
23.10.2 診斷連接故障
23.10.3 使用調(diào)試命令
23.11 加密配置示例
23.11.1 生成DSS公鑰/私鑰示例
23.11.2 交換DSS密鑰示例
23.11.3 啟用DES加密算法示例
23.11.4 建立加密訪問列表、定義加密映射表并將它用于接口的示例 
23.11.5 修改加密訪問列表限制示例
23.11.6 GRE隧道加密配置示例
23.11.7 ESA特有加密配置任務(wù)示例
23.11.8 刪除DSS密鑰示例
23.11.9 測試加密連接示例
第24章 網(wǎng)絡(luò)數(shù)據(jù)加密命令
24.1 access-list（encryption）
24.2 clear crypto connection
24.3 crypto algorithm 40-bit-des
24.4 crypto algorithm des
24.5 crypto clear-latch
24.6 crypto esa
24.7 crypto gen-signature-keys
24.8 crypto key-exchange
24.9 crypto key-exchange passive
24.10 crypto key-timeout
24.11 crypto map(global configuration)
24.12 crypto map(interface configuration)
24.13 crypto pregen-dh-pairs
24.14 crypto public-key
24.15 crypto sdu connections
24.16 crypto sdu entities
24.17 crypto zeroize
24.18 deny
24.19 ip access-list extended(encryption)
24.20 match address
24.21 permit
24.22 set algorithm 40-bit-des
24.23 set algorithm des
24.24 set peer
24.25 show crypto algorithms
24.26 show crypto card
24.27 show crypto connections
24.28 show crypto engine brief
24.29 show crypto engine configuration
24.30 show crypto engine connections active
24.31 show crypto engine connections dropped-packets
24.32 show crypto key-timeout
24.33 show crypto map
24.34 show crypto map interface
24.35 show crypto map tag
24.36 show crypto mypubkey
24.37 show crypto pregen-dh-pairs
24.38 show crypto pubkey
24.39 show crypto pubkey name
24.40 show crypto pubkey serial
24.41 test crypto initiate-session
第五部分 其他安全特性
第25章 配置口令和權(quán)限
25.1 保護(hù)對特權(quán)EXEC 命令的訪問
25.1.1 設(shè)置或修改靜態(tài)有效口令
25.1.2 使用有效口令和有效密鑰保護(hù)口令
25.1.3 設(shè)置或修改線路口令
25.1.4 為特權(quán)EXEC模式設(shè)置TACACS口令保護(hù)
25.2 加密口令
25.3 配置多重權(quán)限級別
25.3.1 設(shè)置命令的權(quán)限級別
25.3.2 修改線路的默認(rèn)權(quán)限級別
25.3.3 顯示當(dāng)前的權(quán)限級別
25.3.4 登錄到某個權(quán)限級別
25.4 恢復(fù)丟失的有效口令
25.4.1 恢復(fù)口令的步驟
25.4.2 第一種口令恢復(fù)方法
25.4.3 第二種口令恢復(fù)方法
25.5 恢復(fù)丟失的線路口令
25.6 配置標(biāo)識支持
25.7 口令和權(quán)限配置示例
25.7.1 多重權(quán)限級別示例
25.7.2 用戶名示例
第26章 口令和權(quán)限命令
26.1 enable
26.2 enable password
26.3 enable secret
26.4 ip identd
26.5 password
26.6 privilege level (global)
26.7 privilege level (line)
26.8 service password-encryption
26.9 show privilege
26.10 username
第27章 鄰接路由器身份認(rèn)證--概述和指南
27.1 本章內(nèi)容
27.2 鄰接身份認(rèn)證的優(yōu)點(diǎn)
27.3 使用鄰接身份認(rèn)證的協(xié)議
27.4 何時(shí)配置鄰接身份認(rèn)證
27.5 鄰接身份認(rèn)證的工作原理
27.5.2 明文身份認(rèn)證
27.5.2 MD5身份認(rèn)證
27.6 密鑰管理（密鑰鏈）
第28章 配置IP安全選項(xiàng)鄰
28.1 本章的內(nèi)容
28.2 配置基本IP安全選項(xiàng)
28.2.1 啟用IPSO并設(shè)置安全機(jī)密級別
28.2.2 指定如何處理IP安全選項(xiàng)
28.3 配置擴(kuò)展IP安全選項(xiàng)
28.3.1 配置全局默認(rèn)設(shè)置
28.3.2 將ESO附加到接口
28.3.3 將AESO附加到接口
28.4 配置DNSIX審計(jì)跟蹤功能
28.4.1 啟用DNSIX審計(jì)跟蹤功能
28.4.2 指定接收審計(jì)跟蹤消息的主機(jī)
28.4.3 指定傳輸參數(shù)
28.5 IPSO配置示例
28.5.1 示例1
28.5.2 示例2
第29章 IP安全選項(xiàng)命令
29.1 dnsix-dmdp retries
29.2 dnsix-nat authorized-redirection
29.3 dnsix-nat primary
29.4 dnsix-nat secondary
29.5 dnsix-nat source
29.6 dnsix-nat transmit-count
29.7 ip security add
29.8 ip security aeso
29.9 ip security dedicated
29.10 ip security eso-info
29.11 ip security eso-max
29.12 ip security eso-min
29.13 ip security extended-allowed
29.14 ip security first
29.15 ip security ignore-authorities
29.16 ip security implicit-labelling
29.17 ip security multilevel
29.18 ip security reserved-allowed
29.19 ip security strip
29.20 show dnsix
附錄A RADIUS屬性
A.1 支持的RADIUS屬性
A.2 RADIUS統(tǒng)計(jì)屬性
A.3 RADIUS廠商專用特性
附錄B TACACS+屬性-值對
B.1 TACACS+屬性-值對
B.2 TACACS+統(tǒng)計(jì)AV對