Cisco 安全入侵檢測(cè)系統(tǒng)

第一部分 網(wǎng)絡(luò)安全介紹
第1章 對(duì)網(wǎng)絡(luò)安全的需要 
1.1 安全威脅 
1.1.1 無組織的威脅 
1.1.2有組織的威脅 
1.1.3 外部威脅 
1.1.4 內(nèi)部威脅 
1.2 安全概念 
1.3 攻擊的各個(gè)階段 
1.3.1 設(shè)定攻擊目標(biāo) 
1.3.2 攻擊前的偵察 
1.3.3 正式攻擊 
1.4 攻擊方法 
1.4.1 即興(隨機(jī))攻擊 
1.4.2 系統(tǒng)性攻擊 
1.4.3 外科手術(shù)式打擊(閃電攻擊) 
1.4.4 耐心(慢)攻擊 
1.5 網(wǎng)絡(luò)攻擊點(diǎn) 
1.5.1 網(wǎng)絡(luò)資源 
1.5.2 網(wǎng)絡(luò)協(xié)議 
1.6 黑客工具與技術(shù) 
1.6.1 使用偵察工具 
1.6.2 攻擊網(wǎng)絡(luò)中的薄弱點(diǎn) 
1.6.3 實(shí)施拒絕服務(wù)攻擊技術(shù) 
1.6.4 小結(jié) 
1.7 復(fù)習(xí)題 
第2章 Cisco安全輪圖 
2.1 保護(hù)網(wǎng)絡(luò)安全 
2.1.1 加強(qiáng)認(rèn)證 
2.1.2 建立安全邊界 
2.1.3 通過虛擬專用網(wǎng)絡(luò)提供私密性 
2.1.4 漏洞修補(bǔ) 
2.2 監(jiān)視網(wǎng)絡(luò)安全 
2.2.1 人工監(jiān)視 
2.2.2 自動(dòng)監(jiān)視 
2.3 檢驗(yàn)網(wǎng)絡(luò)安全 
2.3.1 使用安全掃描器 
2.3.2 進(jìn)行專業(yè)安全評(píng)估 
2.4 提升網(wǎng)絡(luò)安全 
2.4.1 留意安全新聞 
2.4.2 定期檢查配置文件 
2.4.3 評(píng)估安全探測(cè)器的置放 
2.4.4 核驗(yàn)安全配置 
2.5 小結(jié) 
2.6 復(fù)習(xí)題 
第二部分 入侵檢測(cè)與CSIDS環(huán)境
第3章 入侵檢測(cè)系統(tǒng) 
3.1 IDS觸發(fā)器 
3.1.1 異常檢測(cè) 
3.1.2 濫用檢測(cè) 
3.2 IDS監(jiān)測(cè)位置 
3.2.1 基于主機(jī)的IDS 
3.2.2 基于網(wǎng)絡(luò)的IDS 
3.3 混合特性 
3.4 小結(jié) 
3.5 復(fù)習(xí)題 
第4章 Cisco安全I(xiàn)DS概述 
4.1 系統(tǒng)功能和特性 
4.2 探測(cè)器平臺(tái)和模塊 
4.2.10系列探測(cè)器 
4.2.2 Catalyst 6000系列交換器的IDS模塊 
4.3 控制器平臺(tái) 
4.3.1 控制器平臺(tái)特性 
4.3.2 作為控制器平臺(tái)的Cisco安全策略管理器 
4.3.3 Cisco安全入侵檢測(cè)控制器 
4.3.4 控制器平臺(tái)特性比較 
4.4 Cisco Secure IDS和郵局(PostOffice)協(xié)議 
4.4.1 PostOffice協(xié)議 
4.4.2 PostOffice特性 
4.4.3 PostOffice標(biāo)識(shí)符 
4.4.4 PostOffice尋址方案 
4.5 小結(jié) 
4.6 復(fù)習(xí)題 
第三部分 CSIDS安裝
第5章 Cisco安全I(xiàn)DS探測(cè)器部署
5.1 部署準(zhǔn)備：分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 
5.1.1 網(wǎng)絡(luò)入口點(diǎn) 
5.1.2 關(guān)鍵網(wǎng)絡(luò)組件 
5.1.3 遠(yuǎn)程網(wǎng)絡(luò) 
5.1.4 網(wǎng)絡(luò)大小和復(fù)雜度 
5.1.5 考慮安全策略限制 
5.2 進(jìn)行部署：探測(cè)器安裝考慮 
5.2.1 基于網(wǎng)絡(luò)功能的探測(cè)器布放 
5.2.2 安裝配置 
5.3 小結(jié)
5.4 復(fù)習(xí)題
第6章 Cisco安全策略管理器的安裝 
6.1 CSPM概述 
6.1.1 軟件特性集 
6.1.2 部署配置 
6.2 CSPM安裝要求 
6.2.1 軟件要求 
6.2.2 硬件要求 
6.2.3 許可證選項(xiàng) 
6.3 CSPM安裝設(shè)置及選項(xiàng) 
6.3.1 完成Cisco安全通信部署工作單
6.3.2 搭建一臺(tái)Windows NT 4.0主機(jī)
6.3.3 定義安裝設(shè)置
6.3.4 驗(yàn)證安裝設(shè)置 
6.3.5 任選的TechSmith屏幕捕捉器編解碼器安裝 
6.3.6 PostOffice安裝 
6.3.7 完成安裝程序 
6.4 啟動(dòng)CSPM 
6.4.1 CSPM登錄 
6.4.2 入門視頻資料 
6.5 小結(jié)
6.6 復(fù)習(xí)題
第7章 在CSPM內(nèi)安裝4200系列探測(cè)器
7.1 了解探測(cè)器設(shè)備
7.1.1 IDS-4230 
7.1.2 IDS-4210 
7.1.3 管理訪問 
7.1.4 登錄帳號(hào) 
7.2 配置探測(cè)器的引導(dǎo)程序 
7.2.1 sysconfig-sensor 
7.2.2 退出sysconfig-sensor 
7.3 向CSPM控制器中添加一個(gè)探測(cè)器 
7.3.1 啟動(dòng)增加探測(cè)器向?qū)?nbsp;
7.3.2 輸入探測(cè)器的PostOffice標(biāo)識(shí)參數(shù) 
7.3.3 輸入探測(cè)器對(duì)象的缺省網(wǎng)關(guān) 
7.3.4 選擇探測(cè)器版本和特征模板 
7.3.5 檢驗(yàn)探測(cè)器的設(shè)置 
7.3.6 將CSPM主機(jī)加入拓?fù)鋱D 
7.3.7 選擇策略分發(fā)點(diǎn) 
7.3.8 保存并更新設(shè)置 
7.3.9 將配置文件推入探測(cè)器中 
7.3.10 錯(cuò)誤檢查 
7.4 小結(jié) 
7.5 復(fù)習(xí)題 
第四部分 報(bào)警管理和入侵檢測(cè)特征
第8章 處理CSPM中的Cisco安全I(xiàn)DS警報(bào) 
8.1 管理警報(bào) 
8.1.1 打開事件查看器 
8.1.2 警報(bào)域 
8.1.3 主機(jī)名解析 
8.1.4 查看上下文緩存 
8.1.5 打開NSDB 
8.1.6 理解漏洞特征信息 
8.1.7 理解相關(guān)的弱點(diǎn)信息 
8.1.8 刪除警報(bào) 
8.1.9 掛起和恢復(fù)警報(bào)顯示 
8.2 客戶化事件查看器 
8.2.1 展開選中警報(bào)條目的一欄 
8.2.2 展開選中警報(bào)條目的所有欄目 
8.2.3 收縮選中警報(bào)條目的一欄 
8.2.4 收縮當(dāng)前選中的欄目 
8.2.5 改變警報(bào)擴(kuò)展邊界 
8.2.6 移動(dòng)欄目 
8.2.7 刪除欄目 
8.2.8 選擇需顯示的欄目 
8.3 優(yōu)選設(shè)置 
8.3.1 操作 
8.3.2 單元 
8.3.3 狀態(tài)事件 
8.3.4 邊界 
8.3.5 事件嚴(yán)重程度指示器 
8.3.6 嚴(yán)重程度映射 
8.4 連接狀態(tài)窗格 
8.4.1 連接狀態(tài) 
8.4.2 服務(wù)狀態(tài) 
8.4.3 服務(wù)版本 
8.4.4 統(tǒng)計(jì) 
8.4.5 統(tǒng)計(jì)復(fù)位 
8.5 小結(jié) 
8.6 復(fù)習(xí)題 
第9章 理解Cisco安全I(xiàn)DS 特征 
9.1 特征定義 
9.1.1 特征實(shí)施 
9.1.2 特征結(jié)構(gòu) 
9.2 特征類 
9.2.1 偵察特征 
9.2.2 信息特征 
9.2.3 訪問特征 
9.2.4 拒絕服務(wù)特征 
9.3 特征種類 
9.3.1 通用
9.3.2 連接
9.3.3 字符串
9.3.4 訪問控制列表 
9.4 特征緊急度 
9.4.1 低緊急度(警報(bào)級(jí)別1－2) 
9.4.2 中緊急度(警報(bào)級(jí)別3－4) 
9.4.3 高緊急度(警報(bào)級(jí)別5) 
9.5 小結(jié) 
9.6 復(fù)習(xí)題 
第10章 特征序列 
10.1 IP特征(1000系列) 
10.1.1 IP選項(xiàng) 
10.1.2 IP碎片
10.1.3 壞IP包 
10.2 ICMP特征(2000系列) 
10.2.1 ICMP查詢消息 
10.2.2 ICMP錯(cuò)誤消息 
10.2.3 Ping掃描
10.2.4 ICMP攻擊
10.3 TCP特征(3000系列)
10.3.1 TCP數(shù)據(jù)流記錄(特征3000) 
10.3.2 TCP端口掃描 
10.3.3 TCP主機(jī)掃描
10.3.4 異常TCP包
10.3.5 郵件攻擊 
10.3.6 FTP攻擊 
10.3.7 傳統(tǒng)Cisco Secure IDS Web攻擊
10.3.8 NetBIOS攻擊 
10.3.9 SYN Flood和TCP劫持攻擊 
10.3.10 TCP應(yīng)用漏洞 
10.4 UDP特征(4000系列) 
10.4.1 UDP數(shù)據(jù)流記錄(特征4000) 
10.4.2 UDP端口掃描 
10.4.3 UDP攻擊 
10.4.4 UDP應(yīng)用 
10.5 Web/HTTP特征(5000系列) 
10.6 交叉協(xié)議特征(6000系列) 
10.6.1 SATAN攻擊 
10.6.2 DNS攻擊 
10.6.3 RPC服務(wù)攻擊 
10.6.4 Ident攻擊 
10.6.5 認(rèn)證失敗 
10.6.6 Loki攻擊
10.6.7 分布式拒絕服務(wù)攻擊 
10.7 串匹配特征(8000系列) 
10.7.1 客戶字符串匹配 
10.7.2 TCP應(yīng)用 
10.8 違反策略特征(10000系列) 
10.9 小結(jié) 
10.10 復(fù)習(xí)題 
第五部分 CSIDS配置
第11章 CSPM內(nèi)的探測(cè)器配置 
11.1 CSPM探測(cè)器配置屏幕 
11.1.1 屬性配置屏幕 
11.1.20系列探測(cè)配置屏幕 
11.1.3 IDSM探測(cè)配置屏幕 
11.1.4 攔阻配置屏幕
11.1.5 過濾配置屏幕
11.1.6 日志配置屏幕 
11.1.7 高級(jí)配置屏幕 
11.1.8 命令屏幕 
11.1.9 控制屏幕 
11.1.10 策略分發(fā)點(diǎn) 
11.2 修改基本配置 
11.2.1 標(biāo)識(shí)參數(shù)
11.2.2 內(nèi)部網(wǎng)絡(luò)
11.2.3 包捕捉設(shè)備
11.3 日志文件配置
11.3.1 讓探測(cè)器產(chǎn)生日志文件
11.3.2 配置日志文件自動(dòng)發(fā)送
11.4 修改高級(jí)配置
11.4.1 IP分片重組
11.4.2 理解TCP會(huì)話重組 
11.4.3 配置TCP會(huì)話重組 
11.4.4 附加目的地 
11.5 為探測(cè)器載入新配置 
11.5.1 存儲(chǔ)和更新CSPM配置 
11.5.2 更新探測(cè)器配置 
11.5.3 檢查探測(cè)器配置更新 
11.6 小結(jié) 
11.7 復(fù)習(xí)題 
第12章 特征和入侵檢測(cè)配置
12.1 基本特征配置
12.1.1 通用欄
12.1.2 特征欄
12.1.3 查看特征設(shè)置
12.1.4 連接特征類型和端口配置
12.1.5 字符串特征配置 
12.2 特征模板 
12.2.1 什么是特征模板 
12.2.2 產(chǎn)生新特征模板 
12.2.3 指定探測(cè)器使用的特征模板
12.2.4 對(duì)探測(cè)器應(yīng)用特征模板
12.3 特征過濾
12.3.1 設(shè)置送往控制器的最低級(jí)別
12.3.2 簡(jiǎn)單特征過濾
12.3.3 高級(jí)特征過濾
12.4 高級(jí)特征配置
12.4.1 特征調(diào)整 
12.4.2 端口映射 
12.5 創(chuàng)建ACL特征 
12.5.1 創(chuàng)建ACL特征 
12.5.2 定義SYSLOG源
12.6 小結(jié)
12.7 復(fù)習(xí)題
第13章 IP攔阻配置 
13.1 理解ACL 
13.1.1 設(shè)備管理 
13.1.2 設(shè)備管理要求 
13.1.3 IP攔阻指南 
13.1.4 路由器上的IP攔阻 
13.1.5 主攔阻探測(cè)器 
13.2 ACL放置考慮 
13.2.1 在哪里應(yīng)用ACL 
13.2.2 在外部接口與內(nèi)部接口上應(yīng)用ACL的比較 
13.3 為IP攔阻配置探測(cè)器 
13.3.1 設(shè)置攔阻設(shè)備的屬性 
13.3.2 設(shè)置從不攔阻IP地址 
13.3.3 通過主攔阻探測(cè)器進(jìn)行攔阻 
13.3.4 查看被攔阻的IP地址列表 
13.3.5 查看被管理的網(wǎng)絡(luò)設(shè)備 
13.3.6 手工攔阻一個(gè)主機(jī)或網(wǎng)絡(luò) 
13.3.7 去掉一個(gè)被攔阻的主機(jī)或網(wǎng)絡(luò) 
13.4 小結(jié) 
13.5 復(fù)習(xí)題 
第14章 Catalyst 6000 IDS模塊配置 
14.1 了解Catalyst 6000 IDS模塊 
14.1.1 關(guān)鍵特性 
14.1.2 特性比較 
14.1.3 Catalyst IDS特性要求 
14.1.4 MSFC與獨(dú)立路由器比較 
14.2 IDSM端口和數(shù)據(jù)流 
14.2.1 端口 
14.2.2 數(shù)據(jù)流 
14.3 捕捉數(shù)據(jù)流 
14.3.1 SPAN特性 
14.3.2 VACL特性 
14.4 配置任務(wù) 
14.4.1 初試化IDSM 
14.4.2 為ID分析配置交換機(jī) 
14.4.3 檢驗(yàn)IDSM配置 
14.4.4 將IDSM加入到CSPM 
14.5 更新IDSM組件 
14.5.1 磁盤結(jié)構(gòu) 
14.5.2 更新IDSM映像 
14.6 故障排除 
14.6.1 IDSM狀態(tài)LED 
14.6.2 Catalyst交換機(jī)命令 
14.6.3 IDSM命令 
14.7 小結(jié) 
14.8 復(fù)習(xí)題 
第六部分 Cisco安全入侵檢測(cè)控制器(CSIDD)
第15章 Cisco安全I(xiàn)D控制器的安裝 
15.1 控制器軟件安裝 
15.1.1 運(yùn)行安裝腳本 
15.1.2 設(shè)置netrangr密碼 
15.1.3 配置控制器標(biāo)識(shí)參數(shù) 
15.1.4 建立初始配置文件 
15.1.5 重啟系統(tǒng) 
15.2 啟動(dòng)控制器 
15.2.1 檢驗(yàn)后臺(tái)守護(hù)進(jìn)程是否在運(yùn)行 
15.2.2 啟動(dòng)HP OpenView 
15.2.3 初始化HP OpenView NNM環(huán)境 
15.2.4 HP OpenView導(dǎo)航按鈕
15.3 探測(cè)器配置
15.3.1 運(yùn)行sysconfig-sensor
15.3.2 增加一個(gè)新初始化后的探測(cè)器
15.3.3 完成探測(cè)器配置 
15.4 小結(jié) 
15.5 復(fù)習(xí)題 
第16章 配置文件管理工具(nrConfigure)
16.1 使用nrConfigure
16.1.1 如何使用nrConfigure
16.1.2 如何啟動(dòng)nrConfigure
16.1.3 nrConfigure屏幕特性
16.1.4 設(shè)置HTML瀏覽器
16.1.5 隱藏狀態(tài)行
16.2 增加主機(jī)向?qū)е械闹鳈C(jī)類型
16.2.1 新安裝的探測(cè)器
16.2.2 用于警報(bào)轉(zhuǎn)發(fā)的從控制器
16.2.3 先前配置的探測(cè)器 
16.3 連接至先前配置的探測(cè)器 
16.3.1 “Add Host Initial”窗口 
16.3.2 輸入探測(cè)器標(biāo)識(shí)設(shè)置 
16.3.3 選擇主機(jī)類型 
16.3.4 “Add Host Wizard Finished”窗口 
16.4 驗(yàn)證探測(cè)器已被加入到nrConfigure中 
16.5 驗(yàn)證探測(cè)器已被加入到Cisco安全I(xiàn)DS子圖 
16.6 刪除探測(cè)器 
16.7 刪除探測(cè)器圖標(biāo) 
16.8 使用配置庫
16.8.1 打開配置庫
16.8.2 使用配置庫
16.8.3 關(guān)閉配置庫
16.9 小結(jié)
16.10 復(fù)習(xí)題
第17章 Cisco IOS防火墻入侵檢測(cè)系統(tǒng) 
17.1 Cisco IOS防火墻IDS和入侵檢測(cè) 
17.1.1 企業(yè)用戶 
17.1.2 服務(wù)提供商 
17.1.3 中小企業(yè) 
17.2 支持的路由器平臺(tái) 
17.3 部署問題 
17.3.1 內(nèi)存使用和性能影響 
17.3.2 特征覆蓋范圍 
17.3.3 特征更新 
17.4 特征 
17.4.1 特征實(shí)施
17.4.2 響應(yīng)選項(xiàng)
17.5 配置任務(wù)
17.5.1 在路由器上初始化Cisco安全I(xiàn)OS防火墻IDS
17.5.2 配置、關(guān)閉或排除特征
17.5.3 建立和應(yīng)用審計(jì)規(guī)則 
17.5.4 核驗(yàn)配置
17.5.5 將Cisco IOS防火墻IDS加入到控制器配置中
17.6 小結(jié)
17.7 復(fù)習(xí)題
第七部分 Cisco安全I(xiàn)DS的新版本
第18章 計(jì)劃的Cisco安全I(xiàn)DS增強(qiáng)特性
18.1 版本3.0 
18.1.1 安裝和配置增強(qiáng) 
18.1.2 特征增強(qiáng) 
18.1.3 規(guī)避增強(qiáng) 
18.2 版本4.0 
18.2.1 安裝和配置增強(qiáng) 
18.2.2 特征增強(qiáng) 
18.2.3 攔阻增強(qiáng) 
18.3 探測(cè)器增強(qiáng) 
18.3.1 探測(cè)器設(shè)備 
18.3.2 Catalyst 6000家族IDSM 
18.3.3 吉比特IDSM 
18.3.4 探測(cè)器設(shè)備管理器(SDM) 
18.4 Cisco安全I(xiàn)DS用戶定義特征 
18.4.1 特征引擎 
18.4.2 主特征參數(shù) 
18.4.3 引擎特別參數(shù) 
18.4.4 用戶定義特征示例 
18.5 小結(jié) 
第八部分 附錄
附錄A 配置入侵檢測(cè)：案例研究 
A.1 使用Cisco IOS Firewall IDS 
A.1.1 限制 
A.1.2 所需設(shè)備 
A.1.3 網(wǎng)絡(luò)框圖 
A.1.4 通用設(shè)置 
A.1.5 常見問題和解決技巧 
A.2 發(fā)送系統(tǒng)日志數(shù)據(jù)至Cisco Secure IDS探測(cè)器 
A.2.1 限制 
A.2.2 所需設(shè)備 
A.2.3 網(wǎng)絡(luò)框圖 
A.2.4 通用設(shè)置 
A.2.5 常見問題和解決技巧 
A.3 用Cisco Secure IDS探測(cè)器管理路由器 
A.3.1 事先應(yīng)考慮的限制 
A.3.2 所需設(shè)備 
A.3.3 網(wǎng)絡(luò)框圖 
A.3.4 通用設(shè)置 
A.3.5 常見問題和解決技巧 
A.4 Cisco Secure IDS分層控制器體系 
A.4.1 報(bào)警延遲限制 
A.4.2 所需設(shè)備 
A.4.3 網(wǎng)絡(luò)框圖 
A.4.4 通用設(shè)置 
A.4.5 常見問題和解決技巧 
A.5 在同一底盤上建立多個(gè)IDSM
A.5.1 每個(gè)IDSM的100-Mbit/s帶寬限制
A.5.2 所需設(shè)備
A.5.3 網(wǎng)絡(luò)框圖
A.5.4 VACL定義
A.5.5 通用設(shè)置
附錄B Cisco Secure IDS體系結(jié)構(gòu)
B.1 Cisco Secure IDS軟件體系結(jié)構(gòu)
B.1.1 探測(cè)器體系結(jié)構(gòu)
B.1.2 CSPM控制器體系結(jié)構(gòu)
B.2 Cisco Secure IDS通信 
B.3 Cisco Secure IDS命令 
B.3.1 nrstart 
B.3.2 nrstop 
B.3.3 nrconns 
B.3.4 nrstatus 
B.3.5 nrvers 
B.4 Cisco Secure IDS目錄結(jié)構(gòu) 
B.4.1 Cisco Secure IDS安裝目錄 
B.4.2 bin 目錄 
B.4.3 etc目錄 
B.4.4 var目錄 
B.5 Cisco Secure IDS配置文件 
B.5.1 什么是配置文件?
B.5.2 入侵檢測(cè)
B.5.3 設(shè)備管理和攔阻令牌 
B.5.4 控制器和警報(bào)轉(zhuǎn)發(fā) 
B.5.5 日志和日志設(shè)置 
B.5.6 FTP傳送和FTP傳送令牌 
B.6通信 
B.6.1 故障管理 
B.6.2 Cisco Secure IDS組織
B.6.3 Cisco Secure IDS主機(jī)
B.6.4 Cisco Secure IDS路由
B.6.5 Cisco Secure IDS目的地
B.6.6 Cisco Secure IDS授權(quán)主機(jī)
B.6.7 Cisco Secure IDS服務(wù)
B.6.8 Cisco Secure IDS應(yīng)用
附錄C Cisco Secure IDS Director基本故障排除
C.1 控制器問題
C.1.1 控制器不運(yùn)行
C.1.2 控制器運(yùn)行 
C.2 探測(cè)器問題
C.2.1 啟動(dòng)和停止Cisco安全守護(hù)進(jìn)程的問題
C.2.2 探測(cè)器連接問題
C.3 Oracle數(shù)據(jù)庫問題
C.3.1 不能確定Oracle是否已安裝
C.3.2 不能確定Oracle是否在運(yùn)行
C.3.3 Oracle安裝程序不安裝Oracle
C.3.4 找不到SQLPlus或SQLDR
C.3.5 SQLPlus不運(yùn)行
C.3.6 Oracle不可用
C.3.7 LD_LIBRARY_PATH環(huán)境變量沒有正確設(shè)置
C.3.8 Oracle認(rèn)證連接失敗
C.3.9 Oracle返回用戶/密碼錯(cuò)誤信息
C.4 數(shù)據(jù)管理包問題
C.4.1 SQL查詢語句不顯示數(shù)據(jù)
C.4.2 SQL查詢語句不正確顯示數(shù)據(jù)
C.4.3 未發(fā)送郵件通知
C.4.4 數(shù)據(jù)庫裝載程序失敗
C.5 nrConfigure問題
C.5.1 nrConfigure啟動(dòng)問題
C.5.2 HP-UX性能問題
C.6 在線幫助和NSDB
附錄D Cisco Secure IDS 日志文件 
D.1 日志級(jí)別 
D.2 日志文件命名習(xí)慣 
D.2.1 IP日志文件 
D.2.2 Cisco Secure IDS日志文件 
D.2.3 服務(wù)錯(cuò)誤日志文件
D.3日志文件位置
D.4關(guān)閉活動(dòng)文件
D.5 歸檔日志文件
D.6 事件記錄域
D.6.1 警報(bào)事件記錄
D.6.2 命令日志記錄域
附錄E 高級(jí)技巧
E.1 改正不能嗅探的探測(cè)器
E.1.1 檢驗(yàn)攻擊情形的緊急程度
E.1.2 檢查packetd進(jìn)程
E.1.3 驗(yàn)證監(jiān)視接口是否真能觀測(cè)到網(wǎng)絡(luò)通信流
E.1.4 檢查日志文件以判斷事件是否被探測(cè)到 
E.1.5 確認(rèn)控制器和探測(cè)器能相互通信 
E.1.6 檢查探測(cè)器的/usr/nr/etc/destinations文件以確認(rèn)smid是一個(gè)定義了的目的地?
E.1.7 檢查smid是否在控制器上運(yùn)行著
E.1.8 在控制器和探測(cè)器上檢查錯(cuò)誤日志
E.1.9 呼叫Cisco技術(shù)幫助中心
E.2使用探測(cè)器串口作為控制臺(tái)訪問端口 
E.2.1 root登錄限制
E.2.2 電纜要求
E.2.3 連接筆記本電腦至探測(cè)器 
E.2.4 配置超級(jí)終端(HyperTerminal)或其他通信軟件包 
E.3 排除偽警報(bào) 
E.3.1 CSPM特征過濾 
E.3.2 Cisco Secure ID控制器特征調(diào)整 
附錄F Cisco Secure IDS特征結(jié)構(gòu)和實(shí)施 
附錄G Cisco Secure IDS特征和推薦的報(bào)警級(jí)別
G.1 通用特征 
G.2 連接特征 
G.3 字符串特征 
G.4 ACL特征
附錄H Cisco IOS防火墻IDS特征列表 
H.1 信息特征 
H.2 攻擊特征 
附錄I Cisco安全通信部署工作表 
附錄J 術(shù)語
附錄K 復(fù)習(xí)題答案 
K.1 第1章答案 
K.2 第2章答案 
K.3 第3章答案 
K.4 第4章答案 
K.5 第5章答案 
K.6 第6章答案
K.7 第7章答案
K.8 第8章答案
K.9 第9章答案
K.10 第10章答案
K.11 第11章答案 
K.12 第12章答案 
K.13 第13章答案 
K.14 第14章答案 
K.15 第15章答案 
K.16 第16章答案
K.17 第17章答案