网络安全技术与解决方案 修订版2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

网络安全技术与解决方案 修订版PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分　边界安全3

第1章　网络安全概述3

1.1 网络安全的基本问题3

1.2　安全范例的变化5

1.3　安全准则——CIA模型5

1.3.1　机密性5

1.3.2 完整性6

1.3.3　可用性6

1.4　策略、标准、流程、基线、部署准则6

1.4.1 安全策略6

1.4.2　标准7

1.4.3 流程8

1.4.4　基线8

1.4.5　部署准则8

1.5 安全模型9

1.6　边界安全9

1.6.1　边界安全正在消失吗？9

1.6.2　定义边界的复杂性10

1.6.3　可靠的边界安全解决方案10

1.7　各层的安全10

1.7.1 多层边界解决方案10

1.7.2 多米诺效应11

1.8　安全轮型图12

1.9 总结13

1.10　参考13

第2章　访问控制15

2.1　使用ACL进行流量过滤15

2.1.1　ACL概述15

2.1.2　ACL的应用15

2.1.3　何时配置ACL16

2.2　IP地址概述17

2.2.1 IP地址分类17

2.2.2　理解IP地址分类17

2.2.3　私有IP地址（RFC 1918）19

2.3　子网掩码与反掩码概述20

2.3.1 子网掩码20

2.3.2　反掩码20

2.4　ACL配置21

2.4.1　创建一个ACL21

2.4.2　为每个ACL设置唯一的列表名或数字21

2.4.3　把ACL应用到接口上22

2.4.4　ACL的方向23

2.5　理解ACL的处理过程23

2.5.1 入站ACL23

2.5.2 出站ACL24

2.5.3　各类数据包的包过滤原则25

2.5.4 实施ACL的准则26

2.6　访问控制列表类型26

2.6.1 标准ACL27

2.6.2　扩展ACL27

2.6.3 命名的IP ACL28

2.6.4　锁和密钥（动态ACL）29

2.6.5 自反ACL30

2.6.6　Established ACL31

2.6.7　使用时间范围（Time Range）的时间ACL32

2.6.8　分布式时间ACL33

2.6.9　配置分布式时间ACL33

2.6.10　Turbo ACL33

2.6.11 限速ACL(rACL)34

2.6.12　设备保护ACL(iACL)34

2.6.13　过境ACL34

2.6.14　分类ACL35

2.6.15 用ACL进行流量调试36

2.7 总结36

2.8　参考36

第3章　设备安全39

3.1　设备安全策略39

3.2　设备加固40

3.2.1　物理安全40

3.2.2 密码41

3.2.3 用户账户45

3.2.4　特权级别45

3.2.5 设备保护ACL(Infrastructure ACL)46

3.2.6 交换访问方法46

3.2.7 Banner消息48

3.2.8 Cisco IOS快速复原配置（Resilient Configuration）50

3.2.9 Cisco发现协议（CDP）50

3.2.10 TCP/UDP低端口服务（Small-Servers）51

3.2.11 Finger51

3.2.12 Identd（auth）协议（Identification Protocol）51

3.2.13 DHCP与BOOTP服务52

3.2.14 简单文件传输（TFTP）协议52

3.2.15　文件传输（FTP）协议52

3.2.16 自动加载设备配置52

3.2.17　PAD52

3.2.18　IP源路由53

3.2.19　代理ARP53

3.2.20 无故ARP(Gratuitous ARP)53

3.2.21　IP定向广播54

3.2.22　IP掩码应答（IP Mask Reply）54

3.2.23 IP重定向54

3.2.24 ICMP不可达54

3.2.25 HTTP55

3.2.26 网络时间协议（NTP）55

3.2.27　简单网络管理协议（SNMP）56

3.2.28 Auto-Secure特性56

3.3　保护安全设备的管理访问56

3.3.1 PIX 500与ASA 5500系列安全设备——设备访问安全57

3.3.2 IPS 4200系列传感器（前身为IDS 4200）58

3.4 设备安全的自查列表60

3.5 总结60

3.6 参考60

第4章　交换机安全特性63

4.1　保护二层网络63

4.2　端口级流量控制64

4.2.1 风暴控制（Storm Control）64

4.2.2 端口隔离（Protected Port/PVLAN Edge）64

4.3 私有VLAN(PVLAN)65

4.3.1 配置PVLAN68

4.3.2　端口阻塞（Port Blocking）69

4.3.3 端口安全（Port Security）69

4.4 交换机访问列表71

4.4.1 路由器ACL71

4.4.2 端口ACL71

4.4.3 VLAN ACL（VACL）72

4.4.4 MAC ACL74

4.5　生成树协议特性74

4.5.1　桥协议数据单元防护（BPDU Guard）74

4.5.2　根防护（Root Guard）75

4.5.3 Etherchannel防护（Etherchannel Guard）75

4.5.4　环路防护（Loop Guard）76

4.6　动态主机配置协议（DHCP）Snooping76

4.7　IP源地址防护（IP Source Guard）78

4.8　DAI（动态ARP监控）78

4.8.1　DHCP环境中的DAI80

4.8.2　非DHCP环境中的DAI80

4.8.3　为入站ARP数据包限速81

4.8.4　ARP确认检查（ARP Validation Checks）81

4.9　高端Catalyst交换机上的高级安全特性81

4.10　控制面监管（CoPP）特性82

4.11 CPU限速器83

4.12　二层安全的最佳推荐做法83

4.13 总结84

4.14　参考84

第5章　Cisco IOS防火墙87

5.1 路由器防火墙之解决方案87

5.2　基于上下文的访问控制（CBAC）89

5.3　CBAC功能89

5.3.1 流量过滤89

5.3.2　流量监控90

5.3.3 告警与审计跟踪90

5.4　CBAC工作原理91

5.4.1　数据包监控91

5.4.2　超时时间与门限值91

5.4.3　会话状态表91

5.4.4　UDP连接92

5.4.5　动态ACL条目92

5.4.6　初始（半开）会话92

5.4.7　为主机进行DoS防护93

5.5　CBAC支持的协议93

5.6　配置CBAC94

5.6.1　第一步：选择一个接口：内部接口或者外部接口94

5.6.2　第二步：配置IP访问列表95

5.6.3　第三步：定义监控规则95

5.6.4　第四步：配置全局的超时时间和门限值95

5.6.5　第五步：把访问控制列表和监控规则应用到接口下96

5.6.6　第六步：验证和监测CBAC配置97

5.6.7　综合应用范例97

5.7　IOS防火墙增强特性97

5.7.1 HTTP监控功能98

5.7.2　电子邮件监控功能98

5.7.3　防火墙ACL旁路99

5.7.4　透明IOS防火墙（二层防火墙）99

5.7.5　虚拟分片重组（VFR）100

5.7.6　VRF感知型（VRF-Aware）IOS防火墙100

5.7.7 监控路由器生成的流量101

5.8 基于区域的策略防火墙（ZFW）101

5.8.1 基于区域的策略概述101

5.8.2 安全区域102

5.8.3 配置基于区域的策略防火墙103

5.8.4　使用CPL配置ZFW103

5.8.5　应用程序检查与控制（AIC）104

5.9　总结105

5.10　参考105

第6章　Cisco防火墙：设备与模块107

6.1　防火墙概述107

6.2　硬件防火墙与软件防火墙的对比108

6.3　Cisco PIX 500系列安全设备108

6.4 Cisco ASA 5500系列自适应安全设备109

6.5 Cisco防火墙服务模块（FWSM）110

6.6 PIX 500和ASA 550系列防火墙设备操作系统111

6.7 防火墙设备OS软件112

6.8 防火墙模式112

6.8.1 路由模式防火墙112

6.8.2 透明模式防火墙（隐藏防火墙）113

6.9 状态化监控114

6.10 应用层协议监控115

6.11 自适应安全算法的操作116

6.12 安全虚拟防火墙117

6.12.1 多虚拟防火墙——路由模式（及共享资源）118

6.12.2 多虚拟防火墙——透明模式118

6.12.3　配置安全虚拟防火墙120

6.13　安全级别121

6.14　冗余接口122

6.15　IP路由123

6.15.1　静态及默认路由123

6.15.2　最短路径优先（OSPF）125

6.15.3　路由信息协议（RIP）128

6.15.4　增强型内部网关路由协议（EIGRP）129

6.16 网络地址转换（NAT）130

6.16.1　NAT控制（NAT Control）130

6.16.2　NAT的类型132

6.16.3　在启用NAT的情况下绕过NAT转换137

6.16.4　策略NAT139

6.16.5　NAT的处理顺序140

6.17　控制流量与网络访问141

6.17.1　ACL概述及其在安全设备上的应用141

6.17.2　使用访问列表控制通过安全设备的出入站流量141

6.17.3　用对象组简化访问列表143

6.18　组件策略框架（MPF,Modular Policy Framework）144

6.1 9 Cisco AnyConnect VPN客户端146

6.20　冗余备份与负载分担147

6.20.1 故障切换需求147

6.20.2　故障切换链路148

6.20.3　状态链路（State Link）148

6.20.4　故障切换的实施149

6.20.5　非对称路由支持（ASR）151

6.2 1 防火墙服务模块（FWSM）的防火墙“模块化”系统151

6.22　防火墙模块OS系统151

6.23 穿越防火墙模块的网络流量152

6.24　路由器／MSFC的部署152

6.24.1　单模防火墙153

6.24.2　多模防火墙153

6.25　配置FWSM154

6.26　总结155

6.27　参考156

第7章　攻击矢量与缓解技术159

7.1 网络漏洞、网络威胁与网络渗透159

7.1.1　攻击的分类160

7.1.2　攻击矢量160

7.1.3 黑客家族的构成161

7.1.4　风险评估162

7.2　三层缓解技术163

7.2.1 流量分类163

7.2.2　IP源地址跟踪器167

7.2.3 IP欺骗攻击168

7.2.4　数据包分类与标记方法171

7.2.5　承诺访问速率（CAR）171

7.2.6　模块化QoS CLI(MQC)173

7.2.7 流量管制（Traffic Policing）174

7.2.8 基于网络的应用识别（NBAR）175

7.2.9 TCP拦截177

7.2.10　基于策略的路由（PBR）179

7.2.11 单播逆向路径转发（uRPF）180

7.2.12 NetFlow182

7.3　二层缓解方法184

7.3.1 CAM表溢出——MAC攻击185

7.3.2 MAC欺骗攻击185

7.3.3 ARP欺骗攻击186

7.3.4 VTP攻击187

7.3.5 VLAN跳转攻击188

7.3.6 PVLAN攻击190

7.3.7 生成树攻击192

7.3.8 DHCP欺骗与耗竭（Starvation）攻击193

7.3.9 802.1x攻击193

7.4　安全事故响应架构195

7.4.1　什么是安全事故195

7.4.2　安全事故响应处理195

7.4.3　事故响应小组（IRT）195

7.4.4　安全事故响应方法指导196

7.5　总结198

7.6　参考199

第2部分　身份安全和访问管理第8章　保护管理访问203

8.1 AAA安全服务203

8.1.1 AAA范例204

8.1.2　AAA之间的依赖关系205

8.2　认证协议205

8.2.1　RADIUS（远程认证拨入用户服务）205

8.2.2　TACACS＋（终端访问控制器访问控制系统）208

8.2.3　RADIUS与TACACS＋的对比211

8.3 实施AAA211

8.3.1 AAA方法212

8.3.2 AAA功能服务类型213

8.4　配置案例215

8.4.1 使用RADIUS实现PPP认证、授权、审计215

8.4.2 使用TACACS＋服务器实现登录认证、命令授权和审计216

8.4.3 设置了密码重试次数限制的登录认证216

8.5 总结217

8.6　参考217

第9章　Cisco Secure ACS软件与设备219

9.1 Windows操作系统下的Cisco Secure ACS软件219

9.1.1 AAA服务器：Cisco Secure ACS220

9.1.2　遵循的协议221

9.2　高级ACS功能与特性222

9.2.1　共享配置文件组件（SPC）222

9.2.2 可下载的IP ACL222

9.2.3 网络访问过滤器（NAF）223

9.2.4　RADIUS授权组件（RAC）223

9.2.5　Shell命令授权集223

9.2.6　网络访问限制（NAR）224

9.2.7　设备访问限制（MAR）224

9.2.8 网络访问配置文件（NAP）224

9.2.9　Cisco NAC支持225

9.3　配置ACS225

9.4　Cisco Secure ACS设备234

9.5 总结234

9.6　参考235

第10章　多重认证237

10.1　身份识别和认证（Identification and Authentication）237

10.2　双重认证系统238

10.2.1 一次性密码（OTP）238

10.2.2 S/KEY239

10.2.3 用OTP解决方案抵抗重放攻击（Replay Attack）239

10.2.4　双重认证系统的属性239

10.3　Cisco Secure ACS支持的双重认证系统240

10.3.1 Cisco Secure ACS是如何工作的241

10.3.2　在Cisco Secure ACS上配置启用了RADIUS的令牌服务器242

10.3.3 在Cisco Secure ACS上配置RSA SecureID令牌服务器245

10.4 总结245

10.5 参考246

第11章 第2层访问控制249

11.1 信任与身份识别管理解决方案250

11.2 基于身份的网络服务（IBNS）251

11.2.1 Cisco Secure ACS252

11.2.2 外部数据库支持252

11.3 IEEE 802.1x252

11.3.1 IEEE802.1x组件253

11.3.2　端口状态：授权与未授权254

11.3.3　EAP认证方式255

11.4　部署802.1x解决方案256

11.4.1　无线LAN（点到点）256

11.4.2　无线LAN（多点）256

11.5　部署802.1x基于端口的认证258

11.5.1　在运行Ciseo IOS的Cisco Catalyst交换机上配置802.1x和RADIUS258

11.5.2 在运行Cisco IOS的Cisco Aironet无线LAN接入点上配置802.1x和RADIUS262

11.5.3 在Windows XP客户端配置遵循IEEE 802.1x的用户接入设备263

11.6 总结263

11.7 参考264

第12章　无线局域网（WLAN）安全267

12.1 无线LAN（LAN）267

12.1.1　无线电波267

12.1.2　IEEE协议标准268

12.1.3　通信方式——无线频率（RF）268

12.1.4　WLAN的组成269

12.2　WLAN安全270

12.2.1　服务集标识（SSID）270

12.2.2　MAC认证271

12.2.3　客户端认证271

12.2.4　静态WEP（有线等效保密）272

12.2.5 WPA、WP2和802.11i（WEP的增强）272

12.2.6 IEEE 802.1x和EAP273

12.2.7 WLAN NAC281

12.2.8 WLAN IPS281

12.2.9 VPN IPsec282

12.3 缓解WLAN攻击282

12.4 Cisco统一无线网络解决方案282

12.5　总结284

12.6　参考284

第13章 网络准入控制（NAC）287

13.1　建立自防御网络（SDN）287

13.2 网络准入控制（NAC）288

13.2.1 为何使用NAC288

13.2.2　Cisco NAC289

13.2.3　对比NAC产品和NAC框架290

13.3　Cisco NAC产品解决方案291

13.3.1　Cisco NAC产品解决方案机制291

13.3.2 NAC产品组件291

13.3.3 NAC产品部署方案292

13.4 Cisco NAC框架解决方案294

13.4.1 Cisco NAC框架解决方案机制294

13.4.2 NAC框架组件296

13.4.3 NAC框架部署环境300

13.4.4 NAC框架的执行方法300

13.4.5 实施NAC-L3-IP301

13.4.6 实施NAC-L2-IP303

13.4.7 部署NAC-L2-802.1x306

13.5　总结308

13.6　参考309

第3部分　数据保密313

第14章　密码学313

14.1 安全通信313

14.1.1　加密系统313

14.1.2　密码学概述314

14.1.3　加密术语314

14.1.4　加密算法315

14.2　虚拟专用网（VPN）322

14.3 总结323

14.4 参考323

第15章　IPsec VPN325

15.1　虚拟专用网络（VPN）325

15.1.1　VPN技术类型325

15.1.2　VPN部署方案类型326

15.2 IPsec VPN（安全VPN）327

15.2.1 IPsec RFC327

15.2.2 IPsec模式330

15.2.3 IPsec协议头331

15.2.4 IPsec反重放保护333

15.2.5 ISAKMP和IKE333

15.2.6 ISAKMP Profile337

15.2.7 IPsec Profile338

15.2.8 IPsec虚拟隧道接口（IPsec VTI）339

15.3 公钥基础结构（PKI）340

15.3.1 PKI组件341

15.3.2 证书登记341

15.4 部署IPsec VPN343

15.4.1 Cisco IPsec VPN部署环境343

15.4.2 站点到站点IPsec VPN345

15.4.3 远程访问IPsec VPN348

15.5 总结355

15.6 参考356

第16章 动态多点VPN（DMVPN）359

16.1 DMVPN解决方案技术架构359

16.1.1 DMVPN网络设计360

16.1.2 DMVPN解决方案组件362

16.1.3 DMVPN如何工作362

16.1.4 DMVPN数据结构363

16.2 DMVPN部署环境拓扑364

16.3 实施DMVPN中心到节点的设计方案364

16.3.1 实施单hub单DMVPN（SHSD）拓扑365

16.3.2 实施双hub双DMVPN（DHDD）拓扑370

16.3.3 实施服务器负载均衡（SLB）拓扑371

16.4 实施DMVPN动态网状节点到节点的设计方案372

16.4.1 实施双hub单DMVPN（DHSD）拓扑373

16.4.2 实施多hub单DMVPN（MHSD）拓扑381

16.4.3 实施分层（基于树的）拓扑382

16.5　总结382

16.6　参考383

第17章　群组加密传输VPN（GET VPN）385

17.1　GET VPN解决方案技术构架385

17.1.1 GET VPN特性386

17.1.2 为何选择GET VPN387

17.1.3 GET VPN和DMVPN389

17.1.4 GET VPN部署需要考虑的因素388

17.1.5 GET VPN解决方案组件388

17.1.6 GET VPN的工作方式389

17.1.7 保留IP包头391

17.1.8　组成员ACL391

17.2　实施Cisco IOS GET VPN392

17.3　总结396

17.4　参考397

第18章　安全套接字层VPN（SSL VPN）309

18.1 安全套接字层（SSL）协议309

18.2 SSL VPN解决方案技术架构400

18.2.1 SSL VPN概述400

18.2.2 SSL VPN特性401

18.2.3 部署SSL VPN需要考虑的因素401

18.2.4 SSL VPN访问方式402

18.2.5 SSL VPN Citrix支持403

18.3 部署Cisco IOS SSL VPN404

18.4 Cisco AnyConnect VPN Client405

18.5 总结406

18.6　参考406

第19章　多协议标签交换VPN（MPLS VPN）409

19.1　多协议标签交换（MPLS）409

19.1.1　MPLS技术架构概述410

19.1.2　MPLS如何工作411

19.1.3　MPLS VPN和IPsec VPN411

19.1.4　部署场景412

19.1.5 面向连接和无连接的VPN技术413

19.2　MPLS VPN（可信VPN）414

19.3　L3 VPN和L2 VPN的对比414

19.4 L3VPN415

19.4.1 L3VPN组件415

19.4.2 L3VPN如何实施416

19.4.3 VRF如何工作416

19.5 实施L3VPN416

19.6 L2VPN422

19.7 实施L2VPN424

19.7.1 在MPLS服务上部署以太网VLAN——使用基于VPWS的技术架构424

19.7.2 在MPLS服务上部署以太网VLAN——使用基于VPLS的技术架构424

19.8 总结425

19.9 参考426

第4部分 安全监控431

第20章 网络入侵防御431

20.1　入侵系统术语431

20.2　网络入侵防御概述432

20.3　Cisco IPS 4200系列传感器432

20.4　Cisco IDS服务模块（IDSM-2）434

20.5　Cisco高级检测和防御安全服务模块（AIP-SSM）435

20.6　Cisco IPS高级集成模块（IPS-AIM）436

20.7　Cisco IOS IPS437

20.8　部署IPS437

20.9　Cisco IPS传感器OS软件438

20.10　Cisco IPS传感器软件440

20.10.1　传感器软件——系统架构440

20.10.2　传感器软件——通信协议441

20.10.3　传感器软件——用户角色442

20.10.4　传感器软件——分区442

20.10.5　传感器软件——特征和特征引擎442

20.10.6　传感器软件——IPS事件444

20.10.7　传感器软件——IPS事件响应445

20.10.8　传感器软件——IPS风险评估（RR）446

20.10.9 传感器软件——IPS威胁评估447

20.10.10 传感器软件——IPS接口447

20.10.11　传感器软件——IPS接口模式449

20.10.12　传感器软件——IPS阻塞（block/shun）452

20.10.13　传感器软件——IPS速率限制453

20.10.14　传感器软件——IPS虚拟化453

20.10.15　传感器软件——IPS安全策略454

20.10.16　传感器软件——IPS异常检测（AD）454

20.11　IPS高可用性455

20.11.1　IPS失效开放机制456

20.11.2　故障切换机制456

20.11.3 失效开放和故障切换的部署457

20.11.4　负载均衡技术457

20.12　IPS设备部署准则457

20.13　Cisco入侵防御系统设备管理器（IDM）457

20.14　配置IPS在线VLAN对模式458

20.15　配置IPS在线接口对模式460

20.16　配置自定义特征和IPS阻塞464

20.17 总结465

20.18　参考466

第21章　主机入侵防御469

21.1　使用无特征机制保障终端安全469

21.2　Cisco安全代理（CSA）470

21.3 CSA技术架构471

21.3.1 CSA拦截和关联472

21.3.2 CSA关联的全局扩展473

21.3.3 CSA访问控制过程473

21.3.4 CSA深层防御——零时差保护474

21.4 CSA的能力和安全功能角色474

21.5 CSA组件475

21.6 使用CSA MC配置和管理CSA部署476

21.6.1 管理CSA主机476

21.6.2 管理CSA代理工具包479

21.6.3 管理CSA组481

21.6.4 CSA代理用户界面482

21.6.5 CSA策略、规则模块和规则484

21.7　总结485

21.8　参考486

第22章　异常检测与缓解489

22.1　攻击概述489

22.1.1　拒绝服务（DoS）攻击定义489

22.1.2　分布式拒绝服务（DDoS）攻击定义490

22.2　异常检测和缓解系统491

22.3　Cisco DDoS异常检测和缓解解决方案492

22.4　Cisco流量异常检测器（Cisco Traffic Anomaly Detecor）492

22.5 Cisco Guard DDoS缓解设备495

22.6　整体运行497

22.7　配置和管理Cisco流量异常检测器499

22.7.1 管理检测器500

22.7.2　通过CLI控制台初始化检测器500

22.7.3 配置检测器（区域、过滤器、策略和学习过程）501

22.8　配置和管理Cisco Guard缓解设备504

22.8.1 管理Guard504

22.8.2　通过CLI控制台初始化Guard505

22.8.3　配置Guard（区域、过滤器、策略和学习过程）505

22.9 总结508

22.10　参考508

第23章　安全监控和关联511

23.1　安全信息和事件管理511

23.2　Cisco安全监控、分析和响应系统（CS-MARS）512

23.2.1　安全威胁防御（STM）系统513

23.2.2　拓扑感知和网络映射514

23.2.3　关键概念——事件、会话、规则和事故515

23.2.4　CS-MARS中的事件处理517

23.2.5 CS-MARS中的误报518

23.3 部署CS-MARS518

23.3.1 独立控制器和本地控制器（LC）519

23.3.2　全局控制器（GC）520

23.3.3　软件版本信息521

23.3.4　报告和防御设备522

23.3.5　运行级别523

23.3.6 必需的流量和需要开放的端口523

23.3.7　基于Web的管理界面525

23.3.8 初始化CS-MARS526

23.4 总结527

23.5　参考528

第5部分　安全管理533

第24章　安全和策略管理533

24.1　Cisco安全管理解决方案533

24.2　Cisco安全管理器534

24.2.1 Cisco安全管理器——特性和能力534

24.2.2 Cisco安全管理器——防火墙管理536

24.2.3 Cisco安全管理器——VPN管理536

24.2.4 Cisco安全管理器——IPS管理537

24.2.5 Cisco安全管理器——平台管理538

24.2.6 Cisco安全管理器——系统架构538

24.2.7 Cisco安全管理器——配置视图539

24.2.8 Cisco安全管理器——管理设备541

24.2.9 Cisco安全管理器——工作流模式541

24.2.10 Cisco安全管理器——基于角色的访问控制（RBAC）542

24.2.11 Cisco安全管理器——交叉启动xDM543

24.2.12 Cisco安全管理器——支持的设备和OS版本545

24.2.13 Cisco安全管理器——服务器和客户端的要求与限制546

24.2.14 Cisco安全管理器——必需的流量和需要开放的端口547

24.3 Cisco路由器和安全设备管理器（SDM）549

24.3.1 Cisco SDM——特性和能力549

24.3.2 Cisco SDM——如何工作550

24.3.3 Cisco SDM——路由器安全审计特性552

24.3.4 Cisco SDM——步锁定特性552

24.3.5 Cisco SDM——监测模式553

24.3.6 Cisco SDM——支持的路由器和IOS版本554

24.3.7 Cisco SDM——系统要求555

24.4 Cisco自适应安全设备管理器（ASDM）556

24.4.1 Cisco ASDM——特性和能力556

24.4.2 Cisco ASDM——如何工作556

24.4.3 Cisco ASDM——数据包追踪器程序559

24.4.4 Cisco ASDM——系统日志到访问规则的关联559

24.4.5 Cisco ASDM——支持的防火墙和软件版本560

24.4.6 Cisco ASDM——用户要求560

24.5 Cisco PIX设备管理器（PDM）560

24.6 Cisco IPS设备管理器（IDM）561

24.6.1 Cisco IDM——如何工作562

24.6.2 Cisco IDM——系统要求562

24.7 总结563

24.8　参考563

第25章　安全框架与法规遵从性567

25.1 安全模型567

25.2　策略、标准、部署准则和流程568

25.2.1 安全策略569

25.2.2　标准569

25.2.3　部署准则569

25.2.4　流程569

25.3　最佳做法框架570

25.3.1 ISO/IEC 17799（现为ISO/IEC 27002）570

25.3.2 COBIT571

25.3.3 17799/27002和COBIT的对比571

25.4　遵从性和风险管理572

25.5　法规遵从性和立法行为572

25.6　GLBA——格雷姆－里奇－比利雷法572

25.6.1 对谁有效573

25.6.2 GLBA的要求573

25.6.3 违规处罚574

25.6.4 满足GLBA的Cisco解决方案574

25.6.5　GLBA总结574

25.7　HIPAA——健康保险可携性与责任法案575

25.7.1 对谁有效575

25.7.2 HIPAA的要求575

25.7.3　违规处罚575

25.7.4　满足HIPAA的Cisco解决方案576

25.7.5　HIPAA总结576

25.8　SOX——萨班斯－奥克斯利法案576

25.8.1　对谁有效577

25.8.2　SOX法案的要求577

25.8.3　违规处罚578

25.8.4 满足SOX的Cisco解决方案579

25.8.5 SOX总结579

25.9　法规遵从性规章制度的全球性展望579

25.9.1　在美国580

25.9.2　在欧洲580

25.9.3　在亚太地区580

25.10　Cisco自防御网络解决方案581

25.11 总结581

25.12　参考581