《網(wǎng)絡(luò)安全原理與實踐》為廣大讀者提供了網(wǎng)絡(luò)安全設(shè)施和VPN的專家級解決方案。全書共分9個部分,分別介紹了網(wǎng)絡(luò)安全介紹、定義安全區(qū)、設(shè)備安全、路由安全、局域網(wǎng)交換的安全、網(wǎng)絡(luò)地址轉(zhuǎn)換與安全、防火墻基礎(chǔ)、PIX防火墻、IOS防火墻、VPN的概念、GRE、L2TP、IPSec、入侵檢測、Cisco安全入侵檢測、AAA、TACACS+、RADIUS、使用AAA實現(xiàn)安全特性的特殊實例、服務(wù)提供商安全的利益和挑戰(zhàn)、高效使用訪問控制列表、使用NBAR識別和控制攻擊、使用CAR控制攻擊、網(wǎng)絡(luò)安全實施疑難解析等。附錄中包括各章復(fù)習題答案和企業(yè)網(wǎng)絡(luò)安全藍圖白皮書! 毒W(wǎng)絡(luò)安全原理與實踐》適合準備參加CCIE網(wǎng)絡(luò)安全認證工作的人員閱讀,也適合那些想增強關(guān)于網(wǎng)絡(luò)安全核心概念知識的網(wǎng)絡(luò)安全專業(yè)人員閱讀。
Cisco Press出版的CCIE職業(yè)發(fā)展系列中的一本,該書在網(wǎng)絡(luò)設(shè)計、部署和支持等方面提供了專家級的指導(dǎo),可以幫助網(wǎng)絡(luò)從業(yè)人員管理負責的網(wǎng)絡(luò),并為CCIE考試做好準備。設(shè)計和部署可擴展BGP路由架構(gòu)的實戰(zhàn)指南。CIE認證考試人員必備圖書。
Saadat Malik,CCIE #4955,在Cisco公司的VPN和網(wǎng)絡(luò)安全組管理技術(shù)支持工作。作為CCIE安全實驗考試的作者、編寫CCIE安全資格證書考試小組的成員之一,他是開發(fā)CCIE網(wǎng)絡(luò)安全認證的先鋒。目前他是CCIE的部門顧問,幫助改善正在進行的CCIE安全實驗考試的質(zhì)量。同時在監(jiān)督CCIE實驗考試方面,他有著多年的經(jīng)驗。過去,Malik在圣何賽州立大學教授研究生網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議的課程。這些年來,在Saadat的監(jiān)督和技術(shù)領(lǐng)導(dǎo)下,30個CCIE(包括9個“double”CCIE和2個“triple”CCIE)已經(jīng)達到了令人渴望的尊貴地位。多年以來,在業(yè)界的一些活動中,例如Networkers和IBM技術(shù)會議上,他經(jīng)常就網(wǎng)絡(luò)入侵檢測相關(guān)的高級主題、VPN的疑難解析和高級的IPSec概念做報告。Saadat普渡大學西拉法葉校區(qū)獲得了電子工程碩士學位(MSEE)。
目 錄
第一部分:網(wǎng)絡(luò)安全介紹
第1章 網(wǎng)絡(luò)安全介紹 3
1.1 網(wǎng)絡(luò)安全目標 4
1.2 資產(chǎn)確定 4
1.3 威脅評估 5
1.4 風險評估 6
1.5 構(gòu)建網(wǎng)絡(luò)安全策略 6
1.6 網(wǎng)絡(luò)安全策略的要素 7
1.7 部署網(wǎng)絡(luò)安全策略 8
1.8 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的部署 9
1.9 審計和改進 9
1.10 實例研究 10 目 錄
第一部分:網(wǎng)絡(luò)安全介紹
第1章 網(wǎng)絡(luò)安全介紹 3
1.1 網(wǎng)絡(luò)安全目標 4
1.2 資產(chǎn)確定 4
1.3 威脅評估 5
1.4 風險評估 6
1.5 構(gòu)建網(wǎng)絡(luò)安全策略 6
1.6 網(wǎng)絡(luò)安全策略的要素 7
1.7 部署網(wǎng)絡(luò)安全策略 8
1.8 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的部署 9
1.9 審計和改進 9
1.10 實例研究 10
1.10.1 資產(chǎn)確定 10
1.10.2 威脅確定 11
1.10.3 風險分析 12
1.10.4 定義安全策略 13
1.11 小結(jié) 16
1.12 復(fù)習題 16
第二部分:構(gòu)建網(wǎng)絡(luò)安全
第2章 定義安全區(qū) 21
2.1 安全區(qū)介紹 21
2.2 設(shè)計一個DMZ 22
2.2.1 使用一個三腳防火墻創(chuàng)建DMZ 23
2.2.2 DMZ置于防火墻之外,公共網(wǎng)絡(luò)和防火墻之間 23
2.2.3 DMZ置于防火墻之外,但不在公共網(wǎng)絡(luò)和防火墻之間的通道上 24
2.2.4 在層疊的防火墻之間創(chuàng)建DMZ 25
2.3 實例研究:使用PIX防火墻創(chuàng)建區(qū) 26
2.4 小結(jié) 27
2.5 復(fù)習題 27
第3章 設(shè)備安全 29
3.1 物理安全 30
3.1.1 冗余位置 30
3.1.2 網(wǎng)絡(luò)拓撲設(shè)計 30
3.1.3 網(wǎng)絡(luò)位置的安全 31
3.1.4 選擇安全介質(zhì) 32
3.1.5 電力供應(yīng) 32
3.1.6 環(huán)境因素 32
3.2 設(shè)備冗余 33
3.2.1 路由冗余 33
3.2.2 HSRP 35
3.2.3 虛擬路由器冗余協(xié)議(VRRP) 41
3.3 路由器安全 45
3.3.1 配置管理 45
3.3.2 控制對路由器的訪問 46
3.3.3 對路由器的安全訪問 49
3.3.4 密碼管理 50
3.3.5 記錄路由器事件 51
3.3.6 禁用不需要的服務(wù) 52
3.3.7 使用環(huán)回接口 52
3.3.8 SNMP用作管理協(xié)議的控制 53
3.3.9 HTTP用作管理協(xié)議的控制 55
3.3.10 使用CEF作為交換機制 56
3.3.11 從安全的角度來建立調(diào)度表 56
3.3.12 使用NTP 57
3.3.13 登錄信息 57
3.3.14 獲取Core Dumps信息 58
3.3.15 在CPU高負載期間使用service nagle以改善Telnet訪問 59
3.4 PIX防火墻安全 60
3.4.1 配置管理 60
3.4.2 控制對PIX的訪問 60
3.4.3 安全訪問PIX 61
3.4.4 密碼管理 62
3.4.5 記錄PIX事件 62
3.5 交換機安全 63
3.5.1 配置管理 63
3.5.2 控制對交換機的訪問 63
3.5.3 對交換機的安全訪問 64
3.5.4 交換機事件日志 64
3.5.5 控制管理協(xié)議(基于SNMP的管理) 65
3.5.6 使用NTP 65
3.5.7 登錄信息 66
3.5.8 捕獲Core Dumps 66
3.6 小結(jié) 66
3.7 復(fù)習題 66
第4章 路由安全 69
4.1 將安全作為路由設(shè)計的一部分 70
4.1.1 路由過濾 70
4.1.2 收斂性 71
4.1.3 靜態(tài)路由 71
4.2 路由器和路由認證 72
4.3 定向廣播控制 75
4.4 黑洞過濾 75
4.5 單播反向路徑轉(zhuǎn)發(fā) 76
4.6 路徑完整性 78
4.6.1 ICMP重定向 78
4.6.2 IP源路由 78
4.7 實例研究:BGP路由協(xié)議安全 79
4.7.1 BGP鄰居認證 79
4.7.2 入站路由過濾 80
4.7.3 出站路由過濾 80
4.7.4 BGP網(wǎng)絡(luò)通告 80
4.7.5 BGP多跳 81
4.7.6 BGP通信 81
4.7.7 禁用BGP版本協(xié)商 81
4.7.8 維持路由表的深度和穩(wěn)定性 81
4.7.9 BGP鄰居狀態(tài)改變的日志記錄 84
4.8 實例研究:OSPF路由協(xié)議的安全 84
4.8.1 OSPF路由器認證 84
4.8.2 OSPF非廣播鄰居配置 85
4.8.3 使用末節(jié)區(qū)域 85
4.8.4 使用環(huán)回接口作為路由器ID 87
4.8.5 調(diào)整SPF計時器 87
4.8.6 路由過濾 88
4.9 小結(jié) 88
4.10 復(fù)習題 89
第5章 局域網(wǎng)交換的安全 91
5.1 普通交換和第2層安全 92
5.2 端口安全 93
MAC地址泛洪和端口安全 93
5.3 IP許可列表 95
5.4 協(xié)議過濾和控制LAN泛洪 96
5.5 Catalyst 6000上的專用VLAN 97
ARP欺騙、粘性ARP和專用VLAN 99
5.6 使用IEEE 802.1x標準進行端口認證和訪問控制 99
5.6.1 802.1x實體 99
5.6.2 802.1x通信 100
5.6.3 802.1x功能 104
5.6.4 使用802.1x建立Catalyst 6000端口認證 106
5.7 小結(jié) 108
5.8 復(fù)習題 108
第6章 網(wǎng)絡(luò)地址轉(zhuǎn)換與安全 111
6.1 網(wǎng)絡(luò)地址轉(zhuǎn)換的安全利益 112
6.2 依賴NAT提供安全的缺點 113
6.2.1 除了端口號信息外沒有協(xié)議信息跟蹤 113
6.2.2 基于PAT表沒有限制數(shù)據(jù)流的類型 113
6.2.3 初始連接上有限的控制 113
6.3 小結(jié) 114
6.4 復(fù)習題 114
第三部分:防火墻
第7章 什么是防火墻 119
7.1 防火墻 119
7.1.1 日志和通告發(fā)送能力 120
7.1.2 大規(guī)模的數(shù)據(jù)包檢查 120
7.1.3 易于配置 121
7.1.4 設(shè)備安全和冗余 121
7.2 防火墻的類型 122
7.2.1 電路級防火墻 122
7.2.2 代理服務(wù)器防火墻 122
7.2.3 無狀態(tài)分組過濾器防火墻 123
7.2.4 有狀態(tài)分組過濾器防火墻 123
7.2.5 個人防火墻 124
7.3 防火墻的位置 124
7.4 小結(jié) 125
第8章 PIX防火墻 127
8.1 自適應(yīng)安全算法 127
8.1.1 TCP 128
8.1.2 UDP 130
8.2 PIX防火墻的基本特性 131
8.2.1 使用ASA的狀態(tài)化流量檢測 131
8.2.2 為接口分配不同的安全級別 132
8.2.3 訪問控制列表 132
8.2.4 擴展的日志能力 133
8.2.5 基本的路由能力,包括對RIP的支持 134
8.2.6 網(wǎng)絡(luò)地址轉(zhuǎn)換 134
8.2.7 失效處理機制和冗余 135
8.2.8 認證通過PIX的流量 137
8.3 PIX防火墻的高級特性 137
8.3.1 別名 138
8.3.2 X防護 141
8.3.3 高級過濾 142
8.3.4 多媒體支持 143
8.3.5 欺騙檢測或者單播RPF 145
8.3.6 協(xié)議修正 146
8.3.7 混雜的sysopt命令 146
8.3.8 多播支持 148
8.3.9 分片處理 150
8.4 實例研究 151
8.4.1 帶有三個接口,運行在DMZ的Web服務(wù)器上的PIX 152
8.4.2 為PIX設(shè)置失效處理 157
8.4.3 為DMZ上的服務(wù)器使用alias命令設(shè)置PIX 160
8.4.4 為貫穿式代理認證和授權(quán)設(shè)置PIX 163
8.4.5 使用Object Groups和TurboACL來擴展PIX配置 166
8.5 小結(jié) 170
8.6 復(fù)習題 171
第9章 IOS防火墻 173
9.1 基于上下文的訪問控制 173
CBAC功能 174
9.2 IOS防火墻的特性 175
9.2.1 傳輸層檢查 176
9.2.2 應(yīng)用層檢查 176
9.2.3 對無效命令進行過濾 177
9.2.4 Java阻塞 177
9.2.5 針對拒絕服務(wù)攻擊的安全防護 177
9.2.6 IOS防火墻中的分片處理 180
9.3 實例研究:配置了NAT的路由器上的CBAC 180
9.4 小結(jié) 185
9.5 復(fù)習題 185
第四部分:VPN
第10章 VPN的概念 189
10.1 VPN定義 189
10.2 基于加密與不加密的VPN類型比較 190
10.2.1 加密VPN 190
10.2.2 非加密VPN 190
10.3 基于OSI模型分層的VPN類型 190
10.3.1 數(shù)據(jù)鏈路層VPN 191
10.3.2 網(wǎng)絡(luò)層VPN 191
10.3.3 應(yīng)用層VPN 191
10.4 基于商業(yè)功能性的VPN類型 192
10.5 內(nèi)部網(wǎng)VPN 192
10.6 外部網(wǎng)VPN 192
10.7 小結(jié) 193
第11章 GRE 195
11.1 GRE 195
11.2 實例研究 198
11.2.1 連接兩個私有網(wǎng)絡(luò)的簡單GRE隧道 198
11.2.2 多個站點間的GRE 202
11.2.3 運行IPX的兩個站點間的GRE 206
11.3 小結(jié) 211
11.4 復(fù)習題 211
第12章 L2TP 213
12.1 L2TP概述 213
12.2 L2TP的功能細節(jié) 215
12.2.1 建立控制連接 216
12.2.2 建立會話 216
12.2.3 頭格式 218
12.3 實例研究 219
12.3.1 創(chuàng)建強制型L2TP隧道 220
12.3.2 在強制型隧道的創(chuàng)建中使用IPSec保護L2TP通信 235
12.4 小結(jié) 240
12.5 復(fù)習題 240
第13章 IPSec 243
13.1 IPSec VPN的類型 244
13.1.1 LAN-to-LAN IPSec實現(xiàn) 244
13.1.2 遠程訪問客戶端IPSec實現(xiàn) 245
13.2 IPSec的組成 246
13.3 IKE介紹 247
13.3.1 主模式(或者主動模式)的目標 248
13.3.2 快速模式的目標 249
13.4 使用IKE協(xié)議的IPSec協(xié)商 249
13.4.1 使用預(yù)共享密鑰認證的主模式后接快速模式的協(xié)商 249
13.4.2 使用數(shù)字簽名認證后接快速模式的主模式 263
13.4.3 使用預(yù)共享密鑰認證的主動模式 267
13.5 IKE認證機制 270
13.5.1 預(yù)共享密鑰 270
13.5.2 數(shù)字簽名 271
13.5.3 加密臨時值 272
13.6 IPSec中加密和完整性檢驗機制 273
13.6.1 加密 273
13.6.2 完整性檢驗 275
13.7 IPSec中分組的封裝 276
13.7.1 傳輸模式 276
13.7.2 隧道模式 276
13.7.3 ESP(封裝安全負載) 277
13.7.4 AH(認證頭) 278
13.8 增強遠程訪問客戶端IPSec的IKE 279
13.8.1 擴展認證 279
13.8.2 模式配置 282
13.8.3 NAT透明 283
13.9 IPSec失效對等體的發(fā)現(xiàn)機制 284
13.10 實例研究 285
13.10.1 使用預(yù)共享密鑰作為認證機制的路由器到路由器的IPSec 285
13.10.2 使用數(shù)字簽名和數(shù)字證書的路由器到路由器的IPSec 299
13.10.3 使用RSA加密臨時值的路由器到路由器的IPSec 310
13.10.4 一對多路由器IPSec 317
13.10.5 High-Availability-IPSec-Over-GRE設(shè)置 323
13.10.6 使用x-auth、動態(tài)crypto映射、模式配置和預(yù)共享密鑰的遠程訪問IPSec 328
13.10.7 LAN-to-LAN和遠程訪問的PIX IPSec設(shè)置 331
13.10.8 使用自發(fā)型隧道的L2TP上的IPSec 336
13.10.9 IPSec隧道終點發(fā)現(xiàn)(TED) 341
13.10.10 NAT同IPSec的相互作用 354
13.10.11 防火墻和IPSec的相互作用 356
13.11 小結(jié) 357
13.12 復(fù)習題 357
第五部分:入侵檢測
第14章 什么是入侵檢測 361
14.1 對入侵檢測的需求 362
14.2 基于攻擊模式的網(wǎng)絡(luò)攻擊類型 363
14.2.1 拒絕服務(wù)攻擊 363
14.2.2 網(wǎng)絡(luò)訪問攻擊 363
14.3 基于攻擊發(fā)起者的網(wǎng)絡(luò)攻擊類型 364
14.3.1 由受信任的(內(nèi)部)用戶發(fā)起的攻擊 365
14.3.2 由不受信任的(外部)用戶發(fā)起的攻擊 365
14.3.3 由沒有經(jīng)驗的“腳本少年”黑客發(fā)起的攻擊 365
14.3.4 由有經(jīng)驗的“專業(yè)”黑客發(fā)起的攻擊 366
14.4 常見的網(wǎng)絡(luò)攻擊 367
14.4.1 拒絕服務(wù)攻擊 367
14.4.2 資源耗盡類型的DoS攻擊 367
14.4.3 旨在導(dǎo)致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型 374
14.4.4 網(wǎng)絡(luò)訪問攻擊 375
14.5 檢測入侵的過程 378
14.6 實例研究:Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉(zhuǎn)敗局的 380
14.7 小結(jié) 381
第15章 Cisco安全入侵檢測 385
15.1 Cisco安全IDS的組件 386
15.2 構(gòu)建管理控制臺 389
15.2.1 兩種類型的管理控制臺 389
15.2.2 UNIX Director的內(nèi)部結(jié)構(gòu) 389
15.2.3 CSPM IDS控制臺的內(nèi)部結(jié)構(gòu) 392
15.3 構(gòu)建傳感器 393
15.4 對入侵的響應(yīng) 396
15.4.1 日志記錄 397
15.4.2 TCP重置 400
15.4.3 屏蔽 400
15.5 簽名類型 401
15.5.1 簽名引擎(Engine) 402
15.5.2 默認的警報級別 403
15.6 把路由器、PIX或者IDSM作為傳感器使用 404
15.7 實例研究 405
15.7.1 把路由器作為傳感器設(shè)備使用 405
15.7.2 把PIX作為傳感器設(shè)備使用 409
15.7.3 把Catalyst 6000 IDSM作為傳感器使用 412
15.7.4 設(shè)置路由器或者UNIX Director進行屏蔽 416
15.7.5 創(chuàng)建定制的簽名 418
15.8 小結(jié) 419
15.9 復(fù)習題 419
第六部分:網(wǎng)絡(luò)訪問控制
第16章 AAA 423
16.1 AAA組件的定義 423
16.2 認證概述 424
16.3 設(shè)置認證 425
16.3.1 啟用AAA 425
16.3.2 設(shè)置一個本地用戶認證參數(shù)數(shù)據(jù)庫或者設(shè)置對配置好的RADIUS或TACACS+ 服務(wù)器的訪問 425
16.3.3 設(shè)置方法列表 426
16.3.4 應(yīng)用方法列表 428
16.4 授權(quán)概述 429
16.5 設(shè)置授權(quán) 429
16.5.1 設(shè)置方法列表 429
16.5.2 應(yīng)用方法列表 430
16.6 統(tǒng)計概述 432
16.7 設(shè)置統(tǒng)計 433
16.7.1 設(shè)置一個方法列表 433
16.7.2 將方法列表應(yīng)用到行和/或接口 434
16.8 實例研究 435
16.8.1 使用AAA對PPP連接進行認證和授權(quán) 435
16.8.2 使用AAA下載路由和應(yīng)用訪問列表 438
16.8.3 使用AAA設(shè)置PPP超時 441
16.9 小結(jié) 443
16.10 復(fù)習題 443
第17章 TACACS+ 445
17.1 TACACS+概述 446
17.2 TACACS+通信體系結(jié)構(gòu) 446
17.3 TACACS+分組加密 448
17.4 TACACS+的認證 449
17.5 TACACS+的授權(quán) 450
17.6 TACACS+的統(tǒng)計 455
17.7 小結(jié) 457
17.8 復(fù)習題 458
第18章 RADIUS 461
18.1 RADIUS介紹 461
18.2 RADIUS通信的體系結(jié)構(gòu) 462
18.2.1 RADIUS分組格式 463
18.2.2 RADIUS中的口令加密 464
18.2.3 RADIUS的認證 465
18.2.4 RADIUS的授權(quán) 466
18.2.5 RADIUS的統(tǒng)計 472
18.3 小結(jié) 474
18.4 復(fù)習題 475
第19章 使用AAA實現(xiàn)安全特性的特殊實例 477
19.1 使用AAA對IPSec提供預(yù)共享的密鑰 478
19.2 在ISAKMP中對X-Auth使用AAA 480
19.3 對Auth-Proxy使用AAA 482
19.4 對VPDN使用AAA 485
19.5 對鎖和密鑰使用AAA 488
19.6 使用AAA對命令授權(quán) 490
19.7 小結(jié) 492
19.8 復(fù)習題 492
第七部分:服務(wù)提供商安全
第20章 服務(wù)提供商安全的利益和挑戰(zhàn) 497
20.1 擁有服務(wù)提供商安全的動機 497
20.1.1 阻止和轉(zhuǎn)移攻擊的能力 498
20.1.2 跟蹤流量模式的能力 499
20.1.3 向下跟蹤攻擊源的能力 499
20.2 在服務(wù)提供商級別上實現(xiàn)安全的挑戰(zhàn) 502
20.3 服務(wù)提供商安全的關(guān)鍵組件 503
20.4 小結(jié) 503
20.5 復(fù)習題 503
第21章 有效使用訪問控制列表 505
21.1 訪問控制列表概述 506
21.1.1 ACL的類型 506
21.1.2 ACL的特性和特征 509
21.2 使用訪問控制列表阻止未經(jīng)授權(quán)的訪問 510
21.2.1 ACL的基本訪問控制功能 510
21.2.2 使用ACL阻塞ICMP分組 511
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組 512
21.2.4 用ACL阻塞去往網(wǎng)絡(luò)中不可用服務(wù)的流量 512
21.2.5 使用ACL阻塞已知的冒犯 513
21.2.6 使用ACL阻塞假的和不必要的路由 513
21.3 使用ACL識別拒絕服務(wù)攻擊 513
21.3.1 使用訪問控制列表識別smurf攻擊 513
21.3.2 使用訪問控制列表識別fraggle攻擊 515
21.3.3 使用訪問控制列表識別SYN泛洪 516
21.4 使用ACL阻止拒絕服務(wù)攻擊 517
21.4.1 使用ACL阻止來自不合法IP地址的流量 517
21.4.2 過濾RFC 1918地址空間 519
21.4.3 拒絕其他不必要的流量 519
21.5 通過ACL處理IP分片 520
21.5.1 過濾IP分片 520
21.5.2 保護網(wǎng)絡(luò)免遭IP分片攻擊 524
21.6 ACL對性能的影響 525
21.7 Turbo ACL 526
21.8 NetFlow交換和ACL 529
21.8.1 NetFlow交換功能 529
21.8.2 NetFlow交換使訪問控制列表性能增強 529
21.8.3 使用NetFlow 530
21.9 小結(jié) 530
21.10 復(fù)習題 530
第22章 使用NBAR識別和控制攻擊 533
22.1 NBAR概述 534
22.2 使用NBAR對分組進行分類 537
22.3 使用NBAR檢測網(wǎng)絡(luò)攻擊 539
22.3.1 用帶有簡單訪問控制列表的DSCP或ToS標記或丟棄分組 539
22.3.2 使用帶有策略路由的DSCP或者ToS來標記或丟棄經(jīng)NBAR分類的流量 540
22.3.3 用流量管制管理經(jīng)NBAR分類的流量 541
22.4 聯(lián)合使用NBAR和PDLM對網(wǎng)絡(luò)攻擊分類 541
22.5 使用基于NBAR的訪問控制技術(shù)對性能的影響 542
22.6 實例研究:紅色代碼病毒和NBAR 542
22.7 小結(jié) 544
22.8 復(fù)習題 545
第23章 使用CAR控制攻擊 547
23.1 CAR概述 548
23.2 使用CAR限制速率或者丟棄額外的惡意流量 550
23.2.1 限制拒絕服務(wù)攻擊的速率 550
23.2.2 限制可疑惡意內(nèi)容的速率 551
23.3 實例研究:使用CAR限制DDoS攻擊 552
23.4 小結(jié) 553
23.5 復(fù)習題 554
第八部分:故障排除
第24章 網(wǎng)絡(luò)安全實施故障排除 559
24.1 NAT故障排除 560
24.1.1 NAT操作的順序 560
24.1.2 NAT調(diào)試工具 561
24.1.3 NAT show命令 562
24.1.4 常見的NAT問題以及解決方案 563
24.2 PIX防火墻故障排除 567
24.2.1 引起與PIX相關(guān)的問題的根源 567
24.2.2 PIX中NAT操作的順序 568
24.2.3 PIX調(diào)試 568
24.2.4 推薦的PIX 6.2超時值 570
24.2.5 PIX show命令 571
24.2.6 常見的PIX問題及其解決方法 575
24.2.7 PIX故障排除實例研究 576
24.3 IOS防火墻故障排除 578
24.3.1 IOS防火墻中的操作順序 578
24.3.2 IOS防火墻的show命令 579
24.3.3 常見的IOS防火墻問題及其解決辦法 582
24.4 IPSec VPN故障排除 583
24.4.1 IPSec事件的執(zhí)行順序 583
24.4.2 IPSec的調(diào)試 584
24.4.3 IPSec show命令 588
24.4.4 常見的IPSec問題以及解決辦法 591
24.5 入侵檢測故障排除 595
常見的IDS問題及解決辦法 595
24.6 AAA故障排除 598
24.6.1 AAA show命令 599
24.6.2 AAA的debug命令 599
24.6.3 常見的AAA問題和解決辦法 599
24.7 小結(jié) 606
24.8 復(fù)習題 607
第九部分:附錄
附錄A 復(fù)習題答案 611
附錄B SAFE:企業(yè)網(wǎng)絡(luò)安全藍圖白皮書 627