CISCO IOS网络安全

第1章 安全性概述
1.1 本书内容简介
1.1.1 身份认证、授权和统计
1.1.2 安全服务器协议
1.1.3 数据流过滤
1.1.4 网络数据加密
1.1.5 其他安全特性
1.2 创建有效的安全策略
1.2.1 安全策略的性质
1.2.2 安全策略的两个级别
1.2.3 开发有效的安全策略的技巧
1.3 认识安全危险和Cisco IOS 解决方案
1.3.1 防止对网络设备的未经授权的访问
1.3.2 防止对网络的未经授权的访问
1.3.3 防止网络数据窃听
1.3.4 防止欺骗性路由更新
1.4 使用Cisco IOS软件创建防火墙
1.4.1 防火墙概述
1.4.2 创建防火墙
1.4.3 配置防火墙的其他指导原则
第一部分 身份认证、授权和统计（AAA）
第2章 AAA概述
2.1 AAA安全服务
2.1.1 使用AAA的益处
2.1.2 AAA基本原理
2.1.3 方法列表
2.2 从何处开始
2.2.1 AAA配置过程概述
2.2.2 启用AAA
2.2.3 停用AAA
2.3 下一步工作
第3章 配置认证
3.1 AAA身份认证方法列表
3.1.1 方法列表举例
3.1.2 配置AAA身份认证的通用步骤
3.2 AAA身份认证方法
3.2.1 使用AAA配置登录身份认证
3.2.2 使用AAA配置PPP身份认证
3.2.3 使用AAA配置ARA身份认证
3.2.4 使用AAA配置NASI身份认证
3.2.5 启用特权级口令保护
3.2.6 启用身份认证覆盖（override）
3.2.7 启用双重身份认证
3.3 非AAA身份认证方法
3.3.1 配置线路口令保护
3.3.2 建立用户名身份认证
3.3.3 启用CHAP或PAP身份认证
3.3.4 配置TACACS和扩展TACACS口令保护
3.4 身份认证示例
3.4.1 RADIUS身份认证示例
3.4.2 TACACS+身份认证示例
3.4.3 TACACS和扩展TACACS身份认证示例
3.4.4 Kerberos身份认证示例
3.4.5 双重身份认证配置示例
第4章 身份认证命令
4.1 aaa authentication arap
4.2 aaa authentication enable default
4.3 aaa authentication local-override
4.4 aaa authentication login
4.5 aaa authentication nasi
4.6 aaa authentication password-prompt
4.7 aaa authentication ppp
4.8 aaa authentication username-prompt
4.9 aaa new-model
4.10 access-profile
4.11 arap authentication
4.12 login authentication
4.13 login tacacs
4.14 nasi authentication
4.15 ppp authetication
4.16 ppp chap hostname
4.17 ppp chap password
4.18 ppp chap refuse
4.19 ppp chap wait
4.20 ppp pap sent-username
4.21 ppp use-tacacs
第5章 配置授权
5.1 AAA授权类型
5.2 AAA授权方法
5.3 AAA授权前的准备工作
5.4 AAA授权配置任务列表
5.5 配置授权
5.6 关闭全局配置命令授权
5.7 授权属性-值对（Attribute-Value Pair）
5.8 授权配置示例
5.8.1 TACACS+授权示例
5.8.2 RADIUS授权示例
5.8.3 Kerberos实例映射示例
第6章 授权命令
6.1 aaa authorization
6.2 aaa authorization config-commands
6.3 aaa new-model
第7章 配置统计
7.1 AAA统计类型
7.1.1 网络统计
7.1.2 连接统计
7.1.3 EXEC统计
7.1.4 系统统计
7.1.5 命令统计
7.2 AAA统的准备工作
7.3 AAA统计配置任务列表
7.4 启用AAA统计
7.4.1 禁止为用户名字符串为空的用户会话生成统计记录 
7.4.2 生成临时统计记录
7.5 监视统计
7.6 统计属性-值对
7.7 统计配置示例
第8章 统计命令
8.1 aaa accounting
8.2 aaa accounting suppress null-username
8.3 aaa accounting update
8.4 show accounting
第二部分 安全服务器协议
第9章 配置RADIUS
9.1 RADIUS概述
9.2 RADIUS操作
9.3 RADIUS配置任务列表
9.4 为RADIUS服务器通信配置路由器
9.5 为厂商专用的RADIUS 服务器通信配置路由器
9.6 配置路由器以便向RADIUS服务器 查询静态路由和IP地址 
9.7 指定RADIUS身份验证
9.8 指定RADIUS授权
9.9 指定RADIUS统计
9.10 RADIUS属性
9.11 厂商专用的RADIUS属性
9.12 RADIUS配置示例
9.12.1 RADIUS身份验证和授权示例
9.12.2 RADIUS AAA示例
9.12.3 厂商专用的RADIUS配置示例
第10章 RADIUS命令
10.1 ip radius source-interface
10.2 radius-server configure-nas
10.3 radius-server dead-time
10.4 radius-server host
10.5 radius-server host non-standard
10.6 radius-server key
10.7 radius-server retransmit
10.8 radius-server timeout
第11章 配置TACACS+
11.1 TACACS+概述
11.2 TACACS+操作
11.3 TACACS+配置任务列表
11.4 指定TACACS+服务器主机
11.5 设置TACACS+身份验证密匙
11.6 指定TACACS+身份验证
11.7 指定TACACS+授权
11.8 指定TACACS+统计
11.9 TACACS+ AV对
11.10 TACACS+配置示例
11.10.1 TACACS+身份验证示例
11.10.2 TACACS+授权示例
11.10.3 TACACS+统计示例
11.10.4 TACACS+后台程序配置示例
第12章 配置TACACS和扩展TACACS
12.1 TACACS协议描述
12.2 TACACS和扩展TACACS配置任务列表
12.3 设置用户级TACACS口令保护
12.4 关闭用户级口令核查
12.5 设置可选的口令验证
12.6 设置特权级TACACS口令保护
12.7 关闭特权级口令核查
12.8 设置用户操作通知
12.9 设置用户操作身份验证
12.10 建立TACACS服务器主机
12.11 限制尝试登录的次数
12.12 指定登录输入时间
12.13 启用扩展TACACS模式
12.14 为PPP身份验证启用扩展TACACS
12.15 为ARA身份验证启用标准TACACS
12.16 为ARA身份验证启用扩展TACACS
12.17 启用TACACS，以使用特定的IP地址
12.18 TACACS配置示例
第13章 TACACS、扩展TACACS和TACACS+命令
13.1 TACACS命令比较
13.2 arap use-tacacs
13.3 enable last-resort
13.4 enable use-tacacs
13.5 ip tacacs source-interface
13.6 tacacs-server attempts
13.7 tacacs-server authenticate
13.8 tacacs-server directed-request
13.9 tacacs-server extended
13.10 tacacs-server host
13.11 tacacs-server key
13.12 tacacs-server last-resort
13.13 tacacs-server login-timeout
13.14 tacacs-server notify
13.15 tacacs-server optional-passwords
13.16 tacacs-server retransmit
13.17 tacacs-server timeout
第14章 配置Kerberos
14.1 Kerberos概述
14.2 Kerberos客户支持操作
14.2.1 向边界路由器证明身份
14.2.2 从KDC取得TGT
14.2.3 向网络服务证明身份
14.3 Kerberos配置任务列表
14.4 使用Kerberos命令配置KDC
14.4.1 将用户加入到KDC数据库中
14.4.2 在KDC中创建SRVTAB
14.4.3 提取SRVTAB
14.5 配置路由器，使之使用Kerberos协议
14.5.1 定义Kerberos域
14.5.2 复制SRVTAB文件
14.5.3 指定Kerberos身份验证
14.5.4 启用证书转发功能
14.5.5 用Telnet登录到路由器
14.5.6 建立加密的Kerberized Telnet会话
14.5.7 启用强制性Kerberos身份验证
14.5.8 启用Kerberos实例映射
14.6 监视并维护Kerberos
14.7 Kerberos配置示例
14.7.1 定义Kerberos域示例
14.7.2 复制SRVTAB文件示例
14.7.3 Kerberos配置示例
14.7.4 指定加密Telnet会话示例
第15章 Kerberos命令
15.1 clear kerberos creds
15.2 connect
15.3 kerberos clients mandatory
15.4 kerberos credentials forward
15.5 kerberos instance map
15.6 kerberos local-realm
15.7 kerberos preauth
15.8 kerberos realm
15.9 kerberos server
15.10 kerberos srvtab entry
15.11 kerberos srvtab remote
15.12 key config-key
15.13 show kerberos creds
15.14 telnet
第三部分 数据流过滤
第16章 访问控制列表：概述和指南
16.1 本章内容
16.2 关于访问控制列表
16.2.1 访问列表的功能
16.2.2 为什么要配置访问列表
16.2.3 何时配置访问列表
16.2.4 基本访问控制列表与高级访问控制列表
16.3 访问列表配置概述
16.3.1 创建访问列表
16.3.2 给每个访问列表指定一个唯一的名称或编号
16.3.3 定义转发包或阻断分组的准则
16.3.4 在TFTP服务器上创建和编辑访问列表语句
16.3.5 将访问列表用于接口
16.4 查找访问列表的完整配置和命令信息
第17章 配置锁定和密钥安全性（动态访问列表）
17.1 本章内容
17.2 关于锁定和密钥
17.2.1 锁定和密钥优点
17.2.2 何时使用锁定和密钥
17.2.3 锁定和密钥的工作原理
17.3 Cisco IOS Release 11.1与早期版本的兼容性
17.4 电子欺骗对锁定和密钥的威胁
17.5 锁定和密钥对路由器性能的影响
17.6 配置锁定和密钥前的准备工作
17.7 配置锁定和密钥
17.7.1 锁定和密钥配置的注意事项
17.8 验证锁定和密钥配置
17.9 锁定和密钥的维护
17.9.1 显示动态访问列表条目
17.9.2 手工删除动态访问列表条目
17.10 锁定和密钥配置示例
17.10.1 使用本地身份验证的锁定和密钥示例
17.10.2 使用TACACS+身份验证的锁定和密钥示例
第18章 锁定和密钥命令
18.1 access-enable
18.2 access-template
18.3 clear access-template
18.4 show ip accounting
第19章 配置IP会话过滤（反射访问列表）
19.1 本章的内容
19.2 关于反射访问列表
19.2.1 反射访问列表的优点
19.2.2 什么是反射访问列表
19.2.3 反射访问列表如何实现会话过滤
19.2.4 在何处配置反射访问列表
19.2.5 反射访问列表的工作原理
19.2.6 使用反射访问列表的限制
19.3 配置反射访问列表前的准备工作
19.3.1 选择内部接口还是外部接口
19.4 配置反射访问列表
19.4.1 外部接口配置任务列表
19.4.2 内部接口配置任务列表
19.4.3 定义反射访问列表
19.4.4 嵌套反射访问列表
19.4.5 设置全局超时值（可选）
19.5 反射访问列表配置示例
19.5.1 外部接口配置示例
19.5.2 内部接口配置示例
第20章 反射访问列表命令
20.1 evaluate
20.2 ip reflexive-list timeout
20.3 permit (reflexive)
第21章 配置TCP截取（防止拒绝服务攻击）
21.1 本章内容
21.2 关于TCP截取
21.3 TCP截取配置任务列表
21.4 启用TCP截取
21.5 设置TCP截取模式
21.6 设置TCP截取删除模式
21.7 更改TCP截取定时器
21.8 更改TCP截取主动阈值
21.9 监视和维护TCP截取
21.10 TCP截取配置范例
第22章 TCP截取命令
22.1 ip tcp intercept connection-timeout
22.2 ip tcp intercept drop-mode
22.3 ip tcp intercept finrst-timeout
22.4 ip tcp intercept list
22.5 ip tcp intercept max-incomplete high
22.6 ip tcp intercept max-incomplete low
22.7 ip tcp intercept mode
22.8 ip tcp intercept one-minute high
22.9 ip tcp intercept one-minute low
22.10 ip tcp intercept watch-timeout
22.11 show tcp intercept connections
22.12 show tcp intercept statistics
第四部分 网络数据加密
第23章 配置网络数据加密
23.1 为什么要加密
23.2 Cisco的加密实现
23.2.1 什么被加密了
23.2.2 分组在网络的什么地方被加密和解密
23.2.3 加密分组何时被交换
23.2.4 加密路由器如何识别其他对等加密路由器
23.2.5 Cisco加密实现了哪些标准
23.2.6 Cisco加密如何工作
23.3 配置加密前的准备工作
23.3.1 确定对等路由器
23.3.2 考虑网络拓扑结构
23.3.3 确定每个对等路由器中的加密引擎
23.3.4 理解实现要点和局限性
23.4 配置加密
23.4.1 生成DSS公钥/私钥
23.4.2 交换DSS公钥
23.4.3 启用DES加密算法
23.4.4 定义加密映射表，并将它们指定给接口
23.4.5 备份配置
23.5 GRE隧道加密配置
23.5.1 只对GRE隧道通信进行加密
23.5.2 对GRE隧道通信和其他通信都进行加密
23.6 VIP2中ESA加密配置
23.6.1 重置ESA
23.6.2 执行其他的加密配置
23.7 对Cisco 7200系列路由器上的ESA 进行加密配置
23.7.1 必须完成的任务
23.7.2 可选任务
23.7.3 重置ESA
23.7.4 执行其他加密配置
23.7.5 启用ESA
23.7.6 选择加密引擎
23.7.7 删除DSS密钥
23.8 定制加密（配置选项）
23.8.1 定义加密会话的持续时间
23.8.2 通过预先生成DH编号缩短会话的建立时间
23.8.3 修改加密访问列表的限制
23.9 关闭加密
23.10 加密测试和故障排除
23.10.1 测试加密配置
23.10.2 诊断连接故障
23.10.3 使用调试命令
23.11 加密配置示例
23.11.1 生成DSS公钥/私钥示例
23.11.2 交换DSS密钥示例
23.11.3 启用DES加密算法示例
23.11.4 建立加密访问列表、定义加密映射表并将它用于接口的示例 
23.11.5 修改加密访问列表限制示例
23.11.6 GRE隧道加密配置示例
23.11.7 ESA特有加密配置任务示例
23.11.8 删除DSS密钥示例
23.11.9 测试加密连接示例
第24章 网络数据加密命令
24.1 access-list（encryption）
24.2 clear crypto connection
24.3 crypto algorithm 40-bit-des
24.4 crypto algorithm des
24.5 crypto clear-latch
24.6 crypto esa
24.7 crypto gen-signature-keys
24.8 crypto key-exchange
24.9 crypto key-exchange passive
24.10 crypto key-timeout
24.11 crypto map(global configuration)
24.12 crypto map(interface configuration)
24.13 crypto pregen-dh-pairs
24.14 crypto public-key
24.15 crypto sdu connections
24.16 crypto sdu entities
24.17 crypto zeroize
24.18 deny
24.19 ip access-list extended(encryption)
24.20 match address
24.21 permit
24.22 set algorithm 40-bit-des
24.23 set algorithm des
24.24 set peer
24.25 show crypto algorithms
24.26 show crypto card
24.27 show crypto connections
24.28 show crypto engine brief
24.29 show crypto engine configuration
24.30 show crypto engine connections active
24.31 show crypto engine connections dropped-packets
24.32 show crypto key-timeout
24.33 show crypto map
24.34 show crypto map interface
24.35 show crypto map tag
24.36 show crypto mypubkey
24.37 show crypto pregen-dh-pairs
24.38 show crypto pubkey
24.39 show crypto pubkey name
24.40 show crypto pubkey serial
24.41 test crypto initiate-session
第五部分 其他安全特性
第25章 配置口令和权限
25.1 保护对特权EXEC 命令的访问
25.1.1 设置或修改静态有效口令
25.1.2 使用有效口令和有效密钥保护口令
25.1.3 设置或修改线路口令
25.1.4 为特权EXEC模式设置TACACS口令保护
25.2 加密口令
25.3 配置多重权限级别
25.3.1 设置命令的权限级别
25.3.2 修改线路的默认权限级别
25.3.3 显示当前的权限级别
25.3.4 登录到某个权限级别
25.4 恢复丢失的有效口令
25.4.1 恢复口令的步骤
25.4.2 第一种口令恢复方法
25.4.3 第二种口令恢复方法
25.5 恢复丢失的线路口令
25.6 配置标识支持
25.7 口令和权限配置示例
25.7.1 多重权限级别示例
25.7.2 用户名示例
第26章 口令和权限命令
26.1 enable
26.2 enable password
26.3 enable secret
26.4 ip identd
26.5 password
26.6 privilege level (global)
26.7 privilege level (line)
26.8 service password-encryption
26.9 show privilege
26.10 username
第27章 邻接路由器身份认证--概述和指南
27.1 本章内容
27.2 邻接身份认证的优点
27.3 使用邻接身份认证的协议
27.4 何时配置邻接身份认证
27.5 邻接身份认证的工作原理
27.5.2 明文身份认证
27.5.2 MD5身份认证
27.6 密钥管理（密钥链）
第28章 配置IP安全选项邻
28.1 本章的内容
28.2 配置基本IP安全选项
28.2.1 启用IPSO并设置安全机密级别
28.2.2 指定如何处理IP安全选项
28.3 配置扩展IP安全选项
28.3.1 配置全局默认设置
28.3.2 将ESO附加到接口
28.3.3 将AESO附加到接口
28.4 配置DNSIX审计跟踪功能
28.4.1 启用DNSIX审计跟踪功能
28.4.2 指定接收审计跟踪消息的主机
28.4.3 指定传输参数
28.5 IPSO配置示例
28.5.1 示例1
28.5.2 示例2
第29章 IP安全选项命令
29.1 dnsix-dmdp retries
29.2 dnsix-nat authorized-redirection
29.3 dnsix-nat primary
29.4 dnsix-nat secondary
29.5 dnsix-nat source
29.6 dnsix-nat transmit-count
29.7 ip security add
29.8 ip security aeso
29.9 ip security dedicated
29.10 ip security eso-info
29.11 ip security eso-max
29.12 ip security eso-min
29.13 ip security extended-allowed
29.14 ip security first
29.15 ip security ignore-authorities
29.16 ip security implicit-labelling
29.17 ip security multilevel
29.18 ip security reserved-allowed
29.19 ip security strip
29.20 show dnsix
附录A RADIUS属性
A.1 支持的RADIUS属性
A.2 RADIUS统计属性
A.3 RADIUS厂商专用特性
附录B TACACS+属性-值对
B.1 TACACS+属性-值对
B.2 TACACS+统计AV对