Cisco ISO网络安全

.第一部分　身份认证、授权和统计(aaa)
第2章　aaa概述
　2．1　aaa安全服务
　2．1．1　使用aaa的益处
　2．1．2　aaa基本原理
　2．1．3　方法列表
　2．2　从何处开始
　2．2．1　aaa配置过程概述
　2．2．2　启用aaa
　2．2．3　停用aaa
　2．3　下一步工作
第3章　配置认证
　3．1　aaa身份认证方法列表
　3．1．1　方法列表举例
　3．1．2　配置aaa身份认证的通用步骤
　3．2　aaa身份认证方法
　3．2．1　使用aaa配置登录身份认证
　3．2．2　使用aaa配置ppp身份认证
　3．2．3　使用aaa配置　ara身份认证
　3．2．4　使用aaa配置nasi身份认证
　3．2．5　启用特权级口令保护
　3．2．6　启用身份认证覆盖（ovetride）
　3．2．7　启用双重身份认证
　3．3　非aaa身份认证方法
　3．3．1　配置线路口令保护
　3．3．2　建立用户名身份认证
　3．3．3　启用chap或pap身份认证
　3．3．4　配置tacacs和扩展　tacacs口令保护
　3．4　身份认证示例
　3．4．1　radius身份认证示例
　3．4．2　tacacs十身份认证示例
　3．4．3　tacacs和扩展　tacacs身份认证示例
　3．4．4　kerberos身份认证示例
　3．4．5　双重身份认证配置示例
第4章　身份认证命令
　4．1　aaa　authentication　arap
　4．2　aaa　authentication　enable　default
　4．3　aaa　authentication　local-override　
　4．4　aaa　authentication　login
　4．5　aaa　authentication　nasi　
　4．6　aaa　authentication　password－pfompt
　4．7　aaa　authentication　ppp
　4．8　aaa　authentication　username－prompt
　4．9　aaa　new-model
　4．10　access－profile
　4．11　arap　authentication
　4．12　login　authentication
　4．13　login　tacacs
　4．14　nasi　authentication　
　4．15　ppp　authetication
　4．16　ppp　chap　hostname
　4．17　ppp　chap　password
　4．18　ppp　chap　refuse
　4．19　ppp　chap　wait
　4．20　ppp　pap　sent-username
　4．21　ppp　use－tacacs
第5章　配置授权
　5．1　aaa授权类型
　5．2　aaa授权方法
　5．3　aaa授权前的准备工作
　5．4　aaa授权配置任务列表
　5．5　配置授权
　5．6　关闭全局配置命令授权
　5．7　授权属性－值对（attribute－value　pair）
　5．8　授权配置示例
　5．8．1　tacacs十授权示例
　5．8．2　radius授权示例
　5．8．3　kerberos实例映射示例
第6章　授权命令
　6．1　aaa　authorization　
　6．2　aaa　authorization　config-commands
　6．3　aaa　new－model
第7章　配置统计
　7．1　aaa统计类型
　7．1．1　网络统计
　7．1．2　连接统计
　7．1．3　exec统计
　7．1．4　系统统计
　7．1．5　命令统计
　7．2　aaa统的准备工作
　7．3　aaa统计配置任务列表
　7．4　启用aaa统计
　7．4．1　禁止为用户名字符串为空的用户会话生成统计记录
　7．4．2　生成临时统计记录
　7．5　监视统计
　7．6　统计属性－值对
　7．7　统计配置示例
第8章　统计命令
　8．1　aaa　accounting
　8．2　aaa　accounting　suppress　null－username
　8．3　aaa　accounting　update
　8．4　show　accounting
第二部分　安全务器协议
第9章　配置radius
　9．1　radius概述
　9．2　radius操作
　9．3　radius配置任务列表
　9．4　为radius服务器通信配置路由器
　9．5　为厂商专用的radius服务器通信配置路由器
　9．6　配置路由器以便向radius服务器查询静态路由和ip地址
　9．7　指定radius身份验证
　9．8　指定radius授权
　9．9　指定radius统计
　9．10　radius属性
　9．11　厂商专用的　radius属性
　9．12　radius配置示例
　9．12．1　radius身份验证和授权示例
　9．12．2　radius　aaa示例
　9．12．3　厂商专用的radius配置示例
第10章　radius命令
　10．1　ip　radius　source－interface
　10．2　radius－server　configure－nas
　10．3　radius－server　dead-time
　10. 4　radius－server　host
　10. 5　radius－server　host　non-standard
　10．6　radius－server　key
　10．7　radius－server　retransmit
　10．8　radius－server　timeout
第11章　配置tacacs＋
　11．1　tacacs十概述
　11．2　tacacs十操作
　11．3　tacacs十配置任务列表
　11．4　指定tacacs十服务器主机
　11．5　设置tacacs十身份验证密匙
　11．6　指定tacacs十身份验证
　11．7　指定tacacs十授权
　11．8　指定tacacs十统计
　11．9　tacacs＋　av对
　11．10　tacacs十配置示例
　11．10．1　tacacs十身份验证示例
　11．10．2　tacacs十授权示例
　11．10．3　tacacs十统计示例
　11．10．4　tacacs十后台程序配置示例
第12章　配置tacacs和扩展　tacacs
　12．1　tacacs协议描述
　12．2　tacacs和扩展tacacs配置任务列表
　12．3　设置用户级tacacs口令保护
　12．4　关闭用户级口令核查
　12．5　设置可选的口令验证
　12．6　设置特权纽tacacs口令保护
　12．7　关闭特权级口令核查
　12．8　设置用户操作通知
　12．9　设置用户操作身份验证
　12．10　建立tacacs服务器主机
　12．11　限制尝试登录的次数
　12．12　指定登录输入时间
　12．13　启用扩展tacacs模式
　12．14　为ppp身份验证启用扩展tacacs
　12．15　为ara身份验证启用标准tacacs
　12．16　为ara身份验证启用扩展tacacs
　12．17　启用tacacs，以使用特定的ip地址
　12．18　tacacs配置示例
第13章　tacacs、扩展tacacs和　tacacs十命令
　13．1　tacacs命令比较
　13．2　arap　use－tacacs
　13．3　enable　last-resort
　13．4　enable　use-tacacs
　13．5　ip　tacacs　source－interface
　13．6　tacacs－server　attempts
　13．7　tacacs－server　authenticate　
　13．8　tacacs－server　directed-request
　13．9　tacacs－server　extended
　13．10　tacacs－server　host
　13．11　tacacs－server　key
　13．12　tacacs－server　last－resort
　13．13　tacacs－server　login－timeout
　13．14　tacacs－server　notify
　13．15　tacacs－server　optional－passwords
　13．16　tacacs－server　retransmit　
　13．17　tacacs－server　timeout
第14章　配置kerberos
　14．1　kerberos概述
　14．2　kerberos客户支持操作
　14．2．1　向边界路由器证明身份
　14．2．2　从kdc取得　tgt
　14．2．3　向网络服务证明身份
　14．3　kerberos配置任务列表
　14．4　使用kerberos命令配置kdc
　14．4．1　将用户加入到kdc数据库中
　14．4．2　在kdc中创建　srvtab
　14．4．3　提取srvtab
　14．5　配置路由器，使之使用kerberos协议
　14．5．1　定义　kerberos域
　14．5．2　复制　srvtab文件
　14．5．3　指定kerberos身份验证
　14．5．4　启用证书转发功能
　14．5．5　用telnet登录到路由器
　14．5．6　建立加密的　kerberized　telnet会话
　14．5．7　启用强制性kerberos身份验证
　14．5．8　启用kerberos实例映射
　14．6　监视并维护kerberos
　14．7　kerberos配置示例
　14．7．1　定义kerberos域示例
　14．7．2　复制srvtab文件示例
　14．7．3　kerberos配置示例
　14．7．4　指定加密telnet会话示例
第15章　kerberos命令
　15．1　clear　kerberos　creds
　15．2　connect
　15．3　kerberos　clients　mandatory
　15．4　kerberos　credentials　forward
　15．5　kerberos　instance　map
　15．6　kerberos　local－realm
　15．7　kerberos　preauth
　15．8　kerberos　realm
　15．9　kerberos　server
　15．10　kerberos　srvtab　entry
　15．11　kerberos　srvtab　remote
　15．12　key　config－key
　15．13　show　kerberos　creds
　15．14　telnet
第三部分　数据流过滤
第16章　访问控制列表：概述和指南
　16．1　本章内容
　16．2　关于访问控制列表
　16．2．1　访问列表的功能
　16．2．2　为什么要配置访问列表
　16．2．3　何时配置访问列表
　16．2．4　基本访问控制列表与高级访问控制列表
　16．3　访问列表配置概述
　16．3．1　创建访问列表
　16．3．2　给每个访问列表指定一个唯一的名称或编号
　16．3．3　定义转发包或阻断分组的准则
　16．3．4　在tftp服务器上创建和编辑访问列表语句
　16．3．5　将访问列表用于接口
　16．4　查找访问列表的完整配置和命令信息
第17章　配置锁定和密钥安全性（动态访问列表）
　17．1　本章内容
　17．2　关于锁定和密钥
　17．2．1　锁定和密钥优点
　17．2．2　何时使用锁定和密钥
　17．2．3　锁定和密钥的工作原理
　17．3　cisco　ios　release　11．1与早期版本的兼容性
　17．4　电子欺骗对锁定和密钥的威胁
　17．5　锁定和密钥对路由器性能的影响
　17．6　配置锁定和密钥前的准备工作
　17．7　配置锁定和密钥
　17．7．1　锁定和密钥配置的注意事项
　17．8　验证锁定和密钥配置
　17．9　锁定和密钥的维护
　17．9．1　显示动态访问列表条目
　17．9．2　手工删除动态访问列表条目
　17．10　锁定和密钥配置示例
　17．10．1　使用本地身份验证的锁定和密钥示例
　17．10．2　使用tacacs十身份验证的锁定和密钥示例
第18章　锁定和密钥命令
　18．1　access－enable
　18．2　access－template
　18．3　clear　access－template
　18．4　show　ip　accounting
第19章　配置ip会话过滤（反射访问列表）
　19．1　本章的内容
　19．2　关于反射访问列表
　19．2．1　反射访问列表的优点
　19．2．2　什么是反射访问列表
　19．2．3　反射访问列表如何实现会话过滤
　19．2．4　在何处配置反射访问列表
　19．2．5　反射访问列表的工作原理
　19．2．6　使用反射访问列表的限制
　19．3　配置反射访问列表前的准备工作
　19．3．1　选择内部接口还是外部接口
　19．4　配置反射访问列表
　19．4．1　外部接口配置任务列表
　19．4．2　内部接口配置任务列表
　19．4．3　定义反射访问列表
　19．4．4　嵌套反射访问列表
　19．4．5　设置全局超时值（可选）
　19．5　反射访问列表配置示例
　19．5．1　外部接口配置示例
　19．5．2　内部接口配置示例
第20章　反射访问列表命令
　20．1　evaluate
　20．2　ip　reflexive－list　timeout
　20．3　permit（reflexive）
第21章　配置tcp截取（防止拒绝服务攻击）
　21．1　本章内容
　21．2　关于tcp截取
　21．3　tcp截取配置任务列表
　21．4　启用tcp截取
　21．5　设置tcp截取模式
　21．6　设置tcp截取删除模式
　21．7　更改tcp截取定时器
　21．8　更改tcp截取主动阈值
　21．9　监视和维护tcp截取
　21．10　tcp截取配置范例
第22章　tcp截取命令
　21．1　ip　intercept　connection－timeout
　22．2　ip　tcp　intercept　drop－mode
　22．3　ip　tcp　intercept　finrst－timeout
　22．4　ip　tcp　intercept　list
　22．5　ip　tcp　intercept　max－incomplete　high
　22．6　ip　tcp　intercept　max－incomplete　low
　22．7　ip　tcp　intercept　mode
　22．8　ip　tcp　intercept　one－minute　high
　22．9　ip　tcp　intercept　one－minute　low
　22．10　ip　tcp　intercept　watch－timeout
　22．11　show　tcp　intercept　connections
　22．12　show　tcp　intercept　statistics
第四部分　网络数据加密
第23章　配置网络数据加密
　23．1　为什么要加密
　23．2　cisco的加密实现
　23．2．1　什么被加密了
　23．2．2　分组在网络的什么地方被加密和解密
　23．2．3　加密分组何时被交换
　23．2．4　加密路由器如何识别其他对等加密路由器
　23．2．5　cisco加密实现了哪些标准
　23．2．6　cisco加密如何工作
　23．3　配置加密前的准备工作
　23．3．1　确定对等路由器
　23．3．2　考虑网络拓扑结构
　23．3．3　确定每个对等路由器中的加密引擎
　23．3．4　理解实现要点和局限性
　23．4　配置加密
　23．4．1　生成dss公钥／私钥
　23．4．2　交换dss公钥
　23．4．3　启用des加密算法
　23．4．4　定义加密映射表，并将它们指定给接口
　23．4．5　备份配置
　23．5　gre隧道加密配置
　23．5．1　只对gre隧道通信进行加密
　23．5．2　对gre隧道通信和其他通信都进行加密
　23．6　vip2中esa加密配置
　23．6．1　重置esa
　23．6．2　执行其他的加密配置
　23．7　对cisco　7200系列路由器上的esa进行加密配置
　23．7．1　必须完成的任务
　23．7．2　可选任务
　23．7．3　重置esa
　23．7．4　执行其他加密配置
　23．7．5　启用esa
　23．7．6　选择加密引擎
　23．7．7　删除dss密钥
　23．8　定制加密（配置选项）
　23．8．1　定义加密会话的持续时间
　23．8．2　通过预先生成dh编号缩短会话的建立时间
　23．8．3　修改加密访问列表的限制
　23．9　关闭加密
　23．10　加密测试和故障排除
　23．10．1　测试加密配置
　23．10．2　诊断连接故障
　23．10．3　使用调试命令
　23．11　加密配置示例
　23．11．1　生成dss公钥／私钥示例
　23．11．2　交换dss密钥示例
　23．11．3　启用des加密算法示例
　23．11．4　建立加密访问列表、定义加密映射表并将它用于接口的示例
　23．11．5　修改加密访问列表限制示例
　23．11．6　gre隧道加密配置示例
　23．11．7　esa特有加密配置任务示例
　23．11．8　删除dss密钥示例
　23．11．9　测试加密连接示例
第24章　网络数据加密命令
　24．1　access－list（encryption）
　24. 2　clear　crypto　connection
　24．3　crypto　algorithm　40-bit－des
　24．4　crypto　algorithm　des
　24．5　crypto　clear－latch
　24．6　crypto　esa
　24．7　crypto　gen－signature-keys
　24．8　crypto　key－exchange
　24．9　crypto　key－exchange　passive
　24．10　crypto-timeout　
　24．11　crypto　map（global　configuration）
　24．12　crypto　map（interface　configuration）
　24．13　crypto　pregen-dh-pairs
　24．14　crypto　public-key
　24．15　crypto　sdu　connections
　24．16　crypto　sdu　entities
　24．17　crypto　zeroize
　24．18　deny
　24．19　ip　access－list　extended（encryption）
　24．20　match　address
　24．21　permit
　24．22　set　algorithm　40-bit-des
　24．23　set　algorithm　des
　24．24　set　peer
　24．25　show　crypto　algorithms
　24．26　show　crypto　card
　24．27　show　crypto　connections
　24．28　show　crypto　engine　brief
　24．29　show　crypto　engine　configuration
　24．30　show　crypto　engine　connections　active
　24．31　show　crypto　engine　connections　dropped－packets
　24．32　show　crypto　key－timeout
　24．33　show　crypto　map
　24．34　show　crypto　map　interface
　24．35　show　crypto　map　tag
　24．36　show　crypto　mypubkey
　24．37　show　crypto　pregen－dh－pairs
　24．38　show　crypto　pubkey
　24．39　show　crypto　pubkey　name
　24．40　show　crypto　pubkey　serial
　24．41　test　crypto　initiate－session
第五部分　其他安全特性
第25章　配置口令和权限
　25．1　保护对特权exec命令的访问
　25．1．1　设置或修改静态有效口令
　25．1．2　使用有效口令和有效密钥保护口令
　25．1．3　设置或修改线路口令
　25．1．4　为特权exec模式设置tacacs口令保护
　25．2　加密口令
　25．3　配置多重权限级别
　25．3．1　设置命令的权限级别
　25．3．2　修改线路的默认权限级别
　25．3．3　显示当前的权限级别
　25．3．4　登录到某个权限级别
　25．4　恢复丢失的有效口令
　25．4．1　恢复口令的步骤
　25．4．2　第一种口令恢复方法
　25．4．3　第二种口令恢复方法
　25．5　恢复丢失的线路口令
　25．6　配置标识支持
　25．7　口令和权限配置示例
　25．7．1　多重权限级别示例
　25．7．2　用户名示例
第26章　口令和权限命令
　26．1　enable　
　26．2　enable　password
　26．3　enable　secret
　26．4　ip　identd
　26．5　password
　26．6　privilege　level（global）
　26．7　privilege　level（line）
　26．8　sefvice　password－encryption
　26．9　show　privilege
　26．10　username　
第27章　邻接路由器身份认证——概述和指南
　27．1　本章内容
　27．2　邻接身份认证的优点
　27．3　使用邻接身份认证的协议
　27．4　何时配置邻接身份认证
　27．5　邻接身份认证的工作原理
　27．5．1　明文身份认证
　27．5．2　mds身份认证
　27．6　密钥管理（密钥链）
第28章　配置ip安全选项邻
　28．1　本章的内容
　28．2　配置基本ip安全选项
　28．2．1　启用ipso并设置安全机密级别
　28．2．2　指定如何处理ip安全选项
　28．3　配置扩展ip安全选项
　28．3．1　配置全局默认设置
　28．3．2　将eso附加到接口
　28．3．3　将aeso附加到接口
　28．4　配置dnsix审计跟踪功能
　28．4．1　启用dnsix审计跟踪功能
　28．4．2　指定接收审计跟踪消息的主机
　28．4．3　指定传输参数
　28．5　ipso配置示例
　28．5．1　示例1
　28．5．2　示例2
第29章　ip安全选项命令
　29．1　dnsix-dmdp　retries
　29．2　dnsix-nat　authorized-redirection
　29．3　dnsix-nat　primary
　29．4　dnsix－nat　secondary
　29．5　dnsix－nat　source
　29．6　dnsix－nat　transmit-count
　29．7　ip　security　add
　29．8　ip　security　aeso
　29．9　ip　security　dedicated
　29．10　ip　security　eso－info
　29．11　ip　security　eso－max
　29．12　ip　security　eso-min
　29．13　ip　security　extended－allowed
　29．14　ip　security　first
　29．15　ip　security　ignore－authorities
　29．16　ip　security　implicit－labelling
　29．17　ip　security　multilevel
　29．18　ip　security　reserved－allowed
　29．19　ip　security　strip
　29．20　show　dnsix
附录a　radius属性
　a．1　支持的radius属性
　a．2　radius统计属性
　a．3　radius厂商专用特性
附录b　tacacs＋属性－值对
　b．1　tacacs＋属性－值对
　b．2　tacacs＋统计av对