编辑推荐
本书介绍了先进的网络安全产品和可行方案，能够帮助读者理解和实施最新的网络安全技术，以保障整个网络基础设施的通信安全。
本书是一个网络安全知识库，涵盖了Cisco网络安全的各个方面。通过简单易懂的方式帮助读者实施端到端安全解决方案。
书中将Cisco安全技术和解决方案归纳为边界安全、身份安全与访问管理、数据保密、安全监控和安全管理5个部分。这5个部分共同作用使得客户安全策略、用户或主机身份和网络基础设施之间的动态链接成为可能。
凭借这本权威的参考书。读者能够更加深刻地理解可行的解决方案，并能学习到如何在现代异构网络体系中构建多业务安全网络。对于那些寻求有关成熟或新兴安全策略的综合参考书的读者来说，本书无疑是绝佳的首选。本书也是CCIE安全考试极佳的学习指南。
“Yusuf是安全技术领域的导师和顾问，他丰富的阅历磨练了他将高技术含量的知识转化成一种简单直白、易于理解的形式的能力。如果要寻求网络安全方面真正全面的参考书，则非本书莫属！”
——Steve Gordon，Cisco技术服务部副总裁

作者简介：
Yusuf Bhaiji，CCIE#9305(路由和交换与安全)，已在Cisco公司工作了7年，现任Cisco CCIE安全认证的项目经理和Cisco Dubai实验室的CCIE代理人。此前，他曾是悉尼TAC安全及VPN团队的技术骨干。Yusuf对安全技术和解决方案的热情在他17年的行业经验中起着非常重要的作用，这从他最初攻读计算机科学硕士学位时就开始了，他毕业之后所获得的众多成就也证明了这一点。让Yusuf自豪的是他的知识共享能力，他已经指导了许多成功的考生，还在国际上设计和发表了许多网络安全解决方案。

内容简介
本书是用于管理Cisco网络的综合性参考资料，能够帮助网络安全专业人士理解和实施先进的网络安全技术和解决方案。书中内容涵盖所有主要的Cisco安全产品、技术和解决方案，包括各种成熟的和新出现的技术信息，如自适应安全设备防火墙8.0，Cisco入侵防御系统感应软件6.0，主机IPS，Cisco组加密传输VPN，MPLS VPN技术，Cisco分布式拒绝服务异常检测和缓解方案，Cisco安全监控、分析和响应系统，以及安全构架、标准和法规遵从性等。与主要关注概念与理论的图书不同，本书可作为配置和管理Cisco的领先动态链路的便捷工具书。
无论是对网络工程师或安全工程师、顾问，还是从事安全认证方面研究的读者，本书都是设计和构建安全网络的重要参考资料。此外，本书还为拟参加CCIE安全认证考试的读者提供了涵盖新大纲考点宝贵的备考资源。

目录
第1部分 边界安全
第1章 网络安全概述
1.1 网络安全的基本问题
1.2 安全范例的变化
1.3 安全准则——CIA模型
1.4 策略、标准、规程、基线、准则
1.5 安全模型
1.6 边界安全
1.7 各层的安全
1.8 安全轮
1.9 小结
第2章 访问控制
2.1 利用ACL的流量过滤
2.2 IP地址概述
2.3 子网掩码与反掩码概述
2.4 ACL配置
2.5 理解ACL的处理
2.6 访问列表类型
2.7 小结
2.8 参考
第3章 设备安全
3.1 设备安全策略
3.2 增强设备安全
3.3 安全设备的安全管理访问
3.4 设备安全清单
3.5 小结
3.6 参考
第4章 交换机的安全特性
4.1 保护第2层
4.3 专用VLAN（PVLAN）
4.4 交换机的访问列表
4.5 生成树协议的特性
4.6 监测DHCP
4.7 IP源保护
4.8 动态ARP检测（DAI）
4.9 Catalyst高端交换机的高级集成安全特性
4.10 控制层管制（CoPP）特性
4.11 CPU速率限制器
4.12 第2层安全的最佳实践
4.13 小结
4.14 参考
第5章 Cisco IOS防火墙
第6章 Cisco防火墙：设备和模块
第7章 攻击向量和缓解技术
第2部分 身份安全和访问管理
第8章 安全访问管理
第9章 Cisco安全ACS软件和设备
第10章 多因素验证
第11章 第2层访问控制
第12章 无线局域网（WLAN）的安全
第13章 网络准入控制（NAC）
第3部分 数据保密
第14章 密码学
第15章 IPSec VPN
第16章 动态多点VPN
第17章 群组加密传输VPN
第18章 安全套接字层VPN（SSL VPN）
第19章 多协议标签交换VPN（MPLS VPN）
第4部分 安全监控
第20章 网络入侵防御
第21章 主机入侵保护
第22章 异常检测和缓解
第23章 安全监控和相关性
第5部分 安全管理
第24章 安全和策略管理
第25章 安全框架和规章制度

书摘插图
第1部分 边界安全
第1章 网络安全概述
1.2 安全范例的变化
随着网络规模的日益扩大，网络攻击越来越复杂，人们考虑安全的方式也随之改变。这里给出一些改变安全范例的主要因素。
安全不再是“产品”：安全解决方案必须根据计划中的业务目标进行选择，根据操作流程和工具进行整合。
可扩展的需求正在增加：随着漏洞和安全威胁的数量不断增长，在大型企业中，解决方案必须扩展到成千上万台主机。
旧式端点安全总体拥有成本（TCO，Total Cost of Ownership）面临挑战：反应产品迫使部署更新多重代理和管理范例。
零天攻击：对于反应式产品来说，快速繁殖攻击（蓝宝石、尼姆达、诺维格）发生太快导致无法控制。因此，需要一个自动的主动式安全系统，来对抗现今动态排列的病毒和蠕虫。
对于现今的分布式网络，不能只在网络边缘或边界实施安全。稍后本章会详细讨论边界安全。
零天攻击或新的未知病毒仍然会继续感染企业和服务提供商的网络。
如果试图要建立保护机制以免遭攻击，企业会尝试修补已知的系统漏洞。这种方式显然不能在大型网络中扩展，而这种情况只能用于实时主动式系统。
现在的安全含义是指在不断演进的环境中管理和降低风险。可以通过一种建立在灵活与智能化基础设施、有效的业务及管理工具上的综合解决方案来实现最大限度降低风险。业务目标应该推动安全策略。今天，我们正处在一个崭新的时期，迫使我们反思安全和突发状况的防御工作。
1.3 安全准则——CIA模型
一个简单但广泛应用的安全模型是机密性、完整性和可用性（CIA，confidentiality，integrity，and availability）3项原则。这3项关键原则应指导所有安全系统。CIA还为安全实施提供了一个度量工具。这些准则适用于安全分析的整个阶段——从访问一个用户的Intemet历史到Internet上加密数据的安全。违反这3项原则中的任何一个都会给相关方带来严重后果。
1.3.1 机密性
机密性阻止未经授权泄漏敏感信息，是一种确保实施机密性安全必要等级和保证信息对未经授权用户隐藏的能力。当涉及安全时，机密性可能会是CIA 3项原则中最显著的一项，也是安全性中最易受到攻击的方面。密码学和加密方法是试图确保数据从一台计算机传送到另一台计算机的机密性的实例。
……