《CCNA安全640-554认证考试指南》是Cisco IINSv2(640-554)认证考试的官方认证指南，主要内容包括网络安全的概念、使用生命周期的方式来理解安全策略、建立安全战略、网络基础保护、使用Cisco配置专家(CCP)来保护网络架构、在Cisco IOS设备上保护管理层、使用IOS和ACS服务器实施AAA、保护二层技术、在IPv6环境中保护数据层、规划威胁控制战略、使用访问控制列表来缓解网络威胁；理解防火墙的基础概念、实施Cisco IOS基于区域的防火墙、在Cisco ASA上配置基本防火墙策略、Cisco IPS/IDS基础、实施基于IOS的IPS、VPN技术基础、理解PKI基础、IP安全基础，实施IPSec站点到站点VPN、使用Cisco ASA实现SSL VPN等，为广大备考人员提供了详实的学习资料。为便于读者深入掌握各章所学的知识，《CCNA安全640-554认证考试指南》提供了大量的案例分析材料，并且在各章提供了测验题和复习题，以加强读者对所学知识的记忆和理解。
　　《CCNA安全640-554认证考试指南》主要面向备考Cisco IINSv2(640-554)的考生，全书紧密围绕考试主题，在内容的组织和编写上切实凸显了认证考试需求。此外，《CCNA安全640-554认证考试指南》也非常适合从事网络安全的工程技术人员及网络管理员参考。

目录

第1部分　网络安全基础　
第1章　网络安全的概念　
1.1　“我已经知道了吗？”测试题　
1.2　理解网络与信息安全基础　
1.2.1　网络安全的目标　
1.2.2　机密性、完整性和可用性　
1.2.3　安全的成本效益分析　
1.2.4　资产分类　
1.2.5　漏洞分类　
1.2.6　对策分类　
1.2.7　我们该如何应对风险　
1.3　认识当前的网络威胁　
1.3.1　潜在的攻击者　
1.3.2　攻击方式　
1.3.3　攻击矢量　
1.3.4　中间人攻击　
1.3.5　其他攻击方式　
1.4　将基本的安全原则应用到网络设计当中　
1.4.1　指导方针　
1.4.2　如何把所有内容拼成一个整体　
1.5　复习所有考试要点　
1.6　通过记忆补全表格　
1.7　定义关键术语　
第2章　使用生命周期的方式来理解安全策略　
2.1　“我已经知道了吗？”测试题　
2.2　风险分析与管理　
2.2.1　安全网络生命周期　
2.2.2　风险分析方式　
2.2.3　安全状况评估　
2.2.4　风险管理的一种方式　
2.2.5　可以削减风险的法规　
2.3　安全策略　
2.3.1　主体、客体与原因　
2.3.2　策略的类型　
2.3.3　标准、流程与基准　
2.3.4　测试安全架构　
2.3.5　响应网络中的事件　
2.3.6　证据采集　
2.3.7　不当黑客的理由　
2.3.8　责任　
2.3.9　灾难恢复与业务连续性计划　
2.4　复习所有考试要点　
2.5　通过记忆补全表格　
2.6　定义关键术语　
第3章　建立安全战略　
3.1　“我已经知道了吗？”测试题　
3.2　保护无边界网络　
3.2.1　网络本质的变化　
3.2.2　逻辑边界　
3.2.3　SecureX与可感知情景的安全技术　
3.3　控制并遏制数据丢失　
3.3.1　一盎司的预防措施　
3.3.2　使用VPN实现安全连接　
3.3.3　安全管理　
3.4　复习所有考试要点　
3.5　通过记忆补全表格　
3.6　定义关键术语　
第2部分　保护网络架构　
第4章　网络基础保护　
4.1　“我已经知道了吗？”测试题　
4.2　使用网络基础保护(NFP)来保护网络　
4.2.1　网络架构的重要性　
4.2.2　网络基础保护(NFP)框架　
4.2.3　相互间的依存关系　
4.2.4　实施NFP　
4.3　理解管理层　
4.3.1　第一要务　
4.3.2　保护管理层的最佳做法　
4.4　理解控制层　
保护控制层的最佳做法　
4.5　理解数据层　
4.5.1　保护数据层的最佳做法　
4.5.2　其他保护数据层的机制　
4.6　复习所有考试要点　
4.7　通过记忆补全表格　
4.8　定义关键术语　
第5章　使用Cisco配置专家(CCP)来保护网络架构　
5.1　“我已经知道了吗？”测试题　
5.2　介绍Cisco配置专家(CCP)　
5.3　理解CCP特性和GUI　
5.3.1　菜单栏　
5.3.2　工具栏　
5.3.3　左侧导航面板　
5.3.4　内容面板　
5.3.5　状态栏　
5.4　设置新的设备　
5.5　CCP的组成　
5.5.1　社团(Community)　
5.5.2　模板(Template)　
5.5.3　用户文件(User Profile)　
5.6　CCP审计特性　
5.6.1　一步锁定　
5.6.2　几个重点　
5.7　复习所有考试要点　
5.8　通过记忆补全表格　
5.9　定义关键术语　
5.10　需要回忆的命令行参考信息　
第6章　在Cisco IOS设备上保护管理层　
6.1　“我已经知道了吗？”测试题　
6.2　保护管理流量　
6.2.1　什么是管理流量，什么是管理层　
6.2.2　超越蓝色的反转线　
6.2.3　管理层最佳做法　
6.2.4　密码推荐　
6.2.5　使用AAA对用户进行验证　
6.2.6　基于角色的访问控制　
6.2.7　加密的管理协议　
6.2.8　使用日志记录文件　
6.2.9　理解NTP　
6.2.10　保护Cisco IOS文件　
6.3　通过实施安全措施来保护管理层　
6.3.1　实施强健的密码　
6.3.2　通过AAA实现用户认证　
6.3.3　使用CLI在Cisco路由器上对AAA进行排错　
6.3.4　RBAC privilege level/分析器视图　
6.3.5　实施分析器视图　
6.3.6　SSH与HTTPS　
6.3.7　实施日志记录特性　
6.3.8　SNMP特性　
6.3.9　配置NTP　
6.3.10　保护Cisco IOS镜像和配置文件　
6.4　复习所有考试要点　
6.5　通过记忆补全表格　
6.6　定义关键术语　
6.7　需要回忆的命令行参考信息　
第7章　使用IOS和ACS服务器来实施AAA　
7.1　“我已经知道了吗？”测试题　
7.2　Cisco Secure ACS、RADIUS和TACACS　
7.2.1　使用Cisco ACS的理由　
7.2.2　ACS可以运行在什么平台上　
7.2.3　何为ISE　
7.2.4　ACS和路由器之间使用的协议　
7.2.5　ACS服务器和客户端(路由器)之间可以选择的协议　
7.3　配置路由器使其与ACS服务器互操作　
7.4　配置ACS服务器使其与路由器互操作　
7.5　路由器-ACS服务器互动的验证与排错　
7.6　复习所有考试要点　
7.7　通过记忆补全表格　
7.8　定义关键术语　
7.9　需要回忆的命令行参考信息　
第8章　保护二层技术　
8.1　“我已经知道了吗？”测试题　
8.2　VLAN与Trunking基础　
8.2.1　何为VLAN　
8.2.2　Trunking与802.1Q　
8.2.3　紧跟数据帧的步伐　
8.2.4　Trunk上的Native VLAN　
8.2.5　好吧，那么你想使用哪种模式呢？(端口问)　
8.2.6　VLAN间路由　
8.2.7　只使用物理接口所面临的问题　
8.2.8　使用虚拟“子”接口　
8.3　生成树基础　
8.3.1　网络中有环路多半不是什么好事　
8.3.2　环路的生命　
8.3.3　二层环路的解决方案　
8.3.4　STP对新端口保持警惕　
8.3.5　改善转发前的时间　
8.4　常见的二层威胁及缓解方法　
8.4.1　根基不牢，地动山摇　
8.4.2　二层最佳做法　
8.4.3　不要允许协商　
8.4.4　各类二层安全工具　
8.4.5　CCNA安全的专用二层缓解技术　
8.5　复习所有考试要点　
8.6　通过记忆补全表格　
8.7　复习本书中包含的端口安全视频　
8.8　定义关键术语　
8.9　需要回忆的命令行参考信息　
第9章　在IPv6环境中保护数据层　
9.1　“我已经知道了吗？”测试题　
9.2　理解和配置IPv6　
9.2.1　为何使用IPv6　
9.2.2　IPv6地址的格式　
9.3　配置IPv6路由　
9.4　为IPv6设计一个安全计划　
9.4.1　IPv4和IPv6通用的最佳做法　
9.4.2　IPv4和IPv6面临的共同威胁　
9.4.3　关注IPv6安全　
9.4.4　与IPv6有关的新型风险　
9.4.5　IPv6最佳做法　
9.5　复习所有考试要点　
9.6　通过记忆补全表格　
9.7　定义关键术语　
9.8　需要回忆的命令行参考信息　
第3部分　缓解和控制网络威胁　
第10章　规划威胁控制战略　
10.1　“我已经知道了吗？”测试题　
10.2　设计威胁缓解与遏制方案　
10.2.1　攻击者确实拥有很多机会　
10.2.2　大量的潜在风险　
10.2.3　最大的风险　
10.2.4　一切的起点　
10.3　通过硬件/软件/服务来保护网络　
10.3.1　交换机　
10.3.2　路由器　
10.3.3　ASA防火墙　
10.3.4　其他系统与服务　
10.4　复习所有考试要点　
10.5　通过记忆补全表格　
10.6　定义关键术语　
第11章　使用访问控制列表来缓解网络威胁　
11.1　“我已经知道了吗？”测试题　
11.2　访问控制列表的基础及优势　
11.2.1　访问列表不再是一盘早点　
11.2.2　以访问列表来防止恶意流量　
11.2.3　防御的对象　
11.2.4　包过滤ACL的工作方式　
11.2.5　标准访问列表与扩展访问列表　
11.2.6　访问列表中的行数　
11.2.7　反掩码　
11.2.8　对象组　
11.3　通过实施IPv4 ACL来实现包过滤　
11.3.1　应用策略　
11.3.2　监测访问列表　
11.3.3　记录还是不记录　
11.4　通过实施IPv6 ACL来实现包过滤　
11.5　复习所有考试要点　
11.6　通过记忆补全表格　
11.7　复习本书中包含的NAT视频　
11.8　定义关键术语　
11.9　需要回忆的命令行参考信息　
第12章　理解防火墙的基础概念　
12.1　“我已经知道了吗？”测试题　
12.2　防火墙的概念与技术　
12.2.1　防火墙技术　
12.2.2　好的防火墙应该是什么样　
12.2.3　使用防火墙的理由　
12.2.4　深度防御的做法　
12.2.5　防火墙的五大基本方法　
12.3　使用网络地址转换　
12.3.1　NAT的作用是隐藏和更改源地址的真实信息　
12.3.2　内部、外部、本地、全局　
12.3.3　端口地址转换　
12.3.4　NAT的选择　
12.4　创建和部署防火墙　
12.4.1　防火墙技术　
12.4.2　设计防火墙网络时的考量因素　
12.4.3　防火墙访问规则　
12.4.4　包过滤访问规则结构　
12.4.5　防火墙规则设计指南　
12.4.6　规则实施的一致性　
12.7　复习所有考试要点　
12.8　通过记忆补全表格　
12.9　定义关键术语　
第13章　实施Cisco IOS基于区域的防火墙　
13.1　我已经知道了吗？”测试题　
13.2　Cisco IOS基于区域的防火墙　
13.2.1　基于区域的防火墙如何工作　
13.2.2　基于区域的防火墙的具体特点　
13.2.3　区域与使用区域对的理由　
13.2.4　组合　
13.2.5　服务策略　
13.2.6　self区域　
13.3　配置和验证Cisco IOS基于区域的防火墙　
13.3.1　头等大事　
13.3.2　使用CCP来配置防火墙　
13.3.3　对防火墙的配置进行验证　
13.3.4　通过命令行验证配置　
13.3.5　在ZBF的基础上配置NAT转换　
13.3.6　验证NAT的工作　
13.4　复习所有考试要点　
13.5　复习本书中包含的端口安全视频　
13.6　定义关键术语　
13.7　需要回忆的命令行参考信息　
第14章　在Cisco ASA上配置基本防火墙策略　
14.1　“我已经知道了吗？”测试题　
14.2　ASA设备的产品与特性　
14.2.1　了解ASA系列　
14.2.2　ASA的特性与服务　
14.3　ASA防火墙基础　
14.3.1　ASA的安全级别　
14.3.2　默认的流量　
14.3.3　管理ASA的工具　
14.3.4　初始的访问　
14.3.5　ASA上的数据包过滤　
14.3.6　实施包过滤ACL　
14.3.7　模块化策略框架　
14.3.8　将策略应用在哪里　
14.4　配置ASA　
14.4.1　开始配置　
14.4.2　ASDM GUI界面　
14.4.3　配置接口　
14.4.4　客户端的IP地址　
14.4.5　去往Internet的基本路由　
14.4.6　NAT和PAT　
14.4.7　放行其他访问通过防火墙　
14.4.8　使用Packet Tracer验证哪些数据包会被放行　
14.4.9　验证过滤Telnet的策略　
14.5　复习所有考试要点　
14.6　通过记忆补全表格　
14.7　定义关键术语　
14.8　需要回忆的命令行参考信息　
第15章　Cisco IPS/IDS基础　
15.1　“我已经知道了吗？”测试题　
15.2　IPS和IDS　
15.2.1　传感器的作用是什么　
15.2.2　IPS和IDS之间的区别　
15.2.3　传感器平台　
15.2.4　误报与漏报　
15.2.5　术语解释-真实与错误　
15.3　识别在网络中的恶意流量　
15.3.1　基于特征的IPS/IDS　
15.3.2　基于策略的IPS/IDS　
15.3.3　基于异常的IPS/IDS　
15.3.4　基于信誉的IPS/IDS　
15.3.5　传感器何时检测恶意流量　
15.3.6　控制传感器应该采取的行为　
15.3.7　依据风险评估值采取行动　
15.3.8　IPv6与IPS　
15.3.9　规避IPS/IDS　
15.4　管理特征　
15.5　警报与告警的监测与管理　
15.5.1　安全智能　
15.5.2　IPS/IDS最佳做法　
15.6　复习所有考试要点　
15.7　通过记忆补全表格　
15.8　定义关键术语　
第16章　实施基于IOS的IPS　
16.1　“我已经知道了吗？”测试题　
16.2　了解和安装IOS IPS　
16.2.1　IOS IPS都可以做什么？　
16.2.2　安装IOS IPS特性　
16.2.3　IPS向导　
16.3　使用IOS IPS中的特征　
16.3.1　可以采取的行动　
16.3.2　调整IPS的最佳做法　
16.4　管理和监测IPS警报　
16.5　复习所有考试要点　
16.6　通过记忆补全表格　
16.7　定义关键术语　
16.8　需要回忆的命令行参考信息　
第4部分　使用VPN建立安全连接　
第17章　VPN技术基础　
17.1　“我已经知道了吗？”测试题　
17.2　理解VPN及使用VPN的原因　
17.2.1　什么是VPN　
17.2.2　VPN的类型　
17.2.3　VPN的主要优势　
17.3　密码的基本组成　
17.3.1　加密算法与秘钥　
17.3.2　块加密和流加密　
17.3.3　对称算法和非对称算法　
17.3.4　散列　
17.3.5　散列消息认证码　
17.3.6　数字签名　
17.3.7　密钥管理　
17.3.8　IPSec和SSL　
17.4　复习所有考试要点　
17.5　通过记忆补全表格　
17.6　定义关键术语　
第18章　理解公钥基础设施　
18.1　“我已经知道了吗？”测试题　
18.2　公钥基础设施　
18.2.1　公钥和私钥对　
18.2.2　RSA算法、密钥和数字证书　
18.2.3　证书授权中心　
18.2.4　根和身份证书　
18.2.5　CA的认证和注册　
18.2.6　公钥加密标准　
18.2.7　简单证书注册协议　
18.2.8　撤销证书　
18.2.9　数字证书的用途　
18.2.10　PKI拓扑　
18.3　实施PKI　
18.3.1　ASA的默认状态　
18.3.2　在ASDM中查看证书　
18.3.3　添加新的根证书　
18.3.4　更轻松地安装根证书和身份证书　
18.4　复习所有考试要点　
18.5　通过记忆补全表格　
18.6　定义关键术语　
18.7　需要回忆的命令行参考信息　
第19章　IP安全基础　
19.1　“我已经知道了吗？”测试题　
19.2　IPSec的概念、组成和操作　
19.2.1　IPSec的目标　
19.2.2　IPSec的具体介绍　
19.2.3　IPSec总结　
19.3　IPSec的配置和验证　
19.3.1　配置隧道的工具　
19.3.2　从规划开始　
19.3.3　应用配置　
19.3.4　在路由器上查看等效的CLI命令　
19.3.5　完成并验证IPSec的设置　
19.4　复习所有考试要点　
19.5　通过记忆补全表格　
19.6　定义关键术语　
19.7　需要回忆的命令行参考信息　
第20章　实施IPSec站点到站点VPN　
20.1　“我已经知道了吗？”测试题　
20.2　IPSec站点到站点VPN的规划与准备　
20.2.1　客户需求　
20.2.2　规划IKE阶段1　
20.2.3　规划IKE阶段2　
20.3　IPSec站点到站点VPN的实施与验证　
20.4　复习所有考试要点　
20.5　通过记忆补全表格　
20.6　定义关键术语　
20.7　需要回忆的命令行参考信息　
第21章　使用Cisco ASA实现SSL VPN　
21.1　“我已经知道了吗？”测试题　
21.2　SSL VPN的功能和用途　
21.2.1　IPSec过时了吗　
21.2.2　SSL和TLS协议框架　
21.2.3　SSL VPN的具体介绍　
21.2.4　SSL VPN　
21.3　在ASA上配置SSL无客户端VPN　
21.3.1　使用SSL VPN向导　
21.3.2　数字证书　
21.3.3　认证用户　
21.3.4　登录　
21.3.5　从服务器上看到的VPN活动　
21.4　在ASA上配置完整的SSL AnyConnect VPN　
21.4.1　SSL VPN类型　
21.4.2　配置服务器以支持AnyConnect客户端　
21.4.3　组、连接用户文件、默认值　
21.4.4　一个项目，三个名称　
21.4.5　拆分隧道　
21.5　复习所有考试要点　
21.6　通过记忆补全表格　
21.7　定义关键术语　
第22章　最终冲刺　
22.1　最后冲刺工具　
22.1.1　CD上的Pearson认证练习测试引擎和测试题　
22.1.2　Cisco网络学习空间　
22.1.3　回忆表　
22.1.4　章节末尾回顾工具　
22.1.5　视频　
22.2　最后复习/学习的建议计划　
22.3　总结　
第5部分　附录　
附录A　“我已经知道了吗？”测试题答案　
附录B　CCNA安全640-554(IINSv2)考试更新　
术语表