(我是温德尔,凯文将结束今天关于CCNA安全的演讲,谢谢你,凯文!)凯文·华莱士,CCIE #7945, CCSI, CCSP, CCNP, CCDP, CCVP,是SkillSoft Corp.思科课程的全职讲师,著有几本思科出版社的著作。Kevin在思科有19年的经验,包括担任华特迪士尼世界的网络设计专家和东肯塔基大学的网络经理。
在我的上一篇博客中,我们研究了CCNA安全考试(即640-553考试)是如何获得的,为什么有人想要获得这样的认证,以及CCNA安全认证对思科认证安全专业(CCSP)候选人的影响。在这一部分中,我们将讨论CCNA安全候选者应该熟悉的特定内容领域。
高级概述
如前所述,CCNA安全认证基于在实施思科IOS®网络安全(含)。这门课的题目让我们对考试内容有了一些了解。具体来说,我们专注于实现思科IOS的网络安全®平台(如Cisco路由器和IOS)®)。因此,无需关注PIX、自适应安全设备(ASA)、虚拟专用网(VPN)集中器或入侵预防系统(IPS)设备平台。重点仅仅是路由器和交换机。
以下是IINS课程的细分:
- 模块1:网络安全原理介绍
- 模块2:周边安全
- 模块3:使用Cisco IOS的网络安全®防火墙
- 模块4:站点到站点的vpn
- 模块5:使用思科IOS的网络安全®“诱导多能性”
- 模块6:局域网、SAN、语音和端点安全概述
让我们逐个来看一看。
模块1:网络安全原理介绍
第一个模块包含许多安全性理论。例如,它说明存在什么类型的攻击,攻击可能来自哪里,以及对抗此类攻击的最佳实践。此外,本模块还介绍了操作安全的形式化方法、安全策略的目的和内容,以及思科安全策略的概述封闭防御的姿势网络策略。第一讲中,你们不需要记住任何语法;只要对安全基础知识有一个牢固的理解。
模块2:周边安全
在网络的外围,您可能会发现一个Cisco IOS®路由器。这个模块说明了外围设备如何帮助保护您的网络。例如,可以为身份验证、授权和会计(AAA)服务配置路由器。另外,当您出于管理目的与该路由器通信时,如何才能安全地进行通信呢?例如使用安全Shell (SSH)而不是Telnet。
由于关注路由器,您可能会认为本模块中有一些语法需要熟悉,当然确实有。但是,由于IINS是一门入门级的课程,所以并不是所有工作都可以通过命令行完成。大部分配置都是在Cisco安全设备管理器(SDM)图形用户界面的帮助下执行的,如下所示。
模块3:使用Cisco IOS的网络安全®防火墙
尽管IINS没有解决PIX或ASA设备的配置问题,但该课程确实深入探讨了如何制作思科IOS的主题®路由器充当防火墙。您可以将防火墙看作是允许或拒绝数据包进出网络的检查器。在回顾防火墙的基础知识之后,您将了解如何使用传统的访问控制列表(acl)过滤数据包。最后,您将看到如何创建Cisco IOS®基于区域的策略防火墙,可以在其中将物理接口分组为逻辑区域。同样,SDM用于演示这种更高级的防火墙配置。
模块4:站点到站点的vpn
虚拟专用网(VPNs)最近非常流行。许多远程工作者(包括我)能够通过一个不可信的网络(即因特网)建立一个安全连接到他们的公司总部。虽然各种思科设备可以作为VPN隧道的端点,这个模块解决思科IOS如何®路由器可用于形成站点到站点的VPN(即两个公司地点之间的虚拟连接)。
然而,要完全理解vpn,您需要对密码学有基本的了解。密码学可以被认为是一门安全传输数据的科学,其方式是让目标接收方能够解释数据,但如果数据在发送到目标接收方的途中被拦截,窃听者就无法解释或成功操纵数据。因此,模块4的大部分内容是关于密码学的入门知识。
最后,模块4将引导您建立站点到站点的VPN。除了SDM之外,还使用命令行接口(CLI)说明该配置。
模块5:使用思科IOS的网络安全®“诱导多能性”
入侵预防系统(IPS)技术允许在到达目的地的路上对流量进行在线检查。当流量被检查时,如果一个IPS设备(例如Cisco 4200系列IPS设备或Cisco IOS)®路由器)确定流量是恶意的,各种响应行动可以配置。例如:有问题的数据包可以被丢弃;可以产生警报;除了各种其他可能的响应动作之外,来自数据包源的所有流量都可能被阻塞。
这个模块介绍了如何配置Cisco IOS®路由器作为一个IPS设备。特别地,在回顾了IPS技术的基础知识之后,模块5演示了如何使用SDM配置基于路由器的IPS解决方案。
模块6:局域网、SAN、语音和端点安全概述
IINS课程在模块6中包含了一些零碎的东西。这个模块地址保护网络端点(如关键任务服务器,可能通过使用基于主机的IP(臀部)),防止层2攻击(其中许多可以减轻使用思科催化剂开关配置选项),确保存储区域网络(san)和确保语音包在一个语音IP (VoIP)网络。
对于实际操作,您需要一个运行IOS的路由器®可支持以下功能的软件:
- 长效磺胺
- id
- IPsec
我想说,你只需要一点点就可以完成所有必要的实验三个路由器。虽然许多/ IOS平台®例如,当我与人合作编写IOS版本的CCNA安全手册时,就存在组合®我为Cisco 2691路由器使用了带高级企业服务功能集的was 12.4(12)。但是,选择一个合适的IOS®对于您的路由器平台(或者查看您的平台是否支持所需的特性),我建议您使用Cisco的特性导航器,在http://www.cisco.com/go/fn。您可以告诉特性导航器您希望根据特性进行搜索,并指定要查找的特性。然后您会看到一个屏幕,就像这里看到的一样,它允许您选择平台。选择平台后,会出现一个IOS列表®在您的平台上支持SDM的映像。
例如,假设您可以使用三个Cisco 2691路由器,并且希望选择合适的IOS®的版本。在图中,我进入了Cisco特性导航器,为2691平台指定了以下特性:
- 入侵预防系统(IPS)增强
- IPSec网络安全
- 安全设备管理器(SDM)
假设你有所需的DRAM和Flash,你可以选择IOS®12.4(15)T5(例如)使用下列其中一套功能:
- 先进的企业服务
- 先进的企业服务与SNA交换
- 先进的IP服务,先进的安全
- FEAT设置bundle的工厂UPG
其他支持所需功能的路由器平台的例子包括:
- 2610 xm
- 2611 xm
- 2800系列
- 3660
- 3700系列
为了实践催化剂开关的安全性,不用担心有一个特定型号的开关。只要你有一个最近型号的Cisco Catalyst switch(例如3550或3560)运行在当前的映像中,你就不会有问题。
好了,关于新引入的CCNA安全认证,我的两个博客就到此结束了。感谢温德尔·奥多姆允许我在他不在的时候顶替他的位置,我祝愿你们在认证和实际应用方面都取得好成绩。