Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

[美] Sean Wilkins，Trey Smith 著

图书标签:

• Cisco
• CCNP
• 安全
• 642-637
• 认证
• 网络安全
• 考试指南
• 培训
• 技术
• 认证考试
• 信息安全

出版社： 人民邮电出版社

ISBN：9787115347374

版次：1

商品编码：11507337

品牌：异步图书

包装：平装

丛书名： Cisco职业认证培训系列

开本：16开

出版时间：2014-08-01

用纸：胶版纸

页数：543

字数：827000

正文语种：中文

内容简介

　　《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》是根据Cisco最新推出的CCNP安全Secure642-637认证考试纲要编写的考试指南。
　　《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》分为22章和2个附录，包括网络安全基础的概念、组件、CiscoSAFE模型；对网络及其组件造成威胁的各种手段；网络基础保护（NFP）概述；交换机数据面的攻击手段及应对方案；使用802.1X与CiscoIBNS框架为网络提供有效的访问授权；802.1X认证的配置与实施；路由器数据面的攻击手段及应对方案；CiscoIOS控制面/管理面的攻击手段及应对方案；NAT/ZBPFW/IPS的配置与实施；站点到站点的安全解决方案；站点到站点IPSecVPN的部署/认证；DMVPN的部署；为基于隧道的IPSecVPN部署高可用性；GETVPN的部署；使用SSLVPN/EZVPN部署远程访问的解决方案等。
　　《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》包含了大量的配置实例，有助于读者掌握配置方式和排错技巧。每章末尾的考试要点总结能够帮助读者快速了解本章内容。
　　《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》深入翔实地讨论了与CCNP安全Secure642-637认证考试相关的主题，能够帮助读者更好地备考CCNP安全认证考试；同时，从事网络安全工作的工程师、网络维护人员也可以从中受益。

内页插图

目录

第1章　网络安全基础　1．1　摸底测验　1．2　定义网络安全　1．3　构建安全网络　1．4　Cisco SAFE架构　1．4．1　SCF基础　1．4．2　SAFE/SCF架构原则　1．4．3　SAFE/SCF网络基础保护(NFP)　1．4．4　SAFE/SCF设计蓝图　1．4．5　SAFE架构用途　1．5　考试要点回顾　1．6　完成助记表　1．7　重要术语　1．8　填空　
第2章　网络安全威胁　2．1　摸底测验　2．2　安全漏洞　2．3　入侵者动机　2．3．1　缺乏对计算机或网络的了解导致的入侵　2．3．2　好奇心导致的入侵　2．3．3　乐趣与成就感导致的入侵　2．3．4　报复导致的入侵　2．3．5　受利益驱使的入侵　2．3．6　政治目的导致的入侵　2．4　网络攻击类型　2．4．1　侦察攻击　2．4．2　访问攻击　2．4．3　DoS攻击　2．5　考试要点回顾　2．6　完成助记表　2．7　重要术语　2．8　填空　
第3章　网络基础保护(NFP)概述　3．1　摸底测验　3．2　设备功能面概述　3．2．1　控制面　3．2．2　数据面　3．2．3　管理面　3．3　界定NFP部署模型　3．4　界定NFP功能的可用性　3．4．1　Cisco Catalyst交换机　3．4．2　Cisco集成多业务路由器　3．4．3　Cisco支持管理组件　3．5　考试要点回顾　3．6　完成助记表　3．7　重要术语　3．8　填空　
第4章　配置与实施交换式数据面安全解决方案　4．1　摸底测验　4．2　交换式数据面攻击类型　4．2．1　VLAN跳跃攻击　4．2．2　CAM泛洪攻击　4．2．3　MAC地址欺骗　4．2．4　STP欺骗攻击　4．2．5　DHCP耗竭攻击　4．2．6　DHCP服务器欺骗　4．2．7　ARP欺骗　4．2．8　IP欺骗　4．3　交换式数据面安全技术　4．3．1　端口配置　4．3．2　端口安全　4．3．3　根防护、BPDU防护与PortFast　4．3．4　DHCP窥探　4．3．5　动态ARP检测　4．3．6　IP源防护　4．3．7　私有VLAN　4．4　考试要点回顾　4．5　完成助记表　4．6　重要术语　4．7　本章命令一览　4．8　填空　
第5章　802．1X与Cisco基于身份的网络服务(IBNS)　5．1　摸底测验　5．2　CiscoIBNS与IEEE 802．1X标准概述　5．2．1　Cisco IBNS对802．1X的改进与增强　5．2．2　802．1X构成　5．3　802．1X互联　5．3．1　可扩展认证协议(EAP)　5．3．2　基于局域网的可扩展认证协议(EAPOL)　5．3．3　EAP消息交换　5．3．4　端口状态　5．3．5　端口认证主机模式　5．4　EAP协议类型　5．4．1　EAP-MD5　5．4．2　PEAPv0/MSCHAPv2　5．4．3　EAP-LEAP　5．4．4　EAP-TLS　5．4．5　EAP-TTLS　5．4．6　EAP-FAST　5．5　考试要点回顾　5．6　完成助记表　5．7　重要术语　5．8　填空　
第6章　配置与实施802．1X认证(基础)　6．1　摸底测验　6．2　规划基本的802．1X部署　6．2．1　收集输入参数　6．2．2　部署工作　6．2．3　部署选择　6．2．4　一般性部署原则　6．3　为Cisco Catalyst交换机配置认证方　6．3．1　配置选择　6．3．2　配置示例　6．3．3　验证基本的802．1X配置　6．4　为Cisco ACS配置EAP-FAST　6．4．1　配置选择　6．4．2　配置示例　6．5　为Cisco SSC配置请求方　6．6　802．1X的验证与排错　6．6．1　排错过程　6．6．2　日志消息　6．6．3　验证连接状态　6．6．4　验证认证服务器　6．6．5　验证访客VLAN与受限VLAN的分配　6．6．6　802．1X准备就绪检测　6．6．7　请求方无响应　6．6．8　认证失败：RADIUS配置存在问题　6．6．9　认证失败：身份凭证存在问题　6．7　考试要点回顾　6．8　完成助记表　6．9　重要术语　6．10　填空　
第7章　配置与实施802．1X认证(进阶)　7．1　摸底测验　7．2　规划Cisco高级802．1X认证特性的部署　7．2．1　收集输入参数　7．2．2　任务一览　7．2．3　EAP类型与认证模式选择　7．3　为Cisco IOS组件与Cisco ACS配置并验证EAP-TLS认证　7．3．1　任务一览　7．3．2　给定条件　7．3．3　配置选择　7．3．4　配置任务　7．3．5　注意事项　7．3．6　版本要求　7．3．7　验证配置　7．4　部署用户认证与机器认证　7．4．1　任务一览　7．4．2　给定条件　7．4．3　配置任务　7．4．4　注意事项　7．4．5　版本要求　7．5　部署VLAN与ACL　7．5．1　任务一览　7．5．2　给定条件　7．5．3　注意事项　7．5．4　配置任务　7．5．5　验证交换机配置的VLAN与ACL　7．5．6　验证Cisco ACS配置的VLAN与ACL　7．6　为Cisco ACS配置并验证MAC地址例外策略　7．6．1　Cisco交换机的MAC身份验证旁路(MAB)技术　7．6．2　任务一览　7．6．3　给定条件　7．6．4　配置任务　7．6．5　验证配置　7．6．6　注意事项　7．7　为Cisco交换机与Cisco ACS配置并验证Web认证　7．7．1　任务一览　7．7．2　给定条件　7．7．3　配置任务　7．7．4　验证配置　7．7．5　用户体验　7．8　为交换机的单端口配置多主机支持功能　7．8．1　配置方针　7．8．2　配置示例　7．9　配置应急开放策略　7．9．1　配置关键端口　7．9．2　配置开放式认证　7．10　解决802．1X兼容性问题　7．10．1　局域网唤醒技术(WoL)　7．10．2　不支持802．1X的IP电话　7．10．3　远程引导技术(PXE)　7．11　考试要点回顾　7．12　完成助记表　7．13　重要术语　7．14　填空　
第8章　配置与实施路由式数据面安全　8．1　摸底测验　8．2　路由式数据面攻击类型　8．2．1　IP欺骗　8．2．2　慢通道拒绝服务　8．2．3　流量泛洪　8．3　路由式数据面安全技术　8．3．1　访问控制列表　8．3．2　灵活包匹配　8．3．3　灵活NetFlow　8．3．4　单播反向路径转发　8．4　考试要点回顾　8．5　完成助记表　8．6　重要术语　8．7　本章命令一览　8．8　填空　
第9章　配置与实施控制面安全解决方案　9．1　摸底测验　9．2　控制面攻击类型　9．2．1　慢路径拒绝服务攻击　9．2．2　路由协议欺骗　9．3　控制面安全技术　9．3．1　控制面监管(CoPP)　9．3．2　控制面保护(CPPr)　9．3．3　路由协议认证　9．4　考试要点回顾　9．5　完成助记表　9．6　重要术语　9．7　本章命令一览　9．8　填空　
第10章　配置与实施管理面安全解决方案　10．1　摸底测验　10．2　管理面攻击类型　10．3　管理面安全技术　10．3．1　基本管理安全与权限　10．3．2　安全外壳(SSH)协议　10．3．3　简单网络管理协议(SNMP)　10．3．4　CPU阈值与内存阈值　10．3．5　管理面保护(MPP)　10．3．6　AutoSecure　10．3．7　数字签名Cisco软件　10．4　考试要点回顾　10．5　完成助记表　10．6　重要术语　10．7　本章命令一览　10．8　填空　
第11章　配置与实施网络地址转换　11．1　摸底测验　11．2　网络地址转换　11．2．1　NAT示例　11．2．2　NAT配置　11．2．3　NAT复用(PAT)　11．3　考试要点回顾　11．4　完成助记表　11．5　重要术语　11．6　本章命令一览　11．7　填空　
第12章　配置与实施基于区域的策略防火墙　12．1　摸底测验　12．2　基于区域的策略防火墙概述　12．2．1　区域/安全区域　12．2．2　区域对　12．2．3　透明防火墙　12．3　基于区域的三层/四层策略防火墙配置　12．3．1　配置类型映射　12．3．2　配置参数映射　12．3．3　配置策略映射　12．3．4　配置安全区域　12．3．5　配置区域对　12．3．6　配置端口到应用的映射(PAM)　12．4　基于区域的七层策略防火墙配置　12．4．1　URL过滤　12．4．2　HTTP检测　12．5　考试要点回顾　12．6　完成助记表　12．7　重要术语　12．8　本章命令一览　12．9　填空　
第13章　配置与实施IOS入侵防御系统　13．1　摸底测验　13．2　配置选择、基本规程与所需的输入参数　13．2．1　采用签名实现入侵检测与防御　13．2．2　传感器精度　13．3　选择Cisco IOS IPS传感器平台　13．3．1　基于软件的传感器　13．3．2　基于硬件的传感器　13．3．3　任务一览　13．3．4　注意事项　13．4　部署软件Cisco IOSIPS签名策略　13．4．1　任务一览　13．4．2　给定条件　13．4．3　配置任务　13．4．4　验证配置　13．4．5　注意事项　13．5　调整软件Cisco IOS IPS签名　13．5．1　事件风险评级(ERR)概述　13．5．2　ERR计算　13．5．3　ERR示例　13．5．4　事件行为覆盖　13．5．5　事件行为过滤器　13．5．6　任务一览　13．5．7　给定条件　13．5．8　配置任务　13．5．9　验证配置　13．5．10　注意事项　13．6　部署软件Cisco IOS IPS签名更新　13．6．1　任务一览　13．6．2　给定条件　13．6．3　配置任务　13．6．4　验证配置　13．7　监控软件Cisco IOS IPS事件　13．7．1　软件IOS IPS事件的产生　13．7．2　Cisco IME概述　13．7．3　Cisco IME最低配置要求　13．7．4　任务一览　13．7．5　给定条件　13．7．6　配置任务　13．7．7　验证配置　13．8　软件Cisco IOS IPS传感器的排错　13．8．1　查找错误信息　13．8．2　其他诊断命令　13．9　考试要点回顾　13．10　完成助记表　13．11　重要术语　13．12　填空　
第14章　Cisco站点间安全解决方案简介　14．1　摸底测验　14．2　选择合适的VPN局域网拓扑　14．2．1　选择最佳的VPN局域网拓扑：输入参数　14．2．2　选择最佳的VPN局域网拓扑：注意事项　14．3　选择合适的VPN广域网技术　14．3．1　选择最佳的VPN广域网技术：输入参数　14．3．2　选择最佳的VPN广域网技术：注意事项　14．4　IPSec VPN技术的核心特性　14．4．1　IPSec安全关联　14．4．2　互联网密钥交换(IKE)　14．4．3　IPSec阶段　14．4．4　IKE主模式与积极模式　14．4．5　封装安全载荷(ESP)　14．5　选择合适的VPN加密控制方式　14．5．1　选择加密控制方式：输入参数　14．5．2　算法选择　14．5．3　注意事项　14．5．4　参考资料　14．6　考试要点回顾　14．7　完成助记表　14．8　重要术语　14．9　填空　
第15章　部署基于虚拟隧道接口的站点间IPSec VPN　15．1　摸底测验　15．2　规划基于VTI的站点间VPN　15．2．1　虚拟隧道接口(VTI)　15．2．2　输入参数　15．2．3　任务一览　15．2．4　部署选择　15．2．5　注意事项　15．3　配置基本的IKE对等体　15．3．1　基于PSK的默认IKE策略　15．3．2　任务一览　15．3．3　配置选择　15．3．4　给定条件　15．3．5　配置任务　15．3．6　验证本地IKE策略的配置　15．3．7　验证本地IKE会话的配置　15．3．8　验证IKE阶段1协商　15．3．9　注意事项　15．3．10　IKE对等体的排错　15．3．11　排错流程　15．4　配置静态点对点IPSec VTI隧道　15．4．1　默认的IPSec转换集　15．4．2　任务一览　15．4．3　配置选择　15．4．4　给定条件　15．4．5　配置任务　15．4．6　注意事项　15．4．7　验证点对点STVI的配置　15．4．8　排错流程　15．5　配置动态点对点IPSec VTI隧道　15．5．1　虚拟接口模板与虚拟访问接口　15．5．2　ISAKMP配置文件　15．5．3　任务一览　15．5．4　给定条件　15．5．5　配置任务　15．5．6　验证点对点DVTI的配置　15．5．7　注意事项　15．6　考试要点回顾　15．7　完成助记表　15．8　重要术语　15．9　填空　
第16章　为站点到站点IPSec VPN部署可扩展的认证　16．1　摸底测验　16．2　描述公钥基础设施的概念　16．2．1　手动密钥交换及验证　16．2．2　可信任引介　16．2．3　公钥基础设施：证书权威机构　16．2．4　X．509身份证书　16．2．5　证书吊销检查　16．2．6　在网络应用中使用证书　16．2．7　部署选择　16．2．8　部署步骤　16．2．9　环境参数　16．2．10　部署指南　16．3　基础Cisco IOS软件证书服务器的配置、验证及故障排除　16．3．1　根证书服务器的配置任务　16．3．2　配置情景　16．3．3　任务1：创建RSA密钥对　16．3．4　任务2：创建PKI信任点　16．3．5　任务3和4：创建证书服务器并配置数据库的存储位置　16．3．6　任务5：配置发布策略　16．3．7　任务6：配置吊销策略　16．3．8　任务7：配置SCEP接口　16．3．9　任务8：激活证书服务器　16．3．10　使用Cisco配置专家(CCP)　16．3．11　验证Cisco IOS软件证书服务器　16．3．12　特性支持　16．3．13　实施指南　16．3．14　故障排除流程　16．3．15　额外的指南：PKI和时间　16．4　向PKI注册Cisco IOS软件VPN路由器以及注册过程的故障排除　16．4．1　PKI客户端特性　16．4．2　简单证书注册协议　16．4．3　密钥存储　16．4．4　配置任务　16．4．5　配置情景　16．4．6　任务1：创建RSA密钥对　16．4．7　任务2：创建PKI信任点　16．4．8　任务3：认证PKI证书权威机构　16．4．9　任务4：在VPN路由器上创建注册请求　16．4．10　任务5：在CA服务器上颁发客户端证书　16．4．11　在Cisco IOS软件证书服务器上吊销证书　16．4．12　使用Cisco配置专家(CCP)　16．4．13　验证CA和身份证书　16．4．14　特性支持　16．4．15　实施指南　16．4．16　故障排除流程　16．5　配置及验证Cisco IOS软件VPN路由器与PKI的整合　16．5．1　IKE对等体认证　16．5．2　IKE对等体证书授权　16．5．3　配置任务　16．5．4　配置情景　16．5．5　任务1：配置IKE策略　16．5．6　任务2：配置ISAKMP profile　16．5．7　任务3：配置基于证书的远程对等体授权　16．5．8　验证IKE SA的建立　16．5．9　特性支持　16．5．10　实施指南　16．5．11　故障排除流程　16．5．12　配置高级的PKI整合　16．5．13　在PKI客户端上配置对CRL的处理　16．5．14　在PKI客户端上使用OCSP或AAA　16．6　考试要点回顾　16．7　完成助记表　16．8　重要术语　16．9　填空　
第17章　部署DMVPN　17．1　摸底测验　17．2　理解Cisco IOS软件DMVPN的架构　17．2．1　DMVPN的组件　17．2．2　中心到分支和按需全互连VPN　17．2．3　DMVPN的初始状态　17．2．4　DMVPN分支到分支隧道的创建　17．2．5　DMVPN的优势与局限性　17．3　规划Cisco IOS软件DMVPN的部署　17．3．1　环境参数　17．3．2　配置任务　17．3．3　部署选择　17．3．4　部署指南　17．4　配置及验证Cisco IOS软件GRE隧道　17．4．1　GRE的特性和局限性　17．4．2　点到点与点到多点GRE隧道　17．4．3　点到点隧道配置实例　17．4．4　中心到分支网络的配置任务　17．4．5　配置情景　17．4．6　任务1：在中心路由器上配置mGRE接口　17．4．7　任务2：在分支路由器上配置点到点GRE接口　17．4．8　验证GRE隧道的状态　17．5　配置及验证Cisco IOS软件NHRP客户端与服务器　17．5．1　(m)GRE与NHRP的整合　17．5．2　配置任务　17．5．3　配置情景　17．5．4　任务1：配置NHRP服务器　17．5．5　任务2：配置NHRP客户端　17．5．6　验证NHRP映射　17．5．7　调试NHRP　17．6　配置及验证Cisco IOS软件DMVPN中心　17．6．1　配置任务　17．6．2　配置情景　17．6．3　任务1：(可选地)配置IKE策略　17．6．4　任务2：生成/配置认证凭证　17．6．5　任务3：配置IPSec profile　17．6．6　任务4：创建mGRE隧道接口　17．6．7　任务5：配置NHRP服务器　17．6．8　任务6：为mGRE接口关联IPSec profile　17．6．9　任务7：在mGRE接口上配置IP参数　17．6．10　使用Cisco配置专家(CCP)　17．6．11　验证分支路由器的注册　17．6．12　验证已注册分支的具体信息　17．6．13　实施指南　17．6．14　特性支持　17．7　配置及验证Cisco IOS软件DMVPN分支　17．7．1　配置任务　17．7．2　配置情景　17．7．3　任务1：(可选地)配置IKE策略　17．7．4　任务2：生成/配置认证凭证　17．7．5　任务3：配置IPSec profile　17．7．6　任务4：创建mGRE隧道接口　17．7．7　任务5：配置NHRP客户端　17．7．8　任务6：为mGRE接口关联IPSec profile　17．7．9　任务7：在mGRE接口上配置IP参数　17．7．10　验证隧道状态和流量统计　17．8　配置及验证Cisco IOS软件DMVPN中的动态路由　17．8．1　EIGRP中心配置　17．8．2　OSPF中心配置　17．8．3　中心到分支模型的路由和IKE对等关系　17．8．4　全互连模型的路由和IKE对等关系　17．9　Cisco IOS软件DMVPN的故障排除　17．10　考试要点回顾　17．11　完成助记表　17．12　重要术语　17．13　填空　
第18章　在基于隧道的IPSec VPN中部署高可用性　18．1　摸底测验　18．2　规划Cisco IOS软件站点到站点IPSec VPN高可用性的部署　18．2．1　VPN故障模式　18．2．2　传输网络的局部故障　18．2．3　服务提供商(SP)传输网络的局部或全部故障　18．2．4　VPN设备的局部或全部故障　18．2．5　部署指南　18．3　使用路由协议提供VPN的故障倒换　18．3．1　路由VPN隧道端点　18．3．2　VPN隧道内的路由协议　18．3．3　警惕递归路由　18．3．4　VPN拓扑中的路由协议　18．3．5　为路径选择调整路由　18．3．6　加快路由收敛　18．4　为基于VTI隧道的VPN选择最佳的故障规避方法　18．4．1　为单个传输网络的情景提供路径冗余　18．4．2　为多个传输网络的情景提供路径冗余　18．4．3　为单个传输网络的情景提供路径和设备的冗余　18．4．4　为多个传输网络的情景提供路径和设备的冗余　18．5　为DMVPN选择最佳的故障规避方法　18．5．1　推荐架构　18．5．2　共享的IPSec SA　18．5．3　配置使用单个传输网络的DMVPN　18．5．4　配置使用多个传输网络的DMVPN　18．6　考试要点回顾　18．7　完成助记表　18．8　重要术语　18．9　填空　
第19章　部署GET VPN　19．1　摸底测验　19．2　介绍Cisco IOS软件GET VPN的技术架构　19．2．1　对等体认证和策略提供　19．2．2　GET VPN流量交换　19．2．3　数据包安全服务　19．2．4　密钥管理架构　19．2．5　密钥更新方法　19．2．6　流量封装　19．2．7　优势及局限性　19．3　规划Cisco IOS软件GET VPN的部署　19．3．1　环境参数　19．3．2　部署任务　19．3．3　部署选择　19．3．4　部署指南　19．4　配置及验证Cisco IOS软件GET VPN密钥服务器　19．4．1　配置任务　19．4．2　配置选择　19．4．3　配置情景　19．4．4　任务1：(可选地)配置IKE策略　19．4．5　任务2：生成/配置认证凭证　19．4．6　任务3：生成用于密钥更新认证的RSA密钥对　19．4．7　任务4：在密钥服务器上配置流量保护策略　19．4．8　任务5：配置及启用GET VPN密钥服务器功能　19．4．9　任务6：(可选地)调整密钥更新策略　19．4．10　任务7：创建并应用GET VPN加密图　19．4．11　使用Cisco配置专家　19．4．12　验证基础的密钥服务器设置　19．4．13　验证密钥更新策略　19．4．14　验证所有已注册的成员　19．4．15　实施指南　19．5　配置及验证Cisco IOS软件GET VPN组成员　19．5．1　配置任务　19．5．2　配置选择　19．5．3　配置情景　19．5．4　任务1：配置IKE策略　19．5．5　任务2：生成/配置认证凭证　19．5．6　任务3：配置及启用GET VPN组成员的功能　19．5．7　任务4：创建并应用GET VPN加密图　19．5．8　任务5：(可选地)配置失效即关闭策略　19．5．9　使用Cisco配置专家　19．5．10　验证组成员的注册　19．5．11　实施指南　19．5．12　故障排除流程　19．6　在GET VPN中配置及验证高可用性机制　19．6．1　网络分离和网络合并　19．6．2　配置任务　19．6．3　配置情景　19．6．4　任务1：分发密钥更新的RSA密钥对　19．6．5　任务2：配置全互连的密钥服务器IKE对等关系　19．6．6　任务3：配置COOP　19．6．7　任务4和5：配置流量保护策略并在组成员上指定多台密钥服务器　19．6．8　验证IKE对等关系　19．6．9　验证COOP对等关系　19．6．10　实施指南　19．6．11　故障排除流程　19．7　考试要点回顾　19．8　完成助记表　19．9　重要术语　19．10　填空　
第20章　使用SSL VPN部署远程访问的解决方案　20．1　摸底测验　20．2　选择正确的远程访问VPN技术　20．2．1　Cisco IOS软件远程访问VPN选项　20．2．2　完全隧道远程访问SSL VPN的特性　20．2．3　完全隧道远程访问SSL VPN的优势与限制　20．2．4　无客户端远程访问SSL VPN的特性　20．2．5　无客户端SSL VPN的优势与限制　20．2．6　软件客户端远程访问IPSec VPN(EZVPN)的特性　20．2．7　硬件客户端远程访问IPSec VPN(EZVPN)的特性　20．2．8　远程访问IPSec VPN的优势与限制　20．2．9　各种VPN访问方式的使用情景　20．3　选择正确的远程访问VPN加密控件　20．3．1　回顾SSL/TLS　20．3．2　Cisco SSL远程访问VPN的算法选择　20．3．3　IKE远程访问VPN扩展　20．3．4　Cisco IPSec远程访问VPN的算法选择　20．4　使用SSL VPN部署远程访问的解决方案　20．4．1　解决方案的基本分析　20．4．2　部署任务　20．4．3　环境参数　20．5　配置及验证通用的SSL VPN参数　20．5．1　配置任务　20．5．2　配置选择　20．5．3　配置情景　20．5．4　任务1：(可选的)验证SSL VPN的许可　20．5．5　任务2：为ISR提供一份SSL/TLS服务器的身份证书　20．5．6　任务3：启用SSL VPN网关及Context　20．5．7　任务4：配置及调整SSL/TLS设置　20．5．8　任务5：(可选地)配置网关的高可用性　20．5．9　网关验证　20．5．10　实施指南　20．6　在SSL VPN网关上配置及验证客户端认证和策略　20．6．1　网关、Context和策略组　20．6．2　基础的用户认证概述　20．6．3　配置任务　20．6．4　配置情景　20．6．5　任务1：创建和应用默认策略　20．6．6　任务2：使用本地AAA启用用户认证　20．6．7　实施指南　20．7　在Cisco IOS SSL VPN网关上配置及验证完全隧道的连通性　20．7．1　配置任务　20．7．2　配置情景　20．7．3　任务1：启用完全隧道访问　20．7．4　任务2：配置远程客户端的地址分配　20．7．5　任务3：(可选的)配置客户端参数　20．7．6　任务4：(可选的)配置分割隧道　20．7．7　任务5：(可选的)配置访问控制　20．7．8　使用Cisco配置专家(CCP)　20．8　安装及配置Cisco AnyConnect客户端　20．8．1　AnyConnect 2．4支持的平台　20．8．2　配置任务　20．8．3　配置情景　20．8．4　任务1：启用完全隧道访问　20．8．5　任务2：验证服务器证书认证链　20．8．6　任务3：配置基础的AnyConnect profile的设置　20．8．7　任务4：建立SSL VPN连接　20．8．8　在客户端上的验证　20．8．9　在VPN网关上的验证　20．8．10　使用Cisco配置专家(CCP)　20．9　在Cisco IOS SSL VPN网关上配置及验证无客户端的访问　20．9．1　基础的门户特性　20．9．2　使用Cisco安全桌面保护无客户端的访问　20．9．3　端口转发概述　20．9．4　端口转发的优势与限制　20．9．5　门户ACL　20．9．6　配置任务　20．9．7　配置情景　20．9．8　任务1：配置SSL VPN门户特性　20．9．9　任务2：(可选的)配置端口转发　20．9．10　任务3：(可选的)配置Cisco安全桌面　20．9．11　任务4：(可选的)配置访问控制　20．9．12　基础门户特性的验证　20．9．13　Web应用的访问　20．9．14　文件服务器的访问　20．9．15　端口转发的访问　20．9．16　Cisco安全桌面的验证　20．9．17　在VPN网关上的验证　20．10　对基础SSL VPN操作的故障排除　20．10．1　验证基础连通性　20．10．2　故障排除流程：VPN建立　20．10．3　故障排除流程：数据流　20．10．4　在VPN网关上的问题　20．10．5　在客户端上的问题：证书问题　20．11　考试要点回顾　20．12　完成助记表　20．13　重要术语　20．14　填空　
第21章　使用EZVPN部署远程访问的解决方案　21．1　摸底测验　21．2　规划Cisco IOS软件EZVPN的部署　21．2．1　解决方案的基本分析　21．2．2　部署任务　21．2．3　环境参数　21．2．4　部署指南　21．3　配置及验证基础的Cisco IOS软件基于VTI的EZVPN服务器　21．3．1　组预共享密钥认证　21．3．2　扩展认证(XAUTH)概述　21．3．3　客户端配置组和ISAKMP profile　21．3．4　配置任务　21．3．5　配置情景　21．3．6　任务1：(可选的)配置IKE策略　21．3．7　任务2：配置IPSec转换集和profile　21．3．8　任务3：配置动态的VTI模板接口　21．3．9　任务4：创建客户端配置组　21．3．10　任务5：创建ISAKMP profile　21．3．11　任务6和7：配置并启用用户认证　21．3．12　使用Cisco 配置专家(CCP)　21．3．13　实施指南　21．4　配置Cisco VPN客户端　21．4．1　配置任务　21．4．2　配置情景　21．4．3　任务1：安装Cisco VPN客户端软件　21．4．4　任务2：配置VPN客户端连接条目　21．4．5　任务3：建立EZVPN连接　21．4．6　在客户端上的验证　21．4．7　在VPN网关上的验证　21．5　在Cisco ISR上配置及验证基于VTI的EZVPN远程客户端功能　21．5．1　EZVPN远程特性的操作模式　21．5．2　配置任务　21．5．3　配置情景　21．5．4　任务1：配置EZVPN远程profile　21．5．5　任务2：指定EZVPN接口的角色　21．5．6　实施指南　21．6　配置及验证EZVPN服务器和VPN客户端PKI特性　21．6．1　EZVPN服务器的PKI配置　21．6．2　VPN客户端配置：SCEP注册　21．6．3　VPN客户端注册的验证　21．6．4　VPN客户端的配置：profile　21．7　基础EZVPN的故障排除　21．7．1　故障排除流程：VPN会话建立　21．7．2　故障排除流程：VPN数据流　21．8　考试要点回顾　21．9　完成助记表　21．10　重要术语　21．11　填空　21．12　参考资料　
第22章　最后冲刺　22．1　最后冲刺工具　22．1．1　CD上的Pearson认证练习测试引擎和测试题　22．1．2　安装CD上的软件　22．1．3　激活并下载试题　22．1．4　激活其他试题　22．1．5　高级版本　22．2　Cisco学习网络　22．3　助记表　22．4　章节末尾回顾工具　22．5　最后复习/学习的建议计划　22．6　步骤1：复习考试要点、摸底测试和填空题　22．7　步骤2：完成助记表　22．8　步骤3：亲自动手练习　22．9　步骤4：列出配置检查表　22．10　步骤5：使用测试引擎　22．11　总结　
附录A　摸底测试题答案　附录B　CCNP安全64-637 Secure考试更新：版本1．0　

前言/序言

深度解读现代企业网络安全：风险、策略与实践 在数字经济浪潮席卷全球的今天，企业网络的安全性已不再是可选项，而是关乎生存和发展的生命线。海量数据的传输、复杂的业务流程以及日益严峻的网络威胁，共同构筑了一个充满挑战的网络安全环境。本文旨在探讨现代企业网络安全的核心要素，从风险评估到安全策略的制定，再到落地实践中的关键技术与方法，为构建坚不可摧的企业网络安全防线提供全面的视角与深入的解析。 一、 认识现代企业网络安全面临的严峻挑战 当前，企业网络安全面临的挑战是多维度、高强度的。首先，威胁形势日趋复杂化与专业化。传统的病毒、木马等恶意软件已演变为更为精密的APT（Advanced Persistent Threat，高级持续性威胁）攻击，利用零日漏洞、供应链攻击等手段，对企业造成持久而隐蔽的损害。攻击者不再是零散的黑客，而是拥有专业知识、充足资源甚至国家支持的攻击团队。 其次，攻击面不断扩大。随着云计算、物联网（IoT）、移动办公的普及，企业边界日益模糊，网络攻击的入口点呈指数级增长。云端数据泄露、IoT设备漏洞被利用、移动设备感染恶意应用，都可能成为企业网络安全的薄弱环节。 再者，数据资产价值凸显，成为攻击者的首要目标。敏感的客户信息、商业机密、知识产权等数据，一旦泄露，不仅会导致巨大的经济损失，更会严重损害企业的声誉和品牌形象，甚至引发法律诉讼。 此外，合规性要求日益提高。全球各国政府和行业监管机构纷纷出台严格的数据保护和网络安全法规（如GDPR、CCPA等），企业必须投入大量资源以满足合规性要求，否则将面临巨额罚款和法律风险。 最后，内部威胁不容忽视。员工疏忽、权限滥用、恶意内鬼等内部因素，也可能成为导致安全事件的导火索。如何有效管理内部权限、提升员工安全意识，是企业安全建设的重要课题。 二、 构建企业网络安全策略的核心理念 面对上述挑战，企业需要建立一套行之有效的网络安全策略。这套策略应遵循以下核心理念： 纵深防御（Defense in Depth）：不依赖单一的安全措施，而是构建多层次、多维度的防护体系。从网络边界到终端设备，从物理安全到逻辑安全，每一个环节都应部署相应的安全控制，即使某一环节被突破，也能阻止攻击的进一步蔓延。 零信任（Zero Trust）：彻底颠覆传统的边界防御模型，将“不信任任何用户或设备，持续验证”作为安全基石。无论用户身处网络内部还是外部，所有访问请求都必须经过严格的身份验证、授权和策略检查。 风险驱动（Risk-Driven）：安全投入应以识别和评估风险为出发点。优先解决高风险、高潜在损失的安全问题，而不是盲目追求技术上的完美。风险评估是制定安全策略和资源分配的根本依据。 合规性内置（Compliance by Design）：在设计和实施安全措施时，就充分考虑相关法律法规的要求，将合规性融入到每一个安全环节中，避免后期被动整改。 持续监控与响应（Continuous Monitoring and Response）：安全防护不是一次性的投入，而是一个持续的过程。需要建立有效的监控机制，及时发现异常行为和潜在威胁，并具备快速响应和处置能力，将损失降至最低。 安全意识与培训（Security Awareness and Training）：人是安全链条中最薄弱的一环。通过定期的安全意识培训，提升全体员工的安全素养，使其成为安全体系的积极参与者，而非潜在的风险点。 三、 企业网络安全策略的组成部分与关键技术 一套全面的企业网络安全策略通常包含以下几个关键组成部分，并依赖于一系列核心技术来实现： 1. 身份与访问管理（Identity and Access Management, IAM） IAM是零信任模型的核心。它负责确保“正确的人”在“正确的时间”拥有“正确的权限”访问“正确的资源”。 身份认证： 强身份验证：采用多因素认证（MFA），如一次性密码（OTP）、生物识别（指纹、面部识别）、智能卡等，大幅提高身份认证的安全性。 单点登录（SSO）：简化用户登录流程，提高用户体验，同时减少密码管理的复杂性，降低因密码泄露带来的风险。 身份治理与管理（IGA）：自动化用户生命周期管理（入职、离职、调岗），确保权限的及时更新与回收。 访问控制： 基于角色的访问控制（RBAC）：根据用户的角色分配权限，实现精细化管理。 基于属性的访问控制（ABAC）：结合用户、资源、环境等多种属性来动态决定访问权限，更加灵活和精细。 特权访问管理（PAM）：重点管理和监控拥有高权限的账户，防止权限滥用和泄露。 2. 网络安全防护（Network Security） 保护企业网络边界和内部通信的安全。 防火墙（Firewall）：下一代防火墙（NGFW）不仅能过滤网络流量，还能进行深度包检测（DPI）、入侵防御（IPS）和应用识别。 入侵检测与防御系统（IDPS）：实时监控网络流量，检测并阻止已知的攻击模式和恶意行为。 虚拟专用网络（VPN）：为远程用户和分支机构提供安全的通信通道，确保数据在传输过程中的机密性和完整性。 Web应用防火墙（WAF）：专门保护Web应用程序免受SQL注入、跨站脚本（XSS）等攻击。 网络隔离与分段（Network Segmentation）：将网络划分为更小的、独立的区域，限制攻击者的横向移动，降低整体风险。 DDoS防护：部署DDoS缓解解决方案，抵御大规模分布式拒绝服务攻击。 3. 端点安全（Endpoint Security） 保护安装在用户设备（笔记本电脑、台式机、服务器、移动设备）上的软件和数据。 防病毒与反恶意软件：提供基础的安全保护，检测和清除已知的恶意软件。 终端检测与响应（EDR）：通过持续监控终端活动，检测未知威胁，并提供调查和响应能力。 端点数据丢失防护（DLP）：监控和阻止敏感数据从端点离开。 设备管理与加密：强制执行安全策略，如密码要求、设备加密，确保设备上的数据安全。 4. 数据安全（Data Security） 保护企业最宝贵资产——数据。 数据分类与标记：识别和标记不同敏感级别的数据，以便应用相应的安全控制。 数据加密：对静态数据（存储在数据库、文件系统中）和传输中的数据进行加密，确保其机密性。 数据丢失防护（DLP）：监控数据流，防止敏感数据未经授权的传输或泄露。 数据库安全：加强数据库访问控制、审计和漏洞管理。 备份与恢复：建立可靠的数据备份和恢复机制，确保数据丢失时能够快速恢复。 5. 安全信息和事件管理（Security Information and Event Management, SIEM） 集中收集、关联和分析来自不同安全设备的日志信息，实现威胁的统一监控与响应。 日志管理：收集和存储大量的安全日志。 威胁检测：通过关联分析和规则引擎，识别潜在的安全事件和威胁。 事件响应：提供事件告警和调查支持，加速事件响应过程。 合规性报告：生成满足合规性要求的报告。 6. 安全运营中心（Security Operations Center, SOC） SOC是企业网络安全的中枢，负责24/7的监控、分析、检测和响应安全事件。 威胁情报：利用最新的威胁情报，提升检测能力。 事件响应流程：建立规范的事件响应流程，确保事件能够高效、有序地处理。 自动化与编排（SOAR）：通过安全编排、自动化和响应（SOAR）平台，提高SOC的效率和响应速度。 7. 漏洞管理（Vulnerability Management） 主动识别和修复系统和应用中的安全漏洞。 漏洞扫描：定期对网络、系统和应用程序进行漏洞扫描。 漏洞评估与优先级排序：根据漏洞的严重性和潜在影响，进行评估和优先级排序。 补丁管理：及时应用安全补丁，修复已知漏洞。 8. 安全意识与培训（Security Awareness and Training） 定期培训：对员工进行网络钓鱼、社交工程、密码安全等方面的定期培训。 模拟攻击：进行模拟网络钓鱼等演练，评估培训效果。 安全文化建设：在组织内部营造重视安全的文化氛围。 四、 实施中的挑战与最佳实践 在实际部署企业网络安全策略的过程中，企业往往会遇到诸多挑战，例如： 技术复杂性：集成和管理众多安全工具可能非常复杂。 技能差距：缺乏具备专业网络安全技能的人才。 成本压力：安全投入需要巨大的资金支持。 业务连续性：如何在加强安全的同时，不影响正常的业务运营。 为应对这些挑战，企业应遵循以下最佳实践： 从业务需求出发：安全策略的制定应紧密围绕企业的业务目标和风险承受能力。 分阶段实施：不要试图一步到位，可以根据风险和资源情况，分阶段、逐步完善安全体系。 选择合适的工具与服务：根据实际需求，选择成熟可靠的安全产品和解决方案，或考虑专业的安全服务。 加强内部协作：IT部门、业务部门、法务合规部门之间应加强沟通与协作。 持续改进：安全是一个不断演进的领域，需要持续监控、评估和优化安全策略和措施。 建立合作伙伴关系：与值得信赖的安全厂商、咨询机构合作，获取专业支持。 结论 在数字化转型的大背景下，企业网络安全已成为一项复杂而至关重要的任务。通过深入理解现代网络安全面临的挑战，并基于纵深防御、零信任等核心理念，构建一套包含身份与访问管理、网络安全防护、端点安全、数据安全、SIEM、SOC、漏洞管理以及安全意识培训等关键组成部分的综合性安全策略，是企业有效抵御日益增长的网络威胁、保护核心资产、实现可持续发展的基石。只有不断投入、持续改进，才能在瞬息万变的数字世界中，筑牢坚不可摧的网络安全防线。

评分☆☆☆☆☆

我是一名在IT领域寻求职业转型的技术人员，对网络安全领域充满兴趣。CCNP Security认证是我转型的关键一步。我选择这本《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》，是看中了它在CCNP Security认证备考领域的专业度和权威性。我希望这本书能够全面覆盖Secure考试的所有考试目标，并且能够提供清晰、准确的技术讲解。我特别期待书中能够深入剖析Cisco ASA防火墙的各种功能，包括NAT、ACL、HA，以及如何进行精细化的策略配置。同时，我也希望书中能详细介绍VPN的各种类型和配置，包括Clientless SSL VPN和AnyConnect SSL VPN，以及Site-to-Site IPsec VPN。此外，对于身份验证和访问控制方面，我希望书中能够提供丰富的配置实例和最佳实践，帮助我理解如何建立一个强大的身份管理系统。我希望这本书能够让我系统地学习CCNP Security的知识，并且能够有信心去应对考试中的各种挑战。

评分☆☆☆☆☆

我是一名在网络安全领域摸爬滚打了几年的技术人员，一直想提升自己的专业技能，CCNP Security认证一直是我心中的目标。在选择备考书籍时，我比较看重内容的深度和广度。这本书的名字听起来就很诱人，涵盖了CCNP Security考试的核心内容，特别是642-637这个考试代码，直接指向了Secure这个重要的模块。我希望这本书能够提供非常详尽的配置指南，覆盖各种实际场景中的应用，比如如何部署和管理ASA防火墙，如何配置SSL VPN和IPsec VPN，如何实现网络访问控制，以及如何应对常见的安全威胁。我尤其关注书中对一些高级功能的讲解，比如Web安全网关、IPS/IDS策略的优化，以及如何与其它Cisco安全产品进行集成。我希望这本书能够帮助我理解这些技术的最佳实践，并且能够快速掌握相关的配置命令和排错技巧。毕竟，在实际工作中，效率和准确性至关重要。如果书中还能包含一些模拟考试的题目或者练习，那就太完美了，可以让我更好地检验学习效果，为考试做好充足的准备。

评分☆☆☆☆☆

我之前考过CCNA，对Cisco的产品和认证体系有所了解，现在希望进一步深化我在网络安全领域的专业能力，CCNP Security是我的下一个目标。在选择备考资料时，我更加注重内容的权威性和实用性。这本书的名字，特别是“CCNP安全Secure”和“642-637认证考试指南”这些关键词，让我觉得它非常有针对性。我期望这本书能够深入解析Secure考试大纲中的每一个知识点，提供最前沿的技术信息和最佳实践。我希望它能够详细讲解如何设计、部署和管理一个安全的网络环境，包括各种威胁的防护策略，如DDoS攻击、恶意软件、APT攻击等。我特别看重书中关于Securnetworx（可能书中会有类似概念或应用）等高级安全特性的讲解，以及如何将这些技术融入到整体的安全架构中。如果书中还能提供一些案例研究，分析真实世界中的安全事件，并给出相应的解决方案，那将非常有价值，能够帮助我更好地理解安全技术的应用场景和重要性。

评分☆☆☆☆☆

作为一名初学者，对CCNP Security领域感到有些畏惧，但又渴望进入这个行业。我听说了这本《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》，希望它能成为我入门的敲门砖。我最希望的是这本书能够用通俗易懂的语言，解释清楚每一个安全概念。比如，防火墙和路由器的区别是什么？VPN到底是如何工作的？什么是入侵检测和防御？我希望这本书能够像一位耐心的老师，循序渐进地引导我入门。如果书中能够从最基础的网络概念讲起，然后逐步深入到CCNP Security的各个主题，我会感到非常安心。我也希望书中能够提供大量的图示和实例，帮助我更好地理解抽象的概念。例如，通过实际的网络拓扑图来解释VPN的建立过程，或者通过配置示例来展示如何设置防火墙策略。我对书中的实践部分尤为期待，希望能看到清晰的步骤指导，让我能够跟着书本进行实际操作，即使没有真实的设备，也能通过模拟器来练习。

评分☆☆☆☆☆

终于下定决心要考CCNP Security认证了，在网上搜了一圈，看到了这本《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》。光是看书名就感觉很专业，也很全面。我希望这本书能够像一个经验丰富的老师一样，把我从基础概念一点点带到复杂的场景配置。我特别期待书中对各种安全技术原理的深入讲解，比如防火墙的工作机制，VPN的建立和管理，入侵检测和防御系统的配置和调优，还有身份管理和访问控制的策略设计。我希望它不只是简单地罗列命令，而是能够真正解释“为什么”这么做，以及在实际网络环境中，这些技术是如何协同工作的。如果书中还能包含一些典型的故障排除案例，那简直是锦上添花了。毕竟，考试不只是理论，实际操作中的问题才是最考验人的。我希望通过这本书的学习，不仅能顺利通过考试，更能建立起扎实的CCNP Security知识体系，为未来的网络安全工作打下坚实的基础。我之前尝试过一些在线课程，但总觉得缺乏系统性，而且很多细节的解释不够到位，希望这本纸质书籍能够弥补这一遗憾，提供更深入、更权威的指导。

评分☆☆☆☆☆

《Cisco职业认证培训系列：CCNP安全Secure 642-637认证考试指南》分为22章和2个附录，包括网络安全基础的概念、组件、CiscoSAFE模型；对网络及其组件造成威胁的各种手段；网络基础保护（NFP）概述；交换机数据面的攻击手段及应对方案；使用802.1X与CiscoIBNS框架为网络提供有效的访问授权；802.1X认证的配置与实施；路由器数据面的攻击手段及应对方案；CiscoIOS控制面/管理面的攻击手段及应对方案；NAT/ZBPFW/IPS的配置与实施；站点到站点的安全解决方案；站点到站点IPSecVPN的部署/认证；DMVPN的部署；为基于隧道的IPSecVPN部署高可用性；GETVPN的部署；使用SSLVPN/EZVPN部署远程访问的解决方案等。

评分☆☆☆☆☆

不错不错，值得购买，哈哈哈

评分☆☆☆☆☆

很差，几乎没什么内容，空洞无物，浅尝辄止，这么贵，这么厚的一本书，太让人失望了。

评分☆☆☆☆☆

很好很不错很好很不错

评分☆☆☆☆☆

不错

评分☆☆☆☆☆

思科职业认证系列很不错的书

评分☆☆☆☆☆

东西很好！速度很快！一贯的风格！哥不喜欢等！

评分☆☆☆☆☆

也就那样吧。。。。。

评分☆☆☆☆☆

质量好，不错！