HCIA-Security學習指南

徐龍泉 畢業於華南理工大學，12年從業經驗，珠海市高層次人才，高級工程師，思科網絡技術學院金牌講師（ITR），累計培訓了800多位來自全國高校的教師，近三年專註於網絡安全相關領域的師資培訓及企業定製化培訓。近三年出版教材3部，發表論文5篇，獲發明專利2項。

第 1章 網絡安全概述 2

1.1 網絡安全定義 4

1.1.1 網絡安全發展歷史 5

1.1.2 常見網絡安全威脅 6

1.2 網絡安全發展趨勢 11

1.3 信息安全標準與規範 12

1.3.1 網絡/信息安全原則 13

1.3.2 網絡安全設計指導方針 15

1.3.3 安全策略 17

1.4 網絡安全威脅防禦方法 18

1.4.1 接入層與分佈層 19

1.4.2 核心層 20

1.4.3 數據中心 20

1.4.4 Internet邊緣 21

第 2章 網絡基礎知識 24

2.1 網絡參考模型 26

2.1.1 OSI參考模型和TCP/IP參考模型 26

2.1.2 應用層 27

2.1.3 表示層 28

2.1.4 會話層 28

2.1.5 傳輸層 29

2.1.6 網絡層 29

2.1.7 數據鏈路層 30

2.1.8 物理層 31

2.2 常見網絡設備 32

2.2.1 路由器 32

2.2.2 交換機 34

2.2.3 防火牆 35

2.2.4 入侵防禦及檢測系統 37

2.2.5 AntiDDoS網關 38

2.2.6 無線接入點 39

第3章 常見網絡安全威脅及防範 42

3.1 企業網絡安全威脅概覽 45

3.2 通信網絡安全需求與方案 46

3.3 區域邊界安全威脅與防護 48

3.3.1 典型組網 50

3.3.2 數據規劃表 50

3.3.3 配置思路 51

3.3.4 操作步驟 51

3.4 計算環境安全威脅與防護 53

3.4.1 計算環境安全脆弱性分析 54

3.4.2 計算環境設備安全風險評估 55

3.4.3 計算環境安全威脅與防護原則 57

第4章 防火牆安全策略 58

4.1 防火牆簡介 60

4.1.1 包過濾防火牆 61

4.1.2 狀態監測防火牆 61

4.1.3 代理防火牆 62

4.1.4 自適應代理防火牆 64

4.1.5 下一代防火牆 65

4.2 防火牆基礎原理 65

4.2.1 安全區域 66

4.2.2 安全策略 69

4.2.3 狀態檢測和會話機制 72

4.2.4 ASPF/ALG技術 76

4.3 防火牆在網絡安全方案中的應用場景 80

4.3.1 防火牆在校園出口安全方案中的應用 80

4.3.2 防火牆在企業園區出口安全方案中的應用 83

第5章 防火牆網絡地址轉換技術 88

5.1 NAT概述 90

5.1.1 NAT類型 90

5.1.2 NAT策略 91

5.1.3 NAT處理流程 92

5.2 源NAT技術 94

5.2.1 NAT No-PAT技術 94

5.2.2 NAPT技術 96

5.2.3 Smart NAT技術 97

5.2.4 Easy IP技術 98

5.2.5 三元組NAT技術 99

5.2.6 源NAT配置要點 100

5.3 目的NAT技術 102

5.3.1 靜態目的NAT技術 103

5.3.2 動態目的NAT技術 104

5.3.3 NAT配置要點 105

5.4 雙向NAT技術 106

5.4.1 公網用戶通過雙向NAT訪問內部服務器 107

5.5 公網用戶通過NAT Server訪問內部服務器 113

5.5.1 數據規劃 113

5.5.2 配置思路 114

5.5.3 操作步驟 114

第6章 防火牆雙機熱備技術 118

6.1 雙機熱備技術原理 120

6.1.1 雙機熱備的系統要求 120

6.1.2 雙機熱備工作模式 121

6.1.3 VGMP組 122

6.2 VRRP備份 123

6.2.1 VGMP組控制VRRP備份組狀態 125

6.2.2 基於VRRP實現主備備份雙機熱備 127

6.2.3 基於VRRP實現負載分擔雙機熱備 129

6.2.4 基於動態路由的雙機熱備 131

6.2.5 透明模式雙機熱備 138

6.3 雙機熱備基本組網與配置 145

第7章 防火牆用戶管理技術 154

7.1 AAA的基本原理 156

7.1.1 身份認證、授權和記賬 157

7.1.2 AAA的部署方式 157

7.2 本地AAA 159

7.3 基於服務器的AAA 159

7.3.1 RADIUS 159

7.3.2 TACACS+ 162

7.3.3 LDAP 164

7.4 防火牆用戶認證及應用 165

7.4.1 用戶組織架構及分類 166

7.4.2 用戶身份認證流程 171

7.4.3 用戶認證策略 172

7.4.4 用戶認證配置 174

第8章 防火牆入侵防禦與反病毒 178

8.1 入侵防禦概述 180

8.2 入侵防禦 181

8.2.1 應用場景 181

8.2.1 入侵防禦實現機制 182

8.2.2 簽名 182

8.2.3 入侵防禦對數據流的處理 184

8.2.4 命令行界面配置入侵防禦功能 188

8.3 反病毒 194

8.3.1 應用場景 195

8.3.2 原理描述 195

第9章 加解密技術原理 200

9.1 加解密技術發展 202

9.2 加解密技術原理 203

9.2.1 密碼的產生 203

4.1.2 維吉尼亞密碼 204

9.3 常見加解密算法 206

9.3.1 對稱密鑰加密算法 206

9.3.2 DH算法 209

9.3.3 非對稱密鑰加密算法 211

9.3.4 哈希算法 212

第 10章 PKI證書體系 216

10.1 數據安全通信技術 218

10.1.1 使用非對稱密鑰加密算法進行數字簽名 218

10.1.2 哈希函數 220

10.1.3 使用哈希函數和非對稱密鑰加密算法來進行數字簽名 221

10.2 PKI證書體系架構 223

10.3 PKI證書體系工作機制 225

第 11章 VPN技術與應用 228

11.1 加密學的應用 230

11.2 VPN簡介 231

11.2.1 VPN基礎 231

11.3 GRE VPN 233

11.3.1 GRE封裝 234

11.3.2 GRE報文轉發流程 235

11.3.3 安全策略 236

11.3.4 配置GRE 237

11.4 IPSec VPN 238

11.4.1 IKE 239

11.4.2 IPSec的操作方式 240

11.4.3 配置點到點IPSec VPN 247

11.5 SSL VPN 258

11.5.1 虛擬網關 259

11.5.2 身份認證 260

11.5.3 角色授權 260

11.5.4 配置SSL VPN實驗 262