Cisco安全入侵检测系统PDF|Epub|txt|kindle电子书版本网盘下载

Cisco安全入侵检测系统PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

目 录5

第一部分网络安全介绍5

第1章对网络安全的需要5

1.1安全威胁6

1.1.1无组织的威胁7

1.1.2有组织的威胁8

1.1.3外部威胁8

1.2安全概念9

1.1.4 内部威胁9

1.3攻击的各个阶段10

1.3.1设定攻击目标10

1.3.2攻击前的侦察10

1.3.3正式攻击12

1.4攻击方法12

1.5.1 网络资源13

1.5网络攻击点13

1.4.4耐心（慢）攻击13

1.4.3 外科手术式打击（闪电攻击）13

1.4.2系统性攻击13

1.4.1 即兴（随机）攻击13

1.5.2网络协议15

1.6黑客工具与技术16

1.6.1使用侦察工具16

1.6.2攻击网络中的薄弱点17

1.6.3实施拒绝服务攻击技术19

1.6.4小结23

1.7复习题24

第2章Cisco安全轮图27

2.1保护网络安全28

2.1.1 加强认证28

2.1.2建立安全边界30

2.1.3 通过虚拟专用网络提供私密性32

2.1.4漏洞修补32

2.2.1 人工监视34

2.2监视网络安全34

2.2.2 自动监视35

2.3检验网络安全35

2.3.1 使用安全扫描器35

2.3.2进行专业安全评估36

2.4提升网络安全36

2.4.1 留意安全新闻36

2.4.4核验安全配置37

2.4.3评估安全探测器的置放37

2.4.2定期检查配置文件37

2.5 小结38

2.6复习题39

第二部分入侵检测与CSIDS环境43

第3章入侵检测系统43

3.1 IDS触发器44

3.1.1异常检测44

3.1.2滥用检测47

3.2.1基于主机的IDS49

3.2 IDS监测位置49

3.2.2基于网络的IDS51

3.3混合特性53

3.4小结53

3.5复习题54

第4章Cisco安全IDS概述57

4.1系统功能和特性58

4.2探测器平台和模块61

4.2.1 4200系列探测器62

4.2.2 Catalyst6000系列交换器的IDS模块63

4.3控制器平台64

4.3.1 控制器平台特性64

4.3.2作为控制器平台的Cisco安全策略管理器65

4.3.3 Cisco安全入侵检测控制器66

4.3.4控制器平台特性比较66

4.4 Cisco Secure IDS和邮局（PostOffice）协议67

4.4.1 PostOffice协议67

4.4.2 PostOffice特性68

4.4.3 PostOffice标识符70

4.4.4 PostOffice寻址方案71

4.5 小结72

4.6复习题72

第三部分CSIDS安装77

第5章Cisco安全IDS探测器部署77

5.1 部署准备：分析网络拓扑结构78

5.1.1 网络入口点78

5.1.2关键网络组件79

5.1.3远程网络80

5.1.4网络大小和复杂度81

5.1.5考虑安全策略限制81

5.2进行部署：探测器安装考虑82

5.2.1基于网络功能的探测器布放82

5.2.2安装配置83

5.4复习题88

5.3小结88

第6章Cisco安全策略管理器的安装91

6.1 CSPM概述91

6.1.1软件特性集92

6.1.2部署配置93

6.2 CSPM安装要求94

6.2.1软件要求94

6.2.2硬件要求95

6.3 CSPM安装设置及选项96

6.2.3许可证选项96

6.3.1完成Cisco安全通信部署工作单97

6.3.2搭建一台Windows NT4.0主机97

6.3.3定义安装设置97

6.3.4验证安装设置101

6.3.5任选的TechSmith屏幕捕捉器编解码器安装101

6.3.6 PostOffice安装102

6.3.7完成安装程序104

6.4.1 CSPM登录105

6.4启动CSPM105

6.4.2入门视频资料106

6.5小结108

6.6复习题109

第7章 在CSPM内安装4200系列探测器111

7.1 了解探测器设备111

7.1.1 IDS-4230112

7.1.2 IDS-4210113

7.1.3管理访问114

7.1.4登录帐号115

7.2配置探测器的引导程序116

7.2.1 sysconfig-sensor116

7.2.2退出sysconfig-sensor121

7.3 向CSPM控制器中添加一个探测器121

7.3.1 启动增加探测器向导121

7.3.2输入探测器的PostOffice标识参数122

7.3.4选择探测器版本和特征模板123

7.3.3输入探测器对象的缺省网关123

7.3.5检验探测器的设置124

7.3.6将CSPM主机加入拓扑图125

7.3.7选择策略分发点126

7.3.8保存并更新设置127

7.3.9将配置文件推入探测器中127

7.3.10错误检查128

7.4小结129

7.5复习题130

第8章 处理CSPM中的Cisco安全IDS警报135

第四部分报警管理和入侵检测特征135

8.1管理警报136

8.1.1打开事件查看器136

8.1.2警报域137

8.1.3主机名解析141

8.1.4查看上下文缓存142

8.1.5打开NSDB144

8.1.6理解漏洞特征信息145

8.1.7理解相关的弱点信息148

8.1.8删除警报150

8.1.9挂起和恢复警报显示151

8.2客户化事件查看器152

8.2.1展开选中警报条目的一栏153

8.2.2展开选中警报条目的所有栏目153

8.2.3收缩选中警报条目的一栏154

8.2.4收缩当前选中的栏目154

8.2.5 改变警报扩展边界155

8.2.6移动栏目156

8.2.7删除栏目156

8.2.8选择需显示的栏目157

8.3优选设置158

8.3.1操作158

8.3.2单元159

8.3.3状态事件160

8.3.4边界161

8.4连接状态窗格162

8.3.5事件严重程度指示器162

8.3.6严重程度映射162

8.4.1 连接状态163

8.4.2服务状态164

8.4.3服务版本165

8.4.4统计166

8.4.5统计复位167

8.5 小结168

8.6复习题170

第9章理解Cisco安全IDS特征173

9.1 特征定义173

9.1.1特征实施174

9.1.2特征结构174

9.2特征类175

9.2.1侦察特征175

9.2.4拒绝服务特征176

9.3特征种类176

9.2.3访问特征176

9.2.2信息特征176

9.3.1 通用177

9.3.2连接177

9.3.3字符串177

9.3.4访问控制列表178

9.4特征紧急度178

9.4.3高紧急度（警报级别5）179

9.4.2中紧急度（警报级别3-4）179

9.4.1低紧急度（警报级别1-2）179

9.5 小结180

9.6复习题181

第10章特征序列183

10.1 IP特征（1000系列）183

10.1.1 IP选项184

10.1.2 IP碎片187

10.1.3坏IP包191

10.2.1 ICMP查询消息192

10.2 ICMP特征（2000系列）192

10.2.2 ICMP错误消息195

10.2.3 Ping扫描197

10.2.4 ICMP攻击199

10.3 TCP特征（3000系列）200

10.3.1 TCP数据流记录（特征3000）201

10.3.2 TCP端口扫描202

10.3.3 TCP主机扫描207

10.3.4异常TCP包210

10.3.5邮件攻击212

10.3.6 FTP攻击215

10.3.7传统Cisco Secure IDS Web攻击217

10.3.8 NetBIOS攻击226

10.3.9 SYN Flood和TCP劫持攻击230

10.3.10 TCP应用漏洞231

10.4 UDP特征（4000系列）236

10.4.1 UDP数据流记录（特征4000）236

10.4.2 UDP端口扫描237

10.4.3 UDP攻击238

10.4.4 UDP应用239

10.5 Web/HTTP特征（5000系列）241

10.6交叉协议特征（6000系列）262

10.6.1 SATAN攻击262

10.6.2 DNS攻击263

10.6.3 RPC服务攻击266

10.6.4Ident攻击274

10.6.5认证失败275

10.6.6 Loki攻击277

10.6.7分布式拒绝服务攻击278

10.7串匹配特征（8000系列）280

10.7.1客户字符串匹配281

10.7.2 TCP应用281

10.8违反策略特征（10000系列）283

10.9小结283

10.10复习题284

11.1 CSPM探测器配置屏幕289

第11章CSPM内的探测器配置289

第五部分CSIDS配置289

11.1.1属性配置屏幕290

11.1.2 4200系列探测配置屏幕292

11.1.3IDSM探测配置屏幕294

11.1.4拦阻配置屏幕297

11.1.5过滤配置屏幕300

11.1.6日志配置屏幕301

11.1.7高级配置屏幕302

11.1.8命令屏幕304

11.1.9控制屏幕305

11.1.10策略分发点306

11.2修改基本配置306

11.2.1标识参数307

11.2.2内部网络308

11.2.3包捕捉设备309

11.3日志文件配置309

11.3.1让探测器产生日志文件309

11.3.2 配置日志文件自动发送310

11.4修改高级配置311

11.4.1 IP分片重组311

11.4.2理解TCP会话重组312

11.4.3配置TCP会话重组312

11.4.4附加目的地313

11.5为探测器载入新配置313

11.6 小结314

11.5.3检查探测器配置更新314

11.5.2更新探测器配置314

11.5.1存储和更新CSPM配置314

11.7复习题315

第12章特征和入侵检测配置317

12.1基本特征配置318

12.1.1通用栏318

12.1.2特征栏319

12.1.3查看特征设置319

12.1.4连接特征类型和端口配置322

12.1.5字符串特征配置324

12.2特征模板325

12.2.1什么是特征模板325

12.2.2产生新特征模板326

12.2.3指定探测器使用的特征模板327

12.2.4对探测器应用特征模板328

12.3特征过滤328

12.3.1 设置送往控制器的最低级别329

12.3.2简单特征过滤329

12.3.3高级特征过滤331

12.4高级特征配置333

12.4.1特征调整334

12.4.2端口映射335

12.5创建ACL特征336

12.5.1创建ACL特征336

12.5.2定义SYSLOG源337

12.6小结338

12.7复习题338

第13章IP拦阻配置341

13.1 理解ACL342

13.1.1设备管理343

13.1.2设备管理要求343

13.1.3 IP拦阻指南343

13.1.4路由器上的IP拦阻345

13.1.5主拦阻探测器346

13.2 ACL放置考虑347

13.2.1 在哪里应用ACL348

13.2.2 在外部接口与内部接口上应用ACL的比较349

13.3为IP拦阻配置探测器349

13.3.1 设置拦阻设备的属性349

13.3.2 设置从不拦阻IP地址352

13.3.3通过主拦阻探测器进行拦阻352

13.3.4查看被拦阻的IP地址列表353

13.3.5查看被管理的网络设备355

13.3.6手工拦阻一个主机或网络355

13.3.7去掉一个被拦阻的主机或网络356

13.4小结357

13.5复习题358

第14章Catalyst 6000 IDS模块配置361

14.1 了解Catalyst 6000 IDS模块361

14.1.1关键特性362

14.1.2特性比较362

14.1.3 CatalystIDS特性要求363

14.2.1端口364

14.2 IDSM端口和数据流364

14.1.4 MSFC与独立路由器比较364

14.2.2数据流365

14.3捕捉数据流366

14.3.1 SPAN特性366

14.3.2 VACL特性367

14.4配置任务368

14.4.1初试化IDSM368

14.4.2为ID分析配置交换机370

14.4.3检验IDSM配置375

14.4.4将IDSM加入到CSPM378

14.5更新IDSM组件379

14.5.1磁盘结构379

14.5.2更新IDSM映像380

14.6故障排除382

14.6.1 IDSM状态LED382

14.6.2 Catalyst交换机命令383

14.6.3 IDSM命令384

14.7小结385

14.8复习题386

第六部分Cisco安全入侵检测控制器（CSIDD）391

第15章Cisco安全ID控制器的安装391

15.1控制器软件安装391

15.1.1运行安装脚本392

15.1.2设置netrangr密码392

15.1.3配置控制器标识参数393

15.1.5重启系统394

15.1.4建立初始配置文件394

15.2启动控制器395

15.2.1检验后台守护进程是否在运行395

15.2.2启动HP OpenView396

15.2.3初始化HP OpenView NNM环境396

15.2.4 HP OpenView导航按钮397

15.3探测器配置398

15.3.1运行sysconfig-sensor398

15.3.2增加一个新初始化后的探测器399

15.3.3完成探测器配置404

15.4小结404

15.5复习题405

第16章配置文件管理工具（nrConfigure）407

16.1 使用nrConfigure408

16.1.1如何使用nrConfigure408

16.1.2如何启动nrConfigure408

16.1.3 nrConfigure屏幕特性409

16.1.4设置HTML浏览器409

16.1.5隐藏状态行410

16.2增加主机向导中的主机类型411

16.2.1新安装的探测器411

16.2.2用于警报转发的从控制器411

16.2.3先前配置的探测器412

16.3连接至先前配置的探测器412

16.3.1“Add Host Initial”窗口412

16.3.2输入探测器标识设置413

16.3.4“Add Host Wizard Finished”窗口414

16.3.3选择主机类型414

16.4验证探测器已被加入到nrConfigure中415

16.5验证探测器已被加入到Cisco安全IDS子图415

16.6删除探测器415

16.7删除探测器图标416

16.8使用配置库417

16.8.1打开配置库417

16.8.2使用配置库417

16.9 小结420

16.8.3关闭配置库420

16.10复习题421

第17章Cisco IOS防火墙入侵检测系统423

17.1 Cisco IOS防火墙IDS和入侵检测424

17.1.1企业用户425

17.1.2服务提供商425

17.1.3中小企业425

17.2支持的路由器平台425

17.3部署问题426

17.3.1 内存使用和性能影响426

17.3.2特征覆盖范围426

17.3.3特征更新426

17.4特征426

17.4.1特征实施427

17.4.2响应选项427

17.5配置任务427

17.5.1在路由器上初始化Cisco安全IOS防火墙IDS428

17.5.2配置、关闭或排除特征432

17.5.3建立和应用审计规则435

17.5.4核验配置438

17.5.5将Cisco IOS防火墙IDS加入到控制器配置中441

17.6小结443

17.7复习题444

第七部分Cisco安全IDS的新版本449

第18章计划的Cisco安全IDS增强特性449

18.1版本3.0450

18.1.1安装和配置增强450

18.1.2特征增强451

18.1.3规避增强453

18.2版本4.0454

18.2.1 安装和配置增强454

18.2.2特征增强456

18.2.3拦阻增强457

18.3.1探测器设备458

18.3.2 Catalyst 6000家族IDSM458

18.3探测器增强458

18.3.3吉比特IDSM459

18.3.4探测器设备管理器（SDM）460

18.4 Cisco安全IDS用户定义特征460

18.4.1特征引擎460

18.4.2主特征参数461

18.4.3引擎特别参数462

18.4.4用户定义特征示例462

18.5小结464

第八部分附录469

附录A配置入侵检测： 案例研究469

A.1 使用Cisco IOS FirewallIDS469

A.1.1 限制470

A.1.2所需设备470

A.1.3网络框图470

A.1.4通用设置470

A.1.5 常见问题和解决技巧473

A.2.1 限制478

A.2发送系统日志数据至Cisco Secure IDS探测器478

A.2.2所需设备479

A.2.3 网络框图479

A.2.4通用设置479

A.2.5常见问题和解决技巧482

A.3用Cisco Secure IDS探测器管理路由器483

A.3.1 事先应考虑的限制484

A.3.2所需设备484

A.3.3 网络框图484

A.3.4通用设置485

A.3.5 常见问题和解决技巧490

A.4 Cisco Secure IDS分层控制器体系492

A.4.1报警延迟限制493

A.4.2所需设备493

A.4.3 网络框图493

A.4.4通用设置493

A.4.5 常见问题和解决技巧496

A.5在同一底盘上建立多个IDSM499

A.5.1 每个IDSM的100-Mbit/s带宽限制499

A.5.2所需设备499

A.5.3 网络框图499

A.5.4 VACL定义500

A.5.5通用设置500

附录B Cisco Secure IDS体系结构507

B.1 Cisco Secure IDS软件体系结构507

B.1.1探测器体系结构508

B.1.2 CSPM控制器体系结构509

B.2 Cisco Secure IDS通信512

B.3 Cisco Secure IDS命令512

B.3.1 nrstart512

B.3.2 nrstop513

B.3.3 nrconns513

B.3.4 nrstatus513

B.4 Cisco Secure IDS目录结构514

B.3.5 nrvers514

B.4.1 Cisco Secure IDS安装目录515

B.4.2 bin目录515

B.4.3 etc目录515

B.4.4 var目录516

B.5 Cisco Secure IDS配置文件516

B.5.1什么是配置文件？517

B.5.2入侵检测517

B.5.3设备管理和拦阻令牌523

B.5.4控制器和警报转发524

B.5.5 日志和日志设置525

B.5.6 FTP传送和FTP传送令牌526

B.6 通信526

B.6.1 故障管理526

B.6.2 Cisco Secure IDS组织528

B.6.3 Cisco Secure IDS主机528

B.6.4 Cisco Secure IDS路由528

B.6.5 Cisco Secure IDS目的地529

B.6.6 Cisco Secure IDS授权主机530

B.6.7 Cisco Secure IDS服务530

B.6.8 Cisco Secure IDS应用531

附录C Cisco Secure IDS Director基本故障排除533

C.1控制器问题533

C.1.1控制器不运行533

C.1.2控制器运行536

C.2.2探测器连接问题537

C.2.1 启动和停止Cisco安全守护进程的问题537

C.2探测器问题537

C.3 Oracle数据库问题538

C.3.1不能确定Oracle是否已安装538

C.3.2不能确定Oracle是否在运行538

C.3.3 Oracle安装程序不安装Oracle539

C.3.4找不到SQLPlus或SQLDR539

C.3.5 SQLPlus不运行539

C.3.6 Oracle不可用539

C.3.8 Oracle认证连接失败540

C.3.7 LD LIBRARY_PATH环境变量没有正确设置540

C.3.9 Oracle返回用户／密码错误信息541

C.4数据管理包问题541

C.4.1 SQL查询语句不显示数据541

C.4.2 SQL查询语句不正确显示数据541

C.4.3未发送邮件通知541

C.5.2 HP-UX性能问题542

C.5.1 nrConfigure启动问题542

C.5 nrConfigure问题542

C.4.4数据库装载程序失败542

C.6在线帮助和NSDB543

附录D Cisco Secure IDS 日志文件545

D.1 日志级别545

D.2 日志文件命名习惯546

D.2.1 IP日志文件546

D.2.2 Cisco Secure IDS日志文件546

D.4 关闭活动文件547

D.3 日志文件位置547

D.2.3服务错误日志文件547

D.5归档日志文件548

D.6事件记录域548

D.6.1警报事件记录548

D.6.2命令日志记录域550

附录E高级技巧553

E.1 改正不能嗅探的探测器553

E.1.2检查packetd进程554

E.1.1检验攻击情形的紧急程度554

E.1.3验证监视接口是否真能观测到网络通信流555

E.1.4检查日志文件以判断事件是否被探测到556

E.1.5确认控制器和探测器能相互通信556

E.1.6检查探测器的／usr/nr/etc/destinations文件以确认smid是一个定义了的目的地557

E.1.7检查smid是否在控制器上运行着558

E.1.8在控制器和探测器上检查错误日志559

E.1.9呼叫Cisco技术帮助中心560

E.2.2电缆要求561

E.2.1 root登录限制561

E.2 使用探测器串口作为控制台访问端口561

E.2.3连接笔记本电脑至探测器562

E.2.4配置超级终端（HyperTerminal）或其他通信软件包562

E.3排除伪警报562

E.3.1 CSPM特征过滤562

E.3.2 Cisco Secure ID控制器特征调整563

附录F Cisco Secure IDS特征结构和实施567

附录G Cisco Secure IDS特征和推荐的报警级别577

G.1通用特征578

G.2连接特征585

G.3字符串特征586

G.4 ACL特征587

附录H CiscoIOS防火墙IDS特征列表589

H.1信息特征590

H.2攻击特征591

附录I Cisco安全通信部署工作表593

附录J术语597

K.1 第1章答案603

附录K复习题答案603

K.2 第2章答案604

K.3 第3章答案604

K.4 第4章答案605

K.5 第5章答案606

K.6 第6章答案607

K.7 第7章答案608

K.8 第8章答案609

K.9 第9章答案610

K.10第10章答案611

K.11第11章答案612

K.12第12章答案613

K.13第13章答案614

K.14第14章答案615

K.15第15章答案616

K.16第16章答案617

K.17第17章答案617