CCNA网络安全运营SECFND 210-250认证考试指南

  

本书是CCNA SECFND 210-250认证考试的官方认证指南，旨在帮助读者掌握该考试的所有主题，为顺利通过考试打下基础。本书分为14章，其内容包括网络协议和网络设备基本知识、网络安全设备和云服务、安全原理、访问控制简介、安全运维管理简介、密码学和公钥基础设施（PKI）基础知识、虚拟专用网路（VPN）简介、基于Windows的分析、基于Linux和macOS的分析、端点安全技术、网络和主机洞察技术、安全监控所面临的操作方面的难题、攻击和漏洞的种类以及安全逃避技术。为了帮助读者更好地深入掌握各章所学的知识，每章开头的“摸底测验”可以帮助读者评估知识能力并确定如何分配有限的学习时间。每章末尾的“备考任务”还总结了本章的考试要点以及课后练习，以方便读者参考和复习。本书主要面向备考CCNA SECFND 210-250认证考试的考生，全书紧密围绕考试主题，在内容的组织和编写上切实凸显了认证考试需求。此外，本书内容的实用性很强，有志于从事网络安全运营工作的读者也可以通过本书顺利入门。

Omar Santos，Cisco产品安全事故响应团队（PSIRT）工程师。在调查和解决网络安全漏洞期间，领导并指点工程师和事故经理（incident manager）是他的主要职责。他曾为财富500强公司和美国政府设计、实施和支持安所有渠道络，并在Cisco全球安全技术实践和TAC部门任职。
Joseph Muniz，思科系统的安全架构师和研究员。他在为财富500强企业和美国政 府设计安全解决方案和安全体系结构方面享有丰富的经验。他参与并出版了多部作品。
Stefano De Crescenzo，Cisco产品安全事故响应团队（PSIRT）事故经理。他 专注于Cisco产品漏洞管理和取证，以及关键基础设施设备中的恶意软件检测和完整性保证。他为Cisco IOS、IOS-XE和ASA编写了完整性保证指南。

第1章网络协议和网络设备基本知识1
1.1摸底测验1
1.2TCP/IP和OSI参考模型4
1.2.1TCP/IP模型4
1.2.2开放系统互连参考模型10
1.3第二层基本知识和技术13
1.3.1以太网LAN基础和技术13
1.3.2以太网设备和帧的转发方式18
1.3.3无线LAN基本知识和技术33
1.4Internet协议和第三层技术41
1.4.1IPv4包头44
1.4.2IPv4分片机制45
1.4.3IPv4地址和地址结构46
1.4.4IP地址分配和DHCP55
1.4.5子网内的IP通信机制和地址解析协议（ARP）58
1.4.6子网间IP数据包的路由60
1.4.7路由表和IP路由协议62
1.5Internet控制消息协议（ICMP）68
1.6域名系统（DNS）70
1.7IPv6基础知识74
1.7.1IPv6包头76
1.7.2IPv6地址和子网77
1.7.3特殊及预留的IPv6地址80
1.7.4IPv6地址分配、邻居发现协议和DHCPv681
1.8传输层技术和协议87
1.8.1传输控制协议（TCP）88
1.8.2用户数据报协议（UDP）96
1.9考点回顾98
1.10课后练习101
第2章网络安全设备和云服务105
2.1摸底测验105
2.2网络安全系统107
2.2.1传统防火墙108
2.2.2应用代理113
2.2.3网络地址转换113
2.2.4状态化检测防火墙116
2.2.5下一代防火墙121
2.2.6个人防火墙124
2.2.7入侵检测系统和入侵防御系统124
2.2.8下一代入侵防御系统129
2.2.9高级恶意软件防护129
2.2.10Web安全设备134
2.2.11邮件安全设备（ESA）137
2.2.12Cisco安全管理设备139
2.2.13Cisco身份服务引擎139
2.3云端安全解决方案141
2.3.1Cisco云网络安全141
2.3.2Cisco云邮件安全142
2.3.3CiscoAMP威胁网格143
2.3.4Cisco威胁感知服务143
2.3.5OpenDNS144
2.3.6CloudLock144
2.4CiscoNetFlow145
2.4.1NetFlow所导出的流是指什么146
2.4.2NetFlow和抓包147
2.4.3NetFlow缓存148
2.5数据丢失防护148
2.6考点回顾149
2.7课后练习150
第3章安全原理153
3.1摸底测验153
3.2纵深防御战略的原理156
3.3什么是威胁、漏洞和漏洞利用160
3.3.1漏洞160
3.3.2威胁161
3.3.3漏洞利用163
3.4机密性、完整性和可用性：CIA三要素164
3.4.1机密性164
3.4.2完整性164
3.4.3可用性164
3.5风险和风险分析165
3.6个人身份信息和受保护的健康信息166
3.6.1PII166
3.6.2PHI167
3.7大力度优惠权限原则和职责分离167
3.7.1大力度优惠权限原则167
3.7.2职责分离168
3.8安全运营中心168
3.9取证170
3.9.1证据式监管链170
3.9.2逆向工程171
3.10考点回顾172
3.11课后练习173
第4章访问控制简介177
4.1摸底测验177
4.2信息安全原则180
4.3主体和客体180
4.4访问控制基础知识181
4.4.1识别181
4.4.2认证182
4.4.3授权184
4.4.4记账184
4.4.5访问控制基础知识：总结184
4.5访问控制过程185
4.5.1资产分类186
4.5.2标记资产187
4.5.3访问控制策略187
4.5.4数据处置187
4.6信息安全岗位和职责188
4.7访问控制类型189
4.8访问控制模型192
4.8.1DAC模型193
4.8.2MAC模型194
4.8.3RBAC模型195
4.8.4ABAC模型197
4.9访问控制机制200
4.10身份和访问控制机制的实现202
4.10.1认证、授权和记账协议202
4.10.2基于端口的访问控制208
4.10.3网络访问控制列表和防火墙功能211
4.10.4身份管理和信息收集213
4.10.5网段划分214
4.10.6入侵检测和入侵预防217
4.10.7防病毒软件和防恶意软件221
4.11考点回顾222
4.12课后练习223
第5章安全运维管理简介229
5.1摸底测验229
5.2身份和访问管理简介231
5.2.1身份和访问生命周期的各个阶段232
5.2.2密码管理233
5.2.3目录管理237
5.2.4单点登录239
5.2.5联盟SSO（FederatedSSO）242
5.3安全事件和日志管理247
5.3.1日志收集、分析和处置248
5.3.2安全信息和事件管理器251
5.4资产管理253
5.4.1资产清单254
5.4.2资产所有权254
5.4.3可接受的资产领用和归还制度255
5.4.4分类资产255
5.4.5标记资产255
5.4.6资产和信息处理256
5.4.7介质管理256
5.5企业移动性管理简介256
5.6配置管理和变更管理263
5.6.1配置管理263
5.6.2变更管理265
5.7漏洞管理267
5.7.1漏洞识别268
5.7.2漏洞分析和确定漏洞的等级276
5.7.3漏洞修复280
5.8补丁管理281
5.9考点回顾284
5.10课后练习286
第6章密码学和公钥基础设施（PKI）基础知识291
6.1摸底测验291
6.2密码学293
6.2.1密码和密钥293
6.2.2对称和非对称算法295
6.2.3哈希（Hash）297
6.2.4哈希消息认证码298
6.2.5数字签名299
6.2.6密钥管理302
6.2.7下一代加密协议303
6.2.8IPSec和SSL303
6.3PKI基础知识305
6.3.1公钥和私钥对305
6.3.2RSA算法、密钥和数字证书306
6.3.3证书颁发机构306
6.3.4根证书和身份证书308
6.3.5认证并向CA登记311
6.3.6公钥加密标准312
6.3.7简单证书注册协议312
6.3.8吊销数字证书312
6.3.9使用数字证书313
6.3.10PKI的拓扑结构314
6.4考点回顾315
6.5课后练习316
第7章虚拟专用网络（VPN）简介319
7.1摸底测验319
7.2什么是VPN321
7.3站点到站点VPN与远程访问VPN的对比321
7.4IPSec概述323
7.4.1IKEv1阶段1323
7.4.2IKEv1阶段2325
7.4.3IKEv2协议328
7.5SSLVPN328
7.6考点回顾333
7.7课后练习333
第8章基于Windows的分析337
8.1摸底测验337
8.2进程和线程340
8.3内存分配342
8.4Windows注册表344
8.5Windows Management Instrumentation346
8.6句柄347
8.7服务349
8.8Windows事件日志351
8.9考点回顾353
8.10课后练习354
第9章基于Linux和macOS的分析357
9.1摸底测验357
9.2进程359
9.3fork362
9.4权限363
9.5符号链接367
9.6守护进程369
9.7基于UNIX的Syslog370
9.8Apache访问日志374
9.9考点回顾375
9.10课后练习376
第10章端点安全技术379
10.1摸底测验379
10.2防恶意软件和防病毒软件381
10.3基于主机的防火墙和基于主机的入侵防御系统383
10.4应用级白、黑名单385
10.5基于系统的沙箱386
10.6考点回顾388
10.7课后练习388
第11章网络和主机洞察技术393
11.1摸底测验393
11.2网络洞察技术395
11.2.1网络基础设施日志395
11.2.2传统的防火墙日志400
11.2.3大型网络环境中的Syslog403
11.2.4下一代防火墙和下一代IPS日志409
11.2.5NetFlow分析418
11.2.6Cisco应用程序可见性和控制（AVC）441
11.2.7数据包抓取442
11.2.8Wireshark442
11.2.9CiscoPrime基础设施443
11.3主机洞察技术446
11.3.1由用户端点生成的日志446
11.3.2服务器生成的日志451
11.4考点回顾452
11.5课后练习452
第12章安全监控所面临的操作方面的难题457
12.1摸底测验457
12.2安全监控和加密459
12.3安全监控和网络地址转换460
12.4安全监控和事件关联时间同步461
12.5DNS隧道和其他“数据夹带”方法461
12.6安全监控和Tor462
12.7安全监控和对等到对等通信463
12.8考点回顾464
12.9课后练习464
第13章攻击和漏洞的种类467
13.1摸底测验467
13.2攻击的种类469
13.2.1侦察攻击469
13.2.2社会工程学472
13.2.3权限提升攻击473
13.2.4后门473
13.2.5代码执行474
13.2.6中间人攻击474
13.2.7拒绝服务攻击475
13.2.8数据夹带的攻击方法477
13.2.9ARP缓存中毒478
13.2.10欺骗攻击479
13.2.11路由操纵攻击479
13.2.12密码攻击480
13.2.13无线攻击481
13.3漏洞的种类481
13.4考点回顾484
13.5课后练习485
第14章安全逃避技术489
14.1摸底测验489
14.2加密和隧道491
14.3资源耗竭497
14.4流量分片498
14.5协议级错误解释499
14.6流量计时、替换和插入攻击500
14.7轴心攻击501
14.8考点回顾505
14.9课后练习506
附录摸底测验和课后练习答案509
A.1摸底测验答案509
A.2课后练习答案518