Cisco安全入侵检测系统

图书标准信息

• 作者 [美]卡特 著；李逢天 译
• 出版社 人民邮电出版社
• 出版时间 2003-02
• 版次 1
• ISBN 9787115111609
• 定价 80.00元
• 装帧 平装
• 开本 其他
• 纸张 胶版纸
• 页数 618页

【内容简介】

本书详细介绍了Cisco Secure IDS的各个方面，内容包括：网络安全介绍、入侵检测和CSIDS环境、CSIDS安装、报警管理和入侵检测特征、CSIDS配置、Cisco安全入侵检测控制器(CSIDD)、Cisco安全IDS新版本等。

  本书的内容基于Cisco Secure IDS课程，同时引入IDS课程以外的一些信息，是Cisco Secure IDS课程的有益参考和补充，并且可以作为Cisco Secure IDS策略管理员考试的独立学习指导。

【作者简介】

Earl Carter在计算机安全领域已有6年的工作经验。在美国空军信息作战中心工作时，他就开始学习计算机安全。Earl负责美国空军网络的安全，防止网络攻击。1998年他进入Cisco开始研究NetRanger（目前为Cisco安全IDS）和NetSonar（目前为Cisco安全扫描器）。Earl用约一年的时

【目录】

第一部分  网络安全介绍第1章  对网络安全的需要　51.1  安全威胁　61.1.1  无组织的威胁　71.1.2有组织的威胁　81.1.3  外部威胁　81.1.4  内部威胁　91.2  安全概念　91.3  攻击的各个阶段　101.3.1  设定攻击目标　101.3.2  攻击前的侦察　101.3.3  正式攻击　121.4  攻击方法　121.4.1  即兴(随机)攻击　131.4.2  系统性攻击　131.4.3  外科手术式打击(闪电攻击)　131.4.4  耐心(慢)攻击　131.5  网络攻击点　131.5.1  网络资源　131.5.2  网络协议　151.6  黑客工具与技术　161.6.1  使用侦察工具　161.6.2  攻击网络中的薄弱点　171.6.3  实施拒绝服务攻击技术　191.6.4  小结　231.7  复习题　24第2章  Cisco安全轮图　272.1　保护网络安全　282.1.1　加强认证　282.1.2　建立安全边界　302.1.3　通过虚拟专用网络提供私密性　322.1.4　漏洞修补　322.2　监视网络安全　342.2.1　人工监视　342.2.2　自动监视　352.3　检验网络安全　352.3.1　使用安全扫描器　352.3.2　进行专业安全评估　362.4　提升网络安全　362.4.1　留意安全新闻　362.4.2　定期检查配置文件　372.4.3　评估安全探测器的置放　372.4.4　核验安全配置　372.5　小结　382.6　复习题　39第二部分  入侵检测与CSIDS环境第3章  入侵检测系统　433.1　IDS触发器　443.1.1　异常检测　443.1.2　滥用检测　473.2　IDS监测位置　493.2.1　基于主机的IDS　493.2.2　基于网络的IDS　513.3　混合特性　533.4　小结　533.5　复习题　54第4章  Cisco安全IDS概述　574.1　系统功能和特性　584.2　探测器平台和模块　614.2.1　4200系列探测器　624.2.2　Catalyst 6000系列交换器的IDS模块　634.3　控制器平台　644.3.1　控制器平台特性　644.3.2　作为控制器平台的Cisco安全策略管理器　654.3.3　 Cisco安全入侵检测控制器　664.3.4　控制器平台特性比较　664.4　 Cisco Secure IDS和邮局（PostOffice）协议　674.4.1　 PostOffice协议　674.4.2　 PostOffice特性　684.4.3　 PostOffice标识符　704.4.4　 PostOffice寻址方案　714.5　小结　724.6　复习题　72第三部分  CSIDS安装第5章  Cisco安全IDS探测器部署　775.1　部署准备：分析网络拓扑结构　785.1.1　网络入口点　785.1.2　关键网络组件　795.1.3　远程网络　805.1.4　网络大小和复杂度　815.1.5　考虑安全策略限制　815.2　进行部署：探测器安装考虑　825.2.1　基于网络功能的探测器布放　825.2.2　安装配置　835.3　小结　885.4　复习题　88第6章  Cisco安全策略管理器的安装　916.1　CSPM概述　916.1.1  软件特性集　926.1.2  部署配置　936.2  CSPM安装要求　946.2.1  软件要求　946.2.2  硬件要求　956.2.3  许可证选项　966.3　CSPM安装设置及选项　966.3.1  完成Cisco安全通信部署工作单　976.3.2  搭建一台Windows NT 4.0主机　976.3.3  定义安装设置　976.3.4  验证安装设置　1016.3.5  任选的TechSmith屏幕捕捉器编解码器安装　1016.3.6  PostOffice安装　1026.3.7  完成安装程序　1046.4　启动CSPM　1056.4.1  CSPM登录　1056.4.2  入门视频资料　1066.5　小结　1086.6　复习题　109第7章  在CSPM内安装 4200系列探测器　1117.1  了解探测器设备　1117.1.1  IDS-4230　1127.1.2  IDS-4210　1137.1.3  管理访问　1147.1.4  登录帐号　1157.2  配置探测器的引导程序　1167.2.1  sysconfig-sensor　1167.2.2  退出sysconfig-sensor　1217.3  向CSPM控制器中添加一个探测器　1217.3.1  启动增加探测器向导　1217.3.2  输入探测器的PostOffice标识参数　1227.3.3  输入探测器对象的缺省网关　1237.3.4  选择探测器版本和特征模板　1237.3.5  检验探测器的设置　1247.3.6  将CSPM主机加入拓扑图　1257.3.7  选择策略分发点　1267.3.8  保存并更新设置　1277.3.9  将配置文件推入探测器中　1277.3.10  错误检查　1287.4  小结　1297.5  复习题　130第四部分  报警管理和入侵检测特征第8章  处理CSPM中的 Cisco安全IDS警报　1358.1  管理警报　1368.1.1  打开事件查看器　1368.1.2  警报域　1378.1.3  主机名解析　1418.1.4  查看上下文缓存　1428.1.5  打开NSDB　1448.1.6  理解漏洞特征信息　1458.1.7  理解相关的弱点信息　1488.1.8  删除警报　1508.1.9  挂起和恢复警报显示　1518.2  客户化事件查看器　1528.2.1  展开选中警报条目的一栏　1538.2.2  展开选中警报条目的所有栏目　1538.2.3  收缩选中警报条目的一栏　1548.2.4  收缩当前选中的栏目　1548.2.5  改变警报扩展边界　1558.2.6  移动栏目　1568.2.7  删除栏目　1568.2.8  选择需显示的栏目　1578.3  优选设置　1588.3.1  操作　1588.3.2  单元　1598.3.3  状态事件　1608.3.4  边界　1618.3.5  事件严重程度指示器　1628.3.6  严重程度映射　1628.4  连接状态窗格　1628.4.1  连接状态　1638.4.2  服务状态　1648.4.3  服务版本　1658.4.4  统计　1668.4.5  统计复位　1678.5  小结　1688.6  复习题　170第9章  理解Cisco安全IDS 特征　1739.1  特征定义　1739.1.1  特征实施　1749.1.2  特征结构　1749.2  特征类　1759.2.1  侦察特征　1759.2.2  信息特征　1769.2.3  访问特征　1769.2.4  拒绝服务特征　1769.3  特征种类　1769.3.1  通用　1779.3.2  连接　1779.3.3  字符串　1779.3.4  访问控制列表　1789.4  特征紧急度　1789.4.1  低紧急度（警报级别1－2）　1799.4.2  中紧急度（警报级别3－4）　1799.4.3  高紧急度（警报级别5）　1799.5  小结　1809.6  复习题　181第10章  特征序列　18310.1　IP特征（1000系列）　18310.1.1  IP选项　18410.1.2  IP碎片　18710.1.3  坏IP包　19110.2  ICMP特征（2000系列）　19210.2.1   ICMP查询消息　19210.2.2  ICMP错误消息　19510.2.3  Ping扫描　19710.2.4  ICMP攻击　19910.3  TCP特征（3000系列）　20010.3.1  TCP数据流记录（特征3000）　20110.3.2  TCP端口扫描　20210.3.3  TCP主机扫描　20710.3.4  异常TCP包　21010.3.5  邮件攻击　21210.3.6  FTP攻击　21510.3.7  传统Cisco Secure IDS Web攻击　21710.3.8  NetBIOS攻击　22610.3.9  SYN Flood和TCP劫持攻击　23010.3.10  TCP应用漏洞　23110.4  UDP特征（4000系列）　23610.4.1  UDP数据流记录（特征4000）　23610.4.2  UDP端口扫描　23710.4.3  UDP攻击　23810.4.4  UDP应用　23910.5  Web/HTTP特征（5000系列）　24110.6  交叉协议特征（6000系列）　26210.6.1  SATAN攻击　26210.6.2  DNS攻击　26310.6.3  RPC服务攻击　26610.6.4  Ident攻击　27410.6.5  认证失败　27510.6.6  Loki攻击　27710.6.7  分布式拒绝服务攻击　27810.7  串匹配特征（8000系列）　28010.7.1  客户字符串匹配　28110.7.2  TCP应用　28110.8  违反策略特征（10000系列）　28310.9  小结　28310.10  复习题　284第五部分  CSIDS配置第11章  CSPM内的探测器配置　28911.1　CSPM探测器配置屏幕　28911.1.1　属性配置屏幕　29011.1.2　4200系列探测配置屏幕　29211.1.3　IDSM探测配置屏幕　29411.1.4  拦阻配置屏幕　29711.1.5　过滤配置屏幕　30011.1.6　日志配置屏幕　30111.1.7　高级配置屏幕　30211.1.8　命令屏幕　30411.1.9　控制屏幕　30511.1.10　策略分发点　30611.2　修改基本配置　30611.2.1　标识参数　30711.2.2  内部网络　30811.2.3　包捕捉设备　30911.3　日志文件配置　30911.3.1　让探测器产生日志文件　30911.3.2　 配置日志文件自动发送　31011.4　修改高级配置　31111.4.1　IP分片重组　31111.4.2　理解TCP会话重组　31211.4.3　配置TCP会话重组　31211.4.4　附加目的地　31311.5　为探测器载入新配置　31311.5.1　存储和更新CSPM配置　31411.5.2　更新探测器配置　31411.5.3　检查探测器配置更新　31411.6  小结　31411.7　复习题　315第12章  特征和入侵检测配置　31712.1　基本特征配置　31812.1.1　通用栏　31812.1.2　特征栏　31912.1.3　查看特征设置　31912.1.4　连接特征类型和端口配置　32212.1.5　字符串特征配置　32412.2　特征模板　32512.2.1  什么是特征模板　32512.2.2　产生新特征模板　32612.2.3  指定探测器使用的特征模板　32712.2.4　对探测器应用特征模板　32812.3　特征过滤　32812.3.1　设置送往控制器的最低级别　32912.3.2  简单特征过滤　32912.3.3　高级特征过滤　33112.4　高级特征配置　33312.4.1　特征调整　33412.4.2　端口映射　33512.5　创建ACL特征　33612.5.1　创建ACL特征　33612.5.2  定义SYSLOG源　33712.6　小结　33812.7  复习题　338第13章  IP拦阻配置　34113.1　理解ACL　34213.1.1　设备管理　34313.1.2　设备管理要求　34313.1.3　IP拦阻指南　34313.1.4  路由器上的IP拦阻　34513.1.5  主拦阻探测器　34613.2  ACL放置考虑　34713.2.1　在哪里应用ACL　34813.2.2　在外部接口与内部接口上应用ACL的比较　34913.3　为IP拦阻配置探测器　34913.3.1　设置拦阻设备的属性　34913.3.2   设置从不拦阻IP地址　35213.3.3　通过主拦阻探测器进行拦阻　35213.3.4　查看被拦阻的IP地址列表　35313.3.5  查看被管理的网络设备　35513.3.6　手工拦阻一个主机或网络　35513.3.7　去掉一个被拦阻的主机或网络　35613.4　小结　35713.5　复习题　358第14章  Catalyst 6000 IDS 模块配置　36114.1　了解Catalyst 6000 IDS模块　36114.1.1　关键特性　36214.1.2　特性比较　36214.1.3　Catalyst IDS特性要求　36314.1.4　MSFC与独立路由器比较　36414.2　IDSM端口和数据流　36414.2.1  端口　36414.2.2　数据流　36514.3　捕捉数据流　36614.3.1　SPAN特性　36614.3.2  VACL特性　36714.4　配置任务　36814.4.1　初试化IDSM　36814.4.2　为ID分析配置交换机　37014.4.3  检验IDSM配置　37514.4.4　将IDSM加入到CSPM　37814.5　更新IDSM组件　37914.5.1　磁盘结构　37914.5.2　更新IDSM映像　38014.6　故障排除　38214.6.1　IDSM状态LED　38214.6.2  Catalyst交换机命令　38314.6.3  IDSM命令　38414.7　小结　38514.8  复习题　386第六部分  Cisco安全入侵检测控制器（CSIDD）第15章  Cisco安全ID控制器的安装　391第16章  配置文件管理工具（nrConfigure）　407第17章  Cisco IOS防火墙入侵检测系统　423第七部分  Cisco安全IDS的新版本第18章  计划的Cisco安全 IDS增强特性　449第八部分  附录附录A  配置入侵检测： 案例研究　469A.1　使用Cisco IOS Firewall IDS　469A.1.1　限制　470A.1.2　所需设备　470A.1.3　网络框图　470A.1.4　通用设置　470A.1.5　常见问题和解决技巧　473A.2　发送系统日志数据至Cisco Secure IDS探测器　478A.2.1　限制　478A.2.2　所需设备　479A.2.3　网络框图　479A.2.4　通用设置　479A.2.5　常见问题和解决技巧　482A.3　用Cisco Secure IDS探测器管理路由器　483A.3.1　事先应考虑的限制　484A.3.2　所需设备　484A.3.3　网络框图　484A.3.4　通用设置　485A.3.5　常见问题和解决技巧　490A.4　Cisco Secure IDS分层控制器体系　492A.4.1　报警延迟限制　493A.4.2　所需设备　493A.4.3　网络框图　493A.4.4　通用设置　493A.4.5　常见问题和解决技巧　496A.5　在同一底盘上建立多个IDSM　499A.5.1　每个IDSM的100-Mbit/s带宽限制　499A.5.2　所需设备　499A.5.3　网络框图　499A.5.4　VACL定义　500A.5.5　通用设置　500附录B  Cisco Secure IDS 体系结构　507B.1　Cisco Secure IDS  软件体系结构　507B.1.1　探测器体系结构　508B.1.2  CSPM控制器体系结构　509B.2  Cisco Secure IDS通信　512B.3  Cisco Secure IDS命令　512B.3.1  nrstart　512B.3.2  nrstop　513B.3.3  nrconns　513B.3.4  nrstatus　513B.3.5  nrvers　514B.4  Cisco Secure IDS目录结构　514B.4.1  Cisco Secure IDS安装目录　515B.4.2  bin 目录　515B.4.3  etc目录　515B.4.4  var目录　516B.5  Cisco Secure IDS配置文件　516B.5.1  什么是配置文件?　517B.5.2  入侵检测　517B.5.3  设备管理和拦阻令牌　523B.5.4  控制器和警报转发　524B.5.5  日志和日志设置　525B.5.6  FTP传送和FTP传送令牌　526B.6通信　526B.6.1  故障管理　526B.6.2  Cisco Secure IDS组织　528B.6.3  Cisco Secure IDS主机　528B.6.4  Cisco Secure IDS路由　528B.6.5  Cisco Secure IDS目的地　529B.6.6  Cisco Secure IDS授权主机　530B.6.7  Cisco Secure IDS 服务　530B.6.8  Cisco Secure IDS 应用　531附录C  Cisco Secure IDS Director基本故障排除　533C.1　控制器问题　533C.1.1　控制器不运行　533C.1.2　控制器运行　536C.2  探测器问题　537C.2.1　启动和停止Cisco安全守护进程的问题　537C.2.2　探测器连接问题　537C.3  Oracle数据库问题　538C.3.1　不能确定Oracle是否已安装　538C.3.2　不能确定Oracle是否在运行　538C.3.3　Oracle安装程序不安装Oracle　539C.3.4　找不到SQLPlus或SQLDR　539C.3.5　SQLPlus不运行　539C.3.6　Oracle不可用　539C.3.7　LD_LIBRARY_PATH环境变量没有正确设置　540C.3.8　Oracle认证连接失败　540C.3.9　Oracle返回用户/密码错误信息　541C.4  数据管理包问题　541C.4.1　 SQL查询语句不显示数据　541C.4.2　 SQL查询语句不正确显示数据　541C.4.3　未发送邮件通知　541C.4.4　数据库装载程序失败　542C.5  nrConfigure问题　542C.5.1　nrConfigure启动问题　542C.5.2　HP-UX性能问题　542C.6  在线帮助和NSDB　543附录D  Cisco Secure IDS 日志文件　545D.1　日志级别　545D.2  日志文件命名习惯　546D.2.1　IP日志文件　546D.2.2　Cisco Secure IDS日志文件　546D.2.3　服务错误日志文件　547D.3日志文件位置　547D.4关闭活动文件　547D.5  归档日志文件　548D.6  事件记录域　548D.6.1  警报事件记录　548D.6.2　命令日志记录域　550附录E  高级技巧　553E.1　改正不能嗅探的探测器　553E.1.1　检验攻击情形的紧急程度　554E.1.2　检查packetd进程　554E.1.3　验证监视接口是否真能观测到网络通信流　555E.1.4　检查日志文件以判断事件是否被探测到　556E.1.5　确认控制器和探测器能相互通信　556E.1.6　检查探测器的/usr/nr/etc/destinations文件以确认smid是一个定义了的目的地　557E.1.7　检查smid是否在控制器上运行着　558E.1.8　在控制器和探测器上检查错误日志　559E.1.9　呼叫Cisco技术帮助中心　560E.2使用探测器串口作为控制台访问端口　561E.2.1　 root登录限制　561E.2.2　电缆要求　561E.2.3　连接笔记本电脑至探测器　562E.2.4　配置超级终端（HyperTerminal）或其他通信软件包　562E.3  排除伪警报　562E.3.1  CSPM特征过滤　562E.3.2　 Cisco Secure ID控制器特征调整　563附录F  Cisco Secure IDS特征结构和实施　567附录G  Cisco Secure IDS特征和推荐的报警级别　577G.1  通用特征　578G.2  连接特征　585G.3  字符串特征　586G.4  ACL特征　587附录H  Cisco IOS防火墙IDS特征列表　589H.1 信息特征　590H.2  攻击特征　591附录I  Cisco安全通信部署工作表　593附录J  术语　597附录K  复习题答案　603K.1   第1章答案　603K.2   第2章答案　604K.3   第3章答案　604K.4   第4章答案　605K.5   第5章答案　606K.6   第6章答案　607K.7   第7章答案　608K.8   第8章答案　609K.9   第9章答案　610K.10  第10章答案　611K.11  第11章答案　612K.12  第12章答案　613K.13  第13章答案　614K.14  第14章答案　615K.15  第15章答案　616K.16  第16章答案　617K.17  第17章答案　617