思科安全入门课程

一、课程内容安排
1.第一章为纯理论课程，剩余的第二章到第六章全部为实验课程。

2.上课时间：

1）周二、周四晚上七点半到九点半。

2）周六上午十点到十二点、下午两点到四点。

二、网络安全导论

1.下一代防火墙
1）Cisco Firepower 思科火力服务，对标华为下一代防火墙USG6000E系列

难点分析：如何理解下一代的概念？

1）传统防火墙主要是基于五元组来实现流量的控制，源目IP地址、源目端口号、协议类型

2）下一代防火墙能够基于应用来实现更加精细化的安全控制，同时还能与其它安全产品实
现联动

2.下一代入侵威胁检测
1）常见的面试题：什么是IDS、什么是IPS？什么是UTM？

（1）IDS：入侵检测，功能是能够对数据流量进行安全检测

（2）IPS：入侵防御，功能是对数据流量进行安全检测的同时，还能对被发现的风险流量进行
拦截

难点分析：如果流量被加密了，还能进行分析吗？

1）方案一：不解密，进行分析

（1）需要部署有大数据分析产品，对全网流量进行收集，然后基于大数据生成安全基线

（2）一旦出现与安全基线不符合的流量或者行为，就会触发对应的监控机制，对该用户后
续操作执行监控和分析

2）方案二：解密然后分析

（1）需要安全产品支持SSL解密功能

（2）将解密所需要的关键元素，证书与KEY，导入到安全产品中，即可实现对流量的解密

（3）解密完成，执行检测，然后再加密发送
（3）UTM：统一威胁管理，一般做为附加功能出现在防火墙上，入侵防御就是UTM的功能之一

难点分析：有单独的IPS产品，为何还需要在防火墙上添加IPS的功能？

1）招投标，技术分加分

2）额外安全功能的激活，需要考虑到设备的性能问题

2）思科的NGIPS对标华为的NIP。

3.火力服务管理中心
1）Firepower Management Center ，简称“FMC”，对标华为的SecoManger。

2）作用：能够对思科的Firepower、NGIPS来进行统一的管理。

4.高级恶意软件防护
1）Advanced Malware Protection ，简称“AMP”，对标华为的FireHunter

2）作用：用于检测未知的威胁，例如恶意软件

3）AMP部署方式主要分为两种：私有云部署、公有云部署

5.邮件安全产品
1）ESA，能够对公司入方向、出方向，两个方向的邮件传输进行安全控制。

2）可以理解为专门为邮件流量开发的邮件防火墙。

3）华为针对邮件安全的功能是通过UTM来实现。

6.网页安全产品
1）关于网页安全技术衍生出两个主要的发展方向：

（1）安全产品设计、部署、维护

（2）网页安全渗透测试

2）关于网页安全的两种主要的产品：

（1）WSA：思科的WSA主要面向客户端，用于检测和控制客户端访问互联网网页流量的合法性。

（2）WAF：业界的WAF主要面向服务器，用于检测和控制去往服务器的网页流量是否合法。
7.网络准入产品
1）身份服务引擎，简称“ISE”，目前考试2.4版本，上课讲的2.7版本，目前最新版本是3.0。

2）对标的华为的Agile Controller，对标锐捷的SMP。

3）主要的功能是用于实现认证、授权、审计。

4）思科安全解决方案的核心，就是ISE。

扩展知识点：堡垒机

1）部署堡垒机，运维管理人员需要先统一连接到堡垒机设备，然后再通过堡垒机来登陆被
管理设备。

2）对于安全审计人员而言，只需要对堡垒机的流量执行统一审计即可。

8.Anyconnect客户端
1）软件产品，安装在客户的终端，对标华为的Anyoffice。

2）主要作用如下：

（1）做为SSL/TLSVPN的拨号软件。

（2）诸多额外的功能插件，例如合规插件，检测接入用户的电脑是否已经满足企业合规基线。

9.日志收集与分析产品
1）Stealthwatch，用于实现生产网络的流量收集和日志分析。

2）当Stealthwatch分析发现某目标存在安全隐患时，可联动其它安全产品对可疑对象的流量
进行处理。

三、防火墙工作原理
1.定义：连接多个 区域 ，基于 策略 限制区域间流量的安全设备。

关键知识点一：初始化流量

1）一个连接的第一个包所产生的流量，称之为“初始化流量”。

2）TCP有首包概念，UDP无首包概念。

关键知识点二：TCP与UDP主要区别是什么？分别应用于什么场景？

1）TCP协议，面向连接、可靠的、有序的传输。

2）UDP协议，面向无连接，不可靠的、无序的传输，一般应用于对网络实时性要求极高的场
景，例如语音和视频流的传输。
 关键知识点三：什么是状态化表项/会话表项？

1）当初始化流量穿越防火墙，且匹配了Permit的安全策略时，流量会被放行。

2）同时，为了确保返回流量的正常，防火墙会对该连接的初始化流量生成状态化表项，返回的
流量只需要匹配状态化表项即可放行。

3）状态化表项也有老化时间。

4）表项中主要包含的元素有：

（1）协议类型：TCP/UDP/ICMP

（2）安全区域

（3）源目IP

（4）源目端口

（5）老化时间

关键知识点四：什么是防火墙的安全区域？

1）安全工程师基于不同的区域，可以通过防火墙部署不同的访问控制策略。

2）常见区域命名

（1）内部网络-Inside

（2）外部网络-Outside

（3）对外提供服务的服务器区-DMZ

扩展知识点：思科ASA防火墙的接口命名

1）内网接口

ciscoasa(config)# interface g0/5

ciscoasa(config-if)# nameif Inside
INFO: Security level for "Inside" set to 100 by default.

2）外网接口

ciscoasa(config)# interface g0/6

ciscoasa(config-if)# nameif Outside
INFO: Security level for "Outside" set to 0 by default.

3）DMZ接口
 ciscoasa(config)# interface g0/4
ciscoasa(config-if)# nameif DMZ
INFO: Security level for "DMZ" set to 0 by default.
ciscoasa(config-if)# security-level 50

关键知识点五：什么是DMZ区域？

1）企业可能会部署用于提供外网服务的设备，这些设备如果直接部署在内网，会带来风险（外
来用户可以直接访问到公司内网）

2）解决方案是通过设计一个独立于内网区域的新区域，来实现区域间的隔离（这个新区域就是
DMZ）

3）防火墙也可以针对DMZ区域来设计一套安全策略

关键知识点六：不同的安全区域之间需要通过安全策略来进行控制，那相同的安全区域之间
呢？

1）对于思科的防火墙，相同安全区域之间的流量默认是不允许访问的，如果要实现互联互通，
则需要额外的配置。

2）对于华为的防火墙，相同安全区域之间的流量默认是允许访问的。

四、准入控制基础原理
1）什么是认证、授权、审计？

（1）认证 authentication

（2）授权 authorization

（3）审计 accounting

2）主要的应用场景：

（1）设备管理

（2）网络准入

3）Radius协议

（1）用于实现AAA功能

（2）基于UDP，认证/授权端口号1645/1812，审计端口号1646/1813

五、网页安全基础原理
1）思科的WSA类似于一台代理服务器：

（1）客户端访问服务器的流量需要发给WSA，由WSA检测处理合规后，再进一步转发。

（2）服务器返回的数据包也需要发给WSA，由WSA检测处理合规后，再回复给客户端。
2）什么是透明代理？（主流）

（1）指通信源目双方无需任何额外配置，也无法感知WSA的存在。

（2）WSA透明处理数据包即可。

3）什么是明确代理？

（1）指通信源目双方需要额外配置，能够感知WSA的存在。

六、虚拟专用网络
1）工作模式

（1）传输模式，在特定场景使用，例如配合GRE、L2TP、DMVPN

（2）隧道模式，VPN隧道需要穿越互联网，使用该模式

2）封装协议

（1）AH，由于不支持加密和无法穿越NAT，很少使用

（2）主要ESP协议来对需要被保护的数据报执行封装

3）因特网密钥交换协议

（1）两个版本：IKEv1和IKEv2

（2）用于定义IPSecVPN的具体协商过程

4）安全关联

（1）IKESA：用于保护协商流量

（2）IPSecSA：用于保护数据流量

七、