一、课程目标
● 如何将安全技术融入到企业已有的系统,为企业安全保驾护航。
● 如何通过CiscoFirepower应对整个攻击过程,并在攻击前,攻击中,攻击后提供一系列的安全服务,做到及时发现威胁,并解决威胁,
● 企业环境中安全设备的运维实践。
● 通过思科网络安全解决方案,应对企业日渐复杂的网络环境。
二、课程大纲
一、CiscoAAA服务器(ACS5.X)
1.EVE-NG模拟器使用
2.AAA基本架构
● AAA基本理论
● ACS5.x特点介绍
3.ACS5.x策略架构
● ACS5.x特点介绍
● ACS5.3基本的认证
● ACS5.x策略架构概述
4.ACS5.x特性
● 网络设备组介绍
● 设备过滤器
5.ACS5.x对AAA认证的运用
● 设备登录管理(ACS本地数据库)
● 集成外部数据库(MS活动目录)
● 设备登录管理(外部数据库)
二、Firewall(思科ASA防火墙技术)
1.防火墙概述与初始化
● 防火墙技术介绍;CiscoASA特性介绍;
● ASA初始化;监控ASA;
● DMZ区以及防火墙四种类型介绍分析;
● 企业级内外网交互平台运用概述。
● UTM及NGFW区别及分析
2.系统管理与日志
● 基础管理配置;管理事件和会话日志;
● 基本排错工具介绍;配置管理访问
3.访问控制列表与穿越用户认证
● UTM及NGFW区别及分析;
● CutThrough穿越用户认证;
● DownloadACL实验学习和分析。
4.MPF
● 基本MPF架构介绍及MPF对网管流量的控制;
● ASA对流量的监控及MPFTCP规范化技术;
● MPF支持动态运用协议;
● MPF运用层策略
● MPF连接控制与TCPIntercept
● MPF实现QoS
5.基于用户的MPF
● BotnetTrafficFilter
● ThreatDetection
● KaliLinux基本攻击与抵御的基本实验演示
● 僵尸网络过滤的实验演示
● Yersinia基本攻击演示
6.高级访问控制及NAT
● 思科NAT技术基本介绍
● 源NAT、目的NAT
● 防火墙数据包处理流程
● 企业环境下启明星辰&飞塔防火墙NAT配置演示
7.透明墙与多模式防火墙
● 透明防火墙简介
● 透明防火墙3-7层访问控制
● 透明防火墙2层访问控制
● 交换机的防火墙板卡基本概述与运用
● 多模式防火墙
8.接口和网络冗余技术FO
● Redundant接口及Failover基本介绍分析
● 无状态化和状态化A/S的FO
● 状态化A/A的FO
● 零停机时间FO对升级
三、VPN技术
1.VPN相关理论
● 加密学原理
● 散列函数
● (私钥加密)数字签名和数字证书
● IPSec
2.IKEV1基本理论与实践
● IKE三个模式
● IPSecVPN
● GREoverIPsec
● IKEV1配置实例(站点到站点VPN)
3.IKEV2理论以及配置实例
● FLEXVPN
● IKEv2的基本理论与概述
● IKEV2配置实例
4.IPSecVPN网络穿越和高可用性
● IPSecVPN网络穿越问题
● NAT-T技术介绍
● IPSecVPN高可用技术(DPD、RRI)
5.动态地址,NAT,SVTI,VPDN
● 动态地址
● NAT对VPN的影响
● SVTI
● VPDN
6.DMVPN
● DMVPN理论(组成协议、发展阶段)
● DMVPN配置实例
7.GETVPN
● GETVPN理论介绍
● GETVPN配置实例
● DMVPN+GETVPN实验
8.EzVPN
● EzVPN理论
● EzVPN配置实例
● 三大VPN技术的区别
9.ASA策略拓扑
● ASA策略拓扑分析
● ASAL2TPOverIPSec实验演示
10.SSLVPN
● SSLVPN理论
● ASASSLVPN实验演示
● IKEv2的Anyconnect3.0
● 企业环境下深信服SSLVPN的运用与演示(面授)
四、Cisco Firepower
1.思科安全解决方案与产品介绍
● License与功能模块
● NG-FW:下一代防火墙
● Web应用协议
2.ASA Firepower
● ASA-Firepower结合
● Firepower+FMC安装及初始化
● AccessControlPolicy配置实例
3.IPS Firepower
● 安全基本理论
● 传统IPS与NGIPS
● Intrusion Policy配置实例
● NGIPS对攻击的抵御
● 配置Signatures
● 调整IPS参数,全球关联与声誉过滤
● Snort概述与运用
● 企业级蓝盾IPS真机演示(面授)
● WAF与IPS区别
● 企业环境下WAF的运用与实践(面授)
4.AMP For Firepower
● AMP体系架构
● AMP for Networks
● AMP For Endpoint
● CiscoAMPThreatGrid
● CiscoAMP配置实例
● NetworkDiscovery
● CorrelationandCompliance
五、CiscoWSA(思科上网行为管理)
1.产品介绍与WSA初始化
● WSA基本理论介绍
● WSA初始化
2.WSA基本配置
● 配置WCCP
● 配置Proxy
● 配置认证
● 配置AccessPolicies
3.WSA高级Feature
● 防病毒与恶意软件
● 数据安全
● Anyconnect与WSA
4.深信服上网行为管理(面授)
● 部署模式
● 基本功能
● 企业级深信服上网行为管理与AD联动
● 策略管理、流量管理
● 基本排障流程
六、CiscoESA(邮件网关)
1.产品介绍
● ESA邮件网关基本概述
● ESA基本特性
● DNS基础知识介绍
2.ESA配置实例
● ESA部署方式
● ESA初始化
● ESA流量处理过程
● ESA的Feature配置(关键字过滤、防病毒、ClientSMTP)
3.企业级:梭子鱼垃圾邮件网关(面授)
● 梭子鱼垃圾邮件网关基本概述
● ESA与梭子鱼垃圾邮件网关
● 垃圾邮件网关十二个防护层
● 信誉过滤、邮件评分
● 分用户隔离、全局隔离
六、ISE(身份认证服务引擎)
1.可信网络TrustSec
● 思科可信网络技术概述
● 实验环境介绍
2.实验环境搭建
● 安装ISE
● AD域安装
● 证书管理
3.ISE策略架构与配置实例
● 配置NetworkAccessDevice(NAD)
● ISE策略架构
● MAB(MacAuthenticationBypass)
4.有线802.1X(AD)
● 802.1X认证过程
● 配置PEAPDot1X
● 配置EAP-TLSDot1X
● 配置EAP-FASTDot1X
5.无线802.1X(AD)
● 无线基本知识
● WLC初始化
● 基本的无线认证
6.ISE高级Feature
● GuestService
● ProfilerService介绍(设备识别)
● BYOD设备自注册与证书推送
● PostureService(准入服务)
● ISE分布式部署与高可用性