一、课程目标●如何将安全技术融入到企业已有的系统,为企业安全保驾护航。●如何通过CiscoFirepower应对整个攻击过程,并在攻击前,攻击中,攻击后提供一系列的安全服务,做到及时发现威胁,并解决威胁,●企业环境中安全设备的运维实践。●通过思科网络安全解决方案,应对企业日渐复杂的网络环境。二、课程大纲一、CiscoAAA服务器(ACS5.X)1.EVE-NG模拟器使用2.AAA基本架构●AAA基本理论●ACS5.x特点介绍3.ACS5.x策略架构●ACS5.x特点介绍●ACS5.3基本的认证●ACS5.x策略架构概述4.ACS5.x特性●网络设备组介绍●设备过滤器5.ACS5.x对AAA认证的运用●设备登录管理(ACS本地数据库)●集成外部数据库(MS活动目录)●设备登录管理(外部数据库)二、Firewall(思科ASA防火墙技术)1.防火墙概述与初始化●防火墙技术介绍;CiscoASA特性介绍;●ASA初始化;监控ASA;●DMZ区以及防火墙四种类型介绍分析;●企业级内外网交互平台运用概述。●UTM及NGFW区别及分析2.系统管理与日志●基础管理配置;管理事件和会话日志;●基本排错工具介绍;配置管理访问3.访问控制列表与穿越用户认证●UTM及NGFW区别及分析;●CutThrough穿越用户认证;●DownloadACL实验学习和分析。4.MPF●基本MPF架构介绍及MPF对网管流量的控制;●ASA对流量的监控及MPFTCP规范化技术;●MPF支持动态运用协议;●MPF运用层策略●MPF连接控制与TCPIntercept●MPF实现QoS5.基于用户的MPF●BotnetTrafficFilter●ThreatDetection●KaliLinux基本攻击与抵御的基本实验演示●僵尸网络过滤的实验演示●Yersinia基本攻击演示6.高级访问控制及NAT●思科NAT技术基本介绍●源NAT、目的NAT●防火墙数据包处理流程●企业环境下启明星辰&飞塔防火墙NAT配置演示7.透明墙与多模式防火墙●透明防火墙简介●透明防火墙3-7层访问控制●透明防火墙2层访问控制●交换机的防火墙板卡基本概述与运用●多模式防火墙8.接口和网络冗余技术FO●Redundant接口及Failover基本介绍分析●无状态化和状态化A/S的FO●状态化A/A的FO●零停机时间FO对升级三、VPN技术1.VPN相关理论●加密学原理●散列函数●(私钥加密)数字签名和数字证书●IPSec2.IKEV1基本理论与实践●IKE三个模式IPSecVPN●GREoverIPsec●IKEV1配置实例(站点到站点VPN)3.IKEV2理论以及配置实例●FLEXVPN●IKEv2的基本理论与概述●IKEV2配置实例4.IPSecVPN网络穿越和高可用性●IPSecVPN网络穿越问题●NAT-T技术介绍●IPSecVPN高可用技术(DPD、RRI)5.动态地址,NAT,SVTI,VPDN●动态地址●NAT对VPN的影响●SVTI●VPDN6.DMVPN●DMVPN理论(组成协议、发展阶段)●DMVPN配置实例7.GETVPN●GETVPN理论介绍●GETVPN配置实例●DMVPN+GETVPN实验8.EzVPN●EzVPN理论●EzVPN配置实例●三大VPN技术的区别9.ASA策略拓扑●ASA策略拓扑分析●ASAL2TPOverIPSec实验演示10.SSLVPN●SSLVPN理论●ASASSLVPN实验演示●IKEv2的Anyconnect3.0<●企业环境下深信服SSLVPN的运用与演示(面授)四、Cisco Firepower1.思科安全解决方案与产品介绍●License与功能模块●NG-FW:下一代防火墙●Web应用协议2.ASA●ASA-Firepower结合●Firepower+FMC安装及初始化●AccessControlPolicy配置实例3.IPS●安全基本理论●传统IPS与NGIPS●Intrusion Policy配置实例●NGIPS对攻击的抵御●配置Signatures●调整IPS参数,全球关联与声誉过滤●Snort概述与运用●企业级蓝盾IPS真机演示(面授)●WAF与IPS区别●企业环境下WAF的运用与实践(面授)4.AMP For Firepower●AMP体系架构●AMP for Networks●AMP For Endpoint●CiscoAMPThreatGrid●CiscoAMP配置实例●NetworkDiscovery●CorrelationandCompliance五、CiscoWSA(思科上网行为管理)1.产品介绍与WSA初始化● </span>WSA基本理论介绍●WSA初始化2.WSA基本配置●配置WCCP●配置Proxy●配置认证●配置AccessPolicies3.WSA高级Feature●防病毒与恶意软件●数据安全● Anyconnect与WSA4.深信服上网行为管理(面授)●部署模式●基本功能●企业级深信服上网行为管理与AD联动●策略管理、流量管理●基本排障流程六、CiscoESA(邮件网关)1.产品介绍●ESA邮件网关基本概述●ESA基本特性●DNS基础知识介绍2.ESA配置实例●ESA部署方式●ESA初始化●ESA流量处理过程●ESA的Feature配置(关键字过滤、防病毒、ClientSMTP)3.企业级:梭子鱼垃圾邮件网关(面授)●梭子鱼垃圾邮件网关基本概述●ESA与梭子鱼垃圾邮件网关●垃圾邮件网关十二个防护层●信誉过滤、邮件评分●分用户隔离、全局隔离六、ISE(身份认证服务引擎)1.可信网络TrustSec●思科可信网络技术概述●实验环境介绍2.实验环境搭建●安装ISE●AD域安装●证书管理3.ISE策略架构与配置实例●配置NetworkAccessDevice(NAD)●ISE策略架构●MAB(MacAuthenticationBypass)4.有线802.1X(AD)●802.1X认证过程●配置PEAPDot1X●配置EAP-TLSDot1X●配置EAP-FASTDot1X5.无线802.1X(AD)●无线基本知识●WLC初始化●基本的无线认证6.ISE高级Feature●GuestService●ProfilerService介绍(设备识别)●BYOD设备自注册与证书推送●PostureService(准入服务)●ISE分布式部署与高可用性