CCIE-Security 安全认证

一、课程目标

●如何将安全技术融入到企业已有的系统，为企业安全保驾护航。

●如何通过CiscoFirepower应对整个攻击过程，并在攻击前，攻击中，攻击后提供一系列的安全服务，做到及时发现威胁，并解决威胁，

●企业环境中安全设备的运维实践。

●通过思科网络安全解决方案，应对企业日渐复杂的网络环境。

二、课程大纲

一、CiscoAAA服务器（AC**.X）

1.****NG模拟器使用

2.*AA基本架构

●AAA基本理论

●AC**.x特点介绍

3.****.x策略架构

●AC**.x特点介绍

●AC**.3基本的认证

●AC**.x策略架构概述

4.****.x特性

●网络设备组介绍

●设备过滤器

5.****.x对AAA认证的运用

●设备登录管理（ACS本地数据库）

●集成外部数据库（MS活动目录）

●设备登录管理（外部数据库）

二、Firewall（思科ASA防火墙技术）

1.防火墙概述与初始化

●防火墙技术介绍；CiscoASA特性介绍；

●ASA初始化；监控ASA；

●DMZ区以及防火墙四种类型介绍分析；

●企业级内外网交互平台运用概述。

●UTM及NGFW区别及分析

2.系统管理与日志

●基础管理配置；管理事件和会话日志；

●基本排错工具介绍；配置管理访问

3.访问控制列表与穿越用户认证

●UTM及NGFW区别及分析；

●CutThrough穿越用户认证；

●DownloadACL实验学习和分析。

4.*PF

●基本MPF架构介绍及MPF对网管流量的控制；

●ASA对流量的监控及MPFTCP规范化技术；

●MPF支持动态运用协议；

●MPF运用层策略

●MPF连接控制与TCPIntercept

●MPF实现QoS

5.基于用户的MPF

●BotnetTrafficFilter

●ThreatDetection

●KaliLinux基本攻击与抵御的基本实验演示

●僵尸网络过滤的实验演示

●Yersinia基本攻击演示

6.高级访问控制及NAT

●思科NAT技术基本介绍

●源NAT、目的NAT

●防火墙数据包处理流程

●企业环境下启明星辰&飞塔防火墙NAT配置演示

7.透明墙与多模式防火墙

●透明防火墙简介

●透明防火墙3-7层访问控制

●透明防火墙2层访问控制

●交换机的防火墙板卡基本概述与运用

●多模式防火墙

8.接口和网络冗余技术FO

●Redundant接口及Failover基本介绍分析

●无状态化和状态化A/S的FO

●状态化A/A的FO

●零停机时间FO对升级

三、VPN技术

1.*PN相关理论

●加密学原理

●散列函数

●（私钥加密）数字签名和数字证书

●IPSec

2.***V1基本理论与实践

●IKE三个模式

IPSecVPN

●GREoverIPsec

●IKEV1配置实例（站点到站点VPN）

3.***V2理论以及配置实例

●FLEXVPN

●IKEv2的基本理论与概述

●IKEV2配置实例

4.******PN网络穿越和高可用性

●IPSecVPN网络穿越问题

●NAT-T技术介绍

●IPSecVPN高可用技术（DPD、RRI）

5.动态地址，NAT，SVTI，VPDN

●动态地址

●NAT对VPN的影响

●SVTI

●VPDN

6.***PN

●DMVPN理论（组成协议、发展阶段）

●DMVPN配置实例

7.****PN

●GETVPN理论介绍

●GETVPN配置实例

●DMVPN+GETVPN实验

8.***PN

●EzVPN理论

●EzVPN配置实例

●三大VPN技术的区别

9.*SA策略拓扑

●ASA策略拓扑分析

●ASAL2TPOverIPSec实验演示

10*****PN

●SSLVPN理论

●ASASSLVPN实验演示

●IKEv2的Any******t3.0<

●企业环境下深信服SSLVPN的运用与演示（面授）

四、Cisco Firepower

1.思科安全解决方案与产品介绍

●License与功能模块

●NG-FW：下一代防火墙

●Web应用协议

2.*SA

●ASA-Firepower结合

●Firepower+FMC安装及初始化

●AccessControlPolicy配置实例

3.*PS

●安全基本理论

●传统IPS与NGIPS

●Intrusion Policy配置实例

●NGIPS对攻击的抵御

●配置Signatures

●调整IPS参数，全球关联与声誉过滤

●Snort概述与运用

●企业级蓝盾IPS真机演示（面授）

●WAF与IPS区别

●企业环境下WAF的运用与实践（面授）

4.*MP For Firepower

●AMP体系架构

●AMP for Networks

●AMP For Endpoint

●CiscoAMPThreatGrid

●CiscoAMP配置实例

●NetworkDiscovery

●CorrelationandCompliance

五、CiscoWSA（思科上网行为管理）

1.产品介绍与WSA初始化

● &nbsp;</span>WSA基本理论介绍

●WSA初始化

2.*SA基本配置

●配置WCCP

●配置Proxy

●配置认证

●配置AccessPolicies

3.*SA高级Feature

●防病毒与恶意软件

●数据安全

● Anyconnect与WSA

4.深信服上网行为管理（面授）

●部署模式

●基本功能

●企业级深信服上网行为管理与AD联动

●策略管理、流量管理

●基本排障流程

六、CiscoESA（邮件网关）

1.产品介绍

●ESA邮件网关基本概述

●ESA基本特性

●DNS基础知识介绍

2.*SA配置实例

●ESA部署方式

●ESA初始化

●ESA流量处理过程

●ESA的Feature配置（关键字过滤、防病毒、ClientSMTP）

3.企业级：梭子鱼垃圾邮件网关（面授）

●梭子鱼垃圾邮件网关基本概述

●ESA与梭子鱼垃圾邮件网关

●垃圾邮件网关十二个防护层

●信誉过滤、邮件评分

●分用户隔离、全局隔离

六、ISE（身份认证服务引擎）

1.可信网络TrustSec

●思科可信网络技术概述

●实验环境介绍

2.实验环境搭建

●安装ISE

●AD域安装

●证书管理

3.*SE策略架构与配置实例

●配置NetworkAccessDevice（NAD）

●ISE策略架构

●MAB(MacAuthenticationBypass)

4.有线80**1X（AD）

●80**1X认证过程

●配置PEAPDot1X

●配置EAP-TLSDot1X

●配置EAP-FASTDot1X

5.无线80**1X(AD)

●无线基本知识

●WLC初始化

●基本的无线认证

6.*SE高级Feature

●GuestService

●ProfilerService介绍(设备识别)

●BYOD设备自注册与证书推送

●PostureService(准入服务)

●ISE分布式部署与高可用性