预计阅读：15分钟

Security（20%）

配置和验证设备访问控制

Lines and local user authentication（线路和本地用户认证）

• 线路配置（Line Configuration）：
  Console端口：配置并验证Console端口的访问控制，如设置密码保护。
  VTY线路：配置VTY（虚拟终端）线路，用于远程访问（如SSH和Telnet），包括设置密码和访问控制列表（ACLs）。
  Auxiliary端口：配置并验证Auxiliary端口的访问控制，通常用于调制解调器拨入访问。

• 本地用户认证（Local User Authentication）：
  本地用户账号：创建和管理本地用户账号，包括用户名和密码的配置。
  特权级别：配置不同用户的特权级别，控制用户能够执行的命令集（如1-15级）。
  本地认证和授权：通过本地数据库进行用户认证和授权，设置本地用户名密码进行验证。

Authentication and authorization using AAA（使用AAA进行认证和授权）

• AAA 基本概念：
  AAA定义：理解AAA的三个组成部分：认证（Authentication）、授权（Authorization）和计费（Accounting）。
  AAA框架：了解AAA在网络安全中的角色及其工作流程。

• 配置AAA服务器：
  TACACS+和RADIUS：配置和比较TACACS+和RADIUS服务器的功能和用例，包括其在认证、授权和计费中的应用。
  AAA服务器配置：学习如何配置Cisco设备与AAA服务器的通信，设置TACACS+和RADIUS服务器地址及密钥。

• AAA认证配置：
  认证方法列表：创建并应用认证方法列表，通过TACACS+、RADIUS或本地数据库进行用户认证。
  登录认证：配置和验证登录时的AAA认证，如login authentication命令。

• AAA授权配置：
  授权方法列表：配置授权方法列表，控制用户可以访问的资源和执行的操作。
  命令授权：基于TACACS+服务器或本地数据库设置用户命令授权，确保用户只能执行被授权的命令。

• AAA计费配置：
  计费配置：设置AAA计费功能，记录用户的会话和命令执行情况，以便进行安全审计和分析。

配置和验证基础设施安全特性

ACLs（访问控制列表）

• 基本概念：
  ACL的作用：理解ACL用于控制进出网络流量、提高安全性和优化网络性能。
  标准ACL：了解标准ACL根据源IP地址进行过滤的原理。
  扩展ACL：了解扩展ACL根据源IP地址、目的IP地址、协议类型以及端口号等进行过滤的原理。

• 配置步骤：
  标准ACL：学习如何创建标准ACL并应用于接口。
  扩展ACL：学习如何创建扩展ACL并应用于接口。
  命名ACL：了解如何使用命名ACL提高可读性和管理便捷性。

• 应用场景：
  进站和出站ACL：配置进站和出站ACL，根据流量方向控制访问。
  VLAN ACL：配置VLAN访问控制列表（VLAN ACL），在交换机上的VLAN之间进行流量控制。

• 验证和故障排除：
  验证ACL：使用命令如show access-lists和show ip interface来验证ACL的应用和流量匹配情况。
  故障排除：使用debug命令和日志分析进行ACL配置问题的排查。

CoPP（控制平面保护）

• 基本概念：
  CoPP的作用：理解控制平面保护（Control Plane Policing，CoPP）的作用，用于保护路由器和交换机的控制平面免受DoS攻击和恶意流量影响。
  分类和分级：了解如何对不同类型的流量进行分类和分级，以应用不同的QoS策略。

• 配置步骤：
  定义Class-map：创建Class-map以匹配特定类型的流量。
  定义Policy-map：创建Policy-map以应用于匹配的流量，设置限制流量速率等策略。
  应用服务策略（Service Policy）：将服务策略应用于控制平面接口。

• 验证和故障排除：
  验证CoPP：使用命令如show policy-map control-plane和show policy-map interface control-plane来验证CoPP配置和流量匹配情况。
  故障排除：使用debug命令和日志分析进行CoPP配置问题的排查。

Describe REST API security

• 基本概念：
  REST API：理解REST（Representational State Transfer）API的基本原理和工作机制。
  安全性需求：理解在使用REST API时需要考虑的安全性需求，如认证、授权、数据加密和防止滥用等。

• 认证和授权：
  基本认证（Basic Authentication）：了解使用HTTP基本认证的方法及其安全隐患。
  OAuth：理解OAuth协议，用于授权第三方应用访问用户资源的机制。
  API Key：了解API密钥认证方法，通常用于简化对公共API的访问控制。

• 加密和数据保护：
  HTTPS：确保通过HTTPS加密传输REST API请求和响应，防止中间人攻击。
  Token加密：使用JWT（JSON Web Token）等令牌技术加密和保护敏感数据。

• 防止滥用和限制：
  速率限制（Rate Limiting）：通过限制API请求频率防止DDoS攻击和滥用。
  IP白名单：限制只能从特定IP地址访问API。

• 常见攻击防护：
  防止SQL注入：在处理API请求参数时，使用安全的数据库查询方法。
  防止跨站请求伪造（CSRF）：在API请求中使用CSRF令牌进行验证。
  防止跨站脚本攻击（XSS）：对API返回的内容进行适当的编码和过滤。

Configure and verify wireless security features

802.1X

• 基本概念：
  802.1X标准：理解IEEE 802.1X标准，它是网络访问控制的框架，通常用于有线和无线网络的认证。
  组件：了解802.1X的主要组件：请求者（Supplicant）、认证者（Authenticator）和认证服务器（Authentication Server）。

• 配置步骤：
  配置WLC（无线控制器）：设置无线控制器进行802.1X认证，包括配置SSID、选择认证方法等。
  配置RADIUS服务器：设置RADIUS服务器用于用户认证。

• 验证方法：
  验证连接：使用命令和工具验证无线客户端的802.1X认证状态。
  检查日志：分析无线控制器和RADIUS服务器的日志文件，确认认证过程的成功与否。

WebAuth（Web Authentication）

• 基本概念：
  WebAuth定义：理解WebAuth，它通过重定向用户到Web登录页面进行认证。
  使用场景：常用于访客网络（Guest Network）和简单的用户认证。

• 配置步骤：
  配置WLC：在无线控制器上设置WebAuth，包括创建WebAuth登录页面、配置SSID等。

• 验证方法：
  用户连接测试：通过Web浏览器连接无线网络，测试WebAuth认证流程。
  分析认证日志：检查无线控制器上的日志文件，确认WebAuth认证成功。

PSK（Pre-Shared Key）

• 基本概念：
  PSK定义：理解预共享密钥（PSK），它是一种简单的无线网络认证方法，通过共享密钥进行认证。
  使用场景：常用于小型网络或家庭网络。

• 配置步骤：
  配置WLC：在无线控制器上设置PSK认证，包括配置SSID和PSK。

• 验证方法：
  连接测试：使用无线客户端连接网络，输入PSK进行认证。
  检查连接状态：使用无线控制器或客户端工具检查连接状态和加密方式。

EAPOL（4-way handshake）

• 基本概念：
  EAPOL定义：理解扩展认证协议（EAP）和EAPOL（EAP over LAN）的工作机制，特别是4次握手过程。
  4-way handshake：理解4次握手的步骤，包括ANonce、SNonce、MIC和PTK的生成与交换。

• 安全性：
  保护机制：了解4次握手在WPA/WPA2中的作用，确保无线网络安全。
  潜在漏洞：了解KRACK（Key Reinstallation Attack）攻击及其对4次握手的影响。

• 配置和验证：
  WLC配置：确保无线控制器配置支持WPA/WPA2-Enterprise认证，使用RADIUS服务器进行EAP认证。
  验证握手过程：通过抓包工具（如Wireshark）分析4次握手过程，确保正确完成。

Describe the components of network security design

Threat Defense（威胁防御）

• 基本概念：
  威胁防御的定义：理解威胁防御涉及识别、预防、检测和响应网络安全威胁的一系列措施。
  常见威胁：了解常见的网络威胁类型，包括恶意软件、DDoS攻击、网络钓鱼、零日漏洞等。

• 防御技术：
  防火墙：配置和管理防火墙以控制进出网络的流量。
  入侵检测和防御系统（IDS/IPS）：使用IDS/IPS检测并响应网络攻击。
  反恶意软件：部署反恶意软件解决方案以检测和移除恶意软件。
  行为分析：使用行为分析工具检测异常活动和潜在威胁。

Endpoint Security（端点安全）

• 基本概念：
  端点安全的定义：理解端点安全涉及保护网络中的终端设备（如计算机、手机、服务器等）免受威胁。
  端点安全组件：了解端点安全的关键组件，包括防病毒软件、端点检测与响应（EDR）、设备控制等。

• 端点安全策略：
  设备合规性检查：确保终端设备符合安全策略和合规性要求。
  补丁管理：定期更新和修补终端设备上的操作系统和应用程序漏洞。
  数据加密：使用数据加密技术保护端点设备上的敏感信息。

Next-Generation Firewall（下一代防火墙）

• 基本概念：
  传统防火墙 vs. 下一代防火墙（NGFW）：理解传统防火墙和NGFW的区别，NGFW提供更深层次的流量分析和安全功能。
  NGFW功能：了解NGFW的主要功能，如应用识别与控制、入侵防御系统（IPS）、高级恶意软件防护（AMP）、内容过滤等。

• 配置与管理：
  策略配置：配置安全策略以控制和监控网络流量。
  日志与报告：使用NGFW的日志和报告功能监控网络活动和安全事件。

TrustSec and MACsec

• TrustSec：
  基本概念：理解Cisco TrustSec是通过使用身份和角色进行网络访问控制和策略实施的解决方案。
  主要组件：了解TrustSec的主要组件，包括身份服务引擎（ISE）、安全组标记（SGT）、安全组访问控制列表（SGACL）等。

• MACsec：
  基本概念：理解MACsec（Media Access Control Security）是一种在数据链路层（第2层）提供安全通信的协议。
  功能：了解MACsec的功能，包括帧加密、完整性检查和防重放攻击。
  配置与管理：学习如何在交换机和其他设备上配置和管理MACsec。

Network Access Control with 802.1X, MAB, and WebAuth

• 802.1X：
  基本概念：理解IEEE 802.1X标准用于有线和无线网络访问控制。
  组件：了解802.1X的主要组件：请求者（Supplicant）、认证者（Authenticator）和认证服务器（Authentication Server）。
  认证过程：熟悉802.1X认证过程，包括EAP（扩展认证协议）和RADIUS协议的使用。

• MAB（MAC Authentication Bypass）：
  基本概念：理解MAB是一种基于MAC地址的网络访问控制方法，当设备不支持802.1X时使用。
  配置与管理：学习如何在交换机上配置MAB，并与RADIUS服务器进行集成。

• WebAuth（Web Authentication）：
  基本概念：理解WebAuth通过重定向用户到Web登录页面进行认证，常用于访客网络。
  配置与管理：学习如何在无线控制器上配置WebAuth，包括创建WebAuth登录页面和配置SSID。

  参考资料
  https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13838-10.html
  https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/xe-3se/3850/sec-user-8021x-xe-3se-3850-book/config-ieee-802x-pba.html