候选人可能被要求在每个蓝图部分执行实施,优化和故障排除操作,并且还应该熟悉IPv4和IPv6概念和应用。
| CCIE安全LAB蓝图 | |
| 1.00 | 系统强化和可用性 |
| 1.1 | 路由平面安全功能(例如协议认证,路由过滤) |
| 1.2 | 控制平面管制 |
| 1.3 | 控制平面保护和管理平面保护 |
| 1.4 | 广播控制和交换端口安全 |
| 1.5 | 额外的CPU保护机制(例如选项丢弃,记录间隔) |
| 1.6 | 禁用不必要的服务 |
| 1.7 | 控制设备访问(例如Telnet,HTTP,SSH,特权级别) |
| 1.8 | 设备服务(例如SNMP,Syslog,NTP) |
| 1.9 | 过境交通管制和拥堵管理 |
| 2.00 | 威胁识别和缓解 |
| 2.1 | 识别并防止碎片攻击 |
| 2.2 | 识别并防止恶意IP选项的使用 |
| 2.3 | 识别和防范网络侦察攻击 |
| 2.4 | 识别和防范IP欺骗攻击 |
| 2.5 | 识别并防止MAC欺骗攻击 |
| 2.6 | 识别和防范ARP欺骗攻击 |
| 2.7 | 识别并防止拒绝服务(DoS)攻击 |
| 2.8 | 识别并防止分布式拒绝服务(DDoS)攻击 |
| 2.9 | 识别并防范中间人攻击(MiM) |
| 2.10 | 识别和防止端口重定向攻击 |
| 2.11 | 识别并防止DHCP攻击 |
| 2.12 | 识别并防范DNS攻击 |
| 2.13 | 识别并防止MAC泛滥攻击 |
| 2.14 | 识别并防止VLAN跳跃攻击 |
| 2.15 | 识别并防范各种第2层和第3层攻击 |
| 2.16 | NBAR |
| 2.17 | 的NetFlow |
| 2.18 | 捕获和利用数据包捕获 |
| 3.00 | 入侵防御和内容安全 |
| 3.1 | IPS 4200系列传感器设备 |
| (a)初始化传感器设备 | |
| (b)传感器设备管理 | |
| (c)传感器设备上的虚拟传感器 | |
| (d)实施安全政策 | |
| (e)传感器设备上的混杂和联机监视 | |
| (f)传感器设备上的调谐签名 | |
| (g)传感器设备上的自定义签名 | |
| (h)传感器设备上的操作 | |
| (i)传感器设备上的签名引擎 | |
| (j)将IDM / IME用于传感器设备 | |
| (k)传感器设备上的事件操作覆盖/筛选器 | |
| (l)传感器设备上的事件监视 | |
| 3.2 | Cisco交换机上的VACL / SPAN和RSPAN |
| 3.3 | WSA |
| (a)实施WCCP | |
| (b)有效的Dir集成 | |
| (c)自定义类别 | |
| (d)HTTPS配置 | |
| (e)服务配置(Web信誉) | |
| (f)配置代理绕行列表 | |
| (g)Web代理模式 | |
| (h)应用可视性和控制 | |
| 4.00 | 身份管理 |
| 4.1 | 基于身份的身份验证,授权和会计 |
| (a)Cisco路由器/设备AAA | |
| (b)RADIUS | |
| (c)TACACS + | |
| 4.2 | 设备管理员(Cisco IOS路由器,ASA,ACS5.x) |
| 4.3 | 网络访问(TrustSec模型) |
| (a)网络访问授权结果(ISE) | |
| (b)802.1X(ISE) | |
| (c)VSA(ASA / Cisco IOS / ISE) | |
| (d)代理认证(ISE / ASA / Cisco IOS) | |
| 4.4 | 思科身份服务引擎(ISE) |
| (a)分析配置(探针) | |
| (b)客户服务 | |
| (c)姿势评估 | |
| (d)客户配置(CPP) | |
| (e)配置AD集成/标识源 | |
| 5.00 | 周边安全和服务 |
| 5.1 | 思科ASA防火墙 |
| (a)基本的防火墙初始化 | |
| (b)设备管理 | |
| (c)地址转换(NAT,全局,静态) | |
| (d)访问控制列表 | |
| (e)IP路由/路由跟踪 | |
| (f)对象组 | |
| (g)VLAN | |
| (h)配置EtherChannel | |
| (i)高可用性和冗余性 | |
| (j)第2层透明防火墙 | |
| (k)安全上下文(虚拟防火墙) | |
| (l)模块化政策框架 | |
| (j)身份防火墙服务 | |
| (k)使用ASDM配置ASA | |
| (l)上下文感知服务 | |
| (m)IPS功能 | |
| (n)QoS能力 | |
| 5.2 | 基于Cisco IOS区域的防火墙 |
| (a)网络,安全组和基于用户的策略 | |
| (b)性能调整 | |
| (c)网络,协议和应用程序检查 | |
| 5.3 | 周边安全服务 |
| (a)Cisco IOS QoS和数据包标记技术 | |
| (b)使用访问列表进行流量过滤 | |
| (c)Cisco IOS NAT | |
| (d)uRPF | |
| (e)PAM?端口到应用程序映射 | |
| (f)策略路由和路由映射 | |
| 6.00 | 机密性和安全访问 |
| 6.1 | IKE(v1 / v2) |
| 6.2 | IPsec局域网到局域网(Cisco IOS / ASA) |
| 6.3 | 动态多点VPN(DMVPN) |
| 6.4 | FlexVPN |
| 6.5 | 组加密传输(GET)VPN |
| 6.6 | 远程访问VPN |
| (a)Easy VPN服务器(Cisco IOS / ASA) | |
| (b)VPN客户端5.X | |
| (c)无客户端WebVPN | |
| (d)AnyConnect VPN | |
| (e)EasyVPN远程 | |
| (f)SSL VPN网关 | |
| 6.7 | VPN高可用性 |
| 6.8 | VPN的QoS |
| 6.9 | VRF感知VPN |
| 6.10 | MACSec数据 |
| 6.11 | 数字证书(注册和政策匹配) |
| 6.12 | 无线接入 |
| (a)EAP方法 | |
| (b)WPA / WPA-2 | |
| (c)WIPS |
上一个教程:CCIE安全考试(400-251)考试大纲
下一个教程:返回列表
