CCIE全称Cisco Certified Internetwork Expert - Cisco认证互联网络专家。CCIE(Cisco Certified Internetwork Expert )是Cisco认证体系中的最高水平认证。在IT界，CCIE被普遍认可为网络技术领域内的尖端人才。CCIE考试参加CCIE考试前并不需要获得Cisco的其他证书，但必须通过笔试后才能参加Cisco试验室操作考试（CCIE lab）。CCIE的考试分笔试和实验两部分，笔试称为Qualification exam,即资格考试，顾名思义，必须通过了笔试部分的考试，才能参加实验部分的考试。

思科认证安全(Security) 课程描述

本课程紧贴目前的CCIE SECRITY 3.0 LAB考试大纲，参考CCIE Security Lab Exam v3.0 Checklist中的内容进行的定制开发，涵盖目前CCIE SECRITY 3.0 LAB中的重点和难点，适合已 经备战CCIE SECRITY的考生，以及学过CCSP课程的网络工程从业人员。本课程以CCSP课程中 未涉及到的而在CCIE SECRITY LAB考试中出现的内容为主，对于曾经在CCSP课程中出现过的并 且是目前CCIE SECRITY LAB考试中的重要知识点也编入到了对应的课程章节中，并根据CCIE考 试的要求对相关知识点进行了拔高。全面和深入对课程中的知识点进行讲解，并配有对应的实验 演示，尽可能的在有限的时间里，授予学员最有价值的知识，保证学员来有所得，学必有所获。 本课程由高级安全与网络攻击(含IP网络流量平面、身份管理)，防火墙、VPN、IPS等内容。

 

课程内容
 

·讲解CCIE笔试和实验LAB相关的考试知识与注意事项

·深入分析多层交换机和路由器在大型网络环境中安全实现和疑难解析

·深入分析ASA在大型网络环境中部署和案例分析

·深入分析IPS在大型网络环境中的部署和疑难问题解析

·深入分析各种VPN技术在大型网络中的实现案例

·深入分析大型网络中的攻击与防护技术

课程安排
 

·针对CCIE Lab考试注意事项及备考方案，IOS防火墙RPF，CBAC， AUTH-PROXY，IOS IPS、Zone-Based Policy Firewall等；

·交换机STP security，port-security，DHCP snooping，ARP inspect， NAC(802.1x)，IP Network Traffic Planes，配置和应用Control Plane、 Management Plane等；

·ASA流量策略，NAT执行过程，TCP Intercept，虚拟防火墙Context，端 口冗余技术，CUT Through等；

· ASA的Transparent模式，Modular Policy Framework， 高级审查， Failover and ASR-Group，Logging and Troubleshooting等；

·实现高可用IPSEC site-to-site，GRE over IPSEC，应用VTI接口的VPN配 置等；

·EZVPN，应用IOS CA的VPN，NAT and IPSEC VPN，DMVPN等；

·GETVPN，SSL VPN，VRF Aware IPSec等；

·IPS的攻击检天，抓包，报警，by pass模式下的联动技术，inline模式， 内嵌七层检测等，综合分析各种攻击和解决方案。
 

高级安全与网络攻击内容涵盖AAA服务器的应用，使用AAA实现用户身份的 识别，IOS Firewall，Zone-Based Policy Firewall，IOS IPS的配置和应 用,基于角色的控制Role-Based CLI Views，LDAP，配置和应用Control Plane维护设备安全，基于Control Plane的流量审查、速率限制，配置和应 用Management Plane，使用Flexible Packet Matching识别和拒绝网络攻 击，二层网络攻击和防护方法，其他常见的网络攻击和对应的缓解技术。 VPN部分内容涵盖IPSEC VPN原理，LAN-TO-LAN VPN和Remote access VPN的必备知识，使用IOS CA SERVER的VPN配置，NAT with IPSec， Advanced IPSec with Group Encrypted Transport VPN，VRF Aware IPSec ,DMVPN的应用和配置特点，GRE over IPSEC，使用Virtual Tunnel Interface完成VPN配置，High Availability VPN，以及基于路由器或防火墙 的SSLVPN。

防火墙部分内容涵盖防火墙流量转发原理，NAT在防火墙中的应用与执行规 则， Interface Redundancy应用、Static route tracking with SLA、 Failover高级配置(如ASR-Group Feature)多虚拟防火墙的应用与应用中出 现问题的解决方案，应用CUT Through实现安全的可控的远程访问，使用 Modular Policy Framework实现流量审查，高级应用程序审查，Transparent Firewall应用，Firewall Logging，Firewall Troubleshooting。

IPS部分内容涵盖IPS和IDS的介绍与如何在网络中进行部署，IPS初始化配置 与使用图形界面进行高级管理，Security Device Event Exchange协议介 绍， Sensor Engines与Actions， Event Action ， 如何Customizing Signature, Coordinated Attack Mitigation。IPS 6.1新增加的Default Protection Policy，Multiple “Virtual Sensors”特性，Signatures的匹配过 程，IPS的VLAN GROUP部署模式。