實施高級思科統一無線安全IAUWS考試要點
“實施高級思科統一無線安全(IAUWS)”考試是與CCNP無線認證相關的考試,旨在測試考生能否通過適當的安全策略和最佳實踐確保網絡免遭安全威脅,以及能否正確地實施安全標準及配置無線安全組件。考生可以通過學習“實施高級思科統一無線安全(IAUWS)”課程來為該考試做好準備。以下是YJBYS小編為大家整理的考試要點:
I. 整合客户端設備安全性
A. 描述可擴展身份協議(EAP)的'認證過程
B. 為安全EAP認證配置客户端
C. 配置AnyConnect客户端
D. 描述安全配置對應用和客户端漫遊的影響
E. 對客户端無線認證問題進行排錯,例如數據包分析器、調試、日誌、思科無線控制系統(WCS)以及訪問控制服務器(ACS)
F. 識別客户端安全問題(驅動升級、MS熱補丁)
II. 設計無線網絡並與NAC整合
A. 描述架構;帶內、帶外、代理與無代理、隨路信令(CAS)及內容尋址存儲(CAM)
B. 描述高級認證流程
CAS
CAM
RADIUS/ACS
無線局域網控制器(WLC)
外部認證源
C. 為網絡訪問控制器(NAC)配置WLC
D. 用NAC驗證無線認證
III. 實現安全無線連接服務
A. 配置認證
採用或不採用輕量目錄訪問協議(LDAP)數據庫的控制器本地EAP
H-REAP接入點(AP)上的客户端認證
AP到交換機的802.1x認證
B. 為RADIUS認證配置自主AP
C. 在客户端、AP和控制器上配置管理幀保護
D. 配置IBN(基於RADIUS的VLAN和ACL、AAA覆蓋)
E. 定義ACS參數以整合無線網絡
F. 定義客户端和服務器側數字證書要求
G. 在控制器上實現ACL
CPU ACLs
WLAN、接口及客户端身份ACL
H. 對安全無線連接服務進行排錯:
數據包分析器、調試、日誌、WCS和ACS
驗證防火牆端口
客户端的ACS和控制器授權及認證
IV. 設計和實現訪客接入服務
A. 描述訪客接入服務的架構
基於VLAN的
錨點、DMZ、宂餘和縮放
NAC訪客服務器
有線訪客接入
帶寬限制
B. 配置訪客接入賬户
大堂大使(基於控制器和WCS的)
訪客只能
C. 配置控制其網絡認證
通過
內部和外部
認證(本地/RADIUS)
自定義初始頁面(內部、外部和每個WLAN)
理解設計考慮(DNS、代理)
預認證ACL
有線訪客接入
在控制上安裝第三方證書
D. 配置錨點和內部控制器
E. 對訪客接入問題進行排錯:
數據包分析器、調製、日誌、WCS和ACS
驗證防火牆端口
M-ping和E-ping
代理
V. 解釋組織和管理的安全性政策並執行安全規定
A. 描述合規性考慮,如HIPAA、PCI、SOX及FERPA
B. 將流量分割到不同VLAN,基於:
安全性
應用
QoS
C. 在控制器和WCS上配置管理安全性:
TACACS+ 和ACS整合
本地
RADIUS和AAA服務器整合
接入點管理憑據
管理員職能
D. 管理WLC和WCS警報:
SNMP和Trap接收器
syslog
SMTP
ACS日誌
修改WCS警報等級
E. 使用安全檢查工具
數據包捕獲
滲透測試
第三方軟件(AirMagnet AirWise)
WCS中的PCI Audit工具
VI. 配置本地WLC安全功能設置——IPS/IDS
A. 使用WCS或控制器執行IDS和減輕威脅策略,例如:
簽名
自定義簽名
流氓分類管理和(自動)遏制
流氓報告/定位(只有WCS)
交換端口追蹤(只有WCS)
整合思科頻譜專家與WCS
客户端排除
CleanAir
B. 識別和減輕無線漏洞,如:
無線數據包注入(無法減輕)
客户端配置錯誤
DoS (RF堵塞)
異常行為攻擊(例如,關聯和認證攻擊)
簽名攻擊(例如,NetStumbler——此次無法檢測)
竊聞(例如,野生數據包和Honeypot)
劫持(模擬)(例如, evil Twin和HoneyPotting)
社會工程(例如,人為攻擊)
VII. 將無線網絡與高級安全平台整合
A. 描述思科端到端安全解決方案,以及它們如何與思科無線解決方案整合:
AnyConnect 3.0及以上
NAC appliance
NAC訪客服務器
有線IPS
ACS
B. 描述CUWN防火牆端口配置要求
訪問控制列表(ACL)
IP端口通過
DMZ
C. 為有線IPS/DS配置控制器
D. 配置無線入侵防護系統(IPS)(MSE)