“實施高階思科統一無線安全(IAUWS)”考試是與CCNP無線認證相關的考試,旨在測試考生能否通過適當的安全策略和最佳實踐確保網路免遭安全威脅,以及能否正確地實施安全標準及配置無線安全元件。考生可以通過學習“實施高階思科統一無線安全(IAUWS)”課程來為該考試做好準備。以下是YJBYS小編為大家整理的考試要點:
I. 整合客戶端裝置安全性
A. 描述可擴充套件身份協議(EAP)的'認證過程
B. 為安全EAP認證配置客戶端
C. 配置AnyConnect客戶端
D. 描述安全配置對應用和客戶端漫遊的影響
E. 對客戶端無線認證問題進行排錯,例如資料包分析器、除錯、日誌、思科無線控制系統(WCS)以及訪問控制伺服器(ACS)
F. 識別客戶端安全問題(驅動升級、MS熱補丁)
II. 設計無線網路並與NAC整合
A. 描述架構;帶內、帶外、代理與無代理、隨路信令(CAS)及內容定址儲存(CAM)
B. 描述高階認證流程
CAS
CAM
RADIUS/ACS
無線區域網控制器(WLC)
外部認證源
C. 為網路訪問控制器(NAC)配置WLC
D. 用NAC驗證無線認證
III. 實現安全無線連線服務
A. 配置認證
採用或不採用輕量目錄訪問協議(LDAP)資料庫的控制器本地EAP
H-REAP接入點(AP)上的客戶端認證
AP到交換機的802.1x認證
B. 為RADIUS認證配置自主AP
C. 在客戶端、AP和控制器上配置管理幀保護
D. 配置IBN(基於RADIUS的VLAN和ACL、AAA覆蓋)
E. 定義ACS引數以整合無線網路
F. 定義客戶端和伺服器側數字證書要求
G. 在控制器上實現ACL
CPU ACLs
WLAN、介面及客戶端身份ACL
H. 對安全無線連線服務進行排錯:
資料包分析器、除錯、日誌、WCS和ACS
驗證防火牆埠
客戶端的ACS和控制器授權及認證
IV. 設計和實現訪客接入服務
A. 描述訪客接入服務的架構
基於VLAN的
錨點、DMZ、冗餘和縮放
NAC訪客伺服器
有線訪客接入
頻寬限制
B. 配置訪客接入賬戶
大堂大使(基於控制器和WCS的)
訪客只能
C. 配置控制其網路認證
通過
內部和外部
認證(本地/RADIUS)
自定義初始頁面(內部、外部和每個WLAN)
理解設計考慮(DNS、代理)
預認證ACL
有線訪客接入
在控制上安裝第三方證書
D. 配置錨點和內部控制器
E. 對訪客接入問題進行排錯:
資料包分析器、調製、日誌、WCS和ACS
驗證防火牆埠
M-ping和E-ping
代理
V. 解釋組織和管理的安全性政策並執行安全規定
A. 描述合規性考慮,如HIPAA、PCI、SOX及FERPA
B. 將流量分割到不同VLAN,基於:
安全性
應用
QoS
C. 在控制器和WCS上配置管理安全性:
TACACS+ 和ACS整合
本地
RADIUS和AAA伺服器整合
接入點管理憑據
管理員職能
D. 管理WLC和WCS警報:
SNMP和Trap接收器
syslog
SMTP
ACS日誌
修改WCS警報等級
E. 使用安全檢查工具
資料包捕獲
滲透測試
第三方軟體(AirMagnet AirWise)
WCS中的PCI Audit工具
VI. 配置本地WLC安全功能設定——IPS/IDS
A. 使用WCS或控制器執行IDS和減輕威脅策略,例如:
簽名
自定義簽名
流氓分類管理和(自動)遏制
流氓報告/定位(只有WCS)
交換埠追蹤(只有WCS)
整合思科頻譜專家與WCS
客戶端排除
CleanAir
B. 識別和減輕無線漏洞,如:
無線資料包注入(無法減輕)
客戶端配置錯誤
DoS (RF堵塞)
異常行為攻擊(例如,關聯和認證攻擊)
簽名攻擊(例如,NetStumbler——此次無法檢測)
竊聞(例如,野生資料包和Honeypot)
劫持(模擬)(例如, evil Twin和HoneyPotting)
社會工程(例如,人為攻擊)
VII. 將無線網路與高階安全平臺整合
A. 描述思科端到端安全解決方案,以及它們如何與思科無線解決方案整合:
AnyConnect 3.0及以上
NAC appliance
NAC訪客伺服器
有線IPS
ACS
B. 描述CUWN防火牆埠配置要求
訪問控制列表(ACL)
IP埠通過
DMZ
C. 為有線IPS/DS配置控制器
D. 配置無線入侵防護系統(IPS)(MSE)
