“实施高级思科统一无线安全(IAUWS)”考试是与CCNP无线认证相关的考试,旨在测试考生能否通过适当的安全策略和最佳实践确保网络免遭安全威胁,以及能否正确地实施安全标准及配置无线安全组件。考生可以通过学习“实施高级思科统一无线安全(IAUWS)”课程来为该考试做好准备。以下是YJBYS小编为大家整理的考试要点:
I. 整合客户端设备安全性
A. 描述可扩展身份协议(EAP)的'认证过程
B. 为安全EAP认证配置客户端
C. 配置AnyConnect客户端
D. 描述安全配置对应用和客户端漫游的影响
E. 对客户端无线认证问题进行排错,例如数据包分析器、调试、日志、思科无线控制系统(WCS)以及访问控制服务器(ACS)
F. 识别客户端安全问题(驱动升级、MS热补丁)
II. 设计无线网络并与NAC整合
A. 描述架构;带内、带外、代理与无代理、随路信令(CAS)及内容寻址存储(CAM)
B. 描述高级认证流程
CAS
CAM
RADIUS/ACS
无线局域网控制器(WLC)
外部认证源
C. 为网络访问控制器(NAC)配置WLC
D. 用NAC验证无线认证
III. 实现安全无线连接服务
A. 配置认证
采用或不采用轻量目录访问协议(LDAP)数据库的控制器本地EAP
H-REAP接入点(AP)上的客户端认证
AP到交换机的802.1x认证
B. 为RADIUS认证配置自主AP
C. 在客户端、AP和控制器上配置管理帧保护
D. 配置IBN(基于RADIUS的VLAN和ACL、AAA覆盖)
E. 定义ACS参数以整合无线网络
F. 定义客户端和服务器侧数字证书要求
G. 在控制器上实现ACL
CPU ACLs
WLAN、接口及客户端身份ACL
H. 对安全无线连接服务进行排错:
数据包分析器、调试、日志、WCS和ACS
验证防火墙端口
客户端的ACS和控制器授权及认证
IV. 设计和实现访客接入服务
A. 描述访客接入服务的架构
基于VLAN的
锚点、DMZ、冗余和缩放
NAC访客服务器
有线访客接入
带宽限制
B. 配置访客接入账户
大堂大使(基于控制器和WCS的)
访客只能
C. 配置控制其网络认证
通过
内部和外部
认证(本地/RADIUS)
自定义初始页面(内部、外部和每个WLAN)
理解设计考虑(DNS、代理)
预认证ACL
有线访客接入
在控制上安装第三方证书
D. 配置锚点和内部控制器
E. 对访客接入问题进行排错:
数据包分析器、调制、日志、WCS和ACS
验证防火墙端口
M-ping和E-ping
代理
V. 解释组织和管理的安全性政策并执行安全规定
A. 描述合规性考虑,如HIPAA、PCI、SOX及FERPA
B. 将流量分割到不同VLAN,基于:
安全性
应用
QoS
C. 在控制器和WCS上配置管理安全性:
TACACS+ 和ACS整合
本地
RADIUS和AAA服务器整合
接入点管理凭据
管理员职能
D. 管理WLC和WCS警报:
SNMP和Trap接收器
syslog
SMTP
ACS日志
修改WCS警报等级
E. 使用安全检查工具
数据包捕获
渗透测试
第三方软件(AirMagnet AirWise)
WCS中的PCI Audit工具
VI. 配置本地WLC安全功能设置——IPS/IDS
A. 使用WCS或控制器执行IDS和减轻威胁策略,例如:
签名
自定义签名
流氓分类管理和(自动)遏制
流氓报告/定位(只有WCS)
交换端口追踪(只有WCS)
整合思科频谱专家与WCS
客户端排除
CleanAir
B. 识别和减轻无线漏洞,如:
无线数据包注入(无法减轻)
客户端配置错误
DoS (RF堵塞)
异常行为攻击(例如,关联和认证攻击)
签名攻击(例如,NetStumbler——此次无法检测)
窃闻(例如,野生数据包和Honeypot)
劫持(模拟)(例如, evil Twin和HoneyPotting)
社会工程(例如,人为攻击)
VII. 将无线网络与高级安全平台整合
A. 描述思科端到端安全解决方案,以及它们如何与思科无线解决方案整合:
AnyConnect 3.0及以上
NAC appliance
NAC访客服务器
有线IPS
ACS
B. 描述CUWN防火墙端口配置要求
访问控制列表(ACL)
IP端口通过
DMZ
C. 为有线IPS/DS配置控制器
D. 配置无线入侵防护系统(IPS)(MSE)
书香门第
