Экзамен "Обеспечение безопасности сетей при помощи устройств PIX и ASA" (Securing Networks with PIX and ASA) – один из экзаменов, связанных с сертификатами Cisco Certified Security Professional и Cisco Firewall Specialist. Для подготовки к экзамену кандидаты могут прослушать курс SNPA v4.0. Экзамен включает симуляции и призван проверить способность кандидата описать, настроить, проверить работу и обеспечить управление аппаратно-программными решениями для обеспечения безопасности Cisco PIX и ASA.
Темы экзамена
Ниже представлено описание материалов, которые могут быть включены в экзаменационные вопросы. Однако в каждый конкретный экзамен могут быть включены и другие темы, близкие описанным. Для лучшего отражения материалов экзамена и большей ясности приведенное ниже описание может быть изменено в любое время без дополнительного уведомления.
Установить аппаратно-программное решение для обеспечения безопасности и настроить его базовое соединение с сетью
Описать аппаратную и программную архитектуру устройства для обеспечения безопасности
Определить настройку аппаратного и программного обеспечения устройства для обеспечения безопасности и проверить правильность этой настройки
Выполнить базовую сетевую настройку, включая настройку интерфейсов, при помощи утилиты настройки или интерфейса командной строки
При помощи соответствующих команд show проверить работу первоначальной настройки
Настроить NAT и глобальную адресацию в соответствии с требованиями пользователя
Настроить статическое перенаправление между портами
Установить ограничение числа "зародышевых" (embryonic) соединений для устройства обеспечения безопасности
Настроить net static
Установить ограничение числа "зародышевых" (embryonic) соединений для устройства обеспечения безопасности
Проверить работу трансляции сетевых адресов
Настроить в устройстве для обеспечения безопасности ограничение входящего трафика из непроверенных источников
Настроить списки доступа для фильтрации трафика по адресу, времени и протоколу
Настроить группы объектов (object-groups) для оптимизации обработки списков доступа
Настроить трансляцию сетевых адресов: Nat0
Настроить трансляцию сетевых адресов: Policy NAT
Настроить фильтрацию java/activeX
Настроить фильтрацию web-адресов (URL filtering)
Проверить работу ограничений для входящего трафика
Настроить устройство обеспечения безопасности таким образом, чтобы создать защищенное соединение при помощи межсетевых VPN
Рассказать о сертификатах, их поставщиках, а также об их использовании
Объяснить основные функциональные возможности IPSec
Настроить IKE с использованием общих ключей
Настроить IKE с использованием сертификатов
Рассказать о различных типах шифрования
Настроить параметры IPSec
Настроить криптографические карты (crypto-maps) и списки контроля доступа (ACL)
Настроить устройство обеспечения безопасности таким образом, чтобы создать защищенное соединение при помощи VPN удаленного доступа
Объяснить функции EasyVPN
Настроить IPSec при помощи сервера и клиента EasyVPN
Настроить клиент Cisco Secure VPN
Объяснить назначение WebVPN
Настроить услуги WebVPN: Сервер/клиент
Проверить работу VPN
Настроить в устройстве обеспечения безопасности функции прозрачного межсетевого экрана (transparent firewall), виртуального межсетевого экрана (virtual firewall), а также межсетевого экрана с высокой доступностью (high availability firewall)
Объяснить различия между режимами работы 2-го и 3-го уровней
Настроить прозрачный режим работы устройства обеспечения безопасности (L2)
Объяснить назначение виртуальных межсетевых экранов
Настроить поддержку виртуального межсетевого экрана в устройстве обеспечения безопасности
Обеспечить мониторинг и обслуживание виртуального межсетевого экрана
Объяснить существующие типы, назначение и принцип работы аварийного переключения
Установить необходимую топологию для обеспечения аварийного переключения на основе кабеля или локальной сети
Объяснить аппаратные, программные и лицензионные требования для создания систем высокой доступности
Настроить устройство обеспечения безопасности для поддержки аварийного переключения с активного на резервное устройство
Настроить устройство обеспечения безопасности для поддержки аварийного переключения с сохранением состояний соединений
Настроить устройство обеспечения безопасности для поддержки аварийного переключения между активными устройствами
Проверить работу аварийного переключения
Восстановление после аварийного переключения
Настроить доступ к услугам аутентификации, авторизации и учета через устройство обеспечения безопасности
Настроить сервер контроля доступа (ACS) для поддержки устройств обеспечения безопасности
Настроить функцию аутентификации, авторизации и учета в устройстве обеспечения безопасности
Настроить систему аутентификации с использованием как локальных, так и внешних баз данных
Настроить систему авторизации с использованием внешней базы данных
Настроить в сервере контроля доступа (ACS) поддержку скачиваемых списков контроля доступа
Настроить учет установки и разрыва соединений
Проверить работу системы аутентификации, авторизации и учета
Настроить маршрутизацию и коммутацию в устройстве обеспечения безопасности
Включить сервер DHCP и функцию пересылки (relay)
Настроить поддержку виртуальных локальных сетей в интерфейсе устройства обеспечения безопасности
Настроить функции маршрутизации в устройстве обеспечения безопасности, включая OSPF и RIP
Настроить в устройстве обеспечения безопасности поддержку трафика мультивещания (multi-cast)
Настроить в устройстве обеспечения безопасности поддержку ICMP
Настроить в устройстве обеспечения безопасности модульную политику
Настроить карту классов (class-map)
Настроить карту политик (policy-map)
Настроить политику услуг (service-policy)
Настроить карту ftp (ftp-map)
Настроить карту http (http-map)
Настроить протокол проверки (inspection protocol)
Объяснить функции проверки протоколов
Объяснить функцию DNS guard
Описать аппаратное и программное обеспечение AIP-SSM
Загрузить ПО IPS на AIP-SSM
Проверить работу AIP-SSM
Настроить модульную политику IPS
Мониторинг и управление установленным устройством обеспечения безопасности
Получить и применить обновления ОС
Выполнить резервное копирование настроек и ПО, а также восстановление из резервной копии
Объяснить систему управления файлами, встроенную в устройство обеспечения безопасности
Выполнить процедуру восстановления пароля, а также восстановления после блокировки
Получить и обновить лицензионные ключи
Настроить пароли для различных методов доступа: Telnet, последовательный порт, enable, SSH
Настроить различные методы доступа: Telnet, SSH, PDM
Настроить авторизацию команд и уровни привилегий
Настроить локальную базу имен пользователей
Проверить работу методов контроля доступа
Включить функции ASDM
Проверить настройки устройства обеспечения безопасности через ASDM
Проверить доступные лицензии для устройства обеспечения безопасности
Рекомендуемая подготовка
Для подготовки к экзамену рекомендуется прослушать курс "Обеспечение безопасности сетей при помощи устройств PIX и ASA" (Securing Networks with PIX and ASA, SNPA).
Перечисленные курсы предлагаются Образовательными партнерами Cisco – единственным авторизованным источником подготовки по решениям Cisco под руководством инструкторов, сертифицированных Cisco. Чтобы найти авторизованного образовательного партнера Cisco в вашем районе, воспользуйтесь Системой глобального поиска образовательных партнеров.
Дополнительные ресурсы
Для подготовки к этому экзамену может быть использована различная литература издательства Cisco Press. Приобрести литературу можно напрямую в Cisco Press через магазин Cisco Marketplace Bookstore.
