本课程紧贴目前的CCIE SECRITY 3.0 LAB考试大纲，参考CCIE Security Lab Exam v3.0 Checklist中的内容进行的定制开发，涵盖目前CCIE SECRITY 3.0 LAB中的重点和难点，适合已经备战CCIE SECRITY的考生，以及学过CCSP课程的网络工程从业人员。本课程以CCSP课程中未涉及到的而在CCIE SECRITY LAB考试中出现的内容为主，对于曾经在CCSP课程中出现过的并且是目前CCIE SECRITY LAB考试中的重要知识点也编入到了对应的课程章节中，并根据CCIE考试的要求对相关知识点进行了拔高。全面和深入对课程中的知识点进行讲解，并配有对应的实验演示，尽可能的在有限的时间里，授予学员最有价值的知识，保证学员来有所得，学必有所获。

本课程由高级安全与网络攻击（含IP网络流量平面、身份管理）,防火墙、VPN、IPS等内容，课时共8天。

CCIE (网络安全笔试CCIE考试号 350-018)
课程内容：
讲解CCIE笔试和实验LAB相关的考试知识与注意事项:
深入分析多层交换机和路由器在大型网络环境中安全实现和疑难解析
深入分析ASA在大型网络环境中部署和案例分析
深入分析IPS在大型网络环境中的部署和疑难问题解析
深入分析各种VPN技术在大型网络中的实现案例
深入分析大型网络中的攻击与防护技术

课程安排：
第一天: 针对CCIE Lab考试注意事项及备考方案，IOS防火墙：RPF,CBAC,AUTH-PROXY，IOS IPS、Zone-Based Policy Firewall等
第二天: 交换机STP security,port-security,DHCP snooping,ARP inspect,NAC(802.1x)，IP Network Traffic Planes,配置和应用Control Plane、Management Plane等
第三天: ASA流量策略,NAT执行过程, TCP Intercept,虚拟防火墙Context, 端口冗余技术，CUT Through等
第四天: ASA的Transparent模式, Modular Policy Framework,高级审查，Failover and ASR-Group , Logging and Troubleshooting等
第五天: 实现高可用IPSEC site-to-site,GRE over IPSEC,应用VTI接口的VPN配置等
第六天: EZVPN,应用IOS CA的VPN, NAT and IPSEC VPN,DMVPN等
第七天: GETVPN,SSL VPN, VRF Aware IPSec等
第八天: IPS的攻击检天,抓包,报警,by pass模式下的联动技术,inline 模式,内嵌七层检测等,综合分析各种攻击和解决方案

高级安全与网络攻击内容涵盖AAA服务器的应用，使用AAA实现用户身份的识别，IOS Firewall，Zone-Based Policy Firewall，IOS IPS的配置和应用,基于角色的控制Role-Based CLI Views，LDAP，配置和应用Control Plane维护设备安全，基于Control Plane的流量审查、速率限制，配置和应用Management Plane，使用Flexible Packet Matching识别和拒绝网络攻击，二层网络攻击和防护方法，其他常见的网络攻击和对应的缓解技术。

VPN部分内容涵盖IPSEC VPN原理，LAN-TO-LAN VPN和Remote access VPN的必备知识，使用IOS CA SERVER的VPN配置，NAT with IPSec，Advanced IPSec with Group Encrypted Transport VPN，VRF Aware IPSec ,DMVPN的应用和配置特点，GRE over IPSEC，使用Virtual Tunnel Interface完成VPN配置，，High Availability VPN，以及基于路由器或防火墙的SSLVPN。

防火墙部分内容涵盖防火墙流量转发原理，NAT在防火墙中的应用与执行规则，Interface Redundancy应用、Static route tracking with SLA、Failover高级配置（如ASR-Group Feature ）多虚拟防火墙的应用与应用中出现问题的解决方案，应用CUT Through实现安全的可控的远程访问，使用Modular Policy Framework实现流量审查，高级应用程序审查，Transparent Firewall应用、，Firewall Logging，Firewall Troubleshooting。

IPS部分内容涵盖IPS和IDS的介绍与如何在网络中进行部署，IPS初始化配置与使用图形界面进行高级管理，Security Device Event Exchange协议介绍，Sensor Engines与Actions，Event Action ，如何Customizing Signature, Coordinated Attack Mitigation。IPS 6.1新增加的Default Protection Policy，Multiple “Virtual Sensors”特性，Signatures的匹配过程，IPS的VLAN GROUP部署模式。