CCIE安全性:材料清单更新和蓝图思考

注意: 我计划更新此博客,因为我发现那里有不错的博客文章和其他不错的帖子,因此计划将此博客文章作为一个活文档。 

我大约一年前发布了 这个  发布我打算学习的CCIE安全材料的位置。那时,CCIE Security v5蓝图已经发布,我想我会更新清单以反映当前的蓝图和那里的学习材料。 

统一 可以找到书面/实验室蓝图 这里

可以找到实验室设备和版本号 这里.

思科也很不错,可以发布研究材料 这里 这里

基于上述内容,以下是我在其中找到的最相关的材料: 

 安培

根据上述实验室设备列表,AMP for Endpoints私有云最有可能在实验室中。好消息是,使用私有云,实验室需要减少一些功能,但这仍然是一个非常重要的实验室主题,并且没有 那里有很多培训材料。接触实验室设备要么意味着在公司购买了AMP for Endpoints,要么进行了评估。请注意:此评估非常严格。在获得临时许可证之前,您将无法获得它。如果您可以选择对端点进行常规AMP(不是私有云版本),则建议使用该功能,因为它具有更多功能,并且掌握了该功能,您将可以更轻松地进行私有云资料的制作。如果您不熟悉AMP私有云,并精通AMP for Endpoints,我将建议您了解如何进行AMP私有云的设置。 

学习资料:

  • SSFAMP类 -这是Cisco的官方课程,涵盖AMP for Endpoints,并且非常关注AMP for Endpoints Private Cloud。该课程还附带300页以上的实验工作簿。我觉得这节课可能足以使您顺利通过大部分实验。由于这是思科课程,因此,如果您的公司拥有思科学习积分,则可以随时将其与任何思科学习合作伙伴一起使用以购买该课程。
  • 安培私有云数据表
  • 安培私有云的安装和配置
  • BRKSEC-2139-先进的恶意软件防护

注意:市场上还有一本名为“ Cisco下一代安全解决方案:多合一Cisco 作为一个 火力服务,NGIPS和AMP”的书。尽管这是一本学习产品的好书,但我认为与CCIE安全等级相比,它更适合CCNA / CCNP安全等级,这就是为什么我不在列表中。如果您对Firepower或AMP完全一无所知,那可能是一本好书,而且不是一本大书。

对于AMP for Networks的ESA,Firepower和WSA,最好阅读配置指南中的一小部分。对于Amp for Networks部分中的恶意软件而言,这不是复杂的配置。

 

火力

这是一个有趣的实验和工作。我建议您对您的思科销售团队做出反应,以谈论有关试用该软件的信息。如果使用Firepower管理中心VM和运行FTD的设备,则可以在评估模式下运行90天。 系统>Licenses>Smart 执照 然后点击按钮 评价 持续90天。之后,您将必须购买许可证或创建新的Firepower管理中心虚拟机。就个人而言,我建议使用Firepower 6.1。实验室设备指南说它可能是6.0.1或6.1,但我认为个人版本6.1的可能性更大,因为v5实验室生效时该代码版本已经发布了几个月。实验室设备清单说它将配备NGIPSv和Firepower威胁防御。这两件事是不一样的。  了解两者的差异和局限性。 还需要注意的一件事:ASA 5512-Xs也在实验室设备列表中列出。它没有指定这只是常规ASA还是具有Firepower的ASA。我建议您了解如何配置SFR模块,以及如何将ASA与这些模块一起群集。  

学习资料: 

  • SSFIPS书 由Todd Lammle和Alex Tatistcheff撰写-虽然这本书是为Firepower / Sourcefire 5.4编写的,但它在解释许多概念方面仍然做得很出色,大概有70-80%仍然有用 
  • 具有Firepower威胁防御功能的Cisco 火力 6.x 由Todd Lammle和Alex Tatistcheff撰写-这本书刚刚问世,但实际上比SSFIPS书更大,可能更有意义。我还没有完整阅读它,但是SSFIPS是一本非常好的书,因此我可以为作者提供担保。
  • 实验室时间 -网站上有超过50多种免费的Firepower 5.4和6.0视频可供选择,还可以选择购买Firepower 6.1视频。运营此网站的绅士真棒,他的视频非常宝贵。我绝对建议您收看6.1视频的面团,并观看免费的视频。 
  • Udemy 火力视频系列
  • 《 火力威胁防御高级故障排除书》
  • BRKSEC-2028-使用ASA和Firepower服务部署下一代防火墙
  • BRKSEC-3126-Firepower-高级配置和调整
  • BRKSEC-2762-Firepower网络安全平台
  • BRKSEC-2020-防火墙部署

 

作为一个

实验室设备清单显示有两个ASA 5512-X。您可以打赌,如果可以的话,内联Trustsec标记,群集和多上下文将在实验室中。如果他们不打算包含它,那么实验室创建者可能更容易坚持使用虚拟ASA和FTD设备,但他们还添加了物理ASA。如果要对此进行实验,则肯定无法获得5506,因为该平台上没有群集或多上下文,但是您也不必在实验室中获得确切的模型。我也不建议您使用ASA的非X模型,因为它不支持实验室中的同一代码系列。如果可以的话,请查看一对5508的价格。我相信这些功能支持5512-X的所有功能。 

学习资料:

将来,INE还将提供一些CCIE Security v5更新的视频。 

 

APIC-EM

它在实验室设备蓝图上,因此绝对是实验室中可测试的主题。我怀疑在此方面是否会有很多配置,但是肯定会存在。好消息是APIC-EM应该易于下载,但将需要一些严肃的服务器资源。如果您尝试精简配置或放置少于建议的RAM,磁盘空间等数量,则肯定会导致硬件检查失败且无法安装。 

学习资料:

有很多免费的视频和配置指南。我认为关于APIC-EM的实验室内容不会那么复杂,它可能是SD-Access未来版本测试的占位符,但我将链接以下内容:

 

IOS / CSR安全性,包括NAT,IPv6& 虚拟专用网

根据实验设备指南,实验中不会有任何物理路由器,因此您应该能够摆脱使用CSR1000v的路由器的困扰。但是,您绝对需要拥有能够支持实验室中的代码序列的3650/3850。我知道人们渴望获得廉价的IOS交换机并做到这一点。我不建议这样做。使用旧的3750和更新的3650/3850交换机在语法和功能上有所不同。 

学习资料:

 

伊势

显然,此站点对ISE有利,但可能不足以使您通过实验室。好消息是,有很多很棒的ISE视频。随着ISE,Trustsec也随之而来。我强烈怀疑Trustsec将成为实验室的重要组成部分。我认为这样做的原因是,实验室中使用的某些设备本可以轻松虚拟化,但是由于实验室创建者决定采用物理设备,因此他们必须需要仅物理版本具有的功能。例如,如果他们想减少设备数量,他们本可以在实验室中使用虚拟WLC,但他们决定使用2504无线控制器。我认为他们可以从中获得的唯一额外功能是vWLC中没有的SXP功能

学习资料:

  • 思科身份服务引擎的实际部署书
  • SISAS书
  • 信任安全 LiveLessons视频 -其中有些过时了,但是非常了解Trustsec 
  • 信任安全白皮书 -非常容易阅读,真正引导您完成配置
  • 实验室时间 伊势视频 -当我最初学习ISE时,这些视频对我来说是黄金。仍然是精彩的视频。 Metha已将其更新到版本2.0,我怀疑他会尽快完成2.1系列。
  • 实验室时间 信任安全视频 -非常适合实验,但不像LiveLessons视频那样深入,因为它不关注理论。这些是LiveLesson 信任安全视频的免费补充
  • 思科ISE BYOD书 -最近更新,刚刚发布。绝对是最新的ISE书
  • 伊势配置指南2.1
  • Anyconnect配置指南
  • MACsec指南
  • 基于身份的网络服务:MAC安全
  • BRKSEC-3045-高级ISE和安全访问部署
  • BRKSEC-3697-高级ISE服务,提示& Tricks
  • BRKSEC-2044-使用ISE构建企业访问控制体系结构
  • BRKSEC-3699-为规模设计ISE& High Availability
  • 使用身份服务引擎通过TACACS +进行BRKSEC-2060-设备管理
  • BRKSEC-2088-基于身份的网络-IEEE 802.1X及更高版本
  • CCSSEC-2002-Cisco IT-ISE部署和最佳实践
  • PSOSEC-2002-身份服务工程师产品解决方案概述
  • BRKSEC-2041-身份服务-将姿势,分析和来宾服务与802.1x集成
  • DEVNET-1618-Cisco pxGrid-用于安全平台集成的新架构
  • BRKEWN-2020-无线局域网安全,策略和BYOD最佳实践
  • BRKSEC-2695-使用ISE和Trustsec构建企业访问控制体系结构
  • BRKSEC-2022-揭秘TrustSec,身份,NAC和ISE
  • BRKSEC-3692-Deploying 信任安全-分支机构和园区中的安全组标记
  • BRKSEC-2203-部署TrustSec
  • BRKSEC-2981-使用TrustSec的企业网络分段
  • BRKSEC-1022- 信任安全简介BRKSEC-3040-TrustSec和ISE部署最佳做法

 

欧空局

不幸的是,关于这一本书的书籍并不多,但这并不是世界上最难的概念。

学习资料:

 

 

世界安全联盟

考虑到他们选择的版本号,我不知道WSA将在实验室中讨论多少主题。仔细阅读发行说明以及该版本的限制。如果它们与当前发布的版本保持一致,我怀疑该实验室将比通常更适合pxGrid集成和一些更轻巧的配置。

学习资料:

 

 

ACS

是的,它仍在实验室中。为什么?去年,在Cisco Live CCIE安全性v5技术研讨会上给出的解释是,即使即将降临,许多人仍会在野外看到它一段时间。谢天谢地,他们没有对我去年在野外看到的其他东西进行测试,例如PIX防火墙,8.3之前的ASA IOS代码和ISE1.x。 ;) 

撇开玩笑,我强烈怀疑,鉴于蓝图的大小和我们拥有的时间,实验室中的ACS配置数量将保持在最低水平。也许用它配置一些dot1x或TACACS +?还是我们需要使用ISE 2.1中内置的ACS到ISE迁移工具迁移到ISE的一两个任务?我只是在推测,在这里我将通过试验来掩盖我的基础。 

由于您可以阅读有关敏捷蓝图的新闻,因此不确定ACS将在实验室中保留多长时间 这里。我认为他们迟早会最终在实验室外“灵活”使用ACS。 

学习资料: 

  • AAA身份管理安全性 -这本书的一半涵盖了ACS 4.x,可以忽略,另一半涵盖了5.2或其他内容。减去一半的书,读起来不会很长。 
  • 实验室时间 ACS视频 -22个关于ACS的优美简洁视频。可能足以涵盖我们在实验室中需要涵盖的所有内容,并且版本5.4

 

无线和电话?

我在上面加了一个问号,因为人们总是想知道,像这样的考试需要多少电话和无线。我怀疑他们不想让您成为无线专家,但您应该知道如何保护无线(SGT,ISE等)以及确保其安全的所有配置。就电话而言,我认为应该更加关注电话的配置文件或如何使用dot1x访问网络(同样是ISE)。您可能必须足够了解CUCM,才能登录并确认电话已注册,但无论如何都不是Collab专家。有一本关于保护IP语音网络安全的书,可能读得很好,但我怀疑它们是否会像这样大的蓝图走得太远。最多,这是一个很大的过程,我可以看到他们要求我们确保语音流量已加密。 

 

 

 

新手营

  • Micronics零风险安全  -仍然是一个不错的训练营,如果您的营业地点作为额外的学分,他们可以轻松获得Cisco学习学分。 
  • Micronics CCIE安全性v5 -我还没有去过,但我打算继续,我可能会写一篇评论
  • INE CCIE安全性v5训练营 -克里斯蒂安·马泰(Cristian Matei)是一位很棒的老师,我敢肯定,这位老师会很棒。确实在几周前宣布他们将更新CCIE Security v5内容 这里

 

实验室工作簿

注意:这些工作簿中有很多是针对v4编写的,需要一些精神体操才能使其适用于v5。话虽如此,许多任务仍然适用于v5,并且可以用于新的蓝图。