七问七答:CCIE安全认证

思科的CCIE安全认证4.0考试很快要来了,考试内容包括思科ASA新特性和故障修复问题。本文中,CCIE安全认证经理Natalie Timms将介绍将来认证的变化。

CCIE安全认证现在包含哪些技术?

Natalie Timms:所有CCIE考试都提供了模板。模板包括了可能遇到的较难考试问题。第3版的考试模板包括防火墙、VPN、IPS/IDS与认证(如RADIUS、TACACS和Cisco Secure等)等小节。此外,还有封闭和强化设备(如控制层策略、管理层保护等)。我们还介绍了如何使用各种设备工具,以及哪些工具能够有效保护CPU不受攻击等等。而且,我们还涉及了高级安全性,包括NAT和QoS防御攻击等问题。应试者必须理解针对网络和网络设备的各种攻击,并且要知道如何配置网络,使设备免于攻击防御,还要能够检查、保存检查和重新检查。

CCIE安全认证第3版发布于2009年4月。第4版将在何时开始?

Timms:我正参与4.0版本的研究。这是一个漫长的过程。设计内容和获取反馈需要很长时间。我认为,最重要的一点是推出一个修订版本时,至少要提前6个月告知应试者。我们将发布第4版的新模板,模板至少会在考试确定前6个月公布。

应试者会在何时看到Cisco ASA 8.3/8.4出现在CCIE安全考试中?

Timms:对于新版本的考试,一旦我们公布新版本模板,它会有考试范围的介绍。让应试者突然面对不同问题显然不够公平。

思科是否正在与思科出版社合作推出新的CCIE安全官方考试认证指南?是否会发布3.0版本的指南,还是直接跳到4.0?

Timms:下一本新书是4.0。我认为我们必须这样做,因为我们更关注于故障修复。这不仅仅是一本关于配置和基础安全特性的书籍。我有充足的时间保证书籍会与考试同步,或者考试公布后稍晚一点出版。

思科在保持CCIE考试全面性方面做了哪些工作?

Timms:您可能听说过,有些人是靠死听硬背通过考试的。我们对考试进行了改进,使得应试者很难靠背答案通过考试。我们希望他们更多地思考。

考试有一个重要特点:不是所有人都使用相同的考卷。考卷有很多不同的版本,这样做的主要原因是减少作弊。我花了大量时间研究考试统计和通过率,了解可能出现作弊的情况。您可能听说过有人花重金从某些网站获取问题和答案。但是要知道,当他们真正在工作中遇到问题却不能解决时,这很糟糕。

一些实验室应试者最头痛的开放式问题(OEQ)和故障修复内容现在怎么样?

Timms:OEQ是一种减少作弊行为的方法。它们并不是很流行。您真的得对提问谨慎,因为问题不能够有太多的主观性。有人可能会说,他们懂某个问题,但是或许由于英语不是他们的母语,或者他们不善于表达。人们都不愿意因为不理解问题而丢分。我认为,现在去掉这些OEQ会减轻一些人的负担,但是我们加入了更多的故障修复问题。我说“更多”是因为现在考试中已经有很多的故障修复问题了。在考试中,故障修复问题的分值约占30%,而另外70%是配置。

CCIE路由、交换和安全认证之间的技术是否存在很多重叠?

Timms:会有一些重叠,但是很少。我们希望您不仅理解路由与交换的工作原理,也要理解如何修改路由器和交换机上与安全无关的配置。路由器与交换机也有安全特性,但是它们主要是保证路由和交换功能。问题仅限于Cisco IOS支持的安全特性,一般是一些最简单的特性。而且您会发现,它不包括安全设备(比如Cisco ASA防火墙)的配置。不会涉及很多非常复杂的CPU降速和管理层保护特性。路由器与交换机中也没有高级安全攻击的问题。