网络安全大全(网管实战宝典)
点此进入淘宝搜索页搜索分类: 图书,计算机/网络,信息安全,
作者: 胡文启,徐军,张伍荣主编
出 版 社: 清华大学出版社
出版时间: 2008-10-1字数: 620000版次: 1页数: 405印刷时间: 2008/10/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787302186199包装: 平装编辑推荐
丛书特色:
实用性:
以实战项目案例为主线,以案例带动知识点,边实践边学习,快速上手。
先进性:阐述最为主流的网络技术及应用,精选最优网络实施方案。
深入性:应用案例讲解细致入微,分析透彻,过程完整。
内容简介
本书以“应用实例导航”为主线,由浅入深、系统全面地介绍了网络安全中所遇到的一些问题和常用的网络安全设备的使用方法。
本书以企业网络应用的安全需求作为出发点,以实例的形式陈述攻击行为,然后对攻击原理进行分析,并通过部署相应的设备防止攻击再次发生来介绍网络安全。本书结构清晰,易教易学,实例丰富,可操作性强,注重能力的提高,既可作为大中专院校的教材,也可作为各类培训班的培训教材。此外,本书也可作为各类企业网络管理员及各类网络爱好者、企业IT经理以及网络安全工程师的参考用书。
目录
第1章网络安全基础
1.1 网络安全的基本原理
1.1.1网络发展及需求
1.1.2攻击事件的来源
1.1.3网络安全的关键要素
1.1.4用户安全意识
1.2网络安全实例分析
1.2.1 资产评估
1.2.2风险分析
1.2.3制定安全策略
1.3网络的漏洞与攻击
1.3.1 常见网络弱点
1.3.2常见攻击方法
1.3.3攻击分类
1.3.4攻击评估
1.4本章小结
第2章 网络安全解决方案概述
2.1 网络安全框架
2.1.1安全基准测试
2.1.2安全日志分析
2.2网络安全产品及解决方案
2.2.1 防火墙
2.2.2VPN接入
2.2.3入侵检测
2.2.4集成安全设备
2.2.5 DDoS检测和防范
2.2.6 CSA与NAC
2.2.7网络安全设备联动
2.3本章小结
第3章网络设备安全
3.1网络设备的物理安全
3.2网络设备兀余
3.2.1 HSRP简介
3.2.2 HSRP工作原理
3.2.3 配HSRP
3.2.4HSRP安全
3.2.5VRRP
3.3 网络设备访问安全
3.3.1 网络设备的安全登录
3.3.2保存网络设备日志
3.3.3 SNMP安全配置
3.3.4禁用不必要的服务
3.3.5登录警告
3.4本章小结
第4章路由器及路由协议安全
4.1路由协议安全概述
4.2增强路由协议的安全
4.2.1 路由协议的认证方法
4.2.2R1P协议安全
4.2.3OSPF协议安全
4.3定向组播控制
4.3.1 Smurf攻击
4.3.2单播逆向路径转发
4.4路由黑洞过滤
4.5路径完整性检查
4.5.1 IP源路由
4.5.2 ICMP重定向
4.6本章小结
第5章交换机及交换网络安全
5.1vLAN隔离
5.1.1VLAN划分
5.2.1动态VLAN概述
5.2.2 配置动态VLAN
5.2动态VLAN
5.2.1动态VLAN概述
5.2.2配置动态VLAN
5.3 安全的VTP协议
5.3.1 vTP概述
5.3.2配置vTP协议
5.4安全的STP协议
5.4.1 STP协议概述
5.4.2配置STP协议
5.5PVLAN
5.5.1PVLAN概述
5.5.2配置PVLAN
5.6防范其他常见2层攻击
5.6.1防范MAC泛洪攻击
5.6.2 防范DHCP攻击
5.6.3防范ARP攻击
5.7本章小结
第6章网络身份认证服务
6.1 电子证书服务
6.1.1PKI公钥基础结构
6.1.2安装证书服务
6.1.3用户申请证书
6.1.4证书吊销
6.1.5证书导入、导出
6.2AAA体系结构
6.2.1 AAA概述
6.2.2配置AAA身份认证
6.2.3配置AAA授权
6.2.4 配置AAA记账
6.3 配置RADIUS服务器
6.3.1RADIIJS简介
6.3.2微软IAS
6.3.3 Cisco Secure ACS
6.3.4 Linux RADI[JS
6.4 本章小结
第7章网络安全接入
7.1802.1x协议
7.1.1802.1x协议概述
7.1.2配置802.1x协议
7.2WindOWS自动更新
7.2.1WS[JS简介
7.2.2安装WS[JS服务器
7.2.3配置WSLJS服务器
7.2.4配置WSLJS客户端自动更新
7.3NAC网络接入控制
7.3.1终端安全接入概述
7.3.2Cisco NAC概述
7.3.3配置Cisco NAC
7.4终端保护机制
7.4.1 Cisco CSA概述
7.4.2 Cisco cSA架构及工作原理
7.4.3安装Cisco CSA MC
7.4.4配置Cisco CSA MC
7.4.5 配置Cisco CSA客户端
7.4.6 临控Cisco CSA MC
7.5小章小结
第8章 防火墙
8.1防火墙概述
8.1.1 防火墙的硬件平台
8.1.2防火墙的体系结构
8.1.3防火墙的部署方式
8.2Cisco IOS防火墙
8.2.1基于访问控制列表过滤
8.2.2基于上下文的访问控制
8.2.3基于网络的应用识别
8.3Cisco PlX/ASA防火墙
8.3.1PIX/ASA防火墙基.小配置
8.3.2利用ASDM配置PIX/ASA防火墙
8.3.3FWSM及虚拟防火墙
8.4微软ISA防火墙
8.4.1 安装ISA Setver 2004
8.4.2配置ISA访问控制
8.4.3发布服务器
8.4.4缓冲Web数据
8.5Linux防火墙
8.5.1Linux防火墙简介
8.5.2配置Linux防火墙
8.5.3 透明Linux防火墙
8.5.4管理Linux防火墙
8.6小章小结
窘9章入侵检测及防御
9.1 IPS/IDS工作原理
9.1.1IDS工作原理
9.1.2部署IDS
9.1.3IPS与IDS的区别
9.1.4IPS简介
9.1.5常见IPS产品
9.2配置Cisco IPS/IDS
9.2.1 配置基于Cisco lOS IPS/IDS
9.2.2 配置Cisco NM—CIDS
9.3 Snort
9.4DDoS检测与防御
9.4.1DDoS攻击原理
9.4.2传统的DDoS防御方式
9.4.3 新型DDoS保护策略
9.5小章小结
第10章远程访问
10.1VPN概述
10.1.1VPN简介
10.1.2VPN分类
10.1.3IPSec VPN和SSLVPN的比较
10.2配置IPSec VPN
10.2.1 IPSec VPN概述
10.2.2配置IPSec VPN
10.3拨号虚拟专网
10.3.1 VPDN概述
10.3.2配置基于ISA Server 2004的VPN
10.3.3使用ASA配置VPN
10.3.4 配置Linux VPN
10.4配置SSLVPN
10.5本章小结
第11章统一安全管理
11.1统一安全管理
11.1.1 网络监控系统发展历程
11.1.2配置CS.MARS
11.2事件控制系统
11.3 本章小结
第12章文件安全
12.1 WindOWS RMS部署
12.1.1 RMS概述
12.1.2安装与配置RMS服务器
12.1.3安装与配置RMS客户端
12.2 EFS加密
12.3本章小结
窘13章园区网络安全设计
13.1 小型企业网络安全设计
13.2中型企业网络安伞设计
13.3大型企业网络安全设计
13.4校园网络安全设计
13.5运营商网络安全设计
13.6本章小结
参考文献
书摘插图
第1章网络安全基础
1.1.2攻击事件的来源
除了少部分黑客基于研究目的带来的攻击外,大多数的网络攻击出于一些特定的目的。根据《2006年度中国网络安全报告》的结论,截止到2006年12月25日,据不完全统计,中国网络发生的网络攻击事件中,脚本入侵比例为53%,拒绝服务攻击比例为260名,漏洞利用比例为13%,暴力猜解比例为8%,社会工程学比例为5%,其他方法为1%。但与2005年同期相比,2006年度的网络攻击事件要多出l倍之多。据不完全统计,自2006年1月1日起,截至2006年12月25日,中国网站被篡改的数量达25 820个。其中政府类网站有3661个;企业类网站为1l 828个(其中博客运营类被攻击数量达1683个);教育/培训类被攻击网站数量达2216个,其中:中、职专及中小学网站占73.5%(1628个),大学网站的二级网站占18.0%(398个),培训类机构为127个,大学一级域名站点为63个。
下面是2006年出现在我国几个著名的攻击的事件。
2006年5月27日,某市的区政府服务器被入侵并植入香港汇丰银行的假冒网站。
2006年4月,国外多家媒体以《中国的银行网站被利用作Phishing》为题,报道了中国某银行网站被植入假冒Paypal网站的事件。
2006年6月19日,D市某区政府网站邮件服务器被入侵并植入电子港湾(eBay)的假冒网站。
2006年9月12日,著名搜索引擎百度遭受有史以来最大规模的不明身份黑客攻击,导致百度搜索服务在全国各地出现了近30分钟的故障。
2006年9月21日,某域名服务商“新网”域名解析服务器发生故障,造成超过
30%在其上注册的网站无法访问长达20小时。“新网”官方确认此次断网事件是黑客所为。此事件被称为中国互联网的“9•21事件”。
在具体的攻击手法上也有变化,猜测口令、物理入侵、安装键盘记录设备以及盗窃笔记本电脑等传统方式的攻击成功率逐渐下降,而SOL注入、钓鱼、拒绝服务攻击以及各类木马病毒等攻击频率急剧上升。更值得关注的是,内部人员滥用网络、盗窃关键数据的事件也在上升。随着无线网络的使用,无线网络入侵也成为一个非常值得关注的焦点。
1.1.3网络安全的关键要素
虽然Internet的成功带来了全球信息化的一次巨大飞跃,但是它必须以保护有价值数据和网络资源免受篡改和入侵为基石。
1.网络安全目标
M.Fites、P.Kratz等在《Control and Security of Computer Information Systems》中提出了一个被广泛采用的网络安全性设计建议。该建议包括以下内容。
◇确定要保护什么。
◇ 确定尽力保护它免于什么威胁。
◇ 确定威胁的可能性。
◇ 以一种相对廉价的方法来实现资产保护的目的。
不断地检查这些步骤,发现弱点就进行改进。
2.资产评估
资产评估用于实现网络安全目标的第一步,需要确定保护什么。通常的资产评估仅对网络设备(例如交换机、路由器、防火墙、电脑)等实物以及关键数据进行评估,而忽视了这些设备上的配置信息、用户访问权利,随着DDoS攻击的增加,可用带宽和访问速率也成为资产评估一个不可缺少的部分。当然资产评估随着需要保护的资产数量增长还会出现变化,下面列举了一些重要的网络资产。
网络设备:路由器、交换机、防火墙、入侵检测设备。
网络数据:数据服务器、邮件服务器、Web服务器等。
网络带宽:链接网络的链路带宽和速度,以及冗余备份线路。
个人电脑:个人电脑是否携带关键数据以及个人电脑安全防护。
任意时刻通过网络的消息是否安全。
网络身份识别是否有效。
3.威胁评估
根据网络安全目标,完成资产评估后需要对威胁进行评估。通常的攻击手段主要有3种类型。
……
