路由器安全策略
点此进入淘宝搜索页搜索分类: 图书,电子与通信,通信,通信网,
品牌: Gregg Schudel
基本信息·出版社:人民邮电出版社
·页码:446 页
·出版日期:2008年
·ISBN:7115185913/9787115185914
·条形码:9787115185914
·包装版本:1版
·装帧:平装
·开本:16
·正文语种:中文
产品信息有问题吗?请帮我们更新产品信息。
内容简介本书的目标在于使读者熟悉对IP网络流量平面进行分隔和安全保护所需的概念、效益以及实施细节。全书分4个部分。第1部分提供了IP协议、IP网络运行及路由器和路由硬件以及软件运行的基本概述。第2部分提供了深入、详细的内容以供网络专家实现IP流量平面分隔和保护策略,还针对经验不足的网络技术人员提供了详细的IP路由器运行描述。第3部分提供了针对两种不同网络类型——企业网络和服务提供商网络的案例研究。这些案例研究用于进一步说明在第2部分中介绍的策略如何集成为一个完整的IP网络流量平面分隔和保护规划。第4部分则对本书正文部分所讨论的内容进行了补充,提供了一些不仅在阅读本书过程中有用,而且在日常工作中也很有帮助的参考内容。
本书适合组织机构中负责部署和维护IP及IP/MPLS网络的网络工程师,以及网络运营和网络安全性人员阅读。
作者简介Gregg Schudel,CCIE No.959l(Security)于2000年作为咨询系统工程师加入Cisco Systems,其职责是为美国的网络服务提供商组织提供支持。Gregg关注针对长途交换电信运营商、网络服务提供商及移动服务提供商的IP核心网络和服务安全性体系结构和技术。
此外,Gregg还是Corporate and Field资源小组的成员,该小组的工作重点在于推动Cisco服务提供商安全性策略。在加入Cisco Systems之前,Gregg在BBN Technologies公司工作了多年,他负责支持与DARPA及联邦政府其他机构共同进行的涉及到安全性方面的网络安全性研究和开发。
Gregg拥有乔治华盛顿大学的工程学硕士学位和获得佛罗里达理工学院的工程学学士学位。
David J.Smith,CCIE No.1 986(Routing and Switching)于1995年作为咨询工程师加入Cisco Systems,其职责是为美国的网络服务提供商组织提供支持。David从1999年开始关注服务提供商IP核心和边缘网络技术,包括IP路由、MPLS技术、QoS、架构安全性及网络遥测。在1995~1999年,David负责为企业用户在设计园区WAN和全球WAN方面提供支持。在加入Cisco Systems之前,David在Bellcore公司工作,负责开发系统软件以及开通ATM交换机试验局。
David在卡内基•梅隆大学获得信息网络硕士学位,在里海大学获得计算机工程学士学位。
目录
第1部分
第1章互联网协议操作基础3
1.1IP网络概念3
1.1.1企业网络5
1.1.2服务提供商网络6
1.2IP协议操作8
1.3IP流量概念13
1.3.1过境IP包14
1.3.2接收—邻接IP包15
1.3.3异常IP和非IP包15
1.4IP流量平面17
1.4.1数据平面18
1.4.2控制平面19
1.4.3管理平面21
1.4.4服务平面22
1.5IP路由器包处理概念24
1.5.1进程交换26
1.5.2快速交换29
1.5.3思科特快转发33
1.6常见的IP路由器体系结构类型37
1.6.1集中式的基于CPU的体系结构37
1.6.2集中式的基于ASIC的体系结构39
1.6.3分布式的基于CPU的体系结构40
1.6.4分布式的基于ASIC的体系结构42
1.7小结46
1.8复习题46
1.9延伸阅读46
第2章IP网络的威胁方式49
2.1对于IP网络基础设施的威胁49
2.1.1资源消耗攻击50
2.1.2欺骗攻击57
2.1.3传输协议攻击58
2.1.4路由协议威胁62
2.1.5其他IP控制平面威胁63
2.1.6未经授权的接入攻击65
2.1.7软件漏洞65
2.1.8恶意网络监测66
2.2针对第2层网络基础设施的威胁67
2.2.1CAM表溢出攻击68
2.2.2MAC欺骗攻击68
2.2.3VLAN的跳跃攻击(VLAN Hopping Attacks)69
2.2.4专用VLAN攻击71
2.2.5STP攻击72
2.2.6VTP攻击72
2.3针对IP VPN网络基础设施的威胁72
2.3.1MPLS VPN威胁模式73
2.3.2针对用户边缘的威胁74
2.3.3针对运营商边缘的威胁75
2.3.4针对运营商核心的威胁77
2.3.5针对跨运营商边缘的威胁78
2.3.6IPSec VPN的威胁模式82
2.4小结84
2.5复习题84
2.6延伸阅读85
第3章IP网络流量平面安全概念89
3.1全方位防御的原则89
3.1.1理解全方位的防御概念90
3.1.2IP网络流量平面:全方位的防御94
3.1.3网络接口类型96
3.2网络边缘安全概念101
3.2.1互联网边缘101
3.2.2MPLS VPN边缘103
3.3网络核心安全概念105
3.3.1IP核心105
3.3.2MPLS VPN核心106
3.4小结107
3.5复习题107
3.6延伸阅读108
第2部分
第4章IP数据平面安全性113
4.1接口ACL技术113
4.2单播RPF技术120
4.2.1严格uRPF120
4.2.2松散uRPF123
4.2.3VRF模式uRPF125
4.2.4可行性uRPF127
4.3灵活的数据包匹配128
4.4QoS技术130
4.4.1排队130
4.4.2IP QoS数据包着色(标记)131
4.4.3速率限制132
4.5IP选项技术133
4.5.1禁用IP源路由134
4.5.2IP选项选择性丢弃134
4.5.3用于过滤IP选项的ACL支持135
4.5.4控制平面管辖136
4.6ICMP数据平面减缓技术136
4.7禁用IP直接广播138
4.8IP健康检查139
4.9使用QPPB的BGP策略增强140
4.10IP路由技术143
4.10.1IP网络核心基础结构隐藏143
4.10.2IP网络边缘外部链接保护144
4.10.3远程触发黑洞过滤148
4.11IP传输和应用层技术153
4.11.1TCP截取153
4.11.2网络地址转换154
4.11.3IOS防火墙156
4.11.4IOS入侵预防系统157
4.11.5通信清洗158
4.11.6深度数据包检查158
4.12第2层以太网安全技术159
4.12.1端口安全性159
4.12.2基于MAC地址的通信阻塞160
4.12.3禁用自动主干160
4.12.4VLAN ACL161
4.12.5IP来源守卫162
4.12.6专用VLAN162
4.12.7通信风暴控制163
4.12.8未知单播流阻塞163
4.13小结163
4.14复习题164
4.15延伸阅读164
第5章IP控制平面安全性169
5.1禁用未使用的控制平面服务169
5.2ICMP技术170
5.3选择性数据包丢弃171
5.3.1SPD状态检查172
5.3.2SPD输入队列检查174
5.3.3SP监视和优化175
5.4IP接收ACL177
5.5控制平面管辖185
5.5.1CoPP配置指导原则187
5.5.2特定于平台的CoPP实现细节199
5.6邻居身份验证206
5.6.1MD5身份验证207
5.6.2一般化的TTL安全机制210
5.7特定于协议的ACL过滤器212
5.8BGP安全技术214
5.8.1BGP前缀过滤器214
5.8.2IP前缀限制216
5.8.3AS路径限制216
5.8.4BGP正常重启217
5.9第二层以太网控制平面安全218
5.9.1VTP身份验证218
5.9.2DHCP偷窥219
5.9.3动态ARP检查221
5.9.4粘性ARP223
5.9.5跨越树协议223
5.10小结224
5.11复习题225
5.12延伸阅读225
第6章 IP管理平面安全性229
6.1管理接口230
6.2密码安全232
6.3SNMP安全234
6.4远程终端访问安全236
6.5禁用未使用的管理平面服务238
6.6禁用空闲的用户会话241
6.7系统标志242
6.8安全的IOS文件系统244
6.9基于角色的CLI访问245
6.10管理平面保护248
6.11身份验证、授权和计账250
6.12自动安全252
6.13网络遥测和安全253
6.14针对MPLS VPN的VPN管理256
6.15小结261
6.16复习题261
6.17延伸阅读262
第7章 IP服务平面安全性265
7.1服务平面概述265
7.2服务质量267
7.2.1QoS机制268
7.2.2保护QoS服务275
7.3MPLS VPN服务277
7.3.1MPLS VPN概述277
7.3.2客户边缘安全性278
7.3.3提供商边缘安全性279
7.3.4提供商核心安全性282
7.3.5提供商之间边缘安全性284
7.4IPsec VPN服务287
7.4.1IPsec VPN概述287
7.4.2保护IPsec VPN服务294
7.4.3其他IPsec安全相关特性300
7.5其他服务301
7.5.1SSL VPN服务301
7.5.2VoIP服务302
7.5.3视频服务303
7.6小结304
7.7复习题304
7.8延伸阅读305
第3部分
第8章 企业网络案例研究311
8.1案例研究1:IPSec VPN和互联网访问312
8.1.1网络拓扑结构和要求312
8.1.2路由器配置315
8.2案例研究2:MPLS VPN328
8.2.1网络拓扑结构和要求328
8.2.2路由器配置330
8.3小结340
8.4延伸阅读340
第9章 服务提供商网络案例研究343
9.1案例研究1:IPSec VPN和互联网接入344
9.1.1网络拓扑和需求345
9.1.2路由器配置347
9.2案例研究2:MPLS VPN359
9.2.1网络拓扑和需求359
9.2.2路由器配置361
9.3小结374
9.4延伸阅读374
第4部分
附录A复习题答案379
附录BIP协议报头387
B.1IP版本4头388
B.2TCP头392
B.3UDP头396
B.4ICMP头398
B.4.1ICMP回应请求/回应回复查询消息头400
B.4.2传输中的ICMP生存时间超过消息头402
B.4.3ICMP目的地不可到达、分段需要和设置不分段错误消息头404
B.4.4其他ICMP目的不可到达错误消息头407
B.5以太网/802.1 Q头409
B.5.1IEEE 802.3以太网帧头格式409
B.5.2IEEE 802.1 Q VLAN头格式411
B.6MPLS协议头412
B.7延伸阅读415
附录CCisco IOS到XOS XR安全性过渡417
C.1 数据平面安全性命令418
C.2 控制平面安全性命令420
C.3 管理平面安全性命令428
C.4 服务平面安全性命令435
C.5 延伸阅读436
附录D安全事故处理439
D.1 事故响应的6个阶段439
D.1.1 准备440
D.1.2 确定441
D.1.3 分类442
D.1.4 跟踪442
D.1.5 反应442
D.1.6 事后评估分析442
D.2 Cisco产品安全443
D.2.1 Cisco安全弱点策略443
D.2.2 Cisco计算机和网络安全443
D.2.3 Cisco安全444
D.2.4 IPS签名包更新和归档444
D.2.5 Cisco安全中心444
D.2.6 Cisco IntelliShield警报管理器服务444
D.2.7 Cisco软件中心444
D.3 行业安全组合444
D.4 域网络操作员组织445
D.5 延伸阅读446
……[看更多目录]
序言在过去20年来,网络从archane(ARPAnet)发展到任何地方(无线热点),并且已经被应用于卫生保健系统、航空、商业、视频通信、电话、存储和交互式运动等诸多领域。
网络来源于数据中心,然后到达服务提供商,到达我们的邻居,到达我们的家里。对我而言,说网络安全是一个“重要的主题”无论如何都不过分,因为主机安全无法和它相提并论——网络安全需要花费很大的开销,而主机安全则花费甚少。为什么会是这种情况,为什么会发生这种情况呢?
在此,我并不想正面回答这个问题,之所以承认网络安全至关重要,是因为网络现在是必不可少的。因此,本书包括了那些针对网络设备的现有威胁和攻击的知识,对这些威胁和攻击提供最佳防范的必要的网络设备配置技术,以及这些技术如何提高网络恢复能力的现实例子,以供读者学习。
Gregg和David编写的这本图书将其篇幅划分为数据、管理和业务平面安全,解释了每种流量平面的概念、相关的安全威胁及对策。对所有4种流量平面提供保护对于网络设备的保护是必需的,对于保护由这些网络设备组成的网络则更是必需的。对所有这4种彼此不同的流量平面进行不遗余力的保护是惟一正确的做法。
如果读者在阅读本书之后什么都没有做,那么询问自己,在对数据进行保护的同时,是否已经对自己日益依赖的数据、业务及功能不断丰富的网络进行了保护?经验告诉我们当中的每一个人,深入防御和广泛防御都属于强有力的安全技术。您的网络是由多种设备、多个层次组成的,并且其触角几乎无处不在——网络自身已经在保护您的网络中扮演了关键角色。要确保它是成功的,毕竟……我们都连接在一起。
文摘插图:
