網(wǎng)絡(luò)安全原理與實(shí)踐

第一部分 網(wǎng)絡(luò)安全介紹
第1章 網(wǎng)絡(luò)安全介紹
1.1 網(wǎng)絡(luò)安全目標(biāo)
1.2 資產(chǎn)確定
1.3 威脅評估
1.4 風(fēng)險(xiǎn)評估
1.5 構(gòu)建網(wǎng)絡(luò)安全策略
1.6 網(wǎng)絡(luò)安全策略的要素
1.7 實(shí)現(xiàn)網(wǎng)絡(luò)安全策略
1.8 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的實(shí)現(xiàn)
1.9 審計(jì)和改進(jìn)
1.10 實(shí)例研究
1.10.1 資產(chǎn)確定
1.10.2 威脅確定
1.10.3 風(fēng)險(xiǎn)分析
1.10.4 定義安全策略
1.11 小結(jié)
1.12 復(fù)習(xí)題
第二部分 構(gòu)建網(wǎng)絡(luò)安全
第2章 定義安全區(qū)
2.1 安全區(qū)介紹
2.2 設(shè)計(jì)一個DMZ
2.2.1 使用一個三腳防火墻創(chuàng)建DMZ
2.2.2 DMZ置于防火墻之外，公共網(wǎng)絡(luò)和防火墻之間
2.2.3 DMZ置于防火墻之外，但不在公共網(wǎng)絡(luò)和防火墻之間的通道上
2.2.4 在層疊的防火墻之間創(chuàng)建DMZ
2.3 實(shí)例研究：使用PIX防火墻創(chuàng)建區(qū)
2.4 小結(jié)
2.5 復(fù)習(xí)題
第3章 設(shè)備安全
3.1 物理安全
3.1.1 冗余位置
3.1.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)
3.1.3 網(wǎng)絡(luò)的安全位置
3.1.4 選擇安全介質(zhì)
3.1.5 電力供應(yīng)
3.1.6 環(huán)境因素
3.2 設(shè)備冗余
3.2.1 路由冗余
3.2.2 HSRP
3.2.3 虛擬路由器冗余協(xié)議（VRRP）
3.3 路由器安全
3.3.1 配置管理
3.3.2 控制對路由器的訪問
3.3.3 對路由器的安全訪問
3.3.4 密碼管理
3.3.5 記錄路由器事件
3.3.6 禁用不需要的服務(wù)
3.3.7 使用回環(huán)接口
3.3.8 控制SNMP作為一個管理協(xié)議
3.3.9 控制HTTP作為一個管理協(xié)議
3.3.10 將CEF作為一種交換機(jī)制使用
3.3.11 從安全的角度來建立調(diào)度表
3.3.12 使用NTP
3.3.13 登錄標(biāo)志
3.3.14 捕獲存儲器信息轉(zhuǎn)存
3.3.15 在CPU高負(fù)載期間使用nagle服務(wù)以提高Telnet訪問
3.4 PIX防火墻安全
3.4.1 配置管理
3.4.2 控制對PIX的訪問
3.4.3 安全訪問PIX
3.4.4 密碼管理
3.4.5 記錄PIX事件
3.5 交換機(jī)安全
3.5.1 配置管理
3.5.2 控制對交換機(jī)的訪問
3.5.3 對交換機(jī)的安全訪問
3.5.4 記錄交換機(jī)事件
3.5.5 控制管理協(xié)議（基于SNMP的管理）
3.5.6 使用NTP
3.5.7 登錄標(biāo)志
3.5.8 捕獲存儲器信息轉(zhuǎn)存
3.6 小結(jié)
3.7 復(fù)習(xí)題
第4章 安全路由
4.1 將安全作為路由設(shè)計(jì)的一部分
4.1.1 路由過濾
4.1.2 收斂性
4.1.3 靜態(tài)路由
4.2 路由器和路由認(rèn)證
4.3 定向組播控制
4.4 黑洞過濾
4.5 單播反向路徑轉(zhuǎn)發(fā)
4.6 路徑完整性
4.6.1 ICMP重定向
4.6.2 IP源路由
4.7 實(shí)例研究：BGP路由協(xié)議安全
4.7.1 BGP對等認(rèn)證
4.7.2 輸入路由過濾
4.7.3 輸出路由過濾
4.7.4 BGP網(wǎng)絡(luò)通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本協(xié)商
4.7.8 維持路由表的深度和穩(wěn)定性
4.7.9 BGP鄰居狀態(tài)的日志記錄改變
4.8 實(shí)例研究：OSPF路由協(xié)議的安全
4.8.1 OSPF路由器認(rèn)證
4.8.2 OSPF非廣播鄰居配置
4.8.3 使用端區(qū)
4.8.4 使用回環(huán)接口作為路由器ID
4.8.5 開啟SPF計(jì)時器
4.8.6 路由過濾
4.9 小結(jié)
4.10 復(fù)習(xí)題
第5章 安全LAN交換
5.1 一般交換和第2層安全
5.2 端口安全
5.3 IP許可列表
5.4 協(xié)議過濾和控制LAN泛洪
5.5 Catalyst 6000上的專用VLAN
5.6 使用IEEE802.1x標(biāo)準(zhǔn)進(jìn)行端口認(rèn)證和訪問控制
5.6.1 802.1x實(shí)體
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口認(rèn)證
5.7 小結(jié)
5.8 復(fù)習(xí)題
第6章 網(wǎng)絡(luò)地址轉(zhuǎn)換與安全
6.1 網(wǎng)絡(luò)地址轉(zhuǎn)換的安全利益
6.2 依賴NAT提供安全的缺點(diǎn)
6.2.1 除了端口號信息外沒有協(xié)議信息跟蹤
6.2.2 基于PAT表沒有限制內(nèi)容流動的類型
6.2.3 初始連接上有限的控制
6.3 小結(jié)
6.4 復(fù)習(xí)題
第三部分 防火墻
第7章 什么是防火墻
7.1 防火墻
7.1.1 日志和通知能力
7.1.2 高容量的分組檢查
7.1.3 易于配置
7.1.4 設(shè)備安全和冗余
7.2 防火墻的類型
7.2.1 電路級防火墻
7.2.2 代理服務(wù)器防火墻
7.2.3 無狀態(tài)分組過濾器
7.2.4 有狀態(tài)分組過濾器
7.2.5 個人防火墻
7.3 防火墻的設(shè)置
7.4 小結(jié)
第8章 PIX防火墻
8.1 自適應(yīng)安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火墻的基本特性
8.2.1 使用ASA對流量進(jìn)行有狀態(tài)檢測
8.2.2 為接口分配可變的安全級別
8.2.3 訪問控制列表
8.2.4 擴(kuò)展的日志能力
8.2.5 基本的路由能力，包括對RIP的支持
8.2.6 網(wǎng)絡(luò)地址轉(zhuǎn)換
8.2.7 失效處理機(jī)制和冗余
8.2.8 認(rèn)證通過PIX的流量
8.3 PIX防火墻的高級特性
8.3.1 別名
8.3.2 X防護(hù)
8.3.3 高級過濾
8.3.4 多媒體支持
8.3.5 欺騙檢測或者單播 RPF
8.3.6 協(xié)議修正
8.3.7 多功能的sysopt命令
8.3.8 組播支持
8.3.9 分片處理
8.4 實(shí)例研究
8.4.1 帶有三個接口，運(yùn)行在DMZ的Web服務(wù)器上的PIX
8.4.2 為失效處理機(jī)制將PIX設(shè)置為二級設(shè)備
8.4.3 為DMZ上的服務(wù)器使用alias命令設(shè)置PIX
8.4.4 為貫穿式代理認(rèn)證和授權(quán)設(shè)置PIX
8.4.5 使用對象組和Turbo ACL來縮放PIX配置
8.5 小結(jié)
8.6 復(fù)習(xí)題
第9章 IOS防火墻
9.1 基于上下文的訪問控制
9.2 IOS防火墻的特性
9.2.1 傳輸層檢查
9.2.2 應(yīng)用層檢查
9.2.3 對無效命令進(jìn)行過濾
9.2.4 Java阻塞
9.2.5 保護(hù)網(wǎng)絡(luò)以免遭到拒絕服務(wù)攻擊
9.2.6 IOS防火墻中的分片處理
9.3 實(shí)例研究：配置了NAT的路由器上的CBAC
9.4 小結(jié)
9.5 復(fù)習(xí)題
第四部分 VPN
第10章 VPN的概念
10.1 VPN定義
10.2 基于加密與不加密的VPN類型比較
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基于OSI模型分層的VPN類型
10.3.1 數(shù)據(jù)鏈路層VPN
10.3.2 網(wǎng)絡(luò)層VPN
10.3.3 應(yīng)用層VPN
10.4 基于商業(yè)功能性的VPN類型
10.5 內(nèi)部網(wǎng)VPN
10.6 小結(jié)
第11章 GRE
11.1 GRE
11.2 實(shí)例研究
11.2.1 連接兩個專用網(wǎng)絡(luò)的簡單GRE隧道
11.2.2 多個站點(diǎn)間的GRE
11.2.3 運(yùn)行IPX的兩個站點(diǎn)間的GRE
11.3 小結(jié)
11.4 復(fù)習(xí)題
第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能細(xì)節(jié)
12.2.1 建立控制連接
12.2.2 建立會話
12.2.3 頭格式
12.3 實(shí)例研究
12.3.1 創(chuàng)建強(qiáng)制型L2TP隧道
12.3.2 在強(qiáng)制型隧道的創(chuàng)建中使用IPsec保護(hù)L2TP通信
12.4 小結(jié)
12.5 復(fù)習(xí)題
第13章 IPsec
13.1 IPsec VPN的類型
13.1.1 LAN-to-LAN IPsec實(shí)現(xiàn)
13.1.2 遠(yuǎn)程訪問客戶端IPsec實(shí)現(xiàn)
13.2 IPsec的組成
13.3 IKE介紹
13.3.1 主模式（或者主動模式）的目標(biāo)
13.3.2 快速模式的目標(biāo)
13.4 使用IKE協(xié)議的IPsec協(xié)商
13.4.1 使用預(yù)共享密鑰認(rèn)證的主模式后接快速模式的協(xié)商
13.4.2 使用數(shù)字簽名認(rèn)證后接快速模式的主模式
13.4.3 使用預(yù)共享密鑰認(rèn)證的主動模式
13.5 IKE認(rèn)證機(jī)制
13.5.1 預(yù)共享密鑰
13.5.2 數(shù)字簽名
13.5.3 加密臨時值
13.6 IPsec中加密和完整性檢驗(yàn)機(jī)制
13.6.1 加密
13.6.2 完整性檢驗(yàn)
13.7 IPsec中分組的封裝
13.7.1 傳輸模式
13.7.2 隧道模式
13.7.3 ESP（封裝安全負(fù)載）
13.7.4 AH（認(rèn)證頭）
13.8 增強(qiáng)遠(yuǎn)程訪問客戶端IPsec的IKE
13.8.1 擴(kuò)展認(rèn)證
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPsec失效對等體的發(fā)現(xiàn)機(jī)制
13.10 實(shí)例研究
13.10.1 使用預(yù)共享密鑰作為認(rèn)證機(jī)制的路由器到路由器的IPsec
13.10.2 使用數(shù)字簽名和數(shù)字證書的路由器到路由器的IPsec
13.10.3 使用RSA加密臨時值的路由器到路由器的IPsec
13.10.4 一對多路由器IPsec
13.10.5 High-Availability-IPsec-Over-GRE設(shè)置
13.10.6 使用x-auth、動態(tài)crypto映射、模式配置和預(yù)共享密鑰的遠(yuǎn)程訪問IPsec
13.10.7 LAN-to-LAN和遠(yuǎn)程訪問的PIX IPsec設(shè)置
13.10.8 使用自發(fā)型隧道的L2TP上的IPsec
13.10.9 IPsec隧道終點(diǎn)發(fā)現(xiàn)（TED）
13.10.10 NAT同IPsec的相互作用
13.10.11 防火墻和IPsec的相互作用
13.11 小結(jié)
13.12 復(fù)習(xí)題
第五部分 入侵檢測
第14章 什么是入侵檢測
14.1 對入侵檢測的需求
14.2 基于攻擊模式的網(wǎng)絡(luò)攻擊類型
14.2.1 拒絕服務(wù)攻擊
14.2.2 網(wǎng)絡(luò)訪問攻擊
14.3 基于攻擊發(fā)起者的網(wǎng)絡(luò)攻擊類型
14.3.1 由受信任的（內(nèi)部）用戶發(fā)起的攻擊
14.3.2 由不受信任的（外部）用戶發(fā)起的攻擊
14.3.3 由沒有經(jīng)驗(yàn)的"腳本少年"黑客發(fā)起的攻擊
14.3.4 由有經(jīng)驗(yàn)的"專業(yè)"黑客發(fā)起的攻擊
14.4 常見的網(wǎng)絡(luò)攻擊
14.4.1 拒絕服務(wù)攻擊
14.4.2 資源耗盡類型的DoS攻擊
14.4.3 旨在導(dǎo)致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型
14.4.4 網(wǎng)絡(luò)訪問攻擊
14.5 檢測入侵的過程
14.6 實(shí)例研究：Kevin Metnick對 Tsutomu Shimomura的計(jì)算機(jī)進(jìn)行的攻擊以及IDS是如何扭轉(zhuǎn)敗局的
14.7 小結(jié)
第15章 Cisco安全入侵檢測
15.1 Cisco安全I(xiàn)DS的組件
15.2 構(gòu)建管理控制臺
15.2.1 兩種類型的管理控制臺
15.2.2 UNIX Director的內(nèi)部結(jié)構(gòu)
15.2.3 CSPM IDS控制臺的內(nèi)部結(jié)構(gòu)
15.3 構(gòu)建探測器
15.4 對入侵的響應(yīng)
15.4.1 日志記錄
15.4.2 TCP重置
15.4.3 屏蔽
15.5 簽名類型
15.5.1 簽名引擎（Engine）
15.5.2 缺省的警報(bào)級別
15.6 把路由器、PIX或者IDSM作為探測器使用
15.7 實(shí)例研究
15.7.1 把路由器作為探測器設(shè)備使用
15.7.2 把PIX作為探測器設(shè)備使用
15.7.3 把Catalyst 6000 IDSM作為探測器使用
15.7.4 設(shè)置路由器或者UNIX Director進(jìn)行屏蔽
15.7.5 創(chuàng)建定制的簽名
15.8 小結(jié)
15.9 復(fù)習(xí)題
第六部分 網(wǎng)絡(luò)訪問控制
第16章 AAA
16.1 AAA組件的定義
16.2 認(rèn)證概述
16.3 設(shè)置認(rèn)證
16.3.1 啟用AAA
16.3.2 設(shè)置一個本地用戶認(rèn)證參數(shù)數(shù)據(jù)庫或者設(shè)置對配置好的RADIUS或TACACS+服務(wù)器的訪問
16.3.3 設(shè)置方法列表
16.3.4 應(yīng)用方法列表
16.4 授權(quán)概述
16.5 設(shè)置授權(quán)
16.5.1 設(shè)置方法列表
16.5.2 應(yīng)用方法列表
16.6 統(tǒng)計(jì)概述
16.7 設(shè)置統(tǒng)計(jì)
16.7.1 設(shè)置一個方法列表
16.7.2 將方法列表應(yīng)用到行和/或者接口
16.8 實(shí)例研究
16.8.1 使用AAA對PPP連接進(jìn)行認(rèn)證和授權(quán)
16.8.2 使用AAA下載路由和應(yīng)用訪問列表
16.8.3 使用AAA設(shè)置PPP超時
16.9 小結(jié)
16.10 復(fù)習(xí)題
第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信體系結(jié)構(gòu)
17.3 TACACS+分組加密
17.4 TACACS+的認(rèn)證
17.5 TACACS+的授權(quán)
17.6 TACACS+的統(tǒng)計(jì)
17.7 小結(jié)
17.8 復(fù)習(xí)題
第18章 RADIUS
18.1 RADIUS介紹
18.2 RADIUS通信的體系結(jié)構(gòu)
18.2.1 RADIUS分組格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的認(rèn)證
18.2.4 RADIUS的授權(quán)
18.2.5 RADIUS的統(tǒng)計(jì)
18.3 小結(jié)
18.4 復(fù)習(xí)題
第19章 使用AAA實(shí)現(xiàn)安全特性的特殊實(shí)例
19.1 使用AAA對IPsec提供預(yù)共享的密鑰
19.2 在ISAKMP中對X-Auth使用AAA
19.3 對Auth-Proxy使用AAA
19.4 對VPDN使用AAA
19.5 對鎖和密鑰使用AAA
19.6 對命令授權(quán)使用AAA
19.7 小結(jié)
19.8 復(fù)習(xí)題
第七部分 服務(wù)提供商安全
第20章 服務(wù)提供商安全的利益和挑戰(zhàn)
20.1 擁有服務(wù)提供商安全的動機(jī)
20.1.1 阻止攻擊并致偏的能力
20.1.2 跟蹤流量模式的能力
20.1.3 向下跟蹤攻擊源的能力
20.2 在服務(wù)提供商級別上實(shí)現(xiàn)安全的挑戰(zhàn)
20.3 服務(wù)提供商安全的關(guān)鍵組件
20.4 小結(jié)
20.5 復(fù)習(xí)題
第21章 有效使用訪問控制列表
21.1 訪問控制列表概述
21.1.1 ACL的類型
21.1.2 ACL的特性和特征
21.2 使用訪問控制列表阻止未經(jīng)授權(quán)的訪問
21.2.1 ACL的基本訪問控制功能
21.2.2 使用ACL阻塞ICMP分組
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組
21.2.4 用ACL阻塞去往網(wǎng)絡(luò)中不可用服務(wù)的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL識別拒絕服務(wù)攻擊
21.3.1 使用訪問控制列表識別smurf攻擊
21.3.2 使用訪問控制列表識別fraggle攻擊
21.3.3 使用訪問控制列表識別SYN泛洪
21.4 使用ACL阻止拒絕服務(wù)攻擊
21.4.1 使用ACL阻止來自不合法IP地址的流量
21.4.2 過濾RFC 1918地址空間
21.4.3 拒絕其他不必要的流量
21.5 通過ACL處理IP分片
21.5.1 過濾IP分片
21.5.2 保護(hù)網(wǎng)絡(luò)免遭IP分片攻擊
21.6 ACL對性能的影響
21.7 Turbo ACL
21.8 NetFlow交換和ACL
21.8.1 NetFlow交換功能
21.8.2 NetFlow交換使訪問控制列表性能增強(qiáng)
21.8.3 使用NetFlow
21.9 小結(jié)
21.10 復(fù)習(xí)題
第22章 使用NBAR識別和控制攻擊
22.1 NBAR概述
22.2 使用NBAR對分組進(jìn)行分類
22.3 使用NBAR檢測網(wǎng)絡(luò)攻擊
22.3.1 用帶有簡單訪問控制列表的DSCP或ToS標(biāo)記或丟棄分組
22.3.2 使用帶有策略路由的DSCP或者ToS來標(biāo)記或丟棄經(jīng)NBAR分類的流量
22.3.3 用流量管制管理經(jīng)NBAR分類的流量
22.4 聯(lián)合使用NBAR和PDLM對網(wǎng)絡(luò)攻擊分類
22.5 使用基于NBAR的訪問控制技術(shù)對性能的影響
22.6 實(shí)例研究：紅色代碼病毒和NBAR
22.7 小結(jié)
22.8 復(fù)習(xí)題
第23章 使用CAR控制攻擊
23.1 CAR概述
23.2 使用CAR限制速率或者丟棄額外的惡意流量
23.2.1 限制拒絕服務(wù)攻擊的速率
23.2.2 限制可疑惡意內(nèi)容的速率
23.3 實(shí)例研究：使用CAR限制DDoS攻擊
23.4 小結(jié)
23.5 復(fù)習(xí)題
第八部分 疑難解析
第24章 網(wǎng)絡(luò)安全實(shí)施疑難解析
24.1 NAT疑難解析
24.1.1 NAT操作的順序
24.1.2 NAT調(diào)試工具
24.1.3 NAT show命令
24.1.4 常見的NAT問題以及解決方案
24.2 PIX防火墻疑難解析
24.2.1 引起與PIX相關(guān)的問題的根源
24.2.2 PIX中NAT操作的順序
24.2.3 PIX調(diào)試
24.2.4 推薦的PIX 6.2超時值
24.2.5 PIX show命令
24.2.6 常見的PIX問題及其解決方法
24.2.7 PIX疑難解析實(shí)例研究
24.3 IOS防火墻疑難解析
24.3.1 IOS防火墻中的操作順序
24.3.2 IOS防火墻的show命令
24.3.3 常見的IOS防火墻問題及其解決辦法
24.4 IPsec VPN疑難解析
24.4.1 IPsec事件的執(zhí)行順序
24.4.2 IPsec的調(diào)試
24.4.3 IPsec show命令
24.4.4 常見的IPsec問題以及解決辦法
24.5 入侵檢測疑難解析
24.6 AAA疑難解析
24.6.1 AAA show 命令
24.6.2 AAA的debug命令
24.6.3 常見的AAA問題和解決辦法
24.7 小結(jié)
24.8 復(fù)習(xí)題
第九部分 附錄
附錄A 復(fù)習(xí)題答案
附錄B SAFE：企業(yè)網(wǎng)絡(luò)安全藍(lán)圖白皮書