網(wǎng)絡(luò)安全性設(shè)計(jì)（第二版）

第一部分　安全基礎(chǔ)

第1章　基本密碼學(xué)　3
1.1　密碼學(xué)　3
1.1.1　對(duì)稱密鑰加密　4
1.1.2　非對(duì)稱加密　8
1.1.3　哈希函數(shù)　11
1.1.4　數(shù)字簽名　12
1.2　認(rèn)證和授權(quán)　14
1.2.1　認(rèn)證方式　14
1.2.2　信任模型　14
1.3　命名空間　15
1.4　密鑰管理　16
1.4.1　創(chuàng)建和分配密鑰　16
1.4.2　創(chuàng)建和分配公鑰　19
1.5　密鑰托管　21
1.5.1　商業(yè)情況　22
1.5.2　政治角度(美國(guó))　22
1.5.3　人為因素　22
1.6　小結(jié)　23
1.7　復(fù)習(xí)題　23

第2章　安全技術(shù)　27
2.1　身份技術(shù)　28
2.1.1　安全口令　28
2.1.2　PPP(點(diǎn)對(duì)點(diǎn))認(rèn)證協(xié)議　32
2.1.3　使用認(rèn)證機(jī)制的協(xié)議　39
2.2　應(yīng)用層安全協(xié)議　52
2.2.1　SHTTP　52
2.2.2　S/MIME　53
2.3　傳輸層安全協(xié)議　55
2.3.1　安全套接層/傳輸層安全協(xié)議　55
2.3.2　SSH協(xié)議　58
2.3.3　套接字(SOCKS)協(xié)議　59
2.4　網(wǎng)絡(luò)層安全　60
2.5　數(shù)據(jù)鏈路層安全技術(shù)　75
2.5.1　二層轉(zhuǎn)發(fā)協(xié)議　75
2.5.2　點(diǎn)對(duì)點(diǎn)隧道協(xié)議　77
2.5.3　二層隧道協(xié)議　79
2.5.4　PPPoE　83
2.6　公鑰體制和分配模型　84
2.6.1　PKI的功能　85
2.6.2　使用PKI的場(chǎng)景實(shí)例　86
2.6.3　證書　86
2.6.4　X.509標(biāo)準(zhǔn)　87
2.6.5　證書分發(fā)　89
2.7　小結(jié)　89
2.8　復(fù)習(xí)題　90

第3章　安全技術(shù)在實(shí)際網(wǎng)絡(luò)中的應(yīng)用　93
3.1　虛擬專用網(wǎng)(VPN)　93
3.1.1　VPN調(diào)度模型　93
3.1.2　VPN安全　96
3.1.3　訪問(wèn)VPN　103
3.1.4　內(nèi)部網(wǎng)/外部網(wǎng)的VPN　104
3.2　無(wú)線網(wǎng)絡(luò)　104
3.2.1　無(wú)線技術(shù)的類型　105
3.2.2　無(wú)線局域網(wǎng)組件　106
3.2.3　無(wú)線局域網(wǎng)調(diào)度模型　106
3.2.4　802.11物理層基礎(chǔ)知識(shí)　108
3.2.5　無(wú)線局域網(wǎng)(WLAN)安全　114
3.3　VoIP網(wǎng)絡(luò)　122
3.3.1　IP電話網(wǎng)組件　123
3.3.2　IP電話調(diào)度模型　123
3.3.3　VoIP協(xié)議　124
3.3.4　介質(zhì)網(wǎng)關(guān)控制協(xié)議(MGCP)　129
3.3.5　初始會(huì)話協(xié)議(SIP)　129
3.3.6　VoIP安全協(xié)議　133
3.3.7　VoIP安全解決方案　138
3.4　小結(jié)　139
3.5　復(fù)習(xí)題　140

第4章　路由協(xié)議安全　143
4.1　路由基本知識(shí)　143
4.1.1　路由協(xié)議分類　144
4.1.2　路由協(xié)議安全性　145
4.2　路由協(xié)議安全細(xì)節(jié)　148
4.2.1　RIP　148
4.2.2　EIGRP　153
4.2.3　OSPF　155
4.2.4　IS-IS　159
4.2.5　BGP-4　162
4.3　小結(jié)　163
4.4　復(fù)習(xí)題　164

第二部分　企業(yè)安全策略

第5章　企業(yè)網(wǎng)中的威脅　169
5.1　威脅的類型　170
5.1.1　未授權(quán)的訪問(wèn)　170
5.1.2　假冒　175
5.1.3　拒絕服務(wù)　178
5.1.4　DDoS(分布式拒絕服務(wù)攻擊)　178
5.2　威脅的動(dòng)機(jī)　181
5.3　常見(jiàn)協(xié)議的脆弱性　181
5.3.1　TCP/IP協(xié)議　182
5.3.2　UDP協(xié)議　186
5.3.3　ICMP協(xié)議　186
5.3.4　DNS協(xié)議　188
5.3.5　NNTP協(xié)議　191
5.3.6　SMTP協(xié)議　191
5.3.7　FTP協(xié)議　192
5.3.8　遠(yuǎn)程過(guò)程調(diào)用(RPC)服務(wù)　192
5.3.9　NFS/NIS服務(wù)　193
5.3.10　X Window系統(tǒng)　194
5.4　常見(jiàn)網(wǎng)絡(luò)方案威脅和脆弱性　194
5.4.1　虛擬專用網(wǎng)　194
5.4.2　無(wú)線網(wǎng)絡(luò)　196
5.4.3　IP上的語(yǔ)音網(wǎng)(VoIP)　199
5.5　路由協(xié)議　202
5.6　社會(huì)工程　203
5.7　小結(jié)　203
5.8　復(fù)習(xí)題　203

第6章　站點(diǎn)安全策略的注意事項(xiàng)　207
6.1　何處入手　208
6.2　風(fēng)險(xiǎn)管理　209
6.2.1　評(píng)估風(fēng)險(xiǎn)　210
6.2.2　風(fēng)險(xiǎn)緩解和安全成本　214
6.3　安全策略框架　216
6.3.1　企業(yè)網(wǎng)的組成部分　216
6.3.2　安全體系結(jié)構(gòu)的要素　217
6.3.3　其他考慮的因素　219
6.4　小結(jié)　220
6.5　復(fù)習(xí)題　220

第7章　企業(yè)安全策略的設(shè)計(jì)與實(shí)施　223
7.1　物理安全控制　224
7.1.1　物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施　224
7.1.2　物理設(shè)備安全性　227
7.1.3　物理安全控制策略實(shí)例　229
7.2　邏輯安全控制　230
7.2.1　子網(wǎng)邊界　230
7.2.2　邏輯訪問(wèn)控制　235
7.2.3　邏輯安全控制策略實(shí)例　237
7.3　基礎(chǔ)設(shè)施和數(shù)據(jù)完整性　238
7.3.1　防火墻　238
7.3.2　網(wǎng)絡(luò)服務(wù)　240
7.3.3　經(jīng)認(rèn)證的數(shù)據(jù)　241
7.3.4　常見(jiàn)攻擊的防范　242
7.3.5　基礎(chǔ)設(shè)施和數(shù)據(jù)完整性策略實(shí)例　243
7.4　數(shù)據(jù)機(jī)密性　243
7.5　安全策略驗(yàn)證與監(jiān)控　244
7.5.1　脆弱性掃描器　244
7.5.2　賬戶管理　244
7.5.3　安全管理　244
7.5.4　入侵檢測(cè)　245
7.5.5　驗(yàn)證和監(jiān)控部分實(shí)例　246
7.6　為員工制定的策略和步驟　247
7.6.1　安全備份　247
7.6.2　設(shè)備認(rèn)證　247
7.6.3　使用便攜工具　247
7.6.4　審計(jì)跟蹤　248
7.6.5　員工策略和步驟實(shí)例　249
7.7　安全意識(shí)培訓(xùn)　249
7.8　小結(jié)　250
7.9　復(fù)習(xí)題　250

第8章　事故處理　253
8.1　建立事故響應(yīng)小組　255
8.2　檢測(cè)事故　256
8.2.1　跟蹤重要信息　256
8.2.2　入侵檢測(cè)系統(tǒng)　256
8.3　處理事故　260
8.3.1　重點(diǎn)采取的行為　260
8.3.2　評(píng)估事故損害　261
8.3.3　報(bào)告和報(bào)警過(guò)程　261
8.4　減少事故脆弱性　262
8.5　對(duì)事故的響應(yīng)　263
8.5.1　保存準(zhǔn)確的文檔記錄　263
8.5.2　現(xiàn)實(shí)世界中的實(shí)例　263
8.6　從事故中恢復(fù)　264
8.7　小結(jié)　265
8.8　復(fù)習(xí)題　265

第三部分　具體的實(shí)現(xiàn)

第9章　確保企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全　269
9.1　身份——控制網(wǎng)絡(luò)設(shè)備的訪問(wèn)　270
9.1.1　基本訪問(wèn)和特權(quán)訪問(wèn)　270
9.1.2　線路訪問(wèn)控制　282
9.2　完整性　291
9.2.1　映象認(rèn)證　292
9.2.2　安全工作組　292
9.2.3　路由認(rèn)證　293
9.2.4　路由過(guò)濾器和路由可信度　294
9.3　數(shù)據(jù)機(jī)密性　296
9.4　網(wǎng)絡(luò)可用性　297
9.4.1　冗余功能　297
9.4.2　防范常見(jiàn)的攻擊　303
9.5　審計(jì)　305
9.5.1　確認(rèn)配置　305
9.5.2　監(jiān)控和記錄網(wǎng)絡(luò)活動(dòng)　306
9.5.3　入侵檢測(cè)　308
9.5.4　進(jìn)一步的討論　311
9.6　實(shí)現(xiàn)的范例　311
9.7　小結(jié)　317
9.8　復(fù)習(xí)題　317

第10章　確保因特網(wǎng)訪問(wèn)安全　321
10.1　因特網(wǎng)訪問(wèn)體系結(jié)構(gòu)　321
10.2　外部屏蔽路由器體系結(jié)構(gòu)　323
10.3　高級(jí)防火墻體系結(jié)構(gòu)　331
10.3.1　高級(jí)報(bào)文分組會(huì)話過(guò)濾　332
10.3.2　應(yīng)用內(nèi)容過(guò)濾　333
10.3.3　URL過(guò)濾/隔離　333
10.3.4　電子郵件和SMTP　333
10.3.5　其他常用的應(yīng)用協(xié)議　334
10.3.6　應(yīng)用認(rèn)證/授權(quán)　336
10.3.7　加密　337
10.3.8　網(wǎng)絡(luò)地址轉(zhuǎn)換　340
10.4　實(shí)現(xiàn)的范例　342
10.4.1　Cisco IOS防火墻　342
10.4.2　PIX防火墻　349
10.5　小結(jié)　359
10.6　復(fù)習(xí)題　359

第11章　確保遠(yuǎn)程撥入訪問(wèn)的安全　363
11.1　撥號(hào)接入的安全性因素　364
11.2　認(rèn)證撥號(hào)接入的用戶和設(shè)備　365
11.2.1　簡(jiǎn)單撥號(hào)接入環(huán)境　365
11.2.2　復(fù)雜撥號(hào)接入環(huán)境　370
11.3　授權(quán)　374
11.4　賬戶管理和記賬　379
11.4.1　TACACS+和RADIUS賬戶管理　379
11.4.2　集中記賬　380
11.5　使用AAA的特殊功能　382
11.5.1　鎖和密鑰功能　382
11.5.2　雙重認(rèn)證/授權(quán)　387
11.6　為虛擬撥號(hào)接入環(huán)境提供加密　393
11.6.1　GRE隧道和CET　393
11.6.2　IPSec　400
11.6.3　帶有IPSec的L2TP　405
11.7　小結(jié)　420
11.8　復(fù)習(xí)題　420

第12章　確保VPN、無(wú)線網(wǎng)絡(luò)及VoIP網(wǎng)絡(luò)的安全　423
12.1　虛擬專用網(wǎng)(VPN)　423
12.1.1　身份　425
12.1.2　完整性　433
12.1.3　機(jī)密性　433
12.1.4　可用性　433
12.1.5　審計(jì)　434
12.1.6　VPN設(shè)計(jì)實(shí)例　434
12.2　無(wú)線網(wǎng)絡(luò)　435
12.2.1　身份　436
12.2.2　完整性　437
12.2.3　機(jī)密性　437
12.2.4　可用性　437
12.2.5　審計(jì)　438
12.2.6　無(wú)線網(wǎng)絡(luò)設(shè)計(jì)實(shí)例　438
12.3　IP語(yǔ)音網(wǎng)絡(luò)(VoIP)　439
12.3.1　身份　439
12.3.2　完整性　443
12.3.3　機(jī)密性　443
12.3.4　可用性　444
12.3.5　審計(jì)　444
12.3.6　VoIP網(wǎng)絡(luò)設(shè)計(jì)參考　445
12.4　小結(jié)　445
12.5　復(fù)習(xí)題　445

第四部分　附錄

附錄A　技術(shù)信息資源　449
附錄B　報(bào)告和預(yù)防指南：工業(yè)間諜和網(wǎng)絡(luò)入侵　453
附錄C　端口號(hào)　465
附錄D　緩減分布式拒絕服務(wù)攻擊　469
附錄E　復(fù)習(xí)題答案　495

術(shù)語(yǔ)表　509