網(wǎng)絡安全實用技術標準教程

第1章 網(wǎng)絡安全概述 1
1.1 概述 1
1.2 網(wǎng)絡安全設計準則 2
1.2.1 綜合性、整體性原則 2
1.2.2 需求、風險、代價平衡的原則 2
1.2.3 一致性原則 2
1.2.4 易操作性原則 3
1.2.5 分步實施原則 3
1.2.6 多重保護原則 3
1.2.7 可評價性原則 3
習題 3
第2章 認證和訪問控制技術 4
2.1 身份認證技術 4
2.1.1 概述 4
2.1.2 認證：CA 6
2.1.3 PKI技術 6
2.2 訪問控制 10
2.2.1 一次性口令技術 10
2.2.2 單點登錄（SSO）技術 11
2.3 認證服務系統(tǒng)的設計 13
2.3.1 AAA概述 13
2.3.2 RASIUS技術 14
2.3.3 TACACS和TACACS+ 19
習題 21
第3章 防火墻技術 22
3.1 防火墻基礎 22
3.1.1 防火墻基礎知識 22
3.1.2 防火墻的模型 25
3.1.3 防火墻的基本安全策略 25
3.1.4 防火墻技術分析 26
3.2 防火墻的分類 29
3.2.1 技術分類 30
3.2.2 按照使用范圍分類 31
3.2.3 按照硬件架構分類 35
3.3 防火墻的功能及其指標 36
3.3.1 防火墻的功能 36
3.3.2 防火墻的指標 40
3.4 防火墻關鍵技術 41
3.4.1 包過濾技術 41
3.4.2 代理技術 43
3.4.3 狀態(tài)監(jiān)測技術 45
3.5 防火墻的體系結構 46
3.5.1 包過濾路由器 46
3.5.2 雙重宿主主機結構 46
3.5.3 屏蔽主機結構 47
3.5.4 DMZ或屏蔽子網(wǎng)結構 48
3.5.5 多重堡壘主機結構 49
3.5.6 使用多臺內(nèi)部路由器 50
3.6 防火墻設計 50
3.6.1 網(wǎng)絡結構分析 50
3.6.2 DMZ網(wǎng)絡設計 52
3.6.3 內(nèi)部網(wǎng)絡設計 58
3.6.4 高可用性設計 59
3.7 常見的防火墻產(chǎn)品介紹 63
3.7.1 Microsoft ISA Server簡介 63
3.7.2 PIX簡介 64
3.7.3 NetScreen簡介 65
3.8 Linux防火墻與IPTables技術 66
3.8.1 概述 66
3.8.2 原理 66
3.8.3 IPTbales操作 68
3.8.4 IPTables與Ipchains的區(qū)別 73
3.9 對防火墻的攻擊 75
3.9.1 IP地址欺騙 75
3.9.2 TCP序號攻擊 75
3.9.3 IP分段攻擊 76
3.9.4 基于附加信息的攻擊 77
3.9.5 基于堡壘主機Web服務器的攻擊 77
3.9.6 IP隧道攻擊 77
3.9.7 計算機病毒攻擊 77
3.9.8 特洛伊木馬攻擊 77
3.9.9 報文攻擊 78
3.10 防火墻的其他功能 78
3.10.1 防火墻負載均衡技術 78
3.10.2 防火墻的VPN功能 79
3.10.3 防火墻與IDS聯(lián)動功能 80
習題 80
第4章 網(wǎng)絡層防范 81
4.1 網(wǎng)絡基礎 81
4.1.1 網(wǎng)絡體系結構 81
4.1.2 TCP/IP的體系結構 82
4.1.3 以太網(wǎng)工作機制 85
4.1.4 IP：Internet Protocol 91
4.2 路由協(xié)議和DNS分析 93
4.2.1 Internet路由和路由器 93
4.2.2 BGP原理與安全防范 97
4.2.3 OSPF和RIP安全防范 108
4.2.4 DNS安全防范 111
4.3 數(shù)據(jù)鏈路層攻擊分析與防范 113
4.3.1 ARP原理與安全防范 113
4.3.2 CDP原理與安全防范 123
4.3.3 VLAN與VTP原理與安全防范 124
4.3.4 DHCP原理與攻擊防范 126
4.4 安全路由器配置 132
4.4.1 路由器面臨的安全威脅分析 132
4.4.2 安全過濾策略 133
4.4.3 路由器安全分析 135
4.4.4 路由器標準配置 137
習題 153
第5章 入侵偵測技術 154
5.1 入侵偵測技術概述 154
5.2 入侵偵測系統(tǒng) 155
5.2.1 入侵偵測系統(tǒng)分類 155
5.2.2 入侵偵測系統(tǒng)的優(yōu)缺點 155
5.2.3 入侵偵測系統(tǒng)的部署方法 157
5.2.4 入侵偵測系統(tǒng)的關鍵指標 159
5.3 入侵偵測技術 162
5.3.1 基于異常的入侵偵測技術 162
5.3.2 基于模式的入侵偵測技術 163
5.3.3 入侵偵測技術的未來 164
5.4 常見入侵偵測系統(tǒng) 164
5.4.1 Snort系統(tǒng) 164
5.4.2 綠盟冰之眼入侵偵測系統(tǒng)簡介 171
習題 173
第6章 虛擬專用網(wǎng)（VPN） 174
6.1 VPN技術總論 174
6.1.1 VPN技術概述 174
6.1.2 VPN技術分類 175
6.2 三層VPN技術 178
6.2.1 三層VPN概述 178
6.2.2 MPLS VPN及其相關技術 179
6.2.3 MPLS VPN的一般配置 193
6.2.4 VPN的安全性 195
6.3 二層VPN技術 197
6.3.1 二層MPLS VPN技術概述 198
6.3.2 VPLS技術詳解 200
習題 203
第7章 其他常用防御手段 204
7.1 HoneyNet與HoneyPot 204
7.2 防病毒技術 205
7.2.1 概述 205
7.2.2 病毒的傳播與防護 207
7.2.3 病毒防護的案例 208
7.3 災難備份技術 210
7.3.1 概述 210
7.3.2 RAID技術 210
習題 212
第8章 漏洞掃描技術 213
8.1 掃描技術概述 213
8.1.1 概述 213
8.1.2 掃描器的分類 214
8.1.3 掃描器的優(yōu)缺點 214
8.2 掃描原理與技術 215
8.2.1 TCP協(xié)議字段的含義 215
8.2.2 端口掃描技術 216
8.2.3 主機掃描技術 220
8.3 漏洞掃描的指標與常見產(chǎn)品 221
8.3.1 漏洞掃描器的指標 221
8.3.2 常見產(chǎn)品介紹 223
8.3.3 Nmap的安裝使用 224
8.3.4 綠盟科技的極光遠程安全評估系統(tǒng) 226
8.4 漏洞掃描技術發(fā)展動態(tài)和趨勢 229
習題 230
第9章 其他常用攻擊手段 231
9.1 常用攻擊技術 231
9.1.1 網(wǎng)絡攻擊的步驟 231
9.1.2 拒絕服務攻擊技術簡介 234
9.1.3 利用型攻擊 235
9.1.4 IP欺騙技術和TCP欺騙技術 236
習題 236
第10章 風險評估 237
10.1 風險評估概述 237
10.1.1 概述 237
10.1.2 風險評估相關術語 238
10.1.3 風險評估的風險模型 242
10.2 風險評估的國際標準 244
10.2.1 信息安全管理標準ISO 17799和BS7799 244
10.2.2 信息安全通用準則ISO 15408 246
10.2.3 系統(tǒng)安全工程能力成熟模型SSE-CMM 247
10.2.4 信息安全管理指南ISO 13335 248
10.3 風險評估分析方法 250
10.3.1 風險評估分析方法的分類 250
10.3.2 定量分析方法 250
10.3.3 定性分析方法 251
10.3.4 現(xiàn)有的安全風險評估工具 252
10.4 風險評估的過程 252
10.4.1 概述 252
10.4.2 確定評估范圍 252
10.4.3 執(zhí)行階段 253
10.4.4 風險分析和報告階段 255
10.5 實例：手工評估報告和風險計算方法 255
10.5.1 手工評估對象 255
10.5.2 主機信息 256
10.5.3 Solaris系統(tǒng) 262
10.5.4 Red Hat Linux系統(tǒng) 263
10.5.5 HP-UX系統(tǒng) 264
10.5.6 Windows系統(tǒng) 265
10.5.7 風險控制 268
10.6 風險評估注意事項 268
10.6.1 可持續(xù)性要求 268
10.6.2 建立安全信息庫 269
習題 269
第11章 安全體系 270
11.1 網(wǎng)絡安全模型 270
11.2 安全體系結構 274
11.2.1 概述 274
11.2.2 ISO 7498-2 274
11.3 Internet的網(wǎng)絡安全體系結構 278
11.3.1 物理安全 278
11.3.2 網(wǎng)絡安全 278
11.3.3 信息安全 280
11.3.4 安全管理 283
習題 284