網(wǎng)絡(luò)工程師必讀：網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

第1章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述／1
1.1 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ)／2
1.1.1 網(wǎng)絡(luò)安全的發(fā)展／2
1.1.2 網(wǎng)絡(luò)安全威脅基礎(chǔ)／4
1.1.3 企業(yè)網(wǎng)絡(luò)的主要安全隱患／6
1.1.4 網(wǎng)絡(luò)安全系統(tǒng)的基本組成／7
1.2 OSI/RM各層的安全保護(hù)／9
1.2.1 物理層的安全保護(hù)／9
1.2.2 數(shù)據(jù)鏈路層的安全保護(hù)／11
1.2.3 網(wǎng)絡(luò)層的安全保護(hù)／12
1.2.4 傳輸層的安全保護(hù)／13
1.2.5 會(huì)話層和表示層的安全保護(hù)／14
1.2.6 應(yīng)用層的安全保護(hù)／15
1.3 系統(tǒng)層的安全保護(hù)／16
1.4 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)／16
1.4.1 網(wǎng)絡(luò)安全策略／16
1.4.2 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本原則／17
1.5 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本思路／20
1.5.1 安全隱患分析和基本系統(tǒng)結(jié)構(gòu)信息的收集／20
1.5.2 調(diào)查和分析當(dāng)前網(wǎng)絡(luò)的安全需求／23
1.5.3 評(píng)估現(xiàn)有網(wǎng)絡(luò)安全策略／24
1.5.4 設(shè)計(jì)細(xì)化的新網(wǎng)絡(luò)安全策略初稿／25
1.5.5 第一次小范圍的測(cè)試、評(píng)估和修改／31
1.5.6 第二次中、大范圍的測(cè)試、評(píng)估和修改／32
1.5.7 新網(wǎng)絡(luò)安全策略文檔終稿／32
1.5.8 新網(wǎng)絡(luò)安全策略系統(tǒng)的正式應(yīng)用／32
第2章 物理層的網(wǎng)絡(luò)安全保護(hù)方案／33
2.1 物理層安全保護(hù)概述／34
2.2 物理層的線路竊聽(tīng)技術(shù)分析／34
2.3 計(jì)算機(jī)網(wǎng)絡(luò)通信線路屏蔽／35
2.3.1 選擇屏蔽性能好的傳輸介質(zhì)和適配器／36
2.3.2 屏蔽機(jī)房和機(jī)柜的選擇／38
2.3.3 WLAN無(wú)線網(wǎng)絡(luò)的物理層安全保護(hù)／39
2.4 物理線路隔離／40
2.4.1 主要物理隔離產(chǎn)品／40
2.4.2 物理隔離網(wǎng)閘的隔離原理／43
2.4.3 物理隔離網(wǎng)閘的典型應(yīng)用／46
2.5 設(shè)備和線路冗余／46
2.5.1 網(wǎng)絡(luò)設(shè)備部件冗余／47
2.5.2 網(wǎng)絡(luò)設(shè)備整機(jī)冗余／49
2.5.3 網(wǎng)絡(luò)線路冗余／51
2.6 機(jī)房和賬戶安全管理／51
2.6.1 機(jī)房安全管理／51
2.6.2 賬戶安全管理／52
2.7 數(shù)據(jù)安全管理／52
2.7.1 數(shù)據(jù)容災(zāi)概述／53
2.7.2 容災(zāi)與存儲(chǔ)、容錯(cuò)、備份和遠(yuǎn)程復(fù)制的關(guān)系／54
2.7.3 數(shù)據(jù)容災(zāi)等級(jí)／56
2.7.4 災(zāi)難恢復(fù)的關(guān)鍵注意事項(xiàng)／60
2.8 物理層安全管理工具／61
2.8.1 泛達(dá)綜合布線實(shí)時(shí)管理系統(tǒng)／61
2.8.2 Molex綜合布線實(shí)時(shí)管理系統(tǒng)／64
2.9 服務(wù)和服務(wù)賬戶安全規(guī)劃／66
2.9.1 服務(wù)和服務(wù)賬戶安全規(guī)劃概述／66
2.9.2 服務(wù)的安全漏洞和賬戶／67
2.9.3 WindowsServer2003中服務(wù)的默認(rèn)安全設(shè)置更改／69
2.9.4 安全運(yùn)行服務(wù)的原則／70
2.9.5 如何更安全地運(yùn)行服務(wù)／72
第3章 數(shù)據(jù)鏈路層的安全保護(hù)方案／81
3.1 典型數(shù)據(jù)加密算法／82
3.1.1 基于“消息摘要”的算法／82
3.1.2 “對(duì)稱(chēng)/非對(duì)稱(chēng)密鑰”加密算法／85
3.2 數(shù)據(jù)加密／87
3.2.1 數(shù)據(jù)加密技術(shù)／87
3.2.2 鏈路加密機(jī)／90
3.2.3 網(wǎng)卡集成式鏈路加密原理／92
3.3 WLANSSID安全技術(shù)及配置方法／94
3.3.1 SSID概念及配置方法／94
3.3.2 BSSID和ESSID／95
3.3.3 SSID的安全問(wèn)題／96
3.4 WLANMAC地址過(guò)濾／97
3.5 WLANWEP加密／98
3.5.1 WEP加密原理／98
3.5.2 WEP解密原理／99
3.5.3 WEP加密的不足／99
3.5.4 WEP加密的配置方法／100
3.6 WPA加密／102
3.6.1 WPA的WLAN鏈路加密／102
3.6.2 WPA中的IEEE802.1 x身份認(rèn)證系統(tǒng)／103
3.6.3 EAPOL消息的封裝／105
3.6.4 IEEE802.1 x的認(rèn)證過(guò)程／107
3.7 WPA2加密／111
3.7.1 WPA2簡(jiǎn)介／111
3.7.2 AES-CCMP基礎(chǔ)／112
3.7.3 AES算法的基本原理／113
3.7.4 WPA2AES-CCMP加/解密原理／115
3.8 無(wú)線AP/路由器的WPA和WPA2設(shè)置／118
3.8.1 個(gè)人用戶無(wú)線AP/路由器的WPA-PSK或WPA2-PSK設(shè)置／119
3.8.2 企業(yè)級(jí)無(wú)線AP/路由器的WPA或WPA2設(shè)置／120
3.8.3 WLAN客戶端第三方軟件的WPA和WPA2設(shè)置／121
3.8.4 WindowsXP無(wú)線客戶端WPA/WPA2配置／125
3.9 最新的WLAN安全標(biāo)準(zhǔn)
——IEEE802.1 1i／126
3.9.1 IEEE802.1 1i概述／127
3.9.2 WRAP加密機(jī)制／127
3.10 MAC地址欺騙防護(hù)／129
3.10.1 ARP和RARP協(xié)議工作原理／130
3.10.2 ARP協(xié)議幀格式／131
3.10.3 MAC地址欺騙原理／132
3.10.4 MAC地址欺騙預(yù)防／133
3.11Cisco設(shè)備上基于端口的MAC地址綁定／136
3.11.1 基于端口的單一MAC地址綁定基本配置步驟／136
3.11.2 基于端口的單一MAC地址綁定配置示例／138
3.12 Cisco基于端口的多MAC地址綁定／138
3.12.1 基于端口的多MAC地址綁定配置思路／138
3.12.2 基于端口的多MAC地址綁定配置示例／139
3.13 Cisco設(shè)備上基于IP的MAC地址綁定／139
3.13.1 一對(duì)一的MAC地址與IP地址綁定／139
3.13.2 一對(duì)多，或者多對(duì)多的MAC地址與IP地址綁定示例／140
3.14 H3CS5600交換機(jī)基于端口的MAC地址綁定／141
3.14.1 S5100系列交換機(jī)的SecurityMAC地址配置／141
3.14.2 S5600系列交換機(jī)的SecurityMAC地址配置／142
3.15 H3CSR8800系列業(yè)務(wù)路由器MAC和IP地址綁定／144
3.15.1 MAC和IP地址綁定配置／144
3.15.2 MAC和IP地址綁定典型配置示例／146
3.16 H3CSecPath系列防火墻上的MAC和IP地址綁定／147
3.16.1 MAC和IP地址綁定配置／148
3.16.2 MAC和IP地址綁定典型配置示例／149
3.17 網(wǎng)絡(luò)嗅探的防護(hù)／149
3.17.1 網(wǎng)絡(luò)嗅探原理／149
3.17.2 網(wǎng)絡(luò)嗅探的防范／151
第4章 網(wǎng)絡(luò)層防火墻安全保護(hù)方案／153
4.1 防火墻的分類(lèi)和技術(shù)／154
4.1.1 包過(guò)濾防火墻簡(jiǎn)介／154
4.1.2 包過(guò)濾技術(shù)的發(fā)展／155
4.1.3 包過(guò)濾原理／155
4.1.4 包過(guò)濾技術(shù)的主要優(yōu)、缺點(diǎn)／156
4.1.5 代理防火墻／157
4.2 防火墻系統(tǒng)的設(shè)計(jì)／158
4.2.1 內(nèi)、外部防火墻系統(tǒng)／158
4.2.2 防火墻在企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)中的位置／159
4.2.3 典型防火墻系統(tǒng)設(shè)計(jì)／161
4.3 防火墻在網(wǎng)絡(luò)安全防護(hù)中的主要應(yīng)用／164
4.3.1 控制來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)／164
4.3.2 控制來(lái)自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)／166
4.3.3 控制局域網(wǎng)內(nèi)部不同部門(mén)之間的訪問(wèn)／167
4.3.4 控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問(wèn)／168
4.4 內(nèi)部防火墻系統(tǒng)設(shè)計(jì)／169
4.4.1 內(nèi)部防火墻系統(tǒng)概述／170
4.4.2 內(nèi)部防火墻規(guī)則／170
4.4.3 內(nèi)部防火墻的可用性需求／171
4.4.4 內(nèi)部容錯(cuò)防火墻集配置／174
4.4.5 內(nèi)部防火墻系統(tǒng)設(shè)計(jì)的其他因素要求／175
4.5 外圍防火墻系統(tǒng)設(shè)計(jì)／177
4.5.1 外圍防火墻系統(tǒng)概述／178
4.5.2 外圍防火墻規(guī)則／178
4.5.3 外圍防火墻系統(tǒng)的可用性要求／179
第5章 網(wǎng)絡(luò)層Kerberos身份認(rèn)證方案／181
5.1 身份認(rèn)證概述／182
5.1.1 單點(diǎn)登錄身份認(rèn)證執(zhí)行方式／182
5.1.2 主要的身份認(rèn)證類(lèi)型／183
5.2 Kerberos身份認(rèn)證基礎(chǔ)／183
5.2.1 KerberosV5身份認(rèn)證機(jī)制／184
5.2.2 KerberosV5身份認(rèn)證的優(yōu)點(diǎn)與缺點(diǎn)／187
5.2.3 KerberosV5協(xié)議標(biāo)準(zhǔn)／188
5.2.4 KerberosV5身份認(rèn)證所用端口／190
5.3 KerberosSSP認(rèn)證／190
5.4 Kerberos物理結(jié)構(gòu)／192
5.4.1 Kerberos中的密鑰／192
5.4.2 Kerberos票證／195
5.4.3 認(rèn)證符／199
5.4.4 憑證緩存／200
5.4.5 密鑰分發(fā)中心（KDC）／200
5.5 KerberosV5交換和消息摘要／204
5.5.1 KerberosV5身份認(rèn)證的3個(gè)子協(xié)議／204
5.5.2 身份認(rèn)證服務(wù)（AS）交換／205
5.5.3 票證許可服務(wù)（TGS）交換／206
5.5.4 客戶端/服務(wù)器（CS）交換／207
5.6 Kerberos交換消息詳解／207
5.6.1 身份認(rèn)證服務(wù)交換消息詳解／208
5.6.2 票證許可服務(wù)交換消息詳解／211
5.6.3 客戶端/服務(wù)器身份認(rèn)證交換消息詳解／214
5.7 Kerberos身份認(rèn)證應(yīng)用示例／216
5.7.1 本地登錄示例／216
5.7.2 域登錄示例／217
5.7.3 域用戶的工作站登錄／217
5.7.4 單域身份認(rèn)證示例／223
5.7.5 用戶到用戶的身份認(rèn)證／226
5.8 KerberosV5身份認(rèn)證的啟用與策略配置／228
第6章 網(wǎng)絡(luò)層證書(shū)身份認(rèn)證、加密和簽名方案／231
6.1 證書(shū)和證書(shū)服務(wù)基礎(chǔ)／232
6.1.1 證書(shū)概述／232
6.1.2 證書(shū)的主要功能／233
6.1.3 證書(shū)的主要應(yīng)用／235
6.1.4 證書(shū)客戶端角色／239
6.1.5 證書(shū)服務(wù)概述／240
6.2 CA證書(shū)／241
6.2.1 CA證書(shū)簡(jiǎn)介／241
6.2.2 CA證書(shū)應(yīng)用的情形／242
6.3 證書(shū)結(jié)構(gòu)／243
6.3.1 證書(shū)體系架構(gòu)／243
6.3.2 證書(shū)模板／245
6.3.3 證書(shū)的物理和邏輯存儲(chǔ)／250
6.3.4 證書(shū)存儲(chǔ)區(qū)／253
6.4 CA證書(shū)進(jìn)程和交互／255
6.4.1 根CA證書(shū)是如何被創(chuàng)建的／256
6.4.2 根CA證書(shū)是如何被更新的／257
6.4.3 從屬CA證書(shū)是如何被創(chuàng)建的／258
6.4.4 合格的從屬策略是如何被應(yīng)用的／259
6.5 證書(shū)服務(wù)體系架構(gòu)／260
6.5.1 證書(shū)服務(wù)引擎／261
6.5.2 策略模塊／262
6.5.3 客戶端策略模塊／263
6.5.4 退出模塊／263
6.5.5 證書(shū)數(shù)據(jù)庫(kù)／264
6.5.6 CryptoAPI接口／264
6.5.7 證書(shū)服務(wù)協(xié)議／264
6.6 證書(shū)服務(wù)接口／265
6.7 證書(shū)服務(wù)物理結(jié)構(gòu)／266
6.7.1 證書(shū)數(shù)據(jù)庫(kù)和CA日志文件／267
6.7.2 注冊(cè)表／267
6.7.3 活動(dòng)目錄／267
6.7.4 文件系統(tǒng)／269
6.8 證書(shū)服務(wù)進(jìn)程和交互／270
6.8.1 證書(shū)是如何創(chuàng)建的／270
6.8.2 證書(shū)的自動(dòng)注冊(cè)／272
6.8.3 證書(shū)的手動(dòng)注冊(cè)／277
6.8.4 自定義證書(shū)注冊(cè)和更新應(yīng)用／279
6.8.5 使用可選組件注冊(cè)和續(xù)訂／281
6.8.6 證書(shū)是如何吊銷(xiāo)的／283
6.9 證書(shū)模板屬性選項(xiàng)和設(shè)計(jì)／287
6.9.1 證書(shū)模板屬性選項(xiàng)／287
6.9.2 證書(shū)模板設(shè)計(jì)方面的考慮／294
6.9.3 證書(shū)模板規(guī)劃注意事項(xiàng)／296
6.9.4 證書(shū)模板的部署／299
第7章 網(wǎng)絡(luò)層PKI綜合應(yīng)用方案設(shè)計(jì)／303
7.1 本章概述／304
7.1.1 部署PKI的必要性和本章所使用的技術(shù)／304
7.1.2 規(guī)劃和部署PKI的基本流程／306
7.2 定義證書(shū)需求／307
7.2.1 確定安全應(yīng)用需求／308
7.2.2 確定證書(shū)需求／312
7.2.3 文檔化證書(shū)策略和證書(shū)實(shí)施聲明／314
7.2.4 定義證書(shū)應(yīng)用需求示例／315
7.3 設(shè)計(jì)證書(shū)頒發(fā)機(jī)構(gòu)層次結(jié)構(gòu)／316
7.3.1 規(guī)劃核心CA選項(xiàng)——設(shè)計(jì)根CA／317
7.3.2 規(guī)劃核心CA選項(xiàng)——選擇內(nèi)部與第三方CA／318
7.3.3 規(guī)劃核心CA選項(xiàng)——評(píng)估CA容量、性能和可擴(kuò)展需求／320
7.3.4 規(guī)劃核心CA選項(xiàng)——PKI管理模式／322
7.3.5 規(guī)劃核心CA選項(xiàng)——CA類(lèi)型和角色／323
7.3.6 規(guī)劃核心CA選項(xiàng)——整體活動(dòng)目錄結(jié)構(gòu)／327
7.3.7 規(guī)劃核心CA選項(xiàng)——CA安全性／329
7.3.8 規(guī)劃核心CA選項(xiàng)——確定CA數(shù)量／333
7.3.9 選擇信任模式／334
7.3.1 0在信任層次結(jié)構(gòu)中定義CA角色／338
7.3.1 1建立命名協(xié)定／338
7.3.1 2選擇CA數(shù)據(jù)庫(kù)位置／338
7.3.1 3CA結(jié)構(gòu)設(shè)計(jì)示例／339
7.4 擴(kuò)展證書(shū)頒發(fā)機(jī)構(gòu)結(jié)構(gòu)／341
7.4.1 評(píng)估影響擴(kuò)展信任的因素／341
7.4.2 選擇擴(kuò)展CA結(jié)構(gòu)配置／344
7.4.3 限制計(jì)劃外的信任／346
7.5 定義證書(shū)配置文件／348
7.5.1 選擇證書(shū)模板／349
7.5.2 選擇證書(shū)安全選項(xiàng)／350
7.5.3 使用合格的從屬來(lái)限制證書(shū)／354
7.5.4 配置證書(shū)示例／359
7.6 創(chuàng)建證書(shū)管理規(guī)劃／360
7.6.1 選擇注冊(cè)和續(xù)訂方法／361
7.6.2 將證書(shū)映射到身份／363
7.6.3 創(chuàng)建證書(shū)吊銷(xiāo)策略／368
7.6.4 規(guī)劃密鑰和數(shù)據(jù)恢復(fù)／372
7.6.5 創(chuàng)建證書(shū)管理規(guī)劃示例／375
第8章 網(wǎng)絡(luò)層IPSec身份認(rèn)證和加密方案／377
8.1 IPSec基礎(chǔ)／378
8.1.1 什么是IPSec／378
8.1.2 IPSec的設(shè)計(jì)初衷／379
8.1.3 IPSec的優(yōu)勢(shì)／381
8.2 IPSec提供的安全服務(wù)／382
8.2.1 IPSec提供的安全屬性／382
8.2.2 KerberosV5身份認(rèn)證協(xié)議／383
8.2.3 基于公鑰證書(shū)的身份認(rèn)證／383
8.2.4 預(yù)共享密鑰驗(yàn)證／384
8.2.5 采用哈希函數(shù)的數(shù)據(jù)完整性驗(yàn)證／384
8.2.6 具有加密功能的數(shù)據(jù)保密性／385
8.2.7 密鑰管理／386
8.2.8 密鑰保護(hù)／386
8.3 IPSec的使用模式／388
8.3.1 傳輸模式／388
8.3.2 隧道模式／389
8.4 IPSec協(xié)議類(lèi)型／389
8.4.1 IPSecAH協(xié)議／390
8.4.2 IPSecESP協(xié)議／394
8.5 WindowsServer2003中的IPSec／397
8.5.1 IPSec邏輯體系架構(gòu)／398
8.5.2 IPSec身份認(rèn)證和組件／401
8.5.3 策略代理體系架構(gòu)／402
8.5.4 IKE模塊體系架構(gòu)／405
8.5.5 IPSec驅(qū)動(dòng)體系架構(gòu)／407
8.5.6 IPSec策略數(shù)據(jù)結(jié)構(gòu)／407
8.5.7 IPSec分配的網(wǎng)絡(luò)端口和協(xié)議／410
8.5.8 IPSec策略規(guī)則／411
8.6 IPSec密鑰安全關(guān)聯(lián)和密鑰交換原理／415
8.6.1 安全關(guān)聯(lián)基本原理和類(lèi)型／415
8.6.2 主模式協(xié)商SA／417
8.6.3 快速模式協(xié)商SA／424
8.6.4 密鑰交換原理／426
8.6.5 SA生存期／427
8.7 IPSec驅(qū)動(dòng)工作原理／427
8.7.1 IPSec驅(qū)動(dòng)的職責(zé)／427
8.7.2 IPSec驅(qū)動(dòng)通信／428
8.7.3 IPSec驅(qū)動(dòng)程序模式／428
8.7.4 IPSec驅(qū)動(dòng)的包處理／430
8.8 IPSec策略及策略篩選器／431
8.8.1 IPSec策略／431
8.8.2 IPSec策略規(guī)則／433
8.8.3 默認(rèn)響應(yīng)規(guī)則／434
8.8.4 IPSec策略篩選器／435
8.8.5 IPSec篩選器的應(yīng)用順序／437
8.8.6 IPSec篩選中的默認(rèn)排除／438
8.8.7 IPSec篩選器的設(shè)計(jì)考慮／440
8.9 WindowsServer2003IPSec系統(tǒng)的部署／441
8.9.1 WindowsServer2003IPSec部署的簡(jiǎn)易性／441
8.9.2 部署WindowsServer2003IPSec前所需的確認(rèn)／442
8.9.3 IPSec策略設(shè)計(jì)與規(guī)劃的最佳操作／442
8.9.4 建立IPSec安全計(jì)劃／445
8.9.5 策略配置／446
8.9.6 默認(rèn)篩選器列表／446
8.9.7 默認(rèn)響應(yīng)規(guī)則／448
8.9.8 IPSec策略的應(yīng)用方法／450
8.10 IPSec應(yīng)用方案設(shè)計(jì)／453
8.10.1 IPSec安全通信方案的主要應(yīng)用／454
8.10.2 不推薦的IPSec方案／458
8.10.3 管理使用僅在WindowsServer2003家族中可用的新增功能的策略／458
8.10.4 IP篩選器配置的考慮／459
8.10.5 篩選器操作的配置考慮／461
8.11 IPSec策略的應(yīng)用方案配置／462
8.11.1 IPSec方案配置前的準(zhǔn)備／462
8.11.2 IPSec安全方案配置的基本步驟／463
8.11.3 IPSec在Web服務(wù)器訪問(wèn)限制中的應(yīng)用示例／464
8.11.4 IPSec在數(shù)據(jù)庫(kù)服務(wù)器訪問(wèn)限制中的應(yīng)用示例／475
8.11.5 IPSec在阻止NetBIOS攻擊中的應(yīng)用示例／476
8.11.6 IPSec在保護(hù)遠(yuǎn)程訪問(wèn)通信中的應(yīng)用示例／478
第9章 傳輸層TLS/SSL身份認(rèn)證和加密方案／481
9.1 TLS/SSL基礎(chǔ)／482
9.1.1 TLS/SSL簡(jiǎn)介／482
9.1.2 TLS/SSL標(biāo)準(zhǔn)的歷史／483
9.1.3 TLS與SSL的區(qū)別／483
9.1.4 TLS/SSL所帶來(lái)的好處／484
9.1.5 TLS/SSL的局限性／485
9.1.6 常見(jiàn)的TLS/SSL應(yīng)用／485
9.1.7 安全通道技術(shù)／487
9.1.8 TLS和SSL的依從／487
9.2 TLS/SSL體系架構(gòu)／488
9.2.1 安全通道SSPI體系架構(gòu)／488
9.2.2 TLS/SSL體系架構(gòu)／490
9.2.3 TLS/SSL握手協(xié)議／491
9.2.4 記錄層／495
9.3 TLS/SSL工作原理／495
9.3.1 TLS/SSL進(jìn)程和交互機(jī)制／495
9.3.2 TLS的完整握手過(guò)程／497
9.3.3 客戶端Hello消息／498
9.3.4 服務(wù)器Hello消息／501
9.3.5 客戶端響應(yīng)Hello消息／503
9.3.6 計(jì)算主密鑰和子系列密鑰／504
9.3.7 完成消息／505
9.3.8 應(yīng)用數(shù)據(jù)流／506
9.3.9 恢復(fù)安全會(huì)話／507
9.3.1 0重新協(xié)商方法／507
9.3.1 1安全通道的證書(shū)映射／509
9.3.1 2TLS/SSL所使用的網(wǎng)絡(luò)端口／510
9.4 WTLS／511
9.4.1 WAP的主要特點(diǎn)和體系架構(gòu)／511
9.4.2 WAP架構(gòu)與WWW架構(gòu)的比較／514
9.4.3 WAP安全機(jī)制／516
9.4.4 WTLS體系架構(gòu)／518
9.4.5 WTLS的安全功能／519
9.4.6 WTLS與TLS的區(qū)別／520
9.5 SSL在IISWeb服務(wù)器中的應(yīng)用／522
9.5.1 安裝CA／522
9.5.2 生成證書(shū)申請(qǐng)／524
9.5.3 提交證書(shū)申請(qǐng)／527
9.5.4 證書(shū)的頒發(fā)和導(dǎo)出／530
9.5.5 在Web服務(wù)器上安裝證書(shū)／532
9.5.6 在Web服務(wù)器上啟用SSL／534
9.6 SSLVPN／535
9.6.1 SSLVPN網(wǎng)絡(luò)結(jié)構(gòu)和主要應(yīng)用／536
9.6.2 SSLVPN的主要優(yōu)勢(shì)和不足／537
第10章 應(yīng)用層Web服務(wù)器的綜合安全系統(tǒng)設(shè)計(jì)與配置／541
10.1 我國(guó)網(wǎng)站安全現(xiàn)狀／542
10.2 Web服務(wù)器的身份驗(yàn)證技術(shù)選擇／543
10.2.1 NTLM身份驗(yàn)證機(jī)制選擇和配置方法／543
10.2.2 Kerberos身份驗(yàn)證機(jī)制選擇和配置方法／547
10.2.3 摘要式身份驗(yàn)證機(jī)制選擇和配置方法／548
10.2.4 公鑰加密身份認(rèn)證機(jī)制選擇／553
10.2.5 證書(shū)身份認(rèn)證機(jī)制選擇和配置方法／555
10.3 Web服務(wù)器傳輸層安全技術(shù)選擇／558
10.4 Web服務(wù)器的安全威脅與對(duì)策／559
10.4.1 主機(jī)枚舉／560
10.4.2 拒絕服務(wù)／562
10.4.3 未經(jīng)授權(quán)的訪問(wèn)／562
10.4.4 隨意代碼執(zhí)行／563
10.4.5 特權(quán)提升／563
10.4.6 病毒、蠕蟲(chóng)和特洛伊木馬／564
10.5 安全Web服務(wù)器檢查表／564
10.6 WindowsServer2003Web服務(wù)器安全策略設(shè)計(jì)／580
10.6.1 Web服務(wù)器的匿名訪問(wèn)和SSLF設(shè)置／581
10.6.2 Web服務(wù)器審核策略設(shè)置／582
10.6.3 Web服務(wù)器用戶權(quán)限分配策略設(shè)置／591
10.6.4 Web服務(wù)器的安全選項(xiàng)策略設(shè)置／600
10.6.5 Web服務(wù)器的事件日志策略設(shè)置／617
10.6.6 Web服務(wù)器的其他安全策略設(shè)置／619
第11章 WLAN網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計(jì)與配置／629
11.1 選擇WLAN的安全策略／630
11.1.1 WLAN面臨的主要安全問(wèn)題／630
11.1.2 WLAN安全策略的決策／631
11.1.3 如何真正確保WLAN的安全／633
11.1.4 WLAN的身份驗(yàn)證和授權(quán)／634
11.1.5 WLAN的數(shù)據(jù)保護(hù)／635
11.1.6 使用WLAN數(shù)據(jù)保護(hù)的IEEE802.1 x
11.2 WLAN安全方案選擇／637
11.2.1 不部署WLAN技術(shù)／638
11.2.2 使用基于802.1 1靜態(tài)WEP的基本安全／638
11.2.3 使用EAP和動(dòng)態(tài)加密密鑰的IEEE802.1 x／639
11.2.4 使用EAP-TLS的IEEE802.1 x／640
11.2.5 使用PEAP的IEEE802.1 x／640
11.2.6 使用VPN技術(shù)保護(hù)WLAN網(wǎng)絡(luò)／641
11.2.7 使用IPSec保護(hù)WLAN／643
11.2.8 主要WLAN安全方案比較／644
11.3 使用IEEE802.1 x設(shè)計(jì)WLAN安全系統(tǒng)／645
11.3.1 IEEE802.1 xWALN安全方案設(shè)計(jì)基本思路／645
11.3.2 使用IEEE802.1 x和加密確保WLAN安全／646
11.3.3 使用證書(shū)或密碼／646
11.3.4 解決方案的先決條件／647
11.3.5 WLAN安全選項(xiàng)考慮／648
11.3.6 確定IEEE802.1 xWLAN所需的軟件設(shè)置／654
11.3.7 其他注意事項(xiàng)／658
11.4 使用IEEE802.1 x實(shí)現(xiàn)WLAN安全性／659
11.4.1 方案實(shí)現(xiàn)基本思路／659
11.4.2 IEEE802.1 xWLAN計(jì)劃工作表／660
11.4.3 準(zhǔn)備安全WLAN的環(huán)境／661
11.4.4 配置和部署WLAN身份驗(yàn)證證書(shū)／662
11.4.5 配置WLAN訪問(wèn)基礎(chǔ)結(jié)構(gòu)／671
11.4.6 讓用戶和計(jì)算機(jī)能夠訪問(wèn)安全WLAN／675
11.4.7 配置IEEE802.1 x網(wǎng)絡(luò)的無(wú)線接入點(diǎn)／680
11.4.8 測(cè)試和驗(yàn)證／681
11.5 IEEE802.1 xEAP-TLSWLAN安全方案網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)／681
11.5.1 IEEE802.1 xEAP-TLS身份驗(yàn)證解決方案概述／681
11.5.2 IEEE802.1 xEAP-TLSWLAN網(wǎng)絡(luò)安全結(jié)構(gòu)方案設(shè)計(jì)標(biāo)準(zhǔn)／684
11.5.3 IEEE802.1 xEAP-TLS方案網(wǎng)絡(luò)結(jié)構(gòu)邏輯設(shè)計(jì)與評(píng)估／686
11.6 使用PEAP和密碼確保無(wú)線LAN的安全／692
11.6.1 解決方案的基本思路／692
11.6.2 PEAP解決方案的優(yōu)勢(shì)和工作原理／693
11.6.3 組織結(jié)構(gòu)和IT環(huán)境計(jì)劃／696
11.6.4 方案設(shè)計(jì)標(biāo)準(zhǔn)計(jì)劃／697
11.6.5 WLAN體系結(jié)構(gòu)部署計(jì)劃／698
11.6.6 針對(duì)大型組織的擴(kuò)展計(jì)劃／710
11.6.7 解決方案體系結(jié)構(gòu)的變化計(jì)劃／712
11.6.8 準(zhǔn)備安全WLAN網(wǎng)絡(luò)環(huán)境／715
11.6.9 方案網(wǎng)絡(luò)證書(shū)頒發(fā)機(jī)構(gòu)構(gòu)建／725
11.6.1 0WLAN安全的基礎(chǔ)結(jié)構(gòu)構(gòu)建／728
11.6.1 1WLAN客戶端配置／741
后記／747