网络安全原理与实践PDF|Epub|txt|kindle电子书版本网盘下载

网络安全原理与实践PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　网络安全介绍3

第一部分　网络安全介绍3

1.1　网络安全目标4

1.2　资产确定4

1.3　威胁评估4

1.4　风险评估5

1.5　构建网络安全策略6

1.6　网络安全策略的要素7

1.7　实现网络安全策略8

1.8 网络安全体系结构的实现8

1.9　审计和改进9

1.10　实例研究9

1.10.1 资产确定9

1.10.3　风险分析10

1.10.2　威胁确定10

1.10.4　定义安全策略11

1.11 小结14

1.12　复习题14

第二部分　构建网络安全19

第2章　定义安全区19

2.1　安全区介绍19

2.2　设计一个DMZ20

2.2.1　使用一个三脚防火墙创建DMZ21

2.2.2 DMZ置于防火墙之外，公共网络和防火墙之间21

2.2.3 DMZ置于防火墙之外，但不在公共网络和防火墙之间的通道上22

2.2.4　在层叠的防火墙之间创建DMZ23

2.3　实例研究：使用PIX防火墙创建区23

2.4 小结24

2.5　复习题25

第3章　设备安全27

3.1 物理安全28

3.1.1 冗余位置28

3.1.2　网络拓扑设计28

3.1.3 网络的安全位置29

3.1.4　选择安全介质30

3.1.5　电力供应30

3.1.6　环境因素30

3.2　设备冗余30

3.2.1 路由冗余31

3.2.2 HSRP33

3.2.3　虚拟路由器冗余协议（VRRP）39

3.3.1 配置管理42

3.3　路由器安全42

3.3.2　控制对路由器的访问43

3.3.3　对路由器的安全访问46

3.3.4　密码管理46

3.3.5　记录路由器事件47

3.3.6　禁用不需要的服务48

3.3.7　使用回环接口49

3.3.8　控制SNMP作为一个管理协议49

3.3.9　控制HTTP作为一个管理协议51

3.3.10　将CEF作为一种交换机制使用51

3.3.11 从安全的角度来建立调度表52

3.3.12　使用NTP52

3.3.13　登录标志53

3.3.14　捕获存储器信息转存54

3.4 PIX防火墙安全55

3.4.1 配置管理55

3.3.15 在CPU高负载期间使用nagle服务以提高Telnet访问55

3.4.2　控制对PIX的访问56

3.4.3　安全访问PIX56

3.4.4　密码管理57

3.4.5　记录PIX事件58

3.5　交换机安全58

3.5.1 配置管理58

3.5.2　控制对交换机的访问59

3.5.3　对交换机的安全访问59

3.5.4　记录交换机事件60

3.5.5　控制管理协议（基于SNMP的管理）60

3.5.8　捕获存储器信息转存61

3.5.6　使用NTP61

3.5.7　登录标志61

3.6　小结62

3.7　复习题62

第4章　安全路由65

4.1　将安全作为路由设计的一部分66

4.1.1　路由过滤66

4.1.2 收敛性67

4.1.3　静态路由67

4.2　路由器和路由认证67

4.3　定向组播控制70

4.4　黑洞过滤71

4.5　单播反向路径转发71

4.6.1　ICMP重定向73

4.6　路径完整性73

4.7　实例研究：BGP路由协议安全74

4.7.1 BGP对等认证74

4.6.2 IP源路由74

4.7.2　输入路由过滤75

4.7.3　输出路由过滤75

4.7.4 BGP网络通告75

4.7.5 BGP多跳76

4.7.6 BGP通信76

4.7.7　禁用BGP版本协商76

4.7.8　维持路由表的深度和稳定性76

4.7.9 BGP邻居状态的日志记录改变78

4.8.1 OSPF路由器认证79

4.8.2 OSPF非广播邻居配置79

4.8　实例研究：OSPF路由协议的安全79

4.8.3　使用端区80

4.8.4　使用回环接口作为路由器ID81

4.8.5　开启SPF计时器82

4.8.6　路由过滤82

4.9　小结83

4.10　复习题83

第5章　安全LAN交换85

5.1　一般交换和第2层安全86

5.2　端口安全87

5.3 IP许可列表89

5.4　协议过滤和控制LAN泛洪89

5.5 Catalyst 6000上的专用VLAN91

5.6.1 802.1x实体93

5.6　使用IEEE802.1x标准进行端口认证和访问控制93

5.6.2 802.1x通信94

5.6.3 802.1x功能98

5.6.4　使用802.1x建立Catalyst 6000端口认证99

5.7 小结101

5.8　复习题102

第6章　网络地址转换与安全105

6.1 网络地址转换的安全利益106

6.2　依赖NAT提供安全的缺点107

6.2.1 除了端口号信息外没有协议信息跟踪107

6.2.2　基于PAT表没有限制内容流动的类型107

6.2.3　初始连接上有限的控制107

6.4　复习题108

6.3　小结108

第三部分　防火墙113

第7章　什么是防火墙113

7.1 防火墙113

7.1.1 日志和通知能力114

7.1.2　高容量的分组检查114

7.1.3　易于配置115

7.1.4　设备安全和冗余115

7.2　防火墙的类型116

7.2.1 电路级防火墙116

7.2.2　代理服务器防火墙116

7.2.3　无状态分组过滤器117

7.2.4　有状态分组过滤器117

7.2.5　个人防火墙117

7.3　防火墙的设置118

7.4　小结119

第8章　PIX防火墙121

8.1 自适应安全算法121

8.1.1 TCP122

8.1.2 UDP124

8.2 PIX防火墙的基本特性125

8.2.1　使用ASA对流量进行有状态检测125

8.2.2　为接口分配可变的安全级别125

8.2.3　访问控制列表126

8.2.4　扩展的日志能力126

8.2.5　基本的路由能力，包括对RIP的支持127

8.2.6　网络地址转换127

8.2.7　失效处理机制和冗余128

8.3.1 别名130

8.2.8　认证通过PIX的流量130

8.3 PIX防火墙的高级特性130

8.3.2 X防护133

8.3.3　高级过滤135

8.3.4　多媒体支持135

8.3.5 欺骗检测或者单播RPF137

8.3.6　协议修正137

8.3.7　多功能的sysopt命令138

8.3.8　组播支持140

8.3.9　分片处理141

8.4　实例研究143

8.4.1 带有三个接口，运行在DMZ的Web服务器上的PIX143

8.4.2 为失效处理机制将PIX设置为二级设备148

8.4.3 为DMZ上的服务器使用alias命令设置PIX151

8.4.4 为贯穿式代理认证和授权设置PIX154

8.4.5　使用对象组和Turbo ACL来缩放PIX配置157

8.5　小结161

8.6　复习题162

第9章　IOS防火墙165

9.1　基于上下文的访问控制165

9.2 IOS防火墙的特性167

9.2.1　传输层检查167

9.2.2　应用层检查168

9.2.3　对无效命令进行过滤168

9.2.4　Java阻塞169

9.2.5　保护网络以免遭到拒绝服务攻击169

9.2.6 IOS防火墙中的分片处理171

9.3 实例研究：配置了NAT的路由器上的CBAC172

9.4　小结176

9.5　复习题176

第四部分　VPN181

第10章　VPN的概念181

10.1 VPN定义181

10.2　基于加密与不加密的VPN类型比较182

10.2.1　加密VPN182

10.2.2　非加密VPN182

10.3 基于OSI模型分层的VPN类型182

10.3.1 数据链路层VPN183

10.3.2 网络层VPN183

10.3.3 应用层VPN183

10.5 内部网VPN184

10.4　基于商业功能性的VPN类型184

10.6 小结185

第11章　GRE187

11.1 GRE187

11.2　实例研究190

11.2.1 连接两个专用网络的简单GRE隧道190

11.2.2 多个站点间的GRE193

11.2.3 运行IPX的两个站点间的GRE197

11.3 小结201

11.4　复习题202

第12章　L2TP205

12.1 L2TP概述205

12.2.1　建立控制连接207

12.2 L2TP的功能细节207

12.2.2　建立会话208

12.2.3　头格式210

12.3　实例研究211

12.3.1 创建强制型L2TP隧道211

12.3.2　在强制型隧道的创建中使用IPsec保护L2TP通信225

12.4　小结229

12.5　复习题230

第13章　IPsec233

13.1 IPsec VPN的类型234

13.1.1 LAN-to-LAN IPsec实现234

13.1.2　远程访问客户端IPsec实现235

13.2　IPsec的组成236

13.3　IKE介绍236

13.4　使用IKE协议的IPsec协商238

13.3.1 主模式（或者主动模式）的目标238

13.3.2　快速模式的目标238

13.4.1　使用预共享密钥认证的主模式后接快速模式的协商239

13.4.2　使用数字签名认证后接快速模式的主模式251

13.4.3　使用预共享密钥认证的主动模式254

13.5 IKE认证机制257

13.5.1　预共享密钥257

13.5.2　数字签名258

13.5.3　加密临时值259

13.6 IPsec中加密和完整性检验机制260

13.6.1　加密260

13.6.2　完整性检验261

13.7 IPsec中分组的封装262

13.7.2　隧道模式263

13.7.1　传输模式263

13.7.3 ESP（封装安全负载）264

13.7.4 AH（认证头）264

13.8　增强远程访问客户端IPsec的IKE265

13.8.1　扩展认证265

13.8.2　模式配置267

13.8.3 NAT透明269

13.9 IPsec失效对等体的发现机制269

13.10　实例研究271

13.10.1　使用预共享密钥作为认证机制的路由器到路由器的IPsec271

13.10.2　使用数字签名和数字证书的路由器到路由器的IPsec283

13.10.3　使用RSA加密临时值的路由器到路由器的IPsec293

13.10.4　一对多路由器IPsec298

13.10.5 High-Availability-IPsec-Over-GRE设置304

13.10.6　使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPsec309

13.10.7 LAN-to-LAN和远程访问的PIX IPsec设置311

13.10.8 使用自发型隧道的L2TP上的IPsec316

13.10.9 IPsec隧道终点发现（TED）321

13.10.10 NAT同IPsec的相互作用333

13.10.11 防火墙和IPsec的相互作用334

13.11 小结335

13.12　复习题335

第五部分　入侵检测339

第14章　什么是入侵检测339

14.1　对入侵检测的需求340

14.2.1　拒绝服务攻击341

14.2.2　网络访问攻击341

14.2　基于攻击模式的网络攻击类型341

14.3　基于攻击发起者的网络攻击类型342

14.3.1 由受信任的（内部）用户发起的攻击342

14.3.2 由不受信任的（外部）用户发起的攻击343

14.3.3 由没有经验的“脚本少年”黑客发起的攻击343

14.3.4 由有经验的“专业”黑客发起的攻击343

14.4　常见的网络攻击344

14.4.1　拒绝服务攻击344

14.4.2　资源耗尽类型的DoS攻击345

14.4.3 旨在导致常规操作系统操作立即停止的攻击类型350

14.4.4 网络访问攻击351

14.5　检测入侵的过程354

14.6 实例研究：Kevin Metnick对Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的356

14.7 小结357

第15章　Cisco安全入侵检测359

15.1 Cisco安全IDS的组件360

15.2　构建管理控制台362

15.2.1 两种类型的管理控制台363

15.2.2 UNIX Director的内部结构363

15.2.3 CSPM IDS控制台的内部结构365

15.3　构建探测器367

15.4　对入侵的响应369

15.4.1 日志记录369

15.4.2 TCP重置372

15.4.3　屏蔽373

15.5　签名类型373

15.5.1　签名引擎（Engine）374

15.5.2　缺省的警报级别375

15.7.1　把路由器作为探测器设备使用376

15.6　把路由器、PIX或者IDSM作为探测器使用376

15.7　实例研究376

15.7.2　把PIX作为探测器设备使用381

15.7.3　把Catalyst 6000 IDSM作为探测器使用383

15.7.4　设置路由器或者UNIX Director进行屏蔽387

15.7.5　创建定制的签名388

15.8　小结389

15.9　复习题389

第六部分　网络访问控制393

第16章　AAA393

16.1　AAA组件的定义393

16.2　认证概述394

16.3.3　设置方法列表395

16.3.2　设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+服务器的访问395

16.3　设置认证395

16.3.1 启用AAA395

16.3.4　应用方法列表397

16.4　授权概述398

16.5　设置授权398

16.5.1　设置方法列表399

16.5.2　应用方法列表399

16.6　统计概述401

16.7　设置统计402

16.7.1　设置一个方法列表402

16.7.2　将方法列表应用到行和／或者接口403

16.8　实例研究404

16.8.1　使用AAA对PPP连接进行认证和授权404

16.8.2　使用AAA下载路由和应用访问列表407

16.8.3　使用AAA设置PPP超时409

16.9　小结411

16.10　复习题411

第17章　TACACS+413

17.1　TACACS+概述413

17.2　TACACS+通信体系结构414

17.3　TACACS+分组加密416

17.4　TACACS+的认证416

17.5 TACACS+的授权418

17.6 TACACS+的统计421

17.7　小结424

17.8　复习题424

18.1 RADIUS介绍427

第18章　RADIUS427

18.2 RADIUS通信的体系结构428

18.2.1 RADIUS分组格式429

18.2.2 RADIUS中的口令加密430

18.2.3 RADIUS的认证430

18.2.4 RADIUS的授权432

18.2.5 RADIUS的统计436

18.3　小结438

18.4　复习题438

第19章　使用AAA实现安全特性的特殊实例441

19.1 使用AAA对IPsec提供预共享的密钥441

19.2 在ISAKMP中对X-Auth使用AAA443

19.3　对Auth-Proxy使用AAA446

19.4　对VPDN使用AAA448

19.5　对锁和密钥使用AAA451

19.6　对命令授权使用AAA453

19.7　小结455

19.8　复习题455

第七部分　服务提供商安全459

第20章　服务提供商安全的利益和挑战459

20.1　拥有服务提供商安全的动机459

20.1.1 阻止攻击并致偏的能力460

20.1.2　跟踪流量模式的能力461

20.1.3 向下跟踪攻击源的能力461

20.2　在服务提供商级别上实现安全的挑战463

20.4　小结464

20.3　服务提供商安全的关键组件464

20.5　复习题465

第21章　有效使用访问控制列表467

21.1　访问控制列表概述468

21.1.1 ACL的类型468

21.1.2 ACL的特性和特征471

21.2　使用访问控制列表阻止未经授权的访问472

21.2.1 ACL的基本访问控制功能472

21.2.2　使用ACL阻塞ICMP分组473

21.2.3　使用ACL阻塞带有欺骗IP地址的分组474

21.2.4　用ACL阻塞去往网络中不可用服务的流量474

21.2.5　使用ACL阻塞已知的冒犯474

21.2.6　使用ACL阻塞假的和不必要的路由474

21.3.1　使用访问控制列表识别smurf攻击475

21.3　使用ACL识别拒绝服务攻击475

21.3.2　使用访问控制列表识别fraggle攻击476

21.3.3　使用访问控制列表识别SYN泛洪477

21.4　使用ACL阻止拒绝服务攻击478

21.4.1 使用ACL阻止来自不合法IP地址的流量478

21.4.2　过滤RFC 1918地址空间480

21.4.3　拒绝其他不必要的流量480

21.5　通过ACL处理IP分片480

21.5.1　过滤IP分片480

21.5.2　保护网络免遭IP分片攻击484

21.6 ACL对性能的影响485

21.7　Turbo ACL485

21.8 NetFlow交换和ACL488

21.9　小结489

21.8.3　使用NetFlow489

21.8.1 NetFlow交换功能489

21.8.2 NetFlow交换使访问控制列表性能增强489

21.10　复习题490

第22章　使用NBAR识别和控制攻击493

22.1 NBAR概述494

22.2　使用NBAR对分组进行分类496

22.3　使用NBAR检测网络攻击498

22.3.1 用带有简单访问控制列表的DSCP或ToS标记或丢弃分组498

22.3.2　使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量499

22.3.3　用流量管制管理经NBAR分类的流量500

22.4　联合使用NBAR和PDLM对网络攻击分类500

22.5　使用基于NBAR的访问控制技术对性能的影响501

22.6　实例研究：红色代码病毒和NBAR501

22.8　复习题503

22.7　小结503

第23章　使用CAR控制攻击505

23.1 CAR概述505

23.2　使用CAR限制速率或者丢弃额外的恶意流量507

23.2.1 限制拒绝服务攻击的速率508

23.2.2　限制可疑恶意内容的速率509

23.3　实例研究：使用CAR限制DDoS攻击509

23.4　小结511

23.5　复习题511

第八部分　疑难解析515

第24章　网络安全实施疑难解析515

24.1 NAT疑难解析516

24.1.1 NAT操作的顺序516

24.1.2 NAT调试工具516

24.1.3 NAT show命令517

24.1.4 常见的NAT问题以及解决方案519

24.2 PIX防火墙疑难解析522

24.2.1 引起与PIX相关的问题的根源522

24.2.2 PIX中NAT操作的顺序523

24.2.3 PIX调试523

24.2.4　推荐的PIX 6.2超时值525

24.2.5 PIX show命令525

24.2.6　常见的PIX问题及其解决方法529

24.2.7 PIX疑难解析实例研究530

24.3　IOS防火墙疑难解析532

24.3.1 IOS防火墙中的操作顺序532

24.3.2 IOS防火墙的show命令532

24.3.3 常见的IOS防火墙问题及其解决办法535

24.4.1 IPsec事件的执行顺序536

24.4 IPsec VPN疑难解析536

24.4.2 IPsec的调试537

24.4.3 IPsec show命令541

24.4.4 常见的IPsec问题以及解决办法543

24.5　入侵检测疑难解析547

24.6 AAA疑难解析550

24.6.1 AAA show命令550

24.6.2 AAA的debug命令550

24.6.3 常见的AAA问题和解决办法550

24.7 小结557

24.8　复习题557

第九部分　附录561

附录A　复习题答案561

附录B SAFE：企业网络安全蓝图白皮书575