思科網(wǎng)絡(luò)技術(shù)學(xué)院教程：網(wǎng)絡(luò)安全基礎(chǔ)

第一部分
第1章 網(wǎng)絡(luò)安全概述 3
1.1 網(wǎng)絡(luò)安全的基本原理、趨勢和
目標(biāo) 3
1.1.1 網(wǎng)絡(luò)安全的需要 4
1.1.2 影響網(wǎng)絡(luò)安全的趨勢 5
1.1.3 網(wǎng)絡(luò)安全目標(biāo) 7
1.1.4 網(wǎng)絡(luò)安全的關(guān)鍵要素 8
1.1.5 安全意識 9
1.2 安全威脅與攻擊 10
1.2.1 網(wǎng)絡(luò)安全弱點 11
1.2.2 主要網(wǎng)絡(luò)威脅 12
1.2.3 偵查 13
1.2.4 竊聽 15
1.2.5 系統(tǒng)訪問 16
1.2.6 其他訪問攻擊 19
1.2.7 拒絕服務(wù) 20
1.2.8 分布式拒絕服務(wù) 22
1.2.9 弱點：OSI層次模型 25
1.3 安全框架與策略 27
1.3.1 安全車輪 27
1.3.2 安全策略基礎(chǔ) 30
1.3.3 網(wǎng)絡(luò)安全情況研究 33
1.4 安全產(chǎn)品和解決方案 37
1.4.1 身份 38
1.4.2 防火墻 40
1.4.3 虛擬專網(wǎng) 41
1.4.4 入侵探測 44
1.5 監(jiān)控、管理和審計 46
1.6 SAFE 49
1.7 小結(jié) 50
1.8 關(guān)鍵術(shù)語 51
1.9 復(fù)習(xí)題 52
第2章 基本的路由器和交換機安全 55
2.1 路由器和交換機安全概要 55
2.1.1 路由器拓撲 56
2.1.2 路由器安裝與安全 58
2.1.3 訪問控制 59
2.1.4 使用密碼控制路由器
訪問 63
2.1.5 設(shè)置優(yōu)先級 64
2.1.6 設(shè)置用戶賬號 65
2.1.7 登錄標(biāo)語 66
2.2 禁用不需要的服務(wù) 67
2.2.1 路由選擇、代理ARP、
ICMP 72
2.2.2 NTP、SNMP、路由器名字、
DNS 74
2.3 邊界路由器安全 77
2.3.1 控制入站和出站流量 77
2.3.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 79
2.3.3 路由協(xié)議驗證與更新
過濾 81
2.3.4 流量過濾 83
2.3.5 過濾ICMP消息 87
2.3.6 Cisco IOS防火墻 88
2.4 路由器管理 89
2.4.1 日志 90
2.4.2 網(wǎng)絡(luò)設(shè)備間的時間同步 92
2.4.3 軟件和配置的維護 94
2.4.4 使用SSH進行遠程管理 95
2.5 安全交換和局域網(wǎng)訪問 96
2.5.1 第二層攻擊以及緩解 98
2.5.2 端口安全 99
2.5.3 虛擬局域網(wǎng) 101
2.6 小結(jié) 102
2.7 關(guān)鍵術(shù)語 102
2.8 復(fù)習(xí)題 103
第3章 路由器ACL和CBAC 107
3.1 訪問控制列表 107
3.1.1 在ACL中使用掩碼 109
3.1.2 ACL 總結(jié) 110
3.1.3 處理ACL 111
3.1.4 應(yīng)用ACL 112
3.1.5 編輯ACL 113
3.1.6 排除ACL故障 114
3.2 IP ACL的類型 115
3.2.1 標(biāo)準(zhǔn)ACL 116
3.2.2 擴展ACL 117
3.2.3 命名IP ACL 118
3.2.4 注釋IP ACL條目 118
3.2.5 鎖和密鑰（動態(tài)）ACL 119
3.2.6 反身ACL 120
3.2.7 使用時間范圍的時基
ACL 122
3.2.8 驗證代理 122
3.2.9 Turbo ACL 123
3.3 基于上下文的訪問控制 123
3.3.1 CBAC是如何工作的 125
3.3.2 支持CBAC的協(xié)議 127
3.3.3 配置CBAC：第一步
--設(shè)置審計跟蹤和
警報 128
3.3.4 配置CBAC：第二步
--設(shè)定全局超時和
閾值 129
3.3.5 配置CBAC：第三步
--定義應(yīng)用程序端口
映射（PAM） 132
3.3.6 配置CBAC：第四步
--定義檢查規(guī)則 134
3.3.7 配置CBAC：第五步
--在路由器接口上應(yīng)用
檢查規(guī)則和ACL 142
3.3.8 配置CBAC：第六步
--測試和檢驗 145
3.3.9 移除CBAC配置 147
3.3.10 配置一個空接口 147
3.4 小結(jié) 148
3.5 關(guān)鍵術(shù)語 148
3.6 復(fù)習(xí)題 149
第4章 路由器AAA安全 153
4.1 AAA安全網(wǎng)絡(luò)訪問 153
4.1.1 AAA安全網(wǎng)絡(luò)構(gòu)架 154
4.1.2 驗證方法 155
4.2 網(wǎng)絡(luò)訪問服務(wù)器（NAS）AAA
驗證過程 158
4.2.1 遠程管理 158
4.2.2 遠程網(wǎng)絡(luò)訪問 158
4.2.3 AAA安全服務(wù)器的
選擇 159
4.2.4 NAS配置 160
4.3 Cisco Secure ACS 160
4.3.1 管理Cisco Secure ACS3.0
for Windows 161
4.3.2 Cisco Secure ACS for
Windows故障排除技術(shù) 163
4.3.3 Cisco Secure ACS for UNIX
概述 163
4.3.4 Cisco Secure ACS 2.3 for
UNIX的特性集 164
4.3.5 Cisco Secure ACS解決方案
引擎 165
4.4 AAA服務(wù)器概述及配置 167
4.4.1 TACACS 168
4.4.2 XTACACS 168
4.4.3 TACACS+ 168
4.4.4 介紹RADIUS 168
4.4.5 RADIUS和TACACS+的
比較 170
4.4.6 Kerberos概述 171
4.5 Cisco IOS防火墻驗證代理 171
4.5.1 支持的服務(wù)器 172
4.5.2 驗證代理操作 172
4.5.3 驗證代理配置任務(wù) 173
4.5.4 HTTPS驗證代理 175
4.6 小結(jié) 177
4.7 關(guān)鍵術(shù)語 177
4.8 復(fù)習(xí)題 178
第5章 路由器入侵探測、監(jiān)控和管理 181
5.1 IOS防火墻IDS 181
5.1.1 實現(xiàn)簽名 183
5.1.2 響應(yīng)選項 183
5.2 安裝Cisco IOS防火墻IDS 183
5.2.1 步驟1：初始化路由器上
的IOS Firewall IDS--
設(shè)置通告的類型 184
5.2.2 步驟2：初始化路由器上的
IOS Firewall IDS--設(shè)置
通告隊列的尺寸 184
5.2.3 步驟3：配置、禁用或剔除
簽名 185
5.2.4 步驟3：創(chuàng)建和應(yīng)用審計
規(guī)則 186
5.2.5 步驟5：檢驗配置 187
5.2.6 步驟6：添加IOS防火墻
IDS到IDS Director的
映射圖 189
5.3 使用日志和Syslog監(jiān)控 189
5.3.1 日志的價值 189
5.3.2 配置日志 190
5.3.3 配置日志消息的同步 191
5.3.4 限制錯誤消息的嚴(yán)重
等級 192
5.3.5 系統(tǒng)日志（Syslog） 193
5.4 SNMP 196
5.4.1 SNMP的安全 198
5.4.2 SNMP 版本3
（SNMPv3） 199
5.4.3 如何配置SNMP 201
5.4.4 SNMP管理應(yīng)用程序 201
5.5 管理路由器 202
5.5.1 管理員的訪問機制 202
5.5.2 升級路由器 203
5.5.3 測試和安全確認 204
5.5.4 企業(yè)監(jiān)控 204
5.6 安全設(shè)備管理器（SDM） 205
5.6.1 訪問SDM 207
5.6.2 下載安裝SDM 209
5.6.3 修改現(xiàn)有的配置文件 209
5.6.4 使用默認的配置文件 210
5.7 小結(jié) 210
5.8 關(guān)鍵術(shù)語 211
5.9 復(fù)習(xí)題 211
第6章 路由器配置Site-to-Site VPN 215
6.1 VPN 215
6.1.1 Site-to-Site VPN 215
6.1.2 VPN技術(shù)選項 216
6.1.3 隧道協(xié)議 217
6.1.4 隧道接口 218
6.2 IOS密碼系統(tǒng) 219
6.2.1 對稱加密 220
6.2.2 非對稱加密 221
6.2.3 Diffie-Hellman算法 222
6.2.4 數(shù)據(jù)完整性 223
6.2.5 HMAC 224
6.2.6 來源驗證 225
6.3 IPSec 226
6.3.1 驗證頭 228
6.3.2 ESP協(xié)議 229
6.3.3 IPSec傳輸模式 230
6.3.4 安全關(guān)聯(lián) 231
6.3.5 IPSec的5個步驟 233
6.3.6 IKE 233
6.3.7 IPSec和IKE的邏輯
流程 235
6.4 使用預(yù)共享密鑰的Site-to-Site
IPSec VPN 236
6.4.1 任務(wù)1：為IKE和IPSec
作準(zhǔn)備 236
6.4.2 任務(wù)2：配置IKE 237
6.4.3 任務(wù)3：配置IPSec 237
6.4.4 任務(wù)4：測試和校驗IKE 240
6.5 數(shù)字證書 240
6.5.1 SCEP 241
6.5.2 CA服務(wù)器 242
6.5.3 用一個CA注冊設(shè)備 243
6.6 使用數(shù)字證書配置Site-to-Site
IPSec VPN 244
6.6.1 任務(wù)1：為IKE和IPSec
做準(zhǔn)備 245
6.6.2 任務(wù)2：配置CA支持 245
6.6.3 任務(wù)3：IKE配置 246
6.6.4 任務(wù)4：配置IPSec 247
6.6.5 任務(wù)5：測試和檢驗
IPSec 247
6.7 小結(jié) 248
6.8 關(guān)鍵術(shù)語 248
6.9 復(fù)習(xí)題 249
第7章 路由器遠程訪問VPN 253
7.1 遠程訪問VPN 253
7.1.1 遠程訪問VPN的類型 254
7.1.2 遠程訪問的隧道協(xié)議 255
7.2 Cisco Easy VPN 256
7.2.1 Cisco Easy VPN Server 256
7.2.2 Cisco Easy VPN Remote 256
7.2.3 Cisco VPN 3.5 Client 259
7.3 VPN企業(yè)管理 264
7.3.1 路由器MC里的關(guān)鍵
概念 264
7.3.2 支持的隧道技術(shù) 266
7.3.3 路由器MC的安裝 266
7.3.4 路由器MC的使用 268
7.3.5 路由器MC界面 269
7.4 小結(jié) 270
7.5 關(guān)鍵術(shù)語 270
7.6 復(fù)習(xí)題 270
第二部分
第8章 PIX安全設(shè)備 275
8.1 防火墻簡介 275
8.1.1 使用防火墻的理由 276
8.1.2 防火墻技術(shù) 277
8.1.3 防火墻市場 281
8.2 Cisco PIX Security Appliance 282
8.2.1 PIX的特點 283
8.2.2 PIX安全設(shè)備家族 288
8.2.3 防火墻服務(wù)模塊 289
8.2.4 PIX安全設(shè)備許可證
類型 291
8.2.5 PIX安全設(shè)備的VPN
功能 291
8.3 開始使用PIX Security
Appliance 292
8.3.1 用戶界面 292
8.3.2 基本PIX設(shè)置命令 295
8.3.3 檢查PIX狀態(tài) 298
8.4 路由選擇和多播配置 300
8.4.1 靜態(tài)路由 300
8.4.2 動態(tài)路由 301
8.4.3 多播路由選擇 303
8.4.4 查看和調(diào)試存根多播路
由選擇 308
8.5 PIX動態(tài)主機控制配置 308
8.5.1 服務(wù)器和客戶端 309
8.5.2 PIX安全設(shè)備對DHCP的
支持 309
8.5.3 DHCP服務(wù)器 310
8.5.4 配置PIX安全設(shè)備作為
DHCP服務(wù)器 311
8.6 小結(jié) 311
8.7 關(guān)鍵術(shù)語 311
8.8 復(fù)習(xí)題 312
第9章 PIX安全設(shè)備轉(zhuǎn)換和連接 315
9.1 傳輸協(xié)議 315
9.1.1 IP世界中的會話 315
9.1.2 TCP詳細回顧 316
9.1.3 TCP特點及與PIX的
交互 319
9.1.4 UDP特點及與PIX的
交互 319
9.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 320
9.2.1 連接與轉(zhuǎn)換 320
9.2.2 地址轉(zhuǎn)換類型 321
9.3 PIX上的DNS地址更改、目的
NAT和DNS記錄轉(zhuǎn)換 327
9.3.1 DNS地址更改過程 328
9.3.2 用alias命令實現(xiàn)目的
NAT 329
9.3.3 DNS記錄轉(zhuǎn)換 329
9.4 連接 330
9.4.1 穿過PIX安全設(shè)備的兩種
方法 330
9.4.2 靜態(tài)通道 331
9.5 端口地址轉(zhuǎn)換 331
9.5.1 PIX安全設(shè)備的PAT 332
9.5.2 使用外部地址轉(zhuǎn)換的
PAT 333
9.5.3 映射子網(wǎng)到PAT地址 334
9.5.4 使用多PAT地址提供后備
PAT地址 334
9.5.5 使用PAT增加全局地址以
支持更多主機 335
9.5.6 端口重定向 335
9.6 PIX安全設(shè)備的多接口 337
9.6.1 通過PIX安全設(shè)備進行
訪問 337
9.6.2 在PIX安全設(shè)備上配置
三個接口 338
9.6.3 配置PIX安全設(shè)備的四個
接口 339
9.7 小結(jié) 340
9.8 關(guān)鍵術(shù)語 341
9.9 復(fù)習(xí)題 341
第10章 PIX安全設(shè)備訪問控制列表 345
10.1 ACL和PIX安全設(shè)備 345
10.1.1 ACL使用原則 345
10.1.2 實現(xiàn)ACL 346
10.1.3 Turbo ACL 346
10.1.4 ACL與管道技術(shù)的
比較 347
10.1.5 ACL案例研究：管道和
ACL行為的差異 348
10.1.6 ACL的驗證和故障
排除 351
10.2 使用ACL 351
10.2.1 使用ACL拒絕內(nèi)網(wǎng)
用戶的Web訪問 352
10.2.2 使用ACL來允許Web
訪問DMZ 352
10.2.3 ACL的通常用法：允許
合作伙伴Web訪問
DMZ 353
10.2.4 ACL的常規(guī)用法：允許
DMZ訪問內(nèi)部郵件 354
10.2.5 VPN解決方案：雙DMZ
和VPN集中器 355
10.2.6 用ACL禁用Ping 356
10.3 過濾 357
10.3.1 過濾惡意小程序 357
10.3.2 URL過濾 358
10.4 對象組 359
10.4.1 在ACL中使用對象組 360
10.4.2 配置對象組 362
10.4.3 在對象組上應(yīng)用ACL 362
10.5 嵌套的對象組 363
10.5.1 配置嵌套的對象組 364
10.5.2 嵌套對象組例子 364
10.5.3 ACL中多個對象組的
例子 365
10.5.4 驗證和管理對象組 366
10.6 小結(jié) 367
10.7 關(guān)鍵術(shù)語 367
10.8 復(fù)習(xí)題 367
第11章 PIX安全應(yīng)用AAA 371
11.1 AAA 371
11.1.1 用戶在驗證和授權(quán)中看
到了什么 372
11.1.2 切入型代理操作 373
11.1.3 TACACS+和RADIUS 374
11.1.4 CSACS和PIX 375
11.2 PIX上的驗證配置 376
11.2.1 aaa-server命令 376
11.2.2 aaa authentication命令 377
11.2.3 AAA驗證實例 378
11.2.4 驗證非Telnet、非FTP
或非HTTP流量 378
11.2.5 虛擬Telnet 379
11.2.6 虛擬HTTP 380
11.2.7 控制臺訪問驗證 381
11.2.8 更改驗證超時和驗證
提示 382
11.3 PIX安全應(yīng)用上的授權(quán)配置 383
11.3.1 aaa authorization命令 383
11.3.2 使用可下載的ACL提供
授權(quán) 384
11.4 在PIX安全應(yīng)用上配置記賬 385
11.5 使用AAA服務(wù)定義流量 386
11.6 監(jiān)控AAA配置 386
11.7 PPPoE和PIX安全應(yīng)用 387
11.7.1 PIX如何與PPPoE交互
工作 387
11.7.2 配置PIX支持PPPoE 388
11.7.3 監(jiān)控和故障排除PPPoE
客戶端 389
11.8 附錄11-A：如何向CSACS-NT
添加用戶 390
11.8.1 附加用戶信息 391
11.8.2 用戶設(shè)置 391
11.8.3 賬號禁用 392
11.9 附錄11-B：CSACS和授權(quán) 393
11.9.1 如何在CSACS上建立一
個允許指定服務(wù)的授權(quán)
規(guī)則 393
11.9.2 如何創(chuàng)建僅對CSACS上
指定主機提供服務(wù)的
授權(quán)規(guī)則 393
11.9.3 如何在CSACS上為非
telnet、非FTP和非HTTP
的流量授權(quán) 394
11.10 附錄11-C：CSACS和
ACL 395
11.11 附錄11-D：如何在CSACS中
查看記賬信息 397
11.12 小結(jié) 397
11.13 關(guān)鍵術(shù)語 398
11.14 復(fù)習(xí)題 398
第12章 PIX高級協(xié)議和入侵檢測 401
12.1 高級協(xié)議處理 401
12.1.1 fixup命令 402
12.1.2 FTP Fixup配置 403
12.1.3 遠程Shell（rsh）Fixup
配置 405
12.1.4 SQL*Net Fixup配置 406
12.1.5 SIP Fixup配置 407
12.1.6 小客戶Fixup 配置 407
12.2 多媒體支持和PIX安全應(yīng)用 408
12.2.1 實時流協(xié)議 409
12.2.2 H.323 412
12.2.3 IP電話和PIX安全
應(yīng)用DHCP服務(wù)器 413
12.3 攻擊防護 414
12.3.1 郵件防護 414
12.3.2 DNS防護 415
12.3.3 分片防護和虛擬
重組 416
12.3.4 AAA泛洪防護 416
12.3.5 SYN泛洪攻擊 417
12.3.6 TCP攔截 418
12.4 入侵檢測和PIX安全應(yīng)用 418
12.4.1 信息和攻擊入侵檢測
特征 419
12.4.2 PIX安全應(yīng)用中的入侵
檢測 420
12.5 規(guī)避 421
12.6 PIX安全應(yīng)用系統(tǒng)日志記錄 422
12.7 SNMP 424
12.7.1 SNMP實例 425
12.7.2 MIB支持 425
12.7.3 示例：SNMP通過PIX
安全應(yīng)用 426
12.8 小結(jié) 428
12.9 關(guān)鍵術(shù)語 428
12.10 復(fù)習(xí)題 429
第13章 PIX故障轉(zhuǎn)移與系統(tǒng)維護 433
13.1 了解PIX Security Appliance
故障轉(zhuǎn)移 433
13.1.1 故障轉(zhuǎn)移的IP地址 435
13.1.2 配置文件復(fù)制 435
13.1.3 故障轉(zhuǎn)移和有狀態(tài)故障
轉(zhuǎn)移 436
13.1.4 故障轉(zhuǎn)移接口測試 437
13.2 串行電纜故障轉(zhuǎn)移配置 438
13.2.1 步驟1：連接防火墻 438
13.2.2 步驟2：連接故障轉(zhuǎn)移
電纜 439
13.2.3 步驟3：配置主PIX 440
13.2.4 步驟4：從防火墻接電 440
13.2.5 驗證故障轉(zhuǎn)移配置
文件 442
13.3 基于LAN的故障轉(zhuǎn)移配置 443
13.3.1 步驟1～4：配置主
PIX 444
13.3.2 步驟5～10：配置從
PIX 445
13.4 通過遠程訪問維護系統(tǒng) 447
13.4.1 為PIX Security Appliance
控制臺配置Telnet訪問 447
13.4.2 SSH連接到PIX Security
Appliance 448
13.4.3 用SSH客戶端連接到
PIX Security Appliance 448
13.5 命令授權(quán) 449
13.5.1 方法1：啟用級別命令
授權(quán) 450
13.5.2 方法2：本地命令授權(quán) 450
13.5.3 方法3：ACS命令
授權(quán) 451
13.6 PIX Security Appliance密碼
恢復(fù) 452
13.7 升級PIX Security Appliance
映像及激活密鑰 452
13.8 小結(jié) 453
13.9 關(guān)鍵術(shù)語 453
13.10 復(fù)習(xí)題 454
第14章 PIX Security Appliance VPN 457
14.1 PIX Security Appliance實現(xiàn)
安全的VPN 457
14.1.1 PIX VPN性能 457
14.1.2 PIX VPN拓撲結(jié)構(gòu) 458
14.1.3 IPSec實現(xiàn)PIX VPN
特性 459
14.1.4 IPSec概述 459
14.1.5 PIX Security Appliance
支持IPSec標(biāo)準(zhǔn) 459
14.2 配置VPN任務(wù) 461
14.2.1 任務(wù)1：準(zhǔn)備配置VPN
支持 462
14.2.2 任務(wù)2：配置IKE
參數(shù) 465
14.2.3 任務(wù)3：配置IPSec
參數(shù) 467
14.2.4 任務(wù)4：測試和校驗
VPN配置 470
14.3 Cisco VPN客戶端 473
14.3.1 Cisco VPN客戶端拓撲
結(jié)構(gòu) 474
14.3.2 PIX Security Appliance
分配IP地址到VPN
客戶端 475
14.3.3 配置PIX Security
Appliance的PIX到VPN
客戶端隧道 476
14.3.4 為PIX到PIX客戶端
隧道配置VPN客戶端 478
14.4 使用CA擴展PIX VPN 479
14.5 小結(jié) 481
14.6 關(guān)鍵術(shù)語 481
14.7 復(fù)習(xí)題 482
第15章 PIX安全設(shè)備管理 485
15.1 PIX管理工具 485
15.1.1 PIX設(shè)備管理器 486
15.1.2 Cisco安全策略管理器 486
15.1.3 PIX管理中心 487
15.2 Cisco PIX設(shè)備管理器 488
15.2.1 PDM運行要求 489
15.2.2 PDM瀏覽器要求 489
15.2.3 PDM的準(zhǔn)備 491
15.2.4 運用PDM配置PIX 493
15.2.5 使用PDM創(chuàng)建站點到
站點VPN 501
15.2.6 使用PDM創(chuàng)建遠程
訪問VPN 506
15.3 企業(yè)PIX管理 509
15.3.1 PIX MC 509
15.3.2 PIX MC的主要概念 510
15.3.3 AUS 511
15.4 小結(jié) 511
15.5 復(fù)習(xí)題 512
第三部分
附錄A 關(guān)鍵術(shù)語 517
附錄B 復(fù)習(xí)題答案 525
附錄C 物理層安全 531
C.1 什么是物理安全？ 531
C.2 第1層安全的開銷是什么？ 533
C.3 第1層安全保護了什么？ 534
C.4 物理安全同樣能夠防御其他
威脅 534
C.5 物理層安全的基礎(chǔ) 534
C.6 ANSI/TIA/EIA 535
C.7 安全培訓(xùn) 537
C.7.1 建立安全意識 537
C.7.2 需要進行驗證 538
C.7.3 登錄訪問及操作 538
C.7.4 提出適當(dāng)有禮的質(zhì)疑 538
C.7.5 知道向哪些人尋求援助 539
C.8 高級通行證及Biometric
驗證 539
C.9 威懾因素 539
C.10 工作區(qū)安全 540
C.10.1 閑置插座 540
C.10.2 抗干擾插座 540
C.10.3 抗干擾路徑 541
C.10.4 電信間 541
C.11 入侵者怎樣截取信息并
解碼 542
C.11.1 入侵者是怎樣截取
資料的 543
C.11.2 入侵者怎樣對資料
解碼 543
C.12 光纖入侵 543
C.12.1 直接物理入侵 544
C.12.2 管道 545
C.13 無線偵聽 545
C.13.1 競爭駕駛 545
C.13.2 競爭撥號和競爭行走 546
C.14 安全自動控制 546
C.15 物理安全中的人員因素 547
C.16 小結(jié) 549
附錄D 操作系統(tǒng)安全 553
D.1 Linux操作系統(tǒng)級安全 553
D.1.1 保護正在運行的進程 554
D.1.2 文件系統(tǒng)和目錄安全 556
D.1.3 驗證安全 560
D.2 Linux基礎(chǔ)設(shè)施級安全 562
D.2.1 保護Samba 562
D.2.2 保護NFS 564
D.2.3 保護xinetd守護進程 566
D.3 保護Linux網(wǎng)絡(luò)服務(wù) 568
D.3.1 保護Linux FTP服務(wù)器 568
D.3.2 保護Linux Web服務(wù)器 569
D.3.3 保護Linux郵件服務(wù)器 571
D.4 Linux網(wǎng)絡(luò)安全和過濾方法 573
D.4.1 TCP包裝程序 573
D.4.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 574
D.4.3 防火墻和代理服務(wù) 574
D.5 Windows 2000驗證安全 576
D.5.1 識別安全架構(gòu) 576
D.5.2 在Windows 2000中驗證
用戶 577
D.6 Windows 2000操作系統(tǒng)級
安全 578
D.6.1 保護文件和打印資源 578
D.6.2 加密文件系統(tǒng) 580
D.6.3 審核對資源的訪問 583
D.7 Windows 2000基礎(chǔ)結(jié)構(gòu)級
安全 584
D.7.1 保護活動目錄 584
D.7.2 用組策略輔助安全管理 585
D.7.3 安全模版、安全配置和
分析工具的使用 586
D.7.4 安全地對DNS記錄進行
更新 586
D.8 保護Windows網(wǎng)絡(luò)服務(wù) 587
D.8.1 保護WWW服務(wù)器 588
D.8.2 保護FTP服務(wù)器 588
D.8.3 保護Windows郵件
服務(wù)器 589
D.8.4 SSL/TLS的使用 590
D.9 Windows網(wǎng)絡(luò)的安全方法 590
D.9.1 Internet連接共享 591
D.9.2 網(wǎng)絡(luò)地址轉(zhuǎn)換 592
D.9.3 路由選擇和遠程訪問
服務(wù) 592
D.9.4 Internet驗證服務(wù)和
RADIUS 594
D.9.5 Internet協(xié)議安全 595
D.10 小結(jié) 596