網(wǎng)管員必讀：網(wǎng)絡(luò)安全

第1章  企業(yè)網(wǎng)絡(luò)安全概述    1
1.1  企業(yè)網(wǎng)絡(luò)安全考慮    2
1.1.1  病毒入侵和黑客攻擊的基本防護(hù)    2
1.1.2  對(duì)基于操作系統(tǒng)的安全漏洞的攻擊的防護(hù)    4
1.1.3  網(wǎng)絡(luò)用戶(hù)密碼盜用和權(quán)限濫用    7
1.1.4  重要文件或郵件的非法竊取、訪問(wèn)與操作    7
1.1.5  關(guān)鍵部門(mén)的非法訪問(wèn)    7
1.1.6  外網(wǎng)的非法入侵    8
1.1.7  備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失    8
1.2  認(rèn)識(shí)病毒文件    9
1.2.1  計(jì)算機(jī)病毒的演變    10
1.2.2  病毒的產(chǎn)生    10
1.2.3  病毒的主要特點(diǎn)    11
1.3  病毒的分類(lèi)    12
1.3.1  按破壞程度分    13
1.3.2  按傳染方式分    14
1.3.3  按入侵方式分    17
1.4  認(rèn)識(shí)黑客入侵    17
1.4.1  黑客攻擊的基本步驟    17
1.4.2  常見(jiàn)攻擊類(lèi)型    18
1.4.3  常見(jiàn)拒絕服務(wù)攻擊的行為特征與防御方法    20
1.4.4  其他攻擊方式的行為特征及防御方法    22
1.4.5  黑客攻擊方式的十大最新發(fā)展趨勢(shì)    24
1.5  企業(yè)網(wǎng)絡(luò)八大安全認(rèn)識(shí)誤區(qū)    27
1.6  企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)    29
1.6.1  什么是企業(yè)網(wǎng)絡(luò)安全策略    29
1.6.2  網(wǎng)絡(luò)安全策略設(shè)計(jì)的
十大原則    30
1.6.3  安全隱患分析和基本系統(tǒng)結(jié)構(gòu)信息的收集    32
1.6.4  現(xiàn)有安全策略/流程的檢查與評(píng)估    35
1.6.5  安全策略文檔設(shè)計(jì)    35
第2章  惡意軟件的深度防護(hù)    41
2.1  認(rèn)識(shí)惡意軟件    42
2.1.1  什么是惡意軟件    42
2.1.2  什么是非惡意軟件    44
2.1.3  惡意軟件的主要特征    46
2.2  木馬的檢測(cè)、清除與防范    51
2.2.1  木馬的手工檢測(cè)、清除和防范方法    51
2.2.2  木馬的軟件自動(dòng)清除和端口關(guān)閉方法    55
2.3  拒絕惡意代碼    62
2.3.1  IE瀏覽器Internet安全選項(xiàng)設(shè)置    62
2.3.2  IE瀏覽器本地Intranet安全選項(xiàng)設(shè)置    63
2.4  網(wǎng)絡(luò)蠕蟲(chóng)的深度防護(hù)    64
2.4.1  網(wǎng)絡(luò)蠕蟲(chóng)的定義和危害性    65
2.4.2  預(yù)防蠕蟲(chóng)的基本措施    65
2.5  如何強(qiáng)化TCP/IP堆棧安全    67
2.5.1  抵御SYN攻擊    68
2.5.2  抵御ICMP攻擊    69
2.5.3  抵御SNMP攻擊    69
2.5.4  AFD.SYS保護(hù)    70
2.5.5  其他保護(hù)    70
2.6  惡意軟件的深度防護(hù)方法    71
2.6.1  深層防護(hù)安全模型    72
2.6.2  客戶(hù)端防護(hù)    73
2.6.3  客戶(hù)端應(yīng)用程序的防病毒設(shè)置    77
2.6.4  服務(wù)器端病毒防護(hù)    80
2.6.5  網(wǎng)絡(luò)層安全防護(hù)    82
第3章  防火墻在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用    89
3.1  防火墻技術(shù)基礎(chǔ)    90
3.1.1  防火墻概述    90
3.1.2  防火墻的八大主要功能    91
3.1.3  防火墻的優(yōu)點(diǎn)和不足    93
3.2  防火墻的分類(lèi)    95
3.2.1  個(gè)人防火墻    95
3.2.2  路由器防火墻    96
3.2.3  低端硬件防火墻    98
3.2.4  高端硬件防火墻    99
3.2.5  高端服務(wù)器防火墻    100
3.3  主要防火墻技術(shù)    101
3.3.1  包過(guò)濾型防火墻    102
3.3.2  應(yīng)用代理型防火墻    102
3.3.3  狀態(tài)包過(guò)濾型防火墻    104
3.4  防火墻的硬件技術(shù)架構(gòu)    105
3.5  防火墻應(yīng)用方案    105
3.5.1  產(chǎn)品選型原則    106
3.5.2  防火墻具體實(shí)現(xiàn)    107
3.6  內(nèi)部防火墻系統(tǒng)設(shè)計(jì)    108
3.6.1  網(wǎng)絡(luò)體系結(jié)構(gòu)    108
3.6.2  企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)所需的考慮    109
3.6.3  系統(tǒng)攻擊和防御認(rèn)識(shí)    110
3.7  內(nèi)部防火墻系統(tǒng)應(yīng)用    112
3.7.1  內(nèi)部防火墻規(guī)則    112
3.7.2  內(nèi)部防火墻的可用性需求    113
3.7.3  內(nèi)部容錯(cuò)防火墻集的配置    115
3.7.4  內(nèi)部防火墻系統(tǒng)的其他因素要求    117
3.8  外圍防火墻系統(tǒng)設(shè)計(jì)    119
3.8.1  外圍防火墻規(guī)則    119
3.8.2  外圍防火墻系統(tǒng)的應(yīng)用    119
3.9  用防火墻防御SYN Flood
攻擊    121
3.9.1  SYN Flood攻擊原理    121
3.9.2  用防火墻防御SYN Flood攻擊    122
第4章  入侵檢測(cè)系統(tǒng)及應(yīng)用    125
4.1  入侵檢測(cè)系統(tǒng)（IDS）基礎(chǔ)    126
4.1.1  入侵檢測(cè)系統(tǒng)概述    126
4.1.2  主要入侵檢測(cè)技術(shù)    126
4.1.3  主要入侵檢測(cè)模型    129
4.1.4  當(dāng)前入侵檢測(cè)技術(shù)的不足    131
4.1.5  入侵檢測(cè)技術(shù)發(fā)展方向    132
4.2  入侵檢測(cè)原理及應(yīng)用    134
4.2.1  入侵檢測(cè)原理    134
4.2.2  JUMP入侵檢測(cè)系統(tǒng)的技術(shù)應(yīng)用    135
4.3  分布式入侵檢測(cè)系統(tǒng)    137
4.3.1  分布式入侵檢測(cè)框架及檢測(cè)機(jī)制    137
4.3.2  分布式入侵檢測(cè)系統(tǒng)的協(xié)同機(jī)制    138
4.3.3  開(kāi)放式DIDS的基本系統(tǒng)
架構(gòu)及設(shè)計(jì)考慮    139
4.4  金諾網(wǎng)安入侵檢測(cè)系統(tǒng)KIDS140
4.4.1  金諾網(wǎng)安入侵檢測(cè)系統(tǒng)簡(jiǎn)介    141
4.4.2  KIDS的模塊組成    141
4.4.3  KIDS的主要功能    143
4.5  華強(qiáng)IDS    143
4.5.1  華強(qiáng)IDS簡(jiǎn)介    143
4.5.2  華強(qiáng)IDS的應(yīng)用    144
4.6  “冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)    145
4.6.1  產(chǎn)品架構(gòu)    146
4.6.2  產(chǎn)品主要特性    146
4.7  黑盾網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
（HD-NIDS）    149
4.7.1  HD－NIDS的體系結(jié)構(gòu)    149
4.7.2  HD-NIDS的實(shí)時(shí)攻擊檢測(cè)功能    150
4.7.3  HD-NIDS的技術(shù)特點(diǎn)    151
4.7.4  HD-NIDS的網(wǎng)絡(luò)應(yīng)用    154
第5章  企業(yè)網(wǎng)絡(luò)安全隔離    155
5.1  隔離技術(shù)    156
5.1.1  隔離技術(shù)基礎(chǔ)    156
5.1.2  物理隔離原理    158
5.1.3  物理隔離產(chǎn)品的應(yīng)用方式    160
5.2  物理隔離卡產(chǎn)品及應(yīng)用    160
5.2.1  認(rèn)識(shí)物理隔離卡    160
5.2.2  主要物理隔離模式    162
5.2.3  圖文網(wǎng)絡(luò)安全物理隔離器    164
5.2.4  利普隔離卡產(chǎn)品    166
5.3  網(wǎng)絡(luò)線路選擇器產(chǎn)品及應(yīng)用    172
5.3.1  LS-8網(wǎng)絡(luò)線路選擇器及應(yīng)用    173
5.3.2  LS-24網(wǎng)絡(luò)線路選擇器及應(yīng)用    174
5.3.3  NS-16網(wǎng)絡(luò)切換器及應(yīng)用    174
5.4  物理隔離網(wǎng)閘    175
5.4.1  物理隔離網(wǎng)閘概述    175
5.4.2  物理隔離網(wǎng)閘的安全模塊    176
5.4.3  物理隔離網(wǎng)閘的主要功能與應(yīng)用領(lǐng)域    177
5.4.4  主要的物理隔離網(wǎng)閘產(chǎn)品類(lèi)型    178
5.4.5  物理隔離網(wǎng)閘的信息交換方式    179
5.4.6  利譜v2.0物理隔離網(wǎng)閘應(yīng)用方案    180
5.5  網(wǎng)絡(luò)隔離技術(shù)    181
5.5.1  網(wǎng)絡(luò)隔離技術(shù)的發(fā)展    182
5.5.2  網(wǎng)絡(luò)隔離技術(shù)的安全要點(diǎn)    182
第6章  Windows用戶(hù)賬戶(hù)安全策略185
6.1  Windows Server 2003系統(tǒng)的安全功能概述    186
6.1.1  安全模型的功能    186
6.1.2  Windows Server 2003系統(tǒng)的新安全功能    187
6.1.3  與以前系統(tǒng)相比新增的安全功能    188
6.2  域賬戶(hù)策略設(shè)置    189
6.2.1  域賬戶(hù)和本地策略簡(jiǎn)介    189
6.2.2  域賬戶(hù)密碼概述    190
6.2.3  域賬戶(hù)密碼的使用原則    191
6.2.4  域賬戶(hù)密碼策略的設(shè)置    192
6.2.5  系統(tǒng)密鑰實(shí)用程序    194
6.2.6  賬戶(hù)鎖定策略配置    197
6.2.7  Kerberos身份驗(yàn)證策略配置    199
6.3  封死黑客的“后門(mén)”    202
6.3.1  禁用Guest賬戶(hù)和更改管理員賬戶(hù)名    202
6.3.2  關(guān)閉“文件和打印共享”功能    203
6.3.3  刪掉不必要的協(xié)議    204
6.4  用戶(hù)賬戶(hù)權(quán)限分配    205
6.4.1  Windows Server 2003域默認(rèn)的賬戶(hù)及權(quán)限    205
6.4.2  域默認(rèn)的組賬戶(hù)    206
6.4.3  域用戶(hù)權(quán)限分配    209
6.5  共享文件夾訪問(wèn)權(quán)限    217
6.5.1  取消系統(tǒng)默認(rèn)共享    217
6.5.2  共享權(quán)限類(lèi)型    221
6.5.3  創(chuàng)建私人文件夾    223
6.6  NTFS文件訪問(wèn)權(quán)限的配置    224
6.6.1  文件和文件夾的NTFS訪問(wèn)權(quán)限    224
6.6.2  文件服務(wù)器的最佳權(quán)限設(shè)置    226
6.6.3  設(shè)置、查看、更改或刪除文件和文件夾權(quán)限    227
6.6.4  權(quán)限的繼承    229
6.6.5  NTFS文件權(quán)限屬性    230
第7章  公鑰基礎(chǔ)結(jié)構(gòu)    233
7.1  公鑰基礎(chǔ)結(jié)構(gòu)（PKI）概述    234
7.1.1  公鑰基礎(chǔ)結(jié)構(gòu)的作用    234
7.1.2  Windows Server 2003中的公鑰基礎(chǔ)結(jié)構(gòu)    235
7.2  證書(shū)基礎(chǔ)    236
7.2.1  證書(shū)概述    236
7.2.2  證書(shū)的應(yīng)用    236
7.2.3  證書(shū)的頒發(fā)機(jī)構(gòu)    239
7.2.4  證書(shū)服務(wù)的安裝    240
7.3  證書(shū)申請(qǐng)    242
7.3.1  證書(shū)模板    243
7.3.2  使用證書(shū)申請(qǐng)向?qū)暾?qǐng)證書(shū)    245
7.3.3  使用Windows Server 2003證書(shū)服務(wù)網(wǎng)頁(yè)    250
7.4  證書(shū)的自動(dòng)注冊(cè)    254
7.4.1  規(guī)劃自動(dòng)注冊(cè)部署    255
7.4.2  “用戶(hù)”模板復(fù)制    258
7.4.3  配置企業(yè)證書(shū)頒發(fā)機(jī)構(gòu)    260
7.4.4  建立自動(dòng)注冊(cè)域用戶(hù)的策略    261
7.5  證書(shū)的導(dǎo)入/導(dǎo)出    262
7.5.1  導(dǎo)入/導(dǎo)出證書(shū)的用途和標(biāo)準(zhǔn)證書(shū)文件格式    262
7.5.2  導(dǎo)入證書(shū)    264
7.5.3  導(dǎo)出證書(shū)    265
7.5.4  導(dǎo)出帶私鑰的證書(shū)    266
7.6  吊銷(xiāo)證書(shū)和發(fā)布CRL    268
7.6.1  吊銷(xiāo)證書(shū)    268
7.6.2  安排證書(shū)吊銷(xiāo)列表（CRL）的發(fā)布    269
7.6.3  手動(dòng)發(fā)布證書(shū)吊銷(xiāo)列表    271
7.7  常見(jiàn)問(wèn)題解答    271
第8章  文件加密與數(shù)字簽名    275
8.1  文件加密概述    276
8.1.1  加密的由來(lái)    276
8.1.2  選擇加密的意義    276
8.1.3  具有代表性的數(shù)據(jù)加密標(biāo)準(zhǔn)    277
8.1.4  電子簽名與數(shù)字簽名    278
8.2  靜態(tài)文件加密——EFS（加密
文件系統(tǒng)）    279
8.2.1  EFS概述    280
8.2.2  使用EFS加密文件的注意事項(xiàng)280
8.2.3  EFS的工作原理    282
8.3  使用EFS    283
8.3.1  加密文件或文件夾    283
8.3.2  解密文件或文件夾    284
8.3.3  在資源管理器菜單中添加“加密”和“解密”
選項(xiàng)    285
8.3.4  復(fù)制加密的文件夾或文件    286
8.4  數(shù)據(jù)恢復(fù)策略    288
8.4.1  數(shù)據(jù)恢復(fù)策略概述    288
8.4.2  更改本地計(jì)算機(jī)的故障恢復(fù)策略    289
8.4.3  更改域的故障恢復(fù)策略    290
8.5  數(shù)據(jù)恢復(fù)代理    292
8.5.1  EFS證書(shū)    293
8.5.2  創(chuàng)建默認(rèn)的獨(dú)立計(jì)算機(jī)上的數(shù)據(jù)恢復(fù)代理    293
8.5.3  添加其他恢復(fù)代理    295
8.5.4  啟用EFS文件共享    296
8.6  EFS使用中的常見(jiàn)問(wèn)題解答    297
8.7  公鑰基礎(chǔ)結(jié)構(gòu)在文件傳輸和
數(shù)字簽名方面的應(yīng)用    298
8.7.1  動(dòng)態(tài)文件加密原理    299
8.7.2  數(shù)字簽名原理    300
8.7.3  加密密鑰對(duì)的獲取    300
8.8  PGP動(dòng)態(tài)文件加密和數(shù)字
簽名    302
8.8.1  PGP密鑰的生成    303
8.8.2  密鑰的發(fā)布    308
8.8.3  加密文件    310
8.8.4  郵件數(shù)字簽名    312
8.9  電子簽章    316
8.9.1  iSignature簽章系統(tǒng)簡(jiǎn)介    317
8.9.2  iSignature的主要功能    319
8.9.3  數(shù)字證書(shū)簡(jiǎn)介    320
8.9.4  個(gè)人數(shù)字證書(shū)申請(qǐng)    321
8.9.5  iSignature簽章系統(tǒng)的使用    325
8.9.6  天威誠(chéng)信安證通簡(jiǎn)介    329
第9章  數(shù)據(jù)備份與恢復(fù)    333
9.1  備份概述    334
9.1.1  備份的主要功能    334
9.1.2  備份和還原所需要的權(quán)限    334
9.1.3  系統(tǒng)狀態(tài)數(shù)據(jù)    337
9.2  企業(yè)容災(zāi)計(jì)劃設(shè)計(jì)    339
9.2.1  備份計(jì)劃設(shè)計(jì)    339
9.2.2  備份策略設(shè)計(jì)    340
9.2.3  備份模式選擇    341
9.2.4  備份類(lèi)型選擇    342
9.2.5  Windows備份工具所
支持的備份類(lèi)型    343
9.2.6  備份拓?fù)浣Y(jié)構(gòu)的選擇    344
9.3  使用Windows Server 2003備份
工具備份數(shù)據(jù)    347
9.3.1  利用備份向?qū)нM(jìn)行系統(tǒng)狀態(tài)備份    347
9.3.2  系統(tǒng)狀態(tài)的手動(dòng)配置備份    352
9.3.3  創(chuàng)建Windows Server 2003
備份全集    357
9.3.4  備份域控制器    359
9.4  使用Windows Server 2003備份工具還原數(shù)據(jù)    360
9.4.1  授權(quán)還原、原始還原和普通還原    360
9.4.2  從文件或磁帶還原文件    362
9.4.3  還原系統(tǒng)狀態(tài)數(shù)據(jù)    364
9.5  Veritas Backup Exec 9.0數(shù)據(jù)備份與恢復(fù)基礎(chǔ)    365
9.5.1  Veritas Backup Exec 9.0新特性    365
9.5.2  安裝條件    367
9.5.3  Backup Exec的備份類(lèi)型    368
9.5.4  備份方式中的“歸檔位”和修改時(shí)間    371
9.5.5  Backup Exec的工作機(jī)制    372
9.5.6  首次啟動(dòng)    373
9.6  創(chuàng)建備份策略    376
9.6.1  手動(dòng)創(chuàng)建策略    377
9.6.2  使用“策略向?qū)А眲?chuàng)建策略    379
9.7  備份數(shù)據(jù)    382
9.7.1  使用備份向?qū)?chuàng)建備份作業(yè)    383
9.7.2  通過(guò)配置作業(yè)屬性來(lái)手動(dòng)創(chuàng)建備份作業(yè)    386
9.8  恢復(fù)數(shù)據(jù)    392
9.8.1  使用恢復(fù)向?qū)?shù)據(jù)恢復(fù)到服務(wù)器或工作站    393
9.8.2  通過(guò)配置作業(yè)屬性手動(dòng)創(chuàng)建恢復(fù)作業(yè)    396
第10章  遠(yuǎn)程網(wǎng)絡(luò)連接的安全配置399
10.1  遠(yuǎn)程桌面連接的用戶(hù)權(quán)限配置    400
10.1.1  “遠(yuǎn)程桌面連接”、“遠(yuǎn)程桌面”管理單元和“管理遠(yuǎn)程桌面”的聯(lián)系與
區(qū)別    400
10.1.2  “遠(yuǎn)程桌面連接”權(quán)限配置    401
10.2  終端服務(wù)的用戶(hù)權(quán)限配置    404
10.3  “遠(yuǎn)程桌面Web連接”的安全配置    407
10.4  “遠(yuǎn)程協(xié)助”的用戶(hù)權(quán)限配置    410
10.4.1  遠(yuǎn)程協(xié)助用戶(hù)權(quán)限配置    410
10.4.2  防火墻的3389號(hào)端口開(kāi)放與關(guān)閉    414
10.5  遠(yuǎn)程訪問(wèn)權(quán)限的配置    416
10.5.1  遠(yuǎn)程訪問(wèn)連接所需的安全考慮    416
10.5.2  遠(yuǎn)程訪問(wèn)用戶(hù)權(quán)限配置    418
10.5.3  遠(yuǎn)程服務(wù)器身份驗(yàn)證安全配置    419
10.5.4  遠(yuǎn)程訪問(wèn)策略安全配置    425
10.5.5  遠(yuǎn)程訪問(wèn)賬戶(hù)鎖定    428
10.6  VPN技術(shù)基礎(chǔ)    429
10.6.1  VPN的產(chǎn)生及前景    430
10.6.2  VPN的組成及基本通信步驟    431
10.6.3  VPN網(wǎng)絡(luò)與專(zhuān)線網(wǎng)絡(luò)的區(qū)別    432
10.6.4  VPN連接的優(yōu)勢(shì)    433
10.6.5  VPN安全技術(shù)概述    435
10.7  VPN的分類(lèi)    437
10.7.1  按VPN的應(yīng)用平臺(tái)分類(lèi)    437
10.7.2  按VPN的部署模式分類(lèi)    437
10.7.3  按VPN的服務(wù)類(lèi)型分類(lèi)    438
10.8  VPN隧道技術(shù)    440
10.8.1  VPN隧道基礎(chǔ)    440
10.8.2  VPN隧道類(lèi)型    442
10.8.3  PPTP隧道協(xié)議    443
10.8.4  L2F隧道協(xié)議    444
10.8.5  L2TP隧道協(xié)議    445
10.9  IPSec安全協(xié)議    447
10.9.1  IPSec協(xié)議概述    447
10.9.2  IPSec協(xié)議的安全體系    450
10.9.3  AH隧道模式的加密原理    451
10.9.4  ESP隧道模式的加密原理    452
10.9.5  IPSec協(xié)議IKE密鑰
交換技術(shù)    453
10.9.6  IPSec安全策略    456
附錄A  常見(jiàn)端口及應(yīng)用    459
附錄B  常見(jiàn)木馬清除方法    467
附錄C  常見(jiàn)端口列表    477