網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程

第1章 網(wǎng)絡(luò)安全概述 1
1.1 概述 1
1.2 網(wǎng)絡(luò)安全設(shè)計(jì)準(zhǔn)則 2
1.2.1 綜合性、整體性原則 2
1.2.2 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 2
1.2.3 一致性原則 2
1.2.4 易操作性原則 3
1.2.5 分步實(shí)施原則 3
1.2.6 多重保護(hù)原則 3
1.2.7 可評(píng)價(jià)性原則 3
習(xí)題 3
第2章 認(rèn)證和訪問(wèn)控制技術(shù) 4
2.1 身份認(rèn)證技術(shù) 4
2.1.1 概述 4
2.1.2 認(rèn)證：CA 6
2.1.3 PKI技術(shù) 6
2.2 訪問(wèn)控制 10
2.2.1 一次性口令技術(shù) 10
2.2.2 單點(diǎn)登錄（SSO）技術(shù) 11
2.3 認(rèn)證服務(wù)系統(tǒng)的設(shè)計(jì) 13
2.3.1 AAA概述 13
2.3.2 RASIUS技術(shù) 14
2.3.3 TACACS和TACACS+ 19
習(xí)題 21
第3章 防火墻技術(shù) 22
3.1 防火墻基礎(chǔ) 22
3.1.1 防火墻基礎(chǔ)知識(shí) 22
3.1.2 防火墻的模型 25
3.1.3 防火墻的基本安全策略 25
3.1.4 防火墻技術(shù)分析 26
3.2 防火墻的分類 29
3.2.1 技術(shù)分類 30
3.2.2 按照使用范圍分類 31
3.2.3 按照硬件架構(gòu)分類 35
3.3 防火墻的功能及其指標(biāo) 36
3.3.1 防火墻的功能 36
3.3.2 防火墻的指標(biāo) 40
3.4 防火墻關(guān)鍵技術(shù) 41
3.4.1 包過(guò)濾技術(shù) 41
3.4.2 代理技術(shù) 43
3.4.3 狀態(tài)監(jiān)測(cè)技術(shù) 45
3.5 防火墻的體系結(jié)構(gòu) 46
3.5.1 包過(guò)濾路由器 46
3.5.2 雙重宿主主機(jī)結(jié)構(gòu) 46
3.5.3 屏蔽主機(jī)結(jié)構(gòu) 47
3.5.4 DMZ或屏蔽子網(wǎng)結(jié)構(gòu) 48
3.5.5 多重堡壘主機(jī)結(jié)構(gòu) 49
3.5.6 使用多臺(tái)內(nèi)部路由器 50
3.6 防火墻設(shè)計(jì) 50
3.6.1 網(wǎng)絡(luò)結(jié)構(gòu)分析 50
3.6.2 DMZ網(wǎng)絡(luò)設(shè)計(jì) 52
3.6.3 內(nèi)部網(wǎng)絡(luò)設(shè)計(jì) 58
3.6.4 高可用性設(shè)計(jì) 59
3.7 常見(jiàn)的防火墻產(chǎn)品介紹 63
3.7.1 Microsoft ISA Server簡(jiǎn)介 63
3.7.2 PIX簡(jiǎn)介 64
3.7.3 NetScreen簡(jiǎn)介 65
3.8 Linux防火墻與IPTables技術(shù) 66
3.8.1 概述 66
3.8.2 原理 66
3.8.3 IPTbales操作 68
3.8.4 IPTables與Ipchains的區(qū)別 73
3.9 對(duì)防火墻的攻擊 75
3.9.1 IP地址欺騙 75
3.9.2 TCP序號(hào)攻擊 75
3.9.3 IP分段攻擊 76
3.9.4 基于附加信息的攻擊 77
3.9.5 基于堡壘主機(jī)Web服務(wù)器的攻擊 77
3.9.6 IP隧道攻擊 77
3.9.7 計(jì)算機(jī)病毒攻擊 77
3.9.8 特洛伊木馬攻擊 77
3.9.9 報(bào)文攻擊 78
3.10 防火墻的其他功能 78
3.10.1 防火墻負(fù)載均衡技術(shù) 78
3.10.2 防火墻的VPN功能 79
3.10.3 防火墻與IDS聯(lián)動(dòng)功能 80
習(xí)題 80
第4章 網(wǎng)絡(luò)層防范 81
4.1 網(wǎng)絡(luò)基礎(chǔ) 81
4.1.1 網(wǎng)絡(luò)體系結(jié)構(gòu) 81
4.1.2 TCP/IP的體系結(jié)構(gòu) 82
4.1.3 以太網(wǎng)工作機(jī)制 85
4.1.4 IP：Internet Protocol 91
4.2 路由協(xié)議和DNS分析 93
4.2.1 Internet路由和路由器 93
4.2.2 BGP原理與安全防范 97
4.2.3 OSPF和RIP安全防范 108
4.2.4 DNS安全防范 111
4.3 數(shù)據(jù)鏈路層攻擊分析與防范 113
4.3.1 ARP原理與安全防范 113
4.3.2 CDP原理與安全防范 123
4.3.3 VLAN與VTP原理與安全防范 124
4.3.4 DHCP原理與攻擊防范 126
4.4 安全路由器配置 132
4.4.1 路由器面臨的安全威脅分析 132
4.4.2 安全過(guò)濾策略 133
4.4.3 路由器安全分析 135
4.4.4 路由器標(biāo)準(zhǔn)配置 137
習(xí)題 153
第5章 入侵偵測(cè)技術(shù) 154
5.1 入侵偵測(cè)技術(shù)概述 154
5.2 入侵偵測(cè)系統(tǒng) 155
5.2.1 入侵偵測(cè)系統(tǒng)分類 155
5.2.2 入侵偵測(cè)系統(tǒng)的優(yōu)缺點(diǎn) 155
5.2.3 入侵偵測(cè)系統(tǒng)的部署方法 157
5.2.4 入侵偵測(cè)系統(tǒng)的關(guān)鍵指標(biāo) 159
5.3 入侵偵測(cè)技術(shù) 162
5.3.1 基于異常的入侵偵測(cè)技術(shù) 162
5.3.2 基于模式的入侵偵測(cè)技術(shù) 163
5.3.3 入侵偵測(cè)技術(shù)的未來(lái) 164
5.4 常見(jiàn)入侵偵測(cè)系統(tǒng) 164
5.4.1 Snort系統(tǒng) 164
5.4.2 綠盟冰之眼入侵偵測(cè)系統(tǒng)簡(jiǎn)介 171
習(xí)題 173
第6章 虛擬專用網(wǎng)（VPN） 174
6.1 VPN技術(shù)總論 174
6.1.1 VPN技術(shù)概述 174
6.1.2 VPN技術(shù)分類 175
6.2 三層VPN技術(shù) 178
6.2.1 三層VPN概述 178
6.2.2 MPLS VPN及其相關(guān)技術(shù) 179
6.2.3 MPLS VPN的一般配置 193
6.2.4 VPN的安全性 195
6.3 二層VPN技術(shù) 197
6.3.1 二層MPLS VPN技術(shù)概述 198
6.3.2 VPLS技術(shù)詳解 200
習(xí)題 203
第7章 其他常用防御手段 204
7.1 HoneyNet與HoneyPot 204
7.2 防病毒技術(shù) 205
7.2.1 概述 205
7.2.2 病毒的傳播與防護(hù) 207
7.2.3 病毒防護(hù)的案例 208
7.3 災(zāi)難備份技術(shù) 210
7.3.1 概述 210
7.3.2 RAID技術(shù) 210
習(xí)題 212
第8章 漏洞掃描技術(shù) 213
8.1 掃描技術(shù)概述 213
8.1.1 概述 213
8.1.2 掃描器的分類 214
8.1.3 掃描器的優(yōu)缺點(diǎn) 214
8.2 掃描原理與技術(shù) 215
8.2.1 TCP協(xié)議字段的含義 215
8.2.2 端口掃描技術(shù) 216
8.2.3 主機(jī)掃描技術(shù) 220
8.3 漏洞掃描的指標(biāo)與常見(jiàn)產(chǎn)品 221
8.3.1 漏洞掃描器的指標(biāo) 221
8.3.2 常見(jiàn)產(chǎn)品介紹 223
8.3.3 Nmap的安裝使用 224
8.3.4 綠盟科技的極光遠(yuǎn)程安全評(píng)估系統(tǒng) 226
8.4 漏洞掃描技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì) 229
習(xí)題 230
第9章 其他常用攻擊手段 231
9.1 常用攻擊技術(shù) 231
9.1.1 網(wǎng)絡(luò)攻擊的步驟 231
9.1.2 拒絕服務(wù)攻擊技術(shù)簡(jiǎn)介 234
9.1.3 利用型攻擊 235
9.1.4 IP欺騙技術(shù)和TCP欺騙技術(shù) 236
習(xí)題 236
第10章 風(fēng)險(xiǎn)評(píng)估 237
10.1 風(fēng)險(xiǎn)評(píng)估概述 237
10.1.1 概述 237
10.1.2 風(fēng)險(xiǎn)評(píng)估相關(guān)術(shù)語(yǔ) 238
10.1.3 風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)模型 242
10.2 風(fēng)險(xiǎn)評(píng)估的國(guó)際標(biāo)準(zhǔn) 244
10.2.1 信息安全管理標(biāo)準(zhǔn)ISO 17799和BS7799 244
10.2.2 信息安全通用準(zhǔn)則ISO 15408 246
10.2.3 系統(tǒng)安全工程能力成熟模型SSE-CMM 247
10.2.4 信息安全管理指南ISO 13335 248
10.3 風(fēng)險(xiǎn)評(píng)估分析方法 250
10.3.1 風(fēng)險(xiǎn)評(píng)估分析方法的分類 250
10.3.2 定量分析方法 250
10.3.3 定性分析方法 251
10.3.4 現(xiàn)有的安全風(fēng)險(xiǎn)評(píng)估工具 252
10.4 風(fēng)險(xiǎn)評(píng)估的過(guò)程 252
10.4.1 概述 252
10.4.2 確定評(píng)估范圍 252
10.4.3 執(zhí)行階段 253
10.4.4 風(fēng)險(xiǎn)分析和報(bào)告階段 255
10.5 實(shí)例：手工評(píng)估報(bào)告和風(fēng)險(xiǎn)計(jì)算方法 255
10.5.1 手工評(píng)估對(duì)象 255
10.5.2 主機(jī)信息 256
10.5.3 Solaris系統(tǒng) 262
10.5.4 Red Hat Linux系統(tǒng) 263
10.5.5 HP-UX系統(tǒng) 264
10.5.6 Windows系統(tǒng) 265
10.5.7 風(fēng)險(xiǎn)控制 268
10.6 風(fēng)險(xiǎn)評(píng)估注意事項(xiàng) 268
10.6.1 可持續(xù)性要求 268
10.6.2 建立安全信息庫(kù) 269
習(xí)題 269
第11章 安全體系 270
11.1 網(wǎng)絡(luò)安全模型 270
11.2 安全體系結(jié)構(gòu) 274
11.2.1 概述 274
11.2.2 ISO 7498-2 274
11.3 Internet的網(wǎng)絡(luò)安全體系結(jié)構(gòu) 278
11.3.1 物理安全 278
11.3.2 網(wǎng)絡(luò)安全 278
11.3.3 信息安全 280
11.3.4 安全管理 283
習(xí)題 284