網(wǎng)管員必讀：網(wǎng)絡(luò)安全（第2版）

第1章  企業(yè)網(wǎng)絡(luò)安全概述 1
1.1  企業(yè)網(wǎng)絡(luò)安全考慮 2
1.1.1  企業(yè)網(wǎng)絡(luò)的主要
安全隱患 2
1.1.2  企業(yè)網(wǎng)絡(luò)的十大
安全認(rèn)識(shí)誤區(qū) 3
1.2  企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì) 7
1.2.1  什么是企業(yè)網(wǎng)絡(luò)
安全策略 7
1.2.2  網(wǎng)絡(luò)安全策略
設(shè)計(jì)的十大原則 8
1.2.3  安全隱患分析和基本
系統(tǒng)結(jié)構(gòu)信息的搜集 10
1.2.4  現(xiàn)有安全策略/流程的
檢查與評(píng)估 13
1.2.5  安全策略文檔設(shè)計(jì) 13
第2章  病毒、木馬和惡意軟件的
清除與預(yù)防 21
2.1  認(rèn)識(shí)計(jì)算機(jī)病毒 22
2.1.1  計(jì)算機(jī)病毒的演變 22
2.1.2  計(jì)算機(jī)病毒的產(chǎn)生 23
2.1.3  計(jì)算機(jī)病毒的
主要特點(diǎn) 24
2.2  計(jì)算機(jī)病毒的分類 25
2.2.1  按傳播媒介分 25
2.2.2  按照計(jì)算機(jī)病毒的
鏈接方式分 26
2.2.3  按破壞程度分 26
2.2.4  按傳染方式分 28
2.3  計(jì)算機(jī)病毒防護(hù)軟件 31
2.3.1  單機(jī)版殺病毒軟件 31
2.3.2  網(wǎng)絡(luò)版殺毒軟件 34
2.4  網(wǎng)絡(luò)蠕蟲病毒的清除與預(yù)防 42
2.4.1  網(wǎng)絡(luò)蠕蟲的
定義和危害性 42
2.4.2  網(wǎng)絡(luò)蠕蟲的基本特征 44
2.4.3  預(yù)防網(wǎng)絡(luò)蠕蟲的
基本措施 45
2.4.4  維金病毒的
查找與清除 50
2.4.5  熊貓燒香蠕蟲
病毒的查找與清除 52
2.5  ARP病毒的清除與預(yù)防 53
2.5.1  ARP病毒攻擊原理 53
2.5.2  ARP病毒的
清除與預(yù)防 55
2.6  認(rèn)識(shí)木馬 58
2.6.1  木馬簡介 58
2.6.2  木馬的偽裝方式 59
2.6.3  木馬的運(yùn)行方式 60
2.6.4  木馬的手動(dòng)
查殺與預(yù)防 61
2.6.5  木馬的查殺和預(yù)防 65
2.6.6  灰鴿子的清除與預(yù)防 71
2.7  惡意軟件的清除與預(yù)防 79
2.7.1  惡意軟件的主要
特征和分類 79
2.7.2  惡意軟件的預(yù)防 81
2.7.3  惡意軟件的清除 84
2.8  拒絕惡意代碼 86
2.8.1  IE瀏覽器Internet
安全選項(xiàng)設(shè)置 86
2.8.2  IE瀏覽器本地Intranet
安全選項(xiàng)設(shè)置 88
2.9  惡意軟件的深度防護(hù)方法 89
2.9.1  深層防護(hù)安全模型 89
2.9.2  客戶端防護(hù) 90
2.9.3  客戶端應(yīng)用程序的
防病毒設(shè)置 94
2.9.4  服務(wù)器端病毒防護(hù) 97
2.9.5  網(wǎng)絡(luò)層安全防護(hù) 100
第3章  黑客攻擊及其預(yù)防 107
3.1  認(rèn)識(shí)黑客和黑客攻擊 108
3.1.1  “黑客”與“駭客” 108
3.1.2  主要黑客攻擊類型 108
3.1.3  黑客攻擊方式的
10大最新發(fā)展趨勢(shì) 113
3.2  黑客攻擊的基本步驟 116
3.2.1  收集初始信息 116
3.2.2  查找網(wǎng)絡(luò)地址范圍 118
3.2.3  查找活動(dòng)機(jī)器 120
3.2.4  查找開放端口和
入口點(diǎn) 120
3.2.5  查看操作系統(tǒng)類型 121
3.2.6  弄清每個(gè)端口
運(yùn)行服務(wù) 121
3.2.7  畫出網(wǎng)絡(luò)圖 123
3.3  拒絕服務(wù)攻擊與防御方法 123
3.3.1  常見拒絕服務(wù)攻擊的
行為特征與防御方法 123
3.3.2  其他攻擊方式的行
為特征與防御方法 127
3.3.3  預(yù)防拒絕服務(wù)攻擊的
常用策略 132
3.4  端口掃描 134
3.4.1  計(jì)算機(jī)網(wǎng)絡(luò)服務(wù) 134
3.4.2  通信端口 135
3.4.3  常見服務(wù)器端口 137
3.4.4  網(wǎng)絡(luò)通信基礎(chǔ) 138
3.4.5  端口掃描原理 141
3.4.6  目前主要端口
掃描技術(shù) 142
3.4.7  端口偵聽 144
3.5  端口掃描器應(yīng)用 146
3.5.1  NetBrute的應(yīng)用 146
3.5.2  Super Scan的應(yīng)用 149
3.5.3  Nmap的應(yīng)用 152
3.5.4  X-Scan的應(yīng)用 156
3.6  強(qiáng)化TCP/IP堆棧以抵御
拒絕服務(wù)攻擊 160
3.6.1  在Windows 2000中
加固TCP/IP堆棧 160
3.6.2  在Windows Server 2003
中加固TCP/IP堆棧 162
3.6.3  全面抵御SYN攻擊 164
3.6.4  抵御ICMP攻擊 165
3.6.5  抵御SNMP攻擊 166
3.6.6  AFD.SYS保護(hù) 166
3.6.7  其他保護(hù) 166
3.7  系統(tǒng)漏洞掃描 168
3.7.1  及時(shí)更新系統(tǒng)補(bǔ)丁 168
3.7.2  利用工具軟件掃描
系統(tǒng)漏洞 168
3.7.3  MBSA簡介 170
3.7.4  MBSA安全漏洞
檢查說明 173
3.7.5  MBSA 2.0.1的使用 181
第4章  防火墻基礎(chǔ)及應(yīng)用配置 185
4.1  防火墻基礎(chǔ) 186
4.1.1  防火墻概述 186
4.1.2  防火墻的主要功能 187
4.1.3  防火墻的硬件
技術(shù)架構(gòu) 191
4.1.4  防火墻的主要不足 192
4.2  防火墻的分類 194
4.2.1  按防火墻的軟、硬件
形式劃分 194
4.2.2  按防火墻結(jié)構(gòu)劃分 196
4.2.3  按防火墻性能劃分 197
4.2.4  按防火墻的應(yīng)用
部署位置劃分 204
4.3  主要防火墻技術(shù) 204
4.3.1  包過濾技術(shù) 205
4.3.2  應(yīng)用代理技術(shù) 206
4.3.3  狀態(tài)包過濾技術(shù) 209
4.3.4  包過濾和應(yīng)用代理
復(fù)合技術(shù) 210
4.4  防火墻的配置 211
4.4.1  防火墻的基本
配置原則 211
4.4.2  防火墻的初始配置 212
4.4.3  Cisco PIX防火墻的
基本配置 214
4.4.4  包過濾型防火墻的訪問
控制列表（ACL）的
配置 217
4.5  分布式防火墻技術(shù) 220
4.5.1  分布式防火墻的
產(chǎn)生及工作原理 220
4.5.2  傳統(tǒng)邊界式防火墻
固有的缺點(diǎn) 222
4.5.3  分布式防火墻的
主要特點(diǎn) 223
4.5.4  分布式防火墻的
主要優(yōu)勢(shì) 224
4.5.5  分布式防火墻的
主要功能 225
4.5.6  分布式防火墻
產(chǎn)品示例 226
4.6  防火墻系統(tǒng)的設(shè)計(jì) 229
4.6.1  防火墻系統(tǒng)的
部署方式 229
4.6.2  防火墻在企業(yè)網(wǎng)絡(luò)
體系結(jié)構(gòu)中的位置 230
4.6.3  典型防火墻
系統(tǒng)設(shè)計(jì) 232
4.7  防火墻在網(wǎng)絡(luò)安全防護(hù)
中的應(yīng)用 235
4.7.1  控制來自因特網(wǎng)對(duì)
內(nèi)部網(wǎng)絡(luò)的訪問 235
4.7.2  控制來自第三方
局域網(wǎng)對(duì)內(nèi)部
網(wǎng)絡(luò)的訪問 237
4.7.3  控制局域網(wǎng)內(nèi)部不同
部門之間的訪問 238
4.7.4  控制對(duì)服務(wù)器中心的
網(wǎng)絡(luò)訪問 238
4.8  內(nèi)部防火墻系統(tǒng)設(shè)計(jì) 239
4.8.1  內(nèi)部防火墻
系統(tǒng)概述 240
4.8.2  內(nèi)部防火墻規(guī)則 240
4.8.3  內(nèi)部防火墻的
可用性要求 241
4.8.4  內(nèi)部容錯(cuò)防火墻
集配置 243
4.8.5  內(nèi)部防火墻系統(tǒng)設(shè)計(jì)
的其他因素要求 245
4.9  外圍防火墻系統(tǒng)的設(shè)計(jì) 247
4.9.1  外圍防火墻系統(tǒng)概述 247
4.9.2  外圍防火墻規(guī)則 248
4.9.3  外圍防火墻系統(tǒng)的
可用性要求 248
4.10  用防火墻阻止DoS/DdoS
攻擊 250
4.10.1  如何判斷中了
DoS/DDoS攻擊 250
4.10.2  防火墻抵御DoS/DdoS
攻擊原理 251
4.10.3  SYN Flood
攻擊原理 253
4.10.4  用防火墻抵御
SYN Flood攻擊 253
第5章  ISA Server 2004/2006基礎(chǔ)和
應(yīng)用配置 257
5.1  ISA Server基礎(chǔ) 258
5.1.1  ISA Server概述 258
5.1.2  ISA Server 2004的
主要功能 259
5.1.3  ISA Server 2004與
其他類型軟件防火墻
的比較 262
5.1.4  ISA Server 2006的
主要功能 264
5.1.5  ISA Server 2006的
主要改進(jìn) 268
5.2  ISA Server 2004/2006的
安裝與升級(jí) 271
5.2.1  ISA Server 2006企業(yè)版
組件和管理員角色 271
5.2.2  ISA Server 2004的
安裝條件 272
5.2.3  ISA Server 2006的
安裝事項(xiàng)和部署
思路 273
5.2.4  由ISA Server 2004向
ISA Server 2006的
升級(jí) 275
5.3  ISA Server 2004/2006的
網(wǎng)絡(luò)與網(wǎng)絡(luò)集 277
5.3.1  多網(wǎng)絡(luò)結(jié)構(gòu) 277
5.3.2  網(wǎng)絡(luò)和網(wǎng)絡(luò)集配置 278
5.3.3  網(wǎng)絡(luò)模板 280
5.4  ISA網(wǎng)絡(luò)規(guī)則和防火墻
策略 285
5.4.1  網(wǎng)絡(luò)規(guī)則 286
5.4.2  ISA防火墻系統(tǒng)
策略 286
5.4.3  ISA防火墻策略
工作方式 290
5.5  ISA防火墻訪問與
發(fā)布規(guī)則 292
5.5.1  防火墻訪問規(guī)則 292
5.5.2  ISA防火墻Web
發(fā)布規(guī)則 293
5.5.3  ISA防火墻的安全
Web發(fā)布規(guī)則 295
5.5.4  服務(wù)器發(fā)布規(guī)則 295
5.5.5  郵件服務(wù)器
發(fā)布規(guī)則 297
5.6  ISA Server 2004的
主要應(yīng)用 300
5.6.1  ISA Server 2004的
通用應(yīng)用場景 300
5.6.2  向企業(yè)網(wǎng)絡(luò)外部雇員
提供高度安全的電子
郵件訪問 301
5.6.3  為遠(yuǎn)程用戶提供對(duì)
企業(yè)內(nèi)部網(wǎng)絡(luò)信息的
安全訪問 303
5.6.4  使合作伙伴安全地
訪問企業(yè)網(wǎng)絡(luò)信息 304
5.6.5  為員工提供遠(yuǎn)程訪問
所需要的企業(yè)網(wǎng)絡(luò)
資源 305

5.6.6  使企業(yè)分支機(jī)構(gòu)通過
Internet與總部進(jìn)行
安全通信 305
5.6.7  控制Internet訪問并
保護(hù)客戶端免遭
惡意攻擊 306
5.6.8  確保對(duì)經(jīng)常使用的
Web內(nèi)容進(jìn)行
快速訪問 308
5.7  ISA Server 2006應(yīng)用的
最佳配置建議 309
5.8  ISA Server 2006基于
角色的管理 310
5.8.1  基于角色的
管理功能 311
5.8.2  管理角色
（標(biāo)準(zhǔn)版） 311
5.8.3  陣列級(jí)管理角色
（企業(yè)板） 312
5.8.4  企業(yè)級(jí)管理角色
（企業(yè)版） 313
5.8.5  域和工作組的角色
（企業(yè)版） 314
5.9  ISA Server 2006防范淹沒和
攻擊方面的應(yīng)用 315
5.9.1  ISA Server 2006網(wǎng)絡(luò)
保護(hù)功能概要 315
5.9.2  配置攻擊緩解功能 316
5.9.3 配置攻擊保護(hù) 321
5.9.4  ISA Server預(yù)配置的
攻擊保護(hù) 326
5.9.5  警報(bào) 328
5.9.6  網(wǎng)絡(luò)保護(hù)的最佳
實(shí)踐建議 329
5.10  在ISA Server 2006中配置
基于LDAP的身份驗(yàn)證 332
5.10.1  配置LDAP服務(wù)器 333
5.10.2  創(chuàng)建LDAP用戶集和配
置LDAP身份驗(yàn)證 334
5.11  在ISA Server 2006中發(fā)布
郵件訪問服務(wù) 341
5.11.1  發(fā)布OWA 342
5.11.2  發(fā)布MAPI和
SMTP服務(wù) 346
5.12  在ISA Server 2006中
發(fā)布Web服務(wù) 347
5.12.1  發(fā)布單個(gè)Web站點(diǎn) 347
5.12.2  一次性發(fā)布多個(gè)
Web站點(diǎn) 351
5.12.3  發(fā)布服務(wù)器場 352
第6章  IDS與IPS 355
6.1  入侵檢測系統(tǒng)（IDS）
基礎(chǔ) 356
6.1.1  入侵檢測系統(tǒng)概述 356
6.1.2  主要入侵檢測技術(shù) 357
6.1.3  主要入侵檢測模型 359
6.1.4  當(dāng)前入侵檢測
技術(shù)的不足 362
6.1.5  入侵檢測技術(shù)
發(fā)展方向 362
6.2  入侵檢測原理及應(yīng)用 364
6.2.1  入侵檢測原理 364
6.2.2  JUMP入侵檢測系統(tǒng)的
技術(shù)應(yīng)用 366
6.3  分布式入侵檢測系統(tǒng) 368
6.3.1  分布式入侵檢測
框架及檢測機(jī)制 368
6.3.2  分布式入侵檢測
系統(tǒng)的協(xié)同機(jī)制 369
6.3.3  開放式DIDS的基本
系統(tǒng)架構(gòu)及設(shè)計(jì)
考慮 370
6.4  典型入侵檢測產(chǎn)品簡介 371
6.4.1  金諾網(wǎng)安入侵
檢測系統(tǒng)KIDS 371
6.4.2  華強(qiáng)IDS 374
6.4.3  冰之眼網(wǎng)絡(luò)入
侵檢測系統(tǒng) 376
6.4.4  黑盾網(wǎng)絡(luò)入侵檢測
系統(tǒng)（HD-NIDS） 377
6.5  IPS 380
6.5.1  IPS的產(chǎn)生 380
6.5.2  IPS工作原理 381
6.5.3  IPS的分類 383
6.5.4  IPS的主要技術(shù)
特征 384
6.5.5  IDS的主要不足和
IPS的主要優(yōu)勢(shì) 385
6.5.6  防火墻、IDS與IPS
技術(shù)比較 386
6.5.7  IPS產(chǎn)品的
選擇之道 387
6.5.8  IPS技術(shù)的
應(yīng)用趨勢(shì) 389
第7章  企業(yè)網(wǎng)絡(luò)安全隔離 393
7.1  通過子網(wǎng)掩碼劃
分子網(wǎng)概述 394
7.2  VLAN子網(wǎng)的劃分 396
7.2.1  VLAN簡介 396
7.2.2  VLAN的劃分方式 398
7.2.3  VLAN的主要用途 401
7.2.4  VLAN的主要應(yīng)用 401
7.3  三層交換機(jī)上的
VLAN配置 403
7.3.1  設(shè)置VTP域
（VTP Domain） 403
7.3.2  配置聚合鏈路
（Trunk）協(xié)議 404
7.3.3  創(chuàng)建VLAN組 405
7.3.4  配置三層交換端口 406
7.4  VLAN網(wǎng)絡(luò)配置實(shí)例 407
7.4.1  VLAN的創(chuàng)建 408
7.4.2  VLAN端口號(hào)的
應(yīng)用 409
7.5  網(wǎng)絡(luò)隔離概述 411
7.5.1  網(wǎng)絡(luò)隔離技術(shù)基礎(chǔ) 411
7.5.2  網(wǎng)絡(luò)隔離的安全控制
要點(diǎn)和發(fā)展方向 413
7.6  物理隔離 414
7.6.1  物理隔離概述 415
7.6.2  物理隔離原理 416
7.6.3  主要物理隔離產(chǎn)品 418
7.6.4  物理隔離方案 420
7.7  物理隔離卡產(chǎn)品及應(yīng)用 421
7.7.1  物理隔離卡概述 421
7.7.2  物理隔離卡
應(yīng)用模式 423
7.7.3  圖文網(wǎng)絡(luò)安全
物理隔離器 425
7.7.4  利譜隔離卡產(chǎn)品 434
7.8  網(wǎng)絡(luò)線路選擇器 440
7.8.1  網(wǎng)絡(luò)線路選擇器
概述 440
7.8.2  典型網(wǎng)絡(luò)線路選擇器
介紹 441
7.9  物理隔離網(wǎng)閘 443
7.9.1  物理隔離網(wǎng)閘概述 444
7.9.2  物理隔離網(wǎng)閘的
工作原理 446
7.9.3  物理隔離網(wǎng)閘的
應(yīng)用 446
7.9.4  兩個(gè)物理隔離網(wǎng)閘
應(yīng)用方案 448
第8章  公鑰基礎(chǔ)結(jié)構(gòu) 453
8.1  公鑰基礎(chǔ)結(jié)構(gòu)（PKI）
概述 454
8.1.1  公鑰基礎(chǔ)結(jié)構(gòu)的
作用 454
8.1.2  Windows Server 2003
中的公鑰基礎(chǔ)結(jié)構(gòu) 455
8.2  證書基礎(chǔ) 456
8.2.1  證書概述 456
8.2.2  證書的應(yīng)用 457
8.2.3  證書的頒發(fā)機(jī)構(gòu) 459
8.2.4  證書服務(wù)的安裝 461
8.3  證書申請(qǐng) 462
8.3.1  證書模板 463
8.3.2  使用證書申請(qǐng)向?qū)?br />申請(qǐng)證書 466
8.3.3  使用Windows Server
2003證書服務(wù)網(wǎng)頁 470
8.4  證書的自動(dòng)注冊(cè) 474
8.4.1  規(guī)劃自動(dòng)注冊(cè)部署 474
8.4.2  “用戶”模板復(fù)制 477
8.4.3  配置企業(yè)證書
頒發(fā)機(jī)構(gòu) 479
8.4.4  建立自動(dòng)注冊(cè)域
用戶的策略 480
8.5  證書的導(dǎo)入/導(dǎo)出 481
8.5.1  導(dǎo)入/導(dǎo)出證書的
用途和標(biāo)準(zhǔn)證書
文件格式 481
8.5.2  導(dǎo)入證書 482
8.5.3  導(dǎo)出證書 484
8.5.4  導(dǎo)出帶私鑰的證書 485
8.6  吊銷證書和發(fā)布CRL 486
8.6.1  吊銷證書 486
8.6.2  安排證書吊銷列表
（CRL）的發(fā)布 488
8.6.3  手動(dòng)發(fā)布證書
吊銷列表 489
8.7  常見問題解答 490
第9章  文件加密和數(shù)字簽名 493
9.1  文件加密和數(shù)字簽名
技術(shù)概述 494
9.1.1  文件加密和數(shù)字
簽名的由來和意義 494
9.1.2  文件加密和數(shù)字簽名
的應(yīng)用 495
9.1.3  典型數(shù)據(jù)加密算法 496
9.2  EFS文件加密技術(shù) 501
9.2.1  EFS概述 501
9.2.2  使用EFS的最佳操作
建議 503
9.2.3  使用EFS加密文件或
文件夾 504
9.2.4  利用EFS對(duì)文件和
文件夾進(jìn)行解密 505
9.2.5  在資源管理器菜單中
添加“加密”和“解密”
選項(xiàng) 506
9.2.6  復(fù)制加密的文件夾
或文件 507
9.2.7  啟用EFS文件共享 509
9.3  加密數(shù)據(jù)的恢復(fù) 510
9.3.1  數(shù)據(jù)恢復(fù)配置
基本思路 510
9.3.2  配置EFS故障恢復(fù)
代理模板 513
9.3.3  申請(qǐng)EFS故障恢復(fù)
代理證書 516
9.3.4  添加域的故障
恢復(fù)代理 517
9.3.5  創(chuàng)建默認(rèn)的獨(dú)立
計(jì)算機(jī)上的數(shù)據(jù)
恢復(fù)代理 522
9.4  密鑰的存檔與恢復(fù) 523
9.4.1  密鑰存檔與
恢復(fù)概述 524
9.4.2  創(chuàng)建密鑰恢復(fù)
代理賬戶 524
9.4.3  獲取密鑰恢復(fù)
代理證書 525
9.4.4  配置密鑰存檔和
恢復(fù)屬性 526
9.4.5  創(chuàng)建新的可以進(jìn)行
密鑰存檔的證書
模板 529
9.4.6  獲取具有存檔
密鑰的用戶證書 530
9.4.7  執(zhí)行密鑰恢復(fù)示例 531
9.4.8  導(dǎo)入已恢復(fù)的私鑰 532
9.5  PKI在文件傳輸加密和
數(shù)字簽名方面的應(yīng)用 534
9.5.1  配置密鑰用法 534
9.5.2  文件傳輸加密 535
9.5.3  數(shù)字簽名 537
9.5.4  加密密鑰對(duì)的獲取 538
9.5.5  郵件中的文件
加密和數(shù)字簽名 539
9.6  PCP動(dòng)態(tài)文件加密和
數(shù)字簽名 540
9.6.1  PGP密鑰的生成 541
9.6.2  PGP密鑰的發(fā)布 544
9.6.3  用PGP加密文件 545
9.6.4  用PGP進(jìn)行郵件
數(shù)字簽名 546
9.7  電子簽章 549
9.7.1  iSignature簽章
系統(tǒng)簡介 550
9.7.2  iSignature主要功能 551
9.7.3  數(shù)字證書簡介 553
9.7.4  個(gè)人數(shù)字證書申請(qǐng) 554
9.7.5  iSignature簽章
系統(tǒng)使用 556
9.7.6  天威誠信安
證通簡介 560
第10章  Windows Server 2003
基準(zhǔn)安全策略 563
10.1  適用環(huán)境概述 564
10.2  基于SCW的強(qiáng)化機(jī)制 564
10.2.1  SCW概述 564
10.2.2  SCW的主要功能 566
10.2.3  使用SCW 567
10.2.4  SCW策略
部署方法 579
10.3  基于Active Directory組
策略強(qiáng)化機(jī)制 580
10.3.1  Active Directory
邊界 580
10.3.2  Active Directory
和組策略 582
10.3.3  OU、GPO和組混合
設(shè)計(jì)示例 586
10.4  域策略 593
10.4.1  域策略概念 593
10.4.2  賬戶策略 594
10.4.3  安全選項(xiàng) 600
10.5  成員服務(wù)器基準(zhǔn)策略 602
10.5.1  Windows Server 2003
成員服務(wù)器基準(zhǔn)
審核策略 603
10.5.2  Windows Server 2003
成員服務(wù)器基準(zhǔn)用戶
權(quán)限分配策略 612
10.5.3  Windows Server 2003
成員服務(wù)器基準(zhǔn)
安全選項(xiàng)策略 620
10.5.4  成員服務(wù)器中的
其他組策略項(xiàng)
策略設(shè)置 638
10.5.5  手動(dòng)強(qiáng)化過程示例 639
10.5.6  基于SCW創(chuàng)建成員
服務(wù)器基準(zhǔn)策略 641
10.6  域控制器基準(zhǔn)策略 643
10.6.1 域控制器的基準(zhǔn)
策略設(shè)置 643
10.6.2  域控制器安全選項(xiàng)
策略設(shè)置 648
10.6.3  域控制器的其他
安全設(shè)置 649
10.6.4  與Active Directory
集成的DNS 652
          

現(xiàn)在網(wǎng)絡(luò)安全已自成體系，不僅有威脅網(wǎng)絡(luò)安全的各種計(jì)算機(jī)病毒、木馬、惡意軟件，以及各種方式的網(wǎng)絡(luò)攻擊行為，還有針對(duì)這些威脅的各種安全技術(shù)、設(shè)備、軟件和應(yīng)用配置方法，涉及面非常廣。也正因?yàn)槿绱耍壳霸谑忻嫔喜庞腥绱酥嗟年P(guān)于網(wǎng)絡(luò)安全的圖書。也正因如此，每當(dāng)我在編寫“網(wǎng)絡(luò)安全”這類圖書時(shí)，總覺得有寫不完的內(nèi)容，但又不知道寫哪些為好，畢竟一本書的篇幅非常有限。
在本書第1版面市以前，網(wǎng)絡(luò)安全類圖書絕大多數(shù)是從黑客攻擊角度來編寫的，但筆者認(rèn)為，這類圖書對(duì)于我們網(wǎng)絡(luò)管理員來說參考的意義不大。因?yàn)閮H掌握這些攻擊技術(shù)、攻擊軟件的應(yīng)用遠(yuǎn)不能滿足實(shí)際的企業(yè)網(wǎng)絡(luò)安全管理需求。因?yàn)槠髽I(yè)中需要的是如何系統(tǒng)地部署網(wǎng)絡(luò)安全解決方案，而不是如何去攻擊別人（當(dāng)然能攻擊對(duì)網(wǎng)絡(luò)安全管理有一定好處）。在本書中又該寫些什么內(nèi)容呢？是按照傳統(tǒng)的黑客類圖書那樣，還是一些純理論的介紹？這個(gè)問題在我編寫第1版時(shí)就一直在反復(fù)考慮，在本版中又考慮了許久。因?yàn)榈?版一定要比第1版有所提高，對(duì)讀者更加實(shí)用。這是筆者的心愿，更是千萬讀者的期待。
面對(duì)如此眾多的網(wǎng)絡(luò)安全技術(shù)、設(shè)備、軟件和應(yīng)用配置，作為企業(yè)網(wǎng)絡(luò)管理員的我們最需要掌握哪些呢？寫哪些內(nèi)容才是大多數(shù)讀者所需要的呢？經(jīng)過反復(fù)求證，最終還是從實(shí)際出發(fā)，不拘泥于傳統(tǒng)網(wǎng)絡(luò)安全類圖書的編寫方式，結(jié)合自己十多年來各類規(guī)模的實(shí)際企業(yè)網(wǎng)絡(luò)管理經(jīng)驗(yàn)，選擇了把當(dāng)前企業(yè)中最主流的網(wǎng)絡(luò)安全技術(shù)、設(shè)備、軟件和應(yīng)用解決方案作為本書的核心。這也可以算是同類圖書中的第1本。在第1版中不僅有安全技術(shù)理論介紹，更有網(wǎng)絡(luò)應(yīng)用安全配置、安全產(chǎn)品方案介紹，幾乎所有內(nèi)容都可以在實(shí)際的網(wǎng)絡(luò)安全管理中用得到，
這就是筆者寫這本書的心愿。
經(jīng)過第1版的實(shí)踐，最終證明我的選擇是正確的。因?yàn)楸緯?版得到了許多讀者朋友和業(yè)界的充分肯定，還被多家高校選為教材。當(dāng)然也有一些讀者朋友提出了一些更高的要求，這些都成了我們編寫本書第2版的重要考慮。正因如此，第2版在保留第1版絕大多數(shù)實(shí)用內(nèi)容的基礎(chǔ)上，增加了較多其他內(nèi)容，如惡意軟件清除、主要病毒和木馬清除與預(yù)防、硬件防火墻基礎(chǔ)知識(shí)和應(yīng)用、IPS技術(shù)、ISA防火墻、Windows Server 2003基準(zhǔn)策略設(shè)置等，使得各章節(jié)更系統(tǒng)。同時(shí)，在實(shí)用性和專業(yè)性兩方面做了加強(qiáng)，所增加的部分基本上都是直接針對(duì)具體的安全管理和應(yīng)用方案配置的，如本版圖書中最大篇幅的ISA Server 2004/2006基礎(chǔ)和應(yīng)用配置，以及Windows Server 2003基準(zhǔn)策略配置等；還介紹了大量抵御黑客攻擊的安全配置和安全策略配置方法，大大增強(qiáng)了新版的實(shí)用性和專業(yè)性。但是不得不說的是，筆者仍非常遺憾，因?yàn)榇_實(shí)還有許多值得寫的內(nèi)容，因篇幅的限制，而最終不得不放棄。如ISA Server的許多高級(jí)應(yīng)用，以及Windows Server 2003各種服務(wù)器角色的安全策略配置等?？磥恚@些內(nèi)容只能在我的博客（http://blog.51cto.com/blog.php?uid=55153）中向大家發(fā)布了。同時(shí)，期待本版圖書能給讀者帶來更實(shí)用的網(wǎng)絡(luò)安全管理知識(shí)和實(shí)用的安全管理方案。
本書由王達(dá)編著，參加編寫、校驗(yàn)和排版的人員有：何艷輝、王珂、沈芝蘭、馬平、何江林、劉鳳竹、盧京華、周志雄、洪武、高平復(fù)、周建輝、孔平、尚寶宏、姚學(xué)軍、劉學(xué)、李翔、王嬌、李敏、吳鵬飛等，在此一并表示由衷的感謝。由于筆者水平有限，加之時(shí)間緊，盡管花了大量時(shí)間和精力校驗(yàn)，但書中可能還存在一些錯(cuò)誤，敬請(qǐng)各位讀者批評(píng)指正，萬分感謝！
編  著  者