網路安全實用技術標準教程

本書詳細闡述了計算機網路安全的相關機制，整體安全機制分為防禦、攻擊、網路安全管理和整體安全體系幾個部分。第1部分從常見的防禦機制出發，從網路安全產品入手介紹了防火牆、入侵偵測系統，同時從網路層次體系的角度出發，詳細描述了網路層的協定、面臨的攻擊和相應的防範手段，並在此基礎上延展介紹了虛擬專用網的發展和最新動態；第2部分則從網路攻擊的手法出發講述了常見攻擊的步驟，並重點介紹了安全掃描技術的作用及其對於安全風險評估的意義；第3部分重點闡述了風險評估的各種原理和方法

第1章網路安全概述 1

1.1概述 1

1.2網路安全設計準則 2

1.2.1綜合性、整體性原則 2

1.2.2需求、風險、代價平衡的原則 2

1.2.3一致性原則 2

1.2.4易操作性原則 3

1.2.5分步實施原則 3

1.2.6多重保護原則 3

1.2.7可評價性原則 3

習題 3

第2章認證和訪問控制技術 4

2.1身份認證技術 4

2.1.1概述 4

2.1.2認證：CA 6

2.1.3PKI技術 6

2.2訪問控制 10

2.2.1一次性口令技術 10

2.2.2單點登錄（SSO）技術 11

2.3認證服務系統的設計 13

2.3.1AAA概述 13

2.3.2RASIUS技術 14

2.3.3TACACS和TACACS+ 19

習題 21

第3章防火牆技術 22

3.1防火牆基礎 22

3.1.1防火牆基礎知識 22

3.1.2防火牆的模型 25

3.1.3防火牆的基本安全策略 25

3.1.4防火牆技術分析 26

3.2防火牆的分類 29

3.2.1技術分類 30

3.2.2按照使用範圍分類 31

3.2.3按照硬體架構分類 35

3.3防火牆的功能及其指標 36

3.3.1防火牆的功能 36

3.3.2防火牆的指標 40

3.4防火牆關鍵技術 41

3.4.1包過濾技術 41

3.4.2代理技術 43

3.4.3狀態監測技術 45

3.5防火牆的體系結構 46

3.5.1包過濾路由器 46

3.5.2雙重宿主主機結構 46

3.5.3禁止主機結構 47

3.5.4DMZ或禁止子網結構 48

3.5.5多重堡壘主機結構 49

3.5.6使用多台內部路由器 50

3.6防火牆設計 50

3.6.1網路結構分析 50

3.6.2DMZ網路設計 52

3.6.3內部網路設計 58

3.6.4高可用性設計 59

3.7常見的防火牆產品介紹 63

3.7.1MicrosoftISAServer簡介 63

3.7.2PIX簡介 64

3.7.3NetScreen簡介 65

3.8Linux防火牆與IPTables技術 66

3.8.1概述 66

3.8.2原理 66

3.8.3IPTbales操作 68

3.8.4IPTables與Ipchains的區別 73

3.9對防火牆的攻擊 75

3.9.1IP位址欺騙 75

3.9.2TCP序號攻擊 75

3.9.3IP分段攻擊 76

3.9.4基於附加信息的攻擊 77

3.9.5基於堡壘主機Web伺服器的攻擊 77

3.9.6IP隧道攻擊 77

3.9.7計算機病毒攻擊 77

3.9.8特洛伊木馬攻擊 77

3.9.9報文攻擊 78

3.10防火牆的其他功能 78

3.10.1防火牆負載均衡技術 78

3.10.2防火牆的VPN功能 79

3.10.3防火牆與IDS聯動功能 80

習題 80

第4章網路層防範 81

4.1網路基礎 81

4.1.1網路體系結構 81

4.1.2TCP/IP的體系結構 82

4.1.3乙太網工作機制 85

4.1.4IP：InternetProtocol 91

4.2路由協定和DNS分析 93

4.2.1Internet路由和路由器 93

4.2.2BGP原理與安全防範 97

4.2.3OSPF和RIP安全防範 108

4.2.4DNS安全防範 111

4.3數據鏈路層攻擊分析與防範 113

4.3.1ARP原理與安全防範 113

4.3.2CDP原理與安全防範 123

4.3.3VLAN與VTP原理與安全防範 124

4.3.4DHCP原理與攻擊防範 126

4.4安全路由器配置 132

4.4.1路由器面臨的安全威脅分析 132

4.4.2安全過濾策略 133

4.4.3路由器安全分析 135

4.4.4路由器標準配置 137

習題 153

第5章入侵偵測技術 154

5.1入侵偵測技術概述 154

5.2入侵偵測系統 155

5.2.1入侵偵測系統分類 155

5.2.2入侵偵測系統的優缺點 155

5.2.3入侵偵測系統的部署方法 157

5.2.4入侵偵測系統的關鍵指標 159

5.3入侵偵測技術 162

5.3.1基於異常的入侵偵測技術 162

5.3.2基於模式的入侵偵測技術 163

5.3.3入侵偵測技術的未來 164

5.4常見入侵偵測系統 164

5.4.1Snort系統 164

5.4.2綠盟冰之眼入侵偵測系統簡介 171

習題 173

第6章虛擬專用網（VPN） 174

6.1VPN技術總論 174

6.1.1VPN技術概述 174

6.1.2VPN技術分類 175

6.2三層VPN技術 178

6.2.1三層VPN概述 178

6.2.2MPLSVPN及其相關技術 179

6.2.3MPLSVPN的一般配置 193

6.2.4VPN的安全性 195

6.3二層VPN技術 197

6.3.1二層MPLSVPN技術概述 198

6.3.2VPLS技術詳解 200

習題 203

第7章其他常用防禦手段 204

7.1HoneyNet與HoneyPot 204

7.2防病毒技術 205

7.2.1概述 205

7.2.2病毒的傳播與防護 207

7.2.3病毒防護的案例 208

7.3災難備份技術 210

7.3.1概述 210

7.3.2RAID技術 210

習題 212

第8章漏洞掃描技術 213

8.1掃描技術概述 213

8.1.1概述 213

8.1.2掃描器的分類 214

8.1.3掃描器的優缺點 214

8.2掃描原理與技術 215

8.2.1TCP協定欄位的含義 215

8.2.2連線埠掃描技術 216

8.2.3主機掃描技術 220

8.3漏洞掃描的指標與常見產品 221

8.3.1漏洞掃描器的指標 221

8.3.2常見產品介紹 223

8.3.3Nmap的安裝使用 224

8.3.4綠盟科技的極光遠程安全評估系統 226

8.4漏洞掃描技術發展動態和趨勢 229

習題 230

第9章其他常用攻擊手段 231

9.1常用攻擊技術 231

9.1.1網路攻擊的步驟 231

9.1.2拒絕服務攻擊技術簡介 234

9.1.3利用型攻擊 235

9.1.4IP欺騙技術和TCP欺騙技術 236

習題 236

第10章風險評估 237

10.1風險評估概述 237

10.1.1概述 237

10.1.2風險評估相關術語 238

10.1.3風險評估的風險模型 242

10.2風險評估的國際標準 244

10.2.1信息安全管理標準ISO17799和BS7799 244

10.2.2信息安全通用準則ISO15408 246

10.2.3系統安全工程能力成熟模型SSE-CMM 247

10.2.4信息安全管理指南ISO13335 248

10.3風險評估分析方法 250

10.3.1風險評估分析方法的分類 250

10.3.2定量分析方法 250

10.3.3定性分析方法 251

10.3.4現有的安全風險評估工具 252

10.4風險評估的過程 252

10.4.1概述 252

10.4.2確定評估範圍 252

10.4.3執行階段 253

10.4.4風險分析和報告階段 255

10.5實例：手工評估報告和風險計算方法 255

10.5.1手工評估對象 255

10.5.2主機信息 256

10.5.3Solaris系統 262

10.5.4RedHatLinux系統 263

10.5.5HP-UX系統 264

10.5.6Windows系統 265

10.5.7風險控制 268

10.6風險評估注意事項 268

10.6.1可持續性要求 268

10.6.2建立安全信息庫 269

習題 269

第11章安全體系 270

11.1網路安全模型 270

11.2安全體系結構 274

11.2.1概述 274

11.2.2ISO7498-2 274

11.3Internet的網路安全體系結構 278

11.3.1物理安全 278

11.3.2網路安全 278

11.3.3信息安全 280

11.3.4安全管理 283

習題 284