網路工程師必讀網路安全系統設計

本書從網路工程師的職業角度出發組織和安排內容，非常具有針對性。本書從網路安全系統設計全局出發，以osi/rm的7層結構為主線，層層把關，全面、系統地介紹各層的主要安全技術和方案設計思路、方法。.

本書從深層次分析了網路安全隱患存在的各個主要方面，然後從這幾個方面出發，全面介紹企業區域網路安全防護系統的設計方法。其中包括網路安全系統設計綜述、物理層的網路安全保護方案、數據鏈路層的安全保護方案、網路層防火牆安全保護方案、網路層kerberos身份認證方案、網路層證書身份認證、加密和簽名方案、網路層pki綜合套用方案設計、網路層ipsec身份認證和加密方案、傳輸層tls/ssl身份認證和加密方案、套用層web伺服器的綜合安全系統設計與配置、wlan網路綜合安全系統設計與配置，並通過實際可用的安全防護方法來實現網路安全隱患的排除或防護。這些不同方面的安全防護措施形成了一個系統的整體，使得企業網路從各個方面都得到足夠的安全保證。以上這些都是網路工程師所必須掌握的基礎知識和技能。..

第1章 網路安全系統設計綜述. 1

1.1 網路安全系統設計基礎 2

1.1.1 網路安全的發展 2

1.1.2 網路安全威脅基礎 4

1.1.3 企業網路的主要安全隱患 6

1.1.4 網路安全系統的基本組成 7

1.2 osi/rm各層的安全保護 9

1.2.1 物理層的安全保護 9

1.2.2 數據鏈路層的安全保護 11

1.2.3 網路層的安全保護 12

1.2.4 傳輸層的安全保護 13

1.2.5 會話層和表示層的安全保護 14

1.2.6 套用層的安全保護 15

1.3 系統層的安全保護 16

1.4 網路安全系統設計 16

1.4.1 網路安全策略 16

1.4.2 網路安全系統設計的基本原則 17

1.5 網路安全系統設計的基本思路 20

1.5.1 安全隱患分析和基本系統結構信息的收集 20

1.5.2 調查和分析當前網路的安全需求 23

.1.5.3 評估現有網路安全策略 24

1.5.4 設計細化的新網路安全策略初稿 25

1.5.5 第一次小範圍的測試、評估和修改 31

1.5.6 第二次中、大範圍的測試、評估和修改 32

1.5.7 新網路安全策略文檔終稿 32

1.5.8 新網路安全策略系統的正式套用 32

第2章 物理層的網路安全保護方案 33

2.1 物理層安全保護概述 34

2.2 物理層的線路竊聽技術分析 34

2.3 計算機網路通信線路禁止 35

2.3.1 選擇禁止性能好的傳輸介質和適配器 36

2.3.2 禁止機房和機櫃的選擇 38

2.3.3 wlan無線網路的物理層安全保護 39

2.4 物理線路隔離 40

2.4.1 主要物理隔離產品 40

2.4.2 物理隔離網閘的隔離原理 43

2.4.3 物理隔離網閘的典型套用 46

2.5 設備和線路冗餘 46

2.5.1 網路設備部件冗餘 47

2.5.2 網路設備整機冗餘 49

2.5.3 網路線路冗餘 51

2.6 機房和賬戶安全管理 51

2.6.1 機房安全管理 51

2.6.2 賬戶安全管理 52

2.7 數據安全管理 52

2.7.1 數據容災概述 53

2.7.2 容災與存儲、容錯、備份和遠程複製的關係 54

2.7.3 數據容災等級 56

2.7.4 災難恢復的關鍵注意事項 60

2.8 物理層安全管理工具 61

2.8.1 泛達綜合布線實時管理系統 61

2.8.2 molex綜合布線實時管理系統 64

2.9 服務和服務賬戶安全規劃 66

2.9.1 服務和服務賬戶安全規劃概述 66

2.9.2 服務的安全漏洞和賬戶 67

2.9.3 windows server 2003中服務的默認安全設定更改 69

2.9.4 安全運行服務的原則 70

2.9.5 如何更安全地運行服務 72

第3章 數據鏈路層的安全保護方案 81

3.1 典型數據加密算法 82

3.1.1 基於“訊息摘要”的算法 82

3.1.2 “對稱/非對稱密鑰”加密算法 85

3.2 數據加密 87

3.2.1 數據加密技術 87

3.2.2 鏈路加密機 90

3.2.3 網卡集成式鏈路加密原理 92

3.3 wlan ssid安全技術及配置方法 94

3.3.1 ssid概念及配置方法 94

3.3.2 bssid和essid 95

3.3.3 ssid的安全問題 96

3.4 wlan mac地址過濾 97

3.5 wlan wep加密 98

3.5.1 wep加密原理 98

3.5.2 wep解密原理 99

3.5.3 wep加密的不足 99

3.5.4 wep加密的配置方法 100

3.6 wpa加密 102

3.6.1 wpa的wlan鏈路加密 102

3.6.2 wpa中的ieee 802.1x身份認證系統 103

3.6.3 eapol訊息的封裝 105

3.6.4 ieee 802.1x的認證過程 107

3.7 wpa2加密 111

3.7.1 wpa2簡介 111

3.7.2 aes-ccmp基礎 112

3.7.3 aes算法的基本原理 113

3.7.4 wpa2 aes-ccmp加/解密原理 115

3.8 無線ap/路由器的wpa和wpa2設定 118

3.8.1 個人用戶無線ap/路由器的wpa-psk或wpa2-psk設定 119

3.8.2 企業級無線ap/路由器的wpa或wpa2設定 120

3.8.3 wlan客戶端第三方軟體的wpa和wpa2設定 121

3.8.4 windows xp無線客戶端wpa/wpa2配置 125

3.9 最新的wlan安全標準——ieee 802.11i 126

3.9.1 ieee 802.11i概述 127

3.9.2 wrap加密機制 127

3.10 mac地址欺騙防護 129

3.10.1 arp和rarp協定工作原理 130

3.10.2 arp協定幀格式 131

3.10.3 mac地址欺騙原理 132

3.10.4 mac地址欺騙預防 133

3.11 cisco設備上基於連線埠的mac地址綁定 136

3.11.1 基於連線埠的單一mac地址綁定基本配置步驟 136

3.11.2 基於連線埠的單一mac地址綁定配置示例 138

3.12 cisco基於連線埠的多mac地址綁定 138

3.12.1 基於連線埠的多mac地址綁定配置思路 138

3.12.2 基於連線埠的多mac地址綁定配置示例 139

3.13 cisco設備上基於ip的mac地址綁定 139

3.13.1 一對一的mac地址與ip地址綁定 139

3.13.2 一對多，或者多對多的mac地址與ip地址綁定示例 140

3.14 h3c s5600交換機基於連線埠的mac地址綁定 141

3.14.1 s5100系列交換機的security mac地址配置 141

3.14.2 s5600系列交換機的security mac地址配置 142

3.15 h3c sr8800系列業務路由器mac和ip地址綁定 144

3.15.1 mac和ip地址綁定配置 144

3.15.2 mac和ip地址綁定典型配置示例 146

3.16 h3c secpath系列防火牆上的mac和ip地址綁定 147

3.16.1 mac和ip地址綁定配置 148

3.16.2 mac和ip地址綁定典型配置示例 149

3.17 網路嗅探的防護 149

3.17.1 網路嗅探原理 149

3.17.2 網路嗅探的防範 151

第4章 網路層防火牆安全保護方案 153

4.1 防火牆的分類和技術 154

4.1.1 包過濾防火牆簡介 154

4.1.2 包過濾技術的發展 155

4.1.3 包過濾原理 155

4.1.4 包過濾技術的主要優、缺點 156

4.1.5 代理防火牆 157

4.2 防火牆系統的設計 158

4.2.1 內、外部防火牆系統 158

4.2.2 防火牆在企業網路體系結構中的位置 159

4.2.3 典型防火牆系統設計 161

4.3 防火牆在網路安全防護中的主要套用 164

4.3.1 控制來自網際網路對內部網路的訪問 164

4.3.2 控制來自第三方區域網路對內部網路的訪問 166

4.3.3 控制區域網路內部不同部門之間的訪問 167

4.3.4 控制對伺服器中心的網路訪問 168

4.4 內部防火牆系統設計 169

4.4.1 內部防火牆系統概述 170

4.4.2 內部防火牆規則 170

4.4.3 內部防火牆的可用性需求 171

4.4.4 內部容錯防火牆集配置 174

4.4.5 內部防火牆系統設計的其他因素要求 175

4.5 外圍防火牆系統設計 177

4.5.1 外圍防火牆系統概述 178

4.5.2 外圍防火牆規則 178

4.5.3 外圍防火牆系統的可用性要求 179

第5章 網路層kerberos身份認證方案 181

5.1 身份認證概述 182

5.1.1 單點登錄身份認證執行方式 182

5.1.2 主要的身份認證類型 183

5.2 kerberos身份認證基礎 183

5.2.1 kerberos v5身份認證機制 184

5.2.2 kerberos v5身份認證的優點與缺點 187

5.2.3 kerberos v5協定標準 188

5.2.4 kerberos v5身份認證所用連線埠 190

5.3 kerberos ssp認證 190

5.4 kerberos物理結構 192

5.4.1 kerberos中的密鑰 192

5.4.2 kerberos票證 195

5.4.3 認證符 199

5.4.4 憑證快取 200

5.4.5 密鑰分發中心（kdc） 200

5.5 kerberos v5交換和訊息摘要 204

5.5.1 kerberos v5身份認證的3個子協定 204

5.5.2 身份認證服務（as）交換 205

5.5.3 票證許可服務（tgs）交換 206

5.5.4 客戶端/伺服器（cs）交換 207

5.6 kerberos交換訊息詳解 207

5.6.1 身份認證服務交換訊息詳解 208

5.6.2 票證許可服務交換訊息詳解 211

5.6.3 客戶端/伺服器身份認證交換訊息詳解 214

5.7 kerberos身份認證套用示例 216

5.7.1 本地登錄示例 216

5.7.2 域登錄示例 217

5.7.3 域用戶的工作站登錄 217

5.7.4 單域身份認證示例 223

5.7.5 用戶到用戶的身份認證 226

5.8 kerberos v5身份認證的啟用與策略配置 228

第6章 網路層證書身份認證、加密和簽名方案 231

6.1 證書和證書服務基礎 232

6.1.1 證書概述 232

6.1.2 證書的主要功能 233

6.1.3 證書的主要套用 235

6.1.4 證書客戶端角色 239

6.1.5 證書服務概述 240

6.2 ca證書 241

6.2.1 ca證書簡介 241

6.2.2 ca證書套用的情形 242

6.3 證書結構 243

6.3.1 證書體系架構 243

6.3.2 證書模板 245

6.3.3 證書的物理和邏輯存儲 250

6.3.4 證書存儲區 253

6.4 ca證書進程和互動 255

6.4.1 根ca證書是如何被創建的 256

6.4.2 根ca證書是如何被更新的 257

6.4.3 從屬ca證書是如何被創建的 258

6.4.4 合格的從屬策略是如何被套用的 259

6.5 證書服務體系架構 260

6.5.1 證書服務引擎 261

6.5.2 策略模組 262

6.5.3 客戶端策略模組 263

6.5.4 退出模組 263

6.5.5 證書資料庫 264

6.5.6 cryptoapi接口 264

6.5.7 證書服務協定 264

6.6 證書服務接口 265

6.7 證書服務物理結構 266

6.7.1 證書資料庫和ca日誌檔案 267

6.7.2 註冊表 267

6.7.3 活動目錄 267

6.7.4 檔案系統 269

6.8 證書服務進程和互動 270

6.8.1 證書是如何創建的 270

6.8.2 證書的自動註冊 272

6.8.3 證書的手動註冊 277

6.8.4 自定義證書註冊和更新套用 279

6.8.5 使用可選組件註冊和續訂 281

6.8.6 證書是如何吊銷的 283

6.9 證書模板屬性選項和設計 287

6.9.1 證書模板屬性選項 287

6.9.2 證書模板設計方面的考慮 294

6.9.3 證書模板規劃注意事項 296

6.9.4 證書模板的部署 299

第7章 網路層pki綜合套用方案設計 303

7.1 本章概述 304

7.1.1 部署pki的必要性和本章所使用的技術 304

7.1.2 規劃和部署pki的基本流程 306

7.2 定義證書需求 307

7.2.1 確定安全套用需求 308

7.2.2 確定證書需求 312

7.2.3 文檔化證書策略和證書實施聲明 314

7.2.4 定義證書套用需求示例 315

7.3 設計證書頒發機構層次結構 316

7.3.1 規劃核心ca選項——設計根ca 317

7.3.2 規劃核心ca選項——選擇內部與第三方ca 318

7.3.3 規劃核心ca選項——評估ca容量、性能和可擴展需求 320

7.3.4 規劃核心ca選項——pki管理模式 322

7.3.5 規劃核心ca選項——ca類型和角色 323

7.3.6 規劃核心ca選項——整體活動目錄結構 327

7.3.7 規劃核心ca選項——ca安全性 329

7.3.8 規劃核心ca選項——確定ca數量.. 333

7.3.9 選擇信任模式 334

7.3.10 在信任層次結構中定義ca角色 338

7.3.11 建立命名協定 338

7.3.12 選擇ca資料庫位置 338

7.3.13 ca結構設計示例 339

7.4 擴展證書頒發機構結構 341

7.4.1 評估影響擴展信任的因素 341

7.4.2 選擇擴展ca結構配置 344

7.4.3 限制計畫外的信任 346

7.5 定義證書配置檔案 348

7.5.1 選擇證書模板 349

7.5.2 選擇證書安全選項 350

7.5.3 使用合格的從屬來限制證書 354

7.5.4 配置證書示例 359

7.6 創建證書管理規劃 360

7.6.1 選擇註冊和續訂方法 361

7.6.2 將證書映射到身份 363

7.6.3 創建證書吊銷策略 368

7.6.4 規劃密鑰和數據恢復 372

7.6.5 創建證書管理規劃示例 375

第8章 網路層ipsec身份認證和加密方案 377

8.1 ipsec基礎 378

8.1.1 什麼是ipsec 378

8.1.2 ipsec的設計初衷 379

8.1.3 ipsec的優勢 381

8.2 ipsec提供的安全服務 382

8.2.1 ipsec提供的安全屬性 382

8.2.2 kerberos v5身份認證協定 383

8.2.3 基於公鑰證書的身份認證 383

8.2.4 預共享密鑰驗證 384

8.2.5 採用哈希函式的數據完整性驗證 384

8.2.6 具有加密功能的數據保密性 385

8.2.7 密鑰管理 386

8.2.8 密鑰保護 386

8.3 ipsec的使用模式 388

8.3.1 傳輸模式 388

8.3.2 隧道模式 389

8.4 ipsec協定類型 389

8.4.1 ipsec ah協定 390

8.4.2 ipsec esp協定 394

8.5 windows server 2003中的ipsec 397

8.5.1 ipsec邏輯體系架構 398

8.5.2 ipsec身份認證和組件 401

8.5.3 策略代理體系架構 402

8.5.4 ike模組體系架構 405

8.5.5 ipsec驅動體系架構 407

8.5.6 ipsec策略數據結構 407

8.5.7 ipsec分配的網路連線埠和協定 410

8.5.8 ipsec策略規則 411

8.6 ipsec密鑰安全關聯和密鑰交換原理 415

8.6.1 安全關聯基本原理和類型 415

8.6.2 主模式協商sa 417

8.6.3 快速模式協商sa 424

8.6.4 密鑰交換原理 426

8.6.5 sa生存期 427

8.7 ipsec驅動工作原理 427

8.7.1 ipsec驅動的職責 427

8.7.2 ipsec驅動通信 428

8.7.3 ipsec驅動程式模式 428

8.7.4 ipsec驅動的包處理 430

8.8 ipsec策略及策略篩選器 431

8.8.1 ipsec策略 431

8.8.2 ipsec策略規則 433

8.8.3 默認回響規則 434

8.8.4 ipsec策略篩選器 435

8.8.5 ipsec篩選器的套用順序 437

8.8.6 ipsec篩選中的默認排除 438

8.8.7 ipsec篩選器的設計考慮 440

8.9 windows server 2003 ipsec系統的部署 441

8.9.1 windows server 2003 ipsec部署的簡易性 441

8.9.2 部署windows server 2003 ipsec前所需的確認 442

8.9.3 ipsec策略設計與規劃的最佳操作 442

8.9.4 建立ipsec安全計畫 445

8.9.5 策略配置 446

8.9.6 默認篩選器列表 446

8.9.7 默認回響規則 448

8.9.8 ipsec策略的套用方法 450

8.10 ipsec套用方案設計 453

8.10.1 ipsec安全通信方案的主要套用 454

8.10.2 不推薦的ipsec方案 458

8.10.3 管理使用僅在windows server 2003家族中可用的新增功能的策略 458

8.10.4 ip篩選器配置的考慮 459

8.10.5 篩選器操作的配置考慮 461

8.11 ipsec策略的套用方案配置 462

8.11.1 ipsec方案配置前的準備 462

8.11.2 ipsec安全方案配置的基本步驟 463

8.11.3 ipsec在web伺服器訪問限制中的套用示例 464

8.11.4 ipsec在資料庫伺服器訪問限制中的套用示例 475

8.11.5 ipsec在阻止netbios攻擊中的套用示例 476

8.11.6 ipsec在保護遠程訪問通信中的套用示例 478

第9章 傳輸層tls/ssl身份認證和加密方案 481

9.1 tls/ssl基礎 482

9.1.1 tls/ssl簡介 482

9.1.2 tls/ssl標準的歷史 483

9.1.3 tls與ssl的區別 483

9.1.4 tls/ssl所帶來的好處 484

9.1.5 tls/ssl的局限性 485

9.1.6 常見的tls/ssl套用 485

9.1.7 安全通道技術 487

9.1.8 tls和ssl的依從 487

9.2 tls/ssl體系架構 488

9.2.1 安全通道sspi體系架構 488

9.2.2 tls/ssl體系架構 490

9.2.3 tls/ssl握手協定 491

9.2.4 記錄層 495

9.3 tls/ssl工作原理 495

9.3.1 tls/ssl進程和互動機制 495

9.3.2 tls的完整握手過程 497

9.3.3 客戶端hello訊息 498

9.3.4 伺服器hello訊息 501

9.3.5 客戶端回響hello訊息 503

9.3.6 計算主密鑰和子系列密鑰 504

9.3.7 完成訊息 505

9.3.8 套用數據流 506

9.3.9 恢復安全會話 507

9.3.10 重新協商方法 507

9.3.11 安全通道的證書映射 509

9.3.12 tls/ssl所使用的網路連線埠 510

9.4 wtls 511

9.4.1 wap的主要特點和體系架構 511

9.4.2 wap架構與www架構的比較 514

9.4.3 wap安全機制 516

9.4.4 wtls體系架構 518

9.4.5 wtls的安全功能 519

9.4.6 wtls與tls的區別 520

9.5 ssl在iis web伺服器中的套用 522

9.5.1 安裝ca 522

9.5.2 生成證書申請 524

9.5.3 提交證書申請 527

9.5.4 證書的頒發和導出 530

9.5.5 在web伺服器上安裝證書 532

9.5.6 在web伺服器上啟用ssl 534

9.6 ssl vpn 535

9.6.1 ssl vpn網路結構和主要套用 536

9.6.2 ssl vpn的主要優勢和不足 537

第10章 套用層web伺服器的綜合 安全系統設計與配置 541

10.1 我國網站安全現狀 542

10.2 web伺服器的身份驗證技術選擇 543

10.2.1 ntlm身份驗證機制選擇和配置方法 543

10.2.2 kerberos身份驗證機制選擇和配置方法 547

10.2.3 摘要式身份驗證機制選擇和配置方法 548

10.2.4 公鑰加密身份認證機制選擇 553

10.2.5 證書身份認證機制選擇和配置方法 555

10.3 web伺服器傳輸層安全技術選擇 558

10.4 web伺服器的安全威脅與對策 559

10.4.1 主機枚舉 560

10.4.2 拒絕服務 562

10.4.3 未經授權的訪問 562

10.4.4 隨意代碼執行 563

10.4.5 特權提升 563

10.4.6 病毒、蠕蟲和特洛伊木馬 564

10.5 安全web伺服器檢查表 564

10.6 windows server 2003 web伺服器安全策略設計 580

10.6.1 web伺服器的匿名訪問和sslf設定 581

10.6.2 web伺服器審核策略設定 582

10.6.3 web伺服器用戶許可權分配策略設定 591

10.6.4 web伺服器的安全選項策略設定 600

10.6.5 web伺服器的事件日誌策略設定 617

10.6.6 web伺服器的其他安全策略設定 619

第11章 wlan網路綜合安全系統設計與配置 629

11.1 選擇wlan的安全策略 630

11.1.1 wlan面臨的主要安全問題 630

11.1.2 wlan安全策略的決策 631

11.1.3 如何真正確保wlan的安全 633

11.1.4 wlan的身份驗證和授權 634

11.1.5 wlan的數據保護 635

11.1.6 使用wlan數據保護的ieee 802.1x的優點 637

11.2 wlan安全方案選擇 637

11.2.1 不部署wlan技術 638

11.2.2 使用基於802.11靜態wep的基本安全 638

11.2.3 使用eap和動態加密密鑰的ieee 802.1x 639

11.2.4 使用eap-tls的ieee 802.1x 640

11.2.5 使用peap的ieee 802.1x 640

11.2.6 使用vpn技術保護wlan網路 641

11.2.7 使用ipsec保護wlan 643

11.2.8 主要wlan安全方案比較 644

11.3 使用ieee 802.1x設計wlan安全系統 645

11.3.1 ieee 802.1x waln安全方案設計基本思路 645

11.3.2 使用ieee 802.1x和加密確保wlan安全 646

11.3.3 使用證書或密碼 646

11.3.4 解決方案的先決條件 647

11.3.5 wlan安全選項考慮 648

11.3.6 確定ieee 802.1x wlan所需的軟體設定 654

11.3.7 其他注意事項 658

11.4 使用ieee 802.1x實現wlan安全性 659

11.4.1 方案實現基本思路 659

11.4.2 ieee 802.1x wlan計畫工作表 660

11.4.3 準備安全wlan的環境 661

11.4.4 配置和部署wlan身份驗證證書 662

11.4.5 配置wlan訪問基礎結構 671

11.4.6 讓用戶和計算機能夠訪問安全wlan 675

11.4.7 配置ieee 802.1x網路的無線接入點 680

11.4.8 測試和驗證 681

11.5 ieee 802.1x eap-tls wlan安全方案網路結構設計 681

11.5.1 ieee 802.1x eap-tls身份驗證解決方案概述 681

11.5.2 ieee 802.1x eap-tls wlan網路安全結構方案設計標準 684

11.5.3 ieee 802.1x eap-tls方案網路結構邏輯設計與評估 686

11.6 使用peap和密碼確保無線lan的安全 692

11.6.1 解決方案的基本思路 692

11.6.2 peap解決方案的優勢和工作原理 693

11.6.3 組織結構和it環境計畫 696

11.6.4 方案設計標準計畫 697

11.6.5 wlan體系結構部署計畫 698

11.6.6 針對大型組織的擴展計畫 710

11.6.7 解決方案體系結構的變化計畫 712

11.6.8 準備安全wlan網路環境 715

11.6.9 方案網路證書頒發機構構建 725

11.6.10 wlan安全的基礎結構構建 728

11.6.11 wlan客戶端配置 741

後 記 ... 747