网络安全原理与实践
目 录
第一部分:网络安全介绍
第1章 网络安全介绍 3
1.1 网络安全目标 4
1.2 资产确定 4
1.3 威胁评估 5
1.4 风险评估 6
1.5 构建网络安全策略 6
1.6 网络安全策略的要素 7
1.7 部署网络安全策略 8
查看完整
第一部分:网络安全介绍
第1章 网络安全介绍 3
1.1 网络安全目标 4
1.2 资产确定 4
1.3 威胁评估 5
1.4 风险评估 6
1.5 构建网络安全策略 6
1.6 网络安全策略的要素 7
1.7 部署网络安全策略 8
查看完整
Saadat Malik,CCIE #4955,在Cisco公司的VPN和网络安全组管理技术支持工作。作为CCIE安全实验考试的作者、编写CCIE安全资格证书考试小组的成员之一,他是开发CCIE网络安全认证的先锋。目前他是CCIE的部门顾问,帮助改善正在进行的CCIE安全实验考试的质量。同时在监督CCIE实验考试方面,他有着多年的经验。过去,Malik在圣何赛州立大学教授研究生网络体系结构和协议的课程。这些年来,在Saadat的监督和技术领导下,30个CCIE(包括9个“double”CCIE和2个“triple”CCIE)已经达到了令人渴望的尊贵地位。多年以来,在业界的一些活动中,例如Networkers和IBM技术会议上,他经常就网络入侵检测相关的高级主题、VPN的疑难解析和高级的IPSec概念做报告。Saadat普渡大学西拉法叶校区获得了电子工程硕士学位(MSEE)。
《网络安全原理与实践》为广大读者提供了网络安全设施和VPN的专家级解决方案。全书共分9个部分,分别介绍了网络安全介绍、定义安全区、设备安全、路由安全、局域网交换的安全、网络地址转换与安全、防火墙基础、PIX防火墙、IOS防火墙、VPN的概念、GRE、L2TP、IPSec、入侵检测、Cisco安全入侵检测、AAA、TACACS+、RADIUS、使用AAA实现安全特性的特殊实例、服务提供商安全的利益和挑战、高效使用访问控制列表、使用NBAR识别和控制攻击、使用CAR控制攻击、网络安全实施疑难解析等。附录中包括各章复习题答案和企业网络安全蓝图白皮书。 《网络安全原理与实践》适合准备参加CCIE网络安全认证工作的人员阅读,也适合那些想增强关于网络安全核心概念知识的网络安全专业人员阅读。
目 录
第一部分:网络安全介绍
第1章 网络安全介绍 3
1.1 网络安全目标 4
1.2 资产确定 4
1.3 威胁评估 5
1.4 风险评估 6
1.5 构建网络安全策略 6
1.6 网络安全策略的要素 7
1.7 部署网络安全策略 8
1.8 网络安全体系结构的部署 9
1.9 审计和改进 9
1.10 实例研究 10
1.10.1 资产确定 10
1.10.2 威胁确定 11
1.10.3 风险分析 12
1.10.4 定义安全策略 13
1.11 小结 16
1.12 复习题 16
第二部分:构建网络安全
第2章 定义安全区 21
2.1 安全区介绍 21
2.2 设计一个DMZ 22
2.2.1 使用一个三脚防火墙创建DMZ 23
2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间 23
2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上 24
2.2.4 在层叠的防火墙之间创建DMZ 25
2.3 实例研究:使用PIX防火墙创建区 26
2.4 小结 27
2.5 复习题 27
第3章 设备安全 29
3.1 物理安全 30
3.1.1 冗余位置 30
3.1.2 网络拓扑设计 30
3.1.3 网络位置的安全 31
3.1.4 选择安全介质 32
3.1.5 电力供应 32
3.1.6 环境因素 32
3.2 设备冗余 33
3.2.1 路由冗余 33
3.2.2 HSRP 35
3.2.3 虚拟路由器冗余协议(VRRP) 41
3.3 路由器安全 45
3.3.1 配置管理 45
3.3.2 控制对路由器的访问 46
3.3.3 对路由器的安全访问 49
3.3.4 密码管理 50
3.3.5 记录路由器事件 51
3.3.6 禁用不需要的服务 52
3.3.7 使用环回接口 52
3.3.8 SNMP用作管理协议的控制 53
3.3.9 HTTP用作管理协议的控制 55
3.3.10 使用CEF作为交换机制 56
3.3.11 从安全的角度来建立调度表 56
3.3.12 使用NTP 57
3.3.13 登录信息 57
3.3.14 获取Core Dumps信息 58
3.3.15 在CPU高负载期间使用service nagle以改善Telnet访问 59
3.4 PIX防火墙安全 60
3.4.1 配置管理 60
3.4.2 控制对PIX的访问 60
3.4.3 安全访问PIX 61
3.4.4 密码管理 62
3.4.5 记录PIX事件 62
3.5 交换机安全 63
3.5.1 配置管理 63
3.5.2 控制对交换机的访问 63
3.5.3 对交换机的安全访问 64
3.5.4 交换机事件日志 64
3.5.5 控制管理协议(基于SNMP的管理) 65
3.5.6 使用NTP 65
3.5.7 登录信息 66
3.5.8 捕获Core Dumps 66
3.6 小结 66
3.7 复习题 66
第4章 路由安全 69
4.1 将安全作为路由设计的一部分 70
4.1.1 路由过滤 70
4.1.2 收敛性 71
4.1.3 静态路由 71
4.2 路由器和路由认证 72
4.3 定向广播控制 75
4.4 黑洞过滤 75
4.5 单播反向路径转发 76
4.6 路径完整性 78
4.6.1 ICMP重定向 78
4.6.2 IP源路由 78
4.7 实例研究:BGP路由协议安全 79
4.7.1 BGP邻居认证 79
4.7.2 入站路由过滤 80
4.7.3 出站路由过滤 80
4.7.4 BGP网络通告 80
4.7.5 BGP多跳 81
4.7.6 BGP通信 81
4.7.7 禁用BGP版本协商 81
4.7.8 维持路由表的深度和稳定性 81
4.7.9 BGP邻居状态改变的日志记录 84
4.8 实例研究:OSPF路由协议的安全 84
4.8.1 OSPF路由器认证 84
4.8.2 OSPF非广播邻居配置 85
4.8.3 使用末节区域 85
4.8.4 使用环回接口作为路由器ID 87
4.8.5 调整SPF计时器 87
4.8.6 路由过滤 88
4.9 小结 88
4.10 复习题 89
第5章 局域网交换的安全 91
5.1 普通交换和第2层安全 92
5.2 端口安全 93
MAC地址泛洪和端口安全 93
5.3 IP许可列表 95
5.4 协议过滤和控制LAN泛洪 96
5.5 Catalyst 6000上的专用VLAN 97
ARP欺骗、粘性ARP和专用VLAN 99
5.6 使用IEEE 802.1x标准进行端口认证和访问控制 99
5.6.1 802.1x实体 99
5.6.2 802.1x通信 100
5.6.3 802.1x功能 104
5.6.4 使用802.1x建立Catalyst 6000端口认证 106
5.7 小结 108
5.8 复习题 108
第6章 网络地址转换与安全 111
6.1 网络地址转换的安全利益 112
6.2 依赖NAT提供安全的缺点 113
6.2.1 除了端口号信息外没有协议信息跟踪 113
6.2.2 基于PAT表没有限制数据流的类型 113
6.2.3 初始连接上有限的控制 113
6.3 小结 114
6.4 复习题 114
第三部分:防火墙
第7章 什么是防火墙 119
7.1 防火墙 119
7.1.1 日志和通告发送能力 120
7.1.2 大规模的数据包检查 120
7.1.3 易于配置 121
7.1.4 设备安全和冗余 121
7.2 防火墙的类型 122
7.2.1 电路级防火墙 122
7.2.2 代理服务器防火墙 122
7.2.3 无状态分组过滤器防火墙 123
7.2.4 有状态分组过滤器防火墙 123
7.2.5 个人防火墙 124
7.3 防火墙的位置 124
7.4 小结 125
第8章 PIX防火墙 127
8.1 自适应安全算法 127
8.1.1 TCP 128
8.1.2 UDP 130
8.2 PIX防火墙的基本特性 131
8.2.1 使用ASA的状态化流量检测 131
8.2.2 为接口分配不同的安全级别 132
8.2.3 访问控制列表 132
8.2.4 扩展的日志能力 133
8.2.5 基本的路由能力,包括对RIP的支持 134
8.2.6 网络地址转换 134
8.2.7 失效处理机制和冗余 135
8.2.8 认证通过PIX的流量 137
8.3 PIX防火墙的高级特性 137
8.3.1 别名 138
8.3.2 X防护 141
8.3.3 高级过滤 142
8.3.4 多媒体支持 143
8.3.5 欺骗检测或者单播RPF 145
8.3.6 协议修正 146
8.3.7 混杂的sysopt命令 146
8.3.8 多播支持 148
8.3.9 分片处理 150
8.4 实例研究 151
8.4.1 带有三个接口,运行在DMZ的Web服务器上的PIX 152
8.4.2 为PIX设置失效处理 157
8.4.3 为DMZ上的服务器使用alias命令设置PIX 160
8.4.4 为贯穿式代理认证和授权设置PIX 163
8.4.5 使用Object Groups和TurboACL来扩展PIX配置 166
8.5 小结 170
8.6 复习题 171
第9章 IOS防火墙 173
9.1 基于上下文的访问控制 173
CBAC功能 174
9.2 IOS防火墙的特性 175
9.2.1 传输层检查 176
9.2.2 应用层检查 176
9.2.3 对无效命令进行过滤 177
9.2.4 Java阻塞 177
9.2.5 针对拒绝服务攻击的安全防护 177
9.2.6 IOS防火墙中的分片处理 180
9.3 实例研究:配置了NAT的路由器上的CBAC 180
9.4 小结 185
9.5 复习题 185
第四部分:VPN
第10章 VPN的概念 189
10.1 VPN定义 189
10.2 基于加密与不加密的VPN类型比较 190
10.2.1 加密VPN 190
10.2.2 非加密VPN 190
10.3 基于OSI模型分层的VPN类型 190
10.3.1 数据链路层VPN 191
10.3.2 网络层VPN 191
10.3.3 应用层VPN 191
10.4 基于商业功能性的VPN类型 192
10.5 内部网VPN 192
10.6 外部网VPN 192
10.7 小结 193
第11章 GRE 195
11.1 GRE 195
11.2 实例研究 198
11.2.1 连接两个私有网络的简单GRE隧道 198
11.2.2 多个站点间的GRE 202
11.2.3 运行IPX的两个站点间的GRE 206
11.3 小结 211
11.4 复习题 211
第12章 L2TP 213
12.1 L2TP概述 213
12.2 L2TP的功能细节 215
12.2.1 建立控制连接 216
12.2.2 建立会话 216
12.2.3 头格式 218
12.3 实例研究 219
12.3.1 创建强制型L2TP隧道 220
12.3.2 在强制型隧道的创建中使用IPSec保护L2TP通信 235
12.4 小结 240
12.5 复习题 240
第13章 IPSec 243
13.1 IPSec VPN的类型 244
13.1.1 LAN-to-LAN IPSec实现 244
13.1.2 远程访问客户端IPSec实现 245
13.2 IPSec的组成 246
13.3 IKE介绍 247
13.3.1 主模式(或者主动模式)的目标 248
13.3.2 快速模式的目标 249
13.4 使用IKE协议的IPSec协商 249
13.4.1 使用预共享密钥认证的主模式后接快速模式的协商 249
13.4.2 使用数字签名认证后接快速模式的主模式 263
13.4.3 使用预共享密钥认证的主动模式 267
13.5 IKE认证机制 270
13.5.1 预共享密钥 270
13.5.2 数字签名 271
13.5.3 加密临时值 272
13.6 IPSec中加密和完整性检验机制 273
13.6.1 加密 273
13.6.2 完整性检验 275
13.7 IPSec中分组的封装 276
13.7.1 传输模式 276
13.7.2 隧道模式 276
13.7.3 ESP(封装安全负载) 277
13.7.4 AH(认证头) 278
13.8 增强远程访问客户端IPSec的IKE 279
13.8.1 扩展认证 279
13.8.2 模式配置 282
13.8.3 NAT透明 283
13.9 IPSec失效对等体的发现机制 284
13.10 实例研究 285
13.10.1 使用预共享密钥作为认证机制的路由器到路由器的IPSec 285
13.10.2 使用数字签名和数字证书的路由器到路由器的IPSec 299
13.10.3 使用RSA加密临时值的路由器到路由器的IPSec 310
13.10.4 一对多路由器IPSec 317
13.10.5 High-Availability-IPSec-Over-GRE设置 323
13.10.6 使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPSec 328
13.10.7 LAN-to-LAN和远程访问的PIX IPSec设置 331
13.10.8 使用自发型隧道的L2TP上的IPSec 336
13.10.9 IPSec隧道终点发现(TED) 341
13.10.10 NAT同IPSec的相互作用 354
13.10.11 防火墙和IPSec的相互作用 356
13.11 小结 357
13.12 复习题 357
第五部分:入侵检测
第14章 什么是入侵检测 361
14.1 对入侵检测的需求 362
14.2 基于攻击模式的网络攻击类型 363
14.2.1 拒绝服务攻击 363
14.2.2 网络访问攻击 363
14.3 基于攻击发起者的网络攻击类型 364
14.3.1 由受信任的(内部)用户发起的攻击 365
14.3.2 由不受信任的(外部)用户发起的攻击 365
14.3.3 由没有经验的“脚本少年”黑客发起的攻击 365
14.3.4 由有经验的“专业”黑客发起的攻击 366
14.4 常见的网络攻击 367
14.4.1 拒绝服务攻击 367
14.4.2 资源耗尽类型的DoS攻击 367
14.4.3 旨在导致常规操作系统操作立即停止的攻击类型 374
14.4.4 网络访问攻击 375
14.5 检测入侵的过程 378
14.6 实例研究:Kevin Metnick对Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的 380
14.7 小结 381
第15章 Cisco安全入侵检测 385
15.1 Cisco安全IDS的组件 386
15.2 构建管理控制台 389
15.2.1 两种类型的管理控制台 389
15.2.2 UNIX Director的内部结构 389
15.2.3 CSPM IDS控制台的内部结构 392
15.3 构建传感器 393
15.4 对入侵的响应 396
15.4.1 日志记录 397
15.4.2 TCP重置 400
15.4.3 屏蔽 400
15.5 签名类型 401
15.5.1 签名引擎(Engine) 402
15.5.2 默认的警报级别 403
15.6 把路由器、PIX或者IDSM作为传感器使用 404
15.7 实例研究 405
15.7.1 把路由器作为传感器设备使用 405
15.7.2 把PIX作为传感器设备使用 409
15.7.3 把Catalyst 6000 IDSM作为传感器使用 412
15.7.4 设置路由器或者UNIX Director进行屏蔽 416
15.7.5 创建定制的签名 418
15.8 小结 419
15.9 复习题 419
第六部分:网络访问控制
第16章 AAA 423
16.1 AAA组件的定义 423
16.2 认证概述 424
16.3 设置认证 425
16.3.1 启用AAA 425
16.3.2 设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+ 服务器的访问 425
16.3.3 设置方法列表 426
16.3.4 应用方法列表 428
16.4 授权概述 429
16.5 设置授权 429
16.5.1 设置方法列表 429
16.5.2 应用方法列表 430
16.6 统计概述 432
16.7 设置统计 433
16.7.1 设置一个方法列表 433
16.7.2 将方法列表应用到行和/或接口 434
16.8 实例研究 435
16.8.1 使用AAA对PPP连接进行认证和授权 435
16.8.2 使用AAA下载路由和应用访问列表 438
16.8.3 使用AAA设置PPP超时 441
16.9 小结 443
16.10 复习题 443
第17章 TACACS+ 445
17.1 TACACS+概述 446
17.2 TACACS+通信体系结构 446
17.3 TACACS+分组加密 448
17.4 TACACS+的认证 449
17.5 TACACS+的授权 450
17.6 TACACS+的统计 455
17.7 小结 457
17.8 复习题 458
第18章 RADIUS 461
18.1 RADIUS介绍 461
18.2 RADIUS通信的体系结构 462
18.2.1 RADIUS分组格式 463
18.2.2 RADIUS中的口令加密 464
18.2.3 RADIUS的认证 465
18.2.4 RADIUS的授权 466
18.2.5 RADIUS的统计 472
18.3 小结 474
18.4 复习题 475
第19章 使用AAA实现安全特性的特殊实例 477
19.1 使用AAA对IPSec提供预共享的密钥 478
19.2 在ISAKMP中对X-Auth使用AAA 480
19.3 对Auth-Proxy使用AAA 482
19.4 对VPDN使用AAA 485
19.5 对锁和密钥使用AAA 488
19.6 使用AAA对命令授权 490
19.7 小结 492
19.8 复习题 492
第七部分:服务提供商安全
第20章 服务提供商安全的利益和挑战 497
20.1 拥有服务提供商安全的动机 497
20.1.1 阻止和转移攻击的能力 498
20.1.2 跟踪流量模式的能力 499
20.1.3 向下跟踪攻击源的能力 499
20.2 在服务提供商级别上实现安全的挑战 502
20.3 服务提供商安全的关键组件 503
20.4 小结 503
20.5 复习题 503
第21章 有效使用访问控制列表 505
21.1 访问控制列表概述 506
21.1.1 ACL的类型 506
21.1.2 ACL的特性和特征 509
21.2 使用访问控制列表阻止未经授权的访问 510
21.2.1 ACL的基本访问控制功能 510
21.2.2 使用ACL阻塞ICMP分组 511
21.2.3 使用ACL阻塞带有欺骗IP地址的分组 512
21.2.4 用ACL阻塞去往网络中不可用服务的流量 512
21.2.5 使用ACL阻塞已知的冒犯 513
21.2.6 使用ACL阻塞假的和不必要的路由 513
21.3 使用ACL识别拒绝服务攻击 513
21.3.1 使用访问控制列表识别smurf攻击 513
21.3.2 使用访问控制列表识别fraggle攻击 515
21.3.3 使用访问控制列表识别SYN泛洪 516
21.4 使用ACL阻止拒绝服务攻击 517
21.4.1 使用ACL阻止来自不合法IP地址的流量 517
21.4.2 过滤RFC 1918地址空间 519
21.4.3 拒绝其他不必要的流量 519
21.5 通过ACL处理IP分片 520
21.5.1 过滤IP分片 520
21.5.2 保护网络免遭IP分片攻击 524
21.6 ACL对性能的影响 525
21.7 Turbo ACL 526
21.8 NetFlow交换和ACL 529
21.8.1 NetFlow交换功能 529
21.8.2 NetFlow交换使访问控制列表性能增强 529
21.8.3 使用NetFlow 530
21.9 小结 530
21.10 复习题 530
第22章 使用NBAR识别和控制攻击 533
22.1 NBAR概述 534
22.2 使用NBAR对分组进行分类 537
22.3 使用NBAR检测网络攻击 539
22.3.1 用带有简单访问控制列表的DSCP或ToS标记或丢弃分组 539
22.3.2 使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量 540
22.3.3 用流量管制管理经NBAR分类的流量 541
22.4 联合使用NBAR和PDLM对网络攻击分类 541
22.5 使用基于NBAR的访问控制技术对性能的影响 542
22.6 实例研究:红色代码病毒和NBAR 542
22.7 小结 544
22.8 复习题 545
第23章 使用CAR控制攻击 547
23.1 CAR概述 548
23.2 使用CAR限制速率或者丢弃额外的恶意流量 550
23.2.1 限制拒绝服务攻击的速率 550
23.2.2 限制可疑恶意内容的速率 551
23.3 实例研究:使用CAR限制DDoS攻击 552
23.4 小结 553
23.5 复习题 554
第八部分:故障排除
第24章 网络安全实施故障排除 559
24.1 NAT故障排除 560
24.1.1 NAT操作的顺序 560
24.1.2 NAT调试工具 561
24.1.3 NAT show命令 562
24.1.4 常见的NAT问题以及解决方案 563
24.2 PIX防火墙故障排除 567
24.2.1 引起与PIX相关的问题的根源 567
24.2.2 PIX中NAT操作的顺序 568
24.2.3 PIX调试 568
24.2.4 推荐的PIX 6.2超时值 570
24.2.5 PIX show命令 571
24.2.6 常见的PIX问题及其解决方法 575
24.2.7 PIX故障排除实例研究 576
24.3 IOS防火墙故障排除 578
24.3.1 IOS防火墙中的操作顺序 578
24.3.2 IOS防火墙的show命令 579
24.3.3 常见的IOS防火墙问题及其解决办法 582
24.4 IPSec VPN故障排除 583
24.4.1 IPSec事件的执行顺序 583
24.4.2 IPSec的调试 584
24.4.3 IPSec show命令 588
24.4.4 常见的IPSec问题以及解决办法 591
24.5 入侵检测故障排除 595
常见的IDS问题及解决办法 595
24.6 AAA故障排除 598
24.6.1 AAA show命令 599
24.6.2 AAA的debug命令 599
24.6.3 常见的AAA问题和解决办法 599
24.7 小结 606
24.8 复习题 607
第九部分:附录
附录A 复习题答案 611
附录B SAFE:企业网络安全蓝图白皮书 627
^ 收 起
第一部分:网络安全介绍
第1章 网络安全介绍 3
1.1 网络安全目标 4
1.2 资产确定 4
1.3 威胁评估 5
1.4 风险评估 6
1.5 构建网络安全策略 6
1.6 网络安全策略的要素 7
1.7 部署网络安全策略 8
1.8 网络安全体系结构的部署 9
1.9 审计和改进 9
1.10 实例研究 10
1.10.1 资产确定 10
1.10.2 威胁确定 11
1.10.3 风险分析 12
1.10.4 定义安全策略 13
1.11 小结 16
1.12 复习题 16
第二部分:构建网络安全
第2章 定义安全区 21
2.1 安全区介绍 21
2.2 设计一个DMZ 22
2.2.1 使用一个三脚防火墙创建DMZ 23
2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间 23
2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上 24
2.2.4 在层叠的防火墙之间创建DMZ 25
2.3 实例研究:使用PIX防火墙创建区 26
2.4 小结 27
2.5 复习题 27
第3章 设备安全 29
3.1 物理安全 30
3.1.1 冗余位置 30
3.1.2 网络拓扑设计 30
3.1.3 网络位置的安全 31
3.1.4 选择安全介质 32
3.1.5 电力供应 32
3.1.6 环境因素 32
3.2 设备冗余 33
3.2.1 路由冗余 33
3.2.2 HSRP 35
3.2.3 虚拟路由器冗余协议(VRRP) 41
3.3 路由器安全 45
3.3.1 配置管理 45
3.3.2 控制对路由器的访问 46
3.3.3 对路由器的安全访问 49
3.3.4 密码管理 50
3.3.5 记录路由器事件 51
3.3.6 禁用不需要的服务 52
3.3.7 使用环回接口 52
3.3.8 SNMP用作管理协议的控制 53
3.3.9 HTTP用作管理协议的控制 55
3.3.10 使用CEF作为交换机制 56
3.3.11 从安全的角度来建立调度表 56
3.3.12 使用NTP 57
3.3.13 登录信息 57
3.3.14 获取Core Dumps信息 58
3.3.15 在CPU高负载期间使用service nagle以改善Telnet访问 59
3.4 PIX防火墙安全 60
3.4.1 配置管理 60
3.4.2 控制对PIX的访问 60
3.4.3 安全访问PIX 61
3.4.4 密码管理 62
3.4.5 记录PIX事件 62
3.5 交换机安全 63
3.5.1 配置管理 63
3.5.2 控制对交换机的访问 63
3.5.3 对交换机的安全访问 64
3.5.4 交换机事件日志 64
3.5.5 控制管理协议(基于SNMP的管理) 65
3.5.6 使用NTP 65
3.5.7 登录信息 66
3.5.8 捕获Core Dumps 66
3.6 小结 66
3.7 复习题 66
第4章 路由安全 69
4.1 将安全作为路由设计的一部分 70
4.1.1 路由过滤 70
4.1.2 收敛性 71
4.1.3 静态路由 71
4.2 路由器和路由认证 72
4.3 定向广播控制 75
4.4 黑洞过滤 75
4.5 单播反向路径转发 76
4.6 路径完整性 78
4.6.1 ICMP重定向 78
4.6.2 IP源路由 78
4.7 实例研究:BGP路由协议安全 79
4.7.1 BGP邻居认证 79
4.7.2 入站路由过滤 80
4.7.3 出站路由过滤 80
4.7.4 BGP网络通告 80
4.7.5 BGP多跳 81
4.7.6 BGP通信 81
4.7.7 禁用BGP版本协商 81
4.7.8 维持路由表的深度和稳定性 81
4.7.9 BGP邻居状态改变的日志记录 84
4.8 实例研究:OSPF路由协议的安全 84
4.8.1 OSPF路由器认证 84
4.8.2 OSPF非广播邻居配置 85
4.8.3 使用末节区域 85
4.8.4 使用环回接口作为路由器ID 87
4.8.5 调整SPF计时器 87
4.8.6 路由过滤 88
4.9 小结 88
4.10 复习题 89
第5章 局域网交换的安全 91
5.1 普通交换和第2层安全 92
5.2 端口安全 93
MAC地址泛洪和端口安全 93
5.3 IP许可列表 95
5.4 协议过滤和控制LAN泛洪 96
5.5 Catalyst 6000上的专用VLAN 97
ARP欺骗、粘性ARP和专用VLAN 99
5.6 使用IEEE 802.1x标准进行端口认证和访问控制 99
5.6.1 802.1x实体 99
5.6.2 802.1x通信 100
5.6.3 802.1x功能 104
5.6.4 使用802.1x建立Catalyst 6000端口认证 106
5.7 小结 108
5.8 复习题 108
第6章 网络地址转换与安全 111
6.1 网络地址转换的安全利益 112
6.2 依赖NAT提供安全的缺点 113
6.2.1 除了端口号信息外没有协议信息跟踪 113
6.2.2 基于PAT表没有限制数据流的类型 113
6.2.3 初始连接上有限的控制 113
6.3 小结 114
6.4 复习题 114
第三部分:防火墙
第7章 什么是防火墙 119
7.1 防火墙 119
7.1.1 日志和通告发送能力 120
7.1.2 大规模的数据包检查 120
7.1.3 易于配置 121
7.1.4 设备安全和冗余 121
7.2 防火墙的类型 122
7.2.1 电路级防火墙 122
7.2.2 代理服务器防火墙 122
7.2.3 无状态分组过滤器防火墙 123
7.2.4 有状态分组过滤器防火墙 123
7.2.5 个人防火墙 124
7.3 防火墙的位置 124
7.4 小结 125
第8章 PIX防火墙 127
8.1 自适应安全算法 127
8.1.1 TCP 128
8.1.2 UDP 130
8.2 PIX防火墙的基本特性 131
8.2.1 使用ASA的状态化流量检测 131
8.2.2 为接口分配不同的安全级别 132
8.2.3 访问控制列表 132
8.2.4 扩展的日志能力 133
8.2.5 基本的路由能力,包括对RIP的支持 134
8.2.6 网络地址转换 134
8.2.7 失效处理机制和冗余 135
8.2.8 认证通过PIX的流量 137
8.3 PIX防火墙的高级特性 137
8.3.1 别名 138
8.3.2 X防护 141
8.3.3 高级过滤 142
8.3.4 多媒体支持 143
8.3.5 欺骗检测或者单播RPF 145
8.3.6 协议修正 146
8.3.7 混杂的sysopt命令 146
8.3.8 多播支持 148
8.3.9 分片处理 150
8.4 实例研究 151
8.4.1 带有三个接口,运行在DMZ的Web服务器上的PIX 152
8.4.2 为PIX设置失效处理 157
8.4.3 为DMZ上的服务器使用alias命令设置PIX 160
8.4.4 为贯穿式代理认证和授权设置PIX 163
8.4.5 使用Object Groups和TurboACL来扩展PIX配置 166
8.5 小结 170
8.6 复习题 171
第9章 IOS防火墙 173
9.1 基于上下文的访问控制 173
CBAC功能 174
9.2 IOS防火墙的特性 175
9.2.1 传输层检查 176
9.2.2 应用层检查 176
9.2.3 对无效命令进行过滤 177
9.2.4 Java阻塞 177
9.2.5 针对拒绝服务攻击的安全防护 177
9.2.6 IOS防火墙中的分片处理 180
9.3 实例研究:配置了NAT的路由器上的CBAC 180
9.4 小结 185
9.5 复习题 185
第四部分:VPN
第10章 VPN的概念 189
10.1 VPN定义 189
10.2 基于加密与不加密的VPN类型比较 190
10.2.1 加密VPN 190
10.2.2 非加密VPN 190
10.3 基于OSI模型分层的VPN类型 190
10.3.1 数据链路层VPN 191
10.3.2 网络层VPN 191
10.3.3 应用层VPN 191
10.4 基于商业功能性的VPN类型 192
10.5 内部网VPN 192
10.6 外部网VPN 192
10.7 小结 193
第11章 GRE 195
11.1 GRE 195
11.2 实例研究 198
11.2.1 连接两个私有网络的简单GRE隧道 198
11.2.2 多个站点间的GRE 202
11.2.3 运行IPX的两个站点间的GRE 206
11.3 小结 211
11.4 复习题 211
第12章 L2TP 213
12.1 L2TP概述 213
12.2 L2TP的功能细节 215
12.2.1 建立控制连接 216
12.2.2 建立会话 216
12.2.3 头格式 218
12.3 实例研究 219
12.3.1 创建强制型L2TP隧道 220
12.3.2 在强制型隧道的创建中使用IPSec保护L2TP通信 235
12.4 小结 240
12.5 复习题 240
第13章 IPSec 243
13.1 IPSec VPN的类型 244
13.1.1 LAN-to-LAN IPSec实现 244
13.1.2 远程访问客户端IPSec实现 245
13.2 IPSec的组成 246
13.3 IKE介绍 247
13.3.1 主模式(或者主动模式)的目标 248
13.3.2 快速模式的目标 249
13.4 使用IKE协议的IPSec协商 249
13.4.1 使用预共享密钥认证的主模式后接快速模式的协商 249
13.4.2 使用数字签名认证后接快速模式的主模式 263
13.4.3 使用预共享密钥认证的主动模式 267
13.5 IKE认证机制 270
13.5.1 预共享密钥 270
13.5.2 数字签名 271
13.5.3 加密临时值 272
13.6 IPSec中加密和完整性检验机制 273
13.6.1 加密 273
13.6.2 完整性检验 275
13.7 IPSec中分组的封装 276
13.7.1 传输模式 276
13.7.2 隧道模式 276
13.7.3 ESP(封装安全负载) 277
13.7.4 AH(认证头) 278
13.8 增强远程访问客户端IPSec的IKE 279
13.8.1 扩展认证 279
13.8.2 模式配置 282
13.8.3 NAT透明 283
13.9 IPSec失效对等体的发现机制 284
13.10 实例研究 285
13.10.1 使用预共享密钥作为认证机制的路由器到路由器的IPSec 285
13.10.2 使用数字签名和数字证书的路由器到路由器的IPSec 299
13.10.3 使用RSA加密临时值的路由器到路由器的IPSec 310
13.10.4 一对多路由器IPSec 317
13.10.5 High-Availability-IPSec-Over-GRE设置 323
13.10.6 使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPSec 328
13.10.7 LAN-to-LAN和远程访问的PIX IPSec设置 331
13.10.8 使用自发型隧道的L2TP上的IPSec 336
13.10.9 IPSec隧道终点发现(TED) 341
13.10.10 NAT同IPSec的相互作用 354
13.10.11 防火墙和IPSec的相互作用 356
13.11 小结 357
13.12 复习题 357
第五部分:入侵检测
第14章 什么是入侵检测 361
14.1 对入侵检测的需求 362
14.2 基于攻击模式的网络攻击类型 363
14.2.1 拒绝服务攻击 363
14.2.2 网络访问攻击 363
14.3 基于攻击发起者的网络攻击类型 364
14.3.1 由受信任的(内部)用户发起的攻击 365
14.3.2 由不受信任的(外部)用户发起的攻击 365
14.3.3 由没有经验的“脚本少年”黑客发起的攻击 365
14.3.4 由有经验的“专业”黑客发起的攻击 366
14.4 常见的网络攻击 367
14.4.1 拒绝服务攻击 367
14.4.2 资源耗尽类型的DoS攻击 367
14.4.3 旨在导致常规操作系统操作立即停止的攻击类型 374
14.4.4 网络访问攻击 375
14.5 检测入侵的过程 378
14.6 实例研究:Kevin Metnick对Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的 380
14.7 小结 381
第15章 Cisco安全入侵检测 385
15.1 Cisco安全IDS的组件 386
15.2 构建管理控制台 389
15.2.1 两种类型的管理控制台 389
15.2.2 UNIX Director的内部结构 389
15.2.3 CSPM IDS控制台的内部结构 392
15.3 构建传感器 393
15.4 对入侵的响应 396
15.4.1 日志记录 397
15.4.2 TCP重置 400
15.4.3 屏蔽 400
15.5 签名类型 401
15.5.1 签名引擎(Engine) 402
15.5.2 默认的警报级别 403
15.6 把路由器、PIX或者IDSM作为传感器使用 404
15.7 实例研究 405
15.7.1 把路由器作为传感器设备使用 405
15.7.2 把PIX作为传感器设备使用 409
15.7.3 把Catalyst 6000 IDSM作为传感器使用 412
15.7.4 设置路由器或者UNIX Director进行屏蔽 416
15.7.5 创建定制的签名 418
15.8 小结 419
15.9 复习题 419
第六部分:网络访问控制
第16章 AAA 423
16.1 AAA组件的定义 423
16.2 认证概述 424
16.3 设置认证 425
16.3.1 启用AAA 425
16.3.2 设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+ 服务器的访问 425
16.3.3 设置方法列表 426
16.3.4 应用方法列表 428
16.4 授权概述 429
16.5 设置授权 429
16.5.1 设置方法列表 429
16.5.2 应用方法列表 430
16.6 统计概述 432
16.7 设置统计 433
16.7.1 设置一个方法列表 433
16.7.2 将方法列表应用到行和/或接口 434
16.8 实例研究 435
16.8.1 使用AAA对PPP连接进行认证和授权 435
16.8.2 使用AAA下载路由和应用访问列表 438
16.8.3 使用AAA设置PPP超时 441
16.9 小结 443
16.10 复习题 443
第17章 TACACS+ 445
17.1 TACACS+概述 446
17.2 TACACS+通信体系结构 446
17.3 TACACS+分组加密 448
17.4 TACACS+的认证 449
17.5 TACACS+的授权 450
17.6 TACACS+的统计 455
17.7 小结 457
17.8 复习题 458
第18章 RADIUS 461
18.1 RADIUS介绍 461
18.2 RADIUS通信的体系结构 462
18.2.1 RADIUS分组格式 463
18.2.2 RADIUS中的口令加密 464
18.2.3 RADIUS的认证 465
18.2.4 RADIUS的授权 466
18.2.5 RADIUS的统计 472
18.3 小结 474
18.4 复习题 475
第19章 使用AAA实现安全特性的特殊实例 477
19.1 使用AAA对IPSec提供预共享的密钥 478
19.2 在ISAKMP中对X-Auth使用AAA 480
19.3 对Auth-Proxy使用AAA 482
19.4 对VPDN使用AAA 485
19.5 对锁和密钥使用AAA 488
19.6 使用AAA对命令授权 490
19.7 小结 492
19.8 复习题 492
第七部分:服务提供商安全
第20章 服务提供商安全的利益和挑战 497
20.1 拥有服务提供商安全的动机 497
20.1.1 阻止和转移攻击的能力 498
20.1.2 跟踪流量模式的能力 499
20.1.3 向下跟踪攻击源的能力 499
20.2 在服务提供商级别上实现安全的挑战 502
20.3 服务提供商安全的关键组件 503
20.4 小结 503
20.5 复习题 503
第21章 有效使用访问控制列表 505
21.1 访问控制列表概述 506
21.1.1 ACL的类型 506
21.1.2 ACL的特性和特征 509
21.2 使用访问控制列表阻止未经授权的访问 510
21.2.1 ACL的基本访问控制功能 510
21.2.2 使用ACL阻塞ICMP分组 511
21.2.3 使用ACL阻塞带有欺骗IP地址的分组 512
21.2.4 用ACL阻塞去往网络中不可用服务的流量 512
21.2.5 使用ACL阻塞已知的冒犯 513
21.2.6 使用ACL阻塞假的和不必要的路由 513
21.3 使用ACL识别拒绝服务攻击 513
21.3.1 使用访问控制列表识别smurf攻击 513
21.3.2 使用访问控制列表识别fraggle攻击 515
21.3.3 使用访问控制列表识别SYN泛洪 516
21.4 使用ACL阻止拒绝服务攻击 517
21.4.1 使用ACL阻止来自不合法IP地址的流量 517
21.4.2 过滤RFC 1918地址空间 519
21.4.3 拒绝其他不必要的流量 519
21.5 通过ACL处理IP分片 520
21.5.1 过滤IP分片 520
21.5.2 保护网络免遭IP分片攻击 524
21.6 ACL对性能的影响 525
21.7 Turbo ACL 526
21.8 NetFlow交换和ACL 529
21.8.1 NetFlow交换功能 529
21.8.2 NetFlow交换使访问控制列表性能增强 529
21.8.3 使用NetFlow 530
21.9 小结 530
21.10 复习题 530
第22章 使用NBAR识别和控制攻击 533
22.1 NBAR概述 534
22.2 使用NBAR对分组进行分类 537
22.3 使用NBAR检测网络攻击 539
22.3.1 用带有简单访问控制列表的DSCP或ToS标记或丢弃分组 539
22.3.2 使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量 540
22.3.3 用流量管制管理经NBAR分类的流量 541
22.4 联合使用NBAR和PDLM对网络攻击分类 541
22.5 使用基于NBAR的访问控制技术对性能的影响 542
22.6 实例研究:红色代码病毒和NBAR 542
22.7 小结 544
22.8 复习题 545
第23章 使用CAR控制攻击 547
23.1 CAR概述 548
23.2 使用CAR限制速率或者丢弃额外的恶意流量 550
23.2.1 限制拒绝服务攻击的速率 550
23.2.2 限制可疑恶意内容的速率 551
23.3 实例研究:使用CAR限制DDoS攻击 552
23.4 小结 553
23.5 复习题 554
第八部分:故障排除
第24章 网络安全实施故障排除 559
24.1 NAT故障排除 560
24.1.1 NAT操作的顺序 560
24.1.2 NAT调试工具 561
24.1.3 NAT show命令 562
24.1.4 常见的NAT问题以及解决方案 563
24.2 PIX防火墙故障排除 567
24.2.1 引起与PIX相关的问题的根源 567
24.2.2 PIX中NAT操作的顺序 568
24.2.3 PIX调试 568
24.2.4 推荐的PIX 6.2超时值 570
24.2.5 PIX show命令 571
24.2.6 常见的PIX问题及其解决方法 575
24.2.7 PIX故障排除实例研究 576
24.3 IOS防火墙故障排除 578
24.3.1 IOS防火墙中的操作顺序 578
24.3.2 IOS防火墙的show命令 579
24.3.3 常见的IOS防火墙问题及其解决办法 582
24.4 IPSec VPN故障排除 583
24.4.1 IPSec事件的执行顺序 583
24.4.2 IPSec的调试 584
24.4.3 IPSec show命令 588
24.4.4 常见的IPSec问题以及解决办法 591
24.5 入侵检测故障排除 595
常见的IDS问题及解决办法 595
24.6 AAA故障排除 598
24.6.1 AAA show命令 599
24.6.2 AAA的debug命令 599
24.6.3 常见的AAA问题和解决办法 599
24.7 小结 606
24.8 复习题 607
第九部分:附录
附录A 复习题答案 611
附录B SAFE:企业网络安全蓝图白皮书 627
^ 收 起
Saadat Malik,CCIE #4955,在Cisco公司的VPN和网络安全组管理技术支持工作。作为CCIE安全实验考试的作者、编写CCIE安全资格证书考试小组的成员之一,他是开发CCIE网络安全认证的先锋。目前他是CCIE的部门顾问,帮助改善正在进行的CCIE安全实验考试的质量。同时在监督CCIE实验考试方面,他有着多年的经验。过去,Malik在圣何赛州立大学教授研究生网络体系结构和协议的课程。这些年来,在Saadat的监督和技术领导下,30个CCIE(包括9个“double”CCIE和2个“triple”CCIE)已经达到了令人渴望的尊贵地位。多年以来,在业界的一些活动中,例如Networkers和IBM技术会议上,他经常就网络入侵检测相关的高级主题、VPN的疑难解析和高级的IPSec概念做报告。Saadat普渡大学西拉法叶校区获得了电子工程硕士学位(MSEE)。
《网络安全原理与实践》为广大读者提供了网络安全设施和VPN的专家级解决方案。全书共分9个部分,分别介绍了网络安全介绍、定义安全区、设备安全、路由安全、局域网交换的安全、网络地址转换与安全、防火墙基础、PIX防火墙、IOS防火墙、VPN的概念、GRE、L2TP、IPSec、入侵检测、Cisco安全入侵检测、AAA、TACACS+、RADIUS、使用AAA实现安全特性的特殊实例、服务提供商安全的利益和挑战、高效使用访问控制列表、使用NBAR识别和控制攻击、使用CAR控制攻击、网络安全实施疑难解析等。附录中包括各章复习题答案和企业网络安全蓝图白皮书。 《网络安全原理与实践》适合准备参加CCIE网络安全认证工作的人员阅读,也适合那些想增强关于网络安全核心概念知识的网络安全专业人员阅读。
比价列表