網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程

第1章 網(wǎng)絡(luò)安全概述 1
1.1 概述 1
1.2 網(wǎng)絡(luò)安全設(shè)計準(zhǔn)則 2
1.2.1 綜合性、整體性原則 2
1.2.2 需求、風(fēng)險、代價平衡的原則 2
1.2.3 一致性原則 2
1.2.4 易操作性原則 3
1.2.5 分步實(shí)施原則 3
1.2.6 多重保護(hù)原則 3
1.2.7 可評價性原則 3
習(xí)題 3
第2章 認(rèn)證和訪問控制技術(shù) 4
2.1 身份認(rèn)證技術(shù) 4
2.1.1 概述 4
2.1.2 認(rèn)證：CA 6
2.1.3 PKI技術(shù) 6
2.2 訪問控制 10
2.2.1 一次性口令技術(shù) 10
2.2.2 單點(diǎn)登錄（SSO）技術(shù) 11
2.3 認(rèn)證服務(wù)系統(tǒng)的設(shè)計 13
2.3.1 AAA概述 13
2.3.2 RASIUS技術(shù) 14
2.3.3 TACACS和TACACS+ 19
習(xí)題 21
第3章 防火墻技術(shù) 22
3.1 防火墻基礎(chǔ) 22
3.1.1 防火墻基礎(chǔ)知識 22
3.1.2 防火墻的模型 25
3.1.3 防火墻的基本安全策略 25
3.1.4 防火墻技術(shù)分析 26
3.2 防火墻的分類 29
3.2.1 技術(shù)分類 30
3.2.2 按照使用范圍分類 31
3.2.3 按照硬件架構(gòu)分類 35
3.3 防火墻的功能及其指標(biāo) 36
3.3.1 防火墻的功能 36
3.3.2 防火墻的指標(biāo) 40
3.4 防火墻關(guān)鍵技術(shù) 41
3.4.1 包過濾技術(shù) 41
3.4.2 代理技術(shù) 43
3.4.3 狀態(tài)監(jiān)測技術(shù) 45
3.5 防火墻的體系結(jié)構(gòu) 46
3.5.1 包過濾路由器 46
3.5.2 雙重宿主主機(jī)結(jié)構(gòu) 46
3.5.3 屏蔽主機(jī)結(jié)構(gòu) 47
3.5.4 DMZ或屏蔽子網(wǎng)結(jié)構(gòu) 48
3.5.5 多重堡壘主機(jī)結(jié)構(gòu) 49
3.5.6 使用多臺內(nèi)部路由器 50
3.6 防火墻設(shè)計 50
3.6.1 網(wǎng)絡(luò)結(jié)構(gòu)分析 50
3.6.2 DMZ網(wǎng)絡(luò)設(shè)計 52
3.6.3 內(nèi)部網(wǎng)絡(luò)設(shè)計 58
3.6.4 高可用性設(shè)計 59
3.7 常見的防火墻產(chǎn)品介紹 63
3.7.1 Microsoft ISA Server簡介 63
3.7.2 PIX簡介 64
3.7.3 NetScreen簡介 65
3.8 Linux防火墻與IPTables技術(shù) 66
3.8.1 概述 66
3.8.2 原理 66
3.8.3 IPTbales操作 68
3.8.4 IPTables與Ipchains的區(qū)別 73
3.9 對防火墻的攻擊 75
3.9.1 IP地址欺騙 75
3.9.2 TCP序號攻擊 75
3.9.3 IP分段攻擊 76
3.9.4 基于附加信息的攻擊 77
3.9.5 基于堡壘主機(jī)Web服務(wù)器的攻擊 77
3.9.6 IP隧道攻擊 77
3.9.7 計算機(jī)病毒攻擊 77
3.9.8 特洛伊木馬攻擊 77
3.9.9 報文攻擊 78
3.10 防火墻的其他功能 78
3.10.1 防火墻負(fù)載均衡技術(shù) 78
3.10.2 防火墻的VPN功能 79
3.10.3 防火墻與IDS聯(lián)動功能 80
習(xí)題 80
第4章 網(wǎng)絡(luò)層防范 81
4.1 網(wǎng)絡(luò)基礎(chǔ) 81
4.1.1 網(wǎng)絡(luò)體系結(jié)構(gòu) 81
4.1.2 TCP/IP的體系結(jié)構(gòu) 82
4.1.3 以太網(wǎng)工作機(jī)制 85
4.1.4 IP：Internet Protocol 91
4.2 路由協(xié)議和DNS分析 93
4.2.1 Internet路由和路由器 93
4.2.2 BGP原理與安全防范 97
4.2.3 OSPF和RIP安全防范 108
4.2.4 DNS安全防范 111
4.3 數(shù)據(jù)鏈路層攻擊分析與防范 113
4.3.1 ARP原理與安全防范 113
4.3.2 CDP原理與安全防范 123
4.3.3 VLAN與VTP原理與安全防范 124
4.3.4 DHCP原理與攻擊防范 126
4.4 安全路由器配置 132
4.4.1 路由器面臨的安全威脅分析 132
4.4.2 安全過濾策略 133
4.4.3 路由器安全分析 135
4.4.4 路由器標(biāo)準(zhǔn)配置 137
習(xí)題 153
第5章 入侵偵測技術(shù) 154
5.1 入侵偵測技術(shù)概述 154
5.2 入侵偵測系統(tǒng) 155
5.2.1 入侵偵測系統(tǒng)分類 155
5.2.2 入侵偵測系統(tǒng)的優(yōu)缺點(diǎn) 155
5.2.3 入侵偵測系統(tǒng)的部署方法 157
5.2.4 入侵偵測系統(tǒng)的關(guān)鍵指標(biāo) 159
5.3 入侵偵測技術(shù) 162
5.3.1 基于異常的入侵偵測技術(shù) 162
5.3.2 基于模式的入侵偵測技術(shù) 163
5.3.3 入侵偵測技術(shù)的未來 164
5.4 常見入侵偵測系統(tǒng) 164
5.4.1 Snort系統(tǒng) 164
5.4.2 綠盟冰之眼入侵偵測系統(tǒng)簡介 171
習(xí)題 173
第6章 虛擬專用網(wǎng)（VPN） 174
6.1 VPN技術(shù)總論 174
6.1.1 VPN技術(shù)概述 174
6.1.2 VPN技術(shù)分類 175
6.2 三層VPN技術(shù) 178
6.2.1 三層VPN概述 178
6.2.2 MPLS VPN及其相關(guān)技術(shù) 179
6.2.3 MPLS VPN的一般配置 193
6.2.4 VPN的安全性 195
6.3 二層VPN技術(shù) 197
6.3.1 二層MPLS VPN技術(shù)概述 198
6.3.2 VPLS技術(shù)詳解 200
習(xí)題 203
第7章 其他常用防御手段 204
7.1 HoneyNet與HoneyPot 204
7.2 防病毒技術(shù) 205
7.2.1 概述 205
7.2.2 病毒的傳播與防護(hù) 207
7.2.3 病毒防護(hù)的案例 208
7.3 災(zāi)難備份技術(shù) 210
7.3.1 概述 210
7.3.2 RAID技術(shù) 210
習(xí)題 212
第8章 漏洞掃描技術(shù) 213
8.1 掃描技術(shù)概述 213
8.1.1 概述 213
8.1.2 掃描器的分類 214
8.1.3 掃描器的優(yōu)缺點(diǎn) 214
8.2 掃描原理與技術(shù) 215
8.2.1 TCP協(xié)議字段的含義 215
8.2.2 端口掃描技術(shù) 216
8.2.3 主機(jī)掃描技術(shù) 220
8.3 漏洞掃描的指標(biāo)與常見產(chǎn)品 221
8.3.1 漏洞掃描器的指標(biāo) 221
8.3.2 常見產(chǎn)品介紹 223
8.3.3 Nmap的安裝使用 224
8.3.4 綠盟科技的極光遠(yuǎn)程安全評估系統(tǒng) 226
8.4 漏洞掃描技術(shù)發(fā)展動態(tài)和趨勢 229
習(xí)題 230
第9章 其他常用攻擊手段 231
9.1 常用攻擊技術(shù) 231
9.1.1 網(wǎng)絡(luò)攻擊的步驟 231
9.1.2 拒絕服務(wù)攻擊技術(shù)簡介 234
9.1.3 利用型攻擊 235
9.1.4 IP欺騙技術(shù)和TCP欺騙技術(shù) 236
習(xí)題 236
第10章 風(fēng)險評估 237
10.1 風(fēng)險評估概述 237
10.1.1 概述 237
10.1.2 風(fēng)險評估相關(guān)術(shù)語 238
10.1.3 風(fēng)險評估的風(fēng)險模型 242
10.2 風(fēng)險評估的國際標(biāo)準(zhǔn) 244
10.2.1 信息安全管理標(biāo)準(zhǔn)ISO 17799和BS7799 244
10.2.2 信息安全通用準(zhǔn)則ISO 15408 246
10.2.3 系統(tǒng)安全工程能力成熟模型SSE-CMM 247
10.2.4 信息安全管理指南ISO 13335 248
10.3 風(fēng)險評估分析方法 250
10.3.1 風(fēng)險評估分析方法的分類 250
10.3.2 定量分析方法 250
10.3.3 定性分析方法 251
10.3.4 現(xiàn)有的安全風(fēng)險評估工具 252
10.4 風(fēng)險評估的過程 252
10.4.1 概述 252
10.4.2 確定評估范圍 252
10.4.3 執(zhí)行階段 253
10.4.4 風(fēng)險分析和報告階段 255
10.5 實(shí)例：手工評估報告和風(fēng)險計算方法 255
10.5.1 手工評估對象 255
10.5.2 主機(jī)信息 256
10.5.3 Solaris系統(tǒng) 262
10.5.4 Red Hat Linux系統(tǒng) 263
10.5.5 HP-UX系統(tǒng) 264
10.5.6 Windows系統(tǒng) 265
10.5.7 風(fēng)險控制 268
10.6 風(fēng)險評估注意事項(xiàng) 268
10.6.1 可持續(xù)性要求 268
10.6.2 建立安全信息庫 269
習(xí)題 269
第11章 安全體系 270
11.1 網(wǎng)絡(luò)安全模型 270
11.2 安全體系結(jié)構(gòu) 274
11.2.1 概述 274
11.2.2 ISO 7498-2 274
11.3 Internet的網(wǎng)絡(luò)安全體系結(jié)構(gòu) 278
11.3.1 物理安全 278
11.3.2 網(wǎng)絡(luò)安全 278
11.3.3 信息安全 280
11.3.4 安全管理 283
習(xí)題 284