书籍详情
网络安全原理与实践
作者:(美)Saadat Malik著;王宝生等译
出版社:人民邮电出版社
出版时间:2003-01-01
ISBN:9787115113184
定价:¥85.00
购买这本书可以去
内容简介
本书为广大读者提供了安全网络设施和VPN的专家级解决方案。全书共分9个部分,分别介绍了网络安全介绍、定义安全区、设备安全、安全路由、安全LAN交换、网络地址转换与安全、防火墙基础、PIX防火墙、IOS防火墙、VPN的概念、GRE、L2TP、IPSec 、入侵检测、Cisco安全入侵检测、AAA、TACACS+、RADIUS、使用AAA实现安全特性的特殊实例、服务提供商安全的利益和挑战、高效使用访问控制列表、使用NBAR识别和控制攻击、使用CAR控制攻击、网络安全实施疑难解析等。附录中包括各章复习题答案 和企业网络安全蓝图白皮书。本书适合准备参加CCIE网络安全认证工作的人员,也适合那些想增强关于网络安全核心概念知识的网络安全专业人员。
作者简介
暂缺《网络安全原理与实践》作者简介
目录
第一部分 网络安全介绍
第1章 网络安全介绍
1.1 网络安全目标
1.2 资产确定
1.3 威胁评估
1.4 风险评估
1.5 构建网络安全策略
1.6 网络安全策略的要素
1.7 实现网络安全策略
1.8 网络安全体系结构的实现
1.9 审计和改进
1.10 实例研究
1.10.1 资产确定
1.10.2 威胁确定
1.10.3 风险分析
1.10.4 定义安全策略
1.11 小结
1.12 复习题
第二部分 构建网络安全
第2章 定义安全区
2.1 安全区介绍
2.2 设计一个DMZ
2.2.1 使用一个三脚防火墙创建DMZ
2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间
2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上
2.2.4 在层叠的防火墙之间创建DMZ
2.3 实例研究:使用PIX防火墙创建区
2.4 小结
2.5 复习题
第3章 设备安全
3.1 物理安全
3.1.1 冗余位置
3.1.2 网络拓扑设计
3.1.3 网络的安全位置
3.1.4 选择安全介质
3.1.5 电力供应
3.1.6 环境因素
3.2 设备冗余
3.2.1 路由冗余
3.2.2 HSRP
3.2.3 虚拟路由器冗余协议(VRRP)
3.3 路由器安全
3.3.1 配置管理
3.3.2 控制对路由器的访问
3.3.3 对路由器的安全访问
3.3.4 密码管理
3.3.5 记录路由器事件
3.3.6 禁用不需要的服务
3.3.7 使用回环接口
3.3.8 控制SNMP作为一个管理协议
3.3.9 控制HTTP作为一个管理协议
3.3.10 将CEF作为一种交换机制使用
3.3.11 从安全的角度来建立调度表
3.3.12 使用NTP
3.3.13 登录标志
3.3.14 捕获存储器信息转存
3.3.15 在CPU高负载期间使用nagle服务以提高Telnet访问
3.4 PIX防火墙安全
3.4.1 配置管理
3.4.2 控制对PIX的访问
3.4.3 安全访问PIX
3.4.4 密码管理
3.4.5 记录PIX事件
3.5 交换机安全
3.5.1 配置管理
3.5.2 控制对交换机的访问
3.5.3 对交换机的安全访问
3.5.4 记录交换机事件
3.5.5 控制管理协议(基于SNMP的管理)
3.5.6 使用NTP
3.5.7 登录标志
3.5.8 捕获存储器信息转存
3.6 小结
3.7 复习题
第4章 安全路由
4.1 将安全作为路由设计的一部分
4.1.1 路由过滤
4.1.2 收敛性
4.1.3 静态路由
4.2 路由器和路由认证
4.3 定向组播控制
4.4 黑洞过滤
4.5 单播反向路径转发
4.6 路径完整性
4.6.1 ICMP重定向
4.6.2 IP源路由
4.7 实例研究:BGP路由协议安全
4.7.1 BGP对等认证
4.7.2 输入路由过滤
4.7.3 输出路由过滤
4.7.4 BGP网络通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本协商
4.7.8 维持路由表的深度和稳定性
4.7.9 BGP邻居状态的日志记录改变
4.8 实例研究:OSPF路由协议的安全
4.8.1 OSPF路由器认证
4.8.2 OSPF非广播邻居配置
4.8.3 使用端区
4.8.4 使用回环接口作为路由器ID
4.8.5 开启SPF计时器
4.8.6 路由过滤
4.9 小结
4.10 复习题
第5章 安全LAN交换
5.1 一般交换和第2层安全
5.2 端口安全
5.3 IP许可列表
5.4 协议过滤和控制LAN泛洪
5.5 Catalyst 6000上的专用VLAN
5.6 使用IEEE802.1x标准进行端口认证和访问控制
5.6.1 802.1x实体
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口认证
5.7 小结
5.8 复习题
第6章 网络地址转换与安全
6.1 网络地址转换的安全利益
6.2 依赖NAT提供安全的缺点
6.2.1 除了端口号信息外没有协议信息跟踪
6.2.2 基于PAT表没有限制内容流动的类型
6.2.3 初始连接上有限的控制
6.3 小结
6.4 复习题
第三部分 防火墙
第7章 什么是防火墙
7.1 防火墙
7.1.1 日志和通知能力
7.1.2 高容量的分组检查
7.1.3 易于配置
7.1.4 设备安全和冗余
7.2 防火墙的类型
7.2.1 电路级防火墙
7.2.2 代理服务器防火墙
7.2.3 无状态分组过滤器
7.2.4 有状态分组过滤器
7.2.5 个人防火墙
7.3 防火墙的设置
7.4 小结
第8章 PIX防火墙
8.1 自适应安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火墙的基本特性
8.2.1 使用ASA对流量进行有状态检测
8.2.2 为接口分配可变的安全级别
8.2.3 访问控制列表
8.2.4 扩展的日志能力
8.2.5 基本的路由能力,包括对RIP的支持
8.2.6 网络地址转换
8.2.7 失效处理机制和冗余
8.2.8 认证通过PIX的流量
8.3 PIX防火墙的高级特性
8.3.1 别名
8.3.2 X防护
8.3.3 高级过滤
8.3.4 多媒体支持
8.3.5 欺骗检测或者单播 RPF
8.3.6 协议修正
8.3.7 多功能的sysopt命令
8.3.8 组播支持
8.3.9 分片处理
8.4 实例研究
8.4.1 带有三个接口,运行在DMZ的Web服务器上的PIX
8.4.2 为失效处理机制将PIX设置为二级设备
8.4.3 为DMZ上的服务器使用alias命令设置PIX
8.4.4 为贯穿式代理认证和授权设置PIX
8.4.5 使用对象组和Turbo ACL来缩放PIX配置
8.5 小结
8.6 复习题
第9章 IOS防火墙
9.1 基于上下文的访问控制
9.2 IOS防火墙的特性
9.2.1 传输层检查
9.2.2 应用层检查
9.2.3 对无效命令进行过滤
9.2.4 Java阻塞
9.2.5 保护网络以免遭到拒绝服务攻击
9.2.6 IOS防火墙中的分片处理
9.3 实例研究:配置了NAT的路由器上的CBAC
9.4 小结
9.5 复习题
第四部分 VPN
第10章 VPN的概念
10.1 VPN定义
10.2 基于加密与不加密的VPN类型比较
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基于OSI模型分层的VPN类型
10.3.1 数据链路层VPN
10.3.2 网络层VPN
10.3.3 应用层VPN
10.4 基于商业功能性的VPN类型
10.5 内部网VPN
10.6 小结
第11章 GRE
11.1 GRE
11.2 实例研究
11.2.1 连接两个专用网络的简单GRE隧道
11.2.2 多个站点间的GRE
11.2.3 运行IPX的两个站点间的GRE
11.3 小结
11.4 复习题
第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能细节
12.2.1 建立控制连接
12.2.2 建立会话
12.2.3 头格式
12.3 实例研究
12.3.1 创建强制型L2TP隧道
12.3.2 在强制型隧道的创建中使用IPsec保护L2TP通信
12.4 小结
12.5 复习题
第13章 IPsec
13.1 IPsec VPN的类型
13.1.1 LAN-to-LAN IPsec实现
13.1.2 远程访问客户端IPsec实现
13.2 IPsec的组成
13.3 IKE介绍
13.3.1 主模式(或者主动模式)的目标
13.3.2 快速模式的目标
13.4 使用IKE协议的IPsec协商
13.4.1 使用预共享密钥认证的主模式后接快速模式的协商
13.4.2 使用数字签名认证后接快速模式的主模式
13.4.3 使用预共享密钥认证的主动模式
13.5 IKE认证机制
13.5.1 预共享密钥
13.5.2 数字签名
13.5.3 加密临时值
13.6 IPsec中加密和完整性检验机制
13.6.1 加密
13.6.2 完整性检验
13.7 IPsec中分组的封装
13.7.1 传输模式
13.7.2 隧道模式
13.7.3 ESP(封装安全负载)
13.7.4 AH(认证头)
13.8 增强远程访问客户端IPsec的IKE
13.8.1 扩展认证
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPsec失效对等体的发现机制
13.10 实例研究
13.10.1 使用预共享密钥作为认证机制的路由器到路由器的IPsec
13.10.2 使用数字签名和数字证书的路由器到路由器的IPsec
13.10.3 使用RSA加密临时值的路由器到路由器的IPsec
13.10.4 一对多路由器IPsec
13.10.5 High-Availability-IPsec-Over-GRE设置
13.10.6 使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPsec
13.10.7 LAN-to-LAN和远程访问的PIX IPsec设置
13.10.8 使用自发型隧道的L2TP上的IPsec
13.10.9 IPsec隧道终点发现(TED)
13.10.10 NAT同IPsec的相互作用
13.10.11 防火墙和IPsec的相互作用
13.11 小结
13.12 复习题
第五部分 入侵检测
第14章 什么是入侵检测
14.1 对入侵检测的需求
14.2 基于攻击模式的网络攻击类型
14.2.1 拒绝服务攻击
14.2.2 网络访问攻击
14.3 基于攻击发起者的网络攻击类型
14.3.1 由受信任的(内部)用户发起的攻击
14.3.2 由不受信任的(外部)用户发起的攻击
14.3.3 由没有经验的"脚本少年"黑客发起的攻击
14.3.4 由有经验的"专业"黑客发起的攻击
14.4 常见的网络攻击
14.4.1 拒绝服务攻击
14.4.2 资源耗尽类型的DoS攻击
14.4.3 旨在导致常规操作系统操作立即停止的攻击类型
14.4.4 网络访问攻击
14.5 检测入侵的过程
14.6 实例研究:Kevin Metnick对 Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的
14.7 小结
第15章 Cisco安全入侵检测
15.1 Cisco安全IDS的组件
15.2 构建管理控制台
15.2.1 两种类型的管理控制台
15.2.2 UNIX Director的内部结构
15.2.3 CSPM IDS控制台的内部结构
15.3 构建探测器
15.4 对入侵的响应
15.4.1 日志记录
15.4.2 TCP重置
15.4.3 屏蔽
15.5 签名类型
15.5.1 签名引擎(Engine)
15.5.2 缺省的警报级别
15.6 把路由器、PIX或者IDSM作为探测器使用
15.7 实例研究
15.7.1 把路由器作为探测器设备使用
15.7.2 把PIX作为探测器设备使用
15.7.3 把Catalyst 6000 IDSM作为探测器使用
15.7.4 设置路由器或者UNIX Director进行屏蔽
15.7.5 创建定制的签名
15.8 小结
15.9 复习题
第六部分 网络访问控制
第16章 AAA
16.1 AAA组件的定义
16.2 认证概述
16.3 设置认证
16.3.1 启用AAA
16.3.2 设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+服务器的访问
16.3.3 设置方法列表
16.3.4 应用方法列表
16.4 授权概述
16.5 设置授权
16.5.1 设置方法列表
16.5.2 应用方法列表
16.6 统计概述
16.7 设置统计
16.7.1 设置一个方法列表
16.7.2 将方法列表应用到行和/或者接口
16.8 实例研究
16.8.1 使用AAA对PPP连接进行认证和授权
16.8.2 使用AAA下载路由和应用访问列表
16.8.3 使用AAA设置PPP超时
16.9 小结
16.10 复习题
第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信体系结构
17.3 TACACS+分组加密
17.4 TACACS+的认证
17.5 TACACS+的授权
17.6 TACACS+的统计
17.7 小结
17.8 复习题
第18章 RADIUS
18.1 RADIUS介绍
18.2 RADIUS通信的体系结构
18.2.1 RADIUS分组格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的认证
18.2.4 RADIUS的授权
18.2.5 RADIUS的统计
18.3 小结
18.4 复习题
第19章 使用AAA实现安全特性的特殊实例
19.1 使用AAA对IPsec提供预共享的密钥
19.2 在ISAKMP中对X-Auth使用AAA
19.3 对Auth-Proxy使用AAA
19.4 对VPDN使用AAA
19.5 对锁和密钥使用AAA
19.6 对命令授权使用AAA
19.7 小结
19.8 复习题
第七部分 服务提供商安全
第20章 服务提供商安全的利益和挑战
20.1 拥有服务提供商安全的动机
20.1.1 阻止攻击并致偏的能力
20.1.2 跟踪流量模式的能力
20.1.3 向下跟踪攻击源的能力
20.2 在服务提供商级别上实现安全的挑战
20.3 服务提供商安全的关键组件
20.4 小结
20.5 复习题
第21章 有效使用访问控制列表
21.1 访问控制列表概述
21.1.1 ACL的类型
21.1.2 ACL的特性和特征
21.2 使用访问控制列表阻止未经授权的访问
21.2.1 ACL的基本访问控制功能
21.2.2 使用ACL阻塞ICMP分组
21.2.3 使用ACL阻塞带有欺骗IP地址的分组
21.2.4 用ACL阻塞去往网络中不可用服务的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL识别拒绝服务攻击
21.3.1 使用访问控制列表识别smurf攻击
21.3.2 使用访问控制列表识别fraggle攻击
21.3.3 使用访问控制列表识别SYN泛洪
21.4 使用ACL阻止拒绝服务攻击
21.4.1 使用ACL阻止来自不合法IP地址的流量
21.4.2 过滤RFC 1918地址空间
21.4.3 拒绝其他不必要的流量
21.5 通过ACL处理IP分片
21.5.1 过滤IP分片
21.5.2 保护网络免遭IP分片攻击
21.6 ACL对性能的影响
21.7 Turbo ACL
21.8 NetFlow交换和ACL
21.8.1 NetFlow交换功能
21.8.2 NetFlow交换使访问控制列表性能增强
21.8.3 使用NetFlow
21.9 小结
21.10 复习题
第22章 使用NBAR识别和控制攻击
22.1 NBAR概述
22.2 使用NBAR对分组进行分类
22.3 使用NBAR检测网络攻击
22.3.1 用带有简单访问控制列表的DSCP或ToS标记或丢弃分组
22.3.2 使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量
22.3.3 用流量管制管理经NBAR分类的流量
22.4 联合使用NBAR和PDLM对网络攻击分类
22.5 使用基于NBAR的访问控制技术对性能的影响
22.6 实例研究:红色代码病毒和NBAR
22.7 小结
22.8 复习题
第23章 使用CAR控制攻击
23.1 CAR概述
23.2 使用CAR限制速率或者丢弃额外的恶意流量
23.2.1 限制拒绝服务攻击的速率
23.2.2 限制可疑恶意内容的速率
23.3 实例研究:使用CAR限制DDoS攻击
23.4 小结
23.5 复习题
第八部分 疑难解析
第24章 网络安全实施疑难解析
24.1 NAT疑难解析
24.1.1 NAT操作的顺序
24.1.2 NAT调试工具
24.1.3 NAT show命令
24.1.4 常见的NAT问题以及解决方案
24.2 PIX防火墙疑难解析
24.2.1 引起与PIX相关的问题的根源
24.2.2 PIX中NAT操作的顺序
24.2.3 PIX调试
24.2.4 推荐的PIX 6.2超时值
24.2.5 PIX show命令
24.2.6 常见的PIX问题及其解决方法
24.2.7 PIX疑难解析实例研究
24.3 IOS防火墙疑难解析
24.3.1 IOS防火墙中的操作顺序
24.3.2 IOS防火墙的show命令
24.3.3 常见的IOS防火墙问题及其解决办法
24.4 IPsec VPN疑难解析
24.4.1 IPsec事件的执行顺序
24.4.2 IPsec的调试
24.4.3 IPsec show命令
24.4.4 常见的IPsec问题以及解决办法
24.5 入侵检测疑难解析
24.6 AAA疑难解析
24.6.1 AAA show 命令
24.6.2 AAA的debug命令
24.6.3 常见的AAA问题和解决办法
24.7 小结
24.8 复习题
第九部分 附录
附录A 复习题答案
附录B SAFE:企业网络安全蓝图白皮书
第1章 网络安全介绍
1.1 网络安全目标
1.2 资产确定
1.3 威胁评估
1.4 风险评估
1.5 构建网络安全策略
1.6 网络安全策略的要素
1.7 实现网络安全策略
1.8 网络安全体系结构的实现
1.9 审计和改进
1.10 实例研究
1.10.1 资产确定
1.10.2 威胁确定
1.10.3 风险分析
1.10.4 定义安全策略
1.11 小结
1.12 复习题
第二部分 构建网络安全
第2章 定义安全区
2.1 安全区介绍
2.2 设计一个DMZ
2.2.1 使用一个三脚防火墙创建DMZ
2.2.2 DMZ置于防火墙之外,公共网络和防火墙之间
2.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间的通道上
2.2.4 在层叠的防火墙之间创建DMZ
2.3 实例研究:使用PIX防火墙创建区
2.4 小结
2.5 复习题
第3章 设备安全
3.1 物理安全
3.1.1 冗余位置
3.1.2 网络拓扑设计
3.1.3 网络的安全位置
3.1.4 选择安全介质
3.1.5 电力供应
3.1.6 环境因素
3.2 设备冗余
3.2.1 路由冗余
3.2.2 HSRP
3.2.3 虚拟路由器冗余协议(VRRP)
3.3 路由器安全
3.3.1 配置管理
3.3.2 控制对路由器的访问
3.3.3 对路由器的安全访问
3.3.4 密码管理
3.3.5 记录路由器事件
3.3.6 禁用不需要的服务
3.3.7 使用回环接口
3.3.8 控制SNMP作为一个管理协议
3.3.9 控制HTTP作为一个管理协议
3.3.10 将CEF作为一种交换机制使用
3.3.11 从安全的角度来建立调度表
3.3.12 使用NTP
3.3.13 登录标志
3.3.14 捕获存储器信息转存
3.3.15 在CPU高负载期间使用nagle服务以提高Telnet访问
3.4 PIX防火墙安全
3.4.1 配置管理
3.4.2 控制对PIX的访问
3.4.3 安全访问PIX
3.4.4 密码管理
3.4.5 记录PIX事件
3.5 交换机安全
3.5.1 配置管理
3.5.2 控制对交换机的访问
3.5.3 对交换机的安全访问
3.5.4 记录交换机事件
3.5.5 控制管理协议(基于SNMP的管理)
3.5.6 使用NTP
3.5.7 登录标志
3.5.8 捕获存储器信息转存
3.6 小结
3.7 复习题
第4章 安全路由
4.1 将安全作为路由设计的一部分
4.1.1 路由过滤
4.1.2 收敛性
4.1.3 静态路由
4.2 路由器和路由认证
4.3 定向组播控制
4.4 黑洞过滤
4.5 单播反向路径转发
4.6 路径完整性
4.6.1 ICMP重定向
4.6.2 IP源路由
4.7 实例研究:BGP路由协议安全
4.7.1 BGP对等认证
4.7.2 输入路由过滤
4.7.3 输出路由过滤
4.7.4 BGP网络通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本协商
4.7.8 维持路由表的深度和稳定性
4.7.9 BGP邻居状态的日志记录改变
4.8 实例研究:OSPF路由协议的安全
4.8.1 OSPF路由器认证
4.8.2 OSPF非广播邻居配置
4.8.3 使用端区
4.8.4 使用回环接口作为路由器ID
4.8.5 开启SPF计时器
4.8.6 路由过滤
4.9 小结
4.10 复习题
第5章 安全LAN交换
5.1 一般交换和第2层安全
5.2 端口安全
5.3 IP许可列表
5.4 协议过滤和控制LAN泛洪
5.5 Catalyst 6000上的专用VLAN
5.6 使用IEEE802.1x标准进行端口认证和访问控制
5.6.1 802.1x实体
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口认证
5.7 小结
5.8 复习题
第6章 网络地址转换与安全
6.1 网络地址转换的安全利益
6.2 依赖NAT提供安全的缺点
6.2.1 除了端口号信息外没有协议信息跟踪
6.2.2 基于PAT表没有限制内容流动的类型
6.2.3 初始连接上有限的控制
6.3 小结
6.4 复习题
第三部分 防火墙
第7章 什么是防火墙
7.1 防火墙
7.1.1 日志和通知能力
7.1.2 高容量的分组检查
7.1.3 易于配置
7.1.4 设备安全和冗余
7.2 防火墙的类型
7.2.1 电路级防火墙
7.2.2 代理服务器防火墙
7.2.3 无状态分组过滤器
7.2.4 有状态分组过滤器
7.2.5 个人防火墙
7.3 防火墙的设置
7.4 小结
第8章 PIX防火墙
8.1 自适应安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火墙的基本特性
8.2.1 使用ASA对流量进行有状态检测
8.2.2 为接口分配可变的安全级别
8.2.3 访问控制列表
8.2.4 扩展的日志能力
8.2.5 基本的路由能力,包括对RIP的支持
8.2.6 网络地址转换
8.2.7 失效处理机制和冗余
8.2.8 认证通过PIX的流量
8.3 PIX防火墙的高级特性
8.3.1 别名
8.3.2 X防护
8.3.3 高级过滤
8.3.4 多媒体支持
8.3.5 欺骗检测或者单播 RPF
8.3.6 协议修正
8.3.7 多功能的sysopt命令
8.3.8 组播支持
8.3.9 分片处理
8.4 实例研究
8.4.1 带有三个接口,运行在DMZ的Web服务器上的PIX
8.4.2 为失效处理机制将PIX设置为二级设备
8.4.3 为DMZ上的服务器使用alias命令设置PIX
8.4.4 为贯穿式代理认证和授权设置PIX
8.4.5 使用对象组和Turbo ACL来缩放PIX配置
8.5 小结
8.6 复习题
第9章 IOS防火墙
9.1 基于上下文的访问控制
9.2 IOS防火墙的特性
9.2.1 传输层检查
9.2.2 应用层检查
9.2.3 对无效命令进行过滤
9.2.4 Java阻塞
9.2.5 保护网络以免遭到拒绝服务攻击
9.2.6 IOS防火墙中的分片处理
9.3 实例研究:配置了NAT的路由器上的CBAC
9.4 小结
9.5 复习题
第四部分 VPN
第10章 VPN的概念
10.1 VPN定义
10.2 基于加密与不加密的VPN类型比较
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基于OSI模型分层的VPN类型
10.3.1 数据链路层VPN
10.3.2 网络层VPN
10.3.3 应用层VPN
10.4 基于商业功能性的VPN类型
10.5 内部网VPN
10.6 小结
第11章 GRE
11.1 GRE
11.2 实例研究
11.2.1 连接两个专用网络的简单GRE隧道
11.2.2 多个站点间的GRE
11.2.3 运行IPX的两个站点间的GRE
11.3 小结
11.4 复习题
第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能细节
12.2.1 建立控制连接
12.2.2 建立会话
12.2.3 头格式
12.3 实例研究
12.3.1 创建强制型L2TP隧道
12.3.2 在强制型隧道的创建中使用IPsec保护L2TP通信
12.4 小结
12.5 复习题
第13章 IPsec
13.1 IPsec VPN的类型
13.1.1 LAN-to-LAN IPsec实现
13.1.2 远程访问客户端IPsec实现
13.2 IPsec的组成
13.3 IKE介绍
13.3.1 主模式(或者主动模式)的目标
13.3.2 快速模式的目标
13.4 使用IKE协议的IPsec协商
13.4.1 使用预共享密钥认证的主模式后接快速模式的协商
13.4.2 使用数字签名认证后接快速模式的主模式
13.4.3 使用预共享密钥认证的主动模式
13.5 IKE认证机制
13.5.1 预共享密钥
13.5.2 数字签名
13.5.3 加密临时值
13.6 IPsec中加密和完整性检验机制
13.6.1 加密
13.6.2 完整性检验
13.7 IPsec中分组的封装
13.7.1 传输模式
13.7.2 隧道模式
13.7.3 ESP(封装安全负载)
13.7.4 AH(认证头)
13.8 增强远程访问客户端IPsec的IKE
13.8.1 扩展认证
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPsec失效对等体的发现机制
13.10 实例研究
13.10.1 使用预共享密钥作为认证机制的路由器到路由器的IPsec
13.10.2 使用数字签名和数字证书的路由器到路由器的IPsec
13.10.3 使用RSA加密临时值的路由器到路由器的IPsec
13.10.4 一对多路由器IPsec
13.10.5 High-Availability-IPsec-Over-GRE设置
13.10.6 使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPsec
13.10.7 LAN-to-LAN和远程访问的PIX IPsec设置
13.10.8 使用自发型隧道的L2TP上的IPsec
13.10.9 IPsec隧道终点发现(TED)
13.10.10 NAT同IPsec的相互作用
13.10.11 防火墙和IPsec的相互作用
13.11 小结
13.12 复习题
第五部分 入侵检测
第14章 什么是入侵检测
14.1 对入侵检测的需求
14.2 基于攻击模式的网络攻击类型
14.2.1 拒绝服务攻击
14.2.2 网络访问攻击
14.3 基于攻击发起者的网络攻击类型
14.3.1 由受信任的(内部)用户发起的攻击
14.3.2 由不受信任的(外部)用户发起的攻击
14.3.3 由没有经验的"脚本少年"黑客发起的攻击
14.3.4 由有经验的"专业"黑客发起的攻击
14.4 常见的网络攻击
14.4.1 拒绝服务攻击
14.4.2 资源耗尽类型的DoS攻击
14.4.3 旨在导致常规操作系统操作立即停止的攻击类型
14.4.4 网络访问攻击
14.5 检测入侵的过程
14.6 实例研究:Kevin Metnick对 Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的
14.7 小结
第15章 Cisco安全入侵检测
15.1 Cisco安全IDS的组件
15.2 构建管理控制台
15.2.1 两种类型的管理控制台
15.2.2 UNIX Director的内部结构
15.2.3 CSPM IDS控制台的内部结构
15.3 构建探测器
15.4 对入侵的响应
15.4.1 日志记录
15.4.2 TCP重置
15.4.3 屏蔽
15.5 签名类型
15.5.1 签名引擎(Engine)
15.5.2 缺省的警报级别
15.6 把路由器、PIX或者IDSM作为探测器使用
15.7 实例研究
15.7.1 把路由器作为探测器设备使用
15.7.2 把PIX作为探测器设备使用
15.7.3 把Catalyst 6000 IDSM作为探测器使用
15.7.4 设置路由器或者UNIX Director进行屏蔽
15.7.5 创建定制的签名
15.8 小结
15.9 复习题
第六部分 网络访问控制
第16章 AAA
16.1 AAA组件的定义
16.2 认证概述
16.3 设置认证
16.3.1 启用AAA
16.3.2 设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+服务器的访问
16.3.3 设置方法列表
16.3.4 应用方法列表
16.4 授权概述
16.5 设置授权
16.5.1 设置方法列表
16.5.2 应用方法列表
16.6 统计概述
16.7 设置统计
16.7.1 设置一个方法列表
16.7.2 将方法列表应用到行和/或者接口
16.8 实例研究
16.8.1 使用AAA对PPP连接进行认证和授权
16.8.2 使用AAA下载路由和应用访问列表
16.8.3 使用AAA设置PPP超时
16.9 小结
16.10 复习题
第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信体系结构
17.3 TACACS+分组加密
17.4 TACACS+的认证
17.5 TACACS+的授权
17.6 TACACS+的统计
17.7 小结
17.8 复习题
第18章 RADIUS
18.1 RADIUS介绍
18.2 RADIUS通信的体系结构
18.2.1 RADIUS分组格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的认证
18.2.4 RADIUS的授权
18.2.5 RADIUS的统计
18.3 小结
18.4 复习题
第19章 使用AAA实现安全特性的特殊实例
19.1 使用AAA对IPsec提供预共享的密钥
19.2 在ISAKMP中对X-Auth使用AAA
19.3 对Auth-Proxy使用AAA
19.4 对VPDN使用AAA
19.5 对锁和密钥使用AAA
19.6 对命令授权使用AAA
19.7 小结
19.8 复习题
第七部分 服务提供商安全
第20章 服务提供商安全的利益和挑战
20.1 拥有服务提供商安全的动机
20.1.1 阻止攻击并致偏的能力
20.1.2 跟踪流量模式的能力
20.1.3 向下跟踪攻击源的能力
20.2 在服务提供商级别上实现安全的挑战
20.3 服务提供商安全的关键组件
20.4 小结
20.5 复习题
第21章 有效使用访问控制列表
21.1 访问控制列表概述
21.1.1 ACL的类型
21.1.2 ACL的特性和特征
21.2 使用访问控制列表阻止未经授权的访问
21.2.1 ACL的基本访问控制功能
21.2.2 使用ACL阻塞ICMP分组
21.2.3 使用ACL阻塞带有欺骗IP地址的分组
21.2.4 用ACL阻塞去往网络中不可用服务的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL识别拒绝服务攻击
21.3.1 使用访问控制列表识别smurf攻击
21.3.2 使用访问控制列表识别fraggle攻击
21.3.3 使用访问控制列表识别SYN泛洪
21.4 使用ACL阻止拒绝服务攻击
21.4.1 使用ACL阻止来自不合法IP地址的流量
21.4.2 过滤RFC 1918地址空间
21.4.3 拒绝其他不必要的流量
21.5 通过ACL处理IP分片
21.5.1 过滤IP分片
21.5.2 保护网络免遭IP分片攻击
21.6 ACL对性能的影响
21.7 Turbo ACL
21.8 NetFlow交换和ACL
21.8.1 NetFlow交换功能
21.8.2 NetFlow交换使访问控制列表性能增强
21.8.3 使用NetFlow
21.9 小结
21.10 复习题
第22章 使用NBAR识别和控制攻击
22.1 NBAR概述
22.2 使用NBAR对分组进行分类
22.3 使用NBAR检测网络攻击
22.3.1 用带有简单访问控制列表的DSCP或ToS标记或丢弃分组
22.3.2 使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量
22.3.3 用流量管制管理经NBAR分类的流量
22.4 联合使用NBAR和PDLM对网络攻击分类
22.5 使用基于NBAR的访问控制技术对性能的影响
22.6 实例研究:红色代码病毒和NBAR
22.7 小结
22.8 复习题
第23章 使用CAR控制攻击
23.1 CAR概述
23.2 使用CAR限制速率或者丢弃额外的恶意流量
23.2.1 限制拒绝服务攻击的速率
23.2.2 限制可疑恶意内容的速率
23.3 实例研究:使用CAR限制DDoS攻击
23.4 小结
23.5 复习题
第八部分 疑难解析
第24章 网络安全实施疑难解析
24.1 NAT疑难解析
24.1.1 NAT操作的顺序
24.1.2 NAT调试工具
24.1.3 NAT show命令
24.1.4 常见的NAT问题以及解决方案
24.2 PIX防火墙疑难解析
24.2.1 引起与PIX相关的问题的根源
24.2.2 PIX中NAT操作的顺序
24.2.3 PIX调试
24.2.4 推荐的PIX 6.2超时值
24.2.5 PIX show命令
24.2.6 常见的PIX问题及其解决方法
24.2.7 PIX疑难解析实例研究
24.3 IOS防火墙疑难解析
24.3.1 IOS防火墙中的操作顺序
24.3.2 IOS防火墙的show命令
24.3.3 常见的IOS防火墙问题及其解决办法
24.4 IPsec VPN疑难解析
24.4.1 IPsec事件的执行顺序
24.4.2 IPsec的调试
24.4.3 IPsec show命令
24.4.4 常见的IPsec问题以及解决办法
24.5 入侵检测疑难解析
24.6 AAA疑难解析
24.6.1 AAA show 命令
24.6.2 AAA的debug命令
24.6.3 常见的AAA问题和解决办法
24.7 小结
24.8 复习题
第九部分 附录
附录A 复习题答案
附录B SAFE:企业网络安全蓝图白皮书
猜您喜欢
