網絡安全性設計(2版)(簡體書)

本書第一版曾在2000年譯成中文，受到讀者的普遍歡迎。本書在第一版的基礎上，增加了許多有關計算機網絡安全技術的新發展的內容，并增加了在虛擬專用網、無線網與VoIP網中解決有關實際問題的章節，還增加了一章內容集中講述路由協議安全。此外，本書還補充了許多關于防火墻和入侵檢測系統等主題的內容。 本書共包括4個部分：第一部分由基本密碼學、網絡安全技術、安全技術在實際網絡中的應用、路由協議安全等內容組成，以便讀者掌握技術背景；第二部分由企事業網絡中存在的威脅、網絡站點安全策略的考慮、企事業網絡安全策略的設計與實現、安全事故的處理等內容組成，幫助讀者掌握創建網絡安全策略所需的相關知識；第三部分則由確保企事業網絡基礎設施安全、確保Internet訪問的安全、確保遠程接入的安全，以及確保虛擬專用網、無線網和VoIP網安全等內容組成，為讀者展示了如何使用思科設備構建網絡安全性的綜合設計思路和實例；第四部分是一組附錄，列出了可以從中獲得更多關于網絡安全性設計的技術信息的資源，包括安全意外事故處理和減輕分布式拒絕服務攻擊(DdoS)的方法和步驟等內容。此外，本書最后還附有術語表、各章的習題解答，供讀者參考。 本書適用于從事計算機網絡安全的設計、管理、維護的設計師、工程師和架構師等工程技術人員學習，也可作為高等院校計算機和通信專業的本科生和研究生學習計算機網絡信息安全方面課程的教材或參考書。

第一部分　安全基礎

第1章　基本密碼學　3
1.1　密碼學　3
1.1.1　對稱密鑰加密　4
1.1.2　非對稱加密　8
1.1.3　哈希函數　11
1.1.4　數字簽名　12
1.2　認證和授權　14
1.2.1　認證方式　14
1.2.2　信任模型　14
1.3　命名空間　15
1.4　密鑰管理　16
1.4.1　創建和分配密鑰　16
1.4.2　創建和分配公鑰　19
1.5　密鑰托管　21
1.5.1　商業情況　22
1.5.2　政治角度(美國)　22
1.5.3　人為因素　22
1.6　小結　23
1.7　復習題　23

第2章　安全技術　27
2.1　身份技術　28
2.1.1　安全口令　28
2.1.2　PPP(點對點)認證協議　32
2.1.3　使用認證機制的協議　39
2.2　應用層安全協議　52
2.2.1　SHTTP　52
2.2.2　S/MIME　53
2.3　傳輸層安全協議　55
2.3.1　安全套接層/傳輸層安全協議　55
2.3.2　SSH協議　58
2.3.3　套接字(SOCKS)協議　59
2.4　網絡層安全　60
2.5　數據鏈路層安全技術　75
2.5.1　二層轉發協議　75
2.5.2　點對點隧道協議　77
2.5.3　二層隧道協議　79
2.5.4　PPPoE　83
2.6　公鑰體制和分配模型　84
2.6.1　PKI的功能　85
2.6.2　使用PKI的場景實例　86
2.6.3　證書　86
2.6.4　X.509標準　87
2.6.5　證書分發　89
2.7　小結　89
2.8　復習題　90

第3章　安全技術在實際網絡中的應用　93
3.1　虛擬專用網(VPN)　93
3.1.1　VPN調度模型　93
3.1.2　VPN安全　96
3.1.3　訪問VPN　103
3.1.4　內部網/外部網的VPN　104
3.2　無線網絡　104
3.2.1　無線技術的類型　105
3.2.2　無線局域網組件　106
3.2.3　無線局域網調度模型　106
3.2.4　802.11物理層基礎知識　108
3.2.5　無線局域網(WLAN)安全　114
3.3　VoIP網絡　122
3.3.1　IP電話網組件　123
3.3.2　IP電話調度模型　123
3.3.3　VoIP協議　124
3.3.4　介質網關控制協議(MGCP)　129
3.3.5　初始會話協議(SIP)　129
3.3.6　VoIP安全協議　133
3.3.7　VoIP安全解決方案　138
3.4　小結　139
3.5　復習題　140

第4章　路由協議安全　143
4.1　路由基本知識　143
4.1.1　路由協議分類　144
4.1.2　路由協議安全性　145
4.2　路由協議安全細節　148
4.2.1　RIP　148
4.2.2　EIGRP　153
4.2.3　OSPF　155
4.2.4　IS-IS　159
4.2.5　BGP-4　162
4.3　小結　163
4.4　復習題　164

第二部分　企業安全策略

第5章　企業網中的威脅　169
5.1　威脅的類型　170
5.1.1　未授權的訪問　170
5.1.2　假冒　175
5.1.3　拒絕服務　178
5.1.4　DDoS(分布式拒絕服務攻擊)　178
5.2　威脅的動機　181
5.3　常見協議的脆弱性　181
5.3.1　TCP/IP協議　182
5.3.2　UDP協議　186
5.3.3　ICMP協議　186
5.3.4　DNS協議　188
5.3.5　NNTP協議　191
5.3.6　SMTP協議　191
5.3.7　FTP協議　192
5.3.8　遠程過程調用(RPC)服務　192
5.3.9　NFS/NIS服務　193
5.3.10　X Window系統　194
5.4　常見網絡方案威脅和脆弱性　194
5.4.1　虛擬專用網　194
5.4.2　無線網絡　196
5.4.3　IP上的語音網(VoIP)　199
5.5　路由協議　202
5.6　社會工程　203
5.7　小結　203
5.8　復習題　203

第6章　站點安全策略的注意事項　207
6.1　何處入手　208
6.2　風險管理　209
6.2.1　評估風險　210
6.2.2　風險緩解和安全成本　214
6.3　安全策略框架　216
6.3.1　企業網的組成部分　216
6.3.2　安全體系結構的要素　217
6.3.3　其他考慮的因素　219
6.4　小結　220
6.5　復習題　220

第7章　企業安全策略的設計與實施　223
7.1　物理安全控制　224
7.1.1　物理網絡基礎設施　224
7.1.2　物理設備安全性　227
7.1.3　物理安全控制策略實例　229
7.2　邏輯安全控制　230
7.2.1　子網邊界　230
7.2.2　邏輯訪問控制　235
7.2.3　邏輯安全控制策略實例　237
7.3　基礎設施和數據完整性　238
7.3.1　防火墻　238
7.3.2　網絡服務　240
7.3.3　經認證的數據　241
7.3.4　常見攻擊的防范　242
7.3.5　基礎設施和數據完整性策略實例　243
7.4　數據機密性　243
7.5　安全策略驗證與監控　244
7.5.1　脆弱性掃描器　244
7.5.2　賬戶管理　244
7.5.3　安全管理　244
7.5.4　入侵檢測　245
7.5.5　驗證和監控部分實例　246
7.6　為員工制定的策略和步驟　247
7.6.1　安全備份　247
7.6.2　設備認證　247
7.6.3　使用便攜工具　247
7.6.4　審計跟蹤　248
7.6.5　員工策略和步驟實例　249
7.7　安全意識培訓　249
7.8　小結　250
7.9　復習題　250

第8章　事故處理　253
8.1　建立事故響應小組　255
8.2　檢測事故　256
8.2.1　跟蹤重要信息　256
8.2.2　入侵檢測系統　256
8.3　處理事故　260
8.3.1　重點采取的行為　260
8.3.2　評估事故損害　261
8.3.3　報告和報警過程　261
8.4　減少事故脆弱性　262
8.5　對事故的響應　263
8.5.1　保存準確的文檔記錄　263
8.5.2　現實世界中的實例　263
8.6　從事故中恢復　264
8.7　小結　265
8.8　復習題　265

第三部分　具體的實現

第9章　確保企業網絡基礎設施的安全　269
9.1　身份——控制網絡設備的訪問　270
9.1.1　基本訪問和特權訪問　270
9.1.2　線路訪問控制　282
9.2　完整性　291
9.2.1　映象認證　292
9.2.2　安全工作組　292
9.2.3　路由認證　293
9.2.4　路由過濾器和路由可信度　294
9.3　數據機密性　296
9.4　網絡可用性　297
9.4.1　冗余功能　297
9.4.2　防范常見的攻擊　303
9.5　審計　305
9.5.1　確認配置　305
9.5.2　監控和記錄網絡活動　306
9.5.3　入侵檢測　308
9.5.4　進一步的討論　311
9.6　實現的范例　311
9.7　小結　317
9.8　復習題　317

第10章　確保因特網訪問安全　321
10.1　因特網訪問體系結構　321
10.2　外部屏蔽路由器體系結構　323
10.3　高級防火墻體系結構　331
10.3.1　高級報文分組會話過濾　332
10.3.2　應用內容過濾　333
10.3.3　URL過濾/隔離　333
10.3.4　電子郵件和SMTP　333
10.3.5　其他常用的應用協議　334
10.3.6　應用認證/授權　336
10.3.7　加密　337
10.3.8　網絡地址轉換　340
10.4　實現的范例　342
10.4.1　Cisco IOS防火墻　342
10.4.2　PIX防火墻　349
10.5　小結　359
10.6　復習題　359

第11章　確保遠程撥入訪問的安全　363
11.1　撥號接入的安全性因素　364
11.2　認證撥號接入的用戶和設備　365
11.2.1　簡單撥號接入環境　365
11.2.2　復雜撥號接入環境　370
11.3　授權　374
11.4　賬戶管理和記賬　379
11.4.1　TACACS+和RADIUS賬戶管理　379
11.4.2　集中記賬　380
11.5　使用AAA的特殊功能　382
11.5.1　鎖和密鑰功能　382
11.5.2　雙重認證/授權　387
11.6　為虛擬撥號接入環境提供加密　393
11.6.1　GRE隧道和CET　393
11.6.2　IPSec　400
11.6.3　帶有IPSec的L2TP　405
11.7　小結　420
11.8　復習題　420

第12章　確保VPN、無線網絡及VoIP網絡的安全　423
12.1　虛擬專用網(VPN)　423
12.1.1　身份　425
12.1.2　完整性　433
12.1.3　機密性　433
12.1.4　可用性　433
12.1.5　審計　434
12.1.6　VPN設計實例　434
12.2　無線網絡　435
12.2.1　身份　436
12.2.2　完整性　437
12.2.3　機密性　437
12.2.4　可用性　437
12.2.5　審計　438
12.2.6　無線網絡設計實例　438
12.3　IP語音網絡(VoIP)　439
12.3.1　身份　439
12.3.2　完整性　443
12.3.3　機密性　443
12.3.4　可用性　444
12.3.5　審計　444
12.3.6　VoIP網絡設計參考　445
12.4　小結　445
12.5　復習題　445

第四部分　附錄

附錄A　技術信息資源　449
附錄B　報告和預防指南：工業間諜和網絡入侵　453
附錄C　端口號　465
附錄D　緩減分布式拒絕服務攻擊　469
附錄E　復習題答案　495

術語表　509