网络安全原理与实践

图书标准信息

• 作者 [美]Saadat Malik 著；李晓楠 译
• 出版社 人民邮电出版社
• 出版时间 2013-08
• 版次 1
• ISBN 9787115312433
• 定价 108.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 664页
• 字数 912千字
• 正文语种 简体中文
• 原版书名 Ccie Professional Development Network Security Principles and Practices

【内容简介】

　　《网络安全原理与实践》为广大读者提供了网络安全设施和VPN的专家级解决方案。全书共分9个部分，分别介绍了网络安全介绍、定义安全区、设备安全、路由安全、局域网交换的安全、网络地址转换与安全、防火墙基础、PIX防火墙、IOS防火墙、VPN的概念、GRE、L2TP、IPSec、入侵检测、Cisco安全入侵检测、AAA、TACACS+、RADIUS、使用AAA实现安全特性的特殊实例、服务提供商安全的利益和挑战、高效使用访问控制列表、使用NBAR识别和控制攻击、使用CAR控制攻击、网络安全实施疑难解析等。附录中包括各章复习题答案和企业网络安全蓝图白皮书。
　　《网络安全原理与实践》适合准备参加CCIE网络安全认证工作的人员阅读，也适合那些想增强关于网络安全核心概念知识的网络安全专业人员阅读。

【作者简介】

　　Saadat Malik，CCIE #4955，在Cisco公司的VPN和网络安全组管理技术支持工作。作为CCIE安全实验考试的作者、编写CCIE安全资格证书考试小组的成员之一，他是开发CCIE网络安全认证的先锋。目前他是CCIE的部门顾问，帮助改善正在进行的CCIE安全实验考试的质量。同时在监督CCIE实验考试方面，他有着多年的经验。过去，Malik在圣何赛州立大学教授研究生网络体系结构和协议的课程。这些年来，在Saadat的监督和技术领导下，30个CCIE（包括9个“double”CCIE和2个“triple”CCIE）已经达到了令人渴望的尊贵地位。多年以来，在业界的一些活动中，例如Networkers和IBM技术会议上，他经常就网络入侵检测相关的高级主题、VPN的疑难解析和高级的IPSec概念做报告。Saadat普渡大学西拉法叶校区获得了电子工程硕士学位（MSEE）。

【目录】

第一部分：网络安全介绍
第1章网络安全介绍
1.1网络安全目标
1.2资产确定
1.3威胁评估
1.4风险评估
1.5构建网络安全策略
1.6网络安全策略的要素
1.7部署网络安全策略
1.8网络安全体系结构的部署
1.9审计和改进
1.10实例研究
1.10.1资产确定
1.10.2威胁确定
1.10.3风险分析
1.10.4定义安全策略
1.11小结
1.12复习题

第二部分：构建网络安全
第2章定义安全区
2.1安全区介绍
2.2设计一个DMZ
2.2.1使用一个三脚防火墙创建DMZ
2.2.2DMZ置于防火墙之外，公共网络和防火墙之间
2.2.3DMZ置于防火墙之外，但不在公共网络和防火墙之间的通道上
2.2.4在层叠的防火墙之间创建DMZ
2.3实例研究：使用PIX防火墙创建区
2.4小结
2.5复习题

第3章设备安全
3.1物理安全
3.1.1冗余位置
3.1.2网络拓扑设计
3.1.3网络位置的安全
3.1.4选择安全介质
3.1.5电力供应
3.1.6环境因素
3.2设备冗余
3.2.1路由冗余
3.2.2HSRP
3.2.3虚拟路由器冗余协议（VRRP）
3.3路由器安全
3.3.1配置管理
3.3.2控制对路由器的访问
3.3.3对路由器的安全访问
3.3.4密码管理
3.3.5记录路由器事件
3.3.6禁用不需要的服务
3.3.7使用环回接口
3.3.8SNMP用作管理协议的控制
3.3.9HTTP用作管理协议的控制
3.3.10使用CEF作为交换机制
3.3.11从安全的角度来建立调度表
3.3.12使用NTP
3.3.13登录信息
3.3.14获取CoreDumps信息
3.3.15在CPU高负载期间使用servicenagle以改善Telnet访问
3.4PIX防火墙安全
3.4.1配置管理
3.4.2控制对PIX的访问
3.4.3安全访问PIX
3.4.4密码管理
3.4.5记录PIX事件
3.5交换机安全
3.5.1配置管理
3.5.2控制对交换机的访问
3.5.3对交换机的安全访问
3.5.4交换机事件日志
3.5.5控制管理协议（基于SNMP的管理）
3.5.6使用NTP
3.5.7登录信息
3.5.8捕获CoreDumps
3.6小结
3.7复习题

第4章路由安全
4.1将安全作为路由设计的一部分
4.1.1路由过滤
4.1.2收敛性
4.1.3静态路由
4.2路由器和路由认证
4.3定向广播控制
4.4黑洞过滤
4.5单播反向路径转发
4.6路径完整性
4.6.1ICMP重定向
4.6.2IP源路由
4.7实例研究：BGP路由协议安全
4.7.1BGP邻居认证
4.7.2入站路由过滤
4.7.3出站路由过滤
4.7.4BGP网络通告
4.7.5BGP多跳
4.7.6BGP通信
4.7.7禁用BGP版本协商
4.7.8维持路由表的深度和稳定性
4.7.9BGP邻居状态改变的日志记录
4.8实例研究：OSPF路由协议的安全
4.8.1OSPF路由器认证
4.8.2OSPF非广播邻居配置
4.8.3使用末节区域
4.8.4使用环回接口作为路由器ID
4.8.5调整SPF计时器
4.8.6路由过滤
4.9小结
4.10复习题

第5章局域网交换的安全
5.1普通交换和第2层安全
5.2端口安全
MAC地址泛洪和端口安全
5.3IP许可列表
5.4协议过滤和控制LAN泛洪
5.5Catalyst6000上的专用VLAN
ARP欺骗、粘性ARP和专用VLAN
5.6使用IEEE802.1x标准进行端口认证和访问控制
5.6.1802.1x实体
5.6.2802.1x通信
5.6.3802.1x功能
5.6.4使用802.1x建立Catalyst6000端口认证
5.7小结
5.8复习题

第6章网络地址转换与安全
6.1网络地址转换的安全利益
6.2依赖NAT提供安全的缺点
6.2.1除了端口号信息外没有协议信息跟踪
6.2.2基于PAT表没有限制数据流的类型
6.2.3初始连接上有限的控制
6.3小结
6.4复习题

第三部分：防火墙
第7章什么是防火墙
7.1防火墙
7.1.1日志和通告发送能力
7.1.2大规模的数据包检查
7.1.3易于配置
7.1.4设备安全和冗余
7.2防火墙的类型
7.2.1电路级防火墙
7.2.2代理服务器防火墙
7.2.3无状态分组过滤器防火墙
7.2.4有状态分组过滤器防火墙
7.2.5个人防火墙
7.3防火墙的位置
7.4小结

第8章PIX防火墙
8.1自适应安全算法
8.1.1TCP
8.1.2UDP
8.2PIX防火墙的基本特性
8.2.1使用ASA的状态化流量检测
8.2.2为接口分配不同的安全级别
8.2.3访问控制列表
8.2.4扩展的日志能力
8.2.5基本的路由能力，包括对RIP的支持
8.2.6网络地址转换
8.2.7失效处理机制和冗余
8.2.8认证通过PIX的流量
8.3PIX防火墙的高级特性
8.3.1别名
8.3.2X防护
8.3.3高级过滤
8.3.4多媒体支持
8.3.5欺骗检测或者单播RPF
8.3.6协议修正
8.3.7混杂的sysopt命令
8.3.8多播支持
8.3.9分片处理
8.4实例研究
8.4.1带有三个接口，运行在DMZ的Web服务器上的PIX
8.4.2为PIX设置失效处理
8.4.3为DMZ上的服务器使用alias命令设置PIX
8.4.4为贯穿式代理认证和授权设置PIX
8.4.5使用ObjectGroups和TurboACL来扩展PIX配置
8.5小结
8.6复习题

第9章IOS防火墙
9.1基于上下文的访问控制
CBAC功能
9.2IOS防火墙的特性
9.2.1传输层检查
9.2.2应用层检查
9.2.3对无效命令进行过滤
9.2.4Java阻塞
9.2.5针对拒绝服务攻击的安全防护
9.2.6IOS防火墙中的分片处理
9.3实例研究：配置了NAT的路由器上的CBAC
9.4小结
9.5复习题

第四部分：VPN
第10章VPN的概念
10.1VPN定义
10.2基于加密与不加密的VPN类型比较
10.2.1加密VPN
10.2.2非加密VPN
10.3基于OSI模型分层的VPN类型
10.3.1数据链路层VPN
10.3.2网络层VPN
10.3.3应用层VPN
10.4基于商业功能性的VPN类型
10.5内部网VPN
10.6外部网VPN
10.7小结

第11章GRE
11.1GRE
11.2实例研究
11.2.1连接两个私有网络的简单GRE隧道
11.2.2多个站点间的GRE
11.2.3运行IPX的两个站点间的GRE
11.3小结
11.4复习题

第12章L2TP
12.1L2TP概述
12.2L2TP的功能细节
12.2.1建立控制连接
12.2.2建立会话
12.2.3头格式
12.3实例研究
12.3.1创建强制型L2TP隧道
12.3.2在强制型隧道的创建中使用IPSec保护L2TP通信
12.4小结
12.5复习题

第13章IPSec
13.1IPSecVPN的类型
13.1.1LAN-to-LANIPSec实现
13.1.2远程访问客户端IPSec实现
13.2IPSec的组成
13.3IKE介绍
13.3.1主模式（或者主动模式）的目标
13.3.2快速模式的目标
13.4使用IKE协议的IPSec协商
13.4.1使用预共享密钥认证的主模式后接快速模式的协商
13.4.2使用数字签名认证后接快速模式的主模式
13.4.3使用预共享密钥认证的主动模式
13.5IKE认证机制
13.5.1预共享密钥
13.5.2数字签名
13.5.3加密临时值
13.6IPSec中加密和完整性检验机制
13.6.1加密
13.6.2完整性检验
13.7IPSec中分组的封装
13.7.1传输模式
13.7.2隧道模式
13.7.3ESP（封装安全负载）
13.7.4AH（认证头）
13.8增强远程访问客户端IPSec的IKE
13.8.1扩展认证
13.8.2模式配置
13.8.3NAT透明
13.9IPSec失效对等体的发现机制
13.10实例研究
13.10.1使用预共享密钥作为认证机制的路由器到路由器的IPSec
13.10.2使用数字签名和数字证书的路由器到路由器的IPSec
13.10.3使用RSA加密临时值的路由器到路由器的IPSec
13.10.4一对多路由器IPSec
13.10.5High-Availability-IPSec-Over-GRE设置
13.10.6使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPSec
13.10.7LAN-to-LAN和远程访问的PIXIPSec设置
13.10.8使用自发型隧道的L2TP上的IPSec
13.10.9IPSec隧道终点发现（TED）
13.10.10NAT同IPSec的相互作用
13.10.11防火墙和IPSec的相互作用
13.11小结
13.12复习题

第五部分：入侵检测
第14章什么是入侵检测
14.1对入侵检测的需求
14.2基于攻击模式的网络攻击类型
14.2.1拒绝服务攻击
14.2.2网络访问攻击
14.3基于攻击发起者的网络攻击类型
14.3.1由受信任的（内部）用户发起的攻击
14.3.2由不受信任的（外部）用户发起的攻击
14.3.3由没有经验的“脚本少年”黑客发起的攻击
14.3.4由有经验的“专业”黑客发起的攻击
14.4常见的网络攻击
14.4.1拒绝服务攻击
14.4.2资源耗尽类型的DoS攻击
14.4.3旨在导致常规操作系统操作立即停止的攻击类型
14.4.4网络访问攻击
14.5检测入侵的过程
14.6实例研究：KevinMetnick对TsutomuShimomura的计算机进行的攻击以及IDS是如何扭转败局的
14.7小结

第15章Cisco安全入侵检测
15.1Cisco安全IDS的组件
15.2构建管理控制台
15.2.1两种类型的管理控制台
15.2.2UNIXDirector的内部结构
15.2.3CSPMIDS控制台的内部结构
15.3构建传感器
15.4对入侵的响应
15.4.1日志记录
15.4.2TCP重置
15.4.3屏蔽
15.5签名类型
15.5.1签名引擎（Engine）
15.5.2默认的警报级别
15.6把路由器、PIX或者IDSM作为传感器使用
15.7实例研究
15.7.1把路由器作为传感器设备使用
15.7.2把PIX作为传感器设备使用
15.7.3把Catalyst6000IDSM作为传感器使用
15.7.4设置路由器或者UNIXDirector进行屏蔽
15.7.5创建定制的签名
15.8小结
15.9复习题

第六部分：网络访问控制
第16章AAA
16.1AAA组件的定义
16.2认证概述
16.3设置认证
16.3.1启用AAA
16.3.2设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+服务器的访问
16.3.3设置方法列表
16.3.4应用方法列表
16.4授权概述
16.5设置授权
16.5.1设置方法列表
16.5.2应用方法列表
16.6统计概述
16.7设置统计
16.7.1设置一个方法列表
16.7.2将方法列表应用到行和/或接口
16.8实例研究
16.8.1使用AAA对PPP连接进行认证和授权
16.8.2使用AAA下载路由和应用访问列表
16.8.3使用AAA设置PPP超时
16.9小结
16.10复习题

第17章TACACS+
17.1TACACS+概述
17.2TACACS+通信体系结构
17.3TACACS+分组加密
17.4TACACS+的认证
17.5TACACS+的授权
17.6TACACS+的统计
17.7小结
17.8复习题

第18章RADIUS
18.1RADIUS介绍
18.2RADIUS通信的体系结构
18.2.1RADIUS分组格式
18.2.2RADIUS中的口令加密
18.2.3RADIUS的认证
18.2.4RADIUS的授权
18.2.5RADIUS的统计
18.3小结
18.4复习题

第19章使用AAA实现安全特性的特殊实例
19.1使用AAA对IPSec提供预共享的密钥
19.2在ISAKMP中对X-Auth使用AAA
19.3对Auth-Proxy使用AAA
19.4对VPDN使用AAA
19.5对锁和密钥使用AAA
19.6使用AAA对命令授权
19.7小结
19.8复习题

第七部分：服务提供商安全
第20章服务提供商安全的利益和挑战
20.1拥有服务提供商安全的动机
20.1.1阻止和转移攻击的能力
20.1.2跟踪流量模式的能力
20.1.3向下跟踪攻击源的能力
20.2在服务提供商级别上实现安全的挑战
20.3服务提供商安全的关键组件
20.4小结
20.5复习题

第21章有效使用访问控制列表
21.1访问控制列表概述
21.1.1ACL的类型
21.1.2ACL的特性和特征
21.2使用访问控制列表阻止未经授权的访问
21.2.1ACL的基本访问控制功能
21.2.2使用ACL阻塞ICMP分组
21.2.3使用ACL阻塞带有欺骗IP地址的分组
21.2.4用ACL阻塞去往网络中不可用服务的流量
21.2.5使用ACL阻塞已知的冒犯
21.2.6使用ACL阻塞假的和不必要的路由
21.3使用ACL识别拒绝服务攻击
21.3.1使用访问控制列表识别smurf攻击
21.3.2使用访问控制列表识别fraggle攻击
21.3.3使用访问控制列表识别SYN泛洪
21.4使用ACL阻止拒绝服务攻击
21.4.1使用ACL阻止来自不合法IP地址的流量
21.4.2过滤RFC1918地址空间
21.4.3拒绝其他不必要的流量
21.5通过ACL处理IP分片
21.5.1过滤IP分片
21.5.2保护网络免遭IP分片攻击
21.6ACL对性能的影响
21.7TurboACL
21.8NetFlow交换和ACL
21.8.1NetFlow交换功能
21.8.2NetFlow交换使访问控制列表性能增强
21.8.3使用NetFlow
21.9小结
21.10复习题

第22章使用NBAR识别和控制攻击
22.1NBAR概述
22.2使用NBAR对分组进行分类
22.3使用NBAR检测网络攻击
22.3.1用带有简单访问控制列表的DSCP或ToS标记或丢弃分组
22.3.2使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量
22.3.3用流量管制管理经NBAR分类的流量
22.4联合使用NBAR和PDLM对网络攻击分类
22.5使用基于NBAR的访问控制技术对性能的影响
22.6实例研究：红色代码病毒和NBAR
22.7小结
22.8复习题

第23章使用CAR控制攻击
23.1CAR概述
23.2使用CAR限制速率或者丢弃额外的恶意流量
23.2.1限制拒绝服务攻击的速率
23.2.2限制可疑恶意内容的速率
23.3实例研究：使用CAR限制DDoS攻击
23.4小结
23.5复习题

第八部分：故障排除
第24章网络安全实施故障排除
24.1NAT故障排除
24.1.1NAT操作的顺序
24.1.2NAT调试工具
24.1.3NATshow命令
24.1.4常见的NAT问题以及解决方案
24.2PIX防火墙故障排除
24.2.1引起与PIX相关的问题的根源
24.2.2PIX中NAT操作的顺序
24.2.3PIX调试
24.2.4推荐的PIX6.2超时值
24.2.5PIXshow命令
24.2.6常见的PIX问题及其解决方法
24.2.7PIX故障排除实例研究
24.3IOS防火墙故障排除
24.3.1IOS防火墙中的操作顺序
24.3.2IOS防火墙的show命令
24.3.3常见的IOS防火墙问题及其解决办法
24.4IPSecVPN故障排除
24.4.1IPSec事件的执行顺序
24.4.2IPSec的调试
24.4.3IPSecshow命令
24.4.4常见的IPSec问题以及解决办法
24.5入侵检测故障排除
常见的IDS问题及解决办法
24.6AAA故障排除
24.6.1AAAshow命令
24.6.2AAA的debug命令
24.6.3常见的AAA问题和解决办法
24.7小结
24.8复习题

第九部分：附录
附录A复习题答案
附录BSAFE：企业网络安全蓝图白皮书