路由器安全策略

图书标准信息

• 作者 [美]舒德尔、[美]史密斯 著；姚维、李斌、沈金河 译
• 出版社 人民邮电出版社
• 出版时间 2008-09
• 版次 1
• ISBN 9787115185914
• 定价 69.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 446页
• 字数 728千字
• 正文语种 简体中文

【内容简介】

　　《路由器安全策略》的目标在于使读者熟悉对IP网络流量平面进行分隔和安全保护所需的概念、效益以及实施细节。全书分4个部分。第1部分提供了IP协议、IP网络运行及路由器和路由硬件以及软件运行的基本概述。第2部分提供了深入、详细的内容以供网络专家实现IP流量平面分隔和保护策略，还针对经验不足的网络技术人员提供了详细的IP路由器运行描述。第3部分提供了针对两种不同网络类型——企业网络和服务提供商网络的案例研究。这些案例研究用于进一步说明在第2部分中介绍的策略如何集成为一个完整的IP网络流量平面分隔和保护规划。第4部分则对《路由器安全策略》正文部分所讨论的内容进行了补充，提供了一些不仅在阅读《路由器安全策略》过程中有用，而且在日常工作中也很有帮助的参考内容。
　　《路由器安全策略》适合组织机构中负责部署和维护IP及IP/MPLS网络的网络工程师，以及网络运营和网络安全性人员阅读。

【作者简介】

　　GreggSchudel，CCIENo．959l（Security）于2000年作为咨询系统工程师加入CiscoSystems，其职责是为美国的网络服务提供商组织提供支持。Gregg关注针对长途交换电信运营商、网络服务提供商及移动服务提供商的IP核心网络和服务安全性体系结构和技术。
　　此外，Gregg还是CorporateandField资源小组的成员，该小组的工作重点在于推动Cisco服务提供商安全性策略。在加入CiscoSystems之前，Gregg在BBNTechnologies公司工作了多年，他负责支持与DARPA及联邦政府其他机构共同进行的涉及到安全性方面的网络安全性研究和开发。
　　Gregg拥有乔治华盛顿大学的工程学硕士学位和获得佛罗里达理工学院的工程学学士学位。
　　DavidJ．Smith，CCIENo．1986（RoutingandSwitching）于1995年作为咨询工程师加入CiscoSystems，其职责是为美国的网络服务提供商组织提供支持。David从1999年开始关注服务提供商IP核心和边缘网络技术，包括IP路由、MPLS技术、QoS、架构安全性及网络遥测。在1995-1999年，David负责为企业用户在设计园区WAN和全球WAN方面提供支持。在加入CiscoSystems之前，David在Bellcore公司工作，负责开发系统软件以及开通ATM交换机试验局。
　　David在卡内基·梅隆大学获得信息网络硕士学位，在里海大学获得计算机工程学士学位。

【目录】

第1部分
第1章　互联网协议操作基础
1.1　IP网络概念
1.1.1　企业网络
1.1.2　服务提供商网络
1.2　IP协议操作
1.3　IP流量概念
1.3.1　过境IP包
1.3.2　接收-邻接IP包
1.3.3　异常IP和非IP包
1.4　IP流量平面
1.4.1　数据平面
1.4.2　控制平面
1.4.3　管理平面
1.4.4　服务平面
1.5　IP路由器包处理概念
1.5.1　进程交换
1.5.2　快速交换
1.5.3　思科特快转发
1.6　常见的IP路由器体系结构类型
1.6.1　集中式的基于CPU的体系结构
1.6.2　集中式的基于ASIC的体系结构
1.6.3　分布式的基于CPU的体系结构
1.6.4　分布式的基于ASIC的体系结构
1.7　小结
1.8　复习题
1.9　延伸阅读

第2章　IP网络的威胁方式
2.1　对于IP网络基础设施的威胁
2.1.1　资源消耗攻击
2.1.2　欺骗攻击
2.1.3　传输协议攻击
2.1.4　路由协议威胁
2.1.5　其他IP控制平面威胁
2.1.6　未经授权的接入攻击
2.1.7　软件漏洞
2.1.8　恶意网络监测
2.2　针对第2层网络基础设施的威胁
2.2.1　CAM表溢出攻击
2.2.2　MAC欺骗攻击
2.2.3　VLAN的跳跃攻击(VLANHoppingAttacks)
2.2.4　专用VLAN攻击
2.2.5　STP攻击
2.2.6　VTP攻击
2.3　针对IPVPN网络基础设施的威胁
2.3.1　MPLSVPN威胁模式
2.3.2　针对用户边缘的威胁
2.3.3　针对运营商边缘的威胁
2.3.4　针对运营商核心的威胁
2.3.5　针对跨运营商边缘的威胁
2.3.6　IPSecVPN的威胁模式
2.4　小结
2.5　复习题
2.6　延伸阅读

第3章　IP网络流量平面安全概念
3.1　全方位防御的原则
3.1.1　理解全方位的防御概念
3.1.2　IP网络流量平面：全方位的防御
3.1.3　网络接口类型
3.2　网络边缘安全概念
3.2.1　互联网边缘
3.2.2　MPLSVPN边缘
3.3　网络核心安全概念
3.3.1　IP核心
3.3.2　MPLSVPN核心
3.4　小结
3.5　复习题
3.6　延伸阅读

第2部分
第4章　IP数据平面安全性
4.1　接口ACL技术
4.2　单播RPF技术
4.2.1　严格uRPF
4.2.2　松散uRPF
4.2.3　VRF模式uRPF
4.2.4　可行性uRPF
4.3　灵活的数据包匹配
4.4　QoS技术
4.4.1　排队
4.4.2　IPQoS数据包着色(标记)
4.4.3　速率限制
4.5　IP选项技术
4.5.1　禁用IP源路由
4.5.2　IP选项选择性丢弃
4.5.3　用于过滤IP选项的ACL支持
4.5.4　控制平面管辖
4.6　ICMP数据平面减缓技术
4.7　禁用IP直接广播
4.8　IP健康检查
4.9　使用QPPB的BGP策略增强
4.10　IP路由技术
4.10.1　IP网络核心基础结构隐藏
4.10.2　IP网络边缘外部链接保护
4.10.3　远程触发黑洞过滤
4.11　IP传输和应用层技术
4.11.1　TCP截取
4.11.2　网络地址转换
4.11.3　IOS防火墙
4.11.4　IOS入侵预防系统
4.11.5　通信清洗
4.11.6　深度数据包检查
4.12　第2层以太网安全技术
4.12.1　端口安全性
4.12.2　基于MAC地址的通信阻塞
4.12.3　禁用自动主干
4.12.4　VLANACL
4.12.5　IP来源守卫
4.12.6　专用VLAN
4.12.7　通信风暴控制
4.12.8　未知单播流阻塞
4.13　小结
4.14　复习题
4.15　延伸阅读

第5章　IP控制平面安全性
5.1　禁用未使用的控制平面服务
5.2　ICMP技术
5.3　选择性数据包丢弃
5.3.1　SPD状态检查
5.3.2　SPD输入队列检查
5.3.3　SP监视和优化
5.4　IP接收ACL
5.5　控制平面管辖
5.5.1　CoPP配置指导原则
5.5.2　特定于平台的CoPP实现细节
5.6　邻居身份验证
5.6.1　MD5身份验证
5.6.2　一般化的TTL安全机制
5.7　特定于协议的ACL过滤器
5.8　BGP安全技术
5.8.1　BGP前缀过滤器
5.8.2　IP前缀限制
5.8.3　AS路径限制
5.8.4　BGP正常重启
5.9　第二层以太网控制平面安全
5.9.1　VTP身份验证
5.9.2　DHCP偷窥
5.9.3　动态ARP检查
5.9.4　粘性ARP
5.9.5　跨越树协议
5.10　小结
5.11　复习题
5.12　延伸阅读

第6章IP管理平面安全性
6.1　管理接口
6.2　密码安全
6.3　SNMP安全
6.4　远程终端访问安全
6.5　禁用未使用的管理平面服务
6.6　禁用空闲的用户会话
6.7　系统标志
6.8　安全的IOS文件系统
6.9　基于角色的CLI访问
6.10　管理平面保护
6.11　身份验证、授权和计账
6.12　自动安全
6.13　网络遥测和安全
6.14　针对MPLSVPN的VPN管理
6.15　小结
6.16　复习题
6.17　延伸阅读

第7章IP服务平面安全性
7.1　服务平面概述
7.2　服务质量
7.2.1　QoS机制
7.2.2　保护QoS服务
7.3　MPLSVPN服务
7.3.1　MPLSVPN概述
7.3.2　客户边缘安全性
7.3.3　提供商边缘安全性
7.3.4　提供商核心安全性
7.3.5　提供商之间边缘安全性
7.4　IPsecVPN服务
7.4.1　IPsecVPN概述
7.4.2　保护IPsecVPN服务
7.4.3　其他IPsec安全相关特性
7.5　其他服务
7.5.1　SSLVPN服务
7.5.2　VoIP服务
7.5.3　视频服务
7.6　小结
7.7　复习题
7.8　延伸阅读

第3部分
第8章企业网络案例研究
8.1　案例研究1：IPSecVPN和互联网访问
8.1.1　网络拓扑结构和要求
8.1.2　路由器配置
8.2　案例研究2：MPLSVPN
8.2.1　网络拓扑结构和要求
8.2.2　路由器配置
8.3　小结
8.4　延伸阅读

第9章服务提供商网络案例研究
9.1　案例研究1：IPSecVPN和互联网接入
9.1.1　网络拓扑和需求
9.1.2　路由器配置
9.2　案例研究2：MPLSVPN
9.2.1　网络拓扑和需求
9.2.2　路由器配置
9.3　小结
9.4　延伸阅读
第4部分

附录A　复习题答案
附录B　IP协议报头
B.1　IP版本4头
B.2　TCP头
B.3　UDP头
B.4　ICMP头
B.4.1　ICMP回应请求/回应回复查询消息头
B.4.2　传输中的ICMP生存时间超过消息头
B.4.3　ICMP目的地不可到达、分段需要和设置不分段错误消息头
B.4.4　其他ICMP目的不可到达错误消息头
B.5　以太网/802.1Q头
B.5.1　IEEE802.3以太网帧头格式
B.5.2　IEEE802.1QVLAN头格式
B.6　MPLS协议头
B.7　延伸阅读

附录C　CiscoIOS到XOSXR安全性过渡
C.1数据平面安全性命令
C.2控制平面安全性命令
C.3管理平面安全性命令
C.4服务平面安全性命令
C.5延伸阅读

附录D　安全事故处理
D.1事故响应的6个阶段
D.1.1准备
D.1.2确定
D.1.3分类
D.1.4跟踪
D.1.5反应
D.1.6事后评估分析
D.2Cisco产品安全
D.2.1Cisco安全弱点策略
D.2.2Cisco计算机和网络安全
D.2.3Cisco安全
D.2.4IPS签名包更新和归档
D.2.5Cisco安全中心
D.2.6CiscoIntelliShield警报管理器服务
D.2.7Cisco软件中心
D.3行业安全组合
D.4域网络操作员组织
D.5延伸阅读