Internet/Intranet网络安全结构设计PDF电子书下载

第一章 Internet/Intranet解决方案综述 1

1．1 概述 2

1．1．1 Intranet在中国的诞生 2

1．1．2 Intranet的实质 2

1．1．3 Intranet解决方案的基本结构 3

1．1．4 面向业务系统的解决方案 4

1．2 网络建设背景 4

1．2．1 系统目标及任务 4

1．2．2 设计原则 6

1．3 Internet/Intranet的组成、结构与功能 6

1．3．1 Intranet的网络逻辑构成 6

1．3．2 操作系统及应用系统结构逻辑图 8

1．4 网络系统连接结构 9

1．4．1 主干网技术的选择 9

1．4．2 网络拓扑结构 12

1．5 本章小结 13

1．4．3 网络通信协议 13

第二章 TCP/IP介绍 15

2．1 OSI参考模型 16

2．2 TCP/IP 17

2．3 IP层 19

2．3．1 IP数据包格式 20

2．3．2 IP地址 21

2．3．3 子网 21

2．3．4 网络掩码 22

2．3．5 IP冲突 23

2．3．6 IP欺骗攻击的防范 23

2．3．7 IP层其他控制协议 24

2．4 TCP和UDP 25

2．5 应用层 26

2．6 端口 27

2．7 本章小结 29

第三章 标准和非标准的TCP/IP服务 31

3．1 远程登录 32

3．2 文件传输协议 33

3．2．1 FTP 33

3．2．2 提供匿名FTP服务 33

3．2．3 TFTP 38

3．2．4 UUCP 38

3．2．5 FSP 38

3．2．6 RCP 38

3．3 电子邮件 39

3．4 Usenet新闻 41

3．5 万维网 42

3．5．1 WWW 42

3．5．2 Gopher 43

3．5．3 广域网信息服务 43

3．5．4 Archie 43

3．6 网上成员信息查询 44

3．6．1 finger 44

3．7．1 talk 45

3．6．2 whois 45

3．7 实时会议服务 45

3．7．2 IRC 46

3．7．3 MBONE 46

3．8 名字服务 46

3．9 网络管理服务 47

3．10 时间服务 48

3．11 NIS系统 49

3．11．1 NIS结构 49

3．11．2 NIS安全脆弱性 50

3．11．3 攻击NIS的例子 51

3．11．4 可能的解决方法 52

3．12 网络文件系统 53

3．12．1 NFS的协议层次 53

3．12．2 RPC 53

3．12．3 XDR 54

3．12．6 服务器端的NFS进程 55

3．12．4 NFS的两个协议 55

3．12．5 客户端的NFS相关进程 55

3．12．7 从服务器端调出文件系统 56

3．12．8 客户端的相关信息 57

3．12．9 NFS的RPC认证 57

3．12．10 不安全的NFS对系统的危害 58

3．12．11 安全NFS 59

3．13 窗口系统 59

3．14 打印系统 60

3．15 编写安全的守护程序 60

3．15．1 程序安全的重要性 61

3．15．2 SUID/SGID程序的设计 63

3．15．3 root程序的设计 64

3．15．4 编写安全的网络程序 64

3．16 本章小结 65

第四章 广域网络连接技术 67

4．1 广域网的连接方式 68

4．2 连接广域网常用网络设备 70

4．2．1 调制解调器 70

4．2．2 通信服务器 72

4．2．3 网桥和路由器 72

4．3 VSAT 73

4．4 PPP和SLIP 74

4．4．1 PPP 75

4．4．2 SLIP 76

4．5 帧中继 77

4．6 X．25 78

4．7 ATM 79

4．8 路由 80

4．8．1 静态路由 80

4．8．2 动态路由 82

4．8．3 外部路由 82

4．9 本章小结 83

第五章 Windows NT的安全机制 85

5．1 Windows NT的安全概述 86

5．2 Windows NT中的术语 87

5．2．1 Windows NT中的对象 87

5．2．2 Windows NT服务器和Windows NT工作站 88

5．2．3 工作组 88

5．2．4 域 88

5．2．5 域控制器 88

5．2．6 Windows NT注册表 89

5．3 Windows NT的安全模型 89

5．3．1 Windows NT的安全子系统 90

5．3．2 Windows NT中的登录上网 92

5．3．3 登录标志 92

5．3．4 Windows NT登录的过程 93

5．3．5 可根据需要选择的存取控制 93

5．3．6 存取标识 94

5．4 Windows NT环境中的用户帐户 95

5．5 NT文件系统的安全性 96

5．6 Windows NT域 98

5．7 域委托关系的安全概念 99

5．8 本章小结 101

第六章 UNIX系统的安全性 103

6．1 UNIX的用户帐户 104

6．2 UNIX文件系统 104

6．3 UNIX的NIS 107

6．3．1 NIS与分布环境的管理 107

6．3．2 NIS组成 108

6．3．3 NIS映射的数据 110

6．4 本章小结 111

第七章 认证和加密 113

7．1 认证 114

7．1．1 认证的种类 114

7．1．2 认证服务器存在的问题 116

7．1．3 认证服务器的商用解决方案 116

7．2．1 加密层次 117

7．2 网络级加密 117

7．2．2 加密对象 118

7．2．3 加密地点 119

7．2．4 密钥分配 119

7．3 本章小结 120

第八章 域名系统 121

8．1 域名系统的结构 122

8．2 名字服务器 124

8．3 解析器 125

8．4 地址到名字的映射 128

8．5 UNIX名字服务——BIND 130

8．5．1 named的配置 130

8．5．2 标准资源记录 133

8．5．3 缓存初始化文件 134

8．5．4 自反地址映射文件 136

8．5．5 反向域文件 136

8．5．6 名字到地址的转换文件 137

8．6 名字欺骗技术 139

8．7 本章小结 141

第九章 防火墙技术 143

9．1 Internet上的安全性问题 144

9．2 防火墙简介 144

9．3 防火墙的一般组成 145

9．4 防火墙的不同实现技术 147

9．4．1 数据包过滤技术 148

9．4．2 过滤FTP会话 151

9．4．3 应用层网关 153

9．4．4 应用层网关的优缺点 154

9．4．5 代理服务 154

9．4．6 数据包过滤和代理服务的比较 156

9．5 网络拓扑结构和防火墙技术的关系 157

9．6 本章小结 160

第十章 名字服务器和防火墙的配合 161

10．1 名字服务器的数据包特性 162

10．2 名字服务器的代理特性 164

10．3 分散的名字服务器策略 165

10．3．1 外部计算机的名字服务器 165

10．3．2 堡垒主机的名字服务器 166

10．3．3 内部计算机的名字服务器 167

10．4 名字服务器的位置 167

10．5 非透明防火墙网络的名字服务器 169

10．5．1 内部名字服务的配置 170

10．5．2 外部名字服务器的配置 171

10．5．3 堡垒主机的名字服务器配置 172

10．6 透明防火墙的名字服务器 175

10．6．1 外部名字服务器 176

10．6．2 内部名字服务器 177

10．6．3 数据包过滤 180

10．7 设置名字服务器来隐藏信息 181

10．7．1 在堡垒主机上建立伪名字服务器供外界使用 182

10．7．3 堡垒名字服务器客户机查询内部服务器 183

10．7．2 内部名字服务器客户机查询内部服务器 183

10．7．4 数据包过滤 184

10．8 本章小结 185

第十一章 穿越防火墙的远程登录和远程执行 187

11．1 Telnet及它的代理性 188

11．2 远程命令执行 191

11．2．1 BSDr命令的数据包特性 192

11．2．2 BSDr命令的代理特性 193

11．3 远程执行命令rexec 193

11．3．1 rexec的数据包过滤特性 193

11．3．2 rexec的代理特性 194

11．4 远程执行命令rex 194

11．4．1 rex的数据包过滤特性 194

11．4．2 rex的代理特性 194

11．5 本章小结 194

第十二章 穿越防火墙的文件传输 197

12．1．1 FTP的数据包特性 198

12．1 文件传输协议 198

12．1．2 FTP的代理特性 201

12．2 简单文件传输协议 202

12．2．1 TFTP的数据包过滤特性 202

12．2．2 TFTP的代理特性 202

12．3 文件服务协议 203

12．3．1 FSP的数据过滤特性 203

12．3．2 FSP的代理特性 203

12．4．1 NFS的数据包过滤特性 204

12．4 网络文件系统 204

12．4．2 NFS的代理特性 205

12．5 本章小结 205

第十三章 网络管理服务与防火墙的配合 207

13．1 简单网络管理协议 208

13．1．1 SNMP的数据包特性 208

13．3 ping 209

13．2．2 RIP的代理特性 209

13．2．1 RIP的数据包特性 209

13．1．2 SNM的代理特性 209

13．2 路由信息协议 209

13．3．1 ping数据包过滤特性 210

13．3．2 ping的代理特性 210

13．4 traceroute 210

13．4．1 traceroute数据包特性 211

13．5 其他ICMP数据包 212

13．6 网络信息服务/黄页 212

13．4．2 traceroute的代理特性 212

13．6．1 NIS/YP的数据包过滤特性 213

13．6．2 NIS/YP的代理特性 213

13．7 网络上的信息查询 213

13．7．1 finger的数据包过滤特性 214

13．7．2 finger的代理特性 214

13．7．3 whois 214

13．7．4 whois的数据包过滤特性 214

13．8 本章小结 215

13．7．5 whois的代理特性 215

第十四章 穿越防火墙的新闻服务 217

14．1 NNTP的数据包特性 218

14．2 NNTP的代理性 219

14．3 NNTP的数据包过滤 220

14．4 本章小结 221

第十五章 防火墙之外 223

15．1 网络安全检查——Secure Test和Security Health Check 224

15．2 防火墙安全分析 225

15．2．1 SecureVIEW体系结构 226

15．2．2 丰富的分析和报告 226

15．2．3 灵活的和可定制的输出 228

15．2．4 SecureVIEW的重要特性 229

15．3 网络传输内容安全性域网络过滤软件 229

15．3．1 MIMEsweeper 229

15．4．1 SAFEsuite 230

15．4 入侵检测和扫描 230

15．3．3 WebSENSE 230

15．3．2 SurfWatch 230

15．4．2 扫描工具 231

15．4．3 其他 233

15．5 本章小结 233

第十六章 电子邮件系统 235

16．1 电子邮件 236

16．2 电子邮件的地址 237

16．3 邮件网关 239

16．4 邮件格式 240

16．4．1 非ASCII码数据的MIME扩展 240

16．4．2 MIME多部分报文 242

16．5 简单邮件传送协议 243

16．6 MX记录 244

16．6．1 MX算法 246

16．6．2 设置MX记录 247

16．6．3 构造MX列表 252

16．7 本章小结 254

第十七章 企业邮件和Internet的连接 255

17．1 概述 256

17．2 邮件网关的选择 257

17．3 为局域网邮件用户传入邮件 258

17．4 传出邮件方案 259

17．4．1 传出的局域网邮件方案一 259

17．4．2 传出的局域网邮件方案二 260

17．4．3 传出的局域网邮件方案三 261

17．5 本章小结 262

第十八章 Notes的邮件规划 263

18．1 Notes邮件特性 264

18．2 Domino邮件服务器 264

18．3 Notes邮件的相关概念 265

18．3．1 网络域 265

18．3．2 命名网络 265

18．3．5 邮递表 266

18．3．6 邮箱 266

18．3．4 连接文档 266

18．3．3 公用通讯录 266

18．3．7 邮件优先级 267

18．3．8 邮件文件 267

18．4 Notes邮件规划和邮递算法 267

18．4．1 Notes网络域中邮件传递算法 268

18．4．2 Domino命名网络中邮件邮递算法 268

18．5 Notes邮件在Internet上的邮递 269

18．6 SMTP/MIME MTA的结构 270

18．6．1 SMTP/MIME MTA任务组件 270

18．6．2 SMTP/MIME MTA的数据库 272

18．7 Notes和Internet之间的邮件传输 273

18．7．1 从Notes到Internet的传输 273

18．7．2 从Internet到Notes传输邮件 274

18．8 配置SMTP/MIME MTA 275

18．8．1 MTA配置的前期准备工作 275

18．8．2 SMTP/MIME MTA和Internet直接连接 277

18．8．3 通过防火墙或邮件中继系统和Internet连接 278

18．8．4 通过防火墙和Internet连接同时直接邮递Internet消息 279

18．8．5 同时使用两个MTA分别用于Internet消息和Intranet消息 281

18．9 本章小结 283

第十九章 PGP及其安全性 285

19．1 PGP简介 286

19．2 PGP原理 286

19．2．1 RSA算法 286

19．2．3 数字签名 287

19．2．2 消息文摘 287

19．2．4 PGP的密钥管理 288

19．3 PGP的安全性 289

19．3．1 IDEA的安全性 290

19．3．2 RSA的安全性 290

19．3．3 MD5的安全性 293

19．3．4 随机数的安全性问题 294

19．3．7 PGP的时间标戳可靠性 295

19．3．5 PGP的密钥和口令的安全性问题 295

19．3．6 没有完全删除的文件 295

19．3．8 流量分析 296

19．3．9 现实的PGP攻击 296

19．4 本章小结 297

第二十章 WWW的安全性 299

20．1 Web与HTTP协议 300

20．1．1 Web的访问控制 301

20．1．2 HTTP安全考虑 303

20．1．3 安全超文本传输协议 304

20．1．4 安全套接层 305

20．1．5 缓存的安全性 305

20．2 WWW服务器的安全漏洞 306

20．2．1 NCSA服务器的安全漏洞 306

20．2．2 Apache WWW服务器的安全问题 307

20．3 CGI程序的安全性问题 308

20．3．1 CGI程序的编写应注意的问题 308

20．2．3 Netscape的WWW服务器的安全问题 308

20．3．2 CGI脚本的激活方式 309

20．3．3 不要依赖于隐藏变量的值 309

20．3．4 WWW客户应注意的问题 309

20．3．5 使用Perl的感染检查 310

20．3．6 CGI的权限问题 313

20．4 Plug-in的安全性 315

20．5 SSL的加密的安全性 315

20．6 Java与JavaScript 316

20．6．1 Java applet的安全性问题 317

20．6．2 JavaScript的安全性问题 319

20．7 ActiveX的安全性 320

20．8 Cookies的安全性 321

20．9 本章小结 322

第二十一章 Internet网络管理 323

21．1 网络管理的功能 324

21．2 网络管理概念 325

21．3 网络管理标准 326

21．3．1 框架标准 327

21．3．2 功能标准 327

21．3．3 通信标准 327

21．3．4 信息标准 328

21．4 网络管理策略 328

21．5 网络管理协议介绍 329

21．6 协议的体系结构 330

21．6．1 管理信息标准 331

21．6．2 MIB变量的例子 332

21．6．3 管理信息结构 333

21．7 ASN．1形式定义 333

21．8 一个标准网络管理协议 337

21．9 SNMP的安全性 340

21．9．1 和安全性相关的概念 340

21．9．2 SNMP V1的安全性问题 342

21．9．3 SNMP V2的安全性 342

21．10 网络管理工具介绍 343

21．10．1 NetView 344

21．10．2 Accumaster 345

21．10．3 ServiceView 346

21．11 本章小结 347

第二十二章 计费解决方案 349

22．1 拨号接入服务的用户认证、管理和计费系统 350

22．1．1 用户计费系统的管理 350

22．1．2 个人查询 351

22．2 Internet/Intranet流量统计计费系统 352

22．3 计费系统主机的位置 354

22．4 All In One服务器 355

22．5 本章小结 356

第二十三章 数据库系统的安全性 357

23．1 数据库安全性要求 358

23．2 数据库的完整性 359

23．3 元素的完整性 359

23．5 访问控制 360

23．4 可审计性 360

23．6 用户认证 361

23．7 可获性 361

23．7．1 访问判决 361

23．7．2 间接攻击 362

23．7．3 对统计推理攻击的控制 365

23．8 本章小结 368

第二十四章 SQL服务器的安全性 369

24．1 管理用户帐户 370

24．1．1 数据库访问介绍 370

24．1．2 SQL服务器登录标识符 371

24．1．3 数据库用户 372

24．1．4 数据库用户别名 373

24．1．5 数据库组 374

24．2 登录安全模式介绍 374

24．2．1 标准安全模式 375

24．2．2 集成安全模式 376

24．2．3 混合安全模式 377

24．3 用户许可简介 378

24．3．1 语句许可与对象许可 378

24．3．2 许可等级 379

24．4 本章小结 381

第二十五章 Oracle的安全性 383

25．1 Oracle安全性概述 384

25．2 安全管理方法 384

25．2．1 用户名及口令的建立 384

25．2．2 用户名及口令的撤消 385

25．2．3 自动注册 385

25．2．4 Oracle用户的权限 386

25．2．5 授权及收回 387

25．2．6 授予和收回对数据库的存取权限 387

25．3 数据库的并发控制 388

25．3．1 事务 389

25．3．2 并发控制 389

25．3．3 死锁问题的处理 391

25．4 本章小结 392

第二十六章 高可用性技术 393

26．1 HA系统产生的背景 394

26．2 HA系统体系结构比较 396

26．2．1 双机硬盘镜象 397

26．2．2 双机分布式硬盘镜象 398

26．2．3 双机-双端口磁盘阵列 398

26．3 双机-双端口磁盘阵列HA系统的实现 399

26．4 磁盘阵列 402

26．4．1 概述 402

26．4．2 各种RAID级别介绍 402

26．5 现有的高可用性解决方案 406

26．6 高可用性产品 407

26．7 本章小结 408

第二十七章 Lotus Notes和Internet/Intranet 409

27．1 Domino的Internet特性 410

27．1．1 Domino基层结构 411

27．1．2 使用Domino创建交互式Web站点 412

27．1．3 创建Web站点的工具 412

27．1．4 使用Domino建立新闻组 413

27．2 Domino和Intranet 413

27．3 本章小结 414

第二十八章 Notes系统的安全性 415

28．1 Domino系统的安全性 416

28．1．1 防火墙 417

28．1．2 加密 417

28．1．3 Internet活动追踪 417

28．1．4 Notes客户机 417

28．2 网络安全性 418

28．2．1 禁止未授权访问 418

28．2．2 防止病毒 418

28．2．3 保护物理系统 418

28．4 Domino服务器安全性 419

28．3 层次结构名称 419

28．5 Web浏览器安全性 420

28．6 Notes客户机安全性 421

28．7 数据库安全性 421

28．7．1 存取级别 422

28．7．2 执行权限 422

28．7．3 角色 422

28．9 控制存取数据库设计元素 423

28．8 数据库加密 423

28．10 邮件安全性 424

28．11 本章小结 424

第二十九章 政务电子办公信息系统 425

29．1 信息管理系统结构设计 426

29．2 信息管理系统功能组件介绍 428

29．3 本章小结 431

第三十章 Exchange Server及其安全性 433

30．1 Microsoft Exchange的层次结构 434

30．2 服务器体系结构 435

30．1．2 客户机和服务器之间的通信 435

30．1．1 与Windows NT Server的集成 435

30．3 核心组件 436

30．3．1 目录 436

30．3．2 信息仓库 438

30．3．3 邮件传输代理 438

30．3．4 系统服务程序 439

30．4 可选组件 439

30．5．1 Schedule＋ 440

30．5 客户机体系结构 440

30．5．2 表单设计程序 441

30．5．3 可选的信息服务 441

30．6 服务器的高级安全保护 441

30．6．1 高级安全保护工作原理 442

30．6．2 密钥管理服务器 443

30．7 数字签名 443

30．7．1 邮件签名 444

30．8．1 改变在服务器安装过程中创建的共享目录的权限 445

30．8 增加Microsoft Exchange Server安全保护 445

30．7．2 加密邮件 445

30．7．4 选择加密类型 445

30．7．3 解密邮件 445

30．8．2 配置加密RPC 447

30．9 保护Internet连接 447

30．9．1 配置Internet邮件连接器 447

30．9．2 保护用户帐号 447

30．9．3 使用Windows NT文件系统 448

30．9．4 使用和配置服务 448

30．9．5 使用Internet邮件连接器连接到SMTP主机 448

30．9．6 使用Internet连接站点 448

30．9．7 DNS 448

30．10 允许客户在Internet上安全地连接 449

30．10．1 指定宿主服务器 449

30．10．2 配置由宿主服务器域验证 449

30．11 本章小结 450

30．10．3 配置防火墙允许RPC通信 450

第三十一章 报表编辑和数据填充系统 451

31．1 概述 452

31．2 通信机制 452

31．3 软件组成和功能 453

31．3．1 报表查询子系统 453

31．3．2 报表设计子系统 455

31．3．3 Web报表上载系统 458

31．4 本章小结 458

第三十二章 综合应用实例 459

32．1 背景 460

32．2 需求分析 460

32．3 ACME组成、功能与结构 461

32．3．1 ACME的组成 461

32．3．2 系统结构 462

32．3．3 功能要求 462

32．4 系统物理配置 466

32．4．2 Internet和信息服务设备配置 467

32．4．1 网络连接设备配置 467

32．4．3 OA和系统化业务支持设备配置 468

32．4．4 应用开发设备配置 468

32．4．5 网络/电话综合线系统 468

32．4．6 某开发区节点配置 468

32．5 安全考虑 469

32．5．1 攻击入口 469

32．5．2 安全构件的设置 470

32．6 本章小结 472

附录A 内容安全工具——MIMEsweeper 473

附录B 扫描工具 475

附录C 网络监听工具 478

附录D 检测和分析工具 480

附录E 网络访问控制验证工具 481

附录F 一些防火墙产品 483

附录G 一些邮件安全工具 486