Internet接入·网络安全PDF电子书下载

第1章 网络安全规划 1

1.1网络安全体系结构 1

1.1.1物理安全 1

1.1.2网络结构规划 1

1.1.3系统安全 3

1.1.4信息安全 3

1.1.5应用安全 4

1.2网络安全系统的设计与管理原则 4

1.2.1网络安全系统的设计原则 4

1.2.2网络安全系统的管理 5

1.3网络安全规划实例 6

1.3.1服务器安全 7

1.3.2网络设备安全 8

1.3.3网络防火墙部署规划 9

1.3.4 IDS部署规划 13

1.3.5 IPS部署规划 15

1.3.6局域网接入安全 19

1.3.7 Internet接入安全 20

1.3.8远程接入安全规划 21

第2章Windows系统安全 23

2.1操作系统安装与更新 23

2.1.1系统安装注意事项 23

2.1.2补丁安装注意事项 24

2.1.3配置Windows Update 24

2.1.4补丁安装 25

2.2系统管理员账户 27

2.2.1默认组权限 27

2.2.2更改Administrator账户名称 28

2.2.3系统管理员密码设置 29

2.2.4创建陷阱账户 32

2.3磁盘访问权限 33

2.3.1权限范围 33

2.3.2设置磁盘访问权限 34

2.3.3查看磁盘权限 34

2.4系统账号数据库 35

2.4.1启用加密 35

2.4.2删除系统账号数据库 37

2.4.3备份和恢复账户信息 38

2.5 Internet连接防火墙 39

2.5.1 Internet防火墙简介 39

2.5.2启用Internet防火墙 40

2.6安全配置向导 42

2.6.1配置安全服务 42

2.6.2应用安全配置策略 50

2.7默认共享 51

2.7.1查看默认共享 52

2.7.2停止默认共享 53

2.8关闭端口 56

2.8.1服务端口 56

2.8.2端口威胁 57

2.8.3查看端口 58

2.8.4启动/关闭服务法 60

2.9系统服务安全 61

2.9.1系统服务配置注意事项 61

2.9.2服务账户 62

第3章 用户权限控制 63

3.1将计算机加入域 63

3.1.1将服务器加入域 63

3.1.2将客户端计算机加入域 64

3.1.3登录到域 68

3.2限制域管理员的权限 68

3.2.1删除Domain Admins组 69

3.2.2限制单个域管理员的权限 69

3.2.3限制多个域组的权限 71

3.3管理账户 72

3.3.1创建安全用户账户 72

3.3.2重设用户密码 73

3.3.3管理用户账户 76

3.3.4用户访问限制 78

3.3.5用户组安全 79

3.3.6用户组权限 81

3.4访问权限 82

3.4.1设置NTFS访问权限 82

3.4.2共享访问权限 84

3.4.3通过组策略指派用户权限 86

3.5委派权限 88

3.5.1权限委派概述 88

3.5.2委派管理权限 89

第4章 系统安全策略 93

4.1账户策略 93

4.1.1密码策略 93

4.1.2账户锁定策略 95

4.1.3 Kerberos策略（Windows域安全） 97

4.1.4推荐的账户策略设置 99

4.2审核策略 99

4.2.1审核策略设置 99

4.2.2推荐的审核策略设置 101

4.2.3调整日志审核文件的大小 101

4.3安全配置和分析 102

4.3.1预定义的安全模板 102

4.3.2实施安全配置和分析 105

4.4 IP安全策略 110

4.4.1 IP安全策略概述 110

4.4.2在域中部署IP安全策略 111

4.5 GPMC部署安全策略 123

4.5.1 GPMC概述 124

4.5.2使用GPMC部署和管理策略 125

4.6软件限制策略 131

4.6.1软件限制策略简介 132

4.6.2安全级别设置 132

4.6.3默认规则 138

第5章 网络服务安全 141

5.1活动目录安全 141

5.1.1域控制器的物理安全 141

5.1.2相关系统服务安全 145

5.1.3 Active Directory数据库安全 146

5.1.4 SYSVOL安全 148

5.1.5全局编录 153

5.1.6密码策略管理员授权 155

5.2文件服务安全 159

5.2.1 NTFS权限安全配置 159

5.2.2配置安全审核策略 159

5.2.3磁盘配额 166

5.2.4文件屏蔽 169

5.3打印服务安全 175

5.3.1共享打印的运行模式 175

5.3.2设置隐藏的共享打印机 176

5.3.3禁止通过浏览器搜索打印机 177

5.3.4配置打印机访问权限 177

5.3.5配置审核策略 179

5.4 Web服务安全 180

5.4.1配置身份验证方式 180

5.4.2访问权限控制 182

5.4.3授权规则 184

5.4.4 IPv4地址控制 186

5.4.5 SSL安全 187

5.4.6审核ⅡS日志记录 195

5.4.7设置内容过期 197

5.4.8内容分级设置 198

5.4.9注册MIME类型 199

5.5 FTP服务安全 200

5.5.1设置TCP端口 200

5.5.2连接数和超时限制 201

5.5.3用户访问安全 202

5.5.4文件访问安全 204

第6章 系统漏洞扫描 205

6.1漏洞概述 205

6.1.1漏洞的特性 205

6.1.2漏洞生命周期 206

6.2漏洞扫描 207

6.2.1漏洞扫描概述 207

6.2.2 MBSA 208

6.3漏洞预警 212

6.3.1安全中心 212

6.3.2订阅TechNet电子邮件 212

6.3.3查看网络广播 214

6.4漏洞补丁管理 214

6.4.1系统补丁部署概述 214

6.4.2 Microsoft Update 215

6.4.3系统更新服务 215

第7章 入侵检测 229

7.1入侵检测系统概述 229

7.1.1入侵检测系统的架构 229

7.1.2入侵检测系统的功能 230

7.1.3入侵检测的一般步骤 230

7.1.4入侵检测技术的发展趋势 231

7.1.5常用入侵检测工具 232

7.2 Snort 233

7.2.1 Snort概述 233

7.2.2 Snort语法及参数 234

7.2.3部署snort入侵检测系统 235

7.2.4 Snort的3种工作模式 251

7.2.5 Snort应用实例 257

7.3 Sniffer 259

7.3.1 Sniffer概述 259

7.3.2 Sniffer安装与配置 259

7.3.3 Sniffer的监控模式 263

7.3.4创建过滤器 269

7.3.5捕获数据 272

7.3.6分析捕获的数据 273

7.3.7 Sniffer应用实例 278

第8章 局域网安全接入 281

8.1基于端口的传输控制 281

8.1.1风暴控制 281

8.1.2流控制 282

8.1.3保护端口 283

8.1.4端口阻塞 284

8.1.5端口安全 284

8.1.6传输速率限制 287

8.1.7 MAC地址更新通知 289

8.1.8绑定IP和MAC地址 293

8.2基于端口的认证安全 293

8.2.1 IEEE 802.1x认证简介 294

8.2.2配置IEEE 802.1x认证 298

8.2.3配置交换机到RADIUS服务器的通信 299

8.2.4配置重新认证周期 299

8.2.5修改安静周期 300

8.3无线局域网安全接入 301

8.3.1启用WEP加密传输 301

8.3.2修改SSID标识 302

8.3.3禁用多余服务 305

8.3.4基于MAC地址的身份验证 306

8.4基于ACS的身份验证 307

8.4.1 ACS服务器的安装与配置 307

8.4.2 ACS服务器基本配置 310

8.4.3基于ACS的基本认证 319

8.4.4交换机基于ACS的802.1 x认证 322

8.4.5无线AP基于ACS的802.1 x认证 329

第9章VPN安全接入 335

9.1 VPN概述 335

9.1.1 VPN技术简介 335

9.1.2 VPN连接的特点 335

9.1.3 VPN的类型与适用 336

9.2基于Windows服务器的VPN安全接入 337

9.2.1方案概述 338

9.2.2安装和配置VPN服务器 340

9.2.3在网络防火墙上发布VPN服务器 348

9.2.4部署SSL VPN客户端 348

9.2.5测试VPN连接 352

9.3基于ASA的VPN安全接入 353

9.3.1方案概述 353

9.3.2初始化Cisco ASA 355

9.3.3配置远程访问SSL VPN 355

9.3.4 Cisco AnyConnect VPN客户端 363

9.4基于TMG的VPN安全接入 365

9.4.1方案概述 365

9.4.2配置VPN客户端访问 366

9.4.3创建VPN服务器发布策略 368

9.4.4检查VPN服务器 370

第10章 网络访问保护 371

10.1 NAP系统概述 371

10.1.1 NAP的应用环境 371

10.1.2 NAP的强制模式 372

10.1.3 NAP系统的功能 372

10.1.4 NAP系统架构 372

10.2 NAP的强制方式 374

10.2.1 IPSec强制 375

10.2.2 802.1x强制 375

10.2.3 VPN强制 376

10.2.4 DHCP强制 377

10.3网络访问保护的准备 378

10.3.1相关服务组件的安装 378

10.3.2更新服务器 379

10.3.3安装NPS 380

10.3.4健康策略服务器 383

10.4 DHCP强制的配置与应用 385

10.4.1网络环境概述 385

10.4.2配置健康策略服务器 386

10.4.3配置DHCP服务器 391

10.4.4非NAP客户端测试 396

10.4.5域中客户端计算机的测试 398

10.4.6不健康NAP客户端的测试 402

10.5 VPN强制的配置与应用 406

10.5.1网络环境概述 406

10.5.2配置健康策略服务器 407

10.5.3 VPN服务器的配置 415

10.5.4创建和配置VPN NAP客户端 417

10.5.5测试受限VPN客户端的访问 419

第11章Internet接入概述 421

11.1 Internet接入方式 421

11.1.1 FTTX接入 421

11.1.2 SDH 422

11.1.3 DDN 422

11.1.4 ADSL 423

11.2 Internet连接共享方式 424

11.2.1代理服务器 424

11.2.2路由器 427

11.2.3网络防火墙 430

11.2.4 Intemet共享方式的选择 433

第12章Forefront TMG共享Internet接入 435

12.1防火墙的部署与交换机的配置 435

12.1.1网络规划 435

12.1.2 Forefront TMG的安装与初始配置 436

12.2使用入门向导进行初始配置 441

12.2.1配置网络设置 441

12.2.2配置系统设置 442

12.2.3定义部署选项 443

12.3安全连接Internet 444

12.3.1配置DHCP服务器 444

12.3.2配置允许的Internet应用 447

12.3.3禁止访问某些站点及服务器 448

12.3.4禁止某些通信软件 449

12.3.5阻止某些文件 451

12.4发布服务器 452

12.4.1发布Exchange Server 2007邮件服务器 452

12.4.2发布SharePoint站点 454

12.4.3发布Web站点 457

12.4.4发布安全Web网站 459

12.4.5发布非Web协议服务器 460

12.4.6配置Forefront TMG为Web代理服务器 461

12.5高效访问Internet 461

12.5.1启用缓存 461

12.5.2创建正向缓存 462

12.5.3禁止反向缓存 464

12.5.4禁止对某些站点缓存 465

12.6入侵检测 466

12.6.1配置对已知漏洞的保护 466

12.6.2一般攻击的入侵检测 467

12.6.3 DNS攻击的入侵检测 468

12.6.4淹没缓解 469

第13章 路由器共享Internet接入 473

13.1配置路由器实现共享Internet 473

13.1.1路由基础 473

13.1.2网络地址转换 475

13.1.3 LAN方式接入Internet 477

13.1.4 DDN方式接入Internet 486

13.2内部服务器的发布 488

13.3 Internet访问安全 490

13.3.1 IP访问列表 490

13.3.2 DoS/DDoS防御 495

13.3.3 IP欺骗防范 496

13.3.4 SYN淹没防范 496

13.3.5 Ping攻击防范 498

第14章 网络防火墙共享Internet接入 499

14.1安全设备初始化配置 499

14.1.1 Cisco ASA单链路接入规划 499

14.1.2命令行初始化 499

14.1.3使用Cisco ASA实现Internet接入 501

14.2安全设备基本配置 506

14.2.1配置接口地址 506

14.2.2新建用户 508

14.2.3修改Banner信息 509

14.2.4配置ASDM访问的地址 510

14.2.5配置Telnet访问地址 510

14.3配置局域网计算机接入Internet 511

14.4发布内部服务器 514

14.5网络防火墙的接口与连接 517

14.5.1安全设备接口 517

14.5.2 Cisco ASA设计与连接 520

14.6监视安全设备 523

14.6.1监视系统运行状态 523

14.6.2查看和分析网络流量 523

14.6.3查看和分析系统日志 525