网络安全原理与实践PDF电子书下载

第一部分：网络安全介绍 3

第1章 网络安全介绍 3

1.1网络安全目标 4

1.2资产确定 4

1.3威胁评估 5

1.4风险评估 6

1.5构建网络安全策略 6

1.6网络安全策略的要素 7

1.7部署网络安全策略 8

1.8网络安全体系结构的部署 9

1.9审计和改进 9

1.10实例研究 10

1.10.1资产确定 10

1.10.2威胁确定 11

1.10.3风险分析 12

1.10.4定义安全策略 13

1.11小结 16

1.12复习题 16

第二部分：构建网络安全 21

第2章 定义安全区 21

2.1安全区介绍 21

2.2设计一个DMZ 22

2.2.1使用一个三脚防火墙创建DMZ 23

2.2.2 DMZ置于防火墙之外，公共网络和防火墙之间 23

2.2.3 DMZ置于防火墙之外，但不在公共网络和防火墙之间的通道上 24

2.2.4在层叠的防火墙之间创建DMZ 25

2.3实例研究：使用PIX防火墙创建区 26

2.4小结 27

2.5复习题 27

第3章 设备安全 29

3.1物理安全 30

3.1.1冗余位置 30

3.1.2网络拓扑设计 30

3.1.3网络位置的安全 31

3.1.4选择安全介质 32

3.1.5电力供应 32

3.1.6环境因素 32

3.2设备冗余 33

3.2.1路由冗余 33

3.2.2 HSRP 35

3.2.3虚拟路由器冗余协议（VRRP） 41

3.3路由器安全 45

3.3.1配置管理 45

3.3.2控制对路由器的访问 46

3.3.3对路由器的安全访问 49

3.3.4密码管理 50

3.3.5记录路由器事件 51

3.3.6禁用不需要的服务 52

3.3.7使用环回接口 52

3.3.8 SNMP用作管理协议的控制 53

3.3.9 HTTP用作管理协议的控制 55

3.3.10使用CEF作为交换机制 56

3.3.11从安全的角度来建立调度表 56

3.3.12使用NTP 57

3.3.13登录信息 57

3.3.14获取Core Dumps信息 58

3.3.15在CPU高负载期间使用service nagle以改善Telnet访问 59

3.4 PIX防火墙安全 60

3.4.1配置管理 60

3.4.2控制对PIX的访问 60

3.4.3安全访问PIX 61

3.4.4密码管理 62

3.4.5记录PIX事件 62

3.5交换机安全 63

3.5.1配置管理 63

3.5.2控制对交换机的访问 63

3.5.3对交换机的安全访问 64

3.5.4交换机事件日志 64

3.5.5控制管理协议（基于SNMP的管理） 65

3.5.6使用NTP 65

3.5.7登录信息 66

3.5.8捕获Core Dumps 66

3.6小结 66

3.7复习题 66

第4章 路由安全 69

4.1将安全作为路由设计的一部分 70

4.1.1路由过滤 70

4.1.2收敛性 71

4.1.3静态路由 71

4.2路由器和路由认证 72

4.3定向广播控制 75

4.4黑洞过滤 75

4.5单播反向路径转发 76

4.6路径完整性 78

4.6.1 ICMP重定向 78

4.6.2 IP源路由 78

4.7实例研究：BGP路由协议安全 79

4.7.1 BGP邻居认证 79

4.7.2入站路由过滤 80

4.7.3出站路由过滤 80

4.7.4 BGP网络通告 80

4.7.5 BGP多跳 81

4.7.6 BGP通信 81

4.7.7禁用BGP版本协商 81

4.7.8维持路由表的深度和稳定性 81

4.7.9 BGP邻居状态改变的日志记录 84

4.8实例研究：OSPF路由协议的安全 84

4.8.1 OSPF路由器认证 84

4.8.2 OSPF非广播邻居配置 85

4.8.3使用末节区域 85

4.8.4使用环回接口作为路由器ID 87

4.8.5调整SPF计时器 87

4.8.6路由过滤 88

4.9小结 88

4.10复习题 89

第5章 局域网交换的安全 91

5.1普通交换和第2层安全 92

5.2端口安全 93

MAC地址泛洪和端口安全 93

5.3 IP许可列表 95

5.4协议过滤和控制LAN泛洪 96

5.5 Catalyst 6000上的专用VLAN 97

ARP欺骗、粘性ARP和专用VLAN 99

5.6使用IEEE 802.1x标准进行端口认证和访问控制 99

5.6.1 802.1x实体 99

5.6.2 802.1x通信 100

5.6.3 802.1x功能 104

5.6.4使用802.1x建立Catalyst 6000端口认证 106

5.7小结 108

5.8复习题 108

第6章 网络地址转换与安全 111

6.1网络地址转换的安全利益 112

6.2依赖NAT提供安全的缺点 113

6.2.1除了端口号信息外没有协议信息跟踪 113

6.2.2基于PAT表没有限制数据流的类型 113

6.2.3初始连接上有限的控制 113

6.3小结 114

6.4复习题 114

第三部分：防火墙 119

第7章 什么是防火墙 119

7.1防火墙 119

7.1.1日志和通告发送能力 120

7.1.2大规模的数据包检查 120

7.1.3易于配置 121

7.1.4设备安全和冗余 121

7.2防火墙的类型 122

7.2.1电路级防火墙 122

7.2.2代理服务器防火墙 122

7.2.3无状态分组过滤器防火墙 123

7.2.4有状态分组过滤器防火墙 123

7.2.5个人防火墙 124

7.3防火墙的位置 124

7.4小结 125

第8章 PIX防火墙 127

8.1自适应安全算法 127

8.1.1 TCP 128

8.1.2 UDP 130

8.2 PIX防火墙的基本特性 131

8.2.1使用ASA的状态化流量检测 131

8.2.2为接口分配不同的安全级别 132

8.2.3访问控制列表 132

8.2.4扩展的日志能力 133

8.2.5基本的路由能力，包括对RIP的支持 134

8.2.6网络地址转换 134

8.2.7失效处理机制和冗余 135

8.2.8认证通过PIX的流量 137

8.3 PIX防火墙的高级特性 137

8.3.1别名 138

8.3.2 X防护 141

8.3.3高级过滤 142

8.3.4多媒体支持 143

8.3.5欺骗检测或者单播RPF 145

8.3.6协议修正 146

8.3.7混杂的sysopt命令 146

8.3.8多播支持 148

8.3.9分片处理 150

8.4实例研究 151

8.4.1带有三个接口，运行在DMZ的Web服务器上的PIX 152

8.4.2为PIX设置失效处理 157

8.4.3为DMZ上的服务器使用alias命令设置PIX 160

8.4.4为贯穿式代理认证和授权设置PIX 163

8.4.5使用Object Groups和TurboACL来扩展PIX配置 166

8.5小结 170

8.6复习题 171

第9章 IOS防火墙 173

9.1基于上下文的访问控制 173

CBAC功能 174

9.2 IOS防火墙的特性 175

9.2.1传输层检查 176

9.2.2应用层检查 176

9.2.3对无效命令进行过滤 177

9.2.4 Java阻塞 177

9.2.5针对拒绝服务攻击的安全防护 177

9.2.6 IOS防火墙中的分片处理 180

9.3实例研究：配置了NAT的路由器上的CBAC 180

9.4小结 185

9.5复习题 185

第四部分：VPN 189

第10章 VPN的概念 189

10.1 VPN定义 189

10.2基于加密与不加密的VPN类型比较 190

10.2.1加密VPN 190

10.2.2非加密VPN 190

10.3基于OSI模型分层的VPN类型 190

10.3.1数据链路层VPN 191

10.3.2网络层VPN 191

10.3.3应用层VPN 191

10.4基于商业功能性的VPN类型 192

10.5内部网VPN 192

10.6外部网VPN 192

10.7小结 193

第11章 GRE 195

11.1 GRE 195

11.2实例研究 198

11.2.1连接两个私有网络的简单GRE隧道 198

11.2.2多个站点间的GRE 202

11.2.3运行IPX的两个站点间的GRE 206

11.3小结 211

11.4复习题 211

第12章 L2TP 213

12.1 L2TP概述 213

12.2 L2TP的功能细节 215

12.2.1建立控制连接 216

12.2.2建立会话 216

12.2.3头格式 218

12.3实例研究 219

12.3.1创建强制型L2TP隧道 220

12.3.2在强制型隧道的创建中使用IPSec保护L2TP通信 235

12.4小结 240

12.5复习题 240

第13章 IPSec 243

13.1 IPSec VPN的类型 244

13.1.1 LAN-to-LAN IPSec实现 244

13.1.2远程访问客户端IPSec实现 245

13.2 IPSec的组成 246

13.3 ME介绍 247

13.3.1主模式（或者主动模式）的目标 248

13.3.2快速模式的目标 249

13.4使用IKE协议的IPSec协商 249

13.4.1使用预共享密钥认证的主模式后接快速模式的协商 249

13.4.2使用数字签名认证后接快速模式的主模式 263

13.4.3使用预共享密钥认证的主动模式 267

13.5 IKE认证机制 270

13.5.1预共享密钥 270

13.5.2数字签名 271

13.5.3加密临时值 272

13.6 IPSec中加密和完整性检验机制 273

13.6.1加密 273

13.6.2完整性检验 275

13.7 IPSec中分组的封装 276

13.7.1传输模式 276

13.7.2隧道模式 276

13.7.3 ESP（封装安全负载） 277

13.7.4 AH（认证头） 278

13.8增强远程访问客户端IPSec的IKE 279

13.8.1扩展认证 279

13.8.2模式配置 282

13.8.3 NAT透明 283

13.9 IPSec失效对等体的发现机制 284

13.10实例研究 285

13.10.1使用预共享密钥作为认证机制的路由器到路由器的IPSec 285

13.10.2使用数字签名和数字证书的路由器到路由器的IPSec 299

13.10.3使用RSA加密临时值的路由器到路由器的IPSec 310

13.10.4一对多路由器IPSec 317

13.10.5 High-Availability-IPSec-Over-GRE设置 323

13.10.6使用x-auth、动态crvpto映射、模式配置和预共享密钥的远程访问IPSec 328

13.10.7 LAN-to-LAN和远程访问的PIX IPSec设置 331

13.10.8使用自发型隧道的L2TP上的IPSec 336

13.10.9 IPSec隧道终点发现（TED） 341

13.10.10 NAT同IPSec的相互作用 354

13.10.11防火墙和IPSec的相互作用 356

13.11小结 357

13.12复习题 357

第五部分：入侵检测 361

第14章 什么是入侵检测 361

14.1对入侵检测的需求 362

14.2基于攻击模式的网络攻击类型 363

14.2.1拒绝服务攻击 363

14.2.2网络访问攻击 363

14.3基于攻击发起者的网络攻击类型 364

14.3.1由受信任的（内部）用户发起的攻击 365

14.3.2由不受信任的（外部）用户发起的攻击 365

14.3.3由没有经验的“脚本少年”黑客发起的攻击 365

14.3.4由有经验的“专业”黑客发起的攻击 366

14.4常见的网络攻击 367

14.4.1拒绝服务攻击 367

14.4.2资源耗尽类型的DoS攻击 367

14.4.3旨在导致常规操作系统操作立即停止的攻击类型 374

14.4.4网络访问攻击 375

14.5检测入侵的过程 378

14.6实例研究：Kevin Metnick对Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的 380

14.7小结 381

第15章 Cisco安全入侵检测 385

15.1 Cisco安全IDS的组件 386

15.2构建管理控制台 389

15.2.1两种类型的管理控制台 389

15.2.2 UNIX Director的内部结构 389

15.2.3 CSPM IDS控制台的内部结构 392

15.3构建传感器 393

15.4对入侵的响应 396

15.4.1日志记录 397

15.4.2 TCP重置 400

15.4.3屏蔽 400

15.5签名类型 401

15.5.1签名引擎（Engine） 402

15.5.2默认的警报级别 403

15.6把路由器、PIX或者IDSM作为传感器使用 404

15.7实例研究 405

15.7.1把路由器作为传感器设备使用 405

15.7.2把PIX作为传感器设备使用 409

15.7.3把Catalyst 6000 IDSM作为传感器使用 412

15.7.4设置路由器或者UNIXDirector进行屏蔽 416

15.7.5创建定制的签名 418

15.8小结 419

15.9复习题 419

第六部分：网络访问控制 423

第16章 AAA 423

16.1 AAA组件的定义 423

16.2认证概述 424

16.3设置认证 425

16.3.1启用AAA 425

16.3.2设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+服务器的访问 425

16.3.3设置方法列表 426

16.3.4应用方法列表 428

16.4授权概述 429

16.5设置授权 429

16.5.1设置方法列表 429

16.5.2应用方法列表 430

16.6统计概述 432

16.7设置统计 433

16.7.1设置一个方法列表 433

16.7.2将方法列表应用到行和/或接口 434

16.8实例研究 435

16.8.1使用AAA对PPP连接进行认证和授权 435

16.8.2使用AAA下载路由和应用访问列表 438

16.8.3使用AAA设置PPP超时 441

16.9小结 443

16.10复习题 443

第17章 TACACS+ 445

17.1 TACACS+概述 446

17.2 TACACS+通信体系结构 446

17.3 TACACS+分组加密 448

17.4 TACACS+的认证 449

17.5 TACACS+的授权 450

17.6 TACACS+的统计 455

17.7小结 457

17.8复习题 458

第18章 RADIUS 461

18.1 RADIUS介绍 461

18.2 RADIUS通信的体系结构 462

18.2.1 RADIUS分组格式 463

18.2.2 RADIUS中的口令加密 464

18.2.3 RADIUS的认证 465

18.2.4 RADIUS的授权 466

18.2.5 RADIUS的统计 472

18.3小结 474

18.4复习题 475

第19章 使用AAA实现安全特性的特殊实例 477

19.1使用AAA对IPSec提供预共享的密钥 478

19.2在ISAKMP中对X-Auth使用AAA 480

19.3对Auth-Proxy使用AAA 482

19.4对VPDN使用AAA 485

19.5对锁和密钥使用AAA 488

19.6使用AAA对命令授权 490

19.7小结 492

19.8复习题 492

第七部分：服务提供商安全 497

第20章 服务提供商安全的利益和挑战 497

20.1拥有服务提供商安全的动机 497

20.1.1阻止和转移攻击的能力 498

20.1.2跟踪流量模式的能力 499

20.1.3向下跟踪攻击源的能力 499

20.2在服务提供商级别上实现安全的挑战 502

20.3服务提供商安全的关键组件 503

20.4小结 503

20.5复习题 503

第21章 有效使用访问控制列表 505

21.1访问控制列表概述 506

21.1.1 ACL的类型 506

21.1.2 ACL的特性和特征 509

21.2使用访问控制列表阻止未经授权的访问 510

21.2.1 ACL的基本访问控制功能 510

21.2.2使用ACL阻塞ICMP分组 511

21.2.3使用ACL阻塞带有欺骗IP地址的分组 512

21.2.4用ACL阻塞去往网络中不可用服务的流量 512

21.2.5使用ACL阻塞已知的冒犯 513

21.2.6使用ACL阻塞假的和不必要的路由 513

21.3使用ACL识别拒绝服务攻击 513

21.3.1使用访问控制列表识别smurf攻击 513

21.3.2使用访问控制列表识别fraggle攻击 515

21.3.3使用访问控制列表识别SYN泛洪 516

21.4使用ACL阻止拒绝服务攻击 517

21.4.1使用ACL阻止来自不合法IP地址的流量 517

21.4.2过滤RFC 1918地址空间 519

21.4.3拒绝其他不必要的流量 519

21.5通过ACL处理IP分片 520

21.5.1过滤IP分片 520

21.5.2保护网络免遭IP分片攻击 524

21.6 ACL对性能的影响 525

21.7 Turbo ACL 526

21.8 NetFlow交换和ACL 529

21.8.1 NetFlow交换功能 529

21.8.2 NetFlow交换使访问控制列表性能增强 529

21.8.3使用NetFlow 530

21.9小结 530

21.10复习题 530

第22章 使用NBAR识别和控制攻击 533

22.1 NBAR概述 534

22.2使用NBAR对分组进行分类 537

22.3使用NBAR检测网络攻击 539

22.3.1用带有简单访问控制列表的DSCP或ToS标记或丢弃分组 539

22.3.2使用带有策略路由的DSCP或者ToS来标记或丢弃经NBAR分类的流量 540

22.3.3用流量管制管理经NBAR分类的流量 541

22.4联合使用NBAR和PDLM对网络攻击分类 541

22.5使用基于NBAR的访问控制技术对性能的影响 542

22.6实例研究：红色代码病毒和NBAR 542

22.7小结 544

22.8复习题 545

第23章 使用CAR控制攻击 547

23.1 CAR概述 548

23.2使用CAR限制速率或者丢弃额外的恶意流量 550

23.2.1限制拒绝务攻击的速率 550

23.2.2限制可疑恶意内容的速率 551

23.3实例研究：使用CAR限制DDoS攻击 552

23.4小结 553

23.5复习题 554

第八部分：故障排除 559

第24章 网络安全实施故障排除 559

24.1 NAT故障排除 560

24.1.1 NAT操作的顺序 560

24.1.2 NAT调试工具 561

24.1.3 NAT show命令 562

24.1.4常见的NAT问题以及解决方案 563

24.2 PIX防火墙故障排除 567

24.2.1引起与PIX相关的问题的根源 567

24.2.2 PIX中NAT操作的顺序 568

24.2.3 PIX调试 568

24.2.4推荐的PIX 6.2超时值 570

24.2.5 PIX show命令 571

24.2.6常见的PIX问题及其解决方法 575

24.2.7 PIX故障排除实例研究 576

24.3 IOS防火墙故障排除 578

24.3.1 IOS防火墙中的操作顺序 578

24.3.2 IOS防火墙的show命令 579

24.3.3常见的IOS防火墙问题及其解决办法 582

24.4 IPSec VPN故障排除 583

24.4.1 IPSec事件的执行顺序 583

24.4.2 IPSec的调试 584

24.4.3 IPSec show命令 588

24.4.4常见的IPSec问题以及解决办法 591

24.5入侵检测故障排除 595

常见的IDS问题及解决办法 595

24.6 AAA故障排除 598

24.6.1 AAA show命令 599

24.6.2 AAA的debug命令 599

24.6.3常见的AAA问题和解决办法 599

24.7小结 606

24.8复习题 607

第九部分：附录 611

附录A 复习题答案 611

附录B SAFE：企业网络安全蓝图白皮书 627