第一部分 安全基础 1
第1章 密码学基础 3
1.1 密码学 3
1.1.1 对称密钥加密 4
1.1.2 不对称加密 7
1.1.3 哈希函数 10
1.1.4 数字签名 11
1.2 认证和授权 13
1.2.1 认证方法 14
1.2.2 信任模式 14
1.4 密钥管理 15
1.3 命名空间 15
1.4.1 创建和分发私钥 16
1.4.2 创建和分发公钥 19
1.5 密钥托管 21
1.5.1 商务情况 22
1.5.2 政府角度 22
1.5.3 人的因素 22
1.6 小结 23
第2章 安全技术 25
2.1 身份认证技术 26
2.1.1 安全口令 26
2.1.2 PPP认证协议 30
2.1.3 使用认证机制的协议 36
2.1.4 FORTEZZA 44
2.2 TCP/IP层中的安全性 46
2.2.1 应用程序安全协议 46
2.2.2 传输层安全协议 47
2.2.3 网络层安全 50
2.2.4 使用TCP/IP层中的安全性 55
2.3 虚拟专用拨号安全技术 56
2.3.1 第2层转发协议 56
2.3.2 点对点隧道协议 58
2.3.3 第2层隧道协议 59
2.3.4 使用VPDN技术 62
2.4 公开密钥基础设施和分发模型 64
2.4.1 PKI的功能 65
2.4.2 使用PKI的情景 66
2.4.3 证书 67
2.4.4 X.509标准 68
2.4.5 证书分发 70
2.5 小结 71
第3章 加密技术的出口控制 73
3.1 美国政策的历史回顾 73
3.2 国际政策的历史回顾 75
3.3.1 真实性的法律证据 80
3.3 数字签名 80
3.3.2 数字签名立法 81
3.4 小结 82
第二部分 企业安全策略 83
第4章 企业网中存在的威胁 85
4.1 威胁的种类 85
4.1.1 未授权访问 85
4.1.2 假冒 87
4.1.3 拒绝服务 89
4.2 威胁的动机 90
4.3 常见弱点 90
4.3.1 TCP/IP协议 91
4.3.2 UDP协议 95
4.3.3 ICMP协议 95
4.3.4 NNTP协议 97
4.3.5 SMTP协议 97
4.3.6 FTP协议 98
4.3.8 X Window系统 98
4.3.9 社会工程 99
4.4 小结 99
第5章 站点安全策略的考虑因素 100
5.1 何处入手 101
5.2 风险管理 102
5.2.1 风险评估 104
5.2.2 风险缓解和安全成本 108
5.3 安全策略框架 110
5.3.1 企业网的组成部分 110
5.3.2 安全体系结构的因素 111
6.2 逻辑安全控制 112
5.3.3 其他考虑因素 113
5.4 小结 114
第6章 企业安全策略的设计与实施 115
6.1 物理安全控制 115
6.1.1 物理网络基础设施 116
6.1.2 物理设备安全性 119
6.2.1 子网边界 123
6.2.2 逻辑访问控制 126
6.3 基础设施和数据完整性 129
6.3.1 防火墙 129
6.3.2 网络服务 131
6.3.3 验证数据 132
6.3.4 常见攻击威胁 133
6.4 数据保密性 134
6.5 为工作人员规定的策略和步骤 134
6.5.1 安全务备份 134
6.5.2 设备认证 135
6.5.3 使用便携式工具 135
6.5.4 审计跟踪 135
6.6 安全意识培训 137
6.7 小结 138
第7章 事故处理 139
7.1 组建事故响应小组 140
7.2 检测事故 141
7.3 处理事故 142
7.3.1 区分操作的优先次序 142
7.3.2 评估事故损害 142
7.3.3 报告和报警过程 143
7.4 事故的响应 144
7.4.1 保持精确的记录 144
7.4.2 现实世界的实例 144
7.5 从事故中恢复 145
7.6 小结 146
第三部分 具体实施 147
第8章 保护公司网络基础设施 149
8.1 身份 150
8.2 完整性 164
8.2.1 映像认证 164
8.2.2 安全的工作组 164
8.2.3 路由认证 165
8.2.4 路由地滤和路由可信度 167
8.3 数据机密性 169
8.4 网络可用性 169
8.4.1 冗余功能 170
8.4.2 防止常见的攻击 175
8.5 审计 177
8.5.1 确认配置 177
8.5.2 监视记录网络活动 177
8.5.3 入侵检测 178
8.5.4 Cisco审计产品 179
8.6 实现示例 179
8.7 小结 182
第9章 保护Internet访问 183
9.1 Internet访问体系结构 183
9.2.1 Cisco IOS过滤器 185
9.2 外部屏蔽路由器体系结构 185
9.3 高级访火墙体系结构 192
9.3.1 高级包会话过滤 193
9.3.2 应用内容过滤 194
9.3.3 应用认证/授权 196
9.3.4 加密 197
9.3.5 网络地址转换 199
9.4 实施的示例 202
9.4.1 Cisco IOS防火墙 202
9.4.2 具有屏蔽IOS路由器的PIX防火墙 209
9.5 小结 221
第10章 拨号访问保护 223
10.1 拨号安全性因素 224
10.2 拨号用户和设备的认证 225
10.2.1 简单拨号环境 225
10.2.2 复杂拨号环境 231
10.3 授权 235
10.3.1 TACACS+和RADIUS授权 235
10.3.2 锁和密钥特征 240
10.3.3 双重认证/授权 246
10.4 帐户管理和记帐 253
10.4.1 TACACS+和RADIUS帐户管理 253
10.4.2 集中记帐 254
10.5 虚拟拨号环境的其他考虑因素 256
10.5.2 带CET的GRE 257
10.5.3 Ipsec的L2TP 259
10.6 实施示例 261
10.6.1 带CET的GRE 261
10.6.2 带Ipsec的L2TP 267
10.7 小结 290
第四部分 附录 291
附录A 技术信息资源 293
A.1 密码术和网络安全手册 293
A.2 防火墙手册 293
A.3 由IETF开发的有关安全技术标准和草案的IETF工作组和站点 294
A.4 有关网络安全策略范围和内容方面的文档 294
A.7 Cisco安全产品信息 295
A.5 事故响应小组 295
A.6 有关安全性的其他站点 295
附录B 报告和预览指南:工业间谍和网络入侵 297
B.1 即时问题 298
B.2 报告选择 298
B.3 执行调查 298
B.4 工作环境的选择 298
B.5 拟定计划 299
B.6 法律和法律程序 299
B.7 计算机和网络系统 300
B.8 雇员 300
B.9 保护专材料的方法 301
B.10 文档控制 302
B.11 与外来者/竞争者联系 302
B.12 管理人员和监督人员 302
B.13 报告过程——奖赏 303
B.14 情报收集方法 303
B.15 观察脆弱的连接 303
B.16 美国加州有关法律 304
B.17 美国有关法规 305
B.18 Santa Clara County (圣他克拉拉县,硅谷)的个案 305
附录C 端口号 307
附录D 词汇表 309