第一章 Internet/Intranet解决方案综述 1
1.1 概述 2
1.1.1 Intranet在中国的诞生 2
1.1.2 Intranet的实质 2
1.1.3 Intranet解决方案的基本结构 3
1.1.4 面向业务系统的解决方案 4
1.2 网络建设背景 4
1.2.1 系统目标及任务 4
1.2.2 设计原则 6
1.3 Internet/Intranet的组成、结构与功能 6
1.3.1 Intranet的网络逻辑构成 6
1.3.2 操作系统及应用系统结构逻辑图 8
1.4 网络系统连接结构 9
1.4.1 主干网技术的选择 9
1.4.2 网络拓扑结构 12
1.5 本章小结 13
1.4.3 网络通信协议 13
第二章 TCP/IP介绍 15
2.1 OSI参考模型 16
2.2 TCP/IP 17
2.3 IP层 19
2.3.1 IP数据包格式 20
2.3.2 IP地址 21
2.3.3 子网 21
2.3.4 网络掩码 22
2.3.5 IP冲突 23
2.3.6 IP欺骗攻击的防范 23
2.3.7 IP层其他控制协议 24
2.4 TCP和UDP 25
2.5 应用层 26
2.6 端口 27
2.7 本章小结 29
第三章 标准和非标准的TCP/IP服务 31
3.1 远程登录 32
3.2 文件传输协议 33
3.2.1 FTP 33
3.2.2 提供匿名FTP服务 33
3.2.3 TFTP 38
3.2.4 UUCP 38
3.2.5 FSP 38
3.2.6 RCP 38
3.3 电子邮件 39
3.4 Usenet新闻 41
3.5 万维网 42
3.5.1 WWW 42
3.5.2 Gopher 43
3.5.3 广域网信息服务 43
3.5.4 Archie 43
3.6 网上成员信息查询 44
3.6.1 finger 44
3.7.1 talk 45
3.6.2 whois 45
3.7 实时会议服务 45
3.7.2 IRC 46
3.7.3 MBONE 46
3.8 名字服务 46
3.9 网络管理服务 47
3.10 时间服务 48
3.11 NIS系统 49
3.11.1 NIS结构 49
3.11.2 NIS安全脆弱性 50
3.11.3 攻击NIS的例子 51
3.11.4 可能的解决方法 52
3.12 网络文件系统 53
3.12.1 NFS的协议层次 53
3.12.2 RPC 53
3.12.3 XDR 54
3.12.6 服务器端的NFS进程 55
3.12.4 NFS的两个协议 55
3.12.5 客户端的NFS相关进程 55
3.12.7 从服务器端调出文件系统 56
3.12.8 客户端的相关信息 57
3.12.9 NFS的RPC认证 57
3.12.10 不安全的NFS对系统的危害 58
3.12.11 安全NFS 59
3.13 窗口系统 59
3.14 打印系统 60
3.15 编写安全的守护程序 60
3.15.1 程序安全的重要性 61
3.15.2 SUID/SGID程序的设计 63
3.15.3 root程序的设计 64
3.15.4 编写安全的网络程序 64
3.16 本章小结 65
第四章 广域网络连接技术 67
4.1 广域网的连接方式 68
4.2 连接广域网常用网络设备 70
4.2.1 调制解调器 70
4.2.2 通信服务器 72
4.2.3 网桥和路由器 72
4.3 VSAT 73
4.4 PPP和SLIP 74
4.4.1 PPP 75
4.4.2 SLIP 76
4.5 帧中继 77
4.6 X.25 78
4.7 ATM 79
4.8 路由 80
4.8.1 静态路由 80
4.8.2 动态路由 82
4.8.3 外部路由 82
4.9 本章小结 83
第五章 Windows NT的安全机制 85
5.1 Windows NT的安全概述 86
5.2 Windows NT中的术语 87
5.2.1 Windows NT中的对象 87
5.2.2 Windows NT服务器和Windows NT工作站 88
5.2.3 工作组 88
5.2.4 域 88
5.2.5 域控制器 88
5.2.6 Windows NT注册表 89
5.3 Windows NT的安全模型 89
5.3.1 Windows NT的安全子系统 90
5.3.2 Windows NT中的登录上网 92
5.3.3 登录标志 92
5.3.4 Windows NT登录的过程 93
5.3.5 可根据需要选择的存取控制 93
5.3.6 存取标识 94
5.4 Windows NT环境中的用户帐户 95
5.5 NT文件系统的安全性 96
5.6 Windows NT域 98
5.7 域委托关系的安全概念 99
5.8 本章小结 101
第六章 UNIX系统的安全性 103
6.1 UNIX的用户帐户 104
6.2 UNIX文件系统 104
6.3 UNIX的NIS 107
6.3.1 NIS与分布环境的管理 107
6.3.2 NIS组成 108
6.3.3 NIS映射的数据 110
6.4 本章小结 111
第七章 认证和加密 113
7.1 认证 114
7.1.1 认证的种类 114
7.1.2 认证服务器存在的问题 116
7.1.3 认证服务器的商用解决方案 116
7.2.1 加密层次 117
7.2 网络级加密 117
7.2.2 加密对象 118
7.2.3 加密地点 119
7.2.4 密钥分配 119
7.3 本章小结 120
第八章 域名系统 121
8.1 域名系统的结构 122
8.2 名字服务器 124
8.3 解析器 125
8.4 地址到名字的映射 128
8.5 UNIX名字服务——BIND 130
8.5.1 named的配置 130
8.5.2 标准资源记录 133
8.5.3 缓存初始化文件 134
8.5.4 自反地址映射文件 136
8.5.5 反向域文件 136
8.5.6 名字到地址的转换文件 137
8.6 名字欺骗技术 139
8.7 本章小结 141
第九章 防火墙技术 143
9.1 Internet上的安全性问题 144
9.2 防火墙简介 144
9.3 防火墙的一般组成 145
9.4 防火墙的不同实现技术 147
9.4.1 数据包过滤技术 148
9.4.2 过滤FTP会话 151
9.4.3 应用层网关 153
9.4.4 应用层网关的优缺点 154
9.4.5 代理服务 154
9.4.6 数据包过滤和代理服务的比较 156
9.5 网络拓扑结构和防火墙技术的关系 157
9.6 本章小结 160
第十章 名字服务器和防火墙的配合 161
10.1 名字服务器的数据包特性 162
10.2 名字服务器的代理特性 164
10.3 分散的名字服务器策略 165
10.3.1 外部计算机的名字服务器 165
10.3.2 堡垒主机的名字服务器 166
10.3.3 内部计算机的名字服务器 167
10.4 名字服务器的位置 167
10.5 非透明防火墙网络的名字服务器 169
10.5.1 内部名字服务的配置 170
10.5.2 外部名字服务器的配置 171
10.5.3 堡垒主机的名字服务器配置 172
10.6 透明防火墙的名字服务器 175
10.6.1 外部名字服务器 176
10.6.2 内部名字服务器 177
10.6.3 数据包过滤 180
10.7 设置名字服务器来隐藏信息 181
10.7.1 在堡垒主机上建立伪名字服务器供外界使用 182
10.7.3 堡垒名字服务器客户机查询内部服务器 183
10.7.2 内部名字服务器客户机查询内部服务器 183
10.7.4 数据包过滤 184
10.8 本章小结 185
第十一章 穿越防火墙的远程登录和远程执行 187
11.1 Telnet及它的代理性 188
11.2 远程命令执行 191
11.2.1 BSDr命令的数据包特性 192
11.2.2 BSDr命令的代理特性 193
11.3 远程执行命令rexec 193
11.3.1 rexec的数据包过滤特性 193
11.3.2 rexec的代理特性 194
11.4 远程执行命令rex 194
11.4.1 rex的数据包过滤特性 194
11.4.2 rex的代理特性 194
11.5 本章小结 194
第十二章 穿越防火墙的文件传输 197
12.1.1 FTP的数据包特性 198
12.1 文件传输协议 198
12.1.2 FTP的代理特性 201
12.2 简单文件传输协议 202
12.2.1 TFTP的数据包过滤特性 202
12.2.2 TFTP的代理特性 202
12.3 文件服务协议 203
12.3.1 FSP的数据过滤特性 203
12.3.2 FSP的代理特性 203
12.4.1 NFS的数据包过滤特性 204
12.4 网络文件系统 204
12.4.2 NFS的代理特性 205
12.5 本章小结 205
第十三章 网络管理服务与防火墙的配合 207
13.1 简单网络管理协议 208
13.1.1 SNMP的数据包特性 208
13.3 ping 209
13.2.2 RIP的代理特性 209
13.2.1 RIP的数据包特性 209
13.1.2 SNM的代理特性 209
13.2 路由信息协议 209
13.3.1 ping数据包过滤特性 210
13.3.2 ping的代理特性 210
13.4 traceroute 210
13.4.1 traceroute数据包特性 211
13.5 其他ICMP数据包 212
13.6 网络信息服务/黄页 212
13.4.2 traceroute的代理特性 212
13.6.1 NIS/YP的数据包过滤特性 213
13.6.2 NIS/YP的代理特性 213
13.7 网络上的信息查询 213
13.7.1 finger的数据包过滤特性 214
13.7.2 finger的代理特性 214
13.7.3 whois 214
13.7.4 whois的数据包过滤特性 214
13.8 本章小结 215
13.7.5 whois的代理特性 215
第十四章 穿越防火墙的新闻服务 217
14.1 NNTP的数据包特性 218
14.2 NNTP的代理性 219
14.3 NNTP的数据包过滤 220
14.4 本章小结 221
第十五章 防火墙之外 223
15.1 网络安全检查——Secure Test和Security Health Check 224
15.2 防火墙安全分析 225
15.2.1 SecureVIEW体系结构 226
15.2.2 丰富的分析和报告 226
15.2.3 灵活的和可定制的输出 228
15.2.4 SecureVIEW的重要特性 229
15.3 网络传输内容安全性域网络过滤软件 229
15.3.1 MIMEsweeper 229
15.4.1 SAFEsuite 230
15.4 入侵检测和扫描 230
15.3.3 WebSENSE 230
15.3.2 SurfWatch 230
15.4.2 扫描工具 231
15.4.3 其他 233
15.5 本章小结 233
第十六章 电子邮件系统 235
16.1 电子邮件 236
16.2 电子邮件的地址 237
16.3 邮件网关 239
16.4 邮件格式 240
16.4.1 非ASCII码数据的MIME扩展 240
16.4.2 MIME多部分报文 242
16.5 简单邮件传送协议 243
16.6 MX记录 244
16.6.1 MX算法 246
16.6.2 设置MX记录 247
16.6.3 构造MX列表 252
16.7 本章小结 254
第十七章 企业邮件和Internet的连接 255
17.1 概述 256
17.2 邮件网关的选择 257
17.3 为局域网邮件用户传入邮件 258
17.4 传出邮件方案 259
17.4.1 传出的局域网邮件方案一 259
17.4.2 传出的局域网邮件方案二 260
17.4.3 传出的局域网邮件方案三 261
17.5 本章小结 262
第十八章 Notes的邮件规划 263
18.1 Notes邮件特性 264
18.2 Domino邮件服务器 264
18.3 Notes邮件的相关概念 265
18.3.1 网络域 265
18.3.2 命名网络 265
18.3.5 邮递表 266
18.3.6 邮箱 266
18.3.4 连接文档 266
18.3.3 公用通讯录 266
18.3.7 邮件优先级 267
18.3.8 邮件文件 267
18.4 Notes邮件规划和邮递算法 267
18.4.1 Notes网络域中邮件传递算法 268
18.4.2 Domino命名网络中邮件邮递算法 268
18.5 Notes邮件在Internet上的邮递 269
18.6 SMTP/MIME MTA的结构 270
18.6.1 SMTP/MIME MTA任务组件 270
18.6.2 SMTP/MIME MTA的数据库 272
18.7 Notes和Internet之间的邮件传输 273
18.7.1 从Notes到Internet的传输 273
18.7.2 从Internet到Notes传输邮件 274
18.8 配置SMTP/MIME MTA 275
18.8.1 MTA配置的前期准备工作 275
18.8.2 SMTP/MIME MTA和Internet直接连接 277
18.8.3 通过防火墙或邮件中继系统和Internet连接 278
18.8.4 通过防火墙和Internet连接同时直接邮递Internet消息 279
18.8.5 同时使用两个MTA分别用于Internet消息和Intranet消息 281
18.9 本章小结 283
第十九章 PGP及其安全性 285
19.1 PGP简介 286
19.2 PGP原理 286
19.2.1 RSA算法 286
19.2.3 数字签名 287
19.2.2 消息文摘 287
19.2.4 PGP的密钥管理 288
19.3 PGP的安全性 289
19.3.1 IDEA的安全性 290
19.3.2 RSA的安全性 290
19.3.3 MD5的安全性 293
19.3.4 随机数的安全性问题 294
19.3.7 PGP的时间标戳可靠性 295
19.3.5 PGP的密钥和口令的安全性问题 295
19.3.6 没有完全删除的文件 295
19.3.8 流量分析 296
19.3.9 现实的PGP攻击 296
19.4 本章小结 297
第二十章 WWW的安全性 299
20.1 Web与HTTP协议 300
20.1.1 Web的访问控制 301
20.1.2 HTTP安全考虑 303
20.1.3 安全超文本传输协议 304
20.1.4 安全套接层 305
20.1.5 缓存的安全性 305
20.2 WWW服务器的安全漏洞 306
20.2.1 NCSA服务器的安全漏洞 306
20.2.2 Apache WWW服务器的安全问题 307
20.3 CGI程序的安全性问题 308
20.3.1 CGI程序的编写应注意的问题 308
20.2.3 Netscape的WWW服务器的安全问题 308
20.3.2 CGI脚本的激活方式 309
20.3.3 不要依赖于隐藏变量的值 309
20.3.4 WWW客户应注意的问题 309
20.3.5 使用Perl的感染检查 310
20.3.6 CGI的权限问题 313
20.4 Plug-in的安全性 315
20.5 SSL的加密的安全性 315
20.6 Java与JavaScript 316
20.6.1 Java applet的安全性问题 317
20.6.2 JavaScript的安全性问题 319
20.7 ActiveX的安全性 320
20.8 Cookies的安全性 321
20.9 本章小结 322
第二十一章 Internet网络管理 323
21.1 网络管理的功能 324
21.2 网络管理概念 325
21.3 网络管理标准 326
21.3.1 框架标准 327
21.3.2 功能标准 327
21.3.3 通信标准 327
21.3.4 信息标准 328
21.4 网络管理策略 328
21.5 网络管理协议介绍 329
21.6 协议的体系结构 330
21.6.1 管理信息标准 331
21.6.2 MIB变量的例子 332
21.6.3 管理信息结构 333
21.7 ASN.1形式定义 333
21.8 一个标准网络管理协议 337
21.9 SNMP的安全性 340
21.9.1 和安全性相关的概念 340
21.9.2 SNMP V1的安全性问题 342
21.9.3 SNMP V2的安全性 342
21.10 网络管理工具介绍 343
21.10.1 NetView 344
21.10.2 Accumaster 345
21.10.3 ServiceView 346
21.11 本章小结 347
第二十二章 计费解决方案 349
22.1 拨号接入服务的用户认证、管理和计费系统 350
22.1.1 用户计费系统的管理 350
22.1.2 个人查询 351
22.2 Internet/Intranet流量统计计费系统 352
22.3 计费系统主机的位置 354
22.4 All In One服务器 355
22.5 本章小结 356
第二十三章 数据库系统的安全性 357
23.1 数据库安全性要求 358
23.2 数据库的完整性 359
23.3 元素的完整性 359
23.5 访问控制 360
23.4 可审计性 360
23.6 用户认证 361
23.7 可获性 361
23.7.1 访问判决 361
23.7.2 间接攻击 362
23.7.3 对统计推理攻击的控制 365
23.8 本章小结 368
第二十四章 SQL服务器的安全性 369
24.1 管理用户帐户 370
24.1.1 数据库访问介绍 370
24.1.2 SQL服务器登录标识符 371
24.1.3 数据库用户 372
24.1.4 数据库用户别名 373
24.1.5 数据库组 374
24.2 登录安全模式介绍 374
24.2.1 标准安全模式 375
24.2.2 集成安全模式 376
24.2.3 混合安全模式 377
24.3 用户许可简介 378
24.3.1 语句许可与对象许可 378
24.3.2 许可等级 379
24.4 本章小结 381
第二十五章 Oracle的安全性 383
25.1 Oracle安全性概述 384
25.2 安全管理方法 384
25.2.1 用户名及口令的建立 384
25.2.2 用户名及口令的撤消 385
25.2.3 自动注册 385
25.2.4 Oracle用户的权限 386
25.2.5 授权及收回 387
25.2.6 授予和收回对数据库的存取权限 387
25.3 数据库的并发控制 388
25.3.1 事务 389
25.3.2 并发控制 389
25.3.3 死锁问题的处理 391
25.4 本章小结 392
第二十六章 高可用性技术 393
26.1 HA系统产生的背景 394
26.2 HA系统体系结构比较 396
26.2.1 双机硬盘镜象 397
26.2.2 双机分布式硬盘镜象 398
26.2.3 双机-双端口磁盘阵列 398
26.3 双机-双端口磁盘阵列HA系统的实现 399
26.4 磁盘阵列 402
26.4.1 概述 402
26.4.2 各种RAID级别介绍 402
26.5 现有的高可用性解决方案 406
26.6 高可用性产品 407
26.7 本章小结 408
第二十七章 Lotus Notes和Internet/Intranet 409
27.1 Domino的Internet特性 410
27.1.1 Domino基层结构 411
27.1.2 使用Domino创建交互式Web站点 412
27.1.3 创建Web站点的工具 412
27.1.4 使用Domino建立新闻组 413
27.2 Domino和Intranet 413
27.3 本章小结 414
第二十八章 Notes系统的安全性 415
28.1 Domino系统的安全性 416
28.1.1 防火墙 417
28.1.2 加密 417
28.1.3 Internet活动追踪 417
28.1.4 Notes客户机 417
28.2 网络安全性 418
28.2.1 禁止未授权访问 418
28.2.2 防止病毒 418
28.2.3 保护物理系统 418
28.4 Domino服务器安全性 419
28.3 层次结构名称 419
28.5 Web浏览器安全性 420
28.6 Notes客户机安全性 421
28.7 数据库安全性 421
28.7.1 存取级别 422
28.7.2 执行权限 422
28.7.3 角色 422
28.9 控制存取数据库设计元素 423
28.8 数据库加密 423
28.10 邮件安全性 424
28.11 本章小结 424
第二十九章 政务电子办公信息系统 425
29.1 信息管理系统结构设计 426
29.2 信息管理系统功能组件介绍 428
29.3 本章小结 431
第三十章 Exchange Server及其安全性 433
30.1 Microsoft Exchange的层次结构 434
30.2 服务器体系结构 435
30.1.2 客户机和服务器之间的通信 435
30.1.1 与Windows NT Server的集成 435
30.3 核心组件 436
30.3.1 目录 436
30.3.2 信息仓库 438
30.3.3 邮件传输代理 438
30.3.4 系统服务程序 439
30.4 可选组件 439
30.5.1 Schedule+ 440
30.5 客户机体系结构 440
30.5.2 表单设计程序 441
30.5.3 可选的信息服务 441
30.6 服务器的高级安全保护 441
30.6.1 高级安全保护工作原理 442
30.6.2 密钥管理服务器 443
30.7 数字签名 443
30.7.1 邮件签名 444
30.8.1 改变在服务器安装过程中创建的共享目录的权限 445
30.8 增加Microsoft Exchange Server安全保护 445
30.7.2 加密邮件 445
30.7.4 选择加密类型 445
30.7.3 解密邮件 445
30.8.2 配置加密RPC 447
30.9 保护Internet连接 447
30.9.1 配置Internet邮件连接器 447
30.9.2 保护用户帐号 447
30.9.3 使用Windows NT文件系统 448
30.9.4 使用和配置服务 448
30.9.5 使用Internet邮件连接器连接到SMTP主机 448
30.9.6 使用Internet连接站点 448
30.9.7 DNS 448
30.10 允许客户在Internet上安全地连接 449
30.10.1 指定宿主服务器 449
30.10.2 配置由宿主服务器域验证 449
30.11 本章小结 450
30.10.3 配置防火墙允许RPC通信 450
第三十一章 报表编辑和数据填充系统 451
31.1 概述 452
31.2 通信机制 452
31.3 软件组成和功能 453
31.3.1 报表查询子系统 453
31.3.2 报表设计子系统 455
31.3.3 Web报表上载系统 458
31.4 本章小结 458
第三十二章 综合应用实例 459
32.1 背景 460
32.2 需求分析 460
32.3 ACME组成、功能与结构 461
32.3.1 ACME的组成 461
32.3.2 系统结构 462
32.3.3 功能要求 462
32.4 系统物理配置 466
32.4.2 Internet和信息服务设备配置 467
32.4.1 网络连接设备配置 467
32.4.3 OA和系统化业务支持设备配置 468
32.4.4 应用开发设备配置 468
32.4.5 网络/电话综合线系统 468
32.4.6 某开发区节点配置 468
32.5 安全考虑 469
32.5.1 攻击入口 469
32.5.2 安全构件的设置 470
32.6 本章小结 472
附录A 内容安全工具——MIMEsweeper 473
附录B 扫描工具 475
附录C 网络监听工具 478
附录D 检测和分析工具 480
附录E 网络访问控制验证工具 481
附录F 一些防火墙产品 483
附录G 一些邮件安全工具 486