第1章 网络安全分析与规划 1
1.1安全风险分析 1
1.1.1资产保护 1
1.1.2网络攻击 2
1.1.3风险管理 3
1.2网络信息安全防御体系 4
1.2.1网络信息安全防御体系的特性 4
1.2.2运行机制 5
1.2.3实现机制 6
1.2.4网络威胁 7
1.3网络安全技术 8
1.3.1防病毒技术 8
1.3.2防火墙技术 9
1.3.3入侵检测技术 10
1.3.4安全扫描技术 10
1.3.5网络安全紧急响应体系 11
1.4网络设备系统安全 11
1.4.1网络设备的脆弱性 11
1.4.2部署网络安全设备 12
1.4.3 IO S安全 12
1.5局域网接入安全 12
1.5.1常规接入安全措施 13
1.5.2 NAC技术 13
1.5.3 NAP技术 13
1.5.4 TNC技术 14
1.6服务器系统安全 14
1.6.1服务器硬件安全 14
1.6.2操作系统安全 14
1.7网络应用服务安全 15
1.8数据安全 15
1.8.1数据存储安全 15
1.8.2数据访问安全 16
1.9 Internet接入安全 17
1.9.1代理服务器 17
1.9.2防火墙 17
1.10远程访问安全 18
1.10.1 IPSec VPN远程安全接入 18
1.10.2 SSL VPN远程安全接入 18
1.11数据灾难与数据恢复 18
1.12网络管理安全 19
1.12.1安全管理规范 19
1.12.2网络管理 20
1.12.3安全管理 20
1.13网络安全规划与设计 21
1.13.1网络安全规划原则 21
1.13.2划分VLAN和PVLAN 22
1.13.3客户端安全 23
第2章 服务器系统安全 24
2.1服务器系统安全概述 24
2.1.1影响服务器系统安全的因素 24
2.1.2系统安装的注意事项 25
2.1.3系统服务配置的注意事项 25
2.1.4补丁安装的注意事项 26
2.1.5 Internet防火墙简介 27
2.1.6服务端口与端口威胁 27
2.2 Windows Update配置及应用 28
2.2.1配置Windows Update 29
2.2.2安装系统更新 30
2.3系统管理员账户 31
2.3.1默认组权限 31
2.3.2更改Administrator账户名称 33
2.3.3系统管理员口令设置 35
2.3.4创建陷阱账户 37
2.4磁盘访问权限 38
2.4.1权限范围 38
2.4.2设置磁盘访问权限 39
2.4.3查看磁盘权限 40
2.5系统账户数据库 40
2.5.1启用加密 41
2.5.2删除系统账户数据库 42
2.6安全配置向导 43
2.6.1配置和应用安全配置向导注意事项 43
2.6.2配置安全服务 43
2.6.3应用安全配置策略 49
2.7配置Windows防火墙 50
2.8关闭端口 52
2.8.1查看端口 53
2.8.2启动/关闭服务 55
2.9系统服务安全 56
2.9.1服务账户 56
2.9.2服务权限 56
2.9.3漏洞和应对措施 57
2.9.4配置系统服务安全 58
2.10安全策略 59
2.10.1账户策略 59
2.10.2限制用户登录 61
2.10.3审核策略 63
2.10.4 IPSec安全策略 66
第3章 系统漏洞扫描 73
3.1漏洞概述 73
3.1.1漏洞的特性 73
3.1.2漏洞生命周期 74
3.2漏洞扫描 75
3.2.1漏洞扫描概述 75
3.2.2 MBSA 76
3.2.3 360安全卫士 83
3.2.4 X-Scan 85
3.2.5系统补丁部署概述 89
3.3漏洞预警 90
3.3.1安全中心 91
3.3.2中文速递邮件服务 91
3.3.3中文网络广播 92
3.4 Windows系统更新管理 93
3.4.1 WSUS概述 93
3.4.2 WSUS服务器的安装 94
3.4.3配置WSUS服务器常规选项 97
3.4.4计算机分组管理 100
3.4.5同步和管理更新 102
3.4.6为客户端审批更新 104
3.4.7 WSUS客户端的安装和设置 107
3.4.8客户端更新部署 111
第4章 网络应用服务安全 112
4.1活动目录安全 112
4.1.1限制用户登录域控制器 112
4.1.2目录访问权限 114
4.1.3只读域控制器 114
4.1.4可以重启的AD DS 119
4.1.5辅助域控制器 120
4.1.6信任关系类型 122
4.1.7创建信任关系 124
4.1.8 SYSVOL目录概述 126
4.1.9 SYSVOL重定向 127
4.1.10更改SYSVOL存储空间 130
4.1.11全局编录概述 131
4.1.12添加全局编录服务器 132
4.2 IIS安全机制 133
4.2.1 IIS访问控制安全 133
4.2.2 NTFS访问安全 134
4.2.3身份验证 135
4.2.4 IIS安装安全 136
4.3 Web网站访问安全 136
4.3.1用户控制安全 136
4.3.2访问权限控制 138
4.3.3 IPv4地址控制 141
4.3.4设置内容过期 143
4.3.5内容分级设置 143
4.4安全Web网站 145
4.4.1 Web服务器端设置 145
4.4.2客户端设置 147
4.5 FTP站点访问安全 147
4.5.1设置TCP端口 148
4.5.2连接数量限制 148
4.5.3用户访问安全 149
4.5.4文件访问安全 151
第5章 网络病毒防御 152
5.1病毒概述 152
5.1.1计算机病毒 152
5.1.2木马病毒 153
5.1.3蠕虫病毒 154
5.1.4网页病毒 154
5.1.5恶意软件 155
5.1.6中毒症状 156
5.1.7传播途径 157
5.1.8计算机病毒的危害 158
5.2网络防病毒软件 159
5.2.1网络防病毒系统 159
5.2.2服务器端与客户端 159
5.3 McAfee防病毒产品 160
5.3.1 McAfee防病毒产品的特点 160
5.3.2 McAfee ePolicy Orchestrator 161
5.4 Symantec AntiVirus 163
5.4.1 Symantec Endpoint Protection的功能与特点 163
5.4.2 Symantec Network Access Control概述 164
5.4.3 Symantec Endpoint Protection Manager概述 165
5.4.4可选组件 165
5.4.5 Symantec Endpoint Protection Manager的工作方式 165
5.4.6 Symantec Endpoint Protection Manager的功能 166
5.5瑞星杀毒软件网络版 166
5.5.1版本分类 167
5.5.2瑞星网络防病毒系统的构成 167
5.6 Symantec Endpoint Protection企业版的安装 168
5.6.1安装要求 169
5.6.2安装Symantec Endpoint Protection Manager 170
5.6.3配置Symantec Endpoint Protection Manager 171
5.6.4迁移和部署向导 174
5.6.5安装Symantec Endpoint Protection Manager Web控制台 177
5.7安装Endpoint Protection Manager客户端 177
5.7.1安装受管理客户端 178
5.7.2部署非受管客户端 182
5.8升级病毒库 184
5.8.1安装LiveUpdate管理工具 184
5.8.2登录Symantec LiveUpdate Administrator 185
5.8.3配置LiveUpdate 186
5.8.4下载和分发 187
5.8.5配置LiveUpdate策略 190
第6章 网络设备系统安全 193
6.1网络设备系统安全概述 193
6.1.1登录密码安全简介 193
6.1.2配置命令级别安全简介 194
6.1.3 SNMP安全简介 195
6.1.4终端访问限制安全简介 195
6.1.5 HTTP服务安全简介 195
6.1.6系统安全日志 196
6.1.7 IOS系统版本升级 198
6.2登录密码安全详解 199
6.2.1配置Enable密码 199
6.2.2配置Telnet密码 199
6.2.3配置管理用户 200
6.3配置命令级别安全详解 200
6.3.1配置多个用户级别 200
6.3.2登录和离开授权级别 201
6.4终端访问限制安全详解 201
6.4.1控制虚拟终端访问 201
6.4.2控制会话超时 202
6.5 SNMP安全详解 202
6.5.1配置SNMP字符串 202
6.5.2配置SNMP组和用户 203
6.5.3 SNMP配置实例 204
6.6 HTTP服务安全 205
6.6.1关闭HTTP服务 205
6.6.2配置安全HTTP服务 206
6.6.3配置安全HTTP客户端 207
6.7系统安全日志 207
6.7.1启用系统日志信息 207
6.7.2设置日志信息目的设备 208
6.7.3配置日志消息的时间戳 209
6.7.4配置日志序列号 209
6.7.5定义消息严重等级 210
6.7.6限制日志发送到历史表和SNMP 210
6.7.7配置UNIX系统日志服务器 211
6.8 IOS系统版本升级 212
6.8.1备份系统软件映像 212
6.8.2恢复或升级系统软件映像 214
第7章 局域网接入安全 216
7.1局域网接入安全概述 216
7.1.1基于端口的传输控制简介 216
7.1.2动态ARP检测简介 217
7.1.3基于端口的认证安全简介 217
7.1.4 VLAN安全简介 218
7.1.5 PVLAN安全简介 219
7.1.6 MAC和VLAN访问列表简介 221
7.2基于端口的传输控制详解 222
7.2.1风暴控制 222
7.2.2流量控制 224
7.2.3保护端口 224
7.2.4端口阻塞 225
7.2.5端口安全 225
7.2.6传输速率限制 227
7.2.7 MAC地址更新通知 228
7.2.8绑定IP和MAC地址 231
7.3动态ARP检测详解 231
7.3.1动态ARP检测的配置方针 232
7.3.2在DHCP环境下配置动态ARP检测 232
7.3.3在无DHCP环境下配置ARP ACL 233
7.3.4限制ARP数据包的速率 234
7.3.5运行有效检测 235
7.3.6配置日志缓冲 235
7.3.7显示动态ARP检测信息 236
7.4基于端口的认证安全详解 236
7.4.1配置IEEE 802.1 x认证 237
7.4.2配置交换机到radius服务器的通信 237
7.4.3配置重新认证周期 238
7.4.4修改安静周期 239
7.5 VLAN安全详解 239
7.5.1划分VLAN 239
7.5.2设置VLAN trunk过滤 243
7.6 PVLAN安全详解 245
7.6.1配置PVLAN 245
7.6.2将VLAN配置为PVLAN 245
7.6.3关联主VLAN与辅VLAN 246
7.6.4配置PVLAN混杂端口 246
7.6.5配置PVLAN host端口 247
7.6.6配置PVLAN Trunk端口 247
7.6.7将辅VLAN映射为主VLAN三层VLAN接口 248
7.7使用Cisco CNA配置安全 249
7.7.1 CNA可管理的设备 249
7.7.2 Cisco CNA安全导向 249
7.7.3配置端口安全 254
7.7.4配置ACL 258
7.7.5创建IP访问列表 259
7.7.6 MAC扩展访问列表 265
7.7.7应用ACL 266
7.7.8时间访问列表 267
第8章 路由器安全 269
8.1路由器连接策略 269
8.2路由器面板 270
8.3路由器连接 272
8.3.1与局域网设备之间的连接 272
8.3.2与Internet接入设备的连接 273
8.4访问控制列表 275
8.4.1访问列表的类型 275
8.4.2配置访问列表注意事项 276
8.4.3访问列表配置步骤 278
8.5 IP访问列表 278
8.5.1创建标准访问列表 278
8.5.2创建扩展访问列表 279
8.5.3创建IP访问列表名称 280
8.6时间访问列表 282
8.6.1基于时间的访问列表 282
8.6.2相关配置命令 284
8.6.3将IP访问列表应用到接口 284
8.7 MAC访问列表 285
8.7.1创建端口扩展访问列表名称 285
8.7.2将端口访问列表应用到二层接口 285
8.8网络地址转换 286
8.8.1 NAT概述 286
8.8.2静态地址转换 287
8.8.3动态地址转换 288
8.8.4端口复用地址转换 289
8.9使用SDM配置路由器 290
8.9.1 Cisco SDM简介 291
8.9.2 SDM配置路由器——防火墙和ACL 292
8.9.3 SDM配置路由器——安全审计 293
8.9.4 SDM 配置路由器——NAT 296
8.10创建并应用VLAN访问列表 298
8.11网络攻击安全防范 300
8.11.1 IP欺骗防范 300
8.11.2 SYN淹没防范 301
8.11.3 Ping攻击防范 302
8.11.4 DoS和DDoS攻击防范 303
第9章 网络安全设备 304
9.1网络防火墙 304
9.1.1网络防火墙简介 304
9.1.2防火墙的主要功能 306
9.1.3防火墙的局限性 307
9.1.4防火墙的脆弱性 307
9.2入侵检测系统 308
9.2.1 IDS概述 308
9.2.2 IDS的优势 308
9.2.3 IDS的缺陷 309
9.3入侵防御系统 310
9.3.1 IPS概述 310
9.3.2 IPS的技术特征 311
9.3.3 IPS的分类 312
9.3.4 IPS的技术优势 313
9.3.5 IPS的缺陷 314
9.4漏洞扫描系统 315
9.4.1计算机漏洞的概念 315
9.4.2存在系统漏洞的原因 315
9.4.3漏洞扫描概述 316
9.4.4常用漏洞扫描工具 316
9.5 Cisco ASDM概述 317
9.5.1 Cisco ASDM特点 317
9.5.2 Cisco安全设备准备 319
9.5.3 Cisco ASDM安装配置 319
9.6安全设备的端口 321
9.6.1安全设备的物理端口 321
9.6.2防火墙逻辑端口 323
9.6.3安全设备端口的连接 323
9.6.4安全设备的LED指示灯 324
9.7防火墙的应用环境与连接 328
9.7.1防火墙连接策略 328
9.7.2内部网络与Internet的连接 330
9.7.3局域网和广域网的连接 331
9.7.4内部网络不同部门的连接 332
9.7.5用户与中心服务器的连接 333
9.8 IPS的网络应用与连接 334
9.8.1路由防护 334
9.8.2交换防护 334
9.8.3多链路防护 335
9.8.4混合防护 335
9.9配置安全设备 336
9.9.1 Cisco ASDM初始化 336
9.9.2网络设备集成化管理 337
9.9.3安全策略设置 338
9.9.4 DMZ网络拓扑结构特征 338
9.9.5运行ASDM 339
9.9.6为NAT创建IP地址池 340
9.9.7配置内部客户端访问DMZ的Web服务器 342
9.9.8配置内部客户端访问Internet 342
9.9.9为Web服务器配置外部ID 343
9.9.10允许Internet用户访问DMZ的Web服务 343
9.10管理安全设备 345
9.10.1监视安全设备运行状态 345
9.10.2查看和分析网络流量 346
9.10.3查看和分析系统日志 347
9.10.4安全监控工具 348
第10章 无线网络安全 350
10.1无线网络安全概述 350
10.1.1无线局域网应用 350
10.1.2无线网络的安全问题 352
10.1.3无线网络安全协议 353
10.2无线接入点安全 356
10.2.1修改admin密码 357
10.2.2 WEP加密传输 358
10.2.3修改SSID标识 359
10.2.4配置RADIUS服务器 362
10.2.5无线AP身份验证 363
10.2.6配置入侵检测功能 363
10.2.7配置本地RADIUS服务器 364
10.2.8高级安全设置 365
10.2.9禁用多余服务 365
10.2.10合理放置无线AP和天线 366
10.3无线宽带路由器安全 367
10.3.1防火墙设置 367
10.3.2 IP地址过滤 368
10.3.3域名过滤 369
10.3.4 MAC地址过滤 370
10.4 IEEE 802.1x身份认证 371
10.4.1部署IEEE 802.1x认证 371
10.4.2无线访问认证配置步骤 372
10.4.3配置Cisco无线接入点 372
10.5无线网络客户端安全 373
10.5.1 Windows Vista对等网安全配置 373
10.5.2 Windows XP对等网安全配置 376
10.5.3运行无线网络安装向导 377
10.5.4配置迅驰无线安全连接 379
10.6无线接入点客户端安全 380
10.6.1 Windows XP无线网络配置 380
10.6.2专用配置程序 382
10.6.3迅驰客户端设置 383
10.7使用WCS配置安全 385
10.7.1无线入侵防御 385
10.7.2恶意设备检测 386
10.7.3安全策略模板 386
10.7.4用户拒绝列表 387
10.7.5无线网络监控 387
10.7.6用户位置跟踪 388
第11章 网络访问防护 389
11.1 NAP概述 389
11.1.1 NAP组成 389
11.1.2 NAP的应用环境 391
11.1.3 强制方式 391
11.2搭建网络环境 393
11.2.1评价当前网络基础结构 393
11.2.2域控制器 395
11.2.3证书服务器 395
11.2.4网络策略服务器 395
11.2.5 NAP典型部署方案 396
11.3安装NPS 398
11.4配置VPN强制 399
11.4.1为VPN服务器配置EAP身份验证 399
11.4.2配置NAP健康策略服务器 400
11.4.3配置NAP客户端 404
11.4.4测试受限VPN客户端的访问 408
11.5配置DHCP强制 410
11.5.1配置NAP健康策略服务器 410
11.5.2配置NAP客户端 413
11.5.3将DHCP服务器配置为RADIUS客户端 414
11.5.4配置DHCP服务器选项 415
11.5.5测试DHCP强制客户端 417
第12章 Internet连接共享服务 419
12.1 Forefront TMG概述 419
12.1.1 Forefront TMG功能简介 419
12.1.2 Forefront TMG的应用 420
12.1.3 Forefront TMG中的网络 422
12.1.4 Forefront TMG的安装需求 422
12.2 Forefront TMG的安装与配置 423
12.2.1安装Forefront TMG 423
12.2.2利用“入门向导”配置Internet连接共享 425
12.3发布内部服务器 433
12.3.1发布Web网站 433
12.3.2发布安全Web网站 437
12.3.3发布邮件服务器 438
12.3.4发布Exchange Web客户端访问 440
12.3.5发布SharePoint站点 442
12.3.6发布其他服务器 443
12.3.7禁用聊天软件 445
第13章 网络远程接入安全 448
13.1远程接入安全概述 448
13.1.1 VPN概述 448
13.1.2主流VPN安全技术 449
13.1.3 VPN的特点 449
13.1.4 VPN技术的应用领域 450
13.2远程访问VPN的安全设计 451
13.2.1身份验证方式 452
13.2.2 VPN服务器 453
13.2.3 Internet基础结构 454
13.2.4内网基础结构 455
13.2.5身份验证基础结构 458
13.2.6 PKI 458
13.2.7 NAP的VPN强制 459
13.3远程安全接入实现 459
13.3.1借助路由器实现VPN 460
13.3.2借助安全设备实现VPN 462
13.3.3借助Forefront TMG实现VPN 473
13.3.4借助Windows实现VPN 477
第14章 数据存储与访问安全 483
14.1网络存储 483
14.1.1 DAS存储方式 483
14.1.2 NAS存储方式 484
14.1.3 NAS在校园网中的应用案例 486
14.1.4 SAN存储方式 488
14.2虚拟存储 490
14.2.1对称式与非对称式虚拟存储 490
14.2.2虚拟存储的实现方式 490
14.2.3虚拟存储的应用 491
14.3磁盘冗余概述 491
14.3.1 RAID级别及适用 492
14.3.2 RAID卡简介 495
14.3.3磁盘阵列柜 497
14.3.4磁盘配额 497
14.3.5设置磁盘冗余 498
14.4数据访问安全 502
14.4.1 NTFS文件夹和NTFS文件权限 502
14.4.2多重NTFS权限 504
14.4.3 NTFS权限的继承性 506
14.4.4权限访问列表概述 507
14.4.5设置共享权限 508
14.4.6共享权限与NTFS权限 509
14.4.7 Windows Server 2008共享和发现 510
14.4.8默认共享安全 511
14.4.9磁盘配额管理 516
14.4.10监控每个用户的磁盘配额使用情况 518
14.4.11文件审核 519
第15章 数据备份与恢复 523
15.1备份与恢复概述 523
15.1.1备份原则 523
15.1.2备份模式 525
15.1.3备份类型 525
15.1.4数据库备份方案 526
15.1.5恢复 528
15.2 Acronis True Image Server系统备份还原工具 528
15.2.1创建服务器操作系统备份 528
15.2.2根据服务器操作系统的配置信息制作引导文件 531
15.2.3服务器操作系统灾难恢复 532
15.3 Veritas灾难恢复系统 536
15.3.1创建操作系统完整备份 537
15.3.2创建IDR引导光盘 538
15.3.3 IDR恢复操作系统 540
15.4网络服务数据库的备份与恢复 543
15.4.1活动目录状态信息 543
15.4.2备份活动目录数据库 544
15.4.3恢复活动目录数据库 545
15.4.4安装Windows Server Backup组件 545
15.4.5备份与恢复管理任务——向导备份 547
15.4.6备份与恢复管理任务——命令行备份 549
15.4.7备份与恢复管理任务——计划向导备份 550
15.4.8备份与恢复管理任务——命令行计划备份 552
15.4.9备份与恢复管理任务——系统状态备份 553
15.4.10备份与恢复管理任务——文件恢复 555
15.4.11备份与恢复管理任务——非权威还原 557
15.4.12备份与恢复管理任务——权威还原 558
15.5 SQL Server 2000/2005数据库备份与恢复 559
15.5.1数据库备份概述 559
15.5.2备份注意事项 560
15.5.3备份性能 561
15.5.4备份类型 562
15.5.5数据库恢复概述 564
15.5.6数据库创建备份 565
15.5.7数据库恢复 570
第16章 网络客户端安全 573
16.1 Windows Vista系统安全 573
16.1.1 Windows Vista安全概述 573
16.1.2锁定计算机 574
16.1.3用户账户安全 575
16.1.4加密文件系统 577
16.1.5 Windows防火墙 578
16.1.6系统更新设置 579
16.1.7 Internet Explorer设置 579
16.1.8 Windows Defender介绍 584
16.1.9 Windows Defender系统扫描方式 585
16.1.10配置Windows Defender选项 585
16.1.11更新Windows Defender定义库 587
16.1.12 BitLocker驱动器加密 588
16.1.13用户账户控制 593
16.2 Windows XP Professional系统安全 598
16.2.1锁定计算机 598
16.2.2以普通用户运行计算机 599
16.2.3 Windows防火墙 601
16.2.4系统更新设置 601
16.3借助组策略管理客户端安全 602
16.3.1通过GPMC部署安全策略 602
16.3.2软件限制策略概述 604
16.3.3安全级别设置 605
16.3.4部署IE安全策略 607
16.3.5部署硬件访问控制策略 608
第17章 网络流量监控工具 610
17.1网络性能测试工具——吞吐率测试Qcheck 610
17.1.1 Qcheck的运行 610
17.1.2 测试TCP响应时间 611
17.1.3测试网络带宽 612
17.1.4串流测试 612
17.2网络性能测试工具——组播流测试工具mcast 613
17.2.1应用实例 613
17.2.2 mcast.exe语法及参数 614
17.3网络协议分析工具——超级网络嗅探器Sniffer Pro 614
17.3.1 Sniffer的安装与配置 615
17.3.2 Sniffer的监控模式 617
17.3.3创建过滤器 622
17.3.4 Sniffer的使用 626
17.4网络协议检测工具——Ethereal 632
17.4.1安装Ethereal 632
17.4.2捕获并分析数据包 632
17.4.3过滤数据包 634
17.4.4捕获设置 635
17.4.5保存捕获数据 636
17.5网络流量分析工具——MRTG 636
17.5.1 MRTG简介 637
17.5.2网络设备和服务器的准备——安装Web服务 637
17.5.3网络设备和服务器的准备——ActivePerl 639
17.5.4网络设备和服务器的准备——网络设备的SNMP服务 639
17.5.5监控计算机上的MRTG配置 640
17.5.6监控服务器设置 642
17.6带宽监控工具——ManageEngine NetFlow Analyzer 644
17.6.1安装ManageEngine NetFlow Analyzer 644
17.6.2 Web客户端的访问 646
17.6.3配置流数据输出 647
17.6.4管理操作 650
17.6.5监控设备 658