第1章 网络安全规划 1
1.1网络安全体系结构 1
1.1.1物理安全 1
1.1.2网络结构规划 1
1.1.3系统安全 3
1.1.4信息安全 3
1.1.5应用安全 4
1.2网络安全系统的设计与管理原则 4
1.2.1网络安全系统的设计原则 4
1.2.2网络安全系统的管理 5
1.3网络安全规划实例 6
1.3.1服务器安全 7
1.3.2网络设备安全 8
1.3.3网络防火墙部署规划 9
1.3.4 IDS部署规划 13
1.3.5 IPS部署规划 15
1.3.6局域网接入安全 19
1.3.7 Internet接入安全 20
1.3.8远程接入安全规划 21
第2章Windows系统安全 23
2.1操作系统安装与更新 23
2.1.1系统安装注意事项 23
2.1.2补丁安装注意事项 24
2.1.3配置Windows Update 24
2.1.4补丁安装 25
2.2系统管理员账户 27
2.2.1默认组权限 27
2.2.2更改Administrator账户名称 28
2.2.3系统管理员密码设置 29
2.2.4创建陷阱账户 32
2.3磁盘访问权限 33
2.3.1权限范围 33
2.3.2设置磁盘访问权限 34
2.3.3查看磁盘权限 34
2.4系统账号数据库 35
2.4.1启用加密 35
2.4.2删除系统账号数据库 37
2.4.3备份和恢复账户信息 38
2.5 Internet连接防火墙 39
2.5.1 Internet防火墙简介 39
2.5.2启用Internet防火墙 40
2.6安全配置向导 42
2.6.1配置安全服务 42
2.6.2应用安全配置策略 50
2.7默认共享 51
2.7.1查看默认共享 52
2.7.2停止默认共享 53
2.8关闭端口 56
2.8.1服务端口 56
2.8.2端口威胁 57
2.8.3查看端口 58
2.8.4启动/关闭服务法 60
2.9系统服务安全 61
2.9.1系统服务配置注意事项 61
2.9.2服务账户 62
第3章 用户权限控制 63
3.1将计算机加入域 63
3.1.1将服务器加入域 63
3.1.2将客户端计算机加入域 64
3.1.3登录到域 68
3.2限制域管理员的权限 68
3.2.1删除Domain Admins组 69
3.2.2限制单个域管理员的权限 69
3.2.3限制多个域组的权限 71
3.3管理账户 72
3.3.1创建安全用户账户 72
3.3.2重设用户密码 73
3.3.3管理用户账户 76
3.3.4用户访问限制 78
3.3.5用户组安全 79
3.3.6用户组权限 81
3.4访问权限 82
3.4.1设置NTFS访问权限 82
3.4.2共享访问权限 84
3.4.3通过组策略指派用户权限 86
3.5委派权限 88
3.5.1权限委派概述 88
3.5.2委派管理权限 89
第4章 系统安全策略 93
4.1账户策略 93
4.1.1密码策略 93
4.1.2账户锁定策略 95
4.1.3 Kerberos策略(Windows域安全) 97
4.1.4推荐的账户策略设置 99
4.2审核策略 99
4.2.1审核策略设置 99
4.2.2推荐的审核策略设置 101
4.2.3调整日志审核文件的大小 101
4.3安全配置和分析 102
4.3.1预定义的安全模板 102
4.3.2实施安全配置和分析 105
4.4 IP安全策略 110
4.4.1 IP安全策略概述 110
4.4.2在域中部署IP安全策略 111
4.5 GPMC部署安全策略 123
4.5.1 GPMC概述 124
4.5.2使用GPMC部署和管理策略 125
4.6软件限制策略 131
4.6.1软件限制策略简介 132
4.6.2安全级别设置 132
4.6.3默认规则 138
第5章 网络服务安全 141
5.1活动目录安全 141
5.1.1域控制器的物理安全 141
5.1.2相关系统服务安全 145
5.1.3 Active Directory数据库安全 146
5.1.4 SYSVOL安全 148
5.1.5全局编录 153
5.1.6密码策略管理员授权 155
5.2文件服务安全 159
5.2.1 NTFS权限安全配置 159
5.2.2配置安全审核策略 159
5.2.3磁盘配额 166
5.2.4文件屏蔽 169
5.3打印服务安全 175
5.3.1共享打印的运行模式 175
5.3.2设置隐藏的共享打印机 176
5.3.3禁止通过浏览器搜索打印机 177
5.3.4配置打印机访问权限 177
5.3.5配置审核策略 179
5.4 Web服务安全 180
5.4.1配置身份验证方式 180
5.4.2访问权限控制 182
5.4.3授权规则 184
5.4.4 IPv4地址控制 186
5.4.5 SSL安全 187
5.4.6审核ⅡS日志记录 195
5.4.7设置内容过期 197
5.4.8内容分级设置 198
5.4.9注册MIME类型 199
5.5 FTP服务安全 200
5.5.1设置TCP端口 200
5.5.2连接数和超时限制 201
5.5.3用户访问安全 202
5.5.4文件访问安全 204
第6章 系统漏洞扫描 205
6.1漏洞概述 205
6.1.1漏洞的特性 205
6.1.2漏洞生命周期 206
6.2漏洞扫描 207
6.2.1漏洞扫描概述 207
6.2.2 MBSA 208
6.3漏洞预警 212
6.3.1安全中心 212
6.3.2订阅TechNet电子邮件 212
6.3.3查看网络广播 214
6.4漏洞补丁管理 214
6.4.1系统补丁部署概述 214
6.4.2 Microsoft Update 215
6.4.3系统更新服务 215
第7章 入侵检测 229
7.1入侵检测系统概述 229
7.1.1入侵检测系统的架构 229
7.1.2入侵检测系统的功能 230
7.1.3入侵检测的一般步骤 230
7.1.4入侵检测技术的发展趋势 231
7.1.5常用入侵检测工具 232
7.2 Snort 233
7.2.1 Snort概述 233
7.2.2 Snort语法及参数 234
7.2.3部署snort入侵检测系统 235
7.2.4 Snort的3种工作模式 251
7.2.5 Snort应用实例 257
7.3 Sniffer 259
7.3.1 Sniffer概述 259
7.3.2 Sniffer安装与配置 259
7.3.3 Sniffer的监控模式 263
7.3.4创建过滤器 269
7.3.5捕获数据 272
7.3.6分析捕获的数据 273
7.3.7 Sniffer应用实例 278
第8章 局域网安全接入 281
8.1基于端口的传输控制 281
8.1.1风暴控制 281
8.1.2流控制 282
8.1.3保护端口 283
8.1.4端口阻塞 284
8.1.5端口安全 284
8.1.6传输速率限制 287
8.1.7 MAC地址更新通知 289
8.1.8绑定IP和MAC地址 293
8.2基于端口的认证安全 293
8.2.1 IEEE 802.1x认证简介 294
8.2.2配置IEEE 802.1x认证 298
8.2.3配置交换机到RADIUS服务器的通信 299
8.2.4配置重新认证周期 299
8.2.5修改安静周期 300
8.3无线局域网安全接入 301
8.3.1启用WEP加密传输 301
8.3.2修改SSID标识 302
8.3.3禁用多余服务 305
8.3.4基于MAC地址的身份验证 306
8.4基于ACS的身份验证 307
8.4.1 ACS服务器的安装与配置 307
8.4.2 ACS服务器基本配置 310
8.4.3基于ACS的基本认证 319
8.4.4交换机基于ACS的802.1 x认证 322
8.4.5无线AP基于ACS的802.1 x认证 329
第9章VPN安全接入 335
9.1 VPN概述 335
9.1.1 VPN技术简介 335
9.1.2 VPN连接的特点 335
9.1.3 VPN的类型与适用 336
9.2基于Windows服务器的VPN安全接入 337
9.2.1方案概述 338
9.2.2安装和配置VPN服务器 340
9.2.3在网络防火墙上发布VPN服务器 348
9.2.4部署SSL VPN客户端 348
9.2.5测试VPN连接 352
9.3基于ASA的VPN安全接入 353
9.3.1方案概述 353
9.3.2初始化Cisco ASA 355
9.3.3配置远程访问SSL VPN 355
9.3.4 Cisco AnyConnect VPN客户端 363
9.4基于TMG的VPN安全接入 365
9.4.1方案概述 365
9.4.2配置VPN客户端访问 366
9.4.3创建VPN服务器发布策略 368
9.4.4检查VPN服务器 370
第10章 网络访问保护 371
10.1 NAP系统概述 371
10.1.1 NAP的应用环境 371
10.1.2 NAP的强制模式 372
10.1.3 NAP系统的功能 372
10.1.4 NAP系统架构 372
10.2 NAP的强制方式 374
10.2.1 IPSec强制 375
10.2.2 802.1x强制 375
10.2.3 VPN强制 376
10.2.4 DHCP强制 377
10.3网络访问保护的准备 378
10.3.1相关服务组件的安装 378
10.3.2更新服务器 379
10.3.3安装NPS 380
10.3.4健康策略服务器 383
10.4 DHCP强制的配置与应用 385
10.4.1网络环境概述 385
10.4.2配置健康策略服务器 386
10.4.3配置DHCP服务器 391
10.4.4非NAP客户端测试 396
10.4.5域中客户端计算机的测试 398
10.4.6不健康NAP客户端的测试 402
10.5 VPN强制的配置与应用 406
10.5.1网络环境概述 406
10.5.2配置健康策略服务器 407
10.5.3 VPN服务器的配置 415
10.5.4创建和配置VPN NAP客户端 417
10.5.5测试受限VPN客户端的访问 419
第11章Internet接入概述 421
11.1 Internet接入方式 421
11.1.1 FTTX接入 421
11.1.2 SDH 422
11.1.3 DDN 422
11.1.4 ADSL 423
11.2 Internet连接共享方式 424
11.2.1代理服务器 424
11.2.2路由器 427
11.2.3网络防火墙 430
11.2.4 Intemet共享方式的选择 433
第12章Forefront TMG共享Internet接入 435
12.1防火墙的部署与交换机的配置 435
12.1.1网络规划 435
12.1.2 Forefront TMG的安装与初始配置 436
12.2使用入门向导进行初始配置 441
12.2.1配置网络设置 441
12.2.2配置系统设置 442
12.2.3定义部署选项 443
12.3安全连接Internet 444
12.3.1配置DHCP服务器 444
12.3.2配置允许的Internet应用 447
12.3.3禁止访问某些站点及服务器 448
12.3.4禁止某些通信软件 449
12.3.5阻止某些文件 451
12.4发布服务器 452
12.4.1发布Exchange Server 2007邮件服务器 452
12.4.2发布SharePoint站点 454
12.4.3发布Web站点 457
12.4.4发布安全Web网站 459
12.4.5发布非Web协议服务器 460
12.4.6配置Forefront TMG为Web代理服务器 461
12.5高效访问Internet 461
12.5.1启用缓存 461
12.5.2创建正向缓存 462
12.5.3禁止反向缓存 464
12.5.4禁止对某些站点缓存 465
12.6入侵检测 466
12.6.1配置对已知漏洞的保护 466
12.6.2一般攻击的入侵检测 467
12.6.3 DNS攻击的入侵检测 468
12.6.4淹没缓解 469
第13章 路由器共享Internet接入 473
13.1配置路由器实现共享Internet 473
13.1.1路由基础 473
13.1.2网络地址转换 475
13.1.3 LAN方式接入Internet 477
13.1.4 DDN方式接入Internet 486
13.2内部服务器的发布 488
13.3 Internet访问安全 490
13.3.1 IP访问列表 490
13.3.2 DoS/DDoS防御 495
13.3.3 IP欺骗防范 496
13.3.4 SYN淹没防范 496
13.3.5 Ping攻击防范 498
第14章 网络防火墙共享Internet接入 499
14.1安全设备初始化配置 499
14.1.1 Cisco ASA单链路接入规划 499
14.1.2命令行初始化 499
14.1.3使用Cisco ASA实现Internet接入 501
14.2安全设备基本配置 506
14.2.1配置接口地址 506
14.2.2新建用户 508
14.2.3修改Banner信息 509
14.2.4配置ASDM访问的地址 510
14.2.5配置Telnet访问地址 510
14.3配置局域网计算机接入Internet 511
14.4发布内部服务器 514
14.5网络防火墙的接口与连接 517
14.5.1安全设备接口 517
14.5.2 Cisco ASA设计与连接 520
14.6监视安全设备 523
14.6.1监视系统运行状态 523
14.6.2查看和分析网络流量 523
14.6.3查看和分析系统日志 525