网络工程师必读-网络安全系统设计



【书名】网络工程师必读-网络安全系统设计
【作者】王达
【ISBN】978-7-121-08336-5
【出版社】电子工业出版社
【出版日期】20098
【定  价】89.00
【宣传语】中国知名网络技术IT作家,继畅销书“网管员必读”系列之后又一力作

【内容梗概】
◇ 一本真正全局意义上的安全系统设计类图书
   真正以OSI/RM七层结构为主线的安全系统设计类图书,较
   全面、系统地介绍了OSI/RM七层结构中各层的主要安全技
   术及其应用。
◇ 专业的一手技术资料
   本书所介绍的网络安全技术均来自相关技术或者协议的原始
   资料和真实的应用实践总结,技术原理介绍深入、系统、全
   面,填补了国内图书在这方面的空白。
◇ 庞大的读者服务体系
   提供了庞大、完善的读者服务体系,方便读者交流。
【内容简介】

本书从网络工程师的职业角度出发组织和安排内容,非常具有针对性。本书从网络安全系统设计全局出发,以OSI/RM7层结构为主线,层层把关,全面、系统地介绍各层的主要安全技术和方案设计思路、方法。

本书从深层次分析了网络安全隐患存在的各个主要方面,然后从这几个方面出发,全面介绍企业局域网安全防护系统的设计方法。其中包括网络安全系统设计综述、物理层的网络安全保护方案、数据链路层的安全保护方案、网络层防火墙安全保护方案、网络层Kerberos身份认证方案、网络层证书身份认证、加密和签名方案、网络层PKI综合应用方案设计、网络层IPSec身份认证和加密方案、传输层TLS/SSL身份认证和加密方案、应用层Web服务器的综合安全系统设计与配置、WLAN网络综合安全系统设计与配置,并通过实际可用的安全防护方法来实现网络安全隐患的排除或防护。这些不同方面的安全防护措施形成了一个系统的整体,使得企业网络从各个方面都得到足够的安全保证。以上这些都是网络工程师所必须掌握的基础知识和技能。

本书适合网络工程师参考学习,也可作为高等院校及相关培训机构的教材。


【目录】

第1章  网络安全系统设计综述 1
1.1  网络安全系统设计基础 2
1.1.1  网络安全的发展 2
1.1.2  网络安全威胁基础 4
1.1.3  企业网络的主要安全隐患 6
1.1.4  网络安全系统的基本组成 7
1.2  OSI/RM各层的安全保护 9
1.2.1  物理层的安全保护 9
1.2.2  数据链路层的安全保护 11
1.2.3  网络层的安全保护 12
1.2.4  传输层的安全保护 13
1.2.5  会话层和表示层的安全保护 14
1.2.6  应用层的安全保护 15
1.3  系统层的安全保护 16
1.4  网络安全系统设计 16
1.4.1  网络安全策略 16
1.4.2  网络安全系统设计的基本原则 17
1.5  网络安全系统设计的基本思路 20
1.5.1  安全隐患分析和基本系统结构信息的收集 20
1.5.2  调查和分析当前网络的安全需求 23
1.5.3  评估现有网络安全策略 24
1.5.4  设计细化的新网络安全策略初稿 25
1.5.5  第一次小范围的测试、评估和修改 31
1.5.6  第二次中、大范围的测试、评估和修改 32
1.5.7  新网络安全策略文档终稿 32
1.5.8  新网络安全策略系统的正式应用 32
第2章  物理层的网络安全保护方案 33
2.1  物理层安全保护概述 34
2.2  物理层的线路窃听技术分析 34
2.3  计算机网络通信线路屏蔽 35
2.3.1  选择屏蔽性能好的传输介质和适配器 36
2.3.2  屏蔽机房和机柜的选择 38
2.3.3  WLAN无线网络的物理层安全保护 39
2.4  物理线路隔离 40
2.4.1  主要物理隔离产品 40
2.4.2  物理隔离网闸的隔离原理 43
2.4.3  物理隔离网闸的典型应用 46
2.5  设备和线路冗余 46
2.5.1  网络设备部件冗余 47
2.5.2  网络设备整机冗余 49
2.5.3  网络线路冗余 51
2.6  机房和账户安全管理 51
2.6.1  机房安全管理 51
2.6.2  账户安全管理 52
2.7  数据安全管理 52
2.7.1  数据容灾概述 53
2.7.2  容灾与存储、容错、备份和远程复制的关系 54
2.7.3  数据容灾等级 56
2.7.4  灾难恢复的关键注意事项 60
2.8  物理层安全管理工具 61
2.8.1  泛达综合布线实时管理系统 61
2.8.2  Molex综合布线实时管理系统 64
2.9  服务和服务账户安全规划 66
2.9.1  服务和服务账户安全规划概述 66
2.9.2  服务的安全漏洞和账户 67
2.9.3  Windows Server 2003中服务的默认安全设置更改 69
2.9.4  安全运行服务的原则 70
2.9.5  如何更安全地运行服务 72
第3章  数据链路层的安全保护方案 81
3.1  典型数据加密算法 82
3.1.1  基于“消息摘要”的算法 82
3.1.2  “对称/非对称密钥”加密算法 85
3.2  数据加密 87
3.2.1  数据加密技术 87
3.2.2  链路加密机 90
3.2.3  网卡集成式链路加密原理 92
3.3  WLAN SSID安全技术及配置方法 94
3.3.1  SSID概念及配置方法 94
3.3.2  BSSID和ESSID 95
3.3.3  SSID的安全问题 96
3.4  WLAN MAC地址过滤 97
3.5  WLAN WEP加密 98
3.5.1  WEP加密原理 98
3.5.2  WEP解密原理 99
3.5.3  WEP加密的不足 99
3.5.4  WEP加密的配置方法 100
3.6  WPA加密 102
3.6.1  WPA的WLAN链路加密 102
3.6.2  WPA中的IEEE 802.1x身份认证系统 103
3.6.3  EAPOL消息的封装 105
3.6.4  IEEE 802.1x的认证过程 107
3.7  WPA2加密 111
3.7.1  WPA2简介 111
3.7.2  AES-CCMP基础 112
3.7.3  AES算法的基本原理 113
3.7.4  WPA2 AES-CCMP加/解密原理 115
3.8  无线AP/路由器的WPA和WPA2设置 118
3.8.1  个人用户无线AP/路由器的WPA-PSK或WPA2-PSK设置 119
3.8.2  企业级无线AP/路由器的WPA或WPA2设置 120
3.8.3  WLAN客户端第三方软件的WPA和WPA2设置 121
3.8.4  Windows XP无线客户端WPA/WPA2配置 125
3.9  最新的WLAN安全标准——IEEE 802.11i 126
3.9.1  IEEE 802.11i概述 127
3.9.2  WRAP加密机制 127
3.10  MAC地址欺骗防护 129
3.10.1  ARP和RARP协议工作原理 130
3.10.2  ARP协议帧格式 131
3.10.3  MAC地址欺骗原理 132
3.10.4  MAC地址欺骗预防 133
3.11  Cisco设备上基于端口的MAC地址绑定 136
3.11.1  基于端口的单一MAC地址绑定基本配置步骤 136
3.11.2  基于端口的单一MAC地址绑定配置示例 138
3.12  Cisco基于端口的多MAC地址绑定 138
3.12.1  基于端口的多MAC地址绑定配置思路 138
3.12.2  基于端口的多MAC地址绑定配置示例 139
3.13  Cisco设备上基于IP的MAC地址绑定 139
3.13.1  一对一的MAC地址与IP地址绑定 139
3.13.2  一对多,或者多对多的MAC地址与IP地址绑定示例 140
3.14  H3C S5600交换机基于端口的MAC地址绑定 141
3.14.1  S5100系列交换机的Security MAC地址配置 141
3.14.2  S5600系列交换机的Security MAC地址配置 142
3.15  H3C SR8800系列业务路由器MAC和IP地址绑定 144
3.15.1  MAC和IP地址绑定配置 144
3.15.2  MAC和IP地址绑定典型配置示例 146
3.16  H3C SecPath系列防火墙上的MAC和IP地址绑定 147
3.16.1  MAC和IP地址绑定配置 148
3.16.2  MAC和IP地址绑定典型配置示例 149
3.17  网络嗅探的防护 149
3.17.1  网络嗅探原理 149
3.17.2  网络嗅探的防范 151
第4章  网络层防火墙安全保护方案 153
4.1  防火墙的分类和技术 154
4.1.1  包过滤防火墙简介 154
4.1.2  包过滤技术的发展 155
4.1.3  包过滤原理 155
4.1.4  包过滤技术的主要优、缺点 156
4.1.5  代理防火墙 157
4.2  防火墙系统的设计 158
4.2.1  内、外部防火墙系统 158
4.2.2  防火墙在企业网络体系结构中的位置 159
4.2.3  典型防火墙系统设计 161
4.3  防火墙在网络安全防护中的主要应用 164
4.3.1  控制来自互联网对内部网络的访问 164
4.3.2  控制来自第三方局域网对内部网络的访问 166
4.3.3  控制局域网内部不同部门之间的访问 167
4.3.4  控制对服务器中心的网络访问 168
4.4  内部防火墙系统设计 169
4.4.1  内部防火墙系统概述 170
4.4.2  内部防火墙规则 170
4.4.3  内部防火墙的可用性需求 171
4.4.4  内部容错防火墙集配置 174
4.4.5  内部防火墙系统设计的其他因素要求 175
4.5  外围防火墙系统设计 177
4.5.1  外围防火墙系统概述 178
4.5.2  外围防火墙规则 178
4.5.3  外围防火墙系统的可用性要求 179
第5章  网络层Kerberos身份认证方案 181
5.1  身份认证概述 182
5.1.1  单点登录身份认证执行方式 182
5.1.2  主要的身份认证类型 183
5.2  Kerberos身份认证基础 183
5.2.1  Kerberos V5身份认证机制 184
5.2.2  Kerberos V5身份认证的优点与缺点 187
5.2.3  Kerberos V5协议标准 188
5.2.4  Kerberos V5身份认证所用端口 190
5.3  Kerberos SSP认证 190
5.4  Kerberos物理结构 192
5.4.1  Kerberos中的密钥 192
5.4.2  Kerberos票证 195
5.4.3  认证符 199
5.4.4  凭证缓存 200
5.4.5  密钥分发中心(KDC) 200
5.5  Kerberos V5交换和消息摘要 204
5.5.1  Kerberos V5身份认证的3个子协议 204
5.5.2  身份认证服务(AS)交换 205
5.5.3  票证许可服务(TGS)交换 206
5.5.4  客户端/服务器(CS)交换 207
5.6  Kerberos交换消息详解 207
5.6.1  身份认证服务交换消息详解 208
5.6.2  票证许可服务交换消息详解 211
5.6.3  客户端/服务器身份认证交换消息详解 214
5.7  Kerberos身份认证应用示例 216
5.7.1  本地登录示例 216
5.7.2  域登录示例 217
5.7.3  域用户的工作站
登录 2175.7.4  单域身份认证示例 223
5.7.5  用户到用户的身份认证 226
5.8  Kerberos V5身份认证的启用与策略配置 228
第6章  网络层证书身份认证、加密和签名方案 231
6.1  证书和证书服务基础 232
6.1.1  证书概述 232
6.1.2  证书的主要功能 233
6.1.3  证书的主要应用 235
6.1.4  证书客户端角色 239
6.1.5  证书服务概述 240
6.2  CA证书 241
6.2.1  CA证书简介 241
6.2.2  CA证书应用的情形 242
6.3  证书结构 243
6.3.1  证书体系架构 243
6.3.2  证书模板 245
6.3.3  证书的物理和逻辑存储 250
6.3.4  证书存储区 253
6.4  CA证书进程和交互 255
6.4.1  根CA证书是如何被创建的 256
6.4.2  根CA证书是如何被更新的 257
6.4.3  从属CA证书是如何被创建的 258
6.4.4  合格的从属策略是如何被应用的 259
6.5  证书服务体系架构 260
6.5.1  证书服务引擎 261
6.5.2  策略模块 262
6.5.3  客户端策略模块 263
6.5.4  退出模块 263
6.5.5  证书数据库 264
6.5.6  CryptoAPI接口 264
6.5.7  证书服务协议 264
6.6  证书服务接口 265
6.7  证书服务物理结构 266
6.7.1  证书数据库和CA日志文件 267
6.7.2  注册表 267
6.7.3  活动目录 267
6.7.4  文件系统 269
6.8  证书服务进程和交互 270
6.8.1  证书是如何创建的 270
6.8.2  证书的自动注册 272
6.8.3  证书的手动注册 277
6.8.4  自定义证书注册和更新应用 279
6.8.5  使用可选组件注册和续订 281
6.8.6  证书是如何吊销的 283
6.9  证书模板属性选项和设计 287
6.9.1  证书模板属性选项 287
6.9.2  证书模板设计方面的考虑 294
6.9.3  证书模板规划注意事项 296
6.9.4  证书模板的部署 299
第7章  网络层PKI综合应用方案设计 303
7.1  本章概述 304
7.1.1  部署PKI的必要性和本章所使用的技术 304
7.1.2  规划和部署PKI的基本流程 306
7.2  定义证书需求 307
7.2.1  确定安全应用需求 308
7.2.2  确定证书需求 312
7.2.3  文档化证书策略和证书实施声明 314
7.2.4  定义证书应用需求示例 315
7.3  设计证书颁发机构层次结构 316
7.3.1  规划核心CA选项——设计根CA 317
7.3.2  规划核心CA选项——选择内部与第三方CA 318
7.3.3  规划核心CA选项——评估CA容量、性能和可扩展需求 320
7.3.4  规划核心CA选项——PKI管理模式 322
7.3.5  规划核心CA选项——CA类型和角色 323
7.3.6  规划核心CA选项——整体活动目录结构 327
7.3.7  规划核心CA选项——CA安全性 329
7.3.8  规划核心CA选项——确定CA数量 333
7.3.9  选择信任模式 334
7.3.10  在信任层次结构中定义CA角色 338
7.3.11  建立命名协定 338
7.3.12  选择CA数据库位置 338
7.3.13  CA结构设计示例 339
7.4  扩展证书颁发机构结构 341
7.4.1  评估影响扩展信任的因素 341
7.4.2  选择扩展CA结构配置 344
7.4.3  限制计划外的信任 346
7.5  定义证书配置文件 348
7.5.1  选择证书模板 349
7.5.2  选择证书安全选项 350
7.5.3  使用合格的从属来限制证书 354
7.5.4  配置证书示例 359
7.6  创建证书管理规划 360
7.6.1  选择注册和续订方法 361
7.6.2  将证书映射到身份 363
7.6.3  创建证书吊销策略 368
7.6.4  规划密钥和数据恢复 372
7.6.5  创建证书管理规划示例 375
第8章  网络层IPSec身份认证和加密方案 377
8.1  IPSec基础 378
8.1.1  什么是IPSec 378
8.1.2  IPSec的设计初衷 379
8.1.3  IPSec的优势 381
8.2  IPSec提供的安全服务 382
8.2.1  IPSec提供的安全属性 382
8.2.2  Kerberos V5身份认证协议 383
8.2.3  基于公钥证书的身份认证 383
8.2.4  预共享密钥验证 384
8.2.5  采用哈希函数的数据完整性验证 384
8.2.6  具有加密功能的数据保密性 385
8.2.7  密钥管理 386
8.2.8  密钥保护 386
8.3  IPSec的使用模式 388
8.3.1  传输模式 388
8.3.2  隧道模式 389
8.4  IPSec协议类型 389
8.4.1  IPSec AH协议 390
8.4.2  IPSec ESP协议 394
8.5  Windows Server 2003中的IPSec 397
8.5.1  IPSec逻辑体系架构 398
8.5.2  IPSec身份认证和组件 401
8.5.3  策略代理体系架构 402
8.5.4  IKE模块体系架构 405
8.5.5  IPSec驱动体系架构 407
8.5.6  IPSec策略数据结构 407
8.5.7  IPSec分配的网络端口和协议 410
8.5.8  IPSec策略规则 411
8.6  IPSec密钥安全关联和密钥交换原理 415
8.6.1  安全关联基本原理和类型 415
8.6.2  主模式协商SA 417
8.6.3  快速模式协商SA 424
8.6.4  密钥交换原理 426
8.6.5  SA生存期 427
8.7  IPSec驱动工作原理 427
8.7.1  IPSec驱动的职责 427
8.7.2  IPSec驱动通信 428
8.7.3  IPSec驱动程序模式 428
8.7.4  IPSec驱动的包处理 430
8.8  IPSec策略及策略筛选器 431
8.8.1  IPSec策略 431
8.8.2  IPSec策略规则 433
8.8.3  默认响应规则 434
8.8.4  IPSec策略筛选器 435
8.8.5  IPSec筛选器的应用顺序 437
8.8.6  IPSec筛选中的默认排除 438
8.8.7  IPSec筛选器的设计考虑 440
8.9  Windows Server 2003 IPSec系统的部署 441
8.9.1  Windows Server 2003 IPSec部署的简易性 441
8.9.2  部署Windows Server 2003 IPSec前所需的确认 442
8.9.3  IPSec策略设计与规划的最佳操作 442
8.9.4  建立IPSec安全计划 445
8.9.5  策略配置 446
8.9.6  默认筛选器列表 446
8.9.7  默认响应规则 448
8.9.8  IPSec策略的应用方法 450
8.10  IPSec应用方案设计 453
8.10.1  IPSec安全通信方案的主要应用 454
8.10.2  不推荐的IPSec方案 458
8.10.3  管理使用仅在Windows
Server 2003家族中可用的新增功能的策略 458
8.10.4  IP筛选器配置的考虑 459
8.10.5  筛选器操作的配置考虑 461
8.11  IPSec策略的应用方案配置 462
8.11.1  IPSec方案配置前的准备 462
8.11.2  IPSec安全方案配置的基本步骤 463
8.11.3  IPSec在Web服务器访问限制中的应用示例 464
8.11.4  IPSec在数据库服务器访问限制中的应用示例 475
8.11.5  IPSec在阻止NetBIOS攻击中的应用示例 476
8.11.6  IPSec在保护远程访问通信中的应用示例 478
第9章  传输层TLS/SSL身份认证和加密方案 481
9.1  TLS/SSL基础 482
9.1.1  TLS/SSL简介 482
9.1.2  TLS/SSL标准的历史 483
9.1.3  TLS与SSL的区别 483
9.1.4  TLS/SSL所带来的好处 484
9.1.5  TLS/SSL的局限性 485
9.1.6  常见的TLS/SSL应用 485
9.1.7  安全通道技术 487
9.1.8  TLS和SSL的依从 487
9.2  TLS/SSL体系架构 488
9.2.1  安全通道SSPI体系架构 488
9.2.2  TLS/SSL体系架构 490
9.2.3  TLS/SSL握手协议 491
9.2.4  记录层 495
9.3  TLS/SSL工作原理 495
9.3.1  TLS/SSL进程和交互机制 495
9.3.2  TLS的完整握手过程 497
9.3.3  客户端Hello消息 498
9.3.4  服务器Hello消息 501
9.3.5  客户端响应Hello消息 503
9.3.6  计算主密钥和子系列密钥 504
9.3.7  完成消息 505
9.3.8  应用数据流 506
9.3.9  恢复安全会话 507
9.3.10  重新协商方法 507
9.3.11  安全通道的证书映射 509
9.3.12  TLS/SSL所使用的网络端口 510
9.4  WTLS 511
9.4.1  WAP的主要特点和体系架构 511
9.4.2  WAP架构与WWW架构的比较 514
9.4.3  WAP安全机制 516
9.4.4  WTLS体系架构 518
9.4.5  WTLS的安全功能 519
9.4.6  WTLS与TLS的区别 520
9.5  SSL在IIS Web服务器中的应用 522
9.5.1  安装CA 522
9.5.2  生成证书申请 524
9.5.3  提交证书申请 527
9.5.4  证书的颁发和导出 530
9.5.5  在Web服务器上安装证书 532
9.5.6  在Web服务器上启用SSL 534
9.6  SSL VPN 535
9.6.1  SSL VPN网络结构和主要应用 536
9.6.2  SSL VPN的主要优势和不足 537
第10章  应用层Web服务器的综合 安全系统设计与配置 541
10.1  我国网站安全现状 542
10.2  Web服务器的身份验证技术选择 543
10.2.1  NTLM身份验证机制选择和配置方法 543
10.2.2  Kerberos身份验证机制选择和配置方法 547
10.2.3  摘要式身份验证机制选择和配置方法 548
10.2.4  公钥加密身份认证机制选择 553
10.2.5  证书身份认证机制选择和配置方法 555
10.3  Web服务器传输层安全技术选择 558
10.4  Web服务器的安全威胁与对策 559
10.4.1  主机枚举 560
10.4.2  拒绝服务 562
10.4.3  未经授权的访问 562
10.4.4  随意代码执行 563
10.4.5  特权提升 563
10.4.6  病毒、蠕虫和特洛伊木马 564
10.5  安全Web服务器检查表 564
10.6  Windows Server 2003 Web服务器安全策略设计 580
10.6.1  Web服务器的匿名访问和SSLF设置 581
10.6.2  Web服务器审核策略设置 582
10.6.3  Web服务器用户权限分配策略设置 591
10.6.4  Web服务器的安全选项策略设置 600
10.6.5  Web服务器的事件日志策略设置 617
10.6.6  Web服务器的其他安全策略设置 619
第11章  WLAN网络综合安全系统设计与配置 629
11.1  选择WLAN的安全策略 630
11.1.1  WLAN面临的主要安全问题 630
11.1.2  WLAN安全策略的决策 631
11.1.3  如何真正确保WLAN的安全 633
11.1.4  WLAN的身份验证和授权 634
11.1.5  WLAN的数据保护 635
11.1.6  使用WLAN数据保护的IEEE 802.1x的优点 637
11.2  WLAN安全方案选择 637
11.2.1  不部署WLAN技术 638
11.2.2  使用基于802.11静态WEP的基本安全 638
11.2.3  使用EAP和动态加密密钥的IEEE 802.1x 639
11.2.4  使用EAP-TLS的IEEE 802.1x 640
11.2.5  使用PEAP的IEEE 802.1x 640
11.2.6  使用VPN技术保护WLAN网络 641
11.2.7  使用IPSec保护WLAN 643
11.2.8  主要WLAN安全方案比较 644
11.3  使用IEEE 802.1x设计WLAN安全系统 645
11.3.1  IEEE 802.1x WALN安全方案设计基本思路 645
11.3.2  使用IEEE 802.1x和加密确保WLAN安全 646
11.3.3  使用证书或密码 646
11.3.4  解决方案的先决条件 647
11.3.5  WLAN安全选项考虑 648
11.3.6  确定IEEE 802.1x WLAN所需的软件设置 654
11.3.7  其他注意事项 658
11.4  使用IEEE 802.1x实现WLAN安全性 659
11.4.1  方案实现基本思路 659
11.4.2  IEEE 802.1x WLAN计划工作表 660
11.4.3  准备安全WLAN的环境 661
11.4.4  配置和部署WLAN身份验证证书 662
11.4.5  配置WLAN访问基础结构 671
11.4.6  让用户和计算机能够访问安全WLAN 675
11.4.7  配置IEEE 802.1x网络的无线接入点 680
11.4.8  测试和验证 681
11.5  IEEE 802.1x EAP-TLS WLAN安全方案网络结构设计 681
11.5.1  IEEE 802.1x EAP-TLS身份验证解决方案概述 681
11.5.2  IEEE 802.1x EAP-TLS WLAN网络安全结构方案设计标准 684
11.5.3  IEEE 802.1x EAP-TLS方案网络结构逻辑设计与评估 686
11.6  使用PEAP和密码确保无线LAN的安全 692
11.6.1  解决方案的基本思路 692
11.6.2  PEAP解决方案的优势和工作原理 693
11.6.3  组织结构和IT环境计划 696
11.6.4  方案设计标准计划 697
11.6.5  WLAN体系结构部署计划 698
11.6.6  针对大型组织的扩展计划 710
11.6.7  解决方案体系结构的变化计划 712
11.6.8  准备安全WLAN网络环境 715
11.6.9  方案网络证书颁发机构构建 725
11.6.10  WLAN安全的基础结构构建 728
11.6.11  WLAN客户端配置 741
后   记   747

网络安全系统设计-pub.jpg

请使用浏览器的分享功能分享到微信等