网络安全技术与解决方案.pdf

网络安全技术与解决方案.pdf
 

书籍描述

编辑推荐
《网络安全技术与解决方案(修订版)》涵盖了众多当今最尖端的安全产品与技术,适合网络技术领域的专业人士参考学习。它会帮助读者深入理解和实施这些尖端的网络安全技术,以确保穿越网络设备的通信是安全的。
《网络安全技术与解决方案(修订版)》中所介绍的方法简便易行,它就像是一座安全知识的宝库,不仅能够协助读者实施端到端的安全解决方案,还会为他们提供一个涵盖了所有Cisco网络安全方案的知识之源。
《网络安全技术与解决方案(修订版)》分为5个部分,分别对应Cisco安全技术与解决方案的5个方面:边界安全、身份安全与访问管理、数据隐私、安全监测、安全管理。将这些技术和解决方案结合起来使用。便可以为客户安全策略之间、用户或主机身份之间,以及网络设备之间的动态链路提供保护。
读者不仅可以通过阅读《网络安全技术与解决方案(修订版)》来加深对于各类解决方案的理解,还能够掌握如何在当前的异构网络环境中.搭建起一个业务功能强大、数据传输安全的网络。对于那些正在研究各类新老安全策略的读者,这本全面、详实的技术书籍可以为他们打开通往知识宝库的大门;对于那些准备参加CCIE安全考试的考生,《网络安全技术与解决方案(修订版)》亦可成为照亮他们考试前途的明灯。
通过访问控制列表过滤流量和实施交换机安全特性;
配置Cisco IOS路由器防火墙特性和部署ASA与PIX防火墙设备;
理解网络攻击技术和应用2层与3层的攻击缓解技术;
使用AAA保护管理访问;
使用多重认证技术实现访问控制功能;
实施基于身份的网络访问控制;
应用最新的无线LAN安全解决方案;
遵循Cisco NAC执行安全策略;
了解密码学的基本概念和实施IPsec VPNs、DMVPN、GET VPN、SSI VPN及MPLS VPN技术;
通过网络与主机入侵防御、异常检测、监控与关联技术,实现对网络行为监控及安全事故响应功能;
部署安全管理解决方案,如Cisco Security Manager、SDM、ADSM、PDM及IDM;
了解各类安全法规。如GLBA、HIPPA和SOX。
《网络安全技术与解决方案(修订版)》系Cisco Press出版的Cisco CCIE职业发展系列丛书之一,可为读者提供专家级网络设计、部署和支持方案.以指导网络技术领域的专业人士管理复杂的网络及备战CCIE考试。

媒体推荐
Yusuf在网络安全领域业已执教多年,丰富的经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。
  ——Steve Gordon, Cisco技术服务部副总裁

作者简介
作者:(美国)海吉(Yusuf Bhaiji) 译者:田果 刘丹宁

Yusuf Bhaiji,CCIE #9305(路由交换和安全)在Cisco任职已达7年。现任CISCO CClE安全认证的项目经理。同时他还在Cisco迪拜lab考场担任CCIE考官,在此之前。他也曾担任悉尼TAC安全与VPN团队的技术负责人。

目录
第1部分 边界安全
第1章 网络安全概述
1.1 网络安全的基本问题
1.2 安全范例的变化
1.3 安全准则——CIA模型
1.3.1 机密性
1.3.2 完整性
1.3.3 可用性
1.4 策略、标准、流程、基线、部署准则
1.4.1 安全策略
1.4.2 标准
1.4.3 流程
1.4.4 基线
1.4.5 部署准则
1.5 安全模型
1.6 边界安全
1.6.1 边界安全正在消失吗?
1.6.2 定义边界的复杂性
1.6.3 可靠的边界安全解决方案
1.7 各层的安全
1.7.1 多层边界解决方案
1.7.2 多米诺效应
1.8 安全轮型图
1.9 总结
1.10 参考

第2章 访问控制
2.1 使用ACL进行流量过滤
2.1.1 ACL概述
2.1.2 ACL的应用
2.1.3 何时配置ACL
2.2 IP地址概述
2.2.1 IP地址分类
2.2.2 理解IP地址分类
2.2.3 私有IP地址(RFC 1918)
2.3 子网掩码与反掩码概述
2.3.1 子网掩码
2.3.2 反掩码
2.4 ACL配置
2.4.1 创建一个ACL
2.4.2 为每个ACL设置唯一的列表名或数字
2.4.3 把ACL应用到接口上
2.4.4 ACL的方向
2.5 理解ACL的处理过程
2.5.1 入站ACL
2.5.2 出站ACL
2.5.3 各类数据包的包过滤原则
2.5.4 实施ACL的准则
2.6 访问控制列表类型
2.6.1 标准ACL
2.6.2 扩展ACL
2.6.3 命名的IP ACL
2.6.4 锁和密钥(动态ACL)
2.6.5 自反ACL
2.6.6 Established ACL
2.6.7 使用时间范围(Time Range)的时间ACL
2.6.8 分布式时间ACL
2.6.9 配置分布式时间ACL
2.6.10 Turbo ACL
2.6.11 限速ACL(rACL)
2.6.12 设备保护ACL(iACL)
2.6.13 过境ACL
2.6.14 分类ACL
2.6.15 用ACL进行流量调试
2.7 总结
2.8 参考

第3章 设备安全
3.1 设备安全策略
3.2 设备加固
3.2.1 物理安全
3.2.2 密码
3.2.3 用户账户
3.2.4 特权级别
3.2.5 设备保护ACL(Infrastructure ACL)
3.2.6 交换访问方法
3.2.7 Banner消息
3.2.8 Cisco IOS快速复原配置(Resilient Configuration)
3.2.9 Cisco发现协议(CDP)
3.2.10 TCP/UDP低端口服务(Small-Servers)
3.2.11 Finger
3.2.12 Identd(auth)协议(Identification Protocol)
3.2.13 DHCP与BOOTP服务
3.2.14 简单文件传输(TFTP)协议
3.2.15 文件传输(FTP)协议
3.2.16 自动加载设备配置
3.2.17 PAD
3.2.18 IP源路由
3.2.19 代理ARP
3.2.20 无故ARP(Gratuitous ARP)
3.2.21 IP定向广播
3.2.22 IP掩码应答(IP Mask Reply)
3.2.23 IP重定向
3.2.24 ICMP不可达
3.2.25 HTTP
3.2.26 网络时间协议(NTP)
3.2.27 简单网络管理协议(SNMP)
3.2.28 Auto-Secure特性
3.3 保护安全设备的管理访问
3.3.1 PIX 500与ASA 5500系列安全设备-设备访问安全
3.3.2 IPS 4200系列传感器(前身为IDS 4200)
3.4 设备安全的自查列表
3.5 总结
3.6 参考

第4章 交换机安全特性
4.1 保护二层网络
4.2 端口级流量控制
4.2.1 风暴控制(Storm Control)
4.2.2 端口隔离(Protected Port/PVLAN Edge)
4.3 私有VLAN(PVLAN)
4.3.1 配置PVLAN
4.3.2 端口阻塞(Port Blocking)
4.3.3 端口安全(Port Security)
4.4 交换机访问列表
4.4.1 路由器ACL
4.4.2 端口ACL
4.4.3 VLAN ACL(VACL)
4.4.4 MAC ACL
4.5 生成树协议特性
4.5.1 桥协议数据单元防护(BPDU Guard)
4.5.2 根防护(Root Guard)
4.5.3 Etherchannel防护(Etherchannel Guard)
4.5.4 环路防护(Loop Guard)
4.6 动态主机配置协议(DHCP)Snooping
4.7 IP源地址防护(IP Source Guard)
4.8 DAI(动态ARP监控)
4.8.1 DHCP环境中的DAI
4.8.2 非DHCP环境中的DAI
4.8.3 为入站ARP数据包限速
4.8.4 ARP确认检查(ARP Validation Checks)
4.9 高端Catalyst交换机上的高级安全特性
4.10 控制面监管(CoPP)特性
4.11 CPU限速器
4.12 二层安全的最佳推荐做法
4.13 总结
4.14 参考

第5章 Cisco IOS防火墙
5.1 路由器防火墙之解决方案
5.2 基于上下文的访问控制(CBAC)
5.3 CBAC功能
5.3.1 流量过滤
5.3.2 流量监控
5.3.3 告警与审计跟踪
5.4 CBAC工作原理
5.4.1 数据包监控
5.4.2 超时时间与门限值
5.4.3 会话状态表
5.4.4 UDP连接
5.4.5 动态ACL条目
5.4.6 初始(半开)会话
5.4.7 为主机进行DoS防护
5.5 CBAC支持的协议
5.6 配置CBAC
5.6.1 第一步:选择一个接口:内部接口或者外部接口
5.6.2 第二步:配置IP访问列表
5.6.3 第三步:定义监控规则
5.6.4 第四步:配置全局的超时时间和门限值
5.6.5 第五步:把访问控制列表和监控规则应用到接口下
5.6.6 第六步:验证和监测CBAC配置
5.6.7 综合应用范例
5.7 IOS防火墙增强特性
5.7.1 HTTP监控功能
5.7.2 电子邮件监控功能
5.7.3 防火墙ACL旁路
5.7.4 透明IOS防火墙(二层防火墙)
5.7.5 虚拟分片重组(VFR)
5.7.6 VRF感知型(VRF-Aware)IOS防火墙
5.7.7 监控路由器生成的流量
5.8 基于区域的策略防火墙(ZFW)
5.8.1 基于区域的策略概述
5.8.2 安全区域
5.8.3 配置基于区域的策略防火墙
5.8.4 使用CPL配置ZFW
5.8.5 应用程序检查与控制(AIC)
5.9 总结
5.10 参考

第6章 Cisco防火墙:设备与模块
6.1 防火墙概述
6.2 硬件防火墙与软件防火墙的对比
6.3 Cisco PIX 500系列安全设备
6.4 Cisco ASA 5500系列自适应安全设备
6.5 Cisco防火墙服务模块(FWSM)
6.6 PIX 500和ASA 550系列防火墙设备操作系统
6.7 防火墙设备OS软件
6.8 防火墙模式
6.8.1 路由模式防火墙
6.8.2 透明模式防火墙(隐藏防火墙)
6.9 状态化监控
6.10 应用层协议监控
6.11 自适应安全算法的操作
6.12 安全虚拟防火墙
6.12.1 多虚拟防火墙——路由模式(及共享资源)
6.12.2 多虚拟防火墙——透明模式
6.12.3 配置安全虚拟防火墙
6.13 安全级别
6.14 冗余接口
6.15 IP路由
6.15.1 静态及默认路由
6.15.2 最短路径优先(OSPF)
6.15.3 路由信息协议(RIP)
6.15.4 增强型内部网关路由协议(EIGRP)
6.16 网络地址转换(NAT)
6.16.1 NAT控制(NAT Control)
6.16.2 NAT的类型
6.16.3 在启用NAT的情况下绕过NAT转换
6.16.4 策略NAT
6.16.5 NAT的处理顺序
6.17 控制流量与网络访问
6.17.1 ACL概述及其在安全设备上的应用
6.17.2 使用访问列表控制通过安全设备的出入站流量
6.17.3 用对象组简化访问列表
6.18 组件策略框架(MPF,Modular Policy Framework)
6.19 Cisco AnyConnect VPN客户端
6.20 冗余备份与负载分担
6.20.1 故障切换需求
6.20.2 故障切换链路
6.20.3 状态链路(State Link)
6.20.4 故障切换的实施
6.20.5 非对称路由支持(ASR)
6.21 防火墙服务模块(FWSM)的防火墙“模块化”系统
6.22 防火墙模块OS系统
6.23 穿越防火墙模块的网络流量
6.24 路由器/MSFC的部署
6.24.1 单模防火墙
6.24.2 多模防火墙
6.25 配置FWSM
6.26 总结
6.27 参考

第7章 攻击矢量与缓解技术
7.1 网络漏洞、网络威胁与网络渗透
7.1.1 攻击的分类
7.1.2 攻击矢量
7.1.3 黑客家族的构成
7.1.4 风险评估
7.2 三层缓解技术
7.2.1 流量分类
7.2.2 IP源地址跟踪器
7.2.3 IP欺骗攻击
7.2.4 数据包分类与标记方法
7.2.5 承诺访问速率(CAR)
7.2.6 模块化QoS CLI(MQC)
7.2.7 流量管制(Traffic Policing)
7.2.8 基于网络的应用识别(NBAR)
7.2.9 TCP拦截
7.2.10 基于策略的路由(PBR)
7.2.11 单播逆向路径转发(uRPF)
7.2.12 NetFlow
7.3 二层缓解方法
7.3.1 CAM表溢出-MAC攻击
7.3.2 MAC欺骗攻击
7.3.3 ARP欺骗攻击
7.3.4 VTP攻击
7.3.5 VLAN跳转攻击
7.3.6 PVLAN攻击
7.3.7 生成树攻击
7.3.8 DHCP欺骗与耗竭(Starvation)攻击
7.3.9 802.1x攻击
7.4 安全事故响应架构
7.4.1 什么是安全事故
7.4.2 安全事故响应处理
7.4.3 事故响应小组(IRT)
7.4.4 安全事故响应方法指导
7.5 总结
7.6 参考

第2部分 身份安全和访问管理
第8章 保护管理访问
第9章 Cisco Secure ACS软件与设备
第10章 多重认证
第11章 第2层访问控制
第12章 无线局域网(WLAN)安全
第13章 网络准入控制(NAC)

第3部分 数据保密
第14章 密码学
第15章 IPsec VPN
第16章 动态多点VPN(DMVPN)
第17章 群组加密传输VPN(GET VPN)
第18章 安全套接字层VPN(SSL VPN)
第19章 多协议标签交换VPN(MPLS VPN)

第4部分 安全监控
第20章 网络入侵防御
第21章 主机入侵防御
第22章 异常检测与缓解
第23章 安全监控和关联

第5部分 安全管理
第24章 安全和策略管理
第25章 安全框架与法规遵从性

序言
在互联网经济蓬勃发展的大背景下,网络系统无疑承担着重大的时代使命,而网络系统必力求稳定,成为了这个时代的人心所向、大势所趋。无论是企业的客户、员工还是供应商,无不由衷期待企业领导和网络管理员有能力为他们打造一个绝对安全的网络环境,使他们能够随时获取网络中的资源,并能随时访问网络中的各类应用和数据。我们所面临的已经不再是单纯的挑战,还必须面对因网络安全一朝遭到破坏,而有可能给我们带来的巨大损失。
《网络安全技术与解决方案》这本书全面、翔实地阐述了管理Cisco网络的方法,在它的指导下,网络安全技术人员可以更好地理解和实施当前最高端的安全技术和解决方案。无论是对网络安全专家还是初学者,这本书都是实属难得的宝贵资源。
网络安全方面的书籍大都将重点放在了阐述概念和理论上,而《网络安全技术与解决方案》一书即打破了这种常规,它是一本着眼于配置和管理Cisco动态链路的实用型工具书。在占有市场主导地位的Cisco链路环境中,包含了客户的安全策略、用户或主机的身份以及网络设备。而这本书以Cisco安全解决方案的核心要素为纲,介绍了正确配置各类网络安全技术最为实际,应用也最为广泛的指导方法,这些技术涵盖了安全边界、身份安全与访问管理、数据保密,及安全监视和管理等方面,几乎无所不包。
YusufBhaiji已在Cisco任职7年,现为CiscoCCIE安全认证的项目经理和Cisco迪拜Lab考场的考官,此前担任悉尼TAC安全与VPN团队的技术负责人。早在Yusuf获得计算机科学硕士学位时,他对安全技术和解决方案就表现出了极高的热情,这种热情现已陪伴他度过了17年的职业生涯。他所获得的大量认证就是他钟爱此类技术的最好体现。Yusuf在网络安全领域拥有丰富的执教阅历,这种经验磨砺了他的表达能力,使他能够将高深的技术用简明扼要、通俗易懂的方式娓娓道来。如果您正打算购买一本涵盖广泛网络安全技术指导类书籍,这本书绝对不容错过。

文摘
插图:

网络安全技术与解决方案
3.2.2 密码
验证用户身份主要依靠用户名和密码的结合。所谓密码就是用来验证用户身份的受保护字符串。Cisco IOS中有如下3种密码保护方案。
·明文密码:由于没有加密密码,因此这是最不安全的一种类型。在设备配置文件中,密码以明文的形式存在,可以进行浏览。
·7类密码:使用了Cisco私有加密算法对密码进行加密,这种算法比较脆弱。有很多密码破解工具可以对7类加密密码进行破解。可以使用命令enable password、 username和line password来应用7类密码。
·5类密码:使用了MD5散列算法(单向散列)加密密码,由于加密过程不可逆,因此一般认为这种算法非常强大。破解5类密码的唯一途径是暴力破解或字典攻击。在任何情况下,设备用户都应尽量采用5类密码而不是7类密码。5类加密通过命令enable secret来实现,它与enable password相比多了一层保障。而且命令enable secret的优先级高于enable password。另外,username secret命令同样使用的是5类密码。
3.2.2.1 创建强壮的密码
在设备安全中,创建强壮的密码是最为重要的任务之一。有时候,用户会用宠物的名字、自己的姓式、生日或其他类似的字符来创建密码,这些密码往往过于简单,很容易被字典攻击或暴力破解的方式攻破。然而,采用完全随机的数字与符号组合作为密码也不理想,因为这类随机的密码很容易遗忘。为了让自己记住这些密码,用户会把密码写在纸上压在键盘下面,或者把它保存在计算机的文本文件里。但是,这些习惯都与正确的常规安全作法背道而驰。
强壮的密码至少要有8~10个字符,并且是一个包含有字母(大小写组合)、数字和特殊符号的字符组合。这里需要重申的是,由字符和符号组成的密码不便于记忆。因此,安全管理员一般更喜欢使用密码短语(pass phrase)的方法创建密码。

内容简介
《网络安全技术与解决方案(修订版)》包含了Cisco网络安全解决方案中最为常见的产品、技术,以及它们的配置方法和部署方针。在产品方面,《网络安全技术与解决方案(修订版)》从硬件的PIX、ASA、FWSM模块、NAC设备、IDS、IPS、各类入侵检测模块、Cisco流量异常检测器、CS-MARS等,到软件的Cisco Secure ACS CSA、SDM和集成在各设备中的系统等,无所不包。
在技术方面,《网络安全技术与解决方案(修订版)》全面涵盖了Cisco网络中的各类安全技术,包括Cisco路由器、交换机上的多种攻击防御特性、CBAC、ZFW、各类WLAN安全技术、各类加密技术、VPN技术、IOS IPS技术等,无所不含。仅ACL技术一项,《网络安全技术与解决方案(修订版)》就分成了10余个种类并分别加以阐述。
在解决方案方面,《网络安全技术与解决方案(修订版)》以Cisco各类产品及其所支持的技术为纲,讲术了它们在不同环境、不同场合、不同媒介中的应用方法。
《网络安全技术与解决方案(修订版)》的任何一部分都始于理论,终于实践:开篇阐明某种攻击的技术要略,而后引入具体的应对设备、技术,以及部署和配置方法,作为相应的解决方案,纲举目张,博而不乱。
《网络安全技术与解决方案(修订版)》适用于网络工程师、网络安全工程师、网络管理维护人员,及其他网络安全技术相关领域的从业人员,可在他们设计、实施网络安全解决方案时作为技术指导和参考资料。尤其推荐那些正在备考安全方向CCIE的考生阅读《网络安全技术与解决方案(修订版)》,相信《网络安全技术与解决方案(修订版)》一定能够帮助他们更好地理解与考试相关的知识点,并为他们顺利通过考试铺平道路。

购买书籍

当当网购书 京东购书 卓越购书

PDF电子书下载地址

相关书籍

搜索更多