网络工程师必读:网络安全系统设计

网络工程师必读:网络安全系统设计
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者:
2009-08
版次: 1
ISBN: 9787121083365
定价: 89.00
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 749页
字数: 1382千字
正文语种: 简体中文
16人买过
  •   《网络工程师必读:网络安全系统设计》从网络工程师的职业角度出发组织和安排内容,非常具有针对性。《网络工程师必读:网络安全系统设计》从网络安全系统设计全局出发,以OSI/RM的7层结构为主线,层层把关,全面、系统地介绍各层的主要安全技术和方案设计思路、方法。
      《网络工程师必读:网络安全系统设计》从深层次分析了网络安全隐患存在的各个主要方面,然后从这几个方面出发,全面介绍企业局域网安全防护系统的设计方法。其中包括网络安全系统设计综述、物理层的网络安全保护方案、数据链路层的安全保护方案、网络层防火墙安全保护方案、网络层Kerberos身份认证方案、网络层证书身份认证、加密和签名方案、网络层PKI综合应用方案设计、网络层IPSec身份认证和加密方案、传输层TLS/SSL身份认证和加密方案、应用层Web服务器的综合安全系统设计与配置、WLAN网络综合安全系统设计与配置,并通过实际可用的安全防护方法来实现网络安全隐患的排除或防护。这些不同方面的安全防护措施形成了一个系统的整体,使得企业网络从各个方面都得到足够的安全保证。以上这些都是网络工程师所必须掌握的基础知识和技能。
      《网络工程师必读:网络安全系统设计》适合网络工程师参考学习,也可作为高等院校及相关培训机构的教材。 第1章网络安全系统设计综述/1
    1.1网络安全系统设计基础/2
    1.1.1网络安全的发展/2
    1.1.2网络安全威胁基础/4
    1.1.3企业网络的主要安全隐患/6
    1.1.4网络安全系统的基本组成/7
    1.2OSI/RM各层的安全保护/9
    1.2.1物理层的安全保护/9
    1.2.2数据链路层的安全保护/11
    1.2.3网络层的安全保护/12
    1.2.4传输层的安全保护/13
    1.2.5会话层和表示层的安全保护/14
    1.2.6应用层的安全保护/15
    1.3系统层的安全保护/16
    1.4网络安全系统设计/16
    1.4.1网络安全策略/16
    1.4.2网络安全系统设计的基本原则/17
    1.5网络安全系统设计的基本思路/20
    1.5.1安全隐患分析和基本系统结构信息的收集/20
    1.5.2调查和分析当前网络的安全需求/23
    1.5.3评估现有网络安全策略/24
    1.5.4设计细化的新网络安全策略初稿/25
    1.5.5第一次小范围的测试、评估和修改/31
    1.5.6第二次中、大范围的测试、评估和修改/32
    1.5.7新网络安全策略文档终稿/32
    1.5.8新网络安全策略系统的正式应用/32

    第2章物理层的网络安全保护方案/33
    2.1物理层安全保护概述/34
    2.2物理层的线路窃听技术分析/34
    2.3计算机网络通信线路屏蔽/35
    2.3.1选择屏蔽性能好的传输介质和适配器/36
    2.3.2屏蔽机房和机柜的选择/38
    2.3.3WLAN无线网络的物理层安全保护/39
    2.4物理线路隔离/40
    2.4.1主要物理隔离产品/40
    2.4.2物理隔离网闸的隔离原理/43
    2.4.3物理隔离网闸的典型应用/46
    2.5设备和线路冗余/46
    2.5.1网络设备部件冗余/47
    2.5.2网络设备整机冗余/49
    2.5.3网络线路冗余/51
    2.6机房和账户安全管理/51
    2.6.1机房安全管理/51
    2.6.2账户安全管理/52
    2.7数据安全管理/52
    2.7.1数据容灾概述/53
    2.7.2容灾与存储、容错、备份和远程复制的关系/54
    2.7.3数据容灾等级/56
    2.7.4灾难恢复的关键注意事项/60
    2.8物理层安全管理工具/61
    2.8.1泛达综合布线实时管理系统/61
    2.8.2Molex综合布线实时管理系统/64
    2.9服务和服务账户安全规划/66
    2.9.1服务和服务账户安全规划概述/66
    2.9.2服务的安全漏洞和账户/67
    2.9.3WindowsServer2003中服务的默认安全设置更改/69
    2.9.4安全运行服务的原则/70
    2.9.5如何更安全地运行服务/72

    第3章数据链路层的安全保护方案/81
    3.1典型数据加密算法/82
    3.1.1基于“消息摘要”的算法/82
    3.1.2“对称/非对称密钥”加密算法/85
    3.2数据加密/87
    3.2.1数据加密技术/87
    3.2.2链路加密机/90
    3.2.3网卡集成式链路加密原理/92
    3.3WLANSSID安全技术及配置方法/94
    3.3.1SSID概念及配置方法/94
    3.3.2BSSID和ESSID/95
    3.3.3SSID的安全问题/96
    3.4WLANMAC地址过滤/97
    3.5WLANWEP加密/98
    3.5.1WEP加密原理/98
    3.5.2WEP解密原理/99
    3.5.3WEP加密的不足/99
    3.5.4WEP加密的配置方法/100
    3.6WPA加密/102
    3.6.1WPA的WLAN链路加密/102
    3.6.2WPA中的IEEE802.1x身份认证系统/103
    3.6.3EAPOL消息的封装/105
    3.6.4IEEE802.1x的认证过程/107
    3.7WPA2加密/111
    3.7.1WPA2简介/111
    3.7.2AES-CCMP基础/112
    3.7.3AES算法的基本原理/113
    3.7.4WPA2AES-CCMP加/解密原理/115
    3.8无线AP/路由器的WPA和WPA2设置/118
    3.8.1个人用户无线AP/路由器的WPA-PSK或WPA2-PSK设置/119
    3.8.2企业级无线AP/路由器的WPA或WPA2设置/120
    3.8.3WLAN客户端第三方软件的WPA和WPA2设置/121
    3.8.4WindowsXP无线客户端WPA/WPA2配置/125
    3.9最新的WLAN安全标准
    ——IEEE802.11i/126
    3.9.1IEEE802.11i概述/127
    3.9.2WRAP加密机制/127
    3.10MAC地址欺骗防护/129
    3.10.1ARP和RARP协议工作原理/130
    3.10.2ARP协议帧格式/131
    3.10.3MAC地址欺骗原理/132
    3.10.4MAC地址欺骗预防/133
    3.11Cisco设备上基于端口的MAC地址绑定/136
    3.11.1基于端口的单一MAC地址绑定基本配置步骤/136
    3.11.2基于端口的单一MAC地址绑定配置示例/138
    3.12Cisco基于端口的多MAC地址绑定/138
    3.12.1基于端口的多MAC地址绑定配置思路/138
    3.12.2基于端口的多MAC地址绑定配置示例/139
    3.13Cisco设备上基于IP的MAC地址绑定/139
    3.13.1一对一的MAC地址与IP地址绑定/139
    3.13.2一对多,或者多对多的MAC地址与IP地址绑定示例/140
    3.14H3CS5600交换机基于端口的MAC地址绑定/141
    3.14.1S5100系列交换机的SecurityMAC地址配置/141
    3.14.2S5600系列交换机的SecurityMAC地址配置/142
    3.15H3CSR8800系列业务路由器MAC和IP地址绑定/144
    3.15.1MAC和IP地址绑定配置/144
    3.15.2MAC和IP地址绑定典型配置示例/146
    3.16H3CSecPath系列防火墙上的MAC和IP地址绑定/147
    3.16.1MAC和IP地址绑定配置/148
    3.16.2MAC和IP地址绑定典型配置示例/149
    3.17网络嗅探的防护/149
    3.17.1网络嗅探原理/149
    3.17.2网络嗅探的防范/151

    第4章网络层防火墙安全保护方案/153
    4.1防火墙的分类和技术/154
    4.1.1包过滤防火墙简介/154
    4.1.2包过滤技术的发展/155
    4.1.3包过滤原理/155
    4.1.4包过滤技术的主要优、缺点/156
    4.1.5代理防火墙/157
    4.2防火墙系统的设计/158
    4.2.1内、外部防火墙系统/158
    4.2.2防火墙在企业网络体系结构中的位置/159
    4.2.3典型防火墙系统设计/161
    4.3防火墙在网络安全防护中的主要应用/164
    4.3.1控制来自互联网对内部网络的访问/164
    4.3.2控制来自第三方局域网对内部网络的访问/166
    4.3.3控制局域网内部不同部门之间的访问/167
    4.3.4控制对服务器中心的网络访问/168
    4.4内部防火墙系统设计/169
    4.4.1内部防火墙系统概述/170
    4.4.2内部防火墙规则/170
    4.4.3内部防火墙的可用性需求/171
    4.4.4内部容错防火墙集配置/174
    4.4.5内部防火墙系统设计的其他因素要求/175
    4.5外围防火墙系统设计/177
    4.5.1外围防火墙系统概述/178
    4.5.2外围防火墙规则/178
    4.5.3外围防火墙系统的可用性要求/179

    第5章网络层Kerberos身份认证方案/181
    5.1身份认证概述/182
    5.1.1单点登录身份认证执行方式/182
    5.1.2主要的身份认证类型/183
    5.2Kerberos身份认证基础/183
    5.2.1KerberosV5身份认证机制/184
    5.2.2KerberosV5身份认证的优点与缺点/187
    5.2.3KerberosV5协议标准/188
    5.2.4KerberosV5身份认证所用端口/190
    5.3KerberosSSP认证/190
    5.4Kerberos物理结构/192
    5.4.1Kerberos中的密钥/192
    5.4.2Kerberos票证/195
    5.4.3认证符/199
    5.4.4凭证缓存/200
    5.4.5密钥分发中心(KDC)/200
    5.5KerberosV5交换和消息摘要/204
    5.5.1KerberosV5身份认证的3个子协议/204
    5.5.2身份认证服务(AS)交换/205
    5.5.3票证许可服务(TGS)交换/206
    5.5.4客户端/服务器(CS)交换/207
    5.6Kerberos交换消息详解/207
    5.6.1身份认证服务交换消息详解/208
    5.6.2票证许可服务交换消息详解/211
    5.6.3客户端/服务器身份认证交换消息详解/214
    5.7Kerberos身份认证应用示例/216
    5.7.1本地登录示例/216
    5.7.2域登录示例/217
    5.7.3域用户的工作站登录/217
    5.7.4单域身份认证示例/223
    5.7.5用户到用户的身份认证/226
    5.8KerberosV5身份认证的启用与策略配置/228

    第6章网络层证书身份认证、加密和签名方案/231
    6.1证书和证书服务基础/232
    6.1.1证书概述/232
    6.1.2证书的主要功能/233
    6.1.3证书的主要应用/235
    6.1.4证书客户端角色/239
    6.1.5证书服务概述/240
    6.2CA证书/241
    6.2.1CA证书简介/241
    6.2.2CA证书应用的情形/242
    6.3证书结构/243
    6.3.1证书体系架构/243
    6.3.2证书模板/245
    6.3.3证书的物理和逻辑存储/250
    6.3.4证书存储区/253
    6.4CA证书进程和交互/255
    6.4.1根CA证书是如何被创建的/256
    6.4.2根CA证书是如何被更新的/257
    6.4.3从属CA证书是如何被创建的/258
    6.4.4合格的从属策略是如何被应用的/259
    6.5证书服务体系架构/260
    6.5.1证书服务引擎/261
    6.5.2策略模块/262
    6.5.3客户端策略模块/263
    6.5.4退出模块/263
    6.5.5证书数据库/264
    6.5.6CryptoAPI接口/264
    6.5.7证书服务协议/264
    6.6证书服务接口/265
    6.7证书服务物理结构/266
    6.7.1证书数据库和CA日志文件/267
    6.7.2注册表/267
    6.7.3活动目录/267
    6.7.4文件系统/269
    6.8证书服务进程和交互/270
    6.8.1证书是如何创建的/270
    6.8.2证书的自动注册/272
    6.8.3证书的手动注册/277
    6.8.4自定义证书注册和更新应用/279
    6.8.5使用可选组件注册和续订/281
    6.8.6证书是如何吊销的/283
    6.9证书模板属性选项和设计/287
    6.9.1证书模板属性选项/287
    6.9.2证书模板设计方面的考虑/294
    6.9.3证书模板规划注意事项/296
    6.9.4证书模板的部署/299

    第7章网络层PKI综合应用方案设计/303
    7.1本章概述/304
    7.1.1部署PKI的必要性和本章所使用的技术/304
    7.1.2规划和部署PKI的基本流程/306
    7.2定义证书需求/307
    7.2.1确定安全应用需求/308
    7.2.2确定证书需求/312
    7.2.3文档化证书策略和证书实施声明/314
    7.2.4定义证书应用需求示例/315
    7.3设计证书颁发机构层次结构/316
    7.3.1规划核心CA选项——设计根CA/317
    7.3.2规划核心CA选项——选择内部与第三方CA/318
    7.3.3规划核心CA选项——评估CA容量、性能和可扩展需求/320
    7.3.4规划核心CA选项——PKI管理模式/322
    7.3.5规划核心CA选项——CA类型和角色/323
    7.3.6规划核心CA选项——整体活动目录结构/327
    7.3.7规划核心CA选项——CA安全性/329
    7.3.8规划核心CA选项——确定CA数量/333
    7.3.9选择信任模式/334
    7.3.10在信任层次结构中定义CA角色/338
    7.3.11建立命名协定/338
    7.3.12选择CA数据库位置/338
    7.3.13CA结构设计示例/339
    7.4扩展证书颁发机构结构/341
    7.4.1评估影响扩展信任的因素/341
    7.4.2选择扩展CA结构配置/344
    7.4.3限制计划外的信任/346
    7.5定义证书配置文件/348
    7.5.1选择证书模板/349
    7.5.2选择证书安全选项/350
    7.5.3使用合格的从属来限制证书/354
    7.5.4配置证书示例/359
    7.6创建证书管理规划/360
    7.6.1选择注册和续订方法/361
    7.6.2将证书映射到身份/363
    7.6.3创建证书吊销策略/368
    7.6.4规划密钥和数据恢复/372
    7.6.5创建证书管理规划示例/375

    第8章网络层IPSec身份认证和加密方案/377
    8.1IPSec基础/378
    8.1.1什么是IPSec/378
    8.1.2IPSec的设计初衷/379
    8.1.3IPSec的优势/381
    8.2IPSec提供的安全服务/382
    8.2.1IPSec提供的安全属性/382
    8.2.2KerberosV5身份认证协议/383
    8.2.3基于公钥证书的身份认证/383
    8.2.4预共享密钥验证/384
    8.2.5采用哈希函数的数据完整性验证/384
    8.2.6具有加密功能的数据保密性/385
    8.2.7密钥管理/386
    8.2.8密钥保护/386
    8.3IPSec的使用模式/388
    8.3.1传输模式/388
    8.3.2隧道模式/389
    8.4IPSec协议类型/389
    8.4.1IPSecAH协议/390
    8.4.2IPSecESP协议/394
    8.5WindowsServer2003中的IPSec/397
    8.5.1IPSec逻辑体系架构/398
    8.5.2IPSec身份认证和组件/401
    8.5.3策略代理体系架构/402
    8.5.4IKE模块体系架构/405
    8.5.5IPSec驱动体系架构/407
    8.5.6IPSec策略数据结构/407
    8.5.7IPSec分配的网络端口和协议/410
    8.5.8IPSec策略规则/411
    8.6IPSec密钥安全关联和密钥交换原理/415
    8.6.1安全关联基本原理和类型/415
    8.6.2主模式协商SA/417
    8.6.3快速模式协商SA/424
    8.6.4密钥交换原理/426
    8.6.5SA生存期/427
    8.7IPSec驱动工作原理/427
    8.7.1IPSec驱动的职责/427
    8.7.2IPSec驱动通信/428
    8.7.3IPSec驱动程序模式/428
    8.7.4IPSec驱动的包处理/430
    8.8IPSec策略及策略筛选器/431
    8.8.1IPSec策略/431
    8.8.2IPSec策略规则/433
    8.8.3默认响应规则/434
    8.8.4IPSec策略筛选器/435
    8.8.5IPSec筛选器的应用顺序/437
    8.8.6IPSec筛选中的默认排除/438
    8.8.7IPSec筛选器的设计考虑/440
    8.9WindowsServer2003IPSec系统的部署/441
    8.9.1WindowsServer2003IPSec部署的简易性/441
    8.9.2部署WindowsServer2003IPSec前所需的确认/442
    8.9.3IPSec策略设计与规划的最佳操作/442
    8.9.4建立IPSec安全计划/445
    8.9.5策略配置/446
    8.9.6默认筛选器列表/446
    8.9.7默认响应规则/448
    8.9.8IPSec策略的应用方法/450
    8.10IPSec应用方案设计/453
    8.10.1IPSec安全通信方案的主要应用/454
    8.10.2不推荐的IPSec方案/458
    8.10.3管理使用仅在WindowsServer2003家族中可用的新增功能的策略/458
    8.10.4IP筛选器配置的考虑/459
    8.10.5筛选器操作的配置考虑/461
    8.11IPSec策略的应用方案配置/462
    8.11.1IPSec方案配置前的准备/462
    8.11.2IPSec安全方案配置的基本步骤/463
    8.11.3IPSec在Web服务器访问限制中的应用示例/464
    8.11.4IPSec在数据库服务器访问限制中的应用示例/475
    8.11.5IPSec在阻止NetBIOS攻击中的应用示例/476
    8.11.6IPSec在保护远程访问通信中的应用示例/478

    第9章传输层TLS/SSL身份认证和加密方案/481
    9.1TLS/SSL基础/482
    9.1.1TLS/SSL简介/482
    9.1.2TLS/SSL标准的历史/483
    9.1.3TLS与SSL的区别/483
    9.1.4TLS/SSL所带来的好处/484
    9.1.5TLS/SSL的局限性/485
    9.1.6常见的TLS/SSL应用/485
    9.1.7安全通道技术/487
    9.1.8TLS和SSL的依从/487
    9.2TLS/SSL体系架构/488
    9.2.1安全通道SSPI体系架构/488
    9.2.2TLS/SSL体系架构/490
    9.2.3TLS/SSL握手协议/491
    9.2.4记录层/495
    9.3TLS/SSL工作原理/495
    9.3.1TLS/SSL进程和交互机制/495
    9.3.2TLS的完整握手过程/497
    9.3.3客户端Hello消息/498
    9.3.4服务器Hello消息/501
    9.3.5客户端响应Hello消息/503
    9.3.6计算主密钥和子系列密钥/504
    9.3.7完成消息/505
    9.3.8应用数据流/506
    9.3.9恢复安全会话/507
    9.3.10重新协商方法/507
    9.3.11安全通道的证书映射/509
    9.3.12TLS/SSL所使用的网络端口/510
    9.4WTLS/511
    9.4.1WAP的主要特点和体系架构/511
    9.4.2WAP架构与WWW架构的比较/514
    9.4.3WAP安全机制/516
    9.4.4WTLS体系架构/518
    9.4.5WTLS的安全功能/519
    9.4.6WTLS与TLS的区别/520
    9.5SSL在IISWeb服务器中的应用/522
    9.5.1安装CA/522
    9.5.2生成证书申请/524
    9.5.3提交证书申请/527
    9.5.4证书的颁发和导出/530
    9.5.5在Web服务器上安装证书/532
    9.5.6在Web服务器上启用SSL/534
    9.6SSLVPN/535
    9.6.1SSLVPN网络结构和主要应用/536
    9.6.2SSLVPN的主要优势和不足/537

    第10章应用层Web服务器的综合安全系统设计与配置/541
    10.1我国网站安全现状/542
    10.2Web服务器的身份验证技术选择/543
    10.2.1NTLM身份验证机制选择和配置方法/543
    10.2.2Kerberos身份验证机制选择和配置方法/547
    10.2.3摘要式身份验证机制选择和配置方法/548
    10.2.4公钥加密身份认证机制选择/553
    10.2.5证书身份认证机制选择和配置方法/555
    10.3Web服务器传输层安全技术选择/558
    10.4Web服务器的安全威胁与对策/559
    10.4.1主机枚举/560
    10.4.2拒绝服务/562
    10.4.3未经授权的访问/562
    10.4.4随意代码执行/563
    10.4.5特权提升/563
    10.4.6病毒、蠕虫和特洛伊木马/564
    10.5安全Web服务器检查表/564
    10.6WindowsServer2003Web服务器安全策略设计/580
    10.6.1Web服务器的匿名访问和SSLF设置/581
    10.6.2Web服务器审核策略设置/582
    10.6.3Web服务器用户权限分配策略设置/591
    10.6.4Web服务器的安全选项策略设置/600
    10.6.5Web服务器的事件日志策略设置/617
    10.6.6Web服务器的其他安全策略设置/619

    第11章WLAN网络综合安全系统设计与配置/629
    11.1选择WLAN的安全策略/630
    11.1.1WLAN面临的主要安全问题/630
    11.1.2WLAN安全策略的决策/631
    11.1.3如何真正确保WLAN的安全/633
    11.1.4WLAN的身份验证和授权/634
    11.1.5WLAN的数据保护/635
    11.1.6使用WLAN数据保护的IEEE802.1x
    11.2WLAN安全方案选择/637
    11.2.1不部署WLAN技术/638
    11.2.2使用基于802.11静态WEP的基本安全/638
    11.2.3使用EAP和动态加密密钥的IEEE802.1x/639
    11.2.4使用EAP-TLS的IEEE802.1x/640
    11.2.5使用PEAP的IEEE802.1x/640
    11.2.6使用VPN技术保护WLAN网络/641
    11.2.7使用IPSec保护WLAN/643
    11.2.8主要WLAN安全方案比较/644
    11.3使用IEEE802.1x设计WLAN安全系统/645
    11.3.1IEEE802.1xWALN安全方案设计基本思路/645
    11.3.2使用IEEE802.1x和加密确保WLAN安全/646
    11.3.3使用证书或密码/646
    11.3.4解决方案的先决条件/647
    11.3.5WLAN安全选项考虑/648
    11.3.6确定IEEE802.1xWLAN所需的软件设置/654
    11.3.7其他注意事项/658
    11.4使用IEEE802.1x实现WLAN安全性/659
    11.4.1方案实现基本思路/659
    11.4.2IEEE802.1xWLAN计划工作表/660
    11.4.3准备安全WLAN的环境/661
    11.4.4配置和部署WLAN身份验证证书/662
    11.4.5配置WLAN访问基础结构/671
    11.4.6让用户和计算机能够访问安全WLAN/675
    11.4.7配置IEEE802.1x网络的无线接入点/680
    11.4.8测试和验证/681
    11.5IEEE802.1xEAP-TLSWLAN安全方案网络结构设计/681
    11.5.1IEEE802.1xEAP-TLS身份验证解决方案概述/681
    11.5.2IEEE802.1xEAP-TLSWLAN网络安全结构方案设计标准/684
    11.5.3IEEE802.1xEAP-TLS方案网络结构逻辑设计与评估/686
    11.6使用PEAP和密码确保无线LAN的安全/692
    11.6.1解决方案的基本思路/692
    11.6.2PEAP解决方案的优势和工作原理/693
    11.6.3组织结构和IT环境计划/696
    11.6.4方案设计标准计划/697
    11.6.5WLAN体系结构部署计划/698
    11.6.6针对大型组织的扩展计划/710
    11.6.7解决方案体系结构的变化计划/712
    11.6.8准备安全WLAN网络环境/715
    11.6.9方案网络证书颁发机构构建/725
    11.6.10WLAN安全的基础结构构建/728
    11.6.11WLAN客户端配置/741
    后记/747
  • 内容简介:
      《网络工程师必读:网络安全系统设计》从网络工程师的职业角度出发组织和安排内容,非常具有针对性。《网络工程师必读:网络安全系统设计》从网络安全系统设计全局出发,以OSI/RM的7层结构为主线,层层把关,全面、系统地介绍各层的主要安全技术和方案设计思路、方法。
      《网络工程师必读:网络安全系统设计》从深层次分析了网络安全隐患存在的各个主要方面,然后从这几个方面出发,全面介绍企业局域网安全防护系统的设计方法。其中包括网络安全系统设计综述、物理层的网络安全保护方案、数据链路层的安全保护方案、网络层防火墙安全保护方案、网络层Kerberos身份认证方案、网络层证书身份认证、加密和签名方案、网络层PKI综合应用方案设计、网络层IPSec身份认证和加密方案、传输层TLS/SSL身份认证和加密方案、应用层Web服务器的综合安全系统设计与配置、WLAN网络综合安全系统设计与配置,并通过实际可用的安全防护方法来实现网络安全隐患的排除或防护。这些不同方面的安全防护措施形成了一个系统的整体,使得企业网络从各个方面都得到足够的安全保证。以上这些都是网络工程师所必须掌握的基础知识和技能。
      《网络工程师必读:网络安全系统设计》适合网络工程师参考学习,也可作为高等院校及相关培训机构的教材。
  • 目录:
    第1章网络安全系统设计综述/1
    1.1网络安全系统设计基础/2
    1.1.1网络安全的发展/2
    1.1.2网络安全威胁基础/4
    1.1.3企业网络的主要安全隐患/6
    1.1.4网络安全系统的基本组成/7
    1.2OSI/RM各层的安全保护/9
    1.2.1物理层的安全保护/9
    1.2.2数据链路层的安全保护/11
    1.2.3网络层的安全保护/12
    1.2.4传输层的安全保护/13
    1.2.5会话层和表示层的安全保护/14
    1.2.6应用层的安全保护/15
    1.3系统层的安全保护/16
    1.4网络安全系统设计/16
    1.4.1网络安全策略/16
    1.4.2网络安全系统设计的基本原则/17
    1.5网络安全系统设计的基本思路/20
    1.5.1安全隐患分析和基本系统结构信息的收集/20
    1.5.2调查和分析当前网络的安全需求/23
    1.5.3评估现有网络安全策略/24
    1.5.4设计细化的新网络安全策略初稿/25
    1.5.5第一次小范围的测试、评估和修改/31
    1.5.6第二次中、大范围的测试、评估和修改/32
    1.5.7新网络安全策略文档终稿/32
    1.5.8新网络安全策略系统的正式应用/32

    第2章物理层的网络安全保护方案/33
    2.1物理层安全保护概述/34
    2.2物理层的线路窃听技术分析/34
    2.3计算机网络通信线路屏蔽/35
    2.3.1选择屏蔽性能好的传输介质和适配器/36
    2.3.2屏蔽机房和机柜的选择/38
    2.3.3WLAN无线网络的物理层安全保护/39
    2.4物理线路隔离/40
    2.4.1主要物理隔离产品/40
    2.4.2物理隔离网闸的隔离原理/43
    2.4.3物理隔离网闸的典型应用/46
    2.5设备和线路冗余/46
    2.5.1网络设备部件冗余/47
    2.5.2网络设备整机冗余/49
    2.5.3网络线路冗余/51
    2.6机房和账户安全管理/51
    2.6.1机房安全管理/51
    2.6.2账户安全管理/52
    2.7数据安全管理/52
    2.7.1数据容灾概述/53
    2.7.2容灾与存储、容错、备份和远程复制的关系/54
    2.7.3数据容灾等级/56
    2.7.4灾难恢复的关键注意事项/60
    2.8物理层安全管理工具/61
    2.8.1泛达综合布线实时管理系统/61
    2.8.2Molex综合布线实时管理系统/64
    2.9服务和服务账户安全规划/66
    2.9.1服务和服务账户安全规划概述/66
    2.9.2服务的安全漏洞和账户/67
    2.9.3WindowsServer2003中服务的默认安全设置更改/69
    2.9.4安全运行服务的原则/70
    2.9.5如何更安全地运行服务/72

    第3章数据链路层的安全保护方案/81
    3.1典型数据加密算法/82
    3.1.1基于“消息摘要”的算法/82
    3.1.2“对称/非对称密钥”加密算法/85
    3.2数据加密/87
    3.2.1数据加密技术/87
    3.2.2链路加密机/90
    3.2.3网卡集成式链路加密原理/92
    3.3WLANSSID安全技术及配置方法/94
    3.3.1SSID概念及配置方法/94
    3.3.2BSSID和ESSID/95
    3.3.3SSID的安全问题/96
    3.4WLANMAC地址过滤/97
    3.5WLANWEP加密/98
    3.5.1WEP加密原理/98
    3.5.2WEP解密原理/99
    3.5.3WEP加密的不足/99
    3.5.4WEP加密的配置方法/100
    3.6WPA加密/102
    3.6.1WPA的WLAN链路加密/102
    3.6.2WPA中的IEEE802.1x身份认证系统/103
    3.6.3EAPOL消息的封装/105
    3.6.4IEEE802.1x的认证过程/107
    3.7WPA2加密/111
    3.7.1WPA2简介/111
    3.7.2AES-CCMP基础/112
    3.7.3AES算法的基本原理/113
    3.7.4WPA2AES-CCMP加/解密原理/115
    3.8无线AP/路由器的WPA和WPA2设置/118
    3.8.1个人用户无线AP/路由器的WPA-PSK或WPA2-PSK设置/119
    3.8.2企业级无线AP/路由器的WPA或WPA2设置/120
    3.8.3WLAN客户端第三方软件的WPA和WPA2设置/121
    3.8.4WindowsXP无线客户端WPA/WPA2配置/125
    3.9最新的WLAN安全标准
    ——IEEE802.11i/126
    3.9.1IEEE802.11i概述/127
    3.9.2WRAP加密机制/127
    3.10MAC地址欺骗防护/129
    3.10.1ARP和RARP协议工作原理/130
    3.10.2ARP协议帧格式/131
    3.10.3MAC地址欺骗原理/132
    3.10.4MAC地址欺骗预防/133
    3.11Cisco设备上基于端口的MAC地址绑定/136
    3.11.1基于端口的单一MAC地址绑定基本配置步骤/136
    3.11.2基于端口的单一MAC地址绑定配置示例/138
    3.12Cisco基于端口的多MAC地址绑定/138
    3.12.1基于端口的多MAC地址绑定配置思路/138
    3.12.2基于端口的多MAC地址绑定配置示例/139
    3.13Cisco设备上基于IP的MAC地址绑定/139
    3.13.1一对一的MAC地址与IP地址绑定/139
    3.13.2一对多,或者多对多的MAC地址与IP地址绑定示例/140
    3.14H3CS5600交换机基于端口的MAC地址绑定/141
    3.14.1S5100系列交换机的SecurityMAC地址配置/141
    3.14.2S5600系列交换机的SecurityMAC地址配置/142
    3.15H3CSR8800系列业务路由器MAC和IP地址绑定/144
    3.15.1MAC和IP地址绑定配置/144
    3.15.2MAC和IP地址绑定典型配置示例/146
    3.16H3CSecPath系列防火墙上的MAC和IP地址绑定/147
    3.16.1MAC和IP地址绑定配置/148
    3.16.2MAC和IP地址绑定典型配置示例/149
    3.17网络嗅探的防护/149
    3.17.1网络嗅探原理/149
    3.17.2网络嗅探的防范/151

    第4章网络层防火墙安全保护方案/153
    4.1防火墙的分类和技术/154
    4.1.1包过滤防火墙简介/154
    4.1.2包过滤技术的发展/155
    4.1.3包过滤原理/155
    4.1.4包过滤技术的主要优、缺点/156
    4.1.5代理防火墙/157
    4.2防火墙系统的设计/158
    4.2.1内、外部防火墙系统/158
    4.2.2防火墙在企业网络体系结构中的位置/159
    4.2.3典型防火墙系统设计/161
    4.3防火墙在网络安全防护中的主要应用/164
    4.3.1控制来自互联网对内部网络的访问/164
    4.3.2控制来自第三方局域网对内部网络的访问/166
    4.3.3控制局域网内部不同部门之间的访问/167
    4.3.4控制对服务器中心的网络访问/168
    4.4内部防火墙系统设计/169
    4.4.1内部防火墙系统概述/170
    4.4.2内部防火墙规则/170
    4.4.3内部防火墙的可用性需求/171
    4.4.4内部容错防火墙集配置/174
    4.4.5内部防火墙系统设计的其他因素要求/175
    4.5外围防火墙系统设计/177
    4.5.1外围防火墙系统概述/178
    4.5.2外围防火墙规则/178
    4.5.3外围防火墙系统的可用性要求/179

    第5章网络层Kerberos身份认证方案/181
    5.1身份认证概述/182
    5.1.1单点登录身份认证执行方式/182
    5.1.2主要的身份认证类型/183
    5.2Kerberos身份认证基础/183
    5.2.1KerberosV5身份认证机制/184
    5.2.2KerberosV5身份认证的优点与缺点/187
    5.2.3KerberosV5协议标准/188
    5.2.4KerberosV5身份认证所用端口/190
    5.3KerberosSSP认证/190
    5.4Kerberos物理结构/192
    5.4.1Kerberos中的密钥/192
    5.4.2Kerberos票证/195
    5.4.3认证符/199
    5.4.4凭证缓存/200
    5.4.5密钥分发中心(KDC)/200
    5.5KerberosV5交换和消息摘要/204
    5.5.1KerberosV5身份认证的3个子协议/204
    5.5.2身份认证服务(AS)交换/205
    5.5.3票证许可服务(TGS)交换/206
    5.5.4客户端/服务器(CS)交换/207
    5.6Kerberos交换消息详解/207
    5.6.1身份认证服务交换消息详解/208
    5.6.2票证许可服务交换消息详解/211
    5.6.3客户端/服务器身份认证交换消息详解/214
    5.7Kerberos身份认证应用示例/216
    5.7.1本地登录示例/216
    5.7.2域登录示例/217
    5.7.3域用户的工作站登录/217
    5.7.4单域身份认证示例/223
    5.7.5用户到用户的身份认证/226
    5.8KerberosV5身份认证的启用与策略配置/228

    第6章网络层证书身份认证、加密和签名方案/231
    6.1证书和证书服务基础/232
    6.1.1证书概述/232
    6.1.2证书的主要功能/233
    6.1.3证书的主要应用/235
    6.1.4证书客户端角色/239
    6.1.5证书服务概述/240
    6.2CA证书/241
    6.2.1CA证书简介/241
    6.2.2CA证书应用的情形/242
    6.3证书结构/243
    6.3.1证书体系架构/243
    6.3.2证书模板/245
    6.3.3证书的物理和逻辑存储/250
    6.3.4证书存储区/253
    6.4CA证书进程和交互/255
    6.4.1根CA证书是如何被创建的/256
    6.4.2根CA证书是如何被更新的/257
    6.4.3从属CA证书是如何被创建的/258
    6.4.4合格的从属策略是如何被应用的/259
    6.5证书服务体系架构/260
    6.5.1证书服务引擎/261
    6.5.2策略模块/262
    6.5.3客户端策略模块/263
    6.5.4退出模块/263
    6.5.5证书数据库/264
    6.5.6CryptoAPI接口/264
    6.5.7证书服务协议/264
    6.6证书服务接口/265
    6.7证书服务物理结构/266
    6.7.1证书数据库和CA日志文件/267
    6.7.2注册表/267
    6.7.3活动目录/267
    6.7.4文件系统/269
    6.8证书服务进程和交互/270
    6.8.1证书是如何创建的/270
    6.8.2证书的自动注册/272
    6.8.3证书的手动注册/277
    6.8.4自定义证书注册和更新应用/279
    6.8.5使用可选组件注册和续订/281
    6.8.6证书是如何吊销的/283
    6.9证书模板属性选项和设计/287
    6.9.1证书模板属性选项/287
    6.9.2证书模板设计方面的考虑/294
    6.9.3证书模板规划注意事项/296
    6.9.4证书模板的部署/299

    第7章网络层PKI综合应用方案设计/303
    7.1本章概述/304
    7.1.1部署PKI的必要性和本章所使用的技术/304
    7.1.2规划和部署PKI的基本流程/306
    7.2定义证书需求/307
    7.2.1确定安全应用需求/308
    7.2.2确定证书需求/312
    7.2.3文档化证书策略和证书实施声明/314
    7.2.4定义证书应用需求示例/315
    7.3设计证书颁发机构层次结构/316
    7.3.1规划核心CA选项——设计根CA/317
    7.3.2规划核心CA选项——选择内部与第三方CA/318
    7.3.3规划核心CA选项——评估CA容量、性能和可扩展需求/320
    7.3.4规划核心CA选项——PKI管理模式/322
    7.3.5规划核心CA选项——CA类型和角色/323
    7.3.6规划核心CA选项——整体活动目录结构/327
    7.3.7规划核心CA选项——CA安全性/329
    7.3.8规划核心CA选项——确定CA数量/333
    7.3.9选择信任模式/334
    7.3.10在信任层次结构中定义CA角色/338
    7.3.11建立命名协定/338
    7.3.12选择CA数据库位置/338
    7.3.13CA结构设计示例/339
    7.4扩展证书颁发机构结构/341
    7.4.1评估影响扩展信任的因素/341
    7.4.2选择扩展CA结构配置/344
    7.4.3限制计划外的信任/346
    7.5定义证书配置文件/348
    7.5.1选择证书模板/349
    7.5.2选择证书安全选项/350
    7.5.3使用合格的从属来限制证书/354
    7.5.4配置证书示例/359
    7.6创建证书管理规划/360
    7.6.1选择注册和续订方法/361
    7.6.2将证书映射到身份/363
    7.6.3创建证书吊销策略/368
    7.6.4规划密钥和数据恢复/372
    7.6.5创建证书管理规划示例/375

    第8章网络层IPSec身份认证和加密方案/377
    8.1IPSec基础/378
    8.1.1什么是IPSec/378
    8.1.2IPSec的设计初衷/379
    8.1.3IPSec的优势/381
    8.2IPSec提供的安全服务/382
    8.2.1IPSec提供的安全属性/382
    8.2.2KerberosV5身份认证协议/383
    8.2.3基于公钥证书的身份认证/383
    8.2.4预共享密钥验证/384
    8.2.5采用哈希函数的数据完整性验证/384
    8.2.6具有加密功能的数据保密性/385
    8.2.7密钥管理/386
    8.2.8密钥保护/386
    8.3IPSec的使用模式/388
    8.3.1传输模式/388
    8.3.2隧道模式/389
    8.4IPSec协议类型/389
    8.4.1IPSecAH协议/390
    8.4.2IPSecESP协议/394
    8.5WindowsServer2003中的IPSec/397
    8.5.1IPSec逻辑体系架构/398
    8.5.2IPSec身份认证和组件/401
    8.5.3策略代理体系架构/402
    8.5.4IKE模块体系架构/405
    8.5.5IPSec驱动体系架构/407
    8.5.6IPSec策略数据结构/407
    8.5.7IPSec分配的网络端口和协议/410
    8.5.8IPSec策略规则/411
    8.6IPSec密钥安全关联和密钥交换原理/415
    8.6.1安全关联基本原理和类型/415
    8.6.2主模式协商SA/417
    8.6.3快速模式协商SA/424
    8.6.4密钥交换原理/426
    8.6.5SA生存期/427
    8.7IPSec驱动工作原理/427
    8.7.1IPSec驱动的职责/427
    8.7.2IPSec驱动通信/428
    8.7.3IPSec驱动程序模式/428
    8.7.4IPSec驱动的包处理/430
    8.8IPSec策略及策略筛选器/431
    8.8.1IPSec策略/431
    8.8.2IPSec策略规则/433
    8.8.3默认响应规则/434
    8.8.4IPSec策略筛选器/435
    8.8.5IPSec筛选器的应用顺序/437
    8.8.6IPSec筛选中的默认排除/438
    8.8.7IPSec筛选器的设计考虑/440
    8.9WindowsServer2003IPSec系统的部署/441
    8.9.1WindowsServer2003IPSec部署的简易性/441
    8.9.2部署WindowsServer2003IPSec前所需的确认/442
    8.9.3IPSec策略设计与规划的最佳操作/442
    8.9.4建立IPSec安全计划/445
    8.9.5策略配置/446
    8.9.6默认筛选器列表/446
    8.9.7默认响应规则/448
    8.9.8IPSec策略的应用方法/450
    8.10IPSec应用方案设计/453
    8.10.1IPSec安全通信方案的主要应用/454
    8.10.2不推荐的IPSec方案/458
    8.10.3管理使用仅在WindowsServer2003家族中可用的新增功能的策略/458
    8.10.4IP筛选器配置的考虑/459
    8.10.5筛选器操作的配置考虑/461
    8.11IPSec策略的应用方案配置/462
    8.11.1IPSec方案配置前的准备/462
    8.11.2IPSec安全方案配置的基本步骤/463
    8.11.3IPSec在Web服务器访问限制中的应用示例/464
    8.11.4IPSec在数据库服务器访问限制中的应用示例/475
    8.11.5IPSec在阻止NetBIOS攻击中的应用示例/476
    8.11.6IPSec在保护远程访问通信中的应用示例/478

    第9章传输层TLS/SSL身份认证和加密方案/481
    9.1TLS/SSL基础/482
    9.1.1TLS/SSL简介/482
    9.1.2TLS/SSL标准的历史/483
    9.1.3TLS与SSL的区别/483
    9.1.4TLS/SSL所带来的好处/484
    9.1.5TLS/SSL的局限性/485
    9.1.6常见的TLS/SSL应用/485
    9.1.7安全通道技术/487
    9.1.8TLS和SSL的依从/487
    9.2TLS/SSL体系架构/488
    9.2.1安全通道SSPI体系架构/488
    9.2.2TLS/SSL体系架构/490
    9.2.3TLS/SSL握手协议/491
    9.2.4记录层/495
    9.3TLS/SSL工作原理/495
    9.3.1TLS/SSL进程和交互机制/495
    9.3.2TLS的完整握手过程/497
    9.3.3客户端Hello消息/498
    9.3.4服务器Hello消息/501
    9.3.5客户端响应Hello消息/503
    9.3.6计算主密钥和子系列密钥/504
    9.3.7完成消息/505
    9.3.8应用数据流/506
    9.3.9恢复安全会话/507
    9.3.10重新协商方法/507
    9.3.11安全通道的证书映射/509
    9.3.12TLS/SSL所使用的网络端口/510
    9.4WTLS/511
    9.4.1WAP的主要特点和体系架构/511
    9.4.2WAP架构与WWW架构的比较/514
    9.4.3WAP安全机制/516
    9.4.4WTLS体系架构/518
    9.4.5WTLS的安全功能/519
    9.4.6WTLS与TLS的区别/520
    9.5SSL在IISWeb服务器中的应用/522
    9.5.1安装CA/522
    9.5.2生成证书申请/524
    9.5.3提交证书申请/527
    9.5.4证书的颁发和导出/530
    9.5.5在Web服务器上安装证书/532
    9.5.6在Web服务器上启用SSL/534
    9.6SSLVPN/535
    9.6.1SSLVPN网络结构和主要应用/536
    9.6.2SSLVPN的主要优势和不足/537

    第10章应用层Web服务器的综合安全系统设计与配置/541
    10.1我国网站安全现状/542
    10.2Web服务器的身份验证技术选择/543
    10.2.1NTLM身份验证机制选择和配置方法/543
    10.2.2Kerberos身份验证机制选择和配置方法/547
    10.2.3摘要式身份验证机制选择和配置方法/548
    10.2.4公钥加密身份认证机制选择/553
    10.2.5证书身份认证机制选择和配置方法/555
    10.3Web服务器传输层安全技术选择/558
    10.4Web服务器的安全威胁与对策/559
    10.4.1主机枚举/560
    10.4.2拒绝服务/562
    10.4.3未经授权的访问/562
    10.4.4随意代码执行/563
    10.4.5特权提升/563
    10.4.6病毒、蠕虫和特洛伊木马/564
    10.5安全Web服务器检查表/564
    10.6WindowsServer2003Web服务器安全策略设计/580
    10.6.1Web服务器的匿名访问和SSLF设置/581
    10.6.2Web服务器审核策略设置/582
    10.6.3Web服务器用户权限分配策略设置/591
    10.6.4Web服务器的安全选项策略设置/600
    10.6.5Web服务器的事件日志策略设置/617
    10.6.6Web服务器的其他安全策略设置/619

    第11章WLAN网络综合安全系统设计与配置/629
    11.1选择WLAN的安全策略/630
    11.1.1WLAN面临的主要安全问题/630
    11.1.2WLAN安全策略的决策/631
    11.1.3如何真正确保WLAN的安全/633
    11.1.4WLAN的身份验证和授权/634
    11.1.5WLAN的数据保护/635
    11.1.6使用WLAN数据保护的IEEE802.1x
    11.2WLAN安全方案选择/637
    11.2.1不部署WLAN技术/638
    11.2.2使用基于802.11静态WEP的基本安全/638
    11.2.3使用EAP和动态加密密钥的IEEE802.1x/639
    11.2.4使用EAP-TLS的IEEE802.1x/640
    11.2.5使用PEAP的IEEE802.1x/640
    11.2.6使用VPN技术保护WLAN网络/641
    11.2.7使用IPSec保护WLAN/643
    11.2.8主要WLAN安全方案比较/644
    11.3使用IEEE802.1x设计WLAN安全系统/645
    11.3.1IEEE802.1xWALN安全方案设计基本思路/645
    11.3.2使用IEEE802.1x和加密确保WLAN安全/646
    11.3.3使用证书或密码/646
    11.3.4解决方案的先决条件/647
    11.3.5WLAN安全选项考虑/648
    11.3.6确定IEEE802.1xWLAN所需的软件设置/654
    11.3.7其他注意事项/658
    11.4使用IEEE802.1x实现WLAN安全性/659
    11.4.1方案实现基本思路/659
    11.4.2IEEE802.1xWLAN计划工作表/660
    11.4.3准备安全WLAN的环境/661
    11.4.4配置和部署WLAN身份验证证书/662
    11.4.5配置WLAN访问基础结构/671
    11.4.6让用户和计算机能够访问安全WLAN/675
    11.4.7配置IEEE802.1x网络的无线接入点/680
    11.4.8测试和验证/681
    11.5IEEE802.1xEAP-TLSWLAN安全方案网络结构设计/681
    11.5.1IEEE802.1xEAP-TLS身份验证解决方案概述/681
    11.5.2IEEE802.1xEAP-TLSWLAN网络安全结构方案设计标准/684
    11.5.3IEEE802.1xEAP-TLS方案网络结构逻辑设计与评估/686
    11.6使用PEAP和密码确保无线LAN的安全/692
    11.6.1解决方案的基本思路/692
    11.6.2PEAP解决方案的优势和工作原理/693
    11.6.3组织结构和IT环境计划/696
    11.6.4方案设计标准计划/697
    11.6.5WLAN体系结构部署计划/698
    11.6.6针对大型组织的扩展计划/710
    11.6.7解决方案体系结构的变化计划/712
    11.6.8准备安全WLAN网络环境/715
    11.6.9方案网络证书颁发机构构建/725
    11.6.10WLAN安全的基础结构构建/728
    11.6.11WLAN客户端配置/741
    后记/747
查看详情
您可能感兴趣 / 更多
网络工程师必读:网络安全系统设计
华为HCIA-Datacom实验指南
王达 著
网络工程师必读:网络安全系统设计
华为路由器学习指南第二版
王达 著
网络工程师必读:网络安全系统设计
深入理解计算机网络
王达 著
网络工程师必读:网络安全系统设计
Cisco/H3C交换机配置与管理完全手册(第三版)
王达 著
网络工程师必读:网络安全系统设计
网管员面试宝典
王达 著
网络工程师必读:网络安全系统设计
网管员必读:网络测试监控和实验
王达 著
网络工程师必读:网络安全系统设计
网管员必读
王达 著
网络工程师必读:网络安全系统设计
网管员必读:网络管理(第2版)
王达 著
网络工程师必读:网络安全系统设计
网管员必读:网络组建
王达 著
网络工程师必读:网络安全系统设计
网管员必读
王达 著
网络工程师必读:网络安全系统设计
网管员必读:网络应用
王达 著
网络工程师必读:网络安全系统设计
虚拟专用网(VPN)精解
王达 著