編輯推薦
Cisco Press齣版的CCIE職業發展係列中的一本,該書在網絡設計、部署和支持等方麵提供瞭專傢級的指導,可以幫助網絡從業人員管理負責的網絡,並為CCIE考試做好準備。
設計和部署可擴展BGP路由架構的實戰指南。
CIE認證考試人員必備圖書。
內容簡介
《網絡安全原理與實踐》為廣大讀者提供瞭網絡安全設施和VPN的專傢級解決方案。全書共分9個部分,分彆介紹瞭網絡安全介紹、定義安全區、設備安全、路由安全、局域網交換的安全、網絡地址轉換與安全、防火牆基礎、PIX防火牆、IOS防火牆、VPN的概念、GRE、L2TP、IPSec、入侵檢測、Cisco安全入侵檢測、AAA、TACACS+、RADIUS、使用AAA實現安全特性的特殊實例、服務提供商安全的利益和挑戰、高效使用訪問控製列錶、使用NBAR識彆和控製攻擊、使用CAR控製攻擊、網絡安全實施疑難解析等。附錄中包括各章復習題答案和企業網絡安全藍圖白皮書。
《網絡安全原理與實踐》適閤準備參加CCIE網絡安全認證工作的人員閱讀,也適閤那些想增強關於網絡安全核心概念知識的網絡安全專業人員閱讀。
作者簡介
Saadat Malik,CCIE #4955,在Cisco公司的VPN和網絡安全組管理技術支持工作。作為CCIE安全實驗考試的作者、編寫CCIE安全資格證書考試小組的成員之一,他是開發CCIE網絡安全認證的先鋒。目前他是CCIE的部門顧問,幫助改善正在進行的CCIE安全實驗考試的質量。同時在監督CCIE實驗考試方麵,他有著多年的經驗。過去,Malik在聖何賽州立大學教授研究生網絡體係結構和協議的課程。這些年來,在Saadat的監督和技術領導下,30個CCIE(包括9個“double”CCIE和2個“triple”CCIE)已經達到瞭令人渴望的尊貴地位。多年以來,在業界的一些活動中,例如Networkers和IBM技術會議上,他經常就網絡入侵檢測相關的高級主題、VPN的疑難解析和高級的IPSec概念做報告。Saadat普渡大學西拉法葉校區獲得瞭電子工程碩士學位(MSEE)。
內頁插圖
目錄
第一部分:網絡安全介紹
第1章 網絡安全介紹
1.1 網絡安全目標
1.2 資産確定
1.3 威脅評估
1.4 風險評估
1.5 構建網絡安全策略
1.6 網絡安全策略的要素
1.7 部署網絡安全策略
1.8 網絡安全體係結構的部署
1.9 審計和改進
1.10 實例研究
1.10.1 資産確定
1.10.2 威脅確定
1.10.3 風險分析
1.10.4 定義安全策略
1.11 小結
1.12 復習題
第二部分:構建網絡安全
第2章 定義安全區
2.1 安全區介紹
2.2 設計一個DMZ
2.2.1 使用一個三腳防火牆創建DMZ
2.2.2 DMZ置於防火牆之外,公共網絡和防火牆之間
2.2.3 DMZ置於防火牆之外,但不在公共網絡和防火牆之間的通道上
2.2.4 在層疊的防火牆之間創建DMZ
2.3 實例研究:使用PIX防火牆創建區
2.4 小結
2.5 復習題
第3章 設備安全
3.1 物理安全
3.1.1 冗餘位置
3.1.2 網絡拓撲設計
3.1.3 網絡位置的安全
3.1.4 選擇安全介質
3.1.5 電力供應
3.1.6 環境因素
3.2 設備冗餘
3.2.1 路由冗餘
3.2.2 HSRP
3.2.3 虛擬路由器冗餘協議(VRRP)
3.3 路由器安全
3.3.1 配置管理
3.3.2 控製對路由器的訪問
3.3.3 對路由器的安全訪問
3.3.4 密碼管理
3.3.5 記錄路由器事件
3.3.6 禁用不需要的服務
3.3.7 使用環迴接口
3.3.8 SNMP用作管理協議的控製
3.3.9 HTTP用作管理協議的控製
3.3.10 使用CEF作為交換機製
3.3.11 從安全的角度來建立調度錶
3.3.12 使用NTP
3.3.13 登錄信息
3.3.14 獲取Core Dumps信息
3.3.15 在CPU高負載期間使用service nagle以改善Telnet訪問
3.4 PIX防火牆安全
3.4.1 配置管理
3.4.2 控製對PIX的訪問
3.4.3 安全訪問PIX
3.4.4 密碼管理
3.4.5 記錄PIX事件
3.5 交換機安全
3.5.1 配置管理
3.5.2 控製對交換機的訪問
3.5.3 對交換機的安全訪問
3.5.4 交換機事件日誌
3.5.5 控製管理協議(基於SNMP的管理)
3.5.6 使用NTP
3.5.7 登錄信息
3.5.8 捕獲Core Dumps
3.6 小結
3.7 復習題
第4章 路由安全
4.1 將安全作為路由設計的一部分
4.1.1 路由過濾
4.1.2 收斂性
4.1.3 靜態路由
4.2 路由器和路由認證
4.3 定嚮廣播控製
4.4 黑洞過濾
4.5 單播反嚮路徑轉發
4.6 路徑完整性
4.6.1 ICMP重定嚮
4.6.2 IP源路由
4.7 實例研究:BGP路由協議安全
4.7.1 BGP鄰居認證
4.7.2 入站路由過濾
4.7.3 齣站路由過濾
4.7.4 BGP網絡通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本協商
4.7.8 維持路由錶的深度和穩定性
4.7.9 BGP鄰居狀態改變的日誌記錄
4.8 實例研究:OSPF路由協議的安全
4.8.1 OSPF路由器認證
4.8.2 OSPF非廣播鄰居配置
4.8.3 使用末節區域
4.8.4 使用環迴接口作為路由器ID
4.8.5 調整SPF計時器
4.8.6 路由過濾
4.9 小結
4.10 復習題
第5章 局域網交換的安全
5.1 普通交換和第2層安全
5.2 端口安全
MAC地址泛洪和端口安全
5.3 IP許可列錶
5.4 協議過濾和控製LAN泛洪
5.5 Catalyst 6000上的專用VLAN
ARP欺騙、粘性ARP和專用VLAN
5.6 使用IEEE 802.1x標準進行端口認證和訪問控製
5.6.1 802.1x實體
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口認證
5.7 小結
5.8 復習題
第6章 網絡地址轉換與安全
6.1 網絡地址轉換的安全利益
6.2 依賴NAT提供安全的缺點
6.2.1 除瞭端口號信息外沒有協議信息跟蹤
6.2.2 基於PAT錶沒有限製數據流的類型
6.2.3 初始連接上有限的控製
6.3 小結
6.4 復習題
第三部分:防火牆
第7章 什麼是防火牆
7.1 防火牆
7.1.1 日誌和通告發送能力
7.1.2 大規模的數據包檢查
7.1.3 易於配置
7.1.4 設備安全和冗餘
7.2 防火牆的類型
7.2.1 電路級防火牆
7.2.2 代理服務器防火牆
7.2.3 無狀態分組過濾器防火牆
7.2.4 有狀態分組過濾器防火牆
7.2.5 個人防火牆
7.3 防火牆的位置
7.4 小結
第8章 PIX防火牆
8.1 自適應安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火牆的基本特性
8.2.1 使用ASA的狀態化流量檢測
8.2.2 為接口分配不同的安全級彆
8.2.3 訪問控製列錶
8.2.4 擴展的日誌能力
8.2.5 基本的路由能力,包括對RIP的支持
8.2.6 網絡地址轉換
8.2.7 失效處理機製和冗餘
8.2.8 認證通過PIX的流量
8.3 PIX防火牆的高級特性
8.3.1 彆名
8.3.2 X防護
8.3.3 高級過濾
8.3.4 多媒體支持
8.3.5 欺騙檢測或者單播RPF
8.3.6 協議修正
8.3.7 混雜的sysopt命令
8.3.8 多播支持
8.3.9 分片處理
8.4 實例研究
8.4.1 帶有三個接口,運行在DMZ的Web服務器上的PIX
8.4.2 為PIX設置失效處理
8.4.3 為DMZ上的服務器使用alias命令設置PIX
8.4.4 為貫穿式代理認證和授權設置PIX
8.4.5 使用Object Groups和TurboACL來擴展PIX配置
8.5 小結
8.6 復習題
第9章 IOS防火牆
9.1 基於上下文的訪問控製
CBAC功能
9.2 IOS防火牆的特性
9.2.1 傳輸層檢查
9.2.2 應用層檢查
9.2.3 對無效命令進行過濾
9.2.4 Java阻塞
9.2.5 針對拒絕服務攻擊的安全防護
9.2.6 IOS防火牆中的分片處理
9.3 實例研究:配置瞭NAT的路由器上的CBAC
9.4 小結
9.5 復習題
第四部分:VPN
第10章 VPN的概念
10.1 VPN定義
10.2 基於加密與不加密的VPN類型比較
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基於OSI模型分層的VPN類型
10.3.1 數據鏈路層VPN
10.3.2 網絡層VPN
10.3.3 應用層VPN
10.4 基於商業功能性的VPN類型
10.5 內部網VPN
10.6 外部網VPN
10.7 小結
第11章 GRE
11.1 GRE
11.2 實例研究
11.2.1 連接兩個私有網絡的簡單GRE隧道
11.2.2 多個站點間的GRE
11.2.3 運行IPX的兩個站點間的GRE
11.3 小結
11.4 復習題
第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能細節
12.2.1 建立控製連接
12.2.2 建立會話
12.2.3 頭格式
12.3 實例研究
12.3.1 創建強製型L2TP隧道
12.3.2 在強製型隧道的創建中使用IPSec保護L2TP通信
12.4 小結
12.5 復習題
第13章 IPSec
13.1 IPSec VPN的類型
13.1.1 LAN-to-LAN IPSec實現
13.1.2 遠程訪問客戶端IPSec實現
13.2 IPSec的組成
13.3 IKE介紹
13.3.1 主模式(或者主動模式)的目標
13.3.2 快速模式的目標
13.4 使用IKE協議的IPSec協商
13.4.1 使用預共享密鑰認證的主模式後接快速模式的協商
13.4.2 使用數字簽名認證後接快速模式的主模式
13.4.3 使用預共享密鑰認證的主動模式
13.5 IKE認證機製
13.5.1 預共享密鑰
13.5.2 數字簽名
13.5.3 加密臨時值
13.6 IPSec中加密和完整性檢驗機製
13.6.1 加密
13.6.2 完整性檢驗
13.7 IPSec中分組的封裝
13.7.1 傳輸模式
13.7.2 隧道模式
13.7.3 ESP(封裝安全負載)
13.7.4 AH(認證頭)
13.8 增強遠程訪問客戶端IPSec的IKE
13.8.1 擴展認證
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPSec失效對等體的發現機製
13.10 實例研究
13.10.1 使用預共享密鑰作為認證機製的路由器到路由器的IPSec
13.10.2 使用數字簽名和數字證書的路由器到路由器的IPSec
13.10.3 使用RSA加密臨時值的路由器到路由器的IPSec
13.10.4 一對多路由器IPSec
13.10.5 High-Availability-IPSec-Over-GRE設置
13.10.6 使用x-auth、動態crypto映射、模式配置和預共享密鑰的遠程訪問IPSec
13.10.7 LAN-to-LAN和遠程訪問的PIX IPSec設置
13.10.8 使用自發型隧道的L2TP上的IPSec
13.10.9 IPSec隧道終點發現(TED)
13.10.10 NAT同IPSec的相互作用
13.10.11 防火牆和IPSec的相互作用
13.11 小結
13.12 復習題
第五部分:入侵檢測
第14章 什麼是入侵檢測
14.1 對入侵檢測的需求
14.2 基於攻擊模式的網絡攻擊類型
14.2.1 拒絕服務攻擊
14.2.2 網絡訪問攻擊
14.3 基於攻擊發起者的網絡攻擊類型
14.3.1 由受信任的(內部)用戶發起的攻擊
14.3.2 由不受信任的(外部)用戶發起的攻擊
14.3.3 由沒有經驗的“腳本少年”黑客發起的攻擊
14.3.4 由有經驗的“專業”黑客發起的攻擊
14.4 常見的網絡攻擊
14.4.1 拒絕服務攻擊
14.4.2 資源耗盡類型的DoS攻擊
14.4.3 旨在導緻常規操作係統操作立即停止的攻擊類型
14.4.4 網絡訪問攻擊
14.5 檢測入侵的過程
14.6 實例研究:Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉敗局的
14.7 小結
第15章 Cisco安全入侵檢測
15.1 Cisco安全IDS的組件
15.2 構建管理控製颱
15.2.1 兩種類型的管理控製颱
15.2.2 UNIX Director的內部結構
15.2.3 CSPM IDS控製颱的內部結構
15.3 構建傳感器
15.4 對入侵的響應
15.4.1 日誌記錄
15.4.2 TCP重置
15.4.3 屏蔽
15.5 簽名類型
15.5.1 簽名引擎(Engine)
15.5.2 默認的警報級彆
15.6 把路由器、PIX或者IDSM作為傳感器使用
15.7 實例研究
15.7.1 把路由器作為傳感器設備使用
15.7.2 把PIX作為傳感器設備使用
15.7.3 把Catalyst 6000 IDSM作為傳感器使用
15.7.4 設置路由器或者UNIX Director進行屏蔽
15.7.5 創建定製的簽名
15.8 小結
15.9 復習題
第六部分:網絡訪問控製
第16章 AAA
16.1 AAA組件的定義
16.2 認證概述
16.3 設置認證
16.3.1 啓用AAA
16.3.2 設置一個本地用戶認證參數數據庫或者設置對配置好的RADIUS或TACACS+ 服務器的訪問
16.3.3 設置方法列錶
16.3.4 應用方法列錶
16.4 授權概述
16.5 設置授權
16.5.1 設置方法列錶
16.5.2 應用方法列錶
16.6 統計概述
16.7 設置統計
16.7.1 設置一個方法列錶
16.7.2 將方法列錶應用到行和/或接口
16.8 實例研究
16.8.1 使用AAA對PPP連接進行認證和授權
16.8.2 使用AAA下載路由和應用訪問列錶
16.8.3 使用AAA設置PPP超時
16.9 小結
16.10 復習題
第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信體係結構
17.3 TACACS+分組加密
17.4 TACACS+的認證
17.5 TACACS+的授權
17.6 TACACS+的統計
17.7 小結
17.8 復習題
第18章 RADIUS
18.1 RADIUS介紹
18.2 RADIUS通信的體係結構
18.2.1 RADIUS分組格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的認證
18.2.4 RADIUS的授權
18.2.5 RADIUS的統計
18.3 小結
18.4 復習題
第19章 使用AAA實現安全特性的特殊實例
19.1 使用AAA對IPSec提供預共享的密鑰
19.2 在ISAKMP中對X-Auth使用AAA
19.3 對Auth-Proxy使用AAA
19.4 對VPDN使用AAA
19.5 對鎖和密鑰使用AAA
19.6 使用AAA對命令授權
19.7 小結
19.8 復習題
第七部分:服務提供商安全
第20章 服務提供商安全的利益和挑戰
20.1 擁有服務提供商安全的動機
20.1.1 阻止和轉移攻擊的能力
20.1.2 跟蹤流量模式的能力
20.1.3 嚮下跟蹤攻擊源的能力
20.2 在服務提供商級彆上實現安全的挑戰
20.3 服務提供商安全的關鍵組件
20.4 小結
20.5 復習題
第21章 有效使用訪問控製列錶
21.1 訪問控製列錶概述
21.1.1 ACL的類型
21.1.2 ACL的特性和特徵
21.2 使用訪問控製列錶阻止未經授權的訪問
21.2.1 ACL的基本訪問控製功能
21.2.2 使用ACL阻塞ICMP分組
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組
21.2.4 用ACL阻塞去往網絡中不可用服務的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL識彆拒絕服務攻擊
21.3.1 使用訪問控製列錶識彆smurf攻擊
21.3.2 使用訪問控製列錶識彆fraggle攻擊
21.3.3 使用訪問控製列錶識彆SYN泛洪
21.4 使用ACL阻止拒絕服務攻擊
21.4.1 使用ACL阻止來自不閤法IP地址的流量
21.4.2 過濾RFC 1918地址空間
21.4.3 拒絕其他不必要的流量
21.5 通過ACL處理IP分片
21
網絡安全原理與實踐 [Network Security Principles and Practices] 下載 mobi epub pdf txt 電子書 格式
網絡安全原理與實踐 [Network Security Principles and Practices] 下載 mobi pdf epub txt 電子書 格式 2024
網絡安全原理與實踐 [Network Security Principles and Practices] mobi epub pdf txt 電子書 格式下載 2024