目 录

及时部分：网络安全介绍

第1章网络安全介绍3

1.1网络安全目标4

1.2资产确定4

1.3威胁评估5

1.4风险评估6

1.5构建网络安全策略6

1.6网络安全策略的要素7

1.7部署网络安全策略8

1.8网络安全体系结构的部署9

1.9审计和改进9

1.10实例研究10

1.10.1资产确定10

1.10.2威胁确定11

1.10.3风险分析12

1.10.4定义安全策略13

1.11小结16

1.12复习题16

第二部分：构建网络安全

第2章 定义安全区21

2.1安全区介绍21

2.2设计一个DMZ22

2.2.1使用一个三脚防火墙创建DMZ23

2.2.2DMZ置于防火墙之外，公共网络和防火墙之间23

2.2.3DMZ置于防火墙之外，但不在公共网络和防火墙之间的通道上24

2.2.4在层叠的防火墙之间创建DMZ25

2.3实例研究：使用PIX防火墙创建区26

2.4小结27

2.5复习题27

第3章 设备安全29

3.1物理安全30

3.1.1冗余位置30

3.1.2网络拓扑设计30

3.1.3网络位置的安全31

3.1.4选择安全介质32

3.1.5电力供应32

3.1.6环境因素32

3.2设备冗余33

3.2.1路由冗余33

3.2.2HSRP35

3.2.3虚拟路由器冗余协议(VRRP)41

3.3路由器安全45

3.3.1配置管理45

3.3.2控制对路由器的访问46

3.3.3对路由器的安全访问49

3.3.4密码管理50

3.3.5记录路由器事件51

3.3.6禁用不需要的服务52

3.3.7使用环回接口52

3.3.8SNMP用作管理协议的控制53

3.3.9HTTP用作管理协议的控制55

3.3.10使用CEF作为交换机制56

3.3.11从安全的角度来建立调度表56

3.3.12使用NTP57

3.3.13登录信息57

3.3.14获取Core Dumps信息58

3.3.15在CPU高负载期间使用service nagle以改善Telnet访问59

3.4PIX防火墙安全60

3.4.1配置管理60

3.4.2控制对PIX的访问60

3.4.3安全访问PIX61

3.4.4密码管理62

3.4.5记录PIX事件62

3.5交换机安全63

3.5.1配置管理63

3.5.2控制对交换机的访问63

3.5.3对交换机的安全访问64

3.5.4交换机事件日志64

3.5.5控制管理协议(基于SNMP的管理)65

3.5.6使用NTP65

3.5.7登录信息66

3.5.8捕获Core Dumps66

3.6小结66

3.7复习题66

第4章 路由安全69

4.1将安全作为路由设计的一部分70

4.1.1路由过滤70

4.1.2收敛性71

4.1.3静态路由71

4.2路由器和路由认证72

4.3定向广播控制75

4.4黑洞过滤75

4.5单播反向路径转发76

4.6路径完整性78

4.6.1ICMP重定向78

4.6.2IP源路由78

4.7实例研究：BGP路由协议安全79

4.7.1BGP邻居认证79

4.7.2入站路由过滤80

4.7.3出站路由过滤80

4.7.4BGP网络通告80

4.7.5BGP多跳81

4.7.6BGP通信81

4.7.7禁用BGP版本协商81

4.7.8维持路由表的深度和稳定性81

4.7.9BGP邻居状态改变的日志记录84

4.8实例研究：OSPF路由协议的安全84

4.8.1OSPF路由器认证84

4.8.2OSPF非广播邻居配置85

4.8.3使用末节区域85

4.8.4使用环回接口作为路由器ID87

4.8.5调整SPF计时器87

4.8.6路由过滤88

4.9小结88

4.10复习题89

第5章 局域网交换的安全91

5.1普通交换和第2层安全92

5.2端口安全93

MAC地址泛洪和端口安全93

5.3IP许可列表95

5.4协议过滤和控制LAN泛洪96

5.5Catalyst 6000上的专用VLAN97

ARP欺骗、粘性ARP和专用VLAN99

5.6使用IEEE 802.1x标准进行端口认证和访问控制99

5.6.1802.1x实体99

5.6.2802.1x通信100

5.6.3802.1x功能104

5.6.4使用802.1x建立Catalyst 6000端口认证106

5.7小结108

5.8复习题108

第6章 网络地址转换与安全111

6.1网络地址转换的安全利益112

6.2依赖NAT提供安全的缺点113

6.2.1除了端口号信息外没有协议信息跟踪113

6.2.2基于PAT表没有限制数据流的类型113

6.2.3初始连接上有限的控制113

6.3小结114

6.4复习题114

第三部分：防火墙

第7章 什么是防火墙119

7.1防火墙119

7.1.1日志和通告发送能力120

7.1.2大规模的数据包检查120

7.1.3易于配置121

7.1.4设备安全和冗余121

7.2防火墙的类型122

7.2.1电路级防火墙122

7.2.2服务器防火墙122

7.2.3无状态分组过滤器防火墙123

7.2.4有状态分组过滤器防火墙123

7.2.5个人防火墙124

7.3防火墙的位置124

7.4小结125

第8章 PIX防火墙127

8.1自适应安全算法127

8.1.1TCP128

8.1.2UDP130

8.2PIX防火墙的基本特性131

8.2.1使用ASA的状态化流量检测131

8.2.2为接口分配不同的安全级别132

8.2.3访问控制列表132

8.2.4扩展的日志能力133

8.2.5基本的路由能力，包括对RIP的支持134

8.2.6网络地址转换134

8.2.7失效处理机制和冗余135

8.2.8认证通过PIX的流量137

8.3PIX防火墙的高级特性137

8.3.1别名138

8.3.2X防护141

8.3.3高级过滤142

8.3.4多媒体支持143

8.3.5欺骗检测或者单播RPF145

8.3.6协议修正146

8.3.7混杂的sysopt命令146

8.3.8多播支持148

8.3.9分片处理150

8.4实例研究151

8.4.1带有三个接口，运行在DMZ的Web服务器上的PIX152

8.4.2为PIX设置失效处理157

8.4.3为DMZ上的服务器使用alias命令设置PIX160

8.4.4为贯穿式认证和授权设置PIX163

8.4.5使用Object Groups和TurboACL来扩展PIX配置166

8.5小结170

8.6复习题171

第9章 IOS防火墙173

9.1基于上下文的访问控制173

CBAC功能174

9.2IOS防火墙的特性175

9.2.1传输层检查176

9.2.2应用层检查176

9.2.3对无效命令进行过滤177

9.2.4Java阻塞177

9.2.5针对拒绝服务攻击的安全防护177

9.2.6IOS防火墙中的分片处理180

9.3实例研究：配置了NAT的路由器上的CBAC180

9.4小结185

9.5复习题185

第四部分：VPN

第10章 VPN的概念189

10.1VPN定义189

10.2基于加密与不加密的VPN类型比较190

10.2.1加密VPN190

10.2.2非加密VPN190

10.3基于OSI模型分层的VPN类型190

10.3.1数据链路层VPN191

10.3.2网络层VPN191

10.3.3应用层VPN191

10.4基于商业功能性的VPN类型192

10.5内部网VPN192

10.6外部网VPN192

10.7小结193

第11章 GRE195

11.1GRE195

11.2实例研究198

11.2.1连接两个私有网络的简单GRE隧道198

11.2.2多个站点间的GRE202

11.2.3运行IPX的两个站点间的GRE206

11.3小结211

11.4复习题211

第12章 L2TP213

12.1L2TP概述213

12.2L2TP的功能细节215

12.2.1建立控制连接216

12.2.2建立会话216

12.2.3头格式218

12.3实例研究219

12.3.1创建强制型L2TP隧道220

12.3.2在强制型隧道的创建中使用IPSec保护L2TP通信235

12.4小结240

12.5复习题240

第13章 IPSec243

13.1IPSec VPN的类型244

13.1.1LAN-to-LAN IPSec实现244

13.1.2远程访问客户端IPSec实现245

13.2IPSec的组成246

13.3IKE介绍247

13.3.1主模式(或者主动模式)的目标248

13.3.2快速模式的目标249

13.4使用IKE协议的IPSec协商249

13.4.1使用预共享密钥认证的主模式后接快速模式的协商249

13.4.2使用数字签名认证后接快速模式的主模式263

13.4.3使用预共享密钥认证的主动模式267

13.5IKE认证机制270

13.5.1预共享密钥270

13.5.2数字签名271

13.5.3加密临时值272

13.6IPSec中加密和完整性检验机制273

13.6.1加密273

13.6.2完整性检验275

13.7IPSec中分组的封装276

13.7.1传输模式276

13.7.2隧道模式276

13.7.3ESP(封装安全负载)277

13.7.4AH(认证头)278

13.8增强远程访问客户端IPSec的IKE279

13.8.1扩展认证279

13.8.2模式配置282

13.8.3NAT透明283

13.9IPSec失效对等体的发现机制284

13.10实例研究285

13.10.1使用预共享密钥作为认证机制的路由器到路由器的IPSec285

13.10.2使用数字签名和数字证书的路由器到路由器的IPSec299

13.10.3使用RSA加密临时值的路由器到路由器的IPSec310

13.10.4一对多路由器IPSec317

13.10.5High-Availability-IPSec-Over-GRE设置323

13.10.6使用x-auth、动态crypto映射、模式配置和预共享密钥的远程访问IPSec328

13.10.7LAN-to-LAN和远程访问的PIX IPSec设置331

13.10.8使用自发型隧道的L2TP上的IPSec336

13.10.9IPSec隧道终点发现(TED)341

13.10.10NAT同IPSec的相互作用354

13.10.11防火墙和IPSec的相互作用356

13.11小结357

13.12复习题357

第五部分：入侵检测

第14章 什么是入侵检测361

14.1对入侵检测的需求362

14.2基于攻击模式的网络攻击类型363

14.2.1拒绝服务攻击363

14.2.2网络访问攻击363

14.3基于攻击发起者的网络攻击类型364

14.3.1由受信任的(内部)用户发起的攻击365

14.3.2由不受信任的(外部)用户发起的攻击365

14.3.3由没有经验的"脚本少年"黑客发起的攻击365

14.3.4由有经验的"专业"黑客发起的攻击366

14.4常见的网络攻击367

14.4.1拒绝服务攻击367

14.4.2资源耗尽类型的DoS攻击367

14.4.3旨在导致常规操作系统操作立即停止的攻击类型374

14.4.4网络访问攻击375

14.5检测入侵的过程378

14.6实例研究：Kevin Metnick对Tsutomu Shimomura的计算机进行的攻击以及IDS是如何扭转败局的380

14.7小结381

第15章 Cisco安全入侵检测385

15.1Cisco安全IDS的组件386

15.2构建管理控制台389

15.2.1两种类型的管理控制台389

15.2.2UNIX Director的内部结构389

15.2.3CSPM IDS控制台的内部结构392

15.3构建传感器393

15.4对入侵的响应396

15.4.1日志记录397

15.4.2TCP重置400

15.4.3屏蔽400

15.5签名类型401

15.5.1签名引擎(Engine)402

15.5.2默认的警报级别403

15.6把路由器、PIX或者IDSM作为传感器使用404

15.7实例研究405

15.7.1把路由器作为传感器设备使用405

15.7.2把PIX作为传感器设备使用409

15.7.3把Catalyst 6000 IDSM作为传感器使用412

15.7.4设置路由器或者UNIX Director进行屏蔽416

15.7.5创建定制的签名418

15.8小结419

15.9复习题419

第六部分：网络访问控制

第16章 AAA423

16.1AAA组件的定义423

16.2认证概述424

16.3设置认证425

16.3.1启用AAA425

16.3.2设置一个本地用户认证参数数据库或者设置对配置好的RADIUS或TACACS+ 服务器的访问425

16.3.3设置方法列表426

16.3.4应用方法列表428

16.4授权概述429

16.5设置授权429

16.5.1设置方法列表429

16.5.2应用方法列表430

16.6统计概述432

16.7设置统计433

16.7.1设置一个方法列表433

16.7.2将方法列表应用到行和/或接口434

16.8实例研究435

16.8.1使用AAA对PPP连接进行认证和授权435

16.8.2使用AAA下载路由和应用访问列表438

16.8.3使用AAA设置PPP超时441

16.9小结443

16.10复习题443

第17章 TACACS+445

17.1TACACS+概述446

17.2TACACS+通信体系结构446

17.3TACACS+分组加密448

17.4TACACS+的认证449

17.5TACACS+的授权450

17.6TACACS+的统计455

17.7小结457

17.8复习题458

第18章 RADIUS461

18.1RADIUS介绍461

18.2RADIUS通信的体系结构462

18.2.1RADIUS分组格式463

18.2.2RADIUS中的口令加密464

18.2.3RADIUS的认证465

18.2.4RADIUS的授权466

18.2.5RADIUS的统计472

18.3小结474

18.4复习题475

第19章 使用AAA实现安全特性的特殊实例477

19.1使用AAA对IPSec提供预共享的密钥478

19.2在ISAKMP中对X-Auth使用AAA480

19.3对Auth-Proxy使用AAA482

19.4对VPDN使用AAA485

19.5对锁和密钥使用AAA488

19.6使用AAA对命令授权490

19.7小结492

19.8复习题492

第七部分：服务提供商安全

第20章 服务提供商安全的利益和挑战497

20.1拥有服务提供商安全的动机497

20.1.1阻止和转移攻击的能力498

20.1.2跟踪流量模式的能力499

20.1.3向下跟踪攻击源的能力499

20.2在服务提供商级别上实现安全的挑战502

20.3服务提供商安全的关键组件503

20.4小结503

20.5复习题503

第21章 有效使用访问控制列表505

21.1访问控制列表概述506

21.1.1ACL的类型506

21.1.2ACL的特性和特征509

21.2使用访问控制列表阻止未经授权的访问510

21.2.1ACL的基本访问控制功能510

21.2.2使用ACL阻塞ICMP分组511

21.2.3使用ACL阻塞带有欺骗IP地址的分组512

21.2.4用ACL阻塞去往网络中不可用服务的流量512

21.2.5使用ACL阻塞已知的冒犯513

21.2.6使用ACL阻塞假的和不必要的路由513

21.3使用ACL识别拒绝服务攻击513

21.3.1使用访问控制列表识别smurf攻击513

21.3.2使用访问控制列表识别fraggle攻击515

21.3.3使用访问控制列表识别SYN泛洪516

21.4使用ACL阻止拒绝服务攻击517

21.4.1使用ACL阻止来自不合法IP地址的流量517

21.4.2过滤RFC 1918地址空间519