深入剖析網(wǎng)絡邊界安全

定　價：￥59.00

作　者：	（美）Stephen Northcutt；陳曙輝譯
出版社：	機械工業(yè)出版社
叢編項：	網(wǎng)絡與信息安全技術叢書
標　簽：	網(wǎng)絡安全

購買這本書可以去

ISBN：	9787111124801	出版時間：	2003-08-01	包裝：	精裝
開本：	16開	頁數(shù)：	435	字數(shù)：

內容簡介

　　全書討論了計算機網(wǎng)絡的邊界部件如防火墻、VPN路由器和入侵檢測系統(tǒng)．同時解釋了如何將這些部件集成到一個統(tǒng)一的整體中，以便滿足現(xiàn)實世界業(yè)務的需求。讀者可從17位信息安全專家那里學習邊界防御的最優(yōu)方法。因為本書在創(chuàng)作時與SANSInstitute緊密合作，所以本書還可以作為那些希望獲得GCFW（GIACCertifiedFirewallAnalyst）證書的讀者的補充讀物。如果你需要保護自己的網(wǎng)絡邊界，請使用本書進行以下工作：根據(jù)網(wǎng)絡防御部件的關系來對其進行設計和配置。調整安全設計來獲取優(yōu)化的性能。選擇適合自己環(huán)境的最佳防火墻。執(zhí)行邊界維護過程和日志分析。評估防御體系的強度，對網(wǎng)絡結構進行對抗性檢查。實現(xiàn)報文過濾器、代理和有狀態(tài)防火墻。根據(jù)業(yè)務和技術需求部署入侵檢測系統(tǒng)。了解IPSec、SSH、SSL和其他隧道建立技術。配置主機來加強網(wǎng)絡邊界防御根據(jù)與安全有關的性質對資源進行分組，限制攻擊者的影響區(qū)域。StephenNorthcutt是世界知名的安全專家，曾任美國國防部信息戰(zhàn)專家。他創(chuàng)建了ShadowIntrusionDetectionSystem、DoDShadow小組、GIACSecurityCertificationSeries和SANSImmersionSecurityTraining教育系統(tǒng)。目前，他是SANSInstitute的一名導師。本書站在一個比較高的層次上，以縱深防御思想為主線，全面而系統(tǒng)地介紹了網(wǎng)絡邊界安全的方方面面。全書包括四個部分和三個附錄。這四個部分依次從基礎性的介紹逐步轉向綜合性的介紹，按照適合讀者思路的方式進行組織編排。第一部分“網(wǎng)絡邊界基礎”介紹了一些與邊界有關的基本知識和核心概念。第二部分“邊界的延伸”集中介紹了組成網(wǎng)絡安全邊界的附加部件。第三部分“邊界設計”闡述了如何進行良好的設計。第四部分“邊界安全評估方法”講述了如何評估與檢查已設計好的網(wǎng)絡邊界。附錄中包含了Cisco訪問列表配置示例，討論了密碼術的基礎知識，并對網(wǎng)絡空隙機制進行了概述。這是一本有關網(wǎng)絡安全的中高級技術性指南，適合于已充分了解TCP/IP和相關技術的安全專業(yè)人員、系統(tǒng)管理員及網(wǎng)絡管理員閱讀。

作者簡介

　　StephenNorthcutt是世界知名的安全專家，曾任美國國防部信息戰(zhàn)專家。他創(chuàng)建了ShadowIntrusionDetectionSystem、DoDShadow小組、GIACSecurityCertificationSeries和SANSImmersionSecurityTraining教育系統(tǒng)。目前，他是SANSInstitute的一名導師。

圖書目錄

譯者序
前言
第一部分網(wǎng)絡邊界基礎
第1章邊界安全基礎
1.1 行業(yè)術語
1.1.1 邊界
1.1.2 邊界路由器
1.1.3 防火墻
1.1.4 IDS
1.1.5 VPN
1.1.6 軟件結構
1.1.7 DMZ和被屏蔽的子網(wǎng)
1.2 縱深防御
1.2.1 縱深防御中的部件
1.2.2 邊界
1.2.3 內部網(wǎng)絡
1.2.4 人為因素
1.3 實例分析：縱深防御的運轉
1.4 小結
第2章報文過濾
2.1 TCP/IP預備知識：報文過濾的工作原理
2.1.1 TCP端口和UDP端口
2.1.2 TCP的三次握手過程
2.2 使用Cisco路由器做為報文過濾器
2.2.1 Cisco ACL
2.2.2 過濾規(guī)則的順序
2.2.3 Cisco IOS的基本知識
2.3 有效使用報文過濾設備
2.3.1 基于源地址的過濾：Cisco標準ACL
2.3.2 基于端口和目的地址的過濾：Cisco擴展ACL
2.4 報文過濾器存在的問題
2.4.1 欺騙與源路由
2.4.2 報文分片
2.4.3 靜態(tài)報文過濾器中的“漏洞”
2.4.4 雙向通信與established關鍵字
2.4.5 FTP協(xié)議
2.5 動態(tài)報文過濾與自反訪問表
2.5.1 使用自反ACL解決FTP問題
2.5.2 使用自反ACL解決DNS問題
2.5.3 自反訪問表存在的問題
2.6 小結
2.7 參考資料
第3章有狀態(tài)防火墻
3.1 有狀態(tài)防火墻的工作原理
3.2 狀態(tài)的概念
3.2.1 傳輸協(xié)議與網(wǎng)絡協(xié)議和狀態(tài)
3.2.2 應用級通信和狀態(tài)
3.3 有狀態(tài)過濾和有狀態(tài)檢查
3.4 小結
3.5 參考資料
第4章代理防火墻
4.1 基礎知識
4.2 代理的類型
4.2.1 反向代理
4.2.2 應用級代理
4.2.3 電路級代理
4.3 代理或應用網(wǎng)關防火墻
4.3.1 代理防火墻的優(yōu)點
4.3.2 代理防火墻的缺陷
4.3.3 沒有代理的情況
4.4 代理的協(xié)議問題
4.4.1 IPSec
4.4.2 SSL
4.5 常見的代理軟件
4.5.1 SOCKS
4.5.2 Gauntlet
4.5.3 PORTUS
4.6 小結
4.7 參考資料
第5章安全策略
5.1 防火墻策略
5.1.1 積極的策略實施
5.1.2 不可實施的策略
5.2 策略的開發(fā)步驟
5.2.1 識別風險
5.2.2 報告發(fā)現(xiàn)的問題
5.2.3 按需創(chuàng)建或更新安全策略
5.2.4 判斷策略的一致性
5.2.5 探尋公司的規(guī)則和文化
5.2.6 策略的要素
5.2.7 好策略的特點
5.3 邊界策略
5.3.1 現(xiàn)實世界的操作和策略
5.3.2 通信路徑的規(guī)則
5.4 小結
5.5 參考資料
第二部分邊界的延伸
第6章路由器的作用
6.1 路由器作為邊界設備
6.1.1 路由
6.1.2 安全的動態(tài)路由
6.2 路由器作為安全設備
6.2.1 路由器作為縱深防御的一部分
6.2.2 路由器作為惟一的邊界安全設備
6.3 路由器加固
6.3.1 操作系統(tǒng)
6.3.2 鎖住管理點
6.3.3 禁止不必要的服務
6.3.4 因特網(wǎng)控制消息協(xié)議的阻斷
6.3.5 欺騙和源路由
6.3.6 路由器日志基本原理
6.4 小結
6.5 參考資料
第7章網(wǎng)絡入侵檢測
7.1 網(wǎng)絡入侵檢測基本原理
7.1.1 入侵檢測的必要性
7.1.2 網(wǎng)絡IDS特征碼
7.1.3 假陽性和假陰性
7.1.4 警報、日志和報告
7.1.5 入侵檢測軟件
7.1.6 IDS
7.2 邊界防御體系中網(wǎng)絡IDS的作用
7.2.1 發(fā)現(xiàn)薄弱點
7.2.2 檢測由你的主機發(fā)出的攻擊
7.2.3 事故處理和調查
7.2.4 彌補其他防御部件的不足
7.3 IDS感測器的放置
7.3.1 安裝多個網(wǎng)絡感測器
7.3.2 在過濾設備附近放置感測器
7.3.3 在內部網(wǎng)絡中放置IDS感測器
7.3.4 使用加密
7.3.5 在大流量環(huán)境中的處理
7.3.6 配置交換機
7.3.7 使用IDS管理網(wǎng)絡
7.3.8 維護感測器安全性
7.3.9 使用防火墻/IDS混合設備
7.4 實例分析
7.4.1 實例分析1：簡單的網(wǎng)絡結構
7.4.2 IDS部署建議
7.4.3 實例分析2：多個外部接入點
7.4.4 IDS部署建議
7.4.5 實例分析3：無限制網(wǎng)絡
7.4.6 IDS部署建議
7.5 小結
第8章虛擬專用網(wǎng)
8.1 VPN基礎知識
8.2 VPN的優(yōu)缺點
8.2.1 VPN的優(yōu)點
8.2.2 VPN的缺陷
8.3 IPSec基礎知識
8.3.1 IPSec協(xié)議包
8.3.2 IKE
8.3.3 IPSec安全協(xié)議AH和ESP
8.3.4 IPSec配置實例
8.4 其他VPN協(xié)議：PPTP和L2TP
8.4.1 PPTP
8.4.2 L2TP
8.4.3 PPTP、L2TP以及IPSec的比較
8.4.4 PPTP和L2TP實例
8.5 小結
8.6 參考資料
第9章主機加固
9.1 安全加固級別
9.2 級別1：防止本地攻擊的安全加固
9.2.1 管理工具的使用限制
9.2.2 進行正確的文件訪問控制
9.2.3 管理用戶
9.2.4 有效地管理用戶
9.2.5 記錄與安全相關的信息
9.2.6 Windows日志
9.2.7 UNIX日志
9.3 級別2：抵御網(wǎng)絡攻擊的安全加固
9.3.1 刪除不必要的賬號
9.3.2 使用健壯的口令
9.3.3 停止未用的網(wǎng)絡服務
9.3.4 改變缺省的SNMP字符串
9.3.5 禁用資源共享服務（Windows）
9.3.6 禁用遠程訪問服務（UNIX）
9.4 級別3：抵御應用程序攻擊的安全加固
9.4.1 定義訪問方法
9.4.2 應用程序的口令
9.4.3 操作系統(tǒng)和應用程序的補丁
9.5 其他加固方針
9.5.1 常見的安全弱點
9.5.2 安全加固核查清單
9.6 小結
第10章主機防御部件
10.1 主機和邊界
10.1.1 工作站考慮事項
10.1.2 服務器考慮事項
10.2 反病毒軟件
10.2.1 反病毒軟件的優(yōu)點
10.2.2 反病毒軟件的局限性
10.3 以主機為中心的防火墻
10.3.1 工作站上的防火墻
10.3.2 服務器上的防火墻
10.4 基于主機的入侵檢測
10.4.1 基于主機的IDS的作用
10.4.2 基于主機的IDS種類
10.5 主機防御部件的難點
10.5.1 受到損害的主機上的防御部件
10.5.2 控制分布式主機防御部件
10.6 小結
10.7 參考資料
第三部分邊界設計
第11章設計基礎
11.1 收集設計需求信息
11.1.1 確定哪些資源需要保護
11.1.2 確定誰是潛在的攻擊者
11.1.3 定義業(yè)務需求
11.2 設計要素
11.2.1 防火墻和路由器
11.2.2 防火墻與虛擬專用網(wǎng)
11.2.3 多重防火墻
11.3 小結
11.4 參考資料
第12章資源隔離
12.1 安全區(qū)域
12.1.1 同一個子網(wǎng)
12.1.2 多個子網(wǎng)
12.2 常見的設計要素
12.2.1 郵件中繼
12.2.2 分割DNS
12.2.3 無線網(wǎng)絡
12.3 基于VLAN的分隔
12.3.1 VLAN邊界
12.3.2 跳過VLAN
12.3.3 專用VLAN
12.4 小結
12.5 參考資料
第13章軟件結構
13.1 軟件結構和網(wǎng)絡防御
13.1.1 軟件結構的重要性
13.1.2 評估應用程序安全的必要性
13.2 軟件結構對網(wǎng)絡防御的影響
13.2.1 防火墻和報文過濾設備的改動
13.2.2 與網(wǎng)絡配置的沖突
13.2.3 加密連接
13.2.4 性能和可靠性
13.2.5 特殊的操作系統(tǒng)
13.3 軟件部件的部署
13.3.1 單一系統(tǒng)上的應用程序
13.3.2 多級應用程序
13.3.3 管理員對系統(tǒng)的訪問
13.3.4 內部用戶使用的應用程序
13.4 確定潛在的軟件結構問題
13.4.1 軟件評估檢查表
13.4.2 應用程序相關信息的來源
13.4.3 處理不安全的應用程序
13.5 軟件測試
13.5.1 主機安全
13.5.2 網(wǎng)絡設置和安全
13.6 網(wǎng)絡防御設計建議
13.7 實例分析：客戶反饋系統(tǒng)
13.7.1 部署位置
13.7.2 結構上的建議
13.8 實例分析：基于Web的在線賬單應用程序
13.8.1 部署位置
13.8.2 結構上的建議
13.9 小結
13.10 參考資料
第14章 VPN集成
14.1 安全Shell
14.1.1 標準SSH連接
14.1.2 SSH隧道
14.2 SSL
14.2.1 SSL標準連接
14.2.2 SSL隧道
14.3 遠程桌面解決方案
14.3.1 單會話軟件
14.3.2 多會話軟件
14.4 IPSec
14.4.1 IPSec客戶集成
14.4.2 IPSec服務器集成
14.4.3 IPSec邊界防御調整
14.4.4 IPSec結構
14.5 VPN其他需要考慮的事項
14.5.1 專有VPN的執(zhí)行
14.5.2 受到損害或懷有惡意的VPN客戶
14.6 VPN設計實例分析
14.7 小結
第15章根據(jù)性能調整設計
15.1 性能與安全
15.1.1 定義性能
15.1.2 了解在安全中性能的重要性
15.2 影響性能的網(wǎng)絡安全設計元素
15.2.1 網(wǎng)絡過濾器的性能影響
15.2.2 網(wǎng)絡結構
15.2.3 實例分析
15.3 加密的影響
15.3.1 密碼服務
15.3.2 了解網(wǎng)絡層和傳輸層的加密
15.3.3 使用硬件加速器來提高性能
15.3.4 實例分析
15.4 通過負載平衡來提高性能
15.4.1 負載平衡存在的問題
15.4.2 第4層調度程序
15.4.3 第7層調度程序
15.5 小結
15.6 參考資料
第16章實例設計
16.1 安全設計標準回顧
16.2 實例分析
16.2.1 實例分析1：使用寬帶連接進行遠程工作
16.2.2 實例分析2：存在基本Internet連接的小企業(yè)
16.2.3 實例分析3：小型電子商務站點
16.2.4 實例分析4：一個復雜的電子商務站點
16.2.5 DMZ區(qū)域
16.3 小結
第四部分邊界安全評估方法
第17章維護安全邊界
17.1 系統(tǒng)監(jiān)控與網(wǎng)絡監(jiān)控
17.1.1 Big Brother簡介
17.1.2 建立監(jiān)控過程
17.1.3 進行遠程監(jiān)控時需要考慮的安全事項
17.2 事故響應
17.2.1 通知選項
17.2.2 一般的響應準則
17.2.3 惡意事故響應
17.2.4 自動化事件響應
17.3 適應變更
17.3.1 變更管理的基礎
17.3.2 修改－管理控制的實現(xiàn)
17.4 小結
17.5 參考資料
第18章網(wǎng)絡日志分析
18.1 網(wǎng)絡日志文件的重要性
18.1.1 日志文件的特征
18.1.2 日志文件的作用
18.2 日志分析基礎
18.2.1 開始入手
18.2.2 自動化日志分析
18.2.3 時間戳
18.3 分析路由器日志
18.3.1 Cisco路由器日志
18.3.2 其他路由器日志
18.4 分析網(wǎng)絡防火墻日志
18.4.1 Cisco PIX日志
18.4.2 Check Point的Firewall-1日志
18.4.3 IPTables日志
18.5 分析以主機為中心的防火墻和IDS日志
18.5.1 ZoneAlarm
18.5.2 Tiny Personal Firewall
18.5.3 BlackICE Defender
18.6 小結
第19章防御部件故障診斷
19.1 故障診斷過程
19.1.1 收集癥狀
19.1.2 檢查最近的變更
19.1.3 形成假定
19.1.4 測試假定
19.1.5 分析結果
19.1.6 如必要的話重復以上步驟
19.2 故障診斷經(jīng)驗法則
19.2.1 一次只進行一次修改
19.2.2 開放思維
19.2.3 換個角度考慮
19.2.4 將重點一直放在問題修復上
19.2.5 不要實現(xiàn)一種比原問題帶來更多麻煩的修復方法
19.2.6 應當記?。鹤铍y于診斷的問題往往是最容易忽略的問題
19.3 故障檢修員的工具箱
19.3.1 應用層故障診斷
19.3.2 傳輸層故障診斷
19.3.3 網(wǎng)絡層故障診斷
19.3.4 鏈路層故障診斷
19.4 小結
19.5 參考資料
第20章評估技術
20.1 外部評估
20.1.1 計劃
20.1.2 初期偵察
20.1.3 系統(tǒng)列舉
20.1.4 服務列舉
20.1.5 弱點發(fā)現(xiàn)
20.1.6 弱點調查
20.2 內部評估
20.2.1 準備內部評估
20.2.2 驗證訪問控制
20.3 小結
20.4 參考資料
第21章攻擊設計
21.1 攻擊網(wǎng)絡的黑客方法
21.2 對抗性檢查
21.3 GIAC GCFW學生實習設計
21.3.1 實習設計1
21.3.2 確定留下的入口：內部防火墻
21.3.3 實習設計2
21.4 小結
21.5 參考資料
第22章縱深防御的重要性
22.1 縱深防御結構的一個例子-城堡
22.1.1 堅固的城墻與火力更強的炮彈
22.1.2 密道
22.1.3 隱藏技術
22.1.4 防御熟悉內幕的人
22.2 具有吸收能力的邊界
22.2.1 “蜂蜜罐”
22.2.2 速率限制
22.2.3 故障恢復
22.3 信息的縱深防御
22.3.1 擴散問題
22.3.2 密碼術與縱深防御
22.4 小結
第五部分附錄
附錄A Cisco訪問列表配置示例
附錄B 密碼術基礎
附錄C 網(wǎng)絡空隙