網(wǎng)絡(luò)安全原理與實踐

目 錄

第一部分：網(wǎng)絡(luò)安全介紹

第1章　網(wǎng)絡(luò)安全介紹　3
1.1　網(wǎng)絡(luò)安全目標(biāo)　4
1.2　資產(chǎn)確定　4
1.3　威脅評估　5
1.4　風(fēng)險評估　6
1.5　構(gòu)建網(wǎng)絡(luò)安全策略　6
1.6　網(wǎng)絡(luò)安全策略的要素　7
1.7　部署網(wǎng)絡(luò)安全策略　8
1.8　網(wǎng)絡(luò)安全體系結(jié)構(gòu)的部署　9
1.9　審計和改進　9
1.10　實例研究　10
1.10.1　資產(chǎn)確定　10
1.10.2　威脅確定　11
1.10.3　風(fēng)險分析　12
1.10.4　定義安全策略　13
1.11　小結(jié)　16
1.12　復(fù)習(xí)題　16

第二部分：構(gòu)建網(wǎng)絡(luò)安全

第2章 定義安全區(qū)　21
2.1　安全區(qū)介紹　21
2.2　設(shè)計一個DMZ　22
2.2.1　使用一個三腳防火墻創(chuàng)建DMZ　23
2.2.2　DMZ置于防火墻之外，公共網(wǎng)絡(luò)和防火墻之間　23
2.2.3　DMZ置于防火墻之外，但不在公共網(wǎng)絡(luò)和防火墻之間的通道上　24
2.2.4　在層疊的防火墻之間創(chuàng)建DMZ　25
2.3　實例研究：使用PIX防火墻創(chuàng)建區(qū)　26
2.4　小結(jié)　27
2.5　復(fù)習(xí)題　27

第3章 設(shè)備安全　29
3.1　物理安全　30
3.1.1　冗余位置　30
3.1.2　網(wǎng)絡(luò)拓?fù)湓O(shè)計　30
3.1.3　網(wǎng)絡(luò)位置的安全　31
3.1.4　選擇安全介質(zhì)　32
3.1.5　電力供應(yīng)　32
3.1.6　環(huán)境因素　32
3.2　設(shè)備冗余　33
3.2.1　路由冗余　33
3.2.2　HSRP　35
3.2.3　虛擬路由器冗余協(xié)議(VRRP)　41
3.3　路由器安全　45
3.3.1　配置管理　45
3.3.2　控制對路由器的訪問　46
3.3.3　對路由器的安全訪問　49
3.3.4　密碼管理　50
3.3.5　記錄路由器事件　51
3.3.6　禁用不需要的服務(wù)　52
3.3.7　使用環(huán)回接口　52
3.3.8　SNMP用作管理協(xié)議的控制　53
3.3.9　HTTP用作管理協(xié)議的控制　55
3.3.10　使用CEF作為交換機制　56
3.3.11　從安全的角度來建立調(diào)度表　56
3.3.12　使用NTP　57
3.3.13　登錄信息　57
3.3.14　獲取Core Dumps信息　58
3.3.15　在CPU高負(fù)載期間使用service nagle以改善Telnet訪問　59
3.4　PIX防火墻安全　60
3.4.1　配置管理　60
3.4.2　控制對PIX的訪問　60
3.4.3　安全訪問PIX　61
3.4.4　密碼管理　62
3.4.5　記錄PIX事件　62
3.5　交換機安全　63
3.5.1　配置管理　63
3.5.2　控制對交換機的訪問　63
3.5.3　對交換機的安全訪問　64
3.5.4　交換機事件日志　64
3.5.5　控制管理協(xié)議(基于SNMP的管理)　65
3.5.6　使用NTP　65
3.5.7　登錄信息　66
3.5.8　捕獲Core Dumps　66
3.6　小結(jié)　66
3.7　復(fù)習(xí)題　66

第4章 路由安全　69
4.1　將安全作為路由設(shè)計的一部分　70
4.1.1　路由過濾　70
4.1.2　收斂性　71
4.1.3　靜態(tài)路由　71
4.2　路由器和路由認(rèn)證　72
4.3　定向廣播控制　75
4.4　黑洞過濾　75
4.5　單播反向路徑轉(zhuǎn)發(fā)　76
4.6　路徑完整性　78
4.6.1　ICMP重定向　78
4.6.2　IP源路由　78
4.7　實例研究：BGP路由協(xié)議安全　79
4.7.1　BGP鄰居認(rèn)證　79
4.7.2　入站路由過濾　80
4.7.3　出站路由過濾　80
4.7.4　BGP網(wǎng)絡(luò)通告　80
4.7.5　BGP多跳　81
4.7.6　BGP通信　81
4.7.7　禁用BGP版本協(xié)商　81
4.7.8　維持路由表的深度和穩(wěn)定性　81
4.7.9　BGP鄰居狀態(tài)改變的日志記錄　84
4.8　實例研究：OSPF路由協(xié)議的安全　84
4.8.1　OSPF路由器認(rèn)證　84
4.8.2　OSPF非廣播鄰居配置　85
4.8.3　使用末節(jié)區(qū)域　85
4.8.4　使用環(huán)回接口作為路由器ID　87
4.8.5　調(diào)整SPF計時器　87
4.8.6　路由過濾　88
4.9　小結(jié)　88
4.10　復(fù)習(xí)題　89

第5章 局域網(wǎng)交換的安全　91
5.1　普通交換和第2層安全　92
5.2　端口安全　93
　MAC地址泛洪和端口安全　93
5.3　IP許可列表　95
5.4　協(xié)議過濾和控制LAN泛洪　96
5.5　Catalyst 6000上的專用VLAN　97
　ARP欺騙、粘性ARP和專用VLAN　99
5.6　使用IEEE 802.1x標(biāo)準(zhǔn)進行端口認(rèn)證和訪問控制　99
5.6.1　802.1x實體　99
5.6.2　802.1x通信　100
5.6.3　802.1x功能　104
5.6.4　使用802.1x建立Catalyst 6000端口認(rèn)證　106
5.7　小結(jié)　108
5.8　復(fù)習(xí)題　108

第6章 網(wǎng)絡(luò)地址轉(zhuǎn)換與安全　111
6.1　網(wǎng)絡(luò)地址轉(zhuǎn)換的安全利益　112
6.2　依賴NAT提供安全的缺點　113
6.2.1　除了端口號信息外沒有協(xié)議信息跟蹤　113
6.2.2　基于PAT表沒有限制數(shù)據(jù)流的類型　113
6.2.3　初始連接上有限的控制　113
6.3　小結(jié)　114
6.4　復(fù)習(xí)題　114

第三部分：防火墻

第7章 什么是防火墻　119
7.1　防火墻　119
7.1.1　日志和通告發(fā)送能力　120
7.1.2　大規(guī)模的數(shù)據(jù)包檢查　120
7.1.3　易于配置　121
7.1.4　設(shè)備安全和冗余　121
7.2　防火墻的類型　122
7.2.1　電路級防火墻　122
7.2.2　代理服務(wù)器防火墻　122
7.2.3　無狀態(tài)分組過濾器防火墻　123
7.2.4　有狀態(tài)分組過濾器防火墻　123
7.2.5　個人防火墻　124
7.3　防火墻的位置　124
7.4　小結(jié)　125

第8章 PIX防火墻　127
8.1　自適應(yīng)安全算法　127
8.1.1　TCP　128
8.1.2　UDP　130
8.2　PIX防火墻的基本特性　131
8.2.1　使用ASA的狀態(tài)化流量檢測　131
8.2.2　為接口分配不同的安全級別　132
8.2.3　訪問控制列表　132
8.2.4　擴展的日志能力　133
8.2.5　基本的路由能力，包括對RIP的支持　134
8.2.6　網(wǎng)絡(luò)地址轉(zhuǎn)換　134
8.2.7　失效處理機制和冗余　135
8.2.8　認(rèn)證通過PIX的流量　137
8.3　PIX防火墻的高級特性　137
8.3.1　別名　138
8.3.2　X防護　141
8.3.3　高級過濾　142
8.3.4　多媒體支持　143
8.3.5　欺騙檢測或者單播RPF　145
8.3.6　協(xié)議修正　146
8.3.7　混雜的sysopt命令　146
8.3.8　多播支持　148
8.3.9　分片處理　150
8.4　實例研究　151
8.4.1　帶有三個接口，運行在DMZ的Web服務(wù)器上的PIX　152
8.4.2　為PIX設(shè)置失效處理　157
8.4.3　為DMZ上的服務(wù)器使用alias命令設(shè)置PIX　160
8.4.4　為貫穿式代理認(rèn)證和授權(quán)設(shè)置PIX　163
8.4.5　使用Object Groups和TurboACL來擴展PIX配置　166
8.5　小結(jié)　170
8.6　復(fù)習(xí)題　171

第9章 IOS防火墻　173
9.1　基于上下文的訪問控制　173
　CBAC功能　174
9.2　IOS防火墻的特性　175
9.2.1　傳輸層檢查　176
9.2.2　應(yīng)用層檢查　176
9.2.3　對無效命令進行過濾　177
9.2.4　Java阻塞　177
9.2.5　針對拒絕服務(wù)攻擊的安全防護　177
9.2.6　IOS防火墻中的分片處理　180
9.3　實例研究：配置了NAT的路由器上的CBAC　180
9.4　小結(jié)　185
9.5　復(fù)習(xí)題　185

第四部分：VPN

第10章 VPN的概念　189
10.1　VPN定義　189
10.2　基于加密與不加密的VPN類型比較　190
10.2.1　加密VPN　190
10.2.2　非加密VPN　190
10.3　基于OSI模型分層的VPN類型　190
10.3.1　數(shù)據(jù)鏈路層VPN　191
10.3.2　網(wǎng)絡(luò)層VPN　191
10.3.3　應(yīng)用層VPN　191
10.4　基于商業(yè)功能性的VPN類型　192
10.5　內(nèi)部網(wǎng)VPN　192
10.6　外部網(wǎng)VPN　192
10.7　小結(jié)　193

第11章 GRE　195
11.1　GRE　195
11.2　實例研究　198
11.2.1　連接兩個私有網(wǎng)絡(luò)的簡單GRE隧道　198
11.2.2　多個站點間的GRE　202
11.2.3　運行IPX的兩個站點間的GRE　206
11.3　小結(jié)　211
11.4　復(fù)習(xí)題　211

第12章 L2TP　213
12.1　L2TP概述　213
12.2　L2TP的功能細(xì)節(jié)　215
12.2.1　建立控制連接　216
12.2.2　建立會話　216
12.2.3　頭格式　218
12.3　實例研究　219
12.3.1　創(chuàng)建強制型L2TP隧道　220
12.3.2　在強制型隧道的創(chuàng)建中使用IPSec保護L2TP通信　235
12.4　小結(jié)　240
12.5　復(fù)習(xí)題　240

第13章 IPSec　243
13.1　IPSec VPN的類型　244
13.1.1　LAN-to-LAN IPSec實現(xiàn)　244
13.1.2　遠(yuǎn)程訪問客戶端IPSec實現(xiàn)　245
13.2　IPSec的組成　246
13.3　IKE介紹　247
13.3.1　主模式(或者主動模式)的目標(biāo)　248
13.3.2　快速模式的目標(biāo)　249
13.4　使用IKE協(xié)議的IPSec協(xié)商　249
13.4.1　使用預(yù)共享密鑰認(rèn)證的主模式后接快速模式的協(xié)商　249
13.4.2　使用數(shù)字簽名認(rèn)證后接快速模式的主模式　263
13.4.3　使用預(yù)共享密鑰認(rèn)證的主動模式　267
13.5　IKE認(rèn)證機制　270
13.5.1　預(yù)共享密鑰　270
13.5.2　數(shù)字簽名　271
13.5.3　加密臨時值　272
13.6　IPSec中加密和完整性檢驗機制　273
13.6.1　加密　273
13.6.2　完整性檢驗　275
13.7　IPSec中分組的封裝　276
13.7.1　傳輸模式　276
13.7.2　隧道模式　276
13.7.3　ESP(封裝安全負(fù)載)　277
13.7.4　AH(認(rèn)證頭)　278
13.8　增強遠(yuǎn)程訪問客戶端IPSec的IKE　279
13.8.1　擴展認(rèn)證　279
13.8.2　模式配置　282
13.8.3　NAT透明　283
13.9　IPSec失效對等體的發(fā)現(xiàn)機制　284
13.10　實例研究　285
13.10.1　使用預(yù)共享密鑰作為認(rèn)證機制的路由器到路由器的IPSec　285
13.10.2　使用數(shù)字簽名和數(shù)字證書的路由器到路由器的IPSec　299
13.10.3　使用RSA加密臨時值的路由器到路由器的IPSec　310
13.10.4　一對多路由器IPSec　317
13.10.5　High-Availability-IPSec-Over-GRE設(shè)置　323
13.10.6　使用x-auth、動態(tài)crypto映射、模式配置和預(yù)共享密鑰的遠(yuǎn)程訪問IPSec　328
13.10.7　LAN-to-LAN和遠(yuǎn)程訪問的PIX IPSec設(shè)置　331
13.10.8　使用自發(fā)型隧道的L2TP上的IPSec　336
13.10.9　IPSec隧道終點發(fā)現(xiàn)(TED)　341
13.10.10　NAT同IPSec的相互作用　354
13.10.11　防火墻和IPSec的相互作用　356
13.11　小結(jié)　357
13.12　復(fù)習(xí)題　357

第五部分：入侵檢測

第14章 什么是入侵檢測　361
14.1　對入侵檢測的需求　362
14.2　基于攻擊模式的網(wǎng)絡(luò)攻擊類型　363
14.2.1　拒絕服務(wù)攻擊　363
14.2.2　網(wǎng)絡(luò)訪問攻擊　363
14.3　基于攻擊發(fā)起者的網(wǎng)絡(luò)攻擊類型　364
14.3.1　由受信任的(內(nèi)部)用戶發(fā)起的攻擊　365
14.3.2　由不受信任的(外部)用戶發(fā)起的攻擊　365
14.3.3　由沒有經(jīng)驗的“腳本少年”黑客發(fā)起的攻擊　365
14.3.4　由有經(jīng)驗的“專業(yè)”黑客發(fā)起的攻擊　366
14.4　常見的網(wǎng)絡(luò)攻擊　367
14.4.1　拒絕服務(wù)攻擊　367
14.4.2　資源耗盡類型的DoS攻擊　367
14.4.3　旨在導(dǎo)致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型　374
14.4.4　網(wǎng)絡(luò)訪問攻擊　375
14.5　檢測入侵的過程　378
14.6　實例研究：Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉(zhuǎn)敗局的　380
14.7　小結(jié)　381

第15章 Cisco安全入侵檢測　385
15.1　Cisco安全I(xiàn)DS的組件　386
15.2　構(gòu)建管理控制臺　389
15.2.1　兩種類型的管理控制臺　389
15.2.2　UNIX Director的內(nèi)部結(jié)構(gòu)　389
15.2.3　CSPM IDS控制臺的內(nèi)部結(jié)構(gòu)　392
15.3　構(gòu)建傳感器　393
15.4　對入侵的響應(yīng)　396
15.4.1　日志記錄　397
15.4.2　TCP重置　400
15.4.3　屏蔽　400
15.5　簽名類型　401
15.5.1　簽名引擎(Engine)　402
15.5.2　默認(rèn)的警報級別　403
15.6　把路由器、PIX或者IDSM作為傳感器使用　404
15.7　實例研究　405
15.7.1　把路由器作為傳感器設(shè)備使用　405
15.7.2　把PIX作為傳感器設(shè)備使用　409
15.7.3　把Catalyst 6000 IDSM作為傳感器使用　412
15.7.4　設(shè)置路由器或者UNIX Director進行屏蔽　416
15.7.5　創(chuàng)建定制的簽名　418
15.8　小結(jié)　419
15.9　復(fù)習(xí)題　419

第六部分：網(wǎng)絡(luò)訪問控制

第16章 AAA　423
16.1　AAA組件的定義　423
16.2　認(rèn)證概述　424
16.3　設(shè)置認(rèn)證　425
16.3.1　啟用AAA　425
16.3.2　設(shè)置一個本地用戶認(rèn)證參數(shù)數(shù)據(jù)庫或者設(shè)置對配置好的RADIUS或TACACS+ 服務(wù)器的訪問　425
16.3.3　設(shè)置方法列表　426
16.3.4　應(yīng)用方法列表　428
16.4　授權(quán)概述　429
16.5　設(shè)置授權(quán)　429
16.5.1　設(shè)置方法列表　429
16.5.2　應(yīng)用方法列表　430
16.6　統(tǒng)計概述　432
16.7　設(shè)置統(tǒng)計　433
16.7.1　設(shè)置一個方法列表　433
16.7.2　將方法列表應(yīng)用到行和/或接口　434
16.8　實例研究　435
16.8.1　使用AAA對PPP連接進行認(rèn)證和授權(quán)　435
16.8.2　使用AAA下載路由和應(yīng)用訪問列表　438
16.8.3　使用AAA設(shè)置PPP超時　441
16.9　小結(jié)　443
16.10　復(fù)習(xí)題　443

第17章 TACACS+　445
17.1　TACACS+概述　446
17.2　TACACS+通信體系結(jié)構(gòu)　446
17.3　TACACS+分組加密　448
17.4　TACACS+的認(rèn)證　449
17.5　TACACS+的授權(quán)　450
17.6　TACACS+的統(tǒng)計　455
17.7　小結(jié)　457
17.8　復(fù)習(xí)題　458

第18章 RADIUS　461
18.1　RADIUS介紹　461
18.2　RADIUS通信的體系結(jié)構(gòu)　462
18.2.1　RADIUS分組格式　463
18.2.2　RADIUS中的口令加密　464
18.2.3　RADIUS的認(rèn)證　465
18.2.4　RADIUS的授權(quán)　466
18.2.5　RADIUS的統(tǒng)計　472
18.3　小結(jié)　474
18.4　復(fù)習(xí)題　475

第19章 使用AAA實現(xiàn)安全特性的特殊實例　477
19.1　使用AAA對IPSec提供預(yù)共享的密鑰　478
19.2　在ISAKMP中對X-Auth使用AAA　480
19.3　對Auth-Proxy使用AAA　482
19.4　對VPDN使用AAA　485
19.5　對鎖和密鑰使用AAA　488
19.6　使用AAA對命令授權(quán)　490
19.7　小結(jié)　492
19.8　復(fù)習(xí)題　492

第七部分：服務(wù)提供商安全

第20章 服務(wù)提供商安全的利益和挑戰(zhàn)　497
20.1　擁有服務(wù)提供商安全的動機　497
20.1.1　阻止和轉(zhuǎn)移攻擊的能力　498
20.1.2　跟蹤流量模式的能力　499
20.1.3　向下跟蹤攻擊源的能力　499
20.2　在服務(wù)提供商級別上實現(xiàn)安全的挑戰(zhàn)　502
20.3　服務(wù)提供商安全的關(guān)鍵組件　503
20.4　小結(jié)　503
20.5　復(fù)習(xí)題　503

第21章 有效使用訪問控制列表　505
21.1　訪問控制列表概述　506
21.1.1　ACL的類型　506
21.1.2　ACL的特性和特征　509
21.2　使用訪問控制列表阻止未經(jīng)授權(quán)的訪問　510
21.2.1　ACL的基本訪問控制功能　510
21.2.2　使用ACL阻塞ICMP分組　511
21.2.3　使用ACL阻塞帶有欺騙IP地址的分組　512
21.2.4　用ACL阻塞去往網(wǎng)絡(luò)中不可用服務(wù)的流量　512
21.2.5　使用ACL阻塞已知的冒犯　513
21.2.6　使用ACL阻塞假的和不必要的路由　513
21.3　使用ACL識別拒絕服務(wù)攻擊　513
21.3.1　使用訪問控制列表識別smurf攻擊　513
21.3.2　使用訪問控制列表識別fraggle攻擊　515
21.3.3　使用訪問控制列表識別SYN泛洪　516
21.4　使用ACL阻止拒絕服務(wù)攻擊　517
21.4.1　使用ACL阻止來自不合法IP地址的流量　517
21.4.2　過濾RFC 1918地址空間　519
21.4.3　拒絕其他不必要的流量　519
21.5　通過ACL處理IP分片　520
21.5.1　過濾IP分片　520
21.5.2　保護網(wǎng)絡(luò)免遭IP分片攻擊　524
21.6　ACL對性能的影響　525
21.7　Turbo ACL　526
21.8　NetFlow交換和ACL　529
21.8.1　NetFlow交換功能　529
21.8.2　NetFlow交換使訪問控制列表性能增強　529
21.8.3　使用NetFlow　530
21.9　小結(jié)　530
21.10　復(fù)習(xí)題　530

第22章 使用NBAR識別和控制攻擊　533
22.1　NBAR概述　534
22.2　使用NBAR對分組進行分類　537
22.3　使用NBAR檢測網(wǎng)絡(luò)攻擊　539
22.3.1　用帶有簡單訪問控制列表的DSCP或ToS標(biāo)記或丟棄分組　539
22.3.2　使用帶有策略路由的DSCP或者ToS來標(biāo)記或丟棄經(jīng)NBAR分類的流量　540
22.3.3　用流量管制管理經(jīng)NBAR分類的流量　541
22.4　聯(lián)合使用NBAR和PDLM對網(wǎng)絡(luò)攻擊分類　541
22.5　使用基于NBAR的訪問控制技術(shù)對性能的影響　542
22.6　實例研究：紅色代碼病毒和NBAR　542
22.7　小結(jié)　544
22.8　復(fù)習(xí)題　545

第23章 使用CAR控制攻擊　547
23.1　CAR概述　548
23.2　使用CAR限制速率或者丟棄額外的惡意流量　550
23.2.1　限制拒絕服務(wù)攻擊的速率　550
23.2.2　限制可疑惡意內(nèi)容的速率　551
23.3　實例研究：使用CAR限制DDoS攻擊　552
23.4　小結(jié)　553
23.5　復(fù)習(xí)題　554

第八部分：故障排除

第24章 網(wǎng)絡(luò)安全實施故障排除　559
24.1　NAT故障排除　560
24.1.1　NAT操作的順序　560
24.1.2　NAT調(diào)試工具　561
24.1.3　NAT show命令　562
24.1.4　常見的NAT問題以及解決方案　563
24.2　PIX防火墻故障排除　567
24.2.1　引起與PIX相關(guān)的問題的根源　567
24.2.2　PIX中NAT操作的順序　568
24.2.3　PIX調(diào)試　568
24.2.4　推薦的PIX 6.2超時值　570
24.2.5　PIX show命令　571
24.2.6　常見的PIX問題及其解決方法　575
24.2.7　PIX故障排除實例研究　576
24.3　IOS防火墻故障排除　578
24.3.1　IOS防火墻中的操作順序　578
24.3.2　IOS防火墻的show命令　579
24.3.3　常見的IOS防火墻問題及其解決辦法　582
24.4　IPSec VPN故障排除　583
24.4.1　IPSec事件的執(zhí)行順序　583
24.4.2　IPSec的調(diào)試　584
24.4.3　IPSec show命令　588
24.4.4　常見的IPSec問題以及解決辦法　591
24.5　入侵檢測故障排除　595
　常見的IDS問題及解決辦法　595
24.6　AAA故障排除　598
24.6.1　AAA show命令　599
24.6.2　AAA的debug命令　599
24.6.3　常見的AAA問題和解決辦法　599
24.7　小結(jié)　606
24.8　復(fù)習(xí)題　607

第九部分：附錄

附錄A 復(fù)習(xí)題答案　611
附錄B SAFE：企業(yè)網(wǎng)絡(luò)安全藍(lán)圖白皮書　627