網絡安全原理與實踐

目 錄

第一部分：網絡安全介紹

第1章　網絡安全介紹　3
1.1　網絡安全目標　4
1.2　資產確定　4
1.3　威脅評估　5
1.4　風險評估　6
1.5　構建網絡安全策略　6
1.6　網絡安全策略的要素　7
1.7　部署網絡安全策略　8
1.8　網絡安全體系結構的部署　9
1.9　審計和改進　9
1.10　實例研究　10
1.10.1　資產確定　10
1.10.2　威脅確定　11
1.10.3　風險分析　12
1.10.4　定義安全策略　13
1.11　小結　16
1.12　復習題　16

第二部分：構建網絡安全

第2章 定義安全區(qū)　21
2.1　安全區(qū)介紹　21
2.2　設計一個DMZ　22
2.2.1　使用一個三腳防火墻創(chuàng)建DMZ　23
2.2.2　DMZ置于防火墻之外，公共網絡和防火墻之間　23
2.2.3　DMZ置于防火墻之外，但不在公共網絡和防火墻之間的通道上　24
2.2.4　在層疊的防火墻之間創(chuàng)建DMZ　25
2.3　實例研究：使用PIX防火墻創(chuàng)建區(qū)　26
2.4　小結　27
2.5　復習題　27

第3章 設備安全　29
3.1　物理安全　30
3.1.1　冗余位置　30
3.1.2　網絡拓撲設計　30
3.1.3　網絡位置的安全　31
3.1.4　選擇安全介質　32
3.1.5　電力供應　32
3.1.6　環(huán)境因素　32
3.2　設備冗余　33
3.2.1　路由冗余　33
3.2.2　HSRP　35
3.2.3　虛擬路由器冗余協(xié)議(VRRP)　41
3.3　路由器安全　45
3.3.1　配置管理　45
3.3.2　控制對路由器的訪問　46
3.3.3　對路由器的安全訪問　49
3.3.4　密碼管理　50
3.3.5　記錄路由器事件　51
3.3.6　禁用不需要的服務　52
3.3.7　使用環(huán)回接口　52
3.3.8　SNMP用作管理協(xié)議的控制　53
3.3.9　HTTP用作管理協(xié)議的控制　55
3.3.10　使用CEF作為交換機制　56
3.3.11　從安全的角度來建立調度表　56
3.3.12　使用NTP　57
3.3.13　登錄信息　57
3.3.14　獲取Core Dumps信息　58
3.3.15　在CPU高負載期間使用service nagle以改善Telnet訪問　59
3.4　PIX防火墻安全　60
3.4.1　配置管理　60
3.4.2　控制對PIX的訪問　60
3.4.3　安全訪問PIX　61
3.4.4　密碼管理　62
3.4.5　記錄PIX事件　62
3.5　交換機安全　63
3.5.1　配置管理　63
3.5.2　控制對交換機的訪問　63
3.5.3　對交換機的安全訪問　64
3.5.4　交換機事件日志　64
3.5.5　控制管理協(xié)議(基于SNMP的管理)　65
3.5.6　使用NTP　65
3.5.7　登錄信息　66
3.5.8　捕獲Core Dumps　66
3.6　小結　66
3.7　復習題　66

第4章 路由安全　69
4.1　將安全作為路由設計的一部分　70
4.1.1　路由過濾　70
4.1.2　收斂性　71
4.1.3　靜態(tài)路由　71
4.2　路由器和路由認證　72
4.3　定向廣播控制　75
4.4　黑洞過濾　75
4.5　單播反向路徑轉發(fā)　76
4.6　路徑完整性　78
4.6.1　ICMP重定向　78
4.6.2　IP源路由　78
4.7　實例研究：BGP路由協(xié)議安全　79
4.7.1　BGP鄰居認證　79
4.7.2　入站路由過濾　80
4.7.3　出站路由過濾　80
4.7.4　BGP網絡通告　80
4.7.5　BGP多跳　81
4.7.6　BGP通信　81
4.7.7　禁用BGP版本協(xié)商　81
4.7.8　維持路由表的深度和穩(wěn)定性　81
4.7.9　BGP鄰居狀態(tài)改變的日志記錄　84
4.8　實例研究：OSPF路由協(xié)議的安全　84
4.8.1　OSPF路由器認證　84
4.8.2　OSPF非廣播鄰居配置　85
4.8.3　使用末節(jié)區(qū)域　85
4.8.4　使用環(huán)回接口作為路由器ID　87
4.8.5　調整SPF計時器　87
4.8.6　路由過濾　88
4.9　小結　88
4.10　復習題　89

第5章 局域網交換的安全　91
5.1　普通交換和第2層安全　92
5.2　端口安全　93
　MAC地址泛洪和端口安全　93
5.3　IP許可列表　95
5.4　協(xié)議過濾和控制LAN泛洪　96
5.5　Catalyst 6000上的專用VLAN　97
　ARP欺騙、粘性ARP和專用VLAN　99
5.6　使用IEEE 802.1x標準進行端口認證和訪問控制　99
5.6.1　802.1x實體　99
5.6.2　802.1x通信　100
5.6.3　802.1x功能　104
5.6.4　使用802.1x建立Catalyst 6000端口認證　106
5.7　小結　108
5.8　復習題　108

第6章 網絡地址轉換與安全　111
6.1　網絡地址轉換的安全利益　112
6.2　依賴NAT提供安全的缺點　113
6.2.1　除了端口號信息外沒有協(xié)議信息跟蹤　113
6.2.2　基于PAT表沒有限制數(shù)據流的類型　113
6.2.3　初始連接上有限的控制　113
6.3　小結　114
6.4　復習題　114

第三部分：防火墻

第7章 什么是防火墻　119
7.1　防火墻　119
7.1.1　日志和通告發(fā)送能力　120
7.1.2　大規(guī)模的數(shù)據包檢查　120
7.1.3　易于配置　121
7.1.4　設備安全和冗余　121
7.2　防火墻的類型　122
7.2.1　電路級防火墻　122
7.2.2　代理服務器防火墻　122
7.2.3　無狀態(tài)分組過濾器防火墻　123
7.2.4　有狀態(tài)分組過濾器防火墻　123
7.2.5　個人防火墻　124
7.3　防火墻的位置　124
7.4　小結　125

第8章 PIX防火墻　127
8.1　自適應安全算法　127
8.1.1　TCP　128
8.1.2　UDP　130
8.2　PIX防火墻的基本特性　131
8.2.1　使用ASA的狀態(tài)化流量檢測　131
8.2.2　為接口分配不同的安全級別　132
8.2.3　訪問控制列表　132
8.2.4　擴展的日志能力　133
8.2.5　基本的路由能力，包括對RIP的支持　134
8.2.6　網絡地址轉換　134
8.2.7　失效處理機制和冗余　135
8.2.8　認證通過PIX的流量　137
8.3　PIX防火墻的高級特性　137
8.3.1　別名　138
8.3.2　X防護　141
8.3.3　高級過濾　142
8.3.4　多媒體支持　143
8.3.5　欺騙檢測或者單播RPF　145
8.3.6　協(xié)議修正　146
8.3.7　混雜的sysopt命令　146
8.3.8　多播支持　148
8.3.9　分片處理　150
8.4　實例研究　151
8.4.1　帶有三個接口，運行在DMZ的Web服務器上的PIX　152
8.4.2　為PIX設置失效處理　157
8.4.3　為DMZ上的服務器使用alias命令設置PIX　160
8.4.4　為貫穿式代理認證和授權設置PIX　163
8.4.5　使用Object Groups和TurboACL來擴展PIX配置　166
8.5　小結　170
8.6　復習題　171

第9章 IOS防火墻　173
9.1　基于上下文的訪問控制　173
　CBAC功能　174
9.2　IOS防火墻的特性　175
9.2.1　傳輸層檢查　176
9.2.2　應用層檢查　176
9.2.3　對無效命令進行過濾　177
9.2.4　Java阻塞　177
9.2.5　針對拒絕服務攻擊的安全防護　177
9.2.6　IOS防火墻中的分片處理　180
9.3　實例研究：配置了NAT的路由器上的CBAC　180
9.4　小結　185
9.5　復習題　185

第四部分：VPN

第10章 VPN的概念　189
10.1　VPN定義　189
10.2　基于加密與不加密的VPN類型比較　190
10.2.1　加密VPN　190
10.2.2　非加密VPN　190
10.3　基于OSI模型分層的VPN類型　190
10.3.1　數(shù)據鏈路層VPN　191
10.3.2　網絡層VPN　191
10.3.3　應用層VPN　191
10.4　基于商業(yè)功能性的VPN類型　192
10.5　內部網VPN　192
10.6　外部網VPN　192
10.7　小結　193

第11章 GRE　195
11.1　GRE　195
11.2　實例研究　198
11.2.1　連接兩個私有網絡的簡單GRE隧道　198
11.2.2　多個站點間的GRE　202
11.2.3　運行IPX的兩個站點間的GRE　206
11.3　小結　211
11.4　復習題　211

第12章 L2TP　213
12.1　L2TP概述　213
12.2　L2TP的功能細節(jié)　215
12.2.1　建立控制連接　216
12.2.2　建立會話　216
12.2.3　頭格式　218
12.3　實例研究　219
12.3.1　創(chuàng)建強制型L2TP隧道　220
12.3.2　在強制型隧道的創(chuàng)建中使用IPSec保護L2TP通信　235
12.4　小結　240
12.5　復習題　240

第13章 IPSec　243
13.1　IPSec VPN的類型　244
13.1.1　LAN-to-LAN IPSec實現(xiàn)　244
13.1.2　遠程訪問客戶端IPSec實現(xiàn)　245
13.2　IPSec的組成　246
13.3　IKE介紹　247
13.3.1　主模式(或者主動模式)的目標　248
13.3.2　快速模式的目標　249
13.4　使用IKE協(xié)議的IPSec協(xié)商　249
13.4.1　使用預共享密鑰認證的主模式后接快速模式的協(xié)商　249
13.4.2　使用數(shù)字簽名認證后接快速模式的主模式　263
13.4.3　使用預共享密鑰認證的主動模式　267
13.5　IKE認證機制　270
13.5.1　預共享密鑰　270
13.5.2　數(shù)字簽名　271
13.5.3　加密臨時值　272
13.6　IPSec中加密和完整性檢驗機制　273
13.6.1　加密　273
13.6.2　完整性檢驗　275
13.7　IPSec中分組的封裝　276
13.7.1　傳輸模式　276
13.7.2　隧道模式　276
13.7.3　ESP(封裝安全負載)　277
13.7.4　AH(認證頭)　278
13.8　增強遠程訪問客戶端IPSec的IKE　279
13.8.1　擴展認證　279
13.8.2　模式配置　282
13.8.3　NAT透明　283
13.9　IPSec失效對等體的發(fā)現(xiàn)機制　284
13.10　實例研究　285
13.10.1　使用預共享密鑰作為認證機制的路由器到路由器的IPSec　285
13.10.2　使用數(shù)字簽名和數(shù)字證書的路由器到路由器的IPSec　299
13.10.3　使用RSA加密臨時值的路由器到路由器的IPSec　310
13.10.4　一對多路由器IPSec　317
13.10.5　High-Availability-IPSec-Over-GRE設置　323
13.10.6　使用x-auth、動態(tài)crypto映射、模式配置和預共享密鑰的遠程訪問IPSec　328
13.10.7　LAN-to-LAN和遠程訪問的PIX IPSec設置　331
13.10.8　使用自發(fā)型隧道的L2TP上的IPSec　336
13.10.9　IPSec隧道終點發(fā)現(xiàn)(TED)　341
13.10.10　NAT同IPSec的相互作用　354
13.10.11　防火墻和IPSec的相互作用　356
13.11　小結　357
13.12　復習題　357

第五部分：入侵檢測

第14章 什么是入侵檢測　361
14.1　對入侵檢測的需求　362
14.2　基于攻擊模式的網絡攻擊類型　363
14.2.1　拒絕服務攻擊　363
14.2.2　網絡訪問攻擊　363
14.3　基于攻擊發(fā)起者的網絡攻擊類型　364
14.3.1　由受信任的(內部)用戶發(fā)起的攻擊　365
14.3.2　由不受信任的(外部)用戶發(fā)起的攻擊　365
14.3.3　由沒有經驗的“腳本少年”黑客發(fā)起的攻擊　365
14.3.4　由有經驗的“專業(yè)”黑客發(fā)起的攻擊　366
14.4　常見的網絡攻擊　367
14.4.1　拒絕服務攻擊　367
14.4.2　資源耗盡類型的DoS攻擊　367
14.4.3　旨在導致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型　374
14.4.4　網絡訪問攻擊　375
14.5　檢測入侵的過程　378
14.6　實例研究：Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉敗局的　380
14.7　小結　381

第15章 Cisco安全入侵檢測　385
15.1　Cisco安全IDS的組件　386
15.2　構建管理控制臺　389
15.2.1　兩種類型的管理控制臺　389
15.2.2　UNIX Director的內部結構　389
15.2.3　CSPM IDS控制臺的內部結構　392
15.3　構建傳感器　393
15.4　對入侵的響應　396
15.4.1　日志記錄　397
15.4.2　TCP重置　400
15.4.3　屏蔽　400
15.5　簽名類型　401
15.5.1　簽名引擎(Engine)　402
15.5.2　默認的警報級別　403
15.6　把路由器、PIX或者IDSM作為傳感器使用　404
15.7　實例研究　405
15.7.1　把路由器作為傳感器設備使用　405
15.7.2　把PIX作為傳感器設備使用　409
15.7.3　把Catalyst 6000 IDSM作為傳感器使用　412
15.7.4　設置路由器或者UNIX Director進行屏蔽　416
15.7.5　創(chuàng)建定制的簽名　418
15.8　小結　419
15.9　復習題　419

第六部分：網絡訪問控制

第16章 AAA　423
16.1　AAA組件的定義　423
16.2　認證概述　424
16.3　設置認證　425
16.3.1　啟用AAA　425
16.3.2　設置一個本地用戶認證參數(shù)數(shù)據庫或者設置對配置好的RADIUS或TACACS+ 服務器的訪問　425
16.3.3　設置方法列表　426
16.3.4　應用方法列表　428
16.4　授權概述　429
16.5　設置授權　429
16.5.1　設置方法列表　429
16.5.2　應用方法列表　430
16.6　統(tǒng)計概述　432
16.7　設置統(tǒng)計　433
16.7.1　設置一個方法列表　433
16.7.2　將方法列表應用到行和/或接口　434
16.8　實例研究　435
16.8.1　使用AAA對PPP連接進行認證和授權　435
16.8.2　使用AAA下載路由和應用訪問列表　438
16.8.3　使用AAA設置PPP超時　441
16.9　小結　443
16.10　復習題　443

第17章 TACACS+　445
17.1　TACACS+概述　446
17.2　TACACS+通信體系結構　446
17.3　TACACS+分組加密　448
17.4　TACACS+的認證　449
17.5　TACACS+的授權　450
17.6　TACACS+的統(tǒng)計　455
17.7　小結　457
17.8　復習題　458

第18章 RADIUS　461
18.1　RADIUS介紹　461
18.2　RADIUS通信的體系結構　462
18.2.1　RADIUS分組格式　463
18.2.2　RADIUS中的口令加密　464
18.2.3　RADIUS的認證　465
18.2.4　RADIUS的授權　466
18.2.5　RADIUS的統(tǒng)計　472
18.3　小結　474
18.4　復習題　475

第19章 使用AAA實現(xiàn)安全特性的特殊實例　477
19.1　使用AAA對IPSec提供預共享的密鑰　478
19.2　在ISAKMP中對X-Auth使用AAA　480
19.3　對Auth-Proxy使用AAA　482
19.4　對VPDN使用AAA　485
19.5　對鎖和密鑰使用AAA　488
19.6　使用AAA對命令授權　490
19.7　小結　492
19.8　復習題　492

第七部分：服務提供商安全

第20章 服務提供商安全的利益和挑戰(zhàn)　497
20.1　擁有服務提供商安全的動機　497
20.1.1　阻止和轉移攻擊的能力　498
20.1.2　跟蹤流量模式的能力　499
20.1.3　向下跟蹤攻擊源的能力　499
20.2　在服務提供商級別上實現(xiàn)安全的挑戰(zhàn)　502
20.3　服務提供商安全的關鍵組件　503
20.4　小結　503
20.5　復習題　503

第21章 有效使用訪問控制列表　505
21.1　訪問控制列表概述　506
21.1.1　ACL的類型　506
21.1.2　ACL的特性和特征　509
21.2　使用訪問控制列表阻止未經授權的訪問　510
21.2.1　ACL的基本訪問控制功能　510
21.2.2　使用ACL阻塞ICMP分組　511
21.2.3　使用ACL阻塞帶有欺騙IP地址的分組　512
21.2.4　用ACL阻塞去往網絡中不可用服務的流量　512
21.2.5　使用ACL阻塞已知的冒犯　513
21.2.6　使用ACL阻塞假的和不必要的路由　513
21.3　使用ACL識別拒絕服務攻擊　513
21.3.1　使用訪問控制列表識別smurf攻擊　513
21.3.2　使用訪問控制列表識別fraggle攻擊　515
21.3.3　使用訪問控制列表識別SYN泛洪　516
21.4　使用ACL阻止拒絕服務攻擊　517
21.4.1　使用ACL阻止來自不合法IP地址的流量　517
21.4.2　過濾RFC 1918地址空間　519
21.4.3　拒絕其他不必要的流量　519
21.5　通過ACL處理IP分片　520
21.5.1　過濾IP分片　520
21.5.2　保護網絡免遭IP分片攻擊　524
21.6　ACL對性能的影響　525
21.7　Turbo ACL　526
21.8　NetFlow交換和ACL　529
21.8.1　NetFlow交換功能　529
21.8.2　NetFlow交換使訪問控制列表性能增強　529
21.8.3　使用NetFlow　530
21.9　小結　530
21.10　復習題　530

第22章 使用NBAR識別和控制攻擊　533
22.1　NBAR概述　534
22.2　使用NBAR對分組進行分類　537
22.3　使用NBAR檢測網絡攻擊　539
22.3.1　用帶有簡單訪問控制列表的DSCP或ToS標記或丟棄分組　539
22.3.2　使用帶有策略路由的DSCP或者ToS來標記或丟棄經NBAR分類的流量　540
22.3.3　用流量管制管理經NBAR分類的流量　541
22.4　聯(lián)合使用NBAR和PDLM對網絡攻擊分類　541
22.5　使用基于NBAR的訪問控制技術對性能的影響　542
22.6　實例研究：紅色代碼病毒和NBAR　542
22.7　小結　544
22.8　復習題　545

第23章 使用CAR控制攻擊　547
23.1　CAR概述　548
23.2　使用CAR限制速率或者丟棄額外的惡意流量　550
23.2.1　限制拒絕服務攻擊的速率　550
23.2.2　限制可疑惡意內容的速率　551
23.3　實例研究：使用CAR限制DDoS攻擊　552
23.4　小結　553
23.5　復習題　554

第八部分：故障排除

第24章 網絡安全實施故障排除　559
24.1　NAT故障排除　560
24.1.1　NAT操作的順序　560
24.1.2　NAT調試工具　561
24.1.3　NAT show命令　562
24.1.4　常見的NAT問題以及解決方案　563
24.2　PIX防火墻故障排除　567
24.2.1　引起與PIX相關的問題的根源　567
24.2.2　PIX中NAT操作的順序　568
24.2.3　PIX調試　568
24.2.4　推薦的PIX 6.2超時值　570
24.2.5　PIX show命令　571
24.2.6　常見的PIX問題及其解決方法　575
24.2.7　PIX故障排除實例研究　576
24.3　IOS防火墻故障排除　578
24.3.1　IOS防火墻中的操作順序　578
24.3.2　IOS防火墻的show命令　579
24.3.3　常見的IOS防火墻問題及其解決辦法　582
24.4　IPSec VPN故障排除　583
24.4.1　IPSec事件的執(zhí)行順序　583
24.4.2　IPSec的調試　584
24.4.3　IPSec show命令　588
24.4.4　常見的IPSec問題以及解決辦法　591
24.5　入侵檢測故障排除　595
　常見的IDS問題及解決辦法　595
24.6　AAA故障排除　598
24.6.1　AAA show命令　599
24.6.2　AAA的debug命令　599
24.6.3　常見的AAA問題和解決辦法　599
24.7　小結　606
24.8　復習題　607

第九部分：附錄

附錄A 復習題答案　611
附錄B SAFE：企業(yè)網絡安全藍圖白皮書　627