网管员必读：网络安全（第2版）

第1章  企业网络安全概述 1
1.1  企业网络安全考虑 2
1.1.1  企业网络的主要
安全隐患 2
1.1.2  企业网络的十大
安全认识误区 3
1.2  企业网络安全策略设计 7
1.2.1  什么是企业网络
安全策略 7
1.2.2  网络安全策略
设计的十大原则 8
1.2.3  安全隐患分析和基本
系统结构信息的搜集 10
1.2.4  现有安全策略/流程的
检查与评估 13
1.2.5  安全策略文档设计 13
第2章  病毒、木马和恶意软件的
清除与预防 21
2.1  认识计算机病毒 22
2.1.1  计算机病毒的演变 22
2.1.2  计算机病毒的产生 23
2.1.3  计算机病毒的
主要特点 24
2.2  计算机病毒的分类 25
2.2.1  按传播媒介分 25
2.2.2  按照计算机病毒的
链接方式分 26
2.2.3  按破坏程度分 26
2.2.4  按传染方式分 28
2.3  计算机病毒防护软件 31
2.3.1  单机版杀病毒软件 31
2.3.2  网络版杀毒软件 34
2.4  网络蠕虫病毒的清除与预防 42
2.4.1  网络蠕虫的
定义和危害性 42
2.4.2  网络蠕虫的基本特征 44
2.4.3  预防网络蠕虫的
基本措施 45
2.4.4  维金病毒的
查找与清除 50
2.4.5  熊猫烧香蠕虫
病毒的查找与清除 52
2.5  ARP病毒的清除与预防 53
2.5.1  ARP病毒攻击原理 53
2.5.2  ARP病毒的
清除与预防 55
2.6  认识木马 58
2.6.1  木马简介 58
2.6.2  木马的伪装方式 59
2.6.3  木马的运行方式 60
2.6.4  木马的手动
查杀与预防 61
2.6.5  木马的查杀和预防 65
2.6.6  灰鸽子的清除与预防 71
2.7  恶意软件的清除与预防 79
2.7.1  恶意软件的主要
特征和分类 79
2.7.2  恶意软件的预防 81
2.7.3  恶意软件的清除 84
2.8  拒绝恶意代码 86
2.8.1  IE浏览器Internet
安全选项设置 86
2.8.2  IE浏览器本地Intranet
安全选项设置 88
2.9  恶意软件的深度防护方法 89
2.9.1  深层防护安全模型 89
2.9.2  客户端防护 90
2.9.3  客户端应用程序的
防病毒设置 94
2.9.4  服务器端病毒防护 97
2.9.5  网络层安全防护 100
第3章  黑客攻击及其预防 107
3.1  认识黑客和黑客攻击 108
3.1.1  “黑客”与“骇客” 108
3.1.2  主要黑客攻击类型 108
3.1.3  黑客攻击方式的
10大最新发展趋势 113
3.2  黑客攻击的基本步骤 116
3.2.1  收集初始信息 116
3.2.2  查找网络地址范围 118
3.2.3  查找活动机器 120
3.2.4  查找开放端口和
入口点 120
3.2.5  查看操作系统类型 121
3.2.6  弄清每个端口
运行服务 121
3.2.7  画出网络图 123
3.3  拒绝服务攻击与防御方法 123
3.3.1  常见拒绝服务攻击的
行为特征与防御方法 123
3.3.2  其他攻击方式的行
为特征与防御方法 127
3.3.3  预防拒绝服务攻击的
常用策略 132
3.4  端口扫描 134
3.4.1  计算机网络服务 134
3.4.2  通信端口 135
3.4.3  常见服务器端口 137
3.4.4  网络通信基础 138
3.4.5  端口扫描原理 141
3.4.6  目前主要端口
扫描技术 142
3.4.7  端口侦听 144
3.5  端口扫描器应用 146
3.5.1  NetBrute的应用 146
3.5.2  Super Scan的应用 149
3.5.3  Nmap的应用 152
3.5.4  X-Scan的应用 156
3.6  强化TCP/IP堆栈以抵御
拒绝服务攻击 160
3.6.1  在Windows 2000中
加固TCP/IP堆栈 160
3.6.2  在Windows Server 2003
中加固TCP/IP堆栈 162
3.6.3  全面抵御SYN攻击 164
3.6.4  抵御ICMP攻击 165
3.6.5  抵御SNMP攻击 166
3.6.6  AFD.SYS保护 166
3.6.7  其他保护 166
3.7  系统漏洞扫描 168
3.7.1  及时更新系统补丁 168
3.7.2  利用工具软件扫描
系统漏洞 168
3.7.3  MBSA简介 170
3.7.4  MBSA安全漏洞
检查说明 173
3.7.5  MBSA 2.0.1的使用 181
第4章  防火墙基础及应用配置 185
4.1  防火墙基础 186
4.1.1  防火墙概述 186
4.1.2  防火墙的主要功能 187
4.1.3  防火墙的硬件
技术架构 191
4.1.4  防火墙的主要不足 192
4.2  防火墙的分类 194
4.2.1  按防火墙的软、硬件
形式划分 194
4.2.2  按防火墙结构划分 196
4.2.3  按防火墙性能划分 197
4.2.4  按防火墙的应用
部署位置划分 204
4.3  主要防火墙技术 204
4.3.1  包过滤技术 205
4.3.2  应用代理技术 206
4.3.3  状态包过滤技术 209
4.3.4  包过滤和应用代理
复合技术 210
4.4  防火墙的配置 211
4.4.1  防火墙的基本
配置原则 211
4.4.2  防火墙的初始配置 212
4.4.3  Cisco PIX防火墙的
基本配置 214
4.4.4  包过滤型防火墙的访问
控制列表（ACL）的
配置 217
4.5  分布式防火墙技术 220
4.5.1  分布式防火墙的
产生及工作原理 220
4.5.2  传统边界式防火墙
固有的缺点 222
4.5.3  分布式防火墙的
主要特点 223
4.5.4  分布式防火墙的
主要优势 224
4.5.5  分布式防火墙的
主要功能 225
4.5.6  分布式防火墙
产品示例 226
4.6  防火墙系统的设计 229
4.6.1  防火墙系统的
部署方式 229
4.6.2  防火墙在企业网络
体系结构中的位置 230
4.6.3  典型防火墙
系统设计 232
4.7  防火墙在网络安全防护
中的应用 235
4.7.1  控制来自因特网对
内部网络的访问 235
4.7.2  控制来自第三方
局域网对内部
网络的访问 237
4.7.3  控制局域网内部不同
部门之间的访问 238
4.7.4  控制对服务器中心的
网络访问 238
4.8  内部防火墙系统设计 239
4.8.1  内部防火墙
系统概述 240
4.8.2  内部防火墙规则 240
4.8.3  内部防火墙的
可用性要求 241
4.8.4  内部容错防火墙
集配置 243
4.8.5  内部防火墙系统设计
的其他因素要求 245
4.9  外围防火墙系统的设计 247
4.9.1  外围防火墙系统概述 247
4.9.2  外围防火墙规则 248
4.9.3  外围防火墙系统的
可用性要求 248
4.10  用防火墙阻止DoS/DdoS
攻击 250
4.10.1  如何判断中了
DoS/DDoS攻击 250
4.10.2  防火墙抵御DoS/DdoS
攻击原理 251
4.10.3  SYN Flood
攻击原理 253
4.10.4  用防火墙抵御
SYN Flood攻击 253
第5章  ISA Server 2004/2006基础和
应用配置 257
5.1  ISA Server基础 258
5.1.1  ISA Server概述 258
5.1.2  ISA Server 2004的
主要功能 259
5.1.3  ISA Server 2004与
其他类型软件防火墙
的比较 262
5.1.4  ISA Server 2006的
主要功能 264
5.1.5  ISA Server 2006的
主要改进 268
5.2  ISA Server 2004/2006的
安装与升级 271
5.2.1  ISA Server 2006企业版
组件和管理员角色 271
5.2.2  ISA Server 2004的
安装条件 272
5.2.3  ISA Server 2006的
安装事项和部署
思路 273
5.2.4  由ISA Server 2004向
ISA Server 2006的
升级 275
5.3  ISA Server 2004/2006的
网络与网络集 277
5.3.1  多网络结构 277
5.3.2  网络和网络集配置 278
5.3.3  网络模板 280
5.4  ISA网络规则和防火墙
策略 285
5.4.1  网络规则 286
5.4.2  ISA防火墙系统
策略 286
5.4.3  ISA防火墙策略
工作方式 290
5.5  ISA防火墙访问与
发布规则 292
5.5.1  防火墙访问规则 292
5.5.2  ISA防火墙Web
发布规则 293
5.5.3  ISA防火墙的安全
Web发布规则 295
5.5.4  服务器发布规则 295
5.5.5  邮件服务器
发布规则 297
5.6  ISA Server 2004的
主要应用 300
5.6.1  ISA Server 2004的
通用应用场景 300
5.6.2  向企业网络外部雇员
提供高度安全的电子
邮件访问 301
5.6.3  为远程用户提供对
企业内部网络信息的
安全访问 303
5.6.4  使合作伙伴安全地
访问企业网络信息 304
5.6.5  为员工提供远程访问
所需要的企业网络
资源 305

5.6.6  使企业分支机构通过
Internet与总部进行
安全通信 305
5.6.7  控制Internet访问并
保护客户端免遭
恶意攻击 306
5.6.8  确保对经常使用的
Web内容进行
快速访问 308
5.7  ISA Server 2006应用的
最佳配置建议 309
5.8  ISA Server 2006基于
角色的管理 310
5.8.1  基于角色的
管理功能 311
5.8.2  管理角色
（标准版） 311
5.8.3  阵列级管理角色
（企业板） 312
5.8.4  企业级管理角色
（企业版） 313
5.8.5  域和工作组的角色
（企业版） 314
5.9  ISA Server 2006防范淹没和
攻击方面的应用 315
5.9.1  ISA Server 2006网络
保护功能概要 315
5.9.2  配置攻击缓解功能 316
5.9.3 配置攻击保护 321
5.9.4  ISA Server预配置的
攻击保护 326
5.9.5  警报 328
5.9.6  网络保护的最佳
实践建议 329
5.10  在ISA Server 2006中配置
基于LDAP的身份验证 332
5.10.1  配置LDAP服务器 333
5.10.2  创建LDAP用户集和配
置LDAP身份验证 334
5.11  在ISA Server 2006中发布
邮件访问服务 341
5.11.1  发布OWA 342
5.11.2  发布MAPI和
SMTP服务 346
5.12  在ISA Server 2006中
发布Web服务 347
5.12.1  发布单个Web站点 347
5.12.2  一次性发布多个
Web站点 351
5.12.3  发布服务器场 352
第6章  IDS与IPS 355
6.1  入侵检测系统（IDS）
基础 356
6.1.1  入侵检测系统概述 356
6.1.2  主要入侵检测技术 357
6.1.3  主要入侵检测模型 359
6.1.4  当前入侵检测
技术的不足 362
6.1.5  入侵检测技术
发展方向 362
6.2  入侵检测原理及应用 364
6.2.1  入侵检测原理 364
6.2.2  JUMP入侵检测系统的
技术应用 366
6.3  分布式入侵检测系统 368
6.3.1  分布式入侵检测
框架及检测机制 368
6.3.2  分布式入侵检测
系统的协同机制 369
6.3.3  开放式DIDS的基本
系统架构及设计
考虑 370
6.4  典型入侵检测产品简介 371
6.4.1  金诺网安入侵
检测系统KIDS 371
6.4.2  华强IDS 374
6.4.3  冰之眼网络入
侵检测系统 376
6.4.4  黑盾网络入侵检测
系统（HD-NIDS） 377
6.5  IPS 380
6.5.1  IPS的产生 380
6.5.2  IPS工作原理 381
6.5.3  IPS的分类 383
6.5.4  IPS的主要技术
特征 384
6.5.5  IDS的主要不足和
IPS的主要优势 385
6.5.6  防火墙、IDS与IPS
技术比较 386
6.5.7  IPS产品的
选择之道 387
6.5.8  IPS技术的
应用趋势 389
第7章  企业网络安全隔离 393
7.1  通过子网掩码划
分子网概述 394
7.2  VLAN子网的划分 396
7.2.1  VLAN简介 396
7.2.2  VLAN的划分方式 398
7.2.3  VLAN的主要用途 401
7.2.4  VLAN的主要应用 401
7.3  三层交换机上的
VLAN配置 403
7.3.1  设置VTP域
（VTP Domain） 403
7.3.2  配置聚合链路
（Trunk）协议 404
7.3.3  创建VLAN组 405
7.3.4  配置三层交换端口 406
7.4  VLAN网络配置实例 407
7.4.1  VLAN的创建 408
7.4.2  VLAN端口号的
应用 409
7.5  网络隔离概述 411
7.5.1  网络隔离技术基础 411
7.5.2  网络隔离的安全控制
要点和发展方向 413
7.6  物理隔离 414
7.6.1  物理隔离概述 415
7.6.2  物理隔离原理 416
7.6.3  主要物理隔离产品 418
7.6.4  物理隔离方案 420
7.7  物理隔离卡产品及应用 421
7.7.1  物理隔离卡概述 421
7.7.2  物理隔离卡
应用模式 423
7.7.3  图文网络安全
物理隔离器 425
7.7.4  利谱隔离卡产品 434
7.8  网络线路选择器 440
7.8.1  网络线路选择器
概述 440
7.8.2  典型网络线路选择器
介绍 441
7.9  物理隔离网闸 443
7.9.1  物理隔离网闸概述 444
7.9.2  物理隔离网闸的
工作原理 446
7.9.3  物理隔离网闸的
应用 446
7.9.4  两个物理隔离网闸
应用方案 448
第8章  公钥基础结构 453
8.1  公钥基础结构（PKI）
概述 454
8.1.1  公钥基础结构的
作用 454
8.1.2  Windows Server 2003
中的公钥基础结构 455
8.2  证书基础 456
8.2.1  证书概述 456
8.2.2  证书的应用 457
8.2.3  证书的颁发机构 459
8.2.4  证书服务的安装 461
8.3  证书申请 462
8.3.1  证书模板 463
8.3.2  使用证书申请向导
申请证书 466
8.3.3  使用Windows Server
2003证书服务网页 470
8.4  证书的自动注册 474
8.4.1  规划自动注册部署 474
8.4.2  “用户”模板复制 477
8.4.3  配置企业证书
颁发机构 479
8.4.4  建立自动注册域
用户的策略 480
8.5  证书的导入/导出 481
8.5.1  导入/导出证书的
用途和标准证书
文件格式 481
8.5.2  导入证书 482
8.5.3  导出证书 484
8.5.4  导出带私钥的证书 485
8.6  吊销证书和发布CRL 486
8.6.1  吊销证书 486
8.6.2  安排证书吊销列表
（CRL）的发布 488
8.6.3  手动发布证书
吊销列表 489
8.7  常见问题解答 490
第9章  文件加密和数字签名 493
9.1  文件加密和数字签名
技术概述 494
9.1.1  文件加密和数字
签名的由来和意义 494
9.1.2  文件加密和数字签名
的应用 495
9.1.3  典型数据加密算法 496
9.2  EFS文件加密技术 501
9.2.1  EFS概述 501
9.2.2  使用EFS的最佳操作
建议 503
9.2.3  使用EFS加密文件或
文件夹 504
9.2.4  利用EFS对文件和
文件夹进行解密 505
9.2.5  在资源管理器菜单中
添加“加密”和“解密”
选项 506
9.2.6  复制加密的文件夹
或文件 507
9.2.7  启用EFS文件共享 509
9.3  加密数据的恢复 510
9.3.1  数据恢复配置
基本思路 510
9.3.2  配置EFS故障恢复
代理模板 513
9.3.3  申请EFS故障恢复
代理证书 516
9.3.4  添加域的故障
恢复代理 517
9.3.5  创建默认的独立
计算机上的数据
恢复代理 522
9.4  密钥的存档与恢复 523
9.4.1  密钥存档与
恢复概述 524
9.4.2  创建密钥恢复
代理账户 524
9.4.3  获取密钥恢复
代理证书 525
9.4.4  配置密钥存档和
恢复属性 526
9.4.5  创建新的可以进行
密钥存档的证书
模板 529
9.4.6  获取具有存档
密钥的用户证书 530
9.4.7  执行密钥恢复示例 531
9.4.8  导入已恢复的私钥 532
9.5  PKI在文件传输加密和
数字签名方面的应用 534
9.5.1  配置密钥用法 534
9.5.2  文件传输加密 535
9.5.3  数字签名 537
9.5.4  加密密钥对的获取 538
9.5.5  邮件中的文件
加密和数字签名 539
9.6  PCP动态文件加密和
数字签名 540
9.6.1  PGP密钥的生成 541
9.6.2  PGP密钥的发布 544
9.6.3  用PGP加密文件 545
9.6.4  用PGP进行邮件
数字签名 546
9.7  电子签章 549
9.7.1  iSignature签章
系统简介 550
9.7.2  iSignature主要功能 551
9.7.3  数字证书简介 553
9.7.4  个人数字证书申请 554
9.7.5  iSignature签章
系统使用 556
9.7.6  天威诚信安
证通简介 560
第10章  Windows Server 2003
基准安全策略 563
10.1  适用环境概述 564
10.2  基于SCW的强化机制 564
10.2.1  SCW概述 564
10.2.2  SCW的主要功能 566
10.2.3  使用SCW 567
10.2.4  SCW策略
部署方法 579
10.3  基于Active Directory组
策略强化机制 580
10.3.1  Active Directory
边界 580
10.3.2  Active Directory
和组策略 582
10.3.3  OU、GPO和组混合
设计示例 586
10.4  域策略 593
10.4.1  域策略概念 593
10.4.2  账户策略 594
10.4.3  安全选项 600
10.5  成员服务器基准策略 602
10.5.1  Windows Server 2003
成员服务器基准
审核策略 603
10.5.2  Windows Server 2003
成员服务器基准用户
权限分配策略 612
10.5.3  Windows Server 2003
成员服务器基准
安全选项策略 620
10.5.4  成员服务器中的
其他组策略项
策略设置 638
10.5.5  手动强化过程示例 639
10.5.6  基于SCW创建成员
服务器基准策略 641
10.6  域控制器基准策略 643
10.6.1 域控制器的基准
策略设置 643
10.6.2  域控制器安全选项
策略设置 648
10.6.3  域控制器的其他
安全设置 649
10.6.4  与Active Directory
集成的DNS 652
          

现在网络安全已自成体系，不仅有威胁网络安全的各种计算机病毒、木马、恶意软件，以及各种方式的网络攻击行为，还有针对这些威胁的各种安全技术、设备、软件和应用配置方法，涉及面非常广。也正因为如此，目前在市面上才有如此之多的关于网络安全的图书。也正因如此，每当我在编写“网络安全”这类图书时，总觉得有写不完的内容，但又不知道写哪些为好，毕竟一本书的篇幅非常有限。
在本书第1版面市以前，网络安全类图书绝大多数是从黑客攻击角度来编写的，但笔者认为，这类图书对于我们网络管理员来说参考的意义不大。因为仅掌握这些攻击技术、攻击软件的应用远不能满足实际的企业网络安全管理需求。因为企业中需要的是如何系统地部署网络安全解决方案，而不是如何去攻击别人（当然能攻击对网络安全管理有一定好处）。在本书中又该写些什么内容呢？是按照传统的黑客类图书那样，还是一些纯理论的介绍？这个问题在我编写第1版时就一直在反复考虑，在本版中又考虑了许久。因为第2版一定要比第1版有所提高，对读者更加实用。这是笔者的心愿，更是千万读者的期待。
面对如此众多的网络安全技术、设备、软件和应用配置，作为企业网络管理员的我们最需要掌握哪些呢？写哪些内容才是大多数读者所需要的呢？经过反复求证，最终还是从实际出发，不拘泥于传统网络安全类图书的编写方式，结合自己十多年来各类规模的实际企业网络管理经验，选择了把当前企业中最主流的网络安全技术、设备、软件和应用解决方案作为本书的核心。这也可以算是同类图书中的第1本。在第1版中不仅有安全技术理论介绍，更有网络应用安全配置、安全产品方案介绍，几乎所有内容都可以在实际的网络安全管理中用得到，
这就是笔者写这本书的心愿。
经过第1版的实践，最终证明我的选择是正确的。因为本书第1版得到了许多读者朋友和业界的充分肯定，还被多家高校选为教材。当然也有一些读者朋友提出了一些更高的要求，这些都成了我们编写本书第2版的重要考虑。正因如此，第2版在保留第1版绝大多数实用内容的基础上，增加了较多其他内容，如恶意软件清除、主要病毒和木马清除与预防、硬件防火墙基础知识和应用、IPS技术、ISA防火墙、Windows Server 2003基准策略设置等，使得各章节更系统。同时，在实用性和专业性两方面做了加强，所增加的部分基本上都是直接针对具体的安全管理和应用方案配置的，如本版图书中最大篇幅的ISA Server 2004/2006基础和应用配置，以及Windows Server 2003基准策略配置等；还介绍了大量抵御黑客攻击的安全配置和安全策略配置方法，大大增强了新版的实用性和专业性。但是不得不说的是，笔者仍非常遗憾，因为确实还有许多值得写的内容，因篇幅的限制，而最终不得不放弃。如ISA Server的许多高级应用，以及Windows Server 2003各种服务器角色的安全策略配置等。看来，这些内容只能在我的博客（http://blog.51cto.com/blog.php?uid=55153）中向大家发布了。同时，期待本版图书能给读者带来更实用的网络安全管理知识和实用的安全管理方案。
本书由王达编著，参加编写、校验和排版的人员有：何艳辉、王珂、沈芝兰、马平、何江林、刘凤竹、卢京华、周志雄、洪武、高平复、周建辉、孔平、尚宝宏、姚学军、刘学、李翔、王娇、李敏、吴鹏飞等，在此一并表示由衷的感谢。由于笔者水平有限，加之时间紧，尽管花了大量时间和精力校验，但书中可能还存在一些错误，敬请各位读者批评指正，万分感谢！
编  著  者