注册 | 登录读书好,好读书,读好书!
读书网-DuShu.com
当前位置: 首页出版图书科学技术计算机/网络信息安全网络工程师必读:网络安全系统设计

网络工程师必读:网络安全系统设计

网络工程师必读:网络安全系统设计

定 价:¥89.00

作 者: 王达 编著
出版社: 电子工业出版社
丛编项:
标 签: 信息安全

购买这本书可以去


ISBN: 9787121083365 出版时间: 2009-08-01 包装: 平装
开本: 16开 页数: 749 字数:  

内容简介

  《网络工程师必读:网络安全系统设计》从网络工程师的职业角度出发组织和安排内容,非常具有针对性。《网络工程师必读:网络安全系统设计》从网络安全系统设计全局出发,以OSI/RM的7层结构为主线,层层把关,全面、系统地介绍各层的主要安全技术和方案设计思路、方法。《网络工程师必读:网络安全系统设计》从深层次分析了网络安全隐患存在的各个主要方面,然后从这几个方面出发,全面介绍企业局域网安全防护系统的设计方法。其中包括网络安全系统设计综述、物理层的网络安全保护方案、数据链路层的安全保护方案、网络层防火墙安全保护方案、网络层Kerberos身份认证方案、网络层证书身份认证、加密和签名方案、网络层PKI综合应用方案设计、网络层IPSec身份认证和加密方案、传输层TLS/SSL身份认证和加密方案、应用层Web服务器的综合安全系统设计与配置、WLAN网络综合安全系统设计与配置,并通过实际可用的安全防护方法来实现网络安全隐患的排除或防护。这些不同方面的安全防护措施形成了一个系统的整体,使得企业网络从各个方面都得到足够的安全保证。以上这些都是网络工程师所必须掌握的基础知识和技能。《网络工程师必读:网络安全系统设计》适合网络工程师参考学习,也可作为高等院校及相关培训机构的教材。

作者简介

暂缺《网络工程师必读:网络安全系统设计》作者简介

图书目录

第1章 网络安全系统设计综述/1
1.1 网络安全系统设计基础/2
1.1.1 网络安全的发展/2
1.1.2 网络安全威胁基础/4
1.1.3 企业网络的主要安全隐患/6
1.1.4 网络安全系统的基本组成/7
1.2 OSI/RM各层的安全保护/9
1.2.1 物理层的安全保护/9
1.2.2 数据链路层的安全保护/11
1.2.3 网络层的安全保护/12
1.2.4 传输层的安全保护/13
1.2.5 会话层和表示层的安全保护/14
1.2.6 应用层的安全保护/15
1.3 系统层的安全保护/16
1.4 网络安全系统设计/16
1.4.1 网络安全策略/16
1.4.2 网络安全系统设计的基本原则/17
1.5 网络安全系统设计的基本思路/20
1.5.1 安全隐患分析和基本系统结构信息的收集/20
1.5.2 调查和分析当前网络的安全需求/23
1.5.3 评估现有网络安全策略/24
1.5.4 设计细化的新网络安全策略初稿/25
1.5.5 第一次小范围的测试、评估和修改/31
1.5.6 第二次中、大范围的测试、评估和修改/32
1.5.7 新网络安全策略文档终稿/32
1.5.8 新网络安全策略系统的正式应用/32
第2章 物理层的网络安全保护方案/33
2.1 物理层安全保护概述/34
2.2 物理层的线路窃听技术分析/34
2.3 计算机网络通信线路屏蔽/35
2.3.1 选择屏蔽性能好的传输介质和适配器/36
2.3.2 屏蔽机房和机柜的选择/38
2.3.3 WLAN无线网络的物理层安全保护/39
2.4 物理线路隔离/40
2.4.1 主要物理隔离产品/40
2.4.2 物理隔离网闸的隔离原理/43
2.4.3 物理隔离网闸的典型应用/46
2.5 设备和线路冗余/46
2.5.1 网络设备部件冗余/47
2.5.2 网络设备整机冗余/49
2.5.3 网络线路冗余/51
2.6 机房和账户安全管理/51
2.6.1 机房安全管理/51
2.6.2 账户安全管理/52
2.7 数据安全管理/52
2.7.1 数据容灾概述/53
2.7.2 容灾与存储、容错、备份和远程复制的关系/54
2.7.3 数据容灾等级/56
2.7.4 灾难恢复的关键注意事项/60
2.8 物理层安全管理工具/61
2.8.1 泛达综合布线实时管理系统/61
2.8.2 Molex综合布线实时管理系统/64
2.9 服务和服务账户安全规划/66
2.9.1 服务和服务账户安全规划概述/66
2.9.2 服务的安全漏洞和账户/67
2.9.3 WindowsServer2003中服务的默认安全设置更改/69
2.9.4 安全运行服务的原则/70
2.9.5 如何更安全地运行服务/72
第3章 数据链路层的安全保护方案/81
3.1 典型数据加密算法/82
3.1.1 基于“消息摘要”的算法/82
3.1.2 “对称/非对称密钥”加密算法/85
3.2 数据加密/87
3.2.1 数据加密技术/87
3.2.2 链路加密机/90
3.2.3 网卡集成式链路加密原理/92
3.3 WLANSSID安全技术及配置方法/94
3.3.1 SSID概念及配置方法/94
3.3.2 BSSID和ESSID/95
3.3.3 SSID的安全问题/96
3.4 WLANMAC地址过滤/97
3.5 WLANWEP加密/98
3.5.1 WEP加密原理/98
3.5.2 WEP解密原理/99
3.5.3 WEP加密的不足/99
3.5.4 WEP加密的配置方法/100
3.6 WPA加密/102
3.6.1 WPA的WLAN链路加密/102
3.6.2 WPA中的IEEE802.1 x身份认证系统/103
3.6.3 EAPOL消息的封装/105
3.6.4 IEEE802.1 x的认证过程/107
3.7 WPA2加密/111
3.7.1 WPA2简介/111
3.7.2 AES-CCMP基础/112
3.7.3 AES算法的基本原理/113
3.7.4 WPA2AES-CCMP加/解密原理/115
3.8 无线AP/路由器的WPA和WPA2设置/118
3.8.1 个人用户无线AP/路由器的WPA-PSK或WPA2-PSK设置/119
3.8.2 企业级无线AP/路由器的WPA或WPA2设置/120
3.8.3 WLAN客户端第三方软件的WPA和WPA2设置/121
3.8.4 WindowsXP无线客户端WPA/WPA2配置/125
3.9 最新的WLAN安全标准
——IEEE802.1 1i/126
3.9.1 IEEE802.1 1i概述/127
3.9.2 WRAP加密机制/127
3.10 MAC地址欺骗防护/129
3.10.1 ARP和RARP协议工作原理/130
3.10.2 ARP协议帧格式/131
3.10.3 MAC地址欺骗原理/132
3.10.4 MAC地址欺骗预防/133
3.11Cisco设备上基于端口的MAC地址绑定/136
3.11.1 基于端口的单一MAC地址绑定基本配置步骤/136
3.11.2 基于端口的单一MAC地址绑定配置示例/138
3.12 Cisco基于端口的多MAC地址绑定/138
3.12.1 基于端口的多MAC地址绑定配置思路/138
3.12.2 基于端口的多MAC地址绑定配置示例/139
3.13 Cisco设备上基于IP的MAC地址绑定/139
3.13.1 一对一的MAC地址与IP地址绑定/139
3.13.2 一对多,或者多对多的MAC地址与IP地址绑定示例/140
3.14 H3CS5600交换机基于端口的MAC地址绑定/141
3.14.1 S5100系列交换机的SecurityMAC地址配置/141
3.14.2 S5600系列交换机的SecurityMAC地址配置/142
3.15 H3CSR8800系列业务路由器MAC和IP地址绑定/144
3.15.1 MAC和IP地址绑定配置/144
3.15.2 MAC和IP地址绑定典型配置示例/146
3.16 H3CSecPath系列防火墙上的MAC和IP地址绑定/147
3.16.1 MAC和IP地址绑定配置/148
3.16.2 MAC和IP地址绑定典型配置示例/149
3.17 网络嗅探的防护/149
3.17.1 网络嗅探原理/149
3.17.2 网络嗅探的防范/151
第4章 网络层防火墙安全保护方案/153
4.1 防火墙的分类和技术/154
4.1.1 包过滤防火墙简介/154
4.1.2 包过滤技术的发展/155
4.1.3 包过滤原理/155
4.1.4 包过滤技术的主要优、缺点/156
4.1.5 代理防火墙/157
4.2 防火墙系统的设计/158
4.2.1 内、外部防火墙系统/158
4.2.2 防火墙在企业网络体系结构中的位置/159
4.2.3 典型防火墙系统设计/161
4.3 防火墙在网络安全防护中的主要应用/164
4.3.1 控制来自互联网对内部网络的访问/164
4.3.2 控制来自第三方局域网对内部网络的访问/166
4.3.3 控制局域网内部不同部门之间的访问/167
4.3.4 控制对服务器中心的网络访问/168
4.4 内部防火墙系统设计/169
4.4.1 内部防火墙系统概述/170
4.4.2 内部防火墙规则/170
4.4.3 内部防火墙的可用性需求/171
4.4.4 内部容错防火墙集配置/174
4.4.5 内部防火墙系统设计的其他因素要求/175
4.5 外围防火墙系统设计/177
4.5.1 外围防火墙系统概述/178
4.5.2 外围防火墙规则/178
4.5.3 外围防火墙系统的可用性要求/179
第5章 网络层Kerberos身份认证方案/181
5.1 身份认证概述/182
5.1.1 单点登录身份认证执行方式/182
5.1.2 主要的身份认证类型/183
5.2 Kerberos身份认证基础/183
5.2.1 KerberosV5身份认证机制/184
5.2.2 KerberosV5身份认证的优点与缺点/187
5.2.3 KerberosV5协议标准/188
5.2.4 KerberosV5身份认证所用端口/190
5.3 KerberosSSP认证/190
5.4 Kerberos物理结构/192
5.4.1 Kerberos中的密钥/192
5.4.2 Kerberos票证/195
5.4.3 认证符/199
5.4.4 凭证缓存/200
5.4.5 密钥分发中心(KDC)/200
5.5 KerberosV5交换和消息摘要/204
5.5.1 KerberosV5身份认证的3个子协议/204
5.5.2 身份认证服务(AS)交换/205
5.5.3 票证许可服务(TGS)交换/206
5.5.4 客户端/服务器(CS)交换/207
5.6 Kerberos交换消息详解/207
5.6.1 身份认证服务交换消息详解/208
5.6.2 票证许可服务交换消息详解/211
5.6.3 客户端/服务器身份认证交换消息详解/214
5.7 Kerberos身份认证应用示例/216
5.7.1 本地登录示例/216
5.7.2 域登录示例/217
5.7.3 域用户的工作站登录/217
5.7.4 单域身份认证示例/223
5.7.5 用户到用户的身份认证/226
5.8 KerberosV5身份认证的启用与策略配置/228
第6章 网络层证书身份认证、加密和签名方案/231
6.1 证书和证书服务基础/232
6.1.1 证书概述/232
6.1.2 证书的主要功能/233
6.1.3 证书的主要应用/235
6.1.4 证书客户端角色/239
6.1.5 证书服务概述/240
6.2 CA证书/241
6.2.1 CA证书简介/241
6.2.2 CA证书应用的情形/242
6.3 证书结构/243
6.3.1 证书体系架构/243
6.3.2 证书模板/245
6.3.3 证书的物理和逻辑存储/250
6.3.4 证书存储区/253
6.4 CA证书进程和交互/255
6.4.1 根CA证书是如何被创建的/256
6.4.2 根CA证书是如何被更新的/257
6.4.3 从属CA证书是如何被创建的/258
6.4.4 合格的从属策略是如何被应用的/259
6.5 证书服务体系架构/260
6.5.1 证书服务引擎/261
6.5.2 策略模块/262
6.5.3 客户端策略模块/263
6.5.4 退出模块/263
6.5.5 证书数据库/264
6.5.6 CryptoAPI接口/264
6.5.7 证书服务协议/264
6.6 证书服务接口/265
6.7 证书服务物理结构/266
6.7.1 证书数据库和CA日志文件/267
6.7.2 注册表/267
6.7.3 活动目录/267
6.7.4 文件系统/269
6.8 证书服务进程和交互/270
6.8.1 证书是如何创建的/270
6.8.2 证书的自动注册/272
6.8.3 证书的手动注册/277
6.8.4 自定义证书注册和更新应用/279
6.8.5 使用可选组件注册和续订/281
6.8.6 证书是如何吊销的/283
6.9 证书模板属性选项和设计/287
6.9.1 证书模板属性选项/287
6.9.2 证书模板设计方面的考虑/294
6.9.3 证书模板规划注意事项/296
6.9.4 证书模板的部署/299
第7章 网络层PKI综合应用方案设计/303
7.1 本章概述/304
7.1.1 部署PKI的必要性和本章所使用的技术/304
7.1.2 规划和部署PKI的基本流程/306
7.2 定义证书需求/307
7.2.1 确定安全应用需求/308
7.2.2 确定证书需求/312
7.2.3 文档化证书策略和证书实施声明/314
7.2.4 定义证书应用需求示例/315
7.3 设计证书颁发机构层次结构/316
7.3.1 规划核心CA选项——设计根CA/317
7.3.2 规划核心CA选项——选择内部与第三方CA/318
7.3.3 规划核心CA选项——评估CA容量、性能和可扩展需求/320
7.3.4 规划核心CA选项——PKI管理模式/322
7.3.5 规划核心CA选项——CA类型和角色/323
7.3.6 规划核心CA选项——整体活动目录结构/327
7.3.7 规划核心CA选项——CA安全性/329
7.3.8 规划核心CA选项——确定CA数量/333
7.3.9 选择信任模式/334
7.3.1 0在信任层次结构中定义CA角色/338
7.3.1 1建立命名协定/338
7.3.1 2选择CA数据库位置/338
7.3.1 3CA结构设计示例/339
7.4 扩展证书颁发机构结构/341
7.4.1 评估影响扩展信任的因素/341
7.4.2 选择扩展CA结构配置/344
7.4.3 限制计划外的信任/346
7.5 定义证书配置文件/348
7.5.1 选择证书模板/349
7.5.2 选择证书安全选项/350
7.5.3 使用合格的从属来限制证书/354
7.5.4 配置证书示例/359
7.6 创建证书管理规划/360
7.6.1 选择注册和续订方法/361
7.6.2 将证书映射到身份/363
7.6.3 创建证书吊销策略/368
7.6.4 规划密钥和数据恢复/372
7.6.5 创建证书管理规划示例/375
第8章 网络层IPSec身份认证和加密方案/377
8.1 IPSec基础/378
8.1.1 什么是IPSec/378
8.1.2 IPSec的设计初衷/379
8.1.3 IPSec的优势/381
8.2 IPSec提供的安全服务/382
8.2.1 IPSec提供的安全属性/382
8.2.2 KerberosV5身份认证协议/383
8.2.3 基于公钥证书的身份认证/383
8.2.4 预共享密钥验证/384
8.2.5 采用哈希函数的数据完整性验证/384
8.2.6 具有加密功能的数据保密性/385
8.2.7 密钥管理/386
8.2.8 密钥保护/386
8.3 IPSec的使用模式/388
8.3.1 传输模式/388
8.3.2 隧道模式/389
8.4 IPSec协议类型/389
8.4.1 IPSecAH协议/390
8.4.2 IPSecESP协议/394
8.5 WindowsServer2003中的IPSec/397
8.5.1 IPSec逻辑体系架构/398
8.5.2 IPSec身份认证和组件/401
8.5.3 策略代理体系架构/402
8.5.4 IKE模块体系架构/405
8.5.5 IPSec驱动体系架构/407
8.5.6 IPSec策略数据结构/407
8.5.7 IPSec分配的网络端口和协议/410
8.5.8 IPSec策略规则/411
8.6 IPSec密钥安全关联和密钥交换原理/415
8.6.1 安全关联基本原理和类型/415
8.6.2 主模式协商SA/417
8.6.3 快速模式协商SA/424
8.6.4 密钥交换原理/426
8.6.5 SA生存期/427
8.7 IPSec驱动工作原理/427
8.7.1 IPSec驱动的职责/427
8.7.2 IPSec驱动通信/428
8.7.3 IPSec驱动程序模式/428
8.7.4 IPSec驱动的包处理/430
8.8 IPSec策略及策略筛选器/431
8.8.1 IPSec策略/431
8.8.2 IPSec策略规则/433
8.8.3 默认响应规则/434
8.8.4 IPSec策略筛选器/435
8.8.5 IPSec筛选器的应用顺序/437
8.8.6 IPSec筛选中的默认排除/438
8.8.7 IPSec筛选器的设计考虑/440
8.9 WindowsServer2003IPSec系统的部署/441
8.9.1 WindowsServer2003IPSec部署的简易性/441
8.9.2 部署WindowsServer2003IPSec前所需的确认/442
8.9.3 IPSec策略设计与规划的最佳操作/442
8.9.4 建立IPSec安全计划/445
8.9.5 策略配置/446
8.9.6 默认筛选器列表/446
8.9.7 默认响应规则/448
8.9.8 IPSec策略的应用方法/450
8.10 IPSec应用方案设计/453
8.10.1 IPSec安全通信方案的主要应用/454
8.10.2 不推荐的IPSec方案/458
8.10.3 管理使用仅在WindowsServer2003家族中可用的新增功能的策略/458
8.10.4 IP筛选器配置的考虑/459
8.10.5 筛选器操作的配置考虑/461
8.11 IPSec策略的应用方案配置/462
8.11.1 IPSec方案配置前的准备/462
8.11.2 IPSec安全方案配置的基本步骤/463
8.11.3 IPSec在Web服务器访问限制中的应用示例/464
8.11.4 IPSec在数据库服务器访问限制中的应用示例/475
8.11.5 IPSec在阻止NetBIOS攻击中的应用示例/476
8.11.6 IPSec在保护远程访问通信中的应用示例/478
第9章 传输层TLS/SSL身份认证和加密方案/481
9.1 TLS/SSL基础/482
9.1.1 TLS/SSL简介/482
9.1.2 TLS/SSL标准的历史/483
9.1.3 TLS与SSL的区别/483
9.1.4 TLS/SSL所带来的好处/484
9.1.5 TLS/SSL的局限性/485
9.1.6 常见的TLS/SSL应用/485
9.1.7 安全通道技术/487
9.1.8 TLS和SSL的依从/487
9.2 TLS/SSL体系架构/488
9.2.1 安全通道SSPI体系架构/488
9.2.2 TLS/SSL体系架构/490
9.2.3 TLS/SSL握手协议/491
9.2.4 记录层/495
9.3 TLS/SSL工作原理/495
9.3.1 TLS/SSL进程和交互机制/495
9.3.2 TLS的完整握手过程/497
9.3.3 客户端Hello消息/498
9.3.4 服务器Hello消息/501
9.3.5 客户端响应Hello消息/503
9.3.6 计算主密钥和子系列密钥/504
9.3.7 完成消息/505
9.3.8 应用数据流/506
9.3.9 恢复安全会话/507
9.3.1 0重新协商方法/507
9.3.1 1安全通道的证书映射/509
9.3.1 2TLS/SSL所使用的网络端口/510
9.4 WTLS/511
9.4.1 WAP的主要特点和体系架构/511
9.4.2 WAP架构与WWW架构的比较/514
9.4.3 WAP安全机制/516
9.4.4 WTLS体系架构/518
9.4.5 WTLS的安全功能/519
9.4.6 WTLS与TLS的区别/520
9.5 SSL在IISWeb服务器中的应用/522
9.5.1 安装CA/522
9.5.2 生成证书申请/524
9.5.3 提交证书申请/527
9.5.4 证书的颁发和导出/530
9.5.5 在Web服务器上安装证书/532
9.5.6 在Web服务器上启用SSL/534
9.6 SSLVPN/535
9.6.1 SSLVPN网络结构和主要应用/536
9.6.2 SSLVPN的主要优势和不足/537
第10章 应用层Web服务器的综合安全系统设计与配置/541
10.1 我国网站安全现状/542
10.2 Web服务器的身份验证技术选择/543
10.2.1 NTLM身份验证机制选择和配置方法/543
10.2.2 Kerberos身份验证机制选择和配置方法/547
10.2.3 摘要式身份验证机制选择和配置方法/548
10.2.4 公钥加密身份认证机制选择/553
10.2.5 证书身份认证机制选择和配置方法/555
10.3 Web服务器传输层安全技术选择/558
10.4 Web服务器的安全威胁与对策/559
10.4.1 主机枚举/560
10.4.2 拒绝服务/562
10.4.3 未经授权的访问/562
10.4.4 随意代码执行/563
10.4.5 特权提升/563
10.4.6 病毒、蠕虫和特洛伊木马/564
10.5 安全Web服务器检查表/564
10.6 WindowsServer2003Web服务器安全策略设计/580
10.6.1 Web服务器的匿名访问和SSLF设置/581
10.6.2 Web服务器审核策略设置/582
10.6.3 Web服务器用户权限分配策略设置/591
10.6.4 Web服务器的安全选项策略设置/600
10.6.5 Web服务器的事件日志策略设置/617
10.6.6 Web服务器的其他安全策略设置/619
第11章 WLAN网络综合安全系统设计与配置/629
11.1 选择WLAN的安全策略/630
11.1.1 WLAN面临的主要安全问题/630
11.1.2 WLAN安全策略的决策/631
11.1.3 如何真正确保WLAN的安全/633
11.1.4 WLAN的身份验证和授权/634
11.1.5 WLAN的数据保护/635
11.1.6 使用WLAN数据保护的IEEE802.1 x
11.2 WLAN安全方案选择/637
11.2.1 不部署WLAN技术/638
11.2.2 使用基于802.1 1静态WEP的基本安全/638
11.2.3 使用EAP和动态加密密钥的IEEE802.1 x/639
11.2.4 使用EAP-TLS的IEEE802.1 x/640
11.2.5 使用PEAP的IEEE802.1 x/640
11.2.6 使用VPN技术保护WLAN网络/641
11.2.7 使用IPSec保护WLAN/643
11.2.8 主要WLAN安全方案比较/644
11.3 使用IEEE802.1 x设计WLAN安全系统/645
11.3.1 IEEE802.1 xWALN安全方案设计基本思路/645
11.3.2 使用IEEE802.1 x和加密确保WLAN安全/646
11.3.3 使用证书或密码/646
11.3.4 解决方案的先决条件/647
11.3.5 WLAN安全选项考虑/648
11.3.6 确定IEEE802.1 xWLAN所需的软件设置/654
11.3.7 其他注意事项/658
11.4 使用IEEE802.1 x实现WLAN安全性/659
11.4.1 方案实现基本思路/659
11.4.2 IEEE802.1 xWLAN计划工作表/660
11.4.3 准备安全WLAN的环境/661
11.4.4 配置和部署WLAN身份验证证书/662
11.4.5 配置WLAN访问基础结构/671
11.4.6 让用户和计算机能够访问安全WLAN/675
11.4.7 配置IEEE802.1 x网络的无线接入点/680
11.4.8 测试和验证/681
11.5 IEEE802.1 xEAP-TLSWLAN安全方案网络结构设计/681
11.5.1 IEEE802.1 xEAP-TLS身份验证解决方案概述/681
11.5.2 IEEE802.1 xEAP-TLSWLAN网络安全结构方案设计标准/684
11.5.3 IEEE802.1 xEAP-TLS方案网络结构逻辑设计与评估/686
11.6 使用PEAP和密码确保无线LAN的安全/692
11.6.1 解决方案的基本思路/692
11.6.2 PEAP解决方案的优势和工作原理/693
11.6.3 组织结构和IT环境计划/696
11.6.4 方案设计标准计划/697
11.6.5 WLAN体系结构部署计划/698
11.6.6 针对大型组织的扩展计划/710
11.6.7 解决方案体系结构的变化计划/712
11.6.8 准备安全WLAN网络环境/715
11.6.9 方案网络证书颁发机构构建/725
11.6.1 0WLAN安全的基础结构构建/728
11.6.1 1WLAN客户端配置/741
后记/747

本目录推荐