《網(wǎng)絡空間安全原理與實踐》是信息安全、網(wǎng)絡空間安全系列教材的第一冊,主要著墨于信息安全的基本原理、各類網(wǎng)絡攻擊方式與基于思科設備的防御特性、AAA(認證、授權和審計)的原理與部署、防火墻的基本原理、加密原理與VPN(虛擬專用網(wǎng)絡)的基本概念及基于思科設備的實現(xiàn)等內容。另外,本書也簡單介紹了一些掃描工具及其在Windows環(huán)境中的基本使用方法。
《網(wǎng)絡空間安全原理與實踐》不僅適合計算機網(wǎng)絡、信息安全、網(wǎng)絡空間安全專業(yè)的學生作為教材使用,而且適合網(wǎng)絡安全技術愛好者,以及各類學完CCNA課程或者思科網(wǎng)院課程,希望進一步了解安全相關技術及原理的技術人員閱讀。
本書是業(yè)內培訓機構YESLAB針對教育、培訓行業(yè)開發(fā)的以培養(yǎng)網(wǎng)絡空間安全Gao層次、實踐型人才為目標的教學用書,內容涵蓋了信息安全和網(wǎng)絡安全的基本概念、各類掃描和攻擊手段的原理與實施,以及對應的防御手段。此外,本書還簡單介紹了一些掃描工具及其在Windows環(huán)境中的基本使用方法。
為了更好地閱讀本書,讀者需要具備基本的網(wǎng)絡知識(尤其是TCP/IP協(xié)議棧的知識),而且需要具備思科設備的配置與調試能力。
本書主要內容:
網(wǎng)絡安全威脅;
保護設備安全;
認證、授權和審計(AAA);
加密系統(tǒng);
實施虛擬專用網(wǎng)絡技術;
實施自適應安全設備;
管理安全網(wǎng)絡。
田果,CCIE #19920,畢業(yè)于北京工業(yè)大學,12年網(wǎng)絡行業(yè)從業(yè)經驗,工作內容涵蓋項目管理、工程實施、課程設計、學員培訓、教材出版等。曾深度參與大量與業(yè)內領頭企業(yè)、院校的合作項目,并在2020年主導了思科網(wǎng)絡技術學院系列圖書(CCNAv7)及配套資源的本土化工作。原創(chuàng)教材6冊,譯作20余冊。
徐龍泉,畢業(yè)于華南理工大學,12年網(wǎng)絡行業(yè)從業(yè)經驗,珠海市高層次人才、高級工程師、思科網(wǎng)絡技術學院教師培訓講師(ITR),累計培訓了800多位來自全國高校的教師。近三年來,專注于網(wǎng)絡安全相關領域的師資培訓及企業(yè)定制化培訓,出版教材3部,發(fā)表論文5篇,獲發(fā)明專利2項。
第 1章 網(wǎng)絡安全威脅 1
1.1 保護網(wǎng)絡安全及安全原理 1
1.1.1 網(wǎng)絡/信息安全原則 2
1.1.2 網(wǎng)絡安全設計指導方針 4
1.1.3 安全策略 5
1.2 網(wǎng)絡安全威脅 6
1.2.1 STRIDE威脅模型 7
1.2.2 常見的網(wǎng)絡攻擊類型 9
1.3 緩解威脅 12
1.3.1 接入層與分布層 13
1.3.2 核心層 14
1.3.3 數(shù)據(jù)中心 14
1.3.4 Internet邊緣 15
1.4 小結 16
1.5 習題 16
第 2章 保護設備安全 18
2.1 終端安全 18
2.2 第 2層安全威脅及防御 28
2.2.1 MAC地址攻擊與端口安全 28
2.2.2 STP操縱攻擊與生成樹安全策略 32
2.2.3 VLAN跳轉攻擊與緩解 36
2.2.4 DHCP欺騙攻擊與DHCP監(jiān)聽(DHCP Snooping) 38
2.2.5 ARP欺騙攻擊與動態(tài)ARP監(jiān)控 41
2.3 保護設備訪問 44
2.4 分配管理角色 47
2.4.1 特權級別 47
2.4.2 為用戶賬號分配特權級別 48
2.4.3 定義命令的特權級別 48
2.5 監(jiān)控和管理設備 48
2.5.1 簡單網(wǎng)絡管理協(xié)議 48
2.5.2 系統(tǒng)日志 52
2.5.3 網(wǎng)絡時間協(xié)議 53
2.6 保護控制平面 54
2.6.1 網(wǎng)絡基礎保護架構 54
2.6.2 路由協(xié)議認證 55
2.6.3 控制平面管制(CoPP) 57
2.6.4 控制平面保護 58
2.7 auto secure 60
2.8 小結 66
2.9 習題 66
第3章 認證、授權和審計(AAA) 69
3.1 AAA的基本原理 69
3.1.1 認證、授權和審計 69
3.1.2 AAA的部署方式 70
3.2 本地AAA 71
3.3 基于服務器的AAA 73
3.3.1 RADIUS 74
3.3.2 TACACS+ 76
3.3.3 AAA服務器 79
3.4 基于服務器的AAA認證 84
3.5 基于服務器的AAA授權和審計 88
3.6 小結 90
3.7 習題 91
第4章 加密系統(tǒng) 92
4.1 加密學原理 92
4.1.1 密碼的產生 93
4.1.2 維吉尼亞密碼 94
4.1.3 對稱加密算法 96
4.1.4 DH算法 97
4.1.5 非對稱加密算法 99
4.2 數(shù)字簽名 100
4.2.1 使用非對稱加密算法執(zhí)行數(shù)字簽名 101
4.2.2 哈希函數(shù) 102
4.2.3 使用哈希函數(shù)和非對稱加密法來執(zhí)行數(shù)字簽名 104
4.3 證書概述 105
4.3.1 公共密鑰基礎設施(PKI)概述 106
4.3.2 獲得數(shù)字證書的過程 107
4.4 小結 109
4.5 習題 109
第5章 實施虛擬專用網(wǎng)絡技術 111
5.1 VPN簡介 111
5.1.1 VPN的概念 112
5.1.2 VPN的分類 113
5.2 IPSec VPN組件和操作 114
5.2.1 IKE介紹 116
5.2.2 IPSec的操作方式 121
5.3 傳統(tǒng)命令行實施站點間IPSec VPN 129
5.4 小結 132
5.5 習題 132
第6章 實施自適應安全設備 134
6.1 訪問控制列表 134
6.1.1 ACL的工作原理 134
6.1.2 掩碼與ACL 136
6.1.3 ACL的方向 137
6.1.4 ACL的類型 139
6.2 防火墻技術介紹 144
6.2.1 包過濾防火墻 144
6.2.2 電路層防火墻 145
6.2.3 代理防火墻 146
6.2.4 自適應代理防火墻 148
6.2.5 下一代防火墻 149
6.3 基于區(qū)域的策略防火墻 149
6.3.1 基于上下文的訪問控制 149
6.3.2 基于區(qū)域的防火墻 151
6.4 硬件防火墻圖形化管理 156
6.4.1 思科防火墻及系統(tǒng)發(fā)展簡介 156
6.4.2 連接Firepower并使用FDM進行管理 157
6.4.3 FDM的管理界面 160
6.5 硬件防火墻實施IPSec VPN 166
6.6 小結 176
6.7 習題 176
第7章 管理安全網(wǎng)絡 179
7.1 網(wǎng)絡安全測試 179
7.1.1 Nmap和Zenmap 179
7.1.2 Nessus 185
7.2 制定全面的安全策略 192
7.3 小結 193
7.4 習題 193