網(wǎng)絡(luò)安全原理與實(shí)踐
定 價(jià):108 元
- 作者:[美]Saadat Malik 著
- 出版時(shí)間:2013/8/1
- ISBN:9787115312433
- 出 版 社:人民郵電出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:664
- 紙張:
- 版次:1
- 開(kāi)本:16開(kāi)
《網(wǎng)絡(luò)安全原理與實(shí)踐》為廣大讀者提供了網(wǎng)絡(luò)安全設(shè)施和VPN的專家級(jí)解決方案。全書(shū)共分9個(gè)部分,分別介紹了網(wǎng)絡(luò)安全介紹、定義安全區(qū)、設(shè)備安全、路由安全、局域網(wǎng)交換的安全、網(wǎng)絡(luò)地址轉(zhuǎn)換與安全、防火墻基礎(chǔ)、PIX防火墻、IOS防火墻、VPN的概念、GRE、L2TP、IPSec、入侵檢測(cè)、Cisco安全入侵檢測(cè)、AAA、TACACS+、RADIUS、使用AAA實(shí)現(xiàn)安全特性的特殊實(shí)例、服務(wù)提供商安全的利益和挑戰(zhàn)、高效使用訪問(wèn)控制列表、使用NBAR識(shí)別和控制攻擊、使用CAR控制攻擊、網(wǎng)絡(luò)安全實(shí)施疑難解析等。附錄中包括各章復(fù)習(xí)題答案和企業(yè)網(wǎng)絡(luò)安全藍(lán)圖白皮書(shū)! 毒W(wǎng)絡(luò)安全原理與實(shí)踐》適合準(zhǔn)備參加CCIE網(wǎng)絡(luò)安全認(rèn)證工作的人員閱讀,也適合那些想增強(qiáng)關(guān)于網(wǎng)絡(luò)安全核心概念知識(shí)的網(wǎng)絡(luò)安全專業(yè)人員閱讀。
Cisco Press出版的CCIE職業(yè)發(fā)展系列中的一本,該書(shū)在網(wǎng)絡(luò)設(shè)計(jì)、部署和支持等方面提供了專家級(jí)的指導(dǎo),可以幫助網(wǎng)絡(luò)從業(yè)人員管理負(fù)責(zé)的網(wǎng)絡(luò),并為CCIE考試做好準(zhǔn)備。設(shè)計(jì)和部署可擴(kuò)展BGP路由架構(gòu)的實(shí)戰(zhàn)指南。CIE認(rèn)證考試人員必備圖書(shū)。
Saadat Malik,CCIE #4955,在Cisco公司的VPN和網(wǎng)絡(luò)安全組管理技術(shù)支持工作。作為CCIE安全實(shí)驗(yàn)考試的作者、編寫CCIE安全資格證書(shū)考試小組的成員之一,他是開(kāi)發(fā)CCIE網(wǎng)絡(luò)安全認(rèn)證的先鋒。目前他是CCIE的部門顧問(wèn),幫助改善正在進(jìn)行的CCIE安全實(shí)驗(yàn)考試的質(zhì)量。同時(shí)在監(jiān)督CCIE實(shí)驗(yàn)考試方面,他有著多年的經(jīng)驗(yàn)。過(guò)去,Malik在圣何賽州立大學(xué)教授研究生網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議的課程。這些年來(lái),在Saadat的監(jiān)督和技術(shù)領(lǐng)導(dǎo)下,30個(gè)CCIE(包括9個(gè)“double”CCIE和2個(gè)“triple”CCIE)已經(jīng)達(dá)到了令人渴望的尊貴地位。多年以來(lái),在業(yè)界的一些活動(dòng)中,例如Networkers和IBM技術(shù)會(huì)議上,他經(jīng)常就網(wǎng)絡(luò)入侵檢測(cè)相關(guān)的高級(jí)主題、VPN的疑難解析和高級(jí)的IPSec概念做報(bào)告。Saadat普渡大學(xué)西拉法葉校區(qū)獲得了電子工程碩士學(xué)位(MSEE)。
目 錄
第一部分:網(wǎng)絡(luò)安全介紹
第1章 網(wǎng)絡(luò)安全介紹 3
1.1 網(wǎng)絡(luò)安全目標(biāo) 4
1.2 資產(chǎn)確定 4
1.3 威脅評(píng)估 5
1.4 風(fēng)險(xiǎn)評(píng)估 6
1.5 構(gòu)建網(wǎng)絡(luò)安全策略 6
1.6 網(wǎng)絡(luò)安全策略的要素 7
1.7 部署網(wǎng)絡(luò)安全策略 8
1.8 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的部署 9
1.9 審計(jì)和改進(jìn) 9
1.10 實(shí)例研究 10 目 錄
第一部分:網(wǎng)絡(luò)安全介紹
第1章 網(wǎng)絡(luò)安全介紹 3
1.1 網(wǎng)絡(luò)安全目標(biāo) 4
1.2 資產(chǎn)確定 4
1.3 威脅評(píng)估 5
1.4 風(fēng)險(xiǎn)評(píng)估 6
1.5 構(gòu)建網(wǎng)絡(luò)安全策略 6
1.6 網(wǎng)絡(luò)安全策略的要素 7
1.7 部署網(wǎng)絡(luò)安全策略 8
1.8 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的部署 9
1.9 審計(jì)和改進(jìn) 9
1.10 實(shí)例研究 10
1.10.1 資產(chǎn)確定 10
1.10.2 威脅確定 11
1.10.3 風(fēng)險(xiǎn)分析 12
1.10.4 定義安全策略 13
1.11 小結(jié) 16
1.12 復(fù)習(xí)題 16
第二部分:構(gòu)建網(wǎng)絡(luò)安全
第2章 定義安全區(qū) 21
2.1 安全區(qū)介紹 21
2.2 設(shè)計(jì)一個(gè)DMZ 22
2.2.1 使用一個(gè)三腳防火墻創(chuàng)建DMZ 23
2.2.2 DMZ置于防火墻之外,公共網(wǎng)絡(luò)和防火墻之間 23
2.2.3 DMZ置于防火墻之外,但不在公共網(wǎng)絡(luò)和防火墻之間的通道上 24
2.2.4 在層疊的防火墻之間創(chuàng)建DMZ 25
2.3 實(shí)例研究:使用PIX防火墻創(chuàng)建區(qū) 26
2.4 小結(jié) 27
2.5 復(fù)習(xí)題 27
第3章 設(shè)備安全 29
3.1 物理安全 30
3.1.1 冗余位置 30
3.1.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 30
3.1.3 網(wǎng)絡(luò)位置的安全 31
3.1.4 選擇安全介質(zhì) 32
3.1.5 電力供應(yīng) 32
3.1.6 環(huán)境因素 32
3.2 設(shè)備冗余 33
3.2.1 路由冗余 33
3.2.2 HSRP 35
3.2.3 虛擬路由器冗余協(xié)議(VRRP) 41
3.3 路由器安全 45
3.3.1 配置管理 45
3.3.2 控制對(duì)路由器的訪問(wèn) 46
3.3.3 對(duì)路由器的安全訪問(wèn) 49
3.3.4 密碼管理 50
3.3.5 記錄路由器事件 51
3.3.6 禁用不需要的服務(wù) 52
3.3.7 使用環(huán)回接口 52
3.3.8 SNMP用作管理協(xié)議的控制 53
3.3.9 HTTP用作管理協(xié)議的控制 55
3.3.10 使用CEF作為交換機(jī)制 56
3.3.11 從安全的角度來(lái)建立調(diào)度表 56
3.3.12 使用NTP 57
3.3.13 登錄信息 57
3.3.14 獲取Core Dumps信息 58
3.3.15 在CPU高負(fù)載期間使用service nagle以改善Telnet訪問(wèn) 59
3.4 PIX防火墻安全 60
3.4.1 配置管理 60
3.4.2 控制對(duì)PIX的訪問(wèn) 60
3.4.3 安全訪問(wèn)PIX 61
3.4.4 密碼管理 62
3.4.5 記錄PIX事件 62
3.5 交換機(jī)安全 63
3.5.1 配置管理 63
3.5.2 控制對(duì)交換機(jī)的訪問(wèn) 63
3.5.3 對(duì)交換機(jī)的安全訪問(wèn) 64
3.5.4 交換機(jī)事件日志 64
3.5.5 控制管理協(xié)議(基于SNMP的管理) 65
3.5.6 使用NTP 65
3.5.7 登錄信息 66
3.5.8 捕獲Core Dumps 66
3.6 小結(jié) 66
3.7 復(fù)習(xí)題 66
第4章 路由安全 69
4.1 將安全作為路由設(shè)計(jì)的一部分 70
4.1.1 路由過(guò)濾 70
4.1.2 收斂性 71
4.1.3 靜態(tài)路由 71
4.2 路由器和路由認(rèn)證 72
4.3 定向廣播控制 75
4.4 黑洞過(guò)濾 75
4.5 單播反向路徑轉(zhuǎn)發(fā) 76
4.6 路徑完整性 78
4.6.1 ICMP重定向 78
4.6.2 IP源路由 78
4.7 實(shí)例研究:BGP路由協(xié)議安全 79
4.7.1 BGP鄰居認(rèn)證 79
4.7.2 入站路由過(guò)濾 80
4.7.3 出站路由過(guò)濾 80
4.7.4 BGP網(wǎng)絡(luò)通告 80
4.7.5 BGP多跳 81
4.7.6 BGP通信 81
4.7.7 禁用BGP版本協(xié)商 81
4.7.8 維持路由表的深度和穩(wěn)定性 81
4.7.9 BGP鄰居狀態(tài)改變的日志記錄 84
4.8 實(shí)例研究:OSPF路由協(xié)議的安全 84
4.8.1 OSPF路由器認(rèn)證 84
4.8.2 OSPF非廣播鄰居配置 85
4.8.3 使用末節(jié)區(qū)域 85
4.8.4 使用環(huán)回接口作為路由器ID 87
4.8.5 調(diào)整SPF計(jì)時(shí)器 87
4.8.6 路由過(guò)濾 88
4.9 小結(jié) 88
4.10 復(fù)習(xí)題 89
第5章 局域網(wǎng)交換的安全 91
5.1 普通交換和第2層安全 92
5.2 端口安全 93
MAC地址泛洪和端口安全 93
5.3 IP許可列表 95
5.4 協(xié)議過(guò)濾和控制LAN泛洪 96
5.5 Catalyst 6000上的專用VLAN 97
ARP欺騙、粘性ARP和專用VLAN 99
5.6 使用IEEE 802.1x標(biāo)準(zhǔn)進(jìn)行端口認(rèn)證和訪問(wèn)控制 99
5.6.1 802.1x實(shí)體 99
5.6.2 802.1x通信 100
5.6.3 802.1x功能 104
5.6.4 使用802.1x建立Catalyst 6000端口認(rèn)證 106
5.7 小結(jié) 108
5.8 復(fù)習(xí)題 108
第6章 網(wǎng)絡(luò)地址轉(zhuǎn)換與安全 111
6.1 網(wǎng)絡(luò)地址轉(zhuǎn)換的安全利益 112
6.2 依賴NAT提供安全的缺點(diǎn) 113
6.2.1 除了端口號(hào)信息外沒(méi)有協(xié)議信息跟蹤 113
6.2.2 基于PAT表沒(méi)有限制數(shù)據(jù)流的類型 113
6.2.3 初始連接上有限的控制 113
6.3 小結(jié) 114
6.4 復(fù)習(xí)題 114
第三部分:防火墻
第7章 什么是防火墻 119
7.1 防火墻 119
7.1.1 日志和通告發(fā)送能力 120
7.1.2 大規(guī)模的數(shù)據(jù)包檢查 120
7.1.3 易于配置 121
7.1.4 設(shè)備安全和冗余 121
7.2 防火墻的類型 122
7.2.1 電路級(jí)防火墻 122
7.2.2 代理服務(wù)器防火墻 122
7.2.3 無(wú)狀態(tài)分組過(guò)濾器防火墻 123
7.2.4 有狀態(tài)分組過(guò)濾器防火墻 123
7.2.5 個(gè)人防火墻 124
7.3 防火墻的位置 124
7.4 小結(jié) 125
第8章 PIX防火墻 127
8.1 自適應(yīng)安全算法 127
8.1.1 TCP 128
8.1.2 UDP 130
8.2 PIX防火墻的基本特性 131
8.2.1 使用ASA的狀態(tài)化流量檢測(cè) 131
8.2.2 為接口分配不同的安全級(jí)別 132
8.2.3 訪問(wèn)控制列表 132
8.2.4 擴(kuò)展的日志能力 133
8.2.5 基本的路由能力,包括對(duì)RIP的支持 134
8.2.6 網(wǎng)絡(luò)地址轉(zhuǎn)換 134
8.2.7 失效處理機(jī)制和冗余 135
8.2.8 認(rèn)證通過(guò)PIX的流量 137
8.3 PIX防火墻的高級(jí)特性 137
8.3.1 別名 138
8.3.2 X防護(hù) 141
8.3.3 高級(jí)過(guò)濾 142
8.3.4 多媒體支持 143
8.3.5 欺騙檢測(cè)或者單播RPF 145
8.3.6 協(xié)議修正 146
8.3.7 混雜的sysopt命令 146
8.3.8 多播支持 148
8.3.9 分片處理 150
8.4 實(shí)例研究 151
8.4.1 帶有三個(gè)接口,運(yùn)行在DMZ的Web服務(wù)器上的PIX 152
8.4.2 為PIX設(shè)置失效處理 157
8.4.3 為DMZ上的服務(wù)器使用alias命令設(shè)置PIX 160
8.4.4 為貫穿式代理認(rèn)證和授權(quán)設(shè)置PIX 163
8.4.5 使用Object Groups和TurboACL來(lái)擴(kuò)展PIX配置 166
8.5 小結(jié) 170
8.6 復(fù)習(xí)題 171
第9章 IOS防火墻 173
9.1 基于上下文的訪問(wèn)控制 173
CBAC功能 174
9.2 IOS防火墻的特性 175
9.2.1 傳輸層檢查 176
9.2.2 應(yīng)用層檢查 176
9.2.3 對(duì)無(wú)效命令進(jìn)行過(guò)濾 177
9.2.4 Java阻塞 177
9.2.5 針對(duì)拒絕服務(wù)攻擊的安全防護(hù) 177
9.2.6 IOS防火墻中的分片處理 180
9.3 實(shí)例研究:配置了NAT的路由器上的CBAC 180
9.4 小結(jié) 185
9.5 復(fù)習(xí)題 185
第四部分:VPN
第10章 VPN的概念 189
10.1 VPN定義 189
10.2 基于加密與不加密的VPN類型比較 190
10.2.1 加密VPN 190
10.2.2 非加密VPN 190
10.3 基于OSI模型分層的VPN類型 190
10.3.1 數(shù)據(jù)鏈路層VPN 191
10.3.2 網(wǎng)絡(luò)層VPN 191
10.3.3 應(yīng)用層VPN 191
10.4 基于商業(yè)功能性的VPN類型 192
10.5 內(nèi)部網(wǎng)VPN 192
10.6 外部網(wǎng)VPN 192
10.7 小結(jié) 193
第11章 GRE 195
11.1 GRE 195
11.2 實(shí)例研究 198
11.2.1 連接兩個(gè)私有網(wǎng)絡(luò)的簡(jiǎn)單GRE隧道 198
11.2.2 多個(gè)站點(diǎn)間的GRE 202
11.2.3 運(yùn)行IPX的兩個(gè)站點(diǎn)間的GRE 206
11.3 小結(jié) 211
11.4 復(fù)習(xí)題 211
第12章 L2TP 213
12.1 L2TP概述 213
12.2 L2TP的功能細(xì)節(jié) 215
12.2.1 建立控制連接 216
12.2.2 建立會(huì)話 216
12.2.3 頭格式 218
12.3 實(shí)例研究 219
12.3.1 創(chuàng)建強(qiáng)制型L2TP隧道 220
12.3.2 在強(qiáng)制型隧道的創(chuàng)建中使用IPSec保護(hù)L2TP通信 235
12.4 小結(jié) 240
12.5 復(fù)習(xí)題 240
第13章 IPSec 243
13.1 IPSec VPN的類型 244
13.1.1 LAN-to-LAN IPSec實(shí)現(xiàn) 244
13.1.2 遠(yuǎn)程訪問(wèn)客戶端IPSec實(shí)現(xiàn) 245
13.2 IPSec的組成 246
13.3 IKE介紹 247
13.3.1 主模式(或者主動(dòng)模式)的目標(biāo) 248
13.3.2 快速模式的目標(biāo) 249
13.4 使用IKE協(xié)議的IPSec協(xié)商 249
13.4.1 使用預(yù)共享密鑰認(rèn)證的主模式后接快速模式的協(xié)商 249
13.4.2 使用數(shù)字簽名認(rèn)證后接快速模式的主模式 263
13.4.3 使用預(yù)共享密鑰認(rèn)證的主動(dòng)模式 267
13.5 IKE認(rèn)證機(jī)制 270
13.5.1 預(yù)共享密鑰 270
13.5.2 數(shù)字簽名 271
13.5.3 加密臨時(shí)值 272
13.6 IPSec中加密和完整性檢驗(yàn)機(jī)制 273
13.6.1 加密 273
13.6.2 完整性檢驗(yàn) 275
13.7 IPSec中分組的封裝 276
13.7.1 傳輸模式 276
13.7.2 隧道模式 276
13.7.3 ESP(封裝安全負(fù)載) 277
13.7.4 AH(認(rèn)證頭) 278
13.8 增強(qiáng)遠(yuǎn)程訪問(wèn)客戶端IPSec的IKE 279
13.8.1 擴(kuò)展認(rèn)證 279
13.8.2 模式配置 282
13.8.3 NAT透明 283
13.9 IPSec失效對(duì)等體的發(fā)現(xiàn)機(jī)制 284
13.10 實(shí)例研究 285
13.10.1 使用預(yù)共享密鑰作為認(rèn)證機(jī)制的路由器到路由器的IPSec 285
13.10.2 使用數(shù)字簽名和數(shù)字證書(shū)的路由器到路由器的IPSec 299
13.10.3 使用RSA加密臨時(shí)值的路由器到路由器的IPSec 310
13.10.4 一對(duì)多路由器IPSec 317
13.10.5 High-Availability-IPSec-Over-GRE設(shè)置 323
13.10.6 使用x-auth、動(dòng)態(tài)crypto映射、模式配置和預(yù)共享密鑰的遠(yuǎn)程訪問(wèn)IPSec 328
13.10.7 LAN-to-LAN和遠(yuǎn)程訪問(wèn)的PIX IPSec設(shè)置 331
13.10.8 使用自發(fā)型隧道的L2TP上的IPSec 336
13.10.9 IPSec隧道終點(diǎn)發(fā)現(xiàn)(TED) 341
13.10.10 NAT同IPSec的相互作用 354
13.10.11 防火墻和IPSec的相互作用 356
13.11 小結(jié) 357
13.12 復(fù)習(xí)題 357
第五部分:入侵檢測(cè)
第14章 什么是入侵檢測(cè) 361
14.1 對(duì)入侵檢測(cè)的需求 362
14.2 基于攻擊模式的網(wǎng)絡(luò)攻擊類型 363
14.2.1 拒絕服務(wù)攻擊 363
14.2.2 網(wǎng)絡(luò)訪問(wèn)攻擊 363
14.3 基于攻擊發(fā)起者的網(wǎng)絡(luò)攻擊類型 364
14.3.1 由受信任的(內(nèi)部)用戶發(fā)起的攻擊 365
14.3.2 由不受信任的(外部)用戶發(fā)起的攻擊 365
14.3.3 由沒(méi)有經(jīng)驗(yàn)的“腳本少年”黑客發(fā)起的攻擊 365
14.3.4 由有經(jīng)驗(yàn)的“專業(yè)”黑客發(fā)起的攻擊 366
14.4 常見(jiàn)的網(wǎng)絡(luò)攻擊 367
14.4.1 拒絕服務(wù)攻擊 367
14.4.2 資源耗盡類型的DoS攻擊 367
14.4.3 旨在導(dǎo)致常規(guī)操作系統(tǒng)操作立即停止的攻擊類型 374
14.4.4 網(wǎng)絡(luò)訪問(wèn)攻擊 375
14.5 檢測(cè)入侵的過(guò)程 378
14.6 實(shí)例研究:Kevin Metnick對(duì)Tsutomu Shimomura的計(jì)算機(jī)進(jìn)行的攻擊以及IDS是如何扭轉(zhuǎn)敗局的 380
14.7 小結(jié) 381
第15章 Cisco安全入侵檢測(cè) 385
15.1 Cisco安全I(xiàn)DS的組件 386
15.2 構(gòu)建管理控制臺(tái) 389
15.2.1 兩種類型的管理控制臺(tái) 389
15.2.2 UNIX Director的內(nèi)部結(jié)構(gòu) 389
15.2.3 CSPM IDS控制臺(tái)的內(nèi)部結(jié)構(gòu) 392
15.3 構(gòu)建傳感器 393
15.4 對(duì)入侵的響應(yīng) 396
15.4.1 日志記錄 397
15.4.2 TCP重置 400
15.4.3 屏蔽 400
15.5 簽名類型 401
15.5.1 簽名引擎(Engine) 402
15.5.2 默認(rèn)的警報(bào)級(jí)別 403
15.6 把路由器、PIX或者IDSM作為傳感器使用 404
15.7 實(shí)例研究 405
15.7.1 把路由器作為傳感器設(shè)備使用 405
15.7.2 把PIX作為傳感器設(shè)備使用 409
15.7.3 把Catalyst 6000 IDSM作為傳感器使用 412
15.7.4 設(shè)置路由器或者UNIX Director進(jìn)行屏蔽 416
15.7.5 創(chuàng)建定制的簽名 418
15.8 小結(jié) 419
15.9 復(fù)習(xí)題 419
第六部分:網(wǎng)絡(luò)訪問(wèn)控制
第16章 AAA 423
16.1 AAA組件的定義 423
16.2 認(rèn)證概述 424
16.3 設(shè)置認(rèn)證 425
16.3.1 啟用AAA 425
16.3.2 設(shè)置一個(gè)本地用戶認(rèn)證參數(shù)數(shù)據(jù)庫(kù)或者設(shè)置對(duì)配置好的RADIUS或TACACS+ 服務(wù)器的訪問(wèn) 425
16.3.3 設(shè)置方法列表 426
16.3.4 應(yīng)用方法列表 428
16.4 授權(quán)概述 429
16.5 設(shè)置授權(quán) 429
16.5.1 設(shè)置方法列表 429
16.5.2 應(yīng)用方法列表 430
16.6 統(tǒng)計(jì)概述 432
16.7 設(shè)置統(tǒng)計(jì) 433
16.7.1 設(shè)置一個(gè)方法列表 433
16.7.2 將方法列表應(yīng)用到行和/或接口 434
16.8 實(shí)例研究 435
16.8.1 使用AAA對(duì)PPP連接進(jìn)行認(rèn)證和授權(quán) 435
16.8.2 使用AAA下載路由和應(yīng)用訪問(wèn)列表 438
16.8.3 使用AAA設(shè)置PPP超時(shí) 441
16.9 小結(jié) 443
16.10 復(fù)習(xí)題 443
第17章 TACACS+ 445
17.1 TACACS+概述 446
17.2 TACACS+通信體系結(jié)構(gòu) 446
17.3 TACACS+分組加密 448
17.4 TACACS+的認(rèn)證 449
17.5 TACACS+的授權(quán) 450
17.6 TACACS+的統(tǒng)計(jì) 455
17.7 小結(jié) 457
17.8 復(fù)習(xí)題 458
第18章 RADIUS 461
18.1 RADIUS介紹 461
18.2 RADIUS通信的體系結(jié)構(gòu) 462
18.2.1 RADIUS分組格式 463
18.2.2 RADIUS中的口令加密 464
18.2.3 RADIUS的認(rèn)證 465
18.2.4 RADIUS的授權(quán) 466
18.2.5 RADIUS的統(tǒng)計(jì) 472
18.3 小結(jié) 474
18.4 復(fù)習(xí)題 475
第19章 使用AAA實(shí)現(xiàn)安全特性的特殊實(shí)例 477
19.1 使用AAA對(duì)IPSec提供預(yù)共享的密鑰 478
19.2 在ISAKMP中對(duì)X-Auth使用AAA 480
19.3 對(duì)Auth-Proxy使用AAA 482
19.4 對(duì)VPDN使用AAA 485
19.5 對(duì)鎖和密鑰使用AAA 488
19.6 使用AAA對(duì)命令授權(quán) 490
19.7 小結(jié) 492
19.8 復(fù)習(xí)題 492
第七部分:服務(wù)提供商安全
第20章 服務(wù)提供商安全的利益和挑戰(zhàn) 497
20.1 擁有服務(wù)提供商安全的動(dòng)機(jī) 497
20.1.1 阻止和轉(zhuǎn)移攻擊的能力 498
20.1.2 跟蹤流量模式的能力 499
20.1.3 向下跟蹤攻擊源的能力 499
20.2 在服務(wù)提供商級(jí)別上實(shí)現(xiàn)安全的挑戰(zhàn) 502
20.3 服務(wù)提供商安全的關(guān)鍵組件 503
20.4 小結(jié) 503
20.5 復(fù)習(xí)題 503
第21章 有效使用訪問(wèn)控制列表 505
21.1 訪問(wèn)控制列表概述 506
21.1.1 ACL的類型 506
21.1.2 ACL的特性和特征 509
21.2 使用訪問(wèn)控制列表阻止未經(jīng)授權(quán)的訪問(wèn) 510
21.2.1 ACL的基本訪問(wèn)控制功能 510
21.2.2 使用ACL阻塞ICMP分組 511
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組 512
21.2.4 用ACL阻塞去往網(wǎng)絡(luò)中不可用服務(wù)的流量 512
21.2.5 使用ACL阻塞已知的冒犯 513
21.2.6 使用ACL阻塞假的和不必要的路由 513
21.3 使用ACL識(shí)別拒絕服務(wù)攻擊 513
21.3.1 使用訪問(wèn)控制列表識(shí)別smurf攻擊 513
21.3.2 使用訪問(wèn)控制列表識(shí)別fraggle攻擊 515
21.3.3 使用訪問(wèn)控制列表識(shí)別SYN泛洪 516
21.4 使用ACL阻止拒絕服務(wù)攻擊 517
21.4.1 使用ACL阻止來(lái)自不合法IP地址的流量 517
21.4.2 過(guò)濾RFC 1918地址空間 519
21.4.3 拒絕其他不必要的流量 519
21.5 通過(guò)ACL處理IP分片 520
21.5.1 過(guò)濾IP分片 520
21.5.2 保護(hù)網(wǎng)絡(luò)免遭IP分片攻擊 524
21.6 ACL對(duì)性能的影響 525
21.7 Turbo ACL 526
21.8 NetFlow交換和ACL 529
21.8.1 NetFlow交換功能 529
21.8.2 NetFlow交換使訪問(wèn)控制列表性能增強(qiáng) 529
21.8.3 使用NetFlow 530
21.9 小結(jié) 530
21.10 復(fù)習(xí)題 530
第22章 使用NBAR識(shí)別和控制攻擊 533
22.1 NBAR概述 534
22.2 使用NBAR對(duì)分組進(jìn)行分類 537
22.3 使用NBAR檢測(cè)網(wǎng)絡(luò)攻擊 539
22.3.1 用帶有簡(jiǎn)單訪問(wèn)控制列表的DSCP或ToS標(biāo)記或丟棄分組 539
22.3.2 使用帶有策略路由的DSCP或者ToS來(lái)標(biāo)記或丟棄經(jīng)NBAR分類的流量 540
22.3.3 用流量管制管理經(jīng)NBAR分類的流量 541
22.4 聯(lián)合使用NBAR和PDLM對(duì)網(wǎng)絡(luò)攻擊分類 541
22.5 使用基于NBAR的訪問(wèn)控制技術(shù)對(duì)性能的影響 542
22.6 實(shí)例研究:紅色代碼病毒和NBAR 542
22.7 小結(jié) 544
22.8 復(fù)習(xí)題 545
第23章 使用CAR控制攻擊 547
23.1 CAR概述 548
23.2 使用CAR限制速率或者丟棄額外的惡意流量 550
23.2.1 限制拒絕服務(wù)攻擊的速率 550
23.2.2 限制可疑惡意內(nèi)容的速率 551
23.3 實(shí)例研究:使用CAR限制DDoS攻擊 552
23.4 小結(jié) 553
23.5 復(fù)習(xí)題 554
第八部分:故障排除
第24章 網(wǎng)絡(luò)安全實(shí)施故障排除 559
24.1 NAT故障排除 560
24.1.1 NAT操作的順序 560
24.1.2 NAT調(diào)試工具 561
24.1.3 NAT show命令 562
24.1.4 常見(jiàn)的NAT問(wèn)題以及解決方案 563
24.2 PIX防火墻故障排除 567
24.2.1 引起與PIX相關(guān)的問(wèn)題的根源 567
24.2.2 PIX中NAT操作的順序 568
24.2.3 PIX調(diào)試 568
24.2.4 推薦的PIX 6.2超時(shí)值 570
24.2.5 PIX show命令 571
24.2.6 常見(jiàn)的PIX問(wèn)題及其解決方法 575
24.2.7 PIX故障排除實(shí)例研究 576
24.3 IOS防火墻故障排除 578
24.3.1 IOS防火墻中的操作順序 578
24.3.2 IOS防火墻的show命令 579
24.3.3 常見(jiàn)的IOS防火墻問(wèn)題及其解決辦法 582
24.4 IPSec VPN故障排除 583
24.4.1 IPSec事件的執(zhí)行順序 583
24.4.2 IPSec的調(diào)試 584
24.4.3 IPSec show命令 588
24.4.4 常見(jiàn)的IPSec問(wèn)題以及解決辦法 591
24.5 入侵檢測(cè)故障排除 595
常見(jiàn)的IDS問(wèn)題及解決辦法 595
24.6 AAA故障排除 598
24.6.1 AAA show命令 599
24.6.2 AAA的debug命令 599
24.6.3 常見(jiàn)的AAA問(wèn)題和解決辦法 599
24.7 小結(jié) 606
24.8 復(fù)習(xí)題 607
第九部分:附錄
附錄A 復(fù)習(xí)題答案 611
附錄B SAFE:企業(yè)網(wǎng)絡(luò)安全藍(lán)圖白皮書(shū) 627