網絡安全原理與實踐（簡體書）

《網絡安全原理與實踐》為廣大讀者提供了網絡安全設施和VPN的專家級解決方案。全書共分9個部分，分別介紹了網絡安全介紹、定義安全區、設備安全、路由安全、局域網交換的安全、網絡地址轉換與安全、防火牆基礎、PIX防火牆、IOS防火牆、VPN的概念、GRE、L2TP、IPSec、入侵檢測、Cisco安全入侵檢測、AAA、TACACS+、RADIUS、使用AAA實現安全特性的特殊實例、服務提供商安全的利益和挑戰、高效使用訪問控制列表、使用NBAR識別和控制攻擊、使用CAR控制攻擊、網絡安全實施疑難解析等。附錄中包括各章複習題答案和企業網絡安全藍圖白皮書。
《網絡安全原理與實踐》適合準備參加CCIE網絡安全認證工作的人員閱讀，也適合那些想增強關於網絡安全核心概念知識的網絡安全專業人員閱讀。

第一部分：網絡安全介紹
第1章 網絡安全介紹
1.1 網絡安全目標
1.2 資產確定
1.3 威脅評估
1.4 風險評估
1.5 構建網絡安全策略
1.6 網絡安全策略的要素
1.7 部署網絡安全策略
1.8 網絡安全體系結構的部署
1.9 審計和改進
1.10 實例研究
1.10.1 資產確定
1.10.2 威脅確定
1.10.3 風險分析
1.10.4 定義安全策略
1.11 小結
1.12 複習題

第二部分：構建網絡安全
第2章 定義安全區
2.1 安全區介紹
2.2 設計一個DMZ
2.2.1 使用一個三腳防火牆創建DMZ
2.2.2 DMZ置於防火牆之外，公共網絡和防火牆之間
2.2.3 DMZ置於防火牆之外，但不在公共網絡和防火牆之間的通道上
2.2.4 在層疊的防火牆之間創建DMZ
2.3 實例研究：使用PIX防火牆創建區
2.4 小結
2.5 複習題

第3章 設備安全
3.1 物理安全
3.1.1 冗餘位置
3.1.2 網絡拓撲設計
3.1.3 網絡位置的安全
3.1.4 選擇安全介質
3.1.5 電力供應
3.1.6 環境因素
3.2 設備冗餘
3.2.1 路由冗餘
3.2.2 HSRP
3.2.3 虛擬路由器冗餘協議（VRRP）
3.3 路由器安全
3.3.1 配置管理
3.3.2 控制對路由器的訪問
3.3.3 對路由器的安全訪問
3.3.4 密碼管理
3.3.5 記錄路由器事件
3.3.6 禁用不需要的服務
3.3.7 使用環回接口
3.3.8 SNMP用作管理協議的控制
3.3.9 HTTP用作管理協議的控制
3.3.10 使用CEF作為交換機制
3.3.11 從安全的角度來建立調度表
3.3.12 使用NTP
3.3.13 登錄信息
3.3.14 獲取Core Dumps信息
3.3.15 在CPU高負載期間使用service nagle以改善Telnet訪問
3.4 PIX防火牆安全
3.4.1 配置管理
3.4.2 控制對PIX的訪問
3.4.3 安全訪問PIX
3.4.4 密碼管理
3.4.5 記錄PIX事件
3.5 交換機安全
3.5.1 配置管理
3.5.2 控制對交換機的訪問
3.5.3 對交換機的安全訪問
3.5.4 交換機事件日誌
3.5.5 控制管理協議（基於SNMP的管理）
3.5.6 使用NTP
3.5.7 登錄信息
3.5.8 捕獲Core Dumps
3.6 小結
3.7 複習題

第4章 路由安全
4.1 將安全作為路由設計的一部分
4.1.1 路由過濾
4.1.2 收斂性
4.1.3 靜態路由
4.2 路由器和路由認證
4.3 定向廣播控制
4.4 黑洞過濾
4.5 單播反向路徑轉發
4.6 路徑完整性
4.6.1 ICMP重定向
4.6.2 IP源路由
4.7 實例研究：BGP路由協議安全
4.7.1 BGP鄰居認證
4.7.2 入站路由過濾
4.7.3 出站路由過濾
4.7.4 BGP網絡通告
4.7.5 BGP多跳
4.7.6 BGP通信
4.7.7 禁用BGP版本協商
4.7.8 維持路由表的深度和穩定性
4.7.9 BGP鄰居狀態改變的日誌記錄
4.8 實例研究：OSPF路由協議的安全
4.8.1 OSPF路由器認證
4.8.2 OSPF非廣播鄰居配置
4.8.3 使用末節區域
4.8.4 使用環回接口作為路由器ID
4.8.5 調整SPF計時器
4.8.6 路由過濾
4.9 小結
4.10 複習題

第5章 局域網交換的安全
5.1 普通交換和第2層安全
5.2 端口安全
MAC地址泛洪和端口安全
5.3 IP許可列表
5.4 協議過濾和控制LAN泛洪
5.5 Catalyst 6000上的專用VLAN
ARP欺騙、粘性ARP和專用VLAN
5.6 使用IEEE 802.1x標準進行端口認證和訪問控制
5.6.1 802.1x實體
5.6.2 802.1x通信
5.6.3 802.1x功能
5.6.4 使用802.1x建立Catalyst 6000端口認證
5.7 小結
5.8 複習題

第6章 網絡地址轉換與安全
6.1 網絡地址轉換的安全利益
6.2 依賴NAT提供安全的缺點
6.2.1 除了端口號信息外沒有協議信息跟蹤
6.2.2 基於PAT表沒有限制數據流的類型
6.2.3 初始連接上有限的控制
6.3 小結
6.4 複習題

第三部分：防火牆
第7章 什麼是防火牆
7.1 防火牆
7.1.1 日誌和通告發送能力
7.1.2 大規模的數據包檢查
7.1.3 易於配置
7.1.4 設備安全和冗餘
7.2 防火牆的類型
7.2.1 電路級防火牆
7.2.2 代理服務器防火牆
7.2.3 無狀態分組過濾器防火牆
7.2.4 有狀態分組過濾器防火牆
7.2.5 個人防火牆
7.3 防火牆的位置
7.4 小結

第8章 PIX防火牆
8.1 自適應安全算法
8.1.1 TCP
8.1.2 UDP
8.2 PIX防火牆的基本特性
8.2.1 使用ASA的狀態化流量檢測
8.2.2 為接口分配不同的安全級別
8.2.3 訪問控制列表
8.2.4 擴展的日誌能力
8.2.5 基本的路由能力，包括對RIP的支持
8.2.6 網絡地址轉換
8.2.7 失效處理機制和冗餘
8.2.8 認證通過PIX的流量
8.3 PIX防火牆的高級特性
8.3.1 別名
8.3.2 X防護
8.3.3 高級過濾
8.3.4 多媒體支持
8.3.5 欺騙檢測或者單播RPF
8.3.6 協議修正
8.3.7 混雜的sysopt命令
8.3.8 多播支持
8.3.9 分片處理
8.4 實例研究
8.4.1 帶有三個接口，運行在DMZ的Web服務器上的PIX
8.4.2 為PIX設置失效處理
8.4.3 為DMZ上的服務器使用alias命令設置PIX
8.4.4 為貫穿式代理認證和授權設置PIX
8.4.5 使用Object Groups和TurboACL來擴展PIX配置
8.5 小結
8.6 複習題

第9章 IOS防火牆
9.1 基於上下文的訪問控制
CBAC功能
9.2 IOS防火牆的特性
9.2.1 傳輸層檢查
9.2.2 應用層檢查
9.2.3 對無效命令進行過濾
9.2.4 Java阻塞
9.2.5 針對拒絕服務攻擊的安全防護
9.2.6 IOS防火牆中的分片處理
9.3 實例研究：配置了NAT的路由器上的CBAC
9.4 小結
9.5 複習題

第四部分：VPN
第10章 VPN的概念
10.1 VPN定義
10.2 基於加密與不加密的VPN類型比較
10.2.1 加密VPN
10.2.2 非加密VPN
10.3 基於OSI模型分層的VPN類型
10.3.1 數據鏈路層VPN
10.3.2 網絡層VPN
10.3.3 應用層VPN
10.4 基於商業功能性的VPN類型
10.5 內部網VPN
10.6 外部網VPN
10.7 小結

第11章 GRE
11.1 GRE
11.2 實例研究
11.2.1 連接兩個私有網絡的簡單GRE隧道
11.2.2 多個站點間的GRE
11.2.3 運行IPX的兩個站點間的GRE
11.3 小結
11.4 複習題

第12章 L2TP
12.1 L2TP概述
12.2 L2TP的功能細節
12.2.1 建立控制連接
12.2.2 建立會話
12.2.3 頭格式
12.3 實例研究
12.3.1 創建強制型L2TP隧道
12.3.2 在強制型隧道的創建中使用IPSec保護L2TP通信
12.4 小結
12.5 複習題

第13章 IPSec
13.1 IPSec VPN的類型
13.1.1 LAN-to-LAN IPSec實現
13.1.2 遠程訪問客戶端IPSec實現
13.2 IPSec的組成
13.3 IKE介紹
13.3.1 主模式（或者主動模式）的目標
13.3.2 快速模式的目標
13.4 使用IKE協議的IPSec協商
13.4.1 使用預共享密鑰認證的主模式後接快速模式的協商
13.4.2 使用數字簽名認證後接快速模式的主模式
13.4.3 使用預共享密鑰認證的主動模式
13.5 IKE認證機制
13.5.1 預共享密鑰
13.5.2 數字簽名
13.5.3 加密臨時值
13.6 IPSec中加密和完整性檢驗機制
13.6.1 加密
13.6.2 完整性檢驗
13.7 IPSec中分組的封裝
13.7.1 傳輸模式
13.7.2 隧道模式
13.7.3 ESP（封裝安全負載）
13.7.4 AH（認證頭）
13.8 增強遠程訪問客戶端IPSec的IKE
13.8.1 擴展認證
13.8.2 模式配置
13.8.3 NAT透明
13.9 IPSec失效對等體的發現機制
13.10 實例研究
13.10.1 使用預共享密鑰作為認證機制的路由器到路由器的IPSec
13.10.2 使用數字簽名和數字證書的路由器到路由器的IPSec
13.10.3 使用RSA加密臨時值的路由器到路由器的IPSec
13.10.4 一對多路由器IPSec
13.10.5 High-Availability-IPSec-Over-GRE設置
13.10.6 使用x-auth、動態crypto映射、模式配置和預共享密鑰的遠程訪問IPSec
13.10.7 LAN-to-LAN和遠程訪問的PIX IPSec設置
13.10.8 使用自髮型隧道的L2TP上的IPSec
13.10.9 IPSec隧道終點發現（TED）
13.10.10 NAT同IPSec的相互作用
13.10.11 防火牆和IPSec的相互作用
13.11 小結
13.12 複習題

第五部分：入侵檢測
第14章 什麼是入侵檢測
14.1 對入侵檢測的需求
14.2 基於攻擊模式的網絡攻擊類型
14.2.1 拒絕服務攻擊
14.2.2 網絡訪問攻擊
14.3 基於攻擊發起者的網絡攻擊類型
14.3.1 由受信任的（內部）用戶發起的攻擊
14.3.2 由不受信任的（外部）用戶發起的攻擊
14.3.3 由沒有經驗的“腳本少年”黑客發起的攻擊
14.3.4 由有經驗的“專業”黑客發起的攻擊
14.4 常見的網絡攻擊
14.4.1 拒絕服務攻擊
14.4.2 資源耗盡類型的DoS攻擊
14.4.3 旨在導致常規操作系統操作立即停止的攻擊類型
14.4.4 網絡訪問攻擊
14.5 檢測入侵的過程
14.6 實例研究：Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉敗局的
14.7 小結

第15章 Cisco安全入侵檢測
15.1 Cisco安全IDS的組件
15.2 構建管理控制台
15.2.1 兩種類型的管理控制台
15.2.2 UNIX Director的內部結構
15.2.3 CSPM IDS控制台的內部結構
15.3 構建傳感器
15.4 對入侵的響應
15.4.1 日誌記錄
15.4.2 TCP重置
15.4.3 屏蔽
15.5 簽名類型
15.5.1 簽名引擎（Engine）
15.5.2 默認的警報級別
15.6 把路由器、PIX或者IDSM作為傳感器使用
15.7 實例研究
15.7.1 把路由器作為傳感器設備使用
15.7.2 把PIX作為傳感器設備使用
15.7.3 把Catalyst 6000 IDSM作為傳感器使用
15.7.4 設置路由器或者UNIX Director進行屏蔽
15.7.5 創建定制的簽名
15.8 小結
15.9 複習題

第六部分：網絡訪問控制
第16章 AAA
16.1 AAA組件的定義
16.2 認證概述
16.3 設置認證
16.3.1 啟用AAA
16.3.2 設置一個本地用戶認證參數數據庫或者設置對配置好的RADIUS或TACACS+ 服務器的訪問
16.3.3 設置方法列表
16.3.4 應用方法列表
16.4 授權概述
16.5 設置授權
16.5.1 設置方法列表
16.5.2 應用方法列表
16.6 統計概述
16.7 設置統計
16.7.1 設置一個方法列表
16.7.2 將方法列表應用到行和/或接口
16.8 實例研究
16.8.1 使用AAA對PPP連接進行認證和授權
16.8.2 使用AAA下載路由和應用訪問列表
16.8.3 使用AAA設置PPP超時
16.9 小結
16.10 複習題

第17章 TACACS+
17.1 TACACS+概述
17.2 TACACS+通信體系結構
17.3 TACACS+分組加密
17.4 TACACS+的認證
17.5 TACACS+的授權
17.6 TACACS+的統計
17.7 小結
17.8 複習題

第18章 RADIUS
18.1 RADIUS介紹
18.2 RADIUS通信的體系結構
18.2.1 RADIUS分組格式
18.2.2 RADIUS中的口令加密
18.2.3 RADIUS的認證
18.2.4 RADIUS的授權
18.2.5 RADIUS的統計
18.3 小結
18.4 複習題

第19章 使用AAA實現安全特性的特殊實例
19.1 使用AAA對IPSec提供預共享的密鑰
19.2 在ISAKMP中對X-Auth使用AAA
19.3 對Auth-Proxy使用AAA
19.4 對VPDN使用AAA
19.5 對鎖和密鑰使用AAA
19.6 使用AAA對命令授權
19.7 小結
19.8 複習題

第七部分：服務提供商安全
第20章 服務提供商安全的利益和挑戰
20.1 擁有服務提供商安全的動機
20.1.1 阻止和轉移攻擊的能力
20.1.2 跟蹤流量模式的能力
20.1.3 向下跟蹤攻擊源的能力
20.2 在服務提供商級別上實現安全的挑戰
20.3 服務提供商安全的關鍵組件
20.4 小結
20.5 複習題

第21章 有效使用訪問控制列表
21.1 訪問控制列表概述
21.1.1 ACL的類型
21.1.2 ACL的特性和特徵
21.2 使用訪問控制列表阻止未經授權的訪問
21.2.1 ACL的基本訪問控制功能
21.2.2 使用ACL阻塞ICMP分組
21.2.3 使用ACL阻塞帶有欺騙IP地址的分組
21.2.4 用ACL阻塞去往網絡中不可用服務的流量
21.2.5 使用ACL阻塞已知的冒犯
21.2.6 使用ACL阻塞假的和不必要的路由
21.3 使用ACL識別拒絕服務攻擊
21.3.1 使用訪問控制列表識別smurf攻擊
21.3.2 使用訪問控制列表識別fraggle攻擊
21.3.3 使用訪問控制列表識別SYN泛洪
21.4 使用ACL阻止拒絕服務攻擊
21.4.1 使用ACL阻止來自不合法IP地址的流量
21.4.2 過濾RFC 1918地址空間
21.4.3 拒絕其他不必要的流量
21.5 通過ACL處理IP分片
21.5.1 過濾IP分片
21.5.2 保護網絡免遭IP分片攻擊
21.6 ACL對性能的影響
21.7 Turbo ACL
21.8 NetFlow交換和ACL
21.8.1 NetFlow交換功能
21.8.2 NetFlow交換使訪問控制列表性能增強
21.8.3 使用NetFlow
21.9 小結
21.10 複習題

第22章 使用NBAR識別和控制攻擊
22.1 NBAR概述
22.2 使用NBAR對分組進行分類
22.3 使用NBAR檢測網絡攻擊
22.3.1 用帶有簡單訪問控制列表的DSCP或ToS標記或丟棄分組
22.3.2 使用帶有策略路由的DSCP或者ToS來標記或丟棄經NBAR分類的流量
22.3.3 用流量管制管理經NBAR分類的流量
22.4 聯合使用NBAR和PDLM對網絡攻擊分類
22.5 使用基於NBAR的訪問控制技術對性能的影響
22.6 實例研究：紅色代碼病毒和NBAR
22.7 小結
22.8 複習題

第23章 使用CAR控制攻擊
23.1 CAR概述
23.2 使用CAR限制速率或者丟棄額外的惡意流量
23.2.1 限制拒絕服務攻擊的速率
23.2.2 限制可疑惡意內容的速率
23.3 實例研究：使用CAR限制DDoS攻擊
23.4 小結
23.5 複習題

第八部分：故障排除
第24章 網絡安全實施故障排除
24.1 NAT故障排除
24.1.1 NAT操作的順序
24.1.2 NAT調試工具
24.1.3 NAT show命令
24.1.4 常見的NAT問題以及解決方案
24.2 PIX防火牆故障排除
24.2.1 引起與PIX相關的問題的根源
24.2.2 PIX中NAT操作的順序
24.2.3 PIX調試
24.2.4 推薦的PIX 6.2超時值
24.2.5 PIX show命令
24.2.6 常見的PIX問題及其解決方法
24.2.7 PIX故障排除實例研究
24.3 IOS防火牆故障排除
24.3.1 IOS防火牆中的操作順序
24.3.2 IOS防火牆的show命令
24.3.3 常見的IOS防火牆問題及其解決辦法
24.4 IPSec VPN故障排除
24.4.1 IPSec事件的執行順序
24.4.2 IPSec的調試
24.4.3 IPSec show命令
24.4.4 常見的IPSec問題以及解決辦法
24.5 入侵檢測故障排除
常見的IDS問題及解決辦法
24.6 AAA故障排除
24.6.1 AAA show命令
24.6.2 AAA的debug命令
24.6.3 常見的AAA問題和解決辦法
24.7 小結
24.8 複習題

第九部分：附錄
附錄A 複習題答案
附錄B SAFE：企業網絡安全藍圖白皮書