网络工程师必读 网络安全系统设计【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

网络工程师必读 网络安全系统设计PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　网络安全系统设计综述1

1.1 网络安全系统设计基础2

1.1.1 网络安全的发展2

1.1.2　网络安全威胁基础4

1.1.3　企业网络的主要安全隐患6

1.1.4　网络安全系统的基本组成7

1.2　OSI/RM各层的安全保护9

1.2.1　物理层的安全保护9

1.2.2　数据链路层的安全保护11

1.2.3 网络层的安全保护12

1.2.4　传输层的安全保护13

1.2.5　会话层和表示层的安全保护14

1.2.6　应用层的安全保护15

1.3　系统层的安全保护16

1.4　网络安全系统设计16

1.4.1 网络安全策略16

1.4.2 网络安全系统设计的基本原则17

1.5 网络安全系统设计的基本思路20

1.5.1　安全隐患分析和基本系统结构信息的收集20

1.5.2　调查和分析当前网络的安全需求23

1.5.3　评估现有网络安全策略24

1.5.4　设计细化的新网络安全策略初稿25

1.5.5　第一次小范围的测试、评估和修改31

1.5.6　第二次中、大范围的测试、评估和修改32

1.5.7　新网络安全策略文档终稿32

1.5.8　新网络安全策略系统的正式应用32

第2章　物理层的网络安全保护方案33

2.1 物理层安全保护概述34

2.2　物理层的线路窃听技术分析34

2.3　计算机网络通信线路屏蔽35

2.3.1 选择屏蔽性能好的传输介质和适配器36

2.3.2　屏蔽机房和机柜的选择38

2.3.3 WLAN无线网络的物理层安全保护39

2.4　物理线路隔离40

2.4.1　主要物理隔离产品40

2.4.2　物理隔离网闸的隔离原理43

2.4.3 物理隔离网闸的典型应用46

2.5　设备和线路冗余46

2.5.1 网络设备部件冗余47

2.5.2　网络设备整机冗余49

2.5.3 网络线路冗余51

2.6　机房和账户安全管理51

2.6.1　机房安全管理51

2.6.2　账户安全管理52

2.7　数据安全管理52

2.7.1　数据容灾概述53

2.7.2　容灾与存储、容错、备份和远程复制的关系54

2.7.3　数据容灾等级56

2.7.4 灾难恢复的关键注意事项60

2.8　物理层安全管理工具61

2.8.1 泛达综合布线实时管理系统61

2.8.2　Molex综合布线实时管理系统64

2.9　服务和服务账户安全规划66

2.9.1 服务和服务账户安全规划概述66

2.9.2　服务的安全漏洞和账户67

2.9.3 Windows Server 2003中服务的默认安全设置更改69

2.9.4　安全运行服务的原则70

2.9.5　如何更安全地运行服务72

第3章　数据链路层的安全保护方案81

3.1　典型数据加密算法82

3.1.1　基于“消息摘要”的算法82

3.1.2 “对称／非对称密钥”加密算法85

3.2　数据加密87

3.2.1　数据加密技术87

3.2.2　链路加密机90

3.2.3 网卡集成式链路加密原理92

3.3 WLAN SSID安全技术及配置方法94

3.3.1 SSID概念及配置方法94

3.3.2 BSSID和ESSID95

3.3.3 SSID的安全问题96

3.4 WLAN MAC地址过滤97

3.5　WLAN WEP加密98

3.5.1 WEP加密原理98

3.5.2　WEP解密原理99

3.5.3 WEP加密的不足99

3.5.4　WEP加密的配置方法100

3.6　WPA加密102

3.6.1　WPA的WLAN链路加密102

3.6.2　WPA中的IEEE 802.1x身份认证系统103

3.6.3 EAPOL消息的封装105

3.6.4 IEEE 802.1x的认证过程107

3.7　WPA2加密111

3.7.1　WPA2简介111

3.7.2 AES-CCMP基础112

3.7.3　AES算法的基本原理113

3.7.4 WPA2 AES-CCMP加／解密原理115

3.8　无线AP／路由器的WPA和WPA2设置118

3.8.1 个人用户无线AP／路由器的WPA-PSK或WPA2-PSK设置119

3.8.2　企业级无线AP／路由器的WPA或WPA2设置120

3.8.3 WLAN客户端第三方软件的WPA和WPA2设置121

3.8.4 Windows XP无线客户端WPA/WPA2配置125

3.9　最新的WLAN安全标准——IEEE 802.11i126

3.9.1 IEEE 802.11i概述127

3.9.2　WRAP加密机抽制127

3.10　MAC地址欺骗防护129

3.10.1 ARP和RARP协议工作原理130

3.10.2　ARP协议帧格式131

3.10.3　MAC地址欺骗原理132

3.10.4　MAC地址欺骗预防133

3.11 Cisco设备上基于端口的MAC地址绑定136

3.11.1 基于端口的单一MAC地址绑定基本配置步骤136

3.11.2　基于端口的单一MAC地址绑定配置示例138

3.12　Cisco基于端口的多MAC地址绑定138

3.12.1 基于端口的多MAC地址绑定配置思路138

3.12.2　基于端口的多MAC地址绑定配置示例139

3.13 Cisco设备上基于IP的MAC地址绑定139

3.13.1 一对一的MAC地址与IP地址绑定139

3.13.2　一对多，或者多对多的MAC地址与IP地址绑定示例140

3.14　H3C S5600交换机基于端口的MAC地址绑定141

3.14.1 S5100系列交换机的Security MAC地址配置141

3.14.2　S5600系列交换机的Security MAC地址配置142

3.15 H3C SR8800系列业务路由器MAC和IP地址绑定144

3.15.1　MAC和IP地址绑定配置144

3.15.2　MAC和IP地址绑定典型配置示例146

3.16　H3C SecPath系列防火墙上的MAC和IP地址绑定147

3.16.1　MAC和IP地址绑定配置148

3.16.2　MAC和IP地址绑定典型配置示例149

3.17　网络嗅探的防护149

3.17.1 网络嗅探原理149

3.17.2 网络嗅探的防范151

第4章 网络层防火墙安全保护方案153

4.1 防火墙的分类和技术154

4.1.1 包过滤防火墙简介154

4.1.2　包过滤技术的发展155

4.1.3 包过滤原理155

4.1.4　包过滤技术的主要优、缺点156

4.1.5　代理防火墙157

4.2　防火墙系统的设计158

4.2.1 内、外部防火墙系统158

4.2.2　防火墙在企业网络体系结构中的位置159

4.2.3　典型防火墙系统设计161

4.3 防火墙在网络安全防护中的主要应用164

4.3.1　控制来自互联网对内部网络的访问164

4.3.2　控制来自第三方局域网对内部网络的访问166

4.3.3　控制局域网内部不同部门之间的访问167

4.3.4　控制对服务器中心的网络访问168

4.4　内部防火墙系统设计169

4.4.1 内部防火墙系统概述170

4.4.2 内部防火墙规则170

4.4.3 内部防火墙的可用性需求171

4.4.4 内部容错防火墙集配置174

4.4.5　内部防火墙系统设计的其他因素要求175

4.5　外围防火墙系统设计177

4.5.1　外围防火墙系统概述178

4.5.2　外围防火墙规则178

4.5.3　外围防火墙系统的可用性要求179

第5章　网络层Kerberos身份认证方案181

5.1　身份认证概述182

5.1.1　单点登录身份认证执行方式182

5.1.2　主要的身份认证类型183

5.2　Kerberos身份认证基础183

5.2.1 Kerberos V5身份认证机制184

5.2.2　Kerberos V5身份认证的优点与缺点187

5.2.3 Kerberos V5协议标准188

5.2.4　Kerberos V5身份认证所用端口190

5.3　Kerberos SSP认证190

5.4　Kerberos物理结构192

5.4.1 Kerberos中的密钥192

5.4.2　Kerbetos票证195

5.4.3　认证符199

5.4.4　凭证缓存200

5.4.5　密钥分发中心（KDC）200

5.5　Kerberos V5交换和消息摘要204

5.5.1 Kerberos V5身份认证的3个子协议204

5.5.2　身份认证服务（AS）交换205

5.5.3 票证许可服务（TGS）交换206

5.5.4　客户端／服务器（CS）交换207

5.6　Kerberos交换消息详解207

5.6.1　身份认证服务交换消息详解208

5.6.2　票证许可服务交换消息详解211

5.6.3　客户端／服务器身份认证交换消息详解214

5.7　Kerberos身份认证应用示例216

5.7.1　本地登录示例216

5.7.2　域登录示例217

5.7.3　域用户的工作站登录217

5.7.4　单域身份认证示例223

5.7.5　用户到用户的身份认证226

5.8　Kerberos V5身份认证的启用与策略配置228

第6章　网络层证书身份认证、加密和签名方案231

6.1 证书和证书服务基础232

6.1.1　证书概述232

6.1.2　证书的主要功能233

6.1.3　证书的主要应用235

6.1.4　证书客户端角色239

6.1.5　证书服务概述240

6.2　CA证书241

6.2.1 CA证书简介241

6.2.2　CA证书应用的情形242

6.3　证书结构243

6.3.1　证书体系架构243

6.3.2　证书模板245

6.3.3　证书的物理和逻辑存储250

6.3.4　证书存储区253

6.4　CA证书进程和交互255

6.4.1　根CA证书是如何被创建的256

6.4.2　根CA证书是如何被更新的257

6.4.3　从属CA证书是如何被创建的258

6.4.4　合格的从属策略是如何被应用的259

6.5　证书服务体系架构260

6.5.1　证书服务引擎261

6.5.2　策略模块262

6.5.3　客户端策略模块263

6.5.4　退出模块263

6.5.5　证书数据库264

6.5.6　CryptoAPI接口264

6.5.7　证书服务协议264

6.6　证书服务接口265

6.7　证书服务物理结构266

6.7.1　证书数据库和CA日志文件267

6.7.2　注册表267

6.7.3　活动目录267

6.7.4　文件系统269

6.8　证书服务进程和交互270

6.8.1　证书是如何创建的270

6.8.2　证书的自动注册272

6.8.3　证书的手动注册277

6.8.4 自定义证书注册和更新应用279

6.8.5　使用可选组件注册和续订281

6.8.6　证书是如何吊销的283

6.9　证书模板属性选项和设计287

6.9.1　证书模板属性选项287

6.9.2　证书模板设计方面的考虑294

6.9.3　证书模板规划注意事项296

6.9.4　证书模板的部署299

第7章　网络层PKI综合应用方案设计303

7.1　本章概述304

7.1.1　部署PKI的必要性和本章所使用的技术304

7.1.2　规划和部署PKI的基本流程306

7.2　定义证书需求307

7.2.1　确定安全应用需求308

7.2.2　确定证书需求312

7.2.3 文档化证书策略和证书实施声明314

7.2.4　定义证书应用需求示例315

7.3　设计证书颁发机构层次结构316

7.3.1　规划核心CA选项——设计根CA317

7.3.2　规划核心CA选项——选择内部与第三方CA318

7.3.3　规划核心CA选项——评估CA容量、性能和可扩展需求320

7.3.4　规划核心CA选项——PKI管理模式322

7.3.5　规划核心CA选项——CA类型和角色323

7.3.6　规划核心CA选项——整体活动目录结构327

7.3.7　规划核心CA选项——CA安全性329

7.3.8　规划核心CA选项——确定CA数量333

7.3.9　选择信任模式334

7.3.10　在信任层次结构中定义CA角色338

7.3.11　建立命名协定338

7.3.12　选择CA数据库位置338

7.3.13　CA结构设计示例339

7.4　扩展证书颁发机构结构341

7.4.1　评估影响扩展信任的因素341

7.4.2　选择扩展CA结构配置344

7.4.3 限制计划外的信任346

7.5　定义证书配置文件348

7.5.1　选择证书模板349

7.5.2　选择证书安全选项350

7.5.3　使用合格的从属来限制证书354

7.5.4　配置证书示例359

7.6　创建证书管理规划360

7.6.1　选择注册和续订方法361

7.6.2　将证书映射到身份363

7.6.3　创建证书吊销策略368

7.6.4　规划密钥和数据恢复372

7.6.5　创建证书管理规划示例375

第8章　网络层IPSec身份认证和加密方案377

8.1 IPSec基础378

8.1.1　什么是IPSec378

8.1.2　IPSec的设计初衷379

8.1.3　IPSec的优势381

8.2　IPSec提供的安全服务382

8.2.1　IPSec提供的安全属性382

8.2.2　Kerberos V5身份认证协议383

8.2.3　基于公钥证书的身份认证383

8.2.4　预共享密钥验证384

8.2.5　采用哈希函数的数据完整性验证384

8.2.6　具有加密功能的数据保密性385

8.2.7 密钥管理386

8.2.8 密钥保护386

8.3　IPSec的使用模式388

8.3.1　传输模式388

8.3.2　隧道模式389

8.4　IPSec协议类型389

8.4.1 IPSec AH协议390

8.4.2　IPSec ESP协议394

8.5 Windows Server 2003中的IPSec397

8.5.1　IPSec逻辑体系架构398

8.5.2　IPSec身份认证和组件401

8.5.3　策略代理体系架构402

8.5.4　IKE模块体系架构405

8.5.5　IPSec驱动体系架构407

8.5.6　IPSec策略数据结构407

8.5.7　IPSec分配的网络端口和协议410

8.5.8　IPSec策略规则411

8.6　IPSec密钥安全关联和密钥交换原理415

8.6.1　安全关联基本原理和类型415

8.6.2　主模式协商SA417

8.6.3　快速模式协商SA424

8.6.4　密钥交换原理426

8.6.5　SA生存期427

8.7　IPSec驱动工作原理427

8.7.1　IPSec驱动的职责427

8.7.2　IPSec驱动通信428

8.7.3　IPSec驱动程序模式428

8.7.4　1PSec驱动的包处理430

8.8　IPSec策略及策略筛选器431

8.8.1　IPSec策略431

8.8.2　IPSec策略规则433

8.8.3 默认响应规则434

8.8.4　IPSec策略筛选器435

8.8.5　IPSec筛选器的应用顺序437

8.8.6　IPSec筛选中的默认排除438

8.8.7　IPSec筛选器的设计考虑440

8.9 Windows Server 2003 IPSec系统的部署441

8.9.1 Windows Server 2003N IPSec部署的简易性441

8.9.2 部署Windows Server 2003 IPSec前所需的确认442

8.9.3　IPSec策略设计与规划的最佳操作442

8.9.4　建立IPSec安全计划445

8.9.5　策略配置446

8.9.6　默认筛选器列表446

8.9.7　默认响应规则448

8.9.8　IPSec策略的应用方法450

8.10　IPSec应用方案设计453

8.10.1　IPSec安全通信方案的主要应用454

8.10.2　不推荐的IPSec方案458

8.10.3 管理使用仅在Windows Server 2003家族中可用的新增功能的策略458

8.10.4　IP筛选器配置的考虑459

8.10.5 筛选器操作的配置考虑461

8.11 IPSec策略的应用方案配置462

8.11.1　IPSec方案配置前的准备462

8.11.2　IPSec安全方案配置的基本步骤463

8.11.3　IPSec在Web服务器访问限制中的应用示例464

8.11.4　IPSec在数据库服务器访问限制中的应用示例475

8.11.5　IPSec在阻止NetBIOS攻击中的应用示例476

8.11.6　IPSec在保护远程访问通信中的应用示例478

第9章　传输层TLS/SSL身份认证和加密方案481

9.1 TLS/SSL基础482

9.1.1 TLS/SSL简介482

9.1.2 TLS/SSL标准的历史483

9.1.3 TLS与SSL的区别483

9.1.4 TLS/SSL所带来的好处484

9.1.5　TLS/SSL的局限性485

9.1.6　常见的TLS/SSL应用485

9.1.7　安全通道技术487

9.1.8 TLS和SSL的依从487

9.2　TLS/SSL体系架构488

9.2.1　安全通道SSPI体系架构488

9.2.2 TLS/SSL体系架构490

9.2.3 TLS/SSL握手协议491

9.2.4　记录层495

9.3 TLS/SSL工作原理495

9.3.1 TLS/SSL进程和交互机制495

9.3.2　TLS的完整握手过程497

9.3.3　客户端Hello消息498

9.3.4　服务器Hello消息501

9.3.5　客户端响应Hello消息503

9.3.6　计算主密钥和子系列密钥504

9.3.7　完成消息505

9.3.8　应用数据流506

9.3.9　恢复安全会话507

9.3.10　重新协商方法507

9.3.11 安全通道的证书映射509

9.3.12 TLS/SSL所使用的网络端口510

9.4　WTLS511

9.4.1 WAP的主要特点和体系架构511

9.4.2　WAP架构与WWW架构的比较514

9.4.3　WAP安全机制516

9.4.4　WTLS体系架构518

9.4.5 WTLS的安全功能519

9.4.6 WTLS与TLS的区别520

9.5　SSL在IIS Web服务器中的应用522

9.5.1 安装CA522

9.5.2　生成证书申请524

9.5.3　提交证书申请527

9.5.4　证书的颁发和导出530

9.5.5　在Web服务器上安装证书532

9.5.6　在Web服务器上启用SSL534

9.6 SSL VPN535

9.6.1 SSL VPN网络结构和主要应用536

9.6.2　SSL VPN的主要优势和不足537

第10章　应用层Web服务器的综合安全系统设计与配置541

10.1　我国网站安全现状542

10.2　Web服务器的身份验证技术选择543

10.2.1 NTLM身份验证机制选择和配置方法543

10.2.2　Kerberos身份验证机制选择和配置方法547

10.2.3　摘要式身份验证机制选择和配置方法548

10.2.4　公钥加密身份认证机制选择553

10.2.5　证书身份认证机制选择和配置方法555

10.3　Web服务器传输层安全技术选择558

10.4　Web服务器的安全威胁与对策559

10.4.1　主机枚举560

10.4.2　拒绝服务562

10.4.3 未经授权的访问562

10.4.4　随意代码执行563

10.4.5　特权提升563

10.4.6　病毒、蠕虫和特洛伊木马564

10.5　安全Web服务器检查表564

10.6　Windows Server 2003 Web服务器安全策略设计580

10.6.1　Web服务器的匿名访问和SSLF设置581

10.6.2　Web服务器审核策略设置582

10.6.3　Web服务器用户权限分配策略设置591

10.6.4　Web服务器的安全选项策略设置600

10.6.5　Web服务器的事件日志策略设置617

10.6.6　Web服务器的其他安全策略设置619

第11章　WLAN网络综合安全系统设计与配置629

11.1 选择WLAN的安全策略630

11.1.1　WLAN面临的主要安全问题630

11.1.2　WLAN安全策略的决策631

11.1.3 如何真正确保WLAN的安全633

11.1.4　WLAN的身份验证和授权634

11.1.5 WLAN的数据保护635

11.1.6　使用WLAN数据保护的IEEE 802.1x的优点637

11.2　WLAN安全方案选择637

11.2.1 不部署WLAN技术638

11.2.2　使用基于802.11静态WEP的基本安全638

11.2.3 使用EAP和动态加密密钥的IEEE 802.1x639

11.2.4 使用EAP-TLS的IEEE 802.1x640

11.2.5 使用PEAP的IEEE 802.1x640

11.2.6　使用VPN技术保护WLAN网络641

11.2.7　使用IPSec保护WLAN643

11.2.8　主要WLAN安全方案比较644

11.3 使用IEEE 802.1x设计WLAN安全系统645

11.3.1 IEEE 802.1x WALN安全方案设计基本思路645

11.3.2 使用IEEE 802.1x和加密确保WLAN安全646

11.3.3 使用证书或密码646

11.3.4　解决方案的先决条件647

11.3.5　WLAN安全选项考虑648

11.3.6 确定IEEE 802.1x WLAN所需的软件设置654

11.3.7　其他注意事项658

11.4 使用IEEE 802.1x实现WLAN安全性659

11.4.1 方案实现基本思路659

11.4.2 IEEE 802.1x WLAN计划工作表660

11.4.3 准备安全WLAN的环境661

11.4.4　配置和部署WLAN身份验证证书662

11.4.5 配置WLAN访问基础结构671

11.4.6　让用户和计算机能够访问安全WLAN675

11.4.7 配置IEEE 802.1x网络的无线接入点680

11.4.8　测试和验证681

11.5 IEEE 802.1x EAP-TLS WLAN安全方案网络结构设计681

11.5.1 IEEE 802.1x EAP-TLS身份验证解决方案概述681

11.5.2 IEEE 802.1x EAP-TLS WLAN网络安全结构方案设计标准684

11.5.3 IEEE 802.1x EAP-TLS方案网络结构逻辑设计与评估686

11.6　使用PEAP和密码确保无线LAN的安全692

11.6.1　解决方案的基本思路692

11.6.2　PEAP解决方案的优势和工作原理693

11.6.3 组织结构和IT环境计划696

11.6.4　方案设计标准计划697

11.6.5 WLAN体系结构部署计划698

11.6.6　针对大型组织的扩展计划710

11.6.7　解决方案体系结构的变化计划712

11.6.8 准备安全WLAN网络环境715

11.6.9　方案网络证书颁发机构构建725

11.6.10 WLAN安全的基础结构构建728

11.6.11 WLAN客户端配置741

后记747