日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

目 錄

及時部分：網絡安全介紹

第1章網絡安全介紹3

1.1網絡安全目標4

1.2資產確定4

1.3威脅評估5

1.4風險評估6

1.5構建網絡安全策略6

1.6網絡安全策略的要素7

1.7部署網絡安全策略8

1.8網絡安全體系結構的部署9

1.9審計和改進9

1.10實例研究10

1.10.1資產確定10

1.10.2威脅確定11

1.10.3風險分析12

1.10.4定義安全策略13

1.11小結16

1.12復習題16

第二部分：構建網絡安全

第2章 定義安全區21

2.1安全區介紹21

2.2設計一個DMZ22

2.2.1使用一個三腳防火墻創建DMZ23

2.2.2DMZ置于防火墻之外，公共網絡和防火墻之間23

2.2.3DMZ置于防火墻之外，但不在公共網絡和防火墻之間的通道上24

2.2.4在層疊的防火墻之間創建DMZ25

2.3實例研究：使用PIX防火墻創建區26

2.4小結27

2.5復習題27

第3章 設備安全29

3.1物理安全30

3.1.1冗余位置30

3.1.2網絡拓撲設計30

3.1.3網絡位置的安全31

3.1.4選擇安全介質32

3.1.5電力供應32

3.1.6環境因素32

3.2設備冗余33

3.2.1路由冗余33

3.2.2HSRP35

3.2.3虛擬路由器冗余協議(VRRP)41

3.3路由器安全45

3.3.1配置管理45

3.3.2控制對路由器的訪問46

3.3.3對路由器的安全訪問49

3.3.4密碼管理50

3.3.5記錄路由器事件51

3.3.6禁用不需要的服務52

3.3.7使用環回接口52

3.3.8SNMP用作管理協議的控制53

3.3.9HTTP用作管理協議的控制55

3.3.10使用CEF作為交換機制56

3.3.11從安全的角度來建立調度表56

3.3.12使用NTP57

3.3.13登錄信息57

3.3.14獲取Core Dumps信息58

3.3.15在CPU高負載期間使用service nagle以改善Telnet訪問59

3.4PIX防火墻安全60

3.4.1配置管理60

3.4.2控制對PIX的訪問60

3.4.3安全訪問PIX61

3.4.4密碼管理62

3.4.5記錄PIX事件62

3.5交換機安全63

3.5.1配置管理63

3.5.2控制對交換機的訪問63

3.5.3對交換機的安全訪問64

3.5.4交換機事件日志64

3.5.5控制管理協議(基于SNMP的管理)65

3.5.6使用NTP65

3.5.7登錄信息66

3.5.8捕獲Core Dumps66

3.6小結66

3.7復習題66

第4章 路由安全69

4.1將安全作為路由設計的一部分70

4.1.1路由過濾70

4.1.2收斂性71

4.1.3靜態路由71

4.2路由器和路由認證72

4.3定向廣播控制75

4.4黑洞過濾75

4.5單播反向路徑轉發76

4.6路徑完整性78

4.6.1ICMP重定向78

4.6.2IP源路由78

4.7實例研究：BGP路由協議安全79

4.7.1BGP鄰居認證79

4.7.2入站路由過濾80

4.7.3出站路由過濾80

4.7.4BGP網絡通告80

4.7.5BGP多跳81

4.7.6BGP通信81

4.7.7禁用BGP版本協商81

4.7.8維持路由表的深度和穩定性81

4.7.9BGP鄰居狀態改變的日志記錄84

4.8實例研究：OSPF路由協議的安全84

4.8.1OSPF路由器認證84

4.8.2OSPF非廣播鄰居配置85

4.8.3使用末節區域85

4.8.4使用環回接口作為路由器ID87

4.8.5調整SPF計時器87

4.8.6路由過濾88

4.9小結88

4.10復習題89

第5章 局域網交換的安全91

5.1普通交換和第2層安全92

5.2端口安全93

MAC地址泛洪和端口安全93

5.3IP許可列表95

5.4協議過濾和控制LAN泛洪96

5.5Catalyst 6000上的專用VLAN97

ARP欺騙、粘性ARP和專用VLAN99

5.6使用IEEE 802.1x標準進行端口認證和訪問控制99

5.6.1802.1x實體99

5.6.2802.1x通信100

5.6.3802.1x功能104

5.6.4使用802.1x建立Catalyst 6000端口認證106

5.7小結108

5.8復習題108

第6章 網絡地址轉換與安全111

6.1網絡地址轉換的安全利益112

6.2依賴NAT提供安全的缺點113

6.2.1除了端口號信息外沒有協議信息跟蹤113

6.2.2基于PAT表沒有限制數據流的類型113

6.2.3初始連接上有限的控制113

6.3小結114

6.4復習題114

第三部分：防火墻

第7章 什么是防火墻119

7.1防火墻119

7.1.1日志和通告發送能力120

7.1.2大規模的數據包檢查120

7.1.3易于配置121

7.1.4設備安全和冗余121

7.2防火墻的類型122

7.2.1電路級防火墻122

7.2.2服務器防火墻122

7.2.3無狀態分組過濾器防火墻123

7.2.4有狀態分組過濾器防火墻123

7.2.5個人防火墻124

7.3防火墻的位置124

7.4小結125

第8章 PIX防火墻127

8.1自適應安全算法127

8.1.1TCP128

8.1.2UDP130

8.2PIX防火墻的基本特性131

8.2.1使用ASA的狀態化流量檢測131

8.2.2為接口分配不同的安全級別132

8.2.3訪問控制列表132

8.2.4擴展的日志能力133

8.2.5基本的路由能力，包括對RIP的支持134

8.2.6網絡地址轉換134

8.2.7失效處理機制和冗余135

8.2.8認證通過PIX的流量137

8.3PIX防火墻的高級特性137

8.3.1別名138

8.3.2X防護141

8.3.3高級過濾142

8.3.4多媒體支持143

8.3.5欺騙檢測或者單播RPF145

8.3.6協議修正146

8.3.7混雜的sysopt命令146

8.3.8多播支持148

8.3.9分片處理150

8.4實例研究151

8.4.1帶有三個接口，運行在DMZ的Web服務器上的PIX152

8.4.2為PIX設置失效處理157

8.4.3為DMZ上的服務器使用alias命令設置PIX160

8.4.4為貫穿式認證和授權設置PIX163

8.4.5使用Object Groups和TurboACL來擴展PIX配置166

8.5小結170

8.6復習題171

第9章 IOS防火墻173

9.1基于上下文的訪問控制173

CBAC功能174

9.2IOS防火墻的特性175

9.2.1傳輸層檢查176

9.2.2應用層檢查176

9.2.3對無效命令進行過濾177

9.2.4Java阻塞177

9.2.5針對拒絕服務攻擊的安全防護177

9.2.6IOS防火墻中的分片處理180

9.3實例研究：配置了NAT的路由器上的CBAC180

9.4小結185

9.5復習題185

第四部分：VPN

第10章 VPN的概念189

10.1VPN定義189

10.2基于加密與不加密的VPN類型比較190

10.2.1加密VPN190

10.2.2非加密VPN190

10.3基于OSI模型分層的VPN類型190

10.3.1數據鏈路層VPN191

10.3.2網絡層VPN191

10.3.3應用層VPN191

10.4基于商業功能性的VPN類型192

10.5內部網VPN192

10.6外部網VPN192

10.7小結193

第11章 GRE195

11.1GRE195

11.2實例研究198

11.2.1連接兩個私有網絡的簡單GRE隧道198

11.2.2多個站點間的GRE202

11.2.3運行IPX的兩個站點間的GRE206

11.3小結211

11.4復習題211

第12章 L2TP213

12.1L2TP概述213

12.2L2TP的功能細節215

12.2.1建立控制連接216

12.2.2建立會話216

12.2.3頭格式218

12.3實例研究219

12.3.1創建強制型L2TP隧道220

12.3.2在強制型隧道的創建中使用IPSec保護L2TP通信235

12.4小結240

12.5復習題240

第13章 IPSec243

13.1IPSec VPN的類型244

13.1.1LAN-to-LAN IPSec實現244

13.1.2遠程訪問客戶端IPSec實現245

13.2IPSec的組成246

13.3IKE介紹247

13.3.1主模式(或者主動模式)的目標248

13.3.2快速模式的目標249

13.4使用IKE協議的IPSec協商249

13.4.1使用預共享密鑰認證的主模式后接快速模式的協商249

13.4.2使用數字簽名認證后接快速模式的主模式263

13.4.3使用預共享密鑰認證的主動模式267

13.5IKE認證機制270

13.5.1預共享密鑰270

13.5.2數字簽名271

13.5.3加密臨時值272

13.6IPSec中加密和完整性檢驗機制273

13.6.1加密273

13.6.2完整性檢驗275

13.7IPSec中分組的封裝276

13.7.1傳輸模式276

13.7.2隧道模式276

13.7.3ESP(封裝安全負載)277

13.7.4AH(認證頭)278

13.8增強遠程訪問客戶端IPSec的IKE279

13.8.1擴展認證279

13.8.2模式配置282

13.8.3NAT透明283

13.9IPSec失效對等體的發現機制284

13.10實例研究285

13.10.1使用預共享密鑰作為認證機制的路由器到路由器的IPSec285

13.10.2使用數字簽名和數字證書的路由器到路由器的IPSec299

13.10.3使用RSA加密臨時值的路由器到路由器的IPSec310

13.10.4一對多路由器IPSec317

13.10.5High-Availability-IPSec-Over-GRE設置323

13.10.6使用x-auth、動態crypto映射、模式配置和預共享密鑰的遠程訪問IPSec328

13.10.7LAN-to-LAN和遠程訪問的PIX IPSec設置331

13.10.8使用自發型隧道的L2TP上的IPSec336

13.10.9IPSec隧道終點發現(TED)341

13.10.10NAT同IPSec的相互作用354

13.10.11防火墻和IPSec的相互作用356

13.11小結357

13.12復習題357

第五部分：入侵檢測

第14章 什么是入侵檢測361

14.1對入侵檢測的需求362

14.2基于攻擊模式的網絡攻擊類型363

14.2.1拒絕服務攻擊363

14.2.2網絡訪問攻擊363

14.3基于攻擊發起者的網絡攻擊類型364

14.3.1由受信任的(內部)用戶發起的攻擊365

14.3.2由不受信任的(外部)用戶發起的攻擊365

14.3.3由沒有經驗的"腳本少年"黑客發起的攻擊365

14.3.4由有經驗的"專業"黑客發起的攻擊366

14.4常見的網絡攻擊367

14.4.1拒絕服務攻擊367

14.4.2資源耗盡類型的DoS攻擊367

14.4.3旨在導致常規操作系統操作立即停止的攻擊類型374

14.4.4網絡訪問攻擊375

14.5檢測入侵的過程378

14.6實例研究：Kevin Metnick對Tsutomu Shimomura的計算機進行的攻擊以及IDS是如何扭轉敗局的380

14.7小結381

第15章 Cisco安全入侵檢測385

15.1Cisco安全IDS的組件386

15.2構建管理控制臺389

15.2.1兩種類型的管理控制臺389

15.2.2UNIX Director的內部結構389

15.2.3CSPM IDS控制臺的內部結構392

15.3構建傳感器393

15.4對入侵的響應396

15.4.1日志記錄397

15.4.2TCP重置400

15.4.3屏蔽400

15.5簽名類型401

15.5.1簽名引擎(Engine)402

15.5.2默認的警報級別403

15.6把路由器、PIX或者IDSM作為傳感器使用404

15.7實例研究405

15.7.1把路由器作為傳感器設備使用405

15.7.2把PIX作為傳感器設備使用409

15.7.3把Catalyst 6000 IDSM作為傳感器使用412

15.7.4設置路由器或者UNIX Director進行屏蔽416

15.7.5創建定制的簽名418

15.8小結419

15.9復習題419

第六部分：網絡訪問控制

第16章 AAA423

16.1AAA組件的定義423

16.2認證概述424

16.3設置認證425

16.3.1啟用AAA425

16.3.2設置一個本地用戶認證參數數據庫或者設置對配置好的RADIUS或TACACS+ 服務器的訪問425

16.3.3設置方法列表426

16.3.4應用方法列表428

16.4授權概述429

16.5設置授權429

16.5.1設置方法列表429

16.5.2應用方法列表430

16.6統計概述432

16.7設置統計433

16.7.1設置一個方法列表433

16.7.2將方法列表應用到行和/或接口434

16.8實例研究435

16.8.1使用AAA對PPP連接進行認證和授權435

16.8.2使用AAA下載路由和應用訪問列表438

16.8.3使用AAA設置PPP超時441

16.9小結443

16.10復習題443

第17章 TACACS+445

17.1TACACS+概述446

17.2TACACS+通信體系結構446

17.3TACACS+分組加密448

17.4TACACS+的認證449

17.5TACACS+的授權450

17.6TACACS+的統計455

17.7小結457

17.8復習題458

第18章 RADIUS461

18.1RADIUS介紹461

18.2RADIUS通信的體系結構462

18.2.1RADIUS分組格式463

18.2.2RADIUS中的口令加密464

18.2.3RADIUS的認證465

18.2.4RADIUS的授權466

18.2.5RADIUS的統計472

18.3小結474

18.4復習題475

第19章 使用AAA實現安全特性的特殊實例477

19.1使用AAA對IPSec提供預共享的密鑰478

19.2在ISAKMP中對X-Auth使用AAA480

19.3對Auth-Proxy使用AAA482

19.4對VPDN使用AAA485

19.5對鎖和密鑰使用AAA488

19.6使用AAA對命令授權490

19.7小結492

19.8復習題492

第七部分：服務提供商安全

第20章 服務提供商安全的利益和挑戰497

20.1擁有服務提供商安全的動機497

20.1.1阻止和轉移攻擊的能力498

20.1.2跟蹤流量模式的能力499

20.1.3向下跟蹤攻擊源的能力499

20.2在服務提供商級別上實現安全的挑戰502

20.3服務提供商安全的關鍵組件503

20.4小結503

20.5復習題503

第21章 有效使用訪問控制列表505

21.1訪問控制列表概述506

21.1.1ACL的類型506

21.1.2ACL的特性和特征509

21.2使用訪問控制列表阻止未經授權的訪問510

21.2.1ACL的基本訪問控制功能510

21.2.2使用ACL阻塞ICMP分組511

21.2.3使用ACL阻塞帶有欺騙IP地址的分組512

21.2.4用ACL阻塞去往網絡中不可用服務的流量512

21.2.5使用ACL阻塞已知的冒犯513

21.2.6使用ACL阻塞假的和不必要的路由513

21.3使用ACL識別拒絕服務攻擊513

21.3.1使用訪問控制列表識別smurf攻擊513

21.3.2使用訪問控制列表識別fraggle攻擊515

21.3.3使用訪問控制列表識別SYN泛洪516

21.4使用ACL阻止拒絕服務攻擊517

21.4.1使用ACL阻止來自不合法IP地址的流量517

21.4.2過濾RFC 1918地址空間519