网络安全体系结构2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

网络安全体系结构PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 网络安全基础3

第1章 网络安全公理3

1.1 网络安全是一个系统4

1.2 必须首先考虑业务的优先级6

1.3 网络安全催生良好的网络设计8

1.4 一切皆为目标10

1.5 一切皆为武器11

1.6 设法简化操作13

1.7 良好的网络安全策略是具有预见性的16

1.8 不要通过隐匿来提高系统的安全性18

1.9 机密性不等同于安全20

1.10 总结21

1.11 参考资料22

1.12 应用知识问题22

第2章 安全策略与运行生命周期25

2.1 网络安全千金难买26

2.2 什么是安全策略27

2.2.1 实施安全策略需要考虑的事项28

2.3 安全系统的开发与运行概述30

2.3.1 安全系统的开发31

2.3.2 安全系统运作的生命周期42

2.4 总结46

2.5 参考资料46

2.6 应用知识问题47

第3章 安全联网的威胁49

3.1 攻击过程50

3.2 攻击者的类型51

3.2.1 脚本小子52

3.2.2 解密者52

3.2.3 精英53

3.3 弱点类型53

3.3.1 软件弱点54

3.3.2 硬件弱点54

3.3.3 配置弱点55

3.3.4 策略弱点55

3.3.5 使用弱点56

3.4 攻击结果56

3.4.1 信息泄密56

3.4.2 信息损坏56

3.4.3 拒绝服务56

3.4.4 服务被盗57

3.4.5 访问权增大57

3.5 攻击分类57

3.5.1 读取攻击62

3.5.2 操纵攻击69

3.5.3 欺骗攻击74

3.5.4 泛洪84

3.5.5 重定向93

3.5.6 混合型攻击97

3.6 总结104

3.7 参考资料105

3.8 应用知识问题107

第4章 网络安全技术109

4.1 实现网络安全的难点109

4.2 安全技术114

4.2.1 身份识别技术114

4.2.2 主机和应用安全122

4.2.3 网络防火墙128

4.2.4 内容过滤131

4.2.5 网络入侵检测系统135

4.2.6 加密技术138

4.3 新兴安全技术143

4.3.1 混合主机解决方案143

4.3.2 在线（inline）NIDS144

4.3.3 应用防火墙144

4.4 总结144

4.5 参考资料148

4.6 应用知识问题148

第二部分 设计安全网络153

第5章 设备安全强化153

5.1 安全强化战略的组成153

5.1.1 安全策略154

5.1.2 设备位置154

5.1.3 威胁配置文件154

5.1.4 功能需求154

5.1.5 管理需求155

5.2 网络设备155

5.2.1 路由器156

5.2.2 交换机166

5.2.3 防火墙167

5.2.4 NIDS169

5.3 主机操作系统170

5.3.1 分区磁盘空间171

5.3.2 关闭不需要的服务171

5.3.3 为需要的服务打补丁171

5.3.4 记录关键事件172

5.4 应用程序172

5.5 基于设备的网络服务173

5.6 无赖设备检测174

5.7 总结175

5.8 参考资料175

5.9 应用知识问题176

第6章 常规设计考虑179

6.1 物理安全问题179

6.1.1 控制对设施的物理访问180

6.1.2 控制对数据中心的物理访问182

6.1.3 用于非安全位置的隔离身份识别机制183

6.1.4 防止非安全位置的密码恢复机制184

6.1.5 清楚线缆线路问题184

6.1.6 清楚电磁辐射问题185

6.1.7 清楚物理PC安全威胁185

6.2 第2层安全考虑186

6.2.1 L2控制协议186

6.2.2 MAC泛洪考虑194

6.2.3 VLAN跳转考虑197

6.2.4 ARP考虑200

6.2.5 DHCP考虑203

6.2.6 私有VLAN205

6.2.7 L2最佳做法推荐208

6.3 IP寻址设计考虑208

6.3.1 通用最佳做法和路由汇总208

6.3.2 入站／出站过滤211

6.3.3 NAT216

6.4 ICMP设计考虑218

6.4.1 ICMP消息类型过滤218

6.5 路由选择考虑223

6.5.1 路由选择协议安全224

6.5.2 非对称路由与可感知状态的安全技术230

6.6 传输协议设计考虑234

6.7 DoS设计考虑234

6.7.1 网络泛洪设计考虑234

6.7.2 TCP SYN泛洪设计考虑243

6.7.3 ICMP不可达DoS考虑244

6.8 总结245

6.9 参考资料245

6.9 应用知识问题251

第7章 网络安全平台选项和最佳做法255

7.1 网络安全平台的选择255

7.1.1 通用操作系统安全设备255

7.1.2 专业安全设备258

7.1.3 将安全技术集成到网络中260

7.1.4 网络安全平台选择的建议263

7.2 网络安全设备的最佳做法264

7.2.1 防火墙264

7.2.2 代理服务器／内容过滤270

7.2.3 NIDS272

7.3 总结280

7.4 参考资料281

7.5 应用知识问题281

第8章 常用应用设计考虑283

8.1 电子邮件283

8.1.1 基本的两层（Two-Tier）电子邮件设计284

8.1.2 分布式两层电子邮件设计285

8.1.3 访问控制实例286

8.1.4 邮件应用设计推荐287

8.2 DNS288

8.2.1 不要将你的DNS服务器放在同一处289

8.2.2 拥有多台权威DNS服务器289

8.2.3 让你的外部DNS服务器仅响应非递归查询请求290

8.2.4 提供受保护的内部DNS服务器291

8.2.5 分隔外部和内部DNS服务器提供的信息291

8.2.6 限制权威服务器的区域传输291

8.2.7 DNS过滤案例学习292

8.3 HTTP/HTTPS295

8.3.1 简单Web设计295

8.3.2 两层Web设计296

8.3.3 三层Web设计297

8.4 FTP300

8.4.1 主动模式300

8.4.2 被动模式301

8.5 即时消息301

8.6 应用评估302

8.7 总结304

8.8 参考资料304

8.9 应用知识问题304

第9章 身份识别设计考虑307

9.1 基本身份识别概念307

9.1.1 设备身份识别与用户身份识别308

9.1.2 网络身份识别与应用身份识别309

9.1.3 你信任谁309

9.1.4 身份识别与认证、授权与审计310

9.1.5 共享的身份识别311

9.1.6 加密身份识别考虑311

9.2 身份识别类型312

9.2.1 物理访问312

9.2.2 MAC地址313

9.2.3 IP地址313

9.2.4 第4层信息313

9.2.5 用户名314

9.2.6 数字证书314

9.2.7 生物特征识别314

9.3 身份识别要素314

9.4 身份识别在网络安全中的角色315

9.5 身份识别技术指导方针315

9.5.1 AAA服务器设计指导方针315

9.5.2 802.1x/EAP身份识别设计指导方针324

9.5.3 基于网关的网络认证331

9.5.4 PKI使用基础332

9.6 身份识别部署推荐332

9.6.1 设备到网络332

9.6.2 用户到网络333

9.6.3 用户到应用333

9.7 总结334

9.8 参考资料335

9.9 应用知识问题336

第10章 IPSec VPN设计考虑339

10.1 VPN基础339

10.2 IPSec VPN类型341

10.2.1 站点到站点VPN341

10.2.2 远程用户VPN342

10.3 IPSec运行模式与安全选项343

10.3.1 IPSec的三个要素343

10.3.2 传输模式和隧道模式345

10.3.3 IPSec SA建立347

10.3.4 其他安全选项349

10.4 拓扑考虑353

10.4.1 分割隧道353

10.4.2 拓扑选择356

10.5 设计考虑359

10.5.1 平台选项359

10.5.2 身份识别和IPSec访问控制360

10.5.3 第3层IPSec考虑361

10.5.4 分片和路径最大传输单元365

10.5.5 VPN的防火墙和NIDS放置368

10.5.6 高可用性372

10.5.7 QoS374

10.5.8 IPSec厂商互操作性374

10.6 站点到站点部署实例375

10.6.1 基本IPSec375

10.6.2 GRE＋IPSec379

10.6.3 动态多点VPN388

10.7 IPSec外包389

10.7.1 基于网络管理的IPSec389

10.7.2 CPE管理的IPSec390

10.8 总结390

10.9 参考资料390

10.10 应用知识问题392

第11章 支持技术设计考虑395

11.1 内容395

11.1.1 缓存395

11.1.2 内容传播与路由选择396

11.2 负载均衡397

11.2.1 安全考虑398

11.2.2 服务器负载均衡398

11.2.3 安全设备负载均衡401

11.3 无线局域网405

11.3.1 一般考虑405

11.3.2 技术选项407

11.3.3 独特的部署选项418

11.3.4 WLAN结论420

11.4 IP电话通讯420

11.4.1 安全考虑421

11.4.2 部署选项423

11.4.3 IP电话推荐424

11.5 总结424

11.6 参考资料425

11.7 应用知识问题426

第12章 设计安全系统429

12.1 网络设计进阶429

12.1.1 核心层、分布层、接入层／边界429

12.1.2 管理434

12.2 安全系统概念434

12.2.1 信任域435

12.2.2 安全控制点440

12.2.3 安全角色：接入／边界、分布、核心442

12.3 网络安全对整个设计的影响443

12.3.1 路由选择与IP寻址443

12.3.2 易管理性445

12.3.3 扩展性和性能445

12.4 设计安全系统的10个步骤446

12.4.1 第1步：回顾已完成的安全策略文档446

12.4.2 第2步：对照安全策略分析当前网络447

12.4.3 第3步：选择技术并评估产品能力448

12.4.4 第4步：设计一个安全系统的理想草案449

12.4.5 第5步：在实验中测试关键组件450

12.4.6 第6步：评估并修正设计／策略450

12.4.7 第7步：设计定案450

12.4.8 第8步：在一个关键区域实现安全系统451

12.4.9 第9步：推广到其他区域451

12.4.10 第10步：验证设计／策略451

12.4.11 两步骤评估清单451

12.5 总结453

12.6 应用知识问题453

第三部分 安全网络设计459

第13章 边界安全设计459

13.1 什么是边界459

13.2 预计威协460

13.3 威胁缓解462

13.4 身份识别考虑462

13.5 网络设计考虑464

13.5.1 ISF路由器464

13.5.2 公共服务器数量464

13.5.3 分支与总部设计考虑465

13.5.4 远程访问替代466

13.6 小型网络边界安全设计467

13.6.1 设计需求467

13.6.2 设计概述467

13.6.3 边界设备和安全角色468

13.6.4 VPN472

13.6.5 设计评估473

13.6.6 设计替代选项474

13.7 中型网络边界安全设计477

13.7.1 设计需求477

13.7.2 设计概述478

13.7.3 Internet边界479

13.7.4 远程访问边界482

13.7.5 设计评估484

13.7.6 设计替代选项485

13.8 高端弹性边界安全设计488

13.8.1 设计需求488

13.8.2 设计概述488

13.8.3 Internet边界491

13.8.4 远程访问边界495

13.8.5 设计评估498

13.8.6 设计替代499

13.9 电子商务和外部网设计防护措施501

13.9.1 电子商务501

13.9.2 外部网503

13.10 总结505

13.11 参考资料505

13.12 应用知识问题505

第14章 园区网络安全设计509

14.1 什么是园区509

14.2 园区信任模型510

14.3 预计威胁510

14.4 威胁缓解512

14.5 身份识别考虑513

14.6 网络设计考虑514

14.6.1 第2层考虑514

14.6.2 状态化与无状态ACL对比和L3与L4过滤对比514

14.6.3 入侵检测系统515

14.6.4 WLAN考虑515

14.6.5 网络管理515

14.6.6 无赖设备515

14.7 小型网络园区安全设计516

14.7.1 设计需求516

14.7.2 设计概述516

14.7.3 园区设备和安全角色517

14.7.4 设计评估519

14.7.5 设计替代选项520

14.7.6 增加安全性的替代选项520

14.7.7 降低安全性的替代选项521

14.8 中型网络园区安全设计521

14.8.1 设计需求521

14.8.2 设计概述522

14.8.3 园区设备和安全角色523

14.8.4 设计评估526

14.8.5 设计替代527

14.8.6 增加安全性的替代选项527

14.8.7 降低安全性的替代选项528

14.9 高端弹性园区安全设计528

14.9.1 设计需求529

14.9.2 设计概述529

14.9.3 园区设备与安全角色531

14.9.4 设计评估536

14.9.5 设计替代选项537

14.10 总结538

14.11 参考资料538

14.12 应用知识问题538

第15章 远程工作者安全设计541

15.1 定义远程工作者环境541

15.2 预计威胁542

15.3 威胁缓解544

15.4 身份考虑544

15.5 网络设计考虑545

15.5.1 主机保护545

15.5.2 网络传输保护546

15.6 基于软件的远程工作者设计547

15.6.1 设计需求547

15.6.2 设计概述547

15.7 基于硬件的远程工作者设计548

15.7.1 设计要求549

15.7.2 设计概述549

15.7.3 物理安全考虑551

15.8 设计评估552

15.9 总结553

15.10 参考资料553

15.11 应用知识问题554

第四部分 网络管理、案例分析和结束语559

第16章 安全网络管理和网络安全管理559

16.1 乌托邦管理目标559

16.2 组织现实561

16.3 协议能力561

16.3.1 Telnet／安全Shell562

16.3.2 HTTP/HTTPS563

16.3.3 简单网络管理协议564

16.3.4 TFTP/FTP/SFTP/SCP565

16.3.5 syslog567

16.3.6 NetFlow568

16.3.7 其他571

16.4 工具功能571

16.4.1 网络安全管理工具572

16.4.2 安全网络管理工具574

16.5 安全管理设计选项574

16.5.1 带内明文574

16.5.2 带内加密保护（会话和应用层）577

16.5.3 带内加密保护（网络层）578

16.5.4 混合管理设计586

16.5.5 安全网络管理可选组成部分587

16.6 网络安全管理最佳做法589

16.6.1 24×7×365监控关键安全事件589

16.6.2 从关键通知中分离历史事件数据590

16.6.3 选择敏感日志级别590

16.6.4 分离网络管理和网络安全管理591

16.6.5 关注操作需求592

16.6.6 考虑外包593

16.7 总结594

16.8 参考资料595

16.9 应用知识问题595

第17章 案例研究599

17.1 引言599

17.2 现实世界适应性599

17.3 组织599

17.3.1 组织概况600

17.3.2 当前设计600

17.3.3 安全需求600

17.3.4 设计选择600

17.3.5 迁移战略600

17.3.6 攻击案例601

17.4 NetGamesRUs.com601

17.4.1 组织概况601

17.4.2 当前设计602

17.4.3 安全需求602

17.4.4 设计选择603

17.4.5 迁移战略606

17.4.6 攻击案例606

17.5 不安全大学607

17.5.1 组织概况607

17.5.2 当前设计607

17.5.3 安全需求608

17.5.4 设计选择609

17.5.5 迁移战略611

17.5.6 攻击案例612

17.6 黑色直升机研究有限公司613

17.6.1 组织概况613

17.6.2 当前设计613

17.6.3 安全需求614

17.6.4 设计选择616

17.6.5 迁移战略620

17.6.6 攻击案例620

17.7 总结620

17.8 参考资料621

17.9 应用知识问题621

第18章 结束语623

18.1 引言623

18.2 管理问题仍在继续发生623

18.3 安全计算开销将降低624

18.4 同构和异构网络625

18.5 应严肃考虑立法626

18.6 IPv6改变规则627

18.7 网络安全是一个体系629

18.8 总结629

18.9 参考资料630

附录A 术语表633

附录B639

第1章639

第2章642

第3章643

第4章644

第5章646

第6章647

第7章648

第8章649

第9章650

第10章651

第11章652

第12章653

第13章654

第14章655

第15章656

第16章657

附录C 安全策略示例661

C.1 INFOSEC可接受使用策略661

C.1.1 1.0概述661

C.1.2 2.0目的662

C.1.3 3.0范围662

C.1.4 4.0策略662

C.1.5 5.0强制措施665

C.1.6 6.0定义665

C.1.7 7.0修订历史665

C.2 密码策略665

C.2.1 1.0概述665

C.2.2 2.0目的665

C.2.3 4.0范围666

C.2.4 5.0强制措施669

C.2.5 6.0定义669

C.2.6 7.0修订历史669

C.3 防病毒过程指导方针669