网络安全体系结构2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

网络安全体系结构PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

目录3

第一部分　网络安全基础3

第1章　网络安全格言3

1.1 网络安全是一个系统4

1.2　必须首先考虑商业的优先级5

1.3 网络安全有助于良好的网络设计6

1.4　每样东西都是目标8

1.5　每样东西都是武器9

1.6　争取操作简单10

1.7 良好的网络安全要有预见性12

1.8　通过隐匿避免安全风险14

1.9　机密性不等同于安全15

1.10 总结16

1.12　应用知识问题17

1.11　参考资料17

第2章　安全策略与运行生命周期21

2.1 网络安全千金难买22

2.2　什么是安全策略23

2.3　安全系统的开发与运行概述25

2.3.1　安全系统的开发26

2.3.2　安全系统运行的生命周期33

2.4　总结36

2.5　参考资料36

2.6　应用知识问题37

第3章　安全联网的威胁39

3.1 攻击过程40

3.2　攻击者类型41

3.2.1　脚本小子41

3.2.3　精英42

3.2.2　解密者42

3.3　弱点类型43

3.3.1　软件弱点43

3.3.2　硬件弱点43

3.3.3 配置弱点44

3.3.4 策略弱点44

3.3.5　使用弱点44

3.4　攻击结果45

3.4.1 信息泄密45

3.4.2　信息损坏45

3.4.3　拒绝服务45

3.4.4　服务被盗45

3.4.5　访问权增大45

3.5 攻击分类46

3.5.1　读取攻击49

3.5.2　操纵攻击55

3.5.3　欺骗攻击59

3.5.4 泛洪67

3.5.5 重定向73

3.5.6　混合型攻击77

3.6　总结82

3.7 参考资料83

3.8　应用知识问题84

第4章 网络安全技术87

4.1 安全联网的难点87

4.2 安全技术91

4.2.1 身份识别技术91

4.2.2　主机和应用安全97

4.2.3 网络防火墙101

4.2.4 内容过滤104

4.2.5 网络入侵检测系统107

4.2.6　加密技术109

4.3　新兴安全技术113

4.3.1 混合主机解决方案113

4.3.2　在线（Inline）NIDS113

4.3.3　应用防火墙113

4.4 总结114

4.5 参考资料117

4.6　应用知识问题117

第二部分　设计安全网络121

第5章　设备安全强化121

5.1 安全强化战略的组成121

5.1.3　威胁配置文件122

5.1.4　功能需求122

5.1.2　设备位置122

5.1.1 安全策略122

5.1.5　管理需求123

5.2 网络设备123

5.2.1　路由器123

5.2.2　交换机131

5.2.3　防火墙132

5.2.4 NIDS133

5.3 主机操作系统134

5.3.1 分区磁盘空间135

5.3.2　关闭不需要的服务135

5.3.3 为需要的服务打补丁135

5.3.4　记录关键事件135

5.5　基于设备的网络服务136

5.4　应用程序136

5.6　无赖设备检测137

5.7 总结138

5.8　参考资料138

5.9　应用知识问题139

第6章　常规设计考虑141

6.1　物理安全问题141

6.1.1　控制对设施的物理访问142

6.1.2　控制对数据中心的物理访问144

6.1.3　用于非安全位置的隔离身份识别机制144

6.1.4　防止非安全位置的密码恢复机制145

6.1.5　清楚线缆线路问题145

6.1.6　清楚电磁辐射问题145

6.2.1 L2控制协议146

6.2　第2层安全考虑146

6.1.7　清楚物理PC安全威胁146

6.2.2　MAC泛洪考虑152

6.2.3　VLAN跳转考虑154

6.2.4　ARP考虑156

6.2.5　DHCP考虑158

6.2.6　专用VLAN160

6.2.7　L2最佳实践推荐162

6.3　IP寻址设计考虑162

6.3.1　通用最佳实践和路由汇总163

6.3.2　入口／出口过滤164

6.3.3 NAT168

6.3.4　ICMP设计考虑169

6.3.5　ICMP消息类型过滤170

6.4.1 路由选择协议安全173

6.4　路由选择考虑173

6.4.2　非对称路由选择和状态敏感的安全技术178

6.5　传输协议设计考虑181

6.6　DoS设计考虑181

6.6.1 网络泛洪设计考虑182

6.6.2　TCP SYN泛洪设计考虑188

6.6.3　ICMP不可达DoS考虑189

6.7　总结189

6.8　参考资料194

6.9　应用知识问题195

第7章 网络安全平台选项和最佳部署实践197

7.1 网络安全平台选项197

7.1.1　通用操作系统安全设备197

7.1.2　基于设备的安全设备200

7.1.3 网络集成安全功能201

7.1.4　网络安全平台选项建议203

7.2 网络安全设备最佳实践203

7.2.1 防火墙204

7.2.2　代理服务器／内容过滤207

7.2.3 NIDS209

7.3　总结215

7.4　参考资料216

7.5　应用知识问题216

第8章　常用应用设计考虑219

8.1 电子邮件219

8.1.1　基本的两层（Two-Tier）电子邮件设计220

8.1.2　分布式两层电子邮件设计221

8.1.3　访问控制实例221

8.1.4　邮件应用设计推荐222

8.2　DNS223

8.2.1　不要将你的DNS服务器放在同一处224

8.2.2　拥有多于一台权威DNS服务器224

8.2.3　让你的外部DNS服务器仅仅是非递归响应者224

8.2.4　提供受保护的内部DNS服务器225

8.2.5　分隔外部和内部DNS服务器提供的信息225

8.2.6　限制权威服务器的区域传输226

8.2.7　DNS过滤案例学习226

8.3 HTTP/HTTPS228

8.3.1 简单Web设计229

8.3.2　两层Web设计229

8.3.3　三层Web设计230

8.4.1　主动模式232

8.4 FTP232

8.4.2　被动模式233

8.5　即时消息233

8.6　应用评估234

8.7　总结235

8.8　参考资料235

8.9　应用知识问题235

第9章　身份识别设计考虑239

9.1　基本身份识别概念239

9.1.1　设备身份识别与用户身份识别240

9.1.2 网络身份识别与应用身份识别240

9.1.3　你信任谁？241

9.1.4　身份识别与认证、授权及记账241

9.1.5　共享的身份识别242

9.2.1 物理访问243

9.2　身份识别类型243

9.1.6　加密身份识别考虑243

9.2.2　MAC地址244

9.2.3 IP地址244

9.2.4　第4层信息244

9.2.5　数字证书245

9.2.6　生物特征识别245

9.2.7　身份识别要素245

9.3 身份识别在安全联网中的角色245

9.4　身份识别技术指导方针246

9.4.1　AAA服务器设计指导方针246

9.4.2　802.1x/EAP身份识别设计指导方针252

9.4.4　PKI使用基础258

9.5　身份识别部署推荐258

9.4.3　基于网关的网络认证258

9.5.1 设备到网络259

9.5.2 用户到网络259

9.5.3 用户到应用259

9.6　总结259

9.7　参考资料260

9.8　应用知识问题261

第10章　IPsec VPN设计考虑263

10.1 VPN基础263

10.2　IPsec VPN类型265

10.2.1 站点到站点VPN265

10.2.2　远程用户VPN266

10.3　IPsec运行模式与安全选项267

10.3.1　IPsec的三个要素267

10.3.2　传输模式和隧道模式268

10.3.3 IPsec SA建立270

10.3.4　其他安全选项271

10.4　拓扑考虑274

10.4.1 分割隧道274

10.4.2　拓扑选择277

10.4.3 中心一分支型277

10.5　设计考虑279

10.5.1 平台选项279

10.5.2 身份识别和IPsec访问控制280

10.5.3 第3层IPsec考虑280

10.5.4　分片和路径最大传输单元发现284

10.5.5　VPN的防火墙和NIDS放置286

10.5.6　高可用性290

10.5.8　IPsec 厂商互操作性291

10.5.7　QoS291

10.6　站点到站点部署实例292

10.6.1 基本IPsec292

10.6.2 GRE＋IPsec296

10.6.3　动态多点VPN303

10.7　IPsec外包304

10.7.1　基于网络管理的IPsec304

10.7.2　CPE管理的IPsec304

10.8　总结304

10.9　参考资料305

10.10　应用知识问题306

第11章　支持技术设计考虑309

11.1 内容309

11.1.1　缓存310

11.1.2　内容传播与路由选择310

11.2　负载均衡311

11.2.2　服务器负载均衡312

11.2.1　安全考虑312

11.2.3　安全设备负载均衡314

11.3　无线局域网 .317

11.3.1　一般考虑317

11.3.2　技术选项319

11.3.3　独特的部署选项327

11.3.4 WLAN结论329

11.4　IP电话329

11.4.1　安全考虑330

11.4.2　部署选项331

11.4.3　IP电话推荐332

11.5　总结332

11.7　应用知识问题333

11.6　参考资料333

第12章　设计安全系统337

12.1　网络设计进阶337

12.1.1　核心、分布、接入／边界338

12.1.2　管理341

12.2　安全系统概念342

12.2.1　信任域342

12.2.2　安全控制点346

12.2.3　安全角色：接入／边界、分布、核心348

12.3 网络安全对整个设计的影响349

12.3.1　路由选择与IP寻址349

12.3.2 易管理性350

12.3.3　扩展性和性能350

12.4.1 第1步：回顾已完成的安全策略文档351

12.4　设计安全系统的10个步骤351

12.4.2　第2步：对照安全策略分析当前网络352

12.4.3　第3步：选择技术并评估产品能力352

12.4.4　第4步：设计一个安全系统的理想草案353

12.4.5　第5步：在实验中测试关键组件354

12.4.6　第6步：评估并修正设计／策略354

12.4.7　第7步：设计定案354

12.4.8　第8步：在一个关键区域实现安全系统354

12.4.9　第9步：推广到其他区域355

12.4.10　第10步：验证设计／策略355

12.4.11 两步骤评估清单355

12.5　总结356

12.6　应用知识问题356

13.1　什么是边界361

第13章　边界安全设计361

第三部分　安全网络设计361

13.2　预计威胁362

13.3　威胁缓解363

13.4　身份识别考虑364

13.5　网络设计考虑365

13.5.1 ISP路由器365

13.5.2　公共服务器数量365

13.5.3　分支与总部设计考虑365

13.5.4　远程访问替代367

13.6　小型网络边界安全设计367

13.6.1 设计需求367

13.6.2　设计概述368

13.6.3　边界设备和安全角色368

13.6.4　VPN371

13.6.5　设计评估372

13.6.6　设计替代373

13.7　中型网络边界安全设计375

13.7.1　设计需求375

13.7.2　设计概述376

13.7.3　Internet边界376

13.7.4　远程访问边界379

13.7.5　设计评估380

13.7.6　设计替代381

13.8　高端弹性边界安全设计383

13.8.1　设计需求383

13.8.2　设计概述384

1 3.8.3　Internet边界386

13.8.4　远程访问边界389

13.8.5　设计评估391

13.8.6　设计替代392

13.9　电子商务和外部网设计防护措施393

13.9.1 电子商务393

13.9.2 外部网395

13.10　总结396

13.11　参考资料397

13.12　应用知识问题397

第14章 园区网络安全设计399

14.1　什么是园区399

14.2　园区信任模型400

14.3　预计威胁400

14.4　威胁缓解402

14.5　身份识别考虑402

14.6.2 状态与无状态ACL对比和L3与L4过滤对比403

14.6.1 第2层考虑403

14.6　网络设计考虑403

14.6.3　入侵检测系统404

14.6.4　WLAN考虑404

14.6.5 网络管理404

14.6.6　无赖设备404

14.7　小型网络园区安全设计404

14.7.1　设计需求405

14.7.2　设计概述405

14.7.3 园区设备和安全角色405

14.7.4　设计评估407

14.7.5　设计替代408

14.7.6　增加安全的替代408

14.8.2　设计概述409

14.8.1　设计需求409

14.8　中型网络园区安全设计409

14.7.7　降低安全的替代409

14.8.3　园区设备和安全角色410

14.8.4　设计评估412

14.8.5　设计替代413

14.8.6　增加安全的替代413

14.8.7　降低安全的替代414

14.9　高端弹性园区安全设计414

14.9.1　设计需求414

14.9.2　设计概述415

14.9.3 园区设备与安全角色416

14.9.4　设计评估420

14.9.5　设计替代421

14.10　总结421

14.12　应用知识问题422

14.11 参考资料422

第15章　远程工作者安全设计425

15.1 定义远程工作者环境425

15.2　预计威胁426

15.3　威胁缓解428

15.4 身份考虑428

15.5 网络设计考虑429

15.5.1 主机保护429

15.5.2 网络传输保护429

15.6　基于软件的远程工作者设计430

15.6.1　设计需求430

15.6.2　设计概述430

15.7　基于硬件的远程工作者设计431

15.7.1　设计要求431

15.7.2　设计概述432

15.7.3　物理安全考虑433

15.8 设计评估434

15.9　总结435

15.10　参考资料435

15.11 应用知识问题435

第四部分　网络管理、案例分析和结束语441

第16章　安全网络管理和网络安全管理441

16.1　乌托邦管理目标441

16.2　组织现实443

16.3 协议能力443

16.3.1　Telnet／安全Shell443

16.3.2　HTTP/HTTPS444

16.3.3　简单网络管理协议445

16.3.4 TFTP/FTP/SFTP/SCP446

16.3.5　Syslog448

16.3.6 NetFlow449

16.3.7　其他451

16.4 工具能力451

16.4.1 网络安全管理工具451

16.4.2　安全网络管理工具453

16.5　安全管理设计选项453

16.5.1 带内明文454

16.5.2　带内加密保护（会话和应用层）455

16.5.3　带内加密保护（网络层）456

16.5.4 带外（OOB）459

16.5.5　混合管理设计463

16.5.6　安全网络管理可选构件464

16.6.1　24×7×365监控关键安全事件465

16.6　网络安全管理最佳实践465

16.6.2　从关键通知中分离历史事件数据466

16.6.3　选择敏感日志级别466

16.6.4　分离网络管理和网络安全管理466

16.6.5　关注操作需求467

16.6.6　考虑外包468

16.7　总结469

16.8　参考资料469

16.9　应用知识问题470

第17章　案例研究473

17.1 引言473

17.2　现实世界适应性473

17.3.5　移植战略474

17.3.4　设计选择474

17.3.3　安全需求474

17.3.2 当前设计474

17.3.1 组织概况474

17.3 组织474

17.3.6　攻击例子475

17.4　NetGamesRUs.com475

17.4.1　组织概况475

17.4.2 当前设计475

17.4.3　安全需求476

17.4.4　设计选择477

17.4.5　移植战略479

17.4.6　攻击例子479

17.5　不安全大学479

17.5.1　组织概况479

17.5.3　安全需求480

17.5.2 当前设计480

17.5.4　设计选择481

17.5.5　移植战略483

17.5.6　攻击例子483

17.6　黑色直升机研究有限公司484

17.6.1 组织概况484

17.6.2 当前设计485

17.6.3　安全需求485

17.6.4　设计选择486

17.6.5　移植战略489

17.6.6　攻击例子490

17.7　总结490

17.8　参考资料491

17.9　应用知识问题491

18.2　管理问题仍将继续493

第18章　结束语493

18.1 引言493

18.3 安全计算开销将降低494

18.4　同构和异构网络495

18.5　应严肃考虑立法495

18.6　IPv6改变规则496

18.7　网络安全是体系497

18.8　总结498

18.9　参考资料498

附录A　术语表501

附录B507

第1章507

第2章508

第4章509

第3章509

第5章510

第6章511

第7章512

第8章512

第9章513

第10章513

第11章514

第12章514

第13章515

第14章515

第15章516

第16章517

附录C　安全策略示例519