本书从网路工程师的职业角度出发组织和安排内容，非常具有针对性。本书从网路安全系统设计全局出发，以osi/rm的7层结构为主线，层层把关，全面、系统地介绍各层的主要安全技术和方案设计思路、方法。.

本书从深层次分析了网路安全隐患存在的各个主要方面，然后从这几个方面出发，全面介绍企业区域网路安全防护系统的设计方法。其中包括网路安全系统设计综述、物理层的网路安全保护方案、数据链路层的安全保护方案、网路层防火墙安全保护方案、网路层kerberos身份认证方案、网路层证书身份认证、加密和签名方案、网路层pki综合套用方案设计、网路层ipsec身份认证和加密方案、传输层tls/ssl身份认证和加密方案、套用层web伺服器的综合安全系统设计与配置、wlan网路综合安全系统设计与配置，并通过实际可用的安全防护方法来实现网路安全隐患的排除或防护。这些不同方面的安全防护措施形成了一个系统的整体，使得企业网路从各个方面都得到足够的安全保证。以上这些都是网路工程师所必须掌握的基础知识和技能。..

第1章 网路安全系统设计综述. 1

1.1 网路安全系统设计基础 2

1.1.1 网路安全的发展 2

1.1.2 网路安全威胁基础 4

1.1.3 企业网路的主要安全隐患 6

1.1.4 网路安全系统的基本组成 7

1.2 osi/rm各层的安全保护 9

1.2.1 物理层的安全保护 9

1.2.2 数据链路层的安全保护 11

1.2.3 网路层的安全保护 12

1.2.4 传输层的安全保护 13

1.2.5 会话层和表示层的安全保护 14

1.2.6 套用层的安全保护 15

1.3 系统层的安全保护 16

1.4 网路安全系统设计 16

1.4.1 网路安全策略 16

1.4.2 网路安全系统设计的基本原则 17

1.5 网路安全系统设计的基本思路 20

1.5.1 安全隐患分析和基本系统结构信息的收集 20

1.5.2 调查和分析当前网路的安全需求 23

.1.5.3 评估现有网路安全策略 24

1.5.4 设计细化的新网路安全策略初稿 25

1.5.5 第一次小範围的测试、评估和修改 31

1.5.6 第二次中、大範围的测试、评估和修改 32

1.5.7 新网路安全策略文档终稿 32

1.5.8 新网路安全策略系统的正式套用 32

第2章 物理层的网路安全保护方案 33

2.1 物理层安全保护概述 34

2.2 物理层的线路窃听技术分析 34

2.3 计算机网路通信线路禁止 35

2.3.1 选择禁止性能好的传输介质和适配器 36

2.3.2 禁止机房和机柜的选择 38

2.3.3 wlan无线网路的物理层安全保护 39

2.4 物理线路隔离 40

2.4.1 主要物理隔离产品 40

2.4.2 物理隔离网闸的隔离原理 43

2.4.3 物理隔离网闸的典型套用 46

2.5 设备和线路冗余 46

2.5.1 网路设备部件冗余 47

2.5.2 网路设备整机冗余 49

2.5.3 网路线路冗余 51

2.6 机房和账户安全管理 51

2.6.1 机房安全管理 51

2.6.2 账户安全管理 52

2.7 数据安全管理 52

2.7.1 数据容灾概述 53

2.7.2 容灾与存储、容错、备份和远程複製的关係 54

2.7.3 数据容灾等级 56

2.7.4 灾难恢复的关键注意事项 60

2.8 物理层安全管理工具 61

2.8.1 泛达综合布线实时管理系统 61

2.8.2 molex综合布线实时管理系统 64

2.9 服务和服务账户安全规划 66

2.9.1 服务和服务账户安全规划概述 66

2.9.2 服务的安全漏洞和账户 67

2.9.3 windows server 2003中服务的默认安全设定更改 69

2.9.4 安全运行服务的原则 70

2.9.5 如何更安全地运行服务 72

第3章 数据链路层的安全保护方案 81

3.1 典型数据加密算法 82

3.1.1 基于“讯息摘要”的算法 82

3.1.2 “对称/非对称密钥”加密算法 85

3.2 数据加密 87

3.2.1 数据加密技术 87

3.2.2 链路加密机 90

3.2.3 网卡集成式链路加密原理 92

3.3 wlan ssid安全技术及配置方法 94

3.3.1 ssid概念及配置方法 94

3.3.2 bssid和essid 95

3.3.3 ssid的安全问题 96

3.4 wlan mac地址过滤 97

3.5 wlan wep加密 98

3.5.1 wep加密原理 98

3.5.2 wep解密原理 99

3.5.3 wep加密的不足 99

3.5.4 wep加密的配置方法 100

3.6 wpa加密 102

3.6.1 wpa的wlan链路加密 102

3.6.2 wpa中的ieee 802.1x身份认证系统 103

3.6.3 eapol讯息的封装 105

3.6.4 ieee 802.1x的认证过程 107

3.7 wpa2加密 111

3.7.1 wpa2简介 111

3.7.2 aes-ccmp基础 112

3.7.3 aes算法的基本原理 113

3.7.4 wpa2 aes-ccmp加/解密原理 115

3.8 无线ap/路由器的wpa和wpa2设定 118

3.8.1 个人用户无线ap/路由器的wpa-psk或wpa2-psk设定 119

3.8.2 企业级无线ap/路由器的wpa或wpa2设定 120

3.8.3 wlan客户端第三方软体的wpa和wpa2设定 121

3.8.4 windows xp无线客户端wpa/wpa2配置 125

3.9 最新的wlan安全标準——ieee 802.11i 126

3.9.1 ieee 802.11i概述 127

3.9.2 wrap加密机制 127

3.10 mac地址欺骗防护 129

3.10.1 arp和rarp协定工作原理 130

3.10.2 arp协定帧格式 131

3.10.3 mac地址欺骗原理 132

3.10.4 mac地址欺骗预防 133

3.11 cisco设备上基于连线埠的mac地址绑定 136

3.11.1 基于连线埠的单一mac地址绑定基本配置步骤 136

3.11.2 基于连线埠的单一mac地址绑定配置示例 138

3.12 cisco基于连线埠的多mac地址绑定 138

3.12.1 基于连线埠的多mac地址绑定配置思路 138

3.12.2 基于连线埠的多mac地址绑定配置示例 139

3.13 cisco设备上基于ip的mac地址绑定 139

3.13.1 一对一的mac地址与ip地址绑定 139

3.13.2 一对多，或者多对多的mac地址与ip地址绑定示例 140

3.14 h3c s5600交换机基于连线埠的mac地址绑定 141

3.14.1 s5100系列交换机的security mac地址配置 141

3.14.2 s5600系列交换机的security mac地址配置 142

3.15 h3c sr8800系列业务路由器mac和ip地址绑定 144

3.15.1 mac和ip地址绑定配置 144

3.15.2 mac和ip地址绑定典型配置示例 146

3.16 h3c secpath系列防火墙上的mac和ip地址绑定 147

3.16.1 mac和ip地址绑定配置 148

3.16.2 mac和ip地址绑定典型配置示例 149

3.17 网路嗅探的防护 149

3.17.1 网路嗅探原理 149

3.17.2 网路嗅探的防範 151

第4章 网路层防火墙安全保护方案 153

4.1 防火墙的分类和技术 154

4.1.1 包过滤防火墙简介 154

4.1.2 包过滤技术的发展 155

4.1.3 包过滤原理 155

4.1.4 包过滤技术的主要优、缺点 156

4.1.5 代理防火墙 157

4.2 防火墙系统的设计 158

4.2.1 内、外部防火墙系统 158

4.2.2 防火墙在企业网路体系结构中的位置 159

4.2.3 典型防火墙系统设计 161

4.3 防火墙在网路安全防护中的主要套用 164

4.3.1 控制来自网际网路对内部网路的访问 164

4.3.2 控制来自第三方区域网路对内部网路的访问 166

4.3.3 控制区域网路内部不同部门之间的访问 167

4.3.4 控制对伺服器中心的网路访问 168

4.4 内部防火墙系统设计 169

4.4.1 内部防火墙系统概述 170

4.4.2 内部防火墙规则 170

4.4.3 内部防火墙的可用性需求 171

4.4.4 内部容错防火墙集配置 174

4.4.5 内部防火墙系统设计的其他因素要求 175

4.5 外围防火墙系统设计 177

4.5.1 外围防火墙系统概述 178

4.5.2 外围防火墙规则 178

4.5.3 外围防火墙系统的可用性要求 179

第5章 网路层kerberos身份认证方案 181

5.1 身份认证概述 182

5.1.1 单点登录身份认证执行方式 182

5.1.2 主要的身份认证类型 183

5.2 kerberos身份认证基础 183

5.2.1 kerberos v5身份认证机制 184

5.2.2 kerberos v5身份认证的优点与缺点 187

5.2.3 kerberos v5协定标準 188

5.2.4 kerberos v5身份认证所用连线埠 190

5.3 kerberos ssp认证 190

5.4 kerberos物理结构 192

5.4.1 kerberos中的密钥 192

5.4.2 kerberos票证 195

5.4.3 认证符 199

5.4.4 凭证快取 200

5.4.5 密钥分发中心（kdc） 200

5.5 kerberos v5交换和讯息摘要 204

5.5.1 kerberos v5身份认证的3个子协定 204

5.5.2 身份认证服务（as）交换 205

5.5.3 票证许可服务（tgs）交换 206

5.5.4 客户端/伺服器（cs）交换 207

5.6 kerberos交换讯息详解 207

5.6.1 身份认证服务交换讯息详解 208

5.6.2 票证许可服务交换讯息详解 211

5.6.3 客户端/伺服器身份认证交换讯息详解 214

5.7 kerberos身份认证套用示例 216

5.7.1 本地登录示例 216

5.7.2 域登录示例 217

5.7.3 域用户的工作站登录 217

5.7.4 单域身份认证示例 223

5.7.5 用户到用户的身份认证 226

5.8 kerberos v5身份认证的启用与策略配置 228

第6章 网路层证书身份认证、加密和签名方案 231

6.1 证书和证书服务基础 232

6.1.1 证书概述 232

6.1.2 证书的主要功能 233

6.1.3 证书的主要套用 235

6.1.4 证书客户端角色 239

6.1.5 证书服务概述 240

6.2 ca证书 241

6.2.1 ca证书简介 241

6.2.2 ca证书套用的情形 242

6.3 证书结构 243

6.3.1 证书体系架构 243

6.3.2 证书模板 245

6.3.3 证书的物理和逻辑存储 250

6.3.4 证书存储区 253

6.4 ca证书进程和互动 255

6.4.1 根ca证书是如何被创建的 256

6.4.2 根ca证书是如何被更新的 257

6.4.3 从属ca证书是如何被创建的 258

6.4.4 合格的从属策略是如何被套用的 259

6.5 证书服务体系架构 260

6.5.1 证书服务引擎 261

6.5.2 策略模组 262

6.5.3 客户端策略模组 263

6.5.4 退出模组 263

6.5.5 证书资料库 264

6.5.6 cryptoapi接口 264

6.5.7 证书服务协定 264

6.6 证书服务接口 265

6.7 证书服务物理结构 266

6.7.1 证书资料库和ca日誌档案 267

6.7.2 注册表 267

6.7.3 活动目录 267

6.7.4 档案系统 269

6.8 证书服务进程和互动 270

6.8.1 证书是如何创建的 270

6.8.2 证书的自动注册 272

6.8.3 证书的手动注册 277

6.8.4 自定义证书注册和更新套用 279

6.8.5 使用可选组件注册和续订 281

6.8.6 证书是如何吊销的 283

6.9 证书模板属性选项和设计 287

6.9.1 证书模板属性选项 287

6.9.2 证书模板设计方面的考虑 294

6.9.3 证书模板规划注意事项 296

6.9.4 证书模板的部署 299

第7章 网路层pki综合套用方案设计 303

7.1 本章概述 304

7.1.1 部署pki的必要性和本章所使用的技术 304

7.1.2 规划和部署pki的基本流程 306

7.2 定义证书需求 307

7.2.1 确定安全套用需求 308

7.2.2 确定证书需求 312

7.2.3 文档化证书策略和证书实施声明 314

7.2.4 定义证书套用需求示例 315

7.3 设计证书颁发机构层次结构 316

7.3.1 规划核心ca选项——设计根ca 317

7.3.2 规划核心ca选项——选择内部与第三方ca 318

7.3.3 规划核心ca选项——评估ca容量、性能和可扩展需求 320

7.3.4 规划核心ca选项——pki管理模式 322

7.3.5 规划核心ca选项——ca类型和角色 323

7.3.6 规划核心ca选项——整体活动目录结构 327

7.3.7 规划核心ca选项——ca安全性 329

7.3.8 规划核心ca选项——确定ca数量.. 333

7.3.9 选择信任模式 334

7.3.10 在信任层次结构中定义ca角色 338

7.3.11 建立命名协定 338

7.3.12 选择ca资料库位置 338

7.3.13 ca结构设计示例 339

7.4 扩展证书颁发机构结构 341

7.4.1 评估影响扩展信任的因素 341

7.4.2 选择扩展ca结构配置 344

7.4.3 限制计画外的信任 346

7.5 定义证书配置档案 348

7.5.1 选择证书模板 349

7.5.2 选择证书安全选项 350

7.5.3 使用合格的从属来限制证书 354

7.5.4 配置证书示例 359

7.6 创建证书管理规划 360

7.6.1 选择注册和续订方法 361

7.6.2 将证书映射到身份 363

7.6.3 创建证书吊销策略 368

7.6.4 规划密钥和数据恢复 372

7.6.5 创建证书管理规划示例 375

第8章 网路层ipsec身份认证和加密方案 377

8.1 ipsec基础 378

8.1.1 什幺是ipsec 378

8.1.2 ipsec的设计初衷 379

8.1.3 ipsec的优势 381

8.2 ipsec提供的安全服务 382

8.2.1 ipsec提供的安全属性 382

8.2.2 kerberos v5身份认证协定 383

8.2.3 基于公钥证书的身份认证 383

8.2.4 预共享密钥验证 384

8.2.5 採用哈希函式的数据完整性验证 384

8.2.6 具有加密功能的数据保密性 385

8.2.7 密钥管理 386

8.2.8 密钥保护 386

8.3 ipsec的使用模式 388

8.3.1 传输模式 388

8.3.2 隧道模式 389

8.4 ipsec协定类型 389

8.4.1 ipsec ah协定 390

8.4.2 ipsec esp协定 394

8.5 windows server 2003中的ipsec 397

8.5.1 ipsec逻辑体系架构 398

8.5.2 ipsec身份认证和组件 401

8.5.3 策略代理体系架构 402

8.5.4 ike模组体系架构 405

8.5.5 ipsec驱动体系架构 407

8.5.6 ipsec策略数据结构 407

8.5.7 ipsec分配的网路连线埠和协定 410

8.5.8 ipsec策略规则 411

8.6 ipsec密钥安全关联和密钥交换原理 415

8.6.1 安全关联基本原理和类型 415

8.6.2 主模式协商sa 417

8.6.3 快速模式协商sa 424

8.6.4 密钥交换原理 426

8.6.5 sa生存期 427

8.7 ipsec驱动工作原理 427

8.7.1 ipsec驱动的职责 427

8.7.2 ipsec驱动通信 428

8.7.3 ipsec驱动程式模式 428

8.7.4 ipsec驱动的包处理 430

8.8 ipsec策略及策略筛选器 431

8.8.1 ipsec策略 431

8.8.2 ipsec策略规则 433

8.8.3 默认回响规则 434

8.8.4 ipsec策略筛选器 435

8.8.5 ipsec筛选器的套用顺序 437

8.8.6 ipsec筛选中的默认排除 438

8.8.7 ipsec筛选器的设计考虑 440

8.9 windows server 2003 ipsec系统的部署 441

8.9.1 windows server 2003 ipsec部署的简易性 441

8.9.2 部署windows server 2003 ipsec前所需的确认 442

8.9.3 ipsec策略设计与规划的最佳操作 442

8.9.4 建立ipsec安全计画 445

8.9.5 策略配置 446

8.9.6 默认筛选器列表 446

8.9.7 默认回响规则 448

8.9.8 ipsec策略的套用方法 450

8.10 ipsec套用方案设计 453

8.10.1 ipsec安全通信方案的主要套用 454

8.10.2 不推荐的ipsec方案 458

8.10.3 管理使用仅在windows server 2003家族中可用的新增功能的策略 458

8.10.4 ip筛选器配置的考虑 459

8.10.5 筛选器操作的配置考虑 461

8.11 ipsec策略的套用方案配置 462

8.11.1 ipsec方案配置前的準备 462

8.11.2 ipsec安全方案配置的基本步骤 463

8.11.3 ipsec在web伺服器访问限制中的套用示例 464

8.11.4 ipsec在资料库伺服器访问限制中的套用示例 475

8.11.5 ipsec在阻止netbios攻击中的套用示例 476

8.11.6 ipsec在保护远程访问通信中的套用示例 478

第9章 传输层tls/ssl身份认证和加密方案 481

9.1 tls/ssl基础 482

9.1.1 tls/ssl简介 482

9.1.2 tls/ssl标準的历史 483

9.1.3 tls与ssl的区别 483

9.1.4 tls/ssl所带来的好处 484

9.1.5 tls/ssl的局限性 485

9.1.6 常见的tls/ssl套用 485

9.1.7 安全通道技术 487

9.1.8 tls和ssl的依从 487

9.2 tls/ssl体系架构 488

9.2.1 安全通道sspi体系架构 488

9.2.2 tls/ssl体系架构 490

9.2.3 tls/ssl握手协定 491

9.2.4 记录层 495

9.3 tls/ssl工作原理 495

9.3.1 tls/ssl进程和互动机制 495

9.3.2 tls的完整握手过程 497

9.3.3 客户端hello讯息 498

9.3.4 伺服器hello讯息 501

9.3.5 客户端回响hello讯息 503

9.3.6 计算主密钥和子系列密钥 504

9.3.7 完成讯息 505

9.3.8 套用数据流 506

9.3.9 恢复安全会话 507

9.3.10 重新协商方法 507

9.3.11 安全通道的证书映射 509

9.3.12 tls/ssl所使用的网路连线埠 510

9.4 wtls 511

9.4.1 wap的主要特点和体系架构 511

9.4.2 wap架构与www架构的比较 514

9.4.3 wap安全机制 516

9.4.4 wtls体系架构 518

9.4.5 wtls的安全功能 519

9.4.6 wtls与tls的区别 520

9.5 ssl在iis web伺服器中的套用 522

9.5.1 安装ca 522

9.5.2 生成证书申请 524

9.5.3 提交证书申请 527

9.5.4 证书的颁发和导出 530

9.5.5 在web伺服器上安装证书 532

9.5.6 在web伺服器上启用ssl 534

9.6 ssl vpn 535

9.6.1 ssl vpn网路结构和主要套用 536

9.6.2 ssl vpn的主要优势和不足 537

第10章 套用层web伺服器的综合 安全系统设计与配置 541

10.1 我国网站安全现状 542

10.2 web伺服器的身份验证技术选择 543

10.2.1 ntlm身份验证机制选择和配置方法 543

10.2.2 kerberos身份验证机制选择和配置方法 547

10.2.3 摘要式身份验证机制选择和配置方法 548

10.2.4 公钥加密身份认证机制选择 553

10.2.5 证书身份认证机制选择和配置方法 555

10.3 web伺服器传输层安全技术选择 558

10.4 web伺服器的安全威胁与对策 559

10.4.1 主机枚举 560

10.4.2 拒绝服务 562

10.4.3 未经授权的访问 562

10.4.4 随意代码执行 563

10.4.5 特权提升 563

10.4.6 病毒、蠕虫和特洛伊木马 564

10.5 安全web伺服器检查表 564

10.6 windows server 2003 web伺服器安全策略设计 580

10.6.1 web伺服器的匿名访问和sslf设定 581

10.6.2 web伺服器审核策略设定 582

10.6.3 web伺服器用户许可权分配策略设定 591

10.6.4 web伺服器的安全选项策略设定 600

10.6.5 web伺服器的事件日誌策略设定 617

10.6.6 web伺服器的其他安全策略设定 619

第11章 wlan网路综合安全系统设计与配置 629

11.1 选择wlan的安全策略 630

11.1.1 wlan面临的主要安全问题 630

11.1.2 wlan安全策略的决策 631

11.1.3 如何真正确保wlan的安全 633

11.1.4 wlan的身份验证和授权 634

11.1.5 wlan的数据保护 635

11.1.6 使用wlan数据保护的ieee 802.1x的优点 637

11.2 wlan安全方案选择 637

11.2.1 不部署wlan技术 638

11.2.2 使用基于802.11静态wep的基本安全 638

11.2.3 使用eap和动态加密密钥的ieee 802.1x 639

11.2.4 使用eap-tls的ieee 802.1x 640

11.2.5 使用peap的ieee 802.1x 640

11.2.6 使用vpn技术保护wlan网路 641

11.2.7 使用ipsec保护wlan 643

11.2.8 主要wlan安全方案比较 644

11.3 使用ieee 802.1x设计wlan安全系统 645

11.3.1 ieee 802.1x waln安全方案设计基本思路 645

11.3.2 使用ieee 802.1x和加密确保wlan安全 646

11.3.3 使用证书或密码 646

11.3.4 解决方案的先决条件 647

11.3.5 wlan安全选项考虑 648

11.3.6 确定ieee 802.1x wlan所需的软体设定 654

11.3.7 其他注意事项 658

11.4 使用ieee 802.1x实现wlan安全性 659

11.4.1 方案实现基本思路 659

11.4.2 ieee 802.1x wlan计画工作表 660

11.4.3 準备安全wlan的环境 661

11.4.4 配置和部署wlan身份验证证书 662

11.4.5 配置wlan访问基础结构 671

11.4.6 让用户和计算机能够访问安全wlan 675

11.4.7 配置ieee 802.1x网路的无线接入点 680

11.4.8 测试和验证 681

11.5 ieee 802.1x eap-tls wlan安全方案网路结构设计 681

11.5.1 ieee 802.1x eap-tls身份验证解决方案概述 681

11.5.2 ieee 802.1x eap-tls wlan网路安全结构方案设计标準 684

11.5.3 ieee 802.1x eap-tls方案网路结构逻辑设计与评估 686

11.6 使用peap和密码确保无线lan的安全 692

11.6.1 解决方案的基本思路 692

11.6.2 peap解决方案的优势和工作原理 693

11.6.3 组织结构和it环境计画 696

11.6.4 方案设计标準计画 697

11.6.5 wlan体系结构部署计画 698

11.6.6 针对大型组织的扩展计画 710

11.6.7 解决方案体系结构的变化计画 712

11.6.8 準备安全wlan网路环境 715

11.6.9 方案网路证书颁发机构构建 725

11.6.10 wlan安全的基础结构构建 728

11.6.11 wlan客户端配置 741

后 记 ... 747