本书详细阐述了计算机网路安全的相关机制，整体安全机制分为防御、攻击、网路安全管理和整体安全体系几个部分。第1部分从常见的防御机制出发，从网路安全产品入手介绍了防火墙、入侵侦测系统，同时从网路层次体系的角度出发，详细描述了网路层的协定、面临的攻击和相应的防範手段，并在此基础上延展介绍了虚拟专用网的发展和最新动态；第2部分则从网路攻击的手法出发讲述了常见攻击的步骤，并重点介绍了安全扫描技术的作用及其对于安全风险评估的意义；第3部分重点阐述了风险评估的各种原理和方法

第1章网路安全概述 1

1.1概述 1

1.2网路安全设计準则 2

1.2.1综合性、整体性原则 2

1.2.2需求、风险、代价平衡的原则 2

1.2.3一致性原则 2

1.2.4易操作性原则 3

1.2.5分步实施原则 3

1.2.6多重保护原则 3

1.2.7可评价性原则 3

习题 3

第2章认证和访问控制技术 4

2.1身份认证技术 4

2.1.1概述 4

2.1.2认证：CA 6

2.1.3PKI技术 6

2.2访问控制 10

2.2.1一次性口令技术 10

2.2.2单点登录（SSO）技术 11

2.3认证服务系统的设计 13

2.3.1AAA概述 13

2.3.2RASIUS技术 14

2.3.3TACACS和TACACS+ 19

习题 21

第3章防火墙技术 22

3.1防火墙基础 22

3.1.1防火墙基础知识 22

3.1.2防火墙的模型 25

3.1.3防火墙的基本安全策略 25

3.1.4防火墙技术分析 26

3.2防火墙的分类 29

3.2.1技术分类 30

3.2.2按照使用範围分类 31

3.2.3按照硬体架构分类 35

3.3防火墙的功能及其指标 36

3.3.1防火墙的功能 36

3.3.2防火墙的指标 40

3.4防火墙关键技术 41

3.4.1包过滤技术 41

3.4.2代理技术 43

3.4.3状态监测技术 45

3.5防火墙的体系结构 46

3.5.1包过滤路由器 46

3.5.2双重宿主主机结构 46

3.5.3禁止主机结构 47

3.5.4DMZ或禁止子网结构 48

3.5.5多重堡垒主机结构 49

3.5.6使用多台内部路由器 50

3.6防火墙设计 50

3.6.1网路结构分析 50

3.6.2DMZ网路设计 52

3.6.3内部网路设计 58

3.6.4高可用性设计 59

3.7常见的防火墙产品介绍 63

3.7.1MicrosoftISAServer简介 63

3.7.2PIX简介 64

3.7.3NetScreen简介 65

3.8Linux防火墙与IPTables技术 66

3.8.1概述 66

3.8.2原理 66

3.8.3IPTbales操作 68

3.8.4IPTables与Ipchains的区别 73

3.9对防火墙的攻击 75

3.9.1IP位址欺骗 75

3.9.2TCP序号攻击 75

3.9.3IP分段攻击 76

3.9.4基于附加信息的攻击 77

3.9.5基于堡垒主机Web伺服器的攻击 77

3.9.6IP隧道攻击 77

3.9.7计算机病毒攻击 77

3.9.8特洛伊木马攻击 77

3.9.9报文攻击 78

3.10防火墙的其他功能 78

3.10.1防火墙负载均衡技术 78

3.10.2防火墙的VPN功能 79

3.10.3防火墙与IDS联动功能 80

习题 80

第4章网路层防範 81

4.1网路基础 81

4.1.1网路体系结构 81

4.1.2TCP/IP的体系结构 82

4.1.3乙太网工作机制 85

4.1.4IP：InternetProtocol 91

4.2路由协定和DNS分析 93

4.2.1Internet路由和路由器 93

4.2.2BGP原理与安全防範 97

4.2.3OSPF和RIP安全防範 108

4.2.4DNS安全防範 111

4.3数据链路层攻击分析与防範 113

4.3.1ARP原理与安全防範 113

4.3.2CDP原理与安全防範 123

4.3.3VLAN与VTP原理与安全防範 124

4.3.4DHCP原理与攻击防範 126

4.4安全路由器配置 132

4.4.1路由器面临的安全威胁分析 132

4.4.2安全过滤策略 133

4.4.3路由器安全分析 135

4.4.4路由器标準配置 137

习题 153

第5章入侵侦测技术 154

5.1入侵侦测技术概述 154

5.2入侵侦测系统 155

5.2.1入侵侦测系统分类 155

5.2.2入侵侦测系统的优缺点 155

5.2.3入侵侦测系统的部署方法 157

5.2.4入侵侦测系统的关键指标 159

5.3入侵侦测技术 162

5.3.1基于异常的入侵侦测技术 162

5.3.2基于模式的入侵侦测技术 163

5.3.3入侵侦测技术的未来 164

5.4常见入侵侦测系统 164

5.4.1Snort系统 164

5.4.2绿盟冰之眼入侵侦测系统简介 171

习题 173

第6章虚拟专用网（VPN） 174

6.1VPN技术总论 174

6.1.1VPN技术概述 174

6.1.2VPN技术分类 175

6.2三层VPN技术 178

6.2.1三层VPN概述 178

6.2.2MPLSVPN及其相关技术 179

6.2.3MPLSVPN的一般配置 193

6.2.4VPN的安全性 195

6.3二层VPN技术 197

6.3.1二层MPLSVPN技术概述 198

6.3.2VPLS技术详解 200

习题 203

第7章其他常用防御手段 204

7.1HoneyNet与HoneyPot 204

7.2防病毒技术 205

7.2.1概述 205

7.2.2病毒的传播与防护 207

7.2.3病毒防护的案例 208

7.3灾难备份技术 210

7.3.1概述 210

7.3.2RAID技术 210

习题 212

第8章漏洞扫描技术 213

8.1扫描技术概述 213

8.1.1概述 213

8.1.2扫描器的分类 214

8.1.3扫描器的优缺点 214

8.2扫描原理与技术 215

8.2.1TCP协定栏位的含义 215

8.2.2连线埠扫描技术 216

8.2.3主机扫描技术 220

8.3漏洞扫描的指标与常见产品 221

8.3.1漏洞扫描器的指标 221

8.3.2常见产品介绍 223

8.3.3Nmap的安装使用 224

8.3.4绿盟科技的极光远程安全评估系统 226

8.4漏洞扫描技术发展动态和趋势 229

习题 230

第9章其他常用攻击手段 231

9.1常用攻击技术 231

9.1.1网路攻击的步骤 231

9.1.2拒绝服务攻击技术简介 234

9.1.3利用型攻击 235

9.1.4IP欺骗技术和TCP欺骗技术 236

习题 236

第10章风险评估 237

10.1风险评估概述 237

10.1.1概述 237

10.1.2风险评估相关术语 238

10.1.3风险评估的风险模型 242

10.2风险评估的国际标準 244

10.2.1信息安全管理标準ISO17799和BS7799 244

10.2.2信息安全通用準则ISO15408 246

10.2.3系统安全工程能力成熟模型SSE-CMM 247

10.2.4信息安全管理指南ISO13335 248

10.3风险评估分析方法 250

10.3.1风险评估分析方法的分类 250

10.3.2定量分析方法 250

10.3.3定性分析方法 251

10.3.4现有的安全风险评估工具 252

10.4风险评估的过程 252

10.4.1概述 252

10.4.2确定评估範围 252

10.4.3执行阶段 253

10.4.4风险分析和报告阶段 255

10.5实例：手工评估报告和风险计算方法 255

10.5.1手工评估对象 255

10.5.2主机信息 256

10.5.3Solaris系统 262

10.5.4RedHatLinux系统 263

10.5.5HP-UX系统 264

10.5.6Windows系统 265

10.5.7风险控制 268

10.6风险评估注意事项 268

10.6.1可持续性要求 268

10.6.2建立安全信息库 269

习题 269

第11章安全体系 270

11.1网路安全模型 270

11.2安全体系结构 274

11.2.1概述 274

11.2.2ISO7498-2 274

11.3Internet的网路安全体系结构 278

11.3.1物理安全 278

11.3.2网路安全 278

11.3.3信息安全 280

11.3.4安全管理 283

习题 284