企業網路整體安全——攻防技術內幕大剖析

圖書信息

企業網路整體安全——攻防技術內幕大剖析

內 容 簡 介

本書深入地剖析了構成企業網路整體安全的各部分，包括網路安全概述、網路設備的工作原理、設備造成的安全威脅、各種開放式網路協定，以及開放式網路協定所造成的安全威脅、基於網路設計及網路架構的攻擊與防禦技術、路由協定的工作原理與攻擊防禦技術、網路設備的加固技術與檢測方法、防火牆的配置、病毒與木馬的檢測與防禦、網路集中驗證、訪問控制與接入連線埠的安全技術等。在寫作風格上，作者由淺入深，論點有據，將不可見的理論變成形象的數據幀，並經過有序的組織，讓讀者結束對理論的理想型學習方式，讓理論更好理解，可閱讀性更強。
本書還講述了現今最流行的與網路安全密切相關的流量分析技術、流量滲透分析與防禦技術、在受到網路攻擊時服務質量保證技術、網路安全評估技術、網路安全的加固技術等，大篇幅地揭露了防火牆與防毒軟體視而不見的高危險性攻擊與入侵方式、演示防禦措施等。本書將附贈教學與實驗光碟，使讀者感受視聽相結合的學習方式，更加形象，更易入手。
本書案例豐富，理論性與實用性都較高，並且以“尊重實驗事實，符合實驗理論”為編著原則。豐富的案例使其理論性與實用性頗高，非常適合於網路安全項目工程人員、各大企事業單位的信息中心管理人員、CCIE安全類備考人員、各大高校的專本科學生等。

前 言

我國的信息安全建設已進入一個新的時代，在這個新的時代里，網路安全建設已經不再單純地立足於安全產品、安全軟體、病毒處理與木馬防禦，而是面向整體網路結構、網路設計，甚至於針對網路安全產品本身的加固與防禦。
“能夠被安全產品或防毒軟體檢測出來的安全違規事件，將不再是問題。最大的問題是已經發生了，卻沒有被查出來的問題。”常規的寫作是文獻參考，成功的寫作是將文獻參考變為案例演示，偉大的寫作是啟發讀者。“讀之所欲！作之必從！”
——筆者
本書的出版目的
重點揭露“網路使用的任何技術都可能構成對網路安全的威脅”。
分析並取證針對網路協定與網路結構的攻擊是很多安全產品防不勝防的關鍵原因。
曝光黑客入侵的新思路與新方法。
本書寫作的環境
本書由多名擁有豐富網路安全滲透檢測與縱深防禦能力的資深專家親自參與編著，他們都是具備安全類CCIE認證以上高級職稱的項目負責人。同時由獲得理學博士與碩士學位的高校教師在實驗室反覆地對理論進行實驗研究與驗證編成此書，以確保書中提出的重要理論與實驗結果完全一致。在寫作的過程中，秉承“尊重實驗事實，符合實驗理論”的原則，大量融匯了各大行業的網路安全實踐經驗。
本書的獨一性
重點講解安全產品無法抵禦的攻擊方式與入侵手段。
本書所有的知識點和攻擊防禦的演示過程都被製作成詳細的演示錄像，讓讀者在良好的視聽環境下進行學習。成功地將網路安全的深度理論與高端實驗相結合。
提出了“基於網路結構與網路設計的安全威脅”的新概念，並且為不同企業的網路環境制訂具有企業網路特色的安全防御案例。
關於實驗小組成員：張洋、蔣小波、歐陽旭、敖理、羅東旭、陳歡、鄒忠林、丁怡穎、范煜恩，是你們用24小時輪換工作的方式在一個月內完成了所有的實驗和數據幀取證與分析工作。
獻辭
謹將本書獻給我的外祖父陳子榮先生。雖然您已長辭於人世，但是您十多年的撫育與關懷，讓我永生難忘。也正是因為您，我才擁有無窮的力量去戰勝寫作與錄製教學視頻過程中的困難與疲憊。願您的靈魂在天堂得到安息，願上帝與您同在。“璽得今時仗汝教，鯤鵬展翅向天傲，今君不幸傾人世，兌現宏願為汝報”。

致謝

本書屬於那些經歷過漫長黑夜，完成寫作的技術團隊。參與本書編寫的人員有諶璽、張洋、羅森尺、歐陽旭、蔣小波、駱東旭、陳歡、丁怡穎、鄒忠林、范煜恩、劉偉、唐曉、梁川、敖理、楊光藝，由於你們給予的全力支持，我將用一生的奮鬥來守護這永不熄滅的信仰，忘掉在這個過程中有多么艱辛。我們曾在實驗室共存著世界上最美好的回憶，這將烙下創業者們最珍貴的足印。給我抱緊希望的興奮，我親愛的同事們，“你們是我一生中最偉大的驕傲”。
感謝重慶電子工程職業學院計算機套用係為實驗小組提供了實驗環境與支持。特別感謝計算機套用系的龔小勇主任，信息安全教研室的武春嶺老師，林倩老師，是你們提供了高校與企業合作的平台，才讓我有更多的時間參與到寫作工作上，完成第一部校企聯合的技術產品。
感謝公司的商務總監羅森尺先生，您讓我在事業上懂得了大容大愛的信念。願您永遠平安幸福，取得更輝煌的成績，我將永遠支持您！
使用本書的規則
本書中所使用的路由器、交換機、防火牆如果沒有特別說明，都是Cisco公司的產品。第2章至第10章的內容是本書的關鍵價值所在，這些章節的寫作思想是首先將一個知識點的基本理論進行描述，然後講述知識點所面對的安全威脅，演示黑客入侵的完整過程，最後分析防禦方式。每個知識點和相關演示實驗都提供了完整的教學視頻。建議閱讀完一個小節後再觀看教學視頻，這樣會很大程度上加強讀者的理解能力與動手能力。
鄭重聲明
本書揭露企業網路相關入侵與攻擊事例的目的是為了讓廣大企業網路管理員，提高網路安全意識，加強安全防禦手段。書中和教學視頻中關於那些不能被安全產品測檢的入侵及攻擊方法絕不是提供給網路上居心叵測的用戶，用於非法目的的。讀者實驗時請正確地選擇實驗環境。如果非法套用，產生的一切後果，作者及所在公司不負任何法律責任。
著 者

目 錄

第1章 網路安全概述 1
1.1 什麼是網路安全 1
1.2 典型的網路安全違例事件 1
1.3 引發網路安全違例行為（事件）的途徑 2
1.4 企業級網路安全的實現指南 3
1.4.1 網路安全意識 3
1.4.2 初期網路建設就應該考慮安全 3
1.4.3 網路安全管理條例 3
1.4.4 網路安全評估 4
1.4.5 安全加固 4
1.4.6 安全聯動 4
1.5 網路安全的範圍 4
1.5.1 資產安全 4
1.5.2 風險分析 5
1.5.3 數據安全 5
1.5.4 數據存儲和恢復安全 5
1.5.5 數據傳輸安全 6
1.5.6 數據訪問許可權安全 6
1.5.7 移動存儲設備管理 6
1.5.8 網路安全運行應急預案 6
1.5.9 網路架構安全 6
1.5.10 威脅確定 7
1.5.11 策略制訂與安全加固 7
1.5.12 安全應急預案 7
1.6 分析：黑客入侵的過程 8
1.6.1 掃描 8
1.6.2 確定攻擊或入侵對象 8
1.6.3 檢查對象漏洞 9
1.6.4 分析：黑客的入侵攻擊 9
1.7 小結 10
第2章 網路設備的工作原理與安全威脅 11
2.1 集線器的工作原理與安全威脅 11
2.2 演示：集線器的入侵與防禦 13
2.3 網橋、二層交換機的工作原理與安全威脅 13
2.4 演示：網橋、二層交換機的入侵與防禦 20
2.5 路由器的工作原理與安全威脅 24
2.6 演示：路由器的入侵與防禦 27
2.7 防火牆的工作原理與安全威脅 32
2.8 小結 38
第3章 滲透分析開放式網路協定 39
3.1 為什麼要分析開放式協定 39
3.1.1 分析開放式協定的難度 40
3.1.2 利用什麼工具分析開放式協定 40
3.1.3 理解Sniffer_pro的使用 41
3.2 利用協定分析器分析開放式協定 43
3.2.1 利用協定分析器分析ARP的工作原理 43
3.2.2 利用協定分析器分析TCP/IP的工作原理 47
3.2.3 利用協定分析器分析ICMP的工作原理 49
3.2.4 利用協定分析器分析DHCP的工作原理 52
3.2.5 利用協定分析器分析DNS的工作原理 55
3.2.6 利用協定分析器分析主動FTP與被動FTP的工作原理 59
3.2.7 利用協定分析器分析Telnet和SSH的工作原理 64
3.2.8 利用協定分析器分析HTTP的工作原理 70
3.3 小結 73
第4章 開放式協定的攻擊與防禦 74
4.1 演示ARP攻擊與ARP攻擊的防禦 74
4.2 演示TCP/IP攻擊與防禦 78
4.3 演示基於ICMP的攻擊與防禦 82
4.4 演示：DHCP攻擊與防禦 86
4.5 演示：DNS的攻擊與防禦 91
4.6 演示：FTP的攻擊與防禦 95
4.7 演示：UDP攻擊與防禦 101
4.8 小結 105
第5章 理解基於網路結構的攻擊與防禦 106
5.1 基於數據鏈路層的攻擊與防禦 106
5.1.1 分析與取證：生成樹協定（STP）技術的工作原理 107
5.1.2 演示：基於STP技術的攻擊與防禦 113
5.1.3 分析與取證：思科鄰居發現協定（CDP）的工作原理 116
5.1.4 演示：基於CDP技術的攻擊與防禦 118
5.1.5 分析與取證：VLAN的工作原理與通信過程 120
5.1.6 演示：基於VLAN的雙標記攻擊 127
5.2 基於網路層的攻擊與防禦 131
5.2.1 路由的基本原理與實現 132
5.2.2 演示：RIP路由協定的工作原理與實現 132
5.2.3 演示：基於動態路由協定RIP的入侵與防禦 139
5.2.4 思科HSRP的工作原理與實現 144
5.2.5 演示：基於思科的HSRP攻擊與防禦 149
5.3 小結 153
第6章 網路安全流量檢測與QoS技術 154
6.1 流量統計與分析 154
6.1.1 利用Sniffer統計與分析流量 154
6.1.2 利用NetFlow統計與分析流量 158
6.1.3 利用nbar統計與分析流量 164
6.2 QoS技術入門 169
6.2.1 詳解IP報文的優先權欄位 171
6.2.2 理解QoS的策略過程 173
6.2.3 演示：IP報文的標記 173
6.3 理解QoS佇列技術 176
6.3.1 理解FIFOQ、WFQ、CBWFQ和LLQ 176
6.3.2 演示：使用基於類別的佇列（CBWFQ）技術控制企業網路的流程工程 185
6.3.3 演示：使用低延遲佇列（LLQ）保證企業語音及視頻會議流量 191
6.3.4 理解限速器CAR的工作原理 193
6.3.5 演示：利用CAR緩解ICMP攻擊 195
6.4 企業級網路流量管理的經典案例演示 197
6.4.1 演示：利用NBAR技術完成對典型的網路病毒進行審計並過濾 197
6.4.2 演示：利用NBAR防止泛濫下載MP3、大型的視頻檔案、圖片檔案 198
6.4.3 演示：針對P2P流量控制的解決方案 202
6.5 小結 206
第7章 Windows作業系統的安全加固 207
7.1 理解Windows伺服器基本的安全特性 208
7.1.1 作業系統的登錄驗證 208
7.1.2 配置作業系統的syskey 213
7.1.3 作業系統的用戶與許可權 214
7.1.4 作業系統控制資源訪問 219
7.1.5 加密檔案系統 222
7.1.6 奪取Windows作業系統的檔案擁有者許可權 229
7.1.7 演示：暴力破解Windows安全賬戶管理器 230
7.2 作業系統面對的安全威脅 232
7.2.1 木馬與病毒對作業系統造成的威脅 232
7.2.2 演示：灰鴿子木馬的製作、隱藏、傳播及防禦 234
7.2.3 演示：微軟RPC的衝擊波蠕蟲病毒的入侵與防禦 241
7.2.4 分析auto病毒的傳播原理與防禦方式 244
7.2.5 針對Windows作業系統做TCP洪水攻擊的防禦 248
7.2.6 針對Windows 作業系統的ICMP洪水攻擊與防禦 250
7.3 針對Windows作業系統的加固措施 256
7.3.1 對Windows作業系統進行安全評估 256
7.3.2 集中部署Windows的補丁分發管理伺服器 261
7.3.3 監控Windows的運行情況——利用性能監視器實時監控TCP洪水攻擊 272
7.3.4 建立Windows的審核項目——審核用戶對資源的訪問 278
7.4 小結 284
第8章 災難保護與備份 285
8.1 災難保護範圍 285
8.1.1 理解磁碟陣列 286
8.1.2 理解Windows作業系統的動態磁碟 286
8.1.3 理解Windows伺服器的簡單卷 287
8.1.4 理解Windows伺服器的跨區與帶區陣列 287
8.1.5 理解Windows伺服器的鏡像陣列 288
8.1.6 理解Windows伺服器的RAID-5陣列 289
8.1.7 演示：基於Windows 系統的鏡像陣列 290
8.1.8 演示：基於Windows 系統的RAID-5陣列 293
8.2 數據備份 295
8.2.1 災難保護並不能替代數據備份 296
8.2.2 理解各種數據備份的方式 296
8.2.3 演示：制訂安全的數據備份 298
8.2.4 演示：制訂自動備份計畫 300
8.2.5 數據備份不能替代實時備份 303
8.2.6 演示：使用UPM備特佳災備系統完成數據的實時備份 304
8.3 小結 313
第9章 信息安全的集中管理 314
9.1 為企業網路建立統一的時鐘系統 315
9.2 分析與取證：網路集中管理必備協定SNMP的工作原理 316
9.3 演示：使用SNMP協定完成企業網路設備的集中管理 319
9.4 理解在各種不同系統平台上的日誌收集 325
9.5 演示：集中收集各種網路設備與伺服器的日誌檔案 329
9.6 演示：對日誌信息的解析與日誌的過濾 335
9.7 演示：利用DHCP Snooping接合DAI技術智慧型防禦網路中的ARP攻擊 338
9.8 演示：快速控制企業級網路遭遇病毒後的交叉感染 342
9.9 演示：基於桌面系統的接入驗證與控制 346
9.10 建立信息安全帶外管理方案 360
9.11 加固企業網路的安全配置 362
9.11.1 企業級網路安全設備的種類與套用範圍 362
9.11.2 配置思科的IOS防火牆 371
9.11.3 配置思科的PIX防火牆 376
9.11.4 配置思科基於IOS與PIX的入侵防禦系統 383
9.11.5 利用SDM加固路由器與交換機的安全 395
9.12 小結 400
附錄A 和本書有關的Ubuntu作業系統的使用基礎 401
附錄B P2P軟體常用的連線埠號 405
附錄C SDM的安裝使用 407