Handening Network Infrastructure中文版

在建立安全機制上越具有前瞻性，那么以後被迫去打補丁、進行更新，以及從安全事件中恢復的機會也越少。從降低風險而不是加強安全的角度去考慮問題，是有助於促進向前瞻性安全機制轉變的一種思維方式。經常提提類似於“我怎樣才能最大限度地降低風險？”這樣的問題，獲得的回報將是更為可靠的安全性。牢記一點：“完美”是“夠用”的大敵。“不要老想著投入完美的解決方案，而應該集中著眼於最實用的方案。”

說到底，沒有網路用戶的協助，就不可能實現有效而持久的安全策略。解決管理和資源問題往往要比解決IPsec的配置問題更富挑戰性。很幸運，Wesley先生已經在本書里介紹了這兩方面的問題。

最後記住一點，並不只有您一個人單打獨鬥。如果要在網路、用戶和數據的安全性上面更有作為，那么我們這些網路安全的捍衛者們就必須聯手合作。有了Firewall-Wizards Mailing List（防火牆嚮導郵遞列表）這類論壇，就能讓本書作者這樣的高手幫助人們解決特定問題。安全機制建立得不正確、有人做了不該做的事，或者有人攻擊了我們的系統，這些可能都不是我們的錯。但是盡我們所能保障網路的安全，並且幫助其他人保障安全，就是我們義不容辭的責任了。

知己知彼，百戰不殆；不知彼而知己，一勝一負；不知彼不知己，每戰必敗。

故善攻者，敵不知其所守；善守者，敵不知其所攻。

——孫武，《孫子兵法》

為什麼一本介紹網路基礎設施安全防護的書，一開始卻要引用《孫子兵法》上的兩段話呢？這個問題的答案是，如今的網路總處在攻擊之下，這無異於一場數字戰爭。

戰爭中的一方是黑客（hacker）、駭客（cracker）和腳本小子（script kiddie），他們企圖攫取信息，侵入受到保護的資源之中。他們是敵人，您需要知道他們是何許人也，他們意欲何為。您還需要了解他們使用的攻擊方法和入侵形式。McGraw-Hill/Osborne出版的Hacking Exposed（中譯本名為《黑客大曝光》，由清華大學出版社出版）系列圖書是了解現有安全威脅的很好資源。這些圖書列舉並解釋了黑客所採用的各種攻擊手段。但是做到知彼，僅僅只是了解了戰爭的一個方面。

這場數字戰爭的另一方則是計算機安全領域內的專業人士。

我們是努力防止黑客、駭客和腳本小子入侵我們系統的人。只知道針對您的網路存在哪些威脅還遠遠不夠，您不但要了解敵人，還要了解您自己和您的網路（從防火牆到路由器再到交換機，以及在這之間的所有東西）。您一旦熟悉了這些內容，接下來就要了解如何加強對這些網路資源的防護。例如，如果您知道黑客會利用冒充欺騙的伎倆來竊取資源的訪問權，那么，應該怎樣配置防火牆和路由器來抵禦這樣的威脅呢？本書詳細地說明了在加強網路資源的防護時所能實施的特定方法和步驟，它給Hacking Exposed系列圖書補充了很多頗富價值的內容。筆者將會讓您展示如何進行防禦，從而讓您的敵人所發動的攻擊付諸東流。

在看過許多技術書籍和白皮書之後，我倍感沮喪，因為這些資料很少能舉例說明該怎么做。它們只是在概念上深入地進行了解釋和說明，看過之後我們仍舊會問：“行，那既然我搞懂了這個問題，我該對此怎么辦呢？”當出版社找到我來撰寫本書的時候，給我觸動最大的就是出版社也想回答這個問題：“我該對此怎么辦呢？”我決定從一個顧問的角度來編寫本書。在書中，我沒有去細摳各種入侵的原理，然後告訴讀者說需要修正這類問題；而是告訴讀者，如何才能加強對資源的防護以抵禦攻擊，並且盡我所能給出特定的配置實例。我希望讀者能夠把這本書當作一本參考手冊或者行動手冊，指導自己完成加強網路基礎設施防護的各個步驟和過程。

讀者在本書里將會看到加強網路基礎設施防護所涉及到的所有方面的內容，這些內容分成4個獨立的部分進行介紹。在第1部分“立即行動”里，我們先從六件事談起，如果您還沒有做這些事的話，應該馬上就去做。

第2部分“從全局出發——系統級的加強防護過程”，我們首先考察一個安全策略，然後提出指導原則，讀者可以按照這些指導原則制定一個良好的安全策略。只有您已經清晰地定義了網路設備一貫的安全防護狀態是怎樣的，才能讓自己所有的網路設備都處於這樣的一種狀態，這也是為什麼加強網路防護的第一步必須是制定一份安全策略的原因。接下來，我們將會研究特定的網路基礎設施硬體，加強對它們的安全保護。我們不僅要考察我們能為保護這些硬體做什麼，而且還要考察怎樣可以用這些硬體去保護網路。例如，我們不僅會考察保護防火牆自身免遭入侵的步驟，還會考察使用防火牆來保護網路基礎設施所需的步驟。作為第2部分的總結，我們會介紹各種技術和概念，並且探討在設計一個得到系統級安全防護的網路基礎設施時，如何將這些技術融入其中。

第3部分“絕不能一勞永逸”探討如何處理好網路基礎設施上發生的變化。我們會介紹從安全策略的調整到打補丁和進行更新的各方面內容，說明如何有效地解決這些必然會出現的變化，同時又不會使網路處於易受攻擊的狀態。

最後，我們在第4部分“如何成功地加強網路基礎設施的防護”里，將會闡述加強網路基礎設施防護的軟性技巧。這方面涉及到的問題包括：如何評價成本翻番、以及配備和培訓人員時牽扯到的事項。我們在這部分結束前探討了網路安全的嚴峻現實：在您竭盡全力網路仍被入侵的情況下，該怎么辦。

我真誠地希望，在閱讀本書並且實踐了書中給出的建議之後，讀者朋友不僅能對敵人做到“知彼”，而且對自己和自己的網路能做到“知己”，此外，讀者也能懂得要去防禦什麼，如何進行防禦。

說明：在本書里的一些代碼行末尾（如下面這個例子），讀者會看到一個右箭頭（?）。該符號表明這是一條單行的命令，它實際應該放在一行里，因為印刷頁寬的限制而必須折行

第1部分 立即行動！

第1章 開門六件事 3

1.1 複查網路設計 5

1.2 安裝防火牆 8

1.2.1 套用代理 9

1.2.2 有狀態的數據包檢測/過濾網關 9

1.2.3 混合防火牆 9

1.2.4 應該實現哪種防火牆 10

1.3 實現訪問控制列表 10

1.4 關閉不必要的功能和服務 11

1.5 實施病毒防護 12

1.6 保護無線連線的安全 13

1.7 小結 13

第2部分 從全局出發——系統級的加強防護過程

第2章 制定安全策略 17

2.1 安全策略的作用 18

2.2 安全策略的組成 21

2.2.1 從何處開始 21

2.2.2 良好安全策略的特徵 24

2.3 安全策略建議 26

2.3.1 加密策略 27

2.3.2 模擬/ISDN策略 27

2.3.3 防病毒策略 27

2.3.4 審計、安全漏洞評估和風險評估策略 27

2.3.5 撥號策略 27

2.3.6 DMZ策略 28

2.3.7 外網策略 28

2.3.8 無線通信策略 28

2.3.9 VPN策略 28

2.3.10 防火牆安全策略 29

2.3.11 路由器和交換機安全策略 29

2.3.12 遠程訪問策略 29

2.3.13 口令策略 29

2.3.14 入侵檢測/保護系統策略 30

2.3.15 內容過濾/Internet策略 30

2.3.16 企業級監視策略 30

2.3.17 AUP策略 30

2.3.18 網路連線策略 31

2.3.19 網路文檔策略 31

2.4 為什麼安全策略會失效，如何避免失效 31

2.4.1 將安全當作前進的障礙 32

2.4.2 安全是後天學會的行為 32

2.4.3 安全不乏意外事件和情況 32

2.4.4 安全策略始終沒有盡頭 32

2.4.5 防止失敗 32

2.5 小結 33

第3章 強化防火牆 34

3.1 基於硬體和基於軟體的防火牆 35

3.1.1 強化遠程管理 36

3.1.2 實現身份驗證和授權 42

3.1.3 強化作業系統 44

3.1.4 強化防火牆的服務和協定 45

3.1.5 利用冗餘強化防火牆 56

3.1.6 強化路由協定 58

3.2 小結 62

第4章 用IDS/IPS強化網路安全 63

4.1 IDS/IPS技術 64

4.1.1 基於主機的入侵檢測/保護 65

4.1.2 基於網路的入侵檢測/保護 66

4.2 IDS/IPS的組成 67

4.3 IDS/IPS設備的強化 68

4.3.1 強化Windows上的PureSecure 68

4.3.2 強化Cisco IDS 71

4.4 IDS/IPS的部署 73

4.4.1 檢測和保護的對比 74

4.4.2放置檢測器 74

4.4.3在交換式網路中放置檢測器的位置 75

4.5IDS/IPS的調優 76

4.5.1調整PureSecure的檢測器 77

4.5.2調整CiscoIDS的檢測器 79

4.6IDS/IPS的日誌、報警和阻斷 83

4.6.1PureSecure的日誌功能 83

4.6.2CiscoIDS的日誌功能 85

4.6.3PureSecure的報警 86

4.6.4CiscoIDS的報警 87

4.6.5使用CiscoIDS和CiscoPIX防火牆阻斷流量 90

4.7小結 91

第5章強化VPN和遠程撥號訪問 92

5.1強化VPN連線 93

5.1.1不同的VPN連線類型和VPN技術 94

5.1.2強化VPN設備安全的方法 96

5.1.3強化基於IPsec的VPN 118

5.1.4強化VPN客戶機的安全 132

5.2強化撥號遠程訪問 133

5.3小結 134

第6章強化路由器和交換機 136

6.1強化管理訪問 137

6.1.1保護控制台訪問 138

6.1.2保護VTY訪問 139

6.1.3保護基於Web的管理訪問 141

6.1.4保護輔助連線埠的訪問 142

6.1.5保護特權模式的訪問 142

6.1.6實現多用戶名和AAA 143

6.1.7提供提示 144

6.2強化服務和功能 145

6.2.1CDP協定 145

6.2.2TCP和UDP小伺服器 146

6.2.3finger 146

6.2.4NTP協定 146

6.2.5bootp伺服器 148

6.2.6DHCP協定 148

6.2.7配置自動載入 148

6.2.8名字解析 149

6.2.9代理ARP 149

6.2.10重定向廣播 150

6.2.11IP源路由 150

6.2.12ICMP重定向、不可達和地址掩碼應答 150

6.2.13syslog 150

6.2.14SNMP協定 151

6.2.15實現環回地址 154

6.2.16禁用未用的接口 154

6.2.17配置記憶體轉儲 155

6.3強化路由器的技術 155

6.3.1實現冗餘 156

6.3.2強化路由協定 156

6.3.3實現流量管理 161

6.3.4實現IPsec 172

6.4強化交換機的技術 174

6.4.1強化VLAN 175

6.4.2強化服務和功能 178

6.5小結 184

第7章用內容過濾保護網路安全 186

7.1Internet內容過濾的體系結構 188

7.1.1基於客戶機的內容過濾 188

7.1.2基於伺服器的內容過濾 188

7.1.3基於網關的內容過濾 191

7.2Internet內容過濾技術 192

7.2.1濫用資源 192

7.2.2保留網路頻寬 192

7.2.3不健康的工作環境 192

7.2.4不健康的Web代碼（Java/ActiveXApplet） 193

7.2.5實施內容過濾 193

7.3電子郵件的內容過濾 213

7.3.1實施病毒保護 213

7.3.2過濾附屬檔案 214

7.3.3實施內容過濾 215

7.3.4實施垃圾郵件控制 216

7.4小結 217

第8章加強WLAN網路連線的安全 218

8.1未獲IT/管理部門批准禁用WLAN 219

8.1.1防止非法AP 219

8.1.2實施WLAN探測 221

8.1.3拆除非法WAP 224

8.2加強WAP的安全 224

8.2.1加強遠程管理的安全 225

8.2.2安全地配置SSID 227

8.2.3配置日誌 229

8.2.4加強服務的安全 230

8.2.5限制無線模式 233

8.2.6使用MAC地址過濾 234

8.3加強WLAN連線的安全 237

8.3.1加強WEP的安全 237

8.3.2加強WPA的安全 240

8.3.3用VPN加強WLAN的安全 245

8.4加強WindowsXP無線客戶的安全 245

8.4.1加強WEP的安全 246

8.4.2加強預共享密鑰WPA的安全 247

8.4.3用WPA加強RADIUS/802.1x的安全 248

8.5小結 250

第9章實現AAA 252

9.1AAA機制 253

9.1.1RADIUS 253

9.1.2TACACS+ 254

9.2認證和訪問控制 254

9.2.1基於IOS設備的AAA認證 255

9.2.2PIX防火牆上的AAA認證 263

9.3授權和網路安全 266

9.3.1在IOS設備上的授權 266

9.3.2PIX防火牆上的授權 267

9.4記賬和網路安全 270

9.4.1基於IOS環境下的AAA記賬 271

9.4.2PIX防火牆上的AAA記賬 272

9.5802.1x基於連線埠的認證 272

9.5.1802.1x網路設備的功能 273

9.5.2在IOS交換機上配置802.1x認證 274

9.6小結 280

第10章通過網路管理加強網路安全 281

10.1實現一個網路管理系統（NMS） 282

10.1.1故障管理 283

10.1.2配置管理 298

10.1.3性能管理 301

10.1.4記賬或者資產管理 303

10.1.5安全管理 303

10.2加強網路管理協定的安全 303

10.3小結 311

第11章實施一個安全的邊界 312

11.1DMZ實施方法 313

11.1.1在DMZ中使用一個多宿防火牆 313

11.1.2在DMZ中使用一個雙重防火牆 316

11.1.3VLAN和DMZ 318

11.2Internet訪問模組 318

11.2.1通過Internet模組的流量flow 320

11.2.2防火牆實施 320

11.3VPN/遠程訪問模組 324

11.3.1遠程訪問VPN終止網段 325

11.3.2站點到站點VPN終止網段 326

11.3.3撥號遠程用戶終止網段 326

11.3.4NIDS/NIPS部署 326

11.4WAN訪問模組 327

11.5外聯網訪問模組 328

11.6無線訪問模組 329

11.7電子商務訪問模組 330

11.7.1Web服務DMZ網段 331

11.7.2應用程式服務DMZ網段 331

11.7.3資料庫服務DMZ網段 331

11.8小結 332

第12章實施一個安全的內部網路 334

12.1使用虛擬區域網路（VLAN）分隔網路 335

12.1.1執行信任模型 335

12.1.2使用VLAN隔離系統 337

12.2設計企業園區 338

12.2.1核心模組 340

12.2.2伺服器模組 340

12.2.3建築物分配模組 341

12.2.4建築物訪問模組 342

12.2.5管理模組 343

12.2.6實驗室模組 344

12.3強化分支機構/遠程辦公室 344

12.4小結 345

第3部分絕不能一勞永逸

第13章審計：執行安全複查 349

13.1複查安全策略 350

13.1.1員工是否遵守安全策略 351

13.1.2你的安全策略是否能夠解決環境中的全部已知威脅 352

13.1.3你的安全策略是否採取了適當的預防和強制措施 355

13.2複查安全狀況 356

13.3審計環境 357

13.3.1執行內部審計 358

13.3.2使用Nmap和Nessus執行基本的安全複查 363

13.3.3執行外部審計 379

13.4小結 380

第14章管理環境變更 381

14.1實施變更控制 382

14.1.1成立變更管理團隊 382

14.1.2變更規划過程 385

14.1.3變更管理過程 390

14.1.4成功實行變更控制過程 395

14.2實施一個補丁和更新策略 398

14.2.1何時使用應急方案、熱補丁、補丁或升級 399

14.2.2及時了解應急方案、熱補丁、補丁和升級程式 400

14.2.3購買維護和支持協定 401

14.2.4制定一個變更控制補丁策略 401

14.2.5起草補丁和更新程式 402

14.2.6改變系統映像 403

14.2.7改變系統配置 415

14.2.8改變應用程式 424

14.3小結 424

第4部分如何成功地加強網路基礎設施的防護

第15章樹立認知並證明安全成本 427

15.1樹立認知和期待 428

15.1.1樹立用戶認知和期待 429

15.1.2樹立管理層認知和期待 433

15.2證明安全成本的合理性 436

15.3小結 444

第16章解決員工和培訓問題 445

16.1員工問題 446

16.1.1增加員工總數 446

16.1.2利用承包者 446

16.1.3外包 447

16.1.4招聘新員工與留住老員工 447

16.1.5個人職位和責任 451

16.1.6企業/團體職位和責任 452

16.1.7知識管理 453

16.2培訓問題 454

16.2.1培訓的價值與成本 454

16.2.2實施一個實驗室環境 456

16.3小結 457

第17章事故回響 459

17.1制定一個事故回響計畫 460

17.1.1成立一個計算機事故回響團隊 460

17.1.2事故回響規劃 465

17.1.3查明事故 468

17.1.4事故處理 471

17.2小結 475