內容簡介
《Internet接入·網路安全》語言通俗易懂,圖文並茂,配合大量操作實例,介紹了企業網路中每個環節的安全解決方案。《Internet接入·網路安全》可作為中小企業網路管理員、網路技術愛好者、網路維護與服務人員、在校大專院校學生提高網路實戰能力的必備學習用書,也可作為高職高專、培訓機構的教材或教學參考書。
目錄
第1章 網路安全規劃1
1.1 網路安全體系結構1
1.1.1 物理安全1
1.1.2 網路結構規劃1
1.1.3 系統安全3
1.1.4 信息安全3
1.1.5 套用安全4
1.2 網路安全系統的設計與管理原則4
1.2.1 網路安全系統的設計原則4
1.2.2 網路安全系統的管理5
1.3 網路安全規劃實例6
1.3.1 伺服器安全7
1.3.2 網路設備安全8
1.3.3 網路防火牆部署規劃9
1.3.4 IDS部署規劃13
1.3.5 IPS部署規劃15
1.3.6 區域網路接入安全19
1.3.7 Internet接入安全20
1.3.8 遠程接入安全規劃21
第2章 Windows系統安全23
2.1 作業系統安裝與更新23
2.1.1 系統安裝注意事項23
2.1.2 補丁安裝注意事項24
2.1.3 配置Windows Update 24
2.1.4 補丁安裝25
2.2 系統管理員賬戶27
2.2.1 默認組許可權27
2.2.2 更改Administrator賬戶名稱28
2.2.3 系統管理員密碼設定29
2.2.4 創建陷阱賬戶32
2.3 磁碟訪問許可權33
2.3.1 許可權範圍33
2.3.2 設定磁碟訪問許可權34
2.3.3 查看磁碟許可權34
2.4 系統賬號資料庫35
2.4.1 啟用加密35
2.4.2 刪除系統賬號資料庫37
2.4.3 備份和恢復賬戶信息38
2.5 Internet連線防火牆39
2.5.1 Internet防火牆簡介39
2.5.2 啟用Internet防火牆40
2.6 安全配置嚮導42
2.6.1 配置安全服務42
2.6.2 套用安全配置策略50
2.7 默認共享51
2.7.1 查看默認共享52
2.7.2 停止默認共享53
2.8 關閉連線埠56
2.8.1 服務連線埠56
2.8.2 連線埠威脅57
2.8.3 查看連線埠58
2.8.4 啟動/關閉服務法60
2.9 系統服務安全61
2.9.1 系統服務配置注意事項61
2.9.2 服務賬戶62
第3章 用戶許可權控制63
3.1 將計算機加入域63
3.1.1 將伺服器加入域63
3.1.2 將客戶端計算機加入域64
3.1.3 登錄到域68
3.2 限制域管理員的許可權68
3.2.1 刪除Domain Admins組69
3.2.2 限制單個域管理員的許可權69
3.2.3 限制多個域組的許可權71
3.3 管理賬戶72
3.3.1 創建安全用戶賬戶72
3.3.2 重設用戶密碼73
3.3.3 管理用戶賬戶76
3.3.4 用戶訪問限制78
3.3.5 用戶組安全79
3.3.6 用戶組許可權81
3.4 訪問許可權82
3.4.1 設定NTFS訪問許可權82
3.4.2 共享訪問許可權84
3.4.3 通過組策略指派用戶許可權86
3.5 委派許可權88
3.5.1 許可權委派概述88
3.5.2 委派管理許可權89
第4章 系統安全策略93
4.1 賬戶策略93
4.1.1 密碼策略93
4.1.2 賬戶鎖定策略95
4.1.3 Kerberos策略(Windows域安全)97
4.1.4 推薦的賬戶策略設定99
4.2 審核策略99
4.2.1 審核策略設定99
4.2.2 推薦的審核策略設定101
4.2.3 調整日誌審核檔案的大小101
4.3 安全配置和分析102
4.3.1 預定義的安全模板102
4.3.2 實施安全配置和分析105
4.4 IP安全策略110
4.4.1 IP安全策略概述110
4.4.2 在域中部署IP安全策略111
4.5 GPMC部署安全策略123
4.5.1 GPMC概述124
4.5.2 使用GPMC部署和管理策略125
4.6 軟體限制策略131
4.6.1 軟體限制策略簡介132
4.6.2 安全級別設定132
4.6.3 默認規則138
第5章 網路服務安全141
5.1 活動目錄安全141
5.1.1 域控制器的物理安全141
5.1.2 相關係統服務安全145
5.1.3 Active Directory資料庫安全146
5.1.4 SYSVOL安全148
5.1.5 全局編錄153
5.1.6 密碼策略管理員授權155
5.2 檔案服務安全159
5.2.1 NTFS許可權安全配置159
5.2.2 配置安全審核策略159
5.2.3 磁碟配額166
5.2.4 檔案禁止169
5.3 列印服務安全175
5.3.1 共享列印的運行模式175
5.3.2 設定隱藏的共享印表機176
5.3.3 禁止通過瀏覽器搜尋印表機177
5.3.4 配置印表機訪問許可權177
5.3.5 配置審核策略179
5.4 Web服務安全180
5.4.1 配置身份驗證方式180
5.4.2 訪問許可權控制182
5.4.3 授權規則184
5.4.4 IPv4地址控制186
5.4.5 SSL安全187
5.4.5 審核IIS日誌記錄195
5.4.7 設定內容過期197
5.4.8 內容分級設定198
5.4.9 註冊MIME類型199
5.5 FTP服務安全200
5.5.1 設定TCP連線埠200
5.5.2 連線數和逾時限制201
5.5.3 用戶訪問安全202
5.5.4 檔案訪問安全204
第6章 系統漏洞掃描205
6.1 漏洞概述205
6.1.1 漏洞的特性205
6.1.2 漏洞生命周期206
6.2 漏洞掃描207
6.2.1 漏洞掃描概述207
6.2.2 MBSA 208
6.3 漏洞預警212
6.3.1 安全中心212
6.3.2 訂閱TechNet電子郵件212
6.3.3 查看網路廣播214
6.4 漏洞補丁管理214
6.4.1 系統補丁部署概述214
6.4.2 Microsoft Update 215
6.4.3 系統更新服務215
第7章 入侵檢測229
7.1 入侵檢測系統概述229
7.1.1 入侵檢測系統的架構229
7.1.2 入侵檢測系統的功能230
7.1.3 入侵檢測的一般步驟230
7.1.4 入侵檢測技術的發展趨勢231
7.1.5 常用入侵檢測工具232
7.2 Snort233
7.2.1 Snort概述233
7.2.2 Snort語法及參數234
7.2.3 部署snort入侵檢測系統235
7.2.4 Snort的3種工作模式251
7.2.5 Snort套用實例257
7.3 Sniffer260
7.3.1 Sniffer概述260
7.3.2 Sniffer安裝與配置260
7.3.3 Sniffer的監控模式264
7.3.4 創建過濾器270
7.3.5 捕獲數據273
7.3.6 分析捕獲的數據274
7.3.7 Sniffer套用實例280
第8章 區域網路安全接入283
8.1 基於連線埠的傳輸控制283
8.1.1 風暴控制283
8.1.2 流控制284
8.1.3 保護連線埠285
8.1.4 連線埠阻塞286
8.1.5 連線埠安全286
8.1.6 傳輸速率限制289
8.1.7 MAC地址更新通知291
8.1.8 綁定IP和MAC地址295
8.2 基於連線埠的認證安全295
8.2.1 IEEE 802.1x認證簡介296
8.2.2 配置IEEE 802.1x認證300
8.2.3 配置交換機到RADIUS伺服器的通信301
8.2.4 配置重新認證周期301
8.2.5 修改安靜周期302
8.3 無線區域網路安全接入303
8.3.1 啟用WEP加密傳輸303
8.3.2 修改SSID標識304
8.3.3 禁用多餘服務307
8.3.4 基於MAC地址的身份驗證308
8.4 基於ACS的身份驗證309
8.4.1 ACS伺服器的安裝與配置309
8.4.2 ACS伺服器基本配置312
8.4.3 基於ACS的基本認證321
8.4.4 交換機基於ACS的802.1x認證324
8.4.5 無線AP基於ACS的802.1x認證331
第9章 VPN安全接入337
9.1 VPN概述337
9.1.1 VPN技術簡介337
9.1.2 VPN連線的特點337
9.1.3 VPN的類型與適用338
9.2 基於Windows伺服器的VPN安全接入339
9.2.1 方案概述340
9.2.2 安裝和配置VPN伺服器342
9.2.3 在網路防火牆上發布VPN伺服器350
9.2.4 部署SSL VPN客戶端350
9.2.5 測試VPN連線354
9.3 基於ASA的VPN安全接入355
9.3.1 方案概述355
9.3.2 初始化Cisco ASA 357
9.3.3 配置遠程訪問SSL VPN 357
9.3.4 Cisco AnyConnect VPN客戶端365
9.4 基於TMG的VPN安全接入367
9.4.1 方案概述367
9.4.2 配置VPN客戶端訪問368
9.4.3 創建VPN伺服器發布策略370
9.4.4 檢查VPN伺服器372
第10章 網路訪問保護373
10.1 NAP系統概述373
10.1.1 NAP的套用環境373
10.1.2 NAP的強制模式374
10.1.3 NAP系統的功能374
10.1.4 NAP系統架構374
10.2 NAP的強制方式376
10.2.1 IPSec強制377
10.2.2 802.1x強制377
10.2.3 VPN強制378
10.2.4 DHCP強制379
10.3 網路訪問保護的準備380
10.3.1 相關服務組件的安裝380
10.3.2 更新伺服器381
10.3.3 安裝NPS 382
10.3.4 健康策略伺服器385
10.4 DHCP強制的配置與套用387
10.4.1 網路環境概述387
10.4.2 配置健康策略伺服器388
10.4.3 配置DHCP伺服器393
10.4.4 非NAP客戶端測試398
10.4.5 域中客戶端計算機的測試400
10.4.6 不健康NAP客戶端的測試404
10.5 VPN強制的配置與套用408
10.5.1 網路環境概述408
10.5.2 配置健康策略伺服器409
10.5.3 VPN伺服器的配置417
10.5.4 創建和配置VPN NAP客戶端419
10.5.5 測試受限VPN客戶端的訪問421
第11章 Internet接入概述423
11.1 Internet接入方式423
11.1.1 FTTX接入423
11.1.2 SDH 424
11.1.3 DDN 424
11.1.4 ADSL 425
11.2 Internet連線共享方式426
11.2.1 代理伺服器426
11.2.2 路由器429
11.2.3 網路防火牆432
11.2.4 Internet共享方式的選擇435
第12章 Forefront TMG共享 Internet接入437
12.1 防火牆的部署與交換機的配置437
12.1.1 網路規劃437
12.1.2 Forefront TMG的安裝與初始配置438
12.2 使用入門嚮導進行初始配置443
12.2.1 配置網路設定443
12.2.2 配置系統設定444
12.2.3 定義部署選項445
12.3 安全連線Internet446
12.3.1 配置DHCP伺服器446
12.3.2 配置允許的Internet套用449
12.3.3 禁止訪問某些站點及伺服器450
12.3.4 禁止某些通信軟體451
12.3.5 阻止某些檔案453
12.4 發布伺服器454
12.4.1 發布Exchange Server 2007郵件伺服器454
12.4.2 發布SharePoint站點456
12.4.3 發布Web站點459
12.4.4 發布安全Web網站461
12.4.5 發布非Web協定伺服器462
12.4.6 配置Forefront TMG為Web代理伺服器463
12.5 高效訪問Internet463
12.5.1 啟用快取463
12.5.2 創建正向快取464
12.5.3 禁止反向快取466
12.5.4 禁止對某些站點快取467
12.6 入 侵 檢 測468
12.6.1 配置對已知漏洞的保護468
12.6.2 一般攻擊的入侵檢測469
12.6.3 DNS攻擊的入侵檢測470
12.6.4 淹沒緩解471
第13章 路由器共享Internet接入475
13.1 配置路由器實現共享Internet475
13.1.1 路由基礎475
13.1.2 網路地址轉換 478
13.1.3 LAN方式接入Internet 480
13.1.4 DDN方式接入Internet 488
13.2 內部伺服器的發布491
13.3 Internet訪問安全493
13.3.1 IP訪問列表493
13.3.2 DoS/DDoS防禦498
13.3.3 IP欺騙防範499
13.3.4 SYN淹沒防範499
13.3.5 Ping攻擊防範501
第14章 網路防火牆共享Internet接入503
14.1 安全設備初始化配置503
14.1.1 Cisco ASA單鏈路接入規劃503
14.1.2 命令行初始化503
14.1.3 使用Cisco ASA實現Internet接入505
14.2 安全設備基本配置510
14.2.1 配置接口地址510
14.2.2 新建用戶512
14.2.3 修改Banner信息513
14.2.4 配置ASDM訪問的地址514
14.2.5 配置Telnet訪問地址514
14.3 配置區域網路計算機接入Internet515
14.4 發布內部伺服器518
14.5 網路防火牆的接口與連線521
14.5.1 安全設備接口521
14.5.2 Cisco ASA設計與連線524
14.6 監視安全設備527
14.6.1 監視系統運行狀態527
14.6.2 查看和分析網路流量527
14.6.3 查看和分析系統日誌529