網(wǎng)絡(luò)工程師必讀網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目錄

時(shí)間：2023-02-28 06:24:01 | 來(lái)源：營(yíng)銷(xiāo)百科

時(shí)間：2023-02-28 06:24:01 來(lái)源：營(yíng)銷(xiāo)百科

網(wǎng)絡(luò)工程師必讀網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目錄：第1章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)綜述. 1

1.1 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ) 2

1.1.1 網(wǎng)絡(luò)安全的發(fā)展 2

1.1.2 網(wǎng)絡(luò)安全威脅基礎(chǔ) 4

1.1.3 企業(yè)網(wǎng)絡(luò)的主要安全隱患 6

1.1.4 網(wǎng)絡(luò)安全系統(tǒng)的基本組成 7

1.2 osi/rm各層的安全保護(hù) 9

1.2.1 物理層的安全保護(hù) 9

1.2.2數(shù)據(jù)鏈路層的安全保護(hù) 11

1.2.3 網(wǎng)絡(luò)層的安全保護(hù) 12

1.2.4 傳輸層的安全保護(hù) 13

1.2.5 會(huì)話層和表示層的安全保護(hù) 14

1.2.6 應(yīng)用層的安全保護(hù) 15

1.3 系統(tǒng)層的安全保護(hù) 16

1.4 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 16

1.4.1 網(wǎng)絡(luò)安全策略 16

1.4.2 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本原則 17

1.5 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的基本思路 20

1.5.1 安全隱患分析和基本系統(tǒng)結(jié)構(gòu)信息的收集 20

1.5.2 調(diào)查和分析當(dāng)前網(wǎng)絡(luò)的安全需求 23

.1.5.3 評(píng)估現(xiàn)有網(wǎng)絡(luò)安全策略 24

1.5.4 設(shè)計(jì)細(xì)化的新網(wǎng)絡(luò)安全策略初稿 25

1.5.5 第一次小范圍的測(cè)試、評(píng)估和修改 31

1.5.6 第二次中、大范圍的測(cè)試、評(píng)估和修改 32

1.5.7 新網(wǎng)絡(luò)安全策略文檔終稿 32

1.5.8 新網(wǎng)絡(luò)安全策略系統(tǒng)的正式應(yīng)用 32

第2章 物理層的網(wǎng)絡(luò)安全保護(hù)方案 33

2.1 物理層安全保護(hù)概述 34

2.2 物理層的線路竊聽(tīng)技術(shù)分析 34

2.3 計(jì)算機(jī)網(wǎng)絡(luò)通信線路屏蔽 35

2.3.1 選擇屏蔽性能好的傳輸介質(zhì)和適配器 36

2.3.2 屏蔽機(jī)房和機(jī)柜的選擇 38

2.3.3 wlan無(wú)線網(wǎng)絡(luò)的物理層安全保護(hù) 39

2.4 物理線路隔離 40

2.4.1 主要物理隔離產(chǎn)品 40

2.4.2物理隔離網(wǎng)閘的隔離原理 43

2.4.3 物理隔離網(wǎng)閘的典型應(yīng)用 46

2.5 設(shè)備和線路冗余 46

2.5.1 網(wǎng)絡(luò)設(shè)備部件冗余 47

2.5.2 網(wǎng)絡(luò)設(shè)備整機(jī)冗余 49

2.5.3 網(wǎng)絡(luò)線路冗余 51

2.6 機(jī)房和賬戶(hù)安全管理 51

2.6.1 機(jī)房安全管理 51

2.6.2 賬戶(hù)安全管理 52

2.7 數(shù)據(jù)安全管理 52

2.7.1 數(shù)據(jù)容災(zāi)概述 53

2.7.2 容災(zāi)與存儲(chǔ)、容錯(cuò)、備份和遠(yuǎn)程復(fù)制的關(guān)系 54

2.7.3 數(shù)據(jù)容災(zāi)等級(jí) 56

2.7.4 災(zāi)難恢復(fù)的關(guān)鍵注意事項(xiàng) 60

2.8 物理層安全管理工具 61

2.8.1 泛達(dá)綜合布線實(shí)時(shí)管理系統(tǒng) 61

2.8.2 molex綜合布線實(shí)時(shí)管理系統(tǒng) 64

2.9 服務(wù)和服務(wù)賬戶(hù)安全規(guī)劃 66

2.9.1 服務(wù)和服務(wù)賬戶(hù)安全規(guī)劃概述 66

2.9.2 服務(wù)的安全漏洞和賬戶(hù) 67

2.9.3 windows server 2003中服務(wù)的默認(rèn)安全設(shè)置更改 69

2.9.4 安全運(yùn)行服務(wù)的原則 70

2.9.5 如何更安全地運(yùn)行服務(wù) 72

第3章數(shù)據(jù)鏈路層的安全保護(hù)方案 81

3.1 典型數(shù)據(jù)加密算法 82

3.1.1 基于'消息摘要'的算法 82

3.1.2 '對(duì)稱(chēng)/非對(duì)稱(chēng)密鑰'加密算法 85

3.2 數(shù)據(jù)加密 87

3.2.1數(shù)據(jù)加密技術(shù)87

3.2.2 鏈路加密機(jī) 90

3.2.3 網(wǎng)卡集成式鏈路加密原理 92

3.3 wlan ssid安全技術(shù)及配置方法 94

3.3.1 ssid概念及配置方法 94

3.3.2 bssid和essid 95

3.3.3 ssid的安全問(wèn)題 96

3.4 wlan mac地址過(guò)濾 97

3.5 wlanwep加密98

3.5.1 wep加密原理 98

3.5.2 wep解密原理 99

3.5.3 wep加密的不足 99

3.5.4 wep加密的配置方法 100

3.6 wpa加密 102

3.6.1 wpa的wlan鏈路加密 102

3.6.2 wpa中的ieee 802.1x身份認(rèn)證系統(tǒng) 103

3.6.3 eapol消息的封裝 105

3.6.4 ieee 802.1x的認(rèn)證過(guò)程 107

3.7 wpa2加密 111

3.7.1 wpa2簡(jiǎn)介 111

3.7.2 aes-ccmp基礎(chǔ) 112

3.7.3 aes算法的基本原理 113

3.7.4 wpa2 aes-ccmp加/解密原理 115

3.8 無(wú)線ap/路由器的wpa和wpa2設(shè)置 118

3.8.1 個(gè)人用戶(hù)無(wú)線ap/路由器的wpa-psk或wpa2-psk設(shè)置 119

3.8.2 企業(yè)級(jí)無(wú)線ap/路由器的wpa或wpa2設(shè)置 120

3.8.3 wlan客戶(hù)端第三方軟件的wpa和wpa2設(shè)置 121

3.8.4 windows xp無(wú)線客戶(hù)端wpa/wpa2配置 125

3.9 最新的wlan安全標(biāo)準(zhǔn)——ieee 802.11i 126

3.9.1 ieee 802.11i概述 127

3.9.2 wrap加密機(jī)制 127

3.10 mac地址欺騙防護(hù) 129

3.10.1 arp和rarp協(xié)議工作原理 130

3.10.2 arp協(xié)議幀格式 131

3.10.3 mac地址欺騙原理 132

3.10.4 mac地址欺騙預(yù)防 133

3.11 cisco設(shè)備上基于端口的mac地址綁定136

3.11.1 基于端口的單一mac地址綁定基本配置步驟 136

3.11.2 基于端口的單一mac地址綁定配置示例 138

3.12 cisco基于端口的多mac地址綁定 138

3.12.1 基于端口的多mac地址綁定配置思路 138

3.12.2 基于端口的多mac地址綁定配置示例 139

3.13 cisco設(shè)備上基于ip的mac地址綁定 139

3.13.1 一對(duì)一的mac地址與ip地址綁定 139

3.13.2 一對(duì)多，或者多對(duì)多的mac地址與ip地址綁定示例 140

3.14 h3c s5600交換機(jī)基于端口的mac地址綁定 141

3.14.1 s5100系列交換機(jī)的security mac地址配置 141

3.14.2 s5600系列交換機(jī)的security mac地址配置 142

3.15 h3c sr8800系列業(yè)務(wù)路由器mac和ip地址綁定 144

3.15.1 mac和ip地址綁定配置 144

3.15.2 mac和ip地址綁定典型配置示例 146

3.16 h3c secpath系列防火墻上的mac和ip地址綁定 147

3.16.1 mac和ip地址綁定配置 148

3.16.2 mac和ip地址綁定典型配置示例 149

3.17 網(wǎng)絡(luò)嗅探的防護(hù) 149

3.17.1 網(wǎng)絡(luò)嗅探原理 149

3.17.2 網(wǎng)絡(luò)嗅探的防范 151

第4章 網(wǎng)絡(luò)層防火墻安全保護(hù)方案 153

4.1 防火墻的分類(lèi)和技術(shù) 154

4.1.1 包過(guò)濾防火墻簡(jiǎn)介 154

4.1.2 包過(guò)濾技術(shù)的發(fā)展 155

4.1.3 包過(guò)濾原理 155

4.1.4 包過(guò)濾技術(shù)的主要優(yōu)、缺點(diǎn) 156

4.1.5 代理防火墻 157

4.2 防火墻系統(tǒng)的設(shè)計(jì) 158

4.2.1 內(nèi)、外部防火墻系統(tǒng) 158

4.2.2 防火墻在企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)中的位置 159

4.2.3 典型防火墻系統(tǒng)設(shè)計(jì) 161

4.3 防火墻在網(wǎng)絡(luò)安全防護(hù)中的主要應(yīng)用 164

4.3.1 控制來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn) 164

4.3.2 控制來(lái)自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn) 166

4.3.3 控制局域網(wǎng)內(nèi)部不同部門(mén)之間的訪問(wèn) 167

4.3.4 控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問(wèn) 168

4.4 內(nèi)部防火墻系統(tǒng)設(shè)計(jì) 169

4.4.1 內(nèi)部防火墻系統(tǒng)概述 170

4.4.2 內(nèi)部防火墻規(guī)則 170

4.4.3 內(nèi)部防火墻的可用性需求 171

4.4.4 內(nèi)部容錯(cuò)防火墻集配置 174

4.4.5 內(nèi)部防火墻系統(tǒng)設(shè)計(jì)的其他因素要求 175

4.5 外圍防火墻系統(tǒng)設(shè)計(jì) 177

4.5.1 外圍防火墻系統(tǒng)概述 178

4.5.2 外圍防火墻規(guī)則 178

4.5.3 外圍防火墻系統(tǒng)的可用性要求 179

第5章 網(wǎng)絡(luò)層kerberos身份認(rèn)證方案 181

5.1 身份認(rèn)證概述 182

5.1.1 單點(diǎn)登錄身份認(rèn)證執(zhí)行方式 182

5.1.2 主要的身份認(rèn)證類(lèi)型 183

5.2 kerberos身份認(rèn)證基礎(chǔ) 183

5.2.1 kerberos v5身份認(rèn)證機(jī)制 184

5.2.2 kerberos v5身份認(rèn)證的優(yōu)點(diǎn)與缺點(diǎn) 187

5.2.3 kerberos v5協(xié)議標(biāo)準(zhǔn) 188

5.2.4 kerberos v5身份認(rèn)證所用端口 190

5.3 kerberos ssp認(rèn)證 190

5.4 kerberos物理結(jié)構(gòu) 192

5.4.1 kerberos中的密鑰 192

5.4.2 kerberos票證 195

5.4.3 認(rèn)證符 199

5.4.4 憑證緩存 200

5.4.5密鑰分發(fā)中心（kdc） 200

5.5 kerberos v5交換和消息摘要 204

5.5.1 kerberos v5身份認(rèn)證的3個(gè)子協(xié)議 204

5.5.2 身份認(rèn)證服務(wù)（as）交換 205

5.5.3 票證許可服務(wù)（tgs）交換 206

5.5.4 客戶(hù)端/服務(wù)器（cs）交換 207

5.6 kerberos交換消息詳解 207

5.6.1 身份認(rèn)證服務(wù)交換消息詳解 208

5.6.2 票證許可服務(wù)交換消息詳解 211

5.6.3 客戶(hù)端/服務(wù)器身份認(rèn)證交換消息詳解 214

5.7 kerberos身份認(rèn)證應(yīng)用示例 216

5.7.1 本地登錄示例 216

5.7.2 域登錄示例 217

5.7.3 域用戶(hù)的工作站登錄 217

5.7.4 單域身份認(rèn)證示例 223

5.7.5 用戶(hù)到用戶(hù)的身份認(rèn)證 226

5.8 kerberos v5身份認(rèn)證的啟用與策略配置 228

第6章 網(wǎng)絡(luò)層證書(shū)身份認(rèn)證、加密和簽名方案 231

6.1 證書(shū)和證書(shū)服務(wù)基礎(chǔ) 232

6.1.1 證書(shū)概述 232

6.1.2 證書(shū)的主要功能 233

6.1.3 證書(shū)的主要應(yīng)用 235

6.1.4 證書(shū)客戶(hù)端角色 239

6.1.5 證書(shū)服務(wù)概述 240

6.2 ca證書(shū) 241

6.2.1 ca證書(shū)簡(jiǎn)介 241

6.2.2 ca證書(shū)應(yīng)用的情形 242

6.3 證書(shū)結(jié)構(gòu) 243

6.3.1 證書(shū)體系架構(gòu) 243

6.3.2 證書(shū)模板 245

6.3.3 證書(shū)的物理和邏輯存儲(chǔ) 250

6.3.4 證書(shū)存儲(chǔ)區(qū) 253

6.4 ca證書(shū)進(jìn)程和交互 255

6.4.1 根ca證書(shū)是如何被創(chuàng)建的 256

6.4.2 根ca證書(shū)是如何被更新的 257

6.4.3 從屬ca證書(shū)是如何被創(chuàng)建的 258

6.4.4 合格的從屬策略是如何被應(yīng)用的 259

6.5 證書(shū)服務(wù)體系架構(gòu) 260

6.5.1 證書(shū)服務(wù)引擎 261

6.5.2 策略模塊 262

6.5.3 客戶(hù)端策略模塊 263

6.5.4 退出模塊 263

6.5.5 證書(shū)數(shù)據(jù)庫(kù) 264

6.5.6 cryptoapi接口 264

6.5.7 證書(shū)服務(wù)協(xié)議 264

6.6 證書(shū)服務(wù)接口 265

6.7 證書(shū)服務(wù)物理結(jié)構(gòu) 266

6.7.1 證書(shū)數(shù)據(jù)庫(kù)和ca日志文件 267

6.7.2 注冊(cè)表 267

6.7.3 活動(dòng)目錄 267

6.7.4 文件系統(tǒng) 269

6.8 證書(shū)服務(wù)進(jìn)程和交互 270

6.8.1 證書(shū)是如何創(chuàng)建的 270

6.8.2 證書(shū)的自動(dòng)注冊(cè) 272

6.8.3 證書(shū)的手動(dòng)注冊(cè) 277

6.8.4 自定義證書(shū)注冊(cè)和更新應(yīng)用 279

6.8.5 使用可選組件注冊(cè)和續(xù)訂 281

6.8.6 證書(shū)是如何吊銷(xiāo)的 283

6.9 證書(shū)模板屬性選項(xiàng)和設(shè)計(jì) 287

6.9.1 證書(shū)模板屬性選項(xiàng) 287

6.9.2 證書(shū)模板設(shè)計(jì)方面的考慮 294

6.9.3 證書(shū)模板規(guī)劃注意事項(xiàng) 296

6.9.4 證書(shū)模板的部署 299

第7章 網(wǎng)絡(luò)層pki綜合應(yīng)用方案設(shè)計(jì) 303

7.1 本章概述 304

7.1.1 部署pki的必要性和本章所使用的技術(shù) 304

7.1.2 規(guī)劃和部署pki的基本流程 306

7.2 定義證書(shū)需求 307

7.2.1 確定安全應(yīng)用需求 308

7.2.2 確定證書(shū)需求 312

7.2.3 文檔化證書(shū)策略和證書(shū)實(shí)施聲明 314

7.2.4 定義證書(shū)應(yīng)用需求示例 315

7.3 設(shè)計(jì)證書(shū)頒發(fā)機(jī)構(gòu)層次結(jié)構(gòu) 316

7.3.1 規(guī)劃核心ca選項(xiàng)——設(shè)計(jì)根ca 317

7.3.2 規(guī)劃核心ca選項(xiàng)——選擇內(nèi)部與第三方ca 318

7.3.3 規(guī)劃核心ca選項(xiàng)——評(píng)估ca容量、性能和可擴(kuò)展需求 320

7.3.4 規(guī)劃核心ca選項(xiàng)——pki管理模式 322

7.3.5 規(guī)劃核心ca選項(xiàng)——ca類(lèi)型和角色 323

7.3.6 規(guī)劃核心ca選項(xiàng)——整體活動(dòng)目錄結(jié)構(gòu) 327

7.3.7 規(guī)劃核心ca選項(xiàng)——ca安全性 329

7.3.8 規(guī)劃核心ca選項(xiàng)——確定ca數(shù)量.. 333

7.3.9 選擇信任模式 334

7.3.10 在信任層次結(jié)構(gòu)中定義ca角色 338

7.3.11 建立命名協(xié)定 338

7.3.12 選擇ca數(shù)據(jù)庫(kù)位置 338

7.3.13 ca結(jié)構(gòu)設(shè)計(jì)示例 339

7.4 擴(kuò)展證書(shū)頒發(fā)機(jī)構(gòu)結(jié)構(gòu) 341

7.4.1 評(píng)估影響擴(kuò)展信任的因素 341

7.4.2 選擇擴(kuò)展ca結(jié)構(gòu)配置 344

7.4.3 限制計(jì)劃外的信任 346

7.5 定義證書(shū)配置文件 348

7.5.1 選擇證書(shū)模板 349

7.5.2 選擇證書(shū)安全選項(xiàng) 350

7.5.3 使用合格的從屬來(lái)限制證書(shū) 354

7.5.4 配置證書(shū)示例 359

7.6 創(chuàng)建證書(shū)管理規(guī)劃 360

7.6.1 選擇注冊(cè)和續(xù)訂方法 361

7.6.2 將證書(shū)映射到身份 363

7.6.3 創(chuàng)建證書(shū)吊銷(xiāo)策略 368

7.6.4 規(guī)劃密鑰和數(shù)據(jù)恢復(fù) 372

7.6.5 創(chuàng)建證書(shū)管理規(guī)劃示例 375

第8章 網(wǎng)絡(luò)層ipsec身份認(rèn)證和加密方案 377

8.1 ipsec基礎(chǔ) 378

8.1.1 什么是ipsec 378

8.1.2 ipsec的設(shè)計(jì)初衷 379

8.1.3 ipsec的優(yōu)勢(shì) 381

8.2 ipsec提供的安全服務(wù) 382

8.2.1 ipsec提供的安全屬性 382

8.2.2 kerberos v5身份認(rèn)證協(xié)議 383

8.2.3 基于公鑰證書(shū)的身份認(rèn)證 383

8.2.4 預(yù)共享密鑰驗(yàn)證 384

8.2.5 采用哈希函數(shù)的數(shù)據(jù)完整性驗(yàn)證 384

8.2.6 具有加密功能的數(shù)據(jù)保密性 385

8.2.7 密鑰管理 386

8.2.8 密鑰保護(hù) 386

8.3 ipsec的使用模式 388

8.3.1 傳輸模式 388

8.3.2 隧道模式 389

8.4 ipsec協(xié)議類(lèi)型 389

8.4.1 ipsec ah協(xié)議 390

8.4.2 ipsec esp協(xié)議 394

8.5 windows server 2003中的ipsec 397

8.5.1 ipsec邏輯體系架構(gòu) 398

8.5.2 ipsec身份認(rèn)證和組件 401

8.5.3 策略代理體系架構(gòu) 402

8.5.4 ike模塊體系架構(gòu) 405

8.5.5 ipsec驅(qū)動(dòng)體系架構(gòu) 407

8.5.6 ipsec策略數(shù)據(jù)結(jié)構(gòu) 407

8.5.7 ipsec分配的網(wǎng)絡(luò)端口和協(xié)議 410

8.5.8 ipsec策略規(guī)則 411

8.6 ipsec密鑰安全關(guān)聯(lián)和密鑰交換原理 415

8.6.1 安全關(guān)聯(lián)基本原理和類(lèi)型 415

8.6.2 主模式協(xié)商sa 417

8.6.3 快速模式協(xié)商sa 424

8.6.4 密鑰交換原理 426

8.6.5 sa生存期 427

8.7 ipsec驅(qū)動(dòng)工作原理 427

8.7.1 ipsec驅(qū)動(dòng)的職責(zé) 427

8.7.2 ipsec驅(qū)動(dòng)通信 428

8.7.3 ipsec驅(qū)動(dòng)程序模式 428

8.7.4 ipsec驅(qū)動(dòng)的包處理 430

8.8 ipsec策略及策略篩選器 431

8.8.1 ipsec策略 431

8.8.2 ipsec策略規(guī)則 433

8.8.3 默認(rèn)響應(yīng)規(guī)則 434

8.8.4 ipsec策略篩選器 435

8.8.5 ipsec篩選器的應(yīng)用順序 437

8.8.6 ipsec篩選中的默認(rèn)排除 438

8.8.7 ipsec篩選器的設(shè)計(jì)考慮 440

8.9 windows server 2003 ipsec系統(tǒng)的部署 441

8.9.1 windows server 2003 ipsec部署的簡(jiǎn)易性 441

8.9.2 部署windows server 2003 ipsec前所需的確認(rèn) 442

8.9.3 ipsec策略設(shè)計(jì)與規(guī)劃的最佳操作 442

8.9.4 建立ipsec安全計(jì)劃 445

8.9.5 策略配置 446

8.9.6 默認(rèn)篩選器列表 446

8.9.7 默認(rèn)響應(yīng)規(guī)則 448

8.9.8 ipsec策略的應(yīng)用方法 450

8.10 ipsec應(yīng)用方案設(shè)計(jì) 453

8.10.1 ipsec安全通信方案的主要應(yīng)用 454

8.10.2 不推薦的ipsec方案 458

8.10.3 管理使用僅在windows server 2003家族中可用的新增功能的策略 458

8.10.4 ip篩選器配置的考慮 459

8.10.5 篩選器操作的配置考慮 461

8.11 ipsec策略的應(yīng)用方案配置 462

8.11.1 ipsec方案配置前的準(zhǔn)備 462

8.11.2 ipsec安全方案配置的基本步驟 463

8.11.3 ipsec在web服務(wù)器訪問(wèn)限制中的應(yīng)用示例 464

8.11.4 ipsec在數(shù)據(jù)庫(kù)服務(wù)器訪問(wèn)限制中的應(yīng)用示例 475

8.11.5 ipsec在阻止netbios攻擊中的應(yīng)用示例 476

8.11.6 ipsec在保護(hù)遠(yuǎn)程訪問(wèn)通信中的應(yīng)用示例 478

第9章 傳輸層tls/ssl身份認(rèn)證和加密方案 481

9.1 tls/ssl基礎(chǔ) 482

9.1.1 tls/ssl簡(jiǎn)介 482

9.1.2 tls/ssl標(biāo)準(zhǔn)的歷史 483

9.1.3 tls與ssl的區(qū)別 483

9.1.4 tls/ssl所帶來(lái)的好處 484

9.1.5 tls/ssl的局限性 485

9.1.6 常見(jiàn)的tls/ssl應(yīng)用 485

9.1.7 安全通道技術(shù) 487

9.1.8 tls和ssl的依從 487

9.2 tls/ssl體系架構(gòu) 488

9.2.1 安全通道sspi體系架構(gòu) 488

9.2.2 tls/ssl體系架構(gòu) 490

9.2.3 tls/ssl握手協(xié)議 491

9.2.4 記錄層 495

9.3 tls/ssl工作原理 495

9.3.1 tls/ssl進(jìn)程和交互機(jī)制 495

9.3.2 tls的完整握手過(guò)程 497

9.3.3 客戶(hù)端hello消息 498

9.3.4 服務(wù)器hello消息 501

9.3.5 客戶(hù)端響應(yīng)hello消息 503

9.3.6 計(jì)算主密鑰和子系列密鑰 504

9.3.7 完成消息 505

9.3.8 應(yīng)用數(shù)據(jù)流 506

9.3.9 恢復(fù)安全會(huì)話 507

9.3.10 重新協(xié)商方法 507

9.3.11 安全通道的證書(shū)映射 509

9.3.12 tls/ssl所使用的網(wǎng)絡(luò)端口 510

9.4 wtls 511

9.4.1 wap的主要特點(diǎn)和體系架構(gòu) 511

9.4.2 wap架構(gòu)與www架構(gòu)的比較 514

9.4.3 wap安全機(jī)制 516

9.4.4 wtls體系架構(gòu) 518

9.4.5 wtls的安全功能 519

9.4.6 wtls與tls的區(qū)別 520

9.5 ssl在iis web服務(wù)器中的應(yīng)用 522

9.5.1 安裝ca 522

9.5.2 生成證書(shū)申請(qǐng) 524

9.5.3 提交證書(shū)申請(qǐng) 527

9.5.4 證書(shū)的頒發(fā)和導(dǎo)出 530

9.5.5 在web服務(wù)器上安裝證書(shū) 532

9.5.6 在web服務(wù)器上啟用ssl 534

9.6 ssl vpn 535

9.6.1 ssl vpn網(wǎng)絡(luò)結(jié)構(gòu)和主要應(yīng)用 536

9.6.2 ssl vpn的主要優(yōu)勢(shì)和不足 537

第10章 應(yīng)用層web服務(wù)器的綜合 安全系統(tǒng)設(shè)計(jì)與配置 541

10.1 我國(guó)網(wǎng)站安全現(xiàn)狀 542

10.2 web服務(wù)器的身份驗(yàn)證技術(shù)選擇 543

10.2.1 ntlm身份驗(yàn)證機(jī)制選擇和配置方法 543

10.2.2 kerberos身份驗(yàn)證機(jī)制選擇和配置方法 547

10.2.3 摘要式身份驗(yàn)證機(jī)制選擇和配置方法 548

10.2.4 公鑰加密身份認(rèn)證機(jī)制選擇 553

10.2.5 證書(shū)身份認(rèn)證機(jī)制選擇和配置方法 555

10.3 web服務(wù)器傳輸層安全技術(shù)選擇 558

10.4 web服務(wù)器的安全威脅與對(duì)策 559

10.4.1 主機(jī)枚舉 560

10.4.2 拒絕服務(wù) 562

10.4.3 未經(jīng)授權(quán)的訪問(wèn) 562

10.4.4 隨意代碼執(zhí)行 563

10.4.5 特權(quán)提升 563

10.4.6 病毒、蠕蟲(chóng)和特洛伊木馬 564

10.5 安全web服務(wù)器檢查表 564

10.6 windows server 2003 web服務(wù)器安全策略設(shè)計(jì) 580

10.6.1 web服務(wù)器的匿名訪問(wèn)和sslf設(shè)置 581

10.6.2 web服務(wù)器審核策略設(shè)置 582

10.6.3 web服務(wù)器用戶(hù)權(quán)限分配策略設(shè)置 591

10.6.4 web服務(wù)器的安全選項(xiàng)策略設(shè)置 600

10.6.5 web服務(wù)器的事件日志策略設(shè)置 617

10.6.6 web服務(wù)器的其他安全策略設(shè)置 619

第11章 wlan網(wǎng)絡(luò)綜合安全系統(tǒng)設(shè)計(jì)與配置 629

11.1 選擇wlan的安全策略 630

11.1.1 wlan面臨的主要安全問(wèn)題 630

11.1.2 wlan安全策略的決策 631

11.1.3 如何真正確保wlan的安全 633

11.1.4 wlan的身份驗(yàn)證和授權(quán) 634

11.1.5 wlan的數(shù)據(jù)保護(hù) 635

11.1.6 使用wlan數(shù)據(jù)保護(hù)的ieee 802.1x的優(yōu)點(diǎn) 637

11.2 wlan安全方案選擇 637

11.2.1 不部署wlan技術(shù) 638

11.2.2 使用基于802.11靜態(tài)wep的基本安全 638

11.2.3 使用eap和動(dòng)態(tài)加密密鑰的ieee 802.1x 639

11.2.4 使用eap-tls的ieee 802.1x 640

11.2.5 使用peap的ieee 802.1x 640

11.2.6 使用vpn技術(shù)保護(hù)wlan網(wǎng)絡(luò) 641

11.2.7 使用ipsec保護(hù)wlan 643

11.2.8 主要wlan安全方案比較 644

11.3 使用ieee 802.1x設(shè)計(jì)wlan安全系統(tǒng) 645

11.3.1 ieee 802.1x waln安全方案設(shè)計(jì)基本思路 645

11.3.2 使用ieee 802.1x和加密確保wlan安全 646

11.3.3 使用證書(shū)或密碼 646

11.3.4 解決方案的先決條件 647

11.3.5 wlan安全選項(xiàng)考慮 648

11.3.6 確定ieee 802.1x wlan所需的軟件設(shè)置 654

11.3.7 其他注意事項(xiàng) 658

11.4 使用ieee 802.1x實(shí)現(xiàn)wlan安全性 659

11.4.1 方案實(shí)現(xiàn)基本思路 659

11.4.2 ieee 802.1x wlan計(jì)劃工作表 660

11.4.3 準(zhǔn)備安全wlan的環(huán)境 661

11.4.4 配置和部署wlan身份驗(yàn)證證書(shū) 662

11.4.5 配置wlan訪問(wèn)基礎(chǔ)結(jié)構(gòu) 671

11.4.6 讓用戶(hù)和計(jì)算機(jī)能夠訪問(wèn)安全wlan 675

11.4.7 配置ieee 802.1x網(wǎng)絡(luò)的無(wú)線接入點(diǎn) 680

11.4.8 測(cè)試和驗(yàn)證 681

11.5 ieee 802.1x eap-tls wlan安全方案網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 681

11.5.1 ieee 802.1x eap-tls身份驗(yàn)證解決方案概述 681

11.5.2 ieee 802.1x eap-tls wlan網(wǎng)絡(luò)安全結(jié)構(gòu)方案設(shè)計(jì)標(biāo)準(zhǔn) 684

11.5.3 ieee 802.1x eap-tls方案網(wǎng)絡(luò)結(jié)構(gòu)邏輯設(shè)計(jì)與評(píng)估 686

11.6 使用peap和密碼確保無(wú)線lan的安全 692

11.6.1 解決方案的基本思路 692

11.6.2 peap解決方案的優(yōu)勢(shì)和工作原理 693

11.6.3 組織結(jié)構(gòu)和it環(huán)境計(jì)劃 696

11.6.4 方案設(shè)計(jì)標(biāo)準(zhǔn)計(jì)劃 697

11.6.5 wlan體系結(jié)構(gòu)部署計(jì)劃 698

11.6.6 針對(duì)大型組織的擴(kuò)展計(jì)劃 710

11.6.7 解決方案體系結(jié)構(gòu)的變化計(jì)劃 712

11.6.8 準(zhǔn)備安全wlan網(wǎng)絡(luò)環(huán)境 715

11.6.9 方案網(wǎng)絡(luò)證書(shū)頒發(fā)機(jī)構(gòu)構(gòu)建 725

11.6.10 wlan安全的基礎(chǔ)結(jié)構(gòu)構(gòu)建 728

11.6.11 wlan客戶(hù)端配置 741

后 記 ... 747