本書主要針對高等院校計算機科學與技術、通信工程、計算機網絡等相關專業,在計算機網絡基礎理論、網絡安全基礎理論學習完成之后,配套使用的網絡安全實驗教程。本書介紹了在局域網組建過程中,使用的多項安全產品及相關技術,包括網絡防火墻、IDS入侵檢測系統、USG統一網關和綜合網絡安全實踐教程。
本書分為4篇,按照局域網組建中使用到的網絡安全產品,詳細講述了使用這些網絡安全設備,解決實際生活中遇到的各種安全問題,包括網絡防火墻應用技術、入侵檢測系統應用技術、統一網關應用技術等,以及針對這些問題的解決方法。本書在每個章節中對所使用到的相關安全產品的基本配置、基本界面、功能配置都給予了詳細的講解,以幫助讀者熟悉產品的使用,并進一步詮釋其在工程項目中的實施方法。
本書可作為高等院校計算機科學與技術、通信工程、計算機網絡等相關專業本科生或研究生學習和研究網絡安全產品及技術的實驗教材,還可作為網絡安全專業認證的培訓教材,以及網絡設計師、網絡工程師、系統集成工程師以及其他專業技術人員在工作中遇到網絡安全問題時的技術參考用書。
隨著21世紀的到來,人類步入信息社會,信息產業成為全球經濟發展的主導產業,計算機科學與技術在信息產業中占據了重要的地位。隨著互聯網技術的普及和推廣,網絡技術更是信息社會發展的推動力,人們在日常學習、生活和工作中都越來越依賴于網絡,因此關于信息技術、信息安全技術、網絡安全技術的發展成為越來越重要的學科。
互聯網技術的發展改變了人們的生活,信息安全的內涵已發生了根本變化。安全已從一般性的安全防衛,變成了一種非常普通的安全防范;從一種研究型的學科,變成了無處不在,影響人們學習、生活和工作的安全技術。技術的普及也推動了社會對人才的需求,因此建立一套完整的網絡安全課程教學體系,提供體系化的安全專業人才培養計劃,培養一批精通安全技術的專業人才隊伍,對目前高校計算機網絡安全方向專業人才培養來說,顯得尤為重要。
1. 關于教材開發背景
結合國家十二五本科計算機專業課程規劃體系,深入領會教育部計算機科學與技術教學指導委員會編制的“計算機科學與技術專業規范的知識體系和課程大綱”文件精神,為及時反映目前網絡安全專業學科發展動態,創新網絡教材編輯委員會組織編寫了本書。希望本書中的網絡安全知識內容,既重視理論、方法和標準的介紹,又兼顧技術、系統和應用分析,在內容結構和知識點布局上能有所創新。
此外,隨著互聯網技術的普及和推廣,人們日常學習和工作依賴網絡的比重增加,計算機網絡安全的實施和防范技術,成為目前最為矚目的學習內容。因此,創新網絡教材編輯委員會選擇網絡安全技術在生活中的具體應用作為教材開發主線,規劃出面向實際工程案例,可操作、可應用、可實施的網絡安全技術教程。同時希望策劃的安全技術直觀、形象、具體、可實施,選編和策劃的安全知識具有專業化、體系化、全面化特征,能體現和代表當前最新的網絡安全技術發展方向。
2. 關于教材開發指導思想
通過市場調查發現,目前市場上指導計算機網絡安全實踐教學內容的教材非常匱乏。翻閱市場上品種有限的網絡安全類教材,都側重于網絡安全理論詮釋,而針對實際網絡安全工程實施、可在課堂中動手實踐的安全類教材很少。因此,創新網絡教材編輯委員會邀請國內院校專家,組織來自一線的專業工程師,聯合開發了這本覆蓋網絡安全技術專業教程的教材,希望著重培養學生對網絡安全技術的動手實踐能力。
和同類以網絡安全技術為研究方向的專業書籍相比,本書更注重解決實際工作中遇到的安全問題的能力。全書以安全技術應用為主線,以培養學生安全問題解決能力為目標,以加強實際安全技能鍛煉為根本,滿足學校安全類課程實踐教學的需求。因此,本書在開發過程中,強化了實踐教學能力的培養,著重講授生活中的網絡安全問題,詮釋相應的安全策略配置。最終依據學校提供的安全實踐教學平臺,直觀、形象地詮釋安全技術,幫助學生理解抽象的網絡安全專業理論。
網絡安全防御技術實踐教程前言 3. 關于教材開發內容
本書是針對高等院校計算機科學與技術、通信工程、網絡工程等相關專業,在學習基礎網絡安全理論時,開發的配套網絡安全實驗教程。全書詳細地介紹了組建局域網安全過程中,遇到的安全問題,使用了多項安全產品及其安全技術,包括網絡防火墻、IDS入侵檢測系統、USG統一網關和一個綜合網絡安全實踐教程。全書在每個章節中對這些安全產品的基本配置、基本界面、功能配置都給予了詳細的講解,幫助讀者深入了解網絡安全項目的設計與實施。通過對本書全部內容的學習,讀者更易牢固掌握安全技術,從而熟悉實施方案。
全書包括近40個難度不同的網絡安全實驗內容,適合學生循序漸進地學習。本書還可作為高等院校計算機科學與技術、通信工程、計算機網絡等相關專業本科生或研究生計算機網絡工程課程的實驗教材。全書的實驗設計和安排,以實際工程項目的需求為依據,旨在加深學生對網絡安全工程所涉及的基礎理論知識的透徹理解,從而提高學生網絡安全工程相關的動手實踐能力、分析問題和解決問題的能力。
4. 關于教材使用方法
通過全書提供的近40個安全技術實驗的訓練,幫助學生熟練掌握網絡安全工程師所必備的基本實踐技能。所有實驗操作都以日常安全需求為主線串接知識,以問題解決過程作為核心。因此教師在使用本書時,可作為相關安全理論學習完成之后的實驗補充,幫助學生加強對抽象安全理論的理解。也可以根據教學的實際情況,從中選擇部分實驗教學內容,要求學生在學完理論之后,完成適當數量和難度的實驗以補充理論講解知識的不足。由于書中全部內容都來自實際工程案例的總結,因此,本書可作為就業前實習用書,通過對一定數量的安全工程案例的學習,從而積累實際中遇到的安全施工經驗,以增強安全類工程施工的能力和排除故障的能力。
5. 關于課程環境安排
本書覆蓋計算機網絡安全規劃、組建和配置中涉及的主流網絡安全設備配置管理技術,書中所有工程項目都來自于企業多年積累的工程案例。經過一線教師和企業工程師的提煉,按照再現企業工程項目的方式進行組織串接,每個工程項目都詳細介紹了工程名稱、工程背景、技術原理、工程設備、工程拓撲、工程規劃、工作過程、結果驗證等多個環節,循序漸進展現企業工程項目,并把這些工程項目在網絡實驗室中搭建出來。
為順利實施本教程,每個課程學習者,除需要對網絡技術有學習的熱情之外,還需具備基本的計算機、網絡、安全基礎知識。這些基礎知識提供了良好的腳手架,幫助讀者理解本書中的網絡技術原理,為網絡技術的進階提供良好幫助。為更好地實施這些安全實驗內容,需要為本課程提供一個可實施交換、路由和安全技術的網絡環境,從而再現這些網絡工程項目,以方便本教材的有效實施。這種課程工作環境包括: 一個可以容納40人左右的網絡實驗室;不少于4組的工作臺。每組工作臺中包括組建基本網絡的網絡實驗設備: 二層交換機設備、三層交換機設備、模塊化路由器設備、網絡防火墻、入侵檢測系統IDS、統一網關設備、測試計算機設備和若干根網絡連接線(或制作工具).
本書選擇的工程項目來自廠商的案例,使用的網絡實驗設備也來自廠商,但本課程在策劃中,力求全部的知識講解和技術選擇都具有通用性,以遵循行業內的通用技術標準。全書關于設備的功能描述、接口的標準、技術的詮釋、協議的細節分析、命令語法的解釋、命令的格式、操作規程、圖標和拓撲圖形的繪制方法都使用行業內的通用技術標準,以加強其通用性。
6. 關于課程時間安排
本書通過加強對學生網絡安全設備的實踐操作,積累企業一線網絡安全工程實施經驗,讓學生可以深入地理解和掌握網絡安全設備的配置和運行機制,了解網絡安全項目發生的場景和實施過程。此外,借助網絡安全實踐教學平臺,讀者還可以學習網絡安全設計、網絡攻防和故障性能分析等相關知識。從而加強學生對網絡安全技術的理解和掌握,以培養學生的動手實踐和設計分析能力,培養新型人才。
本書可作為高等院校計算機科學與技術、通信工程、計算機網絡等相關專業本科生或研究生學習和研究網絡安全技術的實驗教材。其前導性的課程包括計算機網絡、局域網組建、路由和交換技術等基礎性網絡技術。本課程的課時在36~72學時,根據學校具體教學時間安排,讀者可選擇全部的內容作為實驗對象,也可選擇部分學習內容。課程時間安排一般在第三年學期段。學生在全面學習專業組網技術后,作為學生學完基礎網絡技術的提高和補充。此外還可以作為網絡安全專業認證的培訓教材,以及網絡設計師、網絡工程師、系統集成工程師以及其他專業技術人員在實際工作中遇到網絡安全問題時的技術參考用書。
7. 關于課程資源
不同的網絡專業課程教學都具有其本身的針對性,強化網絡安全專業實踐能力、強化安全技術應用和網絡安全技能培養,是本課程區別于傳統網絡安全專業課程的特色之一。無論是前期為保證本課程的有效實施,在課程實施環境(網絡實驗室)上投入的資金,還是在課程規劃思想上的創新,以及在本課程研發上投入的人力都具有優勢。
為有效保證本課程在學校的實施,保證課程教學資源的長期提供--案例的及時提供、安全技術的更新、新技術的學習、課程學習中的技術交流和討論等,本課程的研發隊伍還專門投入人力和物力,為本課程建設專門的課程網絡資源共享基地,以有效支持課程在實施的過程中,安全項目資源的更新,疑難問題的解決,課程實施方案的討論等一系列服務工作,詳細內容可以訪問本課程實施相關網站: http://www. labclub.com.cn,可以獲得更多的資源支持。
8. 關于課程開發隊伍
本書由創新網絡教材編輯委員會組織院校教學一線的專家隊伍,來自廠商的工程師聯合編寫而成。這些工作在各行業的專家,把自己多年來在各自領域中積累的網絡安全技術教學和應用的工作經驗,以及對網絡安全技術的深刻理解融入本書中。
本書第一作者黃傳河博士,是武漢大學計算機學院教授、博士生導師。黃傳河博士主要研究方向為計算機網絡(如移動互聯網、移動Ad Hoc網絡、無線傳感器網絡、無線Mesh網絡、WDM網絡、網絡互聯),網絡安全,分布并行處理,量子計算。其在計算機網絡及網絡安全領域多年具前瞻性的研究,為全書提供了技術方向引導,統編了教學應掌握的安全技術知識點,并為保證最終技術準確性承擔了審閱工作。
本書第二作者喻濤工程師,是武漢大學計算機學院博士,星網銳捷網絡有限公司高級工程師。喻濤博士曾先后在中國電信、中國網通和銳捷網絡工作,有多年在網絡一線從事售前工程師的工作背景,參與過多個運營商網絡工程規劃、施工和企業網整網安全的規劃、實施工作,具有豐富的實際網絡技術應用能力,故障排除解決和整網安全防范實施能力。其多年在網絡一線的工作背景,參與過多個網絡工程整網安全的規劃、實施的經歷,對全書再現企業的實際安全工程需求,安全技術的選擇和應用,按照企業工作過程實施流程等都起到重要作用,他還承擔了全書的資料整理和編撰工作。
王昭順教授,博士生導師,北京科技大學計算機系主任。王昭順博士主要從事信息安全技術,ASIC芯片設計,軟件技術研究;承擔“863" , "973" , “國家自然科學基金”多項項目。其多年從事網絡安全、信息安全研究員的經歷,為全書技術細節的解釋,安全技術準確性的描述起到重要把關作用。
此外,在本書的編寫過程中,還得到了其他一線教師,技術工程師,產品經理安淑梅、汪雙頂、李文宇、方洋、張選波、高峽、楊靖、張勇、蔡韡等的大力支持。他們積累的多年的來自教學和工程一線的工作經驗,都為本書的真實性、專業性以及方便在學校教學、方便實施給予了有力的支持。
本書策劃、編輯的過程歷經近三年的時間,前后經過多次的修訂,得到了很多同仁的大力支持,由于編寫水平有限,錯漏之處在所難免,敬請廣大讀者指正(labserv@ruijie.com.cn) . 創新網絡教材編輯委員會 為幫助學生全面理解安全技術細節,建立直觀的網絡安全印象,本書每個實驗在開始時都為讀者引入一個來自企業的真實網絡安全問題,從而營造教學、學習環境,讓讀者深入到網絡安全的場景環境中,以了解本書安全知識內容發生在真實網絡工程項目中實際的場景,了解相應的在施工中需要的技術。
在全書關鍵技術解釋和工程方案實施中,會涉及一些網絡專業術語和詞匯。為方便大家今后在工作中的實際應用,全書采用行業標準的技術和圖形繪制方案。全書中使用的相關符號、網絡拓撲圖形慣有的風格和慣例,以及本書使用的命令語法規范約定如下:
豎線“|”表示分隔符,用于分開可選擇的選項。
星號“”表示可以同時選擇多個選項。
方括號“\”表示可選項。
大括號“{ }”表示必選項。
粗體字表示按照顯示的文字輸入的命令和關鍵字。在配置的示例和輸出中,粗體字表示需要用戶手工輸入的命令(例如show命令).
斜體字表示需要用戶輸入的具體值。
以下為本書中所使用的圖標示例。感謝網絡產品和方案提供商星網銳捷網絡有限公司,為全書提供多個、來自不同行業的工程案例。為方便對工程項目技術細節的詮釋,本書技術描述主要圍繞銳捷網絡RGNOS網絡操作系統展開。但在書中出現的所有命令和術語,同樣具有通用性,能兼容目前網絡工程施工中涉及的所有主流設備。本書中講述的技術原理,以及針對網絡問題提出的解決方案,同樣適用于現實網絡工作場景。
第1篇 防火墻安全
第1章 防火墻設備基礎知識3
1.1 什么是防火墻3
1.2 防火墻的功能4
1.3 防火墻的工作原理6
1.4 防火墻的分類7
1.5 防火墻技術7
1.6 硬件防火墻設備9
1.7 防火墻硬件參數13
第2章 防火墻設備實踐操作技術16
2.1 防火墻初始化配置16
2.2 使用防火墻實現安全的訪問控制25
2.3 使用防火墻實現安全NAT32
2.4 配置防火墻地址綁定39
2.5 使用防火墻實現URL過濾43
2.6 使用防火墻保護服務資源48
2.7 配置客戶端認證54
2.8 配置防火墻鏈路負載61
2.9 使用防火墻限制連接帶寬64
2.10 使用防火墻限制P2P流量70
2.11 使用防火墻防止DoS攻擊74
第2篇 入侵檢測技術安全
第3章 入侵檢測設備基礎知識81
3.1 什么是入侵檢測系統81
3.2 入侵檢測系統功能83
3.3 入侵檢測系統工作原理83
3.4 入侵檢測系統類型85
3.5 入侵檢測系統設備介紹87
3.6 入侵檢測系統設備性能指標87
3.7 入侵檢測產品選擇要點88
第4章 入侵檢測系統實踐技術90
4.1 RG-IDS賬戶管理90
4.2 RG-IDS組件管理96
4.3 RG-IDS策略管理101
4.4 配置交換機端口鏡像105
4.5 端口掃描攻擊檢測107
4.6 DoS攻擊檢測112
4.7 DDoS攻擊檢測116
4.8 密碼策略審計120
4.9 IIS服務漏洞攻擊檢測126
4.10 緩沖區溢出攻擊檢測131
4.11 Windows PnP遠程執行代碼漏洞攻擊檢測139
4.12 木馬攻擊檢測144
4.13 蠕蟲病毒傳輸檢測154
4.14 配置IDS與防火墻聯動160
4.15 使用自定義事件進行檢測167
4.16 告警事件風暴抑制管理173
4.17 事件響應方式管理179
4.18 RG-IDS報表管理183
4.19 RG-IDS數據庫管理186
第3篇 統一安全網關安全
第5章 統一安全網關基礎知識193
5.1 什么是統一安全網關193
5.2 統一安全網關特點194
5.3 統一安全網關設備195
第6章 統一安全網關實踐技術196
6.1 統一安全網關初始化配置196
6.2 用戶權限管理204
6.3 使用統一安全網關實現訪問控制212
6.4 使用統一安全網關防止DoS攻擊225
6.5 使用統一安全網關限制IM軟件234
6.6 使用統一安全網關過濾Web病毒243
6.7 使用統一安全網關過濾郵件病毒251
6.8 配置郵件大小過濾259
6.9 使用統一安全網關實現入侵防御266
6.10 會話監控與管理274
第4篇 網絡安全綜合實驗
第7章 構建安全的園區網絡283
參考文獻312
新書資訊