网络安全指南 (2008 年度畅销榜NO.2984 )

本书完整地介绍了有关网络安全的基础知识，其主要内容有：各种不同网络的运作方式，网络潜在的安全漏洞的产生方式；查找和修复网络缺陷；各种网络防火墙的应用方式；不危及网络安全的访问网络方式；拨入访问和虚拟专用网的安全使用；添加身份验证，以阻止口令攻击和网络快客入侵。\r\n 通过对本书的学习，读者可以解决常见的网络系统和协议的问题，保证系统工作正常和安全；掌握增强网络安全性的工具的使用方法和技巧，如扫描网络漏洞，对快客设置网络服务的圈套。无论读者是网络新手还是富有经验的网络高手，都可以从本书中获得所需要的答案、解释和实例。\r\n 本书适用于网络管理员和信息安全管理人员。 \r\n\r\n

第一部分 识别危险\r\n第1章 网络和安全性概述\r\n1.1 什么是安全性\r\n1.1.1 安全性与便利性\r\n1.1.2 为什么网络易受攻击\r\n1.2 关于局域网\r\n1.2.1 局域网简介\r\n1.2.2 有关局域网的安全主题\r\n1.3 关于广域网\r\n1.3.1 广域网简介\r\n1.3.2 有关广域网的安全主题\r\n1.4 关于防火墙\r\n1.4.1 防火墙简介\r\n1.4.2 有关防火墙的安全主题\r\n1.5 关于万维网和HTTP\r\n1.5.1 万维网\r\n1.5.2 Web服务器的安全主题\r\n1.6 关于虚拟专用网\r\n1.6.1 虚拟专用网简介\r\n1.6.2 虚拟专用网连接的安全主题\r\n1.7 关于远程访问和远程控制\r\n1.7.1 远程访问和远程控制\r\n1.7.2 远程访问和远程控制的安全主题\r\n1.8 本章小结\r\n第2章 风险和规划安全性\r\n2.1 安全威胁的主要类型和分类\r\n2.2 拒绝服务攻击\r\n2.2.1 SYN湮设\r\n2.2.2 Land攻击\r\n2.2.3 Smurf攻击\r\n2.2.4 IP地址欺骗\r\n2.2.5 Teardrop（和Bonk/Boink/Nestea/其他）\r\n2.2.6 死亡之ping\r\n2.2.7 其他拒绝服务攻击\r\n2.3 缓冲区溢出\r\n2.3.1 缓冲区的描述\r\n2.3.2 何时缓冲区溢出成为攻击\r\n2.3.3 利用CGI\r\n2.4 特洛伊木马\r\n2.5 入侵者和物理安全性\r\n2.6 拦截传送\r\n2.7 社会工程\r\n2.8 缺乏用户支持\r\n2.9 本章小结\r\n第3章 确定网络风险\r\n3.1 查找网络的安全漏洞\r\n3.1.1 密切注意新闻\r\n3.1.2 使用端口扫描器\r\n3.1.3 使用网络扫描程序\r\n3.1.4 典型的安全漏洞\r\n3.2 使用网络入侵程序\r\n3.3 修补安全性漏洞\r\n3.3.1 教育用户\r\n3.3.2 软件更新和补丁程序\r\n3.3.3 更改软件选项\r\n3.4 隐蔽的安全性\r\n3.5 本章小结\r\n第二部分 安全工具\r\n第4章 关于防火墙\r\n4.1 防火墙的工作方式\r\n4.1.1 包过滤防火墙\r\n4.1.2 有状态（或动态）的包检查防火墙\r\n4.1.3 应用程序代理防火墙\r\n4.1.4 NAT路由器\r\n4.1.5 个人防火墙\r\n4.2 虚拟专用网\r\n4.2.1 优缺点\r\n4.2.2 VPN服务器的来源\r\n4.3 防火墙的设置位置\r\n4.4 DMZ网络\r\n4.5 报告网络攻击尝试\r\n4.6 阻止未授权的传入访问\r\n4.7 阻止未授权的传出访问\r\n4.8 本章小结\r\n第5章 保证用户连接安全\r\n5.1 确定用户需求\r\n5.1.1 没有实际连接到网络上时需要的网络服务\r\n5.1.2 需要使用哪种协议\r\n5.1.3 不在现场时使用哪种连接方式\r\n5.2 拨入网络服务\r\n5.2.1 优缺点\r\n5.2.2 关于远程访问服务器\r\n5.2.3 建立拨入网络访问\r\n5.2.4 认证\r\n5.3 虚拟专用网\r\n5.3.1 优缺点\r\n5.3.2 可用的VPN加密方法\r\n5.3.3 建立VPN服务器\r\n5.4 外部用户的其他Internet服务\r\n5.4.1 外壳和文件访问\r\n5.4.2 安全文件传输选项\r\n5.5 保护电子邮件\r\n5.5.1 VPN和拨入网络连接\r\n5.5.2 邮件服务器拨入\r\n5.5.3 防火墙和邮件服务器的安全访问\r\n5.6 本章小结\r\n第6章 认证和口令\r\n6.1 创建安全的口令\r\n6.1.1 口令长度\r\n6.1.2 口令的复杂性\r\n6.1.3 更改口令的频率\r\n6.1.4 避免重复的口令\r\n6.2 用户守则\r\n6.2.1 守则1：决不要写下口令\r\n6.2.2 守则2：使用一个以上的单词构成口令\r\n6.2.3 守则3：使用短语建立口令\r\n6.2.4 守则4：决不在别人注视键盘或屏幕时输入口令\r\n6.2.5 守则5：经常修改口令（即使系统没有要求）\r\n6.2.6 守则6：如果怀疑口令泄露则立即改变口令\r\n6.2.7 守则7：不要告诉任何人（包括我）你的口令\r\n6.3 使用内置的认证\r\n6.4 添加额外的或第三方认证\r\n6.4.1 RADIUS 和TACACS+\r\n6.4.2 Kerberos\r\n6.4.3 公开密钥加密方法\r\n6.5 智能卡和一次性口令\r\n6.5.1 智能卡\r\n6.5.2 安全令牌\r\n6.5.3 一次性口令\r\n6.6 本章小结\r\n第三部分 策略与实施\r\n第7章 规划网络\r\n7.1 建立网络前要问的问题\r\n7.1.1 网络上应运行何种服务\r\n7.1.2 需要连接哪些实际站点\r\n7.1.3 将要使用何种操作系统\r\n7.2 建立服务与禁用不必要的服务\r\n7.2.1 需要运行的协议\r\n7.2.2 不安全的服务及其安全替代措施\r\n7.2.3 扫描网络查找安全漏洞\r\n7.3 本章小结\r\n第8章 主要网络操作系统概述\r\n8.1 确保网络服务器安全的步骤\r\n8.2 规划安全性和访问级别\r\n8.2.1 划分安全需要\r\n8.2.2 将用户分成逻辑组\r\n8.2.3 建立维护过程\r\n8.2.4 培训用户\r\n8.3 Windows NT和Windows 2000\r\n8.3.1 主要安全问题\r\n8.3.2 NT安全机制的运行方式\r\n8.3.3 使系统更安全\r\n8.3.4 建立安全访问控制列表策略\r\n8.4 Novell NetWare 5\r\n8.4.1 NetWare安全机制的运行方式\r\n8.4.2 使系统更安全\r\n8.5 UNIX操作系统\r\n8.5.1 主要安全问题\r\n8.5.2 UNIX安全机制的工作方式\r\n8.5.3 使系统更安全\r\n8.6 本章小结\r\n第9章 桌面系统安全性\r\n9.1 用户工作站的问题\r\n9.1.1 共享过多\r\n9.1.2 Web和FTP服务\r\n9.1.3 其他更好的服务\r\n9.2 Windows 95/98/NT工作站\r\n9.2.1 用户连接服务的方式\r\n9.2.2 启用什么和采取的安全预防措施\r\n9.2.3 将Windows桌面系统与网络服务相连\r\n9.2.4 NetBEUI或IP上的Windows网络\r\n9.3 Mac OS\r\n9.3.1 用户如何连接服务\r\n9.3.2 启用什么和采取的安全预防措施\r\n9.3.3 Macintosh桌面系统连接到网络服务\r\n9.3.4 AppleTalk或IP上的AppleShare\r\n9.4 UNIX/Linux\r\n9.4.1 UNIX桌面系统连接到网络服务\r\n9.4.2 其他类UNIX的操作系统服务器\r\n9.5 总体推荐\r\n9.6 本章小结\r\n第10章 网络被侵入的应对措施\r\n10.1 网络入侵检测系统\r\n10.1.1 基于主机的IDS\r\n10.1.2 基于网络的IDS\r\n10.1.3 IDS如何适应网络\r\n10.1.4 IDS的优缺点\r\n10.1.5 IDS的推荐\r\n10.2 关于端口扫描\r\n10.2.1 端口扫描及含义\r\n10.2.2 来自同一网络的重复连接或尝试\r\n10.2.3 何种情况可能已经被端口扫描\r\n10.2.4 已被扫描了端口时应该做什么\r\n10.3 关于活动日志\r\n10.4 活动警告\r\n10.5 如何处理网络入侵\r\n10.5.1 不使用网络通知组织内部\r\n10.5.2 关闭网络漏洞\r\n10.5.3 通知滥用的帐户和系统管理员\r\n10.5.4 备份系统\r\n10.6 诱骗快客（引诱上钩）\r\n10.7 本章小结\r\n附录A 跟踪安全措施的发展\r\nA.1 政府和学术组织\r\nA.1.1 CERT（计算机紧急响应小组）\r\nA.1.2 其他计算机事件和安全性教育站点\r\nA.2 制造商的Web站点\r\nA.3 安全性和黑客组织\r\nA.4 新闻组\r\nA.5 附录小结

本书适用于各种级别的网络管理员，其目的是使网络管理员可以对涉及到保持网络安全、防止任何入侵网络的行为(不管这种入侵是发生在网络外部，还是在网络内部)的有关问题和实践有一个总体的认识。自从计算机首次开始相互通信以来，网络安全这个领域已经非常重要了，尤其是在近几年，随着越来越多的计算机配备了网卡和内置网络软件，人们对这个领域的兴趣也随之增长，而网络基础设施(各种线缆、集线器、路由器等)的价格已经直线下跌。 在对已经与Internet相连接的网络安全的兴趣背后，是一种更强有力的推动力——Internet不仅比以往任何时候更可供使用，而且速度变得更快、访问性更好。“随时在线”对线缆调制解调器和DSL(Digital Subscriber Lines，数字用户线)来说是个巨大的市场卖点，但将用户连到Internet上的网络连接，同样也允许其他人经由同一路径进入到用户的网络。本书将向读者展示如何限制对网络的访问，以便尽可能多地控制那些可以看到和修改至关重要的系统和数据的人。 有关为什么要保持网络安全的说法都是很有道理的。快客(恶意的计算机罪犯，相对那些探查并操纵和控制计算机的没有险恶意图的黑客而言)不断地想出新办法，通过利用服务器上的错误、Web浏览器的缺陷、访问权限的配置不当、口令设置的脆弱性、特洛伊木马程序以及其他各种各样的手段来入侵网络。更糟糕的是新发现的安全上的漏洞很快就被“脚本小孩(script kiddies)”或那些没有经验和能力自己发现这些漏洞，但却似乎有着无限的时间来利用别人发现的网络漏洞的人所利用。 不存在什么绝对安全的服务器、路由器、网络操作系统或其他网络组件。也没有什么不可摧毁的网络，除非计算机根本不连网。对用户来说，最有力的防范方法就是准备充分、信息完整。本书可以帮助读者做好这两方面的起始工作，这样就可以防止大多数的网络入侵，并且，一旦网络受到攻击，就发出通知。本书也可以帮助读者了解有关网络攻击活动的原理，应在何处查出最新的网络缺陷和修正办法以及很多替代方法。 在这场保卫信息和系统的战斗中，用户的同盟是那些网络安全分析专家，如LOpht Heavy lndustries和eEye；一些政府和教育部门的网络安全机构，如CERT和CIAC；以及可以增加到网络中的保护性的网络安全的产品，如防火墙、路由器和入侵检测系统。全书中都提到了这些同盟者，并在附录中列出(只是一部分，并不冗长)。 本书也提到了在这场与网络快客的战斗中如何赢得最基本的同盟者(网络用户)的合作。通过对网络用户的教育，可以防止受到社会工程的攻击(因网络用户受骗而导致的对网络的非法访问)、口令攻击(因为口令太简单而导致的网络漏洞)和一些其他形式的来自网络内部和外部的攻击。如果没有对网络用户的教育和取得他们的合作，本书中提到的解决方案没有一个可以使网络保持长久的安全。 最后，本书讲述了读者可以提供的访问网络的方法，而不是限制访问，但是要以一种在支持网络用户的同时又能保护资源的方式来访问。 主要内容 下面是本书中讲到的一些重要的主题： ● 不同类型的网络的运行原理和所产生的潜在的安全漏洞。 ● 用户可能会遇到的网络攻击和危险的类型。 ● 找出用户自己网络中的缺陷，并且修正它。 ● 在网络安全性与使用方便性之间的平衡问题，以及如何达到平衡以使用户获益。 ● 在用户网络上采取的安全措施，包括各种防火墙。 ● 应在用户网络上的何处采取安全措施以起到最大的保护作用? ● 如何提供网络访问而不危及安全? ● 拨入访问和虚拟专用网(VPN)，以及用户如何安全使用它们。 ● 口令，为什么口令必须很强健以及如何强化它。 ● 提供给网络用户的设置口令的规则。 ● 加入认证以阻止口令攻击和网络快客入侵。 ● 在建立用户网络之前要提出和回答的几个问题。 ● 为什么提供的服务越少越安全，以及如何平衡服务和安全性之间的关系。 ● 桌面操作系统(如Mac 0S和Windows)的非常有力的网络特征，以及如何确保它们不会损害网络的安全性。 ● 网络操作系统(如Windows NT、Novell NetWare和UNIX)的有力特征，以及如何确保它们不会危及网络的安全性。 ● 如何知道网络已经被侵袭，以及如何处理。 ● 在何处可获得网络安全最新的产品、新闻和安全升级产品。 在防范网络风险之前要先了解网络中的风险，在实施网络安全的解决方案之前则要先理解它。一旦采集了必要的信息，并且建立了一套平衡方便性和安全性的网络安全规划，就可以保证网络安全，防止入侵，让网络按照它的本来设计意图运行，使网络用户的生活更顺利。