路由器安全策略

前言

在過(guò)去20年來(lái)，網(wǎng)絡(luò)從archane(ARPAnet)發(fā)展到任何地方(無(wú)線熱點(diǎn))，并且已經(jīng)被應(yīng)用于衛(wèi)生保健系統(tǒng)、航空、商業(yè)、視頻通信、電話(huà)、存儲(chǔ)和交互式運(yùn)動(dòng)等諸多領(lǐng)域。網(wǎng)絡(luò)來(lái)源于數(shù)據(jù)中心，然后到達(dá)服務(wù)提供商，到達(dá)我們的鄰居，到達(dá)我們的家里。對(duì)我而言，說(shuō)網(wǎng)絡(luò)安全是一個(gè)“重要的主題”無(wú)論如何都不過(guò)分，因?yàn)橹鳈C(jī)安全無(wú)法和它相提并論——網(wǎng)絡(luò)安全需要花費(fèi)很大的開(kāi)銷(xiāo)，而主機(jī)安全則花費(fèi)甚少。為什么會(huì)是這種情況，為什么會(huì)發(fā)生這種情況呢?在此，我并不想正面回答這個(gè)問(wèn)題，之所以承認(rèn)網(wǎng)絡(luò)安全至關(guān)重要，是因?yàn)榫W(wǎng)絡(luò)現(xiàn)在是必不可少的。因此，本書(shū)包括了那些針對(duì)網(wǎng)絡(luò)設(shè)備的現(xiàn)有威脅和攻擊的知識(shí)，對(duì)這些威脅和攻擊提供最佳防范的必要的網(wǎng)絡(luò)設(shè)備配置技術(shù)，以及這些技術(shù)如何提高網(wǎng)絡(luò)恢復(fù)能力的現(xiàn)實(shí)例子，以供讀者學(xué)習(xí)。Gregg和David編寫(xiě)的這本圖書(shū)將其篇幅劃分為數(shù)據(jù)、管理和業(yè)務(wù)平面安全，解釋了每種流量平面的概念、相關(guān)的安全威脅及對(duì)策。對(duì)所有4種流量平面提供保護(hù)對(duì)于網(wǎng)絡(luò)設(shè)備的保護(hù)是必需的，對(duì)于保護(hù)由這些網(wǎng)絡(luò)設(shè)備組成的網(wǎng)絡(luò)則更是必需的。對(duì)所有這4種彼此不同的流量平面進(jìn)行不遺余力的保護(hù)是惟一正確的做法。如果讀者在閱讀本書(shū)之后什么都沒(méi)有做，那么詢(xún)問(wèn)自己，在對(duì)數(shù)據(jù)進(jìn)行保護(hù)的同時(shí)，是否已經(jīng)對(duì)自己日益依賴(lài)的數(shù)據(jù)、業(yè)務(wù)及功能不斷豐富的網(wǎng)絡(luò)進(jìn)行了保護(hù)?經(jīng)驗(yàn)告訴我們當(dāng)中的每一個(gè)人，深入防御和廣泛防御都屬于強(qiáng)有力的安全技術(shù)。您的網(wǎng)絡(luò)是由多種設(shè)備、多個(gè)層次組成的，并且其觸角幾乎無(wú)處不在——網(wǎng)絡(luò)自身已經(jīng)在保護(hù)您的網(wǎng)絡(luò)中扮演了關(guān)鍵角色。要確保它是成功的，畢竟……我們都連接在一起。

內(nèi)容概要

本書(shū)的目標(biāo)在于使讀者熟悉對(duì)IP網(wǎng)絡(luò)流量平面進(jìn)行分隔和安全保護(hù)所需的概念、效益以及實(shí)施細(xì)節(jié)。全書(shū)分4個(gè)部分。第1部分提供了IP協(xié)議、IP網(wǎng)絡(luò)運(yùn)行及路由器和路由硬件以及軟件運(yùn)行的基本概述。第2部分提供了深入、詳細(xì)的內(nèi)容以供網(wǎng)絡(luò)專(zhuān)家實(shí)現(xiàn)IP流量平面分隔和保護(hù)策略，還針對(duì)經(jīng)驗(yàn)不足的網(wǎng)絡(luò)技術(shù)人員提供了詳細(xì)的IP路由器運(yùn)行描述。第3部分提供了針對(duì)兩種不同網(wǎng)絡(luò)類(lèi)型——企業(yè)網(wǎng)絡(luò)和服務(wù)提供商網(wǎng)絡(luò)的案例研究。這些案例研究用于進(jìn)一步說(shuō)明在第2部分中介紹的策略如何集成為一個(gè)完整的IP網(wǎng)絡(luò)流量平面分隔和保護(hù)規(guī)劃。第4部分則對(duì)本書(shū)正文部分所討論的內(nèi)容進(jìn)行了補(bǔ)充，提供了一些不僅在閱讀本書(shū)過(guò)程中有用，而且在日常工作中也很有幫助的參考內(nèi)容?！　”緯?shū)適合組織機(jī)構(gòu)中負(fù)責(zé)部署和維護(hù)IP及IP/MPLS網(wǎng)絡(luò)的網(wǎng)絡(luò)工程師，以及網(wǎng)絡(luò)運(yùn)營(yíng)和網(wǎng)絡(luò)安全性人員閱讀。

作者簡(jiǎn)介

作者：(美國(guó))Gregg Schudel (美國(guó))David J.Smith 譯者：姚維 李斌 沈金河Gregg Schudel，CCIE No．959l(Security)于2000年作為咨詢(xún)系統(tǒng)工程師加入Cisco Systems，其職責(zé)是為美國(guó)的網(wǎng)絡(luò)服務(wù)提供商組織提供支持。Gregg關(guān)注針對(duì)長(zhǎng)途交換電信運(yùn)營(yíng)商、網(wǎng)絡(luò)服務(wù)提供商及移動(dòng)服務(wù)提供商的IP核心網(wǎng)絡(luò)和服務(wù)安全性體系結(jié)構(gòu)和技術(shù)。此外，Gregg還是Corporate and Field資源小組的成員，該小組的工作重點(diǎn)在于推動(dòng)Cisco服務(wù)提供商安全性策略。在加入Cisco Systems之前，Gregg在BBN Technologies公司工作了多年，他負(fù)責(zé)支持與DARPA及聯(lián)邦政府其他機(jī)構(gòu)共同進(jìn)行的涉及到安全性方面的網(wǎng)絡(luò)安全性研究和開(kāi)發(fā)。Gregg擁有喬治華盛頓大學(xué)的工程學(xué)碩士學(xué)位和獲得佛羅里達(dá)理工學(xué)院的工程學(xué)學(xué)士學(xué)位。David J．Smith，CCIE No．1 986(Routing and Switching)于1995年作為咨詢(xún)工程師加入Cisco Systems，其職責(zé)是為美國(guó)的網(wǎng)絡(luò)服務(wù)提供商組織提供支持。David從1999年開(kāi)始關(guān)注服務(wù)提供商IP核心和邊緣網(wǎng)絡(luò)技術(shù)，包括IP路由、MPLS技術(shù)、QoS、架構(gòu)安全性及網(wǎng)絡(luò)遙測(cè)。在1995-1999年，David負(fù)責(zé)為企業(yè)用戶(hù)在設(shè)計(jì)園區(qū)WAN和全球WAN方面提供支持。在加入Cisco Systems之前，David在Bellcore公司工作，負(fù)責(zé)開(kāi)發(fā)系統(tǒng)軟件以及開(kāi)通ATM交換機(jī)試驗(yàn)局。David在卡內(nèi)基·梅隆大學(xué)獲得信息網(wǎng)絡(luò)碩士學(xué)位，在里海大學(xué)獲得計(jì)算機(jī)工程學(xué)士學(xué)位。

書(shū)籍目錄

第1部分　第1章　互聯(lián)網(wǎng)協(xié)議操作基礎(chǔ)　　　1.1　IP網(wǎng)絡(luò)概念　　　　1.1.1　企業(yè)網(wǎng)絡(luò)　　　1.1.2　服務(wù)提供商網(wǎng)絡(luò)　　1.2　IP協(xié)議操作　　　1.3　IP流量概念　　　　1.3.1　過(guò)境IP包　　　　1.3.2　接收—鄰接IP包　　　　1.3.3　異常IP和非IP包　　1.4　IP流量平面　　　　1.4.1　數(shù)據(jù)平面　　　　1.4.2　控制平面　　　　1.4.3　管理平面　　　　1.4.4　服務(wù)平面　　　1.5　IP路由器包處理概念　　　　1.5.1　進(jìn)程交換　　　　1.5.2　快速交換　　　　1.5.3　思科特快轉(zhuǎn)發(fā)　　　1.6　常見(jiàn)的IP路由器體系結(jié)構(gòu)類(lèi)型　　　　1.6.1　集中式的基于CPU的體系結(jié)構(gòu)　　　　1.6.2　集中式的基于ASIC的體系結(jié)構(gòu)　　　　1.6.3　分布式的基于CPU的體系結(jié)構(gòu)　　　　1.6.4　分布式的基于ASIC的體系結(jié)構(gòu)　　　1.7　小結(jié)　　　1.8　復(fù)習(xí)題　　　1.9　延伸閱讀　第2章　IP網(wǎng)絡(luò)的威脅方式　　　2.1　對(duì)于IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的威脅　　　　2.1.1　資源消耗攻擊　　　　2.1.2　欺騙攻擊　　　　2.1.3　傳輸協(xié)議攻擊　　　　2.1.4　路由協(xié)議威脅　　　　2.1.5　其他IP控制平面威脅　　　　2.1.6　未經(jīng)授權(quán)的接入攻擊　　　　2.1.7　軟件漏洞　　　2.1.8　惡意網(wǎng)絡(luò)監(jiān)測(cè)　　　2.2　針對(duì)第2層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的威脅　　　2.2.1　CAM表溢出攻擊　　　　2.2.2　MAC欺騙攻擊　　　　2.2.3　VLAN的跳躍攻擊(VLAN Hopping Attacks)　　　2.2.4　專(zhuān)用VLAN攻擊　　　　2.2.5　STP攻擊　　　　2.2.6　VTP攻擊　　2.3　針對(duì)IP VPN網(wǎng)絡(luò)基礎(chǔ)設(shè)施的威脅　　　　2.3.1　MPLS VPN威脅模式　　　　2.3.2　針對(duì)用戶(hù)邊緣的威脅　　　2.3.3　針對(duì)運(yùn)營(yíng)商邊緣的威脅　　　　2.3.4　針對(duì)運(yùn)營(yíng)商核心的威脅　　　　2.3.5　針對(duì)跨運(yùn)營(yíng)商邊緣的威脅　　　　2.3.6　IPSec VPN的威脅模式　　　2.4　小結(jié)　　　2.5　復(fù)習(xí)題　　2.6　延伸閱讀　　第3章　IP網(wǎng)絡(luò)流量平面安全概念　　　3.1　全方位防御的原則　　　……第2部分　第4章　IP數(shù)據(jù)平面安全性　　第5章　IP控制平面安全性　　第6章  IP管理平面安全性　　第7章  IP服務(wù)平面安全性第3部分　第8章  企業(yè)網(wǎng)絡(luò)案例研究　　第9章  服務(wù)提供商網(wǎng)絡(luò)案例研究　第4部分　附錄A　復(fù)習(xí)題答案　附錄B　IP協(xié)議報(bào)頭　　附錄C　Cisco IOS到XOS XR安全性過(guò)渡　　附錄D　安全事故處理　

章節(jié)摘錄

插圖：第1部分第1章　互聯(lián)網(wǎng)協(xié)議操作基礎(chǔ)　1.5　IP路由器包處理概念本章最后要討論的一個(gè)議題是路由器的軟件和硬件體系結(jié)構(gòu)。這個(gè)議題可以與前面所有的概念結(jié)合在一起，共同說(shuō)明IP流量平面的分離與控制，對(duì)于IP網(wǎng)絡(luò)的穩(wěn)定、性能和運(yùn)行的重要性。路由器的作用是轉(zhuǎn)發(fā)數(shù)據(jù)包。無(wú)論是來(lái)自數(shù)據(jù)平面還是服務(wù)平面的數(shù)據(jù)包，路由器都必須盡可能高效地對(duì)其進(jìn)行處理。同時(shí)，這些路由器還必須通過(guò)控制平面和管理平面來(lái)建立和維護(hù)網(wǎng)絡(luò)。IP流量平面的概念是一個(gè)“邏輯的”概念，它為制定和執(zhí)行具體的安全需求提出了一個(gè)框架。正如圖1—5（略）所示的，IP流量平面的安全概念，既可以從互聯(lián)網(wǎng)的角度來(lái)解讀，也可以從單獨(dú)的路由器的角度來(lái)解讀。流量從何處來(lái)，又到何處去？網(wǎng)絡(luò)的邊界在哪里，什么樣的流量可以穿過(guò)邊界？在不同的路由協(xié)議中，應(yīng)包含哪些IP地址？這些問(wèn)題，以及許多其他方面的問(wèn)題，都將在后續(xù)章節(jié)中進(jìn)行討論和解答。正如圖1一5（略）中的透視圖所示，在這一過(guò)程中最重要的部分是，那些在網(wǎng)絡(luò)中獨(dú)立的路由器處理真實(shí)的數(shù)據(jù)包。日復(fù)一日，這些設(shè)備只能以一種自治的方式，協(xié)調(diào)自身的硬件、軟件和配置進(jìn)行工作。了解一個(gè)獨(dú)立的路由器是如何處理每一個(gè)從接口處接收到的數(shù)據(jù)包類(lèi)型，以及路由器在處理這些數(shù)據(jù)包時(shí)必須調(diào)用的資源，是IP流量平面安全的關(guān)鍵概念。 雖然本節(jié)的描述特別側(cè)重于思科路由器，但是，這些概念并非僅適用于思科的平臺(tái)。每一個(gè)“接觸”到數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備，都具有一個(gè)硬件和軟件的體系結(jié)構(gòu)，設(shè)計(jì)這些體系結(jié)構(gòu)的目的是處理數(shù)據(jù)包，確定對(duì)數(shù)據(jù)包進(jìn)行的操作，并對(duì)數(shù)據(jù)包應(yīng)用某些策略。在這里，術(shù)語(yǔ)“策略”意味著任何被應(yīng)用于數(shù)據(jù)包的操作，一般包括轉(zhuǎn)發(fā)／丟棄、整形鄺艮制速率、重新著色、復(fù)制和隧道/封裝。路由器的主要目的是將包從一個(gè)網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到另一個(gè)接口。每個(gè)網(wǎng)絡(luò)接口，或者代表一個(gè)直連網(wǎng)段，包含主機(jī)和服務(wù)器，或者代表在沿著數(shù)據(jù)包最終目的地址的下游路徑中，指向下一跳路由設(shè)備的連接。從最根本的意義上說(shuō)，IP路由器的第3層決策過(guò)程包括以下幾個(gè)步驟。

編輯推薦

《路由器安全策略》能夠幫助讀者全面理解并實(shí)現(xiàn)IP路由器上的IP流量平面分隔和保護(hù)。書(shū)中詳細(xì)介紹了lP網(wǎng)絡(luò)的不同流量平面和用于保護(hù)它們的高級(jí)技術(shù)，這些流量平面包括數(shù)據(jù)平面、控制平面、管理平面和業(yè)務(wù)平面，它們提供了lP網(wǎng)絡(luò)連接的基礎(chǔ)架構(gòu)。

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    路由器安全策略 PDF格式下載

---