出版時間:2011-5 出版社:人民郵電出版社 作者:[美]霍格 等著,王玲芳 等譯 頁數(shù):502
Tag標(biāo)簽:無
內(nèi)容概要
《IPv6安全》綜述IPv6網(wǎng)絡(luò)所面臨的威脅,并提供應(yīng)對這些威脅的解決方案,內(nèi)容涵蓋這些問題和當(dāng)前的最佳實踐。書中首先講述安全威脅,然后描述應(yīng)對這些威脅的方式,列出所有的風(fēng)險,并針對每種威脅指明存在的解決方案。通過《IPv6安全》,讀者將學(xué)習(xí)到攻擊者可能用以攻破你的網(wǎng)絡(luò)的技術(shù)以及如何使用Cisco的產(chǎn)品保護你的網(wǎng)絡(luò)?!禝Pv6安全》的目的是較深入地研究協(xié)議,并從一名安全實踐人員的角度討論協(xié)議細節(jié)。書中涵蓋理論知識,也同時給出實踐例子。
《IPv6安全》適合負(fù)責(zé)網(wǎng)絡(luò)安全的IT工作人員和在校學(xué)生閱讀,另外,也可以作為從事網(wǎng)絡(luò)安全的研究人員和學(xué)者的參考書。
作者簡介
作者:(美)Hogg
書籍目錄
第1章 IPv6安全引言
1.1 重溫IPv6
1.2 IPv6知識更新
1.3 IPv6弱點
1.4 黑客經(jīng)驗
1.5 IPv6安全緩解技術(shù)
1.6 小結(jié)
1.7 推薦讀物和資料
第2章 IPv6協(xié)議安全弱點
2.1 IPv6協(xié)議首部
2.1.1 ICMPv6
2.1.2 多播安全
2.2 擴展首部威脅
2.2.1 擴展首部綜述
2.2.2 擴展首部的弱點
2.2.3 逐跳選項首部和目的地選項首部
2.2.4 路由首部
2.2.5 分段首部
2.2.6 未知的選項首部
2.2.7 上層首部
2.3 IPv6網(wǎng)絡(luò)勘察
2.3.1 掃描并評估目標(biāo)
2.3.2 加速掃描過程
2.3.3 應(yīng)對勘察攻擊
2.4 三層和四層欺騙
2.5 小結(jié)
2.6 參考文獻
第3章 IPv6 Internet安全
3.1 大型Internet威脅
3.1.1 數(shù)據(jù)包泛洪
3.1.2 Internet蠕蟲
3.1.3 分布式拒絕服務(wù)和機撲網(wǎng)(Botnets)
3.2 進/出過濾
3.2.1 過濾IPv6流量
3.2.2 對被分配地址的過濾
3.2.3 虛假地址過濾
3.2.4 虛假地址過濾挑戰(zhàn)和過濾自動化
3.3 保障BGP會話安全
3.3.1 顯式配置的BGP對端
3.3.2 使用BGP會話共享秘密
3.3.3 利用一條IPSec隧道
3.3.4 在BGP對端上使用環(huán)回地址
3.3.5 在BGP數(shù)據(jù)包上控制存活時間(TTL)
3.3.6 在對端關(guān)系接口上實施過濾
3.3.7 使用鏈路本地對端關(guān)系
3.3.8 防止長的AS路徑
3.3.9 限制接收到的前綴數(shù)量
3.3.10 防止包含私有AS號碼的BGP更新
3.3.11 最大化BGP對端的可用性
3.3.12 對BGP鄰居活動記錄日志
3.3.13 保障IGP安全
3.3.14 保障BGP對端之間通信安全的極端措施
3.4 MPLS上的IPv6安全
3.4.1 在PE路由器之間IPv4隧道上使用靜態(tài)IPv6
3.4.2 使用6PE
3.4.3 使用6VPE產(chǎn)生支持IPv6的VRF
3.5 客戶前端設(shè)備
3.6 前綴委派威脅
3.6.1 SLAAC
3.6.2 DHCPv6
3.7 多宿問題
3.8 小結(jié)
3.9 參考文獻
第4章 IPv6邊緣安全
4.1 IPv6防火墻
4.1.1 過濾IPv6未分配地址
4.1.2 其他的過濾考慮
4.1.3 防火墻和NAT
4.2 Cisco IOS路由器ACL
4.2.1 隱式IPv6 ACL規(guī)則
4.2.2 Internet ACL范例
4.2.3 IPv6反射性的ACL
4.3 Cisco IOS防火墻
4.3.1 配置IOS防火墻
4.3.2 IOS防火墻范例
4.3.3 IOS防火墻的IPv6端口到應(yīng)用映射
4.4 Cisco PIX/ASA/FWSM防火墻
4.4.1 配置防火墻接口
4.4.2 管理接入權(quán)限
4.4.3 配置路由
4.4.4 安全策略配置
4.4.5 對象組策略配置
4.4.6 分段保護
4.4.7 檢查流量統(tǒng)計信息
4.4.8 鄰居發(fā)現(xiàn)協(xié)議保護
4.5 小結(jié)
4.6 參考文獻
第5章 局域網(wǎng)安全
5.1 二層是重要的原因
5.2 IPv6的ICMPv6二層弱點
5.2.1 無狀態(tài)地址自動配置問題
5.2.2 鄰居發(fā)現(xiàn)的問題
5.2.3 重復(fù)地址檢測問題
5.2.4 重定向問題
5.3 ICMPv6協(xié)議保護
5.3.1 安全鄰居發(fā)現(xiàn)
5.3.2 在Cisco IOS中實現(xiàn)CGA地址
5.3.3 理解采用SEND的挑戰(zhàn)
5.4 ICMPv6攻擊的網(wǎng)絡(luò)檢測
5.4.1 檢測偽造的RA消息
5.4.2 檢測NDP攻擊
5.5 針對ICMPv6攻擊的網(wǎng)絡(luò)應(yīng)對措施
5.5.1 Rafixd
5.5.2 降低目標(biāo)范圍
5.5.3 IETF工作
5.5.4 擴展IPv4交換機的IPv6安全
5.6 私有擴展地址的優(yōu)劣
5.7 DHCPv6的威脅和應(yīng)對
5.7.1 針對DHCPv6的威脅
5.7.2 應(yīng)對DHCPv6攻擊
5.8 點到點鏈路
5.9 端點安全
5.10 小結(jié)
5.11 參考文獻
第6章 加固IPv6網(wǎng)絡(luò)設(shè)備
6.1 針對網(wǎng)絡(luò)設(shè)備的威脅
6.2 Cisco IOS版本
6.3 禁止不必要的網(wǎng)絡(luò)服務(wù)
6.4 限制路由器訪問
6.4.1 物理訪問安全
6.4.2 保障控制臺訪問的安全
6.4.3 保障口令的安全
6.4.4 VTY端口訪問控制
6.4.5 路由器的AAA
6.4.6 HTTP訪問
6.5 IPv6設(shè)備管理
6.5.1 環(huán)回和Null接口
6.5.2 管理接口
6.5.3 保障SNMP通信的安全
6.6 針對內(nèi)部路由協(xié)議的威脅
6.6.1 RIPng安全
6.6.2 EIGRPv6安全
6.6.3 IS-IS安全
6.6.4 OSPF版本3安全
6.7 第一跳冗余協(xié)議安全
6.7.1 鄰居不可達性檢測
6.7.2 HSRPv6
6.7.3 GLBPv6
6.8 控制資源
6.8.1 基礎(chǔ)設(shè)施ACL
6.8.2 接收ACL
6.8.3 控制平面監(jiān)控
6.9 QoS威脅
6.10 小結(jié)
6.11 參考文獻
第7章 服務(wù)器和主機安全
7.1 IPv6主機安全
7.1.1 ICMPv6的主機處理
7.1.2 偵聽端口的服務(wù)
7.1.3 檢查鄰居緩存
7.1.4 檢測不希望出現(xiàn)的隧道
7.1.5 IPv6轉(zhuǎn)發(fā)
7.1.6 地址選擇問題
7.2 主機防火墻
7.2.1 Microsoft Windows防火墻
7.2.2 Linux防火墻
7.2.3 BSD防火墻
7.2.4 Sun Solaris
7.3 采用Cisco安全代理6.0保障主機的安全
7.4 小結(jié)
7.5 參考文獻
第8章 IPSec和SSL虛擬專網(wǎng)
8.1 IPv6的IP安全
8.1.1 IPSec擴展首部
8.1.2 IPSec操作模式
8.1.3 Internet密鑰交換(IKE)
8.1.4 IPsec和網(wǎng)絡(luò)地址轉(zhuǎn)換一起使用
8.1.5 IPv6和IPSec
8.2 主機到主機的IPSec
8.3 站點到站點的IPSec配置
8.3.1 IPv4之上的IPv6 IPSec例
8.3.2 IPv6 IPSec示例
8.3.3 動態(tài)多點VPN
8.4 采用IPSec的遠端訪問
8.5 SSL VPN
8.6 小結(jié)
8.7 參考文獻
第9章 IPv6移動性安全
9.1 移動IPv6操作
9.2 MIPv6消息
9.2.1 間接模式
9.2.2 家鄉(xiāng)代理地址確定
9.2.3 直接模式
9.3 與MIPv6有關(guān)的威脅
9.3.1 保護移動設(shè)備軟件
9.3.2 偽造的家鄉(xiāng)代理
9.3.3 移動媒介安全
9.3.4 中間人威脅
9.3.5 連接截獲
9.3.6 偽造MN到CN綁定
9.3.7 DoS攻擊
9.4 在MIPv6中使用IPSec
9.5 針對MIPv6的過濾
9.5.1 CN處的過濾器
9.5.2 在MN/異地鏈路處實施過濾
9.5.3 在HA處實施過濾
9.6 其他IPv6移動性協(xié)議
9.6.1 其他IETF移動IPv6協(xié)議
9.6.2 網(wǎng)絡(luò)移動性(NEMO)
9.6.3 IEEE 802.16e
9.6.4 移動Ad-Hoc網(wǎng)絡(luò)
9.7 小結(jié)
9.8 參考文獻
第10章 保障遷移機制的安全
10.1 理解IPv4到IPv6的遷移技術(shù)
10.1.1 雙?!?br /> 10.1.2 隧道
10.1.3 協(xié)議轉(zhuǎn)換
10.2 實現(xiàn)雙棧安全
10.2.1 利用雙棧環(huán)境
10.2.2 保護雙棧主機
10.3 對隧道實施破壞
10.3.1 安全的靜態(tài)隧道
10.3.2 保障動態(tài)隧道的安全
10.3.3 保障6VPE的安全
10.4 攻擊NAT-PT
10.5 針對IPv4網(wǎng)絡(luò)的IPv6潛在威脅
10.6 小結(jié)
10.7 參考文獻
第11章 安全監(jiān)視
11.1 管理和監(jiān)視IPv6網(wǎng)絡(luò)
11.1.1 路由器接口性能
11.1.2 設(shè)備性能監(jiān)視
11.1.3 路由器Syslog消息
11.1.4 準(zhǔn)確時間的益處
11.2 管理IPv6隧道
11.3 使用法醫(yī)證據(jù)方法
11.4 使用入侵檢測和防御系統(tǒng)
11.4.1 Cisco IPS版本6.1
11.4.2 測試IPS簽名
11.5 采用CS-MARS管理安全信息
11.6 管理安全配置
11.7 小結(jié)
11.8 參考文獻
第12章 IPv6安全結(jié)論
12.1 比較IPv4和IPv6安全
12.1.1 IPv4和IPv6之間的相似性
12.1.2 IPv4和IPv6之間的差異
12.2 變化的安全邊緣
12.3 生成一項IPv6安全策略
12.3.1 網(wǎng)絡(luò)邊緣
12.3.2 擴展首部
12.3.3 LAN威脅
12.3.4 主機和設(shè)備安全加固
12.3.5 遷移機制
12.3.6 IPSec
12.3.7 安全管理
12.4 保持警醒狀態(tài)(On the Horizon)
12.5 建議的合并列表
12.6 小結(jié)
12.7 參考文獻
章節(jié)摘錄
第1章 IPv6安全引言 Intemet協(xié)議(IP)是使用最為廣泛的通信協(xié)議。因為IP是一項最普遍的通信技術(shù),所以它是數(shù)十萬IT專業(yè)人士的關(guān)注焦點。因為這么多的人依賴該協(xié)議進行通信,所以通信的安全就是人們最關(guān)心的。好人和壞人都在進行IP上的安全研究,所有這些安全研究導(dǎo)致人們對IP進行修補和調(diào)整,原因是IP已經(jīng)被在國際范圍內(nèi)部署。以事后諸葛亮的說法就是,在IP被廣泛部署之前,如果給予這個協(xié)議的安全以較深入考慮的話,可能會更好?! ”緯鵀槟峁㊣P的一個新版本,并關(guān)注其安全性,并給出在部署之前避免這些問題的指南建議。本章給出有關(guān)IP的下一版本(IPv6)的簡短背景。您將認(rèn)識到,在IPv6大規(guī)模部署之前,考慮IPv6的安全為什么是重要的。本章給出IPv6當(dāng)前風(fēng)險的回顧和其弱點的業(yè)界知識,以及可保障IPv6安全的常用方式?! ?hellip;…
圖書封面
圖書標(biāo)簽Tags
無
評論、評分、閱讀與下載