網(wǎng)絡(luò)安全體系結(jié)構(gòu)

內(nèi)容概要

　　《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》是一本安全網(wǎng)絡(luò)的設(shè)計指南，旨在幫助讀者設(shè)計出符合可滿足不同安全需求的網(wǎng)絡(luò)環(huán)境。　　全書共分為4個部分和3個附錄。第一部分介紹了設(shè)計安全網(wǎng)絡(luò)的一些基礎(chǔ)概念，提供了設(shè)計安全網(wǎng)絡(luò)的先決條件以及進行安全網(wǎng)絡(luò)設(shè)計所需的基本元素，為后續(xù)章節(jié)打下基礎(chǔ)。第二部分全面討論了可供安全設(shè)計人員使用的各類技術(shù)，以及使用不同技術(shù)來設(shè)計網(wǎng)絡(luò)安全解決方案時需要予以考慮的因素。第三部分針對不同的網(wǎng)絡(luò)環(huán)境，介紹了它們各自的設(shè)計方式。第四部分介紹了如何保障網(wǎng)絡(luò)管理的安全性，同時對一些設(shè)計案例進行了研究，最后對全書做了總結(jié)。附錄A對書中使用過的一些術(shù)語進行了介紹。附錄B提供了各章測試題的參考答案。附錄C則提供了安全網(wǎng)絡(luò)設(shè)計中，一些設(shè)計文檔的起草范例?！　¤b于《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》強調(diào)安全網(wǎng)絡(luò)的“設(shè)計”，因此《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》的主要目標(biāo)群體是網(wǎng)絡(luò)安全領(lǐng)域的售前工程師和企業(yè)網(wǎng)絡(luò)的運維人員。此外，《網(wǎng)絡(luò)安全體系結(jié)構(gòu)》同樣適合其他網(wǎng)絡(luò)/安全操作工程師、IT經(jīng)理和CIO及各類對網(wǎng)絡(luò)安全感興趣的專業(yè)人士閱讀和參考。

作者簡介

Sean Convery，CCIE
#4232，是Cisco公司的一名安全架構(gòu)師。他在Cisco工作了6年，其中最為引人矚目的工作是擔(dān)任了最初的Cisco
SAFE安全藍圖的首席架構(gòu)師，并且還是其中數(shù)個白皮書的作者。在Cisco工作期間，Sean曾為全球數(shù)以千計的Cisco客戶進行了網(wǎng)絡(luò)安全設(shè)計，并為很多不同網(wǎng)絡(luò)規(guī)模的客戶提供了安全設(shè)計方面的咨詢。

書籍目錄

第一部分　網(wǎng)絡(luò)安全基礎(chǔ)
第1章　網(wǎng)絡(luò)安全公理　
 1.1　網(wǎng)絡(luò)安全是一個系統(tǒng)　
 1.2　必須首先考慮業(yè)務(wù)的優(yōu)先級　
 1.3　網(wǎng)絡(luò)安全催生良好的網(wǎng)絡(luò)設(shè)計　
 1.4　一切皆為目標(biāo)　
 1.5　一切皆為武器　
 1.6　設(shè)法簡化操作　
 1.7　良好的網(wǎng)絡(luò)安全策略是具有預(yù)見性的　
 1.8　不要通過隱匿來提高系統(tǒng)的安全性　
 1.9　機密性不等同于安全　
 1.10　總結(jié)　
 1.11　參考資料　
 1.12　應(yīng)用知識問題　
第2章　安全策略與運行生命周期　
 2.1　網(wǎng)絡(luò)安全千金難買　
 2.2　什么是安全策略　
 2.2.1　實施安全策略需要考慮的事項　
 2.3　安全系統(tǒng)的開發(fā)與運行概述　
 2.3.1　安全系統(tǒng)的開發(fā)　
 2.3.2　安全系統(tǒng)運作的生命周期　
 2.4　總結(jié)　
 2.5　參考資料　
 2.6　應(yīng)用知識問題　
第3章　安全聯(lián)網(wǎng)的威脅　
 3.1　攻擊過程　
 3.2　攻擊者的類型　
 3.2.1　腳本小子　
 3.2.2　解密者　
 3.2.3　精英　
 3.3　弱點類型　
 3.3.1　軟件弱點　
 3.3.2　硬件弱點　
 3.3.3　配置弱點　
 3.3.4　策略弱點　
 3.3.5　使用弱點　
 3.4　攻擊結(jié)果　
 3.4.1　信息泄密　
 3.4.2　信息損壞　
 3.4.3　拒絕服務(wù)　
 3.4.4　服務(wù)被盜　
 3.4.5　訪問權(quán)增大　
 3.5　攻擊分類　
 3.5.1　讀取攻擊　
 3.5.2　操縱攻擊　
 3.5.3　欺騙攻擊　
 3.5.4　泛洪　
 3.5.5　重定向　
 3.5.6　混合型攻擊　
 3.6　總結(jié)　
 3.7　參考資料　
 3.8　應(yīng)用知識問題　
第4章　網(wǎng)絡(luò)安全技術(shù)　
 4.1　實現(xiàn)網(wǎng)絡(luò)安全的難點　
 4.2　安全技術(shù)　
 4.2.1　身份識別技術(shù)　
 4.2.2　主機和應(yīng)用安全　
 4.2.3　網(wǎng)絡(luò)防火墻　
 4.2.4　內(nèi)容過濾　
 4.2.5　網(wǎng)絡(luò)入侵檢測系統(tǒng)　
 4.2.6　加密技術(shù)　
 4.3　新興安全技術(shù)　
 4.3.1　混合主機解決方案　
 4.3.2　在線（inline）NIDS　
 4.3.3　應(yīng)用防火墻　
 4.4　總結(jié)　
 4.5　參考資料　
 4.6　應(yīng)用知識問題　
第二部分　設(shè)計安全網(wǎng)絡(luò)
第5章　設(shè)備安全強化　
 5.1　安全強化戰(zhàn)略的組成　
 5.1.1　安全策略　
 5.1.2　設(shè)備位置　
 5.1.3　威脅配置文件　
 5.1.4　功能需求　
 5.1.5　管理需求　
 5.2　網(wǎng)絡(luò)設(shè)備　
 5.2.1　路由器　
 5.2.2　交換機　
 5.2.3　防火墻　
 5.2.4　NIDS　
 5.3　主機操作系統(tǒng)　
 5.3.1　分區(qū)磁盤空間　
 5.3.2　關(guān)閉不需要的服務(wù)　
 5.3.3　為需要的服務(wù)打補丁　
 5.3.4　記錄關(guān)鍵事件　
 5.4　應(yīng)用程序　
 5.5　基于設(shè)備的網(wǎng)絡(luò)服務(wù)　
 5.6　無賴設(shè)備檢測　
 5.7　總結(jié)　
 5.8　參考資料　
 5.9　應(yīng)用知識問題　
第6章　常規(guī)設(shè)計考慮　
 6.1　物理安全問題　
 6.1.1　控制對設(shè)施的物理訪問　
 6.1.2　控制對數(shù)據(jù)中心的物理訪問　
 6.1.3　用于非安全位置的隔離身份識別機制　
 6.1.4　防止非安全位置的密碼恢復(fù)機制　
 6.1.5　清楚線纜線路問題　
 6.1.6　清楚電磁輻射問題　
 6.1.7　清楚物理PC安全威脅　
 6.2　第2層安全考慮　
 6.2.1　L2控制協(xié)議　
 6.2.2　MAC泛洪考慮　
 6.2.3　VLAN跳轉(zhuǎn)考慮　
 6.2.4　ARP考慮　
 6.2.5　DHCP考慮　
 6.2.6　私有VLAN　
 6.2.7　L2最佳做法推薦　
 6.3　IP尋址設(shè)計考慮　
 6.3.1　通用最佳做法和路由匯總　
 6.3.2　入站/出站過濾　
 6.3.3　NAT　
 6.4　ICMP設(shè)計考慮　
 6.4.1　ICMP消息類型過濾　
 6.5　路由選擇考慮　
 6.5.1　路由選擇協(xié)議安全　
 6.5.2　非對稱路由與可感知狀態(tài)的安全技術(shù)　
 6.6　傳輸協(xié)議設(shè)計考慮　
 6.7　DoS設(shè)計考慮　
 6.7.1　網(wǎng)絡(luò)泛洪設(shè)計考慮　
 6.7.2　TCP SYN泛洪設(shè)計考慮　
 6.7.3　ICMP不可達DoS考慮　
 6.8　總結(jié)　
 6.9　參考資料　
 6.9　應(yīng)用知識問題　
第7章　網(wǎng)絡(luò)安全平臺選項和最佳做法　
 7.1　網(wǎng)絡(luò)安全平臺的選擇　
 7.1.1　通用操作系統(tǒng)安全設(shè)備　
 7.1.2　專業(yè)安全設(shè)備　
 7.1.3　將安全技術(shù)集成到網(wǎng)絡(luò)中　
 7.1.4　網(wǎng)絡(luò)安全平臺選擇的建議　
 7.2　網(wǎng)絡(luò)安全設(shè)備的最佳做法　
 7.2.1　防火墻　
 7.2.2　代理服務(wù)器/內(nèi)容過濾　
 7.2.3　NIDS　
 7.3　總結(jié)　
 7.4　參考資料　
 7.5　應(yīng)用知識問題　
第8章　常用應(yīng)用設(shè)計考慮　
 8.1　電子郵件　
 8.1.1　基本的兩層(Two-Tier)電子郵件設(shè)計　
 8.1.2　分布式兩層電子郵件設(shè)計　
 8.1.3　訪問控制實例　
 8.1.4　郵件應(yīng)用設(shè)計推薦　
 8.2　DNS　
 8.2.1　不要將你的DNS服務(wù)器放在同一處　
 8.2.2　擁有多臺權(quán)威DNS服務(wù)器　
 8.2.3　讓你的外部DNS服務(wù)器僅響應(yīng)非遞歸查詢請求　
 8.2.4　提供受保護的內(nèi)部DNS服務(wù)器　
 8.2.5　分隔外部和內(nèi)部DNS服務(wù)器提供的信息　
 8.2.6　限制權(quán)威服務(wù)器的區(qū)域傳輸　
 8.2.7　DNS過濾案例學(xué)習(xí)　
 8.3　HTTP/HTTPS　
 8.3.1　簡單Web設(shè)計　
 8.3.2　兩層Web設(shè)計　
 8.3.3　三層Web設(shè)計　
 8.4　FTP　
 8.4.1　主動模式　
 8.4.2　被動模式　
 8.5　即時消息　
 8.6　應(yīng)用評估　
 8.7　總結(jié)　
 8.8　參考資料　
 8.9　應(yīng)用知識問題　
第9章　身份識別設(shè)計考慮　
 9.1　基本身份識別概念　
 9.1.1　設(shè)備身份識別與用戶身份識別　
 9.1.2　網(wǎng)絡(luò)身份識別與應(yīng)用身份識別　
 9.1.3　你信任誰　
 9.1.4　身份識別與認證、授權(quán)與審計　
 9.1.5　共享的身份識別　
 9.1.6　加密身份識別考慮　
 9.2　身份識別類型　
 9.2.1　物理訪問　
 9.2.2　MAC地址　
 9.2.3　IP地址　
 9.2.4　第4層信息　
 9.2.5　用戶名　
 9.2.6　數(shù)字證書　
 9.2.7　生物特征識別　
 9.3　身份識別要素　
 9.4　身份識別在網(wǎng)絡(luò)安全中的角色　
 9.5　身份識別技術(shù)指導(dǎo)方針　
 9.5.1　AAA服務(wù)器設(shè)計指導(dǎo)方針　
 9.5.2　802.1x/EAP身份識別設(shè)計指導(dǎo)方針　
 9.5.3　基于網(wǎng)關(guān)的網(wǎng)絡(luò)認證　
 9.5.4　PKI使用基礎(chǔ)　
 9.6　身份識別部署推薦　
 9.6.1　設(shè)備到網(wǎng)絡(luò)　
 9.6.2　用戶到網(wǎng)絡(luò)　
 9.6.3　用戶到應(yīng)用　
 9.7　總結(jié)　
 9.8　參考資料　
 9.9　應(yīng)用知識問題　
第10章　IPSec VPN設(shè)計考慮　
 10.1　VPN基礎(chǔ)　
 10.2　IPSec VPN類型　
 10.2.1　站點到站點VPN　
 10.2.2　遠程用戶VPN　
 10.3　IPSec運行模式與安全選項　
 10.3.1　IPSec的三個要素　
 10.3.2　傳輸模式和隧道模式　
 10.3.3　IPSec SA建立　
 10.3.4　其他安全選項　
 10.4　拓撲考慮　
 10.4.1　分割隧道　
 10.4.2　拓撲選擇　
 10.5　設(shè)計考慮　
 10.5.1　平臺選項　
 10.5.2　身份識別和IPSec訪問控制　
 10.5.3　第3層IPSec考慮　
 10.5.4　分片和路徑最大傳輸單元　
 10.5.5　VPN的防火墻和NIDS放置　
 10.5.6　高可用性　
 10.5.7　QoS　
 10.5.8　IPSec廠商互操作性　
 10.6　站點到站點部署實例　
 10.6.1　基本IPSec　
 10.6.2　GRE + IPSec　
 10.6.3　動態(tài)多點VPN　
 10.7　IPSec外包　
 10.7.1　基于網(wǎng)絡(luò)管理的IPSec　
 10.7.2　CPE管理的IPSec　
 10.8　總結(jié)　
 10.9　參考資料　
 10.10　應(yīng)用知識問題　
第11章　支持技術(shù)設(shè)計考慮　
 11.1　內(nèi)容　
 11.1.1　緩存　
 11.1.2　內(nèi)容傳播與路由選擇　
 11.2　負載均衡　
 11.2.1　安全考慮　
 11.2.2　服務(wù)器負載均衡　
 11.2.3　安全設(shè)備負載均衡　
 11.3　無線局域網(wǎng)　
 11.3.1　一般考慮　
 11.3.2　技術(shù)選項　
 11.3.3　獨特的部署選項　
 11.3.4　WLAN結(jié)論　
 11.4　IP電話通訊　
 11.4.1　安全考慮　
 11.4.2　部署選項　
 11.4.3　IP電話推薦　
 11.5　總結(jié)　
 11.6　參考資料　
 11.7　應(yīng)用知識問題　
第12章　設(shè)計安全系統(tǒng)　
 12.1　網(wǎng)絡(luò)設(shè)計進階　
 12.1.1　核心層、分布層、接入層/邊界　
 12.1.2　管理　
 12.2　安全系統(tǒng)概念　
 12.2.1　信任域　
 12.2.2　安全控制點　
 12.2.3　安全角色：接入/邊界、分布、核心　
 12.3　網(wǎng)絡(luò)安全對整個設(shè)計的影響　
 12.3.1　路由選擇與IP尋址　
 12.3.2　易管理性　
 12.3.3　擴展性和性能　
 12.4　設(shè)計安全系統(tǒng)的10個步驟　
 12.4.1　第1步：回顧已完成的安全策略文檔　
 12.4.2　第2步：對照安全策略分析當(dāng)前網(wǎng)絡(luò)　
 12.4.3　第3步：選擇技術(shù)并評估產(chǎn)品能力　
 12.4.4　第4步：設(shè)計一個安全系統(tǒng)的理想草案　
 12.4.5　第5步：在實驗中測試關(guān)鍵組件　
 12.4.6　第6步：評估并修正設(shè)計/策略　
 12.4.7　第7步：設(shè)計定案　
 12.4.8　第8步：在一個關(guān)鍵區(qū)域?qū)崿F(xiàn)安全系統(tǒng)　
 12.4.9　第9步：推廣到其他區(qū)域　
 12.4.10　第10步：驗證設(shè)計/策略　
 12.4.11　兩步驟評估清單　
 12.5　總結(jié)　
 12.6　應(yīng)用知識問題　
第三部分　安全網(wǎng)絡(luò)設(shè)計
第13章　邊界安全設(shè)計　
 13.1　什么是邊界　
 13.2　預(yù)計威脅　
 13.3　威脅緩解　
 13.4　身份識別考慮　
 13.5　網(wǎng)絡(luò)設(shè)計考慮　
 13.5.1　ISP路由器　
 13.5.2　公共服務(wù)器數(shù)量　
 13.5.3　分支與總部設(shè)計考慮　
 13.5.4　遠程訪問替代　
 13.6　小型網(wǎng)絡(luò)邊界安全設(shè)計　
 13.6.1　設(shè)計需求　
 13.6.2　設(shè)計概述　
 13.6.3　邊界設(shè)備和安全角色　
 13.6.4　VPN　
 13.6.5　設(shè)計評估　
 13.6.6　設(shè)計替代選項　
 13.7　中型網(wǎng)絡(luò)邊界安全設(shè)計　
 13.7.1　設(shè)計需求　
 13.7.2　設(shè)計概述　
 13.7.3　Internet邊界　
 13.7.4　遠程訪問邊界　
 13.7.5　設(shè)計評估　
 13.7.6　設(shè)計替代選項　
 13.8　高端彈性邊界安全設(shè)計　
 13.8.1　設(shè)計需求　
 13.8.2　設(shè)計概述　
 13.8.3　Internet邊界　
 13.8.4　遠程訪問邊界　
 13.8.5　設(shè)計評估　
 13.8.6　設(shè)計替代　
 13.9　電子商務(wù)和外部網(wǎng)設(shè)計防護措施　
 13.9.1　電子商務(wù)　
 13.9.2　外部網(wǎng)　
 13.10　總結(jié)　
 13.11　參考資料　
 13.12　應(yīng)用知識問題　
第14章　園區(qū)網(wǎng)絡(luò)安全設(shè)計　
 14.1　什么是園區(qū)　
 14.2　園區(qū)信任模型　
 14.3　預(yù)計威脅　
 14.4　威脅緩解　
 14.5　身份識別考慮　
 14.6　網(wǎng)絡(luò)設(shè)計考慮　
 14.6.1　第2層考慮　
 14.6.2　狀態(tài)化與無狀態(tài)ACL對比和L3與L4過濾對比　
 14.6.3　入侵檢測系統(tǒng)　
 14.6.4　WLAN考慮　
 14.6.5　網(wǎng)絡(luò)管理　
 14.6.6　無賴設(shè)備　
 14.7　小型網(wǎng)絡(luò)園區(qū)安全設(shè)計　
 14.7.1　設(shè)計需求　
 14.7.2　設(shè)計概述　
 14.7.3　園區(qū)設(shè)備和安全角色　
 14.7.4　設(shè)計評估　
 14.7.5　設(shè)計替代選項　
 14.7.6　增加安全性的替代選項　
 14.7.7　降低安全性的替代選項　
 14.8　中型網(wǎng)絡(luò)園區(qū)安全設(shè)計　
 14.8.1　設(shè)計需求　
 14.8.2　設(shè)計概述　
 14.8.3　園區(qū)設(shè)備和安全角色　
 14.8.4　設(shè)計評估　
 14.8.5　設(shè)計替代　
 14.8.6　增加安全性的替代選項　
 14.8.7　降低安全性的替代選項　
 14.9　高端彈性園區(qū)安全設(shè)計　
 14.9.1　設(shè)計需求　
 14.9.2　設(shè)計概述　
 14.9.3　園區(qū)設(shè)備與安全角色　
 14.9.4　設(shè)計評估　
 14.9.5　設(shè)計替代選項　
 14.10　總結(jié)　
 14.11　參考資料　
 14.12　應(yīng)用知識問題　
第15章　遠程工作者安全設(shè)計　
 15.1　定義遠程工作者環(huán)境　
 15.2　預(yù)計威脅　
 15.3　威脅緩解　
 15.4　身份考慮　
 15.5　網(wǎng)絡(luò)設(shè)計考慮　
 15.5.1　主機保護　
 15.5.2　網(wǎng)絡(luò)傳輸保護　
 15.6　基于軟件的遠程工作者設(shè)計　
 15.6.1　設(shè)計需求　
 15.6.2　設(shè)計概述　
 15.7　基于硬件的遠程工作者設(shè)計　
 15.7.1　設(shè)計要求　
 15.7.2　設(shè)計概述　
 15.7.3　物理安全考慮　
 15.8　設(shè)計評估　
 15.9　總結(jié)　
 15.10　參考資料　
 15.11　應(yīng)用知識問題　
第四部分　網(wǎng)絡(luò)管理、案例分析和結(jié)束語
第16章　安全網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理　
 16.1　烏托邦管理目標(biāo)　
 16.2　組織現(xiàn)實　
 16.3　協(xié)議能力　
 16.3.1　Telnet/安全Shell　
 16.3.2　HTTP/HTTPS　
 16.3.3　簡單網(wǎng)絡(luò)管理協(xié)議　
 16.3.4　TFTP/FTP/SFTP/SCP　
 16.3.5　syslog　
 16.3.6　NetFlow　
 16.3.7　其他　
 16.4　工具功能　
 16.4.1　網(wǎng)絡(luò)安全管理工具　
 16.4.2　安全網(wǎng)絡(luò)管理工具　
 16.5　安全管理設(shè)計選項　
 16.5.1　帶內(nèi)明文　
 16.5.2　帶內(nèi)加密保護（會話和應(yīng)用層）　
 16.5.3　帶內(nèi)加密保護（網(wǎng)絡(luò)層）　
 16.5.4　混合管理設(shè)計　
 16.5.5　安全網(wǎng)絡(luò)管理可選組成部分　
 16.6　網(wǎng)絡(luò)安全管理最佳做法　
 16.6.1　24×7×365監(jiān)控關(guān)鍵安全事件　
 16.6.2　從關(guān)鍵通知中分離歷史事件數(shù)據(jù)　
 16.6.3　選擇敏感日志級別　
 16.6.4　分離網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理　
 16.6.5　關(guān)注操作需求　
 16.6.6　考慮外包　
 16.7　總結(jié)　
 16.8　參考資料　
 16.9　應(yīng)用知識問題　
第17章　案例研究　
 17.1　引言　
 17.2　現(xiàn)實世界適應(yīng)性　
 17.3　組織　
 17.3.1　組織概況　
 17.3.2　當(dāng)前設(shè)計　
 17.3.3　安全需求　
 17.3.4　設(shè)計選擇　
 17.3.5　遷移戰(zhàn)略　
 17.3.6　攻擊案例　
 17.4　NetGamesRUs.com　
 17.4.1　組織概況　
 17.4.2　當(dāng)前設(shè)計　
 17.4.3　安全需求　
 17.4.4　設(shè)計選擇　
 17.4.5　遷移戰(zhàn)略　
 17.4.6　攻擊案例　
 17.5　不安全大學(xué)　
 17.5.1　組織概況　
 17.5.2　當(dāng)前設(shè)計　
 17.5.3　安全需求　
 17.5.4　設(shè)計選擇　
 17.5.5　遷移戰(zhàn)略　
 17.5.6　攻擊案例　
 17.6　黑色直升機研究有限公司　
 17.6.1　組織概況　
 17.6.2　當(dāng)前設(shè)計　
 17.6.3　安全需求　
 17.6.4　設(shè)計選擇　
 17.6.5　遷移戰(zhàn)略　
 17.6.6　攻擊案例　
 17.7　總結(jié)　
 17.8　參考資料　
 17.9　應(yīng)用知識問題　
第18章　結(jié)束語　
 18.1　引言　
 18.2　管理問題仍在繼續(xù)發(fā)生　
 18.3　安全計算開銷將降低　
 18.4　同構(gòu)和異構(gòu)網(wǎng)絡(luò)　
 18.5　應(yīng)嚴肅考慮立法　
 18.6　IPv6改變規(guī)則　
 18.7　網(wǎng)絡(luò)安全是一個體系　
 18.8　總結(jié)　
 18.9　參考資料　
附錄A　術(shù)語表　
附錄B　
 第1章　
 第2章　
 第3章　
 第4章　
 第5章　
 第6章　
 第7章　
 第8章　
 第9章　
 第10章　
 第11章　
 第12章　
 第13章　
 第14章　
 第15章　
 第16章　
附錄C　安全策略示例　
 C.1　INFOSEC可接受使用策略　
 C.1.1　1.0概述　
 C.1.2　2.0目的　
 C.1.3　3.0范圍　
 C.1.4　4.0策略　
 C.1.5　5.0強制措施　
 C.1.6　6.0定義　
 C.1.7　7.0修訂歷史　
 C.2　密碼策略　
 C.2.1　1.0概述　
 C.2.2　2.0目的　
 C.2.3　4.0范圍　
 C.2.4　5.0強制措施　
 C.2.5　6.0定義　
 C.2.6　7.0修訂歷史　
 C.3　防病毒過程指導(dǎo)方針

章節(jié)摘錄

版權(quán)頁：   插圖：   實施認證、授權(quán)和審計（AAA）旨在對身份進行驗證。AAA是網(wǎng)絡(luò)安全中的一個重要概念。其中，認證指的是你是誰，授權(quán)指的是允許你干什么，審計指的是對你所做事情進行記錄。將它們縮寫為AAA放佛是在暗示它們的關(guān)系是密不可分的，更何況它們也可以僅通過一臺專門的AAA服務(wù)器進行提供。但實際上，情況正好相反。在當(dāng)今現(xiàn)代的網(wǎng)絡(luò)中，AAA可能由許多位于不同地方的系統(tǒng)執(zhí)行。我們僅以下列一系列事件為例進行解釋。 用戶啟動筆記本電腦——第一次需要認證是在輸入基本輸入／輸出系統(tǒng)（BIOS）的啟動密碼時，由于在BIOS啟動級別上無法區(qū)分訪問計算機的用戶，所以不必獨立進行授權(quán)。如果你提供了BIOS密碼，系統(tǒng)就會啟動。在OS啟動后，現(xiàn)代OS會再次提示用戶輸入認證信息。這里也會執(zhí)行授權(quán)操作。一個只有訪客登錄權(quán)限的用戶在系統(tǒng)中的權(quán)限要遠遠少于具有root密碼的用戶權(quán)限。這些訪問權(quán)限可以在操作系統(tǒng)內(nèi)部調(diào)整。此外，這里還會執(zhí)行審計：現(xiàn)代OS會在特定用戶訪問系統(tǒng)時進行日志記錄，同時當(dāng)用戶在系統(tǒng)上執(zhí)行重要操作時也常常會將這些行為另行記錄下來。 用戶建立到公司辦公室的VPN連接——在這里，VPN網(wǎng)關(guān)會再次對用戶進行認證。根據(jù)用戶所屬的成員組，VPN網(wǎng)關(guān)能夠授權(quán)用戶執(zhí)行一些網(wǎng)絡(luò)行為，同時阻止用戶執(zhí)行其他網(wǎng)絡(luò)行為。在一些情形下，這仍然是由防火墻處的另一臺設(shè)備完成的。在這里會再次執(zhí)行審計。 用戶下載電子郵件——這是當(dāng)用戶登錄時用戶AAA的另一關(guān)鍵步驟，AAA會根據(jù)用戶ID來授予用戶訪問特定文件的權(quán)限，并讓郵件服務(wù)器將這次訪問記錄下來。當(dāng)發(fā)送郵件時，在郵件服務(wù)器接受郵件消息之前，用戶的IP地址最有可能被用來進行用戶身份的識別。 用戶將一個項目文件移動到基于網(wǎng)絡(luò)存儲的設(shè)備——此處同樣存在AAA，這次是在文件服務(wù)器上。 用戶瀏覽Internet－假定沒有代理服務(wù)器，那么AAA只會發(fā)生在IP層，即訪問控制列表（ACL）控制用戶訪問Internet的行為，同時防火墻對行為進行記錄。

編輯推薦

一本網(wǎng)絡(luò)安全的設(shè)計指南幫助讀者設(shè)計出符合可滿足不同安全需求的網(wǎng)絡(luò)環(huán)境

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    網(wǎng)絡(luò)安全體系結(jié)構(gòu) PDF格式下載

---